Offcanvas

���������

기고ㅣ모바일 보안이 심각한 진짜 이유는 따로 있다

버라이즌의 최근 데이터 유출 조사 보고서(Data Breach Investigations Report)가 ‘모바일 그 자체가 보안 위험을 초래한다’는 주장을 내놨다.  많은 보안 전문가들이 오랫동안 '모바일'과 '보안'이 양립되기엔 모순적인 측면이 있다고 언급해왔다. 하지만 오늘날 기업 내 모바일 디바이스 사용이 급증한다는 점에서 이러한 소극적 태도가 오히려 모순적으로 보인다.    오늘날 지식근로자가 전체 업무 시간의 98%에서 모바일 디바이스를 사용해 일을 하고 있는 것으로 추정되고 있다. 물론 노트북도 여전히 포함돼 있다. (엄밀히 따지면 노트북도 모바일 디바이스로 간주할 수 있다.) 노트북의 큰 화면과 키보드 때문인데, 그마저도 앞으로 3년 후면 무의미해질 것으로 예측된다. 이는 곧 모바일 보안이 무엇보다 우선돼야 한다는 것을 의미한다. 지금까지는 대개 엔터프라이즈급 모바일 VPN과 백신 그리고 안전한 통신방식(ex_시그널) 등으로 모바일 보안에 대응해 왔다.  그런데 2019 버라이즌 데이터 유출 조사 보고서가 지금까지와는 다른 주장을 제기했다. 무선 네트워크와는 별개로 모바일 그 자체가 보안 위험을 일으킨다는 것이다. 보고서에 따르면 모바일은 기술적 공격이 아닌 ‘소셜 엔지니어링 공격’에 훨씬 더 취약하다. 이를테면 SNS나 이메일을 통한 스피어 피싱, 정상적인 웹페이지를 가장한 스푸핑 공격 등이다.  모바일이 소셜 엔지니어링 공격에 취약한 이유는 ‘디바이스 디자인’과 ‘사람들의 사용 습관’ 때문이라고 보고서는 밝혔다. 우선, 디자인을 살펴보자. 비교적 화면이 작은 모바일 디바이스는 확인할 수 있는 내용이 제한된다. 또한 여러 개의 페이지를 나란히 보기 어렵고, 왔다 갔다 해야 한다. 즉, 모바일에서는 각종 이메일과 알림의 진위를 확인하기가 번거롭다.  또한 모바일 운영체제와 앱이 이메일이나 웹페이지가 가짜인지 확인하는 데 필요한 정보의 가용성을 제한하고 있다고 보고서는 지적했다.&...

모바일 사회공학적 사이버 공격 모바일보안 웹페이지 스푸핑 인증서 데이터유출 피싱 운영체제 이메일 노트북 보안 스마트폰 데이터 모바일디바이스

2020.02.20

버라이즌의 최근 데이터 유출 조사 보고서(Data Breach Investigations Report)가 ‘모바일 그 자체가 보안 위험을 초래한다’는 주장을 내놨다.  많은 보안 전문가들이 오랫동안 '모바일'과 '보안'이 양립되기엔 모순적인 측면이 있다고 언급해왔다. 하지만 오늘날 기업 내 모바일 디바이스 사용이 급증한다는 점에서 이러한 소극적 태도가 오히려 모순적으로 보인다.    오늘날 지식근로자가 전체 업무 시간의 98%에서 모바일 디바이스를 사용해 일을 하고 있는 것으로 추정되고 있다. 물론 노트북도 여전히 포함돼 있다. (엄밀히 따지면 노트북도 모바일 디바이스로 간주할 수 있다.) 노트북의 큰 화면과 키보드 때문인데, 그마저도 앞으로 3년 후면 무의미해질 것으로 예측된다. 이는 곧 모바일 보안이 무엇보다 우선돼야 한다는 것을 의미한다. 지금까지는 대개 엔터프라이즈급 모바일 VPN과 백신 그리고 안전한 통신방식(ex_시그널) 등으로 모바일 보안에 대응해 왔다.  그런데 2019 버라이즌 데이터 유출 조사 보고서가 지금까지와는 다른 주장을 제기했다. 무선 네트워크와는 별개로 모바일 그 자체가 보안 위험을 일으킨다는 것이다. 보고서에 따르면 모바일은 기술적 공격이 아닌 ‘소셜 엔지니어링 공격’에 훨씬 더 취약하다. 이를테면 SNS나 이메일을 통한 스피어 피싱, 정상적인 웹페이지를 가장한 스푸핑 공격 등이다.  모바일이 소셜 엔지니어링 공격에 취약한 이유는 ‘디바이스 디자인’과 ‘사람들의 사용 습관’ 때문이라고 보고서는 밝혔다. 우선, 디자인을 살펴보자. 비교적 화면이 작은 모바일 디바이스는 확인할 수 있는 내용이 제한된다. 또한 여러 개의 페이지를 나란히 보기 어렵고, 왔다 갔다 해야 한다. 즉, 모바일에서는 각종 이메일과 알림의 진위를 확인하기가 번거롭다.  또한 모바일 운영체제와 앱이 이메일이나 웹페이지가 가짜인지 확인하는 데 필요한 정보의 가용성을 제한하고 있다고 보고서는 지적했다.&...

2020.02.20

'인증서 갱신을 안 해서···' MS, 팀즈 장애 '망신살'

마이크로소프트 팀즈(Teams) 사용자가 2시간 이상 이 협업 앱에 로그인하지 못하는 장애가 발생했다. 지난 3일의 상황으로, 인증서가 만기 됐기 때문으로 나타났다. 이번 장애는 기업 협업 시장에서 슬랙(Slack)과 경쟁하고 있는 마이크로소프트에 타격이 될 전망이다. 마이크로소프트에 따르면, 팀즈는 11월 기준 하루 활성 사용자가 2,000만 명이 넘는다. 네머테즈 리서치(Nemertes Research)의 부사장이자 서비스 디렉터인 네어윈 라자는 "이번 장애는 명백하게 마이크로소프트의 망신이다. 지난 몇 년간 슬랙의 장애를 비판하며 안정성을 강조해 왔기 때문이다. 특히 마이크로소프트가 인증서를 갱신하지 않았다는 것은 충격적이다. 팀즈가 매우 빠르게 성장함에 따라 앞으로 발생할 수 있는 장애를 막기 위해서는 운영 이슈에 더 집중해야 한다"라고 말했다. 실제로 이번 장애에 대한 즉각적인 대응은 점점 더 많은 사람이 팀 메시지 툴로 팀즈를 사용하고 있고, 팀즈의 중요성이 커지고 있음을 보여주는 지표다. 가트너의 리서치 디렉터 레리 커넬은 "서비스 장애는 그 서비스의 대중성과 중요성을 확인하는 가장 좋은 지표다. 물론 추천하는 방법은 아니다"라고 말했다. SSL 인증서는 웹 브라우저 혹은 앱과 서버 간의 보안 연결에 필수적이고 HTTPS 지원 사이트에 필요하다. 데이터를 암호화하는 중간자 공격(man-in-the-middle attacks) 같은 보안 위험으로부터 사용자를 보호한다. 이 인증서가 만료되면 서버는 인증할 수 없고 정보를 보낼 수 없는데, 팀즈의 장애도 바로 이런 과정을 통해 발생했다. 커넬은 "마이크로소프트가 이번 실패에서 많은 것을 배웠기를 바란다. 이런 일이 다시는 발생하지 않도록 관련 절차를 변경해야 한다"라고 말했다. 다운디텍터(Downdetector) 웹사이트에 따르면, 이번 사고는 미국 동부(ET) 기준 오전 8시 50분에 발생했다. 마이크로소프트는 9시 19분이 돼서야 마이크로소프트 365 스테이터스 트위터 계정을 통해 장애 ...

