Offcanvas

������������������ ������

“기업 침투, 5시간이면 충분하다” 산스 인스티튜트 보고서

윤리적 해커(Ethical Hacker)를 대상으로 한 최신 설문조사 결과는 가장 일반적인 초기 액세스 수단이 무엇인지 그리고 엔드투엔드 공격이 어떻게 발생하는지 등 다양한 인사이트를 제공한다.  산스 인스티튜트(SANS Institute)와 보안 회사 비숍 폭스(Bishop Fox)의 최신 보고서(2022 SANS Survey Report: Inside the Minds & Methods of Modern Adversaries)에 따르면 윤리적 해커의 약 40%가 (자신이) 테스트한 대부분의 환경에 침입할 수 있다고 밝혔다. 약 60%는 취약점만 파악하면 5시간 안에 침투할 수 있다고 말했다.   이번 설문조사는 정보 보안 분야에서 다양한 수준의 경력과 전문성을 갖추고 있는 300명 이상의 윤리적 해커를 대상으로 실시됐다. 보고서에 의하면 정찰, 악용, 권한 상승, 데이터 유출 등 공격 체인의 각 단계당 평균 ‘5시간’을 필요로 했으며, 엔드투엔드 공격에는 24시간 미만이 소요되는 것으로 조사됐다.  특히 윤리적 해커가 침투 테스트를 하거나 레드팀(모의 적군)으로 참여할 때 사용할 수 있는 기술이 제한돼 있다는 점을 고려한다면 기업들이 평균 탐지 시간과 평균 격리 시간을 개선해야 할 필요가 있다고 보고서는 전했다.    해커는 단 ‘몇 시간’ 만에 공격 가능한 취약점을 찾는다 특정 환경의 취약점을 파악하는 데 필요한 시간을 묻는 질문에 전체 응답자의 57%가 ‘10시간 이하’라고 말했다. 16%는 ‘6~10시간’, 25%는 ‘3~5시간’, 11%는 ‘1~2시간’, 5%가 ‘1시간 미만’이라고 답했다.  28%는 ‘모른다’라고 전했다(그 이유는 다양했으며, 10시간 이상 걸린다는 의미는 아니었다). 이는 많은 윤리적 해커가 (중요한 지표가 아니거나 시간에 민감한 사안이 아니라는 점에서) 경계 탐색 및 조사에 소요되는 시간을 추적하지 않기 때문일 수 있다. 아울러 (테스트한) 환경의 규모부터...

해커 윤리적 해커 침투 테스트 레드팀 취약점 네트워크 보안 내부 침투 테스트 애플리케이션 보안 클라우드 보안 데이터 유출 권한 상승

2022.10.04

윤리적 해커(Ethical Hacker)를 대상으로 한 최신 설문조사 결과는 가장 일반적인 초기 액세스 수단이 무엇인지 그리고 엔드투엔드 공격이 어떻게 발생하는지 등 다양한 인사이트를 제공한다.  산스 인스티튜트(SANS Institute)와 보안 회사 비숍 폭스(Bishop Fox)의 최신 보고서(2022 SANS Survey Report: Inside the Minds & Methods of Modern Adversaries)에 따르면 윤리적 해커의 약 40%가 (자신이) 테스트한 대부분의 환경에 침입할 수 있다고 밝혔다. 약 60%는 취약점만 파악하면 5시간 안에 침투할 수 있다고 말했다.   이번 설문조사는 정보 보안 분야에서 다양한 수준의 경력과 전문성을 갖추고 있는 300명 이상의 윤리적 해커를 대상으로 실시됐다. 보고서에 의하면 정찰, 악용, 권한 상승, 데이터 유출 등 공격 체인의 각 단계당 평균 ‘5시간’을 필요로 했으며, 엔드투엔드 공격에는 24시간 미만이 소요되는 것으로 조사됐다.  특히 윤리적 해커가 침투 테스트를 하거나 레드팀(모의 적군)으로 참여할 때 사용할 수 있는 기술이 제한돼 있다는 점을 고려한다면 기업들이 평균 탐지 시간과 평균 격리 시간을 개선해야 할 필요가 있다고 보고서는 전했다.    해커는 단 ‘몇 시간’ 만에 공격 가능한 취약점을 찾는다 특정 환경의 취약점을 파악하는 데 필요한 시간을 묻는 질문에 전체 응답자의 57%가 ‘10시간 이하’라고 말했다. 16%는 ‘6~10시간’, 25%는 ‘3~5시간’, 11%는 ‘1~2시간’, 5%가 ‘1시간 미만’이라고 답했다.  28%는 ‘모른다’라고 전했다(그 이유는 다양했으며, 10시간 이상 걸린다는 의미는 아니었다). 이는 많은 윤리적 해커가 (중요한 지표가 아니거나 시간에 민감한 사안이 아니라는 점에서) 경계 탐색 및 조사에 소요되는 시간을 추적하지 않기 때문일 수 있다. 아울러 (테스트한) 환경의 규모부터...

