산업 제어 시스템(ICS)은 중요한 인프라를 운영하고 지원하도록 설계돼 에너지 및 공공 시설, 석유 및 가스, 제약 및 화학 생산, 식음료 및 제조 등 산업 분야에서 주로 사용된다. 이 시스템을 공격하면 심각한 손상을 초래할 수 있다. 일례로 2015년 우크라이나 전력망 해킹으로 20만 명이 넘는 사람들이 피해를 입은 적이 있다. 랜섬웨어, 봇넷, 크립토마이너(cryptominers) 등 이러한 시스템을 목표로 하는 악성코드는 계속해서 증가하는 추세다. 카스퍼스키랩에 따르면 2018년 상반기에 ICS 컴퓨터의 40% 이상이 악성 소프트웨어에 의해 적어도 한 번 받은 것으로 파악됐다. 사이버X(CyberX)의 2019년 글로벌 ICS & IIoT 리스크 보고서를 통해 전 세계적으로 850개 이상의 ICS 네트워크에서 실제 네트워크 트래픽 데이터를 분석하여 ICS 환경의 기존 취약점을 파악했다. 이 보고서는 "데이터는 산업 제어 시스템이 계속해서 공격자들의 만만한 대상임을 분명히 보여준다"고 말했다. 이어서 "많은 사이트가 공용 인터넷에 노출되어 일반 텍스트 암호와 같은 간단한 취약점을 사용하여 트래버스하기는 간단하다. 자동 업데이트된 안티 바이러스 같은 기본 보호 기능이 없기 때문에 공격자는 조립 라인, 혼합 탱크, 용광로 같은 물리적인 프로세스를 방해하기 전에 조용히 정찰을 수행할 수 있다"고 덧붙였다. 산업 현장 장비의 40 %가 공용 인터넷에 직접 연결돼 있다 핵심 시스템의 공기층은 여전히 공격 가능성을 낮추는 효과적인 방법이다. 웹에 연결되어 있지 않기 때문에 공격자가 작전을 수행하려면 현장에 있어야 한다. 하지만 많은 기업이 공기층을 확보하지 못하고 있다. 산업 현장의 1/3 이상이 최소한 1개의 인터넷 연결 경로를 보유하고 있다. 쇼단(Shodan) 같은 검색 도구를 이용하면 적절히 보호되지 않아 공격자들이 산업용 네트워크에 쉽게 진입할 수 있는 기기를 쉽게 ...

2018.11.14

애리조나에 소재한 한 보안 기업이 모바일 인증에 대해 흥미로운 접근법을 개발하고 있다. 휴대폰의 여러 센서는 물론 사용자가 휴대폰을 쥐고 있는 정확한 각도까지 활용함으로써 공격을 훨씬 어렵게 만든다는 개념이다. 트루소나(Trusona)라는 이름의 이 기업은 지금까지 마이크로소프트 벤처스(Microsoft Ventures, 1,000만 달러), 클라이너(Kleiner), 퍼킨스(Perkins), 코필드(Caufield), 바이어스(Byers) 등으로부터 약 1,800만 달러를 투자 받았다고 발표했다. 특히 마이크로소프트 벤처스가 투자했다는 사실이 흥미롭다. 현재 인기 있는 모바일 인증 방법 중 하나가 마이크로소프트의 어센티케이터(Authenticator) 앱이기 때문이다. 마이크로소프트의 의도는 무엇일까? 업계 기반을 강화하고 있는 것일까? 아니면 최소한 기업 분야에서 트루소나가 어센티케이터를 위협할 수 있다고 생각하는 것일까? 트루소나의 기본적인 접근방식은 매우 간단하다. 사용자가 모바일 장치에서 인증 앱을 열면 데스크톱 장치의 QR 코드를 스캔할 수 있다. 또 이를 통해 사용자는 운전면허증이나 여권을 스캔하여 스스로를 인증할 수도 있다. 이 때 휴대폰이 정확한 거리와 각도를 측정해 재전송 공격(replay attack)에 대한 방어력을 확보한다. 이러한 접근방식은 사용자가 숫자나 문자를 입력할 필요가 없다. 어센티케이터나 확인 코드 문자 메시지(중간자 공격에 매우 취약함)와 다른 점이다. 텍스트가 필요 없는 이 접근방식은 사용자에 부담을 줄일 뿐 아니라 오타의 위험을 방지한다. 트루소나의 CEO 오리 아이슨은 "또 입력을 하지 않으면 키로거(Keylogger)가 감지해 키 입력을 캡처할 수 없다”라고 주장했다. 오늘날 모바일 장치는 놀라운 잠재력을 지녔다. 그러나 이들 기기의 잠재력 중 일부조차 제대로 사용하기 시작한 기업은 거의 없다. 모바일 보안의 관점에서 이런 추적 요소를 가능한 많이 활용할 때 잠재...