장애 인증서 팀스 팀즈

2020.02.06

마이크로소프트 팀즈(Teams) 사용자가 2시간 이상 이 협업 앱에 로그인하지 못하는 장애가 발생했다. 지난 3일의 상황으로, 인증서가 만기 됐기 때문으로 나타났다. 이번 장애는 기업 협업 시장에서 슬랙(Slack)과 경쟁하고 있는 마이크로소프트에 타격이 될 전망이다. 마이크로소프트에 따르면, 팀즈는 11월 기준 하루 활성 사용자가 2,000만 명이 넘는다. 네머테즈 리서치(Nemertes Research)의 부사장이자 서비스 디렉터인 네어윈 라자는 "이번 장애는 명백하게 마이크로소프트의 망신이다. 지난 몇 년간 슬랙의 장애를 비판하며 안정성을 강조해 왔기 때문이다. 특히 마이크로소프트가 인증서를 갱신하지 않았다는 것은 충격적이다. 팀즈가 매우 빠르게 성장함에 따라 앞으로 발생할 수 있는 장애를 막기 위해서는 운영 이슈에 더 집중해야 한다"라고 말했다. 실제로 이번 장애에 대한 즉각적인 대응은 점점 더 많은 사람이 팀 메시지 툴로 팀즈를 사용하고 있고, 팀즈의 중요성이 커지고 있음을 보여주는 지표다. 가트너의 리서치 디렉터 레리 커넬은 "서비스 장애는 그 서비스의 대중성과 중요성을 확인하는 가장 좋은 지표다. 물론 추천하는 방법은 아니다"라고 말했다. SSL 인증서는 웹 브라우저 혹은 앱과 서버 간의 보안 연결에 필수적이고 HTTPS 지원 사이트에 필요하다. 데이터를 암호화하는 중간자 공격(man-in-the-middle attacks) 같은 보안 위험으로부터 사용자를 보호한다. 이 인증서가 만료되면 서버는 인증할 수 없고 정보를 보낼 수 없는데, 팀즈의 장애도 바로 이런 과정을 통해 발생했다. 커넬은 "마이크로소프트가 이번 실패에서 많은 것을 배웠기를 바란다. 이런 일이 다시는 발생하지 않도록 관련 절차를 변경해야 한다"라고 말했다. 다운디텍터(Downdetector) 웹사이트에 따르면, 이번 사고는 미국 동부(ET) 기준 오전 8시 50분에 발생했다. 마이크로소프트는 9시 19분이 돼서야 마이크로소프트 365 스테이터스 트위터 계정을 통해 장애 ...

2020.02.06

“치명적인 수준을 넘어서는 취약점” 미 NSA, 윈도우 서버 즉각 패치 권고

마이크로소프트의 이번 달 화요일 패치에는 무려 49가지 허점을 메울 방안이 포함되어 있는데, 이 중 하나는 ‘치명적인’ 수준을 넘어서는 취약점이다. 윈도우 서버 2016이나 2019를 구동하는 기업은 가능한 한 빨리 패치를 적용하는 것이 필수적이다.   미 NSA는 패치가 나온 당일, 윈도우 서버 취약점 하나를 공개했다. NSA가 허점을 찾은 것은 수개월 전이지만, 마이크로소프트가 패치를 준비할 때까지 공개를 미룬 것으로 보인다. 취약점을 공개하는 것은 NSA는 물론 어느 누구의 책임도 아니며, 소프트웨어 업체에 패치를 만들 시간을 주는 것 역시 마찬가지다. 이번 취약점은 crypt32.dll에서 발견됐다. 이 모듈은 윈도우 NT 4.0부터 데스크톱과 서버용 윈도우 모두에 사용됐기 때문에 20년도 넘은 모듈이다. 마이크로소프트는 이 라이브러리가 CryptoAPI에서 인증과 암호화 메시지 기능을 처리한다고 설명했다. CryptoAPI는 개발자가 암호를 사용하는 안전한 윈도우 기반 애플리케이션을 개발할 수 있는 서비스를 제공하며, 여기에는 윈도우 환경에서 신뢰의 주된 요소가 되는 디지털 인증서 사용도 포함된다. 사용자는 개발자가 디지털 서명하지 않은 앱을 배제할 수 있다. 해커는 디지털 서명을 속이는 결함을 이용해 악성 소프트웨어를 위한 가짜 인증서를 발급할 수 있다. 따라서 이 취약점의 중요성은 너무나 분명하다. 악의적인 소프트웨어가 윈도우 보안의 중심 수문장을 사용해 컴퓨터에 설치될 수 있다는 것이다. 이 취약점은 윈도우 10 코드 기반에만 영향을 미치기 때문에 윈도우 10, 윈도우 서버 2016, 윈도우 서버 2019 시스템만 영향을 받는다. NSA는 권고안을 발표하며 이 취약점이 좀 더 광범위한 영역의 보안에 악영향을 미칠 수 있다고 지적했다. 이 취약점을 악용하면 “공격자가 신뢰할 수 있는 네트워크 연결을 깨고 적법하고 믿을 수 있는 개체처럼 보이면서 실행 가능한 코드를 전달할 수 있다”는 설명이다. 또 “NSA는 이 취약점이 심각하...

암호화 취약점 패치 NSA 인증서

2020.01.22

마이크로소프트의 이번 달 화요일 패치에는 무려 49가지 허점을 메울 방안이 포함되어 있는데, 이 중 하나는 ‘치명적인’ 수준을 넘어서는 취약점이다. 윈도우 서버 2016이나 2019를 구동하는 기업은 가능한 한 빨리 패치를 적용하는 것이 필수적이다.   미 NSA는 패치가 나온 당일, 윈도우 서버 취약점 하나를 공개했다. NSA가 허점을 찾은 것은 수개월 전이지만, 마이크로소프트가 패치를 준비할 때까지 공개를 미룬 것으로 보인다. 취약점을 공개하는 것은 NSA는 물론 어느 누구의 책임도 아니며, 소프트웨어 업체에 패치를 만들 시간을 주는 것 역시 마찬가지다. 이번 취약점은 crypt32.dll에서 발견됐다. 이 모듈은 윈도우 NT 4.0부터 데스크톱과 서버용 윈도우 모두에 사용됐기 때문에 20년도 넘은 모듈이다. 마이크로소프트는 이 라이브러리가 CryptoAPI에서 인증과 암호화 메시지 기능을 처리한다고 설명했다. CryptoAPI는 개발자가 암호를 사용하는 안전한 윈도우 기반 애플리케이션을 개발할 수 있는 서비스를 제공하며, 여기에는 윈도우 환경에서 신뢰의 주된 요소가 되는 디지털 인증서 사용도 포함된다. 사용자는 개발자가 디지털 서명하지 않은 앱을 배제할 수 있다. 해커는 디지털 서명을 속이는 결함을 이용해 악성 소프트웨어를 위한 가짜 인증서를 발급할 수 있다. 따라서 이 취약점의 중요성은 너무나 분명하다. 악의적인 소프트웨어가 윈도우 보안의 중심 수문장을 사용해 컴퓨터에 설치될 수 있다는 것이다. 이 취약점은 윈도우 10 코드 기반에만 영향을 미치기 때문에 윈도우 10, 윈도우 서버 2016, 윈도우 서버 2019 시스템만 영향을 받는다. NSA는 권고안을 발표하며 이 취약점이 좀 더 광범위한 영역의 보안에 악영향을 미칠 수 있다고 지적했다. 이 취약점을 악용하면 “공격자가 신뢰할 수 있는 네트워크 연결을 깨고 적법하고 믿을 수 있는 개체처럼 보이면서 실행 가능한 코드를 전달할 수 있다”는 설명이다. 또 “NSA는 이 취약점이 심각하...

