Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

아카마이, ‘RSA 컨퍼런스 2022’서 3대 인터넷 보안 연구 보고서 공개

아카마이 테크놀로지스가 RSA 컨퍼런스 2022에서 새로운 연구 보고서 3개를 발표했다. 이 3종의 보고서는 웹 보안에서 가장 중요한 3가지 영역인 랜섬웨어, 웹 애플리케이션 및 API, DNS 트래픽을 각각 중점적으로 다룬다. 아카마이 연구팀은 여러 플랫폼에 걸쳐 수조 개의 데이터 포인트를 분석하고, 많이 사용되는 공격 트래픽과 기법을 바탕으로 공격자의 행동에 관한 새로운 결과를 도출했다. 이 세 가지 보고서를 통해 가장 두드러진 보안 트렌드를 분석하고 최신 공격 현황을 정확하게 파악할 수 있다. 아카마이 랜섬웨어 위협 보고서는 콘티(Conti) 랜섬웨어 갱단의 공격을 포함한 RaaS(Ransomware-as-a-Service) 공격이 증가하고 있는 가운데 아카마이는 랜섬웨어 공격자의 가장 효과적인 최신 방법론, 툴 및 기법을 발견하고 분석했다. 콘티 공격의 60%는 미국 기업을 표적으로 했으며, 30%는 유럽 연합에서 발생했고, 공격의 표적이 된 업종을 분석한 결과, 공급망 중단, 중요 인프라 위협, 공급망 사이버 공격 등의 위험이 두드러지고 있다.  가장 성공적인 콘티 공격은 매출액이 1,000만~2억 5,000만 달러에 달하는 기업을 표적으로 하며, 주로 중소기업을 표적으로 삼고 있음을 의미한다. 갱단의 전술과 기법, 절차(TTP)는 이미 잘 알려져 있는 것이지만 매우 효과적인 공격으로 얼마든지 다른 해커들도 활용할 수 있다. 하지만 이러한 공격은 적절한 대응으로 방어할 수 있다. 아카마이 웹 애플리케이션 및 API 위협 보고서에 따르면, 전 세계적으로 2022년 상반기에 웹 애플리케이션 및 API 공격이 상당히 증가했으며, 현재까지 90억 건 이상의 공격 시도가 발생한 것으로 나타났다. 고객에 대한 웹 애플리케이션 공격 시도 횟수는 올해 상반기에 전년 동기 대비 300% 이상 증가했으며, 이는 아카마이가 관측한 이래 최대 증가율이다. 현재 LFI 공격은 SQLi 공격을 제치고 가장 대표적인 WAAP 공격 기법이 되었으며, 올해 상반기에...

아카마이 2022.06.09

인도 시장 철수 선언하는 VPN 서비스…고객 정보 저장 지시에 반발

VPN 서비스 업체 서프샤크(SurfShark)는 이번 주 인도 시장에서 자사 서버를 철수한다. 암호화된 웹 트래픽을 규제하려는 인도 정부의 시도에 대응한 것이다.   인도의 최고 사이버 보안 기구인 Cert-In(Indian Computer Emergency Response Team)의 새로운 규제는 VPN과 VPS(Virtual Private Server), 클라우드 서비스 업체에 고객 정보를 5년 동안 저장할 것을 요구한다. 저장해야 하는 고객 정보는 고객 이름부터 이메일 주소, IP 주소, 고객 확인 정보, 금융 거래 정보까지 포괄적이다. 8일 서프샤크는 “데이터 규제에 대응해 인도에서 서버 운영을 중단한다”라는 제목의 성명을 발표했다. 서프샤크는 자사가 엄격한 ‘노 로그(No Log)’ 정책 아래 자부심을 가지고 서비스를 운영하고 있기 때문에 새로운 요구사항은 기업의 핵심 가치에 반한다”라고 강조했다. 서프샤크 외에도 이미 많은 VPN 서비스 업체가 인도 시장에서 서비스 중단을 결정했다. 익스프레스VPN 역시 지난 주 같은 결정을 내렸고, 노드VPN은 규제안이 철회되지 않으면 물리 서버를 제거할 것이라고 경고했다. 전 세계 모든 기업과 마찬가지로 인도 기업 역시 코로나19 팬데믹으로 확대된 재택 근무 등을 지원하기 위해 VPN 의존도가 높아졌다. VPN 도입으로 직원들은 원격에서도 민감한 데이터에 액세스할 수 있게 됐으며, 일부 기업은 한 단계 더 나아가 제로 트러스트 네트워크 액세스나 스마트 DNS 솔루션 같은 보안 기술도 도입하기 시작했다. 아틀라스 VPN의 보고서에 따르면, 인도의 VPN 도입률은 2020년 3%에서 2021년 상반기 25%로 증가했다. 설치 기반이 3억 4,870만 건으로 증가했는데, 증가율로는 무려 671%이다. 법률회사 수가단 앤 어쏘시에이츠의 파트너 프라산스 수가단은 “이번 규제로 인도 기업은 상당한 피해를 볼 것이다. 코로나19 팬데믹 이후 일반화된 원격 근무 직원을 제대로 지원하기 어렵기 때문이다”...