2018.07.24

젬알토(Gemalto)가 전세계 성인 소비자 1만 500명을 대상으로 한 조사에 따르면, 이들 대다수가 데이터 유출 사고 이후 해당 기업과 거래를 끊겠다고 밝혔다. 데이터 침해 사고 이후 해당 기업과 거래를 끊겠다고 밝힌 분야를 보면, 유통(61%), 은행(59%), 소셜미디어(58%)가 특히 많았다. 또한 기업이 고객 데이터 보안을 매우 중시하는 것 같지 않다고 생각하는 응답자는 10명 중 7명(69%)이나 됐다. 이 조사에 따르면, 여러 온라인 계정에 관해 동일한 암호를 사용하는 소비자는 절반 이상을 차지함으로써 자신을 적절히 보호하지 못하고 있는 것으로 나타났다. 이중 인증 같은 강력한 보안 솔루션에 관해서도 소비자 5분의 2(41%)는 소셜미디어 계정을 보호하기 위해 이 기술을 사용하지 않아 데이터 침해에 취약해질 수 있음을 알고 있었다. 이 조사에서 절반 이상의 소비자(62%)는 자신의 데이터를 보유한 기업이 대부분 책임을 지고 있으며 손상된 비즈니스에 대해 법적 조처를 하거나 고려할 것이라고 답했다. 이에 대응하여 기업은 강력한 보안 수단을 마련하고 교육을 통해 소비자를 보호하기 위한 추가 조처를 하고 있다. 젬알토의 ID 및 데이터 보호 담당 CTO인 제이슨 하트는 "데이터 보호 책임을 분명 소비자는 기업에게 전가해 편하다고 생각하면서 자신의 노력 없이 안전하게 유지되기를 바라고 있다"고 지적했다. 하트는 "GDPR 등 조만간 적용되는 데이터 규제에 직면하여 데이터 보안을 유지하기 위해 고객에게 보안 프로토콜을 강요하는 것은 기업에 달려 있다. 이제는 이러한 솔루션을 옵션으로 제공하는 것만으로는 충분하지 않다. 그렇지 않으면 기업은 재정적인 결과뿐 아니라 잠재적으로 소비자의 법적 조치에 직면하게 될 것이다"고 설명했다. 이 조사에는 미국, 영국, 프랑스, 독일, 인도, 일본, 호주, 브라질, 베네룩스, UAE, 남아프리카 소비자가 참여했다. 설문 조사에 참여한 모든 사람은 ...

2017.12.08

현재까지 단일 생체인증은 사전 녹화된 비디오나 녹음으로 속일 수 있는 보안상 허점이 있다. 또한 인증 과정에서 발생하는 오류에 대한 처리도 완벽하지 않다. 이에 따라 이중 생체인식 인증을 '동시'에 사용해 문제를 개선하고 보안을 강화하는 움직임이 나타나고 있다. 생체 인증의 문제는 진행 과정에서 오류가 발생하면 해결할 방법이 거의 없다는 점이다. 시스템이 사용자의 안구를 인식하지 못하면 "비밀번호 찾기" 같은 대체 인증 조치가 없고, 대신 PIN과 같은 사용자 식별이 덜 분명한 기존 인증 방식을 다시 사용해야 한다. 이에 따라 일부 인증 솔루션 업체는 동시 다중 생체 인증으로 이러한 문제의 해법을 찾고 있다. 여기서 가장 중요한 것은 "동시"이다. 두 가지 방법을 차례로 사용하면 시간이 더 많이 걸리고 이에 불편함을 느낀 사용자의 외면을 받을 수 있기 때문이다. 다중생체 인증 업체 센서리(Sensory)가 대표적이다. 시작은 하나의 생채 인식을 다른 것과 통합하면 오류율이 높아진다는 것을 깨닫는 것부터 시작됐다. 예를 들어 음성과 얼굴 인식을 동시에 사용하면 몇 가지 이유로 실패할 수 있다. 또한, 두 가지 인증 방식을 사용할 때 둘 중 하나라도 문제가 생기면 인증 실패로 이어지고 인증 거부가 된다. 망막 스캔의 경우 기술 특성상 동시에 다른 어떤 동작을 거의 할 수 없다. 음성 인식은 배경 소음이나 후두염이 있을 경우 혼동될 수 있고, 얼굴 인식은 어두운 조명, 화장의 변화, 콘텍트 렌즈나 안경 사용, 새로 기른 수염, 짙은 썬텐이나 기타 외모의 변화로 인증이 안될 수 있다. 따라서 센서리도 일반적으로 여러 인증 방식 중 하나만 사용할 것을 권장한다. 음성 및 얼굴 인식은 기본적으로 서로의 백업 역할을 한다. 하나가 오류가 나면 다른 방식으로 인증을 할 수 있다. 이론적으로는 사용자가 조명과 소음 상태가 매우 좋지 않은 곳에 있지 않는 한 인증에 문제는 없다. --...

