Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

"진실·투명성·신뢰의 원칙 지켜라" 우버 전 CSO의 재판에서 배울 점

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

우버 소송 CISO 2022.05.23

캐나다, 중국산 5G 네트워크 장비 금지…2024년 6월까지 관련 장비 교체 명령

캐나다 정부가 새로 포괄적인 통신 보안 프레임을 도입하기로 하면서 통신 분야 일반, 특히 5G 네트워크에 화웨이와 ZTE의 장비 사용을 금지했다.   캐나다 정부가 발표한 정책에 따르면, 캐나다 통신업체는 오는 9월부터 화웨이와 ZTE 장비를 새로 구매하는 것이 공식적으로 금지된다. 또한 2024년 6월 28일부터는 5G 네트워크에서 두 업체의 장비를 제거할 것도 명령했다. 4G/LTE 장비는 2027년 말까지 제거해야 한다. 미국과 마찬가지로 캐나다 역시 중국 네트워크 장비의 금지를 기존 장비로 확대한 것이다. 통신업체는 대체 장비를 새로 구매해야 하는데, 정부가 통신업체의 대체 장비 구매 자금을 보조할 것인지는 확실하지 않다. 다만 장비 교체가 제대로 이루어지도록 하기 위해 업계와 함께 할 계획이라고만 밝혔다. 궁극적으로 캐나다 정부가 중점을 두는 것은 잠재적인 위협이 있는 장비를 자국의 가장 중요한 통신 네트워크에서 제거하는 것이다. 발표문은 “캐나다 정부는 화웨이와 ZTE처럼 외국 정부의 지시를 따를 수밖에 없는, 그래서 캐나다 법률과 충돌하거나 캐나다의 이익을 침해할 수 있는 화웨이나 ZTE 같은 공급업체에 관해 심각한 우려가 있다”고 지적했다.  이로써 캐나다는 미국, 영국, 호주, 뉴질랜드에 이어 상호 정보 동맹을 맺고 있는 파이브 아이즈(Five Eyes) 5개국 중 마지막으로 통신 장비 금지 조치에 합류했다. 중국산 장비와 관련한 네트워크 침해 우려가 제기된 것은 대략 10년 전이다. 미국 의회 정보위원회의 2012년 10월 보고서는 화웨이와 ZTE의 중국 공산당과의 불분명한 연결 속성 때문에 보안 위협이 우려된다고 경고했다. 이후 이들 업체의 장비를 제한하거나 금지하기 위한 여러 가지 조치가 시행됐다. 화웨이와 ZTE는 자사 장비를 안전하지 않은 것으로 규정짓는 것에 이의를 제기하며, 중국 정부에 의한 침해 우려는 현실적이지 않다고 주장하고 있다. 중국 정부 역시 외교부 성명을 통해 보안 위험의 증거가 막연하고 의...

캐나다 화웨이 ZTE 2022.05.23

'e심 아이폰 13'서 페이스타임·아이메시지 비활성화 오류 발견

아이폰의 e심(eSIM)은 번거로운 절차 없이 애플 기기를 활성화하는 방법이다. 그러나 최근 e심 기반 아이폰에서 새로운 오류가 발견돼 아이폰 사용자에게 골칫거리가 되고 있다. 여러 보도에 따르면, 아이폰의 e심이 페이스타임과 아이메시지를 비활성화하는 문제를 유발하는 것으로 알려졌다. 물리적인 심카드로 교체하는 것 외에는 해결할 방법이 없다.   해당 문제는 애플 전문 기자 마크 거먼의 트윗으로 처음 알려졌다. 거먼은 자신의 티모바일(T-Mobile) 아이폰에서 페이스타임과 아이메시지가 비활성화되었으며, 재활성화 시도를 했는데 실패했다고 말했다. 거먼은 티모바일 담당자와 통화 후에 문제를 해결할 수 있었는데, e심을 물리적인 나노 심카드로 교체하는 것이 유일한 해결책이었다.    There is a very nasty iPhone and @TMobile bug where iMessage and FaceTime for a device’s phone number will randomly deactivate and there is no way to reactivate it. The only solution that worked for me is getting a new physical SIM card. An extremely disappointing issue. — Mark Gurman (@markgurman) May 19, 2022 미국 내 다른 통신사 사용자들과 다른 국가의 사용자들도 거먼과 같은 문제를 겪었다고 호소했다. 한 사용자는 영국 보다폰(Vodaphone)에서, 다른 사용자는 인도의 에어텔(Airtel)에서 “똑같은 문제”를 겪었다고 말했다.  이들 문제의 공통분모는 아이폰 13과 iOS 15.4인 것으로 보인다. 대부분 문제는 e심을 물리적인 심카드로 교체하면 해결된다. 애플 지원으로는 문제를 해결할 수 없을 것으로 판단되므로 해당 문제가 발생한 사용자는 통신사에 도움을 요청하는 것이 좋다.&nb...

