Offcanvas

������������

“오픈소스가 국가안보를 위협할 수 있다” 베라코드 CTO

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성요소 ‘로그4j’에서 일련의 취약점이 발견되면서 전 세계의 기업 보안팀은 비상 경계 태세에 돌입해야 했다.    이는 미국 사이버 보안 및 인프라 보안국(CISA; Cybersecurity and Infrastructure Security Agency)을 비롯해 다른 국가의 CERT(Computer Emergency Response Team)에서도 경고했을 만큼 큰 사건이었으며, 아울러 보안 및 오픈소스 소프트웨어 생태계, 개발자가 오픈소스 구성요소를 사용하고 추적하는 방법에 관한 새로운 논의를 촉발했다.  여기서는 베라코드의 설립자 겸 CTO이자 애플리케이션 보안 및 취약점 분야에서 20년 이상의 경력을 갖춘 보안 업계 베테랑인 크리스 위소팔과 ‘로그4j 취약점의 여파와 오픈소스 보안의 미래’를 주제로 나눈 대화를 정리했다. ‘로그4j’의 중요성과 여파 “로그4j는 ‘광범위하게 사용돼 거의 모든 서버에 영향을 미칠 수 있다는 점에서’ 개발팀이 일상적으로 다루는 것과는 확실히 다른 유형의 취약점이었다. 이는 거의 모든 기업에 영향을 미쳤고, 모든 기업의 여러 개발팀, 즉 회사를 위해 새로운 일을 하는 팀과 1년에 한 번 정도 코드를 변경하는 유지관리 모드에 있는 팀을 강타했다.”  “베라코드는 SaaS 업체이기 때문에 모든 고객을 살펴볼 수 있다. 작년에 스캔한 수십만 개의 애플리케이션 중에서, 특히 기업 고객을 관심 있게 살펴봤다. 95%의 기업 고객이 자바를 쓰고 있었다. 이는 자바가 얼마나 인기 있는지를 보여준다. 만약 자바에 이와 같은 취약점이 또 있다면 그 역시 널리 퍼질 것이다.” “아울러 88%는 로그4j를 사용하고, 58%는 취약한 버전을 쓴다고 답했다....

오픈소스 로그4j 보안 취약점 베라코드 오픈소스 보안 자바 SBOM

2022.05.26

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성요소 ‘로그4j’에서 일련의 취약점이 발견되면서 전 세계의 기업 보안팀은 비상 경계 태세에 돌입해야 했다.    이는 미국 사이버 보안 및 인프라 보안국(CISA; Cybersecurity and Infrastructure Security Agency)을 비롯해 다른 국가의 CERT(Computer Emergency Response Team)에서도 경고했을 만큼 큰 사건이었으며, 아울러 보안 및 오픈소스 소프트웨어 생태계, 개발자가 오픈소스 구성요소를 사용하고 추적하는 방법에 관한 새로운 논의를 촉발했다.  여기서는 베라코드의 설립자 겸 CTO이자 애플리케이션 보안 및 취약점 분야에서 20년 이상의 경력을 갖춘 보안 업계 베테랑인 크리스 위소팔과 ‘로그4j 취약점의 여파와 오픈소스 보안의 미래’를 주제로 나눈 대화를 정리했다. ‘로그4j’의 중요성과 여파 “로그4j는 ‘광범위하게 사용돼 거의 모든 서버에 영향을 미칠 수 있다는 점에서’ 개발팀이 일상적으로 다루는 것과는 확실히 다른 유형의 취약점이었다. 이는 거의 모든 기업에 영향을 미쳤고, 모든 기업의 여러 개발팀, 즉 회사를 위해 새로운 일을 하는 팀과 1년에 한 번 정도 코드를 변경하는 유지관리 모드에 있는 팀을 강타했다.”  “베라코드는 SaaS 업체이기 때문에 모든 고객을 살펴볼 수 있다. 작년에 스캔한 수십만 개의 애플리케이션 중에서, 특히 기업 고객을 관심 있게 살펴봤다. 95%의 기업 고객이 자바를 쓰고 있었다. 이는 자바가 얼마나 인기 있는지를 보여준다. 만약 자바에 이와 같은 취약점이 또 있다면 그 역시 널리 퍼질 것이다.” “아울러 88%는 로그4j를 사용하고, 58%는 취약한 버전을 쓴다고 답했다....

