Offcanvas

cso

코로나19 해킹, 표적은 ‘최대 피해 지역’

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

CSO 코비드-19 COVID-19 코로나바이러스 코로나19 스피어피싱 팔로알토 네트웍스 비트디펜더 방화벽 도메인 사이버공격 사이버범죄 팬데믹

2020.05.07

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

2020.05.07

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

방위사업체가 알아야 할 '사이버보안 성숙도 모델 인증'이란?

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

컴플라이언스 방위산업 Cybersecurity Maturity Model Certification CMMC 사이버보안 공급망 SCM 국방성 CISO CSO 사이버보안 성숙도 모델 인증

2020.04.10

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

2020.04.10

기고 | 베테랑 보안 직원이 떠나는 5가지 이유

숙련된 보안 직원을 확보하는 일이 어렵다. 하지만, 이들이 왜 조직을 떠나는지를 파악해 적절한 대응 방안을 마련하면 베테랑 보안 직원이 계속 함께 할 수 있다.  우리는 모두 유능한 사이버보안 전문가를 찾기가 쉽지 않음을 알고 있다. 설상가상으로 문제를 해결하지도 않는다.   ISACA의 사이버보안 현황 2020 연구에 따르면 업계 전문가 3명 중 2명(66%)이 사이버보안 인재를 유지하기가 어렵다고 보고했다. ISACA 연구에 따르면 사이버보안 직원이 떠나는 5가지 이유는 이직, 제한된 승진 및 개발 기회, 낮은 인센티브, 높은 업무 스트레스, 경영 지원 부족으로 나타났다. 이 5가지 이유와 조직이 그에 대응하기 위해 무엇을 할 수 있는지 살펴보겠다. 이직  경쟁사 우리 직원에게 더 많은 보상을 제공할 수 있는 위치에 있다면 직원이 떠나는 것을 막기 위해 할 수 있는 일이 많지 않을 수 있다. 그러나 더 많은 돈이 항상 핵심 요소는 아니다. 돈에 관한 것이 아니라면 왜 다른 회사가 우리 회사보다 더 좋아 보이는지를 알아내는 것이 중요하다. 베테랑 보안 직원이 다른 조직에 합류하기로 결정하거나 그렇게 생각하고 있다고 확신이 든다면 해당 직원과 진정성 있는 대화를 나누고 다른 기회의 어떤 측면이 매력적인지 알아내는 것이 중요하다. 이러한 통찰력은 HR팀으로 가져와 향후 채용 공고 및 채용 프로세스에서 전문가를 더 잘 유치하고 유지하는 데 유용한 기준으로 사용할 수 있다. 제한된 승진 및 개발 기회 보안 교육 투자는 필수적이다. 보안 전문가가 직면하고 있는 현재의 위협 및 취약점과 관련한 지속적인 기술 기반 교육을 제공함으로써 팀 구성원이 더 나은 성능을 발휘할 수 있을 뿐만 아니라 조직이 전문 개발에 투자하고 많은 경우에 감사할 것이다. 결과적으로 우수 직원이 계속해서 근무할 가능성이 더 커진다. 보안 책임자들은 인재를 위한 경쟁 환경을 인식하고 너무 늦기 전에 유지하고자 하는 성과 높은 직원을 식별해야 한다. 적절한 승...

CSO ISACA 사이버보안 CISO 승진 인센티브 고용 이직 채용 직원 유지

2020.04.02

숙련된 보안 직원을 확보하는 일이 어렵다. 하지만, 이들이 왜 조직을 떠나는지를 파악해 적절한 대응 방안을 마련하면 베테랑 보안 직원이 계속 함께 할 수 있다.  우리는 모두 유능한 사이버보안 전문가를 찾기가 쉽지 않음을 알고 있다. 설상가상으로 문제를 해결하지도 않는다.   ISACA의 사이버보안 현황 2020 연구에 따르면 업계 전문가 3명 중 2명(66%)이 사이버보안 인재를 유지하기가 어렵다고 보고했다. ISACA 연구에 따르면 사이버보안 직원이 떠나는 5가지 이유는 이직, 제한된 승진 및 개발 기회, 낮은 인센티브, 높은 업무 스트레스, 경영 지원 부족으로 나타났다. 이 5가지 이유와 조직이 그에 대응하기 위해 무엇을 할 수 있는지 살펴보겠다. 이직  경쟁사 우리 직원에게 더 많은 보상을 제공할 수 있는 위치에 있다면 직원이 떠나는 것을 막기 위해 할 수 있는 일이 많지 않을 수 있다. 그러나 더 많은 돈이 항상 핵심 요소는 아니다. 돈에 관한 것이 아니라면 왜 다른 회사가 우리 회사보다 더 좋아 보이는지를 알아내는 것이 중요하다. 베테랑 보안 직원이 다른 조직에 합류하기로 결정하거나 그렇게 생각하고 있다고 확신이 든다면 해당 직원과 진정성 있는 대화를 나누고 다른 기회의 어떤 측면이 매력적인지 알아내는 것이 중요하다. 이러한 통찰력은 HR팀으로 가져와 향후 채용 공고 및 채용 프로세스에서 전문가를 더 잘 유치하고 유지하는 데 유용한 기준으로 사용할 수 있다. 제한된 승진 및 개발 기회 보안 교육 투자는 필수적이다. 보안 전문가가 직면하고 있는 현재의 위협 및 취약점과 관련한 지속적인 기술 기반 교육을 제공함으로써 팀 구성원이 더 나은 성능을 발휘할 수 있을 뿐만 아니라 조직이 전문 개발에 투자하고 많은 경우에 감사할 것이다. 결과적으로 우수 직원이 계속해서 근무할 가능성이 더 커진다. 보안 책임자들은 인재를 위한 경쟁 환경을 인식하고 너무 늦기 전에 유지하고자 하는 성과 높은 직원을 식별해야 한다. 적절한 승...

