Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안

잼프의 제크옵스 인수로 살펴본다…'스스로 보호하는 기업 모바일 보안'

애플 기기 관리 전문업체 ‘잼프(Jamf)’가 보안회사 ‘제크옵스(Zecops)’를 인수했다. 이 인수가 왜 중요하며, 엔터프라이즈 모바일 보안에는 어떤 의미가 있을까?    경계를 벗어난 보안 이 질문의 답을 얻으려면 모바일 기기의 확산으로 기존 보안 도구의 효과가 예전보다 훨씬 더 낮아진 상태에서, 보안이 어떻게 발전해 왔는지 생각해보자. 이제 모바일 기기는 전 세계 웹사이트 트래픽의 59%를 차지한다. 하지만 가장 최근의 버라이즌 모바일 시큐리티 인덱스(Verizon Mobile Security Index)에 따르면 절반가량(45%)의 기업이 지난 12개월 동안 모바일 기기와 관련된 침해를 겪었다고 말했다.  기업의 방화벽은 ‘벽 내부’만 보호하며, 회고적(retrospective) 맬웨어 검사기는 기본적으로 공격이 발생하기 전까지는 감지하지 않는다.  전통적인 보안 모델은 이제 기기, 사용자, 위치, 심지어는 애플리케이션 기반까지 보안을 적용하는 엔드포인트 보안의 개념으로 대체됐다. 오늘날 보안 업계의 유행어인 제로 트러스트, MFA, 암호 없는 보안 등은 모두 새로운 접근 방식의 구성 요소다.  기기가 스스로를 보호할 수 있을까?  이 밖에 또 다른 전술은 애플의 시큐어 인클레이브(Secure Enclave)처럼 기기 자체의 보안 보호를 발전시키려는 시도다. 이를테면 공격을 받았는지 인식할 수 있을 정도로 스마트한 시스템을 개발하는 것. 하지만 이러한 머신 인텔리전스 셀프 인식을 제공하려면 먼저 원격 측정 데이터의 형태로 정보에 액세스할 수 있어야 한다.  잼프에는 이미 ‘잼프 프로텍트(Jamf Protect)’라는 맥용 보안 솔루션이 있다. 위협을 감지하고, 컴플라이언스를 모니터링하며, 몇몇 보안 사고에 자동으로 대응할 수 있다. 지난 2019년 출시 당시 보안 보호의 미래를 보여다. 이어 제크옵스 인수는 잼프가 이제 아이폰과 아이패드에도 유사한 보호 기능을 제공할 역량을 갖췄...

보안 애플 잼프 2022.11.22

사전 예방적 보안 전략의 8가지 특징

CISO는 오랫동안 보안 사고 대응 및 복구 역량 구축 임무를 맡아왔다. 목표는 보안 사고에 최대한 신속히 대응하고 피해를 최소화하면서 비즈니스 기능을 복구할 수 있는 역량을 갖추는 것이다. 이 같은 사후 대응적 조치는 여전히 필요하지만, 최근에는 사후적 대응 조치와 균형을 맞추기 위해 사전 예방적 조치를 더욱 확대하는 움직임이 늘었다.   셔브룩 대학교(Université de Sherbrooke)의 사이버보안학과 교수이자 ISAC(Information Systems Audit and Control Association)의 이머징 트렌드 워킹 그룹(Emerging Trends Working Group) 멤버인 피에르 마틴 타디프는 “사전 예방적인 조치를 취하면 기업 환경에서 어떤 종류의 공격이 일어날 것인지 예측하고 보유한 취약성을 선제적으로 찾아내 위험을 발생 전에 줄일 수 있다”라고 언급했다. 타디프를 비롯한 다른 전문가들에 따르면, 사전 예방적 전략은 신속한 대응 능력만을 갖추거나 이런 능력이 대부분인 기업의 회복탄력성 증대에 큰 역할을 한다. 대기업의 선임 보안 프로그램 매니저이자 ISACA의 이머징 트렌드 워킹 그룹 멤버인 산드라 아지모토킨은 “사이버보안 전문가가 추구하는 궁극적인 목표는 자산 보호를 통해 사이버보안 위험이 악용되는 것을 방지하는 것이다. 사전 예방적 프로그램은 매우 성공적으로 이런 역할을 해낸다”라고 설명했다.  그렇다면 무엇이 사전 예방적 전략을 차별화할까? 사전 예방적 전략에는 다음과 같은 특징이 있다.  1. 갖추고 있는 것, 보호해야 할 대상, 위협이 되는 대상의 인지 여러 전문가는 사전 예방적 사이버보안 태세를 구축하기 위해서는 기업이 현재 무엇을 갖추고 있는지 이해하고 무엇이 최고 수준의 보안에 필요한지 이해하는 한편 수용할 수 있는 위험을 인식해야 한다고 말한다. 기업에 대한 최대 위협은 이런 정보를 통해 파악할 수 있으므로 CISO의 관심이 가장 많이 요구되는 부...

