Offcanvas

������

'공격측엔 신무기, 이용측엔 구멍'··· 드론이 기업 보안에 끼치는 영향

드론의 활용이 다각도로 증가하고 있는 가운데, 이와 관련된 보안 위협을 관리할 필요성이 대두되고 있다. 드론을 직접 이용하지 않는 기업에게도 해당되는 이야기다.  대부분 보안 리더들이 위협 리스트에 드론을 포함시키지 않았을 것이다. 그러나 보안 전문가들은 드론은 새로운 위협을 초래하며, 조직들은 이를 인식해서 미리 대처할 필요가 있다고 강조한다. 드론을 이용하지 않는 조직일지라도 그렇다.  최근 다양한 목적을 위해 UAV나 무인 UAS 같은 드론을 배치하는 기업과 기관의 수가 늘어나고 있는 추세이다. 예를 들어, 농작물에 대한 모니터링, 입지와 지형에 대한 조사, 유틸리티 인프라 검사, 상품 배달, 창고 재고 확인 등에 드론을 활용할 수 있다. 최근 프라임 에어(Prime Air)라는 드론 배달 서비스 계획을 공개한 아마존에 관심이 쏠렸지만, 다른 기업들도 조용히 드론 프로젝트를 추진하고 있다. 에너지 회사인 서던 컴퍼니(Southern Company)는 폭풍 피해 산정, 주변 수목 관리 등 인프라 검사에 드론을 활용하고 있다. 보험사인 올스테이트 인슈어런스(Allstate Insurance)는 여러 주에서 드론을 이용해 재산상 손해를 산정하고 있다. 쉘(Shell)은 전세계적으로 셰일 가스 자산 감시에 드론을 이용하고 있고, CVS는 UPS와 손잡고 드론을 이용해 의약품을 더 빨리 배달하는 프로젝트를 추진하고 있다. 이 밖에 드론과 기술을 조합해 응용할 수 있는 분야는 그야말로 다양하다.  시장 리서치 회사인 가트너는 드론이 가져오는 생산성은 이 기술에 대한 기업들의 수요를 견인하게 될 것이며, 지난해 32만 4,000개였던 설치 사례가 2028년에는 900만 개 이상으로 증가할 것으로 전망했다. 드론 활용에 광범위한 모멘텀이 형성되기 시작했기 때문에, 기업과 기관들은 드론이 초래할 새로운 위험들을 인식할 필요가 있다. 토론토 소재 드론 보안 컨설팅 회사인 스타 리버(Star River, Inc.)의 제임스 에이스비도 대...

드론 공격 해킹 CISO 침투 중국 스푸핑 감시 감청

2020.08.05

드론의 활용이 다각도로 증가하고 있는 가운데, 이와 관련된 보안 위협을 관리할 필요성이 대두되고 있다. 드론을 직접 이용하지 않는 기업에게도 해당되는 이야기다.  대부분 보안 리더들이 위협 리스트에 드론을 포함시키지 않았을 것이다. 그러나 보안 전문가들은 드론은 새로운 위협을 초래하며, 조직들은 이를 인식해서 미리 대처할 필요가 있다고 강조한다. 드론을 이용하지 않는 조직일지라도 그렇다.  최근 다양한 목적을 위해 UAV나 무인 UAS 같은 드론을 배치하는 기업과 기관의 수가 늘어나고 있는 추세이다. 예를 들어, 농작물에 대한 모니터링, 입지와 지형에 대한 조사, 유틸리티 인프라 검사, 상품 배달, 창고 재고 확인 등에 드론을 활용할 수 있다. 최근 프라임 에어(Prime Air)라는 드론 배달 서비스 계획을 공개한 아마존에 관심이 쏠렸지만, 다른 기업들도 조용히 드론 프로젝트를 추진하고 있다. 에너지 회사인 서던 컴퍼니(Southern Company)는 폭풍 피해 산정, 주변 수목 관리 등 인프라 검사에 드론을 활용하고 있다. 보험사인 올스테이트 인슈어런스(Allstate Insurance)는 여러 주에서 드론을 이용해 재산상 손해를 산정하고 있다. 쉘(Shell)은 전세계적으로 셰일 가스 자산 감시에 드론을 이용하고 있고, CVS는 UPS와 손잡고 드론을 이용해 의약품을 더 빨리 배달하는 프로젝트를 추진하고 있다. 이 밖에 드론과 기술을 조합해 응용할 수 있는 분야는 그야말로 다양하다.  시장 리서치 회사인 가트너는 드론이 가져오는 생산성은 이 기술에 대한 기업들의 수요를 견인하게 될 것이며, 지난해 32만 4,000개였던 설치 사례가 2028년에는 900만 개 이상으로 증가할 것으로 전망했다. 드론 활용에 광범위한 모멘텀이 형성되기 시작했기 때문에, 기업과 기관들은 드론이 초래할 새로운 위험들을 인식할 필요가 있다. 토론토 소재 드론 보안 컨설팅 회사인 스타 리버(Star River, Inc.)의 제임스 에이스비도 대...

