Offcanvas

������ ������

깃허브, 2023년 말까지 모든 사용자 대상으로 ‘2FA’ 의무화한다

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

깃허브 개발자 이중인증 2단계 인증 다중인증 보안 소셜 엔지니어링 자격증명 도난 보안 침해

2022.05.06

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

2022.05.06

엔비디아 털어간 해커조직에 삼성도 당했다… “고객정보 유출은 없어”

최근 해커조직 랩서스(Lapsus$)가 삼성전자를 해킹해 190GB에 달하는 기밀 데이터를 탈취했다고 주장했고, 이 주장이 사실로 확인되면서 업계가 발칵 뒤집혔다.  삼성전자는 특정 내부 회사 데이터의 보안 침해를 확인했으며, 랩서스의 공격 수법은 랜섬웨어로 추정된다. 한편 이번 사건은 랩서스가 엔비디아(Nvidia)의 서버에서 1TB에 달하는 데이터를 훔쳐 20GB의 문서 아카이브를 공개한 지 불과 일주일 만에 발생했다.    지난 3월 4일 이 랜섬웨어 그룹은 삼성 소프트웨어에서 C/C++ 명령의 스냅샷을 사용하여 데이터 탈취를 처음으로 공개했다. 이후 암호화, 접근 제어, 하드웨어 암호화에 사용되는 삼성의 트러스트존(TrustZone) 환경에 설치된 모든 트러스티드 애플렛(Trusted Applet; TA)의 소스코드를 언급하면서 이번 데이터 해킹 사건을 설명했다.  아울러 랩서스는 탈취한 데이터를 3개의 토렌트 파일로 압축하여 올렸다. 이 3개의 파일을 합친 용량은 190GB에 이른다. 블리핑 컴퓨터(Bleeping Computer)에 따르면 이 토렌트에는 3개의 아카이브 각각에 어떤 콘텐츠가 담겼는지 소개하는 간략한 설명이 포함돼 있다.  • ‘1부(Part 1)’에는 보안(Security)/디펜스(Defense)/녹스(Knox)/부트로더(Bootloader)/트러스티드앱스(TrustedApps) 및 기타 여러 항목의 소스코드와 관련 데이터가 포함돼 있다.  • ‘2부(Part 2)’에는 기기 보안 및 암호화에 관한 소스코드와 관련 데이터가 포함돼 있다.  • ‘3부(Part 3)’에는 모바일 디펜스 엔지니어링(mobile defense engineering), 삼성 계정 백엔드(Samsung account backend), 삼성 패스 백엔드/프론트엔드(Samsung pass backend/frontend), SES 등 삼성 깃허브의 다양한 리포지토리가 포함돼 있다. ...

