Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

"아이폰 로그인하면 추가 인증 불필요" 애플의 새로운 '싱글사인온' 미리보기

올해 WWDC의 다양한 발표 중에서 중요한 것 중 하나가 바로 SSO(single sign-on) 지원이다. 올가을 새로운 업데이트에서 어떻게 변화하는지 살펴보자.   애플이 애플로 로그인(Sign in with Apple)에 SSO를 처음 지원한 것이 WWDC 2019였다. 이를 위한 확장 기능도 함께 발표했다. SSO를 이용하면 사용자가 애플 ID를 이용해 서비스와 웹사이트에 로그인할 수 있고, 다양한 업체 서비스에 매우 안전한 토큰 기반 서명과 툴 서비스를 사용할 수 있었다. 여기까지가 SSO 버전 1이었다. 이후 애플은 계속해서 이를 개선했지만, 결국 앱과 서비스가 이 SSO를 도입해야 쓸 수 있으므로, 이를 지원하지 않는 곳에서는 옥타(Okta) 같은 서드파티 인증 서비스를 사용해야 했다. 물론 일부 사이트에서는 여전히 수동으로 로그인해야 했다. 이처럼 기존 SSO의 한계가 명확한 가운데 애플은 WWDC 2022에서 SSO의 2가지 중요한 개선을 발표했다.   iOS 16, 아이패드OS 16에서 사용자 입력에 SSO 지원 맥OS 벤투라에 대한 플랫폼 SSO 지원 먼저 첫 번째 항목을 살펴보자. 이제 사용자는 iOS 기기에서 입력할 때 IdP(identity provider)에서 모바일 앱을 다운로드해 해당 기기에서 SSO를 활성화할 수 있다. 이를 위해서는 애플 비즈니스(Apple Business) 또는 스쿨 매니저(School Manager)를 사용하는 매니지드 애플 ID(Managed Apple ID) 설정이 필요하고, 애플 비즈니스 에센셜(Apple Business Essentials), 잼프(Jamf), 칸지(Kandji) 같은 MDM(Mobile Device Management) 시스템을 사용해야 한다. 또한 애플은 애플 비즈니스, 스쿨 매니저에 맥과 아이패드, 아이폰을 추가하는 데 아이폰용 애플 컨피그레이터(Apple Configurator)를 사용할 수 있도록 했다. MDM에 개인용 기기를 추가하는 작업도 ...

싱글사인온 SSO 2022.06.29

탈레스, 2022 데이터 위협 리포트 발표…“기업 다섯 곳 중 한 곳, 랜섬웨어 몸값 지불의 경험 또는 의사 있어”

탈레스가 공개한 ‘2022 데이터 위협 보고서(2022 Thales Data Threat Report)’에 따르면, 지난 한 해 기업 다섯 곳 중 한 곳은 랜섬웨어 대응을 위한 몸값 지불의 경험 또는 의사가 있는 것으로 밝혀졌다.  S&P 글로벌 마켓 인텔리전스 산하 451 리서치에 의뢰해 17개국의 IT 및 데이터 보안 분야 임직원 2,700여 명을 대상으로 실시한 이번 조사에는 한국도 포함돼 있어, 국내 외의 전반적인 데이터 보안 및 위협 트렌드를 파악할 수 있다.   암호화폐로 랜섬웨어 공격에 대한 지불이 가능해지면서 랜섬웨어의 발생 빈도와 파급력이 커지고 있다. 실제로 응답자 다섯 명 중 한 명(21%)은 랜섬웨어 공격을 경험했고, 그 중 43%는 운영에 심각한 영향을 받았다고 답했다. 그러나 글로벌 응답자의 48%만이 공식적인 랜섬웨어 대응책을 보유하고 있다고 답했으며, 한국은 평균보다 낮은 40%로 나타났다. 기존의 사이버 보안 예산안을 변경할 계획이 없다고 응답한 비율 역시 41%에 달했다. 멀티 클라우드 전략과 하이브리드 근무가 확산되면서 IT리더들은 조직 전반에서 생성되는 데이터의 추적 및 파악에 어려움을 겪는다. 데이터의 저장 위치에 확신이 있다고 답한 IT리더가 지난 해의 64%에서 56%로 하락한 수치를 보였으며 모든 데이터를 분류할 수 있다고 답한 비율은 25%에 그쳤다. 조사에 참여한 기업의 29%가 지난 12개월 동안 데이터 유출을 경험했으며 43%에 달하는 IT리더가 규정 준수 평가를 통과하지 못했다고 답했다. 전 세계적으로 IT 리더들은 보안 공격의 주요 원인으로 악성코드(56%), 랜섬웨어(53%), 그리고 피싱(40%)을 꼽았다. 한국은 악성코드(51%), 랜섬웨어(58%)와 더불어 DoS(Denial of Service, 47%)를 주요 원인으로 꼽았다. IT 리더 중 거의 절반(45%)이 지난 12개월 동안 사이버 공격이 규모, 심각성, 범위면에서 증가했다고 답하며 이러한 위험 관리가 지속...

