Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

“기자 메일과 소셜 계정을 해킹하라” 사이버 스파이의 주요 먹잇감 된 언론사

2021년 이후 국가 주도의 지능형 지속 공격(Advanced Persistent Threat, APT)이 언론인과 미디어 기업에 집중되고 있다. 주공격 대상은 언론인의 업무 이메일과 소셜 미디어 계정이다. 민감한 정치적 사건이나 특정 정권에 대한 부정적 시각이 강조된 기사에 대한 추적도 이뤄지고 있다.   언론인은 스파이에게 언제나 매력적인 공격 대상이다. 언론인은 기밀 정보에 접근할 수 있고, 기업과 개인 모두에게 쉽게 신뢰받는다. 그런 면에서 미디어 구성원이라면 반드시 온라인 보안 교육을 받아야 하고, 국가 주도의 해킹 기법에 대해서 잘 알아야 한다.  보안 전문 업체 프루프포인트(Proofpoint)는 최근 보고서를 통해 중국, 북한, 이란, 터키 정부 관련 APT 집단이 언론인을 공격하고 있다고 밝혔다. 프루프포인트는 “미디어 업계 종사자는 일반인은 접근하지 못하는 정보를 볼 수 있다”라며 “언론인 이메일 계정을 적당한 시기에 해킹하면 공격자는 민감하거나 새로운 소식, 정보 출처를 획득해 필요한 정보를 얻을 수 있다. 또한 해킹한 계정으로 조작된 정보나 국가 홍보 메시지를 퍼뜨릴 수 있다. 전쟁이나 팬데믹 기간에는 가짜 정보를 제공하고 정치적으로 긴장감을 높일 수 있다”라고 설명했다.    트래킹 픽셀부터 악성코드 배포에 활용되는 언론인 메일  언론인을 공격하기 위해 해커는 APT 공격 중에서도 주로 정찰(Reconnaissance) 기법을 이용한다. 해커는 그럴듯한 미끼를 만들기 위해 공격 대상에 대한 정보를 최대한 많이 획득한다. 이 과정에서 이메일 주소를 확인하거나 악성 메시지를 열도록 유도할 수 있다.  예를 들어 공격자는 픽셀 크기의 작은 이미지를 이메일에 삽입하고 친절한 메일 내용을 담아 전송하는데, 이런 기법을 트래킹 픽셀(tracking pixel) 또는 웹 비컨(web beacon)이라고 부른다. 피해자가 이메일을 읽는 순간, 외부 IP 주소, 유저-에이전트 스트링(user-...

언론사 해킹 APT 2022.07.19

참신한 아이디어 속속…'후속 백서'로 살펴보는 블록체인 진화상

블록체인 분야에서 혁신을 설파하는 표준 도구는 ‘백서’다. 각종 참신한 아이디어를 담은 백서가 속속 등장하고 있다. 주목할 가치가 있는 여러 웹3 백서를 살펴본다.    블록체인(Blockchain)은 기술 역사상 최고의 기습(blindsides)이라 할 만하다. 클라우드 기술, 가상화, 모바일과 같은 주요 동향이 등장했고 또 확산되고 있지만, 공공 키 암호 기법에 기초한 참신한 분산형 컴퓨팅은 그야말로 느닷없이 등장했다.  2008년 ‘나카모토(Nakamoto) 백서’가 등장하면서, 여전히 현재진행형인 이 혁신이 갑작스레 시작됐다. 디지털 화폐 영역을 관찰해왔다면 익히 알고 있겠지만, 해당 백서는 괴짜스러운 여러 암호 기법 개척자 중에서도 매우 괴짜 같은 존재였다.  백서 자체는 아담 백의 ‘해시캐시(HashCash) 백서’ 같은 이전의 여러 예술가들에게 경의를 표한다. 그런 관점에서 비트코인은 합리적인 진보처럼 보이기도 한다. 하지만, 복합적인 창의성의 결과라는 관점에서 살펴볼 때도 비트코인 백서는 기이한 측면을 가진다. 이를 테면 이중 지출 문제에 대한 PoW(Proof of Work) 솔루션은 앞서 존재했던 기술을 알더라도 독특하다. 그리고 그 아이디어는 탈중앙화 무허가 가상 머신의 가능성으로 이어졌다.    이러한 각종 혁명의 첫 총성은 ‘이더리움(Ethereum) 백서’에서 비탈린 부테린에 의해 울렸다. 튜링(Turing) 기기를 구축하기 위해 블록체인을 활용한다는 기본 아이디어가 여기에서 소개됐다. 무허가 컴퓨팅 기반 네트워크(permissionless, compute-enabled network)의 실행 가능성이 수립되면서 자연스러운 현상이 펼쳐졌다. 스마트한 많은 컴퓨터 공학자와 엔지니어들이 이 가능성을 활용하고 개선하는 새로운 방법을 찾기 위해 이 영역에 뛰어든 것이다. 쉽게 말해, 우리는 갑작스러운 천재성의 범람을 목격했다. 분명 미심쩍은 부분도 있었지만 그 어떤 것도 이 영...

