Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화

2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다.  가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해의 거의 4분의 1을 차지했다.    2분기 가장 활발하게 공격 활동을 이어온 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)이다. 록빗은 목표 대상의 시스템을 손상시키고 수익을 협력사에게 공유하는 소프트웨어를 제공하며, 자체적인 데이터 도용 툴킷과 랜섬웨어 배포 도구 등을 보유한 것으로 조사됐다.  조사 기간 동안 록빗을 사용한 공격은 총 208건이었다. 보고서에 따르면 록빗은 버그 바운티 프로그램을 운영하면서 공격으로 얻은 수익의 일정 비율을 사용료로 지불하며, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 소프트웨어 사용을 제한하는 등 상당히 체계적인 구조를 가지고 있다.  2분기에 새로 등장한 공격 그룹 블랙바스타(Blackbasta)는 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 또한 콘티 랜섬웨어라는 그룹은 지난 5월 없어져 2분기 공격 횟수가 감소했지만, 조사 기간 동안의 공격 횟수는 록빗2에 이어 2위에 오를만큼 많았다. 콘티는 공격적인 접근 방식과 더불어 일반적인 대형 랜섬웨어 그룹과 달리 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.  가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자의 조직 개편이 계속되고 있기 때문에 록빗은 가까운 미래에도 랜섬웨어 산업의 선두 자리를...

랜섬웨어 록빗 콘티 2022.07.25

“개인 보안 인식 높지만 교육은 부족”…이스트시큐리티, 보안 환경 점검 설문 결과 발표

이스트시큐리티는 7월 ‘정보보호의 달’을 맞아 진행한 ‘보안 환경 점검 설문조사’ 결과를 공개했다.   이번 설문조사는 최근 국내의 핵심기술이 연이어 국외로 빠져나가고 있는 가운데, 기업 내 보안 환경을 점검하기 위한 목적으로 지난 6월 29일부터 7월 13일까지 PC 사용자 9,431명을 대상으로 진행했다. 설문 문항은 ▲중요·기밀 자료 보안 및 관리 실태 ▲사용자 개인 보안 인식 현황 ▲기업 및 기관 정보 보호 교육 실태를 묻는 항목으로 구성했다. 설문 결과, 국내 보안 환경은 사용자 개인의 보안 의식은 잘 지켜지고 있으나, 교육 측면에서 기업 및 기관의 지속적인 관심은 상대적으로 부족한 것으로 나타났다. 실제, 이번 설문 조사에 참여한 응답자 중 불과 29.5%만이 회사의 정보보호 정책과 규정에 잘 알고 있다고 응답했고, ‘기본적인 내용만 알고 있다’는 54.3%, ‘잘 모른다’는 16.1%로 조사됐다.   또, 정기적인 정보 보호 교육 실시 여부를 묻는 질문에 대해서는 ‘실시하고 있지 않다’는 응답이 26%, ‘잘 모른다’는 응답이 20.4%로 절반에 가까운 응답자가 제대로 된 교육을 받지 못하는 것으로 나타났다. 다만, 응답자 대부분이 기업의 기밀 유출 및 유실 방지를 위해 중요한 자료가 잘 관리되고 있다고 응답했으며, 개인 역시 보안을 위해 PC 운영체제를 최신화하거나 높은 비율로 바이러스 백신 프로그램을 사용하는 것으로 조사됐다.   이스트시큐리티 관계자는 “정보보호 교육의 부재는 사용자 개인의 보안 관리 미흡으로 직결될 뿐 아니라 기업 및 국가의 자산인 핵심기술 유출로도 이어질 수 있다”며, “이 때문에 현재 보안 교육의 필요성에 대한 인식과 제도적 정착의 확산이 시급하며, 이를 위해선 더 많은 기업과 관련 기관의 적극적인 노력이 필요하다”고 말했다. editor@itworld.co.kr

이스트시큐리티 2022.07.25

국가과학기술인력개발원, ‘2022 제4회 과학자 소통 포럼’ 27일 개최

국가과학기술인력개발원(www.kird.re.kr 이하 KIRD)은 차세대 선도기술 연구성과를 공유하고 융합연구 촉진을 위한 ‘2022년 제4회 과학자 소통 포럼’을 27일 대전 대덕테크비즈센터에서 개최한다고 밝혔다.   이번 포럼에서는 한국과학기술원(KAIST) 전기및전자공학부 김용대 교수가 ‘만물에 대한 해킹’을 주제로 발제에 나선다. 김용대 교수는 사이버보안 기술 분야 전문가로, 서던캘리포니아대학교 컴퓨터과학과 박사 학위를 취득하고 미네소타대학교 컴퓨터공학과 부교수를 역임했다. 현재 한국블록체인협회 정보보호위원회 위원장으로 활동 중이며, 2017년부터는 KAIST 사이버보안연구센터 센터장을 맡고 있다. 주제발제 이후, 김익균 한국전자통신연구원 정보보호연구본부 본부장, 손준영 한국원자력연구원 보안기술연구실 실장, 배성윤 중앙대학교 융합보안학과 박사과정생이 패널로 참여해 토의를 이어갈 예정이다. 이어지는 8월 10일 포럼에서는 융합연구를 주제로 한국과학기술연구원 융합연구정책센터 김현우 소장이 발제자로 나선다. 8월 31일부터 진행되는 시즌 2에서는 ‘환경에너지’ 및 ‘나노화학’을 주제로 분야별 국내 전문가들이 최신 연구성과를 공유할 예정이다. 참가 신청 및 문의는 KIRD 교육 플랫폼 ‘알파캠퍼스(https://alpha-campus.kr/community/meeting/forum/3c19c4a3-5570-4276-97f4-b0bbe93abbea)’에서 확인할 수 있다. 이번 포럼은 현장 집합방식으로 진행되며, 11월 30일까지 총 9회에 걸쳐 진행된다. editor@itworld.co.kr