아이폰13 오류 eSIM 2022.05.23

새로운 VM웨어 취약점 발견…미 CISA, 모든 연방 기관에 긴급 완화 촉구

미국 사이버보안 및 인프라 보안국(CISA)이 VM웨어 제품에서 발견된 2가지 새로운 취약점에 대한 긴급 지침을 발표했다.   CISA가 주목한 취약점은 VM웨어 워크스페이스 원 액세스(VMware Workspace ONE Access, Access), VM웨어 아이덴티티 매니저(VMware Identity Manager, vIDM) VM웨어 v리얼라이즈 오토메이션(VMware vRealize Automation, vRA), VM웨어 클라우드 파운데이션(VMware Cloud Foundation) 및 v리얼라이즈 스위트 라이프사이클 매니저(vRealize Suite Lifecycle Manager)을 포함한 몇몇 제품에서 발견된 취약점 CVE-2022-22972, CVE-2022-22973이다. 지난 4월 VM웨어 제품에서 발견된 취약점 CVE 2022-22954 및 CVE 2022-22960과 매우 유사하다. CISA는 해당 제품을 사용하는 정부 기관에 관련 위험을 완화하기 위해 신속한 조치를 취할 것을 촉구했다. CISA는 위협 행위자가 CVE-2022-22972 및 CVE-2022-22973을 재빠르게 악용할 수 있다고 우려했다. VM웨어는 2가지 취약점에 대한 업데이트를 18일 배포했다. CISA는 주의보에서 “취약점을 악용하면 공격자는 서버 측 템플릿 주입으로 원격 코드 실행을 할 수 있으며(CVE 2022-22954), 루트로 권한을 상승할 수 있고(CVE-2022-22960 및 CVE-2022-22973), 허가받지 않은 관리자 권한을 획득할 수 있다(CVE-2022-22972)”라고 경고했다. CISA는 이런 취약점으로 인해 FCEB(Federal Civilian Executive Branch) 기관에서 허용할 수 없는 위험을 초래하므로 긴급 조치가 필요하다고 판단했다. CVE-2022-22954 및 CVE-2022-22960 악용 사례를 이미 확인했고 향후 CVE-2022-22972 및 CVE-2022-22973도 악용...

CISA VM웨어 취약점 2022.05.20

클라우드 보안팀은 반드시 답을 알고 있어야 하는 질문 9가지

사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 패튼 장군(정확하게는 1970년 영화 <패튼 대전차군단(Patton)>에서 패튼 장군을 연기해 아카데미 남우주연상을 수상한 배우 조지 스콧처럼) 생각해야 한다. 이 영화 초반의 한 장면에서 패튼 장군은 적군이 쓴 책(독일 장군 에르빈 롬멜의 책)을 읽고 있다. 패튼 장군이 군사 정보만 의존하지 않는다는 점을 보여준다. 패튼 장군은 적이 어떻게 생각하고 작전을 벌이는지 최대한 파악했다. 그다음 장면에는 영국 부대가 독일군의 탱크와 보병 부대에 가공할 만한 공격을 퍼붓는 모습이 펼쳐진다. 망원경으로 이 상황을 유심히 보고 있던 패튼 장군은 미소를 띠며 “롬멜, 이 대단한 XX! 네가 쓴 책 내가 읽었다!”라고 소리친다.    이와 마찬가지로 비즈니스 책임자와 보안 책임자도 해커의 동기와 전술에 관해 최대한 많은 지식을 미리 알아 둬야 한다. 보안 솔루션이 알려주는 정보만 의존해서는 안 된다. 잘못된 보안 감각만 얻을 수 있기 때문이다. 이 순간에도 해커는 보안 경계를 우회하고, 임의의 경계를 건너며, 보안 솔루션을 회피하여 원하는 데이터를 얻고 있다.  ‘스니크(Snyk)’의 최고 아키텍트이자 클라우드 보안 SaaS 업체 ‘푸가(Fugue)’의 CEO 조시 스텔라는 경영진이 보안 팀에 클라우드 환경 관련 지식을 제공해 달라고 요청하고, 이를 다른 경영진에게 효과적으로 전달해야 보안 투자를 정당화할 수 있다고 강조했다.  아마도 기업의 적(해커)은 자신의 공격 방법을 사전에 공부할 수 있는 책을 써 주진 않을 것이다. 따라서 다음에 소개하는 9가지 질문을 주의 깊게 살펴보자. 클라우드 보안과 관련해 모든 고위 경영진(CISO, CIO, CEO)이 해야 할 질문이자, 클라우드 보안팀이 항상 답을 알고 있어야 할 질문이다. 클라우드 환경의 규정 준수 상태가 어떠한가? 클라우드에서 운영되는 기업 중에서 규제 및...