블록체인 비트코인 이더리움 2022.07.19

7월 윈도우 보안 업데이트 설치 후 '시작 메뉴 오류' 발생…해결 방법은?

윈도우 11의 보안 업데이트는 종종 운영 체제에 문제를 일으키는 경향이 있다. 이번 달의 보안 업데이트도 마찬가지다. 최근 배포된 KB5015814 버전을 설치한 사용자들은 사용자 경험의 핵심인 시작 메뉴와 관련한 문제를 호소했다.    베타뉴스(BetaNews)에 따르면, 애플리케이션을 여닫을 때 시작 메뉴가 중단되는 것으로 보인다. 앱을 찾고 실행하는 대표적인 수단이 시작 메뉴임을 감안하면, 이번 오류는 사용자의 워크플로우에 큰 영향을 미칠 수 있다. KB5015814와 관련한 문제는 시작 메뉴 오류 외에도 더 있다. 업데이트 자체를 설치할 수 없다고 보고한 사용자도 많았다. 가장 빈번히 발생하는 오류 코드는 0x8000ffff, 0x8007007e 및 0x80073701이다. 심지어 무한 부팅 루프 문제를 경험한 사용자도 있었다. 이 경우에는 일반적으로 수동 재설정 작업이 필요하다. 보안 업데이트 미설치에 따른 장기적인 손상이 발생하지 않는다는 전제하에서는 마이크로소프트가 공식 수정 버전을 출시하기 전까지 업데이트를 할 수 없는 것이 오히려 다행일 수 있다. 그러나 마이크로소프트가 아직 이런 오류를 인지하지 않았음에도 KB5015814를 설치해야 하는 이유는 분명히 있다. 다른 소규모 보안 업데이트와 마찬가지로 이번 업데이트 역시 윈도우 파워셸의 일반적인 문제를 해결하기 때문이다. 기기를 최신 상태로 유지하는 것은 좋은 정책이지만, 몇 달 간은 버그를 감수해야 한다.  윈도우 11은 기본적으로 자동 업데이트가 활성화되어 있다. KB5015814 업데이트가 백그라운드에서 다운로드될 수 있으므로 설치를 원하지 않는 사용자는 기기를 종료할 때 업데이트를 설치하지 않도록 주의해야 한다. 하지만 KB5015814가 이미 설치되었고 관련 오류를 경험하고 있다면, 다음과 같은 방법으로 KB5015814를 제거할 수 있다. 윈도우 11 KB5015814 업데이트 제거하기 윈도우 11에서는 업데이트를 삭제하고 이전 버전으로...

윈도우 업데이트 보안업데이트 2022.07.19

“클라우드를 해킹하라” API가 가장 위험한 이유

클라우드 보안이 얼마나 효과적인지를 측정하는 주요 지표 중 하나가 클라우드 보안 연합(CSA)의 클라우드 컴퓨팅 최고 보안 위협(Top Threats to Cloud Computing) 목록일 것이다.  2년마다 한 번씩 발간되는 이 목록의 새 버전이 최근 발표됐는데, 가장 눈에 띄게 성장한 것이 바로 안전하지 않은 인터페이스와 API이다. 2017년 API는 클라우드 보안 위협 목록에 3위로 첫 등장했지만, 2019년에는 7위로 낮아졌다. 올해 목록에서는 2위로 훌쩍 순위가 높아졌다. 급격한 순위 변동의 원인이 무엇인지, 이런 변화 속에서 클라우드를 보호하기 위해 취해야 할 조처는 무엇인지 알아보자.     API의 급부상 우선 API에 대한 의존도가 급격하게 커졌다. 웹 기반 애플리케이션 인프라에서 API 기반 인프라로의 이전이 빠르게 진행됐으며, 이는 웹 트래픽 분석을 통해 확인할 수 있다. 시퀀스 시큐리티(Cequence Security)의 2021년 하반기 트래픽 분석에서 21억 건의 트랜잭션 중 70%는 API를 통해 수행된 것이었다. 이런 변화는 점점 더 가속화되고 있다. 리서치 회사 ESG(Enterprise Strategy Group)는 현재 웹 앱과 웹 사이트의 28%가 API를 사용하고, 2년 내로 비율이 2배 이상 증가할 것으로 전망했다. API는 개발자에게 클라우드 서비스를 구축할 수 있는 편리한 빌딩 블록을 제공하지만, 극히 민감한 데이터에 대한 액세스도 가능해 해커의 주요 공격 대상이 된다. ESG의 조사에서도 응답 기업의 1/4은 잘못 구성된 API에 대한 공격을 경험했으며, 1/5은 계정 탈취 공격을 받은 것으로 나타났다. 마지막으로 특히 우려되는 부분은 이들 기업의 27%만이 공개된 OWASP 문제를 해결하기 위한 조처를 취했다는 것이다. 공격의 파괴력은 상당하다. 공격을 받은 기업의 40%는 서비스 중단을 경험했으며, 고객과 브랜드 평판에 연쇄적인 피해가 발생했다. 부정적인 고객 경험 34%...

