Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

세상의 모든 IT 리서치 자료 - 넘버스 Numbers

검색 결과 약 96(-0.93ms)
자료 출처 :
SK쉴더스
원본자료 다운로드
발행 날짜 :
2022년 06월 22일
주요 내용 :
SK쉴더스가 2022년 상반기 주요 보안 트렌드 및 사이버 팬데믹 시대 보안 위협 전망에 대한 인사이트를 공유하는 미디어 세미나를 개최했다. 화이트해커 전문가 그룹인 ‘EQST(Experts, Qualified Security Team)’의 분석을 토대로 마련된 이번 세미나에서는 올해 상반기에 발생한 사이버 위협 업종별 사고 사례, 주요 공격 이벤트 통계, 취약점, 악성코드 유형 등이 소개됐다. 특히, 최근 주목받고 있는 가상자산, RaaS(서비스형 랜섬웨어) 등에 대한 보안 위협요소 및 공격 시나리오 내용도 포함됐다. EQST는 제로데이 취약점, 랜섬웨어, 가상자산을 타깃으로 한 공격이 2022년 상반기에 집중됐다고 발표했다. 올해 1월에는 로그4j, 3월에는 스프링4셸(Spring4shell) 취약점이 연달아 공개되면서 관련 침해사고가 증가했으며, 2월에는 DeFi(탈중앙화 금융) 서비스 해킹 공격으로 22억 원 규모의 가상자산 피해가 발생하기도 했다. 또한, 러시아-우크라이나 전쟁 발발로 인해 우크라이나 전역을 포함한 전세계 공공/정부기관을 겨냥한 사이버 공격이 심각했다. 남미의 해킹조직인 랩서스로부터 해킹 공격을 받은 국내 기업들의 사례도 소개됐다. 업종별 침해사고 발생 통계를 살펴보면 가상자산 거래의 활성화로 가상자산 탈취를 위한 금융권 대상 공격이 가장 비중이 높았다. 금융권을 대상으로 한 침해사고는 전체 사고 중 국내 국외 각각 16.3%, 25% 비중을 차지했다. 국내에서 가장 높은 통계를 기록한 업종은 제조업 침해사고로 22.1%를 기록했으며, 국외에서는 러시아-우크라이나 전쟁의 영향으로 공공/정부기관을 겨냥한 침해사고도 22.2%로 다수 발생했다.   ⓒ SK쉴더스 유형별 사고 발생 통계로는 악성코드를 통한 침해사고가 39.2%로 가장 높은 비중을 차지했다. 이는 RaaS가 대중화되면서 사이버 공격에 대한 진입장벽이 낮아진 것이 주요 원인으로 나타났다. RaaS 랜섬웨어로는 ‘LockBit’, ‘Conti’, ‘BlackCat’ 등이 있다. 상반기 가장 활발하게 활동한 랜섬웨어 그룹은 ‘LockBit’으로 타 랜섬웨어 그룹보다 3배 이상 많이 활동한 것으로 관측됐다. ‘Conti’ 또한 대형 랜섬웨어그룹으로 총괄 리더를 필두로 인사, 교육, 교섭 및 홍보팀을 두고 있으며 기업을 대상으로 공격을 진행하는 실행부, 개발부, 조사부, 해석부 등 기업 조직의 형태를 갖추고 있어 특별히 유의해야 하는 그룹으로 꼽았다. EQST는 하반기 사이버 팬데믹 전망과 보안 위협으로 ▲코로나19 이후 디지털 전환의 가속화로 리오프닝 관련 산업 공격 ▲가상자산 거래가 대중화되면서 가상자산을 타깃으로 한 공격 ▲RaaS를 비롯한 랜섬웨어 공격 등을 선정했다. 특히, 코로나19로 위축되었던 경제활동이 재개되면서 관광산업 등의 침해사고가 꾸준히 증가할 것으로 전망했다. 예를 들어, 해커가 여행사 이벤트로 위장한 피싱메일을 발송하고 사용자가 피싱 사이트에 중요정보를 입력하게 되면 입력한 중요정보를 탈취하는 공격이 가능하다. 여행 관련 사이트에 APT공격을 수행하거나 웹 취약점을 이용해 서비스형 랜섬웨어를 유포하는 공격도 가능한 것으로 분석됐다. 실제로 국내 침해사고 통계에서 여행/서비스 산업의 침해사고가 작년 15.7%에서 올해 22.6%로 증가한 것으로 나타났다.  또한 가상자산 거래량 증가로 관련 플랫폼 사용이 급증하면서 가상자산 사고도 꾸준히 발생하고 있으며, 여기에 탈중앙화 금융인 DeFi가 새롭게 등장하면서 가상자산을 타깃으로 한 공격이 더욱 많아질 것으로 예상했다. 상반기에 활발하게 이뤄졌던 서비스형 랜섬웨어 공격이 하반기에도 이어질 전망이다. 랜섬웨어 공격 그룹들은 수사당국의 감시를 회피하기 위한 ‘리-브랜딩(Re-Branding)’을 펼치고 있으며 이는 더욱 활발해질 것으로 나타났다. 지난 해 미국 송유관 운영 업체인 콜로니얼 파이프라인을 해킹한 ‘다크사이드’ 랜섬웨어 그룹은 ‘Black Matter’로 ‘리-브랜딩(Re-Branding)’하는 등 다양한 공격 방법을 선보일 것으로 분석됐다. 한편, EQST가 분석한 상반기 보안 트렌드 및 사이버 팬데믹 보안 위협 전망 보고서는 SK쉴더스 공식 홈페이지에서 무료로 다운로드 할 수 있다. editor@itworld.co.kr
자료 출처 :
Blackberry
원본자료 다운로드
발행 날짜 :
2022년 06월 22일
주요 내용 :
블랙베리는 리서치 회사 스트래티지 애널리틱스의 조사를 통해 전 세계적으로 2억 1,500만 대 이상의 차량에 블랙베리 QNX 소프트웨어가 탑재됐다고 발표했다. 블랙베리는 BMW, 보쉬, 콘티넨탈, 혼다, 메르세데스-벤츠, 토요타, 비스테온 등 업계 전반의 주요 OEM 기업 및 대기업에 차량용 안전 인증 임베디드 소프트웨어를 제공하고 있다. 현재 상위 25개 전기차 OEM 기업 중 24개의 기업은 차세대 소프트웨어 정의형 차량 생산을 위해 블랙베리 QNX 소프트웨어를 사용하고 있다.   ⓒ 블랙베리 또한 블랙베리는 블랙베리 QNX 로열티 수익 백로그(backlog)가 2023 회계연도 1분기 말에 약 5억6,000만 달러로 증가했다고 발표했다. 이는 지난해 약 4억9,000만 달러에서 14% 증가한 수치다. 백로그 메트릭은 블랙베리 QNX의 로열티 비율과 설계 수명 동안 예상되는 수량의 현재 예측치를 통해 매년 계산된다. 한편, 블랙베리 QNX는 최근 앱티브, 덴소, 포드, GM, 현대, LG전자, 마그나, 볼보 등 업계 선두 기업들과 함께 디자인 부문 상을 수상하기도 했다. 블랙베리 회장 겸 최고경영자(CEO)인 존 첸은 “블랙베리는 안전에 중요한 임베디드 차량용 소프트웨어 분야에서 시장점유율을 꾸준히 높여 2013년 1600만 대에서 현재 2억 1500만 대 이상으로 증가시켰고 시장의 선두주자가 되었다”며, “블랙베리가 집중하는 두 개의 핵심 시장인 IoT와 사이버 보안이 상호적이고 결합된 시장으로 통합됨에 따라 자동차 업계에서 블랙베리의 이와 같은 성장은 스마트 시티의 실현을 가속화할 것으로 기대한다”고 말했다. 스트래티지 애널리틱스는 자동차 시장에 출하되는 블랙베리 QNX 제품 수와 블랙베리 QNX 제품 및 기술을 탑재한 차량 수를 기반으로 블랙베리 QNX 소프트웨어가 탑재된 차량의 수를 파악했다. 자동차 ECU에 통합되어 사용되는 대다수의 블랙베리 QNX 소프트웨어 제품은 단위 로열티 기준으로 라이선스가 부여된다. 블랙베리 QNX 소프트웨어에는 QNX 뉴트리노 OS, QNX 플랫폼 포 ADAS, QNX OS for 세이프티, QNX CAR 플랫폼 포 인포테인먼트, QNX 플랫폼 포 디지털 콕핏, QNX 하이퍼바이저 2.2 and QNX 어큐스틱스 미들웨어가 포함된다. editor@itworld.co.kr
자료 출처 :
Proofpoint
원본자료 다운로드
발행 날짜 :
2022년 06월 22일
주요 내용 :
소셜 엔지니어링(social engineering)은 기술적 해킹 기법을 사용하는 대신, 사람의 심리를 악용해 시스템에 침입하는 공격 수법이다. 사이버 공격 대다수에서 활용되고 있지만 이를 방어하지 못하는 경우가 꽤 있다. 보안 전문 업체 프루프포인트(Proofpoint)는 그 피해가 잘못된 통념으로 더 심화되고 있다고 지적한다.   ⓒ Getty Images Bank 프루프포인트의 위협 연구 및 감지 부문 부사장 셔로드 드그리포는 “보안 요소를 아무리 탄탄히 갖춰도 매년 수십억 달러 규모의 해킹 피해가 발생한다”라며 “보안성을 높이기 위한 노력이 대부분 물리적 기기 및 클라우드 기반 인프라를 보호하는 데 집중되다보니, 상대적으로 허술한 사람을 공격하는 해킹이 늘고 관련 기법이 정교화되고 있다”라고 설명했다.  실제로 해커는 예상하지 못하는 방식으로 오랜 기간에 걸쳐 소셜 엔지니어링 공격을 수행하며, 그 공격을 피하기는 점점 어려워지고 있다. 프루프포인트는 소셜 엔지니어링 피해를 줄이기 위해 알아야할 잘못된 통념 5가지를 다음과 같이 소개했다.  착각 1. 해커는 공격 대상과 대화하지 않는다  많은 사람이 공격자는 피해자와 우호적 관계를 구축하는 데 시간과 노력을 투자하지 않는다고 생각한다. 실제는 그렇지 않다. 해커는 대화를 시작하기 위해 친근한 이메일을 많이 보낸다. 프루프포인트 보고서에 따르면 “해커는 소셜 엔지니어링 피해자가 악의적인 컨텐츠에 정신적으로 열중할 수 있게 감정을 부추긴다. 사용자가 안정감을 느끼도록 의도적으로 친근한 이메일을 보내고 관계를 쌓아 악용한다”라고 설명했다.  