2022.10.04

블로그ㅣSW 공급망 보안, ‘SBOM’만으론 부족하다

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

소프트웨어 공급망 보안 솔라윈즈 해킹 공급망 보안 SBOM 위험 관리 애플리케이션 보안

2022.08.26

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

2022.08.26

기본만 지켜도... 쿠버네티스 보안 실수 7가지

가장 위험한 보안 구멍은 가장 기본적인 것일 때가 많다. 이러한 기본적인 실수만 고쳐도 쿠버네티스 보안 태세를 개선할 수 있다.  클라우드 네이티브 애플리케이션을 만들거나 또는 클라우드 네이티브 애플리케이션으로 작업할 때 대부분 ‘쿠버네티스’를 사용한다. 최근 CNCF 보고서에 따르면 기업의 96%가 쿠버네티스를 사용하거나 검토하고 있는 것으로 조사됐다. 쿠버네티스는 이미 전 세계적으로 560만 명의 사용자가 있으며, 이는 전체 백엔드 개발자의 31%에 해당된다.    쿠버네티스 사용은 매년 증가하고 있으며, (이에 따라) 해당 플랫폼에 있는 민감한 데이터의 양도 증가하면서 공격자가 이를 악용할 동기 역시 늘어나고 있다. 완전히 새로운 환경을 보호하려는 시도는 어려워 보일 수 있지만 상당수의 보안 문제는 비교적 쉽게 고칠 수 있는 기본적인 실수에서 비롯된다. 여기서는 7가지 쿠버네티스 보안 실수 그리고 이를 해결하는 방법을 살펴본다.  1. 기본 구성(Default configurations) 많은 사람이 보안 관점에서 기본 클러스터 구성이 충분하다고 가정하지만 이는 실수다. 쿠버네티스의 기본 설정은 보안 등급이 아니며, 그보다는 개발자의 유연성과 민첩성을 극대화하도록 설계됐다. 사용자는 보안을 위해 클러스터를 적절하게 구성해야 한다.  2. 여러 관리자(Multiple admins) 여러 엔지니어가 클러스터에서 일상작인 작업을 하면서 높은 권한을 가진 역할(예: 클러스터 관리자(CLUSTER_ADMIN) 등)을 쓸 수 있도록 허용하는 것은 언제나 실수다. 이 역할은 다른 역할 및 사용자를 관리하는 데만 활용돼야 한다. 클러스터 관리자 수준의 액세스 권한을 가진 여러 관리자가 있으면, 시스템에 침입하려는 해커에게 전체 클러스터 액세스 권한을 가진 계정을 ‘많이’ 제공하는 것과 같다.  3. 액세스 제한 없음(No access restrictions) 많은 관리자가 개발자의 dev/stage/pro...

쿠버네티스 클라우드 네이티브 보안 태세 접근 권한 YAML 컨피그맵 애플리케이션 보안 컨테이너

2022.07.27

가장 위험한 보안 구멍은 가장 기본적인 것일 때가 많다. 이러한 기본적인 실수만 고쳐도 쿠버네티스 보안 태세를 개선할 수 있다.  클라우드 네이티브 애플리케이션을 만들거나 또는 클라우드 네이티브 애플리케이션으로 작업할 때 대부분 ‘쿠버네티스’를 사용한다. 최근 CNCF 보고서에 따르면 기업의 96%가 쿠버네티스를 사용하거나 검토하고 있는 것으로 조사됐다. 쿠버네티스는 이미 전 세계적으로 560만 명의 사용자가 있으며, 이는 전체 백엔드 개발자의 31%에 해당된다.    쿠버네티스 사용은 매년 증가하고 있으며, (이에 따라) 해당 플랫폼에 있는 민감한 데이터의 양도 증가하면서 공격자가 이를 악용할 동기 역시 늘어나고 있다. 완전히 새로운 환경을 보호하려는 시도는 어려워 보일 수 있지만 상당수의 보안 문제는 비교적 쉽게 고칠 수 있는 기본적인 실수에서 비롯된다. 여기서는 7가지 쿠버네티스 보안 실수 그리고 이를 해결하는 방법을 살펴본다.  1. 기본 구성(Default configurations) 많은 사람이 보안 관점에서 기본 클러스터 구성이 충분하다고 가정하지만 이는 실수다. 쿠버네티스의 기본 설정은 보안 등급이 아니며, 그보다는 개발자의 유연성과 민첩성을 극대화하도록 설계됐다. 사용자는 보안을 위해 클러스터를 적절하게 구성해야 한다.  2. 여러 관리자(Multiple admins) 여러 엔지니어가 클러스터에서 일상작인 작업을 하면서 높은 권한을 가진 역할(예: 클러스터 관리자(CLUSTER_ADMIN) 등)을 쓸 수 있도록 허용하는 것은 언제나 실수다. 이 역할은 다른 역할 및 사용자를 관리하는 데만 활용돼야 한다. 클러스터 관리자 수준의 액세스 권한을 가진 여러 관리자가 있으면, 시스템에 침입하려는 해커에게 전체 클러스터 액세스 권한을 가진 계정을 ‘많이’ 제공하는 것과 같다.  3. 액세스 제한 없음(No access restrictions) 많은 관리자가 개발자의 dev/stage/pro...

2022.07.27

오픈소스 SW 보안으로의 중요한 걸음, ‘OSSSMP’란?