탈레스 2022.06.29

소셜 엔지니어링에 대해 잘못 알려진 5가지 착각 

소셜 엔지니어링(social engineering)은 기술적 해킹 기법을 사용하는 대신, 사람의 심리를 악용해 시스템에 침입하는 공격 수법이다. 사이버 공격 대다수에서 활용되고 있지만 이를 방어하지 못하는 경우가 꽤 있다. 보안 전문 업체 프루프포인트(Proofpoint)는 그 피해가 잘못된 통념으로 더 심화되고 있다고 지적한다.   프루프포인트의 위협 연구 및 감지 부문 부사장 셔로드 드그리포는 “보안 요소를 아무리 탄탄히 갖춰도 매년 수십억 달러 규모의 해킹 피해가 발생한다”라며 “보안성을 높이기 위한 노력이 대부분 물리적 기기 및 클라우드 기반 인프라를 보호하는 데 집중되다보니, 상대적으로 허술한 사람을 공격하는 해킹이 늘고 관련 기법이 정교화되고 있다”라고 설명했다.  실제로 해커는 예상하지 못하는 방식으로 오랜 기간에 걸쳐 소셜 엔지니어링 공격을 수행하며, 그 공격을 피하기는 점점 어려워지고 있다. 프루프포인트는 소셜 엔지니어링 피해를 줄이기 위해 알아야할 잘못된 통념 5가지를 다음과 같이 소개했다.  착각 1. 해커는 공격 대상과 대화하지 않는다  많은 사람이 공격자는 피해자와 우호적 관계를 구축하는 데 시간과 노력을 투자하지 않는다고 생각한다. 실제는 그렇지 않다. 해커는 대화를 시작하기 위해 친근한 이메일을 많이 보낸다. 프루프포인트 보고서에 따르면 “해커는 소셜 엔지니어링 피해자가 악의적인 컨텐츠에 정신적으로 열중할 수 있게 감정을 부추긴다. 사용자가 안정감을 느끼도록 의도적으로 친근한 이메일을 보내고 관계를 쌓아 악용한다”라고 설명했다.  프루프포인트가 조사한 결과, 비즈니스 이메일 훼손(BEC), 악성코드 배포, 국가를 상대로 한 지능형 지속 공격(APT) 등을 시작하기 위해 대화를 우호적으로 구축하는 사례가 많았다. 대표적으로 TA453, TA406, TA499 같은 공격자가 이와 같은 전략을 취했다. 착각 2. 합법적인 서비스는 소셜 엔지니어링 공격으로부터 안전하다 사람들은 자신이 잘 ...

소셜엔지니어링 2022.06.29

슈나이더 일렉트릭-IDC, ‘엣지 컴퓨팅 과제 해결 및 미래 엣지 전략’ 백서 공개

슈나이더 일렉트릭이 IDC와 함께 ‘디지털 최초 연결 작업 성공(Successing at Digital First Connected Operations)’ 백서를 발행하고, 디지털 세계로 전환을 가능케하는 엣지 컴퓨팅을 소개했다.     이 백서는 산업, 의료, 교육 분야 글로벌 기업에 종사하는 1,000명 이상의 IT 및 운영 전문가 답변과 산업 기업과의 심층 인터뷰를 통해 작성됐다. 응답 결과는 엣지 투자를 주도하는 요인, 기업이 엣지를 배치하는 동안 직면한 문제, 지속적인 투자에 대한 장애물, 미래형 엣지 기능에 대한 권장 사항에 대한 통찰력을 제공한다. 슈나이더 일렉트릭 커머셜 운영 및 엣지 커머셜 전략 사업부 크리스 핸리 수석 부사장은 “이 백서에는 엣지 컴퓨팅 및 엣지 배포가 디지털 기반 운영을 위해 수행하는 중요한 역할을 살펴보고, IT 전문가와 의사 결정권자에게 원격, 연결, 보안, 신뢰성, 탄력성 및 지속가능한 운영 지원을 위한 엣지 컴퓨팅 채택 전략을 소개한다”고 말했다.  엣지 컴퓨팅은 디지털 최우선 패러다임을 가능케 하는 주 요소 중 하나다. 가장 일반적인 엣지 인프라 사용 사례는 운영 네트워크를 로컬로 모니터링하는 사이버 보안 시스템뿐만 아니라, 운영 데이터를 저장 및 처리해 클라우드로 가져오는 것이 포함된다. 조직의 워크로드를 지원하기 위해 엣지 컴퓨팅에 투자하는 이유를 묻는 질문에 응답자들의 50%는 사이버 보안 향상을 언급했고, 44%는 시스템 복원력과 안정성을 꼽았다. 엣지에 대한 약속에도 불구하고, 많은 조직은 연결성과 정전을 문제로 보고 있다. 실제로 응답자의 32%는 엣지 배포에서 연결성 부족, 네트워크 지연을 경험했다. 또한 응답자 중 31%는 60초 이상 지속되는 전력 공급 중단 또는 전력 서지를 경험했다고 밝혔다. 슈나이더 일렉트릭은 백서에서 디지털 최우선 연결 운영으로 전환할 때 극복해야 할 과제로 ▲보안 ▲기술 ▲신뢰성을 꼽았다. 운영자가 작업을 진행할 때 물리적 및 사이버 보안...