2017.06.01

모든 컴퓨터 전문가들이 사용자에게 주는 최선의 보안 조언 중 하나는 웹사이트에 이중 인증을 지원하도록 만들라는 것이다. 암호 유출이 너무 흔해진 요즘 이중 인증이 해커로부터 당신의 신원을 지킬 수 있는 방법이 될 수 있다. 여기 이중 인증 기술을 이해하는데 도움이 될 다섯 가지 요점을 소개한다. 이중 인증 혹은 2단계 확인? 많은 사람들이 이중 인증(two-factor authentication)과 2단계 확인(two-step verification)이 똑같다고 생각하지만, 실제론 그렇지 않다. 인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 또 다른 하나는 휴대폰이나 특별 USB 키 같은 사용자가 보유한 것, 마지막 하나는 지문이나 생체 식별 정보처럼 사용자 그 자체에 해당하는 것이다. 이중 인증은 두 가지 다른 요소를 결합하는 반면 2단계 확인은 하나의 요소를 두 번 사용하는 것인데, 예를 들어, 이메일이나 SMS를 통해서 비밀번호와 일회용 코드를 보내는 방식이다. 휴대폰은 물리적으로 존재하기 때문에, 휴대폰으로 전송된 코드가 다른 요소라고 생각할 수도 있지만, SMS는 안전하지 않고 코드는 중간에서 탈취될 수도 있다. 보안 측면에서 보면 비밀번호와 비슷하다고 할 수 있다. 이중 인증은 2단계 확인보다 더 안전하지만 두 가지 모두 하나의 암호에 의존하는 것보다는 낫다. 그러므로 어떤 것이 제공되느냐와 무관하게 혜택을 받으면 된다. 모든 것을 지배하는 단 하나의 계정 다른 무엇보다도 보호해야 할만한 온라인 계정이 있다면 이메일 일 것이다. 사적인 대화를 담고 있을 뿐 아니라 당신의 다른 계정으로 가는 통로가 되기 때문이다. 대부분의 온라인 서비스는 사용자들에게 이메일을 등록하고 이에 의존해 암호를 재설정하고 중요한 커뮤니케이션을 보낸다. 이메일에 대한 접속권을 가진 공격자는 오래된 등록 이메일을 찾아내고 온라인 계정이 무엇인지 알아낼 수 있다. 그리고 암호를 재설정하고 기술 지원 직원과 그...

2016.04.05

부정 감시 시스템, 접근 제어 시스템, 진입 방지 말뚝, 감시 등 물리적인 데이터센터 침입과 위협에 대한 보안 방법을 소개한다. 자체 그리드로 운영되는 데이터센터인 SRP의 데이터스테이션(DataStation). 이미지 출처 : SRP 미국 연방 정부가 대사관 등 중요 시설을 건설할 때 적용하는 '황금 기준'에 해당하는 시설 사양부터 TIA(Telecommunications Industry Association)같은 특정 업종의 단체가 발행한 인프라 기준, NFPA(National Fire Protection Association) 등의 안전 요건 및 기준에 이르기까지 기업들이 안전한 데이터센터 구축에 참조할 복잡한 자료와 문서들은 많다. 그러나 새로 데이터센터를 설계하는 단계에서 CSO들이 참고할 만한 보안 방법은 무엇일까? 다음은 산업 스파이부터 테러리스트나 자연 재해에 이르는 모든 위험을 막아낼 수 있도록 데이터센터 설계 단계에서 참고할 만한 사항들이다. 물론 아래의 19가지 지침을 따르며 데이터센터를 지으려면 비용이 많이 들 수 있다. 하지만, 이것들은 재해를 겪어도 안전할 수 있는 시설을 짓는데 드는 비용의 일부일 뿐이다. 1. 최적의 장소에 짓는다. 본사에서 일정 거리를 벗어나지 않은 장소에 데이터센터를 건설해야 한다. 통상 본사로부터는 20마일(약 32킬로미터) 이내, 주요 도로로부터는 100피트(30미터) 이상 떨어진 장소에 건설한다. 공항, 화학 공장 및 시설, 발전소 등 '나쁜 이웃'은 피한다. 지진 단층선, (올해 그 피해를 확인한) 허리케인 및 홍수 취약 지역도 피해야 한다. 그리고 '데이터센터'라는 간판을 내걸지 않는다. 2. 유틸리티를 이중화한다. 데이터센터는 전기, 수도, 전화, 데이터(인터넷) 등 유틸리티를 이중화해야 한다. 서로 별개인 두 곳의 변전소와 두 개의 수도관에서 전기와 수도를 공급받아야 한다. 전기선과 전화선은 지하에 매설되어...

