Offcanvas

������������������ ������������������

칼럼 | 친애하는 먹잇감들에게, 부디 ‘패닉’에 빠질지라!

공포에 사로잡힐지라, 나의 예쁜이들. 탄약과 화장지 더미 아래 모서리에 몸을 숙이고 있거라. 그래서 내가 당신의 모든 것을 손쉽게 해킹할 수 있도록 하라. 집에서 일하라고 말한다. 스스로 격리하라고 말한다. 전염병을 피하라고 말한다. 이러한 가운데 ‘사이버 병균’인 나는 잠시 잊혀졌다. 이제 다시 활개칠 기회가 왔다. 당신이 생물학적 감염을 피하고 있는 동안 나는 조용히 당신의 조직 전반에 디지털 전염병을 확산시키고 적절한 순간에 스위치를 켤 준비를 하고 있다. 몸값을 받아낼 때가 다가오고 있다.  나는 아침의 랜섬웨어 냄새가 너무 좋다. 약간의 공갈 후 맡는 비트코인의 달콤한 향기는 그 무엇과도 비교할 수 없다. 내가 바로 공갈 사이버 전염병이다. 좀 어색한 메타포로 들릴지라도 상관없다. 왜냐하면 결국 불법적인 비트코인 수익을 계산한 후 스쿠루지 맥덕처럼 금화로 거대한 사일로를 채울 때면 행복을 느낄 것이기 때문이다.  어떻게 지금의 명성을 얻고 전리품을 얻을 수 있을 거냐고? 간단하다. 나는 당신이 실수하기를 그저 기다리면 된다. 상사가 “그냥 되게 하라고!”라고 말했기 때문에 기회가 생길 것이다. 당신은 24시간 안에 재택근무 환경을 구성해야 할 것이다. 파자마 노동력 착취에 익숙하지 않은 초짜들이 그렇게 지시할 것이기 때문이다. 쉽게 해결할 수 있는 실수를 저지름으로써 내게는 큰 기회가 열리고야 말 것이다!   VPN을 사용하지 말라 따뜻한 욕조 속에서 나는 범죄의 수익금으로 요트를 구매할 시나리오를 세우고 있다. 당신의 상사는 생산성이 가장 중요하다고 말했다. 따라서 VPN을 배치하면 안 된다. 당신이 이제 막 연결한 온라인으로 직원들이 수많은 새로운 인터넷 서비스에 직접 접속하도록 하라. 내가 네트워크 전체에 대한 몸값을 요구할 때 당신의 상사가 생산성을 얼마나 중시했는지 판명날 것이다. 계속 그렇게 하자. 기업 방화벽에 구멍을 내고 여러 직원들 그리고 인터넷 전체에 RDP 액세스를 제공하자! 내가 범죄를 ...

원격근무 2FA MFA 보안 교육 VPN 인증 해커 재택근무 해킹 코로나19

2020.03.30

공포에 사로잡힐지라, 나의 예쁜이들. 탄약과 화장지 더미 아래 모서리에 몸을 숙이고 있거라. 그래서 내가 당신의 모든 것을 손쉽게 해킹할 수 있도록 하라. 집에서 일하라고 말한다. 스스로 격리하라고 말한다. 전염병을 피하라고 말한다. 이러한 가운데 ‘사이버 병균’인 나는 잠시 잊혀졌다. 이제 다시 활개칠 기회가 왔다. 당신이 생물학적 감염을 피하고 있는 동안 나는 조용히 당신의 조직 전반에 디지털 전염병을 확산시키고 적절한 순간에 스위치를 켤 준비를 하고 있다. 몸값을 받아낼 때가 다가오고 있다.  나는 아침의 랜섬웨어 냄새가 너무 좋다. 약간의 공갈 후 맡는 비트코인의 달콤한 향기는 그 무엇과도 비교할 수 없다. 내가 바로 공갈 사이버 전염병이다. 좀 어색한 메타포로 들릴지라도 상관없다. 왜냐하면 결국 불법적인 비트코인 수익을 계산한 후 스쿠루지 맥덕처럼 금화로 거대한 사일로를 채울 때면 행복을 느낄 것이기 때문이다.  어떻게 지금의 명성을 얻고 전리품을 얻을 수 있을 거냐고? 간단하다. 나는 당신이 실수하기를 그저 기다리면 된다. 상사가 “그냥 되게 하라고!”라고 말했기 때문에 기회가 생길 것이다. 당신은 24시간 안에 재택근무 환경을 구성해야 할 것이다. 파자마 노동력 착취에 익숙하지 않은 초짜들이 그렇게 지시할 것이기 때문이다. 쉽게 해결할 수 있는 실수를 저지름으로써 내게는 큰 기회가 열리고야 말 것이다!   VPN을 사용하지 말라 따뜻한 욕조 속에서 나는 범죄의 수익금으로 요트를 구매할 시나리오를 세우고 있다. 당신의 상사는 생산성이 가장 중요하다고 말했다. 따라서 VPN을 배치하면 안 된다. 당신이 이제 막 연결한 온라인으로 직원들이 수많은 새로운 인터넷 서비스에 직접 접속하도록 하라. 내가 네트워크 전체에 대한 몸값을 요구할 때 당신의 상사가 생산성을 얼마나 중시했는지 판명날 것이다. 계속 그렇게 하자. 기업 방화벽에 구멍을 내고 여러 직원들 그리고 인터넷 전체에 RDP 액세스를 제공하자! 내가 범죄를 ...

2020.03.30

윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소'

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

CIO 아웃룩 365 keylogger 윤리적 해커 키로거 APT10 마임캐스트 보안 교육 사이버보안 소셜 엔지니어링 해커 피싱 사기 지메일 이메일 해킹 캔디루

2019.01.28

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

2019.01.28

'가장 취약한 고리를 튼튼하게'··· 사내 보안 교육 가이드

2017년 기업에 대한 온라인 범죄 공격이 증가했다는 영국 국가사이버보안센터(National Cyber Security Center)의 보도만 봐도 사이버 공격은 분명 증가 추세에 있다. 여기에는 1분기와 3분기 사이에 91%나 증가한 랜섬 시도가 포함돼 있다. 그러나 다양한 조직 규모를 막론하고 여러 유형의 사이버 공격들이 있다. 다국적 대기업의 해킹이 가장 널리 알려져 있지만 중소기업에 대한 공격도 증가하고 있다. 해커들이 중소기업들의 취약한 사이버 보안을 악용하려는 경향을 갖고 있는 탓이다. 이러한 추세를 반영하여 2018년 CIO 100에 속한 기업의 절반 이상은 지난해 보안 침해를 발견했으며 82%는 사이버 공격에 대한 방어력을 높이기 위해 보안 예산이 증가할 것으로 예상했다. 모든 규모의 비즈니스를 겨냥한 일반적인 공격은 피싱, 바이러스, 랜섬웨어이며, 특히 피싱 이메일이 먹히는 경우가 많다. 그러나 종종 중소 규모 비즈니스에서는 이러한 사이버 공격에 대한 지식이 무시되곤 한다. 2017년 설문 조사에 따르면 사실 약 25%가 피싱에 대해 듣지 못했으며 3분의 1은 랜섬웨어가 뭔지 모르고 거의 50%가 POS 악성 코드의 개념을 인식하지 못했다. 이러한 유형의 악성 코드가 2017년 호텔 및 레스토랑 업계에 있었던 사이버 침해의 약 4분의 1에 해당한다는 것을 감안하면 충격적이다. 사이버 보안 인프라에 크게 투자하기란 쉽지 않은 가운데 가장 취약한 연결 고리가 사람의 실수라는 점에 주목할 필요가 있다. 이는 직원들에 대한 보안 인식 향상 교육을 통해 다양한 형태의 공격에 대응할 수 있다는 것을 의미한다. 실제로 보안 암호 사용, 바이러스 백신 및 악성 코드 소프트웨어 사용, 소프트웨어 업데이트 다운로드 및 직원 교육 같은 상당한 조직 내 기본 보안 조치를 적용하여 사이버 보안 침해의 약 80%를 예방할 수 있었다. 기업이 보안 의식 교육을 도입해야 하는 이유 조직에서 보안 의식 교육...