슈나이더 일렉트릭 2022.06.28

“전 세계 2억 1,500만 대 이상 차량에 블랙베리 QNX 탑재” 블랙베리 발표

블랙베리는 리서치 회사 스트래티지 애널리틱스의 조사를 통해 전 세계적으로 2억 1,500만 대 이상의 차량에 블랙베리 QNX 소프트웨어가 탑재됐다고 발표했다. 블랙베리는 BMW, 보쉬, 콘티넨탈, 혼다, 메르세데스-벤츠, 토요타, 비스테온 등 업계 전반의 주요 OEM 기업 및 대기업에 차량용 안전 인증 임베디드 소프트웨어를 제공하고 있다. 현재 상위 25개 전기차 OEM 기업 중 24개의 기업은 차세대 소프트웨어 정의형 차량 생산을 위해 블랙베리 QNX 소프트웨어를 사용하고 있다.   또한 블랙베리는 블랙베리 QNX 로열티 수익 백로그(backlog)가 2023 회계연도 1분기 말에 약 5억6,000만 달러로 증가했다고 발표했다. 이는 지난해 약 4억9,000만 달러에서 14% 증가한 수치다. 백로그 메트릭은 블랙베리 QNX의 로열티 비율과 설계 수명 동안 예상되는 수량의 현재 예측치를 통해 매년 계산된다. 한편, 블랙베리 QNX는 최근 앱티브, 덴소, 포드, GM, 현대, LG전자, 마그나, 볼보 등 업계 선두 기업들과 함께 디자인 부문 상을 수상하기도 했다. 블랙베리 회장 겸 최고경영자(CEO)인 존 첸은 “블랙베리는 안전에 중요한 임베디드 차량용 소프트웨어 분야에서 시장점유율을 꾸준히 높여 2013년 1600만 대에서 현재 2억 1500만 대 이상으로 증가시켰고 시장의 선두주자가 되었다”며, “블랙베리가 집중하는 두 개의 핵심 시장인 IoT와 사이버 보안이 상호적이고 결합된 시장으로 통합됨에 따라 자동차 업계에서 블랙베리의 이와 같은 성장은 스마트 시티의 실현을 가속화할 것으로 기대한다”고 말했다. 스트래티지 애널리틱스는 자동차 시장에 출하되는 블랙베리 QNX 제품 수와 블랙베리 QNX 제품 및 기술을 탑재한 차량 수를 기반으로 블랙베리 QNX 소프트웨어가 탑재된 차량의 수를 파악했다. 자동차 ECU에 통합되어 사용되는 대다수의 블랙베리 QNX 소프트웨어 제품은 단위 로열티 기준으로 라이선스가 부여된다. 블랙베리 QNX 소프트웨어에는 ...

블랙베리 QNX 2022.06.28

소프트웨어 공급망을 보호하는 ‘시큐어 소프트웨어 팩토리’의 핵심 개념

팩토리(Factory)와 소프트웨어는 서로 어울리지 않는 단어로 보인다. 보통 팩토리라고 하면 철강, 자동차, 가전제품같이 눈에 보이는 제품을 제조하고 조립하는 과정이 떠오르기 마련이다. 하지만 소프트웨어도 여러 공정을 반복해 거친다고 해서 공장에서 생산된다고 표현한다. 아예 ‘소프트웨어 팩토리(Software factory)’라는 용어가 존재하는데, 이는 소프트웨어를 효율적이면서 반복적이고 안전한 방식으로 생산하는 데 필요한 툴, 자산, 프로세스의 집합 전체를 가리킨다.    소프트웨어 팩토리 개념은 마이터(MITRE)와 VM웨어 같은 업체에서 도입하는 걸로 유명해지면서, 지금은 민간 및 공공 모든 분야에서 널리 퍼져 있다. 미국 국방부는 최소 29개로 구성된 소프트웨어 팩토리 생태계를 보유하고 있는데, 그중에서 가장 유명한 것이 ‘케셀 런(Kessel Run)’과 ‘플랫폼 원(Platform One)’이다. 소프트웨어 공급망에서 취약점이 많아지고 있는 상황을 고려할 때, 소프트웨어 팩토리 접근법을 안전하게 실행하는 것은 매우 중요해지고 있다. 마침 리눅스 재단 산하의 클라우드 네이티브 컴퓨팅 재단(Cloud Native Computing Foundation, CNCF)은 지난달 ‘시큐어 소프트웨어 팩토리 참조 아키텍처(Secure Software Factory Reference Architecture)’라는 도움될 만한 가이드라인을 배포했다.  시큐어 소프트웨어 팩토리 참조 아키텍처의 정의 CNCF가 정의한 내용에 따르면, 소프트웨어 공급망은 애플리케이션 소프트웨어를 쓰고 테스트하고 패키징하고 최종 소비자에게 배포할 때 수행되는 일련의 단계다. 소프트웨어 팩토리는 소프트웨어의 전달을 더 효율적으로 도와주는 종합적이면서 논리적인 구조다. 소프트웨어가 정확히 전달되는 과정에서 보안은 핵심 컴포넌트로 작동한다. CNCF의 시큐어 소프트웨어 팩토리(SSF) 가이드는 클라우드 네이티브 베스트 프랙티스(Cloud-native Sec...