2015.04.02

이번 주 데브봅스(DevOps) 애플리케이션 개발 지원을 제공하는 기업 코드 스페이시즈(Code Spaces)로부터 실망스러운 소식이 있었다. AWS(Amazon Web Service)의 클라우드에서 호스팅하고 있었던 코드 스페이시즈는 운영을 중단해야만 했다. 디도스 공격자가 대가를 요구하자 해당 기업 관계자는 공격을 중단시키기 위해 AWS 계정에 로그인했다. 그러자 침입자는 데이터를 삭제하기 시작했던 것이다. 이 이야기에서 한 가지 질문이 떠오른다. 이런 일이 AWS 클라우드 계정에 발생하지 않도록 어떻게 예방할 수 있을까? 오늘은 AWS의 클라우드 또는 IaaS 클라우드 이용 시 참고할 수 있는 베스트 프랙티스를 살펴보도록 하자. 먼저 클라우드를 사용할 때 보안이 반드시 모든 작업부하에 적용되지 않는다는 사실을 기억해야 한다. AWS는 "공유 보안" 모델이라는 것을 적용했음을 강조하고 있다. 즉, AWS가 물리적인 데이터 센터(가상 머신, 스토리지, 보안 기능 등)의 보안을 제공하지만 자신의 AWS 인프라에서 보안 서비스를 이행하는 것은 고객들에 달려 있음을 의미한다. 이중 인증 또는 다중 인증 해커들이 계정에 침투하기 어렵도록 만드는 보편적인 방법은 2FA(2 Factor Authentication), 즉 이중 인증을 이용하는 것이다. 이 과정을 위해서는 시스템에 로그인하기 전에 2가지 형태의 검증을 제시해야 한다. 예를 들어, 사용자가 생성하고 입력하는 암호와 코드 등이다. 참고로 AWS는 무료 다중 요소 인증 서비스를 제공하고 있으며, 여기를 클릭하면 추가 정보를 확인할 수 있다. 2FA를 갖는 것도 중요하지만 이런 사설 키를 보호하는 것도 중요하다. AWS는 이를 위해 HSM(Hardware Security Module)을 포함하여 다양한 옵션을 제공하고 있다. 이 장비는 기관이 키를 관리하는데 도움을 주며, 고객의 방화벽 뒤 자체 영역에 상주할 수 있다. 여기에...