국가과학기술인력개발원 2022.07.25

안드로이드 앱 권한을 스마트하게 유지하는 방법

안드로이드와 개인정보보호에 있어 일정한 경향이 있음을 우리는 이미 잘 알고 있다. 즉, 새로운 안드로이드 버전이 나올 때마다 개인 정보가 어떻게 사용되는지 이해하고 관리하기가 더 쉬워지고 있다. 이를 지능적으로 처리할 수 있는 더 많은 툴이 늘어나고 안드로이드 내부적으로도 개선이 이뤄지고 있다. 그런데 최근 구글이 안드로이드 개인 정보 보호에 적용한 새로운 변화는 매우 당혹스럽다. 스마트폰 속 정보가 어떻게 쓰이는지 관심이 많은 사람에게는 보안의 퇴보이자 매우 해로운 변화다. 구체적으로 설명하면, 구글은 최근 플레이 스토어 인터페이스를 업데이트했는데, 앱을 설치하기 전에 어떤 권한이 필요한지 정확히 확인할 수 있는 옵션을 없애버렸다. 필자는 며칠 전에 그런 변화를 확인하고 머리가 멍해지는 기분이었다. 이는 현재 모든 앱에 의무화된 플레이스토어의 새로운 데이터 안전 섹션 출시와 관련이 있는 것으로 보인다. 의심할 여지 없이 구글은 일반적인 안드로이드 사용자 대부분이 앱 권한에 대한 더 상세하고 기술적인 설명을 자주 확인하지 않는다는 데이터를 확인하고 이렇게 변경했을 것이다. 하지만 설사 그렇다고 해도 앱이 사용자 기기에서 하고자 하는 모든 것에 대해 쉽게 접근할 수 있는 객관적인 개요를 가질 수 있는 기능을 없애버린 것은 분명히 잘못된 방향이다. 그렇다면 이에 맞서 안드로이드 기기 사용자가 해야 할 일은 무엇일까? 구글이 정신을 차리고 다시 이 기능을 부활시키기를 기다리는 것 말고 말이다.   플레이스토어와 안드로이드 권한의 변화 일단 구체적인 방법을 알아보기 전에 이번 구글의 보안 기능 삭제가 정확히 어떤 의미인지 살펴보자. 기존까지 모든 플레이스토어 앱 목록에는 연결된 앱이 사용자 스마트폰에서 필요로 하는 전체 권한 목록을 볼 수 있는 링크가 있었다. 즉, 앱이 상호 작용하고자 하는 데이터 유형과 스마트폰의 영역을 정확히 인지한 다음, 이 모든 것이 합리적인지 판단해 앱 설치 여부를 결정할 수 있었다. 하지만 이제는 다르다. 개인 정보 관련 ...

안드로이드 구글 플레이스토어 2022.07.25

"보안 점검 및 개선, 교육을 한번에" 효과적인 모의 훈련을 위한 8단계

모의 훈련(tabletop exercise)은 사고 대응 계획을 연습할 수 있는 좋은 기회다. 기존 계획을 연습 및 개선하고 신규 직원을 훈련시킬 수 있는 기회이기도 하다.  CIS(Center for Internet Security)의 선임 운영 디렉터인 스티븐 젠슨은 모의 훈련을 제대로 실행하면 “위협 표면을 줄이는 방법을 찾을 수 있다. 모의 형식의 연습을 통해 단순한 서면상의 정책을 효과적인 정책과 절차로 다듬을 수 있다”라고 말했다.   보안 권고와 벤치마크로 잘 알려진 CIS는 주 정보 공유 및 분석 센터(Multi-State Information Sharing and Analysis Center, MS-ISAC)와 선거 인프라 정보 공유 및 분석 센터(Elections Infrastructure Information Sharing Analysis Center, EI-ISAC)의 본거지이기도 하다. 젠슨은 두 ISAC를 지원하면서 주, 지방, 그룹, 구역 단위의 12,000개 회원 기관을 대상으로 사고 대응과 취약점 관리를 감독한다.  CIS의 위기관리팀에 소속된 젠슨은 MS-ISAC에서 훈련 코디네이터 역할도 담당한다. 미국 국토안보부 산하의 CISA(Cybersecurity and Infrastructure Security Agency) 및 지방 정부와 협력해 모의 훈련을 준비하고 실행한다. 젠슨은 CSO가 최근 주최한 ‘정보 보안의 미래 회담(Future of InfoSec Summit)’에서 연사로 나와 모의 훈련을 구성하고 실행하는 방법과 모의 훈련이 보안 프로세스 및 절차의 공백을 파악하는 데 어떻게 도움이 되는지 설명했다. 효과적인 모의 훈련을 수행하는 방법을 알아보자. 1. 목표 설정 가장 먼저 해야 할 일은 목표 진술문을 만드는 것이다. 목표 진술문은 팀이 구체적인 훈련 목표를 정의하고 시나리오 개발을 위한 틀을 제공하고 전체적인 수준에서 훈련 평가 기준을 제공하는 데 ...