프루프포인트가 조사한 결과, 비즈니스 이메일 훼손(BEC), 악성코드 배포, 국가를 상대로 한 지능형 지속 공격(APT) 등을 시작하기 위해 대화를 우호적으로 구축하는 사례가 많았다. 대표적으로 TA453, TA406, TA499 같은 공격자가 이와 같은 전략을 취했다. 착각 2. 합법적인 서비스는 소셜 엔지니어링 공격으로부터 안전하다 사람들은 자신이 잘 알고 신뢰하는 컨텐츠를 이용하는 것을 선호하며 이를 안전하게 생각한다. 하지만 해커는 클라우드 스토리지 서비스, 컨텐츠 배포 네트워크(CDN)등 합법적인 서비스까지 자주 악용하며 이런 인프라에서 개인 정보를 가져가는 것은 물론 악성코드를 퍼뜨린다.  프루프포인트는 “해커는 합법적인 서비스를 통해 악성코드를 배포하는 것을 선호한다. 공격을 위해 따로 악성코드를 심은 문서를 배포하는 것이 아닌 일반 이메일에 접근해 보안 기술을 피해 보겠다는 전략이다. 물론 합법적인 서비스에서 해킹을 방어하는 일은 쉽지 않다. 공격을 막기 위해 견고한 위협 감지 기술을 구현하거나 비즈니스에 당장 영향을 주는 서비스를 정책적으로 차단해야 할 수 있기 때문이다.  프루프포인트의 분석 결과에 따르면, 업계 주요 해커가 가장 빈번하게 해킹을 시도하는 서비스는 마이크로소프트의 원드라이브였다. 그다음 구글 드라이브, 드롭박스, 디스코드(Discord), 파이어베이스(Firebase), 샌드그리드(SendGrid) 순으로 해킹이 자주 이뤄졌다. 착각 3. 공격자는 컴퓨터만 사용하고, 전화기는 사용하지 않는다  흔히 소셜 엔지니어링 공격은 이메일에서 이뤄질 것이라고 생각한다. 하지만 최근 콜 센터 기반의 이메일 시스템에 대한 공격이 증가하고 있으며, 전화 통화도 해킹에 사용되고 있다. 프루프포인트는 이런 공격을 전화 지향적 공격 전송(Telephone-Oriented Attack Delivery, TOAD)이라고 정의한다. 가령 해커는 이메일에 가짜 콜센터 번호를 입력한다. 이메일 자체에는 악성 링크나 악성 파일을 포함하지 않는다. 피해자가 가짜 콜센터 번호로 전화를 거는 순간 공격은 이뤄진다. 프루프포인트에 따르면 이런 식의 공격은 매일 25만 건 넘게 벌어지고 있다. 콜센터 공격은 크게 두 가지 유형으로 진행된다. 하나는 합법적인 무료 원격 지원 소프트웨어를 이용해 돈을 탈취하는 것이고, 다른 하나는 문서처럼 보이는 악성 코드로 컴퓨터를 해킹하는 것이다. 흔히 바자콜(BazaCall)이라고 불리는 바자로더 악성 코드와 관련 있다.  이런 유형의 공격은 수만 달러 규모의 피해를 만들기도 한다. 프루프포인트는 노턴 라이프록(Norton Liftlock) 소속 직원이라고 사칭하는 해커의 공격으로 5만 달러 가까이 잃은 피해자가 있다고 소개한다.  착각 4. 이미 존재하는 이메일에 답장하는 것은 안전하다  해커는 이미 존재하는 이메일은 문제가 없을 것이라고 쉽게 믿는 심리를 악용해 정보를 탈취한다. 프루프포인트는 “우리는 메일을 보내면 자연스럽게 답장을 기대하게 되는데, 피해자는 해커가 보낸 콘텐츠에도 상호작용할 가능성이 크다”라고 밝혔다.  기존 대화를 하이재킹하기 위해 해커는 일반 사용자의 메일함에 접근한다. 접근 방법은 다양하며, 대표적으로 피싱, 악성 코드 공격, 해커 커뮤니티에 공개된 개인 정보 활용, 무차별 대입으로 비밀번호를 알아내는 기법 등을 활용한다. 또는 전체 이메일 서버나 메일함을 하이재킹해 해커가 만든 봇넷에 응답하도록 구축할 수 있다.  2021년 이메일 데이터를 탈취하는 경우는 500건 이상이었으며, 여기에는 16종의 악성코드 계열이 관련돼있다. TA571, TA577, TA575, TA5423 등의 주요 위협자가 이메일 정보를 상습적으로 불법 탈취하고 있다. 착각 5. 해커는 기업 자료만 미끼로 이용한다  해커는 비즈니스 종사자를 자주 노리긴 하지만 그렇다고 항상 기업 콘텐츠만 공격에 활용하는 것은 아니다. 실제로 해커는 피해자를 유인하기 위해 최신 이벤트, 뉴스, 문화 정보를 자주 활용했다. 프루프포인트 보고서는 지난해 발생한 관련 공격 사례를 다음과 같이 소개했다.   ‘바잘로더(BazaLoader)’ 공격은 꽃, 란제리 등 발렌타인 주제 콘텐츠를 이용했다. TA575는 미국 이용자를 노리면서 넷플릭스 ‘오징어 게임’ 내용을 활용해 ‘드라이덱스(Dridex)’라는 은행용 트로이목마를 배포했다. 미국 국세청(IRS)을 사칭하는 해커는 추가 환급을 받아야 한다고 접근해 다양한 개인 식별 정보(PII)를 가져갔다. 코로나19 관련 정보를 활용해 해킹을 시도하려는 시도는 2021년 일 평균 600만 건 발생했다. 소셜 엔지니어링 방어 전략, 직원 교육이 답이다 기상천외한 소셜 엔지니어링 수법이 늘고 잘못된 통념이 퍼져 있는 것을 고려하면, 기업은 소셜 엔지니어링이 어떻게 이뤄지는지 명확히 교육을 제공해야 한다. 즉, 직원의 사고방식을 바꿔야만 이에 대응할 수 있다.  프루프포인트 보고서는 “어떤 기업이든 공격을 방어할 수 있는 가장 효과적인 방법은 직원 스스로 언제든 해킹 위협이 올 수 있다는 인식을 심어주는 것”이라고 설명했다. 또한 “해커가 활용하는 여러 콘텐츠에 익숙해지도록 돕고, 해킹을 유발하는 콘텐츠가 어떤 모습인지 정기적으로 설명해야 한다”라고 강조했다.  사이버 보안 컨설턴트이자 ‘인간을 해킹하는 방법: 인간을 위한 사이버 보안(How to Hack a Human: Cybersecurity for the Mind)’의 저자인 래프 무위제는 가장 그럴듯한 소셜 엔지니어링 공격은 일상적인 업무 활동처럼 진짜같이 보이고, 오히려 평소보다 더 진짜 같아 보인다는 점을 교육을 통해 직원에게 알려야 한다고 설명한다. 무위제는 CSO와의 인터뷰에서 “’랩서스$(Lapsus$)’ 공격의 경우 모바일 이중 인증 요청을 내부 보안 플랫폼을 통해 직원에게 발송했는데, 허위 요청 상당수를 담당 직원이 승인했다”라고 말했다.  무위제는 기업 내에서 소셜 엔지니어링을 피할 수 있는 가장 좋은 방법은 의심이 가는 상황이나 문제 상황이 발생하지 않았는지 직원 스스로 경각심을 갖고 살펴보는 것이라고 설명한다. 두 가지가 동시에 발생했다면 소셜 엔지니어링 공격에 당했을 확률이 99.99%이기 때문이다. 무위제는 “물론 문제 상황이 발생했을 때 즉각적으로 보안 담당팀에 알리고, 의심 가는 정황이 발견되면 가이드를 바로 찾으라는 식의 교육이 제대로 이뤄져야 한다”라고 지적했다.  마지막으로 무위제는 위협이 항상 외부에 있지는 않다고 강조했다. 무위제는 “특정 직위에 있는 사람에게 악의적으로 접근해 정보를 탈취할 수 있다는 사실을 간과해선 안 된다. 임직원을 계속 모니터링 해야 한다”라고 강조했다. 이런 류의 공격은 특히 언론에 별로 노출되지 않는데, 실제 통계를 보면 꽤 많다. 무위제는 “이력 확인을 거의 하지 않거나 익명의 내부 고발 메커니즘이 없는 경우, 혹은 감사 체계가 있더라도 공격자끼리 서로 팀을 이뤄 감시를 피할 수 있는 구조가 있는 곳이라면 소셜 엔지니어링과 관련해 큰 허점이 있는 것”이라고 말했다. editor@itworld.co.kr
자료 출처 :
Snyk, Linux Foundation
원본자료 다운로드
발행 날짜 :
2022년 06월 21일
주요 내용 :
오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.   ⓒ Getty Images Bank   오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Core) 제품 사용자 경험을 통해 2개 스프린트 기간 안에 76%의 취약점을 수정할 수 있었다고 밝혔다. 취약점을 조기에 수정할 수 있었던 것은 그만큼 빨리 발견했기 때문이다. 시프트레프트 CEO 매니쉬 굽타는 개발자가 만드는 코드의 모든 변경을 중앙값 90초 안에 스캔하면, 코드가 아직 만든 지 얼마 되지 않아 생생하게 기억에 남아 있을 때이므로 취약점 수정이 훨씬 쉽다”라고 주장했다. 시프트레프트의 보고서는 소프트웨어 개선 외에도 스캔 시간이 빨라진 이유가 더 있다고 밝혔다. 시프트레프트는 “코드 라인이라는 면에서 애플리케이션 평균 규모는 점점 축소되고 있다. 따라서 마이크로서비스나 더 작은 모듈형 애플리케이션으로 이동하는 기업도 늘었다”라고 요약했다.   취약점 스캔 증가 시프트레프트 고객사들은 공격자가 취약점의 단 3%만 악용할 수 있게 되면서 애플리케이션에서 밝혀야 하는 오픈소스 소프트웨어 취약점 규모가 97% 축소되는 사례를 경험했다. 굽타는 오픈소스 소프트웨어 취약점 분석 시에 중요한 것은 애플리케이션에 취약점이 얼마나 많은지가 아니라 공격자가 악용할 수 있는 취약점 개수라고 강조했다. 시프트레프트는 또한, 고객사의 취약점 완화 시간이 2021년 19일에서 2022년 12일로 37% 단축됐다고 보고했다. 개발자와 보안 팀이 개발 프로세스 초기에 더 많은 양의 취약점 스캔을 수행한 덕이다. 굽타에 따르면 한 달에 3만 회 스캔을 수행하는 기업도 있다.   취약점의 실제 악용 가능성 보고서는 “실제로 공격자가 오픈소스 소프트웨어 취약점에 접근할 수 있는가?”라는 질문을 던졌다. Log4j 같은 제로데이 취약점이 2021년 12월 발견 이후 현재까지도 일부 기업을 괴롭히는 상황에서 이 질문은 매우 중요하다. 시프트레프트는 자사의 고객사 애플리케이션의 Log4j 취약점 중 96%가 공격받을 위험이 없다고 답했다. 즉, 악용할 수 없는 취약점을 수정하는 것은 전혀 보안에 위협이 되지 않는다는 의미다. 이런 취약점의 우선순위를 낮추고 다른 것에 집중하는 것이 옳은 판단일 것이다. editor@itworld.co.kr 
