Offcanvas

������

라온화이트햇, ‘정보보호 전문서비스 기업’ 날개 달고 보안 컨설팅 사업 적극 확대   

라온화이트햇이 '정보보호 전문서비스 기업'으로 지정됐다고 19일 밝혔다. 과학기술정보통신부는 주요정보통신기반시설 취약점 분석, 평가 업무, 보호대책 수립 업무를 안전하고 신뢰할 수 있게 수행할 수 있다고 인정되는 업체를 정보보호 전문서비스 기업으로 지정한다. 이번 정보보호 전문서비스 기업 지정에 앞서 라온화이트햇은 2019년 ‘정보보호 관리체계(ISMS)’ 인증을 획득한 바 있다.  ISMS 인증은 국내 종합 정보보호 관리체계 인증이다. 정보보호 전문서비스 기업으로 지정된 20여 개 업체 중에서 ISMS 인증을 함께 보유한 업체는 라온화이트햇을 포함해 10여 곳에 불과하다.  라온화이트햇은 수년간 공공, 금융을 비롯한 다양한 산업 분야에서 컨설팅 방법론을 기반으로 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 컨설팅, 정보보호경영시스템 인증(ISO27001) 컨설팅 등 정보보호 컨설팅 서비스를 제공해왔다. 또한 차별적인 해킹 및 방어 기술을 통한 프리미엄 모의해킹, 주요 IT 인프라 및 서비스 취약점 분석및 검증, 개선 방안 제공 등 전문적인 보안 서비스를 제공하며 노하우를 축적해왔다. 이번 정보보호 전문서비스 기업 지정을 계기로 라온화이트햇은 공공, 금융 등 기반시설 정보보호 컨설팅 시장 공략에 더욱 박차를 가한다는 전략이다.  라온화이트햇 이정아 대표는 “정부의 ‘디지털 뉴딜’ 추진으로 기업의 디지털 전환(Digital Transformation)이 가속화되면서 정보보안의 중요성이 더욱 높아질 것”이라며 “라온화이트햇은 정보보호 전문서비스 기업 지정을 계기로 그간 축적해온 모의해킹 기술력 및 노하우를 활용해 차별화된 정보보호 컨설팅 서비스를 확대해나갈 것”이라고 말했다. ciokr@idg.co.kr

라온화이트햇 ISMS 개인정보 해킹 방어 보안 디지털뉴딜 디지털보안

2020.08.18

라온화이트햇이 '정보보호 전문서비스 기업'으로 지정됐다고 19일 밝혔다. 과학기술정보통신부는 주요정보통신기반시설 취약점 분석, 평가 업무, 보호대책 수립 업무를 안전하고 신뢰할 수 있게 수행할 수 있다고 인정되는 업체를 정보보호 전문서비스 기업으로 지정한다. 이번 정보보호 전문서비스 기업 지정에 앞서 라온화이트햇은 2019년 ‘정보보호 관리체계(ISMS)’ 인증을 획득한 바 있다.  ISMS 인증은 국내 종합 정보보호 관리체계 인증이다. 정보보호 전문서비스 기업으로 지정된 20여 개 업체 중에서 ISMS 인증을 함께 보유한 업체는 라온화이트햇을 포함해 10여 곳에 불과하다.  라온화이트햇은 수년간 공공, 금융을 비롯한 다양한 산업 분야에서 컨설팅 방법론을 기반으로 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 컨설팅, 정보보호경영시스템 인증(ISO27001) 컨설팅 등 정보보호 컨설팅 서비스를 제공해왔다. 또한 차별적인 해킹 및 방어 기술을 통한 프리미엄 모의해킹, 주요 IT 인프라 및 서비스 취약점 분석및 검증, 개선 방안 제공 등 전문적인 보안 서비스를 제공하며 노하우를 축적해왔다. 이번 정보보호 전문서비스 기업 지정을 계기로 라온화이트햇은 공공, 금융 등 기반시설 정보보호 컨설팅 시장 공략에 더욱 박차를 가한다는 전략이다.  라온화이트햇 이정아 대표는 “정부의 ‘디지털 뉴딜’ 추진으로 기업의 디지털 전환(Digital Transformation)이 가속화되면서 정보보안의 중요성이 더욱 높아질 것”이라며 “라온화이트햇은 정보보호 전문서비스 기업 지정을 계기로 그간 축적해온 모의해킹 기술력 및 노하우를 활용해 차별화된 정보보호 컨설팅 서비스를 확대해나갈 것”이라고 말했다. ciokr@idg.co.kr