2022.05.26

'최대 23.5억 달러' 2018~2019년 사이버보안 업계 대규모 M&A 총정리

사이버보안 제품과 서비스 시장이 성장하는 데 발을 맞춰 이를 제공하는 기업들의 가치도 상승하고 있다. 이를 알려주는 증거가 2018년 한 해 동안 벌어진 여러 사이버보안 회사들의 인수합병 거래다. 기술 M&A 컨설팅 회사인 햄플턴 파트너스가 제공한 자료에 따르면, 2018년 한 해 사이버보안 인수합병 거래는 140여 건에 달한다. 이 가운데 미화 5억 달러(5,642억 원)가 넘는 대형 M&A는 9건 이상이다. 10억 달러가 넘었던 거래도 4건이나 있었다.   햄플턴 파트너스의 액셀 브릴 디렉터는 “현재 사이버보안은 기술 산업 곳곳에 위치하고 있다. 모든 것이 연결되면서, 모든 분야와 영역에서 보안 강화에 대한 목소리가 높다”고 말했다. ID 및 액세스 관리(IAM), 네트워크 보안, 금융/트랜젝션(거래) 관련 사이버보안 부문의 규모가 가장 크다. 사이버보안 M&A 컨설팅 회사인 모멘텀 사이버(Momentum Cyber)의 디렉터 디노 부쿠리스는 “제로 트러스트(zero-trust) 방식이 확산되고, 경계선 개념이 퇴색되면서 IAM에 대한 관심이 높아지는 추세다. 하이브리드 클라우드 인프라 도입 속도가 빨라지면서 클라우드 인프라 보안도 크게 성장했다”고 말했다. 다음은 2018년 한 해 가장 규모가 컸던 사이버보안 M&A 거래 9건과 2019년 지금까지의 현황이다. 1위. 시스코가 듀오 시큐리티를 23억 5,000만 달러에 인수 네트워킹 분야의 ‘거인’인 시스코가 제로 트러스트 보안 회사인 듀오 시큐리티(Duo Security)를 23억 5,000만 달러(2조 8,784억 4,000만 원)에 인수, 2018년 한 해 가장 규모가 큰 보안 M&A 거래가 되었다. 이는 모든 것을 적용 대상으로 하는 클라우드 보안이 중요하다는 인식이 높아지고 있음을 보여주는 증거다. 인수 직후 어닝 콜에서 시스코의 CEO 척 로빈스는 듀오 인수로 시스코의 포트폴...

인수 엔드포인트 사모펀드 베라코드 팔로알토 네트웍스 토마 브라보 GDPR 사일런스 바라쿠다 네트웍스 제로 트러스트 듀오 시큐리티 아카마이 스플렁크 M&A 맥아피 시스코 AT&T 블랙베리 CA DDoS 사이버보안 IAM 디도스 렐엑스

