Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

'보안·운영 복잡성으로 고군분투하는 기업들' 시스코 클라우드 보고서

시스코와 451 리서치가 ‘2022 글로벌 하이브리드 클라우드 동향 보고서(2022 Global Hybrid Cloud Trends Report)’를 발간했다. 보고서는 특히 네트워크팀과 클라우드팀 간의 협업을 더욱 강화해야만 보안, 효율성 및 클라우드 애플리케이션 성능을 향상시킬 수 있다고 강조했다.    기업이 비즈니스 민첩성과 확장성을 확보하는 데 있어 하이브리드 클라우드와 멀티클라우드의 도입은 이제 기본이 됐다. 하지만 도입에 여전히 어려움을 겪는 것도 사실이다. 시스코와 451 리서치는 2,500명의 클라우드, 데브옵스 및 네트워킹 전문가를 대상으로 기업이 클라우드 환경을 어떻게 활용하고 있는지 측정하고 클라우드 서비스 사용의 이점과 과제는 무엇인지 조사했다.  "하이브리드 클라우드는 조직에 다양한 기회와 이점을 제공하지만, 많은 기업이 이러한 환경을 구축하는 데 여러 어려움을 겪고 있다. 클라우드 네이티브 아키텍처 등의 최신 기술을 도입하는 데 직원의 관심과 예산을 확보하고자 고군분투해야 하며, 보안 및 네트워킹 문제도 우선적으로 고려해야 한다"라고 보고서는 밝혔다. 451 리서치의 애널리스트 니콜 헨더슨와 에릭 헨델만은 "기존 인프라에 새로운 요소를 추가하면서 운영 복잡성이 높아졌다. 기업들은 이 문제를 해결하기 위한 방법을 고심하고 있다"라고 설명했다.  시스코 클라우드 및 컴퓨팅팀의 제품 관리 부사장 디리만 다스굽타는 하이브리드 및 멀티클라우드 운영의 가장 큰 과제는 보안이며, 그 다음은 운영 복잡성과 비용 감소라는 이번 설문조사의 결과를 조명했다.  그는 보안이 최우선 과제로 꼽힌 데는 몇 가지 이유가 있다고 밝혔다. “첫번째 이유는 새로운 환경이 익숙하지 않기 때문이다. 퍼블릭 클라우드 환경 안팎으로 액세스 보안을 유지하는 것은 IT 기업에게 비교적 새로운 분야다. 대다수의 IT 기업은 지난 수십 년 동안 파라미터 기반의 ‘방화벽’ 접근 방식으로 애플리케이션, 데이터 및 사용자의...

멀티클라우드 하이브리드클라우드 2022.05.27

새로운 랜섬웨어 '치어스크립트' 등장 "ESXi 서버 공격해 이중 갈취"

보안 업체 트렌드 마이크로(Trend Micro) 연구팀이 새로운 리눅스 기반 랜섬웨어를 발견했다. ‘치어스크립트(Cheerscrypt)’라고 불리는 이 랜섬웨어는 VM웨어의 ESXi 서버 공격에 사용됐다. ESXi 서버는 같은 하드 드라이브 스토리지를 공유하는 여러 가상머신을 생성하고 실행하는 베어메탈 하이퍼바이저다. 치어스크립트는 록빗(LockBit), 하이브(Hive), 랜섬EXX(RansomEXX) 같은 다른 랜섬웨어 프로그램의 공격 방식을 답습해 ESXi에서 악의적인 페이로드로 한 번에 많은 컴퓨터를 감염시키는 효율적인 방법을 찾아냈다.    보안 인식 교육 업체 노비4(KnowBe4)의 방어 에반젤리스트 로저 그림스에 따르면, 전 세계 대부분 기업이 VM웨어 가상머신을 사용해 운영하고 있다. 그림스는 “랜섬웨어 공격자가 작업하기 쉬운 환경이다. 하나의 서버(VM웨어 서버)만 암호화하면 여기에 포함된 모든 게스트 가상머신을 암호화할 수 있기 때문이다. 한 번의 공격 및 암호화 명령으로 수십에서 수백 대의 가상 실행 컴퓨터를 쉽게 암호화한다”라고 지적했다.  그림스는 “가상머신 솔루션 업체 대부분은 일종의 VM 백업 제품으로 모든 게스트 서버를 백업한다. 따라서 하나의 백업 리포지토리를 찾아서 삭제하거나 손상시키면 호스팅된 모든 게스트 서버의 백업 이미지까지 한 번에 사라진다”라고 덧붙였다.  치어스크립트 공격 집단, ‘이중 갈취’ 기법 사용 트렌드 마이크로 소속 연구원 아리안 델라 크루즈, 바이런 겔레라, 맥저스틴 드 구즈만, 워렌 스토가 블로그에 게재한 설명에 따르면, 치어스크립트 공격 집단은 암호화 경로를 지정하는 입력 매개변수를 획득한 후 모든 VM 관련 파일을 암호화할 수 있는지 테스트하기 위해 모든 VM 프로세스를 종료하는 명령을 실행한다.  또한 연구팀은 치어스크립트 공격 집단이 표적에게 몸값을 얻어내기 위해 이중 갈취(double extortion) 기법을 사용하고 있...