인도 VPN 규제 2022.06.09

마이크로소프트 네트워크를 위한 '다중인증' 도입 베스트 프랙티스

마이크로소프트가 마이크로소프트 365 보안 기본값을 변경해 MFA(Multi-Factor Authentication) 의무화를 기존 고객까지 확장한다. 마이크로소프트는 “해킹된 계정을 조사한 결과, 99.9%는 MFA 인증을 거치지 않아 비밀번호 스프레이 공격, 피싱, 비밀번호 재사용에 취약한 것으로 나타났다. 사용 패턴에 따라 보안 기본값에 적합한 조직에서 MFA 의무화를 시작한다. 특히 조건부 액세스를 사용하지 않거나 과거에 보안 기본값을 사용한 적 없고 레거시 인증 클라이언트를 적극적으로 사용하지 않는 고객부터 시작할 예정이다”라고 말했다.    마이크로소프트는 글로벌 관리자에게 이메일로 적합한 테넌트를 통지할 예정이다. 마이크로소프트는 “보안 기본값이 활성화되면 테넌트의 모든 사용자는 MFA 등록 요청을 받는다. 등록 유예 기간은 14일이다. 사용자는 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱으로 등록해야 하며 글로벌 관리자는 추가로 전화번호를 입력해야 한다”라고 설명했다. 따라서 아직 MFA를 배포하지 않은 기업은 지금이 적기다. 사이버 공격자는 피싱 공격을 사용해 보호되지 않는 계정을 추적하므로 MFA는 계정 액세스를 보호하는 핵심적인 방법이다. 물론 위험을 감수하기로 한 경우에는 MFA를 비활성화할 수 있다. 그러나 이는 피싱 캠페인의 가장 쉬운 표적이 될 것이라는 의미이기도 하다. 사용자 계정과 로그인은 수많은 네트워크 공격에 대한 새로운 진입점이다.   MFA 프로세스 선택하기 MFA 배포는 곧 지원하는 인증 프로세스를 선택하는 것이다. 여러 연구원은 SMS 메시지가 안전하지 않다고 주장한다. 수년 전 리버스 프록시 컴포넌트를 사용해 SMS 기반 MFA를 우회한 공격 사례가 있었다. 실제로 MFA는 충분히 안전하기만 하면 그만이다. 많은 보안 관련 결정과 마찬가지로 기업은 가장 우수하고 충분한 보안을 필요로 하는 인력에 대해 위험 분석을 수행해야 한다. 예컨대 직원 중...

다중인증 이중인증 MFA 2022.06.09

글로벌 칼럼 | 러-우 전쟁으로 랜섬웨어 몸값 지불 결정이 복잡해진 이유

암호화폐 포렌식 업체 체인어낼리시스(Chainanalysis)가 수행한 조사에 따르면, 러시아-우크라이나 전쟁이 시작되기 전인 2021년 랜섬웨어로 인한 암호화폐 지불금의 약 75%가 러시아로 흘러간 것으로 나타났다. 이런 단편적인 사실을 잠시 내버려 두고 생각해 보자. 러시아가 제재를 받는 현 상황에서 랜섬웨어 몸값을 지불하는 것이 기업에 어떠한 법적 파문을 일으킬 수 있을까?   디지털 위협 보호 업체 그룹센스(GroupSense)의 CEO 커티스 마인더에게 이런 제재는 협상 및 대응 서비스를 찾아 도움을 요청하는 랜섬웨어 피해자의 손길을 뿌리쳐야 한다는 의미다. 미국 재무부 산하 해외재산관리국(Office of Foreign Assets Control, OFAC)이 발행하는 제재 목록에 저촉될 위험이 있기 때문이다. 지난 2년 동안 수백 건의 랜섬웨어 몸값 지불과 관련해 협상을 진행한 마인더는 특정 OFAC 제재 목록과는 반대로 러시아에 대한 제재는 광범위하고 모호하기 때문에 적절한 인텔리전스와 맥락 없이는 준수하기 어렵다고 말했다. 마인더는 “미국 정부가 러시아 단체에 대한 제재를 점차 강화하고 있다. 따라서 OFAC의 제재 목록이 있더라도 여전히 외부 인텔리전스 및 위험 데이터를 활용해 피해자가 제재받는 단체에 직접 지불하는 것인지, 제재받는 그룹 또는 지역과 어느 정도 관련이 있는 제휴 프로그램을 통해 지불하는 것인지 파악해야 한다”라고 설명했다.  대부분 제재는 랜섬웨어 공격 집단을 방해하고, 피해 기업의 회복력을 강화하고, 암호화폐를 통한 자금 세탁을 어렵게 만들고, 러시아 같은 ‘안전한 항구’를 처리해 랜섬웨어에 대항하고자 하는 백악관 이니셔티브의 연장선에 있다. 물론 러시아가 유일한 제재 국가는 아니다. OFAC는 2019년 북한을 제재 목록에 추가했다. 20년간 FBI의 사이버 및 대정보팀을 관리한 대런 모트는 FBI가 2012년 이후부터 중국 관련 기업들을 제재 목록에 추가하려고 시도했고, 일부 성공했다고 말했다....