2020.01.22

"파이어폭스 애드온 먹통"··· 모질라, 대규모 장애 사과

인증서가 만료돼 사용자 대부분이 파이어폭스 애드온을 사용하지 못한 이달 초 장애에 대해 모질라가 공식 사과했다.  파이어폭스 엔지니어링 담당 임원인 조 힐데브랜드는 최근 회사 블로그를 통해 "우리는 파이어폭스의 사용성을 개선하기 위해 노력해 왔다. 하지만 최근 장애로 사용자를 실망하게 했고 우리에 대한 신뢰가 흔들렸다. 사과한다. 그러나 이번 실수를 만회할 기회를 주기를 기대한다"라고 밝혔다. 이번 장애는 5월 3일 오후 9시부터 시작됐다. 파이어폭스 확장기능 서명에 사용하는 인증서가 만료됐기 때문이다. 모질라가 인증서를 갱신하지 않으면서 파이어폭스가 애드온을 신뢰할 수 없는 것으로 간주하고, 즉 잠재적인 악성코드로 판단하고 기존에 사용하던 모든 애드온을 사용하지 못하도록 막았다. 같은 이유로 애드온을 추가하는 것도 불가능했다. 사용자 항의가 빗발치자 모질라는 스터디즈 시스템((Studies system)을 통해 응급조치에 나섰다. 이 시스템은 그동안 테스트 코드를 소스의 사용자에게 배포하거나 스폰서 콘텐츠에 대한 반응을 수집하는 데 사용됐다. 그러나 이 방식 역시 모든 사용자에 해당하는 것이 아니어서 5월 5일부터 7일까지 모질라는 2번의 업데이트를 내놨다. 66.0.4와 66.0.5 버전에서 인증서 체인 문제가 해결됐다. 힐데브랜드는 이번 장애의 구체적인 내용에 대해서는 밝히지 않았다. 대신 그 해답은 파이어폭스의 CTO(chief technology officer) 에릭 리스콜라가 내놨다. 그는 파이어폭스 애드온의 디지털 서명 방식을 설명하고 이번 사건의 발생 원인과 일부 사용자가 오랜 기간 동안 애드온 장애 공지를 받지 못한 이유를 해명했다. 또한, 모질라 엔지니어가 문제를 해결한 절차와 향후 계획에 대해 밝혔다. 리스콜라는 "우리는 장애 당시에 여러 해법이 잘 작동할지 확신하지 못했다. 그래서 여러 방법을 동시에 사용하기로 했다. 먼저 잘 통하는 것처럼 보이는 방법을 처음 적용했고, 같은 날 두 번째 방...

브라우저 파이어폭스 모질라 애드온 인증서 확장기능 익스텐션

2019.05.14

인증서가 만료돼 사용자 대부분이 파이어폭스 애드온을 사용하지 못한 이달 초 장애에 대해 모질라가 공식 사과했다.  파이어폭스 엔지니어링 담당 임원인 조 힐데브랜드는 최근 회사 블로그를 통해 "우리는 파이어폭스의 사용성을 개선하기 위해 노력해 왔다. 하지만 최근 장애로 사용자를 실망하게 했고 우리에 대한 신뢰가 흔들렸다. 사과한다. 그러나 이번 실수를 만회할 기회를 주기를 기대한다"라고 밝혔다. 이번 장애는 5월 3일 오후 9시부터 시작됐다. 파이어폭스 확장기능 서명에 사용하는 인증서가 만료됐기 때문이다. 모질라가 인증서를 갱신하지 않으면서 파이어폭스가 애드온을 신뢰할 수 없는 것으로 간주하고, 즉 잠재적인 악성코드로 판단하고 기존에 사용하던 모든 애드온을 사용하지 못하도록 막았다. 같은 이유로 애드온을 추가하는 것도 불가능했다. 사용자 항의가 빗발치자 모질라는 스터디즈 시스템((Studies system)을 통해 응급조치에 나섰다. 이 시스템은 그동안 테스트 코드를 소스의 사용자에게 배포하거나 스폰서 콘텐츠에 대한 반응을 수집하는 데 사용됐다. 그러나 이 방식 역시 모든 사용자에 해당하는 것이 아니어서 5월 5일부터 7일까지 모질라는 2번의 업데이트를 내놨다. 66.0.4와 66.0.5 버전에서 인증서 체인 문제가 해결됐다. 힐데브랜드는 이번 장애의 구체적인 내용에 대해서는 밝히지 않았다. 대신 그 해답은 파이어폭스의 CTO(chief technology officer) 에릭 리스콜라가 내놨다. 그는 파이어폭스 애드온의 디지털 서명 방식을 설명하고 이번 사건의 발생 원인과 일부 사용자가 오랜 기간 동안 애드온 장애 공지를 받지 못한 이유를 해명했다. 또한, 모질라 엔지니어가 문제를 해결한 절차와 향후 계획에 대해 밝혔다. 리스콜라는 "우리는 장애 당시에 여러 해법이 잘 작동할지 확신하지 못했다. 그래서 여러 방법을 동시에 사용하기로 했다. 먼저 잘 통하는 것처럼 보이는 방법을 처음 적용했고, 같은 날 두 번째 방...

2019.05.14

칼럼 | '볼모가 된 사용자' 애플과 페이스북, 구글의 분쟁 이후

지난 주, 몇 시간 동안 인터넷 전체가 숨을 죽였다. 페이스북이 애플의 엔터프라이즈 디벨로퍼 프로그램(Enterprise Developer Program) 규칙을 무시하고 데이터를 수집하는 “리서치(Research)” 앱을 무차별적으로 사용했다는 테크크런치(TechCrunch)의 보도가 나온 후, 구글 역시 비슷한 행동을 해왔다는 사실이 밝혀졌기 때문이다. 두 업체 모두 아이폰 사용자를 통해 애플이 외부에 공개하지 않는 가치 있는 데이터를 수집하고 있었다. 애플은 어떤 식으로든 대응을 해야 했다. 페이스북과 구글은 애플의 가이드라인을 공개적으로 무시했을 뿐만 아니라, 사람들이 아이폰을 사용하는 형태와 시점, 장소에 대한 대량의 데이터를 수집함으로써 엄격하기로 유명한 애플의 개인정보보호 규칙을 교묘히 피해왔기 때문이다. 가장 중요한 점은 두 업체가 “아이폰에서 일어난 일은 아이폰 안에만 머문다”는 애플의 공개적인 약속을 철저히 무시했다는 점이다. 페이스북과 구글이 그렇게 해왔다면 얼마나 많은 다른 업체가 해왔다는 것일까? 만일 문제의 업체가 페이스북이나 구글이 아니라 규모가 작은 곳이었다면, 애플은 그 기업의 모든 앱을 스토어에서 퇴출시키고, 개발자 기업 인증서 외에 그 회사의 애플 개발자 프로그램 멤버십과 iOS 배포 인증서도 해지했을 것이다. 저수준 액세스는 결국 복원되겠지만 애플은 이러한 행동은 용납할 수 없다는 메시지를 명확히 보여주기 위해서라도 기업 프로그램에는 영구적으로 다시 받아주지 않았을 것이다. 그러나 페이스북과 구글에 적용되는 기준은 다르다. 이유가 무엇일까? 사용자들이다. 두 업체의 서비스를 매일 사용하는 수많은 사람들이 이유다. 결국 애플이 택한 길은 저항이 가장 적은 길이다. 몇 시간 동안 기업 개발자 인증서의 효력을 정지해서 페이스북과 구글이 각자의 내부 iOS 앱을 실행할 수 없도록 했다. 애플에는 사실상 다른 선택안이 없었기 때문이다. 소동이 가라앉은 후 세 업체는 각자 필요한 것을...

구글 페이스북 애플 가이드라인 리서치 인증서

2019.02.11

지난 주, 몇 시간 동안 인터넷 전체가 숨을 죽였다. 페이스북이 애플의 엔터프라이즈 디벨로퍼 프로그램(Enterprise Developer Program) 규칙을 무시하고 데이터를 수집하는 “리서치(Research)” 앱을 무차별적으로 사용했다는 테크크런치(TechCrunch)의 보도가 나온 후, 구글 역시 비슷한 행동을 해왔다는 사실이 밝혀졌기 때문이다. 두 업체 모두 아이폰 사용자를 통해 애플이 외부에 공개하지 않는 가치 있는 데이터를 수집하고 있었다. 애플은 어떤 식으로든 대응을 해야 했다. 페이스북과 구글은 애플의 가이드라인을 공개적으로 무시했을 뿐만 아니라, 사람들이 아이폰을 사용하는 형태와 시점, 장소에 대한 대량의 데이터를 수집함으로써 엄격하기로 유명한 애플의 개인정보보호 규칙을 교묘히 피해왔기 때문이다. 가장 중요한 점은 두 업체가 “아이폰에서 일어난 일은 아이폰 안에만 머문다”는 애플의 공개적인 약속을 철저히 무시했다는 점이다. 페이스북과 구글이 그렇게 해왔다면 얼마나 많은 다른 업체가 해왔다는 것일까? 만일 문제의 업체가 페이스북이나 구글이 아니라 규모가 작은 곳이었다면, 애플은 그 기업의 모든 앱을 스토어에서 퇴출시키고, 개발자 기업 인증서 외에 그 회사의 애플 개발자 프로그램 멤버십과 iOS 배포 인증서도 해지했을 것이다. 저수준 액세스는 결국 복원되겠지만 애플은 이러한 행동은 용납할 수 없다는 메시지를 명확히 보여주기 위해서라도 기업 프로그램에는 영구적으로 다시 받아주지 않았을 것이다. 그러나 페이스북과 구글에 적용되는 기준은 다르다. 이유가 무엇일까? 사용자들이다. 두 업체의 서비스를 매일 사용하는 수많은 사람들이 이유다. 결국 애플이 택한 길은 저항이 가장 적은 길이다. 몇 시간 동안 기업 개발자 인증서의 효력을 정지해서 페이스북과 구글이 각자의 내부 iOS 앱을 실행할 수 없도록 했다. 애플에는 사실상 다른 선택안이 없었기 때문이다. 소동이 가라앉은 후 세 업체는 각자 필요한 것을...

