Offcanvas

������

'그럴싸한' 보안 낭설 14가지

보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다. 우리 회사엔 훔치거나 보호할만한 것이 없다 모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다. 공격 당할 가능성이 희박하다 공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다. 컴플라이언스와 보안은 거의 같다 많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다. 무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다 시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 ...

보안 속설 내부자 위협 낭설 미신 이중인증 해커 피싱 해킹 로그 데이터

2016.10.04

보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다. 우리 회사엔 훔치거나 보호할만한 것이 없다 모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다. 공격 당할 가능성이 희박하다 공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다. 컴플라이언스와 보안은 거의 같다 많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다. 무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다 시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 ...

2016.10.04

‘그럴싸한데?’ 보안 분야 13가지 낭설들 ②

IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다. ->‘그럴싸한데?’ 보안 분야 13가지 낭설들 ① 미신 No 7 “바이러스에 감염되면 그 증상이 반드시 스크린에 나타날 것이다.” “보통 사람들에게 컴퓨터 바이러스란 이야기꺼리에 가까운 존재일 것이다. 일반인들이 맬웨어에 대해 알고 있는 지식들은 대부분 공상과학 소설이나 텔레비전, 또는 영화에서 얻은 것들이기 때문이다” 라고 지 데이터 소프트웨어(G Data Software)북미 지점의 사장 데이빗 페리는 말했다. “특히, 컴퓨터 바이러스가 파일을 녹여버리거나 컴퓨터를 불태우는 등 반드시 눈에 보이는 어떤 증상을 남길 것이라는 통념이 정말 재미있다. 이러한 생각은 사용자들이 컴퓨터에 생긴 모든 문제를 바이러스 탓으로 돌릴 때까지 계속된다. 그리고 그토록 가시적인 문제가 없다는 점은 그 시스템이 그만큼 맬웨어에 감염되지 않았다는 걸 의미한다”고 그는 덧붙였다. 미신 No 8 “우리 회사는 해킹의 표적이 되지 않을 것이다.” 크롤(Kroll)의 사이버보안 및 정보보호(information assurance)부서의 상무인 앨런 브릴은 “대부분 피해자들이 이런 이야기를 한다. 자신들이 해킹의 대상이 될 만한 가치가 없다고 생각하는 피해자들 말이다. 그들 대부분이 자신들은 소규모 업체이기 때문에 누군가 자신을 노릴 것이란 생각을 못한다. 또 어떤 기업들은 자신들이 사회보장번호나 신용카드 정보 등과 같은 중요 정보를 보관하지 않기 때문에 표적이 될 리 없다고 생각한다. 그러나 그러한 생각들은 대부분 잘못된 것들이다” 라고 지적했다. 미신 No 9 “소프트웨어는 보안의...

보안 오해 SSL 바이러스 미신 낭설 방화벽

2012.02.17

IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다. ->‘그럴싸한데?’ 보안 분야 13가지 낭설들 ① 미신 No 7 “바이러스에 감염되면 그 증상이 반드시 스크린에 나타날 것이다.” “보통 사람들에게 컴퓨터 바이러스란 이야기꺼리에 가까운 존재일 것이다. 일반인들이 맬웨어에 대해 알고 있는 지식들은 대부분 공상과학 소설이나 텔레비전, 또는 영화에서 얻은 것들이기 때문이다” 라고 지 데이터 소프트웨어(G Data Software)북미 지점의 사장 데이빗 페리는 말했다. “특히, 컴퓨터 바이러스가 파일을 녹여버리거나 컴퓨터를 불태우는 등 반드시 눈에 보이는 어떤 증상을 남길 것이라는 통념이 정말 재미있다. 이러한 생각은 사용자들이 컴퓨터에 생긴 모든 문제를 바이러스 탓으로 돌릴 때까지 계속된다. 그리고 그토록 가시적인 문제가 없다는 점은 그 시스템이 그만큼 맬웨어에 감염되지 않았다는 걸 의미한다”고 그는 덧붙였다. 미신 No 8 “우리 회사는 해킹의 표적이 되지 않을 것이다.” 크롤(Kroll)의 사이버보안 및 정보보호(information assurance)부서의 상무인 앨런 브릴은 “대부분 피해자들이 이런 이야기를 한다. 자신들이 해킹의 대상이 될 만한 가치가 없다고 생각하는 피해자들 말이다. 그들 대부분이 자신들은 소규모 업체이기 때문에 누군가 자신을 노릴 것이란 생각을 못한다. 또 어떤 기업들은 자신들이 사회보장번호나 신용카드 정보 등과 같은 중요 정보를 보관하지 않기 때문에 표적이 될 리 없다고 생각한다. 그러나 그러한 생각들은 대부분 잘못된 것들이다” 라고 지적했다. 미신 No 9 “소프트웨어는 보안의...