2020.04.02

지방정부가 랜섬웨어를 극복하기 위해 할 수 있는 8가지 <딜로이트>

미국의 주정부와 지방정부가 랜섬웨어 공격 대상으로 인기 있는 이유와 이들 정부가 한정된 자원으로 스스로 보호할 방법을 딜로이트가 제안했다.  3월 6일 저녁 발생한 랜섬웨어 공격으로 노스캐롤라이나 더럼 시와 카운티 정부의 IT시스템이 다운됐다. 자세한 정보는 알려지지 않았지만, 노스캐롤라이나주 수사국은 류크(Ryuk)라는 러시아 악성코드가 사용된 랜섬웨어 공격이라고 발표했다. 최근 전국적으로 랜섬웨어와 씨름하는 미국 지방정부들이 늘고 있다. 더럼도 이런 지방정부 가운데 하나다. 랜섬웨어는 이런 공격에서 복구될 준비가 갖춰지지 않은 취약한 지방정부 시스템을 표적으로 삼는다. 더럼 같은 지방정부는 랜셈웨어 공격자에게 매력적인 표적이다. 주 및 지방정부를 표적으로 하는 랜섬웨어 공격 동향을 조사하는 딜로이트 CGI(Center for Government Insights)의 새 보고서에 따르면, 따르면, 자주 인질이 되고 사이버 몸값을 요구받는 정부가 늘어나고 있다. 보고서에 따르면, 2019년 한 해 정부를 표적으로 삼은 랜섬웨어 공격은 163건으로 2018년 대비 150%나 증가했다. 랜섬(사이버 몸값) 지불 금액은 미화 180만 달러였으며, 복구에도 많은 돈이 지출됐다. 지방정부가 이런 공격에 애를 먹는 주된 이유는 사이버보안 인재 부족, 공격 표면 증가, 넉넉하지 못한 예산 등이다.   지방정부가 랜섬웨어 표적으로 선호되는 이유 지방정부들이 사용하는 컴퓨터가 늘어나고, 교통 신호등부터 구급차, 쓰레기 수거 트럭 등 여러 서비스를 네트워크에 연결해 사용하는 사례가 증가하면서 공격 표면이 넓어지는 추세다. 또한, 부족한 예산이 새로운 사이버보안 도구 도입 등 현대화 노력에 제약이 되고 있다. 보고서는 마지막으로 지방정부들이 필요한 사이버보안 인재 유치에 애를 먹고 있다고 지적했다. 매년 두 차례 실시되는 NASCIO/딜로이트 사이버보안 서베이에 따르면, 2010년 이후 매년 주 정부 수준 CISO들의 가장 큰 우려사항은 예산 부족이었다....

CSO 회복력 워게임 복구 업데이트 패치 예산 공격 백업 CISO 딜로이트 암호화 정부 지방정부

2020.03.16

미국의 주정부와 지방정부가 랜섬웨어 공격 대상으로 인기 있는 이유와 이들 정부가 한정된 자원으로 스스로 보호할 방법을 딜로이트가 제안했다.  3월 6일 저녁 발생한 랜섬웨어 공격으로 노스캐롤라이나 더럼 시와 카운티 정부의 IT시스템이 다운됐다. 자세한 정보는 알려지지 않았지만, 노스캐롤라이나주 수사국은 류크(Ryuk)라는 러시아 악성코드가 사용된 랜섬웨어 공격이라고 발표했다. 최근 전국적으로 랜섬웨어와 씨름하는 미국 지방정부들이 늘고 있다. 더럼도 이런 지방정부 가운데 하나다. 랜섬웨어는 이런 공격에서 복구될 준비가 갖춰지지 않은 취약한 지방정부 시스템을 표적으로 삼는다. 더럼 같은 지방정부는 랜셈웨어 공격자에게 매력적인 표적이다. 주 및 지방정부를 표적으로 하는 랜섬웨어 공격 동향을 조사하는 딜로이트 CGI(Center for Government Insights)의 새 보고서에 따르면, 따르면, 자주 인질이 되고 사이버 몸값을 요구받는 정부가 늘어나고 있다. 보고서에 따르면, 2019년 한 해 정부를 표적으로 삼은 랜섬웨어 공격은 163건으로 2018년 대비 150%나 증가했다. 랜섬(사이버 몸값) 지불 금액은 미화 180만 달러였으며, 복구에도 많은 돈이 지출됐다. 지방정부가 이런 공격에 애를 먹는 주된 이유는 사이버보안 인재 부족, 공격 표면 증가, 넉넉하지 못한 예산 등이다.   지방정부가 랜섬웨어 표적으로 선호되는 이유 지방정부들이 사용하는 컴퓨터가 늘어나고, 교통 신호등부터 구급차, 쓰레기 수거 트럭 등 여러 서비스를 네트워크에 연결해 사용하는 사례가 증가하면서 공격 표면이 넓어지는 추세다. 또한, 부족한 예산이 새로운 사이버보안 도구 도입 등 현대화 노력에 제약이 되고 있다. 보고서는 마지막으로 지방정부들이 필요한 사이버보안 인재 유치에 애를 먹고 있다고 지적했다. 매년 두 차례 실시되는 NASCIO/딜로이트 사이버보안 서베이에 따르면, 2010년 이후 매년 주 정부 수준 CISO들의 가장 큰 우려사항은 예산 부족이었다....

2020.03.16

강은성의 보안 아키텍트 | 코로나19와 개인정보 위기관리

중국에서 발생한 코로나바이러스 감염증 사태가 전 세계로 확산하고 있다. 지난 1월 20일 국내에서 처음 발생한 확진자 수가 이제는 8천 명을 넘어섰다. 세계적으로도 많은 편이다. 그런데도 우리나라의 코로나19 대응에 대한 세계 유수의 통신사나 G7 국가의 언론, 정부의 찬사가 뉴스에 나온다. 질병관리본부(질본)를 중심으로 한 중앙정부와 지방정부의 신속한 대응, 세계 최고 수준 의료진의 헌신, 마스크 쓰기와 사회적 거리두기를 실천하는 성숙한 국민이 만들어낸 합작품이다. 10여만 원의 진단비와 최대 수천만 원에 이르는 치료비를 무료로 처리해 주는 국내 보건의료체계가 그 토대가 되었음은 물론이다. 강제로 ‘저녁 있는 삶'을 누리는 분들과 함께 이 사태가 빨리 끝나기를 바라면서, 개인정보 위기관리에 대해 교육과 컨설팅을 하는 입장에서 인상적으로 본 몇 가지를 정리해 보려고 한다. 첫째, 위험평가(Risk assessment)에 관한 것이다. 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한에 대해 기자가 질문하자 정부에서는 질본과 감염병 전문가들이 ‘위험평가'를 하고 있다고 답변했다. 감염병 분야의 전문가가 아니라서 잘은 모르겠으나, 지난 한 달 동안 습득한 지식을 바탕으로 추측해 보면, 해당 나라에서의 확산 상황과 해당국의 관리 수준, 국내 유입 가능성, 국내 확산 및 관리 상황, 방역 방법, 부작용 등 여러 요소를 종합적으로 평가하지 않을까 싶다.  개인정보보호나 정보보안 분야에서도 위험평가를 수행한다. 정보보안 위험관리에 관한 국제 표준인 ISO 27005에서는 위험평가를 통해 식별된 위험의 수준과 우선순위를 정하여 보안대책을 수립하도록 하고 있다. 각 기업에서는 이에 따라 적절한 위혐평가 방법론을 활용하여 보안위험을 평가하고 보안대책을 마련하여 우선순위에 따라 수행하면 된다. 하지만 실제 현실에서는 ‘개인정보 보호조치’에 관한 법규를 점검 목록으로 만들고, 준수 여부를 O, X로 ‘평가'하여 대책을 ...