2020.08.18

최선의 방어는 공격! 7가지 사이버보안 전략 수립 팁

미국 국토안보부 설립 멤버인 개리 밀레프스키가 공격적인 사이버보안 팁을 제시했다. 일반적인 사이버보안 툴은 침입을 막는 데 너무 늦게 작동하며 범죄 현장만 정리할 수 있다. 공격적인 사이버보안은 이보다 훨씬 더 적극적인 접근 방식을 취한다. 대부분의 바이러스 백신 소프트웨어는 악용에 대응하고 공격 후 피해를 완화하지만, 공격적인 사이버보안 전략 모델은 방어벽에 구멍을 찾아 공격이 중단되기 전에 패치할 수 있다. 이 방법을 제안한 선도적인 인사 중 한 사람이 바로 미국 국토안보부(United States Department of Homeland Security)의 설립 멤버이자 사이버보안 전문가인 개리 밀레프스키다. 밀레프스키는 최근 런던에서 열린 클라우드 보안(CLOUDSEC London) 컨퍼런스에 참가해 공격적인 사이버보안 전략을 개발하라고 조언했다. 1. 앱을 검토하고 취약점이 있는 앱을 제거하라 모든 소프트웨어와 하드웨어 인프라는 취약할 수 있다. 사이버공격은 인프라의 고유한 약점을 이용한다. 구형 PC, 드라이브, 라우터, 운영체제, 브라우저, 애플리케이션, 플러그인에는 종종 중대한 취약성이 있을 수 있다. 현대 기술은 그 자체로 새로운 위험을 불러올 것이다. 사물인터넷(IoT), 그림 이모티콘 키보드 같은 모바일 앱은 특히 데이터 도용의 최신 대상으로 떠오르고 있다. 밀레프스키는 "이모티콘 키보드가 항상 휴대전화에서 실시간으로 실행될 수 있다"며 "가령 이모티콘 키보드를 설치하고 바클레이 은행 계정에 로그인하면 누군가가 사용자 이름과 암호를 입력하는 것을 보게 될 것이다"고 말했다. 위험을 줄이려면 소유하고 있는 모든 앱의 권한 및 개인정보 취급 방침을 확인하고, 그중에서 완벽하게 신뢰할 수 없는 앱은 제거해야 한다. 2. 감사 시스템을 사용하여 취약성을 찾고 모든 구멍을 패치한다 밀레프스키에 따르면 현재 8만 9,768개의 CVE(Common Vulner...

전략 미국 국토안보부 방어 트렌드마이크로 사이버보안 침입 패치 암호 공격 취약점 암호화 방어벽

2018.03.30

미국 국토안보부 설립 멤버인 개리 밀레프스키가 공격적인 사이버보안 팁을 제시했다. 일반적인 사이버보안 툴은 침입을 막는 데 너무 늦게 작동하며 범죄 현장만 정리할 수 있다. 공격적인 사이버보안은 이보다 훨씬 더 적극적인 접근 방식을 취한다. 대부분의 바이러스 백신 소프트웨어는 악용에 대응하고 공격 후 피해를 완화하지만, 공격적인 사이버보안 전략 모델은 방어벽에 구멍을 찾아 공격이 중단되기 전에 패치할 수 있다. 이 방법을 제안한 선도적인 인사 중 한 사람이 바로 미국 국토안보부(United States Department of Homeland Security)의 설립 멤버이자 사이버보안 전문가인 개리 밀레프스키다. 밀레프스키는 최근 런던에서 열린 클라우드 보안(CLOUDSEC London) 컨퍼런스에 참가해 공격적인 사이버보안 전략을 개발하라고 조언했다. 1. 앱을 검토하고 취약점이 있는 앱을 제거하라 모든 소프트웨어와 하드웨어 인프라는 취약할 수 있다. 사이버공격은 인프라의 고유한 약점을 이용한다. 구형 PC, 드라이브, 라우터, 운영체제, 브라우저, 애플리케이션, 플러그인에는 종종 중대한 취약성이 있을 수 있다. 현대 기술은 그 자체로 새로운 위험을 불러올 것이다. 사물인터넷(IoT), 그림 이모티콘 키보드 같은 모바일 앱은 특히 데이터 도용의 최신 대상으로 떠오르고 있다. 밀레프스키는 "이모티콘 키보드가 항상 휴대전화에서 실시간으로 실행될 수 있다"며 "가령 이모티콘 키보드를 설치하고 바클레이 은행 계정에 로그인하면 누군가가 사용자 이름과 암호를 입력하는 것을 보게 될 것이다"고 말했다. 위험을 줄이려면 소유하고 있는 모든 앱의 권한 및 개인정보 취급 방침을 확인하고, 그중에서 완벽하게 신뢰할 수 없는 앱은 제거해야 한다. 2. 감사 시스템을 사용하여 취약성을 찾고 모든 구멍을 패치한다 밀레프스키에 따르면 현재 8만 9,768개의 CVE(Common Vulner...