API 해커 CSA 2022.07.18

2023년 사이버보안 예산 계획에 꼭 고려할 5가지

2023년도 보안 예산을 준비하는 CISO라면 “어디서부터 시작하나?”라는 고민에 빠질 수 있다. 기업 사이버 위협 방어는 그 양상이 워낙 다양하고 빠르게 변하고 있어서 어떤 위험에 가장 주목해야 하는지를 가리는 일이 벅차게 느껴지기 마련이다.   그래도 보안 리더는 얼마의 자금이 필요하고 어떻게 예산을 할당할지에 대한 고민을 시작해야 한다. 컨설팅 회사 웨스트 몬로(West Monroe) 사이버보안 책임자 데이빗 채독은 “CISO가 거시적인 수준에서 보안에 대한 전략 목표를 규정하고 예산을 수립할 때 현상 유지를 하면 앞으로 보안 리더들에게 운영 및 신규 이니셔티브 관리에 제한된 불가능한 임무를 남길 가능성이 높다는 사실을 알아야 한다”라고 지적했다.   채독은 “성숙했거나 사이버공격을 받은 적이 있는 기업은 변화의 가치를 깨닫고 대비가 되었을지 모르지만, 대다수의 기업은 여전히 전통적인 예산으로 수요를 맞추기에 급급하고 보안의 필요성은 늘기만 하고 있는 것이 안타까운 현실”이라고 덧붙였다. 내년 예산에 필요한 자금은 다음 5개 범주로 나눌 수 있다. •    변화하는 위협 지형 •    경제 동향과 경제 동향이 위협 행위자 행동에 미치는 영향 •    러시아-우크라이나 전쟁과 같은 지정학적 사건 •    변화하는 정부 및 기타 규제와 지침 •    변화하는 사이버 보험 요건 CISO은 소속 기업의 안전 유지를 위한 최선의 방법을 고민하는 과정에서 이를 명심해야 한다.   1. 변화하는 위협 지형 사이버보안 위협 지형은 신종 랜섬웨어 위협의 등장, 클라우드로의 전환 가속, 변화하는 사무실 모델 등에 맞는 속도로 계속 변화하고 있다. 그리고 디지털 기업이 되려는 목표를 세운 기업도 많다.   가트너 선임 조사 책임자 루게로 콘투는 “디지털 트랜스포메이션 이니셔티브는 악성 행위자가 표...

보안예산 ciso 사이버위협 2022.07.18

씨디네트웍스, 제로 트러스트 액세스 솔루션 ‘ESA’ 출시

씨디네트웍스가 새로운 제로 트러스트 액세스 솔루션 ‘ESA(Enterprise Secure Access)’를 출시했다고 발표했다. ESA는 애플리케이션 및 서비스의 안전한 원격 액세스를 통해 기업 내부 애플리케이션을 안전하면서 효율적이며 사용하기 쉬운 하이브리드 네트워킹 환경으로 구축할 수 있도록 돕는다. ESA는 SDP(Software-Defined Perimeter) 및 제로 트러스트 아키텍처 기반의 클라우드 서비스로, 기업 애플리케이션에 대한 액세스 권한을 부여하기 전 사용자 ID, 디바이스 보안 및 사용자 동작을 확인해 사용자와 디바이스를 인증한다. 보안 게이트웨이로 오리진의 IP 주소와 포트를 보호해 사용자 위치 또는 디바이스와 관계없이 애플리케이션 및 네트워크를 사이버 위협에 노출시키지 않고 생산성을 유지하도록 지원한다. 씨디네트웍스 한국 영업 대표 박광현 상무는 “전례 없는 코로나 팬데믹으로 국내 기업들이 사내망 원격 액세스 문제를 해결하기 위해 제로 트러스트 네트워크 액세스를 구현하고 있다”며 “ESA는 효과적이고 안전한 원격 액세스 서비스를 제공하며, 최신 보안 인프라에 적응해 하이브리드 작업 공간을 수용하는 동시에 기업 애플리케이션, 디바이스 및 데이터를 보호한다”고 말했다. ESA 서비스의 주요 기능은 ▲제로 트러스트 네트워크 액세스 ▲어댑티드 액세스 제어 ▲애플리케이션 및 데이터 보호 ▲하이브리드 네트워크 연결 ▲애플리케이션 액세스 가속 ▲유연한 관리 등이다.  editor@itworld.co.kr