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

오픈소스 오픈소스 보안 OSS 리눅스 재단 오픈SSF 공급망 공격 솔라윈즈 로그4j 공급망 보안 취약점 버그 현상금 데브섹옵스 애플리케이션 보안

2022.06.02

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

2022.06.02

‘NFT·암호화폐’, CISO의 보안 악몽이 되는 10가지 순간

CISO들이 ‘분산형 기술’에 관한 우려로 밤잠을 설칠지도 모른다. 여기서는 이에 따른 보안 위험을 방지할 수 있는 방법들을 살펴본다.  암호화폐로 결제를 받는 기업들이 많아지고 있다. 고객들은 이를테면 전자제품부터 학사 학위, 카푸치노까지 원하는 거의 모든 것을 구매할 수 있다. 이와 동시에 NFT(Non Fungible Token) 시장이 급성장하고 있다. 새로운 예술가들이 하루아침에 백만장자로 등극하고, 스눕독, 마사 스튜어트, 그림스 등의 유명인사들도 이 트렌드를 활용하고 있다. ‘암호화폐’와 ‘NFT’는 많은 기업이 ‘웹3’의 파급 효과와 (이로 인한) 기회를 논의하면서 주요한 의제로 떠올랐다. 인터넷의 진화를 이끄는 이 새롭고 중요한 변화는 디지털 세계를 분권화하여 사용자에게 더 큰 통제권과 더 투명한 정보 흐름을 제공한다고 말한다.  그리고 기업들은 이 새로운 패러다임에 적응하기 위해 최선을 다하고 있다. 하지만 CISO들은 이를 바라보는 관점이 살짝 다르다. 사이버 보안, 신원 사기, 시장 보안 위험, 키 및 데이터 관리, 프라이버시 등을 우려하고 있기 때문이다. NFT를 포함한 모든 형태의 암호화폐에는 대부분의 기업들이 익숙하지 않을 수 있는 일련의 위협 및 보안 문제가 있다. 디지털 애셋 리서치(Digital Asset Research)의 CEO 더그 슈웽크는 “일련의 새로운 시스템(공개 블록체인)에 노출된다. 많은 기업이 익숙하지 않은 위험에 직면할 것이다. 여러 새로운 운영 절차가 필요하다”라고 말했다.   CISO가 이러한 문제를 다루는 방식은 사용자와 비즈니스 파트너에게 영향을 미칠 수 있다. 컨피언트(Confiant)의 수석 보안 엔지니어 엘리야 스테인운 “침해는 기업 또는 사용자 또는 NFT 수집가에게 즉각적인 재정적 영향을 미친다”라고 강조했다. 여기서는 CISO들이 살펴봐야 할 ‘암호화폐와 NFT의 보안 위험 10가지’를 소개한다.  1. 블록체인 프로토콜 통합이 복잡할 수 있다 블...

블록체인 암호화폐 NFT 애플리케이션 보안 웹3 블록체인 브릿지

2022.04.13

CISO들이 ‘분산형 기술’에 관한 우려로 밤잠을 설칠지도 모른다. 여기서는 이에 따른 보안 위험을 방지할 수 있는 방법들을 살펴본다.  암호화폐로 결제를 받는 기업들이 많아지고 있다. 고객들은 이를테면 전자제품부터 학사 학위, 카푸치노까지 원하는 거의 모든 것을 구매할 수 있다. 이와 동시에 NFT(Non Fungible Token) 시장이 급성장하고 있다. 새로운 예술가들이 하루아침에 백만장자로 등극하고, 스눕독, 마사 스튜어트, 그림스 등의 유명인사들도 이 트렌드를 활용하고 있다. ‘암호화폐’와 ‘NFT’는 많은 기업이 ‘웹3’의 파급 효과와 (이로 인한) 기회를 논의하면서 주요한 의제로 떠올랐다. 인터넷의 진화를 이끄는 이 새롭고 중요한 변화는 디지털 세계를 분권화하여 사용자에게 더 큰 통제권과 더 투명한 정보 흐름을 제공한다고 말한다.  그리고 기업들은 이 새로운 패러다임에 적응하기 위해 최선을 다하고 있다. 하지만 CISO들은 이를 바라보는 관점이 살짝 다르다. 사이버 보안, 신원 사기, 시장 보안 위험, 키 및 데이터 관리, 프라이버시 등을 우려하고 있기 때문이다. NFT를 포함한 모든 형태의 암호화폐에는 대부분의 기업들이 익숙하지 않을 수 있는 일련의 위협 및 보안 문제가 있다. 디지털 애셋 리서치(Digital Asset Research)의 CEO 더그 슈웽크는 “일련의 새로운 시스템(공개 블록체인)에 노출된다. 많은 기업이 익숙하지 않은 위험에 직면할 것이다. 여러 새로운 운영 절차가 필요하다”라고 말했다.   CISO가 이러한 문제를 다루는 방식은 사용자와 비즈니스 파트너에게 영향을 미칠 수 있다. 컨피언트(Confiant)의 수석 보안 엔지니어 엘리야 스테인운 “침해는 기업 또는 사용자 또는 NFT 수집가에게 즉각적인 재정적 영향을 미친다”라고 강조했다. 여기서는 CISO들이 살펴봐야 할 ‘암호화폐와 NFT의 보안 위험 10가지’를 소개한다.  1. 블록체인 프로토콜 통합이 복잡할 수 있다 블...