2019.03.07

사이버보안 제품과 서비스 시장이 성장하는 데 발을 맞춰 이를 제공하는 기업들의 가치도 상승하고 있다. 이를 알려주는 증거가 2018년 한 해 동안 벌어진 여러 사이버보안 회사들의 인수합병 거래다. 기술 M&A 컨설팅 회사인 햄플턴 파트너스가 제공한 자료에 따르면, 2018년 한 해 사이버보안 인수합병 거래는 140여 건에 달한다. 이 가운데 미화 5억 달러(5,642억 원)가 넘는 대형 M&A는 9건 이상이다. 10억 달러가 넘었던 거래도 4건이나 있었다.   햄플턴 파트너스의 액셀 브릴 디렉터는 “현재 사이버보안은 기술 산업 곳곳에 위치하고 있다. 모든 것이 연결되면서, 모든 분야와 영역에서 보안 강화에 대한 목소리가 높다”고 말했다. ID 및 액세스 관리(IAM), 네트워크 보안, 금융/트랜젝션(거래) 관련 사이버보안 부문의 규모가 가장 크다. 사이버보안 M&A 컨설팅 회사인 모멘텀 사이버(Momentum Cyber)의 디렉터 디노 부쿠리스는 “제로 트러스트(zero-trust) 방식이 확산되고, 경계선 개념이 퇴색되면서 IAM에 대한 관심이 높아지는 추세다. 하이브리드 클라우드 인프라 도입 속도가 빨라지면서 클라우드 인프라 보안도 크게 성장했다”고 말했다. 다음은 2018년 한 해 가장 규모가 컸던 사이버보안 M&A 거래 9건과 2019년 지금까지의 현황이다. 1위. 시스코가 듀오 시큐리티를 23억 5,000만 달러에 인수 네트워킹 분야의 ‘거인’인 시스코가 제로 트러스트 보안 회사인 듀오 시큐리티(Duo Security)를 23억 5,000만 달러(2조 8,784억 4,000만 원)에 인수, 2018년 한 해 가장 규모가 큰 보안 M&A 거래가 되었다. 이는 모든 것을 적용 대상으로 하는 클라우드 보안이 중요하다는 인식이 높아지고 있음을 보여주는 증거다. 인수 직후 어닝 콜에서 시스코의 CEO 척 로빈스는 듀오 인수로 시스코의 포트폴...

2019.03.07

여전히 존재하는 오픈소스 SW 보안 문제, 이유는? 해법은 없나?

오픈소스를 사용하면 개발자가 시간과 비용을 절약할 수 있다. 다시 말해 개발자에게 오픈소스 활용은 일상이 됐다. 하지만, 그만큼 보안에 대한 위험 부담도 있다. 오픈소스를 사용하면서 보안을 향상하는 데 필요한 사항을 소개한다. 올해 에퀴팩스(Equifax) 해킹은 오픈소스 소프트웨어와 구성요소가 여러 이점이 있지만 적절하게 유지하고 관리하지 않으면 기업 보안에 엄청난 위험을 유발한다는 점을 상기시켰다. 4월, 플래시포인트 인텔리전스(Flashpoint Intelligence)의 연구원들은 범죄자들이 인기 오픈소스 마젠토(Magento) 전자상거래 플랫폼에 대해 강압적인 암호 공격을 사용하여 해킹된 접근으로 신용카드 기록을 확보하고 암호화폐 채굴에 초점을 둔 악성코드를 설치했다고 밝혔다. 연구원들은 최소 1,000개의 마젠토 관리자 패널이 해킹당했다는 사실을 발견하고 2016년 이후로 딥웹(Deep Web)과 다크웹(Dark Web)에서 해당 플랫폼에 대한 관심이 수그러들지 않고 있다고 말했다. 게다가 파워프론트(Powerfront) CMS와 오픈카트(OpenCart)에 대한 관심도 잘 알려져 있다. ->다크웹, 딥웹, 다크 인터넷이란? 수년 동안 오픈소스 코드의 인기가 상승했으며 모든 산업에서 모든 규모의 기업들이 사용하고 있다. 시장에서 널리 알려진 오픈소스 운영체제 외에도 기업 사용자들은 오픈소스 생산성 소프트웨어, 관리자와 개발자를 위한 툴과 자체 소프트웨어 개발에 사용하는 다양한 코드 라이브러리를 활용한다. 심지어 상용 소프트웨어도 일반적으로 오픈소스 코드를 기반으로 개발된다. 큐델스키 시큐리티(Kudelski Security)의 CTO 앤드류 하워드는 "기업에서 오픈소스 소프트웨어가 더욱 광범위하게 도입되고 있다"고 밝혔다. 이어서 "기업이 애자일 방법론으로 가면서 오픈소스가 더욱 중요해지고 있으며 더 많은 툴이 제공되고 있다. 오늘날 시장에 진입하는 새 소프트웨어 개발자를 ...