랜섬웨어 이중갈취 치어스크립트 2022.05.27

"서비스형 IAM" IDaaS의 이해와 도입시 주의사항

클라우드 네이티브 생태계와 제로 트러스트(Zero Trust)의 세계에서는 ID가 새로운 경계라고 이야기하는 경우가 많다. ID는 분명 현대 시스템에서 우리가 하는 모든 활동의 중심에 있으며 제로 트러스트 아키텍처와 적절한 액세스 관리를 용이하게 하는 핵심이다. 이 때문에 IAM(Identity and Access Management)을 대규모로 운용하는 것은 쉽지 않은 일이고, 많은 기업이 IDaaS(Identity-as-a-Service) 솔루션을 도입하고 있다. IDaaS는 장단점이 있지만 우선 IDaaS가 무엇인지 알아보자.      IDaaS의 정의 IDaaS는 IAM을 위한 클라우드 기반 소비 모델이다. 오늘날 최신 기술 생태계의 다른 모든 것과 마찬가지로 IAM은 서비스로 제공할 수 있다. 예외가 있기는 하지만 IDaaS는 일반적으로 클라우드를 통해 서비스되며 해당 제공자의 조직적 요건과 역량에 따라 멀티테넌트 또는 전용 모델로써 사용할 수 있다. 가트너는 2022년 말까지 중견 기업과 대기업 중 40%가 전통적인 IAM 대신에 IDaaS를 도입할 것으로 전망했다. 지속적인 클라우드 도입과 재택근무의 확산으로 기업은 IAM을 스스로 호스팅하고 관리하는 대신 서비스로 사용하면서 시장 성장을 촉진하고 있다. 대신 기업은 고객에 가치를 제공하는 핵심 역량에 더 집중할 수 있다.     IDaaS의 이점  IDaaS의 장점으로는 IAM을 호스팅하지 않고 사용할 수 있다는 것, IAM과 관련된 관리 업무 일부를 서비스 제공자에 넘길 수 있다는 것 등이 있다. IAM을 더 강력하고 안전하게 구현하는 여러 기능도 사용할 수 있다. 예를 들어 대부분 IDaaS 업체가 SSO(Single Sign-On)와 MFA(Multi-Factor Authentication) 등 네이티브, 통합 기능을 제공한다. 또한, IDaaS 업체는 클라우드 네이티브에 강점이 있어 이들의 서비스는 클라우드 생태계와 더 쉽...

IDaaS IAM 2022.05.27

“로그4j 그 이후를 말한다" 오픈소스 보안의 중요성 강조…베라코드 CTO

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO가 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 조언했다. 지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성요소 ‘로그4j’에서 일련의 취약점이 발견되면서 전 세계의 기업 보안 부서는 비상 경계 태세에 돌입해야 했다.    로그4j는 미국 사이버 보안 및 인프라 보안국(CISA; Cybersecurity and Infrastructure Security Agency)을 비롯해 다른 국가의 CERT(Computer Emergency Response Team)에서도 경고했을 만큼 큰 사건이었으며, 아울러 보안 및 오픈소스 소프트웨어 생태계, 개발자가 오픈소스 구성요소를 사용하고 추적하는 방법에 관한 새로운 논의를 촉발했다.  애플리케이션 보안 업체인 베라코드의 설립자 겸 CTO이자 애플리케이션 보안 및 취약점 분야에서 20년 이상의 경력을 갖춘 보안 업계 베테랑인 크리스 위소팔과 ‘로그4j 취약점의 여파와 오픈소스 보안의 미래’를 주제로 나눈 대화를 정리했다. ‘로그4j’의 중요성과 여파 “로그4j는 ‘광범위하게 사용돼 거의 모든 서버에 영향을 미칠 수 있다는 점에서’ 개발팀이 일상적으로 다루는 것과는 확실히 다른 유형의 취약점이었다. 거의 모든 기업에 영향을 미쳤고, 모든 기업의 여러 개발 부서, 즉 회사를 위해 새로운 일을 하는 부서와 1년에 한 번 정도 코드를 변경하는 유지관리 모드로 운영되던 부서를 강타했다.”  “베라코드는 SaaS 업체이기 때문에 모든 고객을 살펴볼 수 있다. 작년에 스캔한 수십만 개의 애플리케이션 중에서 특히 기업 고객을 관심 있게 살펴봤다. 95%의 기업 고객이 자바를 쓰고 있어 자바의 인기를 알 수 있다. 만약 자바에 이와 같은 취약점이 또 있다면 그 역시 널리 퍼질 것이다.” “아울러 88%는 로그4j를 사용하고, 58%는 취약한 버전을 쓴다고 답했다. 그래서...

