Offcanvas

������ ������

블로그ㅣ새 스파이웨어 ‘폰스파이’가 기업 IT 보안에 시사하는 바

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

스파이웨어 악성코드 악성 앱 안드로이드 iOS 앱스토어 구글 플레이 애플리케이션 BYOD 보안 기업 보안 CISO 모바일

2021.11.19

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

2021.11.19

기고ㅣ고급 사이버 범죄의 수익성이 높아지는 이유와 그 대응책

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

카스퍼스키 사이버 범죄 보안 사고 기업 보안 보안 인공지능 엔드포인트 보안 깃허브 APT급 공격

2021.11.05

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

2021.11.05

“새 접근법이 필요하다”··· 가트너, 2022년 기업 보안 동향 8가지 발표

가트너가 2022년 주목해야 할 8가지 기업 보안 동향을 발표했다. 아이덴티티 관리, 하이브리드 근무, 보안 제품 통합 등이 기업 보안과 관련된 핵심 트렌드로 선정됐다.   최근 기업에서 중앙집권적 통제가 약화되면서 새로운 보안 문제들이 대두되고 있다. 가트너 애널리스트들은 이들 위협에 대응하기 위해 새로운 방법이 필요하다고 조언한다. 네트워크 보안의 기본 공식을 변화시킬 위협들이기 때문이다. 가트너 부사장 피터 퍼스트브룩은 끊임없이 진화하는 보안 문제를 다룰 수 있는 IT 전문가 영입이 중요하면서도 지속적인 숙제라고 말했다. 퍼스트브룩은 "사이버보안 팀에게는 수많은 형태의 디지털 트랜스포메이션과 다른 여러 신기술을 보호해야할 책무가 있다"라며, "숙련된 전문가가 없으면 원하는대로 제어할 수 없는 매니지드 또는 클라우드 제공 서비스를 채택하는 것이 불가피해진다"라고 말했다. 퍼스트브룩은 또 "최근 랜섬웨어 공격과 기업 피싱이 폭발적으로 증가하는 가운데 공격자들이 더 끈질긴 양상을 보이고 있다”라며 “공격자들이 사이버 공격을 서비스로 제공하는 등 전문성을 높여가고 있다. 이에 따라 공격자가 되기 위한 장벽이 낮아지고 있고 사이버 공격의 수가 크게 늘 수 있다"라고 우려했다. 가트너가 제시한 보안 및 위험 관리 분야 8개 트렌드는 다음과 같다. 뉴노멀이 된 원격/하이브리드 근무 원격 또는 하이브리드 근무자의 비중은 향후 2년 사이 30% 증가할 것으로 예상된다. 퍼스트브룩은 기업들이 거주지와 상관없이 숙련된 직원을 채용할 수 있다는 게 원격근무의 큰 장점이라고 말했다. 하지만 이 같은 형태로 인력이 고용되면 새로운 보안 문제가 발생할 수 있다. (원격 근무 도입으로) 온프레미스 보안 도구 및 하드웨어를 많이 활용하지 않게 되면서 기업들이 클라우드 보안에 중점을 두는 경향이 나타난다. 이를 통해 기업들은 엔드포인트의 위치와 상관없이 (보안과 관련된) 가시성과 통제권을 확보할 수 있다고 퍼스트브룩은 말했다. 사이버보안 메시 아키텍처(CSMA) 가...