2019.02.11

칼럼 | 인증서 오류, 구글이 어설펐다

최근 필자는 온라인 비밀번호를 업데이트하면서 크롬을 이용해 케이블 제공업체의 웹사이트인 브라이트하우스닷컴(Brighthouse.com)에 접속했다. 그런데 디지털 인증서에 오류가 발생했다. 지난 몇 년간 디지털 인증서 오류가 발생하는 사례가 줄어들었는데, 왜 이런 일이 발생한 것일까? 무엇보다 오류가 발생한 인증서는 꽤 큰 회사가 사용하는 인증서였다. 컴퓨터 보안에 취약점이 있는지 모를 수도 있는 작은 회사가 아니었다. 여러 이유에서 궁금증이 생겼다.    필자는 인증서에 문제가 있는 URL을 가리키는 ‘안전하지 않음(Not Secure)’을 클릭했다. 가능하다면 어디에서 오류가 발생했는지 확인하기 위해 디지털 인증서를 더 자세히 보기 위해서였다. 필자는 퍼블릭 키 인프라(PKI)와 디지털 인증서 분야에서 20년 넘게 일했다. 오류에 대해 파악하고, 누가 어떤 실수를 저질렀는지 알고 싶었다. 구글 조사 결과를 보면, PKI와 디지털 인증서에 대해 더 많이 알수록 디지털 인증서 오류를 무시하고, 이런 오류가 발생한 웹사이트에 그냥 접속하는 경우가 더 많다(부정적인 행동이 될 수 있다). 이로 인해, 몇 년 동안 구글과 마이크로소프트는 디지털 인증서 오류가 발생한 경우 디지털 인증서에 대한 정보를 더 적게 제공하기 시작했다. 다행히 두 회사 모두 이제는 이렇게 하지 않는 것으로 보인다. 필자처럼 디지털 인증서를 잘 아는 사람들이 원할 때 더 자세히 조사할 수 있도록 지원하는 것이다.   필자는 문제가 된 디지털 인증서를 열어 조사했다. 그 결과 간단히 말해 어떤 오류나 실수도 발견할 수 없었다. 최소한 바로 눈에 띄는 오류나 실수는 없었다. SHA1이 아닌 SHA 256을 사용하고 있었고, 키는 1024비트가 아닌 2048비트 RSA 키였다. 방문한 웹사이트 페이지의 인증서 이름은 *.brighthouse.com으로 올바르게 되어 있었다. 그리고 아래 대체할 이름(SAN: Subject Alternative...

구글 오류 인증서

2018.11.26

최근 필자는 온라인 비밀번호를 업데이트하면서 크롬을 이용해 케이블 제공업체의 웹사이트인 브라이트하우스닷컴(Brighthouse.com)에 접속했다. 그런데 디지털 인증서에 오류가 발생했다. 지난 몇 년간 디지털 인증서 오류가 발생하는 사례가 줄어들었는데, 왜 이런 일이 발생한 것일까? 무엇보다 오류가 발생한 인증서는 꽤 큰 회사가 사용하는 인증서였다. 컴퓨터 보안에 취약점이 있는지 모를 수도 있는 작은 회사가 아니었다. 여러 이유에서 궁금증이 생겼다.    필자는 인증서에 문제가 있는 URL을 가리키는 ‘안전하지 않음(Not Secure)’을 클릭했다. 가능하다면 어디에서 오류가 발생했는지 확인하기 위해 디지털 인증서를 더 자세히 보기 위해서였다. 필자는 퍼블릭 키 인프라(PKI)와 디지털 인증서 분야에서 20년 넘게 일했다. 오류에 대해 파악하고, 누가 어떤 실수를 저질렀는지 알고 싶었다. 구글 조사 결과를 보면, PKI와 디지털 인증서에 대해 더 많이 알수록 디지털 인증서 오류를 무시하고, 이런 오류가 발생한 웹사이트에 그냥 접속하는 경우가 더 많다(부정적인 행동이 될 수 있다). 이로 인해, 몇 년 동안 구글과 마이크로소프트는 디지털 인증서 오류가 발생한 경우 디지털 인증서에 대한 정보를 더 적게 제공하기 시작했다. 다행히 두 회사 모두 이제는 이렇게 하지 않는 것으로 보인다. 필자처럼 디지털 인증서를 잘 아는 사람들이 원할 때 더 자세히 조사할 수 있도록 지원하는 것이다.   필자는 문제가 된 디지털 인증서를 열어 조사했다. 그 결과 간단히 말해 어떤 오류나 실수도 발견할 수 없었다. 최소한 바로 눈에 띄는 오류나 실수는 없었다. SHA1이 아닌 SHA 256을 사용하고 있었고, 키는 1024비트가 아닌 2048비트 RSA 키였다. 방문한 웹사이트 페이지의 인증서 이름은 *.brighthouse.com으로 올바르게 되어 있었다. 그리고 아래 대체할 이름(SAN: Subject Alternative...

2018.11.26

크롬 브라우저 'your connection is not private' 오류 해결법

크롬에서 ‘Your connection is not private’라는 오류 메시지가 나타나는 경우가 있다. 원인이 여러 가지 중 하나일 수 있다. 일반적으로 흔한 경우를 기준으로 해결책을 정리했다. 이 오류 메시지는 일반적으로 SSL 연결에 문제가 있거나 브라우저가 특정 SSL 인증서를 확인하는 데 어려움이 있을 때 나타난다. SSL은 컴퓨터와 연결하려는 서버간에 앞뒤로 이동할 때 데이터를 암호화하는 데 사용되는 방법이다. 서버 측에 문제가 있을 경우에는 개인 사용자가 해결하기 어려우며 대체로 문제가 해결될 때까지 기다려야 한다. 서버 측 문제가 아닐 경우 개인 PC에서 취할 수 있는 조치는 다음과 같다. 컴퓨터의 날짜 및 시간 확인 첫 번째 해결 방법은 컴퓨터에서 날짜와 시간을 다시 확인하는 것이다. 어떤 이유에서든 시간 정보가 올바르지 않으면 크롬은 컴퓨터와 서버 간의 날짜와 시간이 다를 수 있으므로 SSL 인증서를 확인할 수 없다. 가장 먼저 확인해볼 만한 원인이다. 바이러스 백신 및 방화벽 확인 다음으로 시도해 볼 수 있는 방법은 바이러스 백신을 잘 살펴 보는 것다. 이들이 SSL 인증서나 연결을 차단할 수 있기 때문이다. 이 문제를 해결하는 간단한 방법은 바이러스 백신 옵션으로 들어가서 https 검사 기능을 해제하는 것이다. 이 옵션이 없는 경우 일시적으로 바이러스 백신을 비활성화한 후 링크를 다시 연결해본다. 제대로 작동한다면 백신 소프트웨어에 문제가 있는 것이다. 오류 메시지를 무시하기 오류를 무시하고 보안되지 않은 연결로 웹 사이트로 직접 진행할 수 있다. 연결하려는 웹 사이트를 100 % 신뢰할 수 있는 경우라면 진행해도 무방하다. 주로 인증서를 갱신하지 않은 기업 내 사이트에 접속할 때 흔히 취할 수 있는 조치다. 만약 크롬이 이 오류를 앞으로도 무시하기를 원한다면 해당 사이트로의 .exe 파일 링크를 추가하면 된다. 바탕화면에서 크롬을 찾아 마우스 오른쪽 버튼으로 클릭하고 속성...