인수 블랙덕 소프트에어 딥웹 마젠토 암호화폐 취약성 스카이스캐너 다크웹 애자일 방법론 베라코드 깃허브 M&A 스닉

2018.04.04

오픈소스를 사용하면 개발자가 시간과 비용을 절약할 수 있다. 다시 말해 개발자에게 오픈소스 활용은 일상이 됐다. 하지만, 그만큼 보안에 대한 위험 부담도 있다. 오픈소스를 사용하면서 보안을 향상하는 데 필요한 사항을 소개한다. 올해 에퀴팩스(Equifax) 해킹은 오픈소스 소프트웨어와 구성요소가 여러 이점이 있지만 적절하게 유지하고 관리하지 않으면 기업 보안에 엄청난 위험을 유발한다는 점을 상기시켰다. 4월, 플래시포인트 인텔리전스(Flashpoint Intelligence)의 연구원들은 범죄자들이 인기 오픈소스 마젠토(Magento) 전자상거래 플랫폼에 대해 강압적인 암호 공격을 사용하여 해킹된 접근으로 신용카드 기록을 확보하고 암호화폐 채굴에 초점을 둔 악성코드를 설치했다고 밝혔다. 연구원들은 최소 1,000개의 마젠토 관리자 패널이 해킹당했다는 사실을 발견하고 2016년 이후로 딥웹(Deep Web)과 다크웹(Dark Web)에서 해당 플랫폼에 대한 관심이 수그러들지 않고 있다고 말했다. 게다가 파워프론트(Powerfront) CMS와 오픈카트(OpenCart)에 대한 관심도 잘 알려져 있다. ->다크웹, 딥웹, 다크 인터넷이란? 수년 동안 오픈소스 코드의 인기가 상승했으며 모든 산업에서 모든 규모의 기업들이 사용하고 있다. 시장에서 널리 알려진 오픈소스 운영체제 외에도 기업 사용자들은 오픈소스 생산성 소프트웨어, 관리자와 개발자를 위한 툴과 자체 소프트웨어 개발에 사용하는 다양한 코드 라이브러리를 활용한다. 심지어 상용 소프트웨어도 일반적으로 오픈소스 코드를 기반으로 개발된다. 큐델스키 시큐리티(Kudelski Security)의 CTO 앤드류 하워드는 "기업에서 오픈소스 소프트웨어가 더욱 광범위하게 도입되고 있다"고 밝혔다. 이어서 "기업이 애자일 방법론으로 가면서 오픈소스가 더욱 중요해지고 있으며 더 많은 툴이 제공되고 있다. 오늘날 시장에 진입하는 새 소프트웨어 개발자를 ...

2018.04.04

미 연방 정부의 오픈소스 사용에 관한 '사실과 오해'

점점 더 많은 미국 연방 정부기관들이 오픈소스로 옮겨가고 있는데, 그로 인해 더 많은 취약점에 노출될 수도 있다. Credit: Flickr/Phil Richards 미국의 많은 연방 정부기관들이 오픈소스 소프트웨어 개발 승인을 받은 공용 저장소를 이용하는 것으로 알려졌다. GSA(General Services Administration) 기트허브(GitHub) 대시보드에 따르면, 236개 연방 정부기관이 총 5,254개 프로젝트 저장소를 이용하고 있다. 오픈소스 소프트웨어를 이용하거나, 개발해 IT 목적을 달성하는 연방 정부기관들이 증가하는 추세다. 더 많은 오픈소스 프로젝트를 효과적으로 준비하기 위해, 연방 정부기관은 공용 저장소와 관련한 오해와 잘못된 통념에서 사실을 가려낼 수 있어야 한다. 연방 정부기관의 오픈소스 사용을 유도하는 주요 동인은 공유 플랫폼을 이용한 비용 절감 효과다. 그러나 사피엔트 거번먼트 서비스(Sapient Government Services)의 기술 디렉터인 제이 자이프라카쉬는 "오픈소스로의 변화를 수용하려면 몇 가지를 고려해야 한다. 소프트웨어를 성공적으로 도입할 수 있도록 만드는 문화, 혁신, 아키텍처가 여기에 해당한다"고 말했다. 연방 정부기관의 보안 담당자들은 밴드왜건 효과(bandwagon effect of propaganda)에서 넘어가서는 안 된다. 유행을 좇아 오픈소스를 도입하기 전에, 자신이 소속된 기관을 이해하는 것이 아주 중요하다. 자이프라카쉬는 "정부기관은 문화와 혁신에 맞춰, 새로운 아이디어를 보상하는 방법부터 제대로 된 정책 수립까지 올바른 환경을 발전시켜야 한다. 거버넌스 부서와 보안 부서가 서로 협력하고 전문성을 공유하는 것이 최신 아이디어에서 새로운 개선에 이르기까지 모든 사람에게 도움이 되도록 만들어야 한다"고 강조했다. 자이프라카쉬의 설명에 따르면, 오픈소스는 비용 측면의 이익도 있지만 그 밖에도 특정 업체의 제품과 업그...

