Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안

컴볼트, 데이터 보안 서비스 ‘메탈릭 쓰렛와이즈’ 공식 출시

컴볼트는 데이터 보안 서비스 ‘메탈릭 쓰렛와이즈(Metallic ThreatWise)’를 공식 출시했다고 발표했다. 쓰렛와이즈는 알려지지 않은 위협과 제로데이 공격 등을 사전에 포착하는 조기 경고 시스템으로, 이로 인해 손상된 데이터와 비즈니스 악영향을 최소화할 수 있도록 돕는다.   컴볼트는 이번에 출시한 쓰렛와이즈를 바탕으로 조기 경고 시스템을 제공해 데이터 보안의 영역을 한층 확장한다고 밝혔다.  신규 서비스는 악의적인 행위자가 가짜 리소스를 이용하도록 미끼를 활용해 사전에 유인하며, 데이터 프로덕션 환경에서 위협 탐지 기능을 제공하고 비즈니스 조직이 데이터의 안정성을 확보할 수 있도록 적절한 도구 등을 제공해 보안 위협으로부터 무장할 수 있도록 돕는다. 이외에도 컴볼트는 머신 러닝과 주요 위협 탐지, 보안 기능을 기존 플랫폼에 확장 지원한다.  컴볼트 제품 담당 란가 라자고파란 수석 부사장은 “데이터 복구는 보안 측면에서 중요하지만 이 자체만으로는 충분하지 않다”며, “컴볼트는 메탈릭 SaaS 포트폴리오에 통합된 쓰렛와이즈를 통해 사이버 위협이 비즈니스에 영향을 미치기 전에 미리 차단하여 제로 로스(Zero-loss) 전략을 강화하는 사전 예방적 조기 경고 시스템을 고객에게 제공할 수 있게 됐다”고 말했다. editor@itworld.co.kr

컴볼트 데이터 보안 3일 전

데이터 유출 사고 10%는 '내부 직원' 때문에 발생...“클라우드 사용, 퇴사자 관리 잘해야”

내부 직원은 기업 보안팀이 관리하기 쉽지 않은 위협 요인이다. 거기다 최근에는 퇴사자가 민감 정보를 경쟁 기업에 넘기거나, 해커에게 돈을 받고 팔거나, 미디어에 특정 파일을 유출하는 경우가 늘어나면서 데이터 보안 문제는 점점 더 심각해지고 있다.    보안 전문 업체 사이버헤이븐(Cyberhaven)의 보고서에 따르면, 올해 1월부터 6월 사이에만 전 세계적으로 1,400만 명이 데이터 유출 사건을 일으킨 것으로 조사됐다. 월평균으로 보면 각 기업의 직원 중 2.5%가 민감 정보를 유출하고 있으며, 6개월을 기준으로 조사해보면 직원 중 9.4%가 민감한 데이터를 빼내고 있었다. 여기서 말하는 데이터 유출 사고란 승인되지 않은 방식으로 데이터가 외부로 전송되는 모든 형태를 말한다.  이때 데이터를 빼돌린 직원 중 상위 1%에 해당하는 사람은 전체 사고 중 7.7%를, 상위 10%는 전체 사고의 34.9% 일으켰다. 지역으로 보면, 미국에서 전체 사고의 44%가 발생했으며, 아시아 태평양 지역에서 27%, 유럽, 중동, 아프리카 대륙에서 24%가 발생했다.   클라우드 저장소는 데이터 유출 사고의 중심지 데이터 유출이 가장 많이 발생하는 곳은 개인 클라우드 저장소였다. 전체 사건의 27.5%가 클라우드 저장소에서 발생했다. 또한 개인 이메일(18.7%)과 기업용 메일(14.4%)을 통해서도 데이터가 많이 유출됐다. 기업용 이메일 관련 데이터 유출 사고는 의도적으로 개인 이메일로 민감 데이터를 보내거나 실수로 잘못된 수신자에게 메일을 보내는 경우를 포함한다. 데이터 유출 사고에서 가장 많이 사용된 클라우드 저장소는 드롭박스(44.8%)와 구글 드라이브(25.5%)였다. 왓츠앱이나 시그널 같은 메시지 앱을 통해 일어난 사고 비중은 6.4%였다. 사이버헤이븐은 “메시지 앱은 종단간 암호화를 적용한 경우가 많아, 실제 무엇을 주고받았는지 추적하기 쉽지 않아 더 문제가 되고 있다”라고 지적했다.  데이터 종류를 살펴보면 ...