피싱 소셜 엔지니어링 웨일링 보안 교육 보안 의식 인간 보안 인식 랜섬웨어

2018.07.10

2017년 기업에 대한 온라인 범죄 공격이 증가했다는 영국 국가사이버보안센터(National Cyber Security Center)의 보도만 봐도 사이버 공격은 분명 증가 추세에 있다. 여기에는 1분기와 3분기 사이에 91%나 증가한 랜섬 시도가 포함돼 있다. 그러나 다양한 조직 규모를 막론하고 여러 유형의 사이버 공격들이 있다. 다국적 대기업의 해킹이 가장 널리 알려져 있지만 중소기업에 대한 공격도 증가하고 있다. 해커들이 중소기업들의 취약한 사이버 보안을 악용하려는 경향을 갖고 있는 탓이다. 이러한 추세를 반영하여 2018년 CIO 100에 속한 기업의 절반 이상은 지난해 보안 침해를 발견했으며 82%는 사이버 공격에 대한 방어력을 높이기 위해 보안 예산이 증가할 것으로 예상했다. 모든 규모의 비즈니스를 겨냥한 일반적인 공격은 피싱, 바이러스, 랜섬웨어이며, 특히 피싱 이메일이 먹히는 경우가 많다. 그러나 종종 중소 규모 비즈니스에서는 이러한 사이버 공격에 대한 지식이 무시되곤 한다. 2017년 설문 조사에 따르면 사실 약 25%가 피싱에 대해 듣지 못했으며 3분의 1은 랜섬웨어가 뭔지 모르고 거의 50%가 POS 악성 코드의 개념을 인식하지 못했다. 이러한 유형의 악성 코드가 2017년 호텔 및 레스토랑 업계에 있었던 사이버 침해의 약 4분의 1에 해당한다는 것을 감안하면 충격적이다. 사이버 보안 인프라에 크게 투자하기란 쉽지 않은 가운데 가장 취약한 연결 고리가 사람의 실수라는 점에 주목할 필요가 있다. 이는 직원들에 대한 보안 인식 향상 교육을 통해 다양한 형태의 공격에 대응할 수 있다는 것을 의미한다. 실제로 보안 암호 사용, 바이러스 백신 및 악성 코드 소프트웨어 사용, 소프트웨어 업데이트 다운로드 및 직원 교육 같은 상당한 조직 내 기본 보안 조치를 적용하여 사이버 보안 침해의 약 80%를 예방할 수 있었다. 기업이 보안 의식 교육을 도입해야 하는 이유 조직에서 보안 의식 교육...

2018.07.10

'치료보단 예방이 낫다' 랜섬웨어 공격에 대응하는 6가지 팁

랜섬웨어 공격은 비즈니스 시스템에 막대한 영향을 미칠 수 있다. 그러나 공격에 어떻게 대응할지를 알면 발생할 수 있는 위험 수준을 최소화하는 데 유리하다. 랜섬웨어는 시스템을 암호화로 잠그고 파일을 돌려주는 조건으로 몸값을 요구하는 악성 프로그램의 일종이지만 돈을 낸다고 해서 작동한다는 보장은 없다. 파일을 성공적으로 암호화하면 해당 데이터의 복구가 매우 어려울 수 있다. 지난 한 해 동안 랜섬웨어의 급격한 증가로 인해 기업은 비즈니스에 미치는 위험을 더 잘 인식하게 되었다. 그러나 취약성 파악은 기업에서 부족한 것 중 일부에 불과하다. 2017년 NHS 랜섬웨어 공격은 규모와 상관없이 조직이 이 위협에 얼마나 취약한지를 보여 주는 사례다. 전세계 20만 개 이상의 시스템을 겨냥한 대규모 워너크라이(WannaCry) 공격의 희생자 중 하나였으며 페덱스(FedEx)와 같은 글로벌 기업에 혼란을 일으켰다. 랜섬웨어 공격이나 개인 데이터 손실에 대해 보장할 수는 없지만 조직이 공격의 희생양이 되지 않도록 보호하는 방법에는 여러 가지가 있다. 다음은 랜섬웨어 공격 같은 상황에 대응하는 몇 가지 팁이다. 1. 준비 준비는 항상 모든 보안 위협에 대한 최선의 방어다. 치료보다 예방이 낫다. 비즈니스의 뿌리부터 시작해서, 정기적인 백업 계획과 함께 최신 바이러스 백신 소프트웨어를 정기적으로 점검하는 확실한 보안 정책이 중요하다. 가장 필수적인 방어 방법 중 하나는 취약점 발견 즉시 IT팀이 그 취약점을 패치 하는 것이다. 보안 교육은 전체 조직이 랜섬웨어의 위험성과 이를 방지하기 위해 취할 수 있는 최상의 보안 대책을 알 수 있도록 마련되어야 한다. 2. 감지 때때로 시스템을 공격할 수 있기 때문에 랜섬웨어 탐지 방법을 아는 것이 중요하지만 엄청난 양의 데이터가 사라질 때까지는 인식하지 못할 수도 있다. 이를 방지하려고 할 때 고급 위협 정보 기술은 사이버 공격에 대한 유용한 보호 장치가 된다. ...

CSO 취약성 보안 교육 데이터 복구 복구 패치 공격 페덱스 백업 CISO 암호화 워너크라이

2018.06.14

랜섬웨어 공격은 비즈니스 시스템에 막대한 영향을 미칠 수 있다. 그러나 공격에 어떻게 대응할지를 알면 발생할 수 있는 위험 수준을 최소화하는 데 유리하다. 랜섬웨어는 시스템을 암호화로 잠그고 파일을 돌려주는 조건으로 몸값을 요구하는 악성 프로그램의 일종이지만 돈을 낸다고 해서 작동한다는 보장은 없다. 파일을 성공적으로 암호화하면 해당 데이터의 복구가 매우 어려울 수 있다. 지난 한 해 동안 랜섬웨어의 급격한 증가로 인해 기업은 비즈니스에 미치는 위험을 더 잘 인식하게 되었다. 그러나 취약성 파악은 기업에서 부족한 것 중 일부에 불과하다. 2017년 NHS 랜섬웨어 공격은 규모와 상관없이 조직이 이 위협에 얼마나 취약한지를 보여 주는 사례다. 전세계 20만 개 이상의 시스템을 겨냥한 대규모 워너크라이(WannaCry) 공격의 희생자 중 하나였으며 페덱스(FedEx)와 같은 글로벌 기업에 혼란을 일으켰다. 랜섬웨어 공격이나 개인 데이터 손실에 대해 보장할 수는 없지만 조직이 공격의 희생양이 되지 않도록 보호하는 방법에는 여러 가지가 있다. 다음은 랜섬웨어 공격 같은 상황에 대응하는 몇 가지 팁이다. 1. 준비 준비는 항상 모든 보안 위협에 대한 최선의 방어다. 치료보다 예방이 낫다. 비즈니스의 뿌리부터 시작해서, 정기적인 백업 계획과 함께 최신 바이러스 백신 소프트웨어를 정기적으로 점검하는 확실한 보안 정책이 중요하다. 가장 필수적인 방어 방법 중 하나는 취약점 발견 즉시 IT팀이 그 취약점을 패치 하는 것이다. 보안 교육은 전체 조직이 랜섬웨어의 위험성과 이를 방지하기 위해 취할 수 있는 최상의 보안 대책을 알 수 있도록 마련되어야 한다. 2. 감지 때때로 시스템을 공격할 수 있기 때문에 랜섬웨어 탐지 방법을 아는 것이 중요하지만 엄청난 양의 데이터가 사라질 때까지는 인식하지 못할 수도 있다. 이를 방지하려고 할 때 고급 위협 정보 기술은 사이버 공격에 대한 유용한 보호 장치가 된다. ...

2018.06.14

대학에서 보안을 공부해야 하는 이유

대학의 보안 수업 가치에 관해 학계와 노동계의 철학적인 견해차가 있다. 이는 대학에서의 보안 학습이 왜 시간 낭비인지에 반하는 주장이다. 정보보안 침해의 속도와 규모가 점점 더 빨라지고 위협이 더욱 정교해짐에 따라 사이버보안을 담당하는 리더는 알려지지 않은 위협을 견딜 수 있는 조직과 보안 요원을 더 잘 준비해야 한다. 오늘날의 리더는 경제, 인간, 법률, 조직, 기술, 사회 정치적 요인을 계획에 반영함으로써 영향력이 큰 보안 이벤트에 대한 포괄적인 대응책을 마련할 수 있는 기업 역량을 강화해야 한다. 브라운대학의 사이버보안 프로그램을 담당하는 이그제큐티브 마스터인 앨런 우사스는 이러한 기술과 지식을 대학에서 가장 잘 배울 수 있다고 생각하는 사람이다. 사이버 위험을 제한하는 탄력적인 IT시스템 구축 리더는 민첩하고 탄력 있는 IT 시스템을 구축하고 관리하며 사이버 위험에 대항하는 과제를 해결하기 위해 실질적인 기술이 필요하다. 이는 모든 보안 및 개인정보 보호 결정의 일부인 비용과 위험을 다루고 보안에 필수적인 내부 회사 리소스를 효과적으로 구성하는 것을 의미한다. 최고의 리더는 글로벌 보안 베스트 프랙티스 및 추론을 더 깊이 이해하고 보안과 비즈니스 지식 및 전문 지식을 전략적 계획과 현장의 의사 결정에 적용하고 리더십 및 운영 기술을 연마해야 한다. 인적 요소 고려 보안이 기술적인 문제만은 아니다. 주요 보안 문제는 사람들이 기술과 상호작용하는 방식에서 비롯된다. 따라서 인적 요소는 위험과 대응 방정식의 핵심이다. 능동적인 사이버보안 리더들은 인간 행동이 조직을 사이버 위험에 노출하는 방법을 학습함으로써 인간 행위자의 강점과 약점을 고려해야 한다. 민첩하고 지식을 갖춘 팀을 배치해 문제를 해결하는 방법과 모든 사용자의 보안 인식을 높이는 방법에 관해 설명해야 한다. 또한 리더와 팀은 워크플로우, 시스템 설계 방법, 기업 정책의 수립 방법, 의도적이고 우발적인 내부자 위협을 탐지하는 방법, 기타 인적 요인에 대...