CSO 허트블리드 기트허브 오픈소스 프로젝트 연방 정부 베라코드 GSA 블랙덕 정부기관 취약점 CISO 밴드왜건 효과

2016.09.06

점점 더 많은 미국 연방 정부기관들이 오픈소스로 옮겨가고 있는데, 그로 인해 더 많은 취약점에 노출될 수도 있다. Credit: Flickr/Phil Richards 미국의 많은 연방 정부기관들이 오픈소스 소프트웨어 개발 승인을 받은 공용 저장소를 이용하는 것으로 알려졌다. GSA(General Services Administration) 기트허브(GitHub) 대시보드에 따르면, 236개 연방 정부기관이 총 5,254개 프로젝트 저장소를 이용하고 있다. 오픈소스 소프트웨어를 이용하거나, 개발해 IT 목적을 달성하는 연방 정부기관들이 증가하는 추세다. 더 많은 오픈소스 프로젝트를 효과적으로 준비하기 위해, 연방 정부기관은 공용 저장소와 관련한 오해와 잘못된 통념에서 사실을 가려낼 수 있어야 한다. 연방 정부기관의 오픈소스 사용을 유도하는 주요 동인은 공유 플랫폼을 이용한 비용 절감 효과다. 그러나 사피엔트 거번먼트 서비스(Sapient Government Services)의 기술 디렉터인 제이 자이프라카쉬는 "오픈소스로의 변화를 수용하려면 몇 가지를 고려해야 한다. 소프트웨어를 성공적으로 도입할 수 있도록 만드는 문화, 혁신, 아키텍처가 여기에 해당한다"고 말했다. 연방 정부기관의 보안 담당자들은 밴드왜건 효과(bandwagon effect of propaganda)에서 넘어가서는 안 된다. 유행을 좇아 오픈소스를 도입하기 전에, 자신이 소속된 기관을 이해하는 것이 아주 중요하다. 자이프라카쉬는 "정부기관은 문화와 혁신에 맞춰, 새로운 아이디어를 보상하는 방법부터 제대로 된 정책 수립까지 올바른 환경을 발전시켜야 한다. 거버넌스 부서와 보안 부서가 서로 협력하고 전문성을 공유하는 것이 최신 아이디어에서 새로운 개선에 이르기까지 모든 사람에게 도움이 되도록 만들어야 한다"고 강조했다. 자이프라카쉬의 설명에 따르면, 오픈소스는 비용 측면의 이익도 있지만 그 밖에도 특정 업체의 제품과 업그...