삼성전자 삼성 해커조직 랩서스 엔비디아 데이터 유출 보안 침해 랜섬웨어

2022.03.08

최근 해커조직 랩서스(Lapsus$)가 삼성전자를 해킹해 190GB에 달하는 기밀 데이터를 탈취했다고 주장했고, 이 주장이 사실로 확인되면서 업계가 발칵 뒤집혔다.  삼성전자는 특정 내부 회사 데이터의 보안 침해를 확인했으며, 랩서스의 공격 수법은 랜섬웨어로 추정된다. 한편 이번 사건은 랩서스가 엔비디아(Nvidia)의 서버에서 1TB에 달하는 데이터를 훔쳐 20GB의 문서 아카이브를 공개한 지 불과 일주일 만에 발생했다.    지난 3월 4일 이 랜섬웨어 그룹은 삼성 소프트웨어에서 C/C++ 명령의 스냅샷을 사용하여 데이터 탈취를 처음으로 공개했다. 이후 암호화, 접근 제어, 하드웨어 암호화에 사용되는 삼성의 트러스트존(TrustZone) 환경에 설치된 모든 트러스티드 애플렛(Trusted Applet; TA)의 소스코드를 언급하면서 이번 데이터 해킹 사건을 설명했다.  아울러 랩서스는 탈취한 데이터를 3개의 토렌트 파일로 압축하여 올렸다. 이 3개의 파일을 합친 용량은 190GB에 이른다. 블리핑 컴퓨터(Bleeping Computer)에 따르면 이 토렌트에는 3개의 아카이브 각각에 어떤 콘텐츠가 담겼는지 소개하는 간략한 설명이 포함돼 있다.  • ‘1부(Part 1)’에는 보안(Security)/디펜스(Defense)/녹스(Knox)/부트로더(Bootloader)/트러스티드앱스(TrustedApps) 및 기타 여러 항목의 소스코드와 관련 데이터가 포함돼 있다.  • ‘2부(Part 2)’에는 기기 보안 및 암호화에 관한 소스코드와 관련 데이터가 포함돼 있다.  • ‘3부(Part 3)’에는 모바일 디펜스 엔지니어링(mobile defense engineering), 삼성 계정 백엔드(Samsung account backend), 삼성 패스 백엔드/프론트엔드(Samsung pass backend/frontend), SES 등 삼성 깃허브의 다양한 리포지토리가 포함돼 있다. ...

2022.03.08

잇단 보안 침해 사건으로 주목 '클라우드 보안 형상 관리'

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

CIO 디비 클라우드 Divvy Cloud CSPM Cloud Security Posture Management CCPA GDPR 보안 침해 캐피탈원 아마존웹서비스 팔로알토 네트웍스 클라우드 보안 AWS 맥아피 가트너 클라우드 보안 형상 관리

2020.03.03

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

2020.03.03

'보안 패싱은 없다' 모든 협력사 계약에 CSO 관여해야

모든 공급업체, 협력사, 심지어 IT와 관련 없는 업무를 수행하는 외부 업체 직원이라 해도 조직의 보안 표준을 준수하도록 요구해야 한다. 그리고 이러한 요구는 계약서에 서명하기 전에 이뤄져야 한다. 미국 국책 주택담보금융공사인 패니메(Fannie Mae)의 최고 보안 책임자(CSO) 제리 아처에 따르면, 이미 계약을 체결한 상태인 외부 업체에게 보안 위험을 없애라고 요구한다면 이는 실패한 보안이다. 아처는 계약을 체결하기 전에 위험을 경감하기 시작해야 한다고 강조했다. 이런 이유로 패니메는 보안 부서가 외부 업체와의 계약을 ‘승인’하거나 ‘거부’할 수 있다. 인증 기술이나 API 게이트웨이 서비스같이 IT를 관장하는 업체에만 국한되지 않는다. 모든 부서가 보안 부서의 승인을 받아야 업체와 계약을 체결해 도구를 도입할 수 있다. 외부 업체가 200여 곳이 넘는다는 점을 감안하면 이는 쉬운 일이 아니다. 아처는 “다른 회사가 HR 등의 부서에 접근해 새로운 기술과 툴을 보여준다고 가정하자. 해당 부서에 필요한 툴이다. 반드시 가져야 하는 툴이다. 해당 툴, 소프트웨어를 사용하는 부서는 기능만 생각한다. 보안은 생각하지 않는다. 그 툴이 있어야 성과를 낼 수 있다고 IT부서에 강조한다. 우리 모두 이것이 100% 사실이 아니라는 점을 안다. 그러나 툴을 요구하는 사람들은 감정적, 정치적으로 도구와 연결되어 있다”고 말했다. 그 결과 통제할 수 없는 보안 위험이 초래된다. 처음부터 의사결정에 관여하지 않으면, 툴이나 기술을 구입하겠다는 요구가 승리하고, 결과적으로 보안 부서는 사고를 수습하는 역할만 하게 된다. 그는 “처음부터 관여할 방법을 찾아야 한다. 감정이 끼어들어 통제할 수 없게 되기 전에 프로세스를 고치거나, 중지시켜야 한다”고 강조했다. 미리 보안을 평가하는 방법 아처는 ‘관계’가 아주 중요하다고 강조했다. 그는 &ldquo...