CSO 커뮤니케이션 개인정보 위협 대학 사이버보안 보안 교육 브라운대학 거번너스

2017.04.14

대학의 보안 수업 가치에 관해 학계와 노동계의 철학적인 견해차가 있다. 이는 대학에서의 보안 학습이 왜 시간 낭비인지에 반하는 주장이다. 정보보안 침해의 속도와 규모가 점점 더 빨라지고 위협이 더욱 정교해짐에 따라 사이버보안을 담당하는 리더는 알려지지 않은 위협을 견딜 수 있는 조직과 보안 요원을 더 잘 준비해야 한다. 오늘날의 리더는 경제, 인간, 법률, 조직, 기술, 사회 정치적 요인을 계획에 반영함으로써 영향력이 큰 보안 이벤트에 대한 포괄적인 대응책을 마련할 수 있는 기업 역량을 강화해야 한다. 브라운대학의 사이버보안 프로그램을 담당하는 이그제큐티브 마스터인 앨런 우사스는 이러한 기술과 지식을 대학에서 가장 잘 배울 수 있다고 생각하는 사람이다. 사이버 위험을 제한하는 탄력적인 IT시스템 구축 리더는 민첩하고 탄력 있는 IT 시스템을 구축하고 관리하며 사이버 위험에 대항하는 과제를 해결하기 위해 실질적인 기술이 필요하다. 이는 모든 보안 및 개인정보 보호 결정의 일부인 비용과 위험을 다루고 보안에 필수적인 내부 회사 리소스를 효과적으로 구성하는 것을 의미한다. 최고의 리더는 글로벌 보안 베스트 프랙티스 및 추론을 더 깊이 이해하고 보안과 비즈니스 지식 및 전문 지식을 전략적 계획과 현장의 의사 결정에 적용하고 리더십 및 운영 기술을 연마해야 한다. 인적 요소 고려 보안이 기술적인 문제만은 아니다. 주요 보안 문제는 사람들이 기술과 상호작용하는 방식에서 비롯된다. 따라서 인적 요소는 위험과 대응 방정식의 핵심이다. 능동적인 사이버보안 리더들은 인간 행동이 조직을 사이버 위험에 노출하는 방법을 학습함으로써 인간 행위자의 강점과 약점을 고려해야 한다. 민첩하고 지식을 갖춘 팀을 배치해 문제를 해결하는 방법과 모든 사용자의 보안 인식을 높이는 방법에 관해 설명해야 한다. 또한 리더와 팀은 워크플로우, 시스템 설계 방법, 기업 정책의 수립 방법, 의도적이고 우발적인 내부자 위협을 탐지하는 방법, 기타 인적 요인에 대...

2017.04.14

'중요하지만 놓치는' 보안 체크리스트 6선

보안 시스템을 더 안전한 사이버보안으로 만들기 위해 기업이 취해야 할 여러 단계가 있다. 그 가운데는 중요하지만 잘 인지하지 못하는 단계도 있다. 데이터가 온라인 상태일 때는 항상 사이버보안을 걱정해야 한다. 사이버 위협으로부터 물리적인 보안 시스템을 더 잘 보호하기 위해 기업이 취할 수 있는 단계는 여러 개가 있다. 기본으로 설정된 암호나 단순한 암호를 사용하지 않기 같은 간단한 것부터 PKI 인증서 사용 및 최신 펌웨어 다운로드 같은 고급 단계에 이르기까지 각각의 단계는 데이터 및 네트워크를 안전하게 보호하는 데 중요하다. 그러나 IT부서는 기존 네트워크 인프라의 일부로 이러한 솔루션을 인지하지 못하기 때문에 네트워크에서 모든 기기를 보호하는 데 필요한 모든 조치를 취하지 않을 수 있다. 액시스 커뮤니케이션 N.A(Axis Communications N.A)의 세그먼트 팀 및 사이버보안 담당 선임 관리자인 존 바톨락은 조직이 모든 네트워크 솔루션에서 사이버 위험 문제를 해결하는 데 고려해야 할 6가지 중요한 단계를 제시했다. 직원 교육 사이버보안 위험에 관한 직원 교육은 시스템 보안을 강화하기 위해 올바른 방향으로 가는 출발점이다. 직원들이 위험을 더 심각하게 생각했다면 많은 사고를 예방할 수 있었다. 교육에 참여한 모든 사람이 사전 암호 사용의 중요성 및 기본 암호와 같은 단계를 이해하면 정기적인 평가와 함께 잠재적인 위협의 위험을 완화하는 데 많은 도움이 된다. 보안 패치 사용 어떤 경우 필요한 보안 패치를 다운로드하기만 해도 보안 침해를 막을 수 있다. 성공적인 데이터 침입의 85%는 패치된 적이 없는 상위 10개의 취약점을 대상으로 한다. 위험 완화 엄밀히 말해 모든 위험을 예방할 수 있는 것은 아니다. 기업은 위험 요소를 파악하고 특정 위험을 관리하거나 수용하는 방법에 관한 포괄적인 계획을 수립해야 한다. 때에 따라 네트워크 보안 유지는 기기에 고급 설정을 적용하거나 위험 요소가 너무 많은 시스템과 기기를 분리하는 ...

IT부서 CSO 암호화 CISO 사이버보안 접근 보안 교육 보안 패치

2017.02.14

보안 시스템을 더 안전한 사이버보안으로 만들기 위해 기업이 취해야 할 여러 단계가 있다. 그 가운데는 중요하지만 잘 인지하지 못하는 단계도 있다. 데이터가 온라인 상태일 때는 항상 사이버보안을 걱정해야 한다. 사이버 위협으로부터 물리적인 보안 시스템을 더 잘 보호하기 위해 기업이 취할 수 있는 단계는 여러 개가 있다. 기본으로 설정된 암호나 단순한 암호를 사용하지 않기 같은 간단한 것부터 PKI 인증서 사용 및 최신 펌웨어 다운로드 같은 고급 단계에 이르기까지 각각의 단계는 데이터 및 네트워크를 안전하게 보호하는 데 중요하다. 그러나 IT부서는 기존 네트워크 인프라의 일부로 이러한 솔루션을 인지하지 못하기 때문에 네트워크에서 모든 기기를 보호하는 데 필요한 모든 조치를 취하지 않을 수 있다. 액시스 커뮤니케이션 N.A(Axis Communications N.A)의 세그먼트 팀 및 사이버보안 담당 선임 관리자인 존 바톨락은 조직이 모든 네트워크 솔루션에서 사이버 위험 문제를 해결하는 데 고려해야 할 6가지 중요한 단계를 제시했다. 직원 교육 사이버보안 위험에 관한 직원 교육은 시스템 보안을 강화하기 위해 올바른 방향으로 가는 출발점이다. 직원들이 위험을 더 심각하게 생각했다면 많은 사고를 예방할 수 있었다. 교육에 참여한 모든 사람이 사전 암호 사용의 중요성 및 기본 암호와 같은 단계를 이해하면 정기적인 평가와 함께 잠재적인 위협의 위험을 완화하는 데 많은 도움이 된다. 보안 패치 사용 어떤 경우 필요한 보안 패치를 다운로드하기만 해도 보안 침해를 막을 수 있다. 성공적인 데이터 침입의 85%는 패치된 적이 없는 상위 10개의 취약점을 대상으로 한다. 위험 완화 엄밀히 말해 모든 위험을 예방할 수 있는 것은 아니다. 기업은 위험 요소를 파악하고 특정 위험을 관리하거나 수용하는 방법에 관한 포괄적인 계획을 수립해야 한다. 때에 따라 네트워크 보안 유지는 기기에 고급 설정을 적용하거나 위험 요소가 너무 많은 시스템과 기기를 분리하는 ...