크롬 SSL 인증서 오류 메시지

2018.06.27

크롬에서 ‘Your connection is not private’라는 오류 메시지가 나타나는 경우가 있다. 원인이 여러 가지 중 하나일 수 있다. 일반적으로 흔한 경우를 기준으로 해결책을 정리했다. 이 오류 메시지는 일반적으로 SSL 연결에 문제가 있거나 브라우저가 특정 SSL 인증서를 확인하는 데 어려움이 있을 때 나타난다. SSL은 컴퓨터와 연결하려는 서버간에 앞뒤로 이동할 때 데이터를 암호화하는 데 사용되는 방법이다. 서버 측에 문제가 있을 경우에는 개인 사용자가 해결하기 어려우며 대체로 문제가 해결될 때까지 기다려야 한다. 서버 측 문제가 아닐 경우 개인 PC에서 취할 수 있는 조치는 다음과 같다. 컴퓨터의 날짜 및 시간 확인 첫 번째 해결 방법은 컴퓨터에서 날짜와 시간을 다시 확인하는 것이다. 어떤 이유에서든 시간 정보가 올바르지 않으면 크롬은 컴퓨터와 서버 간의 날짜와 시간이 다를 수 있으므로 SSL 인증서를 확인할 수 없다. 가장 먼저 확인해볼 만한 원인이다. 바이러스 백신 및 방화벽 확인 다음으로 시도해 볼 수 있는 방법은 바이러스 백신을 잘 살펴 보는 것다. 이들이 SSL 인증서나 연결을 차단할 수 있기 때문이다. 이 문제를 해결하는 간단한 방법은 바이러스 백신 옵션으로 들어가서 https 검사 기능을 해제하는 것이다. 이 옵션이 없는 경우 일시적으로 바이러스 백신을 비활성화한 후 링크를 다시 연결해본다. 제대로 작동한다면 백신 소프트웨어에 문제가 있는 것이다. 오류 메시지를 무시하기 오류를 무시하고 보안되지 않은 연결로 웹 사이트로 직접 진행할 수 있다. 연결하려는 웹 사이트를 100 % 신뢰할 수 있는 경우라면 진행해도 무방하다. 주로 인증서를 갱신하지 않은 기업 내 사이트에 접속할 때 흔히 취할 수 있는 조치다. 만약 크롬이 이 오류를 앞으로도 무시하기를 원한다면 해당 사이트로의 .exe 파일 링크를 추가하면 된다. 바탕화면에서 크롬을 찾아 마우스 오른쪽 버튼으로 클릭하고 속성...

2018.06.27

제 값 하는 데이터 과학 교육 코스 15선

오늘날 IT에서 가장 핫한 직종은 누가 뭐래도 데이터 과학자다. 글래스도어는 데이터 과학자에 대해 전 직종을 통틀어 반론의 여지 없는 최고의 직업이라고 단언했다. 데이터 과학 분야에 막 발을 딛는 사회 초년생, 또는 경쟁자들에 비해 비교 우위를 점하고 싶은 경력자라면 데이터 과학 자격증에 대해 알아볼 만한 이유가 충분하다. 산업과 기업을 막론하고 데이터 과학이 중요시 되고 있는 것은 사실이지만, 리크루터들이 찾는 기술은 기업과 산업에 따라 조금씩 다르다. 이러한 상황에서 자격증을 취득하는 것은 남들보다 앞서갈 수 있는 좋은 방법이다. 그 이유 중 하나는 자격증을 취득하는 과정에서 수요는 많고 공급은 적은 기술을 취득하고 익힐 수 있게 되기 때문이다. 또한 이미 취득한 기술을 문서로 증명하기에도 적합하다. 이렇게 하면 리크루터나 채용 담당자들 역시 불확실성을 줄일 수 있으므로 좀 더 확신을 가지고 당신을 채용하게 될 것이다. 데이터 과학 분야에서 검토해볼 만한 자격증, 교육 프로그램을 알파벳 순으로 정리했다.   1. 딥러닝 통한 응용 AI, IBM 왓슨 IoT 데이터 과학 인증서(IBM Watson IoT Data Science Certificate) IBM의 IoT 데이터 과학 인증서를 취득하기 위해서는 코딩, 특히 파이썬을 다뤄 본 경험이 있어야 한다. 그렇지만 시작 단계에서는 다른 프로그래밍 언어를 사용하더라도 괜찮다. 수학적 역량, 특히 선형 대수학에 대한 지식이 있다면 좋겠지만, 이 토픽 역시 첫 주에 따로 다루게 될 것이다. 본 인증서를 취득하기 위한 강의는 코세라(Coursera)를 통해 수강할 수 있다. 고급 데이터 과학 기술을 가지고 있는 숙련자들을 대상으로 한다. 비용 : 코스당 79달러 위치 : 온라인 기간 : 스스로 조절 기한 : 만료 없음 2. 빅 데이터 인증서(Big Data Certification), UC 샌디에이고 확장 교육 프로그램 UC 샌디에이고의 평생 교육 프로그램에서...

자격증 데이터 과학자 데이터 마이닝 인증서 애널리틱스 데이터 엔지니어

2018.04.06

오늘날 IT에서 가장 핫한 직종은 누가 뭐래도 데이터 과학자다. 글래스도어는 데이터 과학자에 대해 전 직종을 통틀어 반론의 여지 없는 최고의 직업이라고 단언했다. 데이터 과학 분야에 막 발을 딛는 사회 초년생, 또는 경쟁자들에 비해 비교 우위를 점하고 싶은 경력자라면 데이터 과학 자격증에 대해 알아볼 만한 이유가 충분하다. 산업과 기업을 막론하고 데이터 과학이 중요시 되고 있는 것은 사실이지만, 리크루터들이 찾는 기술은 기업과 산업에 따라 조금씩 다르다. 이러한 상황에서 자격증을 취득하는 것은 남들보다 앞서갈 수 있는 좋은 방법이다. 그 이유 중 하나는 자격증을 취득하는 과정에서 수요는 많고 공급은 적은 기술을 취득하고 익힐 수 있게 되기 때문이다. 또한 이미 취득한 기술을 문서로 증명하기에도 적합하다. 이렇게 하면 리크루터나 채용 담당자들 역시 불확실성을 줄일 수 있으므로 좀 더 확신을 가지고 당신을 채용하게 될 것이다. 데이터 과학 분야에서 검토해볼 만한 자격증, 교육 프로그램을 알파벳 순으로 정리했다.   1. 딥러닝 통한 응용 AI, IBM 왓슨 IoT 데이터 과학 인증서(IBM Watson IoT Data Science Certificate) IBM의 IoT 데이터 과학 인증서를 취득하기 위해서는 코딩, 특히 파이썬을 다뤄 본 경험이 있어야 한다. 그렇지만 시작 단계에서는 다른 프로그래밍 언어를 사용하더라도 괜찮다. 수학적 역량, 특히 선형 대수학에 대한 지식이 있다면 좋겠지만, 이 토픽 역시 첫 주에 따로 다루게 될 것이다. 본 인증서를 취득하기 위한 강의는 코세라(Coursera)를 통해 수강할 수 있다. 고급 데이터 과학 기술을 가지고 있는 숙련자들을 대상으로 한다. 비용 : 코스당 79달러 위치 : 온라인 기간 : 스스로 조절 기한 : 만료 없음 2. 빅 데이터 인증서(Big Data Certification), UC 샌디에이고 확장 교육 프로그램 UC 샌디에이고의 평생 교육 프로그램에서...

