Offcanvas

������������

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

강은성의 보안 아키텍트 | 보안 개발자가 필요하다

4차 산업혁명이 우리 사회의 주요 화두로 떠오르면서 보안의 중요성이 한층 더 강조되고 있다. 작년에 정부가 발표한 「4차 산업혁명 대응계획」(관계부처 합동, 2019.07.)에서도 보안은 주요 꼭지 중의 하나를 차지하였다. 보안 전문가가 부족하여 사이버보안 인재를 양성하겠다는 정책 또한 발표되었다.  하지만 ‘보안’의 분야가 넓어서 어떤 인재를 양성하겠다는 것인지 명확하지 않다. 예를 들어 악성코드 분석가, 모의해커, IT 보안 담당자, 소프트웨어 보안 아키텍트, 정보보호 관리체계 인증 심사원을 모두 보안 전문가라고 부를 수 있지만, 현업에서 하는 일은 상당히 다르다.  모바일 앱이나 웹 서비스 등 소프트웨어 제품과 서비스(이하 소프트웨어 제품)에서 보안 취약점을 통해 개인정보 등 중요 정보가 유출되거나 악성코드가 배포되곤 한다. 소프트웨어 제품에서 보안 취약점을 없애기 위한 활동이 소프트웨어 제품 보안(Product Security) 또는 소프트웨어 보안이다.  기업 보안이 기업의 통제 범위 안에 있는 정보자산을 보호하는 것이 목표라고 하면, 제품 보안은 고객에게 통제권이 있는 제품(소프트웨어, 하드웨어 포함)의 보안 취약점을 최소화하고자 한다. 검증 단계에서 하는 모의해킹을 넘어서서 요구사항 정의-설계-구현 단계에서 보안 활동을 수행한다.  소프트웨어 개발자가 각 개발 단계에서 충실히 개발하면 최종 소프트웨어에 오류가 적은 것과 마찬가지로, 소프트웨어 개발자가 각 개발 단계에서 보안 요구사항 정의-보안 설계-보안코딩 등 보안 활동을 잘 수행하면 최종 소프트웨어의 보안 취약점은 많이 줄어든다. 이러한 보안 개발역량은 기업 보안에 필요한 역량과는 다르다. 이러한 역량을 갖춘 소프트웨어 개발자를 보안개발자라고 할 수 있다. 2017년 초부터 모든 가전에 무선랜(Wi-Fi)을 장착하여 출시했던 LG전자에서는 자체 표준 소프트웨어 보안 개발 프로세스인 LG-SDL(Secure Development Lifecycle)을 수...

강은성 보안 아키텍트 보안 개발자 보안 4차 산업혁명 사이버보안 악성코드 분석가 모의해커 LG전자 스마트 가전 스마트 공장 정보보안산업 서비스형 소프트웨어 보안공학 암호학

2020.10.15

4차 산업혁명이 우리 사회의 주요 화두로 떠오르면서 보안의 중요성이 한층 더 강조되고 있다. 작년에 정부가 발표한 「4차 산업혁명 대응계획」(관계부처 합동, 2019.07.)에서도 보안은 주요 꼭지 중의 하나를 차지하였다. 보안 전문가가 부족하여 사이버보안 인재를 양성하겠다는 정책 또한 발표되었다.  하지만 ‘보안’의 분야가 넓어서 어떤 인재를 양성하겠다는 것인지 명확하지 않다. 예를 들어 악성코드 분석가, 모의해커, IT 보안 담당자, 소프트웨어 보안 아키텍트, 정보보호 관리체계 인증 심사원을 모두 보안 전문가라고 부를 수 있지만, 현업에서 하는 일은 상당히 다르다.  모바일 앱이나 웹 서비스 등 소프트웨어 제품과 서비스(이하 소프트웨어 제품)에서 보안 취약점을 통해 개인정보 등 중요 정보가 유출되거나 악성코드가 배포되곤 한다. 소프트웨어 제품에서 보안 취약점을 없애기 위한 활동이 소프트웨어 제품 보안(Product Security) 또는 소프트웨어 보안이다.  기업 보안이 기업의 통제 범위 안에 있는 정보자산을 보호하는 것이 목표라고 하면, 제품 보안은 고객에게 통제권이 있는 제품(소프트웨어, 하드웨어 포함)의 보안 취약점을 최소화하고자 한다. 검증 단계에서 하는 모의해킹을 넘어서서 요구사항 정의-설계-구현 단계에서 보안 활동을 수행한다.  소프트웨어 개발자가 각 개발 단계에서 충실히 개발하면 최종 소프트웨어에 오류가 적은 것과 마찬가지로, 소프트웨어 개발자가 각 개발 단계에서 보안 요구사항 정의-보안 설계-보안코딩 등 보안 활동을 잘 수행하면 최종 소프트웨어의 보안 취약점은 많이 줄어든다. 이러한 보안 개발역량은 기업 보안에 필요한 역량과는 다르다. 이러한 역량을 갖춘 소프트웨어 개발자를 보안개발자라고 할 수 있다. 2017년 초부터 모든 가전에 무선랜(Wi-Fi)을 장착하여 출시했던 LG전자에서는 자체 표준 소프트웨어 보안 개발 프로세스인 LG-SDL(Secure Development Lifecycle)을 수...