2018.03.30

"머신러닝 이용해 공격 가능" 보안 전문가 경고

머신러닝 위협 탐지 및 방어 회사 다크트레이스(Darktrace)는 지난 몇 년간 사이버보안 업계의 떠오르는 별과 같았다. 이 회사의 핵심 자율 머신러닝 기술은 AI 사용 보안 분야의 최고라는 명성과도 잘 맞는다. 그렇다면 사이버보안 연구의 최첨단에 있는 사람들은 정확히 무엇을 걱정할까? 지난달 말 런던의 도클랜즈(Docklands)에서 열린 IP엑스포에서 <컴퓨터월드UK>는 다크트레이스의 사이버 분석 책임자 앤드류 촌체프와 만나 사이버 보안에 대해 들어봤다. 촌체프는 “현존하는 많은 솔루션은 예전 공격을 검토한 후 학습을 시도한다. 따라서 AI와 머신러닝은 그들이 이미 보았던 것에서 학습을 중심으로 구축되고 있다”고 전제하고 “이 방법은 예컨대 뱅킹 트로이 목마를 탐지할 수 있는 머신러닝 분류기를 찾아내는 데 매우 효과적”이라고 덧붙였다. 그런데 그 이면은 어떤가? 만일 업체들이 인공지능을 위협 탐지에 이용하려 한다면 범죄 세계 역시 그 반대의 목적으로 인공지능을 이용하려 하지 않을까? 이 해커들은 현재 일부 업체들이 암시하는 것만큼 수준이 높은가? 공격자들이 머신러닝의 어떤 부분을 활용할지 파악하려면, 머신러닝이 방어에서 강점을 보였던 사례를 살펴보는 것이 도움이 된다. 촌체프는 다음과 같이 설명했다. “기술적으로 간단한 공격이 매우 효율적이다. 네트워크에 많이 보이는 침해 사례는 커스텀 악용 개발, 즉, 탐지를 피할 수 있도록 설계된 맞춤형 악성코드 측면에서는 화려하지 않다. 암호 도용, 피싱(phishing) 등을 위시한 옛날 방식인 경우가 많다. 그러한 공격들의 문제점은 여전히 매우 효과적이라는 점이다. 그러나 탐지하기는 매우 어렵다. 예컨대 기존 직원의 인증 정보를 이용해 외부에 접한 서버를 침해하는 경우라든가 직원들이 업무적인 것과 개인적인 것의 암호를 구분해서 사용하는 것에 익숙하지 않은 경우가 많다. 데이터 침해가 일어나 암호가 유출되면 거래되고 ...

이메일 IP엑스포 다크트레이스 스피어피싱 방어 기계학습 인공지능 사이버보안 위협 공격 맬웨어 뱅킹 트로이 목마

2017.10.24

머신러닝 위협 탐지 및 방어 회사 다크트레이스(Darktrace)는 지난 몇 년간 사이버보안 업계의 떠오르는 별과 같았다. 이 회사의 핵심 자율 머신러닝 기술은 AI 사용 보안 분야의 최고라는 명성과도 잘 맞는다. 그렇다면 사이버보안 연구의 최첨단에 있는 사람들은 정확히 무엇을 걱정할까? 지난달 말 런던의 도클랜즈(Docklands)에서 열린 IP엑스포에서 <컴퓨터월드UK>는 다크트레이스의 사이버 분석 책임자 앤드류 촌체프와 만나 사이버 보안에 대해 들어봤다. 촌체프는 “현존하는 많은 솔루션은 예전 공격을 검토한 후 학습을 시도한다. 따라서 AI와 머신러닝은 그들이 이미 보았던 것에서 학습을 중심으로 구축되고 있다”고 전제하고 “이 방법은 예컨대 뱅킹 트로이 목마를 탐지할 수 있는 머신러닝 분류기를 찾아내는 데 매우 효과적”이라고 덧붙였다. 그런데 그 이면은 어떤가? 만일 업체들이 인공지능을 위협 탐지에 이용하려 한다면 범죄 세계 역시 그 반대의 목적으로 인공지능을 이용하려 하지 않을까? 이 해커들은 현재 일부 업체들이 암시하는 것만큼 수준이 높은가? 공격자들이 머신러닝의 어떤 부분을 활용할지 파악하려면, 머신러닝이 방어에서 강점을 보였던 사례를 살펴보는 것이 도움이 된다. 촌체프는 다음과 같이 설명했다. “기술적으로 간단한 공격이 매우 효율적이다. 네트워크에 많이 보이는 침해 사례는 커스텀 악용 개발, 즉, 탐지를 피할 수 있도록 설계된 맞춤형 악성코드 측면에서는 화려하지 않다. 암호 도용, 피싱(phishing) 등을 위시한 옛날 방식인 경우가 많다. 그러한 공격들의 문제점은 여전히 매우 효과적이라는 점이다. 그러나 탐지하기는 매우 어렵다. 예컨대 기존 직원의 인증 정보를 이용해 외부에 접한 서버를 침해하는 경우라든가 직원들이 업무적인 것과 개인적인 것의 암호를 구분해서 사용하는 것에 익숙하지 않은 경우가 많다. 데이터 침해가 일어나 암호가 유출되면 거래되고 ...

2017.10.24

DDoS 보호·완화·방어하기··· 7가지 필수 팁

DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다. 1. DDoS 완화 계획 마련 조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다. 산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다. IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다. 데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다. 비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다&rd...

보안 DDoS 공격 방어

2017.09.20

DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다. 1. DDoS 완화 계획 마련 조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다. 산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다. IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다. 데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다. 비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다&rd...