2017.02.14

'정기적으로 구체적으로'··· 보안 교육을 위한 7가지 팁

보안 인식 교육에 대한 아이디어가 1년에 하루 날 잡아 마라톤 회의하면서 줄곧 파워포인트만 보여주는 것으로 끝낸다면, 그 회사는 분명 잘 못 하고 있는 것이다. 최악의 경우 보안 인식 교육은 직원과 IT 담당자 모두에게 지루하기만 한 시간 낭비로 전락할 수 있다. 하지만, 최선을 다해 보안 문제를 제기하고 더 나은 습관을 위한 토대를 마련할 수 있는 토론 주심의 쌍방향 보안 인식 교육이라면, 모두에게 도움이 될 것이다. 어떻게 하면 건설적인 보안 인식 교육으로 바꿀 수 있을까? 보안 업체 바클리(Barkly)는 보안 교육에 도움이 될 7가지 간단한 팁을 소개했다. 교육 세션을 구체적으로 나눠라 당신은 스티브 잡스가 아니다. 따라서 전사 차원의 기조연설로 직원들의 성취감을 드높이겠다는 꿈을 접고, 특정 사용자 그룹에 맞게 소규모 교육 세션을 제공하는 데 초점을 맞춰라. 관리도 쉬워 질 뿐 아니라 사용자에 맞는 자료로 관련성을 높일 수 있다. 교육 세션은 짧게 마쳐라 직원들은 주의해서 집중할 수 있는 시간은 짧다. 게다가 이들은 그날그날 끝내야 하는 업무량도 있다. 시간을 염두에 두고 교육 세션을 짧게 정리하라. 15~20분이 넘어가는 프레젠테이션은 피하고 너무 세세한 부분까지 들어가거나 옆길로 새지 말아야 한다. 세션이 끝나고 구체적으로 질문하는 직원들에게 일대일로 답변하면서 교육을 이어 가야 한다. 주제를 좁혀서 거기에 집중하라 보안이란, 넓고 큰 주제다. 한 번에 너무 많이 다루려 하지 말아야 한다. 그보다는 일상 업무와 가장 관련성이 높은 특정 정책이나 위협에 초점을 맞춰야 한다. 한 가지 주제나 주요 쟁점을 다루고 확실하게 전달하거나 다음 단계로 넘어가야 한다. 보안 교육은 주기적으로 1년에 딱 한 번 교육하면 직원들은 나머지 364일 동안 보안에 대해 생각하지 않을 수 있다. 그뿐만 아니라 보안이 최우선 순위가 아니거나 일상 업무의 일부가 아니라고 여길 수 있다. 정기 교육 세션을 만들면, 모든 것을 한꺼...

CSO CISO 프레젠테이션 보안 교육 인식 바클리 Barkly

2017.01.06

보안 인식 교육에 대한 아이디어가 1년에 하루 날 잡아 마라톤 회의하면서 줄곧 파워포인트만 보여주는 것으로 끝낸다면, 그 회사는 분명 잘 못 하고 있는 것이다. 최악의 경우 보안 인식 교육은 직원과 IT 담당자 모두에게 지루하기만 한 시간 낭비로 전락할 수 있다. 하지만, 최선을 다해 보안 문제를 제기하고 더 나은 습관을 위한 토대를 마련할 수 있는 토론 주심의 쌍방향 보안 인식 교육이라면, 모두에게 도움이 될 것이다. 어떻게 하면 건설적인 보안 인식 교육으로 바꿀 수 있을까? 보안 업체 바클리(Barkly)는 보안 교육에 도움이 될 7가지 간단한 팁을 소개했다. 교육 세션을 구체적으로 나눠라 당신은 스티브 잡스가 아니다. 따라서 전사 차원의 기조연설로 직원들의 성취감을 드높이겠다는 꿈을 접고, 특정 사용자 그룹에 맞게 소규모 교육 세션을 제공하는 데 초점을 맞춰라. 관리도 쉬워 질 뿐 아니라 사용자에 맞는 자료로 관련성을 높일 수 있다. 교육 세션은 짧게 마쳐라 직원들은 주의해서 집중할 수 있는 시간은 짧다. 게다가 이들은 그날그날 끝내야 하는 업무량도 있다. 시간을 염두에 두고 교육 세션을 짧게 정리하라. 15~20분이 넘어가는 프레젠테이션은 피하고 너무 세세한 부분까지 들어가거나 옆길로 새지 말아야 한다. 세션이 끝나고 구체적으로 질문하는 직원들에게 일대일로 답변하면서 교육을 이어 가야 한다. 주제를 좁혀서 거기에 집중하라 보안이란, 넓고 큰 주제다. 한 번에 너무 많이 다루려 하지 말아야 한다. 그보다는 일상 업무와 가장 관련성이 높은 특정 정책이나 위협에 초점을 맞춰야 한다. 한 가지 주제나 주요 쟁점을 다루고 확실하게 전달하거나 다음 단계로 넘어가야 한다. 보안 교육은 주기적으로 1년에 딱 한 번 교육하면 직원들은 나머지 364일 동안 보안에 대해 생각하지 않을 수 있다. 그뿐만 아니라 보안이 최우선 순위가 아니거나 일상 업무의 일부가 아니라고 여길 수 있다. 정기 교육 세션을 만들면, 모든 것을 한꺼...

2017.01.06

사이버보안 규제 대상 기업에 도움될 베스트 프랙티스 7선

컴플라이언스 표준을 따르는 조직에서 일하든 독립 IT회사에서 일하든, 사이버보안과 관련이 있다면 산업 규제를 이해하는 것은 매우 중요하다. 드라이브세이버(DriveSavers)의 CISO인 마이클 홀이 사이버보안 규제를 받는 기업이나 산업을 위해 베스트 프랙티스 몇 가지를 소개했다. 위험 분석 수행 Credit:Pixabay ‘갭 분석’ 또는 ‘보안 위험 평가’라고도 하는 위험 분석은 데이터 보안 정책을 마련하는 첫 번째 단계다. 보안 위험 평가는 1년에 한 번이나 2년에 한 번, 또는 새로운 장비를 구매하거나 회사의 서비스를 확장할 때 등 무언가가 바뀔 때마다 수행해야 한다. 접근과 권한 검토 Credit:Pixabay 위험 분석을 수행하는 과정에서 물리적인 영역까지도 포함한 적절한 보안을 검토하는 데에는 여러 분야와 방법이 있다. 실제 권한이 없는 사람은 접근 권한을 사용할 수 없어야 한다. 데이터 보안 정책 만들기 Credit:Pexels   모든 직원은 회사 데이터를 보호해야 할 의무가 있다. 이를 위해서는 직원이 쉽게 이해하고 실행할 수 있는 데이터 보안 정책을 마련하는 것이 중요하다. 이 문서에는 타사 비즈니스 데이터 및 중요한 정보를 포함해 회사가 접촉한 모든 데이터를 보호하는 데 도움이 되는 사례가 요약돼 있어야 한다. 적절한 도구 사용 Credit:Pixabay 위험 분석의 하나로 기업은 보안 카메라, 방화벽 또는 보안 소프트웨어와 같은 위험을 최소화하는 데 사용할 수 있는 도구를 생각하는 경향이 있다. 이러한 것들을 구현 도구로 사용하되, 유지와 관리에 관한 회사의 보안 정책은 문서로 만들어야 한다. 직원과 계약업체 확인 전 직원의 신원을 조사하라. 써드파티 업체가 회사 내부의 보안 프로토콜과 동일하거나 그보다 강력한 보안 프로토콜을 준수하는지도 확인해야 한다. 규제 준수 확인 기업이 업계 규제를 준수하고 있는지 입...