소프트웨어팩토리 CNCF 리눅스재단 2022.06.28

구글 “이탈리아 스파이웨어, iOS 및 안드로이드 기기 해킹”

구글 보고서에 따르면 ‘RCS 랩(RCS Lab)’ 스파이웨어는 알려진 익스플로잇을 사용하여 유해한 페이로드를 설치하고, 개인 사용자 데이터를 훔친다.   구글의 ‘위협 분석 그룹(Threat Analysis Group; TAG)’이 최근 이탈리아와 카자흐스탄의 iOS 및 안드로이드 모바일 사용자를 공격하기 위해 제로-데이 취약점을 악용하는 문제의 스파이웨어를 개발한 곳은 ‘RCS 랩(RCS Lab)’이라고 밝혔다.    지난 목요일 구글 블로그 게시물에 의하면 RCS 랩은 드라이브-바이(drive-by) 다운로드를 포함한 여러 전술 조합을 초기 감염 벡터로 사용했다. 이어 이 회사는 표적 기기의 개인 데이터를 감시하는 도구도 개발했다고 구글은 덧붙였다.  이탈리아 밀라노를 기반으로 하는 RCS 랩은 (웹사이트에 따르면) 프랑스와 스페인에 계열사를 두고 있으며, 유럽 정부 기관이 고객으로 있다고 밝히고 있다. 또 합법적인 감청 분야에서 ‘첨단 기술 솔루션’을 제공한다고 주장한다.  (이와 관련해) RCS 랩의 별도의 입장을 표명하지 않았으며, ComputerWorld의 이메일 요청에도 답하지 않았다. 대신 RCS 랩은 로이터에 보낸 성명에서 “RCS 랩 직원은 관련 고객이 수행하는 어떤 활동에도 참여하지 않는다”라고 말했다. 아울러 이 회사는 웹사이트에서 “완전히 합법적인 감청 서비스”를 제공한다면서, “유럽에서만 매일 1만 개 이상의 감청 대상이 처리된다”라고 광고한다.  TAG는 RCS 랩의 기능을 사용한 스파이웨어 캠페인을 관찰했다고 전했다. 해당 캠페인은 표적으로 전송되는 고유 링크에서 시작되며, 이 링크를 클릭하면 사용자가 안드로이드 또는 iOS 기기에 악성 애플리케이션을 다운로드하여 설치하도록 한다.  이는 때에 따라 표적 기기의 ISP와 협력하여 모바일 데이터 연결을 해제해 수행된다고 구글은 설명했다. 이후 사용자는 표면상 데이터 연결을 복구해야 한다는 명목으로 SMS를 통...

스파이웨어 iOS 안드로이드 2022.06.28

GS ITM-스패로우, ITSM 및 보안 솔루션 사업 협력 위한 MOU 체결

GS ITM은 소프트웨어 품질 및 보안 전문 업체 스패로우와 ITSM 및 보안 솔루션 사업 협력을 위한 업무협약을 체결했다고 밝혔다.   양사는 GS ITM의 IT 서비스 관리 솔루션 ‘U.STRA ITSM’에 스패로우가 제공하는 보안 솔루션들을 결합해 관련 시장 공략에 나선다. GS ITM은 U.STRA ITSM에 스패로우의 소프트웨어 품질 및 보안 관련 솔루션을 연동해 IT 서비스 관리와 보안 점검을 통합 제공한다. 기업이 개별 수행해야 했던 보안 점검을 ITSM의 변경관리 프로세스에 구현함에 따라 U.STRA ITSM을 통한 보안 취약점 자동 점검 및 분석이 가능해진다. 이로써 U.STRA ITSM 사용자는 개발과 보안, 운영을 아우르는 데브섹옵스(DevSecOps) 환경을 구축할 수 있게 된다. 스패로우는 보안 취약점 검출 기술을 바탕으로 소프트웨어 전반에 걸쳐 애플리케이션 보안과 데브섹옵스 구현을 지원하는 솔루션을 보유하고 있다. 이번 협약을 계기로 시큐어 코딩(SAST), 코드 품질 분석(SAQT), 웹 취약점 분석(DAST), 오픈소스 관리(SCA) 등 대표 솔루션 4종을 제공한다. 소스코드 취약점 검출, 웹 애플리케이션에 대한 공격 대비, 오픈소스 라이선스 식별 및 취약점 진단, 소프트웨어 공급망 보안 강화 등의 기능이 U.STRA ITSM에 탑재될 예정이다. 또한 양사는 이미 스패로우의 솔루션을 사용 중인 기업이 ITSM 전문가 컨설팅과 기존 시스템 연동을 통해 통합 ITSM 시스템을 구축할 수 있도록 공동 지원한다. GS ITM 정보영 공동대표는 “스패로우의 품질 및 보안 관리 솔루션과 연계해 U.STRA ITSM의 경쟁력을 강화할 수 있게 됐다”며 “앞으로도 기능 개발과 적극적 협업을 통해 서비스 범위를 확장함으로써 기업의 ITSM 고민을 한 번에 해결하는 파트너가 되겠다”고 말했다. 스패로우 장일수 대표는 “스패로우의 전문 기술을 제공함으로써 GS ITM의 IT 서비스 관리 솔루션 내에서 잠재적 보안 취약점 및 오류 ...