모의훈련 보안 2022.07.22

글로벌 칼럼 | 보안 비상사태가 끊임없이 발생하는 이유

사이버보안 업계 애널리스트로서 필자는 여러 보안 전문가를 대상으로 정량적인 조사를 진행한다. 보안 전문가들에게 자신이 직면한 가장 큰 과제가 무엇인지 자주 묻곤 하는데, 이때 돌아오는 답변은 다양하다. 폭풍처럼 울리는 경고에 대처, 위협 지형 해결, 다양한 포인트 툴 관리, 수동 프로세스 확장, 인력 부족 등이다.   이와 함께 조사 때마다 매번 언급되는 한 가지 문제가 있다. 가장 높은 비율을 차지할 때도 있는 문제다. 사이버보안 팀이 우선순위가 높거나 긴급한 문제를 해결하는 데 대부분 시간을 보내느라 전략과 프로세스를 개선하지 못한다는 것이다. 이 문제는 필자가 무감각해질 정도로 자주 언급된다. 그러나 ESG(Enterprise Strategy Group)의 최근 조사 결과를 검토하며 데이터 포인트가 주는 다음과 같은 시사점을 고려했을 때, 필자는 엄청난 충격을 받았다.   미국 드라마 미스터 로봇(Mr. Robot)의 주인공 엘리엇 앨더슨처럼 보안 전문가는 사이버 공격자와 공격 행위가 야기할 손해에서 세상을 구하고 싶어 한다. 이런 목표를 추구하는 과정에서 보안 전문가의 일상은 비상 대응 조치로 혼란스러워질 때가 많다. 우선 모든 보안 전문가는 이런 마음 가짐만으로도 사람들의 존경과 감사를 받아야 마땅하다.  지름길 : 용감한 마음가짐에도 불구하고, 비상사태 진압에는 상당한 역효과가 따른다. 반응하고, 할 수 있는 일을 하고, 다음 위험 지점으로 이동하는 것이다. 때로는 생각할 시간도 없이 이런 일을 해야 한다. 지속적인 비상사태에 직면할 때는 보안운영팀이 어느 정도 타협하고 있다고 생각해야 한다. 대처해야 할 또 다른 비상사태가 발생한 경우에는 특히 그렇다. 비상사태 대응 시에는 유효성이 입증된 프로세스보다는 개인 혹은 조직 내 지식(tribal knowledge)을 따르는 경향이 있다. 아이러니하게도 지름길을 택하는 것은 비상 상황에 복잡성과 불확실성, 해결 시간을 더한다. 번아웃 : 자원이 부족...

사이버보안 비상사태 보안비상 2022.07.22

"개발자에 좋은 것은 해커에게도 좋다" 오픈소스 SW 공급망 보안 문제의 해법

소프트웨어 공급망 보안에 대한 권한은 누가 가져야 할까? 개발자 혹은 개발자를 지원하는 플랫폼과 보안 엔지니어링 팀? 과거에는 기업의 지원 계약 및 보안 서비스수준협약(SLA)을 어느 리눅스 배포판과 운영체제, 인프라 플랫폼으로부터 확보할지를 CIO, CISO, 또는 CTO와 담당 보안팀이 결정하곤 했다. 하지만 이후 개발자가 이 모든 일을 도커 파일(Docker Files)과 깃허브 액션(GitHub Actions)에서 처리하게 됐다. 개발자에게 상황이 ‘시프트 레프트(shift left)’했고 이전과 같은 기업 차원의 감독은 사라졌다.   오늘날에는 규정 준수 및 보안 팀이 이런 정책과 요건을 규정한다. 개발자는 이 요건을 준수하는 범주 내에서 원하는 도구를 선택할 유연성을 갖는다. 이처럼 업무가 구분되면 개발자 생산성에 가속도가 크게 붙는다. 그러나 Log4j 사태는 기업의 시스템 보안 문제에 대한 경종을 울렸다. 시프트 레프트 개발자 자율성과 생산성의 장점에도 불구하고 소프트웨어 공급망을 이루는 오픈소스 구성요소는 악성 행위자가 노리는 새로운 표적이 되고 말았다.   오픈소스는 개발자와 공격자 모두에게 좋다 네트워크 보안은 공격자 입장에서 예전보다 훨씬 더 어려운 공격 벡터가 됐다. 반면 오픈소스라면? 오픈소스 의존성 또는 라이브러리를 찾아 개입한 후 다른 모든 의존성으로 방향을 전환하면 그만이다. 공급망은 기업과 기업의 소프트웨어 산출물 사이의 연결 고리가 중요하다. 오늘날 공격자는 바로 이 부분을 집중적으로 공략하고 있다. 기본적으로 개발자 입장에서 오픈소스 소프트웨어의 장점은 공격자 입장에서도 장점이다. 개방성 : 개발자는 ‘누구나 코드를 볼 수 있고 누구나 코드에 기여할 수 있다’는 점을 좋아한다. 리누스 토발스의 말처럼 “지켜보는 눈이 많으면 모든 버그는 잡아내기 쉬워지고” 이는 오픈소스의 큰 장점이다. 반면 공격자는 ‘깃허브 계정이 있는 사람이라면 누구나 필수 라이브러리에 코드에 기여할 수 있다’는 점을 대단히 좋아...