씨디네트웍스 2022.07.18

유형부터 사례까지…‘데이터 침해’ 자세히 살펴보기

‘데이터 침해’는 해커가 보안을 뚫고 불법적으로 데이터에 접근하는 보안 사건이다. 개인 데이터(예 : 이름, 생년월일, 금융 정보, 주민등록번호, 운전면허 번호 등)는 민간기업, 공공기관, 클라우드의 셀 수 없이 많은 수의 서버에 무수히 많은 사본으로 존재한다. 개인식별정보(PII) 접근 권한이 없는 사람이 해당 정보를 볼 수 있다면, 개인은 물론이고 이를 저장하고 안전하게 보관해야 하는 기업 모두에게 심각한 결과를 초래할 수 있다.    PII는 해커가 보안을 위반하고 가능한 곳이라면 어디든 찾아낼 만큼 가치가 있다. 한편 데이터를 저장/보관하는 기업과 공공기관은 데이터를 적절하게 보호하지 못하는 때가 많으며, 이에 따라 몇몇 지역에서는 데이터 침해로 이어질 수 있는 느슨한 보안 관행 단속을 법으로 규제한다.  시작하기에 앞서 짚고 넘어갈 게 있다. 때때로 사람들은 ‘데이터 침해(data breach)’와 ‘데이터 유출(data leak)’을 구별해 사용한다. 여기서는 데이터 유출을 '기업이 적절한(또는 어떤) 보안 제어 없이 웹사이트나 다른 위치에 실수로 민감한 데이터를 저장하여 데이터가 그곳에 있다는 사실을 아는 사람이 자유롭게 접근할 수 있도록 하는 것'이라고 본다. 하지만 침해와 유출을 명확하게 구별하는 건 쉽지 않으며, 최종 결과가 동일할 때도 많다.  데이터 침해는 어떻게 발생하는가? 데이터 침해는 누군가가 접근해서는 안 되는 데이터베이스에 액세스할 때 발생한다. 사실상 이는 매우 폭넓은 설명이며, 간단한 예로 도서관 직원이 합법적인 업무상의 이유 없이 친구가 어떤 책을 빌렸는지 몰래 엿보는 것을 들 수 있다.  대부분 사람은 이게 문제가 된다고 생각하지 않을 수 있지만, 일부 데이터 침해는 내부에서 발생하는 것이 사실이다. 즉, 업무에 따라 PII에 접근할 수 있는 직원이 금전적 이득이나 기타 불법적인 목적을 위해 데이터를 유출할 수 있다. 물론 데이터 침해는 외부인의 사이버 공격으로...

데이터 데이터 침해 데이터 유출 2022.07.18

쿠콘, 금융보안원의 통합 인증 중계 시스템 구축 사업자로 선정

쿠콘은 금융보안원이 추진하는 ‘통합 인증 중계 시스템’을 구축한다고 밝혔다. 금융보안원은 인증 수단 연동에 따른 시간·비용 부담을 줄일 통합 인증 중계 시스템 사업을 추진하면서, 해당 시스템을 구축하는 사업자로 쿠콘을 선정했다.  쿠콘은 통합 인증 이용량 급증과 같은 업무 환경 변화에 유연하고 빠르게 대응하기 위해 클라우드 서비스 기반의 인증 API 플랫폼 형태로 구축·운영한다. 클라우드 서비스는 대규모 인증 트래픽을 효과적으로 처리하고, 클라우드 인프라 설계·운영 등에 대한 전문성을 갖춘 네이버 클라우드를 활용한다.   통합 인증 중계 시스템의 주요 기능으로는 ▲참여 인증 기관별 통합 인증 API에 대한 호출·응답 중계 ▲접근 토큰 발급 API, 인증 API 제공 ▲인증 기관별 인증 API 호출 ▲이용 기관별 관리자, 이용자 계정 조회·관리 ▲이용 기관/이용자 권한 관리 ▲이용 통계 관리, 이력 관리, 이용량 정책 관리 등이 있다. 정보 제공 기관은 통합 인증 중계 시스템을 통해 여러 인증 기관과 한 번에 연동할 수 있으며, 이를 통해 기존에 정보 제공 기관이 인증 API 개발 시 소요됐던 시간·인력·비용에 대한 부담도 덜 수 있다. 통합 인증 중계 시스템은 올 9월 시범 가동 이후 정식 오픈할 계획이다. 쿠콘 김종현 대표는 “쿠콘이 이번 금융보안원의 통합 인증 중계 시스템 구축 사업자로 선정된 것은 그동안의 API 플랫폼 구축 노하우와 기술력이 인정받았다는 의미”라며 “마이데이터 산업이 활성화, 확장되면서 각 기관·기업에 편의성을 제공하기 위한 플랫폼 및 서비스 개발에 최선을 다하겠다”라고 말했다.  editor@itworld.co.kr

