Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안

"보안에 성공하는 기업은 달랐다" 안전한 협업을 위한 관행 5가지

협업 및 통신보안 분야의 양상은 최근 몇 년간 달라졌다. 변화에 박차를 가한 것은 원격 업무로의 전환과 함께 기업이 서둘러 동영상 및 팀 협업 도구의 온라인화에 나선 것이다. 이는 곧 보안에 대한 우려로 이어졌다. 시장 조사 업체 메트리지(Metrigy)의 대표 겸 수석 애널리스트 어윈 라자는 "기업 내 여러 팀이 협력업체, 공급업체, 고객은 물론 내부적으로 통신하는 방식이 빠르게 변하면서 새로운 보안 과제가 대두됐다"라고 말했다. 최근 CSO의 인포섹 서밋(InfoSec Summit)에서 라자는 성공적으로 새로운 협업 기술을 활용하는 기업이 보안을 위해 실천하는 방법을 조사해 공유했다. 다음은 그 발표 내용을 발췌 정리한 것이다. 더 자세한 것은 다음 세션 동영상을 참고하면 된다.   현황 통신 및 협업 보안에 대한 주제로 이야기를 나눠보면 여전히 요금 사기에 집중하는 경우가 많다. 많은 기업이 전화 시스템에 가해지는 공격, 즉 누군가 그들의 전화 시스템에 등록해 통화를 하고 심지어 통화 기록 등과 같은 데이터를 빼내거나, 악성 통신업체 또는 악성 지점을 거쳐 통화를 라우팅해 요금을 과다 청구하는 등 피해를 입는 것을 우려한다. 그러나 이런 상황은 지난 몇 년간에 걸쳐 빠르게 변한 것으로 확인된다. 여전히 통화는 중요하지만 이 분야에 도입된 다른 협업 기술이 관점에 따라서는 더욱 커졌기 때문이다. 그중에서도 첫 번째는 동영상이다. 동영상 보안 확보와 관련해 흔히 회자하는 문제는 관계자가 아닌 사람들이 회의에 침입해 내용을 염탐하고 엿듣는 것이다. 그 문제는 다행히도 대부분 업체가 해결한 상태다. 그러나 보안 관점과 특히 규정 준수 관점에서 발생하는 것으로 확인된 실질적인 다른 문제는 회의에서 많은 콘텐츠가 발생한다는 점이다. 오늘날 대부분 화상회의 서비스 업체는 회의 녹화 기능을 제공한다. 회의 내용을 글로 옮길 수도 있다. 대화가 진행되기도 하고 회의 밖에서 공개된 메모가 있을 수도 있다. 그렇다면 이 모든 자료는 어디에 있으며 이를 사...

보안 협업 08시 24분

‘보안과 컴플라이언스’ 두 마리 토끼를 다 잡는 5가지 방법

데이터 관련 법안이 전 세계적으로 늘어나면서 기업 내 보안 담당자가 신경 써야 할 컴플라이언스도 점점 많아지고 있다. 위험성을 줄이기 위해서는 해당 요구사항을 꼼꼼히 살펴봐야 하는 상황인데, 사실 보안성을 높이며 컴플라이언스까지 잘 준수하는 건 굉장히 어렵다. 다음 전문가들의 조언을 잘 활용하면 이런 문제를 보다 쉽게 해결할 수 있다.      1. 데이터 보호에 집중할 것 컴플라이언스는 데이터 보호가 목적인 반면, 사이버 보안은 해커의 침입 방지에 더 집중한다. 데이터 보호 관점에서 볼 때 핵심적인 보안 조치는 불필요한 규제 데이터의 처리나 저장을 피하는 것이다. 인프라 구축 전문 업체 인텔리시스(Intelisys)의 공공 사이버보안 전문가 제임스 모리슨은 “규제를 받는 데이터를 저장할 경우 반드시 권장 수준을 넘는 강력한 암호화를 사용해야 한다”라고 강조했다. FBI 소속 컴퓨터 과학자였던 모리슨은 “현직에 있을 당시 소규모 의료 업체가 환자 정보를 평문(암호화되지 않고 전송 또는 저장된 데이터)으로 보내는 것을 많이 봤다. 규정을 준수하는 정책을 만들려면 규제를 받는 데이터가 처음부터 끝까지 어떻게 처리되는지 질문해야 한다. 데이터가 어디에 존재하고 어디에 저장되며 어떻게 얼마나 오랫동안 저장되는지 유념해야 한다. 컴플라이언스와 보안 관련 기업의 정책은 이런 질문에서 시작한다”라고 설명했다.   2. 보안 감사팀과 친해질 것 보안팀이 감사팀의 관점을 배우는 것도 중요하지만 동시에 감사팀에 사이버 보안의 기초를 알려주는 것도 중요하다. 모리슨은 CISO로 근무했던 예전 회사에서 감사팀과 매주 회의를 했다. 컴플라이언스와 보안 주제를 함께 이야기하는 ‘양방향’ 대화를 유지하기 위해서였다. 그런 과정 이후 ISO 27001 정보보안 관리 업데이트를 수행할 때가 오자 감사팀은 보안팀에게 무엇을 필요한지 명확하고 분명하게 표현할 수 있었다. 모리슨은 감사팀이 요청한 정보를 직접 수집했다. 모리슨은 “최고정보책임자가...