오픈소스 보안 2022.07.22

소프트웨어 세계의 자재 명세서, SBOM이 필요한 이유

SBOM은 소프트웨어 제품의 구성요소를 세부적으로 알려줄 뿐만 아니라 각 구성요소의 공급망 관계도 보여주는 공식적이고 체계적인 기록이다. SBOM에는 애플리케이션에 포함된 패키지와 라이브러리, 해당 패키지와 라이브러리 간의 관계, 기타 업스트림 프로젝트가 기술된다. 재사용되는 코드 및 오픈소스와 관련해서는 특히 더 중요하다.   자동차의 자재 명세서 개념에는 많이들 익숙할 것이다. 자재 명세서에는 자동차가 움직이기 위해 필요한 모든 구성요소가 매우 세부적으로 기술된다. 자동차 공급망은 복잡하기로 악명이 높고, 도요타나 제너럴 모터스가 조립하는 자동차라 해도 그 구성 부품의 상당수는 전 세계에 분포한 하도급 업체에서 제조된다. 자재 명세서는 이와 같은 각 부품이 어디에서 왔는지를 알려준다. 이 정보는 단순한 흥미거리가 아니다. 예를 들어 특정 생산 주기의 에어백이 리콜되는 경우 자동차 제조업체는 그 에어백의 제조 출처를 빠르게 알아낼 방법이 필요하다.   소프트웨어 만들기와 자동차 제조는 분명 다르지만 컨테이너화된 분산 애플리케이션 구축하기 위해 외부 오픈소스 라이브러리를 사용하는 사례가 증가하고 있는 만큼 두 프로세스에는 생각보다 공통점이 많다. 그래서 SBOM이 갈수록 더 보편화되고 있는 것이다.   개발자와 사용자 모두 SBOM을 사용해서 자신이 배포하거나 사용하는 소프트웨어에 정확히 어떤 구성요소가 포함되는지 알 수 있다. 여기엔 특히 보안과 관련해서 여러 중요한 의미가 있다.   왜 SBOM이 필요한가? 모놀리식 사유 소프트웨어 코드베이스의 시대는 오래 전에 끝났다. 현대 애플리케이션은 광범위한 코드 재사용을 기반으로 오픈소스 라이브러리를 사용해서 구축되는 경우가 많다. 또한 이러한 애플리케이션은 필요한 요소를 모두 갖춘 작은 기능적 구성요소인 컨테이너로 분할되는 추세다. 컨테이너는 쿠버네티스와 같은 컨테이너 오케스트레이션 플랫폼으로 관리되며 로컬 또는 클라우드에서 실행된다.   이러한 변화는 전체적으로 ...

SBOM SCA 2022.07.21

“당장 비활성화 권장”…중국산 GPS 추적기, 취약점투성이로 밝혀져

수많은 산업의 영업용 차량 관리에 쓰이는 한 GPS 추적기 모델에서 심각한 취약점이 여럿 발견됐다. 마이코더스(MicCOCUS)라는 중국 제조 업체의 추적기는 온라인 소매점에서 쉽게 구매할 수 있을 만큼 널리 쓰이며, 도난 방지, 연료 차단, 원격 제어 지오펜싱 등의 기능을 제공한다. 국내에서도 몇몇 정부 기관과 에너지 산업 분야 기업이 해당 추적기를 사용하는 것으로 보인다.   사이버보안 평가 업체 비트사이트의 연구팀은 보고서에서 "이번에 발견된 취약점이 악용된다면 참사가 일어날 수 있다. 심지어 생명을 위협하는 사태가 벌어질 위험이 있다"라면서, "공격자는 모든 영업용 혹은 구급용 차량의 연료를 차단하거나, GPS 정보로 차량을 모니터링해 고속도로의 위험한 지점에서 급정거시킬 수 있다. 심지어 운전자를 몰래 추적하거나, 일부러 고장낸 차량을 복원해준다며 몸값을 요구할지 모른다. 인명 피해, 재산 피해, 사생활 침해, 국가 안보 위협 등 이 취약점으로 발생할 수 있는 심각한 시나리오가 매우 많다"라고 경고했다.  비트사이트는 지난 9월부터 마이코더스의 기술 보안팀과 조사 결과를 공유하려 수차례 시도했지만, 회사 영업부와만 연락이 닿았다고 밝혔다. 그래서 연구팀은 사이버보안 및 인프라보안국(CISA)을 운영하는 미국 국토안보부에 연락해 취약점을 공개했다. CISA는 이후 ICS(Infrastructure Security Agency) 권고안을 발표했다. 마이코더스 GPS 추적기의 인프라 비트사이트 연구팀은 셀룰러 통신을 지원하며, 연료 차단 및 SMS 메시지를 통한 원격 명령 기능을 제공하는 ‘마이코더스 MV720’ GPS 추적기 모델을 조사했다. 문제는 확인된 취약점 중 일부가 기기 자체가 아니라 마이코더스의 클라우드 API 서버, 모바일 애플리케이션 등 관련 인프라에 있다는 것이었다. 이는 특정 모델뿐만 아니라 이 회사의 다른 GPS 추적기도 취약점에 노출될 수 있음을 의미한다. 마이코더스는 다른 유형의 자산과 개인적인 사...