2017.09.20

블로그 | 사용자들이 뻔한 암호를 설정하는 이유

어쩌면 IT 부문이 다른 이유로 기업의 보안 의식에 책임감을 느껴야할지 모르겠다. 심리학자들이 진행한 암호 강도 조사에서 예상을 넘어선 결과가 나왔다. 보안 위협의 심각성에 대해 설명을 들은 현업 사용자들은 더 강력한 암호를 만들지 않았다. 연구에 따르면 보안 심각성에 대한 상세히 설명하면 현업 이용자들은 위협에 대항한 방어가 소용 없게 느끼게 되며 이로 인해 암호를 무기력하게 설정하는 경향이 있었다. 몽클레어 주립 대학(Montclair State University)의 이 조사는 IT 직원들이 방어 암호, PIN, 안전 문구가 위협 방어에 얼마나 강력한지에 대해 확실히 집중해야 한다고 제안한다. 좀더 자세한 정보는 더 아틀란틱의 보도를 통해 확인할 수 있다. 이 연구를 관장한 스타니슬라브 마모노프 교수는 이번 결과가 예상 밖이라고 말했다. 마모노프 교수는 “원래는 참여자들이 위협에 대해 스스로를 방어하고 싶어했을 것으로 예상했다. 하지만 위협의 강도를 강조하면 그들 스스로 무력감을 느꼈다. 위협에 대항하려는 노력을 오히려 기울이지 않게 된 것”이라고 말했다. 이는 당황스러운 사실이다. 사용자들이 야후의 5억 사용자 정보 유출 사고나 사물인터넷 기기를 통한 거대한 DDoS 공격 같은 것들의 위험성을 실감할 때 오히려 방어가 의미 없다고 느낀다는 의미다. 물론 이는 잘못된 생각이다. 거대 해킹 조직의 거대한 공격은 인정해야 할 현실이다. 그러나 각각의 유저들은 오직 자신의 데이터만 방어하면 된다. 특히 복잡하거나 긴 암호를 사용하는 것은 실질적으로 큰 도움이 된다. 거기에는 이유가 있다. 마치 수영을 하다가 상어를 만난다면 옆 사람을 상어에게 내주라는 오랜 이야기와 비슷하다. 다시 말해 암호는 주변인의 암호보다 조금만 더 강력하면 된다. 공격자들은 한 계정에 많은 시간을 쏟지 않는다. 시간 대비 비용 효율이 떨어지면 다른 계정 공격으로 넘어가게 된다. 즉 신원을 탈취 당하지 않으려면 공격자의 기준보다 ...

해킹 암호 누출 보안 의식 방어

2016.09.29

어쩌면 IT 부문이 다른 이유로 기업의 보안 의식에 책임감을 느껴야할지 모르겠다. 심리학자들이 진행한 암호 강도 조사에서 예상을 넘어선 결과가 나왔다. 보안 위협의 심각성에 대해 설명을 들은 현업 사용자들은 더 강력한 암호를 만들지 않았다. 연구에 따르면 보안 심각성에 대한 상세히 설명하면 현업 이용자들은 위협에 대항한 방어가 소용 없게 느끼게 되며 이로 인해 암호를 무기력하게 설정하는 경향이 있었다. 몽클레어 주립 대학(Montclair State University)의 이 조사는 IT 직원들이 방어 암호, PIN, 안전 문구가 위협 방어에 얼마나 강력한지에 대해 확실히 집중해야 한다고 제안한다. 좀더 자세한 정보는 더 아틀란틱의 보도를 통해 확인할 수 있다. 이 연구를 관장한 스타니슬라브 마모노프 교수는 이번 결과가 예상 밖이라고 말했다. 마모노프 교수는 “원래는 참여자들이 위협에 대해 스스로를 방어하고 싶어했을 것으로 예상했다. 하지만 위협의 강도를 강조하면 그들 스스로 무력감을 느꼈다. 위협에 대항하려는 노력을 오히려 기울이지 않게 된 것”이라고 말했다. 이는 당황스러운 사실이다. 사용자들이 야후의 5억 사용자 정보 유출 사고나 사물인터넷 기기를 통한 거대한 DDoS 공격 같은 것들의 위험성을 실감할 때 오히려 방어가 의미 없다고 느낀다는 의미다. 물론 이는 잘못된 생각이다. 거대 해킹 조직의 거대한 공격은 인정해야 할 현실이다. 그러나 각각의 유저들은 오직 자신의 데이터만 방어하면 된다. 특히 복잡하거나 긴 암호를 사용하는 것은 실질적으로 큰 도움이 된다. 거기에는 이유가 있다. 마치 수영을 하다가 상어를 만난다면 옆 사람을 상어에게 내주라는 오랜 이야기와 비슷하다. 다시 말해 암호는 주변인의 암호보다 조금만 더 강력하면 된다. 공격자들은 한 계정에 많은 시간을 쏟지 않는다. 시간 대비 비용 효율이 떨어지면 다른 계정 공격으로 넘어가게 된다. 즉 신원을 탈취 당하지 않으려면 공격자의 기준보다 ...