보안 직원 관리 2022.09.15

“러스트 언어 보안성 높인다”…재단에 자체 보안팀 배치

러스트 재단이 러스트(Rust) 언어의 보안 수준을 평가하고 강화하기 위해 자체적으로 보안팀을 지원하겠다고 밝혔다.    이번에 새로 생기는 러스트 보안팀은 전문 인력으로 구성됐으며, 러스트 커뮤니티를 지원하고, 프로그래밍 언어의 안정성을 높이는 데 도움을 줄 예정이다. 러스트는 기본적으로 메모리 안정성을 보장하기 때문에 보안성이 높다고 여겨지곤 하는데, 러스트 재단 이사장 벡 럼불은 “러스트 역시 다른 언어와 마찬가지로 보안 취약성이 존재할 수 있다”라며 “적극적인 사전 조치로 러스트 언어를 지속 가능하게 만들고 외부 공격으로부터 보호하겠다”라고 밝혔다.  러스트 보안팀은 오픈SSF 알파-오메가 이니셔티브(OpenSSF Alpha-Omega Initiative)와 제이프로그(JFrog)에서 지원받고 있다. 오픈SSF 알파-오메가 이니셔티브는 리눅스 재단 주도 하에 오픈소스 소프트웨어의 공급망 보안 기술을 지원하는 프로그램이다. 제이프로그는 데브옵스 플랫폼 전문 업체다. 두 프로젝트는 러스트 재단에 전문 인력을 배치하고 필요한 자원을 지원하면서 러스트 보안성을 높이는 작업에 착수한다. 초기에는 보안 감사를 진행하고 예상 위협을 모델링하면서 현 상황에서 효율적으로 보안성을 높일 방안을 찾을 예정이다. 또한 카고(Cargo) 패키지 매니저와 크레이트(Crates) 레지스트리 같은 러스트 개발 환경에서 보안성을 확보할 수 있도록 지원할 계획이다.  오픈SSF는 올해 초 ‘오픈소스 보안 모빌리제이션 방안’을 발표하고 메모리 안정성을 지원하지 않는 C나 C++ 같은 언어를 러스트나 고(Go)로 대체해서, 근본적인 보안 취약성을 제거해야 한다고 조언한 바 있다. 오픈SSF 알파-오메가 이니셔티브는 구글과 마이크로소프트에게 금전적인 후원을 받고 있으며, 오픈소스 소프트웨어 프로젝트의 보안성을 높이는 활동을 주도하고 있다.  editor@itworld.co.kr

오픈소스 러스트 보안 2022.09.14

캐논코리아, 리눅스 서버 지원하는 문서 보안 시스템 ‘리눅스용 MAPP-E’ 출시

캐논코리아는 리눅스 서버 운영 체제를 지원하는 통합 문서 보안 시스템 ‘MAPP-E 포 리눅스(MEAP Any Place Printing – Enterprise for Linux)’를 출시했다.   캐논코리아는 통합 문서 보안 시스템인 ‘MAPP-E’를 고객사의 필요에 따라 제안 및 구축해 운영하고 있다. 기존에는 윈도우 운영체제만 지원했으나, 이번 신규 버전 출시로 리눅스를 사용하는 기업 고객들도 라이선스 비용에 대한 부담 없이 캐논코리아의 ‘MAPP-E’를 선택할 수 있게 됐다. 기존 ‘MAPP-E’ 시리즈와 동일한 성능을 갖춘 캐논코리아의 ‘MAPP-E 포 리눅스’는 기업 내 구축된 통합 서버를 통해 시공간 제약 없이 문서를 출력할 수 있는 ‘AP(AnyPlace-Printing)’ 서비스를 지원한다. 사용자 인증만 거치면 문서 출력 실행 시 기업 내 모든 복합기에서 인쇄가 가능하며, 사용자 인증은 사원증(IC 카드), 생체, 모바일 인증 등 다양한 수단을 통해 실행할 수 있다. 업무의 효율성과 보안성도 모두 갖췄다. 운영 서버 장애 시 바로 장애 출력 전환 기능이 작동하므로 업무 단절을 줄일 수 있으며, 관리자는 사용자와 부서별 사용량 및 이력 조회로 특정 부서의 출력 사용량이 높은 경우 할당/제한 기능으로 출력 시스템을 관리할 수 있다. 이러한 데이터를 내부 운영 지표로 활용해 불필요한 출력을 차단하거나 비용을 효율적으로 절감할 수 있다. 보안성 측면에서는 기본 보안으로 인증되지 않은 사용자의 복합기 접속을 차단하고, 인증 출력 기능으로 문서 간 혼재 방지 및 민감한 정보를 보호한다. 또한, 서버 기반의 워터마크 기능으로 불법 복제를 방지하고, 모든 작업물의 특정 내용 검출 시 담당자에게 자동으로 메일을 전송해 서버 해킹 등 회사의 기밀 내용 유출을 사전에 차단할 수 있다. 스캔과 팩스 기능에서도 편리성을 더했다. 스캔 결과물은 기업 내 서버에 저장돼 사용자 개인 계정을 통해 스캔 문서를 검색 및 조회, 삭제, 다운로드할 수 있다....