2020.08.05

'해커는 죄다 천재?' 보안 모르는 CEO의 6가지 오해

좀더 효과적인 IT보안 전략을 원하나? 그렇다면, 사이버보안에 관해 만연해 있는 CEO와 고위 경영진의 오해를 먼저 풀어야 한다.  CEO는 회사에서 모든 전략적인 계획을 수립하고 운영을 주도하는 사람이다. 한마디로 책임이 무거운 자리다. 그래서 사실은 많은 IT보안 예산을 실제로 하지도 않을 일에 낭비하고 있을 때도 명석하고 능력 있는 사람들이 위협에 적절하게 대응하고 있을 거라고 CEO가 착각해도 그럴 수 있다고 묵인해 준다. 왜 그럴까? CEO는 사실이 아니더라도 IT보안 오해를 그냥 믿으라고 배웠기 때문이다. 잘못된 것을 믿으면 옳은 일을 제대로 할 수 없다. CEO가 컴퓨터 보안에 대해 갖는 일반적인 오해는 다음과 같다. 1. 공격자를 멈출 수 없다 대부분 컴퓨터 방어는 너무 약하고 무분별하기 때문에 해커와 악성코드는 원하는 대로 침투할 수 있으며, 이는 악의적인 침투자가 이미 수년 동안 환경 전체를 통제하고 침투하지 않았을 경우에만 그런 것이다. 컴퓨터 방어는 너무 형편없고 구멍이 많아서 CEO는 해커와 악성코드를 막는 것이 불가능하다는 이야기를 들었다. 그들이 할 수 있는 최선은 ‘해킹을 가정’하고 조기에 감지하며 공격자가 환경에 침투한 후에는 속도를 늦추려고 노력하는 것뿐이다. 공격을 받고 있는 장군이 부하와 병사들에게 “무슨 짓을 해도 그리고 절대로 승리할 수 없다”고 말하는 상황을 생각할 수 있나? 방어를 위해 더 많은 병사와 무기를 적재적소에 제공한다 해도? 필자도 그렇게 생각하지 않지만, 요즈음의 컴퓨터 보안 세계에서는 CEO가 그렇게 믿고 싶어 하는 것 같다. 민족 국가로부터 지원을 받는 해커 그룹을 쉽게 막을 수 없다는 점은 어느 정도 사실일 수 있다. 그러나 대부분 해커와 악성코드는 기업이 이미 하고 있지만, 규모와 장소가 부적절한 것들을 더욱 잘 함으로써 침투(초기 기저 원인 취약점 공격)를 막을 수 있다...

CSO DC캐릭터 착각 침투 문화 위협 소셜 엔지니어링 패치 해커 CISO 오해 교육 CEO 렉스 루터

2018.03.28

좀더 효과적인 IT보안 전략을 원하나? 그렇다면, 사이버보안에 관해 만연해 있는 CEO와 고위 경영진의 오해를 먼저 풀어야 한다.  CEO는 회사에서 모든 전략적인 계획을 수립하고 운영을 주도하는 사람이다. 한마디로 책임이 무거운 자리다. 그래서 사실은 많은 IT보안 예산을 실제로 하지도 않을 일에 낭비하고 있을 때도 명석하고 능력 있는 사람들이 위협에 적절하게 대응하고 있을 거라고 CEO가 착각해도 그럴 수 있다고 묵인해 준다. 왜 그럴까? CEO는 사실이 아니더라도 IT보안 오해를 그냥 믿으라고 배웠기 때문이다. 잘못된 것을 믿으면 옳은 일을 제대로 할 수 없다. CEO가 컴퓨터 보안에 대해 갖는 일반적인 오해는 다음과 같다. 1. 공격자를 멈출 수 없다 대부분 컴퓨터 방어는 너무 약하고 무분별하기 때문에 해커와 악성코드는 원하는 대로 침투할 수 있으며, 이는 악의적인 침투자가 이미 수년 동안 환경 전체를 통제하고 침투하지 않았을 경우에만 그런 것이다. 컴퓨터 방어는 너무 형편없고 구멍이 많아서 CEO는 해커와 악성코드를 막는 것이 불가능하다는 이야기를 들었다. 그들이 할 수 있는 최선은 ‘해킹을 가정’하고 조기에 감지하며 공격자가 환경에 침투한 후에는 속도를 늦추려고 노력하는 것뿐이다. 공격을 받고 있는 장군이 부하와 병사들에게 “무슨 짓을 해도 그리고 절대로 승리할 수 없다”고 말하는 상황을 생각할 수 있나? 방어를 위해 더 많은 병사와 무기를 적재적소에 제공한다 해도? 필자도 그렇게 생각하지 않지만, 요즈음의 컴퓨터 보안 세계에서는 CEO가 그렇게 믿고 싶어 하는 것 같다. 민족 국가로부터 지원을 받는 해커 그룹을 쉽게 막을 수 없다는 점은 어느 정도 사실일 수 있다. 그러나 대부분 해커와 악성코드는 기업이 이미 하고 있지만, 규모와 장소가 부적절한 것들을 더욱 잘 함으로써 침투(초기 기저 원인 취약점 공격)를 막을 수 있다...