클라우드 클라우드 보안 사이버 보안 2022.05.19

팔로알토 네트웍스, ZTNA 2.0 구현 위한 프리즈마 액세스 기능 강화

팔로알토 네트웍스(www.paloaltonetworks.co.kr)는 2세대 제로트러스트 네트워크 액세스(Zero Trust Network Access, 이하 ZTNA 2.0) 구현을 위해 원격 접속 보안 솔루션 기능을 강화했다고 밝혔다. ZTNA는 가상사설망(VPN)의 확장이 제한적이고 지나치게 많은 권한이 허용된다는 한계를 극복하기 위해 등장했다. 그러나 1세대 ZTNA 제품들은 신뢰 수준이 너무 높아 조직을 심각한 위험에 노출시킬 수 있다는 단점이 존재했다. 이에 팔로알토 네트웍스는 암시적(implicit) 신뢰를 제거하는 방식의 ZTNA 2.0을 통해 원격 접속 보안의 패러다임 전환에 나섰다고 설명했다.   하이브리드 업무 환경 내에서 분산 애플리케이션을 사용하는 현대적인 조직의 경우, 1세대 ZTNA로 해결할 수 없는 몇 가지 문제를 경험하게 된다. 하위 애플리케이션 및 특정 기능을 제어해야 하는 이슈로 애플리케이션에 과도한 액세스 권한을 부여하는 문제, 혹은 사용자, 애플리케이션, 디바이스 동작 등의 변화를 모니터링할 수 없어 멀웨어 및 연결 환경에서의 횡간 이동을 탐지하지 못하는 문제 등이 여기에 해당된다. 또한 1세대 ZTNA는 전체 엔터프라이즈 데이터를 커버하지 못하는 한계도 있다. 2세대 ZTNA를 위해 강화된 ‘팔로알토 네트웍스 프리즈마 액세스(Palo Alto Networks Prisma Access)’는 현대적인 애플리케이션의 보안 과제 및 최신 위협에 대응하고 하이브리드 업무 환경에 적합한 기능을 제공한다.  팔로알토 네트웍스 프리즈마 액세스는 ZTNA 2.0의 요구사항을 모두 충족하는 솔루션으로 모든 애플리케이션 트래픽을 보호하고 액세스와 데이터에 대한 보안을 제공한다. ZTNA 2.0에 맞춰 강화된 프리즈마 액세스의 새로운 기능은 ▲ZTNA 커넥터 ▲유니파이드 SASE ▲셀프 서비스 방식의 자율 디지털 경험 관리(ADEM) 등이다.   팔로알토 네트웍스 코리아 이희만 대표는 “최근 2년간 업무 환...

팔로알토 네트웍스 2022.05.19

"전원 꺼져도 해킹한다" 독일 대학 연구팀, 새로운 아이폰 취약점 발견

독일 다름슈타트 공과대학교 연구팀이 아이폰을 악성 프로그램에 감염시킬 위험이 있는 새로운 취약점을 발견했다. 아이폰 전원이 꺼져 있어도 접근할 수 있어 주의가 요구된다.   해당 취약점을 악용하려면 탈옥 상태의 아이폰이 필요하므로 대부분 아이폰 사용자는 당장 걱정할 필요가 없다. 그러나 아스 테크니카(Ars Technica)는 해커가 이 취약점을 악용할 수 있는 보안 결함을 ‘순정’ 상태의 아이폰에서 발견하면 실제 위험이 될 수 있으므로 애플에서 반드시 해결해야 한다고 지적했다.  연구팀이 공개한 영상을 요약하면 취약점은 아이폰의 블루투스 칩과 나의 찾기(Find My) 기능과 관련이 있다. 나의 찾기 기능은 아이폰(아이폰 11 이상)이 꺼져 있을 때도 동작하는데, 이는 블루투스 기능이 여전히 저전력 모드로 활성화되어 있기 때문이다. 연구팀은 블루투스 칩의 저전력 모드를 악용해 아이폰에 악성 프로그램을 설치할 수 있다는 사실을 발견했다. 참고로, 이때의 저전력 모드는 배터리 소모량을 줄이기 위한 저전력 모드와는 다르다.  연구팀의 논문에 따르면, 이 취약점은 하드웨어의 저전력 모드에 적용되는 문제이므로 iOS 업데이트로는 수정할 수 없다. 연구팀은 이런 문제를 고치기 위해서는 애플이 “배터리 연결을 해제하는 하드웨어 기반 스위치를 추가해야 한다”라고 말했다. 즉, 향후 출시될 아이폰만 이런 취약점에 안전하다는 의미다. 그러나 아이폰 전원을 끈 상태를 며칠 동안 유지하지 않는 이상 해당 취약점은 악용하기 매우 어렵다. 며칠간 아이폰을 꺼 두어야 하는 상황이라면 나의 찾기 앱에서 ‘마지막 위치 보내기’를 비활성화해두는 것을 추천한다. editor@itworld.co.kr