CISO 보안 사전예방 2022.10.27

“기업 96%, 클라우드 내 민감 데이터 보안 취약”: CSA 조사

CSA(Cloud Security Alliance)가 IT 및 보안 전문가 1,663명을 대상으로 조사한 결과, 기업 대다수가 클라우드에서 데이터 보안을 자신하지 못하고 있으면서도 가장 민감한 데이터에도 충분한 보안 조치가 부족한 것으로 나타났다.  보고서에 따르면, 4%의 기업만이 클라우드 내 자사의 데이터 보안이 100% 실행되고 있다고 밝혔다. 이는 96%의 기업이 최소 일부 민감 데이터에 보안 조치가 부족하다는 것이다. 또한 기업은 클라우드에서 데이터 추적에도 어려움을 겪고 있었다. 기업 1/4 이상이 규제 대상 데이터를 추적하지 않고 있다고 답했으며, 1/3은 기밀 또는 내부 데이터를 추적하지 않고 있다고 했다. 나머지 45%는 미분류 데이터를 추적하지 않고 있는 것으로 나타났다.  보고서는 “기업의 현 데이터 분류 방식이 충분하지 못하다는 것을 보여준다. 하지만 데이터 추적률이 낮으면 다크 데이터(Dark data) 문제를 일으킬 수 있다”라며 “기업은 데이터 디스커버리와 분류 도구를 활용해 자사가 보유한 데이터를 파악하고 보호할 방법을 알아야 할 것”이라고 강조했다.  다크 데이터는 기업에서 수집·처리·저장한 정보 자원임에도, 다른 용도로 활용되지 못하고 있는 데이터를 말한다. 이와 관련해 약 79%의 기업이 다크 데이터의 증가에 대해 상당 수준 우려하고 있지만, 이런 문제에 적극적으로 대응하지는 못하고 있었다.  다크 데이터를 처리하지 못하면 자사의 데이터 위험 수준을 제대로 파악하거나 공격 표면을 평가할 수 없어 보안이 취약해지거나 보안 갭으로 이어질 수 있다. 이에 따라 기업은 다크 데이터를 차단할 필요가 있다. 서로 다른 부서간 우선순위 경쟁을 피하기 위해서다. 단일 데이터 인벤토리 같은 단일 소스를 구축하면 서로 다른 부서에 긴밀하게 협업할 수 있는 기반 지식을 제공할 수 있다. 사스(SaaS) 플랫폼의 경우 기업76%가 데이터 추적에 상당히 어려움을 겪고 있다고 답했다. 사스 플랫폼에 저장...