2018.03.28

온라인 쇼핑몰 6천여 개, 결제 정보 훔치는 악성코드에 감염

공격자들이 결제카드 데이터를 훔치기 위해 악성 자바스크립트 코드를 전자상거래 웹사이트에 심어 놓았다. 6,000개의 온라인 쇼핑몰이 결제카드 데이터를 훔치는 악성코드에 감염됐다. Credit: Gerd Altmann / Pixabay 약 6,000개의 온라인 쇼핑몰이 결제카드 정보를 훔치도록 만들어진 악성코드에 감염됐다. 온라인 쇼핑몰에 대한 이러한 공격은 1년 전 네덜란드 연구원 윌렘 드 그루트에 의해 처음 발견됐다. 드 그루트는 당시 악성 자바스크립트 코드가 침투한 3,501곳의 온라인 쇼핑몰을 발견했다. 하지만 현재 상황은 더 악화됐다. 올 3월까지 감염된 쇼핑몰 수는 4,476개로 약 30% 가까이 늘어났고 현재는 5,925개에 달했다. 드 그루트는 블로그 게시물에서 2015년 해커들이 결제카드 정보를 획득했던 쇼핑몰은 750개가 넘었고 이러한 유형의 활동이 수 개월간 발견되지 않은 채 계속 운영될 수 있다는 사실을 보여주면서 아직까지 이 상황이 계속되고 있다고 밝혔다. 드 그루트의 조사에 따르면 온라인 쇼핑몰 침투에 가담한 단체는 여러 개로 나타났다. 2015년에 동일한 변종 악성코드가 있었고, 현재는 9개의 변종 악성코드로 된 3개의 기능적 악성코드군이 있다. 드 그루트에 따르면, 최초의 악성코드가 URL에서 확인 페이지만을 가로챘다. 그는 “최신 버전 역시 파이어체크아웃(Firecheckout), 원스텝체크아웃(Onestepcheckout), 페이팔(Paypal) 같은 대중적인 결제 플러그를 확인해 준다”고 전했다. 악성코드는 콘텐츠 관리 솔루션이나 웹사이트 주인이 패치하지 않은 전자상거래 소프트웨어에 알려진 취약점을 이용해 설치된다. 게다가 일부 온라인 쇼핑몰 주인이 이 문제의 심각성을 알고 있거나 얼마나 피해가 갈지를 이해하는 것처럼 보이지 않았다. 드 그루트는 정보 유출 사실에 대한 정보를 제공했을 때 기업들로부터 들었단 최악의 답변 몇 가지를 제시했다. 한 익명의 온라...

결제 신용카드 악성코드 침투 페이팔 지불 온라인 쇼핑몰 악성 자바스크립트

2016.10.14

공격자들이 결제카드 데이터를 훔치기 위해 악성 자바스크립트 코드를 전자상거래 웹사이트에 심어 놓았다. 6,000개의 온라인 쇼핑몰이 결제카드 데이터를 훔치는 악성코드에 감염됐다. Credit: Gerd Altmann / Pixabay 약 6,000개의 온라인 쇼핑몰이 결제카드 정보를 훔치도록 만들어진 악성코드에 감염됐다. 온라인 쇼핑몰에 대한 이러한 공격은 1년 전 네덜란드 연구원 윌렘 드 그루트에 의해 처음 발견됐다. 드 그루트는 당시 악성 자바스크립트 코드가 침투한 3,501곳의 온라인 쇼핑몰을 발견했다. 하지만 현재 상황은 더 악화됐다. 올 3월까지 감염된 쇼핑몰 수는 4,476개로 약 30% 가까이 늘어났고 현재는 5,925개에 달했다. 드 그루트는 블로그 게시물에서 2015년 해커들이 결제카드 정보를 획득했던 쇼핑몰은 750개가 넘었고 이러한 유형의 활동이 수 개월간 발견되지 않은 채 계속 운영될 수 있다는 사실을 보여주면서 아직까지 이 상황이 계속되고 있다고 밝혔다. 드 그루트의 조사에 따르면 온라인 쇼핑몰 침투에 가담한 단체는 여러 개로 나타났다. 2015년에 동일한 변종 악성코드가 있었고, 현재는 9개의 변종 악성코드로 된 3개의 기능적 악성코드군이 있다. 드 그루트에 따르면, 최초의 악성코드가 URL에서 확인 페이지만을 가로챘다. 그는 “최신 버전 역시 파이어체크아웃(Firecheckout), 원스텝체크아웃(Onestepcheckout), 페이팔(Paypal) 같은 대중적인 결제 플러그를 확인해 준다”고 전했다. 악성코드는 콘텐츠 관리 솔루션이나 웹사이트 주인이 패치하지 않은 전자상거래 소프트웨어에 알려진 취약점을 이용해 설치된다. 게다가 일부 온라인 쇼핑몰 주인이 이 문제의 심각성을 알고 있거나 얼마나 피해가 갈지를 이해하는 것처럼 보이지 않았다. 드 그루트는 정보 유출 사실에 대한 정보를 제공했을 때 기업들로부터 들었단 최악의 답변 몇 가지를 제시했다. 한 익명의 온라...