2016.09.29

'값 싸고 효과 좋은' 중소기업 자가방어 7단계

직장 내에서 디지털 기기가 중추적인 역할을 하면서 사이버 범죄가 그 어느 때보다도 기승을 부리고 있다. 이와 함께 사이버 범죄자들이 신원과 데이터를 도용하기 위해 점차 정교한 수단을 동원함에 따라 중소규모 기업들조차도 스스로를 보호하기 위해 더 많은 조치를 취해야만 하는 실정이다. PC 초기 시대와 비교하여 보안은 분명 크게 발전했다. 실제로 몇 년 전만 해도 과도하다고 여겨졌던 조치들이 지금은 그저 적절한 수준으로 여겨지고 있다. 여기 중소규모 기업이 스스로를 보호하기 위해 취할 수 있는 저렴하면서도 효과 좋은 7가지 단계별 방어법에 대해 알아봤다. ciokr@idg.co.kr

데이터 보안 해킹 중소기업 암호화 사이버 공격 패스워드 방어

2015.06.12

직장 내에서 디지털 기기가 중추적인 역할을 하면서 사이버 범죄가 그 어느 때보다도 기승을 부리고 있다. 이와 함께 사이버 범죄자들이 신원과 데이터를 도용하기 위해 점차 정교한 수단을 동원함에 따라 중소규모 기업들조차도 스스로를 보호하기 위해 더 많은 조치를 취해야만 하는 실정이다. PC 초기 시대와 비교하여 보안은 분명 크게 발전했다. 실제로 몇 년 전만 해도 과도하다고 여겨졌던 조치들이 지금은 그저 적절한 수준으로 여겨지고 있다. 여기 중소규모 기업이 스스로를 보호하기 위해 취할 수 있는 저렴하면서도 효과 좋은 7가지 단계별 방어법에 대해 알아봤다. ciokr@idg.co.kr

2015.06.12

미-영 정부, 사이버공격 대응 위해 공조 강화

영국의 총리에 따르면, 온라인 위협 수준에 맞추려면 양국간에 더 많은 공조가 필요하다. 이미지 출처 : Shutterstock 미국과 영국이 디지털 위협에 대처하고자 서로간의 협력을 강화하고 있다. 두 나라는 자신들의 방어 능력을 시험하고 가능한 적을 제거하기 위해 서로에게 공격을 시도할 계획이다. 미국과 영국은 한시적으로 사이버 공격을 막기 위해 공조한 적이 있으며 현재는 협업을 늘리고자 노력하고 있다. 영국 총리 데이비드 카메론은 BBC와의 인터뷰에서 “위협에 대한 정보 공유를 늘리고 우리 자신을 가장 보호할 방법을 방법을 강구하며 양국이 서로를 공격하지 않았음을 알게 하는 시스템을 만들고자 대서양 양쪽에 ‘사이버 세포’를 설치하기 위해 서로의 전문가들을 결합할 것이다”라고 밝혔다. 미국의 오바마 대통령과의 회담을 위해 워싱턴을 방문중인 카메론은 사이버 공격에 대해 "우리가 직면하고 있는 가장 큰 현대적인 위협 중 하나다"라고 말했다. 그 가운데서도 디지털 보안은 가장 큰 관심사다. 두 나라는 서로의 방어 능력을 시험하기 위해 시작한 ‘워 게임(War Game)’을 늘릴 예정이다. 카메로은 "이미 워 게임은 시작됐고, 더욱 강화할 필요가 있다"며 “영국의 첩보 기관 GCHQ와 이와 같은 기관인 미국의 NSA가 더 많이 공유해야 할 노하우를 가지고 있다”고 전했다. "양국의 노력은 기업만 보호하는 게 아니라, 사람들의 데이터를 보호하고 사람들의 재산을 보호하기 위해서다. 이러한 공격들은 사람들의 자산에 실제 영향을 미칠 수 있다”라고 그는 덧붙였다. 그러나 기업과 국민을 더 잘 보호하기 위해 소셜 네트워크의 테러리스트를 추적할 수 있는 능력을 배양하는 것이 반드시 필요하다고 카메론은 강조했다. 그는 이 문제를 오바마 대통령 및 구글, 페이스북 같은 미국 기업들과 함께 논의할 계획...

협업 테러 사이버보안 훈련 공격 소니 미국 공조 영국 정부 해킹 방어

2015.01.19

영국의 총리에 따르면, 온라인 위협 수준에 맞추려면 양국간에 더 많은 공조가 필요하다. 이미지 출처 : Shutterstock 미국과 영국이 디지털 위협에 대처하고자 서로간의 협력을 강화하고 있다. 두 나라는 자신들의 방어 능력을 시험하고 가능한 적을 제거하기 위해 서로에게 공격을 시도할 계획이다. 미국과 영국은 한시적으로 사이버 공격을 막기 위해 공조한 적이 있으며 현재는 협업을 늘리고자 노력하고 있다. 영국 총리 데이비드 카메론은 BBC와의 인터뷰에서 “위협에 대한 정보 공유를 늘리고 우리 자신을 가장 보호할 방법을 방법을 강구하며 양국이 서로를 공격하지 않았음을 알게 하는 시스템을 만들고자 대서양 양쪽에 ‘사이버 세포’를 설치하기 위해 서로의 전문가들을 결합할 것이다”라고 밝혔다. 미국의 오바마 대통령과의 회담을 위해 워싱턴을 방문중인 카메론은 사이버 공격에 대해 "우리가 직면하고 있는 가장 큰 현대적인 위협 중 하나다"라고 말했다. 그 가운데서도 디지털 보안은 가장 큰 관심사다. 두 나라는 서로의 방어 능력을 시험하기 위해 시작한 ‘워 게임(War Game)’을 늘릴 예정이다. 카메로은 "이미 워 게임은 시작됐고, 더욱 강화할 필요가 있다"며 “영국의 첩보 기관 GCHQ와 이와 같은 기관인 미국의 NSA가 더 많이 공유해야 할 노하우를 가지고 있다”고 전했다. "양국의 노력은 기업만 보호하는 게 아니라, 사람들의 데이터를 보호하고 사람들의 재산을 보호하기 위해서다. 이러한 공격들은 사람들의 자산에 실제 영향을 미칠 수 있다”라고 그는 덧붙였다. 그러나 기업과 국민을 더 잘 보호하기 위해 소셜 네트워크의 테러리스트를 추적할 수 있는 능력을 배양하는 것이 반드시 필요하다고 카메론은 강조했다. 그는 이 문제를 오바마 대통령 및 구글, 페이스북 같은 미국 기업들과 함께 논의할 계획...