랜섬웨어 러시아 우크라이나 2022.06.08

수세, ‘수세콘 디지털 2022’서 주요 솔루션 업데이트 발표

수세 소프트웨어 솔루션스(이하 수세)는 6월 7일부터 9일까지 개최되는 ‘수세콘 디지털 2022(SUSECON Digital 2022)’에서 비즈니스 크리티컬 리눅스, 엔터프라인즈 컨테이너 매니지먼트, 엣지 등 핵심 솔루션의 중요 업데이트를 발표했다. 수세 멜리사 디 디나토 CEO는 “이번 발표는 주요 파트너와 협력해 고객의 핵심 요구 사항을 해결하는 동시에 현재는 물론, 미래에도 고객이 신뢰할 수 있는 솔루션을 제공할 수 있는 수세의 능력을 잘 보여준다”고 말했다. 수세는 안전한 엔터프라이즈 리눅스 플랫폼을 활용할 수 있는 리눅스 코드 기반의 수세 리눅스 엔터프라이즈 15 서비스 팩 4(SLE 15 SP4)를 출시한다. SLE 15 SP4의 주요 특징은 ▲기존 보안 인증에 SLSA 4 규정 준수 추가 ▲기밀 컴퓨팅으로 클라우드 내 데이터 보안 강화 ▲클라우드-네이티브 세계로의 확장 ▲리눅스 자산을 위한 더욱 지능적인 관리 ▲SAP 서비스 관리를 위한 설계 등이다.  SLE 15 SP4는 구글 SLSA 표준에 따라 패키지를 제공하는 리눅스 배포판이며 SLSA 레벨 4 규정 준수 공급망을 추가해 현재 고객이 직면하는 소프트웨어 보안 및 공급망 위협에서 고객을 보호하는데 도움이 된다.  SLE 15 SP4의 새로운 기능은 메인 메모리 혹은 CPU 레지스터 포함해 사용 중인 데이터를 보호해 사용자가 클라우드에서 민감한 데이터를 안전하게 처리할 수 있도록 한다. SLE 15 SP4는 AMD 보안 암호화 가상화 기술(AMD-SEV-ES), 호스트 및 게스트 모드를 지원하는 리눅스로 고객이 추가적인 보안 강화 VM 격리를 선택할 수 있다.  수세는 엔디비아와 협력해 클라우드-네이티브 및 엣지 환경에 최대 성능과 가용성을 제공한다. SLE 15 SP4는 엔디비아의 최신판 오픈소스 GPU 커널 모드 드라이버를 제공하는 첫 주요 리눅스 배포판으로, 안전한 소프트웨어 공급망과 탁월한 지원을 통해 클라우드, 데이터 센터 및 엣지 전반에...

수세 리눅스 오픈소스 2022.06.08

아틀라시안, 컨플루언스 취약점 긴급 패치 배포 "2주 전부터 공격 시도 있었다"

소프트웨어 업체 아틀라시안이 컨플루언스 서버와 데이터센터 제품에 대한 긴급 패치를 배포했다. 지난주 사이버 공격자가 패치되지 않은 취약점을 악용했다는 보고가 나온 것에 따른 조치다. 클라우드플레어(Cloudflare)의 WAF(Web Application Firewall) 서비스 데이터에 따르면, 악용 시도는 2주 전부터 있었다.   CVE-2022-26134로 추적되는 제로데이 취약점은 영향을 받는 컨플루언스 버전을 호스팅하는 서버에서 허가받지 않은 공격자의 원격 코드 실행(Remote Code Execution, RCE)을 허용하며, 위험 등급으로 분류됐다. 아틀라시안은 고객이 사용하는 릴리스에 따라 새로 출시된 버전 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 및 7.18.1로 업그레이드할 것을 촉구했다. OGNL 인젝션 취약점 CVE-2022-26134는 OGNL(Object-Graph Navigation Language) 인젝션 취약점이다. OGNL은 자바 개체의 속성을 가져오고 설정하기 위한 오픈소스 표현 언어로, 자바에서 지원하는 작업을 더 간단하게 표현하는 방법을 제공한다. 많은 제품에서 OGNL을 지원하고 있다. OGNL 인젝션은 과거 다른 인기 있는 프로젝트에 영향을 미쳤던 것과 같은 종류의 취약점이다. 예를 들어, 2017년 에퀴팩스의 대규모 데이터 탈취 사건도 아파치 스트럿츠(Apache Struts) WAF의 OGNL 인젝션 취약점(CVE-2017-5638)이 원인이었다. 이런 결함을 악용하면 공격자는 애플리케이션을 속여 임의 코드와 명령을 실행할 수 있다. 현재 컨플루언스에서 발견된 취약점도 마찬가지 결과를 야기할 수 있다. 이미 발견된 악용 시도…2차 접근 수단까지 작성 컨플루언스 서버 취약점은 6월 2일 보안 업체 볼렉시티(Volexity)가 처음으로 보고했다. 볼렉시티는 인터넷에서 접근할 수 있는 손상된 컨플루언스 서버와 관련된 고객의 보안 사고를 조사하면서 이 취약점을 ...

