Offcanvas

������������������

강은성의 보안 아키텍트ㅣ개인위치정보 이용 사업자가 알아야 할 위치정보법

지난 1999년 SKT에서 처음 시작한 ‘친구 찾기’ 서비스를 기억하는 독자가 있을 것이다. 위치 기반 서비스(Location-Based Service; LBS)의 시초가 되는 서비스다. 당시 이동통신 이용자의 증가세가 주춤하면서 새로운 킬러 서비스가 나와야 한다는 의견이 있었고, 그중 하나가 바로 위치기반 서비스였다. 이후 2003년 1월 정보통신부가 ‘위치기반서비스(LBS)산업 육성계획(안)’을 발표하면서 이것이 하나의 산업으로 인식되기 시작했다.  하지만 위치정보 사업과 위치정보 산업이 본격적으로 자리 잡은 것은 2009년 11월 애플의 아이폰이 국내에 출시되면서부터다. GPS를 기본 탑재한 스마트폰이 나오면서 개인의 위치정보를 기반으로 한 서비스가 폭발적으로 늘어났고, 지금은 개인 위치를 기반으로 한 모바일앱은 스마트폰에서 가장 많이 사용하는 서비스 중 하나가 됐다.  ‘위치정보의 보호 및 이용 등에 관한 법률’(위치정보법)은 위치정보 산업이 채 자리 잡기도 전인 2005년 1월에 제정됐다. 그만큼 정부에서 위치정보 산업에 관심이 많았다고 할 수 있다.    위치정보법의 규율을 받는 사업자는 크게 위치정보를 수집하는 ‘위치정보 사업자'와 그것을 기반으로 위치기반 서비스를 제공하는 ‘위치기반서비스 사업자'로 구분된다. 전자의 대표가 이동통신사업자라고 한다면, 후자에는 길찾기, 날씨, 광고 등 개인위치정보를 활용해 서비스를 제공하는 많은 사업자가 있다. 이렇게 개인위치정보 기반의 사업을 하는 사업자가 2,000개가 넘는다.  개인위치정보는 사람의 안전에 영향을 미치는 매우 중요한 정보이므로 ‘개인위치정보 사업자’는 방송통신위원회의 허가를 받아야 한다(2022.4.20부터 등록제로 바뀜). ‘사물위치정보 사업자’와 ‘개인위치기반서비스 사업자’는 신고만 하면 된다. 관련 서식과 정보는 방송통신위원회가 운영하는 ‘위치정보지원센터’ 사이트를 찾아보는 것이 가장 빠르다. 위치정보법의 조문 중 보안과 관련이 ...

개인위치정보 개인정보 프라이버시 보안 위치정보법 위치 기반 서비스 LBS GPS

2022.01.11

지난 1999년 SKT에서 처음 시작한 ‘친구 찾기’ 서비스를 기억하는 독자가 있을 것이다. 위치 기반 서비스(Location-Based Service; LBS)의 시초가 되는 서비스다. 당시 이동통신 이용자의 증가세가 주춤하면서 새로운 킬러 서비스가 나와야 한다는 의견이 있었고, 그중 하나가 바로 위치기반 서비스였다. 이후 2003년 1월 정보통신부가 ‘위치기반서비스(LBS)산업 육성계획(안)’을 발표하면서 이것이 하나의 산업으로 인식되기 시작했다.  하지만 위치정보 사업과 위치정보 산업이 본격적으로 자리 잡은 것은 2009년 11월 애플의 아이폰이 국내에 출시되면서부터다. GPS를 기본 탑재한 스마트폰이 나오면서 개인의 위치정보를 기반으로 한 서비스가 폭발적으로 늘어났고, 지금은 개인 위치를 기반으로 한 모바일앱은 스마트폰에서 가장 많이 사용하는 서비스 중 하나가 됐다.  ‘위치정보의 보호 및 이용 등에 관한 법률’(위치정보법)은 위치정보 산업이 채 자리 잡기도 전인 2005년 1월에 제정됐다. 그만큼 정부에서 위치정보 산업에 관심이 많았다고 할 수 있다.    위치정보법의 규율을 받는 사업자는 크게 위치정보를 수집하는 ‘위치정보 사업자'와 그것을 기반으로 위치기반 서비스를 제공하는 ‘위치기반서비스 사업자'로 구분된다. 전자의 대표가 이동통신사업자라고 한다면, 후자에는 길찾기, 날씨, 광고 등 개인위치정보를 활용해 서비스를 제공하는 많은 사업자가 있다. 이렇게 개인위치정보 기반의 사업을 하는 사업자가 2,000개가 넘는다.  개인위치정보는 사람의 안전에 영향을 미치는 매우 중요한 정보이므로 ‘개인위치정보 사업자’는 방송통신위원회의 허가를 받아야 한다(2022.4.20부터 등록제로 바뀜). ‘사물위치정보 사업자’와 ‘개인위치기반서비스 사업자’는 신고만 하면 된다. 관련 서식과 정보는 방송통신위원회가 운영하는 ‘위치정보지원센터’ 사이트를 찾아보는 것이 가장 빠르다. 위치정보법의 조문 중 보안과 관련이 ...

2022.01.11

암호화의 성배··· ‘동형암호’란? 사용 사례는?

가트너에 따르면 ‘동형 암호(Homomorphic Encryption)’는 기업들이 경쟁 우위를 확보하기 위해 탐색해야 하는 신기술 중 하나다. 여기서는 이 혁신적인 기술과 이것이 수많은 데이터 기반 사용 사례에 걸쳐 비즈니스 사용자에게 미칠 영향을 살펴본다.  데이터는 디지털 경제의 핵심이다. 기업들은 자체 데이터를 활용하기 위한 광범위하고 효율적인 방법 그리고 외부 데이터에 액세스하고 (이를) 활용하는 방법을 찾고 있다. 이와 동시에, 갈수록 강화되는 이질적인 규제 환경은 프라이버시와 보안을 우선시하도록 요구하면서 이러한 움직임에 복잡성을 가중하고 있다.    광범위한 액세스 요구와 엄격한 규제 요건을 모두 충족해야 하는 필요성에 따라 많은 기업이 기술 기반 솔루션으로 이런 문제를 동시에 해결할 방법을 모색하고 있다. 이는 기업들이 데이터를 활용하는 방법과 위치를 혁신할 수 있는 잠재력을 가진 PET(Privacy Enhancing Technologies) 범주의 핵심 ‘동형 암호’로 이어진다.  ‘동형 암호’란? 가장 기본적인 정의에 의하면 ‘동형 암호(HE)’는 암호화된 또는 암호화된 결과(암호문) 도메인에서 연산을 수행해 데이터가 사용되거나 처리되는 동안 데이터를 보호한다. 이는 데이터가 네트워크를 통해 이동하거나 파일 시스템에 저장돼 있을 때 데이터를 보호하는 일반적인 암호화 유형과는 다르다.  데이터의 3가지 상태(보관, 전송, 사용) 간의 차이점을 삼각형의 세 꼭짓점으로 생각하면 이해하기 쉬울 것이다. 모두 중요하지만 ‘사용 중’인 데이터는 가장 간과되는 부분이다. 그 이유는 이것이 해결하기 어려운 문제이기도 하지만 최근까지도 확장 가능하고 실용적인 상용 솔루션이 없었기 때문이기도 하다. 사용 중인 데이터 보호의 개념을 이해할 수 있도록 암호화를 민감한 데이터를 보호하는 금고라고 생각해보자. 기존 방식에서는 데이터를 사용하거나 처리해야 할 때마다(예: 검색 수행, 분석 적용, 머신러닝 모델 ...