SLA 보안 침해 퍼블릭 클라우드 협력사 서비스 수준 협약 인사 구매 CISO 이전 IT아웃소싱 마이그레이션 계약 HR CSO RFI

2018.03.14

모든 공급업체, 협력사, 심지어 IT와 관련 없는 업무를 수행하는 외부 업체 직원이라 해도 조직의 보안 표준을 준수하도록 요구해야 한다. 그리고 이러한 요구는 계약서에 서명하기 전에 이뤄져야 한다. 미국 국책 주택담보금융공사인 패니메(Fannie Mae)의 최고 보안 책임자(CSO) 제리 아처에 따르면, 이미 계약을 체결한 상태인 외부 업체에게 보안 위험을 없애라고 요구한다면 이는 실패한 보안이다. 아처는 계약을 체결하기 전에 위험을 경감하기 시작해야 한다고 강조했다. 이런 이유로 패니메는 보안 부서가 외부 업체와의 계약을 ‘승인’하거나 ‘거부’할 수 있다. 인증 기술이나 API 게이트웨이 서비스같이 IT를 관장하는 업체에만 국한되지 않는다. 모든 부서가 보안 부서의 승인을 받아야 업체와 계약을 체결해 도구를 도입할 수 있다. 외부 업체가 200여 곳이 넘는다는 점을 감안하면 이는 쉬운 일이 아니다. 아처는 “다른 회사가 HR 등의 부서에 접근해 새로운 기술과 툴을 보여준다고 가정하자. 해당 부서에 필요한 툴이다. 반드시 가져야 하는 툴이다. 해당 툴, 소프트웨어를 사용하는 부서는 기능만 생각한다. 보안은 생각하지 않는다. 그 툴이 있어야 성과를 낼 수 있다고 IT부서에 강조한다. 우리 모두 이것이 100% 사실이 아니라는 점을 안다. 그러나 툴을 요구하는 사람들은 감정적, 정치적으로 도구와 연결되어 있다”고 말했다. 그 결과 통제할 수 없는 보안 위험이 초래된다. 처음부터 의사결정에 관여하지 않으면, 툴이나 기술을 구입하겠다는 요구가 승리하고, 결과적으로 보안 부서는 사고를 수습하는 역할만 하게 된다. 그는 “처음부터 관여할 방법을 찾아야 한다. 감정이 끼어들어 통제할 수 없게 되기 전에 프로세스를 고치거나, 중지시켜야 한다”고 강조했다. 미리 보안을 평가하는 방법 아처는 ‘관계’가 아주 중요하다고 강조했다. 그는 &ldquo...

2018.03.14

전세계 상위 1백만 웹사이트 중 절반이 '보안에 취약'