2014.06.24

이베이는 지난 21일 '소수의' 직원 로그인 정보가 누설됐으며 이에 따라 사내 네트워크에 불법적 접근이 나타나고 있다고 밝혔다. 그러나 1억 4,500만 명에 이르는 등록 회원 중 몇 명의 정보가 누출됐는지에 대해서는 함구했다. 스텔스비츠 테크놀로지(STEALTHbits Technologies)의 전략 및 연구 담당 임원 조나단 샌더는 "내부 접근이 가능한 계정만 확보한다면 공격이 한층 쉬워진다"라고 설명했다. 이베이 측은 직원 로그인 정보가 어떻게 도난됐는지에 언급하지 않았으며 단지 지난 2월 말에서 3월 초 발생한 사건이라고만 밝혔다. 도난 당한 데이터로는 소비자 이름, 암호화된 패스워드, 이메일 주소, 실제 주소, 전화번호, 생년월일 등이 있었다. 계좌 등의 금융 정보는 포함되지 않은 것으로 알려졌다. 직원들이 사내 네트워크 로그인 정보를 도난 당하는 경로는 많다. 특히 사내 네트워크에서와 동일한 아이디 및 패스워드를 다른 인터넷 사이트에서 사용하기 때문인 경우가 흔하다. 이 밖에 키로그를 움치는 맬웨어에의 감염, 피싱 공격 등의 경로도 있다. 샌더는 기업 정책 차원에서 이를 감안해 적용할 필요가 있다고 강조했다. 사내 네트워크 로그인 정보를 다른 사이트와 반드시 다르게 설정하도록 교육시켜야 한다는 것이다. 실제로 교육이야말로 보안 측면에서 가장 효과적인 비기술적 정책이라고 그는 덧붙였다. 그는 "방어와 관련해 최고의 방안 중 하나는 교육이다. 기업들이 이를 좀더 진지하게 생각할 필요가 있다"라고 말했다. 직원 로그인 정보 누출을 막는 효과적 방법으로는 또 이중 인증(two-factor authentication)이 있다고 에일리언발트의 맬웨어 연구 디렉터 제이미 블라스코가 설명했다. 그는 "가장 쉬운 방법이라고 본다. 해커가 직원 패스워를 훔쳐도 물리적 토큰 없이는 접근할 수 없기 때문이다"라고 말했다. 블라스코는 이어 네트워크 침해 사고가 ...

2014.05.22

최신 이중 인증 시스템인 하드웨어 토큰을 대체하는 기술로 스마트폰이 부상하고 있다. 사용자 ID와 암호에만 의존하는 것은 위험 천만한 일이다. 바로 그 때문에 이중 인증 서비스가 필요한 것이다. 네트워크월드는 스마트폰 앱, 문자메시지, 전화 등의 소프트 토큰(soft tokens)을 사용하는 추가 인증 절차를 의미하는 8가지 이중 인증 툴을 테스트해보았다. 대상 업체들은 셀레스틱스(Celestix), 마이크로소프트, RSA, 세이프넷, 시큐어오쓰(SecureAuth), 시만텍, 텍스트파워(TextPower), 배스코(Vasco)다. ciokr@idg.co.kr

2013.05.23

“보안과 관련해, 대부분의 모바일 기기는 잠재적 공격 대상인 처지다.” GAO(Government Accountability Office)가 지난 주 발간한 모바일 보안 보고서의 결론이다. GAO 보고서는 모든 모바일 플랫폼에 공통된 모바일 취약성과 이런 취약성을 고칠 수 있는 여러 방법을 소개하고 있다. 다음은 보고서 발췌 내용이다. • 비밀번호가 설정되지 않은 모바일 기기가 많다. 사용자를 인증하고, 기기에 저장된 데이터에 대한 접속을 관리하는 비밀번호가 취약한 경우가 많다. 많은 기기들이 비밀번호, PIN(Personal Identification Numbers), 패턴 화면 잠금 기술들을 제공하고 있다. 일부 기기에는 지문을 확인해 인증을 하는 생체 측정 리더를 보유하고 있기도 하다. 그러나 관련 조사 보고서에 따르면 이런 기능들을 사용하지 않는 사용자들이 많고, 비밀번호나 PIN을 사용하고 있는 경우에도 1234나 0000 같이 쉽게 파악할 수 있는 번호를 사용하는 경우도 다반사였다. 비밀번호나 PIN을 이용해 기기를 잠그지 않으면, 인가되지 않은 사용자가 전화기의 중요한 정보에 접근해 이를 잃어버리거나 도난 당할 수 있다. • 모바일 기기를 이용해 중요한 거래를 하면서 이중 인증을 사용하지 않는 때가 있다. 연구에 따르면, 소비자들은 모바일 기기를 이용해 중요한 온라인 거래를 할 때 이중 인증 대신 고정 비밀번호를 사용한다. 이런 고정 비밀번호는 보안 측면에서 단점이 있다. 비밀번호를 추측하기 쉽고, 잃어버리기 쉽다. 또 도난이나 도청을 당할 가능성도 있다. 이중 인증은 일반적으로 전통적인 비밀번호와 PIN에 비해 더 높은 보안 수준을 제공한다. 이는 중요한 거래에 아주 중요하다. 이중 인증이란 사용자가 알고 있거나, 보유하고 있는 것, 또는 본인과 관련된 것 등 2가지 다른 요소를 이용해 인증을 하는 인증 시스템을 의미한다. 일부 이중 인증에서는 모바일 기기를 2...

2012.09.24