2022.04.13

‘로그4j’ 사태, 아직 끝나지 않았다··· 앱 개발자가 해야 할 3가지

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

로그4j Log4j 자바 보안 취약점 취약점 공격 익스플로잇 WAF 애플리케이션 보안

2021.12.31

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

2021.12.31

애플리케이션 보안 솔루션 선택을 위한 9가지 체크포인트

애플리케이션 보안 솔루션 구매를 위해서는 다양한 요소들을 고려해야 한다. 보안 리스크 관리에 대한 기업들의 문제 인식이 심화됨에 따라, 이와 관련한 고민은 한층 깊어지고 있다. 실제 보안 공격의 80%가 집중되는 애플리케이션은 기업 환경의 가장 큰 취약점으로 존재하는 상황이다. 이를 보호하기 위해 기업들에겐 애플리케이션의 수명주기 전반에 충분한 수준의 포괄적 보안 툴킷을 구축하는 노력이 요구되며, 이에 앞서 기업들은 자사가 처한 보안 리스크의 성격에 적합한 도구 선택을 위한 올바른 질문 능력을 갖춰야 한다. 오픈소스 보안 개발업체 블랙 덕 소프트웨어(Black Duck Software)는 "올바른 질문이란 자사 환경에 맞는 애플리케이션 툴과 기능 조합을 구현할 수 있도록 하는 출발점이다"고 설명했다. 1. 어떤 애플리케이션 유형(웹, 모바일, 설치형, IoT 등)을 개발하는가? 모바일, IoT 앱의 경우에는 그것에 특화된(스마트폰 펜 테스팅 등) 툴을 필요로 하는 경우가 많다. 반면 대부분의 설치형, 웹 기반 애플리케이션이라면 표준적인 동적 분석 보안 테스팅(Dynamic Analysis Security Testing, DAST) 툴을 통한 테스트가 가능하다. 2. 애플리케이션이 연결되는 네트워크 유형(인터넷, LAN, 무선 등)은 어떠한가? 애플리케이션 보안 테스팅 툴은 사용자의 애플리케이션이 마주하게 될 공격 유형들에 대한 에뮬레이션이 반드시 가능해야 한다. 예를 들어 무선 애플리케이션의 경우 인트라넷 혹은 인터넷으로의 보안 접속을 필요로 하는데, 이는 궁극적으로는 라우터 및 방화벽 규정, VPN 정책에 영향을 미치게 된다. 비즈니스 애플리케이션의 대부분이 순수하게 무선 환경에서만 구동되는 기업이라면, 구매 결정에 앞서 해당 요인들을 고려하는 것이 현명한 자세일 것이다. 3. 애플리케이션의 모든 소스 코드에 대한 접근이 가능한가? 최근 몇년 사이에 신형 애플리케이션에 취약점이 많은 서드파티 컴포...

보안 솔루션 애플리케이션 보안

2017.05.04

애플리케이션 보안 솔루션 구매를 위해서는 다양한 요소들을 고려해야 한다. 보안 리스크 관리에 대한 기업들의 문제 인식이 심화됨에 따라, 이와 관련한 고민은 한층 깊어지고 있다. 실제 보안 공격의 80%가 집중되는 애플리케이션은 기업 환경의 가장 큰 취약점으로 존재하는 상황이다. 이를 보호하기 위해 기업들에겐 애플리케이션의 수명주기 전반에 충분한 수준의 포괄적 보안 툴킷을 구축하는 노력이 요구되며, 이에 앞서 기업들은 자사가 처한 보안 리스크의 성격에 적합한 도구 선택을 위한 올바른 질문 능력을 갖춰야 한다. 오픈소스 보안 개발업체 블랙 덕 소프트웨어(Black Duck Software)는 "올바른 질문이란 자사 환경에 맞는 애플리케이션 툴과 기능 조합을 구현할 수 있도록 하는 출발점이다"고 설명했다. 1. 어떤 애플리케이션 유형(웹, 모바일, 설치형, IoT 등)을 개발하는가? 모바일, IoT 앱의 경우에는 그것에 특화된(스마트폰 펜 테스팅 등) 툴을 필요로 하는 경우가 많다. 반면 대부분의 설치형, 웹 기반 애플리케이션이라면 표준적인 동적 분석 보안 테스팅(Dynamic Analysis Security Testing, DAST) 툴을 통한 테스트가 가능하다. 2. 애플리케이션이 연결되는 네트워크 유형(인터넷, LAN, 무선 등)은 어떠한가? 애플리케이션 보안 테스팅 툴은 사용자의 애플리케이션이 마주하게 될 공격 유형들에 대한 에뮬레이션이 반드시 가능해야 한다. 예를 들어 무선 애플리케이션의 경우 인트라넷 혹은 인터넷으로의 보안 접속을 필요로 하는데, 이는 궁극적으로는 라우터 및 방화벽 규정, VPN 정책에 영향을 미치게 된다. 비즈니스 애플리케이션의 대부분이 순수하게 무선 환경에서만 구동되는 기업이라면, 구매 결정에 앞서 해당 요인들을 고려하는 것이 현명한 자세일 것이다. 3. 애플리케이션의 모든 소스 코드에 대한 접근이 가능한가? 최근 몇년 사이에 신형 애플리케이션에 취약점이 많은 서드파티 컴포...