컴플라이언스 보안 5일 전

기업의 네트워크 보안을 좌우하는 2가지 필수 기반

대부분 기업은 네트워크 보안을 위해 모든 것을 해봤지만, 위협은 여전하다고 말한다. 절반은 사실이다. 기업들은 여전히 위협에 직면해 있다. 하지만 그 위협에 대처하기 위해 ‘모든 것’을 한 것은 아니다. 실제로 네트워크 보안의 기초가 되어야 하는 2가지 기반을 구현한 기업은 드물다.   네트워크 보안에 대해 하향식 분석을 해 봤는지 물어보면, 대부분 기업이 매년 수행한다고 답한다. 그 평가에 무엇이 관련되어 있는지 물으면, 현재 전략이 실패했다는 징후를 찾는 것이라고 말한다. 이때 기업은 네트워크 보안을 위해 또 다른 레이어를 추가하는데, 이는 베인 상처에 반창고를 하나 더 붙이는 것과 같다.  미안하지만 이런 방법은 ‘하향식’이 아니다. 오늘날의 네트워크 보안은 액세스하면 안 되는 것에는 그 누구도 액세스할 수 없어야 한다는 단순한 요구에서 시작해야 한다.  여기 찰리라는 사람이 있다. 찰리는 주차장을 관리한다. 어느 날 갑자기 찰리가 지난 분기의 매출 기록을 검토하거나 일부 제품의 재고 수준을 확인한다. 이 제품들이 아스팔트를 마모시키고 있어서일까? 혹은 사이버 공격이나 맬웨어의 조짐일까? 어느 기업의 찰리에게만 해당하는 문제가 아니다. 본사 캠퍼스의 문 상태를 모니터링하는 애플리케이션이 데이터센터에서 돌아가고 있다고 가정해 보자. 갑자기 이 애플리케이션이 급여 시스템과 연결된 모듈에 액세스한다. 문고리가 급여 명부에 있지 않은 한 이것 역시 경고 신호다. IP 네트워크가 허용하는 연결이 안전하지 않다는 의미이기 때문이다. 연결 허용 정책을 통한 보안 연결 허용 보안이 가진 문제점은 복잡하기 때문에 불편하다는 것이다. ‘찰리’부터 시작해보자. 찰리는 MAC 계층 주소를 할당 받는 것을 부주의하게 거절했기 때문에 특정한 네트워크 ID를 가지고 있지 않다. 이때 찰리에게 할당된 기기가 확실한 ID 지표 역할을 한다고 볼 수 있을까? 샌디가 찰리의 책상에 앉아서 애플리케이션을 약간 수정하면 어떻게 될까? 샌디는 찰리의 특권을...

네트워크 보안 AI 5일 전

"데이터 침해 피해 기업 60%, 제품ㆍ서비스 가격 올렸다"

IBM의 보안 보고서에 따르면 데이터 침해에 따른 전 세계 평균 비용이 2021년 미화 424만 달러에서 2022년 435만 달러로 증가하면서 사상 최고치를 기록했다. 침해로 피해를 본 기업의 약 60%는 제품 및 서비스 가격을 인상했다.  IBM 시큐리티(IBM Security)와 포네몬 인스티튜트(Ponemon Institute)의 최신 보고서는 지난 2021년 3월부터 2022년 3월까지 전 세계 기업 550곳의 실제 데이터 침해 사례를 분석한 결과를 담았다. 해당 보고서는 약 83%의 기업이 지금까지 1회 이상 데이터 침해를 경험했으며, 침해 비용의 약 50%가 유출 이후 1년 넘게 발생한 것으로 조사됐다.      “클라우드 및 주요 인프라가 여전히 높은 위험에 노출돼 있다” 보고서에 의하면 랜섬웨어와 파괴적 공격이 주요 인프라 기업의 침해 유형 중 28%를 차지했다. 이는 글로벌 공급망을 교란시키고자 해당 부문을 표적으로 삼는 위협 행위자가 있다는 사실을 나타낸다. 이어 보고서는 美 바이든 행정부가 연방기관에 제로 트러스트 보안 모델 도입을 의무화한 사이버 보안 행정 명령을 내린 지 1년이 지났지만 이번 설문조사에 참여한 주요 인프라 기업 가운데 이를 채택했다고 밝힌 곳은 21%에 불과했다고 전했다.  클라우드 컴퓨팅 인프라는 보안이 미숙하다는 점에서 쉬운 타깃으로 꼽히고 있다. 보고서는 “43%의 기업이 초기 단계에 있거나, 클라우드 환경 전반에 보안 관행을 적용하지 않았다고 답했다. 그 결과, 보안이 성숙한 기업에 비해 평균 66만 달러 이상의 높은 침해 비용이 발생하는 것으로 조사됐다”라고 전했다.   아울러 하이브리드 클라우드를 도입한 기업(45%)의 침해 비용이 퍼블릭 또는 프라이빗 클라우드 모델만 채택하는 기업보다 낮은 것으로 드러났다. 하이브리드 클라우드의 침해 비용은 평균 380만 달러인 반면, 퍼블릭 클라우드와 프라이빗 클라우드는 각각 502만 달러, 424만 달...