CIO 질병관리본부 사회적 거리두기 ISO 27005 COVID-19 코비드 코로나바이러스 코로나19 위험평가 코로나 메르스 시큐리티 아키텍트 보안 아키텍트 강은성 개인정보보호 CISO CSO 질본

2020.03.16

중국에서 발생한 코로나바이러스 감염증 사태가 전 세계로 확산하고 있다. 지난 1월 20일 국내에서 처음 발생한 확진자 수가 이제는 8천 명을 넘어섰다. 세계적으로도 많은 편이다. 그런데도 우리나라의 코로나19 대응에 대한 세계 유수의 통신사나 G7 국가의 언론, 정부의 찬사가 뉴스에 나온다. 질병관리본부(질본)를 중심으로 한 중앙정부와 지방정부의 신속한 대응, 세계 최고 수준 의료진의 헌신, 마스크 쓰기와 사회적 거리두기를 실천하는 성숙한 국민이 만들어낸 합작품이다. 10여만 원의 진단비와 최대 수천만 원에 이르는 치료비를 무료로 처리해 주는 국내 보건의료체계가 그 토대가 되었음은 물론이다. 강제로 ‘저녁 있는 삶'을 누리는 분들과 함께 이 사태가 빨리 끝나기를 바라면서, 개인정보 위기관리에 대해 교육과 컨설팅을 하는 입장에서 인상적으로 본 몇 가지를 정리해 보려고 한다. 첫째, 위험평가(Risk assessment)에 관한 것이다. 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한에 대해 기자가 질문하자 정부에서는 질본과 감염병 전문가들이 ‘위험평가'를 하고 있다고 답변했다. 감염병 분야의 전문가가 아니라서 잘은 모르겠으나, 지난 한 달 동안 습득한 지식을 바탕으로 추측해 보면, 해당 나라에서의 확산 상황과 해당국의 관리 수준, 국내 유입 가능성, 국내 확산 및 관리 상황, 방역 방법, 부작용 등 여러 요소를 종합적으로 평가하지 않을까 싶다.  개인정보보호나 정보보안 분야에서도 위험평가를 수행한다. 정보보안 위험관리에 관한 국제 표준인 ISO 27005에서는 위험평가를 통해 식별된 위험의 수준과 우선순위를 정하여 보안대책을 수립하도록 하고 있다. 각 기업에서는 이에 따라 적절한 위혐평가 방법론을 활용하여 보안위험을 평가하고 보안대책을 마련하여 우선순위에 따라 수행하면 된다. 하지만 실제 현실에서는 ‘개인정보 보호조치’에 관한 법규를 점검 목록으로 만들고, 준수 여부를 O, X로 ‘평가'하여 대책을 ...

2020.03.16

호주∙뉴질랜드 CSO의 보안 우선순위는? 운영기술∙IAM

지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다.  호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다.  조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.   응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다. 최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다. CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고...

CIO CISO 렌즈 벤치마크 2019 보안투자 아마존웹서비스 시스코시스템즈 운영기술 OT ICT 브로드컴 IAM 시만텍 CISO AWS 마이크로소프트 CSO 보안예산

2020.03.13

지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다.  호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다.  조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.   응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다. 최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다. CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고...

2020.03.13

"인텔 칩의 설계 결함, 보안 훼손 가능" 연구팀 경고

지난 5월 인텔은 자사 칩셋의 몇 가지 하드웨어 보안 기능에 영향을 주는 취약점에 대한 펌웨어 패치를 공개했다. 디지털 권한 관리, 디바이스 확인, 펌웨어 검증, 암호 키의 안전한 보관, 디스크 암호화 등을 위해 사용되는 칩셋이다. 현재 한 보안 연구팀은 이 결함 가운데 하나를 지목하며 “패치가 불가능하고, 인텔 기반 시스템의 암호화 신뢰 체인을 완전히 훼손할 수 있다”라고 경고했다. 그렇다면 이를 기반으로 구축된 기술에 잠재적으로 막대한 피해를 줄 수 있다.      보안업체인 포지티브 테크놀로지스(Positive Technologies)는 6일 발간한 보고서에서 “인텔 시스템 아키텍트, 엔지니어, 보안 전문가가 가장 두려워했던 시나리오가 현실이 되었다. 이 취약점은 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진(Intel Converged Security and Management Engine, CSME)의 ROM에서 발견되었다. 이는 신뢰의 근원을 구축하고 인텔 플랫폼의 견고한 보안 기반을 확립하기 위해 인텔이 행한 모든 것을 위태롭게 한다”라고 말했다.  패치 불가능한 CSME 결함  포지티브 테크놀로지스가 취약점을 발견하고 인텔에게 통지할 당시 인텔의 협력사가 이미 해당 취약점을 알린 상태였다. 인텔은 이 문제를 CVE-2019-0090으로서 추적하고, CVSS 위험 점수는 7.1이다(높음). 그리고 이를 지난해 10여 가지 취약점과 함께 한 보고서에서 공개했다.  인텔은 이 결함을 인텔 CSME 버전 11.x, 인텔 CSME 버전 12.0.35, 인텔 TXE 버전 3.x 및 4x, 인텔 2서버 플랫폼 서비스 버전 3.x, 4.x, 및 SPS_E3_05.00.04.027을 위한 하위 시스템의 불충분한 접근 제어 취약점으로 설명했고, 이에 의해 “물리적 접근을 통해 무단으로 권한을 상승시킬 수 있다”라고 말했다.  이 문제를 완화하기 위해 인텔은 펌웨어 패치를 발표했고, 이는 시스템...