2016.10.14

"7천만 고객정보, 이렇게 빼냈다" 타깃 해킹 11단계

액티브 디렉토리(Active Directory) 모니터링 및 보호에 특화된 보안 기업 아오라토(Aorato)의 조사 결과에 따르면, 대형 소매업체인 타깃(Target)은 지난 해 발생한 데이터 침해 사건으로 많은 PII(Personal Identifiable Information, 개인 식별 정보), 신용카드, 현금카드 데이터를 도난 당했지만, PCI 컴플라이언스 프로그램 덕분에 피해 규모를 크게 줄일 수 있었다. 아오라토의 수석 연구원 탈 베리를 비롯한 연구팀은 공개된 자료와 보고서를 활용해 공격자들이 타깃 공격에 사용한 툴을 모두 분류했다. 타깃에 잠입한 방법, 네트워크에서 번식을 한 방법, 인터넷과 직접 연결되지 않은 PoS(Point of Sales) 시스템에서 신용카드 데이터를 훔친 방법 등을 단계별로 분석한 것이다. 아직 자세히 밝혀지지 않은 침해 방법이 많다. 그러나 베리는 어떻게 공격이 이뤄졌는지 이해하는 것이 아주 중요하다고 강조했다. 지난 주, 미국 국토안보부(DHS)와 비밀경호국(Secret Service)는 타깃의 PoS 시스템 공격에 사용된 맬웨어가 지난 몇 년간 다른 수많은 PoS 시스템을 감염시켰다는 내용을 골자로 하는 경고 보고서를 발표한 바 있다. 추적 기법은 '사이버 고생물학' 베리는 아오라토의 세부 분석 중 일부는 틀릴 수도 있다고 인정했다. 그러나 재구성 자체는 아주 정확하다고 확신했다. 베리는 "일종의 '사이버 고생물학(화석 분석)'이다. 타깃 사건에서 확인된 툴에 관해서는 많은 보고서가 나와있다. 그러나 공격자들이 이들 툴을 이용한 방법을 설명하고 있지는 않다. 공룡 뼈는 있는데, 그 뼈의 주인인 공룡이 어떤 모습을 하고 있는지 모르는 것과 마찬가지이다. 그러나 우리는 다른 공룡이 어떤 모습을 하고 있는지 안다. 이를 바탕으로 그 뼈의 주인인 공룡을 재구성할 수 있었다"고 말했다. 타깃의 데이터 침해 소식은 지난 20...

해킹 개인정보 맬웨어 유출 침해 침투 타깃 아오라토

2014.09.04

액티브 디렉토리(Active Directory) 모니터링 및 보호에 특화된 보안 기업 아오라토(Aorato)의 조사 결과에 따르면, 대형 소매업체인 타깃(Target)은 지난 해 발생한 데이터 침해 사건으로 많은 PII(Personal Identifiable Information, 개인 식별 정보), 신용카드, 현금카드 데이터를 도난 당했지만, PCI 컴플라이언스 프로그램 덕분에 피해 규모를 크게 줄일 수 있었다. 아오라토의 수석 연구원 탈 베리를 비롯한 연구팀은 공개된 자료와 보고서를 활용해 공격자들이 타깃 공격에 사용한 툴을 모두 분류했다. 타깃에 잠입한 방법, 네트워크에서 번식을 한 방법, 인터넷과 직접 연결되지 않은 PoS(Point of Sales) 시스템에서 신용카드 데이터를 훔친 방법 등을 단계별로 분석한 것이다. 아직 자세히 밝혀지지 않은 침해 방법이 많다. 그러나 베리는 어떻게 공격이 이뤄졌는지 이해하는 것이 아주 중요하다고 강조했다. 지난 주, 미국 국토안보부(DHS)와 비밀경호국(Secret Service)는 타깃의 PoS 시스템 공격에 사용된 맬웨어가 지난 몇 년간 다른 수많은 PoS 시스템을 감염시켰다는 내용을 골자로 하는 경고 보고서를 발표한 바 있다. 추적 기법은 '사이버 고생물학' 베리는 아오라토의 세부 분석 중 일부는 틀릴 수도 있다고 인정했다. 그러나 재구성 자체는 아주 정확하다고 확신했다. 베리는 "일종의 '사이버 고생물학(화석 분석)'이다. 타깃 사건에서 확인된 툴에 관해서는 많은 보고서가 나와있다. 그러나 공격자들이 이들 툴을 이용한 방법을 설명하고 있지는 않다. 공룡 뼈는 있는데, 그 뼈의 주인인 공룡이 어떤 모습을 하고 있는지 모르는 것과 마찬가지이다. 그러나 우리는 다른 공룡이 어떤 모습을 하고 있는지 안다. 이를 바탕으로 그 뼈의 주인인 공룡을 재구성할 수 있었다"고 말했다. 타깃의 데이터 침해 소식은 지난 20...