캐논코리아 리눅스 문서 2022.09.07

줌, 줌 클라우드 데이터 보호하는 고객 관리형 키 ‘줌 CMK’ 출시

줌(Zoom Video Communications)이 사용자가 자체적으로 암호화 키를 설정해 줌 클라우드 인프라 내 특정 데이터를 보호할 수 있는 ‘고객 관리형 키(Customer Managed Key; 이하 CMK)’를 출시했다고 밝혔다.    줌 CMK는 줌의 BYOK(Bring Your Own Key) 솔루션으로 유료 고객에게 제공되는 최신 보안 기능이다. 최근 규제 및 보안 문제가 대두되며 업계에선 보안 정책을 강화하고 있다. 특히, 미국의 경우, 의료기관은 의료정보보호법(HIPPA), 금융 기관은 그램-리치 블라일리법(Gramm-Leach Bliley Act), 뉴욕주 금융서비스국(NY DFS)의 관련 법규 등을 준수하도록 하고 있는데, 다양한 조직들이 줌 CMK를 통해 더욱 엄격해진 보안 정책에 적절히 대응할 수 있을 것으로 기대된다. 사용자는 줌 CMK를 통해 클라우드 녹화, 음성메시지, 캘린더 액세스 토큰 등 특정 줌 자산을 나만의 암호화 키로 보호할 수 있다. 적용 가능한 자산은 ▲줌 회의 클라우드 기반 녹화본(자막 및 챗 텍스트 포함) ▲줌 웨비나 클라우드 기반 녹화본 ▲줌 폰 음성메시지와 녹화본 ▲줌 룸 캘린더 액세스 토큰 ▲사용자 캘린더 액세스 토큰 ▲마이크로소프트 팀즈 액세스 토큰 ▲회의 및 웨비나 보관 등이 포함된다. 줌 CMK는 아마존웹서비스(AWS) KMS(Key Management Service) 사용 고객도 지원한다. 계정 관리자는 줌 관리자 포탈의 ‘보안’ 탭에서 암호화 키를 프로비저닝하거나 줌 글로벌 서비스에 도움을 요청하여 줌 CMK를 설정할 수 있다. 그 밖에도 줌은 조직이 복잡한 보안 규제를 준수하면서 조직의 특성에 맞는 보안 전략을 수립할 수 있게 다양한 툴을 제공하고 있다. 사용자는 비즈니스 니즈에 맞게 데이터를 보호할 수 있도록 설계된 줌 CMK 외에도 줌의 다양한 보안 기능을 사용하여 주요 정보 자산을 보호할 수 있다. editor@itworld.co.kr

보안 데이터 2022.09.07

글로벌 칼럼 | 트위터 내부 고발 사건으로 살펴보는 선거 보안의 중요성

선거의 공정성과 신뢰성을 보장하는 선거 보안(election security)은 과거에도 문제가 되긴 했지만, 요즘처럼 그 중요성이 커지는 시기도 없을 것이다. 최근 몇 년간 러시아, 중국, 이란 등 국가 차원에서 선거 개입을 시도한 정황이 발견되면서 선거 보안에 대한 관심이 더 커지고 있기 때문이다. 그런 와중에 선거 보안에서 소셜 네트워크의 역할은 별로 논의되지 않았다. 실제로 이전에는 소셜 네트워크가 미치는 영향은 미미했다. 하지만 최근 전직 트위터 CISO의 내부 고발을 계기로 소셜 네트워크가 선거에 미치는 영향력이 주목받게 됐다.      소셜 네트워크와 선거의 역사 2008년과 2012년 버락 오바마 대통령의 선거 운동은 선거 메시지를 전달하고, 유권자를 결집할 때 소셜 네트워크가 엄청난 역할을 할 수 있다는 것을 강력하게 보여줬다. 당시 전문가와 기술 분석가는 소셜 네트워크 영역만큼은 오바마 대통령이 상대 진영을 압도했다고 평가했다. 오바마 선거 캠프는 당시 메시지를 바이러스처럼 퍼뜨리면서 증폭시키는 소셜 네트워크의 특징을 잘 이해했던 것으로 보인다.  2015년 이번엔 러시아 정부가 미국의 주 선거 인프라를 노리고 부정확한 정보와 허위 정보를 퍼뜨리고, 여론을 조작한 활동이 포착됐다. 러시아는 2016년 대선 결과에 영향을 미치기 위해 미국에서 활동 중인 별도의 직원을 이용하기도 했다. 이미 2015년에 미국연방수사국(FBI)은 민주당과 공화당 모두에게 경고하며, 소속 후보와 정당 인프라를 비롯한 선거 인프라를 노리는 러시아의 사이버 공격이 있다고 알려주기도 했다. 2016년 10월에는 특정 단체가 부분적 또는 전면적으로 사실이 아닌 정보를 배포하기도 했다.    선거 허위 정보에 대처하는 민간 및 공공의 노력 2017년만 해도 ‘오정보(misinformation)’와 ‘허위 정보(disinformation)’는 미국 유권자에게 익숙한 단어가 아니었다. 하지만 2022년 현재 ‘오정보’와...

트위터 선거 보안 2022.09.06

KISA, IoT 보안기준 ITU-T 국제표준으로 최종 채택

한국인터넷진흥원(KISA)은 제안한 ‘사물인터넷(IoT) 보안 시험·인증 기준 국제표준안(X.1352)’이 국제전기통신연합 전기통신표준화부문(ITU-T)에서 최종 국제표준으로 채택되었다고 밝혔다.   KISA는 지난 8월 24일부터 9월 2일까지 스위스 제네바에서 개최된 이번 ITU-T 표준화 회의(SG17)에 참석해 대응한 결과, 제안한 표준안이 최종 승인됐다. 이를 위해, KISA는 공인시험기관인 한국기계전기전자시험연구원과 함께 기존 국제표준인 ‘IoT 보안 프레임워크(X.1361)’에 기반해 이번 ‘IoT 보안 시험·인증 기준’을 ITU-T 신규 아이템으로 제안했다. 이후, KISA는 7차례 기고문을 제출해 올해 5월 회의에서 표준안이 사전채택 되어, 지난 3개월간 표준안에 대한 ITU 회원국의 의견수렴 과정을 거쳤다. 제안한 국제표준안은 IoT 기기 및 게이트웨이에서 발생 가능한 보안위협 식별, 관련 보안(인증, 암호, 데이터, 플랫폼, 물리적 보안) 요구사항의 내용을 담고 있다. KISA는 이번 표준화 최종 채택으로 국내 IoT 보안 시험·인증 기준을 만족하는 IoT 인증제품이 국제표준을 동시에 만족하게 되어 해외 진출 시 국내 IoT 인증제품의 경쟁력이 강화될 것으로 기대한다. 또한, 다른 IoT 국외기관과 상호인증 추진 시 국내 기준이 국제표준 기준이라 설명할 수 있어 상호인증 소요기간 단축에 도움이 될 것으로 예상한다. KISA 이원태 원장은 “KISA가 제안한 국제표준안이 최종 채택됨에 따라 국내 IoT 보안제품의 글로벌 입지를 강화하는 데 크게 기여할 것으로 기대한다”며, ”KISA는 앞으로도 IoT 보안 산업이 활성화될 수 있도록 적극 지원할 것”이라고 강조했다. editor@itworld.co.kr