아이폰 취약점 탈옥 2022.05.19

글로벌 칼럼 | 오픈소스 보안은 돈으로도 해결할 수 없다

좋은 소식이 있다. 오픈소스 보안 재단(Open Source Security Foundation, 오픈SSF)에 따르면 1억 5,000만 달러 정도의 자금만 있으면 오픈소스 소프트웨어를 보호할 수 있다. 더 좋은 소식은 업계 큰손들인 아마존, 인텔, 구글, 마이크로소프트가 이미 3,000만 달러를 내기로 했다는 사실이다. 그렇다면 이제 1억 2,000만 달러만 더 모으면 오픈소스의 미래를 보호할 수 있는 셈이다. 정말 그럴까? 그렇지 않다. 나쁜 소식은 오픈소스에 대한 일반화된 접근 방식은 통하지 않는다는 것이다. 오픈SSF의 ‘10포인트’ 계획은 보안에 대한 다면적 접근 방법을 촉진하는 좋은 계획이다. 오픈SSF의 총괄 관리자인 브라이언 벨렌도프는 “한 가지 근본적인 원인이나 모든 문제를 해결할 한 가지 근본적인 접근 방법은 없으므로 이 방식이 과거의 여러 단편적 접근 방법에 비하면 성공할 가능성이 더 높다"라고 주장했다. 맞는 말이다. 그런데 필자가 오픈소스 보안에 대해 우리가 여전히 잘못 접근하고 있을지도 모른다고 우려하는 이유도 마찬가지로 바로 이 때문이다.   먼저 계획부터 오픈SSF의 노력을 깎아내리려는 의도는 없다. 필자가 언제나 미래는 낙관적이라고 생각한다. 오픈SSF의 업계 결집 시도는 과거의 방식에 비하면 크게 개선된 것이다. 우리가 버그를 찾고 수정하는 오픈소스 프로세스 역시 소프트웨어 보안에 대처하는 올바른 방법이다. 오픈SSF는 우리가 모두 기존의 노력을 통합할 기회를 제공한다. 오픈SSF의 10포인트 계획의 주요 내용은 다음과 같다.   커뮤니티에서 일하는 모두에게 보안 교육 제공 주요 오픈소스 구성요소에 대한 위험 평가 대시보드 구축 디지털 서명 도입 가속화 비메모리 안전 언어를 대체해 많은 버그의 근본 원인을 제거 오픈소스 사고 대응팀 구성 유지보수자와 전문가에 의한 코드 스캔을 개선해 버그를 더 신속하게 발견 최대 200개의 중대한 구성요소에 대한 제삼자 코드 리뷰 수행 업계 전반적인 연구 데...

오픈소스 보안 2022.05.19

마이크로소프트, 새 매니지드 서비스 공개…기존 산업 솔루션 서비스도 확장

마이크로소프트가 숙련된 전문가와 최신 기술이 결합된 보안 서비스 카테고리인 마이크로소프트 보안 전문가(Microsoft Security Experts)를 발표하고, 3가지의 매니지드 서비스(Managed service)를 공개했다. 마이크로소프트 보안 부문 기업 부사장인 바수 자칼은 “사이버 공격 규모가 증가함에 따라 조직 내부의 보안 팀 규모도 확장되어야 하지만, 기업들이 점점 까다로워지고 있는 보안 요구 사항을 충족할 기술을 갖춘 전담팀을 구성하고 유지하기는 어려운 실정”이라며, “마이크로소프트 보안 전문가를 통해 기업들이 보다 안전하고 생산적인 보안 생태계를 구축하기 바란다”고 말했다.  마이크로소프트는 보안팀(Microsoft Security)은 지난해 96억개 이상의 맬웨어 위협과 357억개 이상의 피싱 및 기타 악성 이메일을 차단하고 있으며, 사이버 범죄 활동에 쓰이는 랜섬웨어 제품군과 해커를 적극적으로 추적하고 있다.   이에 더해 마이크로소프트는 고객 및 파트너의 보안 팀 확장을 지원하는 3가지 매니지드 서비스를 선보인다. 해당 서비스는 전문가가 학습한 내용으로 프로그래밍된 기술과 사람이 직접 주도하는 서비스를 결합한 형태다. 특히 별도의 인력 고용 및 교육을 필요로 하지 않는 점이 특징이다. 헌팅을 위한 마이크로소프트 디펜더 전문가(Microsoft Defender Experts for Hunting)는 보안 관제 센터(Security Operations Center)를 보유한 조직을 위한 서비스다. 특히 엔드포인트, 오피스 365, 클라우드 애플리케이션 및 ID 등에서 발생하는 위협에 신속히 대응, 상황에 따른 정보와 지침을 제공한다. 해당 서비스는 현재 프리뷰로 이용해 볼 수 있으며, 이번 여름 공식 출시된다.  XDR용 마이크로소프트 디펜더 전문가(Microsoft Defender Experts for Extended Detection and Response)는 고도화된 자동화 시스템을 통해 사고에 대...