아틀라시안 취약점 컨플루언스 2022.06.08

RSA 2022 주목할 만한 사이버 보안 스타트업 톱10

32회 RSA 컨퍼런스가 6월 6일 개최됐다. 2년 만에 대면 행사로 열린 RSA 컨퍼런스는 보안 스타트업의 데뷔와 보안에 대한 주요 기술 및 접근법의 경연장이다. 특히 RSA 컨퍼런스에서 스타트업의 홍보를 위한 혁신 전용 공간으로 마련된 얼리 스테이지 엑스포(Early Stage Expo)에는 이번에 35곳의 스타트업이 참여했다. 참여 업체 중 주목할 만한 10곳 알파벳 순으로 소개한다.   카도 시큐리티 : 클라우드 사고 대응 2020년 4월 설립된 카도 시큐리티(Cado Security)는 보안팀이 클라우드 워크로드의 위협에 신속하게 대응할 수 있도록 설계된 클라우드 조사 플랫폼과 맥락 분석 기능을 제공한다. 카도 리스폰스(Cado Response) 플랫폼은 데이터 캡처와 처리를 자동화함으로써 포렌식 수준의 상세 정보와 맥락 정보를 제공해 대응 작업을 단순화한다. 심파이어 : 사이버 훈련 및 평가 2018년 설립된 심파이어(Cympire)는 사이버 보안 훈련 및 평가 플랫폼을 제공해 기업이 자체 사이버 복구성을 확보할 수 있도록 돕는다. 심파이어의 SaaS 제품인 사이웨리아(Cyweria)는 다양한 훈련 시나리오를 제공하는 한편, 기업이 자체 훈련 프로그램을 맞춤형으로 구성할 수 있도록 해 준다. 심파이어는 사이웨리아가 어떤 네트워크 토폴로지나 IT 시스템도 시뮬레이션할 수 있다고 주장한다. 펜드 : IoT 보안 및 인텔리전스 2017년 설립된 펜드(Fend)는 중요한 인프라 보호를 위한 물리 하드웨어 솔루션에 중점을 둔다. 하드웨어와 클라우드 기반 장비 모니터링 및 분석을 조합한 솔루션은 IoT와 산업용 애플리케이션, 임베디드 시스템을 위한 보안을 제공한다.  플로우 시큐리티 : 클라우드 데이터 보안 2020년 설립된 플로우 시큐리티(Flow Security)는 외부 서비스를 포함한 기업의 전체 애플리케이션을 통해 클라우드 데이터를 보호할 수 있는 솔루션을 제공한다. 플로우 시큐리티는 데이터 플로우를 발견하고, 해당 데이터를...

RSA 스타트업 위협 2022.06.07

블로그 | 애플이 앱스토어 해킹 통계를 공개한 이유

애플이 수백만 건에 해당하는 부정행위가 매해 앱 스토어와 사용자에게 시도되고 있다며 관련 수치를 공개했다. 또한 2021년 기준 15억 달러 규모의 사기 거래를 막아냈으며, 2020년에도 비슷한 규모의 조치를 취했다고 밝혔다.     점점 다양해지는 앱스토어 해킹 수법 애플은 해커가 어떻게 앱스토어에서 부정행위를 시도하는지 수법을 공개했다.  해킹 수법은 다양하다. 단순한 방법으로는 도난 카드나 가짜 카드를 이용해 결제를 시도하는 사례가 있다. 정교한 수법 중에는 평소에는 잘 작동하는 사기용 앱을 개발해 뒤에서 몰래 데이터를 빼내거나, 악성 프로그램을 심어서 사용자를 속이거나 사기를 시도하는 경우가 있다.  2022년에는 특히 악성 프로그램으로 기기를 해킹하려는 시도가 많아졌다. 안드로이드 기기에서 해킹용 악성 프로그램이 설치되는 사례가 올해 40% 이상 증가했다는 점도 주목할 만하다. 애플이 앱 사기를 우려하는 이유도 이런 환경 때문이다.  앱스토어에는 숨겨진 코드를 넣거나 오해할 소지가 있는 앱, 다른 앱을 베꼈거나 개인정보 남용과 관련된 앱 등이 등록되고 있으며, 애플은 이런 앱 수만 개를 승인 거부했다. 애플이 발표한 내용에 따르면, 매년 부정행위를 저지르기 위해 고객 및 개발자용 계정이 수백만 개 이상 생성됐으며, 도난당한 신용카드 330만 개가 사용됐다.  애플은 앱 개발사들이 불법적인 형태의 평점이나 리뷰를 올리고 있다고 언급했다. 경쟁 업체들의 앱 판매를 방해하거나 문제 있는 앱을 사용자가 다운로드하도록 유도하기 위한 활동이었다.  2021년 기준 앱스토어엔 10억 건이 넘는 평점과 리뷰가 올라왔는데, 그중 9,400만 건의 리뷰와 1억 7,000만 건의 평점이 ‘검토 기준을 통과하지 못한 것’으로 파악되어 차단됐다. 애플은 또한 불만 사항과 후속 평가를 살펴보고 61만 건의 리뷰를 삭제했다. 해당 통계는 허위 리뷰의 규모가 비교적 크다는 것을 시사한다. 10억...