동형 암호 동형 암호화 암호학 보안 암호 데이터 보안 데이터 프라이버시 프라이버시 PET

2022.01.11

가트너에 따르면 ‘동형 암호(Homomorphic Encryption)’는 기업들이 경쟁 우위를 확보하기 위해 탐색해야 하는 신기술 중 하나다. 여기서는 이 혁신적인 기술과 이것이 수많은 데이터 기반 사용 사례에 걸쳐 비즈니스 사용자에게 미칠 영향을 살펴본다.  데이터는 디지털 경제의 핵심이다. 기업들은 자체 데이터를 활용하기 위한 광범위하고 효율적인 방법 그리고 외부 데이터에 액세스하고 (이를) 활용하는 방법을 찾고 있다. 이와 동시에, 갈수록 강화되는 이질적인 규제 환경은 프라이버시와 보안을 우선시하도록 요구하면서 이러한 움직임에 복잡성을 가중하고 있다.    광범위한 액세스 요구와 엄격한 규제 요건을 모두 충족해야 하는 필요성에 따라 많은 기업이 기술 기반 솔루션으로 이런 문제를 동시에 해결할 방법을 모색하고 있다. 이는 기업들이 데이터를 활용하는 방법과 위치를 혁신할 수 있는 잠재력을 가진 PET(Privacy Enhancing Technologies) 범주의 핵심 ‘동형 암호’로 이어진다.  ‘동형 암호’란? 가장 기본적인 정의에 의하면 ‘동형 암호(HE)’는 암호화된 또는 암호화된 결과(암호문) 도메인에서 연산을 수행해 데이터가 사용되거나 처리되는 동안 데이터를 보호한다. 이는 데이터가 네트워크를 통해 이동하거나 파일 시스템에 저장돼 있을 때 데이터를 보호하는 일반적인 암호화 유형과는 다르다.  데이터의 3가지 상태(보관, 전송, 사용) 간의 차이점을 삼각형의 세 꼭짓점으로 생각하면 이해하기 쉬울 것이다. 모두 중요하지만 ‘사용 중’인 데이터는 가장 간과되는 부분이다. 그 이유는 이것이 해결하기 어려운 문제이기도 하지만 최근까지도 확장 가능하고 실용적인 상용 솔루션이 없었기 때문이기도 하다. 사용 중인 데이터 보호의 개념을 이해할 수 있도록 암호화를 민감한 데이터를 보호하는 금고라고 생각해보자. 기존 방식에서는 데이터를 사용하거나 처리해야 할 때마다(예: 검색 수행, 분석 적용, 머신러닝 모델 ...

2022.01.11

2022년 IT 지출처··· ‘핫한’ 7가지 ‘지는’ 4가지

IT 리더들이 ‘기술’을 활용하여 혁신과 비즈니스 트랜스포메이션에 박차를 가할 방안을 모색하고 있다. 그렇다면 투자가 늘어나고 있는 기술은 무엇인지, 반면에 약화되거나 축소되고 있는 기술은 무엇인지 살펴본다.  팬데믹 기간 동안 가속화된 디지털 트랜스포메이션 물결을 타고 올해에도 기업들은 혁신을 촉진하고 비즈니스 운영을 트랜스포메이션하고자 기술을 적극적으로 활용할 전망이다. 이를 위해서는 기술 투자가 필요하다. 이를 아는 기업들은 새로운 기술 및 기존 기술 예산을 늘리고 있다. 액센츄어에 따르면 전체 디지털 지출은 2023년까지 총 IT 지출의 55%를 차지할 것으로 예상되며, 지난 2021년보다 약 10% 증가하는 수준이다.    액센츄어의 수석 전무이사 애슐리 스카이름은 이러한 지출이 4가지 핵심 영역에 집중될 것이라고 밝혔다. 첫 번째는 시장 출시 속도가 중요한 시장(예: AI, 블록체인, AR/VR 등)에서 가치를 입증하기 위해 새로운 사용 사례를 빠르게 시험하고 프로토타이핑하면서 기업들이 ‘재창조하고 혁신하는’ 영역이다. 두 번째 영역은 데이터 및 애널리틱스용 플랫폼 등 ‘새로운 역량 또는 수익원을 창출하는 혁신적인 투자’를 통해 확장하고 차별화하면서 비즈니스를 성장시키는 것이다. 세 번째는 ERP/CRM, 품질, 공급 계획 시스템 등 경쟁력 있는 비즈니스 역량 또는 프로세스 디지털화를 통해 가치사슬을 디지털화하는 것이다. 마지막은 비즈니스를 운영하고, 데이터센터 및 네트워크 등에서 보안 및 컴플라이언스를 유지하는 데 필요한 기술 역량이다.  여기서는 2022년 CIO와 IT 리더들이 투자하게 될 ‘뜨거운(Hot)’ IT 기술 7가지와 ‘차가운(Cold)’ IT 기술 4가지를 정리했다.   Hot: 클라우드 네이티브 관리형 서비스 KPMG의 수석 고문 마크 생크는 클라우드 네이티브 관리형 서비스를 활용하기 위한 투자가 이뤄질 것이라고 말했다. 그는 “예전엔 기업들이 클라우드 투자로 인한 벤더 락...

IT 투자 IT 리더 CIO IT 리더십 디지털 트랜스포메이션 클라우드 네이티브 사물인터넷 데이터 레이크 데이터 웨어하우스 프라이빗 클라우드 직원 인게이지먼트 애널리틱스 데이터 과학 고객 경험 보안

2022.01.10

IT 리더들이 ‘기술’을 활용하여 혁신과 비즈니스 트랜스포메이션에 박차를 가할 방안을 모색하고 있다. 그렇다면 투자가 늘어나고 있는 기술은 무엇인지, 반면에 약화되거나 축소되고 있는 기술은 무엇인지 살펴본다.  팬데믹 기간 동안 가속화된 디지털 트랜스포메이션 물결을 타고 올해에도 기업들은 혁신을 촉진하고 비즈니스 운영을 트랜스포메이션하고자 기술을 적극적으로 활용할 전망이다. 이를 위해서는 기술 투자가 필요하다. 이를 아는 기업들은 새로운 기술 및 기존 기술 예산을 늘리고 있다. 액센츄어에 따르면 전체 디지털 지출은 2023년까지 총 IT 지출의 55%를 차지할 것으로 예상되며, 지난 2021년보다 약 10% 증가하는 수준이다.    액센츄어의 수석 전무이사 애슐리 스카이름은 이러한 지출이 4가지 핵심 영역에 집중될 것이라고 밝혔다. 첫 번째는 시장 출시 속도가 중요한 시장(예: AI, 블록체인, AR/VR 등)에서 가치를 입증하기 위해 새로운 사용 사례를 빠르게 시험하고 프로토타이핑하면서 기업들이 ‘재창조하고 혁신하는’ 영역이다. 두 번째 영역은 데이터 및 애널리틱스용 플랫폼 등 ‘새로운 역량 또는 수익원을 창출하는 혁신적인 투자’를 통해 확장하고 차별화하면서 비즈니스를 성장시키는 것이다. 세 번째는 ERP/CRM, 품질, 공급 계획 시스템 등 경쟁력 있는 비즈니스 역량 또는 프로세스 디지털화를 통해 가치사슬을 디지털화하는 것이다. 마지막은 비즈니스를 운영하고, 데이터센터 및 네트워크 등에서 보안 및 컴플라이언스를 유지하는 데 필요한 기술 역량이다.  여기서는 2022년 CIO와 IT 리더들이 투자하게 될 ‘뜨거운(Hot)’ IT 기술 7가지와 ‘차가운(Cold)’ IT 기술 4가지를 정리했다.   Hot: 클라우드 네이티브 관리형 서비스 KPMG의 수석 고문 마크 생크는 클라우드 네이티브 관리형 서비스를 활용하기 위한 투자가 이뤄질 것이라고 말했다. 그는 “예전엔 기업들이 클라우드 투자로 인한 벤더 락...