쿠콘 2022.07.18

마이크로소프트, ID 접근 관리 보안 제품군 ‘마이크로소프트 엔트라’ 공개

마이크로소프트가 ID 접근 관리를 포괄적으로 책임지는 신규 보안 제품군 ‘마이크로소프트 엔트라(Microsoft Entra)’를 공개했다.   마이크로소프트 엔트라는 모든 유형의 ID를 검증하고 어떠한 리소스에 대한 접근도 보호, 관리한다. 엔트라는 ▲애저 액티브 디렉토리(Azure Active Directory, 애저 AD) ▲엔트라 권한관리(Entra Permissions Management) ▲엔트라 검증ID(Entra Verified ID) 등 3가지 주요 솔루션을 포함한다. 애저 AD는 앱, 디바이스, 데이터 등에 안전한 연결을 지원하는 클라우드 기반 ID 및 접근 관리 솔루션이다. 특정 조건 또는 상황에 따라 접근 권한을 통제하는 조건부 액세스(Conditional Access), 패스워드 없이 안전한 로그인이 가능한 패스워드리스(Passwordless Authentication), 외부 사용자 검증에 사용되는 익스터널 아이덴티티즈(Azure AD External Identities) 등의 기능은 그대로 유지된다. 엔트라에는 신규 CIEM(Cloud Infrastructure Entitlement Management) 솔루션인 엔트라 권한관리도 포함된다. 이는 마이크로소프트가 지난해 인수한 클라우드녹스 시큐리티의 기술에 기반하며, 멀티 클라우드 환경에서 모든 ID, 리소스 등에 대한 권한을 포괄적으로 파악하도록 돕는다. 예컨대 조직은 이를 통해 사용되지 않거나 과도하게 부여된 권한을 탐지, 적절한 수준으로 조정 및 모니터링할 수 있으며, 애저 및 AWS, GCP 등의 클라우드 환경에서 최소권한 원칙을 적용함으로써 데이터 침해 위험을 줄일 수 있다. 엔트라 권한관리는 이번 달 공식 출시됐다. 엔트라 검증ID는 신규 분산형 ID(Decentralized ID, DID) 서비스로, 휴대가 가능한 개인 소유형 ID의 산업표준을 제시한다. 사용자가 ID를 스스로 제어할 수 있어, 프라이버시는 물론 개인 데이터 보안도 강화된다. 개인 또는 조...

마이크로소프트 2022.07.18

넥스지, 중소형 고객용 최신 CPU 탑재한 ‘UTM x700 시리즈’ 2종 공개

KX그룹의 보안전문업체 넥스지는 중소형 고객용으로 최신 CPU를 탑재한 ‘UTM x700 시리즈’ 2종을 출시했다고 밝혔다.   이번에 출시된 신제품은 넥스지 베스트셀러 제품인 V포스 UTM 시리즈와 완벽 호환되며 하드웨어 사양 및 성능을 높인 제품으로, 중소형 라인업에서도 고객의 네트워크 환경과 보안 요구사항에 맞게 10기가급 고성능 제품으로 업그레이드한 가성비 높은 최신 UTM 장비이다. 넥스지 김익수 대표는 “2020년 중대형 UTM x700 시리즈 4종 출시를 시작으로 2022년 말까지 소형 UTM x700 시리즈 5종을 추가로 출시해 UTM 전문 기업의 위상을 더욱 강화하겠다”며, “넥스지는 UTM x700 시리즈에 보다 안전한 고객의 네트워크 환경을 위한 ‘양자 VPN 기술’과 ‘암호화 트래픽에 대한 가시화 기술’을 연내 탑재 완료해 차세대 UTM 시장을 선도할 계획”이라고 밝혔다. editor@itworld.co.kr