2014.09.04

보안 예산, 적소에 투입되고 있을까?

온라인 판매기업들이 IT보안에 쏟는 예산은 어마어마하다. 그러나 대다수의 전문가들은 예산과 노력을 정작 투입해야 할 분야가 따로 있다고 지적한다. 타깃(Target)에서 니만 마커스(Neiman Marcus), 마이클스(Michael's)… 지난 해 수 많은 온라인 판매기업의 데이터 유출 소식이 뉴스 헤드라인을 달궜다. 타깃의 경우에는 4,000만 건의 신용 카드 정보와 7,000만의 개인 신원 정보(PII) 데이터베이스 기록이 유출됐고 결국 기업의 CIO와 CEO가 사임하는 결과로 이어졌다. 여기에서 한 가지 의문이 든다, 기업들이 진행하는 보안 활동들이, 모두 올바른 방향으로 이뤄지고 있다고 할 수 있을까? 이번 달 프라이버시 및 보안 연구 기관 포네몬 인스티튜트(Ponemon Institute)와 데이터베이스 보안 전문 업체 DB 네트웍스(DB Networks)가 배포한 한 연구에 따르면 대다수의 보안 전문가들은 이러한 공격들의 주요 요소로 전통적인 SQL 주입 테크닉을 꼽고 있었다. SQL 주입은 1998년을 기점으로 널리 알려지기 시작한 공격 기법으로, 실행이 가능한 형태장(form field)이나 URI 스템(URI stem), 쿠키에 악성 SQL 구문을 주입함으로써 데이터베이스에 연결된 웹 애플리케이션의 취약점을 공격하는 방식으로 이뤄진다. 취약 애플리케이션에 의한 프로세싱은 데이터베이스에 악성 SQL(rogue SQL) 구문의 문제를 야기하게 되고, 이로 인해 일반적으로 접근 권한이 부여되지 않는 콘텐츠로의 접근과 그것의 변경, 제거가 발생할 수 있다. 극단적인 경우에는 SQL 주입을 통해 공격자가 데이터베이스가 위치하는 서버의 통제권을 획득하는 것 역시 가능하다. SQL 주입은 여전히 존재하며 위협적이다 포네몬 인스티튜트를 설립하고 현재는 회장으로 재직 중인 레리 포네몬은 “SQL 주입은 언제라도 온라인 판매기업들을 공격할 수 있는 요소다. 이는 오랜 기...

데이터 보안 누출 침투 쇼핑몰 SQL 주입 경계

2014.07.02

온라인 판매기업들이 IT보안에 쏟는 예산은 어마어마하다. 그러나 대다수의 전문가들은 예산과 노력을 정작 투입해야 할 분야가 따로 있다고 지적한다. 타깃(Target)에서 니만 마커스(Neiman Marcus), 마이클스(Michael's)… 지난 해 수 많은 온라인 판매기업의 데이터 유출 소식이 뉴스 헤드라인을 달궜다. 타깃의 경우에는 4,000만 건의 신용 카드 정보와 7,000만의 개인 신원 정보(PII) 데이터베이스 기록이 유출됐고 결국 기업의 CIO와 CEO가 사임하는 결과로 이어졌다. 여기에서 한 가지 의문이 든다, 기업들이 진행하는 보안 활동들이, 모두 올바른 방향으로 이뤄지고 있다고 할 수 있을까? 이번 달 프라이버시 및 보안 연구 기관 포네몬 인스티튜트(Ponemon Institute)와 데이터베이스 보안 전문 업체 DB 네트웍스(DB Networks)가 배포한 한 연구에 따르면 대다수의 보안 전문가들은 이러한 공격들의 주요 요소로 전통적인 SQL 주입 테크닉을 꼽고 있었다. SQL 주입은 1998년을 기점으로 널리 알려지기 시작한 공격 기법으로, 실행이 가능한 형태장(form field)이나 URI 스템(URI stem), 쿠키에 악성 SQL 구문을 주입함으로써 데이터베이스에 연결된 웹 애플리케이션의 취약점을 공격하는 방식으로 이뤄진다. 취약 애플리케이션에 의한 프로세싱은 데이터베이스에 악성 SQL(rogue SQL) 구문의 문제를 야기하게 되고, 이로 인해 일반적으로 접근 권한이 부여되지 않는 콘텐츠로의 접근과 그것의 변경, 제거가 발생할 수 있다. 극단적인 경우에는 SQL 주입을 통해 공격자가 데이터베이스가 위치하는 서버의 통제권을 획득하는 것 역시 가능하다. SQL 주입은 여전히 존재하며 위협적이다 포네몬 인스티튜트를 설립하고 현재는 회장으로 재직 중인 레리 포네몬은 “SQL 주입은 언제라도 온라인 판매기업들을 공격할 수 있는 요소다. 이는 오랜 기...