오픈소스 로그4j 보안 취약점 2022.05.27

"빠르게 확장하는 공격 표면" 머신 ID를 관리하는 7가지 베스트 프랙티스

머신 ID(machine identity)는 지금도 크지만, 빠른 속도로 더 커지고 있는 기업의 공격 표면이다. 기기(서버, 디바이스, 서비스 등)의 수는 빠르게 증가하는 반면 이를 보호하기 위한 조치는 뒤처진 경우가 많다. 사이버 범죄자 및 기타 위협 행위자는 이런 상황을 발 빠르게 악용하고 있다. 보안 업체 베나피(Venafi)가 지난해 발표한 자료에 따르면, 머신 ID 악용이 관련된 사이버 공격은 지난 5년 사이 무려 1,600% 증가했다.   시장조사 업체 가트너는 지난해 하반기 발표한 보고서에서 머신 ID를 2021년 가장 중요한 사이버보안 추세 중 하나로 선정했다. 또 다른 가트너 보고서에 따르면, 2020년 발생한 클라우드 보안 사고 중에서 ID, 액세스, 특권 관리 부실로 인한 사고의 비율은 50%에 이르렀으며, 2023년에는 75%로 높아질 전망이다. 베나피의 보안 전략 및 위협 인텔리전스 부문 부사장 케빈 보섹은 “생체 인식부터 특권 액세스 관리에 이르기까지 기업은 인간의 ID 및 액세스 관리에 매년 수십억 달러를 투자하지만, 머신 ID 보호에는 대체로 무관심하다. 하지만 머신 ID 역시 인간의 ID와 똑같이 악용될 수 있다”라고 말했다. 세이빈트(Saviynt)의 제품 관리 책임자 크리스 오웬은 기업이 네트워크상의 기기를 지나치게 신뢰하는 경우가 많다면서, “이 말은 기기가 사람의 개입 또는 전통적인 형식의 인증을 거치지 않고 다른 네트워크 리소스에 연결할 수 있다는 의미다. 따라서 기기가 침해되면 공격자는 기기 간 경로를 악용해 네트워크를 탐색할 수 있다”라고 말했다. 다행히 기업도 머신 ID 문제를 인식하기 시작했다. 포네몬 인스티튜트(Ponemon Institute)와 키팩터(Keyfactor)가 3월 발표한 보고서에 따르면, IT 전문가의 61%는 머신 ID 도난 또는 악용이 심각한 우려 사항이라고 답했다. 작년의 34%에서 높아진 수치다. 인식은 문제 해결의 첫 단계다. 그러나 인식을 넘어 머신 ID 문...

머신ID 기기관리 ID관리 2022.05.26

"MS가 보안에 진지해졌다" 취약점 수 5년 만에 '감소세'

2021년 마이크로소프트 제품과 서비스의 전체 보안 취약점 건수가 5% 줄어든 것으로 나타났다. 5년 만에 감소세로 돌아섰다.   계정 관리 업체 비욘드트러스트(BeyondTrust)의 최신 보고서에 따르면, 지난해 마이크로소프트의 소프트웨어 제품에서 발견된 보안 취약점은 총 1,212건이었다. 그 전 해와 비교하면 상당히 크게 변화했는데, CVSS(Common Vulnerability Scoring System)를 기준으로 '치명적(critical)' 등급의 보안 취약점이 47% 급감했다. 비욘드트러스트가 보고서를 작성한 지난 9년을 통틀어 최저치다. 특히 윈도우와 윈도우 서버에서 각각 40%, 50% 보안 취약점이 크게 줄었다. 반면 마이크로소프트 엣지와 인터넷 익스플로러 브라우저는 이들 보안 취약점에 가장 영향을 받는 것으로 나타났다. 보고서 내용을 더 자세히 살펴보면, 2021년 가장 일반적인 형태의 보안취약점은 권한 확대(privilege elevation) 관련된 것이었다. 공격자가 불법적인 방법으로 시스템의 관리자 권한을 탈취한 것을 의미한다. 2021년에만 이런 권한 확대 보안 취약점이 558건 발견됐다. 비욘드트러스트의 연구자들은 이에 대한 보안 대응 방법도 제시했다. 불필요하게 관리자 권한을 가진 사용자를 줄이라는 것이다. 이를 통해 공격자가 확대된 권한을 얻는 것을 더 어렵게 만들 수 있다. 보고서는 "로컬 관리자 권한을 가진 사용자에게 접근하는 것 외에 공격자는 확대된 권한을 얻기 위해 창의적인 방법을 사용하기 시작했다. 이는 시스템을 변조하거나 계정을 탈취하거나 동서 이동에도 사용할 수 있는 방법이다"라고 분석했다. 두 번째로 많은 보안 취약점은 원격 코드 실행(remote code execution)이다. 취약점 같은 것을 노리는 공격자가 최소한의 사용자 상호작용 혹은 아예 상호작용 없이도 원격으로 공격을 실행할 수 있다는 점에서 특히 위험하다. 2021년에만 이런 보안 취약점이 326가지 발견됐는데, 이 중 5건은 ...

마이크로소프트 보안 취약점 2022.05.26

“SASE냐 SSE냐 그것이 문제로다” 기업의 요구를 명확하게 파악하는 방법

SASE(Secure Access Service Edge)는 코로나19 팬데믹 및 이와 관련하여 증가한 재택근무 직원들로 인해 지난 몇 년 동안 큰 관심을 받았다. 하지만 SASE는 2019년 가트너가 이 용어를 처음 만들면서 예상한 대로 구체화되지는 않았다. 특히 단일 제공업체가 SASE를 네트워크 엣지에 있는 단일 통합 클라우드 서비스로써 제공해야 한다는 의견을 중심으로 반발이 있었다. SASE 모델은 네트워크 보안 기능과 WAN 기능을 결합하여 클라우드에서 보안 요소를 제공하고 엣지 또는 클라우드에서 SD-WAN을 사용한다. 주요 보안 기능으로는 SWG(Secure Web Gateway), ZTNA(Zero Trust Network Access), FWaaS(FireWall as a Service), CASB(Cloud Access Security Broker) 등이 있다. 카토 네트웍스(Cato Networks)와 버사 네트웍스(Versa Networks)처럼 일부 SASE 솔루션 업체는 OSOP(One-Supplier-One-Platform) 모델에 가장 가까운 버전을 제공한다고 주장한다. 이것이 SASE에 대한 순수주의적인 관점이다. 다른 업체들은 자사 서비스를 SASE라고 홍보하면서 파트너십에 의존하고 기업들을 인수하며 복합적으로 풀스택 포트폴리오를 형성하는 별도의 솔루션 구성요소를 개발하고 있다. 하지만 최근에는 보안과 네트워킹을 결합하는 방식에 관한 생각이 바뀌고 있다.   SASE라는 개념에서 CASB, SWG, ZTNA가 포함된 덜 광범위한 SSE(Secure Service Edge)로 관심이 변화하는 데 큰 역할을 한 것은 가트너다. 가트너는 ‘2021년 전략적 SASE 컨버전스 로드맵’에서 SSE 번들을 소개했다. SSE는 기본적으로 SASE 모델 하에서 동시에 관리해야 하는 결합된 보안 및 네트워크 서비스의 보안 부분이다. 가트너가 SSE에 주목하기 시작했다는 것은 현재 시장에서 일어나는 일을 인식했다는 의미...