마이크로소프트 2022.05.18

최고의 취약점 관리 프로그램을 개발하는 12단계

보안 임원들은 IT 환경에서 취약점을 해결하는 것이 얼마나 중요한지 잘 알고 있다. 최근 패치되지 않은 시스템으로 인해 발생한 대규모 침해 사건으로 인해 다른 고위 경영진도 취약점 관리의 중요성을 깨닫게 됐다.  미국 연방거래위원회(FTC)는 1월 초 비즈니스 커뮤니티에 Log4j 취약점 해결에 대해 공지하며 “기업은 FTC법 및 그램 리치 블라일리법(Gramm Leach Bliley Act, GLBA)에 따라 알려진 소프트웨어 취약점을 완화하기 위해 합리적인 조치를 취할 의무가 있다. Log4j에 의존하는 기업과 이들의 제공업체는 소비자에 대한 피해 가능성을 줄이고 FTC의 소송을 방지하기 위해 당장 조치를 취해야 한다”라고 권고했다.   FTC가 Log4j 취약점에 대해 경고한 데는 이유가 있다. 여러 보고서에 따르면, 패치되지 않은 알려진 취약점은 주요 공격 벡터가 되기 때문이다.    보안 업체 이반티(Ivanti), CSW(Cyber Security Works), 싸이웨어(Cyware)의 ‘랜섬웨어 스포트라이트 2021년 연말 보고서’에 따르면, 2021년 발생한 랜섬웨어 공격 관련 취약점은 65개가 새롭게 추가되면서 전년 대비 29% 증가했다. 총 288가지의 알려진 취약점이 2021년의 랜섬웨어 공격과 관련 있었다.  이런 조사 결과에도 불구하고 취약점 관리 프로그램을 마련한 기업은 많지 않다. 사이버 교육 및 인증 업체 SANS 인스티튜트(SANS Institute)의 2020년 설문조사 결과, 취약점 관리에 대해 비공식적인 접근 방식을 취하고 있거나 프로그램이 전혀 없는 기업은 약 37%로 조사됐다.  많은 보안 전문가가 임시 또는 비공식적인 방법으로 취약점을 관리해서는 안 된다고 입을 모았다. 취약점에 대한 조치와 책무, 지속적인 개선은 체계적으로 이루어져야 한다. 이 목적을 달성하기 위해 보안 전문가들은 최고의 취약점 관리 프로그램을 개발하는 12단계를 제안했다. 하나씩 살펴보...

취약점관리 취약점관리프로그램 버그바운티 2022.05.18

"구글이 한 번 더 검증한다" 구글, 코드 리뷰 거친 일반 오픈소스 패키지 AOSS 공개

기업 개발자는 애플리케이션 개발 대부분을 의존하는 오픈소스 소프트웨어 공급망 보안을 우려하기 마련이다. 구글이 보안을 자체 역량으로 강화한 내부 오픈소스 구성요소 리포지토리를 어슈어드 OSS(Assured Open Source Software)라는 유료 서비스로 출시했다.  AOSS에는 코드 소스, 종속성이 확인되고 검토와 취약점 테스트를 거친 후 소스 코드에서 빌드된 일반 오픈소스 패키지가 포함된다. 결과 패키지는 SLSA 프레임워크를 준수하고, 구글이 디지털 서명한 풍부한 메타데이터로 이루어진다.   구글 클라우드 인프라 부사장 에릭 브루어는 구글이 자체 소프트웨어 개발 파이프라인에 필요한 오픈소스 패키지 내부 보안 테스트 버전을 유지 관리하고 있으므로 AOSS의 기본 구성이 이미 준비된 상태라고 밝혔다. 이번주 발표된 AOSS는 일부 얼리액세스 테스트 기업에 먼저 제공되고 이후 3분기부터 공개 프리뷰로 전환될 예정이다. 10만 개 이상의 코어 자동화 퍼징 테스트 등 보안 테스트, 패키지 빌드 및 호스트 등 관련 인프라 비용이 가격에 반영될 것으로 보인다.  AOSS 서비스는 구글이 사용하는 500가지 자바, 파이썬 패키지 집합으로 시작해 향후 다른 언어로도 확장할 계획이다. 사용 기업은 리포지토리로 추가나 관리하는 오픈소스 패키지를 제출할 수 있으며, 기존 패키지와 같은 수준의 보안이 제공된다.   어렵고 복잡한 로컬 소프트웨어 구성 요소 유지 관리 구글의 접근 방식은 소프트웨어를 개발하는 모든 기업이 이미 공급망 위험을 관리하기 위해 하고 있는 것이다. 구성 요소의 로컬 복사본을 로컬 퍼블릭 리포지토리에서 바로 꺼내오지 않고 로컬 리포지토리에 유지하는 방식이다. 패키지나 독립성이 악성 코드로 손상되거나 공격받은 경우 일종의 버퍼가 생긴다. 그러나 잘 관리되지 않으면, 다시 말해 업스트림 보안 수정이 정기적으로 적용되지 않아 내부 패키지 버전이 부실해지면 패치에 지연이 발생하기도 한다. 보안 패치가 새로운 버...