넥스지 2022.07.18

캐논코리아, 네트워크 카메라 영상 마스킹 처리 솔루션 ‘CKR 프라이버시 마스크’ 출시

캐논코리아가 네트워크 카메라 영상에서 움직이는 물체를 감지해 마스킹 처리가 가능한 ‘CKR 프라이버시 마스크(CKR Privacy Mask)’를 출시했다고 밝혔다.   ‘CKR 프라이버시 마스크’는 이동 물체 감지 기술과 마스킹 처리 기술이 탑재돼 사생활을 침해하지 않고도 다양한 환경에서 모니터링을 지원해 병원, 상업 시설은 물론이고 공장 내 생산 라인에서도 적극적으로 활용할 수 있다. 특히, 최근 의료진과 환자의 프라이버시 보호를 위한 CCTV 설치법 개정 문제가 대두되면서 향후 법제적 환경 변화에도 적극 대응할 수 있을 것이라고 업체 측은 예상했다.  CKR 프라이버시 마스크는 캐논의 영상 기술에 마일스톤의 녹화 관제 소프트웨어(VMS; Video Management Systems)를 결합해 실시간 모니터링이 가능한 통합 관제 시스템을 구축했다. 마일스톤이 제공하는 ‘마일스톤 엑스프로텍트(Milestone XProtect)’ VMS는 고성능 영상처리 엔진을 기반으로 대용량, 고화질 영상 데이터 처리가 가능하다. 또한 대규모 통합관제 시스템의 중앙관리를 통해 효율적인 영상관제 환경을 제공하며, 데이터 암호화 및 사용자 인증 등 강력한 보안 장치를 갖춰 안정적인 환경에서 영상을 녹화할 수 있다.  CKR 프라이버시 마스크는 지능형 영상 분석(VCA; Video Content Analysis)을 통해 사용자의 움직임을 모니터링하고 설정한 배경 장면과 비교해 카메라 화면에서 실시간으로 마스킹할 수 있는 기술을 적용했다. 관리자는 마스킹 설정 기능을 통해 원본 영상과 마스킹 영상을 열람할 수 있지만, 일반 이용자는 카메라의 마스킹이 적용된 영상만 열람할 수 있기에 프라이버시를 보장한다. 또한, 특정 영역만 원본 영상으로 지정해 원본을 제외한 부분을 마스킹 처리할 수도 있다. 이 밖에도 옵션으로 선택할 수 있는 피플 카운팅(People Counting) 기능을 통해 마스킹 처리된 영상에서 구역별 혼잡도와 시간대별 유동 인원 수, 지정...

캐논코리아 2022.07.18

마이크로소프트 네트워크 보안을 ‘중간점검’하는 10가지 베스트 프랙티스

2022년도 절반이 지났다. 변화하는 위협 지형을 고려할 때 기업의 계획, 목표, 네트워크에 대한 위험을 검토하기 적절한 시점이다. 가장 대표적인 사이버 위협인 랜섬웨어는 더욱 더 인간을 표적으로 하고 있다. 랜섬웨어 운영자는 갈취뿐 아니라 추가적인 공격 방법과 페이로드를 찾는다. 랜섬웨어는 패치되지 않은 취약점뿐 아니라 이메일과 피싱 미끼처럼 표적화된 공격까지 다양한 방법으로 피해 네트워크에 진입한다.  이에 유념하면서 2022년 중반에 이른 지금, 기업의 보안을 중간점검하는 10가지 방법을 살펴보자.   1. 서드파티 액세스 및 크리덴셜 정책을 검토하라 공격자는 RDP(Remote Desktop Protocol) 액세스를 위해 기업의 네트워크를 면밀히 살피고 크리덴셜 스터핑(credential stuffing)과 같은 무차별 대입 공격을 이용할 것이다. 공격자는 네트워크 액세스를 시도하기 위해 탈취한 데이터베이스에서 입수한 크리덴셜(자격 증명)을 사람들이 재사용하는 경향이 있음을 알고 있다. 필자는 외부 컨설턴트를 위한 크리덴셜 및 여타 액세스 승인을 효과적으로 취급할 방법을 찾는다. 이들에 대한 프로세스와 보안 절차가 우려되어서다. 외부 컨설턴트와 계약을 맺을 때는 이들이 사용하기를 원하는 보안 보호를 계약서에 기입해야 한다. 다중 인증(MFA)을 거치든, 특정 네트워크로 액세스를 최소화하기 위해 액세스 방화벽 규칙을 개설하는 것이든, 컨설턴트가 액세스 및 크리덴셜을 취급하는 방법을 서비스 수준 합의 및 계약에 포함하는 것이 좋다. 크리덴셜은 불필요하게 노출되어서는 안 된다. 크리덴셜의 저장은 컨설턴트를 고용하는 회사의 정책 및 절차에 준하는 방식으로 이루어져야 한다. 이에 맞게 이들 프로세스를 검토하고 평가하라. 2. 보안 감사 결과를 검토하라  정기적인 보안 감사 결과를 진행하되, 이때 감사는 회사의 외부 위험을 나타내는 자산에 대해 수행되어야 한다. 최근 필자는 한 업체에 필자의 네트워크 상 리소스에 관한 외부...

