2016.04.21

전 CIA CTO가 신뢰하는 5개 보안 소스

Bonnie Gardiner | CIO
미국 중앙정보부(Central Intelligence Agency, CIA) 전 CTO이자 현 코그니토(Cognito) 매니징 파트너 봅 플로레스는 자신의 데이터 보안에 대한 핵심 통찰력을 공유했다.

호주 맬버른에서 개최한 한 컨퍼런스에서 연사로 나선 플로레스는 전세계 보안 문제 상황을 짚어볼 수 있는 핵심 리소스를 포함해 지방자체단체와 글로벌 기업의 보안에 대한 사실과 수치를 제시했다. 또한 안전한 사이버 인텔리전스 문화를 어떻게 만드는 지 해결책을 제공했다.



플로레스가 이번 강연에서 제시한 그가 신뢰하는 보안 데이터 리소스는 다음과 같다.

1. 버라이즌 데이터 유출 조사 보고서(The Verizon Data Breach Incident Report)
플로레스는 1년 한해동안 확인된 유출 사고와 이 유출 사고들의 정확한 형태와 빈도수를 상세히 다룬 버라이즌 데이터 유출 조사 보고서에서 많은 통계 자료를 인용했다.

이 보고서의 주요 핵심은 회사 보안에 있어 피싱 이메일은 상당히 위협적인데, 전세계적으로 직원들은 피싱 이메일 가운데 23%를 열어본다는 것이다. 더 나아가 11%가 이 이메일 내 첨부파일을 클릭한다.
플로레스는 "첨부파일을 클릭하면 악성코드는 딜리버리된다. 만약 내가 100명에게 피싱 이메일을 보낸다면 그들 가운데 11명이 클릭할 것이고, 이는 곧 그들의 네트워크로 들어갈 수 있다는 걸 의미한다"고 말했다.
이어 "악성코드를 통해 나는 수년간 해당 네트워크 내부를 맘대로 돌아다니면서 눈에 띄지 않는 에이전트(sleeper agent)를 설치하고 어떤 데이터든지 훔칠 수 있다"고 설명했다.

2. 쇼단(Shodan)
플로레스는 자신이 사용하는 새로운 쇼단 검색엔진에서 발견한 '스냅샷 취약점'에 대한 정보를 제공하면서 "기업들은 새로운 레벨의 보안 리스크에 직면하게 될 수 있다"고 경고했다.

사물인터넷용 구글로 묘사되는 쇼단은 원래 IT 업체에게 자사의 제품이 어디에 설치됐는지, 어떻게 사용되는지 정보를 제공하기 위한 용도로 디자인됐다.

그러나 이 검색엔진은 백도어에 노출된 안전하지 못한 웹캠들과 여전히 기본설정 비밀번호를 사용하는 산업용 제어 시스템과 함께 라우터들을 발견할 수 있다. 이 정보는 자사의 환경을 좀더 쉬운 방법으로 제어하려는 조직이나 잠재적인 파트너에게 가치가 있지만 익스플로잇을 찾는 해커들에게도 좋은 먹이감이다.

이 서비스는 공개적으로 무료로 사용할 수 있다. 그러나 기업 고객들은 수집한 모든 데이터에 대한 로우 데이터나 실시간 액세스를 구입할 수 있다.

플로레스는 "최근 스냅샷과 관련한 엄청난 수의 취약점을 볼 수 있었다"며, 참석한 청중들에게 보여준 이 거대하고 상세한 목록에는 공장에서 출시될 때 설정한 기본 비밀번호 그대로의 서버들을 확인할 수가 있었다.

3. NTT 그룹의 글로벌 위협 정보 보고서(Global Threat Intelligence Report)
플로레스는 "지금까지 말한 전세계 취약점 비율과 같은 것보다 좀더 충격받을 수 있을 것"이라 운을 띄운 뒤, "실제 많은 기업이 취약점의 존재를 인지하고 있지만 아무런 안전 조치를 취하지 않고 있다"고 말했다.

강연에서 플로레스는 최신 NTT 그룹의 글로벌 위협 정보 보고서에서 나온 몇가지 핵심 내용을 인용했다.