2022.01.10

블로그ㅣAD 보안 업데이트에 관해 알아야 할 4가지

여기서 소개할 ‘액티브 디렉토리(Active Directory; AD)’ 업데이트는 권한 우회 및 승격 취약점을 해결한다.  최근 마이크로소프트는 사용자의 조치가 필요한 몇 가지 업데이트를 추가로 릴리즈했다. 마이크로소프트 일본의 보안팀은 지난 2021년 11월에 공개된 몇 가지 업데이트를 문서화했으며, 이에 따르면 액티브 디렉토리(AD)를 보호하기 위해 추가적인 레지스트리 키를 설정하거나 조치를 취해야 한다.    AD 권한 승격 취약점 첫 번째 패치는 공격자가 컴퓨터 계정 스푸핑을 통해 도메인 컨트롤러를 가장할 수 있는 보안 우회 취약점(CVE-2021-42278)을 해결한다. 이 업데이트에서는 사용자가 생성하거나 변경한 컴퓨터 계정의 sAMAccountName 및 UserAccountControl 속성에 관한 유효성 검사가 개선됐다. 이는 도메인 컨트롤러로 가장해서는 안 될 시스템 계정의 관리자 권한을 가지고 있지 않은 사용자를 검토한다. 업데이트 후 사용자 및 컴퓨터 계정에서 다음을 확인하라.  ObjectClass=Computer (or subclass of computer) accounts must have UserAccountControl flags of UF_WORKSTATION_TRUST_ACCOUNT or UF_SERVER_TRUST_ACCOUNT ObjectClass=User must have UAC flags of UF_NORMAL_ACCOUNT or UF_INTERDOMAIN_TRUST_ACCOUNT 다음으로 UserAccountControl에 UF_WORKSTATION_TRUST_ACCOUNT 플래그를 포함한 컴퓨터 계정의 sAMAccountName에 1개의 달러 기호가 있는지 확인한다. 그렇지 않다면 0x523 ERROR_INVALID_ACCOUNTNAME 오류 코드가 시스템 이벤트 로그에서 Directory-Services-SAM event ID 16991로 기록된다. 아울러 보안 계정...

마이크로소픝 액티브 디렉토리 AD 보안 취약점 스푸핑 도메인 컨트롤러 윈도우 윈도우 보안 네트워크 보안

2022.01.07

여기서 소개할 ‘액티브 디렉토리(Active Directory; AD)’ 업데이트는 권한 우회 및 승격 취약점을 해결한다.  최근 마이크로소프트는 사용자의 조치가 필요한 몇 가지 업데이트를 추가로 릴리즈했다. 마이크로소프트 일본의 보안팀은 지난 2021년 11월에 공개된 몇 가지 업데이트를 문서화했으며, 이에 따르면 액티브 디렉토리(AD)를 보호하기 위해 추가적인 레지스트리 키를 설정하거나 조치를 취해야 한다.    AD 권한 승격 취약점 첫 번째 패치는 공격자가 컴퓨터 계정 스푸핑을 통해 도메인 컨트롤러를 가장할 수 있는 보안 우회 취약점(CVE-2021-42278)을 해결한다. 이 업데이트에서는 사용자가 생성하거나 변경한 컴퓨터 계정의 sAMAccountName 및 UserAccountControl 속성에 관한 유효성 검사가 개선됐다. 이는 도메인 컨트롤러로 가장해서는 안 될 시스템 계정의 관리자 권한을 가지고 있지 않은 사용자를 검토한다. 업데이트 후 사용자 및 컴퓨터 계정에서 다음을 확인하라.  ObjectClass=Computer (or subclass of computer) accounts must have UserAccountControl flags of UF_WORKSTATION_TRUST_ACCOUNT or UF_SERVER_TRUST_ACCOUNT ObjectClass=User must have UAC flags of UF_NORMAL_ACCOUNT or UF_INTERDOMAIN_TRUST_ACCOUNT 다음으로 UserAccountControl에 UF_WORKSTATION_TRUST_ACCOUNT 플래그를 포함한 컴퓨터 계정의 sAMAccountName에 1개의 달러 기호가 있는지 확인한다. 그렇지 않다면 0x523 ERROR_INVALID_ACCOUNTNAME 오류 코드가 시스템 이벤트 로그에서 Directory-Services-SAM event ID 16991로 기록된다. 아울러 보안 계정...

2022.01.07

“솔라윈즈 공격 후 1년”··· 2021 네트워크 보안 사고가 남긴 교훈 4가지

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

솔라윈즈 해킹 공급망 공격 보안 네트워크 보안 보안 위협 보안 사고 익스체인지 서버 공격 제로데이 취약점 프린트나이트메어 랜섬웨어 사이버 공격

2021.12.31

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

2021.12.31

PASS, 강화된 QR출입증 증명 기능 업데이트··· "확진 후 완치자 등 증명"

통신 3사는 코로나19 접종증명(방역패스) 도입에 맞춰 PASS(패스) 앱 내 QR출입증의 증명 기능을 강화했다고 12월 31일 밝혔다. 회사에 따르면 기존 QR출입증으로는 전자출입명부와 백신 접종 증명만 가능했으나, PASS는 이번 업데이트로 ▲확진 후 완치자 ▲기타 접종 예외자 등에 대한 증명도 제공한다.  통신3사가 제공 중인 PASS QR출입증은 지난 2020년 6월 오픈한 이후 안정적으로 서비스를 제공 중이며, 위젯 기능(SK텔레콤, LG유플러스)ᆞ바로표시 기능(KT) 추가 및 실행 속도 단축 등 지속적으로 사용성을 개선하고 있다. 또한, 인증 특화앱인 PASS는 보안 솔루션을 통해 타인의 방역패스 도용 가능성을 원천 차단했으며, 타 QR출입증이 보안 문제로 월 1회 재인증을 수행해야 하는 것과 달리 별도 재인증 절차가 필요 없어 안전하고 손쉽게 이용할 수 있다. 강화된 PASS QR 출입증의 증명 기능은 30일부터 사용할 수 있다. ciokr@idg.co.kr

PASS 코로나19 인증 보안 QR

2021.12.31

통신 3사는 코로나19 접종증명(방역패스) 도입에 맞춰 PASS(패스) 앱 내 QR출입증의 증명 기능을 강화했다고 12월 31일 밝혔다. 회사에 따르면 기존 QR출입증으로는 전자출입명부와 백신 접종 증명만 가능했으나, PASS는 이번 업데이트로 ▲확진 후 완치자 ▲기타 접종 예외자 등에 대한 증명도 제공한다.  통신3사가 제공 중인 PASS QR출입증은 지난 2020년 6월 오픈한 이후 안정적으로 서비스를 제공 중이며, 위젯 기능(SK텔레콤, LG유플러스)ᆞ바로표시 기능(KT) 추가 및 실행 속도 단축 등 지속적으로 사용성을 개선하고 있다. 또한, 인증 특화앱인 PASS는 보안 솔루션을 통해 타인의 방역패스 도용 가능성을 원천 차단했으며, 타 QR출입증이 보안 문제로 월 1회 재인증을 수행해야 하는 것과 달리 별도 재인증 절차가 필요 없어 안전하고 손쉽게 이용할 수 있다. 강화된 PASS QR 출입증의 증명 기능은 30일부터 사용할 수 있다. ciokr@idg.co.kr

2021.12.31

풍요 속 빈곤··· 제대로 된 ‘CISO’ 일자리 찾으려면?