2017.05.04

'클라우드 이전, 뭣이 중헌디?' 데이터 보안 체크리스트

클라우드 환경으로 이전할 때, 기업은 자사의 요구와 제공업체의 보안뿐 아니라 내부 정책까지도 자세히 검토해야 한다. 많은 기업은 다른 조직과 클라우드 공간을 공유하는 것이 얼마나 위험한 일인지 충분히 고민하지 않거나 클라우드 업체의 보안 정책과 자사 데이터센터의 정책과 맞출 방법을 생각할 시간을 갖지 않는다. 보안 업체인 라드웨어(Radware)는 기업이 원활하게 클라우드로 이전하고 엄격한 클라우드 보안을 확립할 수 있는 9단계 체크리스트를 제시했다. ciokr@idg.co.kr

CSO 데이터 보안 CISO 다운타임 애플리케이션 보안 클라우드 보안 클라우드 이전 복호화

2016.08.01

클라우드 환경으로 이전할 때, 기업은 자사의 요구와 제공업체의 보안뿐 아니라 내부 정책까지도 자세히 검토해야 한다. 많은 기업은 다른 조직과 클라우드 공간을 공유하는 것이 얼마나 위험한 일인지 충분히 고민하지 않거나 클라우드 업체의 보안 정책과 자사 데이터센터의 정책과 맞출 방법을 생각할 시간을 갖지 않는다. 보안 업체인 라드웨어(Radware)는 기업이 원활하게 클라우드로 이전하고 엄격한 클라우드 보안을 확립할 수 있는 9단계 체크리스트를 제시했다. ciokr@idg.co.kr

2016.08.01

인포그래픽ㅣ보안 인재 채용 기간 평균 14주 이상, 최대 4개월 소요

사이브러리가 16일 발표한 사이버 보안 직업 트렌드 설문 조사에 따르면, 사이버 보안에서 가장 핵심적인 직업은 네트워크 및 애플리케이션 보안, GRC/정보 지원, 보안 인텔리전스 관련 직업인 것으로 파악됐다. 사이브러리는 사이버 보안 온라인 교육 제공업체로, 올 10월부터 최근까지 고위급 IT전문가 435명을 대상으로 설문 조사를 실시했다. 이미지 출처 : 사이브러리 사이버 보안 인재 및 기술 부족은 오래 전부터 도마에 올랐던 주제였으나, 이번 조사에서 몇 가지 새로운 사실이 드러났다. 사이브러리의 공동 창립자인 라이언 코리는 "기업 및 공공기관은 데이터 보안을 걱정할 수밖에 없으며, 이러한 사실은 사이버 보안 역량 격차로 인한 문제가 계속되고 있음을 시사한다"고 말했다. 그는 "사이버 보안 문제로 압박을 받는 기업들의 경우, 사이버 보안 전담 인력이 심히 부족하다는 사실을 알고 있으며, 결국 이로 인해 사이버 공격에 취약해 지는 것"이라고 덧붙였다. 사이브러리의 조사 발표를 요악하자면 다음과 같다. * 응답자의 80%는 실력 있는 사이버 보안 전문가를 채용하는 과정에서 '항상' 혹은 '가끔씩' 어려움을 겪는다고 답했다. 이에 대한 주요 원인으로 1위는 실력이 출중한 사이버 보안 인력의 전반적인 부족(40%), 2위와 3위는 각각 인재를 물색하고 채용할 전담 인력 부족(18%), 지역 IT인재 양성 부족(14%)이었다. * 채용은 여전히 해결 과제로 남아 있으며, 일부 직무의 경우 채용에만 4개월 가까이 걸리는 상황이다. 코리는 "일부 특정 지역의 사이버 보안 인력과 관련해 대다수의 응답자는 인재가 있기는 하지만 찾기가 어려운 실정이라고 응답했다"고 설명했다. * 가장 인기 있는 사이버 보안 자격증은 시큐리티+, 에티컬 해킹(Ethical Hacking), 네트워크+, CISSP, A+였다. * 가장 인기 있는 보안 기술은 에티컬 해...

보안 컴퓨터 포렌식 A+ 네트워크+ 에티컬 해킹 시큐리티+ 사이브러리 CISSP 네트워크 보안 사이버 보안 애플리케이션 보안 인포그래픽 트렌드 인력 직업 고용 GRC 채용 Advanced Penetration Testing