2015.01.19

블로그 | 낙하파손 방지할 수 있다··· 애플 신규 특허에 거는 기대

아이폰이 손에 미끄러지거나 주머니에서 튀어오른다. 애석하게도 보호케이스부터 떨어지는 대신 전면부터 부딪힌다. 미세한 실금이 마치 머리카락 같다. 애플에 찾아가 수리를 의뢰할지 좀더 저렴한 써드파티 수리업체를 찾아갈지 고민한다. 우리 모두가 겪거나 겪을 수 있는 상황이다. 코닝의 차세대 고릴라 글래스 4는 이러한 충격 시 스크린이 박살나는 경우를 막아줄 수 있도록 고안됐지만 충격으로부터 완벽한 보호수단이 될 수는 없다. 애플이 2일 획득한 특허가 관심을 모으고 있다. 애플이 화면 보호 전략을 염두에 두고 있음을 시사하는 것이기 때문이다. 이번 특허는 "전자기기를 위한 방어적 메커니즘"(protective mechanism for an electronic device)이라는 제목의 것으로, 모션 센서를 활용해 스마트폰이 낙하 중인지 여부를 판단하도록 하는 것이 골자다. 낙하 중이라고 프로세서가 판단하면, 무게 중심을 이동시켜 전자 기기의 취약 부분(스크린이나 카메라)이 충격을 적게 받도록 한다. 그렇다면 무게 중심을 어떻게 이동시키는 것일까? 이에 대해 애플 특허는 몇몇 흥미로운 기법을 담고 있다. "방어적 메커니즘은 낙하 도중 모서리 그리고/또는 기기의 방향을 추진 메커니즘을 활성화함으로써 변화시킨다. 추진 메커니즘은 한 방향 또는 여러 방향으로 추진력을 발생시켜 기기의 방향을 움직인다. 예를 들어 가스 용기를 내장해 가스를 분출할 수도 있으며, 공기 저항부를 활성화시킬 수도 있다. 공기 저항부는 양력을 생성해 낙하 가속도를 줄이는데 일조할 수 있다." 이번 특허는 또 낙하 속도를 줄일 수 있도록 헤드폰을 조일 수 있는 오디오 포트 내 메커니즘에 대한 내용도 담고 있다. 애플이 그간 신청해온 특허는 실제 기기와 무관하거나 적용되지 않은 것들이 다수였다. 그러나 이번 충격 방지 특허는 조만간 현실화되기를 기대한다. 시간, 비용, 난처한 상황이 얼마나 줄어들겠는가? 특허에 대한 ...

애플 특허 추락 보호 방어 낙하

2014.12.03

아이폰이 손에 미끄러지거나 주머니에서 튀어오른다. 애석하게도 보호케이스부터 떨어지는 대신 전면부터 부딪힌다. 미세한 실금이 마치 머리카락 같다. 애플에 찾아가 수리를 의뢰할지 좀더 저렴한 써드파티 수리업체를 찾아갈지 고민한다. 우리 모두가 겪거나 겪을 수 있는 상황이다. 코닝의 차세대 고릴라 글래스 4는 이러한 충격 시 스크린이 박살나는 경우를 막아줄 수 있도록 고안됐지만 충격으로부터 완벽한 보호수단이 될 수는 없다. 애플이 2일 획득한 특허가 관심을 모으고 있다. 애플이 화면 보호 전략을 염두에 두고 있음을 시사하는 것이기 때문이다. 이번 특허는 "전자기기를 위한 방어적 메커니즘"(protective mechanism for an electronic device)이라는 제목의 것으로, 모션 센서를 활용해 스마트폰이 낙하 중인지 여부를 판단하도록 하는 것이 골자다. 낙하 중이라고 프로세서가 판단하면, 무게 중심을 이동시켜 전자 기기의 취약 부분(스크린이나 카메라)이 충격을 적게 받도록 한다. 그렇다면 무게 중심을 어떻게 이동시키는 것일까? 이에 대해 애플 특허는 몇몇 흥미로운 기법을 담고 있다. "방어적 메커니즘은 낙하 도중 모서리 그리고/또는 기기의 방향을 추진 메커니즘을 활성화함으로써 변화시킨다. 추진 메커니즘은 한 방향 또는 여러 방향으로 추진력을 발생시켜 기기의 방향을 움직인다. 예를 들어 가스 용기를 내장해 가스를 분출할 수도 있으며, 공기 저항부를 활성화시킬 수도 있다. 공기 저항부는 양력을 생성해 낙하 가속도를 줄이는데 일조할 수 있다." 이번 특허는 또 낙하 속도를 줄일 수 있도록 헤드폰을 조일 수 있는 오디오 포트 내 메커니즘에 대한 내용도 담고 있다. 애플이 그간 신청해온 특허는 실제 기기와 무관하거나 적용되지 않은 것들이 다수였다. 그러나 이번 충격 방지 특허는 조만간 현실화되기를 기대한다. 시간, 비용, 난처한 상황이 얼마나 줄어들겠는가? 특허에 대한 ...