보안 민감 데이터 클라우드 2022.10.24

애플 기기에서 '서버 ID를 확인할 수 없음' 오류를 해결하는 방법

무언가 의심스러운 일이 일어나고 있다는 경고를 보면 언제나 마음이 불안하다. 대표적인 경우가 iOS나 아이패드OS에서 앱이나 운영체제를 사용할 때 '서버 ID를 확인할 수 없습니다(Cannot Verify Server Identity)'라는 메시지를 나오는 상황이다. 맥OS에서는 "서버 신원을 인증할 수 없습니다(can’t verify the identity of the server)"라는 메시지다. 이 메시지는 본래 웹 브라우저나 이메일 클라이언트 혹은 중간자(MitM) 공격을 통해 변조된 다른 소프트웨어에 의해 비보안 연결이 이뤄지고 있는지 확인하라는 의미다. 이런 상황에서 공격자는 사용자가 다시 인터넷을 사용하기 위해 본래 기기가 사용하려 했던 웹 서버 호스트와 도메인명 관련 인증서가 아닌 다른 디지털 인증서를 승인하도록 시도한다. CA(certificate authorities)라고 불리는 서드파티 업체들은 암호기술을 이용해 디지털 인증서는 물론 브라우저나 다른 소프트웨어 클라이언트가 안전하게 연결됐을 때 서버가 제공하는 신원 문서를 승인하는 역할을 한다. 이들 CA는 운영체제와 브라우저가 릴리즈 버전에 내장해 둔 디지털 서명 역시 보유하고 있다. 한 앱이 보안 연결을 시도하면 서버의 디지털 인증서를 가져와 이 인증서가 CA의 합법적인 서명을 가졌는지 검증한 후 로컬에 저장된 것과 대조한다. 이러한 CA 대응 서명에는 강력한 암호 알고리즘이 적용돼 있어 공격자가 에러를 발생시키는 방법 외에 위변조하기가 사실상 불가능하다. 하지만 현실에서 이런 에러를 임의로 일으킨 공격 사례를 찾기는 지난 수년을 뒤돌아봐도 쉽지 않다. 운영체제와 브라우저가 이런 문제에 대해 매우 적극적으로 사용자에게 알려주고 있고, 이런 시스템을 우회하기 더 어렵게 됐기 때문이다.   애플의 알림 시스템을 보면, '계속'을 눌러 잘못된 인증서를 이용해 연결하도록 승인하는 옵션이 있다. 하지만 정확히 어떤 일이 일어나는지 확인하기 전까지는 이렇게 해서는 안 된다. 유...

서버 ID 보안 2022.10.17

글로벌 칼럼 | 라틴 아메리카 사례를 통해 살펴보는 사이버보안의 3가지 기반

최근 라틴 아메리카 지역에서 사이버 공격이 증가하고 있다. 멕시코 대통령 로페스 오브라도르는 정보부와 군대에 대한 민감한 공격이 있었음을 확인했다. 칠레 군대와 사법 시스템, 콜롬비아 국립식품의약품감시원(Instituto Nacional de Vigilancia de Medicamentos y Alimentos, INVIMA)도 비슷한 공격을 받았다. 올해 대규모 랜섬웨어 공격을 받은 코스타리카에서는 보건부의 시스템을 침해하려는 시도가 있었다.   왜 라틴 아메리카를 공격하는가 라틴 아메리카가 사이버 공격의 표적이 되는 이유에 대해서는 여러 이론이 제기되고 있다. 공격 배후에 있는 그룹 중 하나인 과카마야(Guacamaya)는 해당 지역의 천연자원을 착취하는 서방 기업을 "사보타주"하려는 의도라고 주장한다. 라틴 아메리카에서 활동하는 또 다른 범죄 집단 콘티(Conti)는 러시아와 연관되어 있다. 이들의 공격은 러시아가 우크라이나와 그 동맹국의 주요 인프라 시설에 대규모 사이버 공격을 계획하고 있으며, 라틴 아메리카가 테스트 또는 시나리오 지역으로 사용될 수 있다고 한 우크라이나 국방부의 최근 발표와 시기적으로 부합한다. 선진국들은 외부의 위협 행위자가 민간 기업을 포함해 국가와 경제의 안정에 큰 영향을 미칠 수 있다는 점을 잘 이해하고 있다. 대표적으로 미국, 유럽 연합 및 영국 같은 국가는 지난 몇 년 동안 비즈니스 및 중요 인프라에 대한 사이버 공격의 위험을 완화하도록 설계된 정책과 규정을 마련했다. 또한 이들은 기업과 정부 기관이 스스로를 보호하기 위해 갖추어야 할 기술적 능력에 대한 지침도 발표했다. 하지만 라틴 아메리카는 상황이 다르므로 접근 방법도 달라야 한다. 라틴 아메리카의 정부와 민간 기업 리더가 사이버 공격 위험을 완화하기 위해 취해야 하는 3가지 조치를 살펴보자.  1. 사이버보안에 재정 자원 할당 현재까지 라틴 아메리카의 15개국은 국가 차원의 사이버 보안 전략을 개발했지만, 이 전략에 따른...