CSO 시큐어 키 스토리지 SRAM SKS Secure Key Storage CSME 10세대 인텔 플랫폼 포지티브 테크놀로지스 펌웨어 결함 BIOS 반도체 패치 취약점 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진

2020.03.09

지난 5월 인텔은 자사 칩셋의 몇 가지 하드웨어 보안 기능에 영향을 주는 취약점에 대한 펌웨어 패치를 공개했다. 디지털 권한 관리, 디바이스 확인, 펌웨어 검증, 암호 키의 안전한 보관, 디스크 암호화 등을 위해 사용되는 칩셋이다. 현재 한 보안 연구팀은 이 결함 가운데 하나를 지목하며 “패치가 불가능하고, 인텔 기반 시스템의 암호화 신뢰 체인을 완전히 훼손할 수 있다”라고 경고했다. 그렇다면 이를 기반으로 구축된 기술에 잠재적으로 막대한 피해를 줄 수 있다.      보안업체인 포지티브 테크놀로지스(Positive Technologies)는 6일 발간한 보고서에서 “인텔 시스템 아키텍트, 엔지니어, 보안 전문가가 가장 두려워했던 시나리오가 현실이 되었다. 이 취약점은 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진(Intel Converged Security and Management Engine, CSME)의 ROM에서 발견되었다. 이는 신뢰의 근원을 구축하고 인텔 플랫폼의 견고한 보안 기반을 확립하기 위해 인텔이 행한 모든 것을 위태롭게 한다”라고 말했다.  패치 불가능한 CSME 결함  포지티브 테크놀로지스가 취약점을 발견하고 인텔에게 통지할 당시 인텔의 협력사가 이미 해당 취약점을 알린 상태였다. 인텔은 이 문제를 CVE-2019-0090으로서 추적하고, CVSS 위험 점수는 7.1이다(높음). 그리고 이를 지난해 10여 가지 취약점과 함께 한 보고서에서 공개했다.  인텔은 이 결함을 인텔 CSME 버전 11.x, 인텔 CSME 버전 12.0.35, 인텔 TXE 버전 3.x 및 4x, 인텔 2서버 플랫폼 서비스 버전 3.x, 4.x, 및 SPS_E3_05.00.04.027을 위한 하위 시스템의 불충분한 접근 제어 취약점으로 설명했고, 이에 의해 “물리적 접근을 통해 무단으로 권한을 상승시킬 수 있다”라고 말했다.  이 문제를 완화하기 위해 인텔은 펌웨어 패치를 발표했고, 이는 시스템...

2020.03.09

5G 보안 문제··· 디지털 인증서로 해결할 수 있을까?

차세대 이동통신 기술인 5G가 세계적으로 도입되기 시작했다. 하지만 빠른 속도와 향상된 서비스라는 이점이 부각돼 이 차세대 이동통신 기술의 보안 문제가 간과되고 있다. 이동통신 기술표준 기구인 3GPP가 최근 내놓은 규격에 구체화된 데이터 암호화, 인증, 프라이버시의 향상 등 5G에서 보안 문제가 개선됐으나 해결되지 않은 문제도 존재한다.    현재 5G 보안 우려는 트럼프 행정부가 미국의 차세대 네트워크로부터 중국의 IT대기업인 화웨이의 기술을 배제하려는 적대적 움직임에서 가장 잘 드러났다. 미국 정부는 유럽 및 여타 동맹국이 화웨이를 기피하도록 유도하고 있지만, 이러한 노력의 성과는 제한적이었다. 화웨이에 대한 제재는 화웨이가 중국 정부의 요구에 응해 감시 기능을 자신의 기술에 숨겨둘 수 있고, 아니라면 중국 정부를 위해 감시 활동을 할 수 있다는 우려에서 비롯됐다. 그렇다면 5G는 시작부터 보안과 완전히 거리가 멀어지는 것이다.  5G에서 해결되지 않은 기존 이동통신 기술의 취약점  전문가들은 5G 기술 보안 문제를 경고해왔다. 로저 피쿼라스 조버는 올해 슈무콘 컨퍼런스(Shmoocon conference)에서 보안 문제를 거론했다. 일부 IT기업이 5G가 안전하다고 선전하는 것과 달리, 전문가들은 5G가 시작되기도 전에 문제를 지적하고 있는 것이다(조버는 블룸버그 L.P.의 CTO 사무국에서 보안 엔지니어로 일하고 있지만, 가외로 모바일 기술을 연구하고 있다. 그의 모바일 기술 분석은 블룸버그의 견해를 반영하지 않는다).  그는 자신의 프레젠테이션에서, 그리고 이후 이어진 <CSO>와의 인터뷰에서, 이전 세대의 모바일 기술의(GSM, 4G, LTE) 고질적 문제들이 5G 표준 및 계획에서 전혀 해결되지 않았다고 지적했다. 특히 기지국과 이동통신 타워 사이의 이른바 사전 인증 메시지를 중간에서 가로채는 능력은 5G 규격과 제안 아키텍처에서도 여전히 존재하고, 공격자는 메시지를 간단히 가로챌 수...

스마트폰 6G 트럼프 백도어 GSM 디지털 인증서 5G 4G 화웨이 LTE CISO CSO SUPI 공격

2020.02.25

차세대 이동통신 기술인 5G가 세계적으로 도입되기 시작했다. 하지만 빠른 속도와 향상된 서비스라는 이점이 부각돼 이 차세대 이동통신 기술의 보안 문제가 간과되고 있다. 이동통신 기술표준 기구인 3GPP가 최근 내놓은 규격에 구체화된 데이터 암호화, 인증, 프라이버시의 향상 등 5G에서 보안 문제가 개선됐으나 해결되지 않은 문제도 존재한다.    현재 5G 보안 우려는 트럼프 행정부가 미국의 차세대 네트워크로부터 중국의 IT대기업인 화웨이의 기술을 배제하려는 적대적 움직임에서 가장 잘 드러났다. 미국 정부는 유럽 및 여타 동맹국이 화웨이를 기피하도록 유도하고 있지만, 이러한 노력의 성과는 제한적이었다. 화웨이에 대한 제재는 화웨이가 중국 정부의 요구에 응해 감시 기능을 자신의 기술에 숨겨둘 수 있고, 아니라면 중국 정부를 위해 감시 활동을 할 수 있다는 우려에서 비롯됐다. 그렇다면 5G는 시작부터 보안과 완전히 거리가 멀어지는 것이다.  5G에서 해결되지 않은 기존 이동통신 기술의 취약점  전문가들은 5G 기술 보안 문제를 경고해왔다. 로저 피쿼라스 조버는 올해 슈무콘 컨퍼런스(Shmoocon conference)에서 보안 문제를 거론했다. 일부 IT기업이 5G가 안전하다고 선전하는 것과 달리, 전문가들은 5G가 시작되기도 전에 문제를 지적하고 있는 것이다(조버는 블룸버그 L.P.의 CTO 사무국에서 보안 엔지니어로 일하고 있지만, 가외로 모바일 기술을 연구하고 있다. 그의 모바일 기술 분석은 블룸버그의 견해를 반영하지 않는다).  그는 자신의 프레젠테이션에서, 그리고 이후 이어진 <CSO>와의 인터뷰에서, 이전 세대의 모바일 기술의(GSM, 4G, LTE) 고질적 문제들이 5G 표준 및 계획에서 전혀 해결되지 않았다고 지적했다. 특히 기지국과 이동통신 타워 사이의 이른바 사전 인증 메시지를 중간에서 가로채는 능력은 5G 규격과 제안 아키텍처에서도 여전히 존재하고, 공격자는 메시지를 간단히 가로챌 수...