플로레스는 "나는 종종 일반인이나 고객들에게 얼마나 자주 패치를 하는지 묻곤 한다. 아마도 충분히 하고 있지 않을 것이다"고 말했다.

NTT 그룹에 따르면, 조직의 4곳 가운데 3곳(74%)이 사건 대응 정규 프로그램을 갖고 있지 않았다. 플로레스는 "'기업이 문제를 발견한 뒤, 어떻게 할 것인가'를 이해하는 것이 중요하다"고 말했다.

취약점 관리 프로그램을 갖고 있지 않는 조직들은 통상적으로 자사의 시스템을 패치하는 데 약 200일이 걸린다. 이 보고서에 따르면, 확인된 취약점의 99% 이상이 여전히 1년동안 활동적인 상태다. 플로레스는 "이는 네트워크 상의 컴퓨터에 문제가 발견한 뒤에도 1년동안 해당 문제를 해결하지 않고 아무 조치를 취하지 않고 있었다는 것이다"고 말했다.

더 나아가 76%는 취약점을 발견된 취약점을 패치하지 않고 2년 동안 아무것도 하지 않았다. 그리고 9%는 10년이 넘도록 아무것도 하지 않았다.

4. 사이버 위협(Cyber Threat)
플로레스는 보안 리스크와의 전투을 위해 미국방부 사이버 방어조직 초대 국장이자 코그니토에서 사이버 인텔리전스 수장인 봅 걸레이의 책을 권고했다.

"나뿐만 아니라 미국 CIA, 공군, 해군, NSA(National Security Association) 등에서 활약하는 다른 최고 요원들도 이 책을 권고하고 있다. 이 책은 사이버 공격에 대응해 방어 능력을 향상시켜 기술자와 경영자들에게 자사의 비즈니스 능력을 강화시키는 방법을 가르칠 목적으로 발행됐다.

플로레스는 "이 책은 공격 하에 있는 기업들에게 운영에 대한 통찰력을 제시하고 전략적, 운영적, 기술적으로 사이버 인텔리전스 지원 역량을 강화시키는 방법을 알려준다"고 말했다.

5. 쓰렛브리프닷컴(threatbrief.com)
플로레스는 무료 온라인 리소스 서비스인 쓰렛브리프닷컴(threatbrief.com)을 소개하면서 기업 경영진들이 이 온라인 리소스에 익숙해지길 권고했다. 코그니티오가 운영하는 이 사이트에서는 하루에 8~12개 정도의 기사가 업데이트된다.

쓰렛브리프의 콘텐츠는 전세계 보안 세계에 통찰력을 제공하고 개인이나 기업 리스크를 줄이기 위한 방법을 제시하고 리더들의 전략적 의사결정을 도와준다.

플로레스는 기술 책임자들의 경우 '경영진들이 사이버 보안에 물어야 할 5가지 질문'에 대해 논의한 특별 논문에 액세스하길 권했다. 플로레스는 "이 질문을 스스로에게도 해 보길 바란다"고 덧붙였다.

마지막으로 플로레스는 조직의 사이버 인텔리전스 프로그램을 개발하는데 필수적인 요소로 사용자와 보안에 대한 태도가 바뀌는 것을 포함한 '사용자 교육'에 대해 강조했다.

회사내 모든 이들이 보안가가 되는 것이 자신의 직무 가운데 하나라는 것을 이해하고 보안을 제대로 알고 매일 보안연습을 이행해야 한다고.

플로레스는 "그러나 실제로 기업에서 데이터를 책임지고 있는 이가 누구인가를 물었을 때, 그들은 항상 '나는 아니다. 아마도 CIO가 아니냐, 나는 데이터를 사용만 할 뿐이다'고 잘못된 대답을 한다"고 말했다. 플로레스는 "그렇다고 포기해서는 안되며 계속 나아가야 한다"며, "전체 직원의 보안 지식과 연습을 리뷰해 직원 평가 수단에 포함해야 한다"고 주장했다.