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

CSO CISO 보안 사이버 보안 C-레벨 커리어 최고정보보호책임자

2021.12.29

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

2021.12.29

보안 전문가가 Log4j 스트레스에 대처하는 방법

2021년 많은 보안 전문가가 전례 없는 긴장에 시달렸다. 사이버 사고 대응 담당자와 네트워크 방어 담당자는 끊임없이 이어지는 보안 비상 상황으로 정신이 없었을 것이다. 사이버보안 연구자 케빈 보몬트의 말을 빌리자면, 올해는 사이버 공격이 최고조에 달했다.   2021년은 랜섬웨어 공격 집단 노벨리엄(Nobelium)의 공격에 대한 피해를 대대적으로 복구하는 작업으로 시작됐다. 노벨리엄은 2020년 솔라윈즈의 오리온 플랫폼을 해킹했다. 솔라윈즈를 복구하는 도중에 보안팀은 마이크로소프트 익스체인지 서버에서 발견된 4가지 제로데이 취약점과도 씨름해야 했다. 랜섬웨어 공격 집단은 의료, 교육 및 기업을 계속해서 공격했다. 미국의 최대 송유관 관리업체 콜로니얼 파이프라인과 육류 가공 업체 JBS의 북미 사업부 해킹 사건으로 사이버 공격은 정점에 이르렀다.  유명 랜섬웨어 공격 사건의 소용돌이에 전 세계 정부, 의료 업체, 교육 기관, 정치 단체, 인권 운동가를 대상으로 한 수십 가지의 크고 작은 랜섬웨어 공격과 해킹, 첩보 활동이 가세했다. 미국 바이든 행정부는 일련의 행정 명령과 지침, 정부 기관 및 핵심 인프라 제공업체에 새로운 요건을 부가하면서 사이버 공격 행위를 가라앉히려고 노력했다. 동시에 미국 의회는 사이버 보안 태세를 강화하는 법률을 제정했다. 2021년 막바지에는 Log4j 취약점이 출현했다. 전 세계 모든 기업의 보안팀은 인력이 부족한 상황이었고 지칠 대로 지쳐 있었지만 Log4j 취약점에 신속히 대응해야 했다. 또한 코로나19 오미크론 변이의 빠른 확산으로 인해 야기된 직장 내 혼란과 인력 이탈도 주목해야 할 문제였다.  CSO는 보안 전문가에게 2021년 마지막을 장식한 Log4j에 대한 생각과, 동료에게 전하고 싶은 조언이 있는지 물었다. 비교적 한산하고 편안할 것으로 기대했던 휴가 기간에 Log4j 패치 및 복구 업무가 추가되면서 스트레스에 대처하는 방법도 질문했다. 여러 보안 전문가의 답변을 정리했다. “...

보안 log4j

2021.12.27

2021년 많은 보안 전문가가 전례 없는 긴장에 시달렸다. 사이버 사고 대응 담당자와 네트워크 방어 담당자는 끊임없이 이어지는 보안 비상 상황으로 정신이 없었을 것이다. 사이버보안 연구자 케빈 보몬트의 말을 빌리자면, 올해는 사이버 공격이 최고조에 달했다.   2021년은 랜섬웨어 공격 집단 노벨리엄(Nobelium)의 공격에 대한 피해를 대대적으로 복구하는 작업으로 시작됐다. 노벨리엄은 2020년 솔라윈즈의 오리온 플랫폼을 해킹했다. 솔라윈즈를 복구하는 도중에 보안팀은 마이크로소프트 익스체인지 서버에서 발견된 4가지 제로데이 취약점과도 씨름해야 했다. 랜섬웨어 공격 집단은 의료, 교육 및 기업을 계속해서 공격했다. 미국의 최대 송유관 관리업체 콜로니얼 파이프라인과 육류 가공 업체 JBS의 북미 사업부 해킹 사건으로 사이버 공격은 정점에 이르렀다.  유명 랜섬웨어 공격 사건의 소용돌이에 전 세계 정부, 의료 업체, 교육 기관, 정치 단체, 인권 운동가를 대상으로 한 수십 가지의 크고 작은 랜섬웨어 공격과 해킹, 첩보 활동이 가세했다. 미국 바이든 행정부는 일련의 행정 명령과 지침, 정부 기관 및 핵심 인프라 제공업체에 새로운 요건을 부가하면서 사이버 공격 행위를 가라앉히려고 노력했다. 동시에 미국 의회는 사이버 보안 태세를 강화하는 법률을 제정했다. 2021년 막바지에는 Log4j 취약점이 출현했다. 전 세계 모든 기업의 보안팀은 인력이 부족한 상황이었고 지칠 대로 지쳐 있었지만 Log4j 취약점에 신속히 대응해야 했다. 또한 코로나19 오미크론 변이의 빠른 확산으로 인해 야기된 직장 내 혼란과 인력 이탈도 주목해야 할 문제였다.  CSO는 보안 전문가에게 2021년 마지막을 장식한 Log4j에 대한 생각과, 동료에게 전하고 싶은 조언이 있는지 물었다. 비교적 한산하고 편안할 것으로 기대했던 휴가 기간에 Log4j 패치 및 복구 업무가 추가되면서 스트레스에 대처하는 방법도 질문했다. 여러 보안 전문가의 답변을 정리했다. “...

2021.12.27

CISO가 출장 프로그램에서 검토해야 할 보안 체크포인트

지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.   따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다. 스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다. 앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다. 그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 ...

CISO 보안

2021.12.27

지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.   따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다. 스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다. 앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다. 그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 ...