KISA IoT 보안기준 2022.09.05

구형 애플 기기 노린 악성코드 등장 “최신 버전으로 무조건 업데이트해야”

애플이 제로 데이 공격을 방어하기 위한 긴급 보안 패치를 공개하며, 구형 애플 기기의 업데이트를 강력히 권고했다.    이번 패치는 해킹당한 기기를 공격자가 제어하지 못하게 막는 기술을 포함한다. 미국 사이버보안 및 인프라 보안국(CISA)은 9월 1일 애플 기기 사용자 및 IT 관리자에게 애플의 자료를 확인하고 필수적인 업데이트는 반드시 진행해달라고 요청했다.  애플은 해당 취약점을 구체적인 공격을 받아서 알게 된 것인지에 대해서는 따로 언급하지 않았으나 공식 홈페이지를 통해 “해당 취약점이 적극 악용될 수 있다는 것을 잘 인지하고 있다”라고 밝혔다. 이번 취약점과 관련된 소프트웨어 결함은 정보 보안 취약점 표준 코드(CVE)에 포함됐다. CVE는 미 국토안보부가 관리해서 만드는 자료로 주요 보안 및 취약점 문제에 대한 정보가 담겨 있다.  컨설팅 업체인 제이 골드 어소시에이트(J. Gold Associates)의 대표 애널리스트 존 골드는 “웹 페이지가 특정 방식으로 구성될 경우, 디바이스 밖에서 악성코드를 실행하면서 악성 코드를 실행하는 환경을 디바이스 안에서 효과적으로 생성할 수 있다. 그런 경우 기기에 저장된 데이터, 연락처, 위치정보 등에 문제를 발생시키거나 악성 소프트웨어 등을 설치할 수 있다. 매우 큰 문제다”라고 강조했다.   이번 취약점은 주로 아이폰 6, 아이폰 6 플러스, 아이패드 에어, 아이패드 미니2 및 미니 3, 아이팟 터치 6세대, 구형 맥 OS를 실행하는 컴퓨터에 영향을 미친다. 골드는 “이번 악성코드는 주로 구형 제품에 영향을 주기에 실제 피해를 입는 기기는 적을 것으로 예상된다. 그럼에도 불구하고 구형 기기를 가지고 있다면 가능한 한 빨리 업데이트해야 한다”라고 설명했다.  구형 기기에 보안 업데이트를 하는 것은 중요하지 않아 보일 수 있는데, 사실 해커는 구형 기기를 주요 먹잇감으로 노린다. 특히 해당 기기가 다른 시스템 및 서비스에 대한 접근권이나 제어권을 줄...

애플 보안 악성코드 2022.09.02

블로그 | 클라우드 보안 궁극의 해법은 자동화다

최근 한 조사 결과를 보면 데이터 유출 사고의 19%가 클라우드 서버의 잘못된 설정에서 비롯됐다고 한다. 매일 이런 위협에 맞서는 퍼블릭 클라우드 업체의 자료에서도 비슷한 흐름을 확인할 수 있다. 마이크로소프트가 실제 사이버위협 활동 데이터를 분석한 사이버 시그널 보고서에 따르면, 랜섬웨어 공격의 80% 이상에서 소프트웨어 혹은 기기의 잘못된 설정이 발견됐다. 복잡한 기술적 이야기를 걷어 내면, 사람의 실수가 보안 사고의 위험을 높이고 있다는 뜻이다.   그렇다면 기업 보안 문제를 해결하는 방법은 이런 작업에서 사람을 역할을 없애는 것이라는 결론에 다다른다. 실제로 제대로 구현하기만 하면 보안 자동화는 해킹이 발생할 수 있는 위험 대부분을 제거한다. 이처럼 자동화는 보안의 자연스러운 진화지만, 많은 기업이 여전히 보안 상황이 발생했을 때 대응하는 수준으로 인프라를 운영하고 있다. "우리 공격 받았어. 누군가 뭐든 해줘!"라고 외치는 것이다. 반면 점점 더 많은 기업이 선제적으로 대응하는 방식으로 전환하고 있다. 이런 기업에서 보안 팀의 하루는 매일 아침 메일을 읽는 것으로 시작한다. 이 메일에는 지난 밤 얼마나 많은 공격이 있었는지, 이에 대응해 인공지능, 보안 오케스트레이션, 크로스 클라우드 보안 관리 등과 같은 자동화된 보안 시스템을 통해 어떻게 방어했는지에 대한 내용이 담겨 있다 일반적으로 보안 자동화는 모든 잘못된 설정을 사전에 막고 지속적인 보안 대응을 제공하는 자동화 레이어를 확보하는 것을 목표로 한다. 랜섬웨어든 분산 서비스 거부든 상관없이 모든 공격을 자동화를 통해 막는 것이다. 누군가 새벽 3시에 긴급 문자를 받아 노트북을 켜는 방식이 아니다. 자동화된 보안의 많은 장점에도 불구하고, 왜 이렇게 많은 기업이 여전히 수작업으로 처리하는 보안 시스템을 고집하는 것일까? 사람의 수작업이 클라우드와 비 클라우드 시스템 모두에서 위험 요소라는 것이 여러 차례 판명됐는데도 말이다. 필자의 경험에 따르면, 이는 이해의 부족과 투자...