자료 출처 :
Gartner
원본자료 다운로드
발행 날짜 :
2022년 06월 15일
주요 내용 :
"현재 진행 중인 금융 인공지능 프로젝트의 절반이 2024년까지 연기되거나 취소된다. AI용 비즈니스 프로세스 아웃소싱(BPO;Business Process Outsourcing) 사용은 2년 이내에 6%에서 40%로 증가한다. CFO는 사내에서 AI 사용을 확대하는 데 큰 장벽에 직면해 있으며, 디지털 혁신 목표를 달성하기 위해 점점 더 비즈니스 BPO 솔루션으로 눈을 돌릴 것이다." 가트너가 CFO와 재무 담당 임원을 위한 컨퍼런스(Gartner CFO & Finance Executive Conference)에서 금융 분야에서의 디지털 자동화와 인공지능 기술을 기반으로 한 프로젝트가, 기대했던 효과를 달성하지 못하고 중단이나 연기될 가능성이 높을 것으로 전망했다. 이렇게 자체적으로 진행하던 프로젝트가 위기를 겪으면서 아웃소싱 솔루션에 대한 수요가 증가할 것이라는 것이 가트너의 분석이다. 이 시장조사기관에 따르면 금융 분야에서 인공지능을 도입하고 이를 확장하려고 할 때 재무 부서는 다음과 같은 세 가지 주요 문제에 직면할 수 있다. 첫째는 높은 비용의 문제를 넘어야 한다. 사내에서 인프라를 구축하려면 클라우드 호스팅에 대한 선행 투자, 인프라 유지 관리를 위한 새로운 전문 기술 습득, 계속 증가하는 사용자 기반 관리에 들어가는 추가적인 보안 투자가 필요하다. 둘째는 시민 개발자(citizen developers)의 양성과 확산을 위한 해결 방안이 있어야 한다. 새로운 기술을 업무 현장에 적용해서 가시적인 효과를 거두려면, 현업 종사자가 직접 기술을 이해하고 업무에 적용할 수 있어야 한다. 이른바 시민 개발자를 사내에서 빠르고 효율적으로 육성하고 이들을 핵심 작업에 배치할 수 있어야 한다. 하지만 인공 지능 모델은 지속적인 모니터링과 빈번한 재교육이 필요한 만큼 효과적으로 대응하기가 쉽지 않다. 셋째는 시민 개발자 간의 기술 격차도 넘어야 할 산이다. 시민 개발자는 IT 시스템이나 서비스를 운영하고 대응하는데 필요한 기술적인 기반이 없거나 약할 수밖에 없다. 워크플로우를 관리하며 빈번하게 변경되는 다양한 변수와 환경에 즉각적이고 효율적으로 대응할 수 있는 기술을 가지고 있지 않다. 가트너의 산제이 참파네리 이사는 "재무 부서가 AI의 토대를 마련하는 데 있어 합리적인 진전을 이루었지만, 기능 전반에 걸친 사용의 복잡성을 관리할 수 있는 솔루션을 확장하려고 시도할 때 문제가 발생한다. 확장 가능한 인프라를 자체적으로 구축하는 초기 비용과 확장된 시민 개발자에 대한 과도한 의존으로 인해 많은 CFO가 현재 전략을 재고하게 될 것이다"라고 진단했다. 아울러 "금융 분야의 디지털 자동화의 상당수는 진정한 자동화 프로세스가 부족하기 때문에 자동화 작업의 상당 부분이 실패하게 된다. 따라서 CFO는 AI를 운영하는 데 도움이 필요하고, 제한된 리소스를 최고의 효율성을 제공하는 프로젝트에 집중할 수 있도록 해야 한다. 이러한 현실은 AI용 BPO 제공 업체의 사용을 크게 증가시킬 것이다"라고 분석했다. 가트너는 현재 AI 지원 BPO를 활용하는 비율이 6%에 불과하다고 밝혔다. 하지만 BPO 솔루션이 가진 시장 준비성, 규모의 경제, 모듈식 접근 방식이라는 세 가지 장점 덕분에, 향후 사용량이 빠르게 증가해 2024년에는 40%까지 증가할 것으로 내다봤다. CFO 입장에서 기대할 수 있는 BPO가 가진 장점이 더욱 분명해지면서 자연스럽게 BPO 활용이 증가할 것으로 예상했다. 시장 준비성은 이미 85%의 벤더가 거래 프로세스 제공을 위한 AI 서비스를 제공하고, 대다수 벤더가 클라우드 인증을 보유하고 있다는 점을 꼽았다. 규모의 경제는 내부에서는 거의 불가능한 방식으로 확장이 가능한 데이터 세트와 전 세계적인 인재 풀(pool)을 제공하는 것을 의미한다. 모듈식 접근은 BPO 제공 업체에서는 다양한 솔루션을 가지고 있고, 핵심 엔진으로 AI 기술을 활용하고 있다는 것이다. ciokr@idg.co.kr
자료 출처 :
NordVPN
원본자료 다운로드
발행 날짜 :
2022년 06월 14일
주요 내용 :
노드VPN이 현재까지 다크 웹에서 72만 개 이상의 데이터가 불법으로 판매되었으며 규모는 220억 3,155만 원에 달한다고 발표했다.  전 세계적으로 판매되는 데이터에는 여권, 개인 신분증, 운전면허증, 이메일, 결제 카드 데이터, 휴대폰 번호, 온라인 계정, 은행 계좌 로그인 정보, 암호화폐 계정과 개인 데이터가 포함돼 있다.   ⓒ 노드VPN 노드VPN이 다크웹 시장을 분석한 이유는 이같은 데이터가 지난 해 8월의 AT&T 데이터 탈취와 같은 대규모 해커 그룹의 공격에 활용된 전력이 있기 때문이다. 또한 사용자에게 다크 웹에서 진행되는 불법 행위의 잠재적 위험성에 관해 경고하는 것이다.   그중 다크웹에서 판매되고 있는 대한민국 관련 데이터는 8,698~1만2,722.26원 사이로, 세계에서 가장 저렴한 것으로 나타났다. 예를 들어 전 세계 결제 카드 데이터의 평균 가격은 1만4,925.42원인 반면, 대한민국 결제 카드 데이터의 평균 가격은 8,698원이다. 가장 가격이 높았던 나라는 일본(5만4,671.36원)과 마카오(2만8,628.28원)이다. 가장 비싸게 판매된 대한민국 관련 데이터는 개인 이메일로, 이메일 목록당 1만2,722.26원에 판매되었다. 이는 일본, 인도네시아, 홍콩, 중국의 가격과 비슷한 수치다.  또한 유출된 비밀번호나 이메일을 통해 다른 서비스에 접근하는 크리덴셜 스터핑으로 인해 온라인 계정도 저렴한 가격에 판매되고 있었다. 해킹된 넷플릭스 계정은 1만2,735원에 판매되었으며, 우버 계정은 1만5,282원, 트위터 계정은 2,547원에 판매되고 있었다. 암호화폐 계정과 투자 계정은 결제 서비스 계정과 일부 은행 계좌보다 비싼 가격에 판매되었다. 가장 비싼 암호화폐 계정 데이터는 바이낸스 계정으로 평균 50만3,032.50원에 판매되었으며, 다음으로 비싸게 판매된 계정은 크라켄(48만9,024원)과 크립토닷컴(44만5,725원)으로 나타났다. 페이팔과 같은 결제 서비스 계정의 가격은 평균 12만7,350원이었다. 결제 서비스 카테고리에서 가장 비싸게 판매되는 데이터는 캐시앱 계정으로 약 31만734원에 판매되고 있다.  사이버 보안 전문가 아드리아누스 바르멘호벤은 “해당 범죄 시장에서 다양한 데이터가 판매되고 있다는 사실은 보안과 온라인 프라이버시의 중요성을 일깨운다”며, “위험성을 이해하고 적절한 도구와 정보를 활용한다면 자신과 가족의 안전을 최대한 보장할 수 있을 것”이라고 말했다.  이번 조사는 노드VPN이 사이버 보안 전문 독립 연구원들과의 파트너십을 통해 이뤄졌다. 연구원들은 다크 웹의 한 시장을 평가하고 제품, 가격, 국가 등 목록의 데이터를 분석했다. 이름, 연락처 정보 또는 기타 개인 정보 등 개인을 특정할 수 있거나 개인이 특정된 정보는 조사에 포함되지 않았다. 데이터 수령 일자는 2022년 4월 1일이며, 환율은 2022년 5월 11일 원달러 환율인 1,273.50원을 기준으로 했다. editor@itworld.co.kr
자료 출처 :
Cybereason
원본자료 다운로드
발행 날짜 :
2022년 06월 13일
주요 내용 :