2021.12.27

신뢰하되 검증하라··· 쿠버네티스 소프트웨어 공급망 보안을 강화하는 법

현대 소프트웨어 개발 방식의 확산으로 소프트웨어 공급망을 보호하는 것이 예전보다 훨씬 더 중요해졌다. 코드는 오픈소스 라이브러리에 종속성이 있고 오픈소스 라이브러리는 다른 라이브러리에 종속성이 있고, 이런 식으로 계속 이어진다. 자신이 개발하지 않았고 컴파일하지 않았으며 대부분의 경우 출처도 알 수 없는 코드가 사슬처럼 엮여 있다.   이 코드 중에는 거의 모든 곳에 사용되는 코드도 있다. 업계를 발칵 뒤집어 놓은 로그포셸(Log4Shell) 익스플로잇은 흔히 사용되는 자바 로깅 구성요소인 로그포제이(log4j)에 있는 오래된 버그를 기반으로 한다. 결국 지금 업계는 거인의 어깨 위가 아니라, 소수의 애플리케이션 및 구성요소 유지관리자의 어깨 위에 올라가 있다. 전 세계 인프라가 이들이 한가한 시간에 선의로 하는 일에 의존해 굴러간다.   분산 개발로 위험 가중 유지관리자의 일을 깎아내리는 것이 아니다. 이들은 현대 소프트웨어 공급망의 필수적인 요소다. 소소한 모듈부터 전체 컨테이너 기반 플랫폼까지 모든 것을 제공한다. 이렇게 중요한 코드를 만들지만 그에 상응하는 인정도, 보상도 받지 못한다. 안타깝게도 지금까지 악의적 행위자가 유지관리 코드를 넘겨받아 악성코드를 추가한 사례가 여러 번 있었다. 오래 신뢰를 받아온 코드이므로, 설치할 가능성이 높다고 공격자가 판단했기 때문이다. 코드가 그룹 작업의 결과물이 되는 경우가 증가하고 있으므로 이와 같은 공격은 앞으로 더 늘어날 것이다. 이제 우리 스스로와 애플리케이션을 보호하려면 어떻게 해야 할까? 무엇보다 소프트웨어 공급망이 실제로 존재한다는 것, 그리고 코드가 서로 격리된 채 개발되던 시절이 오래전에 끝났다는 것을 이해해야 한다. 오픈소스와 서드파티 라이브러리는 현재 소프트웨어를 만드는 과정에서 필수적이며 그 중요성은 갈수록 더 커질 것이다. 소프트웨어 공급망을 보호하기 위해 취할 수 있는 조치는 무엇일까? 코드에서 라이브러리 스캔하기, 정적 및 동적 분석 사용하기, 코드에 디지털 ...

쿠버네티스 보안

2021.12.22

현대 소프트웨어 개발 방식의 확산으로 소프트웨어 공급망을 보호하는 것이 예전보다 훨씬 더 중요해졌다. 코드는 오픈소스 라이브러리에 종속성이 있고 오픈소스 라이브러리는 다른 라이브러리에 종속성이 있고, 이런 식으로 계속 이어진다. 자신이 개발하지 않았고 컴파일하지 않았으며 대부분의 경우 출처도 알 수 없는 코드가 사슬처럼 엮여 있다.   이 코드 중에는 거의 모든 곳에 사용되는 코드도 있다. 업계를 발칵 뒤집어 놓은 로그포셸(Log4Shell) 익스플로잇은 흔히 사용되는 자바 로깅 구성요소인 로그포제이(log4j)에 있는 오래된 버그를 기반으로 한다. 결국 지금 업계는 거인의 어깨 위가 아니라, 소수의 애플리케이션 및 구성요소 유지관리자의 어깨 위에 올라가 있다. 전 세계 인프라가 이들이 한가한 시간에 선의로 하는 일에 의존해 굴러간다.   분산 개발로 위험 가중 유지관리자의 일을 깎아내리는 것이 아니다. 이들은 현대 소프트웨어 공급망의 필수적인 요소다. 소소한 모듈부터 전체 컨테이너 기반 플랫폼까지 모든 것을 제공한다. 이렇게 중요한 코드를 만들지만 그에 상응하는 인정도, 보상도 받지 못한다. 안타깝게도 지금까지 악의적 행위자가 유지관리 코드를 넘겨받아 악성코드를 추가한 사례가 여러 번 있었다. 오래 신뢰를 받아온 코드이므로, 설치할 가능성이 높다고 공격자가 판단했기 때문이다. 코드가 그룹 작업의 결과물이 되는 경우가 증가하고 있으므로 이와 같은 공격은 앞으로 더 늘어날 것이다. 이제 우리 스스로와 애플리케이션을 보호하려면 어떻게 해야 할까? 무엇보다 소프트웨어 공급망이 실제로 존재한다는 것, 그리고 코드가 서로 격리된 채 개발되던 시절이 오래전에 끝났다는 것을 이해해야 한다. 오픈소스와 서드파티 라이브러리는 현재 소프트웨어를 만드는 과정에서 필수적이며 그 중요성은 갈수록 더 커질 것이다. 소프트웨어 공급망을 보호하기 위해 취할 수 있는 조치는 무엇일까? 코드에서 라이브러리 스캔하기, 정적 및 동적 분석 사용하기, 코드에 디지털 ...

2021.12.22

블로그 | 구형 서버를 지금 당장 마이그레이션해야 하는 이유

향후 윈도우 10과 윈도우 11 배포를 계획하는 기업이 많을 것이다. 준비 과정에서 그룹정책과 인튠 설정법 등 배포 및 관리 방법을 조사하고, 윈도우 10과 윈도우 11의 기능 업데이트가 연간 2회에서 1회로 축소된다는 소식을 찾아보며 철저히 준비한다. 이처럼 많은 기업이 데스크톱 배포는 비교적 원활하게 관리하지만, 서버 배포에 있어서는 그렇지 않다.   최근 데스크톱 윈도우 업데이트와 최신 패치를 적용하지 않은 구형 플랫폼이 상호작용하면서 문제가 발생한 경우가 있었다. IT 전문가는 패치를 이유로 꼽았지만, 근본적인 문제는 인증 및 스토리지용 서버 플랫폼에 있다. 윈도우 서버 2003을 사용하는 네트워크는 사이버 공격 진입점이 될 수 있고, 네트워크에 SMB v1이 배포되어 있으면 더 안전한 인증 기법과 네트워크와 더 효과적으로 연결하는 기능을 사용할 수 없다.  구체적으로, 윈도우 2003 시스템을 프린터 서버로 이용하면서 윈도우 10 워크스테이션에 지난 10월 및 11월 보안 업데이트를 적용한 경우 프린팅 문제가 발생했다. 윈도우 10, 2004, 20H2, 21H1, 21H2용으로 10월 배포된 KB5006670과 11월 배포된 KB5007186 업데이트였다. 네트워크 관리자는 업데이트가 부족한 윈도우 서버 2003 플랫폼과 윈도우 10 업데이트 배포로 발생한 프린팅 문제를 해결하기 위해 최신 패치를 적용한 플랫폼으로 프린터 서버를 옮겨야 했다. 프린터 문제뿐만 아니라 서버 2008 R2, 서버 2008, 서버 2003 같은 구형 서버를 윈도우 10과 연결했을 때 네트워크 파일 공유 문제도 발생했다.  서버 수명과 보안 지원 종료일에 주의하라 마이크로소프트는 지난 11월 ESU(Extended Security Update)를 연장 및 확대한다고 밝혔다. ESU는 임베디드 시스템용 윈도우 서버 2008 R2 SP1, 2008 SP2, 2008 R2 SP1과 마이크로소프트 애저에서 실행하는 임베디드 시스템용 윈도우 서버 2...