2020.02.25

온라인에서 익명성을 지키기 위한 8가지 방법

개인에게 익명성과 프라이버시는 자율성이나 정치적 자유에 관한 것일 수도 있다. 또는 디지털 세계에서 자신을 보호하는 일에 관한 것일 수 있다. 기업에게 직원 프라이버시는 소셜 엔지니어링 공격 위험 완화에 관한 것일 수도 있다. 공격자는 조직 내 주요 직원에 관해 더 많이 알수록 더 효과적으로 공격할 수 있다. 따라서 직원의 개인정보 보호 방법에 대한 교육은 보안 인식 프로그램의 핵심 부분이어야 한다. 개인의 프라이버시나 직원의 개인정보를 보호하기 위해 구체적인 단계를 수행하려면 에너지, 시간, 기술 노하우가 필요하다.   프라이버시 vs. 익명성 무작위로 대입하는 복호화보다는 암호화가 비교할 수 없을 만큼 쉽다. 암호화를 신뢰하는 이유도 바로 여기에 있다. 하지만 익명성을 유지하지는 데에는 상당한 노력이 요구되기 때문에 모두가 익명성을 신뢰하지는 않는 것 같다. 흔히 프라이버시와 익명성을 혼용해서 사용하는데, 이는 잘못된 것이다. 암호화된 메시지는 발신자와 수신자 외에는 읽을 수 없어 프라이버시를 보호할 수는 있다. 하지만 암호화가 메타데이터를 보호하는 것은 아니라서 익명성까지 보호하는 것은 아니다. 대화 상대, 시기, 시간, 메시지 수, 첨부파일 크기, 소통의 유형(문자 메시지? 이메일? 음성통화? 음성 메시지? 화상통화?) 등 모든 정보가 암호화되는 것은 아니며, 요즘 보편화된 대중 감시 기기를 가진 수준 높은 해커가 쉽게 발견할 수 있다. 구체적인 기술 도구를 살펴보기 전에 내린 최종 결론: ‘온라인’은 이제 무의미한 단어다. 실제 생활 공간과 사이버 공간이 융합돼 있기 때문이다. 과거에는 사람들이 ‘실제 세계’에 살면서 ‘온라인을 방문’했다. 이제는 온라인에서 살며, 자신의 실제 생활 공간이 익명이 아니라면(요즘에는 거의 불가능) 스마트폰 위치 추적, 공공 물리 영역에서의 얼굴 인식 등으로 인해 ‘온라인 익명성’은 도움이 되지 않는다. 절대적으로 완전한 (하지만 실제로는 그렇지 않은) 익명성을 확보하기 위한 단계에 대해 알...

구글 익명성 가상 비서 영지식 아마존 에코 구글 홈 시그널 토르 브라우저 프로톤메일 아마존 링 SpiderOak Zero Knowledge PGP 스파이더오크 스마트폰 소셜네트워크 CSO 프라이버시 개인정보 보호 드롭박스 CISO 암호 오피스 365 VPN 에드워드 스노든 복호

2020.02.13

개인에게 익명성과 프라이버시는 자율성이나 정치적 자유에 관한 것일 수도 있다. 또는 디지털 세계에서 자신을 보호하는 일에 관한 것일 수 있다. 기업에게 직원 프라이버시는 소셜 엔지니어링 공격 위험 완화에 관한 것일 수도 있다. 공격자는 조직 내 주요 직원에 관해 더 많이 알수록 더 효과적으로 공격할 수 있다. 따라서 직원의 개인정보 보호 방법에 대한 교육은 보안 인식 프로그램의 핵심 부분이어야 한다. 개인의 프라이버시나 직원의 개인정보를 보호하기 위해 구체적인 단계를 수행하려면 에너지, 시간, 기술 노하우가 필요하다.   프라이버시 vs. 익명성 무작위로 대입하는 복호화보다는 암호화가 비교할 수 없을 만큼 쉽다. 암호화를 신뢰하는 이유도 바로 여기에 있다. 하지만 익명성을 유지하지는 데에는 상당한 노력이 요구되기 때문에 모두가 익명성을 신뢰하지는 않는 것 같다. 흔히 프라이버시와 익명성을 혼용해서 사용하는데, 이는 잘못된 것이다. 암호화된 메시지는 발신자와 수신자 외에는 읽을 수 없어 프라이버시를 보호할 수는 있다. 하지만 암호화가 메타데이터를 보호하는 것은 아니라서 익명성까지 보호하는 것은 아니다. 대화 상대, 시기, 시간, 메시지 수, 첨부파일 크기, 소통의 유형(문자 메시지? 이메일? 음성통화? 음성 메시지? 화상통화?) 등 모든 정보가 암호화되는 것은 아니며, 요즘 보편화된 대중 감시 기기를 가진 수준 높은 해커가 쉽게 발견할 수 있다. 구체적인 기술 도구를 살펴보기 전에 내린 최종 결론: ‘온라인’은 이제 무의미한 단어다. 실제 생활 공간과 사이버 공간이 융합돼 있기 때문이다. 과거에는 사람들이 ‘실제 세계’에 살면서 ‘온라인을 방문’했다. 이제는 온라인에서 살며, 자신의 실제 생활 공간이 익명이 아니라면(요즘에는 거의 불가능) 스마트폰 위치 추적, 공공 물리 영역에서의 얼굴 인식 등으로 인해 ‘온라인 익명성’은 도움이 되지 않는다. 절대적으로 완전한 (하지만 실제로는 그렇지 않은) 익명성을 확보하기 위한 단계에 대해 알...