클라우드 보안 자동화 2022.08.31

블로그 | 보안에 만병통치약은 없다

전 세계가 불황에 빠질지라도 예산 삭감이라는 도끼에서 생존할 분야 중 하나가 보안이다. 그러나 안전한 미래를 구현하기가 점점 더 어려워지고 있다는 사실 또한 분명하다.  SLSA(Supply-chain Levels for Software Artifacts), 텍톤(Tekton)을 비롯한 각종 솔루션이 오픈소스 서플라이 체인의 안전성을 높여줄 수 있기는 하다. 하지만 현실 속 해법은 여전히 구태의연하다. 모달 랩스의 설립자 에릭 베른하드슨은 “여전히 개발자가 더 잘 해내기를 바라고 ‘경계를 유지’하는데 의존하고 있다”라고 말했다. 그리고 이러한 비전략적 접근법은 계속해서 실패하고 있다. 베른하드슨은 “2022년의 보안은 왜 그렇게 어려운가?”라고 반문했다. 이 질문에 대한 한 가지 답은 시스템이 점점 더 복잡해지고 있으며, 이로 인해 해커가 악용할 수 있는 구멍을 남겨놓는 현실이다. 그렇다면 상황이 나아질 가능성이 있을까?     만병통치약 없음 보안이 어려운 근본적인 이유 중 하나는 시스템을 보호하기 위해서는 시스템 전체를 이해해야 한다는 진실이 자리하고 있다. 오픈소스 전문가인 사이먼 윌슨은 “보안 소프트웨어를 작성하려면 모든 것이 어떻게 작동하는지에 대한 깊은 지식이 필요하다”라고 말했다. 그에 따르면 개발자가 기본적인 이해 없이 그저 ‘모범수칙’만 따를 수 있겠지만, 이는 “우연한 실수와 새로운 보안 허점의 출현으로 이어진다”라고 말했다.  그는 개발 단계에 보안 기본값을 적용하는 자동화를 이용해 인적 오류를 줄이려는 시도에 대해 부정적인 입장을 밝혔다. 윌슨은 “도구가 우리를 구할 수 있다고 생각하지 않는다. 기본 도구가 우수하더라도 한계가 있다. 기본 도구가 어떻게 보안을 유지하는지 엔지니어가 이해하지 못하면 자신이 하는 일이 왜 나쁜지에 대한 이해 없이 보안을 파괴할 것”이라고 단언했다. 이어 “궁극적으로 보안은 사람에 달렸다. 소프트웨어를 고칠 수는 있지만 소프트웨어 뒤에 있는 사람을 고칠 때까지...

보안 데브섹옵스 속성 2022.08.24

ABM이 제로 트러스트를 중심으로 응집력 있는 보안 프로그램을 구축한 방법

스테파니 프랭클린-토마스는 2021년 초 설비 관리 솔루션 제공업체 ABM 인더스트리(ABM Industries)에 초대 CISO로 합류했다. 프랭클린-토마스는 당시 회사가 적절한 구성요소를 많이 갖춘 보안 접근방식을 취하고 있었음을 발견했다. 구성요소를 많이 갖추었다는 점은 긍정적이었지만, 그 요소들이 완전히 조립된 상태가 아니었다는 점은 부정적이었다. 그 결과 회사의 보안 태세는 미흡했다. 프랭클린-토마스는 “다들 잘하고 싶어 하는 것은 분명한데 프로그램이 없었다. 프로그램의 조각들은 존재했지만 함께 연결되지 않아서 총체적인 면이 부족했다”라고 지적했다.     이에 프랭클린-토마스는 이런 시나리오를 바꾸는 일에 착수했다. 응집력 있는 보안 프로그램을 만들 수 있도록 다양한 조각을 연동할 뿐만 아니라 빠진 조각을 파악해 추가해 넣는 계획을 추진했다. 프랭클린-토마스는 “기존의 것은 ‘우연한 보안’이었다. 올바른 작업이 진행되고 있었지만, 완전한 프로그램은 없었다. 훨씬 계획적인 접근방식이 필요했다”라고 설명했다.   부임 후 1년 반이 된 프랭클린-토마스는 그동안 ABM을 위한 본격적인 보안 프로그램을 시행했다. 제로 트러스트 보안 모델을 중심으로 사람, 프로세스, 기술이 혼연일체가 되어 회사를 효과적이고 효율적으로 방어/보호하며 궁극적으로 비즈니스를 가능하게 하는 보안 프로그램이었다. ABM의 제로 트러스트 프로젝트로 프랭클린-토마스는 비즈니스 가치와 사고 리더십을 인정 받아 2022년 CSO50 상(The CSO50 Awards)을 수상했다.   프랭클린-토마스는 “이제 모두가 같은 방향으로 노를 젓고 있다”라고 말했다. 완벽한 재료, 완성되지 않은 요리 신임 최고 보안 책임자 겸 SVP로 부임한 프랭클린-토마스의 최우선 순위는 보유한 구성요소, 즉 구비된 보안 요소와 누락된 보안 요소를 파악하는 것이었다. 가장 먼저 NIST 평가를 실시했다. 통제 매트릭스를 기준으로 기존의 보안 정책과 절차, 기...