GPS추적 GPS해킹 중간자 공격 2022.07.21

안랩, 이메일·협업 플랫폼 등 업무 환경 노린 악성코드 증가

안랩이 최근 업무 내용을 사칭한 이메일 첨부파일, 취약한 기업용 플랫폼 등 업무환경을 노린 악성코드 유포 사례를 잇따라 발견하고 사용자의 주의를 당부했다. 최근 사례에서 공격자는 견적의뢰서나 품의서, 발주서 등을 정교하게 위장한 악성 파일로 사용자를 속이거나, 많은 기업에서 사용중인 글로벌 협업 플랫폼의 취약한 버전을 노려 암호화폐 채굴 악성코드 등을 유포하기도 했다.   올 6월과 7월에 업무와 관련된 내용으로 위장한 메일과 첨부 파일 등을 이용해 악성코드를 유포하는 사례가 발견됐다. 6월에 발견된 사례에서 공격자는 ‘발주서’, ‘품의서’ 등의 단어를 파일명으로 사용한 악성 파일(.jse)을 메일 등으로 유포했다. 사용자가 파일을 실행하면 사용자 몰래 악성코드가 실행되며 사용자 계정정보 등을 탈취한다. 동시에 실제 발주서와 구분이 어려운 PDF 파일이 함께 실행되기 때문에 사용자는 악성코드 감염을 인지하기 어렵다.   7월에는 선박 회사의 견적 의뢰서로 위장한 악성 메일이 발견됐다. 공격자는 실존하는 특정 선박 회사 담당자를 사칭해 가짜 메일을 유포했다. 해당 메일에는 ‘첨부된 견적의뢰서를 검토해달라’는 내용을 기입해 사용자가 첨부파일을 실행하도록 유도했다. ‘JP18222006.IMG’라는 제목의 첨부파일을 실행하면 가짜 설치창이 나타나며, 동시에 악성코드가 설치된다. 설치 이후 악성코드는 C&C 서버에 접속해 정보유출 악성코드 등을 추가로 다운로드 받을 수 있다. 기업 등 많은 조직에서 협업을 위해 다양한 플랫폼을 이용하는 가운데, 보안 패치가 미비한 플랫폼 서버를 노린 공격도 발견됐다. 공격자는 스캐닝 등 방식으로 글로벌 협업 플랫폼 ‘아틀라시안 컨플루언스(Atlassian Confluence)’ 서버 중 보안 패치를 적용하지 않은 취약한 버전의 서버를 사용 중인 조직을 노렸다. 공격자는 해당 취약점을 악용해 서버 내부에 침투한 뒤 악성코드를 설치해 시스템에 대한 제어 권한을 획득할 수 있다. 안랩은 이렇게 획득한 ...

안랩 2022.07.21

쿤텍-ETRI, 하드웨어 공급망 보안 강화 위한 BoM 추출 및 분석 기술 개발

쿤텍은 ETRI(한국전자통신연구원)와 함께 하드웨어 공급망 보안 강화를 위해 기존의 펌웨어 분석 기술을 기반으로 BoM(Bill of Materials) 추출 및 분석, 취약점 자동 탐지 기술을 추가 개발한다고 밝혔다. 기술 구현을 위해 구성되는 하드웨어가 복잡해지고 각 하드웨어 개발에 관여하는 공급업체가 증가하면서 공급망 전반의 보안 검증이 중요해졌다. 특히, TCP/IP 소프트웨어 라이브러리에 내재돼 있는 것으로 알려진 취약점인 리플20(Ripple20)과 같은 알려진 취약점(1-Day)의 경우 복잡한 공급망을 통해 다양한 산업 분야에서 광범위하게 악용될 수 있다. 하지만 이러한 취약점의 영향을 받는 자산을 식별하는 것은 쉽지 않다. 다양한 유형의 취약점에 대한 정보를 빠르게 분석하고 소프트웨어의 각 구성요소와 복잡한 계층 관계를 갖는 오픈소스에 대한 취약점을 제대로 관리하기 위해서는 하드웨어 및 소프트웨어의 구성 요소 목록인 BoM 분석을 기반으로 취약점을 자동 점검할 수 있어야 한다.   이에 쿤텍은 하드웨어에 내재된 취약점을 분석하여 5G 장비 보안을 강화할 수 있는 기존의 펌웨어 분석 기술을 고도화해 하드웨어에 대한 BoM 식별 및 분석 기능을 강화하고, CVE 취약점을 자동 탐지할 수 있는 분석 기술을 추가로 결합해 CBoM(Cybersecurity Bill of Materials) 분석에 대한 하드웨어 공급망 보안을 강화할 계획이다.  이를 통해 제로데이(0-Day) 취약점과 원데이(1-Day) 취약점을 탐지해 공급망을 위협하는 다양한 취약점을 신속하고 정확하게 점검할 수 있어 광범위한 사이버 공격으로 인한 피해 확산을 사전 차단할 수 있다. 쿤텍이 공급망 보안 강화를 위해 새롭게 개발한 취약점 탐지 자동화 도구는 하드웨어 펌웨어를 기반으로 BoM을 검출할 수 있도록 설계돼 소스코드 없이도 다양한 바이너리 소프트웨어, OS, 플랫폼에 맞춰 보안 취약점을 분석할 수 있다.  또한, 오픈소스의 구성 요소와 관련...