2014.07.02

세상을 놀라게 한 10대 해킹 사건

컴퓨터 및 네트워크 해킹의 역사는 컴퓨터와 네트워크 출현의 역사와 같이 한다. 동기는 단순한 호기심과 과대망상증에서부터 재정적 이익, 정치적 복수에 이르기까지 다양하다. 여기 역사상 신문 1면을 장식한 열 가지 해킹 사건을 소개한다. 마커스 헤스(Markus Hess), KGB를 대신해 해킹하다 1980년 소련 연방의 스파이로 뽑힌 독일 시민 헤스는 미국 국방부 컴퓨터를 해킹해 기밀 정보를 훔쳐 오라는 임무를 받았다. 헤스는 브레멘 대학(University of Bremen)에서 다텍스-페(Datex-P) 네트워크를 사용해 위성 링크(satellite link) 및 대서양 횡단 케이블(transatlantic cable)을 통해 타임네트 인터내셔널 게이트웨이(Tymnet International Gateway)에 도달했다. 그리고 결국 약 400 대의 미국 국방부 컴퓨터를 공격하는 데 성공했다. 그 중 일부는 독일 및 일본에 배치된 군사기지의 컴퓨터들이었고, 매사추세츠 주 케임브릿지 MIT소재의 컴퓨터와 펜타곤(Pentagon)의 옵티미스(OPTIMIS) 데이터베이스도 포함돼 있었다. 그의 이러한 해킹 행위는 결국 캘리포니아 로렌스 버클리 연구소(Lawrence Berkeley Laboratory, LBL)의 컴퓨터 센터 관리인인 클리포드 스톨에게 발각되었다. 그는 스파이 행위로 유죄 판결을 받았고 1년에서 3년 동안 수감되도록 판결 받았다. 헤스의 범죄 행위가 발각된 후, 스톨은 그 때의 경험에 대해 ‘뻐꾸기 알(The Cuckoo’s Egg)’이라는 책을 쓰기도 했다. 로버트 모리스(Robert Morris), 인터넷을 해킹하다 1988년 코넬 대학(Cornell University)을 졸업한 로버트 모리스는 인터넷 상에서 최초의 ‘웜(worm)’을 만들어 냈다. 모리스는 훗날 웜을 만들게 된 것이 누군가에게 피해를 주기 위함이 아니라, 웹의 규모를 알고 싶어서였다...

해킹 사고 침투 사건

2012.05.17

컴퓨터 및 네트워크 해킹의 역사는 컴퓨터와 네트워크 출현의 역사와 같이 한다. 동기는 단순한 호기심과 과대망상증에서부터 재정적 이익, 정치적 복수에 이르기까지 다양하다. 여기 역사상 신문 1면을 장식한 열 가지 해킹 사건을 소개한다. 마커스 헤스(Markus Hess), KGB를 대신해 해킹하다 1980년 소련 연방의 스파이로 뽑힌 독일 시민 헤스는 미국 국방부 컴퓨터를 해킹해 기밀 정보를 훔쳐 오라는 임무를 받았다. 헤스는 브레멘 대학(University of Bremen)에서 다텍스-페(Datex-P) 네트워크를 사용해 위성 링크(satellite link) 및 대서양 횡단 케이블(transatlantic cable)을 통해 타임네트 인터내셔널 게이트웨이(Tymnet International Gateway)에 도달했다. 그리고 결국 약 400 대의 미국 국방부 컴퓨터를 공격하는 데 성공했다. 그 중 일부는 독일 및 일본에 배치된 군사기지의 컴퓨터들이었고, 매사추세츠 주 케임브릿지 MIT소재의 컴퓨터와 펜타곤(Pentagon)의 옵티미스(OPTIMIS) 데이터베이스도 포함돼 있었다. 그의 이러한 해킹 행위는 결국 캘리포니아 로렌스 버클리 연구소(Lawrence Berkeley Laboratory, LBL)의 컴퓨터 센터 관리인인 클리포드 스톨에게 발각되었다. 그는 스파이 행위로 유죄 판결을 받았고 1년에서 3년 동안 수감되도록 판결 받았다. 헤스의 범죄 행위가 발각된 후, 스톨은 그 때의 경험에 대해 ‘뻐꾸기 알(The Cuckoo’s Egg)’이라는 책을 쓰기도 했다. 로버트 모리스(Robert Morris), 인터넷을 해킹하다 1988년 코넬 대학(Cornell University)을 졸업한 로버트 모리스는 인터넷 상에서 최초의 ‘웜(worm)’을 만들어 냈다. 모리스는 훗날 웜을 만들게 된 것이 누군가에게 피해를 주기 위함이 아니라, 웹의 규모를 알고 싶어서였다...