애플 앱스토어 개발자 2022.06.03

VM웨어, 위협 인텔리전스 ‘VM웨어 콘텍사’로 멀티 클라우드 보안 강화

VM웨어는 완성형 위협 인텔리전스 ‘VM웨어 콘텍사(Contexa)'를 공개했다. 이는 멀티 클라우드 환경에서 고객의 애플리케이션에 강력한 보안을 지원하고 자사의 보안 및 관리 포트폴리오를 한층 강화한다고 업체 측은 설명했다.   VM웨어 콘텍사는 다른 솔루션은 식별할 수 없는 위협까지 확인하고 차단할 수 있는 완성형 위협 인텔리전스 클라우드다. 인프라 내 독점적 위치에 자리하기 때문에 사용자부터 기기, 네트워크, 런타임, 데이터에 이르기까지 모든 단계에 걸쳐 최신 앱과 기존 앱의 내부 작동을 관찰하고 파악할 수 있다. 콘텍사는 VM웨어의 모든 보안 제품에 통합돼 신규 및 기존 고객 모두 추가 비용 없이 사용할 수 있다.  콘텍사는 기술 파트너십을 통해 확보되고 선별된 위협 인텔리전스 데이터를 비롯, 매일 1조 5,000억 개 이상의 엔드포인트 이벤트와 100억 개 이상의 네트워크 흐름을 기록하고 처리한다. 이 방대한 자료는 VM웨어의 위협 분석 팀 및 사고 대응 협력사의 500명이 넘는 연구원들의 통찰력, 그리고 머신러닝을 통해 다시 한번 분석된다. 현재 콘텍사는 매일 22억 개 이상의 의심스러운 활동을 발견할 수 있으며, 이중 80% 이상의 이벤트를 제로 터치(zero touch) 방식으로 감지하고, 점진적이며 자동화된 대응을 수행할 수 있다. VM웨어는 모던 앱 연결성 서비스(Modern Apps Connectivity Services, MACS) 솔루션을 통해 고객이 애플리케이션의 전체 수명 주기에 맞는 보안을 구축할 수 있도록 하는 신규 기능을 발표했다. 고객은 VM웨어 탄주 서비스 메시(Tanzu Service Mesh) 기능을 활용, 내부 동서(East-West) API를 통해 소통할 때 애플리케이션 마이크로 서비스의 내부 작동에 대한 심층적인 가시성과 통찰력을 얻고 보안을 강화할 수 있다. 탄주 서비스 메시는 VM웨어 콘텍사를 통해 내부 트래픽 흐름의 맥락을 이해하고 랜섬웨어와 같은 공격과 합법적인 트래픽을 보다 정확히 ...

VM웨어 콘텍사 2022.06.03

"SASE에 '올인'하지 마라" VPN의 보완이 필요한 이유

코로나19 팬데믹을 계기로 원격 근무자의 업무를 돕고 안전을 보호하는 더 나은 수단에 대한 개발 속도가 빨라졌다. 즉, 지금은 기업이 VPN을 재점검하기 좋은 시기다.  최근 들어 VPN은 기능을 향상시키는 프로토콜 옵션이 추가되면서 처음 발명되었을 때보다 훨씬 앞선 수준으로 발전하고 있다. 동시에 새로운 보안 아키텍처인 ZTNA(Zero Trust Network Access), SASE(Secure Access Service Edge), SSE(Security Service Edge)가 원격 접근 VPN의 영역이었던 분야에 진출하고 있다.    VPN vs. ZNTA ZNTA의 기본 명제는 네트워크 접근을 원하는 모든 사용자와 장치를 인증해야 한다는 것이다. 접근권한을 폭넓게 부여하는 대신 어떤 접근권한을 언제, 누구에게 부여할지 까다롭게 선정한다. 제로 트러스트는 보안 위협이 기업 네트워크 내부와 외부에서 모두 발생할 수 있다고 가정하기 때문이다. 일부 기업은 IPsec VPN을 완전히 포기하고 보다 종합적인 ZTNA 기반 네트워크를 선택했지만 여전히 다른 종류의 보호는 필요하다. 예를 들어 출장 중인 직원의 스마트폰을 암호화해 추적과 해킹을 막아야 하는 경우를 생각해 보자.  클라우드플레어(Cloudflare)는 ZTNA와 VPN의 차이점을 다음 3가지 특징을 중심으로 설명한다.   OSl 계층 : IPsec VPN은 네트워크 계층인 3계층에서 가동된다. 반면 ZTNA와 SSE, SASE는 주로 전송 계층(4계층)부터 응용 계층(7계층)까지 게이트웨이, 혹은 TLS 같은 웹 프로토콜을 사용해 가동된다. 이는 특정 앱과 장치를 보호함에 있어 ZTNA가 더 완전한 보호를 제공한다는 의미다. 그러나 3계층 보호는 더 광범위한 악성코드의 움직임을 차단하고 네트워크를 특정 부류의 사용자를 대상으로 분할하는 데 유용하다. 온프레미스 하드웨어 및 소프트웨어 : 대부분 기업 VPN은 자체 온프...