클라우드 보안

2021.12.13

향후 윈도우 10과 윈도우 11 배포를 계획하는 기업이 많을 것이다. 준비 과정에서 그룹정책과 인튠 설정법 등 배포 및 관리 방법을 조사하고, 윈도우 10과 윈도우 11의 기능 업데이트가 연간 2회에서 1회로 축소된다는 소식을 찾아보며 철저히 준비한다. 이처럼 많은 기업이 데스크톱 배포는 비교적 원활하게 관리하지만, 서버 배포에 있어서는 그렇지 않다.   최근 데스크톱 윈도우 업데이트와 최신 패치를 적용하지 않은 구형 플랫폼이 상호작용하면서 문제가 발생한 경우가 있었다. IT 전문가는 패치를 이유로 꼽았지만, 근본적인 문제는 인증 및 스토리지용 서버 플랫폼에 있다. 윈도우 서버 2003을 사용하는 네트워크는 사이버 공격 진입점이 될 수 있고, 네트워크에 SMB v1이 배포되어 있으면 더 안전한 인증 기법과 네트워크와 더 효과적으로 연결하는 기능을 사용할 수 없다.  구체적으로, 윈도우 2003 시스템을 프린터 서버로 이용하면서 윈도우 10 워크스테이션에 지난 10월 및 11월 보안 업데이트를 적용한 경우 프린팅 문제가 발생했다. 윈도우 10, 2004, 20H2, 21H1, 21H2용으로 10월 배포된 KB5006670과 11월 배포된 KB5007186 업데이트였다. 네트워크 관리자는 업데이트가 부족한 윈도우 서버 2003 플랫폼과 윈도우 10 업데이트 배포로 발생한 프린팅 문제를 해결하기 위해 최신 패치를 적용한 플랫폼으로 프린터 서버를 옮겨야 했다. 프린터 문제뿐만 아니라 서버 2008 R2, 서버 2008, 서버 2003 같은 구형 서버를 윈도우 10과 연결했을 때 네트워크 파일 공유 문제도 발생했다.  서버 수명과 보안 지원 종료일에 주의하라 마이크로소프트는 지난 11월 ESU(Extended Security Update)를 연장 및 확대한다고 밝혔다. ESU는 임베디드 시스템용 윈도우 서버 2008 R2 SP1, 2008 SP2, 2008 R2 SP1과 마이크로소프트 애저에서 실행하는 임베디드 시스템용 윈도우 서버 2...

2021.12.13

블로그 | ‘이야기의 힘!’ CISO에게 전하는 보안 내러티브 구축 경험담

직원들이 보안 수칙을 지키도록 하려면, 그들을 납득시키는 것이 우선이다. 이를 위한 탁월한 수단이 ‘훌륭한 이야기’다.  보안 분야에서 영원한 논의 주제 중 하나가 있다면, 기술, 프로세스 또는 사람이 정보 보안의 요소로서 각각 어느 정도의 비중을 차지하는 지다. 대부분의 보안 리더들은 사람의 중요성을 소홀히 하지 않을 것이다. 사람들이 적절한 보안 관행을 준수하도록 만들기란 무척 어렵다. 새로운 습관과 동기를 필요로 한다.    훈련과 소통이 행동을 바꾸지 않을 때  보안 관행과 씨름하는 사람들 중 일부는 내러티브를 사용한다. 필자는 몇 년 전 컨설팅 조직의 리더로서 데이터 보호와 관련한 끝없는 도전에 직면했던 바 있다. 바로 영업이었다. 우리의 정책은 계정 정보를 처리하는 확실한 방법을 명시하고 있었다. 즉, 어디에 저장할 것인지, 비즈니스 연락처를 얼마나 오랫동안 보관할 지, 표준이 제공하는 장소 등을 명시했다.  많은 툴과 이메일 및 교육이 있었다. 하지만 동일하게 위험한 행동의 징후가 나타났다. 이유가 무엇이었을까? 우리 팀은 변화의 동기를 제공하지 못했다. 사람이라는 변인에 대해 크게 생각하지 못했다. 그들은 우리가 원하는 방향으로 나아가기 시작해야 하는 이유를 이해하지 못했다. 즉 그들을 움직이게 하는 넛지(nudge)가 부족했다. 간단히 말해서, 우리는 내러티브를 추진해야 했다. 훌륭한 변화의 이야기에는 시작, 움직여야 할 이유, 반대 세력에도 불구하고 계속 움직여야 할 동기(말미에 다시 언급할 것이다)가 있다. 당신의 팀은 이야기를 들려줄 수 있는가? 사람들에게 역할, 부서, 고객 또는 결과에 대한 이야기를 들려준 적이 있는가? 변화에는 자신감, 능력과 역량이 필요하다. 오랜 시간 직원들이 믿을 수 있는 내러티브를 이끌어 감으로써 그러한 것들을 구축하기 시작하라. Wayne Anderson 설득 미끄럼틀 많은 CISO가 내러티브를 구축하기를 원한다. 그러나 소통 지원을 받거나 특정 ...

내러티브 스토리텔링 CISO 보안 넛지

2021.12.10

직원들이 보안 수칙을 지키도록 하려면, 그들을 납득시키는 것이 우선이다. 이를 위한 탁월한 수단이 ‘훌륭한 이야기’다.  보안 분야에서 영원한 논의 주제 중 하나가 있다면, 기술, 프로세스 또는 사람이 정보 보안의 요소로서 각각 어느 정도의 비중을 차지하는 지다. 대부분의 보안 리더들은 사람의 중요성을 소홀히 하지 않을 것이다. 사람들이 적절한 보안 관행을 준수하도록 만들기란 무척 어렵다. 새로운 습관과 동기를 필요로 한다.    훈련과 소통이 행동을 바꾸지 않을 때  보안 관행과 씨름하는 사람들 중 일부는 내러티브를 사용한다. 필자는 몇 년 전 컨설팅 조직의 리더로서 데이터 보호와 관련한 끝없는 도전에 직면했던 바 있다. 바로 영업이었다. 우리의 정책은 계정 정보를 처리하는 확실한 방법을 명시하고 있었다. 즉, 어디에 저장할 것인지, 비즈니스 연락처를 얼마나 오랫동안 보관할 지, 표준이 제공하는 장소 등을 명시했다.  많은 툴과 이메일 및 교육이 있었다. 하지만 동일하게 위험한 행동의 징후가 나타났다. 이유가 무엇이었을까? 우리 팀은 변화의 동기를 제공하지 못했다. 사람이라는 변인에 대해 크게 생각하지 못했다. 그들은 우리가 원하는 방향으로 나아가기 시작해야 하는 이유를 이해하지 못했다. 즉 그들을 움직이게 하는 넛지(nudge)가 부족했다. 간단히 말해서, 우리는 내러티브를 추진해야 했다. 훌륭한 변화의 이야기에는 시작, 움직여야 할 이유, 반대 세력에도 불구하고 계속 움직여야 할 동기(말미에 다시 언급할 것이다)가 있다. 당신의 팀은 이야기를 들려줄 수 있는가? 사람들에게 역할, 부서, 고객 또는 결과에 대한 이야기를 들려준 적이 있는가? 변화에는 자신감, 능력과 역량이 필요하다. 오랜 시간 직원들이 믿을 수 있는 내러티브를 이끌어 감으로써 그러한 것들을 구축하기 시작하라. Wayne Anderson 설득 미끄럼틀 많은 CISO가 내러티브를 구축하기를 원한다. 그러나 소통 지원을 받거나 특정 ...