2012.05.17

인기절정의 '소셜 엔지니어링 툴킷'··· 3가지 활용 조언

2년 전, 모의해킹 테스터 및 소셜 엔지니어링 전문가, 웹사이트인 소셜-엔지니어닷컴(social-engineer.com)의 필진으로 활동하고 있는 데이브 케네디는 소셜 엔지니어링 공격을 시뮬레이션하기 위한 침투 테스터용 툴을 만들고자 했다. 케네디는 그 결과 소셜 엔지니어링 툴킷(SET ; Social Engineering Toolkit)을 구축했다. 'social-engineer.org'에서 무료로 다운로드 받을 수 있는 이 툴킷은 모의해킹 테스트 동안 조직과 특정인을 대상으로 하고, 초점을 맞춘 공격법을 내장하고 있다. 현재 보안 시스템 벤더인 디볼드(DIebold)의 CSO를 맡고 있는 케네디는 이 툴킷이 놀랄 만큼 인기를 끌었다고 전했다. 많은 사람들이 소셜 엔지니어링 기반 공격을 대상으로 한 침투 테스트에 표준과 같은 도구로 이 툴킷을 활용하고 있다는 것이다. 케네디에 따르면, 정기적으로 추가되고 업데이트되는 SET는 그 다운로드 횟수가 매번 100만 회에 달할 정도다. 케네디는 CSO와 인터뷰에서 소셜 엔지니어링 툴킷을 가장 효과적으로 활용할 수 있는 방법을 소개했다. 각자 조사하고 준비한다 케네디는 "침투 테스터가 기업의 가상 공격자를 시뮬레이션할 때는 흠잡을 데 없는 가장 최신 취약점 공격 소프트웨어를 실행시켜야 한다. 그러나 나 같은 경우 이런 취약점 공격 소프트웨어를 이용하지 않는다. 내가 개발한 소셜 엔지니어링 툴킷은 이런 취약점 공격을 레버리지로 삼지 않기 때문이다. 자바와 이메일 등을 적법하게 사용해 공격을 하는 방법을 레버리지로 삼고 있다"고 말했다. 그러나 케네디는 각 회사별로 성공 확률이 높은 방법을 판단해 침투 테스트를 해야 한다고 지적했다. 그는 "침투 테스트 목적에 맞도록 학습을 하고, 이를 바탕으로 공격을 무산시키는 시스템을 구축해야 한다. 사업 방식, 자회사, 가장 마찰이 적은 경로 등을 파악하는 것이다. 많은 경우, 회사 웹사이트 곳곳을 살피고, 링크...

침투 소셜 엔지니어링 툴킷 SEC 소셜 공학 도구 모의해킹

2012.04.30

2년 전, 모의해킹 테스터 및 소셜 엔지니어링 전문가, 웹사이트인 소셜-엔지니어닷컴(social-engineer.com)의 필진으로 활동하고 있는 데이브 케네디는 소셜 엔지니어링 공격을 시뮬레이션하기 위한 침투 테스터용 툴을 만들고자 했다. 케네디는 그 결과 소셜 엔지니어링 툴킷(SET ; Social Engineering Toolkit)을 구축했다. 'social-engineer.org'에서 무료로 다운로드 받을 수 있는 이 툴킷은 모의해킹 테스트 동안 조직과 특정인을 대상으로 하고, 초점을 맞춘 공격법을 내장하고 있다. 현재 보안 시스템 벤더인 디볼드(DIebold)의 CSO를 맡고 있는 케네디는 이 툴킷이 놀랄 만큼 인기를 끌었다고 전했다. 많은 사람들이 소셜 엔지니어링 기반 공격을 대상으로 한 침투 테스트에 표준과 같은 도구로 이 툴킷을 활용하고 있다는 것이다. 케네디에 따르면, 정기적으로 추가되고 업데이트되는 SET는 그 다운로드 횟수가 매번 100만 회에 달할 정도다. 케네디는 CSO와 인터뷰에서 소셜 엔지니어링 툴킷을 가장 효과적으로 활용할 수 있는 방법을 소개했다. 각자 조사하고 준비한다 케네디는 "침투 테스터가 기업의 가상 공격자를 시뮬레이션할 때는 흠잡을 데 없는 가장 최신 취약점 공격 소프트웨어를 실행시켜야 한다. 그러나 나 같은 경우 이런 취약점 공격 소프트웨어를 이용하지 않는다. 내가 개발한 소셜 엔지니어링 툴킷은 이런 취약점 공격을 레버리지로 삼지 않기 때문이다. 자바와 이메일 등을 적법하게 사용해 공격을 하는 방법을 레버리지로 삼고 있다"고 말했다. 그러나 케네디는 각 회사별로 성공 확률이 높은 방법을 판단해 침투 테스트를 해야 한다고 지적했다. 그는 "침투 테스트 목적에 맞도록 학습을 하고, 이를 바탕으로 공격을 무산시키는 시스템을 구축해야 한다. 사업 방식, 자회사, 가장 마찰이 적은 경로 등을 파악하는 것이다. 많은 경우, 회사 웹사이트 곳곳을 살피고, 링크...