보안 네트워크 보안점검 2022.07.15

49년만에 뒤집힌 '로 대 웨이드' 판결이 촉발한 데이터 프라이버시 논쟁

미국 대법원이 6월 24일 낙태에 대한 헌법상의 권리가 더 이상 존재하지 않는다는 판결을 내리며 ‘로 대 웨이드(Roe v. Wade)’ 사건의 판결을 뒤집었다. 이에 사생활 보호에 대한 우려가 제기되고 있다.  낙태와 사생활에 대한 권리는 별개의 요소로 보일 수 있다. 하지만 프라이버시 옹호자들은 1973년 로 판결 원본에 따르면, 낙태에 대한 권리는 미국 수정헌법 14조의 적법절차조항에 의해 보장된 사생활 보호에 대한 권리를 기반으로 한다고 주장한다. 따라서 이번 판결이 미국인들이 ‘기본권’이라고 여기는 다른 종류의 사생활에도 광범위한 영향을 미칠 수 있다는 우려가 나온다.   STOP(Surveillance Technology Oversight Project)의 전무이사 알버트 폭스 캔은 매셔블(Mashable)과의 인터뷰에서 “반세기 동안 보호받은 낙태권을 뒤집을 뿐 아니라 피임권부터 동성결혼권까지 모든 것을 보호하던 헌법이 오랫동안 인정한 사생활 보호에 대한 권리를 훼손하게 된다”라고 말했다.  EFF(Electronic Frontier Foundation)의 사이버보안 책임자이자 디지털 개인정보 보호 전문가인 에바 갈페린도 정보보안 전문가 중 이 문제에 대해 가장 먼저 입을 열었다. 갈페린은 트위터에서 “그동안 독재국가의 활동가들과 언론인을 도왔다. 독재국가에서는 디지털 프라이버시에 대해 몇 단계 앞서 생각하는 것이 현명하다. 이제 기술 노동자들은 이런 사고방식을 낙태를 제공하고 추구하는 사람에게도 적용해야 한다”라고 말했다. 데이터 무기화에 대한 우려 판결 이후에는 생리 주기 추적 앱이 논쟁이 됐다. 생리 주기 추적 앱의 데이터가 한 사람의 임신을 결정하는 데 사용될 수 있는지, 따라서 국가가 낙태한 사람을 기소할 때 생리 주기 추적 앱의 데이터를 사용할 수 있는지가 주요 쟁점이었다. 논쟁이 전개되자 많은 사람이 생기 주기 추적 앱에 대한 우려가 근거 없는 것은 아니지만, 생리 주기 ...

프라이버시 로대웨이드 2022.07.15

제로 트러스트를 구현할 때 반드시 피해야 할 5가지 실수

지난 2년 동안 많은 기업이 원격 근무자, 협력 업체, 서드파티 업체가 클라우드와 온프레미스 환경의 데이터에 접근하는 더 나은 방법을 모색했다. 이런 상황에서 주목받기 시작한 것이 바로 제로 트러스트(Zero Trust) 보안이다.   제로 트러스트 보안을 트렌드로 이끈 요인은 매우 다양하다. 갈수록 정교해지는 사이버 위협, 클라우드 도입의 가속, 코로나19 팬데믹으로 인한 원격 및 하이브리드 근무환경 도입 등이 대표적이다. 많은 기업이 경계 안에 있는 모든 것을 암묵적으로 신뢰하는 전통적인 보안 모델이 경계가 존재하지 않고 데이터와 사용자가 갈수록 탈중앙화되는 오늘날 환경에 적합하지 않다는 사실을 깨달았다. 미국에서는 2021년 5월 바이든 행정부가 연방 기관에 제로 트러스트 보안을 구현하라는 행정 명령을 내리면서 제로 트러스트 보안에 대한 연방 기관의 관심이 커졌다. 보안 업체 일루미오(Illumio)의 위탁을 받아 포레스터 리서치가 실시한 최근 조사에 따르면, 응답자의 2/3가 2022년 제로 트러스트 예산을 높였다고 답했다. 응답자 중 절반 이상(52%)이 자사 제로 트러스트 프로그램이 중대하고 전사적인 이점을 가져올 것이라고 답했고, 50%는 클라우드 마이그레이션이 더 안전해질 것이라고 전망했다. 사이버보안 업체들은 큰 기회를 감지하고 ‘제로 트러스트’라는 단어가 붙은 제품들을 서둘러 내놨다. 리서치 업체인 IT하베스트(IT-Harvest)가 약 2,800곳의 업체의 웹사이트를 대상으로 시행한 비공식 조사에 따르면, 조사 대상 사이트 중 238곳이 제로 트러스트를 유독 강조하는 것으로 나타났다. IT하베스트의 최고 연구 애널리스트 리처드 스타이넌은 “백악관과 CISA가 제로 트러스트 접근법으로 전환하라는 가이드를 발표한 후부터 모두가 이 가이드에 발맞추고 싶어 하는 것”이라고 말했다.  제로 트러스트를 둘러싼 과대 선전은 상당한 혼란을 초래했다. 급기야 제로 트러스트라는 개념을 처음 소개했던 포레스터 리서치는 2022년 초 ...

제로트러스트 ZTNA 2022.07.14

sw 개발자가 공급망 보안에서 던져야 할 질문 "너무 많이 신뢰하지는 않는가?"