SASE SSE 가트너 2022.05.25

포티넷, 고성능 차세대 방화벽 포티게이트 3종 발표

포티넷코리아(www.fortinet.com/kr)는 새로운 고성능 차세대 방화벽 ‘포티게이트 600F’, ‘포티게이트 3700F’ 및 ‘포티게이트 70F’를 발표했다. 이 제품들은 캠퍼스, 지사 및 하이브리드 데이터센터 환경을 지원하는 AI 기반의 포티가드 보안 서비스와 전용 하드웨어 ASIC을 통합한 고성능을 제공한다는 점이 특징이다. ‘포티OS(FortiOS)’를 통해 구동되는 포티게이트 네트워크 방화벽은 포괄적인 통합 네트워킹 및 보안 플랫폼의 기반으로서 동작하며, SD-WAN, 범용 ZTNA, LAN 엣지 컨트롤러 및 5G 지원과 같은 최신 네트워킹 기술과 원활히 통합된 고급 보안 기능을 함께 제공한다고 업체 측은 설명했다. 포티OS는 네트워킹과 보안을 모두 고려해 유기적으로 개발되었기 때문에 어플라이언스, 멀티 클라우드용 가상 머신, 컨테이너 및 SaaS를 포함한 모든 폼 팩터에서 매끄러운 통합을 지원하고, 일관된 정책 운용이 가능하다.    포티게이트 600F 시리즈는 캠퍼스 엣지 구축을 위한 통합 네트워킹 및 보안 솔루션을 제공함으로써 제로 트러스트 엣지(Zero Trust Edge) 전략을 지원한다. 기업들은 직원들의 사무실 복귀와 하이브리드 원격 근무 환경을 동시에 지원해야 하며, 이를 위해서는 비디오 및 애플리케이션 액세스와 같은 리치 미디어 서비스가 새로운 성장 이니셔티브에 포함되어야 한다. 매우 역동적인 캠퍼스 네트워크 영역의 요구사항을 지원하기 위해 포티넷은 동급 제품보다 평균 초당 7배 더 많은 커넥션 처리 성능을 지원하는 등 미드레인지 제품군에 데이터 센터급 성능과 기능을 접목시켰다.  포티넷의 전용 하드웨어 가속 칩인 NP7(Network Processor 7) ASIC와 25GbE 네트워크 인터페이스를 통한 고속 성능을 제공해 보안 위협의 측면 이동을 차단 기능을 제공한다. 포티게이트 600F는 네트워크의 사각지대를 제거하는 AI 기반 보안 서비스를 함께 통합하여 제공하면서도 7Gbps 속도의 S...

포티넷 2022.05.25

"영화에 가장 많이 등장한 앱" 앤맵의 주요 기능과 활용법

앤맵(Nmap)은 네트워크 맵퍼(Network Mapper)의 줄임말이다. 취약성 검사와 포트 스캔, 네트워크 맵핑에 사용되는 오픈소스 툴이다. 1997년에 만들어졌지만 상용과 오픈소스를 불문하고 이 분야의 툴을 평가할 때 여전히 금본위와 같은 기준으로 사용된다.   이처럼 앤맵이 뛰어난 기능을 유지하는 것은 앤맵의 유지와 업데이트에 적극 참여하는 방대한 개발자 및 코더 커뮤니티 덕분이다. 앤맵은 누구에게나 무료로 제공되며 커뮤니티에 따르면 매주 다운로드 횟수가 수천 회에 달한다. 유연한 오픈소스 코드 베이스를 사용하므로 고도의 맞춤형 또는 전문적인 환경에서도 수정해 사용할 수 있다. 윈도우, 맥, 리눅스용 앤맵 배포판이 있지만 솔라리스, AIX, 아미가OS(AmigaOS)와 같이 사용자가 많지 않거나 오래된 운영체제도 지원한다. 소스 코드는 C, C++, 펄, 파이썬으로 제공된다. 최신 버전은 2020년 10월에 나온 앤맵 7.90으로, 70개 이상의 버그 수정과 개선 사항, 그리고 다양한 빌드 시스템 업그레이드와 코드 품질 개선이 추가됐다.   앤맵에 날개를 달아 준 '젠맵' 본래 앤맵을 배포하기 위해서는 고급 프로그래밍 기술이 필요했고, 그 정도는 아니더라도 최소한 콘솔 명령이나 텍스트 인터페이스에 대한 어느 정도의 지식은 있어야 했다. 그런데 최근 앤맵용 젠맵(Zenmap) 툴이 나오면서 바뀌었다. 젠맵이 제공하는 그래픽 인터페이스를 사용하면 훨씬 더 쉽게 앤맵 프로그램을 실행하고 반환된 결과를 분석할 수 있다. 젠맵은 앤맵 툴 입문자를 위해 만들어졌다. 앤맵과 마찬가지로 무료이며 누구나 소스 코드를 받아서 사용하고 수정할 수 있다. 젠맵을 이용하면 자주 사용되는 스캔을 프로파일로 저장해 손쉽게 반복 실행할 수 있다. 명령 생성기를 사용하면 앤맵 명령줄을 대화형으로 작성할 수 있다. 스캔 결과를 저장해 나중에 보거나, 저장된 스캔 결과를 다른 결과와 비교해 차이점을 확인할 수도 있다. 또한 최근 스캔 결과를 검색하거나 데이터베이...