2015.12.17

사이브러리가 16일 발표한 사이버 보안 직업 트렌드 설문 조사에 따르면, 사이버 보안에서 가장 핵심적인 직업은 네트워크 및 애플리케이션 보안, GRC/정보 지원, 보안 인텔리전스 관련 직업인 것으로 파악됐다. 사이브러리는 사이버 보안 온라인 교육 제공업체로, 올 10월부터 최근까지 고위급 IT전문가 435명을 대상으로 설문 조사를 실시했다. 이미지 출처 : 사이브러리 사이버 보안 인재 및 기술 부족은 오래 전부터 도마에 올랐던 주제였으나, 이번 조사에서 몇 가지 새로운 사실이 드러났다. 사이브러리의 공동 창립자인 라이언 코리는 "기업 및 공공기관은 데이터 보안을 걱정할 수밖에 없으며, 이러한 사실은 사이버 보안 역량 격차로 인한 문제가 계속되고 있음을 시사한다"고 말했다. 그는 "사이버 보안 문제로 압박을 받는 기업들의 경우, 사이버 보안 전담 인력이 심히 부족하다는 사실을 알고 있으며, 결국 이로 인해 사이버 공격에 취약해 지는 것"이라고 덧붙였다. 사이브러리의 조사 발표를 요악하자면 다음과 같다. * 응답자의 80%는 실력 있는 사이버 보안 전문가를 채용하는 과정에서 '항상' 혹은 '가끔씩' 어려움을 겪는다고 답했다. 이에 대한 주요 원인으로 1위는 실력이 출중한 사이버 보안 인력의 전반적인 부족(40%), 2위와 3위는 각각 인재를 물색하고 채용할 전담 인력 부족(18%), 지역 IT인재 양성 부족(14%)이었다. * 채용은 여전히 해결 과제로 남아 있으며, 일부 직무의 경우 채용에만 4개월 가까이 걸리는 상황이다. 코리는 "일부 특정 지역의 사이버 보안 인력과 관련해 대다수의 응답자는 인재가 있기는 하지만 찾기가 어려운 실정이라고 응답했다"고 설명했다. * 가장 인기 있는 사이버 보안 자격증은 시큐리티+, 에티컬 해킹(Ethical Hacking), 네트워크+, CISSP, A+였다. * 가장 인기 있는 보안 기술은 에티컬 해...

2015.12.17

'위험 애플리케이션 설치 차단'··· 마이크로소프트, PUA 감지 기능 활성화

시스템 센터 엔드포인트 프로텍션(System Center Endpoint Protection) 및 포어프론트 엔드포인트 프로텍션(Forefront Endpoint Protection)에 소재한 '그 기능'이 활성화됐다. 마이크로소프트가 마침내 결정을 내렸다. 기업 네트워크에서 애드웨어, 브라우저 하이재커, 여타 원하지 않는 애플리케이션들(PUAs ; potentially unwanted applications)을 차단할 수 있게 됐다. 기업 대상 안티 맬웨어 제품군에 PUA 프로텍션 기능을 제공하고 나선 것이다. 이번 새 기능은 마이크로소프트의 시스템 센터 엔드포인트 프로텍션(SCEP) 및 포어프론트 엔드포인트 프로텍션(FEP) 내에 시스템 관리자가 활성화할 수 있는 옵션 형태로 추가됐다. PUA 시그내처는 안티 맬웨어 정의 업데이트 및 클라우드 프로텍션 내에 포함된다. 따라서 추가적인 구성이 필요하지 않다. '원하지 않는 애플리케이션'(PUA)이란 설치된 이후 다른 프로그램을 사용자 모르게 설치하거나 광고를 멋대로 노출시키거나 브라우저 검색 세팅을 하이재킹하거나, 가짜 주문에 의거해 다양한 서비스로부터 지불을 청구하는 프로그램들을 의미한다. 마이크로소프트 맬웨어 프로텍션 센터 연구진은 블로그 포스트를 통해 "이들 애플리케이션들은 네트워크 맬웨어 감염, 헬프데스크 리소스 낭비, 맬웨어 판독 난이도 증가 등의 문제를 야기시킨다"라고 설명했다. 시스템 관리자는 그룹 정책 세팅(Group Policy setting)을 이용한 레지스트리를 통해 특정 안티 맬웨어 제품 버전을 위한 PUA 프로텍션을 배치할 수 있다. 마이크로소프트는 PUA 관련 기업 정책을 생성한 이후 이 기능을 설치하라고 권하고 있다. 또 직원들에게 이 기능에 대해 미리 설명할 필요가 있다고 설명하고 있다. 연구진은 이 밖에 네트워크에 PUA가 다수 설치된 것으로 추정되는 환경이라면, 소스의 컴퓨터에만 해당 프로...

마이크로소프트 맬웨어 애플리케이션 보안 애드웨어 네트워크 보안 PUA

2015.11.30

시스템 센터 엔드포인트 프로텍션(System Center Endpoint Protection) 및 포어프론트 엔드포인트 프로텍션(Forefront Endpoint Protection)에 소재한 '그 기능'이 활성화됐다. 마이크로소프트가 마침내 결정을 내렸다. 기업 네트워크에서 애드웨어, 브라우저 하이재커, 여타 원하지 않는 애플리케이션들(PUAs ; potentially unwanted applications)을 차단할 수 있게 됐다. 기업 대상 안티 맬웨어 제품군에 PUA 프로텍션 기능을 제공하고 나선 것이다. 이번 새 기능은 마이크로소프트의 시스템 센터 엔드포인트 프로텍션(SCEP) 및 포어프론트 엔드포인트 프로텍션(FEP) 내에 시스템 관리자가 활성화할 수 있는 옵션 형태로 추가됐다. PUA 시그내처는 안티 맬웨어 정의 업데이트 및 클라우드 프로텍션 내에 포함된다. 따라서 추가적인 구성이 필요하지 않다. '원하지 않는 애플리케이션'(PUA)이란 설치된 이후 다른 프로그램을 사용자 모르게 설치하거나 광고를 멋대로 노출시키거나 브라우저 검색 세팅을 하이재킹하거나, 가짜 주문에 의거해 다양한 서비스로부터 지불을 청구하는 프로그램들을 의미한다. 마이크로소프트 맬웨어 프로텍션 센터 연구진은 블로그 포스트를 통해 "이들 애플리케이션들은 네트워크 맬웨어 감염, 헬프데스크 리소스 낭비, 맬웨어 판독 난이도 증가 등의 문제를 야기시킨다"라고 설명했다. 시스템 관리자는 그룹 정책 세팅(Group Policy setting)을 이용한 레지스트리를 통해 특정 안티 맬웨어 제품 버전을 위한 PUA 프로텍션을 배치할 수 있다. 마이크로소프트는 PUA 관련 기업 정책을 생성한 이후 이 기능을 설치하라고 권하고 있다. 또 직원들에게 이 기능에 대해 미리 설명할 필요가 있다고 설명하고 있다. 연구진은 이 밖에 네트워크에 PUA가 다수 설치된 것으로 추정되는 환경이라면, 소스의 컴퓨터에만 해당 프로...