2014.12.03

"수동적인 태도가 CIO의 입지를 약하게 한다" 가트너

가트너의 CIO 담당 애널리스트인 티나 누노는 IT부서가 현업의 불만을 들어주는 역할을 벗어나야 한다고 주장했다. 누노의 주장은, IT가 서비스 제공자라는 생각은 낡은 사고방식이며, 기업이 점점 더 디지털화되면서 ‘요청이 있어야 대응한다는 식의 태도’ 역시 더 이상 통하지 않는다는 것이다. 이는 누노가 지난해 IT의 권력, 정치, 리더십에 대한 자신의 저서인 ‘CIO의 옷을 입은 늑대(The Wolf in CIO’s Clothing)’에서 밝힌 그녀의 시각이기도 하다. 최근 호주 시드니에서 열린 가트너 서밋에서 연사로 나선 누노는 “안타깝게도 서비스 공급자라는 낡은 사고방식은 많은 CIO를 자신들과 CIO란 현업의 말을 듣고 그것을 수행해야 하는 힘없는 위치에 놓이게 한다”라고 말했다. "내가 서비스 공급자라면 다른 누군가가 IT를 담당하기 때문에, IT임원이 그 때까지 차지했던 입지는 매우 약하다"라고 누노는 말했다. 누노는 조직 내부에 디지털 전략을 성공시키려면 팀워크가 필요하다고 밝혔다. "팀워크에는 창의성과 혁신이 필요하다. 아직 팀워크가 형성되지 않았기 때문에 CIO에게 가서 ‘우리가 원하는 걸 해줘’라고 말하는 것은 팀워크가 아니다"라고 누노는 전했다. “대부분의 기업 및 공공 기관들은 조직 내부에서 공조하라는 압력을 받고 있다. 하지만 IT부서가 다소 어두운 경향이 있기 때문에 현업과 IT부서간의 팀워크는 실현하기 어려운 과제”라고 그녀는 지적했다. "매우 자연스러운 현상이다. 우리가 엄청난 압력을 받고 있을 때 정치 공작이 늘어나는 경향이 있다. 사람들이 자기방어 태세를 갖추거나 최악의 시나리오로 들어간다. 사람들은 공격적으로 되기도 한다. 그들은 다른 사람들을 제거하고 다른 사람을 비난을 퍼부으면서 자기 자리를 지키고자 할 것이다"...

CIO IT부서 가트너 역할 방어 입지 약화 수동 중개인

2014.05.27

가트너의 CIO 담당 애널리스트인 티나 누노는 IT부서가 현업의 불만을 들어주는 역할을 벗어나야 한다고 주장했다. 누노의 주장은, IT가 서비스 제공자라는 생각은 낡은 사고방식이며, 기업이 점점 더 디지털화되면서 ‘요청이 있어야 대응한다는 식의 태도’ 역시 더 이상 통하지 않는다는 것이다. 이는 누노가 지난해 IT의 권력, 정치, 리더십에 대한 자신의 저서인 ‘CIO의 옷을 입은 늑대(The Wolf in CIO’s Clothing)’에서 밝힌 그녀의 시각이기도 하다. 최근 호주 시드니에서 열린 가트너 서밋에서 연사로 나선 누노는 “안타깝게도 서비스 공급자라는 낡은 사고방식은 많은 CIO를 자신들과 CIO란 현업의 말을 듣고 그것을 수행해야 하는 힘없는 위치에 놓이게 한다”라고 말했다. "내가 서비스 공급자라면 다른 누군가가 IT를 담당하기 때문에, IT임원이 그 때까지 차지했던 입지는 매우 약하다"라고 누노는 말했다. 누노는 조직 내부에 디지털 전략을 성공시키려면 팀워크가 필요하다고 밝혔다. "팀워크에는 창의성과 혁신이 필요하다. 아직 팀워크가 형성되지 않았기 때문에 CIO에게 가서 ‘우리가 원하는 걸 해줘’라고 말하는 것은 팀워크가 아니다"라고 누노는 전했다. “대부분의 기업 및 공공 기관들은 조직 내부에서 공조하라는 압력을 받고 있다. 하지만 IT부서가 다소 어두운 경향이 있기 때문에 현업과 IT부서간의 팀워크는 실현하기 어려운 과제”라고 그녀는 지적했다. "매우 자연스러운 현상이다. 우리가 엄청난 압력을 받고 있을 때 정치 공작이 늘어나는 경향이 있다. 사람들이 자기방어 태세를 갖추거나 최악의 시나리오로 들어간다. 사람들은 공격적으로 되기도 한다. 그들은 다른 사람들을 제거하고 다른 사람을 비난을 퍼부으면서 자기 자리를 지키고자 할 것이다"...