앤맵 Nmap 2022.05.25

컴트루테크놀로지, ‘인공지능 비즈니스 for OCR 컨퍼런스’ 개최

컴트루테크놀로지가 6월 23일에 역삼동 한국과학기술회관 대회의실에서 ‘인공지능 비즈니스 for OCR·본인확인·개인정보보호 컨퍼런스’를 개최한다고 밝혔다.   이번 행사는 오프라인으로 진행되며, IT, 보안, RPA, SI, 웹팩스, 핀테크 전문 기업 담당자 등을 대상으로 실제 데모 시연 부스 운영 및 대면 미팅, 네트워킹 타임을 운영할 예정이다. 컨퍼런스는 무료로 진행되며, 현장등록은 받지 않아 사전등록(https://cometrue.ai)이 필요하다. 주요 내용은 ▲인공지능 비즈니스 인사이트 ▲인공지능 OCR, 기술 활용하기 ▲인공지능 OCR, 비즈니스 적용 ▲비대면 본인확인, 가장 혁신적으로 수행하기(얼굴+신분증) ▲이미지 개인정보보호 for PC, 홈페이지, 파일서버이다. 인공지능 비즈니스 for OCR, 본인확인, 개인정보보호 컨퍼런스는 컴트루테크놀로지가 주최하고, 한국인공지능협회(KORAIA)가 후원한다. 본인확인을 위한 신분증 4종 OCR, 간편결제를 위한 신용카드 OCR 그리고 유심 OCR, 표 OCR. 필기체 OCR까지 인공지능 OCR을 사용해야 하는 이유를 설명할 예정이다. 그리고 문서 OCR 등 인공지능 OCR 서비스를 비즈니스에 적용 시 고려할 점과 RPA, 웹팩스, 보안솔루션과 같은 다양한 시스템과의 연동할 수 있는 구축 방식 및 실제 연동 사례를 소개한다. 라이브러리 형태로도 제공되는 다양한 인공지능 OCR 서비스는 디지털 트랜스포메이션을 고려 중인 다양한 산업의 담당자에게 인사이트를 제공할 수 있을 것이다. 또한 비대면 본인확인 서비스인 eKYC aiDee를 시연할 예정이다. 최근 비대면 계좌 생성을 통한 불법 대출 등으로 인한 피해 사례가 증가하면서 강력한 비대면 본인확인이 필요해졌다. 신분증 OCR 및 진위 확인은 물론 신분증 라이브니스(liveness) 체크 기능과 얼굴 유사도 확인 통해 비대면 본인확인을 혁신적으로 수행할 수 있는 방안을 제시할 예정이다. 이는 일본, 유럽에서 권고되는 방식으로 전자금융, 해외...

컴트루테크놀로지 2022.05.24

마이크로포커스 포티파이, 9년 연속 가트너 AST 부문 선도업체로 선정

마이크로포커스 사이버레스는 자사의 포티파이(Fortify) 포트폴리오가 2022년 가트너 매직 쿼드런트 AST(Gartner Magic Quadrant for Application Security Testing) 보고서에서 9년 연속 선도업체로 선정됐다고 발표했다.  2022년 가트너 매직 쿼드런트의 애플리케이션 보안 부문에 포티파이가 포함됨에 따라, 마이크로포커스는 사이버 복원력을 위한 글로벌 업체로의 입지를 더욱 공고히 했다고 밝혔다.  전체 사이버레스 포트폴리오뿐만 아니라 포티파이는 지속적으로 혁신하고 끊임없이 변화하는 시장 요구에 적응해 안전한 소프트웨어를 신속하게 구축할 수 있도록 지원한다고 업체 측은 설명했다. 사이버레스의 포티파이 프로덕트 매니지먼트 책임자인 딜런 토마스는 “포티파이를 사용하면 조직은 포괄적인 데브섹옵스 솔루션을 통해 개발자, 데브옵스 및 보안 팀에 도움을 줄 수 있다”며, “애플리케이션 보안 테스트를 위한 포티파이 제품군이 가트너의 선도업체로 선정되면서 마이크로포커스의 신뢰도는 높아지고 있는 것을 입증한다”고 말했다.  마이크로포커스 코리아 포티파이 제품 담당 최경철 이사는 “온프레미스와 클라우드 환경에서의 애플리케이션 보안의 최정점을 원하는 기업 및 기관은 마이크로포커스 포티파이 제품군을 적극적으로 도입하고 활용해 발생가능한 보안 위협을 최소화하고 미연에 방지할 수 있다”고 밝혔다. 포티파이는 기업을 지원하는 신뢰할 수 있는 파트너의 총체적이고 포괄적이며 확장 가능한 애플리케이션 보안 플랫폼을 통해 현대적 개발을 위한 소프트웨어 복원력을 제공한다. 이 포괄적인 제품군은 SDLC 내 어디에서나 모든 툴을 자동으로 통합하고 사내, SaaS 및 서비스형(as-a-service)에서 사용할 수 있는 기능을 통해 개발자, AppSec 전문가 및 주요 이해관계자에게 전체적인 보안 및 가시성을 제공한다.  editor@itworld.co.kr