2020.10.15

강은성의 보안 아키텍트 | 보안공학과 보안 내재화

미-중 무역전쟁 중에 불거진 화웨이 이슈는 공급망 보안(Supply chain security) 문제를 환기시켰다. 우리 회사가 구매, 구축, 개발하는 제품과 서비스에는 다른 회사에서 만든 제품이나 부품, 서비스가 있기 마련인데, 그것이 안전한지 고민하게 된 것이다. 대규모 공급망을 보유한 세계 자동차 업계에서는 완성차 업체가 보안 요구사항을 세부적으로 기술하고, 부품 업체에게 개발 프로세스나 출시 후 보안취약점의 처리 프로세스까지 요구한다. 특히 2015년 지프 체로키 사건으로 자동차의 주행장치까지 해킹 가능성이 입증된 후로는 더욱 까다로워지는 추세다. 글로벌 기업과 경쟁·협업하는 국내 완성차 기업이나 1차 부품 기업 역시 적극적으로 대응하고 있다.  거칠게 말하면 이렇게 제품개발과 이용의 전체 생명주기에서 보안성, 안전성, 신뢰성을 확보하는 것이 보안공학(Security Engineering)의 목적이다. 소프트웨어 개발에 친숙한 분들은 소프트웨어 공학과 보안을 접목했다고 보면 이해하기 쉽다. 보안공학, 보안 내재화(Security by Design), 소프트웨어 개발 보안(SSDL: Secure Software Development Lifecycle) 등은 강조점은 조금 다르지만, 준비-요구사항 정의-설계-구현-검증-생산-출시-출시 후 활동에 이르는 제품 개발과 이용의 일부 또는 전체 단계에서 보안 활동을 정의하고 수행하고자 한다. 이제 웹 서비스나 모바일 앱과 같은 소프트웨어 제품이나 서비스뿐 아니라 무선인터넷이 가능한 각종 가전, 자동차를 개발·생산하는 웬만한 업체에서 모의해킹을 하는 것은 자연스럽다. 하지만 모의해킹은 담당자의 역량과 주어진 시간에 따라 결과의 차이가 있을 뿐 아니라 설계상의 취약점은 찾아내기 어려운 한계가 있다. 보안 내재화가 필요하다는 점은 다들 인정하는 분위기이다.  정부에서도 보안 코딩(Secure coding)을 넘어서서 소프트웨어 개발 전체 단계에서의 보안 활동을 담은 「전자정부 SW 개발·운영자를 ...

CIO Secure Software Development Lifecycle Security by Design Security Engineering Supply chain security 공급망 보안 보안 내재화 보안 코딩 보안공학 SSDL 강은성 한국인터넷진흥원 CISO SCM CTO 공급망 인공지능 5G LG전자 사물인터넷 소프트웨어 개발 보안

2020.01.13

미-중 무역전쟁 중에 불거진 화웨이 이슈는 공급망 보안(Supply chain security) 문제를 환기시켰다. 우리 회사가 구매, 구축, 개발하는 제품과 서비스에는 다른 회사에서 만든 제품이나 부품, 서비스가 있기 마련인데, 그것이 안전한지 고민하게 된 것이다. 대규모 공급망을 보유한 세계 자동차 업계에서는 완성차 업체가 보안 요구사항을 세부적으로 기술하고, 부품 업체에게 개발 프로세스나 출시 후 보안취약점의 처리 프로세스까지 요구한다. 특히 2015년 지프 체로키 사건으로 자동차의 주행장치까지 해킹 가능성이 입증된 후로는 더욱 까다로워지는 추세다. 글로벌 기업과 경쟁·협업하는 국내 완성차 기업이나 1차 부품 기업 역시 적극적으로 대응하고 있다.  거칠게 말하면 이렇게 제품개발과 이용의 전체 생명주기에서 보안성, 안전성, 신뢰성을 확보하는 것이 보안공학(Security Engineering)의 목적이다. 소프트웨어 개발에 친숙한 분들은 소프트웨어 공학과 보안을 접목했다고 보면 이해하기 쉽다. 보안공학, 보안 내재화(Security by Design), 소프트웨어 개발 보안(SSDL: Secure Software Development Lifecycle) 등은 강조점은 조금 다르지만, 준비-요구사항 정의-설계-구현-검증-생산-출시-출시 후 활동에 이르는 제품 개발과 이용의 일부 또는 전체 단계에서 보안 활동을 정의하고 수행하고자 한다. 이제 웹 서비스나 모바일 앱과 같은 소프트웨어 제품이나 서비스뿐 아니라 무선인터넷이 가능한 각종 가전, 자동차를 개발·생산하는 웬만한 업체에서 모의해킹을 하는 것은 자연스럽다. 하지만 모의해킹은 담당자의 역량과 주어진 시간에 따라 결과의 차이가 있을 뿐 아니라 설계상의 취약점은 찾아내기 어려운 한계가 있다. 보안 내재화가 필요하다는 점은 다들 인정하는 분위기이다.  정부에서도 보안 코딩(Secure coding)을 넘어서서 소프트웨어 개발 전체 단계에서의 보안 활동을 담은 「전자정부 SW 개발·운영자를 ...

2020.01.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31