2016.09.06

'방어 기술도 진화 중' IT 보안 혁신 6가지

기업의 보안 위협이 넘쳐나고 있다. 오늘날 IT 보안 담당자들은 악성코드, 스파이웨어, 해커, DDos 공격, 하이재킹된 USB 장치, 스파이, 사이버 전쟁, 기타 취약점 등 많은 문제를 걱정해야만 한다.   다행히 기술 혁신으로 이런 공격을 방지하는데 도움을 받게 됐다. 예를 들어, 셀클로어(Seclore) 같은 업체들은 기업 외부로 전달되는 문서를 보호하는 것은 물론, 문서 접속 및 이용 방법을 통제하는 서비스를 제공하고 있다. 또한 신생업체인 크라우드스트라이크(CrowdStrike)는 새로 개발한 킬 체인(kill Chain) 전술을 이용해 새로운 공격의 특징은 물론 공격자의 프로파일을 개발할 수 있다고 말했다.   이 두 가지 혁신 기술은 다음에서 설명할 네 가지 다른 기술과 함께 공통 딜레마에 대한 해답을 제시해준다. 다름 아닌, 대기업들이 아주 오래 전 도입한 표준 보안 기법을 지나치게 의존한 데 따른 딜레마다.   셀클로어 : 정보 접근 및 이용 방법과 시기 통제 기업 내부의 보안은 그나마 쉬운 편에 속한다. 그러나 기업 내부 방화벽 밖으로 유출되는 문서와 파일을 보호하는 데는 더 큰 도전이 따른다.    이른바 정보 권한 관리(information rights management) 또는 기업 권한 관리(Enterprise Rights Management)는 통상 암호화, 정책, 감사, 기타 보안 툴을 사용해 중요한 정보를 보호하는 기술이다. 그리고 셀클로어(Seclore) 같은 IRM 툴은 문서에 있어 '누가, 언제, 무엇을'에 대한 정책을 보호하는 수단이다.    셀클로어의 핵심 기능 가운데 하나는 'IT 부서가 기업 외부인이 문서에 접속해 이용할 수 있는 시간을 통제할 수 있다는 것'이다. 다임러(Daimler), 파나소닉(Panasonic), 퍼그로(Fugro)가 이 서비스...

악성코드 보안 위협 베라코드 시큐러트 크라우드스트라이크 타세라 트러스티어 아펙스

2013.04.02

기업의 보안 위협이 넘쳐나고 있다. 오늘날 IT 보안 담당자들은 악성코드, 스파이웨어, 해커, DDos 공격, 하이재킹된 USB 장치, 스파이, 사이버 전쟁, 기타 취약점 등 많은 문제를 걱정해야만 한다.   다행히 기술 혁신으로 이런 공격을 방지하는데 도움을 받게 됐다. 예를 들어, 셀클로어(Seclore) 같은 업체들은 기업 외부로 전달되는 문서를 보호하는 것은 물론, 문서 접속 및 이용 방법을 통제하는 서비스를 제공하고 있다. 또한 신생업체인 크라우드스트라이크(CrowdStrike)는 새로 개발한 킬 체인(kill Chain) 전술을 이용해 새로운 공격의 특징은 물론 공격자의 프로파일을 개발할 수 있다고 말했다.   이 두 가지 혁신 기술은 다음에서 설명할 네 가지 다른 기술과 함께 공통 딜레마에 대한 해답을 제시해준다. 다름 아닌, 대기업들이 아주 오래 전 도입한 표준 보안 기법을 지나치게 의존한 데 따른 딜레마다.   셀클로어 : 정보 접근 및 이용 방법과 시기 통제 기업 내부의 보안은 그나마 쉬운 편에 속한다. 그러나 기업 내부 방화벽 밖으로 유출되는 문서와 파일을 보호하는 데는 더 큰 도전이 따른다.    이른바 정보 권한 관리(information rights management) 또는 기업 권한 관리(Enterprise Rights Management)는 통상 암호화, 정책, 감사, 기타 보안 툴을 사용해 중요한 정보를 보호하는 기술이다. 그리고 셀클로어(Seclore) 같은 IRM 툴은 문서에 있어 '누가, 언제, 무엇을'에 대한 정책을 보호하는 수단이다.    셀클로어의 핵심 기능 가운데 하나는 'IT 부서가 기업 외부인이 문서에 접속해 이용할 수 있는 시간을 통제할 수 있다는 것'이다. 다임러(Daimler), 파나소닉(Panasonic), 퍼그로(Fugro)가 이 서비스...

2013.04.02

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31