가트너 2022년 기업 보안 하이브리드근무 원격근무 아이덴티티 보안정책 CSO

2021.10.20

가트너가 2022년 주목해야 할 8가지 기업 보안 동향을 발표했다. 아이덴티티 관리, 하이브리드 근무, 보안 제품 통합 등이 기업 보안과 관련된 핵심 트렌드로 선정됐다.   최근 기업에서 중앙집권적 통제가 약화되면서 새로운 보안 문제들이 대두되고 있다. 가트너 애널리스트들은 이들 위협에 대응하기 위해 새로운 방법이 필요하다고 조언한다. 네트워크 보안의 기본 공식을 변화시킬 위협들이기 때문이다. 가트너 부사장 피터 퍼스트브룩은 끊임없이 진화하는 보안 문제를 다룰 수 있는 IT 전문가 영입이 중요하면서도 지속적인 숙제라고 말했다. 퍼스트브룩은 "사이버보안 팀에게는 수많은 형태의 디지털 트랜스포메이션과 다른 여러 신기술을 보호해야할 책무가 있다"라며, "숙련된 전문가가 없으면 원하는대로 제어할 수 없는 매니지드 또는 클라우드 제공 서비스를 채택하는 것이 불가피해진다"라고 말했다. 퍼스트브룩은 또 "최근 랜섬웨어 공격과 기업 피싱이 폭발적으로 증가하는 가운데 공격자들이 더 끈질긴 양상을 보이고 있다”라며 “공격자들이 사이버 공격을 서비스로 제공하는 등 전문성을 높여가고 있다. 이에 따라 공격자가 되기 위한 장벽이 낮아지고 있고 사이버 공격의 수가 크게 늘 수 있다"라고 우려했다. 가트너가 제시한 보안 및 위험 관리 분야 8개 트렌드는 다음과 같다. 뉴노멀이 된 원격/하이브리드 근무 원격 또는 하이브리드 근무자의 비중은 향후 2년 사이 30% 증가할 것으로 예상된다. 퍼스트브룩은 기업들이 거주지와 상관없이 숙련된 직원을 채용할 수 있다는 게 원격근무의 큰 장점이라고 말했다. 하지만 이 같은 형태로 인력이 고용되면 새로운 보안 문제가 발생할 수 있다. (원격 근무 도입으로) 온프레미스 보안 도구 및 하드웨어를 많이 활용하지 않게 되면서 기업들이 클라우드 보안에 중점을 두는 경향이 나타난다. 이를 통해 기업들은 엔드포인트의 위치와 상관없이 (보안과 관련된) 가시성과 통제권을 확보할 수 있다고 퍼스트브룩은 말했다. 사이버보안 메시 아키텍처(CSMA) 가...

2021.10.20

엑셀로 관리하고 시스템 계정 간과하고... "특권 계정 관리, 기업 50% 이상이 부실"

최근 한 조사에서 절반 이상의 조직이 고급 계정(privileged account) 보안과 관련해 하위 등급을 받았다. 해커들은 이러한 특권 계정을 악용함으로써 네트워크 곳곳에 침투할 수 있다.  최근 한 조사에 의하면 대부분의 기업들이 '왕국으로의 열쇠'를 안전하게 지키지 못 하고 있는 것으로 드러났다. 지난주 고급 계정 관리 전문 업체 사이코틱(Thycotic)과 보안 연구 기업 사이버시큐리티 벤처스는 2016년 고급 계정 관리 실태 보고서를 발표했다. 이번 조사는 고급 계정 비밀번호 취약점 조사에 참여한 500명 상당의 IT보안 전문가를 대상으로 실시됐다. 고급 계정 관리, 절반 이상이 부적격 해당 조사에 따르면 응답자의 약 80%가 고급 계정 관리의 우선순위를 높게 설정하고 있었고 응답자의 60%는 정부 규제에 따라 고급 계정 관리와 관련해 컴플라이언스 조치를 마련해야 하는 조직이었다. 그럼에도 불구하고 응답자 소속 기업의 52%가 고급 기밀 관리와 관련해 부적격 등급을 받았다. 사이코틱에서 EMEA 제품 마케팅 및 글로벌 전략적 협력 업무를 담당하고 있는 조셉 카슨CISSP(Certified Information Systems Security Professional)는 고급 계정 정보가 저장된 기기 및 시스템의 수가 급격하게 증가하고 있다는 점이 특히 문제라고 강조했다. 그럼에도 불구하고 고급 계정을 관리할 때 아직도 엑셀과 같은 비전문적인 방식에 의존하는 조직이 무려 66%에 달해 문제가 더 심각하다는 지적이다.  그는 "(직원들이) 더 많은 기기를 자주 이용하게 되다 보니, 조직들은 간단한 기본 조치만 실시한다"라면서 "조직들이 네트워크 장비, 스위치, 사물인터넷 기기 등 모든 기기들을 비전문적으로 관리하고 있다. 만약 이런 관리조차 없었다면 기본값 상태로 방치됐을 것"이라고 말했다. 고급 계정에는 기계도 포함 조직은 고급 계정을...