2015.11.30

인기 절정의 보안 토픽 8가지 '이유는?'

사이버 위협이 그 어느 때보다도 크게 변화하고 있으며, 이는 이를 완화하는데 필요한 기술도 마찬가지이다. 오늘날 보안 업계에서 인기있는 기술 가운데 전문가들이 중요하게 여기는 것들이 있다. '변하지 않는 유일한 것은 변화'라는 옛 격언은 분명 정보 보안의 세계에 적용되고 있다. 그 어느 때보다도 빠르게 변화하는 보안 시나리오든, 아니면 이를 해결하기 위한 기술이든 새로운 개발이 이루어지고 있는 듯 하다. 보안 원칙의 동적인 특성때문에 기관 및 보안 프로그램에 요구되는 기술 또한 지속적으로 바뀌고 있다. 보안 책임자, 업계 애널리스트, 채용 전문가 등에게 오늘날 그리고 미래에 그들이 생각하는 가장 인기 있는 기술이 무엇인지 살펴보았다. 여기 그 가운데 몇 가지 영역을 살펴보자. 모바일 보안 BYOD(Bring Your Own Device)나 회사에서 제공한 디바이스 등 기업들은 점차 모바일 인력에 의존하고 있다. 모바일 컴퓨팅과 통신 덕분에 새로운 취약점과 위협이 발생했으며 이를 해결할 노하우를 갖춘 사람들을 찾는 것이 점차 중요해질 것이다. 포레스터 리서치 수석 애널리스트 타일러 쉴즈는 "네트워크부터 운영체제와 애플리케이션 보안까지 모빌리티 스택(Mobility Stack)이 높아질수록 보안 기술을 이해하기 더욱 어려워진다"고 말했다. 쉴즈는 "스택의 하부 계층은 좀더 상용화된 것들이며 보안 제어와 감사 가운데 일부를 자동화하는데 도움이 될 수 있다"고 말했다. 애플리케이션 보안 결함은 일반적으로 1회성 결함으로 성공적인 디스커버리(discover)와 익스플로잇(exploit)을 위해서는 상당한 리버스엔지니어링(reverse engineering)과 코딩(Coding) 기술이 요구된다. 일반적으로 애플리케이션 보안 영역은 전문가를 찾기가 어려운 영역 가운데 하나다. 또한 모바일 보안은 기술의 역사가 짧아 공급이 부족하다." 데이터...

모바일 보안 데이터 분석 애플리케이션 보안 POS 시스템 보안 분석가 보안 아키텍트 보안 조사자 사이버 위협

2014.06.23

사이버 위협이 그 어느 때보다도 크게 변화하고 있으며, 이는 이를 완화하는데 필요한 기술도 마찬가지이다. 오늘날 보안 업계에서 인기있는 기술 가운데 전문가들이 중요하게 여기는 것들이 있다. '변하지 않는 유일한 것은 변화'라는 옛 격언은 분명 정보 보안의 세계에 적용되고 있다. 그 어느 때보다도 빠르게 변화하는 보안 시나리오든, 아니면 이를 해결하기 위한 기술이든 새로운 개발이 이루어지고 있는 듯 하다. 보안 원칙의 동적인 특성때문에 기관 및 보안 프로그램에 요구되는 기술 또한 지속적으로 바뀌고 있다. 보안 책임자, 업계 애널리스트, 채용 전문가 등에게 오늘날 그리고 미래에 그들이 생각하는 가장 인기 있는 기술이 무엇인지 살펴보았다. 여기 그 가운데 몇 가지 영역을 살펴보자. 모바일 보안 BYOD(Bring Your Own Device)나 회사에서 제공한 디바이스 등 기업들은 점차 모바일 인력에 의존하고 있다. 모바일 컴퓨팅과 통신 덕분에 새로운 취약점과 위협이 발생했으며 이를 해결할 노하우를 갖춘 사람들을 찾는 것이 점차 중요해질 것이다. 포레스터 리서치 수석 애널리스트 타일러 쉴즈는 "네트워크부터 운영체제와 애플리케이션 보안까지 모빌리티 스택(Mobility Stack)이 높아질수록 보안 기술을 이해하기 더욱 어려워진다"고 말했다. 쉴즈는 "스택의 하부 계층은 좀더 상용화된 것들이며 보안 제어와 감사 가운데 일부를 자동화하는데 도움이 될 수 있다"고 말했다. 애플리케이션 보안 결함은 일반적으로 1회성 결함으로 성공적인 디스커버리(discover)와 익스플로잇(exploit)을 위해서는 상당한 리버스엔지니어링(reverse engineering)과 코딩(Coding) 기술이 요구된다. 일반적으로 애플리케이션 보안 영역은 전문가를 찾기가 어려운 영역 가운데 하나다. 또한 모바일 보안은 기술의 역사가 짧아 공급이 부족하다." 데이터...