최근 몇 년 동안 랜섬웨어는 가장 큰 보안 위협으로 떠올랐다. 다크사이드(Darkside)나 레빌(REvil), 콘티(Conti) 같은 사이버 범죄 집단은 수많은 공격으로 이름을 알렸다. 미국 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline), 육류 생산회사 JBS, 그리고 코스타 리카의 국가 기관 및 단체에 대한 공격이 전 세계 매체의 헤드라인을 장식했다. 코스타 리카 로드리고 차베스 로블레스 대통령은 국가 비상 사태를 선언하기도 했다.   ⓒ Getty Images Bank 나아가 이들 범죄 단체는 공격 툴을 서비스형 랜섬웨어(Ransomware as a Service)로 제공하면서 알짜배기 수익 모델을 마련했다. 누구든 서비스형 랜섬웨어와 기존 클라우드 인프라를 이용해 블랙메일 사업을 시작할 수 있도록 한 것이다. 랜섬웨어가 이토록 어려운 해결 과제가 된 데는 사이버 범죄 집단과 국가 지원 공격자 간의 경계가 모호하다는 것도 한몫했다.  IT 보안 전문업체 사이버리즌(Cybereason)이 의뢰한 연구 보고서 ‘랜섬웨어 : 기업의 진짜 비용(Ransomware :The True Costs to Business)’ 역시 이들 정치적 목적의 공격자를 ‘국가 통제’ 또는 ‘국가 묵인’ 공격자라고 부른다. 이들 공격자가 속한 국가의 정부는 공격이 정치적 목표에 도움이 되는 한 애써 눈을 감는다.   몸값보다 더 큰 랜섬웨어 피해 비용  랜섬웨어 공격을 받은 기업에 구원자는 없다. 유일한 반격 방법은 금전 요구를 거부하고 백업을 이용해 손상된 시스템을 최대한 복구하면서 공격자가 가로챈 민감한 정보를 공개해버리거나 팔아버리지 않기를 기도하는 수밖에 없다. 다른 방법은 이른바 ‘몸값’을 지불하고 악당이 해독키를 넘겨줘 무사히 시스템을 되돌릴 수 있기를 기대하는 것이다. 두 번째 방법은 언뜻 보기에는 쉽고 단순해 보인다. 하지만 사이버리즌의 조사에 따르면, 공격자에게 몸값을 지불하지 말아야 할 이유는 한둘이 아니다. 몸값을 지불한 기업은 종종 데이터를 온전하게 복구하지 못할 뿐만 아니라 많은 기업이 불과 몇 주 후에 새로운 랜섬웨어 공격에 감염된다. 그리고 같은 공격자인 경우가 흔하다. 랜섬웨어 공격은 수십만 달러, 때로는 수백만 달러의 비용을 초래한다. 조사에 따르면, 랜섬웨어 공격을 받은 기업은 평판이 떨어지는 것은 물론, 생산이 중단되고, 그 결과 매출 손실이 발생하며, 심한 경우는 인력도 감축해야 한다. 만약 중요한 데이터와 시스템이 중단되면, 비즈니스 프로세스가 위험해진다. 생산 중단, 공격에 대한 대응, 그리고 이어지는 위협 완화 노력까지 많은 비용이 든다. 공격자에게 지불한 몸값은 가장 금액이 적은 항목일 뿐이다. 전 세계 보안 전문가 1,400명을 대상으로 실시한 사이버리즌의 조사에서, 조사 참가자의 73%가 지난 2년 동안 한 번 이상의 랜섬웨어 공격을 경험했다고 답했다. 2021년의 조사에서는 51%였다. 국가별로는 미국이 46%로 가장 낮았고, 일본(95%)이나 이탈리아(90%), 영국(83%) 등은 매우 높았다. 기업 부서별로는 법무(92%)가 가장 높았고, 제조(78%), 재무(78%), HR(77%)의 순이었다.  랜섬웨어는 수익성이 매우 높은 사업으로, 미래에도 여전히 위협이 될 것으로 보인다. 공격자는 언제나 피해자에게 접근하는 혁신적인 방법을 찾아내기 때문에 기업은 무엇보다도 랜섬웨어 공격으로부터 스스로를 보호하는 것이 중요하다. 흥미로운 것은 보안 전문가의 부족이 큰 문제가 되지 않는다는 점이다. 응답자의 88%가 랜섬웨어 공격을 방어할 적합한 전문가를 보유하고 있다고 답했다. 1년 전에는 60%에 불과했다. 더 좋은 소식도 있는데, 응답자의 3/4이 소속 기업이 랜섬웨어 공격을 처리하기 위해 제대로 된 연속성 계획을 갖추고 있다고 답했다. 공격을 당한 후 몸값을 한 번 이상 지불한 적이 있다고 답한 응답자 중 절반은 매출 손실을 피하기 위해, 41%는 신속한 시스템 복구를 위해서였다고 답했다. 두 가지 이유 모두 목적은 비즈니스의 실행 가능성과 연속성을 유지하는 것이었다.   돈을 내고도 데이터 복구 가능성은 절반 이하 결국 몸값을 지불해야 했던 기업 중 1/4은 비상 상황에 대한 적절한 준비가 없었던 대가를 치렀다고 볼 수 있다. 즉 데이터를 백업하지 않은 비용을 지불한 것이다. 1/3은 공격에 대응할 적절한 인력을 갖추지 못했다고 답했는데, 이들 기업은 공격자가 내건 조건을 순순히 따를 수밖에 없었다. 몸값을 지불하는 결정은 뼈아픈 손실이다. 특히 기반 시설이나 의료분야처럼 중요한 인프라로 분류되는 조직이라면 위험성이 더 커진다. 만약 공격자가 중요 시스템과 데이터에 대한 액세스를 완전히 차단하는 데 성공하면, 환자의 생명이 위험해질 수도 있다. 공격이 오래 지속되면 문제는 더 커진다. 이런 긴급성이 1/3의 응답자가 몸값 요구에 응하게 된 이유이다. 문제 해결이 지연되면 비극적인 결말로 이어질 수 있기 때문이다. 하지만 몸값을 지불한다고 빠른 시스템 복구가 보장되지는 않는다. 가트너 애널리스트들의 보고서에 따르면, 피해 기업의 단 8%만이 데이터를 100% 복귀할 수 있었다. 공격자가 제공하는 암호 해독 프로그램은 종종 제대로 동작하지 않아서 피해 기업이 직접 툴을 만들어 제공된 해독 키를 통합하는 것이 보통이다. 복구에는 시간이 몇 주씩 걸리기도 하며, 해커가 훔친 데이터로 부가 수익을 올리지 않는다는 보장도 없다. 사이버리즌의 연구에 따르면, 몸값을 지불한 기업의 42%가 이후에 시스템과 데이터가 복구되었다고 답했다. 지난 해의 51%보다 크게 줄었다. 여기에 더해 54%는 암호화를 모두 해제한 후에도 시스템 문제와 데이터 손상 문제가 있었다고 답했다. 이 역시 1년 전에는 46%였다. 이런 수치를 보면, 원칙적으로는 몸값을 지불할 가치가 없다. 흥미로운 것은 몸값을 지불하지 않은 기업의 78%가 공격자의 지원 없이 시스템과 데이터를 복구할 수 있었다는 것이다. 결국 몸값을 지불할 의사가 없다면, 비상 상태에 대한 대비를 강화해야 한다.   2차 공격은 반드시 온다 몸값을 지불할 것인지, 하지 않을 것인지를 고민할 때 기업은 사이버 범죄 집단이 데이터와 시스템을 해독키를 정말로 줄 것인지, 그리고 모든 과정이 끝날 때까지 데이터가 온전히 살아남을지 모두를 자문해야 한다. 또한 다음 공격이 임박했다는 것도 알아야 한다. 흔히 같은 공격자이다. 여기에 더해 법적 속성처럼 겉보기에는 사소한 문제도 있다. 만약 공격자가 몸값 지불이 범죄 행위인 국가의 소속이라면? 많은 기업이 공격을 받으면, 처음에는 마비 상태이다가 혼란 속에서 대응한다. 이런 분위기에서는 올바른 결정을 내리기가 어렵다. 모든 기업에 맞는 하나의 베스트 프랙티스는 없으며, 각각의 시나리오는 한 건 한 건 평가해야 한다. 침입 상태, 공격 집단, 희생된 조직, 침해된 데이터 세트, 서드파티에 미치는 영향 등 모든 요소가 다르기 때문이다. 그럼에도 사이버리즌의 연구는 범죄자에게 몸값을 지불할 만한 가치가 없다는 것을 분명하게 보여준다. 몸값을 지불한 기업의 80%가 최소한 한 번 이상의 추가 랜섬웨어 공격을 당했으며, 이 중 절반인 48%가 동일한 공격자였다고 답했다. 또한 추가 공격의 2/3은 한 달 이내에 일어났고, 더 많은 몸값을 요구했다. 두 번째에도 몸값을 지불한 기업은 44%였으며, 10%의 기업은 세 번 이상 몸값을 지불했다고 답했다. 종합적으로 볼 때 사이버리즌의 보고서는 생산과 영업의 중단 또는 인간의 생명이 걸린 문제가 아니라면, 몸값 요구에 응하는 것이 아무런 실익이 없음을 보여준다. 또한 랜섬웨어 공격을 막는 데 드는 비용이 몸값을 지불하고 관련 복구 과정을 수행하는 데 드는 비용보다 훨씬 적다는 것을 알 수 있다. editor@itworld.co.kr
자료 출처 :
Akamai
원본자료 다운로드
발행 날짜 :
2022년 06월 07일
주요 내용 :
아카마이 테크놀로지스가 RSA 컨퍼런스 2022에서 새로운 연구 보고서 3개를 발표했다. 이 3종의 보고서는 웹 보안에서 가장 중요한 3가지 영역인 랜섬웨어, 웹 애플리케이션 및 API, DNS 트래픽을 각각 중점적으로 다룬다. 아카마이 연구팀은 여러 플랫폼에 걸쳐 수조 개의 데이터 포인트를 분석하고, 많이 사용되는 공격 트래픽과 기법을 바탕으로 공격자의 행동에 관한 새로운 결과를 도출했다. 이 세 가지 보고서를 통해 가장 두드러진 보안 트렌드를 분석하고 최신 공격 현황을 정확하게 파악할 수 있다. 아카마이 랜섬웨어 위협 보고서는 콘티(Conti) 랜섬웨어 갱단의 공격을 포함한 RaaS(Ransomware-as-a-Service) 공격이 증가하고 있는 가운데 아카마이는 랜섬웨어 공격자의 가장 효과적인 최신 방법론, 툴 및 기법을 발견하고 분석했다. 콘티 공격의 60%는 미국 기업을 표적으로 했으며, 30%는 유럽 연합에서 발생했고, 공격의 표적이 된 업종을 분석한 결과, 공급망 중단, 중요 인프라 위협, 공급망 사이버 공격 등의 위험이 두드러지고 있다.  가장 성공적인 콘티 공격은 매출액이 1,000만~2억 5,000만 달러에 달하는 기업을 표적으로 하며, 주로 중소기업을 표적으로 삼고 있음을 의미한다. 갱단의 전술과 기법, 절차(TTP)는 이미 잘 알려져 있는 것이지만 매우 효과적인 공격으로 얼마든지 다른 해커들도 활용할 수 있다. 하지만 이러한 공격은 적절한 대응으로 방어할 수 있다. 아카마이 웹 애플리케이션 및 API 위협 보고서에 따르면, 전 세계적으로 2022년 상반기에 웹 애플리케이션 및 API 공격이 상당히 증가했으며, 현재까지 90억 건 이상의 공격 시도가 발생한 것으로 나타났다. 