CISO 기업 보안 사이버 보안 고급 계정 관리

2016.07.26

최근 한 조사에서 절반 이상의 조직이 고급 계정(privileged account) 보안과 관련해 하위 등급을 받았다. 해커들은 이러한 특권 계정을 악용함으로써 네트워크 곳곳에 침투할 수 있다.  최근 한 조사에 의하면 대부분의 기업들이 '왕국으로의 열쇠'를 안전하게 지키지 못 하고 있는 것으로 드러났다. 지난주 고급 계정 관리 전문 업체 사이코틱(Thycotic)과 보안 연구 기업 사이버시큐리티 벤처스는 2016년 고급 계정 관리 실태 보고서를 발표했다. 이번 조사는 고급 계정 비밀번호 취약점 조사에 참여한 500명 상당의 IT보안 전문가를 대상으로 실시됐다. 고급 계정 관리, 절반 이상이 부적격 해당 조사에 따르면 응답자의 약 80%가 고급 계정 관리의 우선순위를 높게 설정하고 있었고 응답자의 60%는 정부 규제에 따라 고급 계정 관리와 관련해 컴플라이언스 조치를 마련해야 하는 조직이었다. 그럼에도 불구하고 응답자 소속 기업의 52%가 고급 기밀 관리와 관련해 부적격 등급을 받았다. 사이코틱에서 EMEA 제품 마케팅 및 글로벌 전략적 협력 업무를 담당하고 있는 조셉 카슨CISSP(Certified Information Systems Security Professional)는 고급 계정 정보가 저장된 기기 및 시스템의 수가 급격하게 증가하고 있다는 점이 특히 문제라고 강조했다. 그럼에도 불구하고 고급 계정을 관리할 때 아직도 엑셀과 같은 비전문적인 방식에 의존하는 조직이 무려 66%에 달해 문제가 더 심각하다는 지적이다.  그는 "(직원들이) 더 많은 기기를 자주 이용하게 되다 보니, 조직들은 간단한 기본 조치만 실시한다"라면서 "조직들이 네트워크 장비, 스위치, 사물인터넷 기기 등 모든 기기들을 비전문적으로 관리하고 있다. 만약 이런 관리조차 없었다면 기본값 상태로 방치됐을 것"이라고 말했다. 고급 계정에는 기계도 포함 조직은 고급 계정을...

2016.07.26

웨어러블, 기업 데이터 침해 가능성은?

스마트폰이 초래했던 보안 위협의 데자뷰다. 스마트워치 등 웨어러블 기기가 기업 데이터를 유출시킬 수 있어 주의가 요구된다는 지적이 제기된다. Image Credit : Getty Images Bank 스마트워치와 기타 웨어러블이 인기를 얻으면서 기업 내 데이터 보안 위험성에 대해 경고하는 전문가들이 늘고 있다. 이미 일부 직원들은 자신의 개인용 스마트워치를 기업 무선랜 네트워크에 연결하기 시작했는데, 이는 수 년 전 직장에서 개인용 스마트폰이 등장했을 때와 같은 문제가 유발될 수 있다는 것이다. 한 벤더들이 쏟아냈던 바 있다. “마치 BYOD가 스테로이드를 복용한 것처럼 보인다”라고 국립 노동 및 고용 법률 기업 피셔 필립스(Fisher Phillips)의 변호사 피터 길레스피는 표현했다. 길레스피는 스마트워치를 이용한 이메일 첨부 또는 내부 생산성 소프트웨어가 허용됨에 따라 중요한 기업 및 개인 정보가 분실, 도난, 오류 발생될 가능성이 발생하고 있다고 지적했다. 그러나 이제 갓 등장한 이 문제와 이로 인한 위험성을 이해하는 기업들이 거의 없는 것 같다고 그는 진단했다. 그는 “현재 웨어러블 기기 다수는 기업 중추 네트워크에 연결되지 않기 때문에 중요한 문제로 간주되지 않는다. 하지만 IT 및 HR 부서는 웨어러블 기기 다수가 기업 데이터 보안을 염두에 두고 설계되지 않았음을 인지해야 한다”라고 말했다. 그에 따르면 많은 스마트워치가 블루투스(Bluetooth)를 이용해 스마트폰을 통해 연결된다. 하지만 일부는 셀룰러 연결성을 자체적으로 내장하고 있어 GPS 위치 및 기타 데이터를 제공할 수 있다. 만약 기업 디렉토리 및 기타 기업 데이터에 연결된다면 데이터가 해킹될 가능성이 분명 있다. 또는 회사가 네트워크를 어떻게 구성하느냐에 따라 사용자의 건강 및 피트니스 데이터가 해킹될 수도 있다. 길레스피는 “이로 인해 어떤 문제가 발생할지를 예측하기란 매우 어렵다&rdq...