데이터 침해 데이터 유출 IBM 5일 전

“더 나은 보안을 위한 종합적인 접근” 심층 방어의 이해

‘심층 방어(Defense in depth)’란 하나가 실패하면 다른 것이 버틸 것이라고 가정해 여러 개의 보안 도구, 메커니즘, 정책을 배치하는 보안 전략이다. 예컨대 해커들이 네트워크에 침투하지 못하도록 방화벽에만 의존하는 대신, 엔드포인트 보안 소프트웨어와 IDS(Intrusion Detection System)를 배포해 방화벽을 통과한 공격자를 찾아낸다.   다양한 도구를 통해 다양한 위협에 대응하는 것이 목적이 아니다. 심층 방어 전략은 공격자가 하나의 도구를 무너뜨리거나 우회할 때 다른 도구로 이를 찾아내 다른 방식으로 대응할 것이라고 가정한다.      심층 방어는 ‘성(castle) 접근법’이라고 불리기도 한다. 공격자가 돌파해야 하는 해자와 난간이 많은 중세 시대의 요새와 같아서다. 심층 방어라는 용어 자체는 군대에서 유래됐다. 약한 방어군이 전략적으로 자국 내부로 후퇴해 공간과 시간을 확보하는 전쟁 시나리오를 묘사한다. 하지만 사이버 심층 방어는 전쟁 시나리오와는 다르다. 허니팟(honeypot)과 달리 공격자에게 절대로 시스템 통제력을 넘겨주지 않는다. 공격자는 무수히 많은 방어책에 맞닥뜨려야 하며, 하나를 무너뜨릴 때마다 새로운 것이 나타난다. 각 도구는 최종 방어선이라는 가정하에 구축된다. ‘안전한 코드 작성하기(Writing Secure Code)’의 저자 마이클 하워드와 데이비드 르블랑은 “방화벽이 보호해줄 것이라 기대한다면, 방화벽이 해킹된 것처럼 시스템을 구축하라”라고 설명했다.  심층 방어가 중요한 이유 전통적인 경계 방어 모델은 스스로 방어할 수 없다. 경계 방어 철학은 개별 기기에 대한 방화벽과 방어책으로 엣지의 보안을 강화해 공격자가 네트워크에 침투하지 못하도록 하는 데 가능한 한 많은 자원을 투입하는 것이다. 하지만 오늘날과 같이 어디에서나 근무할 수 있고 공공 및 사설 클라우드 사용이 보편화된 환경에서는 보호가 필요한 경계를 정의하기가 어렵다. 즉, 경계 방어는 점...

심층방어 보안 레이어드보안 7일 전

"보안 점검 및 개선, 교육을 한번에" 효과적인 모의 훈련을 위한 8단계

모의 훈련(tabletop exercise)은 사고 대응 계획을 연습할 수 있는 좋은 기회다. 기존 계획을 연습 및 개선하고 신규 직원을 훈련시킬 수 있는 기회이기도 하다.  CIS(Center for Internet Security)의 선임 운영 디렉터인 스티븐 젠슨은 모의 훈련을 제대로 실행하면 “위협 표면을 줄이는 방법을 찾을 수 있다. 모의 형식의 연습을 통해 단순한 서면상의 정책을 효과적인 정책과 절차로 다듬을 수 있다”라고 말했다.   보안 권고와 벤치마크로 잘 알려진 CIS는 주 정보 공유 및 분석 센터(Multi-State Information Sharing and Analysis Center, MS-ISAC)와 선거 인프라 정보 공유 및 분석 센터(Elections Infrastructure Information Sharing Analysis Center, EI-ISAC)의 본거지이기도 하다. 젠슨은 두 ISAC를 지원하면서 주, 지방, 그룹, 구역 단위의 12,000개 회원 기관을 대상으로 사고 대응과 취약점 관리를 감독한다.  CIS의 위기관리팀에 소속된 젠슨은 MS-ISAC에서 훈련 코디네이터 역할도 담당한다. 미국 국토안보부 산하의 CISA(Cybersecurity and Infrastructure Security Agency) 및 지방 정부와 협력해 모의 훈련을 준비하고 실행한다. 젠슨은 CSO가 최근 주최한 ‘정보 보안의 미래 회담(Future of InfoSec Summit)’에서 연사로 나와 모의 훈련을 구성하고 실행하는 방법과 모의 훈련이 보안 프로세스 및 절차의 공백을 파악하는 데 어떻게 도움이 되는지 설명했다. 효과적인 모의 훈련을 수행하는 방법을 알아보자. 1. 목표 설정 가장 먼저 해야 할 일은 목표 진술문을 만드는 것이다. 목표 진술문은 팀이 구체적인 훈련 목표를 정의하고 시나리오 개발을 위한 틀을 제공하고 전체적인 수준에서 훈련 평가 기준을 제공하는 데 ...