쿤텍 ETRI 2022.07.21

"공급망 해킹 급증…전년 대비 297% 증가"

ID 및 접근 관리(IAM) 소프트웨어 회사 포지록(ForgeRock)의 ‘소비자 신원 및 침해 보고서(Consumer Identity and Breach Report)’에 따르면 지난해 공급망 공격이 증가했으며, 무단 액세스가 주요 감염 벡터인 것으로 나타났다. 공급망 및 서드파티 공급업체와 관련된 문제로 인한 보안 침해가 2021년 미국에서 전년 대비 297% 늘어나면서 전례 없는 급증세를 보였다. 이는 전체 보안 침해 사고의 약 4분의 1에 달한다.   포지록은 2021년 1월 1일부터 12월 1일까지 신원 도용 리소스 센터(Identity Theft Resource Centre), 포레스터 리서치(Forrester Research), 포네몬 인스티튜트(Ponemon Institute) 등 여러 출처에서 수집한 데이터를 기반으로 해당 보고서를 작성했다. 보고서에 의하면 무단 액세스(50%)가 공급망 보안 침해의 주요 감염 벡터인 것으로 드러났으며, 2020년보다 5%P 증가한 수치다. 아울러 보안 침해 사고로 인한 평균 비용은 미화 950만 달러로 세계 최고 수준이며, 지난해(820만 달러)와 비교해 16% 올랐다.    “공급망 해킹의 주요 감염 벡터는 무단 액세스” 보고서는 승인되지 않은 액세스가 주요 감염 벡터였으며, 여전히 문제라고 강조했다. 무단 액세스에는 취약한 암호, 공유된 자격증명 또는 손상된 계정으로 인한 데이터, 네트워크, 애플리케이션, 기기 액세스가 포함된다. 이어 무단 액세스를 빠르게 식별 및 차단하고 데이터 유출을 방지하려면 AI와 머신러닝 기술을 IAM(Identity and Access Management)에 적용하라고 보고서는 권고했다. 또한 공격자가 소비자의 MFA 피로(MFA fatigue)를 악용해 액세스 권한을 얻는 ‘MFA 프롬프트 공격’을 방지하려면 비밀번호 없는 인증, 머신러닝, 고급 패턴 인식 등을 통한 MFA 계층화도 중요하다고 지적했다. 컨설팅 회사 ...

공급망 공격 공급망 해킹 보안 침해 2022.07.21

'가장 어렵지만 꼭 필요한' 미사용 데이터 및 이동 데이터 보안의 이해

안전한 애플리케이션을 만들기 위해서는 수많은 보호 장치가 필요하다. 무엇보다 중요한 것은 애플리케이션에 저장된 데이터를 보호하는 것이다. 물론 가장 어려운 일이기도 하다.   애플리케이션에서 반드시 보호해야 하는 데이터는 미사용 데이터(Data at rest)와 이동 데이터(Data in motion) 2가지 유형으로 나뉜다. 미사용 데이터 vs. 이동 데이터 미사용 데이터는 데이터 저장소, 데이터베이스, 캐시, 파일 시스템 및 리포지토리에 저장된 데이터다. 애플리케이션의 데이터베이스, 로그 파일, 시스템 구성 파일, 백업 및 아카이브에 이르는 모든 것을 포함한다. 간단한 예는 SaaS(Software-as-a-Service) 애플리케이션의 사용자 프로필이다. 이 프로필에는 사용자 이름, 비밀번호, 프로필 사진, 이메일 주소, 실제 주소 및 기타 연락처 정보가 포함될 수 있다. 또한 사용자가 애플리케이션을 어떻게 사용하고 있는지에 대한 애플리케이션 정보도 포함될 수 있다. 로컬 환경에서는 컴퓨터에 저장된 스프레드시트, 워드, 프레젠테이션, 사진, 비디오와 같은 모든 파일을 포함한다.  이동 데이터는 애플리케이션에서 활발하게 접근하고 사용하는 데이터다. 클라이언트와 서버 사이, 또는 서로 다른 2가지 애플리케이션 및 서비스 사이와 같이 애플리케이션의 한 부분에서 다른 부분으로 이동한다. SaaS 애플리케이션 로그인 시 입력하는 사용자 이름과 비밀번호가 대표적인 이동 데이터다. 해당 정보는 사용자의 컴퓨터, 태블릿 또는 스마트폰에서 SaaS 애플리케이션의 백엔드 서버로 전송되는데, 이 과정에서 데이터가 이동한다. 키보드로 입력하거나, 이메일 혹은 문자 메시지, 혹은 API 요청으로 보내는 모든 데이터가 이동 데이터다. 미사용 데이터와 이동 데이터는 그 특성이 다른 만큼 보호하는 기술에도 큰 차이가 있다.  미사용 데이터의 보안 미사용 데이터를 보호하는 가장 중요한 2가지 전략은 데이터 저장 시스템 보호와 ...