데이터 프라이버시 기업 보안 웨어러블

2016.07.19

스마트폰이 초래했던 보안 위협의 데자뷰다. 스마트워치 등 웨어러블 기기가 기업 데이터를 유출시킬 수 있어 주의가 요구된다는 지적이 제기된다. Image Credit : Getty Images Bank 스마트워치와 기타 웨어러블이 인기를 얻으면서 기업 내 데이터 보안 위험성에 대해 경고하는 전문가들이 늘고 있다. 이미 일부 직원들은 자신의 개인용 스마트워치를 기업 무선랜 네트워크에 연결하기 시작했는데, 이는 수 년 전 직장에서 개인용 스마트폰이 등장했을 때와 같은 문제가 유발될 수 있다는 것이다. 한 벤더들이 쏟아냈던 바 있다. “마치 BYOD가 스테로이드를 복용한 것처럼 보인다”라고 국립 노동 및 고용 법률 기업 피셔 필립스(Fisher Phillips)의 변호사 피터 길레스피는 표현했다. 길레스피는 스마트워치를 이용한 이메일 첨부 또는 내부 생산성 소프트웨어가 허용됨에 따라 중요한 기업 및 개인 정보가 분실, 도난, 오류 발생될 가능성이 발생하고 있다고 지적했다. 그러나 이제 갓 등장한 이 문제와 이로 인한 위험성을 이해하는 기업들이 거의 없는 것 같다고 그는 진단했다. 그는 “현재 웨어러블 기기 다수는 기업 중추 네트워크에 연결되지 않기 때문에 중요한 문제로 간주되지 않는다. 하지만 IT 및 HR 부서는 웨어러블 기기 다수가 기업 데이터 보안을 염두에 두고 설계되지 않았음을 인지해야 한다”라고 말했다. 그에 따르면 많은 스마트워치가 블루투스(Bluetooth)를 이용해 스마트폰을 통해 연결된다. 하지만 일부는 셀룰러 연결성을 자체적으로 내장하고 있어 GPS 위치 및 기타 데이터를 제공할 수 있다. 만약 기업 디렉토리 및 기타 기업 데이터에 연결된다면 데이터가 해킹될 가능성이 분명 있다. 또는 회사가 네트워크를 어떻게 구성하느냐에 따라 사용자의 건강 및 피트니스 데이터가 해킹될 수도 있다. 길레스피는 “이로 인해 어떤 문제가 발생할지를 예측하기란 매우 어렵다&rdq...