제로트러스트 보안 인터뷰 2022.08.23

KISA, 국내 11개 기업과 클라우드 환경 위한 침해사고 대응 모의훈련 실시

한국인터넷진흥원(KISA)은 과학기술정보통신부와 클라우드 서비스의 안전한 이용 환경 조성을 위해 국내 11개 클라우드 전문 업체와 함께 8월 16일부터 9월 30일까지 약 2달간 모의훈련을 실시한다고 밝혔다.  코로나19로 인한 클라우드 전환의 가속화로 클라우드를 도입하거나 활용하는 기업이 증가함에 따라, 클라우드 서비스 대상으로 침해사고·정보 유출 등 사이버 위협에 대한 우려도 높아지는 상황이다. 이에 KISA는 국내 클라우드 전문 업체의 침해사고 대응체계 강화를 위해, 침해사고 위협모델을 이용한 표준 프레임워크(MITRE ATT&CK)를 기반으로 모의훈련을 수행할 예정이다. 특히, 클라우드 환경에서 사고 위험도가 높고 지속적으로 발생하는 데이터 유출, 랜섬웨어 분야 중심으로 실시할 예정이다. ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)는 미국 비영리단체인 마이터(MITRE)가 해커그룹인 APT33, 라자루스 등의 실제 공격 전술·기술·절차를 분석한 행동기반 침해 모델이다.  이번 모의훈련에서는 ▲침해사고 발생에 따른 보안 솔루션(방화벽/웹방화벽, 백신 등), 시스템 로그 등의 탐지·방어에 대한 기술적 대응체계 ▲사고탐지 ▲초기대응 ▲침해사고 신고 ▲사고조사 및 대응 ▲후속조치의 관리적 대응체계를 점검한다. 이후, 훈련 결과에 따라 참여기업별 침해사고 대응체계 개선을 위한 맞춤형 컨설팅도 지원할 예정이다. KISA 최광희 디지털보안산업본부장은 “KISA는 이번 모의훈련을 통해 클라우드 주요 위협 분야에 대한 대응 역량을 점검하고, 훈련 결과를 바탕으로 침해사고 대응체계 개선 방안을 함께 모색함으로써 국내 클라우드 서비스의 안전한 이용 환경 조성에 앞장서겠다”고 말했다. editor@itworld.co.kr

KISA 클라우드 보안 2022.08.10

"보안에 성공하는 기업은 달랐다" 안전한 협업을 위한 관행 5가지

협업 및 통신보안 분야의 양상은 최근 몇 년간 달라졌다. 변화에 박차를 가한 것은 원격 업무로의 전환과 함께 기업이 서둘러 동영상 및 팀 협업 도구의 온라인화에 나선 것이다. 이는 곧 보안에 대한 우려로 이어졌다. 시장 조사 업체 메트리지(Metrigy)의 대표 겸 수석 애널리스트 어윈 라자는 "기업 내 여러 팀이 협력업체, 공급업체, 고객은 물론 내부적으로 통신하는 방식이 빠르게 변하면서 새로운 보안 과제가 대두됐다"라고 말했다. 최근 CSO의 인포섹 서밋(InfoSec Summit)에서 라자는 성공적으로 새로운 협업 기술을 활용하는 기업이 보안을 위해 실천하는 방법을 조사해 공유했다. 다음은 그 발표 내용을 발췌 정리한 것이다. 더 자세한 것은 다음 세션 동영상을 참고하면 된다.   현황 통신 및 협업 보안에 대한 주제로 이야기를 나눠보면 여전히 요금 사기에 집중하는 경우가 많다. 많은 기업이 전화 시스템에 가해지는 공격, 즉 누군가 그들의 전화 시스템에 등록해 통화를 하고 심지어 통화 기록 등과 같은 데이터를 빼내거나, 악성 통신업체 또는 악성 지점을 거쳐 통화를 라우팅해 요금을 과다 청구하는 등 피해를 입는 것을 우려한다. 그러나 이런 상황은 지난 몇 년간에 걸쳐 빠르게 변한 것으로 확인된다. 여전히 통화는 중요하지만 이 분야에 도입된 다른 협업 기술이 관점에 따라서는 더욱 커졌기 때문이다. 그중에서도 첫 번째는 동영상이다. 동영상 보안 확보와 관련해 흔히 회자하는 문제는 관계자가 아닌 사람들이 회의에 침입해 내용을 염탐하고 엿듣는 것이다. 그 문제는 다행히도 대부분 업체가 해결한 상태다. 그러나 보안 관점과 특히 규정 준수 관점에서 발생하는 것으로 확인된 실질적인 다른 문제는 회의에서 많은 콘텐츠가 발생한다는 점이다. 오늘날 대부분 화상회의 서비스 업체는 회의 녹화 기능을 제공한다. 회의 내용을 글로 옮길 수도 있다. 대화가 진행되기도 하고 회의 밖에서 공개된 메모가 있을 수도 있다. 그렇다면 이 모든 자료는 어디에 있으며 이를 사...