전세계 상위 100만 개의 도메인에 관한 새로운 연구에 따르면, 무려 절반에 가까운 웹사이트가 보안에 취약한 것으로 파악됐다. 이들은 취약한 소프트웨어를 실행하고 있거나, 피싱 사이트로 알려져 있거나, 지난 12개월 동안 보안 침해 사고를 경험했다. http 인터넷 웹사이트. Credit: Rock 1997/Wikipedia 이 조사는 미국 캘리포니아 주에 있는 보안 업체인 멘로시큐리티(Menlo Security)가 했으며, 이 회사의 CTO인 코우시크 구루스와미는 보도자료에서 “매우 주의하는 회사가 관리하는 웹사이트도 종종 다른 사이트의 콘텐츠를 로딩한다는 것이 가장 큰 문제”라고 지적했다. 예를 들어, 뉴스 사이트는 일반적으로 써드파티 광고 네트워크의 광고를 걸어 두는데, 이들의 50%는 위험하다. 비단 광고만이 아니다. 구루스와미는 "예를 들어 이코노미스트에는 독자가 광고 차단기를 사용할 경우 팝업창을 띄우는 플러그인이 있다"며 "이 팝업에 악성코드가 있었던 적이 있는데, 이코노미스트는 웹사이트가 해킹당했다는 것을 전혀 몰랐다"고 말했다. 이 보고서에 따르면, 무작위로 나타나는 배경화면에서 추가 콘텐츠를 요청하는 경우와 실 사용자가 이를 요구하는 경우를 비교하면 25대 1이다. 따라서 사용자가 카테고리에 따라 도메인에 접근하지 못하도록 막거나 승인된 특정 도메인 카테고리만 허용하는 기업은 이 문제를 해결할 수 없다.  구루스와미는 악성 사이트가 악성코드 다운로드를 유도하거나 스푸핑된 은행 페이지와 입금 계좌 정보를 제공할 수 있다고 말했다. 뉴스와 미디어 사이트의 위험률이 50%로 가장 높았고, 엔터테인먼트 사이트는 49%, 여행 사이트는 42%로 뒤를 이었다. Credit: Menlo Security 가장 큰 위험의 요소는 취약한 소프트웨어였다. 전체 웹사이트의 약 36%는 취약한 소프트웨어를 실행하고 있거나 취약한 소...

CSO 뉴스 사이트 스푸핑 계좌 도메인 악성코드 웹사이트 CISO 피싱 은행 콘텐츠 보안 침해

2016.12.14

전세계 상위 100만 개의 도메인에 관한 새로운 연구에 따르면, 무려 절반에 가까운 웹사이트가 보안에 취약한 것으로 파악됐다. 이들은 취약한 소프트웨어를 실행하고 있거나, 피싱 사이트로 알려져 있거나, 지난 12개월 동안 보안 침해 사고를 경험했다. http 인터넷 웹사이트. Credit: Rock 1997/Wikipedia 이 조사는 미국 캘리포니아 주에 있는 보안 업체인 멘로시큐리티(Menlo Security)가 했으며, 이 회사의 CTO인 코우시크 구루스와미는 보도자료에서 “매우 주의하는 회사가 관리하는 웹사이트도 종종 다른 사이트의 콘텐츠를 로딩한다는 것이 가장 큰 문제”라고 지적했다. 예를 들어, 뉴스 사이트는 일반적으로 써드파티 광고 네트워크의 광고를 걸어 두는데, 이들의 50%는 위험하다. 비단 광고만이 아니다. 구루스와미는 "예를 들어 이코노미스트에는 독자가 광고 차단기를 사용할 경우 팝업창을 띄우는 플러그인이 있다"며 "이 팝업에 악성코드가 있었던 적이 있는데, 이코노미스트는 웹사이트가 해킹당했다는 것을 전혀 몰랐다"고 말했다. 이 보고서에 따르면, 무작위로 나타나는 배경화면에서 추가 콘텐츠를 요청하는 경우와 실 사용자가 이를 요구하는 경우를 비교하면 25대 1이다. 따라서 사용자가 카테고리에 따라 도메인에 접근하지 못하도록 막거나 승인된 특정 도메인 카테고리만 허용하는 기업은 이 문제를 해결할 수 없다.  구루스와미는 악성 사이트가 악성코드 다운로드를 유도하거나 스푸핑된 은행 페이지와 입금 계좌 정보를 제공할 수 있다고 말했다. 뉴스와 미디어 사이트의 위험률이 50%로 가장 높았고, 엔터테인먼트 사이트는 49%, 여행 사이트는 42%로 뒤를 이었다. Credit: Menlo Security 가장 큰 위험의 요소는 취약한 소프트웨어였다. 전체 웹사이트의 약 36%는 취약한 소프트웨어를 실행하고 있거나 취약한 소...

2016.12.14

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31