GS ITM 스패로우 2022.06.27

OT 기기 취약점 대량 발견 "표준 인증도 소용없어"…포어스카우트

최근 한 조사에 따르 10곳의 업체가 만든 운영 기술(Operational Technology, OT) 기기에서 56가지의 결함이 드러났다. 모두 프로그래밍 오류가 아니라 안전하지 않게 설계되거나 구현된 기능이 원인이었다. 지난 10년 동안 보안 연구자와 악의적 공격자의 OT 기기에 대한 관심이 증가했음에도 불구하고, 업계가 아직도 근본적인 ‘설계부터 안전을 고려한 보안 내재화(secure-by-design)’ 원리를 준수하지 않고 있음이 극명하게 드러난 것이다.  는 최신 보고서에서 “공격자가 취약점을 악용하면서 표적 OT 기기에 네트워크를 통해 액세스한 후 코드를 실행하거나, OT 기기의 로직, 파일, 펌웨어를 변경하고 인증을 우회하며, 인증 정보를 훼손하고 서비스 거부를 유발하는 등 다양한 악영향을 미칠 수 있다”라고 밝혔다.   통칭 ‘OT:ICEFALL’으로 알려진 이 보안 문제는 불안전한 엔지니어링 프로토콜, 부실한 암호 구현 또는 파손된 인증 체계, 안전하지 않은 펌웨어 업데이트 메커니즘, 그리고 원격 코드 실행으로 악용될 수 있는 부실한 네이티브 기능에 기인한다. 실제로 공개된 취약점 중 14%는 원격 코드 실행으로, 21%는 펌웨어 조작으로 이어질 수 있다.    이 연구에서 밝혀진 또 다른 흥미로운 사실은 취약 기기 대부분이 OT 환경에 적용되는 각종 표준에 따라 인증을 받았다는 점이다. 예를 들어 IEC62433, NERC CIP, NIST SP 800-82, IEC 51408/CC, IEC62351, DNP2 시큐리티, 모드버스 시큐리티 (Modbus Security) 등이다.  보고서는 “이들 표준이 주도한 견실화 노력은 분명 보안 프로그램 개발, 위험 관리, 그리고 아키텍처 수준 설계 및 통합 활동에서의 큰 개선에 기여했으나, 개별 시스템 및 컴포넌트의 보안 개발 수명주기를 성숙시키는 데는 미흡했다”라고 결론지었다.    OT의 ‘보안 비내재화’ 역사&nb...

OT 운영기술 보안내재화 2022.06.24

“인공위성 안전지대 아니다” 러-우크라 사이버 전쟁으로 취약성 발견

러시아가 우크라이나를 침공한 사태는 전 세계에 다양한 방식으로 영향을 주고 있다. 보안 업계도 예외가 아니다. 특히 2월 24일 러시아가 우크라이나를 침공하기 한 시간 전 인공위성을 먼저 공격한 사실이 알려지면서, 인공위성 같은 우주 기술도 국가 핵심 인프라 못지않게 사이버 공격에 취약하며 이에 대비해야 한다는 목소리가 커지고 있는 것이다.    러시아의 공격을 받은 위성은 미국 통신위성업체 비아샛(Viasat)이 운영하는 ‘KA- SAT’이다. 이 공격이 러시아 소행이라고 판단되는 이유는 핵심 피해 지역이 우크라이나였기 때문이다. 비아샛의 공식 자료에 따르면 이 공격으로 우크라이나 사용자 수천 명과 유럽 전역의 수많은 사용자가 통신 이용에 어려움을 겪었다. 우크라이나 및 서방 국가는 해당 공격이 우크라이나 정부의 지휘통제 기반을 약화하기 위한 공격으로 보고 있다.  이런 상황 속에 지난주 미국 국립기술표준원(NIST)이 주최한 ‘우주 사이버보안 심포지엄 III(Space Cybersecurity Symposium III)’에서는 우주 보안 기술의 필요성을 강조하는 메시지를 확인할 수 있었다. 미국 해양대기청 산하 우주상업국 국장인 리차드 달벨로는 “우크라이나 침공 중 발생한 공격을 교훈 삼아, 미국 정부도 민간 및 국제기관과 공조해 우주 시스템에 필요한 보안 기술을 더 강화해야 할 것”이라고 강조했다.  미국 국토안보부 소속 안보 애널리스트 홀리 쇼록은 “정보기관과 정부가 이 문제를 해결하려 노력하고 있지만, 테러리즘, 이상 기후 현상, 초국가적 조직범죄 같은 다른 문제와 비교했을 때 우주 시스템의 사이버 공격이 일상에 미치는 영향은 겉으로 잘 드러나지 않는다”고 말했다. 우주 시스템을 해킹하는 방식 쇼록에 따르면 우주 시스템은 지상, 우주, 링크로 분류할 수 있는데, 세 가지 요소 모두 사이버 공격에 취약하다. 우주 시스템은 사이버 공격을 받지 않을 거라는 막연한 추측이 있어서인지 지금도 우주 시스템에 가해지는 사...