CSO 정책 데이터 보안 규제 CISO 사이버보안 보안 교육 분석 드라이브세이버

2016.11.18

컴플라이언스 표준을 따르는 조직에서 일하든 독립 IT회사에서 일하든, 사이버보안과 관련이 있다면 산업 규제를 이해하는 것은 매우 중요하다. 드라이브세이버(DriveSavers)의 CISO인 마이클 홀이 사이버보안 규제를 받는 기업이나 산업을 위해 베스트 프랙티스 몇 가지를 소개했다. 위험 분석 수행 Credit:Pixabay ‘갭 분석’ 또는 ‘보안 위험 평가’라고도 하는 위험 분석은 데이터 보안 정책을 마련하는 첫 번째 단계다. 보안 위험 평가는 1년에 한 번이나 2년에 한 번, 또는 새로운 장비를 구매하거나 회사의 서비스를 확장할 때 등 무언가가 바뀔 때마다 수행해야 한다. 접근과 권한 검토 Credit:Pixabay 위험 분석을 수행하는 과정에서 물리적인 영역까지도 포함한 적절한 보안을 검토하는 데에는 여러 분야와 방법이 있다. 실제 권한이 없는 사람은 접근 권한을 사용할 수 없어야 한다. 데이터 보안 정책 만들기 Credit:Pexels   모든 직원은 회사 데이터를 보호해야 할 의무가 있다. 이를 위해서는 직원이 쉽게 이해하고 실행할 수 있는 데이터 보안 정책을 마련하는 것이 중요하다. 이 문서에는 타사 비즈니스 데이터 및 중요한 정보를 포함해 회사가 접촉한 모든 데이터를 보호하는 데 도움이 되는 사례가 요약돼 있어야 한다. 적절한 도구 사용 Credit:Pixabay 위험 분석의 하나로 기업은 보안 카메라, 방화벽 또는 보안 소프트웨어와 같은 위험을 최소화하는 데 사용할 수 있는 도구를 생각하는 경향이 있다. 이러한 것들을 구현 도구로 사용하되, 유지와 관리에 관한 회사의 보안 정책은 문서로 만들어야 한다. 직원과 계약업체 확인 전 직원의 신원을 조사하라. 써드파티 업체가 회사 내부의 보안 프로토콜과 동일하거나 그보다 강력한 보안 프로토콜을 준수하는지도 확인해야 한다. 규제 준수 확인 기업이 업계 규제를 준수하고 있는지 입...

2016.11.18

본지 칼럼니스트 강은성 대표, 정보보호 조직 역량 강화 교육

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 27일부터 28일까지 이틀간 ‘정보보호 조직 역량 강화 교육-보안팀, 유기적인 운영방안’을 맡게 된다. 이 교육에서 강 대표는 기업 경영과 정보보호 조직의 위상, 정보보호 조직의 바람직한 업무, 보안위험 관리와 보안투자, 보안사고 대응방안, 협업 방안 수립과 추진, 전사 보안정책 추진, 바람직한 보안문화의 형성, 보안 실무자의 동기 부여 등을 강의할 예정이다. 또 정보유출 사고 및 대응 사례에 관해서는 KT 이상용 상무가 특강을 맡을 것으로 알려졌다. 이 교육에 관한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

CSO CISO 랩 CISO Lab CONCERT 한국침해사고대응팀협의회 강은성 보안 교육 KT CISO 이상용 상무

2016.09.07

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 27일부터 28일까지 이틀간 ‘정보보호 조직 역량 강화 교육-보안팀, 유기적인 운영방안’을 맡게 된다. 이 교육에서 강 대표는 기업 경영과 정보보호 조직의 위상, 정보보호 조직의 바람직한 업무, 보안위험 관리와 보안투자, 보안사고 대응방안, 협업 방안 수립과 추진, 전사 보안정책 추진, 바람직한 보안문화의 형성, 보안 실무자의 동기 부여 등을 강의할 예정이다. 또 정보유출 사고 및 대응 사례에 관해서는 KT 이상용 상무가 특강을 맡을 것으로 알려졌다. 이 교육에 관한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

2016.09.07

본지 칼럼니스트 강은성 대표, 정보보호 조직의 유기적 운영방안 교육

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 15일부터 16일까지 총 16시간 동안 정보보호 조직의 유기적 운영방안에 대해 강의할 예정이다. 이번 교육은 지난 7월 열렸던 한국침해사고대응팀협의회(CONCERT)의 1기 정보보호 조직 운영역량 강화교육에 이어 2기로 진행되며 특히 정보보호 조직의 유기적 운영방안을 중점적으로 다룬다.  강 대표는 이번 교육에서 정보보호조직 운영의 기본부터 보안위협과 위기관리, 보안업무 추진과 협업, 보안 문화 등 현실적인 내용들을 다룰 예정이다. 이번 교육은 1기 교육 수료자들의 의견을 반영해 개선한 것으로 사고발생시 기업 내부 대응체계 구축, 대 언론 대응절차, 대 고객 대응절차, 대수사관 대응절차 등의 생생한 경험과 조언을 듣는 자리가 될 것이다. 이 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

CSO CISO 보안 교육 노하우 강은성 사고 대응 CISO Lab

2015.09.09

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 15일부터 16일까지 총 16시간 동안 정보보호 조직의 유기적 운영방안에 대해 강의할 예정이다. 이번 교육은 지난 7월 열렸던 한국침해사고대응팀협의회(CONCERT)의 1기 정보보호 조직 운영역량 강화교육에 이어 2기로 진행되며 특히 정보보호 조직의 유기적 운영방안을 중점적으로 다룬다.  강 대표는 이번 교육에서 정보보호조직 운영의 기본부터 보안위협과 위기관리, 보안업무 추진과 협업, 보안 문화 등 현실적인 내용들을 다룰 예정이다. 이번 교육은 1기 교육 수료자들의 의견을 반영해 개선한 것으로 사고발생시 기업 내부 대응체계 구축, 대 언론 대응절차, 대 고객 대응절차, 대수사관 대응절차 등의 생생한 경험과 조언을 듣는 자리가 될 것이다. 이 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

2015.09.09

신입사원이 초래할 수 있는 보안 위험, 어떻게 줄일까?

최근 입사하는 대졸 신입사원들은 거의 대부분 기술에 익숙한 사람들이지만 기업 보안에 대해서만큼은 잘 모르는 것처럼 보인다. 대졸 신입사원들의 사소한 행동 때문에 발생할 수 있는 보안 위험에 대해 알아보자. "대졸 신입 직원이 조직에 초래하는 보안 위험에는 고유의 특징이 있다. 따라서 '대졸 신입 직원의 보안 위험'을 관리할 수 있는 특별한 대책이 필요하다." 이는 대졸 신입 직원을 많이 채용하는 회사들에게 클라우드 서비스를 제공하고 있는 캘리포니아 소재 인터미디어(Intermedia)의 CTO 조나단 레빈의 주장이다. 그는 "대졸 신입 직원들은 컴퓨터에 정통하지만, 불행히도 기업 문화와 업무, 환경에는 익숙하지 못하다. 그런데 여기에서 문제가 발생한다"고 그 이유에 대해 설명했다. 현재 CIO 가운데 상당수가 처음 직장 생활을 시작했던 과거는 지금과 달랐다. 당시에는 컴퓨터나 합류한 조직의 보안 요건을 전혀 모르는 대졸 신입 직원이 많았다. 그러나 지금은 중학교 이전에 앱을 이용해 과제를 하고, 다양한 서비스로 문서를 공유한 경험이 있는 세대가 신입 직원으로 입사하고 있다. 그러나 정보 보안이나 기밀 유지 등 기업의 요구사항은 거의 교육 받지 못했다. 레빈은 "드롭박스와 스냅챗(Snapchat) 등 기술 툴에는 정통하지만, 반드시 지켜야 할 기업 운영 방식에는 무지한 것이 위험한 조합이 될 수 있다"고 지적했다. 따라서 IT 부서나 보안 부서가 대졸 신입 직원들을 대상으로 보안 교육을 실시해야 한다. 클라우드 스토리지나 웹메일 등 소비자용 서비스는 기업 환경에 적합한 감사, 관리, 보안 기능을 제공하지 못해 위험이 초래될 수 있음을 경고해야 한다. 레빈은 "대학 졸업자들이 학교를 졸업하고 입사할 때 초래될 수 있는 가장 큰 위험 중 하나는 데이터 유출이다. 대학은 자유롭게 유통되는 정보, 수 많은 오픈소스 프로그...

