Offcanvas

��������� ������

강은성의 보안 아키텍트ㅣ글로벌 보안 규제와 공급망 보안

2016년 10월 21일 아마존, 넷플릭스, 트위터 등 많은 이용자들이 있는 대형 서비스를 미국의 많은 지역에서 접속하지 못하는 사태가 벌어졌다.     이들 지역에 DNS를 제공하는 업체 Dyn이 대규모 분산 서비스거부 공격(DDoS) 공격을 받아 도메인이름 서비스(DNS)가 중단됐기 때문이었다. IP 카메라, 홈라우터 등 수십 만대의 사물인터넷(IoT) 기기를 감염시킨 미라이(Mirai) 봇넷이 이들을 동원하여 Dyn에 DDoS 공격을 한 것이다. 이 사건은 미국을 비롯한 세계 각국에서 법률 제정과 정부 정책을 통해 IoT 기기에 대한 보안 규제를 본격적으로 추진하는 계기가 됐다.  2020년 1월부터 미국 캘리포니아주에서 시행된 ‘사물인터넷 보안법’(Security of connected devices)은 캘리포니아주에서 판매되거나 판매를 위해 제공되는 ‘정보통신망 연결 기기’를 제조하거나 대신 제조하기로 계약한 제조업체에 적용되는데, 이 기기들은 다음과 같은 합리적인 보안 기능을 갖춰야 한다.    • 해당 기기의 본질과 기능에 적합  • 기기에 수집·보관·전송되는 정보에 적합  • 기기 및 기기에 보관된 모든 정보가 무단 접근, 파괴, 사용, 변경, 공개되지 않도록 보호할 수 있게 설계  • LAN 외부에 인증수단이 있는 경우에는 다음 중 하나를 충족    (1) 생산 시 사전 설정되는 패스워드는 기기마다 고유해야 함    (2) 이용자가 기기를 처음 접근권한을 허용 받기 전에 새 인증수단을 요구하는 보안 기능을 갖춤   로봇청소기를 예로 들면 로봇청소기의 본질에는 자율 이동과 청소가 포함되고, 자율 이동을 위해서는 비디오카메라로 주위 공간을 찍어서 데이터를 클라우드로 전송하여 분석한 뒤 이를 기반으로 이동하는 기능이 필요하다.    따라서 로...

강은성 강은성의 보안 아키텍트 디도스 공격 미라이 봇넷 사물인터넷 보안 공급망 보안

2022.11.14

2016년 10월 21일 아마존, 넷플릭스, 트위터 등 많은 이용자들이 있는 대형 서비스를 미국의 많은 지역에서 접속하지 못하는 사태가 벌어졌다.     이들 지역에 DNS를 제공하는 업체 Dyn이 대규모 분산 서비스거부 공격(DDoS) 공격을 받아 도메인이름 서비스(DNS)가 중단됐기 때문이었다. IP 카메라, 홈라우터 등 수십 만대의 사물인터넷(IoT) 기기를 감염시킨 미라이(Mirai) 봇넷이 이들을 동원하여 Dyn에 DDoS 공격을 한 것이다. 이 사건은 미국을 비롯한 세계 각국에서 법률 제정과 정부 정책을 통해 IoT 기기에 대한 보안 규제를 본격적으로 추진하는 계기가 됐다.  2020년 1월부터 미국 캘리포니아주에서 시행된 ‘사물인터넷 보안법’(Security of connected devices)은 캘리포니아주에서 판매되거나 판매를 위해 제공되는 ‘정보통신망 연결 기기’를 제조하거나 대신 제조하기로 계약한 제조업체에 적용되는데, 이 기기들은 다음과 같은 합리적인 보안 기능을 갖춰야 한다.    • 해당 기기의 본질과 기능에 적합  • 기기에 수집·보관·전송되는 정보에 적합  • 기기 및 기기에 보관된 모든 정보가 무단 접근, 파괴, 사용, 변경, 공개되지 않도록 보호할 수 있게 설계  • LAN 외부에 인증수단이 있는 경우에는 다음 중 하나를 충족    (1) 생산 시 사전 설정되는 패스워드는 기기마다 고유해야 함    (2) 이용자가 기기를 처음 접근권한을 허용 받기 전에 새 인증수단을 요구하는 보안 기능을 갖춤   로봇청소기를 예로 들면 로봇청소기의 본질에는 자율 이동과 청소가 포함되고, 자율 이동을 위해서는 비디오카메라로 주위 공간을 찍어서 데이터를 클라우드로 전송하여 분석한 뒤 이를 기반으로 이동하는 기능이 필요하다.    따라서 로...