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 2022.07.14

"IIoT와 OT 보안 프로젝트 93%가 실패…투자 확대해야" 바라쿠다 보고서

산업 시스템 공격이 증가하고 있지만 이러한 시스템을 보호하기 위한 보안은 계속 뒤처지고 있다.  클라우드 보안 회사 바라쿠다(Barracuda)가 의뢰해 실시한 설문조사 결과에 따르면 전체 응답자의 94%가 지난 12개월 동안 산업용 IoT(IIoT) 또는 운영 기술(OT) 시스템 공격을 경험한 것으로 나타났다.    ‘2022 산업 보안 현황(The State of Industrial Security in 2022)’은 바라쿠다가 산업 시스템을 담당하는 고위 IT 및 보안 책임자를 대상으로 설문조사를 실시하고, 그 결과를 발행한 보고서다.  바라쿠다의 데이터 보호, 네트워크, 애플리케이션 보안 부문 수석 부사장 팀 제퍼슨은 “현 위협 환경에서 중요 인프라는 사이버 범죄자에게 매력적인 표적이다. 하지만 안타깝게도 IIoT/OT 보안 프로젝트는 다른 보안 이니셔티브에 밀리거나, 비용이나 복잡성으로 인해 실패하여 기업을 위험에 빠뜨리게 된다”라고 말했다.  지정학적 긴장 고조  솔라윈즈 공격, 지난달 리투아니아를 표적으로 한 러시아의 디도스 공격 등 최근 사례는 산업 시스템을 노리는 국가 지원 공격(nation state-backed attacks)에 관한 우려를 불러일으켰다. 그 결과 전체 응답자의 89%가 현 지정학적 상황을 매우 또는 상당히 우려하고 있는 것으로 조사됐다.  콘스텔레이션 리서치의 애널리스트 리즈 밀러는 “러시아의 우크라이나 침공이 사이버 공간으로 진입할 경우 IIoT 기기의 취약점이 주요 표적이 되리라 예상됐기 때문에 전 세계를 긴장시켰다”라고 언급했다.  뒤처진 제조 및 의료 산업  바라쿠다의 보고서에 의하면 전체 응답자의 93%는 소속 기업이 IIoT/OT 보안 프로젝트에서 실패했으며, 그 원인으로 인력과 도구의 부족을 꼽았다. 또 이번 설문조사에 참여한 기업의 18%만이 네트워크 액세스를 제한하고, MFA(다중 요소 인증)를 시행하고 있다고 답했...

사이버 보안 위협 환경 IIoT 2022.07.14

에릭슨-탈레스-퀄컴, 위성 5G 서비스 테스트한다

에릭슨이 11일(현지 시각) 퀄컴, 탈레스와 협력하여 저궤도 위성을 활용하는 위성 기반 5G 네트워크 테스트를 공동으로 계획하고 있다고 발표했다. ‘전 세계적으로 사용 가능한 연결성’을 제공하기 위해서다.    전 세계적으로 사용 가능한 연결성이란 지상에 있는 5G에 백업 서비스를 제공하여 한동안 5G가 배포되지 않을 수 있는 원격 지역에 커버리지를 제공할 수 있다는 개념이다. 에릭슨, 탈레스, 퀄컴은 국가 안보 및 공공 안전망 등을 강화하려는 정부가 이러한 서비스의 주요 사용자일 것으로 예상한다고 밝혔다.  퀄컴의 엔지니어링 부문 수석 부사장 존 스미에 따르면 위성 서비스는 5G가 기대에 부응할 수 있는 핵심 부분이다. 존 스미는 성명에서 “5G가 ‘유비쿼터스 연결’이라는 약속을 지키려면 바다 위든 원격 지역이든 지상 셀룰러 네트워크가 존재하지 않는 지역에서도 네트워크 커버리지를 제공할 수 있어야 한다”라고 말했다.  이번 계획은 위성을 통해 직접 종단 간 5G 서비스를 제공하는 게 아니라, 오히려 광섬유를 비실용적으로 또는 원격 지역에 연결하려는 시도를 포함하지 않는 백홀 방식을 제공하는 것이다.  가트너의 책임 애널리스트 빌 메네제스는 에릭슨-퀄컴-탈레스의 프로젝트가 유일무이하진 않을 것이라고 언급했다. 다른 무선 업계 이해관계자도 그 뒤를 따르고 있기 때문이다. 메네제스는 “5G 하드웨어와 기술이 위성 사업에서 상당히 빠르게 성장하는 부분이 될 수 있다는 점에서 여기에는 다양한 기회가 있다”라고 덧붙였다.  또한 메네제스는 "위성 기반 5G 기지국이라는 개념은 매력적이며, 대부분 특정 사용 사례, 이를테면 석유 굴착기, 여객기, 특히 시골 지역 등에 적합할 것"이라며 "하지만 가까운 미래에 5G 네트워크의 압도적인 다수는 완전히 지상파일 가능성이 높다면서, 에릭슨, 탈레스, 퀄컴이 실제 테스트를 하고 있다는 건 뉴스 가치가 있다. 즉 배포 전 다음 단계라는 것을 의미한다. 그러나 ...

5G 에릭슨 탈레스 2022.07.13

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.