2020.02.13

강은성의 보안 아키텍트 | 정보보안 인력과 개발 중시 문화

작년 말에 정보보호 인력 양성 관련 간담회에 참석한 적이 있다. 담당 부처, 공공, 대학, 보안기업, 공공 및 일반기업 등 정보보호산업의 주요 이해관계자에서 주요 역할을 하시는 분들이 참석해서 오랜 시간 토론했다. 뾰족한 답은 찾지 못했지만, 정보보호 인력과 관련한 각 주체의 관점을 이해할 수 있는 좋은 자리였다. 사실 단기적인 답이 있으면 정보보호 인력 양성에 관한 화두가 10년이 넘도록 계속되지도 않았을 것이다.  ICT가 사회의 기반이 되고, 대다수 국민의 일상생활과 함께하는 우리나라에서는 정보보안 문제가 우리 사회의 근간을 흔들 수 있으므로, 정부는 정보보호산업법, 소프트웨어산업법 등을 근거로 정보보호시스템 분리 발주나 정보보호제품과 서비스의 적절한 대가 산정 등 정보보호산업의 성장을 위해 노력해 왔다.  정보보호 인력 확보를 위해 필요한 “정보보안산업(기업)의 성장 → 정보보안기업의 좋은 처우 → 좋은 인력의 확보·유지 → 정보보안산업(기업)의 성장”의 선순환 구조가 아직 정착하지는 못했지만, 그렇다고 해서 “영세한 정보보안산업 → 정보보안기업의 열악한 처우 → 좋은 인력 확보·유지의 어려움 → 정보보안산업 성장 저해”의 악순환 고리가 여전하다고 하는 것도 적절해 보이지 않는다. 사업이 제 궤도에 올랐다고 볼 수 있는 매출 100억 원 이상의 정보보안기업이나 멀리만 보였던 매출 1천억 원을 넘은 정보보안기업도 여럿 있기 때문이다. <표> 부문별-수준별 정보보호 업무인력 규모 (단위: 명) 보안업체: 정보보안기업과 물리보안기업을 포함 정보보호산업: 정보보안산업과 물리보안산업을 포함 출처: 과학기술정보통신부, 한국인터넷진흥원, 「2016년 정보보호 인력수급 실태조사」, 2017.8. 「2016년 정보보호 인력수급 실태조사」(과학기술정보통신부, 한국인터넷진흥원, 2017.8)에 따르면, 2016년 10월 현재 총 정보보호 업무인력 123,743명 중 정보보안기업(보안솔루션 공급자)에 39,928(32%)명, 공공...

Saas CIO CSO 컨설팅 CISO 강은성 정보보호산업 정보보안 인력

2020.02.13

작년 말에 정보보호 인력 양성 관련 간담회에 참석한 적이 있다. 담당 부처, 공공, 대학, 보안기업, 공공 및 일반기업 등 정보보호산업의 주요 이해관계자에서 주요 역할을 하시는 분들이 참석해서 오랜 시간 토론했다. 뾰족한 답은 찾지 못했지만, 정보보호 인력과 관련한 각 주체의 관점을 이해할 수 있는 좋은 자리였다. 사실 단기적인 답이 있으면 정보보호 인력 양성에 관한 화두가 10년이 넘도록 계속되지도 않았을 것이다.  ICT가 사회의 기반이 되고, 대다수 국민의 일상생활과 함께하는 우리나라에서는 정보보안 문제가 우리 사회의 근간을 흔들 수 있으므로, 정부는 정보보호산업법, 소프트웨어산업법 등을 근거로 정보보호시스템 분리 발주나 정보보호제품과 서비스의 적절한 대가 산정 등 정보보호산업의 성장을 위해 노력해 왔다.  정보보호 인력 확보를 위해 필요한 “정보보안산업(기업)의 성장 → 정보보안기업의 좋은 처우 → 좋은 인력의 확보·유지 → 정보보안산업(기업)의 성장”의 선순환 구조가 아직 정착하지는 못했지만, 그렇다고 해서 “영세한 정보보안산업 → 정보보안기업의 열악한 처우 → 좋은 인력 확보·유지의 어려움 → 정보보안산업 성장 저해”의 악순환 고리가 여전하다고 하는 것도 적절해 보이지 않는다. 사업이 제 궤도에 올랐다고 볼 수 있는 매출 100억 원 이상의 정보보안기업이나 멀리만 보였던 매출 1천억 원을 넘은 정보보안기업도 여럿 있기 때문이다. <표> 부문별-수준별 정보보호 업무인력 규모 (단위: 명) 보안업체: 정보보안기업과 물리보안기업을 포함 정보보호산업: 정보보안산업과 물리보안산업을 포함 출처: 과학기술정보통신부, 한국인터넷진흥원, 「2016년 정보보호 인력수급 실태조사」, 2017.8. 「2016년 정보보호 인력수급 실태조사」(과학기술정보통신부, 한국인터넷진흥원, 2017.8)에 따르면, 2016년 10월 현재 총 정보보호 업무인력 123,743명 중 정보보안기업(보안솔루션 공급자)에 39,928(32%)명, 공공...

2020.02.13

'위험 우선순위 정하고 최대한 방어···' 2020년 사이버보안 강령

IDG가 발행하는 IT전문 매체인 <CIO>, <컴퓨터월드>, <CSO>, <인포월드>, <네트워크월드>에서 최근 다룬 보안 동향을 중심으로 2020년 사이버보안 전망을 정리했다.    정보 관리 협회(Society for Information Management, SIM)가 매년 진행한 IT 동향 연구에 따르면, CIO가 꼽은 중요한 IT관리 문제에서 사이버보안은 2014년부터 1, 2위를 다툴 만큼 우선순위가 높은 것으로 나타났다.  하지만 2013년에는 달랐다. 같은 조사에서 사이버보안은 당시 7위에 그쳤다. 1년 사이에 무슨 일이 일어났을까? 미국 대형 유통회사인 타겟의 악명 높은 데이터 유출이 있었다. 이로 인해 타겟은 1,850만 달러의 벌금을 부과받았고 CEO는 불명예를 안고서 회사를 떠났다.  그 이후 타겟의 데이터 유출은 세간의 이목을 끄는 사건이 됐다. 메시지는 단순 명료하다. 위협의 수와 능력이 계속 증가함에 따라, 해마다 경영진의 퇴출을 부를 만한 유출 위험은 더 커진다는 점이다.  좌불안석 CSO들에겐 대책이 필요하다. 일부 사람들이 보안 소프트웨어 산업의 마케팅 전략에 바로 적용되는 포인트 솔루션으로 모든 새로운 위협에 달려들 수밖에 없다고 느끼는 것은 당연하다. 그러나 사이버보안 예산을 무한대로 쓸 수 있는 조직은 없다. 그렇다면 CSO는 방어 자원을 가장 효과적으로 배분할 방법을 결정할 수 있을까? 간단한 답은 2가지다. 위험의 우선순위를 합리적으로 정하고, 동시에 이미 실시하고 있는 유용한 방어를 최대한 활용하라. 대부분 조직에서 소프트웨어와 소셜 엔지니어링(피싱 포함)이 패치되지 않은 경우가 가장 높은 위험을 나타내고 있으며, 패스워드 크래킹과 소프트웨어의 잘못된 구성이 그 뒤를 이었다. 신속한 패치를 보장하기 위한 정치 및 운영상의 장벽을 제거하고, 효과적인 보안 인식 프로그램을 수립하며, 구성을 쉽게 변경하지 못하도록...