2022.11.14

디도스 공격은 어떻게 발전하고 있나

디도스 공격은 단일 공격자나 다수의 공격자가 서비스를 제공하지 못 하도록 시도하는 것이다. 이는 실제로 서버, 장비, 서비스, 네트워크, 애플리케이션, 애플리케이션 내의 특정 트랜잭션 등에 대한 접근을 차단함으로써 달성할 수 있다. 도스(DoS) 공격에서는 하나의 시스템이 악성 데이터나 요청을 전송하며, 디도스 공격은 여러 시스템에서 들어온다.   일반적으로 이런 공격은 시스템에 무작위로 데이터를 요청한다. 웹 서버에 너무 많은 페이지 서비스 요청을 전송하여 고장 나도록 하거나 데이터베이스에 많은 쿼리를 전송할 수도 있다. 이로 인해 사용 가능한 인터넷 대역폭, CPU, RAM 용량이 부족해진다. 그 결과 분산형 시스템의 사소한 불편부터 웹 사이트, 애플리케이션, 비즈니스 전체가 중단되는 상황까지 발생할 수 있다. 3가지 유형의 디도스 공격 디도스 공격의 주된 유형은 3가지다. 1. 볼륨 기반 공격은 대량의 가짜 트래픽을 이용해 웹 사이트나 서버 등의 리소스를 압도한다. 여기에는 ICMP, UDP, SPF(Spoofed-Packet Flood) 공격 등이 포함된다. 볼륨 기반 공격의 규모는 초당 비트 수(Bits Per Second, BPS)로 측정된다. 2. 프로토콜 또는 네트워크 계층 디도스 공격은 다수의 패킷을 표적화된 네트워크 인프라와 인프라 관리 툴로 전송한다. 이런 프로토콜 공격에는 SYN 플러드 및 스머프 디도스 등이 있으며 그 규모는 초당 패킷 수(Packets Per Second, PPS)로 측정된다. 3. 애플리케이션 계층 공격은 애플리케이션에 악의적인 요청을 무작위로 전송하여 수행한다. 애플리케이션 계층 공격의 규모는 초당 요구 수(Requests Per Second, RPS)로 측정된다. 각 공격 유형의 목표는 항상 같다. 온라인 리소스를 느리거나 응답이 없게 만드는 것이다. 디도스 공격의 증상 디도스 공격은 서버나 시스템 다운, 정상적인 사용자들의 정상적이지만 과도한 요청, 케이블 절단 등 가용성 문제를 유발...

구글 사물인터넷 카스퍼스키랩 기트허브 CNN 미라이 봇넷 플래시포인트 리스크IQ distributed denial of service MafiaBoy 분산 서비스 거부 공격 텀블러 레딧 dos 아마존 트위터 야후 이베이 DDoS 스포티파이 넷플릭스 클라우드플레어 디도스 아카마이 팀 사임루

2020.02.17

디도스 공격은 단일 공격자나 다수의 공격자가 서비스를 제공하지 못 하도록 시도하는 것이다. 이는 실제로 서버, 장비, 서비스, 네트워크, 애플리케이션, 애플리케이션 내의 특정 트랜잭션 등에 대한 접근을 차단함으로써 달성할 수 있다. 도스(DoS) 공격에서는 하나의 시스템이 악성 데이터나 요청을 전송하며, 디도스 공격은 여러 시스템에서 들어온다.   일반적으로 이런 공격은 시스템에 무작위로 데이터를 요청한다. 웹 서버에 너무 많은 페이지 서비스 요청을 전송하여 고장 나도록 하거나 데이터베이스에 많은 쿼리를 전송할 수도 있다. 이로 인해 사용 가능한 인터넷 대역폭, CPU, RAM 용량이 부족해진다. 그 결과 분산형 시스템의 사소한 불편부터 웹 사이트, 애플리케이션, 비즈니스 전체가 중단되는 상황까지 발생할 수 있다. 3가지 유형의 디도스 공격 디도스 공격의 주된 유형은 3가지다. 1. 볼륨 기반 공격은 대량의 가짜 트래픽을 이용해 웹 사이트나 서버 등의 리소스를 압도한다. 여기에는 ICMP, UDP, SPF(Spoofed-Packet Flood) 공격 등이 포함된다. 볼륨 기반 공격의 규모는 초당 비트 수(Bits Per Second, BPS)로 측정된다. 2. 프로토콜 또는 네트워크 계층 디도스 공격은 다수의 패킷을 표적화된 네트워크 인프라와 인프라 관리 툴로 전송한다. 이런 프로토콜 공격에는 SYN 플러드 및 스머프 디도스 등이 있으며 그 규모는 초당 패킷 수(Packets Per Second, PPS)로 측정된다. 3. 애플리케이션 계층 공격은 애플리케이션에 악의적인 요청을 무작위로 전송하여 수행한다. 애플리케이션 계층 공격의 규모는 초당 요구 수(Requests Per Second, RPS)로 측정된다. 각 공격 유형의 목표는 항상 같다. 온라인 리소스를 느리거나 응답이 없게 만드는 것이다. 디도스 공격의 증상 디도스 공격은 서버나 시스템 다운, 정상적인 사용자들의 정상적이지만 과도한 요청, 케이블 절단 등 가용성 문제를 유발...