인공위성 비아샛 2022.06.24

안랩, 전사적 환경 활동 의지 담은 ‘환경경영방침’ 발표

안랩이 친환경 경영 의지를 담은 전사적 환경전략 방향인 ‘환경경영방침’을 발표했다.   안랩은 ‘환경경영방침’에서 ‘환경 성과의 지속적 개선’(환경경영의 실천)을 최우선 목표로 삼고 궁극적으로 안랩의 모든 경영활동이 환경에 긍정적인 영향을 미치도록 노력하겠다고 천명했다. 안랩은 환경방침의 구체적인 실행과 관련, ‘환경을 위해 모든 세세한 부분까지 관리’하겠다는 의미로 ‘에브리 리틀 디테일(Every Little Detail)’을 환경 캐치프레이즈로 정하고 환경경영 성과를 끊임없이 실행·측정·개선해 나가겠다고 밝혔다. 또한 안랩은 환경방침에 ▲국내외 환경 관련 법규 준수 ▲사옥 내 에너지의 효율적 이용 · 관리 ▲환경경영 프로세스 구축·운영 ▲임직원 환경 인식 제고 ▲환경경영 성과 공개 등 다섯 가지 환경방침 실천사항을 담았다. 안랩은 임직원이 환경경영의 필요성을 공감하고 실천할 수 있도록 ‘환경경영방침’을 사내 게시판과 홈페이지에 게시해 내외부 이해관계자들에 공유하고, 매 분기 환경경영 내재화를 위한 전사 환경 교육을 시행하고 있다.  하반기에는 불용 도서 기부, 불용 IT 자산 재활용 등 자원 순환의 관점에서 사내 캠페인을 전개해갈 예정이다. 안랩 강석균 대표는 “탄소 중립을 향한 전세계적 흐름에서 이젠 안랩과 같은 IT·SW 기업도 동참이 필요하다”며, “탄소배출 저감을 위해 현재 안랩이 실천할 수 있는 작은 것에서 출발해 점진적으로 범위를 확대해 가겠다”고 말했다.  editor@itworld.co.kr

안랩 ESG 2022.06.24

“보안도 왼쪽으로” 오픈소스 소프트웨어 위험과 시프트레프트 전략의 상관관계

오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.     오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Cor...

오픈소스소프트웨어 오픈소스 보안 2022.06.24

포티넷코리아-KT, ‘SD-WAN 기반 국내 데이터 서비스 시장 활성화’ 위한 파트너십 체결

포티넷 코리아는 KT와 ‘SD-WAN에 기반을 둔 국내 데이터 서비스 시장 활성화’를 위한 전략적 파트너십을 체결했다고 밝혔다.    이번 협약을 통해 양사는 SD-WAN(소프트웨어 정의 광대역 네트워크) 시장의 저변 확대 및 국내 비즈니스 확장을 위해 KT 네트워크 커버리지와 포티넷의 강력한 SD-WAN 기술력을 결합한 사업을 함께 추진하기로 했다. 양사는 SD-WAN 기반의 네트워크 서비스를 공동 개발해 국내외 기업들에게 제공할 것이며, 이를 위한 영업 기회를 개발하고 마케팅 활동을 공조한다는 방침이다. 또한, SD-WAN에 대한 서비스를 혁신하고, 고객 접점 강화, 신규 고객 유치, 지원 서비스 제공을 통한 새로운 비즈니스를 창출할 계획이다. KT는 지난해 엡실론을 인수해 글로벌 데이터 시장에서 경쟁력을 확보하기 위한 발판을 마련했으며, 디지털 혁신(DX) 시장에서 B2B 시장 공략을 본격화하고 있다. 포티넷은 고급 보안과 연결성을 단일 솔루션에 통합한 벤더로, SD-WAN 시장의 선두 기업으로 자리매김하고 있다고 밝혔다.  포티넷코리아 조원균 지사장은 “이번 KT와의 협력을 통해 국내 시장에서 SD-WAN 비즈니스를 더욱 확대하고, 기업들의 ‘디지털 전환(Digital Transformation)’ 구현을 위해 최선을 다하겠다”고 말했다. KT 엔터프라이즈서비스 DX본부장 민혜병 상무는 “KT는 포티넷과의 협력을 통해 기업 고객들에게 SD-WAN 기반의 유연한 네트워크 서비스를 확대 제공할 것”이며, “국내 기업들의 새로운 도약과 지속적인 성장을 위해 혁신 방안을 단계적으로 추진할 계획”이라고 밝혔다. editor@itworld.co.kr