모의훈련 보안 2022.07.22

"개발자에 좋은 것은 해커에게도 좋다" 오픈소스 SW 공급망 보안 문제의 해법

소프트웨어 공급망 보안에 대한 권한은 누가 가져야 할까? 개발자 혹은 개발자를 지원하는 플랫폼과 보안 엔지니어링 팀? 과거에는 기업의 지원 계약 및 보안 서비스수준협약(SLA)을 어느 리눅스 배포판과 운영체제, 인프라 플랫폼으로부터 확보할지를 CIO, CISO, 또는 CTO와 담당 보안팀이 결정하곤 했다. 하지만 이후 개발자가 이 모든 일을 도커 파일(Docker Files)과 깃허브 액션(GitHub Actions)에서 처리하게 됐다. 개발자에게 상황이 ‘시프트 레프트(shift left)’했고 이전과 같은 기업 차원의 감독은 사라졌다.   오늘날에는 규정 준수 및 보안 팀이 이런 정책과 요건을 규정한다. 개발자는 이 요건을 준수하는 범주 내에서 원하는 도구를 선택할 유연성을 갖는다. 이처럼 업무가 구분되면 개발자 생산성에 가속도가 크게 붙는다. 그러나 Log4j 사태는 기업의 시스템 보안 문제에 대한 경종을 울렸다. 시프트 레프트 개발자 자율성과 생산성의 장점에도 불구하고 소프트웨어 공급망을 이루는 오픈소스 구성요소는 악성 행위자가 노리는 새로운 표적이 되고 말았다.   오픈소스는 개발자와 공격자 모두에게 좋다 네트워크 보안은 공격자 입장에서 예전보다 훨씬 더 어려운 공격 벡터가 됐다. 반면 오픈소스라면? 오픈소스 의존성 또는 라이브러리를 찾아 개입한 후 다른 모든 의존성으로 방향을 전환하면 그만이다. 공급망은 기업과 기업의 소프트웨어 산출물 사이의 연결 고리가 중요하다. 오늘날 공격자는 바로 이 부분을 집중적으로 공략하고 있다. 기본적으로 개발자 입장에서 오픈소스 소프트웨어의 장점은 공격자 입장에서도 장점이다. 개방성 : 개발자는 ‘누구나 코드를 볼 수 있고 누구나 코드에 기여할 수 있다’는 점을 좋아한다. 리누스 토발스의 말처럼 “지켜보는 눈이 많으면 모든 버그는 잡아내기 쉬워지고” 이는 오픈소스의 큰 장점이다. 반면 공격자는 ‘깃허브 계정이 있는 사람이라면 누구나 필수 라이브러리에 코드에 기여할 수 있다’는 점을 대단히 좋아...

오픈소스 보안 2022.07.22

'가장 어렵지만 꼭 필요한' 미사용 데이터 및 이동 데이터 보안의 이해

안전한 애플리케이션을 만들기 위해서는 수많은 보호 장치가 필요하다. 무엇보다 중요한 것은 애플리케이션에 저장된 데이터를 보호하는 것이다. 물론 가장 어려운 일이기도 하다.   애플리케이션에서 반드시 보호해야 하는 데이터는 미사용 데이터(Data at rest)와 이동 데이터(Data in motion) 2가지 유형으로 나뉜다. 미사용 데이터 vs. 이동 데이터 미사용 데이터는 데이터 저장소, 데이터베이스, 캐시, 파일 시스템 및 리포지토리에 저장된 데이터다. 애플리케이션의 데이터베이스, 로그 파일, 시스템 구성 파일, 백업 및 아카이브에 이르는 모든 것을 포함한다. 간단한 예는 SaaS(Software-as-a-Service) 애플리케이션의 사용자 프로필이다. 이 프로필에는 사용자 이름, 비밀번호, 프로필 사진, 이메일 주소, 실제 주소 및 기타 연락처 정보가 포함될 수 있다. 또한 사용자가 애플리케이션을 어떻게 사용하고 있는지에 대한 애플리케이션 정보도 포함될 수 있다. 로컬 환경에서는 컴퓨터에 저장된 스프레드시트, 워드, 프레젠테이션, 사진, 비디오와 같은 모든 파일을 포함한다.  이동 데이터는 애플리케이션에서 활발하게 접근하고 사용하는 데이터다. 클라이언트와 서버 사이, 또는 서로 다른 2가지 애플리케이션 및 서비스 사이와 같이 애플리케이션의 한 부분에서 다른 부분으로 이동한다. SaaS 애플리케이션 로그인 시 입력하는 사용자 이름과 비밀번호가 대표적인 이동 데이터다. 해당 정보는 사용자의 컴퓨터, 태블릿 또는 스마트폰에서 SaaS 애플리케이션의 백엔드 서버로 전송되는데, 이 과정에서 데이터가 이동한다. 키보드로 입력하거나, 이메일 혹은 문자 메시지, 혹은 API 요청으로 보내는 모든 데이터가 이동 데이터다. 미사용 데이터와 이동 데이터는 그 특성이 다른 만큼 보호하는 기술에도 큰 차이가 있다.  미사용 데이터의 보안 미사용 데이터를 보호하는 가장 중요한 2가지 전략은 데이터 저장 시스템 보호와 ...