고객에 대한 웹 애플리케이션 공격 시도 횟수는 올해 상반기에 전년 동기 대비 300% 이상 증가했으며, 이는 아카마이가 관측한 이래 최대 증가율이다. 현재 LFI 공격은 SQLi 공격을 제치고 가장 대표적인 WAAP 공격 기법이 되었으며, 올해 상반기에 전년 동기 대비 400% 가까이 증가했다. 커머스 분야는 최근 공격 활동의 38%를 차지하는 등 가장 많은 공격을 받은 업종이었고, 기술 분야는 2022년 현재까지 공격이 가장 많이 증가한 업종이었다. 아카마이 DNS 트래픽 인사이트 위협 보고서에 따르면, 모니터링되는 디바이스 10대 중 1대 이상이 멀웨어, 랜섬웨어, 피싱 또는 C2(명령 및 제어)와 연결된 도메인에 최소 한 번 이상 통신한 것으로 나타났다. 피싱 트래픽에 따르면 피해자 대부분은 기술 및 금융 브랜드를 악용하고 모방하는 사기의 표적이 되었으며, 그 비율은 각각 31%와 32%였다. 멀웨어 드롭퍼, 피싱 페이지, 사기범 및 암호화폐 채굴자의 멀웨어 같은 위협을 나타내는 1만 개 이상의 악성 자바스크립트 샘플을 분석한 연구에 따르면, 조사된 샘플 중 최소 25%가 탐지를 피하고자 자바스크립트 난독화 기술을 사용했다. 아카마이의 보안 리서치 담당 수석 디렉터인 오프리 지브는 “새로운 보고서에서는 현재 기업들이 직면하고 있는 가장 시급한 보안 문제를 자세히 보여주고 있다”며, “아카마이는 전 세계 위협 상황을 탁월하게 보여줌으로써 아카마이 연구원들이 다른 조직에서는 보기 어려운 사례들을 분석하고 상관관계를 파악할 수 있도록 지원한다”고 말했다. editor@itworld.co.kr
자료 출처 :
ESG, ISSA
원본자료 다운로드
발행 날짜 :
2022년 06월 07일
주요 내용 :
필자는 20년 전부터 사이버보안 업계에서 경력을 쌓기 시작했다. 당시에는 마치 복음처럼 여겨지는 견고한 보안 기술 원칙이 몇 가지 있었다. 그중 하나는 ‘동종 최고(best-of-breed)’ 보안 기술에 대한 주장이었다. 2000년대 초 보안 업계에서 일했던 사람이라면 모든 엔드포인트에 일일이 방화벽과 안티바이러스 소프트웨어를 설치하던 것을 기억할 것이다.  그 후 동종 최고 기술은 또 다른 유서 깊은 원칙인 ‘종심 방어(defense-in-depth)’의 일부와 결합했다. 이론상 동종 최고 기술은 보안을 점진적으로 보호하기 위해 서로를 보완하기 때문이다. 그러는 동안 동종 최고 기술에 대한 사고방식은 사이버보안 문화에 서서히 스며들며 개인과 기업이 선호하는 기술을 긴밀하게 연결했다. 기업들은 맥아피 또는 시멘틱 매장이었고 체크포인트와 시스코, 포티넷 방화벽을 사용했다. 보안 업계의 이른바 ‘서버 허거(Server Hugger, 중앙 관리자에게 서버 통제권을 내어주지 않는 사람들)’은 변경 제안을 신성 모독으로 받아들였다.  동종 최고의 보안은 당시에는 야간의 보안 이점이 있었을 수 있지만, 운영 오버헤드에 큰 비용을 투입해야 했다. 또한 기술마다 자체적인 교육과 구성 관리, 지원이 필요했지만 제대로 이뤄지지 않았다. 동종 최고 제품에 대한 운영 오버헤드는 2000년대 초반까지만 해도 감수할 수 있었지만, 기업에서 새로운 보안 기술을 더 많이 도입하고 IT 인프라가 분산/확장됨에 따라 실질적인 문제가 됐다.  변화의 조짐 그동안 보안 전문가의 마음과 정신을 지배하던 동종 최고 우선주의는 서서히 영향력이 약해지고 있다. ESG(Enterprise Strategy Group)와 ISSA(Information Systems Security Association)의 최근 조사에 따르면, 기업은 동종 최고 제품을 구입하는 전략에서 ‘통합 및 다중 제품 보안 플랫폼’으로 이동하고 있다. 조사 결과 자신이 속한 기업이 여전히 동종 최고 제품을 구매하는 경향이 있다고 응답한 보안 전문가는 24%에 불과했으며, 동종 최고 제품보다는 통합 보안 플랫폼을 구매하는 편이라고 답한 이들은 38%로 나타났다. 15%는 자신의 기업이 동종 최고 제품에서 통합 보안 제품군으로 전환하고 있다고 답했다. 이외에 주목할 만한 응답은 다음과 같다.    보안 전문가의 86%는 동종 최고 제품을 다른 제품과 통합되도록 구축하는 것이 필수적이거나(35%) 중요하다(54%)고 응답했다. 37%는 보안 제품을 고려할 때 통합 기능이 비용(46%) 다음으로 중요한 요소라고 답했다. 기업의 보안 제품 선택 기준이 동종 최고에서 통합과 여러 제품이 포함된 제품군으로 전환하면서 기업은 계약을 맺은 솔루션 업체의 규모도 자연스럽게 줄이고 있다. ESG 조사에 따르면, 기업의 21%는 보안 솔루션 업체를 이미 통합했으며, 25%는 통합을 고려 중이라고 답했다. 통합과 제품 효율성이 반비례할 것이라는 가정이 있지만, CISO와 계약 관리자는 점점 더 통합과 효율을 모두 요구할 것이라는 점은 분명하다. 한 CISO는 필자에게 “통합과 상호 운용성이 새로운 ‘동종 최고’ 요소다”라고 말했다. 지켜봐야 할 4가지 변화 이런 변화가 보안 기술 업계에 의미하는 바는 무엇일까? 동종 최고의 포인트 툴이 통합 제품군으로 바뀌면서 다음과 같은 변화가 생길 것으로 예상한다.    보안 기술의 플랫폼화 : 올해 RSA 컨퍼런스에서 주목을 받은 것은 CNAPP(Cloud Native Application Protection Platforms), SOPV(security observability, prioritization, and validation; 보안 관측가능성, 우선순위화, 타당성 검증) 플랫폼, XDR(eXtended Detection and Response) 플랫폼, 제로 트러스트다. 혼란스럽더라도 이제 시작일 뿐이니 준비해야 한다. 미래에는 SASE(Security Access Service Edge)처럼 많은 요소가 결합된 하이브리드 IT 인프라/보안 플랫폼이 생길 것이다. 개방형 표준 추진 : 기업이 필요로 하는 모든 보안 기술을 제공하는 솔루션 업체는 없다. 그런 업체가 있다고 하더라도 서버 허거들은 어떠한 희생을 치르더라도 자신이 선택한 동종 최고의 제품을 포기하지 않을 것이다. 하지만 점점 많은 기업들이 업계 협력과 개방형 표준을 요구하고 있으므로 ‘두 마리 토끼’를 잡을 수 있는 타협이 이루어지기를 바라본다. 이때의 표준은 로그 형식, API, 전송 프로토콜, 스트립트 언어 등에 대한 개방형 표준이다. 과거 표준이 주는 긍정적인 측면을 무시했던 업체들도 이제는 방향을 바꿀 수 있다. 개방형 표준을 사용하면 서버 허거를 소외시키지 않고도 보안 기술 통합과 예산 확보가 쉬워질 것이다.  통합과 기능의 균형을 맞추는 스타트업의 등장 : 이런 변화가 생기더라도 동종 최고 포인트 툴은 여전히 도처에 널려 있을 것이다. 다만 그런 제품들의 수명은 단축되고 기회는 제한될 것이다. 보안 스타트업은 전략적인 계획에 따라 보안 플랫폼을 개발하지 않는 이상 통합과 상호 운용성을 염두에 두고 툴을 설계해야 한다. 이런 변화로 인해 VC가 개방형 표준에 뛰어들 수도 있다. 개별 제품 평가 및 테스트의 중요도 하락 : 보안 업계에는 ‘사이버보안 사슬의 강도는 가장 약한 고리가 결정한다’라는 말이 있다. 기업이 플랫폼과 통합 솔루션을 수용하면 개별 제품이 아닌 전체를 평가하고 테스트해야 한다. 이는 사이버 공격자의 TTP를 모방해 보안 플랫폼의 효율성을 검증하는 침해 및 공격 시뮬레이션 전문가에게는 희소식이다. 반면 개별 제품 중심의 영향력과 매직 쿼런트를 분석해 돈을 버는 애널리스트에게는 나쁜 소식일 수 있다.  늘 그랬듯이 필자는 변화하는 상황을 유심히 지켜볼 예정이다. editor@itworld.co.kr
자료 출처 :
The Cloud Security Alliance
원본자료 다운로드
발행 날짜 :
2022년 06월 06일
주요 내용 :