CIO 심층 방어 시큐어 코드 데이텅 유출 데브섹옵스 제로 트러스트 Society for Information Management DevSecOps 타겟 엔드포인트 방화벽 SIM 사이버보안 공격 CISO CSO 정보 관리 협회

2020.02.12

IDG가 발행하는 IT전문 매체인 <CIO>, <컴퓨터월드>, <CSO>, <인포월드>, <네트워크월드>에서 최근 다룬 보안 동향을 중심으로 2020년 사이버보안 전망을 정리했다.    정보 관리 협회(Society for Information Management, SIM)가 매년 진행한 IT 동향 연구에 따르면, CIO가 꼽은 중요한 IT관리 문제에서 사이버보안은 2014년부터 1, 2위를 다툴 만큼 우선순위가 높은 것으로 나타났다.  하지만 2013년에는 달랐다. 같은 조사에서 사이버보안은 당시 7위에 그쳤다. 1년 사이에 무슨 일이 일어났을까? 미국 대형 유통회사인 타겟의 악명 높은 데이터 유출이 있었다. 이로 인해 타겟은 1,850만 달러의 벌금을 부과받았고 CEO는 불명예를 안고서 회사를 떠났다.  그 이후 타겟의 데이터 유출은 세간의 이목을 끄는 사건이 됐다. 메시지는 단순 명료하다. 위협의 수와 능력이 계속 증가함에 따라, 해마다 경영진의 퇴출을 부를 만한 유출 위험은 더 커진다는 점이다.  좌불안석 CSO들에겐 대책이 필요하다. 일부 사람들이 보안 소프트웨어 산업의 마케팅 전략에 바로 적용되는 포인트 솔루션으로 모든 새로운 위협에 달려들 수밖에 없다고 느끼는 것은 당연하다. 그러나 사이버보안 예산을 무한대로 쓸 수 있는 조직은 없다. 그렇다면 CSO는 방어 자원을 가장 효과적으로 배분할 방법을 결정할 수 있을까? 간단한 답은 2가지다. 위험의 우선순위를 합리적으로 정하고, 동시에 이미 실시하고 있는 유용한 방어를 최대한 활용하라. 대부분 조직에서 소프트웨어와 소셜 엔지니어링(피싱 포함)이 패치되지 않은 경우가 가장 높은 위험을 나타내고 있으며, 패스워드 크래킹과 소프트웨어의 잘못된 구성이 그 뒤를 이었다. 신속한 패치를 보장하기 위한 정치 및 운영상의 장벽을 제거하고, 효과적인 보안 인식 프로그램을 수립하며, 구성을 쉽게 변경하지 못하도록...

2020.02.12

기고 | 항공 사이버보안 문제 해결, 왜 지체되나?

항공 사이버보안에 관한 대서양 협의회(Atlantic Council)의 새로운 보고서에 따르면, 항공 보안 상태가 취약하며 이 업계가 해당 문제의 심각성을 잘 이해하지 못하는 것으로 나타났다.     거대 선박 회사인 머스크는 2017년 낫페트야(NotPetya) 사보타지웨어에 감염되었고, 거의 5억 달러에 가까운 손해를 입었다. 머스크는 공격의 표적조차 아니었다. 이 같은 일이 항공에서도 일어날 수 있을까? 그럴 수 있다는 우려가 항공 업계에서 서서히 확산되고 있다. 머스크 공격에서는 업무가 타격을 입었지, 선박이 피해를 본 것은 아니었다. 그러나 보안 연구원인 크리스 쿠베카가 지난달 밝힌 바와 같이 항공 사이버 위험은 공중의 비행기로 확대된다.  대서양 협의회(Atlantic Council)는 항공 사이버보안에 관한 신규 보고서에서, 현대의 항공기는 ‘세계를 돌아다니는 하늘의 데이터 센터’이지만, 항공산업은 승객을 사이버보안 위험으로부터 보호할 방법을 제대로 알지 못한다고 밝혔다.  이제 위험을 제대로 이해하지 못한 채, 위험을 경감할 기술적 전문성이 없는 채, 그리고 충분한 재무적 또는 규제적 동기가 없는 채, 항공산업은 미래를 향해 비틀거리며 나아가고 있고 문제를 파악하는 동안 나쁜 일이 일어나지 않기만 바라고 있다.  항공산업은 문제에 맞설 준비가 되어 있지 않아 보인다. 대서양 협의회의 보고서는 문제 해결이 지체되고 있는 이유를 설명했다.  디지털화에 따른 위험과 보상  항공산업은 급속한 디지털화로부터 효율 개선을 얻고자 보안을 건너뛰었고, 이제서야 뒤를 돌아보며 보안 문제가 언제든지 자신을 괴롭힐 수 있음을 깨닫고 있다. 예를 들어 육상 시스템의 붕괴라든지 항공기의 악성코드 감염, 심지어 확률이 극히 낮기는 하지만 수백 또는 수천 대의 항공기가 동시에 영향을 받을 신종 보안 침해 같은 것들이다.   컴퓨터 혁신을 좋아하지 않는 사람이라면 아날로그를 팽개친 것이 실...