"직원들은 지속적으로 교육해야 한다. 교육은 계속해서 반복적으로 이뤄져야 한다. 보안 교육을 직원들이 입사할 때 한번 하고 말았다면 그들이 회사를 떠날 때쯤이면 완전히 잊혀졌을 것이다." editor@itworld.co.kr


2016.04.21

전 CIA CTO가 신뢰하는 5개 보안 소스

Bonnie Gardiner | CIO
미국 중앙정보부(Central Intelligence Agency, CIA) 전 CTO이자 현 코그니토(Cognito) 매니징 파트너 봅 플로레스는 자신의 데이터 보안에 대한 핵심 통찰력을 공유했다.

호주 맬버른에서 개최한 한 컨퍼런스에서 연사로 나선 플로레스는 전세계 보안 문제 상황을 짚어볼 수 있는 핵심 리소스를 포함해 지방자체단체와 글로벌 기업의 보안에 대한 사실과 수치를 제시했다. 또한 안전한 사이버 인텔리전스 문화를 어떻게 만드는 지 해결책을 제공했다.



플로레스가 이번 강연에서 제시한 그가 신뢰하는 보안 데이터 리소스는 다음과 같다.

1. 버라이즌 데이터 유출 조사 보고서(The Verizon Data Breach Incident Report)
플로레스는 1년 한해동안 확인된 유출 사고와 이 유출 사고들의 정확한 형태와 빈도수를 상세히 다룬 버라이즌 데이터 유출 조사 보고서에서 많은 통계 자료를 인용했다.

이 보고서의 주요 핵심은 회사 보안에 있어 피싱 이메일은 상당히 위협적인데, 전세계적으로 직원들은 피싱 이메일 가운데 23%를 열어본다는 것이다. 더 나아가 11%가 이 이메일 내 첨부파일을 클릭한다.
플로레스는 "첨부파일을 클릭하면 악성코드는 딜리버리된다. 만약 내가 100명에게 피싱 이메일을 보낸다면 그들 가운데 11명이 클릭할 것이고, 이는 곧 그들의 네트워크로 들어갈 수 있다는 걸 의미한다"고 말했다.
이어 "악성코드를 통해 나는 수년간 해당 네트워크 내부를 맘대로 돌아다니면서 눈에 띄지 않는 에이전트(sleeper agent)를 설치하고 어떤 데이터든지 훔칠 수 있다"고 설명했다.

2. 쇼단(Shodan)
플로레스는 자신이 사용하는 새로운 쇼단 검색엔진에서 발견한 '스냅샷 취약점'에 대한 정보를 제공하면서 "기업들은 새로운 레벨의 보안 리스크에 직면하게 될 수 있다"고 경고했다.

사물인터넷용 구글로 묘사되는 쇼단은 원래 IT 업체에게 자사의 제품이 어디에 설치됐는지, 어떻게 사용되는지 정보를 제공하기 위한 용도로 디자인됐다.

그러나 이 검색엔진은 백도어에 노출된 안전하지 못한 웹캠들과 여전히 기본설정 비밀번호를 사용하는 산업용 제어 시스템과 함께 라우터들을 발견할 수 있다. 이 정보는 자사의 환경을 좀더 쉬운 방법으로 제어하려는 조직이나 잠재적인 파트너에게 가치가 있지만 익스플로잇을 찾는 해커들에게도 좋은 먹이감이다.

이 서비스는 공개적으로 무료로 사용할 수 있다. 그러나 기업 고객들은 수집한 모든 데이터에 대한 로우 데이터나 실시간 액세스를 구입할 수 있다.

플로레스는 "최근 스냅샷과 관련한 엄청난 수의 취약점을 볼 수 있었다"며, 참석한 청중들에게 보여준 이 거대하고 상세한 목록에는 공장에서 출시될 때 설정한 기본 비밀번호 그대로의 서버들을 확인할 수가 있었다.

3. NTT 그룹의 글로벌 위협 정보 보고서(Global Threat Intelligence Report)
플로레스는 "지금까지 말한 전세계 취약점 비율과 같은 것보다 좀더 충격받을 수 있을 것"이라 운을 띄운 뒤, "실제 많은 기업이 취약점의 존재를 인지하고 있지만 아무런 안전 조치를 취하지 않고 있다"고 말했다.

강연에서 플로레스는 최신 NTT 그룹의 글로벌 위협 정보 보고서에서 나온 몇가지 핵심 내용을 인용했다.