오픈소스 AOSS 2022.05.18

"기업이 직면한 가장 큰 위협은 내부자 위협" 프루프포인트 보고서

보안업체 프루프포인트(Proofpoint)가 최근 발간한 연례 보고서 ‘2022년 CISO의 목소리(2022 Voice of the CISO)’에 따르면 전 세계 CISO는 대규모 사이버 공격 위협과 이사회의 지지를 얻는 것을 가장 중요하게 생각하고 있으며, 기업이 직면한 가장 주된 사이버보안 위협으로 내부자 위협을 꼽았다.   조사에 참여한 1,400명의 CISO 가운데 거의 절반(48%)가량이 향후 12개월 동안 중대한 사이버 공격을 겪을 위험에 처했다고 답했다. 2021년 조사 결과(64%)와 비교했을 때 훨씬 낮은 수치다. 코로나19 팬데믹이 닥쳤을 때 CISO들이 원격 근무자의 급증에 대처하고 안전하게 비즈니스를 운영할 수 있도록 제어 툴을 마련했기 때문에 수치가 감소한 것으로 풀이된다. 프루프포인트 글로벌 레지던트 CISO 루시아 밀리카는 CSO에 “수치 하락은 놀라운 결과였다. 지난 2년간 CISO는 하이브리드 업무환경을 지원하기 위해 보다 영구적인 제어 기능을 도입할 시간을 가졌다. 따라서 더 많은 CISO가 기업을 보호하고 있다는 느낌을 쉽게 받을 수 있다”라고 설명했다. 기업이 직면한 가장 큰 위협은 ‘내부자 위협’ 하이브리드 업무환경으로 전환한 이후 표적화된 공격에 대해 질문했을 때도 결과가 유사했다. 51%의 CISO가 하이브리드 업무환경이 확산하면서 표적 공격이 증가했다고 답했는데, 이 또한 2021년(58%)보다 낮아진 수치다. 프루프포인트의 의뢰로 해당 설문조사를 수행한 센서스와이드(Censuswide) 연구팀은 향후 발생할 사이버 공격에 대한 불안감이 국가마다 다르다는 것을 포착했다. 프랑스(80%) 소재 기업의 CISO가 중대한 사이버 공격을 가장 우려하는 것으로 나타났으며, 캐나다(72%), 호주(68%)가 뒤를 이었다. 사이버 공격에 대한 불안감이 가장 적은 국가는 네덜란드(28%)와 사우디아라비아(27%)였다. CISO들은 기업이 직면한 가장 주된 위협으로 내부자 위협(31%), DDoS...

프루프포인트 내부자위협 CISO 2022.05.18

“랜섬웨어 피해 기업 76% 금전적 대가 지불” 빔 소프트웨어 발표

빔 소프트웨어(veeam.com/ko)가 우리나라를 비롯한 전세계 랜섬웨어 현황을 조사한 ‘2022 랜섬웨어 트렌드 리포트(2022 Ransomware Trends Report)’를 발표했다. 이 보고서에 따르면, 대다수(80%)의 랜섬웨어 공격은 피해 기업이 금전적 대가를 지불하지 않고 복구할 수 없도록 백업 저장소를 파괴하는 등 잘 알려진 취약점을 노린 것으로 나타났다. 기업 중 72%는 백업 저장소에 대한 공격을 받아 금전적 대가를 지불하지 않고 데이터를 복구하기 어려운 상항에 놓였던 것으로 나타났다. 또한, 랜섬웨어 공격은 평균 기업 데이터의 47%를 암호화했으며, 피해 기업은 이 중 69%의 데이터만 복구하는 것으로 나타났다. 빔 소프트웨어가 조사기관 벤슨 본에 의뢰해 수행한 이번 연구는 랜섬웨어 공격을 통한 인사이트, IT 환경에 미치는 영향, 비즈니스 연속성을 보장하는 데이터 보호 전략 구현을 파악하기 위해 지난 12개월 간 1회 이상 랜섬웨어 공격을 받은 전세계 기업 중 1,000명의 IT 리더를 대상으로 조사했다. 조사 응답자의 76%는 사이버 공격을 받은 이후 데이터를 복구하기 위해 금전적 대가를 지불했다고 응답했고, 52%는 대가를 지불하고 데이터를 복구할 수 있었지만 나머지 24%는 데이터 복구에 실패했다. 오직 19%의 응답자만 자체적으로 데이터를 복구할 수 있었기 때문에 금전적 대가를 지불하지 않았고, 이러한 데이터 복구 능력은 나머지 81%의 기업이 적절한 데이터 보호 전략을 갖춰야 함을 의미한다. 보고서에 따르면 사이버 범죄자가 노리는 공격 시작점은 다양했다. 사용자가 악성 링크를 클릭하거나, 안전하지 않은 웹사이트를 방문하거나, 피싱 이메일을 사용하여 기업에 침투하는 경우가 가장 많았다. 침투를 완료한 범죄자는 데이터 센터 서버, 원격 사무실 플랫폼 및 클라우드 호스팅 서버를 모두 감염시켰다. 대부분의 경우, 범죄자는 NAS 플랫폼, 데이터베이스 서버는 물론 일반적인 운영 체제와 알려진 취약점을 이용해 패치가 아직 적용되지...