2016.07.19

'업계에서 들을 수 없는' 계층별 보안의 어두운 면

단일 계층의 방어로는 더 이상 공격자를 막아내기에 역부족인 상황에서 계층별 보안이 현재 기업을 위한 최선의 방법으로 간주되고 있다. 그러나 이런 계층별 보안이 때로는 의도하지 않은 결과를 유발하고, 심할 경우 오히려 보안 수준을 떨어뜨리기도 한다. 복잡성(Complexity) 시스코 보안 비즈니스 그룹 수석 엔지니어인 제이슨 블베닉은 무려 80여 가지의 보안 기술을 계층별로 적용한 기업도 있다고 말했다. 블베닉은 "무조건적으로 동종 최상의 기술로 계층별 보안과 심층 방어를 추구하면서 보안 기술이 난립하고 있다"면서, "기술이 상호 충돌하면서 운영 비용이 상승하는 사례가 많다"고 지적했다. 사이버 보안 인텔리전스 업체인 노즈 코퍼레이션(Norse Corp.)의 최고 보안 전략가이자 SVP 필드 엔지니어인 브라이언 콘토스는 "계층별 보안은 보안 담당자 사이에서 수십 년 동안 논의된 체계"라며, "이론적으로는 완벽하지만 잘못 실행할 경우 보안의 가장 큰 적, 복잡성으로 이어진다"고 말했다. 전체적인 계획을 염두에 두지 않으면 개별 제품에 지나치게 많은 비용을 투자하고 상호 중복되는 시스템을 구입하거나 계층 사이에 보호되지 않는 공백을 유발할 수 있다. 미국 샌프란시스코에 소재한 클라우드패시지(CloudPassage) 공동 창업자이자 CEO 카슨 스위트는 "보안 조직이 '지금 당장의 큰 위협'을 해결하는 기술을 무턱대고 선택하는 경우를 아주 흔히 볼 수 있다"며, "특히 포인트 솔루션 벤더들이 최신 FUD(Fear, Uncertainty, Doubt)에 대해 보안 구매자들의 불안을 부추기는 상황에서는 장기적인 관점을 유지하는 것이 매우 중요하다"고 말했다. 시스코의 블베닉은 "또한 너무 많은 보안 기술을 구매하게 되면 관리되지 않거나 부실하게 관리되는 시스템이 나올 수 있다"고 지적했다. 블...

CIO 보안 CISO 기업 보안 사이버 보안 계층별 보안 보안 효율 계층별 보안 단점 다계층 보안

2015.11.18

단일 계층의 방어로는 더 이상 공격자를 막아내기에 역부족인 상황에서 계층별 보안이 현재 기업을 위한 최선의 방법으로 간주되고 있다. 그러나 이런 계층별 보안이 때로는 의도하지 않은 결과를 유발하고, 심할 경우 오히려 보안 수준을 떨어뜨리기도 한다. 복잡성(Complexity) 시스코 보안 비즈니스 그룹 수석 엔지니어인 제이슨 블베닉은 무려 80여 가지의 보안 기술을 계층별로 적용한 기업도 있다고 말했다. 블베닉은 "무조건적으로 동종 최상의 기술로 계층별 보안과 심층 방어를 추구하면서 보안 기술이 난립하고 있다"면서, "기술이 상호 충돌하면서 운영 비용이 상승하는 사례가 많다"고 지적했다. 사이버 보안 인텔리전스 업체인 노즈 코퍼레이션(Norse Corp.)의 최고 보안 전략가이자 SVP 필드 엔지니어인 브라이언 콘토스는 "계층별 보안은 보안 담당자 사이에서 수십 년 동안 논의된 체계"라며, "이론적으로는 완벽하지만 잘못 실행할 경우 보안의 가장 큰 적, 복잡성으로 이어진다"고 말했다. 전체적인 계획을 염두에 두지 않으면 개별 제품에 지나치게 많은 비용을 투자하고 상호 중복되는 시스템을 구입하거나 계층 사이에 보호되지 않는 공백을 유발할 수 있다. 미국 샌프란시스코에 소재한 클라우드패시지(CloudPassage) 공동 창업자이자 CEO 카슨 스위트는 "보안 조직이 '지금 당장의 큰 위협'을 해결하는 기술을 무턱대고 선택하는 경우를 아주 흔히 볼 수 있다"며, "특히 포인트 솔루션 벤더들이 최신 FUD(Fear, Uncertainty, Doubt)에 대해 보안 구매자들의 불안을 부추기는 상황에서는 장기적인 관점을 유지하는 것이 매우 중요하다"고 말했다. 시스코의 블베닉은 "또한 너무 많은 보안 기술을 구매하게 되면 관리되지 않거나 부실하게 관리되는 시스템이 나올 수 있다"고 지적했다. 블...