포티넷코리아 KT 2022.06.24

"협박부터 신상 털기까지" 물리적인 위협에 직면한 '위기의' 보안 연구원들

사이버보안 연구원들은 디지털 세상을 안전하게 만들기 위해 열심히 열심히 일한다. 그러나 이들은 때때로 물리적인 보안 위험에 빠지기도 한다. 사이버보안 분야에 오랫동안 종사한 사람이라면 정보보안 전문가가 협박을 받거나 범죄를 직접 경험했다는 이야기를 접한 적 있을 것이다.   익명을 요구한 한 보안 전문가는 “지난 몇 년 동안 사이버 범죄에 초점을 둔 몇몇 연구원이 살해 위협을 받았다”라고 말했다. 이런 협박을 받은 연구원 중 일부는 범죄자의 시선을 끌지 않기 위해 다른 일을 하기로 했다고 한다. 그는 “직업이 보안 연구원이라는 이유로 나쁜 사람을 끌어들여 사랑하는 사람들을 위험에 빠뜨리고 싶지 않았던 것”이라고 설명했다. 정보보안 관련 트위터와 컨퍼런스에서 연구원들은 자신이 겪은 경험과 이런 상황에서 자신을 보호하는 방법을 공유하곤 한다. 이들에 따르면, 경찰이나 FBI는 크게 도움이 되지 않는다. 유튜브 채널 시타델 락 툴(Citadel Lock Tools) 운영자이자 열쇠 수리 전문가인 맷 스미스는 “연방 법집행기관이나 지역 경찰에 알리라고 말하고 싶지만, 경험에 의하면 아무런 도움이 되지 않는다. 한 사건으로 범죄자를 체포하는 데까지 수개월이 걸리므로 피해자는 꽤 오랫동안 고립된 상태로 방치된다”라고 지적했다.  일부 연구원은 이런 위협을 명예의 상징으로 여기기도 하지만, 대부분은 자신과 가족의 안전을 유지하기 위해 노력한다. 디지털 발자국을 최소화하고, 소셜 미디어를 통해 접근하는 모든 사람의 배경을 조사하고, 주소 대신 우편사서함을 이용하고, 가족과 연결될 수 있는 온라인 게시물 업로드를 삼간다.  최근에는 랜섬웨어 공격이 증가하고 러시아, 중국, 북한 및 NATO 간 지정학적 긴장 상태가 고조되면서 정보보안 전문가라는 직업이 적어도 일부는 위험해지는 경향이 있다. 코펜스(Cofense)의 수석 위협 고문 로니 토카조프스키는 “국가 간 갈등 상황이 더 악화할 것인지는 모르겠지만, 나아지지 않은 것은 확실하다”라고 말...

보안 2022.06.23

글로벌 칼럼 | 컴플라이언스 관리에 마이크로소프트 ‘퍼뷰’가 필요한 이유

많은 국가가 랜섬웨어 위협을 줄이기 위한 규제 조치를 마련했다. 예를 들어, 3월 미국 정부는 랜섬웨어 보고와 관련한 새로운 법안을 통과시켰다. 이에 따라 사이버 사고를 경험한 기업은 해당 사고 발생 72시간 이내에 CISA(Cybersecurity and Infrastructure Security Agency)에 보고해야 한다. 추가 지침은 아직 마련 중이지만 다음과 같은 요구사항이 포함될 가능성이 크다.   사이버 사고의 영향을 받았거나 합리적으로 받았을 것이라고 생각되는 정보 시스템이나 네트워크의 기능 식별 및 설명 영향을 받은 정보 시스템이나 네트워크에 대한 무결성/가용성/기밀성의 상당한 손실과 비즈니스 혹은 산업 운영의 중단에 대한 무단 액세스에 대한 설명 추정되는 사이버 사고 발생 시기 해당 사고가 기업의 운영에 미치는 영향 평가 랜섬웨어 몸값 지불이 이루어진 후 24시간 이내에 보고 랜섬웨어 공격과 관련해 검토할 수 있는 새로운 혹은 다른 모든 정보를 CISA에 제출 사이버 사고 또는 몸값 지불과 관련한 모든 데이터 보존 기업은 이런 요구사항에 따라 랜섬웨어 사고 발생 72시간 이내에 관련 내용을 보고할 수 있을까? 72시간이 지날 때까지도 사고 복구에 한창인 것은 아닐까? 이는 기업의 규모에 따라 다를 수 있다. 소규모 기업은 그저 비즈니스를 재개하기만을 바랄 것이다. 소규모 기업은 보고와 씨름하기를 원하지 않으며, 심지어 데이터가 위험에 처해 있다는 사실을 전체 고객에게 알릴 수단이 없을 수도 있다.  랜섬웨어 통지는 아직 의무사항이 아니지만, 데이터 유출 통지를 의무화한 국가는 많다. 얼마 전 필자가 작성한 사이버 보험 청약서에서는 기업에서 보유한 개인식별정보(PII)의 수를 요청했다. 하지만 기업의 네트워크에는 알지 못하고 보호하지 못하는 정보 사일로와 숨겨진 데이터베이스가 있기 마련이다.  퍼뷰를 통한 컴플라이언스 관리 마이크로소프트는 마이크로소프트 365 고객이 이런 정보를 더 잘 보...

