Offcanvas

���������������������������

솔라윈즈, 차세대 ‘병렬 빌드’ 시스템 발표… 보안 내재화에 총력

솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다.    2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다.  솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다.  451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것”이라고 평가했다. 그는 “새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다”라고 덧붙였다.  기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따...

무결성 병렬 처리 병렬빌드 솔라윈즈 솔라윈즈 해킹

2022.06.30

솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다.    2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다.  솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다.  451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것”이라고 평가했다. 그는 “새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다”라고 덧붙였다.  기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따...

2022.06.30

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

강은성 보안 아키텍트 보안 정보보안 기밀성 무결성 가용성 빌 게이츠 위험 관리 정보보호

2021.03.12

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

2021.03.12

클라우드 오브젝트 스토리지, 꼭 백업해야 하나?

클라우드 블록-스토리지 서비스에 저장된 데이터는 제대로 백업하지 않으면 영원히 소실될 가능성이 있다. 오브젝트 스토리지가 블록 스토리지와 서로 얼마나 다르고, 얼마나 더 우수한 빌트-인 보호를 제공하는지 알아보자.     오브젝트 스토리지란 무엇인가?  클라우드 사업자는 오브젝트 스토리지 서비스를 제공한다. 예를 들어 아마존의 심플 스토리지 서비스(Simple Storage Service, S3), 애저의 블롭 스토어, 구글의 클라우드 스토리지 같은 것들이다.  오브젝트 스토리지 시스템은 계층적 디렉토리 및 서브디렉토리 구조가 없는 일종의 파일 시스템이라 할 수 있다. 파일 시스템은 파일을 식별하고 위치를 파악하는데 디렉토리 구조와 파일 이름의 조합을 이용하는 데 비해, 오브젝트 스토리지 시스템에 저장된 모든 오브젝트는 이의 콘텐츠에 따라 고유 식별자(Unique IDentifier, UID)가 주어진다.   그때부터 UID는 오브젝트를 식별하고 회수하는 방법으로 사용된다. UID는 파일 콘텐츠를 SHA-1과 같은 암호 알고리즘을 통해 실행시킴으로써 생성된다(SHA-1이 어떻게 작용하는지 알려면 임의의 양의 텍스트를 삽입해 SHA-1 해시를 스스로 생성해보라). 파일이든, 블록이든, 파일이나 블록 집단이든, 또는 블록이나 파일의 부분이든, 어떤 항목이든 오브젝트로 저장될 수 있다.  오브젝트 스토리지와 블록 스토리지 간의 큰 차이라면 오브젝트 스토리지에 저장된 모든 오브젝트는 최소한 3곳의 가용 구역으로 자동으로 복사된다는 점이다. 이는 자연재해 등으로 인해 2곳의 가용 구역이 파괴되더라도, 오브젝트 스토리지 시스템 내에 저장된 데이터가 계속 존재할 것이라는 의미다. 블록 스토리지는 일반적으로 한 가용 구역 내에만 복제되어, 한 번의 큰 정전만으로 데이터가 소실될 수 있다.  복제가 이루어지는 방식 역시 매우 상이하다. 오브젝트 복제는 오브젝트 수준에서 이루어지는 반면, 클라우드 블록 스...

구글 Unique IDentifier UID 무결성 클라우드 스토리지 오브젝트 스토리지 S3 심플 스토리지 서비스 마이크로소프트 애저 백업 아마존 블롭 스토어

2019.10.29

클라우드 블록-스토리지 서비스에 저장된 데이터는 제대로 백업하지 않으면 영원히 소실될 가능성이 있다. 오브젝트 스토리지가 블록 스토리지와 서로 얼마나 다르고, 얼마나 더 우수한 빌트-인 보호를 제공하는지 알아보자.     오브젝트 스토리지란 무엇인가?  클라우드 사업자는 오브젝트 스토리지 서비스를 제공한다. 예를 들어 아마존의 심플 스토리지 서비스(Simple Storage Service, S3), 애저의 블롭 스토어, 구글의 클라우드 스토리지 같은 것들이다.  오브젝트 스토리지 시스템은 계층적 디렉토리 및 서브디렉토리 구조가 없는 일종의 파일 시스템이라 할 수 있다. 파일 시스템은 파일을 식별하고 위치를 파악하는데 디렉토리 구조와 파일 이름의 조합을 이용하는 데 비해, 오브젝트 스토리지 시스템에 저장된 모든 오브젝트는 이의 콘텐츠에 따라 고유 식별자(Unique IDentifier, UID)가 주어진다.   그때부터 UID는 오브젝트를 식별하고 회수하는 방법으로 사용된다. UID는 파일 콘텐츠를 SHA-1과 같은 암호 알고리즘을 통해 실행시킴으로써 생성된다(SHA-1이 어떻게 작용하는지 알려면 임의의 양의 텍스트를 삽입해 SHA-1 해시를 스스로 생성해보라). 파일이든, 블록이든, 파일이나 블록 집단이든, 또는 블록이나 파일의 부분이든, 어떤 항목이든 오브젝트로 저장될 수 있다.  오브젝트 스토리지와 블록 스토리지 간의 큰 차이라면 오브젝트 스토리지에 저장된 모든 오브젝트는 최소한 3곳의 가용 구역으로 자동으로 복사된다는 점이다. 이는 자연재해 등으로 인해 2곳의 가용 구역이 파괴되더라도, 오브젝트 스토리지 시스템 내에 저장된 데이터가 계속 존재할 것이라는 의미다. 블록 스토리지는 일반적으로 한 가용 구역 내에만 복제되어, 한 번의 큰 정전만으로 데이터가 소실될 수 있다.  복제가 이루어지는 방식 역시 매우 상이하다. 오브젝트 복제는 오브젝트 수준에서 이루어지는 반면, 클라우드 블록 스...

2019.10.29

강은성의 보안 아키텍트 | 무결성과 접속기록 위·변조 방지

전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다.  일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다. 개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다.  제5조(접속기록의 위·변조방지) ③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다. (‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19)) 이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.  「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다.  ● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.   (1) 정...

CIO 무결성 메시지 인증코드 개인정보 보호 법규 WORM MAC DVD-R CD-ROM 영상 변조 강은성 위조 암호 CISO 개인정보 보호 CSO 컴플라이언스 해쉬

2019.08.07

전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다.  일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다. 개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다.  제5조(접속기록의 위·변조방지) ③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다. (‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19)) 이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.  「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다.  ● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.   (1) 정...

2019.08.07

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13