2018.04.06

시만텍, '말 많고 탈 많은' SSL 사업부 매각한다

TLS와 SSL의 유효성을 놓고 구글과 갈등을 빚어 온 시만텍이 해결 방법을 찾아냈다. 관련 사업부를 팔아버리는 것이다. 현재 다른 인증서 발급 업체와 10억 달러 규모의 매각 협상을 진행하고 있다. 그동안 구글을 포함한 브라우저 개발업체들은 시만텍이 SSL 인증서를 발급하는 방식에 대해 의문을 제기하며 자사 브라우저에서 인증서 인식을 중단할 수 있다고 경고해왔다. 이렇게 되면 시만텍 인증서를 사용한 웹사이트에 접속했을 때 경고창이 뜨기 때문에 시만텍 고객사에 직접적인 타격이 된다. 이런 가운데 시만텍이 인증서 관련 업무를 담당하는 CA(Certificate Authority) 사업을 또다른 인증서 발급 업체 '디지서트(DigiCert)'에 매각하는 협상을 진행중이다. 금액은 9억 5000만 달러와 이 업체의 지분 30%를 인수하는 조건이다. 계약이 체결되면 디지서트는 시만텍의 사업부를 인수해 발급 절차를 개선한다는 계획이다. 특히 브라우저내에서 시만텍 인증서의 신뢰성 관련 문제를 우선적으로 해결할 예정이다. 디지서트는 "이번 거래가 브라우저 커뮤니티의 요구를 만족시킬 것으로 확신한다. 현재 이번 거래의 의도에 대해 브라우저 개발업체와 논의하고 있으며 앞으로도 계속 협업해 나갈 것이다"라고 밝혔다. 현재 시만텍에 대해 가장 날선 비판을 하고 있는 업체는 구글이다. 지난 2년간 구글은 시만텍이 인증서를 발급하는 절차에 문제가 있다고 줄기차게 지적했다. 인증서는 웹사이트와 브라우저 사이에, 혹은 애플리케이션 간에 통신의 보안을 강화하고 인증하는 역할을 한다. 지난 3월 구글은 시만텍이 인증서 3만 건을 잘못 발급했다며 시만텍을 직접 비판했다. 이를 이용하면 해커가 가짜 웹사이트를 마치 합법적인 사이트처럼 위장할 수 있다는 것이다. 특히 논란이 되는 것이 이른바 'EV(Extended Validation) 인증서'라고 불리는 것이다. 이를 이용하면 인증서를 호출하는 엔티티의 신...

구글 시만텍 SSL 인증서

2017.08.04

TLS와 SSL의 유효성을 놓고 구글과 갈등을 빚어 온 시만텍이 해결 방법을 찾아냈다. 관련 사업부를 팔아버리는 것이다. 현재 다른 인증서 발급 업체와 10억 달러 규모의 매각 협상을 진행하고 있다. 그동안 구글을 포함한 브라우저 개발업체들은 시만텍이 SSL 인증서를 발급하는 방식에 대해 의문을 제기하며 자사 브라우저에서 인증서 인식을 중단할 수 있다고 경고해왔다. 이렇게 되면 시만텍 인증서를 사용한 웹사이트에 접속했을 때 경고창이 뜨기 때문에 시만텍 고객사에 직접적인 타격이 된다. 이런 가운데 시만텍이 인증서 관련 업무를 담당하는 CA(Certificate Authority) 사업을 또다른 인증서 발급 업체 '디지서트(DigiCert)'에 매각하는 협상을 진행중이다. 금액은 9억 5000만 달러와 이 업체의 지분 30%를 인수하는 조건이다. 계약이 체결되면 디지서트는 시만텍의 사업부를 인수해 발급 절차를 개선한다는 계획이다. 특히 브라우저내에서 시만텍 인증서의 신뢰성 관련 문제를 우선적으로 해결할 예정이다. 디지서트는 "이번 거래가 브라우저 커뮤니티의 요구를 만족시킬 것으로 확신한다. 현재 이번 거래의 의도에 대해 브라우저 개발업체와 논의하고 있으며 앞으로도 계속 협업해 나갈 것이다"라고 밝혔다. 현재 시만텍에 대해 가장 날선 비판을 하고 있는 업체는 구글이다. 지난 2년간 구글은 시만텍이 인증서를 발급하는 절차에 문제가 있다고 줄기차게 지적했다. 인증서는 웹사이트와 브라우저 사이에, 혹은 애플리케이션 간에 통신의 보안을 강화하고 인증하는 역할을 한다. 지난 3월 구글은 시만텍이 인증서 3만 건을 잘못 발급했다며 시만텍을 직접 비판했다. 이를 이용하면 해커가 가짜 웹사이트를 마치 합법적인 사이트처럼 위장할 수 있다는 것이다. 특히 논란이 되는 것이 이른바 'EV(Extended Validation) 인증서'라고 불리는 것이다. 이를 이용하면 인증서를 호출하는 엔티티의 신...

2017.08.04

상상도 못한 엑셀 활용 팁 '모눈종이, 주소라벨, 상장 만드는 방법'

많은 템플릿과 향상된 기능을 갖춘 새로운 버전이 공개되면서 엑셀로 할 수 있는 것들이 점차 늘어나고 있다. 워드보다 적용성이 뛰어난 그리드, 조작이 간편한 드래그 & 드롭 그래픽을 갖춘 엑셀을 선호하는 사용자층도 확대되고 있다. 엑셀이 지원하는 사용자 맞춤형 프로젝트로는 송장, 영수증, 비용 보고서, 예산, 마일리지 기록, 그래프 용지, 메모장, 명함, 서식, 전단, 브로슈어, 인증서, 플로우차트 등이 있다. 엑셀은 수십 가지의 빈칸 채우기 템플릿을 제공한다. 아래 설명에 따라 자신만의 프로젝트를 생성할 수도 있다. 달력 템플릿 구성하기 이미 엑셀에서 맞춤형 달력을 구성하는 방법을 설명하기는 했지만 우선 템플릿 캘린더부터 시작해 보자. 예를 들어, 엑셀의 만년 달력은 필요에 따라 특정 해의 12개월을 한 눈에 확인할 수 있다. 12개월 전부를 포함해 연도를 변경하려면 년도 옆의 작은 옵션 화살표를 클릭한다. "주 시작 선택" 옆의 병합된 셀 AE/AF1을 클릭하면 이 기능을 활성화할 수 있다. 작은 옵션 화살표 상자를 클릭하면 달력을 일요일~토요일 정렬에서 월요일부터 일요일까지로 다시 정렬할 수 있다. 엑셀의 만년 달력 템플릿 메인의 파일 메뉴(현재 백스테이지 패널이라 부름)로 이동하고 새로 만들기를 클릭한 후 검색 상자에 달력이라고 입력하면 수십 개의 달력 템플릿을 확인할 수 있으며 현재 년도, 이미지, 기념일/휴일, 이벤트, 색상, 글꼴, 스타일, 기업 로고 등 모든 것을 변경할 수 있다. 엑셀의 온라인 검색 기능을 이용해 다양한 달력 템플릿을 활용할 수 있다 그래프 용지 구성하기 갑자기 급하게 모눈 종이나 그래프 용지 몇 장이 필요할 경우에도 문제 없다. 빈 엑셀 스프레드시트를 연다. 표준 8.5x11인치 크기의 용지는 A1부터 BD83까지의 셀을 선택한다. 홈 탭의 셀 그룹에서 서식>열 너비를 선택한다. 대화 상자에 1을 입력하고 확인 버튼을 클릭한다. 같은 범위가 선택...