마이크로포커스 2022.05.24

"여전히 가장 큰 위협" 워너크라이 5주년을 맞이한 보안 업계의 '말말말'

역사적인 사건이 일어날 당시에 ‘어디서 무엇을 하고 있었는지’ 회상할 수 있는 기회를 좋아하지 않는 사람이 있을까? 지난 며칠은 워너크라이(WannaCry)를 기억하는 시기였다. 워너크라이는 5년 전 수천 대의 컴퓨터를 감염시켜 전 세계 기업에 수십억 달러의 손해를 입힌 악명 높은 랜섬웨어다.    워너크라이는 2017년 5월 12일 정보보안 업계에 등장했다. 취약한 버전의 SMB(Server Message Block) 프로토콜을 이용해 궁극적으로 150개가 넘는 국가에서 약 20만 대 이상의 컴퓨터를 감염시켰다. 마이크로소프트는 공격이 시작되기 한 달도 훨씬 전에 SMB 취약점에 대한 패치를 배포했지만, 패치를 설치하지 않은 컴퓨터는 수백만 대에 달했다. 사상 최대 규모의 랜섬웨어 공격은 영국의 국립보건서비스(NHS), 미국의 대형 배달 기업 페덱스(FedEX), 독일 철도기업 도이치 반(Deutsche Bahn)과 같은 세계적인 대기업에 영향을 미쳤다.  보안 전문가이자 위드시큐어(WithSecure)의 최고연구책임자 미코 히포넨은 “이 역사적인 공격은 사상 최대의 공격 가운데 하나였다. 거의 대기업만을 대상으로 했고 수십만 대의 컴퓨터를 파괴했다. 병원, 자동차 공장, 발전소, 열차 회사 등 전 세계 기업이 감염됐으며, 감염 목록은 현재까지도 계속 늘어나고 있다”라고 말했다. 워너크라이 공격은 북한과 관련된 것으로 알려진 라자루스(Lazarus) 그룹의 소행이었다. 그러나 워너크라이 사건과 관련해 가장 주목할 만한 사항은 그 이후 출현한 전염병, 즉 ‘랜섬웨어’에 눈을 뜨게 했다는 것이다. 사실 랜섬웨어는 새로운 것이 아니었다. 하지만 당시까지 랜섬웨어는 잘 알려지지 않은 악성 프로그램 종류였고, 워너크라이 사건 이후에는 많은 사람이 랜섬웨어에 관해 이야기했다. 정보보안 분야의 유명인들은 트위터에서 ‘그날’의 이야기를 공유하고 당시 배운 교훈을 되새겼다.  영국 텔레그래프의 비즈니스 기술 및 보안 담당 기자 개...

워너크라이 랜섬웨어 2022.05.24

SAML로 싱글사인온을 구현하는 방법 

SAML의 정의와 용도 보안 검증 마크업 언어(Security Assertion Markup Language, SAML)는 네트워크 전체에서 여러 컴퓨터가 보안 인증 공유를 허용하는 공개 표준이다. 한 컴퓨터가 1대 이상의 다른 컴퓨터를 대신해 보안 기능을 수행하는 프레임워크를 설명할 수 있다. 엄밀히 말해 SAML은 이 모든 정보를 암호화하는 XML 파생 언어를 가리키지만, 표준의 일부를 구성하는 각종 프로토콜 메시지와 프로파일도 포함한다. SAML은 공개 표준이기 때문에 다른 업체의 다른 애플리케이션과 시스템의 보안 수단을 일원화할 수 있다. 따라서 상호 운용성 확보 차원에서 상용 제품에서 기본으로 SAML을 사용하는 업체가 많다.    SAML 2.0은 2005년에 발표된 표준의 최신 버전이다. 이전 버전인 1.1은 이제 거의 폐기되었다(SAMLDiffs는 이들 버전의 차이를 잘 요약한다).    싱글사인온이란  SAML은 광범위한 용도를 염두에 두고 설계되었지만 가장 보편적인 실무 이용 사례는 싱글사인온(Single Sign On, SSO)이다. 이름이 의미하듯 SSO는 단 한 번 로그인해 여러 서비스, 이를테면 웹사이트, 클라우드나 SaaS 앱, 파일 공유 등에 액세스할 수 있다. SSO 시나리오 하에서 이들 제반 서비스는 한 시스템에게 인증 및 권한 기능을 위임하고, 기능은 차례로 ID 정보를 서비스에게 전송한다.  SAML로 쓰여진 문서는 싱글사인온 정보를 전송할 수 있는 한 방법이다. SAML의 공개적 성격과 상호 운용성은 특히 매력적이다. 고객은 보통 여러 업체의 애플리케이션을 연결할 수 있는 싱글사인온 솔루션을 원하기 때문이다.    인증 대 권한 부여  SAML이 SSO 시스템에서 할 수 있는 두 역할을 정리해보자. •    인증(Authentication) : 사용자가 자신이 주장하는 사람이 맞는지 확인 • &nbs...