스토리지 웹메일 신입 사원 인사고과 보안 교육 CTO 소셜 미디어 데이터 유출 CIO 회사 정보

2015.08.17

최근 입사하는 대졸 신입사원들은 거의 대부분 기술에 익숙한 사람들이지만 기업 보안에 대해서만큼은 잘 모르는 것처럼 보인다. 대졸 신입사원들의 사소한 행동 때문에 발생할 수 있는 보안 위험에 대해 알아보자. "대졸 신입 직원이 조직에 초래하는 보안 위험에는 고유의 특징이 있다. 따라서 '대졸 신입 직원의 보안 위험'을 관리할 수 있는 특별한 대책이 필요하다." 이는 대졸 신입 직원을 많이 채용하는 회사들에게 클라우드 서비스를 제공하고 있는 캘리포니아 소재 인터미디어(Intermedia)의 CTO 조나단 레빈의 주장이다. 그는 "대졸 신입 직원들은 컴퓨터에 정통하지만, 불행히도 기업 문화와 업무, 환경에는 익숙하지 못하다. 그런데 여기에서 문제가 발생한다"고 그 이유에 대해 설명했다. 현재 CIO 가운데 상당수가 처음 직장 생활을 시작했던 과거는 지금과 달랐다. 당시에는 컴퓨터나 합류한 조직의 보안 요건을 전혀 모르는 대졸 신입 직원이 많았다. 그러나 지금은 중학교 이전에 앱을 이용해 과제를 하고, 다양한 서비스로 문서를 공유한 경험이 있는 세대가 신입 직원으로 입사하고 있다. 그러나 정보 보안이나 기밀 유지 등 기업의 요구사항은 거의 교육 받지 못했다. 레빈은 "드롭박스와 스냅챗(Snapchat) 등 기술 툴에는 정통하지만, 반드시 지켜야 할 기업 운영 방식에는 무지한 것이 위험한 조합이 될 수 있다"고 지적했다. 따라서 IT 부서나 보안 부서가 대졸 신입 직원들을 대상으로 보안 교육을 실시해야 한다. 클라우드 스토리지나 웹메일 등 소비자용 서비스는 기업 환경에 적합한 감사, 관리, 보안 기능을 제공하지 못해 위험이 초래될 수 있음을 경고해야 한다. 레빈은 "대학 졸업자들이 학교를 졸업하고 입사할 때 초래될 수 있는 가장 큰 위험 중 하나는 데이터 유출이다. 대학은 자유롭게 유통되는 정보, 수 많은 오픈소스 프로그...

2015.08.17

블로그 | 소니 사고에서 배우는 보안 인식 프로그램 교훈

Credit: Thinkstock 소니 해킹 사건에 대한 추가 정보가 공개되면서 밝혀지는 사실이 하나 있다. 인식 문제가 피싱보다 더 심각하게 우려할 만한 주제라는 것이다. 악명 높은 소니 해킹 사건은 다양한 기술적 취약성의 정점이었다. 비록 공격이 북한의 소행이라는 사실에 초점 맞춰지는 경향이 있지만 실무자의 관점에서는 그 공격이 성공할 수 있었던 이유를 파악하는 것이 더욱 중요하다. 사건 과정이 밝혀지는 과정에서 그 공격의 첫 단계가 스피어피싱(Spearphishing) 메시지였다는 사실이 드러났다. 많은 인식 관련 문제가 원인의 초기에 있었던 것이다. 공격에 피싱이 동원되었기 때문에 피싱에 대한 교육이 필요하다고 말하기는 쉽다. 사실이긴 하지만 교육이 실제 피싱 공격에 그리 효과를 발휘하지 못하는 있다는 점에 주의해야 한다. 또 다른 인간적인 결점을 이용하는 공격에는 도움이 되지 않는 경우도 많다. 추가 분석을 통해 암호 재사용 등 소셜 네트워크에서의 과도한 공유와 관련된 취약성도 있었다는 사실이 드러나고 있다. 즉 피싱 이상의 문제들도 존재하며 이를 감안한 인식 프로그램을 고민해야 할 시점인 것이다. 북한의 해커들은 관리자 권한이 있을 법한 직원들의 링크드인(LinkedIn)과 기타 소셜 네트워크를 뒤졌다. 저수준 권한을 보유한 사람이라도 최소한 조직 내로 침입할 수 있는 연결고리를 제공하기 때문에 공격 대상이라 할 수 있다. 사람들에게 링크드인에 게시물을 올리지 말라고 할 수는 없지만 최소한 소셜 네트워크 노출로 자신이 공격의 대상이 될 수 있다는 사실을 인지해야 한다. 또 미디어 보도에 따르면 피싱 메시지가 애플(Apple)의 계정 암호를 공격 대상으로 삼았다. 이는 아이폰과 기타 애플 제품을 보유한 사람들이 스스로 잠재적인 대상이 될 수 있다는 사실을 깨달아야 한다는 사실을 의미한다. 애플의 제품은 보안 우려와 상관이 없다고 생각하는 사람들이 있다. 그것은 분명 잘못된 생각이다. 사실 애플 제품뿐 아...

피싱 보안 교육 보안 인식 소니 해킹

2015.05.11

Credit: Thinkstock 소니 해킹 사건에 대한 추가 정보가 공개되면서 밝혀지는 사실이 하나 있다. 인식 문제가 피싱보다 더 심각하게 우려할 만한 주제라는 것이다. 악명 높은 소니 해킹 사건은 다양한 기술적 취약성의 정점이었다. 비록 공격이 북한의 소행이라는 사실에 초점 맞춰지는 경향이 있지만 실무자의 관점에서는 그 공격이 성공할 수 있었던 이유를 파악하는 것이 더욱 중요하다. 사건 과정이 밝혀지는 과정에서 그 공격의 첫 단계가 스피어피싱(Spearphishing) 메시지였다는 사실이 드러났다. 많은 인식 관련 문제가 원인의 초기에 있었던 것이다. 공격에 피싱이 동원되었기 때문에 피싱에 대한 교육이 필요하다고 말하기는 쉽다. 사실이긴 하지만 교육이 실제 피싱 공격에 그리 효과를 발휘하지 못하는 있다는 점에 주의해야 한다. 또 다른 인간적인 결점을 이용하는 공격에는 도움이 되지 않는 경우도 많다. 추가 분석을 통해 암호 재사용 등 소셜 네트워크에서의 과도한 공유와 관련된 취약성도 있었다는 사실이 드러나고 있다. 즉 피싱 이상의 문제들도 존재하며 이를 감안한 인식 프로그램을 고민해야 할 시점인 것이다. 북한의 해커들은 관리자 권한이 있을 법한 직원들의 링크드인(LinkedIn)과 기타 소셜 네트워크를 뒤졌다. 저수준 권한을 보유한 사람이라도 최소한 조직 내로 침입할 수 있는 연결고리를 제공하기 때문에 공격 대상이라 할 수 있다. 사람들에게 링크드인에 게시물을 올리지 말라고 할 수는 없지만 최소한 소셜 네트워크 노출로 자신이 공격의 대상이 될 수 있다는 사실을 인지해야 한다. 또 미디어 보도에 따르면 피싱 메시지가 애플(Apple)의 계정 암호를 공격 대상으로 삼았다. 이는 아이폰과 기타 애플 제품을 보유한 사람들이 스스로 잠재적인 대상이 될 수 있다는 사실을 깨달아야 한다는 사실을 의미한다. 애플의 제품은 보안 우려와 상관이 없다고 생각하는 사람들이 있다. 그것은 분명 잘못된 생각이다. 사실 애플 제품뿐 아...

2015.05.11

'핵심은 사람!' 직원들의 보안 이해도 측정법

CIO에게 보안은 골칫거리이기 십상이다. 기관의 데이터 및 시스템 보안만큼이나 CIO를 잠 못 들게 하는 것도 드물다. 몇몇은 네트워크 반경을 방화벽과 IDPS로 중무장하고, 네트워크를 분할하는가 하면 정기적으로 감사 및 평가를 실시한다. 또 데이터를 분류하거나 중요 파일을 따로 모아놓고, 최소한의 보안 정책에도 신중에 신중을 기한다. 미안한 얘기지만, 이런 노력들 조차도 따로 교육을 받지 않았거나 악의를 지닌 유저 앞에서는 무력해 질 수 있다. 포네몬 인스티튜트(Ponemon Institute)는 지난해 미국 내 데이터 유출로 인해 소모된 총 비용이 평균 540만 달러를 넘었다고 밝혔다. 이들 중 약 67%가 악성 공격이나 사이버 범죄, 시스템 결함으로 초래된 것이었으며, 직원의 근무 태만 등과 같이 사람이 원인인 경우는 33%였다. 즉 이메일에서 링크를 한 번 잘못 클릭 하거나 사칭범에게 속아넘어가서 문제가 발생하는 것이었다. 모든 보안 프로그램에서 사용자 훈련은 기본 중 기본이다. 대부분 직원들은 IT나 보안에 대한 지식이 별로 없다. 사람들이 다 알 것 이라고 지레짐작 해서도 안 된다. 보안 트레이닝과 인식 개선을 해야만 모든 직원들이 기본적 보안 지식을 갖추고 보안 문제가 생겼을 때 올바른 대처를 할 수 있다. 보안에 있어 기술만 강조할 것이 아니라 소셜 엔지니어링이나 피싱에 대비한 보안 인식 개선 훈련도 병행해야 한다. 피싱과 소셜 엔지니어링이야 말로 데이터 유출의 가장 큰 주범들이다. 그런데, 설령 시간과 돈을 들여 훌륭한 트레이닝 프로그램을 실시했다 한들 직원들이 이를 잘 이해하고, 실전에 응용할 수 있을지 어떻게 알 수 있을까? 직원들의 보안 이해도를 점검해 볼 수 있는 4가지 방법 직원들의 보안 이해도를 측정해 보면 그들 중 누가 중요한 기업 정보나 고객 정보를 흘릴 가능성이 있는지 알 수 있다. 직원들을 측정해 보는 방법은 다음과 같다. 퀴즈를 내보자. 보안 인식 개선 훈련을 진행하...