CSO 낫페트야 머스크 페트야 익스플로잇 디지털 변혁 선박 비행기 사이버보안 항공 취약점 CISO 사보타지웨어

2019.12.19

항공 사이버보안에 관한 대서양 협의회(Atlantic Council)의 새로운 보고서에 따르면, 항공 보안 상태가 취약하며 이 업계가 해당 문제의 심각성을 잘 이해하지 못하는 것으로 나타났다.     거대 선박 회사인 머스크는 2017년 낫페트야(NotPetya) 사보타지웨어에 감염되었고, 거의 5억 달러에 가까운 손해를 입었다. 머스크는 공격의 표적조차 아니었다. 이 같은 일이 항공에서도 일어날 수 있을까? 그럴 수 있다는 우려가 항공 업계에서 서서히 확산되고 있다. 머스크 공격에서는 업무가 타격을 입었지, 선박이 피해를 본 것은 아니었다. 그러나 보안 연구원인 크리스 쿠베카가 지난달 밝힌 바와 같이 항공 사이버 위험은 공중의 비행기로 확대된다.  대서양 협의회(Atlantic Council)는 항공 사이버보안에 관한 신규 보고서에서, 현대의 항공기는 ‘세계를 돌아다니는 하늘의 데이터 센터’이지만, 항공산업은 승객을 사이버보안 위험으로부터 보호할 방법을 제대로 알지 못한다고 밝혔다.  이제 위험을 제대로 이해하지 못한 채, 위험을 경감할 기술적 전문성이 없는 채, 그리고 충분한 재무적 또는 규제적 동기가 없는 채, 항공산업은 미래를 향해 비틀거리며 나아가고 있고 문제를 파악하는 동안 나쁜 일이 일어나지 않기만 바라고 있다.  항공산업은 문제에 맞설 준비가 되어 있지 않아 보인다. 대서양 협의회의 보고서는 문제 해결이 지체되고 있는 이유를 설명했다.  디지털화에 따른 위험과 보상  항공산업은 급속한 디지털화로부터 효율 개선을 얻고자 보안을 건너뛰었고, 이제서야 뒤를 돌아보며 보안 문제가 언제든지 자신을 괴롭힐 수 있음을 깨닫고 있다. 예를 들어 육상 시스템의 붕괴라든지 항공기의 악성코드 감염, 심지어 확률이 극히 낮기는 하지만 수백 또는 수천 대의 항공기가 동시에 영향을 받을 신종 보안 침해 같은 것들이다.   컴퓨터 혁신을 좋아하지 않는 사람이라면 아날로그를 팽개친 것이 실...

2019.12.19

AV-TEST 인스티튜트 선정 '우수 바이러스 백신 SW 12선'

AV-TEST 인스티튜트가 방어, 성능, 유용성, 3가지 기준으로 윈도우 10 클라이언트 바이러스 백신 제품을 테스트해 높은 점수를 받은 12개 툴을 공개했다.  AV-TEST 인스티튜트는 최근 가장 인기 있는 윈도우 10 클라이언트 바이러스 백신 제품을 방어, 성능, 유용성이라는 3가지 기본 기준으로 테스트했다. 테스트한 18개 제품 중 각 기준에서 6점 만점을 받은 5개 제품은 다음과 같다. • 비트디펜더 엔드포인트 시큐리티 • 카스퍼스키 스몰 오피스 시큐티리 • 카스퍼스키 엔드포인트 시큐리티 • 시만텍 엔드포인트 프로텍션 • 시만텍 엔드포인트 프로텍션 클라우드 여기에 소개한 상위 12개의 바이러스 백신 제품은 알파벳순으로 나타냈으며, 최소 17.5점을 받았다. AV-TEST 인스티튜트 웹 사이트에서 전체 결과를 내려받을 수 있다.   바이러스 백신 테스트 결과 활용법 이 테스트는 랩 환경에서 수행됐기 때문에 실제 위협 모델이 아래 나열된 각 제품에 대해 엔터프라이즈 시스템마다 다른 결과가 나타날 수 있다. 다시 말해, 실험실에서 탐지율이 100%였다고 해서 해당 제품이 네트워크의 모든 바이러스 위협을 탐지한다는 의미는 아니다. 이러한 차이를 보이는 한 가지 이유는 새로 제출된 악성코드 표본이 지정된 바이러스 백신 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-TEST 결과에 따르면 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 바이러스 백신 제품이 시스템 성능에 미치는 영향은 가장 적었다. 이는 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. 윈도우 10 바이러스 백신 툴 12선 1. 어베스트 비즈니스 안티바이러스 프로 플러스 19.6과 19.7 어베스트 비즈니스 안티바이러스 프로 플러스(Avast Business Antivirus Pro Plus)는 제로데이 악성코드 공격을 막는 데 완벽한 점수를 받았으며 지난 4주 동안 발견된 악성코드의 99.4%를 차단했다. 표준 PC에서 평균보다...

CSO 안티바이러스 백신 AV-TEST 인스티튜트 비트디펜더 엔드포인트 시큐리티 시만텍 엔드포인트 프로텍션 시만텍 엔드포인트 프로텍션 클라우드 카스퍼스키 스몰 오피스 시큐티리 카스퍼스키 엔드포인트 시큐리티

2019.12.13

AV-TEST 인스티튜트가 방어, 성능, 유용성, 3가지 기준으로 윈도우 10 클라이언트 바이러스 백신 제품을 테스트해 높은 점수를 받은 12개 툴을 공개했다.  AV-TEST 인스티튜트는 최근 가장 인기 있는 윈도우 10 클라이언트 바이러스 백신 제품을 방어, 성능, 유용성이라는 3가지 기본 기준으로 테스트했다. 테스트한 18개 제품 중 각 기준에서 6점 만점을 받은 5개 제품은 다음과 같다. • 비트디펜더 엔드포인트 시큐리티 • 카스퍼스키 스몰 오피스 시큐티리 • 카스퍼스키 엔드포인트 시큐리티 • 시만텍 엔드포인트 프로텍션 • 시만텍 엔드포인트 프로텍션 클라우드 여기에 소개한 상위 12개의 바이러스 백신 제품은 알파벳순으로 나타냈으며, 최소 17.5점을 받았다. AV-TEST 인스티튜트 웹 사이트에서 전체 결과를 내려받을 수 있다.   바이러스 백신 테스트 결과 활용법 이 테스트는 랩 환경에서 수행됐기 때문에 실제 위협 모델이 아래 나열된 각 제품에 대해 엔터프라이즈 시스템마다 다른 결과가 나타날 수 있다. 다시 말해, 실험실에서 탐지율이 100%였다고 해서 해당 제품이 네트워크의 모든 바이러스 위협을 탐지한다는 의미는 아니다. 이러한 차이를 보이는 한 가지 이유는 새로 제출된 악성코드 표본이 지정된 바이러스 백신 제품의 데이터베이스로 만들어지는 데 며칠이 걸릴 수 있기 때문이다. AV-TEST 결과에 따르면 악성코드 탐지의 기본 요소에 가장 적합한 윈도우 바이러스 백신 제품이 시스템 성능에 미치는 영향은 가장 적었다. 이는 환경에 가장 적합한 제품을 평가할 때 좋은 출발점이 된다. 윈도우 10 바이러스 백신 툴 12선 1. 어베스트 비즈니스 안티바이러스 프로 플러스 19.6과 19.7 어베스트 비즈니스 안티바이러스 프로 플러스(Avast Business Antivirus Pro Plus)는 제로데이 악성코드 공격을 막는 데 완벽한 점수를 받았으며 지난 4주 동안 발견된 악성코드의 99.4%를 차단했다. 표준 PC에서 평균보다...

2019.12.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6