2014.06.23

호미로 막는 지혜 ‘안전한 코딩’

정보 보안 전문가에 대한 수요가 높다. 그리고 향후 몇 년 동안 더욱 높아질 전망이다. 즉 보안 전문가를 채용하기가 점점 더 힘들어질 것이라는 의미다. 이에 대한 대안 중 하나는 보다 안전한 코드를 작성하도록 내부 IT 인력을 훈련시키는 것이다. 미국 내무부의 CIO를 역임했고 지금은 보안 교육 및 인증 기관인 (ISC)2의 대표를 맡고 있는 호드 팁톤에 따르면, 현재 미국에는 220만 명의 보안 전문가들이 있다. 그러나 2015년에는 425만 명으로 늘어날 전망이다. 단 수요를 충족할 숙련된 보안 전문가가 충분하다는 전제 아래서다. 이미 중소기업과 대기업 모두 보안 전문 지식을 갖춘 IT 인력 확보에 애를 먹고 있는 실정이다. IT 민간 협회인 컴티아(CompTIA)가 올해 초 발표한 보고서에 따르면, 조사 대상 기업 중 41%가 보안 기술을 갖춘 IT 직원들이 다소 부족하거나, 심각하게 부족하다고 대답하고 있다. 컴티아는 기업들은 평균적으로 30%의 보안 인력 부족 현상을 겪고 있다고 분석했다. 이 밖에 정보 보안 애널리스트와 관련된 통계를 다룬 미국 노동부의 2011년 통계(BLS)에 따르면, 이 분야의 실업율은 0%라는 놀라운 수치를 기록하고 있다. 팁톤은 "보안 인력에 대한 수요가 더 높아질 전망'이라고 강조했다. 이런 수요를 충족하기 위해서는 (ISC)2 같은 보안 기관뿐만 아니라, 보안 전문가, 기업, 경영진 모두가 참여하는 다방면의 노력이 필요하다. 보다 안전한 코드 작성 기업들이 이런 어려움을 완화할 수 있는 가장 중요한 예방책 가운데 하나는 개발자들이 처음부터 한층 안전하게 프로그램을 코딩하도록 하는 것이다. 팁톤은 "기업들은 여전히 취약성이 많은 소프트웨어를 생산하고 있는가? 애초에 취약성이 많은 소프트웨어를 개발하고, 계속해서 패칭을 할 필요가 있겠는가?"라고 반문했다. 이에 대한 대답이 여기 있다. 경영진이 애초부터 안전한 프로그램 코딩에 우선순위...

보안 코드 코딩 SQL 인젝션 애플리케이션 보안

2012.07.10

정보 보안 전문가에 대한 수요가 높다. 그리고 향후 몇 년 동안 더욱 높아질 전망이다. 즉 보안 전문가를 채용하기가 점점 더 힘들어질 것이라는 의미다. 이에 대한 대안 중 하나는 보다 안전한 코드를 작성하도록 내부 IT 인력을 훈련시키는 것이다. 미국 내무부의 CIO를 역임했고 지금은 보안 교육 및 인증 기관인 (ISC)2의 대표를 맡고 있는 호드 팁톤에 따르면, 현재 미국에는 220만 명의 보안 전문가들이 있다. 그러나 2015년에는 425만 명으로 늘어날 전망이다. 단 수요를 충족할 숙련된 보안 전문가가 충분하다는 전제 아래서다. 이미 중소기업과 대기업 모두 보안 전문 지식을 갖춘 IT 인력 확보에 애를 먹고 있는 실정이다. IT 민간 협회인 컴티아(CompTIA)가 올해 초 발표한 보고서에 따르면, 조사 대상 기업 중 41%가 보안 기술을 갖춘 IT 직원들이 다소 부족하거나, 심각하게 부족하다고 대답하고 있다. 컴티아는 기업들은 평균적으로 30%의 보안 인력 부족 현상을 겪고 있다고 분석했다. 이 밖에 정보 보안 애널리스트와 관련된 통계를 다룬 미국 노동부의 2011년 통계(BLS)에 따르면, 이 분야의 실업율은 0%라는 놀라운 수치를 기록하고 있다. 팁톤은 "보안 인력에 대한 수요가 더 높아질 전망'이라고 강조했다. 이런 수요를 충족하기 위해서는 (ISC)2 같은 보안 기관뿐만 아니라, 보안 전문가, 기업, 경영진 모두가 참여하는 다방면의 노력이 필요하다. 보다 안전한 코드 작성 기업들이 이런 어려움을 완화할 수 있는 가장 중요한 예방책 가운데 하나는 개발자들이 처음부터 한층 안전하게 프로그램을 코딩하도록 하는 것이다. 팁톤은 "기업들은 여전히 취약성이 많은 소프트웨어를 생산하고 있는가? 애초에 취약성이 많은 소프트웨어를 개발하고, 계속해서 패칭을 할 필요가 있겠는가?"라고 반문했다. 이에 대한 대답이 여기 있다. 경영진이 애초부터 안전한 프로그램 코딩에 우선순위...

2012.07.10

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8