ZTNA VPN SASE 2022.06.02

글로벌 칼럼 | 인더스트리 4.0을 '애플처럼' 해야 하는 이유

산업용 애플리케이션에서 사물인터넷(IoT) 보안에 우려가 높다. '절도인터넷(Internet of Thieves)'이라는 말이 나올 정도다. 이처럼 연결된 솔루션을 활용하는 업계라면 애플의 격리 방식을 눈여겨볼 만하다.   디지털 프로세스가 모든 산업에서 업무의 깊숙이 활용되면서 올해 Pwn2Own 해킹대회에는 산업 제어 시스템이 포함됐다. 해커를 통해 산업 소프트웨어와 시스템에서 보안취약점을 찾아내는 것이다. 이번 대회의 승자는 단 코이퍼와 타이스 알키메이드다. 이들에 따르면, 한때 IIoT(industrial IoT) 솔루션을 사용한 IT 네트워크에 침투하기는 매우 어려웠지만 이제는 이들 시스템과 장비를 혼란에 빠뜨리는 것이 상대적으로 용이해졌다. 제조업체에서 사용하는 장비 대부분이 처음부터 인터넷 연결을 염두에 두고 만들어지지 않아 보안에 취약하고, 점점 낡은 기술을 사용하게 된 것도 이유 중 하나로 꼽힌다. 물론 기업 IT팀 역시 이런 사실을 잘 알고 있다. IIoT 도입 과정에서 IT 네트워크 보안을 개선하는 것도 이 때문이다. 하지만 바꿔 말하면, 만약 이들 네트워크가 뚫릴 경우 여기에 연결된 장비 대부분이 곧바로 위험에 노출되는 것이기도 하다. 잠재적으로 해킹을 당할 수 있는 광범위한 공격 표면이 만들어지는 것이다. 이는 절대 간과해서는 안 되는 상황이다. 핵심 인프라에 대한 위협은 점점 더 커지고 있다. 이런 상황을 방치하면 결국 보안이 깨지게 된다. 공격자가 기기를 장악하고 프로세서를 변경해 간단한 조작만으로 생산라인을 멈출 수 있다. 이런 공격의 파급효과가 엄청나다. 해당 기업부터 이 기업의 고객, 파트너를 넘어 이미 팬데믹 때문에 삐걱거리는 공급망 전체를 더 혼란스럽게 할 수 있다. ICT 그룹의 컨설턴트 루이스 프림은 "보통 공장 시스템은 24/7 운영하므로 보안취약점을 패치할 시간이 거의 없다. 더구나 이런 환경에는 장비를 오랜 기간에 걸쳐 도입하므로 레거시 앱이 매우 많고, 대개 안티바이러스 앱을 설치할 여유가 없다...

인더스트리4.0 보안 IIoT 2022.06.02

MS 오피스 앱 악용하는 취약점 '폴리나' 활개…완화 대책은?

공격자들이 워드 문서를 무기화해 패치되지 않은 RCE(Remote Code Execution) 취약점을 활발하게 악용하고 있다. 윈도우 구성요소인 MSDT(Microsoft Support Diagnostic Tool)에서 발견된 취약점이다. 마이크로소프트는 영구적인 패치를 배포하기 전까지 공격을 막을 수 있는 완화 대책을 내놨다.   CVE-2022-30190으로 추적되는 RCE 취약점에 대한 익스플로잇은 보안 리서치 업체 나오섹(nao_sec) 연구팀이 발견했다. 지난 4월 벨로루시의 IP로 바이러스토탈(VirusTotal)에 게재된 악의적인 워드 문서를 악용한 공격이었다. 즉, 취약점이 한 달 이상 악용되고 있었음을 알 수 있다.  워드 악용 공격…워드 결점은 아니다 최초의 익스플로잇이 워드 문서 형태로 시작됐기 때문에 처음에는 해당 RCE 취약점이 워드나 마이크로소프트 오피스 제품군에서 발견된 취약점이라는 이야기가 있었다. 그러나 보안 연구원 케빈 보몬트의 분석에 따르면, 해당 취약점은 워드 원격 템플릿 기능을 악용해 원격 서버에서 HTML 파일을 검색한 다음 ms-msdt URL 체계를 악용해 악의적인 코드와 파워셸 스크립트를 로드한다. 베어먼트는 취약점에 식별 코드가 부여되기 전 해당 취약점에 폴리나(Follina)라는 이름을 붙였다.   보몬트는 블로그 게시물에 “매크로가 비활성화되더라도 마이크로소프트 워드가 msdt를 통해 코드를 실행할 수 있다는 것이 첫 번째 문제다. 프로텍티드 뷰(Protected View)가 작동하기는 하지만, 문서를 RTF 형식으로 변경하면 프로텍티드 뷰는 물론 문서를 열지 않고도 (탐색기의 미리보기 탭을 통해) 코드가 실행된다”라고 썼다.  보몬트의 초기 테스트 결과 폴리나는 인사이드 및 커런트 채널에서는 작동하지 않았지만, 다른 버전에서는 악용에 성공했다. 이후 다른 연구원들이 최신 버전의 오피스 2013, 2016, 2019, 2021, 오피스 프로플러스 및 오피스 365...

