Offcanvas

������ ������

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

투자 유치 성공한 신생 IoT업체 7선

IoT와 관련해 개발 툴, 보안 제품, 원격 자산 관리 서비스 등에 벤처투자자들의 관심이 쏠리고 있다.  <네트워크 월드>가 지난 4월 주목할 만한 IoT 기업 10곳에 관한 기사를 작성하면서 IoT 투자가 활발하다는 것을 목격했고 이를 입증하기 위해 대부분 신생벤처인 7개 기업에 관한 기사를 추가하게 되었다. 여기에 나오는 7개 업체는 지난 수개월 동안 벤처펀딩을 발표한 곳들이다. 에이페로(Afero) 설립 : 2014년 본사 위치 : 캘리포니아주 로스앨터스(Los Altos) 투자 유치 : 삼성 캐탈리스트 펀드 주도 시리즈 A 펀딩에서 2,030만 달러 클라우드를 통한 IoT 기기 연결용 에이페로 모듈. Credit : Afero 주력 분야 : 에이페로의 블루투스 무선 모듈, 클라우드 서비스, 개발 툴을 통해 신규 또는 기존 홈 및 기업 IoT 기기 제조사들은 보안 연결을 지원하고 분석 데이터를 수집할 수 있게 되었다. 해당 기업의 이름은 ‘기업’과 ‘사물’을 의미하는 에스페란토어며 그 이유는 ‘연결 사물 사업 부문의 포괄적이고 안전한 E2E(End to End) 연결성 플랫폼’이기 때문이다. 에이페로는 기기 제조를 시작했지만 점차 더욱 광범위한 서비스형 플랫폼에 초점을 맞추면서 개발자들에게 클라우드, 임베디드, 모바일 소프트웨어 개발을 간소화하는 툴을 제공했다. 현재 iOS 및 안드로이드 앱을 보유하고 있는 에이페로는 애플, 구글, 2008년 마이크로소프트가 인수한 고급 모바일 하드웨어 기업 데인저(Danger) 등 기업가들의 아이디어에서 탄생했다. 아제티 네트웍스(Azeti Networks) 설립 : 2006년 본사 위치 : 독일 베를린 투자 유치 : 올 4월 윔 엘프링크가 주도하는 투자 라운드에서 400만 달러, 최근 시스코 이머징 솔루션에서 그보다 더 많은 투자 등 2,100만 달러 주력 분야 : 아제티는 설립...

삼성 헬리움 포그혼 시스템즈 베이쇼어 네트웍스 아제티 네트웍스 에이페로 원격 자산 관리 보안 제품 카디움 개발 툴 GE캐피탈 사물인터넷 펀딩 투자 시스코 마이크로소프트 인텔 소라컴

2016.08.19

IoT와 관련해 개발 툴, 보안 제품, 원격 자산 관리 서비스 등에 벤처투자자들의 관심이 쏠리고 있다.  <네트워크 월드>가 지난 4월 주목할 만한 IoT 기업 10곳에 관한 기사를 작성하면서 IoT 투자가 활발하다는 것을 목격했고 이를 입증하기 위해 대부분 신생벤처인 7개 기업에 관한 기사를 추가하게 되었다. 여기에 나오는 7개 업체는 지난 수개월 동안 벤처펀딩을 발표한 곳들이다. 에이페로(Afero) 설립 : 2014년 본사 위치 : 캘리포니아주 로스앨터스(Los Altos) 투자 유치 : 삼성 캐탈리스트 펀드 주도 시리즈 A 펀딩에서 2,030만 달러 클라우드를 통한 IoT 기기 연결용 에이페로 모듈. Credit : Afero 주력 분야 : 에이페로의 블루투스 무선 모듈, 클라우드 서비스, 개발 툴을 통해 신규 또는 기존 홈 및 기업 IoT 기기 제조사들은 보안 연결을 지원하고 분석 데이터를 수집할 수 있게 되었다. 해당 기업의 이름은 ‘기업’과 ‘사물’을 의미하는 에스페란토어며 그 이유는 ‘연결 사물 사업 부문의 포괄적이고 안전한 E2E(End to End) 연결성 플랫폼’이기 때문이다. 에이페로는 기기 제조를 시작했지만 점차 더욱 광범위한 서비스형 플랫폼에 초점을 맞추면서 개발자들에게 클라우드, 임베디드, 모바일 소프트웨어 개발을 간소화하는 툴을 제공했다. 현재 iOS 및 안드로이드 앱을 보유하고 있는 에이페로는 애플, 구글, 2008년 마이크로소프트가 인수한 고급 모바일 하드웨어 기업 데인저(Danger) 등 기업가들의 아이디어에서 탄생했다. 아제티 네트웍스(Azeti Networks) 설립 : 2006년 본사 위치 : 독일 베를린 투자 유치 : 올 4월 윔 엘프링크가 주도하는 투자 라운드에서 400만 달러, 최근 시스코 이머징 솔루션에서 그보다 더 많은 투자 등 2,100만 달러 주력 분야 : 아제티는 설립...

2016.08.19

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6