2021.12.10

랜섬웨어는 건재할 것 外··· 2022년 ‘사이버 보안’ 전망 5가지

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

CSO CISO 보안 사이버 보안 랜섬웨어 대퇴직 웹 사이트 복제 암호화폐 사이버 공격

2021.12.09

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

2021.12.09

깃허브, NPM 레지스트리 사용자에 ‘2단계 인증’ 적용

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

깃허브 오픈소스 개발자 NPM 보안 2단계 인증 2FA 자바스크립트 노드닷제이에스

2021.11.23

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

2021.11.23

블로그 | 멀티클라우드의 아킬레스건

발틱스(Valtix)의 최신 보고서에 따르면, 멀티클라우드는 2022년 투자 우선순위가 매우 높다. 미국 내 IT 리더 200명 이상을 설문한 결과다. 멀티클라우드 중에서도 보안은 특히 신경을 쓰는 영역이다. 보고서를 보면, 멀티클라우드 보안 관련해서 현재 보유한 툴과 인력을 충분히 신뢰한다는 응답은 54%에 그쳤다. 51%는 보안의 복잡성이 늘어나 멀티클라우드로의 이전을 주저하고 있다고 답했다.   그동안 필자는 이러한 복잡성이 기능과 보안 측면에서 제약을 만들어, 결국 멀티클라우드가 성공하는 데 있어 가장 큰 장애요인이 되고 있다고 여러 차례 지적했다. 이런 복잡성은 보안과 운영, 거버넌스 같은 크로스 클라우스 서비스를 염두에 두지 않은 채 멀티클라우드 계획과 마이그레이션, 개발을 진행할 때 주로 발생한다. 이와 관련해서 반드시 함께 인식해야 할 현실이 몇 가지 있다. 먼저 기업 대부분은 알고 있든 아니든 이미 멀티클라우드를 사용하고 있다. 믿지 못하겠다면 기업 네트워크를 스캔해보라. AWS와 마이크로소프트, 구글은 물론 30여 개 SaaS 업체를 발견할 것이다. 둘째, 멀티클라우드 복잡성 문제를 해결하는 대응 조치가 하나를 선택하는 것이 아니라면, 기업 내부에서 해법을 찾아야 한다. 즉, 솔루션을 만들 때 여러 클라우드 업체가 제공하는 베스트오브브리드 기술을 사용할 수 없음을 알고 있어야 한다. 따라서 결과적으로 멀티클라우드 작업을 해야 한다. 그렇다면 무엇을 해야 할까. 이미 여러 번 문제에 직면해 해결한 이들의 조언을 모으면 다음 2가지로 압축할 수 있다. 확장하거나 맞춤 설정할 수 있는 공통의 보안 서비스를 제공하라. 가장 피해야 하는 것은 애플리케이션 요구사항을 일부만 충족하는 하나의 고정된 보안 레이어를 활용하는 것이다. 대신 다양한 보안 패턴에 전문성을 가진 보안 관리자를 지정하는 것이 훨씬 더 좋은 선택이다. 암호화와 이중인증, 싱글사인온(SSO)을 비롯해 무엇보다 신원/접근관리(IAM)에 전문성이 있다면 더 좋다. 이런 관...

멀티클라우드 보안

2021.11.23

발틱스(Valtix)의 최신 보고서에 따르면, 멀티클라우드는 2022년 투자 우선순위가 매우 높다. 미국 내 IT 리더 200명 이상을 설문한 결과다. 멀티클라우드 중에서도 보안은 특히 신경을 쓰는 영역이다. 보고서를 보면, 멀티클라우드 보안 관련해서 현재 보유한 툴과 인력을 충분히 신뢰한다는 응답은 54%에 그쳤다. 51%는 보안의 복잡성이 늘어나 멀티클라우드로의 이전을 주저하고 있다고 답했다.   그동안 필자는 이러한 복잡성이 기능과 보안 측면에서 제약을 만들어, 결국 멀티클라우드가 성공하는 데 있어 가장 큰 장애요인이 되고 있다고 여러 차례 지적했다. 이런 복잡성은 보안과 운영, 거버넌스 같은 크로스 클라우스 서비스를 염두에 두지 않은 채 멀티클라우드 계획과 마이그레이션, 개발을 진행할 때 주로 발생한다. 이와 관련해서 반드시 함께 인식해야 할 현실이 몇 가지 있다. 먼저 기업 대부분은 알고 있든 아니든 이미 멀티클라우드를 사용하고 있다. 믿지 못하겠다면 기업 네트워크를 스캔해보라. AWS와 마이크로소프트, 구글은 물론 30여 개 SaaS 업체를 발견할 것이다. 둘째, 멀티클라우드 복잡성 문제를 해결하는 대응 조치가 하나를 선택하는 것이 아니라면, 기업 내부에서 해법을 찾아야 한다. 즉, 솔루션을 만들 때 여러 클라우드 업체가 제공하는 베스트오브브리드 기술을 사용할 수 없음을 알고 있어야 한다. 따라서 결과적으로 멀티클라우드 작업을 해야 한다. 그렇다면 무엇을 해야 할까. 이미 여러 번 문제에 직면해 해결한 이들의 조언을 모으면 다음 2가지로 압축할 수 있다. 확장하거나 맞춤 설정할 수 있는 공통의 보안 서비스를 제공하라. 가장 피해야 하는 것은 애플리케이션 요구사항을 일부만 충족하는 하나의 고정된 보안 레이어를 활용하는 것이다. 대신 다양한 보안 패턴에 전문성을 가진 보안 관리자를 지정하는 것이 훨씬 더 좋은 선택이다. 암호화와 이중인증, 싱글사인온(SSO)을 비롯해 무엇보다 신원/접근관리(IAM)에 전문성이 있다면 더 좋다. 이런 관...

2021.11.23

비대칭 키부터 블록체인까지··· 알수록 쓸모 있는 '암호화' 상식

디지털 서명부터 전송 계층 보안, 블록체인, 비트코인까지 현대 인터넷 보안 인프라의 이면에 있는 암호화 기술을 살펴본다.  암호화 기술이 점점 더 중요해지고 있다. 모두가 앱에 로그인하거나 이메일을 보낼 때마다 1970년대의 획기적 발전을 바탕으로 한 독창적인 암호화 인프라를 사용하고 있다.   특히, 암호화폐 및 암호화폐 투자의 시대에 전문 소프트웨어 개발자와 코더를 넘어 일반 대중도 암호화 기술의 작동 방식을 이해하면 혜택을 볼 수 있다. 알고 있든 그렇지 않든 모두 일상생활에서 암호화 기술을 쓰기 때문이다.    암호화란?  암호화는 통신을 보호하는 행위다. 이는 원치 않는 자가 데이터를 보거나 변경하지 못하게 하는 프로토콜을 구현하는 여러 기법을 통해 달성된다. 암호화 기술 분야는 다음의 4가지 측면으로 설명할 수 있다.  1. 기밀성(Confidentiality): 데이터가 의도하지 않은 자에게 노출되지 않는다. 2. 무결성(Integrity): 네트워크를 통해 송수신되는 데이터가 임의로 조작되거나 삭제되지 않는다. 3. 인증(Authentication): 당사자가 서로의 신원을 확실하게 검증할 수 있다. 4. 부인방지(Non-repudiation): 데이터를 보낸 사람이 보낸 사실을 부인하거나, 받은 사람이 받은 사실을 부인할 수 없다. 대칭 암호(Symmetric ciphers)  컴퓨터가 등장하기 이전의 암호화는 암호 문자(cipher)를 사용했다. 암호 문자는 읽을 수 있는 텍스트에서 알 수 없는 텍스트로, 그리고 다시 그 반대로 매핑하는 것을 의미한다.  간단한 예를 들면 텍스트의 모든 문자에 4를 더하는 것이다(그러면 A는 E가 된다). 디코딩은 각 문자에서 4를 빼면 된다. 이러한 과정을 암호화(encryption)와 복호화(decryption)라고 부른다.  물론 알파벳에서 4자리를 이동하는 것은 너무 쉽기 때문에 안전하지 않다. 해석용 키를 ...