이동데이터 미사용데이터 보안 2022.07.20

포티넷, 디지털 리스크 보호 서비스 ‘포티레콘’ 공개

포티넷코리아는 새로운 디지털 리스크 보호 서비스(Digital Risk Protection Service, 이하 DRPS) ‘포티레콘(FortiRecon)’을 발표했다. ‘포티레콘’은 머신러닝, 자동화 기능 및 포티가드랩(FortiGuard Labs) 사이버보안 전문가들의 역량을 하나로 결합해 기업 리스크를 관리하고, 브랜드 평판, 엔터프라이즈 자산 및 데이터를 보호하기 위한 최적의 조치를 제공한다.  포티레콘은 사이버 공격의 첫 번째 단계인 정찰(reconnaissance) 단계의 공격에 대응하기 위해 외부 공격 표면 관리(External Attack Surface Management, EASM), 브랜드 보호(Brand Protection, BP), 공격자 중심 인텔리전스(Adversary-Centric Intelligence, ACI) 전반에서 외부부터 내부까지 커버할 수 있는 3가지 솔루션을 제공해 그 다음 단계의 위협을 완화시켜, 기업의 리스크는 물론, 시간과 비용을 크게 절감시킨다. 포티레콘은 외부 공격자의 시점에서 기업 조직을 어떻게 보는지 파악할 수 있는 강력한 도구를 제공하며, 사이버 보안 팀, 주요 임원진, 리스크 및 컴플라이언스(규제 준수) 관리 팀이 리스크를 우선순위화하고 전반적인 보안 태세를 향상시킬 수 있도록 지원한다.  포티레콘은 포티XDR, 포티디셉터(FortiDeceptor), 인-라인 샌드박싱(in-line sandboxing) 뿐만 아니라, 포티애널라이저, 포티SIEM, 포티SOAR을 통한 고급 자동화를 포함한 포티넷의 조기 탐지 및 대응 제품 포트폴리오에 추가되어 이를 보완, 강화시킨다. 또한 벤더 제약이 없는 SaaS 모델로 직관적인 인터페이스와 이해하기 쉬운 보고서를 제공해 모든 경영진이 기업, 데이터 및 브랜드 평판에 대한 리스크를 빠르게 확인할 수 있도록 돕는다. 포티넷은 포티가드랩(FortiGuard Labs)의 사이버 보안 전문가 팀에서 테이크다운 서비스, 문제해결 우선순위화에 대한 지침,...

포티넷 2022.07.20

'아이폰 13도 드디어 탈옥된다'…해커 단체 "iOS 15 탈옥 툴 출시 임박" 주장

개발자를 대상으로 iOS 15의 첫 베타 버전이 출시된 지 1년 이상이 지났다. 이제 해커들은 iOS 15 탈옥 툴을 출시할 준비가 거의 마무리됐다고 주장하고 있다.    맥루머에 따르면, 오디세이 팀(The Odyssey Team)으로 알려진 해커 단체가 최근 탈옥 서브레딧에 iOS 15 탈옥 툴 출시가 임박했다고 발표하며 새로운 디자인의 화면 샘플을 공개했다. 과거 타우린15(Taurine15)로 알려진 이 툴의 이름은 체요테(Cheyote)로 정해졌다. 가장 중요한 것은 iOS 15 일부 버전에서 작동할 것이라는 점이다.  탈옥 서브레딧에서 사용자 ‘23 Aaron’은 “탈옥 자체는 잘 진행되고 있다. 빠른 시일 내에 공개하기를 바라고 있으며, 출시 시점에 iOS 15.0~15.1.1 버전을 지원할 수 있을 것이다. 15.4.1 기능도 살펴보고 있다”라고 썼다.  체요테 탈옥 툴은 iOS와는 사뭇 다른 독특한 글꼴과 색상, 테마로 디자인됐다. 또한 표준 검색(canonical search)을 포함해 iOS 15에서는 사용할 수 없는 기능도 제공할 예정이다. 체요테는 이전 탈옥 툴과 마찬가지로 루트리스(rootless) 탈옥 툴이다. 개발자는 이전의 iOS 14 탈옥 툴이 ‘가능한 한 최고의 탈옥 경험을 보장하기 위해 빠르고 과감한 경험을 제공한 바 있다”라고 주장했다. iOS 15 개발자 베타 버전은 2021년 6월 처음 공개됐고, 이를 탈옥하기 위한 도구를 만드는 데 13개월 이상이 걸렸다. 출시가 오래 걸린 해커들이 취약점 발견에만 의존했기 때문이다(애플은 취약점을 지속해서 개선하고 있다). 일반적으로iOS 탈옥 툴 출시는 애플의 소프트웨어 출시 일정보다 뒤처지지만, 이를 감안하더라도 체요테는 출시까지 상당히 오래 걸린 편이다. 예를 들어 iOS 14, 13, 12의 첫 번째 탈옥 툴은 해당 iOS가 출시된 이듬해 2월에 나왔다. 이는 첫 번째 베타 버전이 출시된 후 7~8개월 지난 시점이며, 정식 버전 출...