클라우드 보안 위협을 생각하면, 보통 클라우드 솔루션 업체의 치명적인 취약점이나 지하세계의 해커가 연상된다. 하지만 진짜 적은 더 가까운 곳에 있다.    ⓒ Adobe Stock Image 클라우드 보안에 대한 이야기의 주제는 클라우드 솔루션 업체나 지하 세계의 해커에게 쏠려 있는 경우가 흔하다. 기업들은 특히 솔루션 업체의 보안, 감사 및 계획이 부족하다며 불만을 토로한다.  그러나 등잔 밑이 어둡다는 말처럼 사실 가장 큰 위협은 바로 옆에 있는 회사 동료일 수 있다. 실제로 클라우드 보안 연합(The Cloud Security Alliance)의 ‘2022 주요 클라우드 컴퓨팅 보안 위협’ 보고서에 따르면, 정작 대부분의 위협은 기업 사용자에서 비롯되는 것으로 분석됐다.    보고서에 기재된 상위 11개의 클라우드 보안 위협 요인. ⓒ Cloud Security Alliance 700명 이상의 사이버보안 전문가를 대상으로 한 이 보고서에는 상위 11개의 클라우드 보안 위협 요인이 기술됐다. 대표적으로 안전하지 않은 인터페이스와 API, 잘못된 구성 설정, 클라우드 보안 아키텍처 및 전략의 부재, 우발적인 클라우드 노출 등이 있었다. 즉, 실제 위협의 주체는 지하 세계에서 몸을 사리고 있는 악덕 해커가 아니다. 지금 같은 공간에서 일하고 있는 경리 부서의 마리, 재고 IT 부서의 로버트, 그리고 심지어 IT 보안 부서의 수잔일 수 있다는 말이다.   이 보고서는 클라우드 보안을 책임지는 주체에 대한 관점이 솔루션 업체에서 사용자로 바뀌고 있다는 점에 주목했다. "공동 책임"을 외쳐온 업체에 물어보면 이들은 항상 기업 사용자에게 보안에 대해 사용자로서의 소임을 다할 것을 당부한다. 하지만 IT 회사와 일반 직원에게 물어보자, 클라우드 보안의 핵심 역할은 역시 솔루션 업체의 몫이라고 응답한다.  공개된 기술의 취약점(예컨대 디도스 공격, 통신 서비스 제공업체 데이터 손실, 기타 기존 클라우드 보안 문제 등)이 이전 연구보다 낮은 순위를 기록한 점도 흥미롭다. 물론 여전히 위협적이지만, 공유된 기술의 침해 사례를 사후 분석한 결과 심각한 보안 위협 목록에서 낮은 순위를 차지했다.  결국 보고서의 요지는 실제 취약점이 생각보다 멀리 있지 않다는 점이다.  실제로 사내 보안 전략과 보안 아키텍처의 부재가 클라우드 보안 금기사항에서 1위를 차지한 것으로 보고서에 나타났다. 그다음은 구성 오류를 방지하기 위한 교육 및 검토 절차의 부재였다. (필자의 생각에도 구성 오류가 대부분 데이터 침해 사건의 원인이다) 한눈에 봐도 이 두 가지 문제는 이어져 있다. 사내에 보안 계획과 아키텍처가 없으니 애초에 구성 오류가 발생할 가능성이 높다.  이런 필수 보안 조치가 갖춰지지 않은 이유는 자원 부족일 것이다. 클라우드 보안 문제는 기업이 적절한 보안 계획에 비용을 지출할 의사가 없거나 그만한 재정이 없을 때 발생한다. 여기에 더해 보안 수칙 준수가 업무 방식에 완전히 녹아들려면 끊임없이 직원을 교육해야 한다. 이러한 노력을 꾸준히 이어가며 ‘적당한 보안’에 안주하는 문화에서 ‘철통 보안’ 문화로 모든 직원의 마음가짐을 바꿔야한다.   하지만 IT 부서가 감당해야 하는 현실은 이상에 한참 뒤떨어져 있다. 여전히 회사 곳곳에는 사용자 ID와 암호가 적힌 스티커 메모가 널브러져 있으며, 클라우드 리소스가 종종 무단으로 사용되기도 한다. 황당하게 들리겠지만, 심지어 필자는 한 IT 관리자가 자녀의 숙제를 돕고자 퍼블릭 클라우드 스토리지와 컴퓨팅 시스템을 사용했다는 말을 들은 적도 있다. 게다가 이런 일이 한두 번이 아니었다. 농담처럼 들리겠지만, 이게 현실이다.   해법은 이미 나와 있다. 클라우드 리소스에 더 많은 리소스를 투입하고 더 많이 신경 써야 한다. 물론 오로지 기술로 모든 문제를 해결할 수는 없다. 보안 문제를 제대로 해결하려면 적어도 향후 5년 동안 수행해야 할 절차를 기획하여 철저한 보안 전략을 수립해야 한다.   또한 보안 시스템 개선이나 전략을 수립하기 전에, 회사의 보안 문화를 어떻게 바꿔야 할지도 큰 고민거리가 될 것이다. 직원들이 보안 문화에 동조하지 않는다면 수많은 보안 교육과 시스템 개선도 무용지물로 전락할 수 있다.  보안 결함에 대해 다른 사람을 비난하는 것은 쉽다. 하지만 이제 남 탓하기 풍토는 끝났고 용납되지도 않는다. 회사의 보안 문제를 직시하고 발 벗고 나설 때다.  *David S. Linthicum은 국제적으로 인정받는 컴퓨팅 산업 전문가다. ciokr@idg.co.kr
자료 출처 :
proofpoint
원본자료 다운로드
발행 날짜 :
2022년 06월 02일
주요 내용 :
프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    ⓒ Getty Images Bank 지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 업체의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.    내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절한 프로토콜이 무엇인지, 어떤 데이터가 접근 가능한지(또는 접근할 수 없는지), 어떤 채널을 사용해야 적절한지 불확실성이 컸다”라고 설명했다.    공급업체 위험에는 가짜 요청과 피싱이 포함된다  공급망 공격은 작년 한 해 동안 또 다른 이슈였다. 프루프포인트는 (자사) 고객의 80%가 공급업체 중 한 곳에서 온 것처럼 보이는 위협을 받았다고 밝혔다. 보고서에 의하면 공급망 위협은 대부분 피싱 또는 위장 공격이며, 악성코드와 관련될 가능성이 훨씬 적기 때문에 다른 종류의 위협과는 다르다. SASE 제공업체 디스퍼시브 홀딩스(Dispersive Holdings)의 CEO 라지브 핌플라스카는 “소프트웨어 또는 하드웨어 공급업체와 서드파티 공급업체를 통한 공급망 공격이 급증하고 있다. 기업의 80%가 ‘월 단위로’ 손상된 공급업체 계정의 공격을 받는 건 놀라운 일이 아니다”라고 언급했다.    권한 수준이 높은 사용자를 타깃으로 하다 당연한 일이지만 보고서는 기업에서 가장 높은 권한을 가진 사용자가 공격자의 가장 큰 타깃이라는 사실을 발견했다. 경영진과 관리자는 기업 내 전체 사용자의 10%에 불과했지만 가장 심각한 공격 위험의 약 50%를 차지했다.    클라우드 업체를 활용하다 보고서는 또한 위협 행위자가 상업용 클라우드 업체를 악의적인 계획에 활용하고 있다고 언급했다. 프루프포인트가 추적한 ‘TA571’이라는 그룹은 원드라이브 또는 구글 드라이브에서 호스팅하는 ZIP 파일 링크가 포함된 이메일을 배포한다. 엑셀 파일이 포함된 압축 폴더를 열면 엑셀에서 매크로가 활성화된 경우 시스템에 UNSNIF 악성코드가 다운로드된다. 대부분의 사례에서 휴먼팩터가 공격의 기술적 세부 사항보다 더 중요하다고 보고서는 지적했다. 사이버 범죄자는 활용할 수 있는 관계, 남용할 수 있는 신뢰, 악용할 수 있는 액세스를 찾고 있다는 게 보고서의 설명이다.     휴먼팩터 공격 완화하기  보고서는 누가 공격받는지, 어떻게 공격받는지, 악의적인 것을 클릭했는지 등에 관한 가시성을 제공하는 솔루션을 배포하라고 권고했다. 아울러 타깃이 되는 방법, 액세스할 수 있는 데이터, 공격의 희생양이 되는 경향 등 각 사용자가 나타내는 개별 위험도 고려하라고 덧붙였다. “기업은 사용자(사람)가 최전선에 놓이기 전에 이러한 문제를 대규모로 해결하기 위해 기술을 활용하는 방법을 찾아야 한다. 조직적인 위협 행위자 집단의 공격을 개인이 막아낼 순 없다”라고 드그리포는 말했다. ciokr@idg.co.kr  
자료 출처 :
Reversing Labs, Dimensional Research
원본자료 다운로드
발행 날짜 :
2022년 06월 01일
주요 내용 :
RSA 컨퍼런스에서 여러 연사가 입을 모아 소프트웨어 무결성을 확보할 수 있는 각종 해법을 강조했다. 자산 관리 개선, SBOM 도입, 정부 사이버 보안과의 협력 확대 등이다.     ⓒUnsplash 지난 2년간 솔라윈즈(SolarWinds) 및 Log4j 공급망 해킹 사건 같은 심각한 사이버 보안 사고가 발생했다. 이를 되짚어보면, 올해의 RSA 컨퍼런스에서 소프트웨어 보안이 화두로 떠오른 것은 그닥 놀랄 일이 아니다. 컨퍼런스에 앞서 리버싱랩스(Reversing Labs)는 소프트웨어 공급망 공격을 탐지하는 데 기업들이 직면한 어려움에 대해 300명 이상의 소프트웨어 전문가를 대상으로 조사한 결과를 발표했다. 조사 결과를 살펴보면 최근 세간의 이목을 끈 대규모 소프트웨어 공급망 보안 사고가 잇따르고 있음에도 코드의 무단 조작을 검출할 수 있는 기업은 10곳 중 4곳에 불과했다. 또한 제품의 각 라이프사이클 단계에서 무단 조작 및 침범 증거를 찾으려 소프트웨어를 검토하는 기업은 10% 미만이었다.  SBOM 도입율이 곧 급증할 2가지 이유  이런 상황에서 SBOM(software bill of materials)은 소프트웨어 보안을 강화할 수 있는 새로운 도구 중 하나로 떠오르고 있다. 그러나 리버싱랩스가 SBOM 사용 현황을 조사한 바에 따르면 IT 전문가의 27%만이 SBOM을 만들어 리뷰한 후 소프트웨어를 출시한다고 답했다. SBOM을 사용하지 않는 이유로는 응답자 중 44%가 전문지식과 인력 부족을, 32%가 예산 부족을 꼽았다. SBOM이 필요하지 않아서 쓰지 않는다고 답한 응답자는 7%에 불과했다.  미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA) 선임 고문 겸 전략가인 앨런 프리드먼은 SBOM을 사용하지 않는 기업은 점점 시대에 뒤떨어지게 될 것이라고 말했다. 그 이유는 첫째, 솔라윈즈(SolarWinds) 해킹과 같은 보안 사고 때문에 문제가 있는 코드를 식별하는 데 사용하는 보안 소프트웨어의 SBOM를 의무적으로 요구하는 분위기가 출현했다. 