2015.11.18

영원한 기업 보안 취약 지대, '허술한 비밀번호'

애완견 이름이나 좋아하는 영화를 딴 비밀번호는 '금물'이다.    최근 미국 유타주에서는 25만 5,000명의 사회보장번호(Social Security Number)가 누출되는 데이터 침해 사고가 있었다. 이는 매번 반복되고 있지만, 동시에 과소평가되고 있는 위험 가운데 하나를 상기시켰다.    다름아닌 취약 비밀번호 및 기본 비밀번호에서 비롯되는 위험이다.   미국 유타주 IT 당국에 따르면, 미국 보건부(Department of Health)의 메디케이드(Medicaid) 서버 침입 사고는 누출된 데이터를 호스팅하고 있는 서버 인증 계정의 설정 오류 때문이었다.   많은 보안 분석가는 데이터가 유출된 서버가 기본 값에 해당하는 관리자 비밀번호나 추측이 쉬운 비밀번호를 사용하고 있었다는 사실을 주 정부가 완곡하게나마 인정한 것이라고 분석했다. 공격자들은 이런 취약성을 이용해, IT 관리자가 서버 데이터를 보호하기 위해 설치해둔 경계와 네트워크, 애플리케이션 단계의 보안 계층을 우회할 수 있었다.   사실 쉽게 예방할 수 있는 실수다. 그러나 놀랄 만큼 자주 간과하곤 하는 실수다.   지난 3월, 미국 에너지부(DoE) 감독국은 태평양 북서부 지역의 전력 유틸리티 기업을 대상으로 도매 전력의 약 30%를 공급하는 BPA(Bonneville Power Administration)의 정보 보안 감사 결과를 발표했다. 감독국은 재무, HR, 보안 관리를 지원하는 9개 애플리케이션의 취약성을 조사했고, 그 결과 11개 서버가 아주 추측이 쉬운 비밀번호를 사용하고 있다는 사실을 밝혀냈다.   취약 비밀번호는 공격자들이 시스템에 완벽하게 접근할 수 있는 취약성이었다. 네 개 서버는 원격 사용자가 접속해 공유 파일을 변경할 수 있도록 설정이 되어 있었다. 또 한 개 서버의 관...

비밀번호 기업 보안

2012.04.19

애완견 이름이나 좋아하는 영화를 딴 비밀번호는 '금물'이다.    최근 미국 유타주에서는 25만 5,000명의 사회보장번호(Social Security Number)가 누출되는 데이터 침해 사고가 있었다. 이는 매번 반복되고 있지만, 동시에 과소평가되고 있는 위험 가운데 하나를 상기시켰다.    다름아닌 취약 비밀번호 및 기본 비밀번호에서 비롯되는 위험이다.   미국 유타주 IT 당국에 따르면, 미국 보건부(Department of Health)의 메디케이드(Medicaid) 서버 침입 사고는 누출된 데이터를 호스팅하고 있는 서버 인증 계정의 설정 오류 때문이었다.   많은 보안 분석가는 데이터가 유출된 서버가 기본 값에 해당하는 관리자 비밀번호나 추측이 쉬운 비밀번호를 사용하고 있었다는 사실을 주 정부가 완곡하게나마 인정한 것이라고 분석했다. 공격자들은 이런 취약성을 이용해, IT 관리자가 서버 데이터를 보호하기 위해 설치해둔 경계와 네트워크, 애플리케이션 단계의 보안 계층을 우회할 수 있었다.   사실 쉽게 예방할 수 있는 실수다. 그러나 놀랄 만큼 자주 간과하곤 하는 실수다.   지난 3월, 미국 에너지부(DoE) 감독국은 태평양 북서부 지역의 전력 유틸리티 기업을 대상으로 도매 전력의 약 30%를 공급하는 BPA(Bonneville Power Administration)의 정보 보안 감사 결과를 발표했다. 감독국은 재무, HR, 보안 관리를 지원하는 9개 애플리케이션의 취약성을 조사했고, 그 결과 11개 서버가 아주 추측이 쉬운 비밀번호를 사용하고 있다는 사실을 밝혀냈다.   취약 비밀번호는 공격자들이 시스템에 완벽하게 접근할 수 있는 취약성이었다. 네 개 서버는 원격 사용자가 접속해 공유 파일을 변경할 수 있도록 설정이 되어 있었다. 또 한 개 서버의 관...

2012.04.19

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8