보안 협업 2022.08.08

‘보안과 컴플라이언스’ 두 마리 토끼를 다 잡는 5가지 방법

데이터 관련 법안이 전 세계적으로 늘어나면서 기업 내 보안 담당자가 신경 써야 할 컴플라이언스도 점점 많아지고 있다. 위험성을 줄이기 위해서는 해당 요구사항을 꼼꼼히 살펴봐야 하는 상황인데, 사실 보안성을 높이며 컴플라이언스까지 잘 준수하는 건 굉장히 어렵다. 다음 전문가들의 조언을 잘 활용하면 이런 문제를 보다 쉽게 해결할 수 있다.      1. 데이터 보호에 집중할 것 컴플라이언스는 데이터 보호가 목적인 반면, 사이버 보안은 해커의 침입 방지에 더 집중한다. 데이터 보호 관점에서 볼 때 핵심적인 보안 조치는 불필요한 규제 데이터의 처리나 저장을 피하는 것이다. 인프라 구축 전문 업체 인텔리시스(Intelisys)의 공공 사이버보안 전문가 제임스 모리슨은 “규제를 받는 데이터를 저장할 경우 반드시 권장 수준을 넘는 강력한 암호화를 사용해야 한다”라고 강조했다. FBI 소속 컴퓨터 과학자였던 모리슨은 “현직에 있을 당시 소규모 의료 업체가 환자 정보를 평문(암호화되지 않고 전송 또는 저장된 데이터)으로 보내는 것을 많이 봤다. 규정을 준수하는 정책을 만들려면 규제를 받는 데이터가 처음부터 끝까지 어떻게 처리되는지 질문해야 한다. 데이터가 어디에 존재하고 어디에 저장되며 어떻게 얼마나 오랫동안 저장되는지 유념해야 한다. 컴플라이언스와 보안 관련 기업의 정책은 이런 질문에서 시작한다”라고 설명했다.   2. 보안 감사팀과 친해질 것 보안팀이 감사팀의 관점을 배우는 것도 중요하지만 동시에 감사팀에 사이버 보안의 기초를 알려주는 것도 중요하다. 모리슨은 CISO로 근무했던 예전 회사에서 감사팀과 매주 회의를 했다. 컴플라이언스와 보안 주제를 함께 이야기하는 ‘양방향’ 대화를 유지하기 위해서였다. 그런 과정 이후 ISO 27001 정보보안 관리 업데이트를 수행할 때가 오자 감사팀은 보안팀에게 무엇을 필요한지 명확하고 분명하게 표현할 수 있었다. 모리슨은 감사팀이 요청한 정보를 직접 수집했다. 모리슨은 “최고정보책임자가...

컴플라이언스 보안 2022.08.03

기업의 네트워크 보안을 좌우하는 2가지 필수 기반

대부분 기업은 네트워크 보안을 위해 모든 것을 해봤지만, 위협은 여전하다고 말한다. 절반은 사실이다. 기업들은 여전히 위협에 직면해 있다. 하지만 그 위협에 대처하기 위해 ‘모든 것’을 한 것은 아니다. 실제로 네트워크 보안의 기초가 되어야 하는 2가지 기반을 구현한 기업은 드물다.   네트워크 보안에 대해 하향식 분석을 해 봤는지 물어보면, 대부분 기업이 매년 수행한다고 답한다. 그 평가에 무엇이 관련되어 있는지 물으면, 현재 전략이 실패했다는 징후를 찾는 것이라고 말한다. 이때 기업은 네트워크 보안을 위해 또 다른 레이어를 추가하는데, 이는 베인 상처에 반창고를 하나 더 붙이는 것과 같다.  미안하지만 이런 방법은 ‘하향식’이 아니다. 오늘날의 네트워크 보안은 액세스하면 안 되는 것에는 그 누구도 액세스할 수 없어야 한다는 단순한 요구에서 시작해야 한다.  여기 찰리라는 사람이 있다. 찰리는 주차장을 관리한다. 어느 날 갑자기 찰리가 지난 분기의 매출 기록을 검토하거나 일부 제품의 재고 수준을 확인한다. 이 제품들이 아스팔트를 마모시키고 있어서일까? 혹은 사이버 공격이나 맬웨어의 조짐일까? 어느 기업의 찰리에게만 해당하는 문제가 아니다. 본사 캠퍼스의 문 상태를 모니터링하는 애플리케이션이 데이터센터에서 돌아가고 있다고 가정해 보자. 갑자기 이 애플리케이션이 급여 시스템과 연결된 모듈에 액세스한다. 문고리가 급여 명부에 있지 않은 한 이것 역시 경고 신호다. IP 네트워크가 허용하는 연결이 안전하지 않다는 의미이기 때문이다. 연결 허용 정책을 통한 보안 연결 허용 보안이 가진 문제점은 복잡하기 때문에 불편하다는 것이다. ‘찰리’부터 시작해보자. 찰리는 MAC 계층 주소를 할당 받는 것을 부주의하게 거절했기 때문에 특정한 네트워크 ID를 가지고 있지 않다. 이때 찰리에게 할당된 기기가 확실한 ID 지표 역할을 한다고 볼 수 있을까? 샌디가 찰리의 책상에 앉아서 애플리케이션을 약간 수정하면 어떻게 될까? 샌디는 찰리의 특권을...