SSO 싱글사인온 SAML 2022.05.24

미 법무부 “선의의 보안 연구는 위법 아니다”…CFAA 개정

미국 법무부가 ‘선의의 보안 연구’는 연방 법률을 위반하는 것이 아니라고 판단해 컴퓨터 사기 및 남용에 관한 법률(Computer Fraud and Abuse Act, CFAA) 관련 정책을 개정했다. 연방 검사는 즉시 발효된 새로운 정책에 따라 CFAA 위반 사건을 기소해야 하며, 기소 전에는 미 사이버범죄수사국(Criminal Division’s Computer Crime and Intellectual Property Section, CCIPS)과 협의해야 한다. 아울러 미 법무부는 보안 연구를 수행한다고 주장하는 것이 악의적인 행위자에게 ‘무임승차권’이 되는 것은 아니라는 점도 인정했다.   ‘선의의 보안 연구’는 사이버보안 발전 요소 미 법무부 홈페이지에 게재된 보도자료에서 법무차관 리사 O. 모나코는 “컴퓨터 보안 연구는 사이버보안 발전을 견인하는 핵심 요소다. 법무부는 선의의 컴퓨터 보안 연구를 결코 범죄로 간주한 적이 없다. 따라서 오늘 발표로 공동의 선을 위해 취약점을 근절하고자 하는 선의의 보안 연구원을 명확하게 정의해 사이버보안 발전을 촉진하고자 한다”라고 말했다.  미 법무부의 정의에 따르면, ‘선의의 보안 연구원’은 “오로지 선의의 목적으로 보안 결함/취약점을 테스트, 조사 및 수정하기 위해 컴퓨터에 접근한다. 또한 이런 행위를 개인이나 공공에 해가 되지 않는 방식으로 수행하며, 이런 활동으로 얻은 정보는 기기와 장비, 컴퓨터로 접근하는 온라인 서비스의 안전과 이들 기기 사용자를 위한 보안을 촉진하는 데 사용하는” 사람이다.  미 법무부는 개인, 네트워크 소유자, 운영자, 그 외 시스템에 저장된 정보의 무결성·가용성·기밀성을 확보하고자 하는 사람의 법적 권리를 확인함으로써 개인정보보호 및 사이버보안을 촉진하고자 하는 목적을 개정 정책에 반영했다.  CFAA에 저촉되는 것은 '접근 권한 위반' 법을 개정하면서 미 법무부는 CFAA 위반 혐의를 충족하지 않는 몇 가지 사례도 함께 제시했다. 다음과...

CFAA 미국법무부 화이트해커 2022.05.24

"믿기 어렵지만 작동한다" 양자 컴퓨팅은 어떻게 암호화를 위협하는가

양자 컴퓨팅은 여전히 이론적 추정과 실제 응용 사이의 모호한 영역에 머물고 있지만 실제 구현 쪽으로 조금씩 다가가고 있다. 양자 컴퓨터에서 많은 관심을 끄는 사용 사례 중 하나는 현대 인터넷 암호화다.     양자 컴퓨팅과 큐비트 양자 컴퓨팅이라는 이름은 이 기술이 거시 세계에 익숙한 보통 사람에겐 생소한 법칙으로 움직이는 아원자 입자의 속성에 의존한다는 데서 비롯됐다. 특히 양자 컴퓨터는 전통적인 컴퓨터 시스템의 2진 숫자(비트)가 아닌 큐비트(quantum bit의 줄임말)를 사용한다. 결정적 속성을 갖는 비트와 달리 큐비트는 확률적이다. 비트는 최종적으로는 물리적 스위치가 된다(나노미터 단위로 측정되는 매우 작은 스위치이긴 하지만). 비트는 2진이다. 즉, 온 또는 오프, 참 또는 거짓, 0 또는 1이다. 큐비트는 그렇지 않다. 큐비트의 물리적 기반은 전자의 회전, 광자의 편광과 같은 수많은 현상이 될 수 있다. 이것은 대단히 흥미로운 주제로, 상상과 현실 사이를 잇는 선형 방정식의 영역이다. 양자 역학은 기반 현실에 대한 설명이 아닌 해석으로 간주하며 그 계산 복잡도는 극한에 이른다. 큐비트의 상태는 가능한 두 상태의 선형적 중첩으로 설명된다. 이 상태가 관찰되면 참 또는 거짓으로 해석된다. 그런데 같은 입력이 항상 같은 출력으로 해석되지는 않으며, 관찰되지 않은 시점의 상태는 확률적 관점에서만 설명할 수 있다. 전통적인 물리학 관점에서 더 놀라운 점은 양자 컴퓨터의 큐비트는 동시에 여러 상태를 지닐 수 있다는 것이다. 컴퓨터가 큐비트의 상태의 표본을 뽑으면 상태는 하나의 either/or(이것 아니면 저것)로 해석된다(파동 함수 붕괴라고도 함).   암호에서의 양자 컴퓨팅 과학과 철학적 관점에서는 매우 재미있는 이야기다. 예를 들어 양자 컴퓨터가 기능한다는 것은 입자에 대한 관찰의 효과를 입증하며 신이 우주로 주사위 놀이(확률 게임)를 하고 있을지도 모른다는 생각이 들게 한다. 그러나 우리의 관심사는 일상의 실질적인 ...