생산성 상장 엑셀 인증서 HOWTO 달력 모눈종이

2015.08.04

많은 템플릿과 향상된 기능을 갖춘 새로운 버전이 공개되면서 엑셀로 할 수 있는 것들이 점차 늘어나고 있다. 워드보다 적용성이 뛰어난 그리드, 조작이 간편한 드래그 & 드롭 그래픽을 갖춘 엑셀을 선호하는 사용자층도 확대되고 있다. 엑셀이 지원하는 사용자 맞춤형 프로젝트로는 송장, 영수증, 비용 보고서, 예산, 마일리지 기록, 그래프 용지, 메모장, 명함, 서식, 전단, 브로슈어, 인증서, 플로우차트 등이 있다. 엑셀은 수십 가지의 빈칸 채우기 템플릿을 제공한다. 아래 설명에 따라 자신만의 프로젝트를 생성할 수도 있다. 달력 템플릿 구성하기 이미 엑셀에서 맞춤형 달력을 구성하는 방법을 설명하기는 했지만 우선 템플릿 캘린더부터 시작해 보자. 예를 들어, 엑셀의 만년 달력은 필요에 따라 특정 해의 12개월을 한 눈에 확인할 수 있다. 12개월 전부를 포함해 연도를 변경하려면 년도 옆의 작은 옵션 화살표를 클릭한다. "주 시작 선택" 옆의 병합된 셀 AE/AF1을 클릭하면 이 기능을 활성화할 수 있다. 작은 옵션 화살표 상자를 클릭하면 달력을 일요일~토요일 정렬에서 월요일부터 일요일까지로 다시 정렬할 수 있다. 엑셀의 만년 달력 템플릿 메인의 파일 메뉴(현재 백스테이지 패널이라 부름)로 이동하고 새로 만들기를 클릭한 후 검색 상자에 달력이라고 입력하면 수십 개의 달력 템플릿을 확인할 수 있으며 현재 년도, 이미지, 기념일/휴일, 이벤트, 색상, 글꼴, 스타일, 기업 로고 등 모든 것을 변경할 수 있다. 엑셀의 온라인 검색 기능을 이용해 다양한 달력 템플릿을 활용할 수 있다 그래프 용지 구성하기 갑자기 급하게 모눈 종이나 그래프 용지 몇 장이 필요할 경우에도 문제 없다. 빈 엑셀 스프레드시트를 연다. 표준 8.5x11인치 크기의 용지는 A1부터 BD83까지의 셀을 선택한다. 홈 탭의 셀 그룹에서 서식>열 너비를 선택한다. 대화 상자에 1을 입력하고 확인 버튼을 클릭한다. 같은 범위가 선택...

2015.08.04

전문가 기고 | '빅 브라더'의 감시, 어떻게 피할 것인가?

이대로 빅 브라더의 감시를 받아들여야 할까? 미 국가안전보장국(NSA, national security agency)의 ‘프리즘(Prism)’ 프로그램 폭로 사건으로 많은 이들이 조지 오웰의 디스토피아 소설 ‘1984’를 떠올렸다. 에드워드 스노우덴의 내부 고발, 그리고 사생활 대 보안이라는 주제를 놓고 옳고 그름을 가리는 논쟁이 온라인, 오프라인 할 것 없이 뜨겁다. 그런 논쟁과 별개로, 우선은 어떻게 하면 감시의 눈길을 피할 수 있을 지에 대해 얘기해 보려 한다. ‘보안'이라는 말을 들었을 때 처음 떠오르는 것은 아마도 암호화일 것이다. 암호화는 기술적으로 개인 키(private-key) 또는 공용 키(public-key) 암호화 알고리즘 중 하나다. 어느 쪽이든, 중요한 것은 ‘키 매니지먼트'다. 누가 키를 만들고, 어떻게 교환하는가? 누가 키를 통제하는가? 다시 말해, 우리가 신뢰할 수 있는 가장 기본적인 근간은 어디에 있는가? 일반적으로, 필자는 엔드 유저에게 가장 많은 컨트롤을 주는 방식을 선호한다. 반대로 다른 집단이 키를 생성하거나 관리하는 시스템을 좋아하지 않는다. 반드시 그럴 것이란 보장은 어디에도 없지만, 적어도 전자의 경우 제3자가 사적인 커뮤니케이션을 도중에서 엿들을 수 있는 가능성이 가장 낮기 때문이다. 물론 감안해야 할 다른 문제도 있다. 비용과 확장성도 그 중 하나다. 작은 규모의 커뮤니티 내에서만 의사소통을 할 경우, 큰 규모의 커뮤니티 의사소통과는 선택할 수 있는 옵션이 상당히 다르다. 한예로, AES(대칭 알고리즘)는 암호화의 세계에서 매우 강력한 알고리즘으로 인정받고 있다. 구성원이 매우 적은 커뮤니티의 경우, 사전 공유된 암호화 키를 갖춘 AES-256이 매우 강력한 보안을 제공할 수 있다. 키 자체가 튼튼하고 분명한 텍스트 형태로 전달되는 일만 없다면 말이다. (일련의 복잡한 문제를 매우 단순화 시켜...

감시 암호화 인증서 VPN 빅 브라더 AES S/MIME

2013.06.17

이대로 빅 브라더의 감시를 받아들여야 할까? 미 국가안전보장국(NSA, national security agency)의 ‘프리즘(Prism)’ 프로그램 폭로 사건으로 많은 이들이 조지 오웰의 디스토피아 소설 ‘1984’를 떠올렸다. 에드워드 스노우덴의 내부 고발, 그리고 사생활 대 보안이라는 주제를 놓고 옳고 그름을 가리는 논쟁이 온라인, 오프라인 할 것 없이 뜨겁다. 그런 논쟁과 별개로, 우선은 어떻게 하면 감시의 눈길을 피할 수 있을 지에 대해 얘기해 보려 한다. ‘보안'이라는 말을 들었을 때 처음 떠오르는 것은 아마도 암호화일 것이다. 암호화는 기술적으로 개인 키(private-key) 또는 공용 키(public-key) 암호화 알고리즘 중 하나다. 어느 쪽이든, 중요한 것은 ‘키 매니지먼트'다. 누가 키를 만들고, 어떻게 교환하는가? 누가 키를 통제하는가? 다시 말해, 우리가 신뢰할 수 있는 가장 기본적인 근간은 어디에 있는가? 일반적으로, 필자는 엔드 유저에게 가장 많은 컨트롤을 주는 방식을 선호한다. 반대로 다른 집단이 키를 생성하거나 관리하는 시스템을 좋아하지 않는다. 반드시 그럴 것이란 보장은 어디에도 없지만, 적어도 전자의 경우 제3자가 사적인 커뮤니케이션을 도중에서 엿들을 수 있는 가능성이 가장 낮기 때문이다. 물론 감안해야 할 다른 문제도 있다. 비용과 확장성도 그 중 하나다. 작은 규모의 커뮤니티 내에서만 의사소통을 할 경우, 큰 규모의 커뮤니티 의사소통과는 선택할 수 있는 옵션이 상당히 다르다. 한예로, AES(대칭 알고리즘)는 암호화의 세계에서 매우 강력한 알고리즘으로 인정받고 있다. 구성원이 매우 적은 커뮤니티의 경우, 사전 공유된 암호화 키를 갖춘 AES-256이 매우 강력한 보안을 제공할 수 있다. 키 자체가 튼튼하고 분명한 텍스트 형태로 전달되는 일만 없다면 말이다. (일련의 복잡한 문제를 매우 단순화 시켜...

2013.06.17

기업 51%, “인증서와 암호화 키 몇 개인지 몰라”

암호화와 디지털 인증이 위험하다.   대기업들이 사이버공격의 위험에 많이 노출돼 우왕좌왕하는 가운데 암호화 키와 디지털 인증서 같은 트러스트 자산을 관리하는데 어려움을 겪고 있는 것으로 조사됐다. 이 조사는 보안 관리 베나피(Venafi)가 후원하고 페노몬(Penomon)이 미국, 독일, 영국, 호주, 프랑스의 2,342명의 운영관리자들을 대상으로 진행했다. 페노몬의 ‘실패한 트러스트의 비용’이라는 보고서에서 “얼마나 많은 암호화 키와 인증서를 사용하는지 알지 못한다”고 답한 운영관리자가 51%로 나타났다. 암호화 키와 인증서 수를 정확히 파악할 수 있다고 답한 사람들은 회사에서 평균 1만 7,807개를 관리하는 것으로 집계됐다. 기업의 18%는 향후 2년 동안 기존의 취약한 키 저장이나 관리에 맞춘 기본 공격에 피해를 입을 수 가능성이 있다고 답했다. 이들은 특히 클라우드 서비스로 연결하는 데 쓰이는 시큐어 쉘(SSH) 키의 사용에 대해 불안해 하는 것으로 나타났다. 3%는 SSH 키 도난을, 5%는 서버 키 도난을, 7%는 사람이 중간에 개입해 인증 기관을 위태롭게 하는 공격에 대해 각각 우려하는 것으로 조사됐다. 조사에 응한 모든 기업들은 지난 2년 동안 트러스트 인프라를 관리하고 제어에 실패함으로써 부정적인 영향을 받았다고 답했다. 이 비용을 산출하는데 많은 논란이 있지만 페노몬은 크게 보고 있다. 인증서와 키 자산에서 산출한 전체 재무적인 위험은, 이 인프라의 실제 보안 사고에서 발생한 실비용을 최대로 했을 때 4억 달러에 이르는 것으로 페노몬은 추산했다. "사이버 범죄자들이 트러스트를 제어할 수 있는 능력이 얼마나 쉽게 공격받을 수 있다는 것을 잘 알고 있다. 그 결과, 그들은 키와 인증서 관리를 대상으로 계속 공격하고 있다"라고 베나피의 CEO 제프 허드슨은 말했다. "이러한 사고들은 예기치 못한 중단, 생산성 손실, 브랜드...