빔 소프트웨어 2022.05.18

"MSP, 보안 공격 대비해야" 파이브 아이즈 보안 기관 일제히 경고

미국∙영국∙캐나다∙호주∙뉴질랜드로 구성된 ‘파이브 아이즈(Five Eyes)’ 국가의 사이버 보안 당국이 MSP(Managed Service Provider)를 표적으로 삼는 악의적인 사이버 활동이 늘어난다고 경고했다. 이 경고는 영국(NCSC-UK), 호주(ACSC), 캐나다(CCCS), 뉴질랜드(NCSC-NZ), 미국(CISA, NSA, FBI)의 협업 노력의 결과물이다. 5개국의 보안 기관은 악의적 사이버 활동 증가를 관찰한 최근 연구 조사나 보고서에 대해 알고 있으며, 향후 이런 추세가 계속될 것이라고 예측했다. 동시에 MSP IT 솔루션 제공자 N-에이블(N-Able)의 보고서를 지목했다. 이 보고서에서는 “전 세계 대다수 MSP를 대상으로 한 사이버 공격은 지난 18개월 동안 거의 성공했으며, 팬데믹 이후 공격은 더욱 증가했다”라고 분석했다.   CISA의 책임자 젠 이스털리는 “파이브 아이즈 국가가 공동 권고에서 밝혔듯, 악의적 사이버 공격자가 계속 MSP를 표적으로 삼고 있기 때문에 관련 기업과 조직의 다운스트림 위험이 크게 증가할 것이다. MSP와 고객사는 네트워크를 보호하려는 조치를 취해야 한다. MSP 보안은 전체적인 사이버 방어에 필수적이며, CISA와 중간 기관 및 국제 협력업체는 보안을 강화하고 글로벌 공급망의 회복력 개선을 위해 노력하고 있다”라고 밝혔다.   공동 권고에서 사이버 보안 활동 표준을 제안 5개국 보안 기관의 공동 권고는 사이버 침투의 피해자가 될 위험을 낮추기 위해 MSP와 고객사가 취할 수 있는 조치를 상세히 목록으로 제시했다. 이 권고에서는 MSP를 ‘서비스 수준 합의 등 계약을 통해 고객을 위한 ICT[Information and Communications Technology] 서비스 및 기능을 제공, 운영, 관리’하는 독립체로 정의했다. 또한 MSP 서비스에 일반적으로 신뢰할 수 있는 네트워크 연결과 고객 시스템에 대한 권한 액세스가 필요하다고 지적했다. MSP 기업은 이외에도 사이버 ...

매니지드서비스 MSP 파이브아이즈 2022.05.17

"끝없는 고양이-쥐 게임" 6가지 보안 위협과 대처법

기업 내부망을 벗어난 바깥세상은 전쟁터다. 끝이 없어 보이는 사이버 '고양이와 쥐' 게임 속에서 정확한 정보는 여전히 공격자를 물리치는 최고의 무기다. 오늘날 6가지 주요 네트워크 위협과 이를 확인해 해결하는 방법을 정리했다.     랜섬웨어 랜섬웨어(Ransomware)는 공격자에게 최고의 가성비를 제공하면서 검거될 확률이 상대적으로 낮기 때문에 가장 큰 네트워크 위협이라 할 수 있다. 사이버 보안 및 준법 감시 기업 쉘먼(Schellman)의 수석 평가자 앤디 로저스는 “스킬 카테고리의 진입 장벽도 낮다. 많은 RaaS(Ransomware as a Service) 기업이 랜섬웨어 캠페인에 필요한 툴을 제공한다. 이런 ‘서비스 제공자’는 스스로 그 어떤 공격도 감행하지 않기 때문에 위험이 매우 적으므로, 꽤 달콤한 사업이다. 또한 결제는 암호화폐의 형태로 이루어지기 때문에 추적하기가 어렵다"라고 말했다. 랜섬웨어는 익명성과 높은 몸값 때문에 세계에서 가장 수익성이 높은 범죄 산업이 됐다. 로저스는 “2021년의 콜로니얼 파이프라인(Colonial Pipeline) 등 최근 세간의 이목을 집중시킨 공급망 공격 중 다수가 랜섬웨어 공격이었으며, HDD(Hard Disk Drive)와 SSD(Solid State Drive)가 암호화되고 해커가 이를 사용해 최대 440만 달러의 대가를 암호화폐로 요구했다”라고 말했다. 랜섬웨어 피해를 방지하는 최선의 방법은 보안 인식 교육 등 탄탄한 보안 정책과 절차를 마련하는 것이다. 로저스는 "월간 시스템 및 애플리케이션 패치뿐 아니라 중요한 시스템과 데이터로부터 패치할 수 없는 취약한 시스템을 분리하는 것이 좋다. 데이터를 정기적으로 백업하되 랜섬웨어가 쓸 수 없는 방식으로 해야 한다”고 말했다.   좀비 봇넷 좀비 봇넷은 DDoS(Distributed Denial of Service) 공격, 키로깅, 스팸 등의 특정 악성 활동을 위해 개발된다. 데이터센터 서비스 기업 TRG 데이터센터스(T...