컴플라이언스 퍼뷰 마이크로소프트 2022.06.23

'선언적 관리'로 통합되는 애플의 보안 기술

애플의 올해 WWDC 보안 관련 발표는 주로 기업이나 교육 현장과 관련된 기술에 집중됐다. 기업용 혹은 교육용으로 사용되는 모바일 기기가 많아지면서, 애플이 직접 기기 관리 기술에 뛰어들어 투자를 늘리는 것이다. 그중에서도 선언적 관리 개념을 확대하고 관리 기능을 업데이트한 부분이 주목할만하다.      애플 MDM의 핵심, 선언적 관리 기술 애플은 작년에 자체 MDM 프로토콜을 개선한 ‘선언적 관리(Declarative Management)’ 기술을 소개했다. 선언적 관리는 MDM 서비스와 결합하면 비즈니스 로직, 컴플라이언스, 기기 관리 등의 과정에서 매우 유용하다. 기기 자체에서 자신의 상태를 선제적으로 모니터링할 수 있기 때문이다. 즉 MDM 서비스가 기기 상태를 끊임없이 검사하고 명령을 보내는 식의 대응을 할 필요가 없어진다. 대신 기기가 자신의 현재 상태나 기기로 전송된 선언을 기준으로 스스로 필요한 결정을 내리고 MDM 서비스에 변경 사항을 보고한다.  선언적 관리는 주로 활성화(activation), 환경 설정(configuration) 등과 관련된 선언을 기반으로 한다. 선언 내용에는 어떤 작업을 해야 하는지 뿐만 아니라 언제 해당 작업을 활성화해야 하는지 등이 포함된다. 모든 사용자 또는 특정 사용자만 선택해서 선언 내용을 전달할 수도 있다. 따라서 동일한 설정을 반복해서 만들고 적용할 필요는 없다. 기기 스스로 어떤 구성을 활성화할 것인지 결정할 수 있기 때문이다.  이 선언적 관리는 iOS15 및 아이패드OS 15 기기에서만 이용할 수 있었지만, 올해부터는 맥OS 벤투라, iOS16, 아이패드OS 16이 탑재된 애플 기기에서 등록 유형과 관계없이 지원된다. 이로서 다양한 기기를 더욱 쉽게 관리할 수 있는 것을 물론 공유 아이패드(여러 명이 하나의 기기를 사용하나 내부 아이디나 설정은 사람마다 각각 다르게 설정한 기기) 같은 특수 형태의 기기 관리도 더 쉬워진다.  올해 애플은 ...

애플 선언적관리 2022.06.23

메가존클라우드-클라우드플레어, 국내 보안 및 CDN 서비스 확대 위한 파트너십 체결

메가존클라우드가 보안기업 클라우드플레어와 국내 고객 대상의 보안 및 CDN 서비스 확대를 위한 전략적 파트너십을 체결했다고 밝혔다.   이번 파트너십 체결로 메가존클라우드는 클라우드플레어의 애플리케이션 보안 솔루션을 기업 고객 대상으로 제공할 예정이다. 더 나아가 양사는 클라우드플레어의 전략적 글로벌 진출의 하나로 아시아·태평양 시장을 공략하며 시너지를 낼 전망이다. 현재 메가존클라우드는 클라우드플레어 서비스를 이용하는 기업에 CDN(Content Delivery Network), 애플리케이션 가속, API 방어, 웹 애플리케이션 파이어월, 봇 관리, DDoS 공격 방어 서비스를 제공하고 있으며, 클라우드플레어의 핵심 보안 솔루션을 통해 국내 IT 제조업, 게임산업, 이커머스, 가상화폐(Crypto Currency) 산업 등으로 빠르게 국내 고객을 확보하고 있다. 뿐만 아니라, 메가존클라우드는 클라우드플레어 서비스에 대한 기술 전문성과 역량을 인정받아 지난해 2021년 ‘클라우드 플레어 어워드 2021-파트너 SE(Solution Engineer) 챔피언’을 수상한 바 있다. 메가존클라우드는 클라우드플레어 서비스를 활용하고자 하는 국내 고객사를 빠르게 확보했으며, 안정적이고 빠른 속도의 네트워크와 시스템을 지원하기 위한 클라우드플레어의 ▲인터넷 기반의 보안 ▲CDN(Contents Delivery Network) 등의 서비스를 지원하고 있다. 그간 확보한 고객 사례를 통해 향후 핀테크 및 디지털 네이티브 고객사에 기술 컨설팅 및 클라우드플레어 서비스에 대한 매니지드 서비스(Managed Service)를 더욱 확대해나갈 예정이다. 현재 메가존클라우드는 미국, 캐나다, 중국 상해와 북경, 일본, 베트남, 홍콩, 싱가포르 등지에 해외지사를 두고 있으며, 앞으로 국내뿐 아니라 해외에서도 클라우드플레어 서비스를 활용하고자 하는 기업 대상으로 더욱 지원을 확장해 나가겠다는 계획이다. 클라우드플레어 조나단 딕슨 APAC 및 일본·중국 세일즈 총괄 부사...

메가존클라우드 클라우드플레어 2022.06.22

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.