인증서 암호화 키 페노몬

2013.02.22

암호화와 디지털 인증이 위험하다.   대기업들이 사이버공격의 위험에 많이 노출돼 우왕좌왕하는 가운데 암호화 키와 디지털 인증서 같은 트러스트 자산을 관리하는데 어려움을 겪고 있는 것으로 조사됐다. 이 조사는 보안 관리 베나피(Venafi)가 후원하고 페노몬(Penomon)이 미국, 독일, 영국, 호주, 프랑스의 2,342명의 운영관리자들을 대상으로 진행했다. 페노몬의 ‘실패한 트러스트의 비용’이라는 보고서에서 “얼마나 많은 암호화 키와 인증서를 사용하는지 알지 못한다”고 답한 운영관리자가 51%로 나타났다. 암호화 키와 인증서 수를 정확히 파악할 수 있다고 답한 사람들은 회사에서 평균 1만 7,807개를 관리하는 것으로 집계됐다. 기업의 18%는 향후 2년 동안 기존의 취약한 키 저장이나 관리에 맞춘 기본 공격에 피해를 입을 수 가능성이 있다고 답했다. 이들은 특히 클라우드 서비스로 연결하는 데 쓰이는 시큐어 쉘(SSH) 키의 사용에 대해 불안해 하는 것으로 나타났다. 3%는 SSH 키 도난을, 5%는 서버 키 도난을, 7%는 사람이 중간에 개입해 인증 기관을 위태롭게 하는 공격에 대해 각각 우려하는 것으로 조사됐다. 조사에 응한 모든 기업들은 지난 2년 동안 트러스트 인프라를 관리하고 제어에 실패함으로써 부정적인 영향을 받았다고 답했다. 이 비용을 산출하는데 많은 논란이 있지만 페노몬은 크게 보고 있다. 인증서와 키 자산에서 산출한 전체 재무적인 위험은, 이 인프라의 실제 보안 사고에서 발생한 실비용을 최대로 했을 때 4억 달러에 이르는 것으로 페노몬은 추산했다. "사이버 범죄자들이 트러스트를 제어할 수 있는 능력이 얼마나 쉽게 공격받을 수 있다는 것을 잘 알고 있다. 그 결과, 그들은 키와 인증서 관리를 대상으로 계속 공격하고 있다"라고 베나피의 CEO 제프 허드슨은 말했다. "이러한 사고들은 예기치 못한 중단, 생산성 손실, 브랜드...

2013.02.22

“제로데이가 뭐야?” 반드시 알아야 할 5가지 보안 용어

IT 매체에서 다루는 다른 주제들과 마찬가지로 보안 분야에서만 쓰이는 용어들이 있다. 예를 들어 일반인이 보안 전문가들의 대화에 귀를 기울여보면 무언가 이상한 경험을 하게 될 것이다. 그리고 종종 기술 전문용어들이 보안관련 뉴스에 등장하곤 한다. 하지만 아래의 5가지 중요 보안 용어들을 익혀두면 자신의 주변에서 발생하고 있는 위협에 관해 더 나은 정보를 얻을 수 있을 것이다. 제로 데이(Zero-day) 종종 소프트웨어 기업들이 "제로 데이" 취약성이나 이용에 관해서 이야기하는 것을 들어 보았을 것이다. "제로 데이"라는 표현은 소프트웨어에서 최근에 발견된 보안 취약성으로 아직 소프트웨어 제조업체가 수정하지 못한 부분을 일컫는다. 상식적으로 제로 데이 위험은 반드시 주의해야 할 것으로 알려져 있지만 모두가 이것을 조심하는 것은 아니다. 최근 마이크로소프트가 발표한 보고서에 따르면 주요 보안 위협 중 제로 데이 취약성을 이용하는 것은 거의 없다. 그래도 사용자는 자신이 사용하는 소프트웨어를 늘 최신 상태로 업데이트 해야 한다. 원격 코드 실행(Remote code execution) 이것은 보안 업데이트 대화에서 종종 등장하는 또 다른 용어이다. 이것은 마이크로소프트는 10월 패치 화요일(October Patch Tuesday) 업데이트에 관한 릴리스 노트(Release Note)에 "사용자가 특별히 제작된 웹 페이지에 인터넷 익스플로러(Internet Explorer)를 이용해 접속할 경우 대부분의 심각한 취약성으로 인해 원격 코드가 실행될 수 있다"라고 경고했다.  ‘원격 코드 실행’은 사이버 범죄자가 취약성을 이용해 원격 지역에서 사용자의 컴퓨터에 접속하고 악성 소프트웨어를 실행하는 것을 지칭하는 용어이다. 일반적으로 원격 코드 실행에 의존하는 악성 소프트웨어는 웹 브라우저, 이미지 뷰어 애플리케이션, 비디오 및 음악 재생기, PDF 뷰어 등의 버그를 활용한다. 마이크로소프트의 릴리스 노트에서도 알 수 있듯이 이런 버그들은 일반적으로...

SSL 보안용어 샌드박싱 원격코드실행 인증서 제로데이

2011.12.05

IT 매체에서 다루는 다른 주제들과 마찬가지로 보안 분야에서만 쓰이는 용어들이 있다. 예를 들어 일반인이 보안 전문가들의 대화에 귀를 기울여보면 무언가 이상한 경험을 하게 될 것이다. 그리고 종종 기술 전문용어들이 보안관련 뉴스에 등장하곤 한다. 하지만 아래의 5가지 중요 보안 용어들을 익혀두면 자신의 주변에서 발생하고 있는 위협에 관해 더 나은 정보를 얻을 수 있을 것이다. 제로 데이(Zero-day) 종종 소프트웨어 기업들이 "제로 데이" 취약성이나 이용에 관해서 이야기하는 것을 들어 보았을 것이다. "제로 데이"라는 표현은 소프트웨어에서 최근에 발견된 보안 취약성으로 아직 소프트웨어 제조업체가 수정하지 못한 부분을 일컫는다. 상식적으로 제로 데이 위험은 반드시 주의해야 할 것으로 알려져 있지만 모두가 이것을 조심하는 것은 아니다. 최근 마이크로소프트가 발표한 보고서에 따르면 주요 보안 위협 중 제로 데이 취약성을 이용하는 것은 거의 없다. 그래도 사용자는 자신이 사용하는 소프트웨어를 늘 최신 상태로 업데이트 해야 한다. 원격 코드 실행(Remote code execution) 이것은 보안 업데이트 대화에서 종종 등장하는 또 다른 용어이다. 이것은 마이크로소프트는 10월 패치 화요일(October Patch Tuesday) 업데이트에 관한 릴리스 노트(Release Note)에 "사용자가 특별히 제작된 웹 페이지에 인터넷 익스플로러(Internet Explorer)를 이용해 접속할 경우 대부분의 심각한 취약성으로 인해 원격 코드가 실행될 수 있다"라고 경고했다.  ‘원격 코드 실행’은 사이버 범죄자가 취약성을 이용해 원격 지역에서 사용자의 컴퓨터에 접속하고 악성 소프트웨어를 실행하는 것을 지칭하는 용어이다. 일반적으로 원격 코드 실행에 의존하는 악성 소프트웨어는 웹 브라우저, 이미지 뷰어 애플리케이션, 비디오 및 음악 재생기, PDF 뷰어 등의 버그를 활용한다. 마이크로소프트의 릴리스 노트에서도 알 수 있듯이 이런 버그들은 일반적으로...

2011.12.05

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9