양자컴퓨팅 암호화 2022.05.24

글로벌 칼럼ㅣ데브섹옵스가 메타버스 보안의 핵심인 이유 

기존의 개인용 컴퓨팅과 가상현실 및 증강현실 헤드셋을 통해 사회적 연결을 강화하는 데 초점을 맞춘 3D 가상 세계의 네트워크로 정의되는 ‘메타버스’는 한때 이름조차 생소했던 개념이었다. 하지만 최근 페이스북이 ‘메타’로 사명을 바꾸면서 주목받았고, 이제 사람들은 집에서 편안하게 경험할 수 있는 완전한 디지털 세계의 가능성을 꿈꾸기 시작했다.   메타버스가 일상에 자리 잡기까지는 아직 수년은 남았지만, 애플, 에픽게임즈, 인텔, 메타, 마이크로소프트, 엔비디아, 로블록스 등의 기업이 이런 가상현실에 생명을 불어넣기 위해 노력하고 있으며, 이에 따라 많은 부분이 현실화되고 있다.  대부분의 사람들이 ‘AR 헤드셋’ 또는 (아마도) 오늘날의 게임 콘솔을 구동하는 ‘초고속 칩’이 제시하는 미래를 내다보고 있을 터다. 하지만 여기서 유념할 부분이 있다. 메타버스를 설계하고 호스팅하는 데 필요한 소프트웨어뿐만 아니라 이를 활용하고자 개발될 비즈니스 사용례가 엄청날 것이라는 점이다. 의심의 여지가 없는 부분이다. 이를 염두에 두고 메타버스에서 어떻게 보안을 달성할지 생각해 볼 필요가 있다.  메타버스는 물론, 기업의 핵심 구성요소를 ‘보호’하는 문제는 때마다 불거지는 문제다. 가장 최근에는 전 세계 모든 엔터프라이즈 시스템의 절반가량을 손상시킨 ‘아파치 로그4j 취약점’, 그리고 이보다 앞서 수만 명의 고객을 대상으로 배포된 일상적인 소프트웨어 업데이트에 악성코드를 주입했던 ‘솔라윈즈 공격’이 있었다. 악성코드는 고객의 IT 시스템에 백도어를 생성했고, 해커는 이 백도어를 사용하여 미국 기업과 정부 기관을 염탐하는 데 도움이 되는 수많은 맬웨어를 설치했다.  다시 한번, 시프트 레프트(shift left) 데브옵스 관점에서의 메타버스 보안은 (오늘날 널리 광고되고 있긴 하지만 널리 사용되진 않는) ‘자동 스캔’ 등의 기술을 사용하여 보안을 기본 프로세스로 통합하는 데 달려 있다.  소프트웨어 개발과 관련해 보안을 ‘일...

데브섹옵스 메타버스 메타버스 보안 2022.05.23

ZTNA 솔루션 구매 전 업체에 꼭 물어야 할 8가지

클라우드에서 핵심 비즈니스 애플리케이션을 운영하는 일이 늘어나고 팬데믹으로 인해 원격 근무가 확산하면서 전통적인 ‘기업 해자(corporate moat)’ 방식의 보안 개념은 자취를 감추었다. 오늘날의 하이브리드 워크에서 직원은 외근하고 집에서 일하고 일주일에 한두 차례 사무실에 방문한다. 따라서 네트워크 및 보안팀은 네트워크, 신원, 인증을 관리하는 더 유연한 접근법을 도입해야 하는 상황이다.   제로 트러스트 네트워크 접근법(Zero Trust Network Access, ZTNA)은 오늘날 보안이 가진 이런 문제에 대응하는 인기 있는 방법으로 주목받고 있다. 개념은 그리 어렵지 않다. 제로 트러스트는 방화벽, IDS/IPSes, 안티바이러스 소프트웨어라는 계층적 경계를 구축하는 대신, 충분히 검증되기 전까지 '어떤 사용자나 기기도' 신뢰하지 않는 것이다. 그러나 이 간단한 개념을 구현하는 과정은 그리 쉽지 않다. 대다수 기업은 제로 트러스트 업체의 온갖 마케팅에도 불구하고 IT 임원이 제로 트러스트를 기성품으로 구매해 단기간에 적용할 수 없음을 알고 있다. 제로 트러스트는 제품이 아니다. 프레임워크이자 아키텍처이고 철학이다. 여러 형태를 취할 수 있고 성공적으로 구현하는 데는 상당한 시간과 노력이 필요하다는 의미다. 기업이 제로 트러스트를 도입할 때 제로 트러스트 업체에 반드시 물어야 하는 질문을 정리했다.   ZTNA로 전환할 때 기존의 보안 및 네트워킹 인프라를 어떻게 활용할 수 있나 기업은 여러 해에 걸쳐 보안/네트워킹 하드웨어 및 소프트웨어에 상당한 돈을 투자했다. 따라서 기존 기술을 최대한 활용하면서 ZTNA로 전환하는 것이 매우 중요하다. 대다수 기업은 ID 관리, 접근 제어, 이중 인증, 네트워크 분할, 정책 관리 등 ZTNA에 필요한 조각을 이미 갖고 있다. 그러나 종합적이고 확장성 있고 정책 주도적 방식으로 제로 트러스트의 모든 측면에 두루 숙달된 기업은 별로 많지 않다. 네트워크 자동화 업체인 글루웨어(Gluwar...

ZTNA 제로트러스트 2022.05.23

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.