보안 교육 보안 훈련 화이트 햇

2014.02.26

CIO에게 보안은 골칫거리이기 십상이다. 기관의 데이터 및 시스템 보안만큼이나 CIO를 잠 못 들게 하는 것도 드물다. 몇몇은 네트워크 반경을 방화벽과 IDPS로 중무장하고, 네트워크를 분할하는가 하면 정기적으로 감사 및 평가를 실시한다. 또 데이터를 분류하거나 중요 파일을 따로 모아놓고, 최소한의 보안 정책에도 신중에 신중을 기한다. 미안한 얘기지만, 이런 노력들 조차도 따로 교육을 받지 않았거나 악의를 지닌 유저 앞에서는 무력해 질 수 있다. 포네몬 인스티튜트(Ponemon Institute)는 지난해 미국 내 데이터 유출로 인해 소모된 총 비용이 평균 540만 달러를 넘었다고 밝혔다. 이들 중 약 67%가 악성 공격이나 사이버 범죄, 시스템 결함으로 초래된 것이었으며, 직원의 근무 태만 등과 같이 사람이 원인인 경우는 33%였다. 즉 이메일에서 링크를 한 번 잘못 클릭 하거나 사칭범에게 속아넘어가서 문제가 발생하는 것이었다. 모든 보안 프로그램에서 사용자 훈련은 기본 중 기본이다. 대부분 직원들은 IT나 보안에 대한 지식이 별로 없다. 사람들이 다 알 것 이라고 지레짐작 해서도 안 된다. 보안 트레이닝과 인식 개선을 해야만 모든 직원들이 기본적 보안 지식을 갖추고 보안 문제가 생겼을 때 올바른 대처를 할 수 있다. 보안에 있어 기술만 강조할 것이 아니라 소셜 엔지니어링이나 피싱에 대비한 보안 인식 개선 훈련도 병행해야 한다. 피싱과 소셜 엔지니어링이야 말로 데이터 유출의 가장 큰 주범들이다. 그런데, 설령 시간과 돈을 들여 훌륭한 트레이닝 프로그램을 실시했다 한들 직원들이 이를 잘 이해하고, 실전에 응용할 수 있을지 어떻게 알 수 있을까? 직원들의 보안 이해도를 점검해 볼 수 있는 4가지 방법 직원들의 보안 이해도를 측정해 보면 그들 중 누가 중요한 기업 정보나 고객 정보를 흘릴 가능성이 있는지 알 수 있다. 직원들을 측정해 보는 방법은 다음과 같다. 퀴즈를 내보자. 보안 인식 개선 훈련을 진행하...

2014.02.26

“직원들의 보안 의식을 측정하라” 한 보안 전문가의 조언

무료 툴들이 보안 담당자들에게 인지 프로그램의 효과를 측정하는 방법을 제공하고 있다. 보 안 측정이 어렵다는 건 어제오늘 이야기가 아니다. 문제가 없는 상황이나 심각한 상황에서 모두 측정 가능한 결과를 도출해내기란 쉽지 않다. 그러나 보안 지표의 영역은 최근 크게 진화하여 보안 책임자들이 보안 프로그램과 기술에 대한 투자 결정을 뒷받침해줄 더 많은 자원을 공급하고 있다. 이제 직원 보안 프로그램(Securing the Human Program)을 통해서, SANS 연구소(SASN Institute)는 보안 임원들에게 자체적 보안 의식 프로그램의 영향을 추적하고 측정할 수 있는 능력을 주기 위해 무료 측정 툴들을 제공하고 있다. 이 프로그램의 훈련 책임자인 랜스 스피츠너에 따르면, 그 툴들은 훈련을 향상시키고, 투자 대비 수익률을 보여주고, 기업 내 인적 위험을 업계 다른 회사들과 비교하는 데 쓰일 수 있다. 모든 자원은 무료며 커뮤니티에 의해, 커뮤니티를 위해 개발됐다고 스피츠너는 말했다. 그 툴에는 다음의 항목들이 들어있다: 지표 매트릭스(Metrics Matrix) – 보안 의식 프로그램 측정을 위한 여러 옵션들을 구분하고 문서화하는 스프레드시트. 지표 매트릭스는 영향 측정(행동 변화)과 규제 준수 추적 측정치를 모두 다 포함한다. 인적 위험 측정 조사(Measuring Human Risk Survey) –가장 최근에 추가됐고 지금도 개발중인 이 25개 문항 조사는 조직내의 인적 위험을 측정하는데 도움을 준다. 각각의 문항과 그에 따른 답변에는 그것들과 연관된 다양한 수준의 위험이 있다. 직원들이 어떻게 반응하느냐에 따라 답변의 총합을 구해서 인적 위험 총계를 파악할 수 있다. 피싱 평가 계획 패키지(Phishing Assessments Planning Package) – 피싱 평가는 당신의 의식 프로그램의 영향을 측정할 수 있는 간단하면서도 효과적인 수단이다. ...

CSO 훈련 보안 교육 SANS 무료 툴

2012.10.18

무료 툴들이 보안 담당자들에게 인지 프로그램의 효과를 측정하는 방법을 제공하고 있다. 보 안 측정이 어렵다는 건 어제오늘 이야기가 아니다. 문제가 없는 상황이나 심각한 상황에서 모두 측정 가능한 결과를 도출해내기란 쉽지 않다. 그러나 보안 지표의 영역은 최근 크게 진화하여 보안 책임자들이 보안 프로그램과 기술에 대한 투자 결정을 뒷받침해줄 더 많은 자원을 공급하고 있다. 이제 직원 보안 프로그램(Securing the Human Program)을 통해서, SANS 연구소(SASN Institute)는 보안 임원들에게 자체적 보안 의식 프로그램의 영향을 추적하고 측정할 수 있는 능력을 주기 위해 무료 측정 툴들을 제공하고 있다. 이 프로그램의 훈련 책임자인 랜스 스피츠너에 따르면, 그 툴들은 훈련을 향상시키고, 투자 대비 수익률을 보여주고, 기업 내 인적 위험을 업계 다른 회사들과 비교하는 데 쓰일 수 있다. 모든 자원은 무료며 커뮤니티에 의해, 커뮤니티를 위해 개발됐다고 스피츠너는 말했다. 그 툴에는 다음의 항목들이 들어있다: 지표 매트릭스(Metrics Matrix) – 보안 의식 프로그램 측정을 위한 여러 옵션들을 구분하고 문서화하는 스프레드시트. 지표 매트릭스는 영향 측정(행동 변화)과 규제 준수 추적 측정치를 모두 다 포함한다. 인적 위험 측정 조사(Measuring Human Risk Survey) –가장 최근에 추가됐고 지금도 개발중인 이 25개 문항 조사는 조직내의 인적 위험을 측정하는데 도움을 준다. 각각의 문항과 그에 따른 답변에는 그것들과 연관된 다양한 수준의 위험이 있다. 직원들이 어떻게 반응하느냐에 따라 답변의 총합을 구해서 인적 위험 총계를 파악할 수 있다. 피싱 평가 계획 패키지(Phishing Assessments Planning Package) – 피싱 평가는 당신의 의식 프로그램의 영향을 측정할 수 있는 간단하면서도 효과적인 수단이다. ...