보안 라틴아메리카 사이버공격 2022.10.11

기업이 알아두면 좋은 윈도우 11 속 새로운 보안 기능들

최근 출시된 윈도우 11 22H2를 살펴보면 마이크로소프트가 다시 한번 보안 기능에 큰 중점을 뒀다는 것을 확인할 수 있다. 어떤 면에서 윈도우 11 사용자에게는 반가운 소식이다. 추가적인 라이선스 없이, 윈도우 홈 버전만으로 새로운 보안 기능을 경험할 수 있기 때문이다. 윈도우 11에 어떤 보안 기능이 업데이트되었는지 핵심 변화를 살펴보자.    원래 윈도우 11 기능 업데이트 자체는 1년 단위로 제공된다. 보안 변경은 윈도우 11 21H2, 윈도우 11 22H2 즉 2분기 출시 때 이루어지고 있다. 각 주요 기능 출시 사이에 ‘모멘트(moment) 릴리스’라는 소규모 업데이트도 있다.  또한 특정 마이크로소프트 애플리케이션에서는 ‘제안된 행동(suggested actions)’을 볼 수 있다. 마이크소프트 팀즈와 같은 애플리케이션에서 다음 단계를 수행할 수 있도록 명령 프롬프트를 제공하는 식이다. 이러한 모멘트 업데이트 혹은 ‘제어된 기능 롤아웃’은 기업용 릴리스의 경우 기본값에 따라 포함되지 않지만, 프리뷰 릴리스에는 포함된다. 별도의 기업용 배포 정책이 있다면 점진적 업데이트를 효과적으로 제어할 수 있으며, 상황에 맞게 변경 사항을 배포할 수 있다.    스마트 앱 컨트롤 먼저 새로운 기능인 스마트 앱 컨트롤(Smart App Control)을 살펴보자. 윈도우 10 S 모드 속 마이크로소프트 스토어에서는 사용 권한을 먼저 검사하고 애플리케이션 설치가 가능했다. 스마트 앱 컨트롤 또한 같은 목적으로 사용되지만, 실행 방식은 전혀 다르다.  마이크로소프트는 이번에 클라우드 기반으로 특정 목록을 따로 만들고, 그 목록에는 별도의 해시값을 저장하고 신뢰성을 조사한 앱 정보를 담아두었다. 새로운 윈도우에서 스마트 앱 컨트롤을 활성화할 경우, 설치된 모든 바이너리가 조사된다. 앱이 목록에 없을 경우, 앱의 디지털 서명 유효성은 따로 검사 된다. 디지털 서명이 유효할 경우 앱을 설치할 수 있다. 코드에 ...