네트워크 보안 AI 2022.08.03

"데이터 침해 피해 기업 60%, 제품ㆍ서비스 가격 올렸다"

IBM의 보안 보고서에 따르면 데이터 침해에 따른 전 세계 평균 비용이 2021년 미화 424만 달러에서 2022년 435만 달러로 증가하면서 사상 최고치를 기록했다. 침해로 피해를 본 기업의 약 60%는 제품 및 서비스 가격을 인상했다.  IBM 시큐리티(IBM Security)와 포네몬 인스티튜트(Ponemon Institute)의 최신 보고서는 지난 2021년 3월부터 2022년 3월까지 전 세계 기업 550곳의 실제 데이터 침해 사례를 분석한 결과를 담았다. 해당 보고서는 약 83%의 기업이 지금까지 1회 이상 데이터 침해를 경험했으며, 침해 비용의 약 50%가 유출 이후 1년 넘게 발생한 것으로 조사됐다.      “클라우드 및 주요 인프라가 여전히 높은 위험에 노출돼 있다” 보고서에 의하면 랜섬웨어와 파괴적 공격이 주요 인프라 기업의 침해 유형 중 28%를 차지했다. 이는 글로벌 공급망을 교란시키고자 해당 부문을 표적으로 삼는 위협 행위자가 있다는 사실을 나타낸다. 이어 보고서는 美 바이든 행정부가 연방기관에 제로 트러스트 보안 모델 도입을 의무화한 사이버 보안 행정 명령을 내린 지 1년이 지났지만 이번 설문조사에 참여한 주요 인프라 기업 가운데 이를 채택했다고 밝힌 곳은 21%에 불과했다고 전했다.  클라우드 컴퓨팅 인프라는 보안이 미숙하다는 점에서 쉬운 타깃으로 꼽히고 있다. 보고서는 “43%의 기업이 초기 단계에 있거나, 클라우드 환경 전반에 보안 관행을 적용하지 않았다고 답했다. 그 결과, 보안이 성숙한 기업에 비해 평균 66만 달러 이상의 높은 침해 비용이 발생하는 것으로 조사됐다”라고 전했다.   아울러 하이브리드 클라우드를 도입한 기업(45%)의 침해 비용이 퍼블릭 또는 프라이빗 클라우드 모델만 채택하는 기업보다 낮은 것으로 드러났다. 하이브리드 클라우드의 침해 비용은 평균 380만 달러인 반면, 퍼블릭 클라우드와 프라이빗 클라우드는 각각 502만 달러, 424만 달...

데이터 침해 데이터 유출 IBM 2022.08.03

“더 나은 보안을 위한 종합적인 접근” 심층 방어의 이해

‘심층 방어(Defense in depth)’란 하나가 실패하면 다른 것이 버틸 것이라고 가정해 여러 개의 보안 도구, 메커니즘, 정책을 배치하는 보안 전략이다. 예컨대 해커들이 네트워크에 침투하지 못하도록 방화벽에만 의존하는 대신, 엔드포인트 보안 소프트웨어와 IDS(Intrusion Detection System)를 배포해 방화벽을 통과한 공격자를 찾아낸다.   다양한 도구를 통해 다양한 위협에 대응하는 것이 목적이 아니다. 심층 방어 전략은 공격자가 하나의 도구를 무너뜨리거나 우회할 때 다른 도구로 이를 찾아내 다른 방식으로 대응할 것이라고 가정한다.      심층 방어는 ‘성(castle) 접근법’이라고 불리기도 한다. 공격자가 돌파해야 하는 해자와 난간이 많은 중세 시대의 요새와 같아서다. 심층 방어라는 용어 자체는 군대에서 유래됐다. 약한 방어군이 전략적으로 자국 내부로 후퇴해 공간과 시간을 확보하는 전쟁 시나리오를 묘사한다. 하지만 사이버 심층 방어는 전쟁 시나리오와는 다르다. 허니팟(honeypot)과 달리 공격자에게 절대로 시스템 통제력을 넘겨주지 않는다. 공격자는 무수히 많은 방어책에 맞닥뜨려야 하며, 하나를 무너뜨릴 때마다 새로운 것이 나타난다. 각 도구는 최종 방어선이라는 가정하에 구축된다. ‘안전한 코드 작성하기(Writing Secure Code)’의 저자 마이클 하워드와 데이비드 르블랑은 “방화벽이 보호해줄 것이라 기대한다면, 방화벽이 해킹된 것처럼 시스템을 구축하라”라고 설명했다.  심층 방어가 중요한 이유 전통적인 경계 방어 모델은 스스로 방어할 수 없다. 경계 방어 철학은 개별 기기에 대한 방화벽과 방어책으로 엣지의 보안을 강화해 공격자가 네트워크에 침투하지 못하도록 하는 데 가능한 한 많은 자원을 투입하는 것이다. 하지만 오늘날과 같이 어디에서나 근무할 수 있고 공공 및 사설 클라우드 사용이 보편화된 환경에서는 보호가 필요한 경계를 정의하기가 어렵다. 즉, 경계 방어는 점...

심층방어 보안 레이어드보안 2022.08.01

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.