두 번째 이유는 작년부터 시행된 바이든 대통령의 사이버 보안 행정명령에 따라 미연방 정부에 소프트웨어를 공급하는 모든 업체는 의무적으로 SBOM을 제공해야 한다는 점이다.  프리드먼은 “이제 기업이 철저하게 소프트웨어 의존성을 추적하지 않는다면 신뢰할만한 소프트웨어 개발 프로세스를 갖추고 있다고 보기 힘들다”라며 “소프트웨어를 구입하거나 오픈소스 컴포넌트를 사용한다면 기업은 명확하게 파악해야 할 사항이 많다. 공급망 위협 및 각종 취약점에 대해 알아야 하고, 그러기 위해서는 운영하는 소프트웨어를 속속들이 이해하고 있어야 한다. 그래야 위협이 감지되었을 때 신속하고 효율적으로 대응할 수 있다”라고 전했다.   리눅스 재단의 디펜더블 엠베디드 시스템(Dependable Embedded Systems) 부사장케이트 스튜어트는 SBOM의 채택률이 아직 낮지만 재단이 실시한 조사에 따르면 기업의 약 78%가 올해 SBOM을 도입할 계획인 것으로 나타났다고 전했다. "많은 기업이 대내외적으로 준비를 서두르고 있다”라고 그는 덧붙였다.  새로운 SBOM 툴의 등장 프리드먼은 향후 1년간 SBOM의 사용률이 증가함에 따라 SBOM의 도입을 돕는 많은 새로운 툴이 다수 등장하리라 예측했다. 그는 “다양한 솔루션이 시장에 나올 것이다”라며 "SBOM 지원을 위해 무엇을 구축하든 간에, 1~2년 안에 수많은 새로운 툴이 생길 것이라는 점을 고려해 툴링 생태계를 구성해야 한다”라고 설명했다.  아울러 스튜어트는 SBOM에 필요한 데이터의 작성과 저장을 용이하게 하기 위해 개발된 툴이 무엇이든 오픈소스 소프트웨어를 공급하는 업체를 간과해서는 안 된다고 강조했다. 그는 "해당 공급사의 솔루션이 오픈소스 커뮤니티에서 잘 작동하는지, 그리고 알맞은 도구를 갖추고 있는지 확인해야 한다"라고 말했다. SBOM 툴링 생태계의 투명성 프리드먼은 SBOM 툴링 생태계의 보안을 유지하고 혁신을 촉진하려면 투명성이 매우 중요하다고 강조했다. 그는 “핵심 목표는 모두가 참고할 만한 기준을 만드는 것이 돼야 한다”라며 “기준이 확립되면 기업은 이런저런 툴을 비교하며 사용할 수 있다”라고 설명했다.  한편 스튜어트는 현재 적절한 SBOM 툴을 찾는 방법이 한정되어 있으며 이는 향후 1년간 풀어야 할 과제라고 진단했다. 그는 "현재 나와 있는 여러 툴이 있기는 하다. 그러나, 이것으로 충분한가? 쓰기 편하고 구조가 잡혀 있는가? 한 곳에서 모든 툴을 검색해볼 수 있는가? 아직 그런 건 없다"라고 되물었다.  SBOM 채택에 기업에 직면한 또 다른 과제는 클라우드와의 접목이다. "모든 게 클라우드 및 SaaS 환경으로 향하고 있다. 따라서 이러한 환경에서 어떻게 SBOM을 적용해야 할지도 고민해야 한다"라고 프리드먼은 설명했다.  또한 SBOM을 효과적으로 운영하기 위해서는 체계적인 자산 관리 시스템도 필요하다. 이는 사이버 보안 전반에 해당되는 기본 요건이지만 여전히 대부분 기업에서 만성적인 문제로 남아 있다. 그는 체계적인 자산관리 솔루션이 없으면 SBOM이 큰 효과를 가져오지 못할 것이라고 지적했다. 프리드먼은 "SBOM에 대해 강연을 할 때 자산 관리를 제대로 하지 않는 기업은 나가달라고 말하기까지 했다”라고 언급했다.  소프트웨어 신뢰, 역동적인 과정으로 변화  미국의 비영리 보안 조직인 인터넷 보안 센터(Center for Internet Security)의 수석 부사장 겸 에반젤리스트 토니 세이저는 "오늘날 소프트웨어의 과제 중 하나는 신뢰가 이분법적인 개념에서 역동적인 과정으로 변화했다는 것이다"라고 말했다. "기업의 공급망은 왜 이렇게 복잡한가?”라고 그는 질문하며 “효율성 추구 때문이다. 기업은 비용을 통제하려고 노력하고 있다. 이렇게 함으로써 복잡성이 새로운 차원으로 높아졌다. 전 세계에 포진된 공급업체와 협력하지만 그들이 누군지도 모른다. 이런 세상에서 신뢰는 이분법적인 개념이 아니라 역동적인 과정으로 바뀌었다”라고 설명했다.  비영리 소프트웨어 보안 관련 단체 세이프코드(SAFEcode)의 전무 스티브 리프너는 소프트웨어 공급망 보안에는 세 가지의 주요 위협 요소가 있다고 설명했다. 첫 번째는 악질 공급업체다. “기업을 꼬드겨 자신에게 의지하게 만들려는 업체가 공급망에 있다면 그 기업은 큰 곤란에 빠질 공산이 크다”라고 그는 진단하며 "이런 악덕 업체를 피하기란 쉽지 않다. 사전에 차단하기 어려울 것이다"라고 덧붙였다.  두 번째 위협은 버그가 있거나 취약한 소프트웨어다. "소프트웨어 보안과 관련해 통상적으로 고려되는 모든 위협이 여기에 포함된다"라고 그는 설명했다. 세 번째 위협은 소프트웨어 개발 또는 전달 시 발생할 수 있는 해킹이다. 바로 솔라윈즈 해킹 사례가 이에 해당한다.  "기업은 소프트웨어에 버그가 있어도 신경 쓰지 않는 악질 공급업체를 대처해야 한다. 하지만 버그가 있는 소프트웨어를 해결한다고 해도 해킹을 예방하지는 못한다”라고 리프너는 말하며 “그래서 이건 삼중으로 겹친 문제다. 소프트웨어 공급망을 관리하는 기업은 모두 같은 문제를 겪는다”라고 덧붙였다.  솔라윈즈 CEO가 제안한 독특한 솔루션 솔라윈즈 CEO 수다카르 라마크리슈나는 컨퍼런스에서 소프트웨어 보안 문제에 대한 독특한 해결책을 제시했다. 그는 모든 소프트웨어 및 기술 회사가 CISA와 협력하는 전담 직원을 고용해야 한다며 “현재 소프트웨어 업계가 점차 진화하는 위협 상황에 효과적으로 대응할 수 있는 유일한 방법은 공공 부문과 민간 부문 간의 긴밀한 파트너십뿐이다”라고 말했다. 그는 이어 “오늘 솔라윈즈는 위협 인텔리전스 등의 정보를 공유하려는 목적으로 소프트웨어 업계 전체에 CISA의 지도와 지시에 대응하는 1명의 전담 직원을 지정할 것을 촉구한다. 솔라윈즈는 오늘 이러한 약속을 했고 다른 회사도 이에 동참해주길 바란다”라고 선언했다. ciokr@idg.co.kr
자료 출처 :
Forescout
원본자료 다운로드
발행 날짜 :
2022년 06월 01일
주요 내용 :
최근 한 조사에 따르 10곳의 업체가 만든 운영 기술(Operational Technology, OT) 기기에서 56가지의 결함이 드러났다. 모두 프로그래밍 오류가 아니라 안전하지 않게 설계되거나 구현된 기능이 원인이었다. 지난 10년 동안 보안 연구자와 악의적 공격자의 OT 기기에 대한 관심이 증가했음에도 불구하고, 업계가 아직도 근본적인 ‘설계부터 안전을 고려한 보안 내재화(secure-by-design)’ 원리를 준수하지 않고 있음이 극명하게 드러난 것이다.  는 최신 보고서에서 “공격자가 취약점을 악용하면서 표적 OT 기기에 네트워크를 통해 액세스한 후 코드를 실행하거나, OT 기기의 로직, 파일, 펌웨어를 변경하고 인증을 우회하며, 인증 정보를 훼손하고 서비스 거부를 유발하는 등 다양한 악영향을 미칠 수 있다”라고 밝혔다.   통칭 ‘OT:ICEFALL’으로 알려진 이 보안 문제는 불안전한 엔지니어링 프로토콜, 부실한 암호 구현 또는 파손된 인증 체계, 안전하지 않은 펌웨어 업데이트 메커니즘, 그리고 원격 코드 실행으로 악용될 수 있는 부실한 네이티브 기능에 기인한다. 실제로 공개된 취약점 중 14%는 원격 코드 실행으로, 21%는 펌웨어 조작으로 이어질 수 있다.    ⓒ Getty Images Bank 이 연구에서 밝혀진 또 다른 흥미로운 사실은 취약 기기 대부분이 OT 환경에 적용되는 각종 표준에 따라 인증을 받았다는 점이다. 예를 들어 IEC62433, NERC CIP, NIST SP 800-82, IEC 51408/CC, IEC62351, DNP2 시큐리티, 모드버스 시큐리티 (Modbus Security) 등이다.  보고서는 “이들 표준이 주도한 견실화 노력은 분명 보안 프로그램 개발, 위험 관리, 그리고 아키텍처 수준 설계 및 통합 활동에서의 큰 개선에 기여했으나, 개별 시스템 및 컴포넌트의 보안 개발 수명주기를 성숙시키는 데는 미흡했다”라고 결론지었다.    OT의 ‘보안 비내재화’ 역사  포어스카우트 연구자는 이번 연구에서 발견한 사실과 프로젝트 베이스캠프(Project Basecamp)에서 드러난 사실을 서로 비교했다. 이 프로젝트는 10년 전으로 거슬러 올라가서 산업 설비에 쓰이는 원격 단말 장치(RTUs), 프로그램형 로직 컨트롤러(PLCs), 그리고 SCADA시스템을 구성하는 여타 컨트롤러의 설계 시 불안전 문제에 집중했다.  그 후 PLC를 노리고 국가 차원에서 개발된 스턱스넷 등 정교한 위협이 발견되면서 프로젝트 베이스캠프에 참여한 연구자는 9/11 사태 이후 ICS 제조업체 및 자산 소유자의 이른바 ‘10년간의 부작위’를 변화시키는 일에 착수했다. 10년 후 OT:ICEFALL은 다수의 동일한 문제, 예를 들어 적절한 인증 및 암호화가 결여된 애매한 소유권적 프로토콜 등이 핵심 인프라 운영 기기에서 변함없이 일상적으로 발생하고 있음을 보여준다.  