마이크로소프트 보안 취약점 2022.06.02

이반티코리아, 고성능 SSL-VPN 어플라이언스 ISA-6000, ISA-8000 출시

이반티코리아가 차세대 고성능 어플라이언스 ISA-6000과 ISA-8000을 출시했다고 밝혔다. 이반티의 ISA-6000과 ISA-8000은 하이브리드 클라우드를 위한 차세대 고성능 어플라이언스 모델로, 운영의 효율성은 높이고 데이터센터와 클라우드 환경에 데이터를 안전하게 관리하고 이용하도록 도움을 준다. 이반티의 ISA-6000과 ISA-8000은 쉬운 설정과 적용은 물론, 전력 소비량과 운영 시간을 절감시키는 장점이 있으며 10G의 고속 인터페이스 연결과 데이터의 보안성을 강화한 ▲최신 OS 커널 ▲온보드 TPM 칩, 그리고 새로운 사용자 인터페이스를 위한 ▲REACT 프레임워크를 제공한다. 또한 원격 접속에 필요한 풀터널링, 브라우저 기반 접속, 애플리케이션 VPN 등 주요 기능을 비롯하여 고성능의 보안성을 제공한다 이번 이반티의 ISA(Ivanti Security Appliance) 제품 출시는 펄스시큐어 인수 후에도 지속적인 개발 투자를 보여주는 것이라고 업체 측은 설명했다. 또한 코로나 이후로 더욱 필요해진 디지털 트랜스포메이션을 위한 ZTNA(Zero Trust Network Access) 구현, 가상화/클라우드 어플라이언스 제공으로 기업은 유연하고 확장성 있게 직원 및 파트너들에게 보안 접속을 제공할 수 있다 이반티 코리아의 양경윤 지사장은 “이반티는 최근 몇 년간 펄스시큐어와 모바일아이언 포함 지난해 말 위험기반 취약점 관리 솔루션을 보유한 리스크센스(RiskSense)를 인수하는 등 적극적인 인수합병을 통해 VPN 솔루션 포함 UEM, 제로트러스트 보안 액세스, ESM 및 ITSM 분야의 솔루션 포트폴리오를 보유하고 있다”며, “올해는 SSL-VPN을 중심의 통합 엔드포인트 관리(UEM) 및 취약점 관리 솔루션으로 시장을 넓혀 나갈 계획”이라고 밝혔다. editor@itworld.co.kr

이반티코리아 2022.05.31

블로그ㅣ보안을 '비즈니스와 정렬한다’는 것의 의미

사이버 보안 리더 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더는 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다. ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어렵다.   사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더의 가장 큰 과제가 될 수 있다. 대부분 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용해 비용을 계산하고, 손익 분기점 분석을 활용해 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 명확하다. 아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된다. 예를 들어 특정 솔루션에 미화 100만 달러를 지출하는 것이 ‘그럴 만한 가치가 있다면’ 최소한 해당 금액만큼 위험을 줄일 수 있으리라 예상한다. 필자가 이러한 하한선이 (기업의) 사이버 보안 지출 총량에 적용된다고 말하면 우려하는 사람들도 있다(정말 관심이 있다면 경제학...

사이버 보안 비즈니스 정렬 CISO 2022.05.31

"스마트팜이 위험하다" 도난 트랙터 원격 비활성화로 불거진 농업 보안 우려

러시아의 우크라이나 침공과 관련한 암울한 보도가 이어지는 가운데, 최근 우크라이나 진영의 힘을 북돋울 만한 이야기가 전해졌다. 러시아군이 점령한 농기계 제조업체 존 디어(John Deere)의 대리점 아그로텍 인베스트(Agrotek-Invest)에서 러시아 군인들에게 한화 약 62억 원 상당의 트랙터를 도난당했는데, 원격으로 모두 작동 불능 상태로 만들었다는 소식이다. 러시아 군인들이 27대의 트랙터를 훔쳐서 약 1,100km 떨어진 체첸 공화국으로 보냈으나 도착하고 보니 ‘킬 스위치(kill switch)’가 작동해 움직이지 않았다.    대리점은 트랙터에 내장된 GPS 기술을 사용해 위치를 추적했다. 지난 5월 1일을 기준으로 확인된 장비의 위치는 그로즈니 인근의 농가였다. 한 소식통에 따르면, 러시아인들은 장비를 무력화한 디지털 보호 조치를 우회하기 위해 컨설턴트를 고용한 것으로 알려졌다. 일각에서는 존 디어를 비롯한 제조업체에서 농업용 장비를 업데이트하고 모니터링하기 위해 사용하는 킬 스위치를 악의적 행위자가 악용할 수 있다는 우려가 제기됐다. 해당 기술에 대한 사이버 공격이 대규모로 성공할 경우 핵심 농업 인프라의 상당 부분이 붕괴될 수 있다. 지능적인 장비가 된 현대의 트랙터 농업 대기업인 존 디어의 장비를 포함해 농기계는 1980년대의 아날로그 트랙터, 콤바인 등에서 여러 유용한 농업 데이터를 생산하는, 디지털로 연결된 지능적 디바이스로 발전하기 시작했다. 예를 들어, 최신 트랙터의 바퀴에 장착된 토크(torque) 센서가 토양의 밀도를 측정하고 차대에 탑재된 습도 센서가 토양 수분을 측정하며, 루프의 위치 센서가 1cm 단위의 격자로 밀도와 수분의 도표를 그린다. 우크라이나 대리점에서 사용한 킬 스위치 기술의 시초는 자동차 업계에서 사용되는 차량 식별 번호 잠금, 또는 VIN(vehicle identification number) 잠금 기술이다. VIN 잠금은 승인된 기술자만 특수한 코드를 입력해 기계의 내부 네트워크에...