2020.02.17

"홈 IoT 기기에 자동 업데이트 툴 필요" BITAG 제안

IoT 기기를 사용하는 소비자 중에 보안 소프트웨어를 직접 업데이트하는 사람이 얼마나 될까? 인터넷 자문 그룹인 BITAG는 사용자 스스로 IoT 기기를 안전하게 관리할 것이라는 생각을 버리라고 조언했다.  IoT 업계에 관한 인터넷 자문 그룹 BITAG의 보고서에 따르면, 소비자들이 IoT 기기의 소프트웨어를 업데이트하지 않을 것으로 조사됐다. 22일 발간된 보고서에서 BITAG는 "대부분 최종 사용자가 스스로 소프트웨어를 업데이트하지 않을 것이라고 가정하는 것이 안전하다”고 밝혔다. BITAG는 자동 보안 업데이트를 위한 메커니즘을 구축하라고 권고했다. 이러한 인간의 본성은 BITAG가 보고서에서도 인정한 가혹한 현실의 하나일 뿐이다. BITAG는 일부 소비자 IoT 기기가 ‘운영자’와 ‘암호’ 같은 사용자 이름이 기본으로 장착된 취약한 상태로 출하되고, 인증이나 암호화를 실행할 수 있거나, 봇으로 전환될 수 있는 악성코드를 쉽게 감염될 수 있다고 지적했다. 후자의 사실은 올해 초 미라이 봇넷(Mirai botnet)이 취약한 보안 카메라와 여러 기기에 발견됐던 사건에서도 명확하게 드러났다. 하지만 BITAG가 보고서를 위한 연구를 시작한 시점은 그보다 몇 개월 전이었다. BITAG는 홈 IoT 소프트웨어 및 하드웨어 공급 업체를 위한 몇 가지 조언을 제시했다. 시스코 시스템즈, 구글, AT&T, 컴캐스트 등의 대표적인 업체들에게 이 조언은 향후 제품 및 서비스 개발에 도움이 될 수 있다. 가장 기본적인 것 중 하나는 IoT 공급 업체가 무엇을 구축하든 기본적으로 버그와 취약점이 있다고 가정해야 한다는 점이다. 바로 그 때문에 자동 업데이트 툴이 필요하다고 BITAG는 전했다. 보고서는 기기 제조사가 모든 통신을 인증하고, 기기에 저장된 데이터를 암호화하며, 손상되었을 때 인증서를 해지할 방법을 제공하는 등 보안을 위한 모범 사례 목록을 따를...

암호 스마트홈 사물인터넷 IoT 보안 홈 IoT 미라이 봇넷 BITAG 브로드밴드 인터넷 테크놀로지 어드바이저리 그룹 Broadband Internet Technology Advisory Group

2016.11.24

IoT 기기를 사용하는 소비자 중에 보안 소프트웨어를 직접 업데이트하는 사람이 얼마나 될까? 인터넷 자문 그룹인 BITAG는 사용자 스스로 IoT 기기를 안전하게 관리할 것이라는 생각을 버리라고 조언했다.  IoT 업계에 관한 인터넷 자문 그룹 BITAG의 보고서에 따르면, 소비자들이 IoT 기기의 소프트웨어를 업데이트하지 않을 것으로 조사됐다. 22일 발간된 보고서에서 BITAG는 "대부분 최종 사용자가 스스로 소프트웨어를 업데이트하지 않을 것이라고 가정하는 것이 안전하다”고 밝혔다. BITAG는 자동 보안 업데이트를 위한 메커니즘을 구축하라고 권고했다. 이러한 인간의 본성은 BITAG가 보고서에서도 인정한 가혹한 현실의 하나일 뿐이다. BITAG는 일부 소비자 IoT 기기가 ‘운영자’와 ‘암호’ 같은 사용자 이름이 기본으로 장착된 취약한 상태로 출하되고, 인증이나 암호화를 실행할 수 있거나, 봇으로 전환될 수 있는 악성코드를 쉽게 감염될 수 있다고 지적했다. 후자의 사실은 올해 초 미라이 봇넷(Mirai botnet)이 취약한 보안 카메라와 여러 기기에 발견됐던 사건에서도 명확하게 드러났다. 하지만 BITAG가 보고서를 위한 연구를 시작한 시점은 그보다 몇 개월 전이었다. BITAG는 홈 IoT 소프트웨어 및 하드웨어 공급 업체를 위한 몇 가지 조언을 제시했다. 시스코 시스템즈, 구글, AT&T, 컴캐스트 등의 대표적인 업체들에게 이 조언은 향후 제품 및 서비스 개발에 도움이 될 수 있다. 가장 기본적인 것 중 하나는 IoT 공급 업체가 무엇을 구축하든 기본적으로 버그와 취약점이 있다고 가정해야 한다는 점이다. 바로 그 때문에 자동 업데이트 툴이 필요하다고 BITAG는 전했다. 보고서는 기기 제조사가 모든 통신을 인증하고, 기기에 저장된 데이터를 암호화하며, 손상되었을 때 인증서를 해지할 방법을 제공하는 등 보안을 위한 모범 사례 목록을 따를...

2016.11.24

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6