이동데이터 미사용데이터 보안 2022.07.20

마이크로소프트 네트워크 보안을 ‘중간점검’하는 10가지 베스트 프랙티스

2022년도 절반이 지났다. 변화하는 위협 지형을 고려할 때 기업의 계획, 목표, 네트워크에 대한 위험을 검토하기 적절한 시점이다. 가장 대표적인 사이버 위협인 랜섬웨어는 더욱 더 인간을 표적으로 하고 있다. 랜섬웨어 운영자는 갈취뿐 아니라 추가적인 공격 방법과 페이로드를 찾는다. 랜섬웨어는 패치되지 않은 취약점뿐 아니라 이메일과 피싱 미끼처럼 표적화된 공격까지 다양한 방법으로 피해 네트워크에 진입한다.  이에 유념하면서 2022년 중반에 이른 지금, 기업의 보안을 중간점검하는 10가지 방법을 살펴보자.   1. 서드파티 액세스 및 크리덴셜 정책을 검토하라 공격자는 RDP(Remote Desktop Protocol) 액세스를 위해 기업의 네트워크를 면밀히 살피고 크리덴셜 스터핑(credential stuffing)과 같은 무차별 대입 공격을 이용할 것이다. 공격자는 네트워크 액세스를 시도하기 위해 탈취한 데이터베이스에서 입수한 크리덴셜(자격 증명)을 사람들이 재사용하는 경향이 있음을 알고 있다. 필자는 외부 컨설턴트를 위한 크리덴셜 및 여타 액세스 승인을 효과적으로 취급할 방법을 찾는다. 이들에 대한 프로세스와 보안 절차가 우려되어서다. 외부 컨설턴트와 계약을 맺을 때는 이들이 사용하기를 원하는 보안 보호를 계약서에 기입해야 한다. 다중 인증(MFA)을 거치든, 특정 네트워크로 액세스를 최소화하기 위해 액세스 방화벽 규칙을 개설하는 것이든, 컨설턴트가 액세스 및 크리덴셜을 취급하는 방법을 서비스 수준 합의 및 계약에 포함하는 것이 좋다. 크리덴셜은 불필요하게 노출되어서는 안 된다. 크리덴셜의 저장은 컨설턴트를 고용하는 회사의 정책 및 절차에 준하는 방식으로 이루어져야 한다. 이에 맞게 이들 프로세스를 검토하고 평가하라. 2. 보안 감사 결과를 검토하라  정기적인 보안 감사 결과를 진행하되, 이때 감사는 회사의 외부 위험을 나타내는 자산에 대해 수행되어야 한다. 최근 필자는 한 업체에 필자의 네트워크 상 리소스에 관한 외부...

보안 네트워크 보안점검 2022.07.15

“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다.    연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다.   마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다. 그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체...