2012.10.18

기고 | 직원 대상 보안 의식 교육이 필요 없는 이유

데이브 에이텔은 인식 제고 교육에 투자하는 비용이 낭비라고 주장하고 있다. 정보 보안과 관련해 변하지 않는 진리 하나가 있다. 직원들에게 정기적으로 보안 교육을 제공하면 보안을 크게 개선할 수 있다는 것이다. -> 효과적인 보안 교육을 위한 10계명 당연히 이유가 있다. RSA는 내장된 플래시 취약성을 갖고 있는 워드 문서 때문에 해킹당했다. 그리고 며칠 뒤, 공격자가 시스템을 관장하는 프라이빗 키를 확보한 후, 관련이 없는 회사 전체의 시큐어ID(SecureID)가 위험에 처했다. 그러나 RSA 같은 피싱 공격이 직원 교육의 정당성을 입증하는 사례일까? 아니면 반대일까? RSA, 구글, 이베이, 어도비, 페이스북, 오크릿지 국립 연구소(Oak Ridge National Laboratory), 기타 첨단 기술 기관 및 회사에 근무하는 임직원들도 피싱을 당할 수 있다는 것은 아주 똑똑하고 잘 훈련된 사람들도 해킹 공격의 피해자가 될 수 있다는 의미가 아닐까? 보안 교육의 한계를 보여주는 대표적인 사례가 하나 있다. 지난 2004년 웨스트포인트(West Point)에서 실시된, 이른바 '캐로네이드(Carronade)'라는 피싱 관련 실험이다. 사관 후보생들의 보안 인식을 테스트하기 위해 피싱 이메일을 발송한 실험이다. 이메일을 발송하기 앞서 4시간 동안 컴퓨터 보안 교육을 했지만, 사관 후보생들은 이메일에 적힌 링크를 클릭했다. 기본적으로 IT 담당자들이 사용자를 대상으로 보안 교육 프로그램을 요청하는 것은 '이건 우리 잘못이 아니다'는 점을 강조하기 위해서다. 그러나 이는 잘못됐다. 사용자는 네트워크에서 발생하는 일에 대한 책임이 없다. 또 첨단 정보 보안 위협을 인지하거나, 이로부터 스스로를 보호할 수 있는 능력이 없다. 은행에서 창구 출납 직원에게 은행을 지키라고 요구하는 것이나 다름없다. 다시 말해, 일개 직원이 오퍼레이션 새디(Operation Shady RAT), 오...

CSO CISO 보안 교육

2012.07.20

데이브 에이텔은 인식 제고 교육에 투자하는 비용이 낭비라고 주장하고 있다. 정보 보안과 관련해 변하지 않는 진리 하나가 있다. 직원들에게 정기적으로 보안 교육을 제공하면 보안을 크게 개선할 수 있다는 것이다. -> 효과적인 보안 교육을 위한 10계명 당연히 이유가 있다. RSA는 내장된 플래시 취약성을 갖고 있는 워드 문서 때문에 해킹당했다. 그리고 며칠 뒤, 공격자가 시스템을 관장하는 프라이빗 키를 확보한 후, 관련이 없는 회사 전체의 시큐어ID(SecureID)가 위험에 처했다. 그러나 RSA 같은 피싱 공격이 직원 교육의 정당성을 입증하는 사례일까? 아니면 반대일까? RSA, 구글, 이베이, 어도비, 페이스북, 오크릿지 국립 연구소(Oak Ridge National Laboratory), 기타 첨단 기술 기관 및 회사에 근무하는 임직원들도 피싱을 당할 수 있다는 것은 아주 똑똑하고 잘 훈련된 사람들도 해킹 공격의 피해자가 될 수 있다는 의미가 아닐까? 보안 교육의 한계를 보여주는 대표적인 사례가 하나 있다. 지난 2004년 웨스트포인트(West Point)에서 실시된, 이른바 '캐로네이드(Carronade)'라는 피싱 관련 실험이다. 사관 후보생들의 보안 인식을 테스트하기 위해 피싱 이메일을 발송한 실험이다. 이메일을 발송하기 앞서 4시간 동안 컴퓨터 보안 교육을 했지만, 사관 후보생들은 이메일에 적힌 링크를 클릭했다. 기본적으로 IT 담당자들이 사용자를 대상으로 보안 교육 프로그램을 요청하는 것은 '이건 우리 잘못이 아니다'는 점을 강조하기 위해서다. 그러나 이는 잘못됐다. 사용자는 네트워크에서 발생하는 일에 대한 책임이 없다. 또 첨단 정보 보안 위협을 인지하거나, 이로부터 스스로를 보호할 수 있는 능력이 없다. 은행에서 창구 출납 직원에게 은행을 지키라고 요구하는 것이나 다름없다. 다시 말해, 일개 직원이 오퍼레이션 새디(Operation Shady RAT), 오...

2012.07.20

효과적인 보안 교육을 위한 10계명

정보 보안 담당자들은 사용자가 보안에 대한 생각을 바꾸면 행동 또한 쉽게 바꿀 수 있다고 생각한다. 그러나 실제로는 이런 인식 제고가 변화로 이어지지 않는다는 교훈을 얻게 되곤 한다. 이런 결과를 초래하는 가장 근본적인 문제 가운데 하나는 교육 전문가가 아닌 보안 전문가들이 이런 인식 제고 프로그램을 기획해 추진하기 때문이다. 이런 교육훈련 프로그램은 긴 강의와 지루한 슬라이드 일색인 경우가 많다. 어떤 자료를 사용해 어떻게 가르쳐야 하는지 생각도, 연구도 하지 않기 때문이다. 결과적으로 원하는 결과를 얻지도 못하고, 발전도 없다. 이런 문제를 해결하기 위해서는 잠시 한 발 물러나 가장 효과적인 학습 방법에 대해 생각을 해 볼 필요가 있다. 학습법의 역사는 1950년대 초로 거슬러 올라간다. 이후 오랜 시간에 걸쳐 검증이 이뤄져 원칙으로 받아들여졌다. 따라서 정보 보안 교육에 적용한다면 즉각적이고 가시적이면서도 장기적인 결과를 이끌어낼 수 있다. 직원들을 교육시켜 기업의 전반적인 보안 수준을 높일 수 있는 것이다. 1. 교육 내용을 줄인다. 사람들은 쉽게 소화할 수 있다고 생각하는 작은 정보에 초점을 맞출 수 있을 때 학습 능률이 높아진다. 예를 들어, 15분 동안 55개나 되는 보안 관련 주제를 교육하면서, 사람들이 이런 교육 내용 전부를 기억하고 행동을 바꿀 것이라고 생각하는 것은 옳지 않다. 또 짧게 나눠 교육을 하는 것이 더 효과적이다. 2. 반복해서 교육한다. 사람들은 반복을 해야 학습을 한다. 피드백이나 실습 기회를 주지 않으면 학습 효율이 떨어지기 마련이다. 1회성이 아닌 지속적인 보안 교육훈련을 제공해야 한다. 3. 구체적인 사례를 들어 교육한다. 사람들은 그냥 내용보다는 실제 상황을 더 잘 기억한다. 따라서 보안 교육을 할 때는 가장 공격을 받을 만한 상황을 대상으로 교육을 하는 것이 중요하다. 4. 다양한 방법으로 메시지를 전달한다. 다양한 방법으로 여러 상황을 전달...

CSO 보안 교육

2012.05.08

정보 보안 담당자들은 사용자가 보안에 대한 생각을 바꾸면 행동 또한 쉽게 바꿀 수 있다고 생각한다. 그러나 실제로는 이런 인식 제고가 변화로 이어지지 않는다는 교훈을 얻게 되곤 한다. 이런 결과를 초래하는 가장 근본적인 문제 가운데 하나는 교육 전문가가 아닌 보안 전문가들이 이런 인식 제고 프로그램을 기획해 추진하기 때문이다. 이런 교육훈련 프로그램은 긴 강의와 지루한 슬라이드 일색인 경우가 많다. 어떤 자료를 사용해 어떻게 가르쳐야 하는지 생각도, 연구도 하지 않기 때문이다. 결과적으로 원하는 결과를 얻지도 못하고, 발전도 없다. 이런 문제를 해결하기 위해서는 잠시 한 발 물러나 가장 효과적인 학습 방법에 대해 생각을 해 볼 필요가 있다. 학습법의 역사는 1950년대 초로 거슬러 올라간다. 이후 오랜 시간에 걸쳐 검증이 이뤄져 원칙으로 받아들여졌다. 따라서 정보 보안 교육에 적용한다면 즉각적이고 가시적이면서도 장기적인 결과를 이끌어낼 수 있다. 직원들을 교육시켜 기업의 전반적인 보안 수준을 높일 수 있는 것이다. 1. 교육 내용을 줄인다. 사람들은 쉽게 소화할 수 있다고 생각하는 작은 정보에 초점을 맞출 수 있을 때 학습 능률이 높아진다. 예를 들어, 15분 동안 55개나 되는 보안 관련 주제를 교육하면서, 사람들이 이런 교육 내용 전부를 기억하고 행동을 바꿀 것이라고 생각하는 것은 옳지 않다. 또 짧게 나눠 교육을 하는 것이 더 효과적이다. 2. 반복해서 교육한다. 사람들은 반복을 해야 학습을 한다. 피드백이나 실습 기회를 주지 않으면 학습 효율이 떨어지기 마련이다. 1회성이 아닌 지속적인 보안 교육훈련을 제공해야 한다. 3. 구체적인 사례를 들어 교육한다. 사람들은 그냥 내용보다는 실제 상황을 더 잘 기억한다. 따라서 보안 교육을 할 때는 가장 공격을 받을 만한 상황을 대상으로 교육을 하는 것이 중요하다. 4. 다양한 방법으로 메시지를 전달한다. 다양한 방법으로 여러 상황을 전달...

2012.05.08

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13