2012.04.30

조사 | “기업내 침투한 소비자 기술, IT부서 위협”

IT부서들이 소비자 IT에 대한 사용자들의 비현실적인 기대치와 핵심 툴 부족으로 고군분투하고 있다. 기업내 클라우드 기반 애플리케이션과 SaaS의 도입이 보안, 규제, 기본 인프라와 애플리케이션 관리 등 최근 몇 년 이상 IT부서가 이뤄온 IT성숙도 노력을 약화시킬 수 있다는 조사 결과가 나왔다. 컴퓨웨어의 밴슨 번이 CIO 520명을 대상으로 한 이 조사에 따르면, 응답자 73%는 애플리케이션 성능 관리 역량이 성숙하지 못해 기업내 소비자IT 도입이 제한될 것으로 답했다. 반면, 64%는 클라우드와 SaaS 제공업체 성능에 대한 투명성 부족으로 IT부서가 일궈 놓은 베스트 프랙티스와 숙련된 IT가 후퇴할 것을 우려하는 것으로 조사됐다. 전반적으로 86%의 응답자들은 애플리케이션 사용자 경험에 대한 깊은 통찰력이 IT성숙도를 개선한다고 말했다. “현재 기업의 애플리케이션과 상호 접속하는 수백 명 또는 수천 명의 직원이나 고객이 있다. 그러나 이 애플리케이션들이 전에는 기업 데이터센터에서 제공됐기 때문에 CIO가 이를 모니터링할 수 있었다”라고 컴퓨웨어의 APM 사업부의 CTO 스티브 태크는 테크월드와의 인터뷰에서 이같이 밝혔다. 태크는 “아마도 모바일 네트워크를 통해 제3의 데이터센터에 있는 애플리케이션들이 제공되는 지금은 더 이상 CIO들에게 예전과 같은 수준의 가시성은 없다”라고 덧붙였다. 태크에 따르면, 애플리케이션 성능 관리(APM)는 기업들이 최종 사용자단에서 측정할 수 있게 해주기 때문에 클라우드 업체의 서비스 성능이 떨어진다면 선택 결정을 보류할 수 있게 해준다. “CIO가 많은 에너지와 노력을 들여 자체적으로 개발한 애플리케이션의 성숙도를 높이는데 쏟을 조직을 구했다면, CIO가 클라우드 기반 제공 앱과 SaaS 애플리케이션에 대해 같은 수준의 성숙도를 가지고 제공하게 하는 APM 전략을 가지고 있지 않다면, 아마도 이러한 소비자화 트렌드를 수용할 능력을 ...

클라우드 모바일 CIO IT부서 SNS 소비자IT 컴퓨웨어 위협 침투

2011.12.15

IT부서들이 소비자 IT에 대한 사용자들의 비현실적인 기대치와 핵심 툴 부족으로 고군분투하고 있다. 기업내 클라우드 기반 애플리케이션과 SaaS의 도입이 보안, 규제, 기본 인프라와 애플리케이션 관리 등 최근 몇 년 이상 IT부서가 이뤄온 IT성숙도 노력을 약화시킬 수 있다는 조사 결과가 나왔다. 컴퓨웨어의 밴슨 번이 CIO 520명을 대상으로 한 이 조사에 따르면, 응답자 73%는 애플리케이션 성능 관리 역량이 성숙하지 못해 기업내 소비자IT 도입이 제한될 것으로 답했다. 반면, 64%는 클라우드와 SaaS 제공업체 성능에 대한 투명성 부족으로 IT부서가 일궈 놓은 베스트 프랙티스와 숙련된 IT가 후퇴할 것을 우려하는 것으로 조사됐다. 전반적으로 86%의 응답자들은 애플리케이션 사용자 경험에 대한 깊은 통찰력이 IT성숙도를 개선한다고 말했다. “현재 기업의 애플리케이션과 상호 접속하는 수백 명 또는 수천 명의 직원이나 고객이 있다. 그러나 이 애플리케이션들이 전에는 기업 데이터센터에서 제공됐기 때문에 CIO가 이를 모니터링할 수 있었다”라고 컴퓨웨어의 APM 사업부의 CTO 스티브 태크는 테크월드와의 인터뷰에서 이같이 밝혔다. 태크는 “아마도 모바일 네트워크를 통해 제3의 데이터센터에 있는 애플리케이션들이 제공되는 지금은 더 이상 CIO들에게 예전과 같은 수준의 가시성은 없다”라고 덧붙였다. 태크에 따르면, 애플리케이션 성능 관리(APM)는 기업들이 최종 사용자단에서 측정할 수 있게 해주기 때문에 클라우드 업체의 서비스 성능이 떨어진다면 선택 결정을 보류할 수 있게 해준다. “CIO가 많은 에너지와 노력을 들여 자체적으로 개발한 애플리케이션의 성숙도를 높이는데 쏟을 조직을 구했다면, CIO가 클라우드 기반 제공 앱과 SaaS 애플리케이션에 대해 같은 수준의 성숙도를 가지고 제공하게 하는 APM 전략을 가지고 있지 않다면, 아마도 이러한 소비자화 트렌드를 수용할 능력을 ...

2011.12.15

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5