마우이 북한 랜섬웨어 2022.07.12

윈도우의 '제어된 폴더 액세스' 기능을 조심해서 써야 하는 이유

2010년대 중반 랜섬웨어 공격이 증가하자 마이크로소프트는 윈도우 사용자와 관리자에게 랜섬웨어 공격으로부터 PC를 보호할 툴을 제공하기 위해 고민했다. 그 결과가 2017년 10월 기능 업데이트에 추가된 '제어된 폴더 액세스(Controlled Folder Access)'라는 기능이다.  설명 문서에 따르면, 제어된 폴더 액세스는 리소스가 제한된 일반 사용자, 홈 PC 사용자, 소규모 기업을 위한 좋은 보호 툴이다. 마이크로소프트는 “제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱과 위협으로부터 귀중한 데이터를 보호하는 데 도움이 된다. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록을 기준으로 앱을 검사해 데이터를 보호한다. 윈도우 서버 2019, 윈도우 서버 2022, 윈도우 10, 윈도우 11 클라이언트에서 지원되며 윈도우 보안 앱, 마이크로소프트 엔드포인트 구성 관리자(Endpoint Configuration Manager) 또는 인튠(Intune, 관리형 디바이스에 해당)을 사용해 활성화할 수 있다”고 설명했다.  또한 마이크로소프트에 따르면, 제어된 폴더 액세스는 신뢰할 수 있는 앱만 보호되는 폴더에 액세스하도록 허용한다. 보호된 폴더는 제어된 폴더 액세스가 구성되는 시점에 지정된다. 일반적으로 문서, 사진, 다운로드용 폴더와 같이 자주 사용되는 폴더가 제어된 폴더 목록에 포함된다. 구체적으로 보호되는 폴더는 다음과 같다.   c:\Users\<username>\Documents c:\Users\Public\Documents c:\Users\<username>\Pictures c:\Users\Public\Pictures c:\Users\Public\Videos c:\Users\<username>\Videos c:\Users\<username>\Music c:\Users\Public\Music c:\Users\<username>\Favorites  ...

제어된 폴더 액세스 보안 랜섬웨어 2022.07.08

스파이웨어 대비 보안 우선한 '락다운 모드', iOS 16부터 제공 예정

보안과 개인정보 보호는 언제나 애플이 가장 중요시하는 안건이다. 애플이 핵심 보호 기능인 락다운 모드(Lockdown Mode)를 iOS 16, 아이패드OS 16, 맥OS 벤추라에 도입할 것이라고 발표했다. 애플에 따르면 락다운 모드는 동종 최초의 핵심 디지털 보안 기능이자 중대한 표적 위협의 목표물이 된 극소수 사용자를 위한 극단적 선택 보호 기능이다. 락다운 모드는 스파이웨어의 개별 타깃이 되는 것을 우려하는 사용자를 위한 최후의 수단이다. 용병 스파이웨어는 국가 후원 기관의 지시로 전문 기업에서 특정 인물이나 단체를 목표로 한 스파이웨어를 말한다. 애플은 다음과 같이 설명한다. 락다운 모드는 NSO 단체나 기타 민간 기업, 국가가 후원하는 스파이웨어의 정교한 디지털 위협의 표적이 될 수 있는 극소수 사용자에게 필요한 최종 선택적 보안을 제공한다. iOS 16, 아이패드OS 16, 맥OS 벤추라에서 락다운 모드를 활성화하면 기기 방어가 강력해지고 특정 기능이 엄격히 제한되며 용병 스파이웨어의 목표가 되는 공격 표면을 축소한다.   사용자가 락다운 모드를 활성화하면 정교한 스파이웨어 실행을 방지하려는 목적으로 일부 중요 기능이 제한될 수 있다. 락다운 모드의 보호 범위는 다음과 같다. 물론 시간이 지나면서 보호 범위는 더욱 확장될 예정이다. 메시지 : 이미지 외의 다른 첨부 파일 형식은 차단된다. 링크 미리 보기 역시 비활성화된다. 웹 브라우징 : JIT, 자바스크립트 같은 복잡한 웹 기술은 사용자가 일부 신뢰할 수 있는 웹사이트를 락다운 모드에서 제외 설정하기 전까지 차단된다. 애플 서비스 : 페이스타임 전화를 포함한 초대 및 서비스 요청은 사용자가 발신자나 요청을 확인하기 전까지 차단된다. 유선 연결 : 아이폰이 잠긴 상태에서는 PC나 다른 액세서리와의 연결이 차단된다. 구성 프로파일 : 구성 프로파일은 설치할 수 없으며, 락다운 모드가 활성화되면 기기는 MDM에 등록할 수 없다.    애플, 1,000만 달러 ...