암호화 보안 암호 비밀번호 디지털 서명 전송 계층 보안 블록체인 비트코인

2021.11.22

디지털 서명부터 전송 계층 보안, 블록체인, 비트코인까지 현대 인터넷 보안 인프라의 이면에 있는 암호화 기술을 살펴본다.  암호화 기술이 점점 더 중요해지고 있다. 모두가 앱에 로그인하거나 이메일을 보낼 때마다 1970년대의 획기적 발전을 바탕으로 한 독창적인 암호화 인프라를 사용하고 있다.   특히, 암호화폐 및 암호화폐 투자의 시대에 전문 소프트웨어 개발자와 코더를 넘어 일반 대중도 암호화 기술의 작동 방식을 이해하면 혜택을 볼 수 있다. 알고 있든 그렇지 않든 모두 일상생활에서 암호화 기술을 쓰기 때문이다.    암호화란?  암호화는 통신을 보호하는 행위다. 이는 원치 않는 자가 데이터를 보거나 변경하지 못하게 하는 프로토콜을 구현하는 여러 기법을 통해 달성된다. 암호화 기술 분야는 다음의 4가지 측면으로 설명할 수 있다.  1. 기밀성(Confidentiality): 데이터가 의도하지 않은 자에게 노출되지 않는다. 2. 무결성(Integrity): 네트워크를 통해 송수신되는 데이터가 임의로 조작되거나 삭제되지 않는다. 3. 인증(Authentication): 당사자가 서로의 신원을 확실하게 검증할 수 있다. 4. 부인방지(Non-repudiation): 데이터를 보낸 사람이 보낸 사실을 부인하거나, 받은 사람이 받은 사실을 부인할 수 없다. 대칭 암호(Symmetric ciphers)  컴퓨터가 등장하기 이전의 암호화는 암호 문자(cipher)를 사용했다. 암호 문자는 읽을 수 있는 텍스트에서 알 수 없는 텍스트로, 그리고 다시 그 반대로 매핑하는 것을 의미한다.  간단한 예를 들면 텍스트의 모든 문자에 4를 더하는 것이다(그러면 A는 E가 된다). 디코딩은 각 문자에서 4를 빼면 된다. 이러한 과정을 암호화(encryption)와 복호화(decryption)라고 부른다.  물론 알파벳에서 4자리를 이동하는 것은 너무 쉽기 때문에 안전하지 않다. 해석용 키를 ...

2021.11.22

"다우IDC에 ‘사이버 위협 탐지’ 적용" 다우기술

다우기술이 11월 22일 사이버 공격에 대비한 선제적 대응을 위해 다우IDC, 다우클라우드 서비스에 ‘사이버 위협 탐지’ 기능을 신규 적용했다고 밝혔다. 회사에 따르면 다우기술은 최신 인프라 설비를 갖춘 자체 데이터센터(마포·서초)와 다우클라우드를 운영하며 비즈니스를 위한 IT 기반 서비스를 제공하고 내부 전문 인력으로 구성된 보안관제 및 통합 보안 서비스로 고객사의 보안을 강화하고 있다. 이뿐만 아니라 최근 클라우드 수요 증가에 따른 데이터센터 사업 확대 목적으로 다우 클라우드 데이터센터 구축 투자를 결정했다고 공시한 바 있다. 이번에 신규 적용한 사이버 위협 탐지 기능은 국내·외 타 기관 및 기업의 위협 정보를 참조해 다양한 사이버 공격에 대한 사전 방어 및 빠른 인지로 침해 사고를 예방하는 기능으로 지능화된 사이버 위협에 보다 효과적으로 대응할 수 있게 됐다. 다우기술은 한국인터넷진흥원(이하 KISA)이 운영하는 국내 사이버 위협 정보 분석·공유 시스템(이하 C-TAS)을 활용해 기존의 통합 보안관제 및 사이버 위협 인텔리전스 체계를 강화시켰다. 다우기술은 KISA의 C-TAS 회원사로서 자사 통합 보안관제로 수집한 정보를 공공의 목적을 위해 공유하는 동시에 C-TAS로부터 공유받은 정보를 자사의 사이버 위협 인텔리전스를 체계에 적용해 사이버 위협의 지능화·고도화에 따른 침해 사고 조기 대응 및 피해 확산 방지 등 더욱 강화된 보안 서비스를 제공할 수 있게 됐다. 이에 앞서 다우기술은 사이버 공격에 대비한 신속 대응 및 유관기관 간 협력 체계 강화를 위해, KISA의 주관으로 5월 27일~ 6월 4일 실시한 ‘클라우드 사업자 대상 침해 사고 대응 모의훈련’에 참여한 바 있다. 다우IDC를 총괄하는 김유성 상무는 “KISA에서 운영하는 C-TAS 회원사로서 진화하는 보안 위협에 효과적으로 대응할 수 있도록 적극 협력해 나가겠다”라며, “앞으로도 사이버 공격에 신속하고 체계적으로 대응해 자사 고객이 안전하게 서비스를 사용할 수 있도록 대비하고 강...

다우기술 보안 사이버 보안

2021.11.22

다우기술이 11월 22일 사이버 공격에 대비한 선제적 대응을 위해 다우IDC, 다우클라우드 서비스에 ‘사이버 위협 탐지’ 기능을 신규 적용했다고 밝혔다. 회사에 따르면 다우기술은 최신 인프라 설비를 갖춘 자체 데이터센터(마포·서초)와 다우클라우드를 운영하며 비즈니스를 위한 IT 기반 서비스를 제공하고 내부 전문 인력으로 구성된 보안관제 및 통합 보안 서비스로 고객사의 보안을 강화하고 있다. 이뿐만 아니라 최근 클라우드 수요 증가에 따른 데이터센터 사업 확대 목적으로 다우 클라우드 데이터센터 구축 투자를 결정했다고 공시한 바 있다. 이번에 신규 적용한 사이버 위협 탐지 기능은 국내·외 타 기관 및 기업의 위협 정보를 참조해 다양한 사이버 공격에 대한 사전 방어 및 빠른 인지로 침해 사고를 예방하는 기능으로 지능화된 사이버 위협에 보다 효과적으로 대응할 수 있게 됐다. 다우기술은 한국인터넷진흥원(이하 KISA)이 운영하는 국내 사이버 위협 정보 분석·공유 시스템(이하 C-TAS)을 활용해 기존의 통합 보안관제 및 사이버 위협 인텔리전스 체계를 강화시켰다. 다우기술은 KISA의 C-TAS 회원사로서 자사 통합 보안관제로 수집한 정보를 공공의 목적을 위해 공유하는 동시에 C-TAS로부터 공유받은 정보를 자사의 사이버 위협 인텔리전스를 체계에 적용해 사이버 위협의 지능화·고도화에 따른 침해 사고 조기 대응 및 피해 확산 방지 등 더욱 강화된 보안 서비스를 제공할 수 있게 됐다. 이에 앞서 다우기술은 사이버 공격에 대비한 신속 대응 및 유관기관 간 협력 체계 강화를 위해, KISA의 주관으로 5월 27일~ 6월 4일 실시한 ‘클라우드 사업자 대상 침해 사고 대응 모의훈련’에 참여한 바 있다. 다우IDC를 총괄하는 김유성 상무는 “KISA에서 운영하는 C-TAS 회원사로서 진화하는 보안 위협에 효과적으로 대응할 수 있도록 적극 협력해 나가겠다”라며, “앞으로도 사이버 공격에 신속하고 체계적으로 대응해 자사 고객이 안전하게 서비스를 사용할 수 있도록 대비하고 강...

2021.11.22

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31