아이폰13 탈옥 iOS15 2022.07.20

"현실에 안주하면 끝이다"··· 존슨앤드존슨 CISO의 임무

존슨앤드존슨의 CISO 마렌 앨리슨은 다가올 상황을 예측하고, 신속하게 전환할 수 있는 로드맵이 중요하다고 강조했다.    현재 글로벌 제약 및 소비재 기업에서 사이버 보안을 이끌고 있는 앨리슨은 지금 하고 있는 일이 몇 년 전 FBI에서 했던 일과 동일한 원칙을 따른다고 밝혔다. 존슨앤드존슨의 CISO로 12년 넘게 일해온 앨리슨은 "사이버 세계에서 안전을 도모하고 보장하는 것이 임무다. 인간의 건강과 의료를 다루는 회사의 안전을 보호하는 중차대한 일을 맡고 있다는 것에 무거운 책임감을 느낀다. 그런 의미에서 하루도 빠짐없이 이 임무에 충실하는 자세를 유지하고 있다”라고 전했다.   앨리슨은 웨스트포인트 미국 육군 사관학교를 졸업한 첫 여성 기수이며, 과학 학사 학위를 받았다. 현재도 웨스트포인트 여성 이사회와 뉴저지주의 육군사관학교 연락 장교 및 의회 코디네이터직을 맡으며 육군사관학교와의 인연을 이어 나가고 있다. 기업의 세계에 발을 들여놓기 전에는 FBI에서 특별 요원으로 활동했다. 뉴저지주의 마약 조직범 검거와 샌디에이고 테러 사건의 잠입수사에 참여한 경험이 있다.     FBI 요원에서 존슨앤드존슨의 사이버 수호자로  지난 12년 동안 앨리슨은 존슨앤드존슨의 글로벌 정보 기술 시스템과 비즈니스를 보호하는 데 주력해 왔다. 책임이 막중한 업무다.   136년 역사를 자랑하는 존슨앤드존슨은 타이레놀 진통제, 반창고, 리스테린, 아비노 바디 로션과 같은 유명한 소비자 제품부터 정형외과용 임플란트와 의료기기까지 제조하고 판매하는, 이름만 대면 알 만한 대중적인 브랜드다. 또한 2019년 코로나19 팬데믹 기간 동안 이 회사는 코로나 백신(얀센)을 개발해 전 세계 언론의 집중을 받았다.  의료 회사의 정보 시스템, 데이터 및 직원을 모두 안전하게 보호하는 데는 그 나름대로의 어려움이 있다. 게다가 보안 업무는 더욱 골치 아파졌다고 앨리슨은 전했다. 앨리슨은 "코로나로 인...

CISO 존슨앤드존슨 얀센백신 2022.07.19

“패스워드리스로 가는 징검다리” 스티치, 새로운 비밀번호 솔루션 공개

패스워드리스 솔루션 업체 스티치(Stytch)가 새로운 암호 관리 서비스를 18일 공개했다.    스티치가 이번에 공개한 클라우드 기반 솔루션은 아직 패스워드리스(Passwordless) 기술 도입이 어려운 기업을 겨냥해 개발됐으며, 전통적인 비밀번호 시스템이 가진 위험성과 관리 문제를 개선하는 데 집중했다. 참고로 패스워드리스 기술은 비밀번호를 입력하지 않고 지문, 기기 등 같은 대체 정보로 로그인하는 시스템을 말한다. 스티치가 새 서비스에서 강조한 특징은 다음과 같이 4가지다.    비밀번호 재사용 : 스위치 솔루션으로 로그인 시스템을 만들 경우, 계정에 로그인을 한 순간 HIBP(HaveIBeenPwnd)로 비밀번호 유출 여부를 확인할 수 있다. HIBP는 메일이나 휴대전화 정보의 유출 여부를 확인해주는 사이트로, 유출된 비밀번호 데이터 120억 개를 보유하고 있다. 사용 중인 패스워드가 HIBP의 데이터에서 발견될 경우, 비밀번호는 자동 초기화된다.    암호 수준 강화 : 사용자가 비밀번호를 설정할 때 ‘zxcvbn’라는 검사기를 통해 암호 수준을 검사하고, 추천 암호를 제시한다. zxcvbn은 드롭박스가 만든 암호 수준 검사기로 오픈소스 기술이다.    중복 가입 방지 : 사용자는 페이스북 로그인 혹은 구글 로그인으로 가입했는지, 자체적으로 이메일을 입력해서 가입했는지 기억 못할 수 있다. 간혹 로그인 방식을 잘못 선택하면 계정이 두 개 생성되곤 하는데, 스티치의 서비스는 가입 방식과 상관없이 이메일 로그인 서비스를 지원해 중복 가입 현상을 막는다.    초기화 : 비밀번호가 기억나지 않을 때 사람들이 자주 사용하는 해결책은 초기화다. 스티치는 이메일 로그인 방식을 지원해 비밀번호를 몰라도 로그인을 할 수 있으면서 불필요하게 초기화하지 않도록 지원한다.   스티치 CEO 리드 맥긴리-스템펠은 “스티치는 여전히 전통적인 비밀번호 시스템...

패스워드리스 스티치 2022.07.19

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.