2014.05.27

데이터 삭제, 때로는 최선의 방어 수단

빅 데이터를 부정적으로 바라보는 기업은 거의 없을 것이다. 맞는 말이다. 적절한 애널리틱스 툴과 함께라면, 빅 데이터는 여러 새로운 가치들을 전해줄 것이다. 그러나 많은 정보 관리(IG, Information Governance) 전문가들은 과도한 데이터가 숨통을 짓누를 수도 있다고 지적하고 있다. 보유한 데이터의 규모가 증가함에 따라 기업들에겐 도난이나 감염으로부터 데이터를 보호하기 위한 방안 역시 더욱 많이 요구되기 마련이다. 이는 경제적으로뿐 아니라 법률적으로도 상당한 부담을 안겨줄 수 있다. 크기만 큰 데이터를 조금은 덜어내보자. 데이터를 비우는 활동은 ‘방어적 처분', ‘방어적 삭제, 또는 ‘적극적 만료' 등 다양한 이름으로 불리고 있다. eDJ 그룹(eDJ Group)의 공동 설립자이자 수석 애널리스트인 베리 머피는 e디스커버리 저널(eDiscovery Journa)에의 기고문을 통해 “난 개인적으로는 ‘방어적 삭제(defensible deletion)’라는 표현을 선호한다. 하지만 사실 명칭이 뭐가 중요하겠는가? 이러한 활동의 핵심은 불필요한 정보를 선행적으로 제거함으로써 비용 절감과 리스크 감소의 가치를 이끌어내는데 있다”라고 말했다. 머피는 본지에 기고한 포스트를 통해서는 다음과 같이 말했다. “스토리지 비용은 구축형과 클라우드형 모두에서 감소 추세를 보이고 있다. 그런데 어떤 이들은 이를 근거로 ‘스토리지 비용도 낮아지고 하둡(Hadoop)과 같은 플랫폼을 통해 정보 처리 비용 역시 낮아졌으니 이제는 부담 없이 정보를 영원히 간직할 수 있다’라고 주장한다.” “그러나 이는 정보의 증가 속도는 고려치 않은 어리석은 생각이다. 정보 규모의 증가 속도가 스토리지 비용 감소폭을 앞지른 것은 이미 예전의 일이다. 또한 기업의 스토리지 속에는 중복된 정보나 불필요한 정보 역시 너무...

데이터 스토리지 삭제 방어

2013.01.25

빅 데이터를 부정적으로 바라보는 기업은 거의 없을 것이다. 맞는 말이다. 적절한 애널리틱스 툴과 함께라면, 빅 데이터는 여러 새로운 가치들을 전해줄 것이다. 그러나 많은 정보 관리(IG, Information Governance) 전문가들은 과도한 데이터가 숨통을 짓누를 수도 있다고 지적하고 있다. 보유한 데이터의 규모가 증가함에 따라 기업들에겐 도난이나 감염으로부터 데이터를 보호하기 위한 방안 역시 더욱 많이 요구되기 마련이다. 이는 경제적으로뿐 아니라 법률적으로도 상당한 부담을 안겨줄 수 있다. 크기만 큰 데이터를 조금은 덜어내보자. 데이터를 비우는 활동은 ‘방어적 처분', ‘방어적 삭제, 또는 ‘적극적 만료' 등 다양한 이름으로 불리고 있다. eDJ 그룹(eDJ Group)의 공동 설립자이자 수석 애널리스트인 베리 머피는 e디스커버리 저널(eDiscovery Journa)에의 기고문을 통해 “난 개인적으로는 ‘방어적 삭제(defensible deletion)’라는 표현을 선호한다. 하지만 사실 명칭이 뭐가 중요하겠는가? 이러한 활동의 핵심은 불필요한 정보를 선행적으로 제거함으로써 비용 절감과 리스크 감소의 가치를 이끌어내는데 있다”라고 말했다. 머피는 본지에 기고한 포스트를 통해서는 다음과 같이 말했다. “스토리지 비용은 구축형과 클라우드형 모두에서 감소 추세를 보이고 있다. 그런데 어떤 이들은 이를 근거로 ‘스토리지 비용도 낮아지고 하둡(Hadoop)과 같은 플랫폼을 통해 정보 처리 비용 역시 낮아졌으니 이제는 부담 없이 정보를 영원히 간직할 수 있다’라고 주장한다.” “그러나 이는 정보의 증가 속도는 고려치 않은 어리석은 생각이다. 정보 규모의 증가 속도가 스토리지 비용 감소폭을 앞지른 것은 이미 예전의 일이다. 또한 기업의 스토리지 속에는 중복된 정보나 불필요한 정보 역시 너무...

2013.01.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5