플로레스는 "나는 종종 일반인이나 고객들에게 얼마나 자주 패치를 하는지 묻곤 한다. 아마도 충분히 하고 있지 않을 것이다"고 말했다.

NTT 그룹에 따르면, 조직의 4곳 가운데 3곳(74%)이 사건 대응 정규 프로그램을 갖고 있지 않았다. 플로레스는 "'기업이 문제를 발견한 뒤, 어떻게 할 것인가'를 이해하는 것이 중요하다"고 말했다.

취약점 관리 프로그램을 갖고 있지 않는 조직들은 통상적으로 자사의 시스템을 패치하는 데 약 200일이 걸린다. 이 보고서에 따르면, 확인된 취약점의 99% 이상이 여전히 1년동안 활동적인 상태다. 플로레스는 "이는 네트워크 상의 컴퓨터에 문제가 발견한 뒤에도 1년동안 해당 문제를 해결하지 않고 아무 조치를 취하지 않고 있었다는 것이다"고 말했다.

더 나아가 76%는 취약점을 발견된 취약점을 패치하지 않고 2년 동안 아무것도 하지 않았다. 그리고 9%는 10년이 넘도록 아무것도 하지 않았다.

4. 사이버 위협(Cyber Threat)
플로레스는 보안 리스크와의 전투을 위해 미국방부 사이버 방어조직 초대 국장이자 코그니토에서 사이버 인텔리전스 수장인 봅 걸레이의 책을 권고했다.

"나뿐만 아니라 미국 CIA, 공군, 해군, NSA(National Security Association) 등에서 활약하는 다른 최고 요원들도 이 책을 권고하고 있다. 이 책은 사이버 공격에 대응해 방어 능력을 향상시켜 기술자와 경영자들에게 자사의 비즈니스 능력을 강화시키는 방법을 가르칠 목적으로 발행됐다.

플로레스는 "이 책은 공격 하에 있는 기업들에게 운영에 대한 통찰력을 제시하고 전략적, 운영적, 기술적으로 사이버 인텔리전스 지원 역량을 강화시키는 방법을 알려준다"고 말했다.

5. 쓰렛브리프닷컴(threatbrief.com)
플로레스는 무료 온라인 리소스 서비스인 쓰렛브리프닷컴(threatbrief.com)을 소개하면서 기업 경영진들이 이 온라인 리소스에 익숙해지길 권고했다. 코그니티오가 운영하는 이 사이트에서는 하루에 8~12개 정도의 기사가 업데이트된다.

쓰렛브리프의 콘텐츠는 전세계 보안 세계에 통찰력을 제공하고 개인이나 기업 리스크를 줄이기 위한 방법을 제시하고 리더들의 전략적 의사결정을 도와준다.

플로레스는 기술 책임자들의 경우 '경영진들이 사이버 보안에 물어야 할 5가지 질문'에 대해 논의한 특별 논문에 액세스하길 권했다. 플로레스는 "이 질문을 스스로에게도 해 보길 바란다"고 덧붙였다.

마지막으로 플로레스는 조직의 사이버 인텔리전스 프로그램을 개발하는데 필수적인 요소로 사용자와 보안에 대한 태도가 바뀌는 것을 포함한 '사용자 교육'에 대해 강조했다.

회사내 모든 이들이 보안가가 되는 것이 자신의 직무 가운데 하나라는 것을 이해하고 보안을 제대로 알고 매일 보안연습을 이행해야 한다고.

플로레스는 "그러나 실제로 기업에서 데이터를 책임지고 있는 이가 누구인가를 물었을 때, 그들은 항상 '나는 아니다. 아마도 CIO가 아니냐, 나는 데이터를 사용만 할 뿐이다'고 잘못된 대답을 한다"고 말했다. 플로레스는 "그렇다고 포기해서는 안되며 계속 나아가야 한다"며, "전체 직원의 보안 지식과 연습을 리뷰해 직원 평가 수단에 포함해야 한다"고 주장했다.

"직원들은 지속적으로 교육해야 한다. 교육은 계속해서 반복적으로 이뤄져야 한다. 보안 교육을 직원들이 입사할 때 한번 하고 말았다면 그들이 회사를 떠날 때쯤이면 완전히 잊혀졌을 것이다." editor@itworld.co.kr


X