2012.02.17

‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①

IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다. -> ‘그럴싸한데?’ 보안 분야 13가지 낭설들 ② 미신 No. 1 “보안은 강화하면 할수록 좋다?” 컴퓨터 보안 전문가 브루스 슈나이어는 그의 가장 최신작 “라이어 앤 아웃라이어(Liars and Outliers)”를 포함해 여러 권의 책을 쓴 저술가다. 그는 “보안에 관해서는 아무리 주의를 기울여도 모자라다”라는 통념이 사실은 정답에서 한참 빗나간 생각이라고 지적했다. 그의 말이다. “보안을 강화하는 것이 반드시 더 나은 방법이라고 할 수는 없다. 보안을 유지하는 데는 언제나 대가가 따르기 때문에, 그럴 만한 가치가 없는 일에 지나치게 많은 돈을 들여 보안을 할 필요는 없다. 예를 들면, 도넛 하나를 지키기 위해 10만 달러라는 돈을 쓸 필요는 없을 것이다. 물론, 그 돈을 쓰면 도넛을 안전하게 지킬 순 있겠지만, 차라리 그 돈으로 도넛을 여러 개 사는 편이 나을 것이다.” 그는 또, “부가적인 보안에 따른 수익은 점점 줄어들 수 밖에 없다. 예를 들어, 상점 절도와 같은 특정 범죄 발생률을 25% 가량 줄이기 위해 드는 비용은 언제나 일정하지 않고 시간이 갈수록 늘어나게 된다. 그 다음 번에 똑같이 범죄 발생률을 25% 낮추려면 더 많은 돈을 써야 한다. 보안도 이와 마찬가지로, 결국 언젠가는 부가적인 보안 조치가 효과가 없어지는 시점이 오게 된다. 따라서, 완벽한 보안이란 필연적으로 불가능한 일이다”라고 덧붙였다. 경우에 따라서 보안은 도덕적인 선택으로까지 그 의미가 확대될 수 있으며, 전체주의 국가에서 그러하듯이 보안에 따르는 것이 비도덕적인 결정이 될 수도 ...

보안 맬웨어 오해 비밀번호 미신 디도스 낭설

2012.02.17

IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다. -> ‘그럴싸한데?’ 보안 분야 13가지 낭설들 ② 미신 No. 1 “보안은 강화하면 할수록 좋다?” 컴퓨터 보안 전문가 브루스 슈나이어는 그의 가장 최신작 “라이어 앤 아웃라이어(Liars and Outliers)”를 포함해 여러 권의 책을 쓴 저술가다. 그는 “보안에 관해서는 아무리 주의를 기울여도 모자라다”라는 통념이 사실은 정답에서 한참 빗나간 생각이라고 지적했다. 그의 말이다. “보안을 강화하는 것이 반드시 더 나은 방법이라고 할 수는 없다. 보안을 유지하는 데는 언제나 대가가 따르기 때문에, 그럴 만한 가치가 없는 일에 지나치게 많은 돈을 들여 보안을 할 필요는 없다. 예를 들면, 도넛 하나를 지키기 위해 10만 달러라는 돈을 쓸 필요는 없을 것이다. 물론, 그 돈을 쓰면 도넛을 안전하게 지킬 순 있겠지만, 차라리 그 돈으로 도넛을 여러 개 사는 편이 나을 것이다.” 그는 또, “부가적인 보안에 따른 수익은 점점 줄어들 수 밖에 없다. 예를 들어, 상점 절도와 같은 특정 범죄 발생률을 25% 가량 줄이기 위해 드는 비용은 언제나 일정하지 않고 시간이 갈수록 늘어나게 된다. 그 다음 번에 똑같이 범죄 발생률을 25% 낮추려면 더 많은 돈을 써야 한다. 보안도 이와 마찬가지로, 결국 언젠가는 부가적인 보안 조치가 효과가 없어지는 시점이 오게 된다. 따라서, 완벽한 보안이란 필연적으로 불가능한 일이다”라고 덧붙였다. 경우에 따라서 보안은 도덕적인 선택으로까지 그 의미가 확대될 수 있으며, 전체주의 국가에서 그러하듯이 보안에 따르는 것이 비도덕적인 결정이 될 수도 ...

2012.02.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31