스마트팜 트랙터 농업 2022.05.30

지니언스, 제로 트러스트 솔루션 ‘지니안 ZTNA’ 출시

지니언스가 제로 트러스트 솔루션 ‘지니안 ZTNA(Zero Trust Network Access)’를 출시했다고 밝혔다. ‘지니안 ZTNA’는 IT와 보안 환경을 위한 최적의 아키텍처로 정보 통제기능을 강화한 제로 트러스트 솔루션이다. 모든 것을 지속적으로 검증하고 강력하게 대응한다는 원칙을 기본으로 ▲통제범위 확대 ▲운영 편의 제공 ▲서비스 확장성 ▲가시성 극대화 ▲네트워크 접근 통제 등의 기본 기능이 제공된다.   원격 및 클라우드 등 확장된 네트워크에 통합 대응이 가능해 암호화, 악성코드에 대한 대응으로 강력하게 사용자를 보호한다. 다양한 네트워크 환경과 연결지점을 보호해 비즈니스의 연속성을 확보하고, 일관성 있는 보안정책과 지속적인 모니터링을 통해 통합 관리를 단순화시켜 즉각적인 보안 대응이 가능해 투자 비용을 절감할 수 있다고 업체 측은 설명했다. ▲MFA(Multi Factor Authentication) ▲SSL/IPSec VPN ▲IP 모빌리티, NTA(Network Traffic Analysis) ▲5G 네트워크 컨트롤 ▲클라우드 게이트웨이를 통해 최적의 제로 트러스트 환경 구성이 가능하다. 지니언스 이동범 대표는 “지니안 ZTNA는 단일 보안 솔루션이 아니라 고객 IT 및 보안 환경을 제로 트러스트 체계로 확립시켜주는 차세대 보안 모델”이라며 “보안 박람회인 RSAC 2022에서 전 세계를 대상으로 공식 공개될 예정”이라고 밝혔다. editor@itworld.co.kr

지니언스 2022.05.30

최근 발견된 액티브 디렉토리 취약점 대처, 단순 패치로는 부족하다

필자처럼 나이가 지긋한 사람은 도메인과 액티브 디렉토리(Active Directory, AD)를 처음 다루기 시작했을 때를 기억할 것이다. 물론 필자보다 어리더라도 도메인과 AD를 여전히 다루어야 한다. 새 회사에서 이제 막 경력을 쌓기 시작한 사람이라면 애저(Azure) AD를 기본 구성 요소 정도로만 여길 것이다. 하지만 AD는 패치하고 계속해서 유지관리해야 하는 것임을 반드시 기억해야 한다.    최근 보안 뉴스에 AD가 다시 등장했다. 또 다른 취약점이 문제가 된 것이다. 향후 공격에서 네트워크를 제대로 보호하려면 패치 이상의 조치가 필요할지 모른다. 마이크로소프트의 5월 10일 자 보안 업데이트에는 인증서 관련 패치가 여럿 포함돼 있다.   CVE-2022-26925 : 윈도우 LSA 스푸핑 취약점 CVE-2022-26931 : 윈도우 커버로스(Kerberos) 권한 상승 취약점 CVE-2022-26923 : AD 도메인 서비스 권한 상승 취약점 CVE-2022-26923이 특히 걱정스럽다. 공격자가 불과 몇 분 만에 사용자에서 도메인 관리자로 이동할 수 있어서다. 실제 공격 시퀀스를 확인하려면 트라이해크미(TryHackMe)에서 CVE-2022-26923 패치가 네트워크에 미치는 영향을 분석해 보자. CVE-2022-26923은 시스템 구성 오류(misconfiguration) 심각도에 따라 AD 도메인에서 낮은 권한의 사용자가 클릭 몇 번만으로 본인의 권한을 기업 도메인 관리자의 권한으로 상승시킬 수 있는 취약점이다. CERT협력센터(CERT/CC) 애널리스트 윌 도먼이 언급한 대로, 기본 AD 구성에서 꽤 잘 통한다. 몇 단계 만에 일반 사용자에서 도메인 관리자로 이동한다. 보안 연구원 올리버 리약과 마이크로소프트 테크 커뮤니티의 에란 낙손은 각각 블로그 게시물에 상세한 내용을 게재했다. 이 패치는 잠재적인 공격 수단 전부를 차단하는 것이 아니라 ESC6을 사용하는 공격 시퀀스만 차단한다. ...

AD 액티브디렉토리 애저AD 2022.05.27

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.