포어스카우트의 연구자는 보고서에서 “OT:ICEFALL의 영향을 받는 제품은 핵심 인프라의 중추에 해당하는 산업에 널리 퍼져 있는 것으로 알려졌다. 예를 들어 오일/가스, 화학, 원자력, 전력 생산 및 배급, 제조, 수 처리 및 분배, 광산 및 건물 자동화이다”면서 “이들 제품 가운데 많은 수가 ‘보안 내재화’라면서 판매되거나 OT 보안 표준의 인증을 받았다”라고 말했다.  이 기본값으로 불안전한 상태가 OT 세계에서 계속되는 동안 공격 수는 증가하고 진화하기만 했다. 스턱스넷 이후로 2016년 우크라이나에서 정전을 유발한 인더스트로이어(Industroyer) 공격, 2017년 사우디아라비아 석유화학 공장의 파괴 시도에 쓰인 트라이턴(TRITON) 악성코드, 올해 우크라이나 변전소를 겨냥했던 인더스트로이어 2 악성코드, INCONTROLLER.APT 툴킷이 있었다. ICS 보안 회사인 드라고스(Dragos)는 ICS 환경을 노리는 19곳의 위협 집단을 추적한다. 여기에는 지난 해 발견되었고 ICS/OT 네트워크 접근 능력을 증명한 3곳이 포함된다.  OT:ICEFALL 결함은 벤틀리 네바다(Bently Nevada), 에머슨(Emerson), 허니웰(Honeywell), JTEKT, 모토로라(Motorola), 오므론(Omron), 피닉스 컨택(Phoenix Contact), 지멘스(Siemens), 요코가와(Yokogawa)의 기기에 영향을 준다. 이들 기기는 컨디션 모니터, 분산 컨트롤 시스템(DCS), 엔지니어링 워크스테이션, RTUs, PLCs, 빌딩 컨트롤러, 안전 계장 시스템(Safety Instrumented Systems, SIS), SCADA 시스템, 프로토콜 및 로직 런타임을 포함한다.  로직 런타임(Logic runtime)은 래더 로직(Ladder logic)을 해석하고 실행하는 소프트웨어이다 (기기의 입력 및 출력에 입각해 행동하기 위해 엔지니어에 의해 쓰여진 코드). 예를 들어 피닉스 컨택(Pheonix Contact)의 프로콘OS(ProConOS) 런타임은 여러 업체에서 나온 PLCs에서 사용되면서 결함이 발견되었다 (업로드 된 로직의 암호 인증의 결여). 이 잠재적 공급망 위험은 임의적 코드 실행으로 이어질 수 있다. 보고서는 “소프트웨어 자료 명세(SBOMs)의 결여, 그리고 제품 공급망의 복잡성으로 인해 특정 PLC가 어떤 런타임을 사용하는지 즉시 확실하지 않은 경우가 빈번하다”면서 “일반적으로 런타임은 프로토콜 차이에 따라 버전이 상이하고 OEM의 통합 결정에 좌우된다. PLC 제조업체는 프로토콜이 아니라 런타임을 사용하도록 선택할 수 있다. 아니라면 비-기본 포트 상에서 프로토콜을 이용하도록 선택할 수 있거나 런타임을 완전히 리브랜드 하거나 변경하도록 선택할 수 있다. 업체, CVE 담당기관, CERTs가 공조해 영향을 받는 당사자에게 공급망 취약점을 선제적으로 알리지 않는다면 보안 커뮤니티는 이들을 정기적으로 위험하게 재발견할 수밖에 없고, 이는 CVE 중복과 복잡한 근본 원인 분석으로 이어진다”라고 경고했다.  예를 들어 과거 프로콘OS의 문제에 할당된 2개의 CVE는 (CVE-2014-9195, CVE-2019-9201) 다른 업체에도 영향을 주었지만 피닉스 컨택 PLC에만 연계되었다. 나중에 요코가와 STARDOM 컨트롤러에서 발견된 문제는 CVE-2016-4860으로 할당되었지만 실제로는 CVE-2014-9195와 동일한 문제였다고 연구자는 말했다. OT:ICEFALL에 포함된 것 등 과거의 여러 ‘기본 값에 의한 불안전’ 문제가 CVE ID를 받지 않았다는 사실에 의해 문제는 더욱 악화된다. 왜냐하면 이들은 전통적인 취약점으로 취급되지 않기 때문이다. 따라서 기업이 추적하기도 힘들다.    OT 기기 취약점의 완화  포어스카우트는 보고서 공개 중 미국 CISA(U.S. Cybersecurity and Infrastructure Security Agency)와 함께 일했고, CISA는 자체적으로 몇몇 문제에 대해 권고안을 출간했다. 자산 소유자는 기기 제조업체가 패치나 펌웨어 업데이트를 제공할 때 이들을 설치해야 한다. 그러나 규명된 문제 가운데 일부는 상당한 엔지니어링 노력이 필요할 수 있다. 그래서 업체가 이 문제를 오랫동안 방치한 것일 수도 있다. 한편 포어스카우트 팀은 다음과 같은 완화 조치를 추천했다.    취약한 기기를 발견하고 목록을 작성한다. 네트워크 가시성 솔루션은 네트워크 내 취약한 기기의 발견을 가능하게 하고 적절한 제어 및 완화 조치를 적용한다.  분할 제어 및 적정한 네트워크 위생을 시행해 취약 기기로부터의 위험을 완화한다. 취약 기기가 패치될 수 없는 경우, 또는 패치되기 전까지 외부 통신 경로를 제한하고 분리하거나 봉쇄한다. 방화벽 규칙, 특히 화이트리스트 된 OT 프로토콜을 SME 지식과 대조하며 점검한다. 일부 업체는 프로토콜을 인식하는 보안 기능과 함께 전용 방화벽과 스위치를 제공한다.  영향을 받은 기기의 업체가 배포하는 패치를 계속 모니터하고 취약한 자산 목록에 대한 치유 계획을 수립하며 비즈니스 위험과 비즈니스 연속성 요건 사이의 균형을 잡는다.  보안 내재화 불안전 기능을 악용하려고 시도하는 수상한 행동에 대해 모든 네트워크 트래픽을 모니터한다. DPI 기능을 가진 모니터링 솔루션을 이용해 보안 담당자에게 이러한 행동을 경고해 적절한 조치를 취하도록 한다.  설계에 의해 안전한 제품을 적극적으로 확보하고 가급적 그런 제품으로 이동한다. 조달 요건에 보안 평가를 포함시켜 기기 보안 태세를 평가한다. 네이티브 하드닝 기능을 활용한다. 예를 들면 위험한 엔지니어링 작업이 수행될 수 있기 전에 물리적 상호작용을 요하는 컨트롤러 상의 물리적 모드 스위치가 있다. 몇몇 업체는 이런 기능을 네트워크 수준에서 모방한 플러그-앤-플레이 솔루션을 제공한다. 가능한 경우 운영 모드 스위치 상의 경보를 모니터링 솔루션으로 활성화한다.  사이버-PHA(Cyber-PHA), CCE 방법론을 준수하면서 영향 축소를 위해 노력하라. 개연성뿐 아니라 사건 파급력을 줄일 때도 중요하다.  editor@itworld.co.kr 
자료 출처 :
Trend Micro
원본자료 다운로드
발행 날짜 :
2022년 05월 31일
주요 내용 :
트렌드마이크로가 ‘산업 사이버 보안 현황 보고서(The State of Industrial Cybersecurity)’를 발표해 ICS/OT 환경에 가해지는 사이버 위협 영향을 공개했다.  독일, 미국, 일본 등의 전기, 석유 및 가스, 제조 부문 산업제어시스템(ICS) 사이버 보안 리더 900명을 대상으로 설문조사를 실시한 이번 보고서는 응답자의 89%가 지난 한 해 사이버 공격으로 인해 생산과 에너지 공급에 영향을 받았다고 밝혔다. ⓒ 산업 사이버 보안 현황 보고서 발췌. 출처:트렌드마이크로 트렌드마이크로 인프라 전략 부문 윌리엄 말릭 부사장은 “전세계의 주요 산업들이 지속가능한 성장을 위해 디지털 전환을 추진하는 가운데, 사이버 공격으로 인한 재정적 피해 및 평판 손상의 가능성도 증가했다”며 “복잡한 IT 및 OT 환경을 효과적으로 관리하기 위해서는 뛰어난 성능과 폭 넓은 기능을 기반으로 두 환경 모두에서 최고의 보안 수준을 제공하는 숙련된 파트너사가 필요하다”고 말했다. 이번 보고서는 콜로니얼 파이프라인 랜섬웨어 공격 발생 1년 후 발표됐다. 이 랜섬웨어 공격은 OT 시스템을 며칠동안 중단시키고 미국 동부 연안에 대대적인 연료 부족 사태를 초래해 현재까지도 가장 큰 국가 중요 인프라(CNI) 공격으로 언급된다. 보고서에 따르면 국가 중요 인프라 공격으로 영향을 받은 적 있는 조직의 절반 가량이 사이버 보안 인프라 개발을 위해 노력한 것으로 나타났다. 그러나 일부는 자원과 지식 부족으로 이러한 개발에 어려움을 겪고 있는 것으로 확인됐다. 또한, 산업제어시스템 및 운영기술(ICS/OT)이 겪은 사이버 장애로 발생한 조직의 재정적 피해는 평균 280만 달러(한화 약 36억원)에 달하며, 특히 석유 및 가스 산업이 가장 큰 피해를 입은 것으로 나타났다. 응답자의 72%는 지난 1년 동안 ICS/OT 환경에서 사이버 장애를 최소 6번 경험했다고 답했다. 트렌드마이크로가 이번 보고서를 통해 확인한 산업 사이버 보안 현황은 응답자의 40%가 초기 공격을 차단하지 못했고, 일시적인 장애를 겪었다고 대답한 응답자의 48%는 사이버 위험을 최소화하기 위한 개선책을 구축하지 않은 것이다. 또한 클라우드 시스템(28%)과 사설 5G 구축(26%)에 대한 미래 투자 계획이 사이버 보안 중요성을 높이는 2가지 주요 요인으로 꼽혔다. OT 보안 기능은 위험 기반 보안 측면에서 평균적으로 IT 보안보다 불완전한 경향을 띄고 있는 것으로 확인했다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.