락다운모드 보안 맥OS 2022.07.07

글로벌 칼럼 | 클라우드 보안의 최대 리스크는 지금 당신 옆에 있다

클라우드 보안 위협을 생각하면, 보통 클라우드 솔루션 업체의 치명적인 취약점이나 지하세계의 해커가 연상된다. 하지만 진짜 적은 더 가까운 곳에 있다.    클라우드 보안에 대한 이야기의 주제는 클라우드 솔루션 업체나 지하 세계의 해커에게 쏠려 있는 경우가 흔하다. 기업들은 특히 솔루션 업체의 보안, 감사 및 계획이 부족하다며 불만을 토로한다.  그러나 등잔 밑이 어둡다는 말처럼 사실 가장 큰 위협은 바로 옆에 있는 회사 동료일 수 있다. 실제로 클라우드 보안 연합(The Cloud Security Alliance)의 ‘2022 주요 클라우드 컴퓨팅 보안 위협’ 보고서에 따르면, 정작 대부분의 위협은 기업 사용자에서 비롯되는 것으로 분석됐다.    700명 이상의 사이버보안 전문가를 대상으로 한 이 보고서에는 상위 11개의 클라우드 보안 위협 요인이 기술됐다. 대표적으로 안전하지 않은 인터페이스와 API, 잘못된 구성 설정, 클라우드 보안 아키텍처 및 전략의 부재, 우발적인 클라우드 노출 등이 있었다. 즉, 실제 위협의 주체는 지하 세계에서 몸을 사리고 있는 악덕 해커가 아니다. 지금 같은 공간에서 일하고 있는 경리 부서의 마리, 재고 IT 부서의 로버트, 그리고 심지어 IT 보안 부서의 수잔일 수 있다는 말이다.   이 보고서는 클라우드 보안을 책임지는 주체에 대한 관점이 솔루션 업체에서 사용자로 바뀌고 있다는 점에 주목했다. "공동 책임"을 외쳐온 업체에 물어보면 이들은 항상 기업 사용자에게 보안에 대해 사용자로서의 소임을 다할 것을 당부한다. 하지만 IT 회사와 일반 직원에게 물어보자, 클라우드 보안의 핵심 역할은 역시 솔루션 업체의 몫이라고 응답한다.  공개된 기술의 취약점(예컨대 디도스 공격, 통신 서비스 제공업체 데이터 손실, 기타 기존 클라우드 보안 문제 등)이 이전 연구보다 낮은 순위를 기록한 점도 흥미롭다. 물론 여전히 위협적이지만, 공유된 기술의 침해 사례를 사...

클라우드 보안 2022.06.30

올해 주목해야 할 ‘헬스케어 AI’ 트렌드 3가지

코로나19 팬데믹, 정신건강 위기, 의료 비용 증가, 인구 고령화 사이에서 업계 리더들이 의료 관련 AI 애플리케이션 개발을 서두르고 있다. 이를테면 벤처 캐피털 시장에서는 40곳 이상의 스타트업이 의료 서비스용 AI 솔루션을 구축하기 위해 미화 2,000만 달러라는 상당한 자금을 조달했다. AI는 의료 분야에서 실제로 어떻게 활용되고 있을까?  ‘2022 헬스케어 AI 설문조사(2022 AI in Healthcare Survey)’는 전 세계 41개국 321명을 대상으로 헬스케어 AI를 정의하는 과제, 성공 사례, 사용 사례 등에 관해 질문했다. 올해로 두 번째를 맞는 이번 설문조사 결과에서도 결과는 크게 달라지지 않았지만 앞으로 몇 년 동안 추가 어떻게 움직일지 보여주는 몇 가지 흥미로운 트렌드가 제시됐다. 기업이 알아야 할 3가지 트렌드는 다음과 같다.    1. 노코드 도구를 통한 AI 사용 편의성과 민주화 가트너는 2025년까지 기업들이 개발한 새로운 애플리케이션의 70%가 노코드 또는 로우코드 기술을 사용하리라 예측했다. 로우코드가 개발자의 워크로드를 간소화한다면, 데이터 과학 개입이 필요하지 않은 노코드 솔루션은 기업 그리고 그 너머에 큰 영향을 미칠 전망이다.  그리고 이를 통해 AI 사용자가 기술 전문가에서 도메인 전문가로 전환되고 있다는 사실은 확실하다. AI 도구 및 기술 사용자를 물어본 질문에 ‘2022 헬스케어 AI 설문조사’의 전체 응답자 중 절반 이상(61%)이 의사가 사용자라고 밝혔으며, 의료 서비스 제공자(45%), 의료 IT 기업(38%)이 그 뒤를 이었다.  의료 관련 AI 애플리케이션 그리고 오픈소스 기술의 가용성에 관한 개발 및 투자와 함께 이 업계가 AI 기술을 광범위하게 도입하고 있다는 의미다. 이는 중요하다. 엑셀이나 포토샵 등 일반적인 사무 도구처럼 코드를 사용하는 것이 AI를 더 나은 방향으로 변화시키기 때문이다.  다시 말해, 기술 접근성을 높이는...

AI NLP 노코드 2022.06.28

“보안도 왼쪽으로” 오픈소스 소프트웨어 위험과 시프트레프트 전략의 상관관계

오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.     오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Cor...