보안 네트워크 2022.05.17

빔 소프트웨어, 쿠버네티스 전문 데이터 관리 플랫폼 ‘카스텐’ 새 버전 발표

빔 소프트웨어(www.veeam.com/ko)가 최신 쿠버네티스(Kubernetes) 데이터 관리 플랫폼인 ‘카스텐 K10 v5.0’을 발표했다. 카스텐 K10 v5.0은 쿠버네티스를 위해 특별히 개발됐다. 전체적으로 포괄적인 위험 관리 전략, 간소화된 CI(Continuous Integration), CD(Continuous Delivery) 파이프라인, 새로운 생태계 발전 세부 정보 등 쿠버네티스 투자 최적화와 위험 제거에 중점을 두고 있다. 이러한 기능들은 모두 쿠버네티스 활용이 확대됨에 따라 클라우드 네이티브 애플리케이션에서 보다 효율적이고 안전하게 작업할 수 있도록 지원하는 것이 목표다. 카스텐 제품 및 파트너십 담당 가우라브 리쉬 부사장은 “최신 카스텐은 기업이 데이터 및 클라우드 애플리케이션에 대한 공격으로 인한 재정적 영향을 최소화할 수 있도록 지원하는 데 중점을 두고 있다”며, “또한, 카스텐은 사용하는 CI, CD 툴과 통합될 뿐만 아니라 애플리케이션이 구현될 때 이를 감지하고 보호할 수 있는 자동화의 토대가 되는 백업 솔루션에 대한 개발자 요구도 지원하고 있다”고 말했다. 쿠버네티스 애플리케이션을 백업하는 동시에 신속한 변화를 위한 개발 및 배포하는 문제는 여전히 많은 기업에서 어려워하고 있는 부분이다. 어플라이언스 기반의 접근 방식은 쿠버네티스의 고유한 특성을 제대로 활용하지 못하며 복제는 인프라 장애, 데이터 손상, 데이터 손실 또는 랜섬웨어로부터 보호되지 않는다. 클라우드 네이티브(Cloud Native) 솔루션을 구축하면 워크플로우를 중단하거나 혁신을 저해할 수 있는 복잡성을 가중시키지 않고도 안전하고 안정적인 백업을 수행할 수 있다. 카스텐 K10 v5.0의 새로운 주요 기능은 ▲철저한 보안 ▲데이터 보호에 시프트-레프트(shift-left) 적용 ▲확장된 생태계 세 가지다. 철저한 보안은 AWS KMS 및 하시코프 볼트(HashiCorp Vault)와의 KMS 통합, UI 대시보드에 노출된 쿠버네티스 기반 RBAC 객체 ...

빔 소프트웨어 2022.05.17

KMS테크놀로지, 차량용 보안 테스트 솔루션 ‘디펜직스’발표

KMS테크놀로지(www.kmstech.co.kr)는 자동차 사이버 보안 표준 준수와 위협 대응을 위해 차량용 네트워크 프로토콜 및 파일 퍼징(fuzzing) 테스트 솔루션인 ‘디펜직스(Defensics)’를 발표하며 자동차 프로토콜 지원 강화를 밝혔다.  디펜직스는 차량의 알려지지 않은 취약점과 보안 결함을 자동으로 탐지하여 자동차 사이버 보안 법규(WP.29, UNR-155, CSMS)를 효과적으로 대응하도록 CAN, 차량용 이더넷(Automotive Ethernet), Wi-Fi, 블루투스 등과 같은 네트워크 프로토콜과 각종 미디어 파일을 지원한다.   자동차 사이버 보안 기술 표준에서는 퍼징 테스트를 의무화하고 있다. 이에 대응해, 디펜직스는 자동차 전용 프로토콜, 인포테인먼트, 외부 통신 등 자동차 사이버 보안 퍼징 테스트를 폭넓게 지원하고 있다. 디펜직스는 차량의 공격 벡터(Attack Vector)가 되는 통신 프로토콜과 파일에 잠재되어 있는 알려지지 않은 취약점과 보안 결함을 효율적으로 찾을 수 있는 퍼징 테스트 도구다. 퍼징은 오작동을 유발할 수 있는 무작위 데이터를 입력해 취약점을 찾는 테스트 방식이다.  또한, 디펜직스는 차량 내외부에서 사용되는 프로토콜을 지원하고 있다. 특히 차량 내부 주요 통신 프로토콜인 CAN과 CAN-FD를 지원하고 차세대 차량 통신 기술인 차량 이더넷(1000Base-T1 등)과 차량 이더넷 기반의 DoIP, SOME/IP, gPTP, SRP를 지원하고 있다. 그 밖에 차량 AVN에서 사용하는 블루투스, Wi-Fi 등 무선통신과 IPv4 기반 프로토콜을 지원해 차량의 알려지지 않은 취약점과 보안 결함을 효과적으로 탐지할 수 있다. KMS테크놀로지 솔루션 사업부 김상모 이사는 “KMS테크놀로지는 디펜직스의 자동차 사이버 보안 기능 확대와 더불어, 사이버 보안 표준 및 법규에서 의무화하고 있는 자동차 사이버 보안 점검 전 영역에 대한 대응 방안 및 솔루션을 제공한다”며, “이를 통해...

KMS테크놀로지 2022.05.16

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.