오픈소스소프트웨어 오픈소스 보안 2022.06.24

"협박부터 신상 털기까지" 물리적인 위협에 직면한 '위기의' 보안 연구원들

사이버보안 연구원들은 디지털 세상을 안전하게 만들기 위해 열심히 열심히 일한다. 그러나 이들은 때때로 물리적인 보안 위험에 빠지기도 한다. 사이버보안 분야에 오랫동안 종사한 사람이라면 정보보안 전문가가 협박을 받거나 범죄를 직접 경험했다는 이야기를 접한 적 있을 것이다.   익명을 요구한 한 보안 전문가는 “지난 몇 년 동안 사이버 범죄에 초점을 둔 몇몇 연구원이 살해 위협을 받았다”라고 말했다. 이런 협박을 받은 연구원 중 일부는 범죄자의 시선을 끌지 않기 위해 다른 일을 하기로 했다고 한다. 그는 “직업이 보안 연구원이라는 이유로 나쁜 사람을 끌어들여 사랑하는 사람들을 위험에 빠뜨리고 싶지 않았던 것”이라고 설명했다. 정보보안 관련 트위터와 컨퍼런스에서 연구원들은 자신이 겪은 경험과 이런 상황에서 자신을 보호하는 방법을 공유하곤 한다. 이들에 따르면, 경찰이나 FBI는 크게 도움이 되지 않는다. 유튜브 채널 시타델 락 툴(Citadel Lock Tools) 운영자이자 열쇠 수리 전문가인 맷 스미스는 “연방 법집행기관이나 지역 경찰에 알리라고 말하고 싶지만, 경험에 의하면 아무런 도움이 되지 않는다. 한 사건으로 범죄자를 체포하는 데까지 수개월이 걸리므로 피해자는 꽤 오랫동안 고립된 상태로 방치된다”라고 지적했다.  일부 연구원은 이런 위협을 명예의 상징으로 여기기도 하지만, 대부분은 자신과 가족의 안전을 유지하기 위해 노력한다. 디지털 발자국을 최소화하고, 소셜 미디어를 통해 접근하는 모든 사람의 배경을 조사하고, 주소 대신 우편사서함을 이용하고, 가족과 연결될 수 있는 온라인 게시물 업로드를 삼간다.  최근에는 랜섬웨어 공격이 증가하고 러시아, 중국, 북한 및 NATO 간 지정학적 긴장 상태가 고조되면서 정보보안 전문가라는 직업이 적어도 일부는 위험해지는 경향이 있다. 코펜스(Cofense)의 수석 위협 고문 로니 토카조프스키는 “국가 간 갈등 상황이 더 악화할 것인지는 모르겠지만, 나아지지 않은 것은 확실하다”라고 말...

보안 2022.06.23

블로그 | "문만 잠그고 창은 열어뒀다" 클라우드와 레거시 보안의 역설

"문만 잠그고 창문을 열어뒀다"라는 속담이 있다. 전체적인 보안 수준이 전체 보안의 가장 약한 부분에서 결정된다는 의미다. 이 속담은 IT에도 그대로 적용된다. 예를 들어 레거시 시스템 보안을 클라우드 보안과 비교하면 어떨까? 수많은 조사 결과는 클라우드 보안이 데이터센터 내 전통적인 시스템보다 더 혹은 훨씬 더 우월하다는 것을 일관되게 보여 준다.   그런데도 많은 기업이 레거시 시스템이 더 안전하다고 믿는다. 단지 이들 시스템이 기업의 자체 데이터센터 내에 있다는 이유다. 하지만 실상은 전혀 그렇지 않다. 지난 10여 년간 퍼블릭 클라우드 기반 보안에 대한 R&D 투자는 전통적인 플랫폼에 대한 투자를 크게 앞섰다. 이런 경향성은 서드파티 업체는 물론 하이퍼스케일 즉, 퍼블릭 클라우드 업체 모두 마찬가지다. 게다가 레거시 보안을 업데이트하고 개선하는 투자조차 일반적으로 클라우드와 관련된 것이었다. 이런 상황에 대해 보안 기술 업체를 비난할 수는 없다. 그들은 매출을 늘리기 위해 신흥 시장에 집중했을 뿐이다. 그러나 이와 같은 클라우드에 대한 집중은 레거시 시스템에 대한 소외라는 '의도하지 않은' 결과로 이어졌다. (기업마다 차이가 있기는 하지만) 오늘날 기업 데이터의 80% 가까이 저장된 레거시 시스템이 위기에 처한 것이다. 결국 기업 IT 보안망의 가장 약한 고리가 이제는 퍼블릭 클라우드를 이용해 기업 데이터에 접속하는 원격 시스템이 아니다. 지난 10년여 동안 관심을 받지 못해 퍼블릭 클라우드보다 더 많은 보안 취약점을 가진 레거시 시스템이다. 레거시 시스템이 해커 공격의 표적이 된 것도 이 때문이다. 문제는 많은 기업이 외부에서 기업 내부로 들어오는 공격을 막는 데 집중하는 동안 연결된 시스템 혹은 내부 시스템을 이용한 공격을 놓치고 있다는 점이다. 대표적인 경우가 클라우드 기반 플랫폼에 연결됐지만 내부 시스템만큼 보안이 강력하지 않은 레거시 플랫폼이다. 그 결과 레거시 시스템은 해커가 클라우드 기반 시스템과 데이터에 간접적으로...

클라우드 보안 레거시 2022.06.22

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.