윈도우11 보안 배포 2022.09.29

글로벌 칼럼 | 직원들의 온오프라인 데이터가 위험하다

많은 사람이 소셜 미디어에 일상을 공유하고 삶에 대한 주요 세부 사항을 공개하는 것을 주저하지 않는다. 하지만 온라인에서 공유하는 내용과 사이버 공격자가 이런 정보를 사용해 비즈니스를 표적으로 삼는 방법에 대해 재고할 필요가 있다. 하나의 문자 메시지가 기업의 보안 침해로 이어질 수 있기 때문이다.   공격자가 신입 직원을 표적으로 삼는 과정 한 회사에 새 인턴이 입사했다고 가정해 보자. 온보딩 과정에서 인턴은 사무실 건물 열쇠, 네트워크 로그인 및 이메일 주소를 받는다. 일반적으로 직원들은 회사 이메일 외에도 개인 이메일과 휴대폰을 보유하고 있다. 다중 인증을 사용하는 곳이라면 회사 규모에 따라 직원의 개인 휴대폰에 2단계 인증용 토큰 또는 애플리케이션을 배포하거나 업무용 휴대폰을 제공하기도 한다. 입사 후 며칠 간은 다루어야 할 여러 새로운 기술로 인해 바쁠 수 있다. 열정적인 신입 직원이 직장에 적응하고 요구에 부응하는 것은 부담스러울 뿐 아니라 스트레스를 받는 일이다. 공격자는 바로 이 시기를 악용한다. 공격자는 새로운 상사를 기쁘게 해주려는 열정적인 직원을 물색한다. 최근 필자는 공격자가 새로 입사한 환경에 적응하는 직원을 어떻게 노리는지 직접 목격했다. 이메일의 시작은 악의가 없었다. 인턴에게 마감일까지 프로젝트를 도와 달라고 요청하는 내용이었고, 현재 비공개 회의에 참석해 있으니 최대한 신속하게 처리해달라고 적혀 있었다. 이메일은 ‘가능한 한 빨리 휴대폰 번호를 알려 달라’는 내용으로 마무리됐다.   이 공격자는 어떻게 신입 직원에 대해 알게 됐을까? 비즈니스 연결에 사용하는 도구로 피싱 공격을 개인화하는 것에서 시작한다. 공격자는 링크드인 같은 사이트를 모니터링하면서 필자가 새로 고용한 회계직 인턴과 파트너가 연결된 것을 발견했고, 파트너가 인턴에게 보내는 것처럼 이메일을 작성했다. 이때 공격자는 인턴에게 문자 메시지를 보낼 수 있도록 휴대폰 번호를 알려 달라고 요청했다.  이런 이메일을 받은 것은 3번이지...

보안 피싱 우버해킹 2022.09.29

컴볼트, 데이터 보안 서비스 ‘메탈릭 쓰렛와이즈’ 공식 출시

컴볼트는 데이터 보안 서비스 ‘메탈릭 쓰렛와이즈(Metallic ThreatWise)’를 공식 출시했다고 발표했다. 쓰렛와이즈는 알려지지 않은 위협과 제로데이 공격 등을 사전에 포착하는 조기 경고 시스템으로, 이로 인해 손상된 데이터와 비즈니스 악영향을 최소화할 수 있도록 돕는다.   컴볼트는 이번에 출시한 쓰렛와이즈를 바탕으로 조기 경고 시스템을 제공해 데이터 보안의 영역을 한층 확장한다고 밝혔다.  신규 서비스는 악의적인 행위자가 가짜 리소스를 이용하도록 미끼를 활용해 사전에 유인하며, 데이터 프로덕션 환경에서 위협 탐지 기능을 제공하고 비즈니스 조직이 데이터의 안정성을 확보할 수 있도록 적절한 도구 등을 제공해 보안 위협으로부터 무장할 수 있도록 돕는다. 이외에도 컴볼트는 머신 러닝과 주요 위협 탐지, 보안 기능을 기존 플랫폼에 확장 지원한다.  컴볼트 제품 담당 란가 라자고파란 수석 부사장은 “데이터 복구는 보안 측면에서 중요하지만 이 자체만으로는 충분하지 않다”며, “컴볼트는 메탈릭 SaaS 포트폴리오에 통합된 쓰렛와이즈를 통해 사이버 위협이 비즈니스에 영향을 미치기 전에 미리 차단하여 제로 로스(Zero-loss) 전략을 강화하는 사전 예방적 조기 경고 시스템을 고객에게 제공할 수 있게 됐다”고 말했다. editor@itworld.co.kr

컴볼트 데이터 보안 2022.09.22

데이터 유출 사고 10%는 '내부 직원' 때문에 발생...“클라우드 사용, 퇴사자 관리 잘해야”

내부 직원은 기업 보안팀이 관리하기 쉽지 않은 위협 요인이다. 거기다 최근에는 퇴사자가 민감 정보를 경쟁 기업에 넘기거나, 해커에게 돈을 받고 팔거나, 미디어에 특정 파일을 유출하는 경우가 늘어나면서 데이터 보안 문제는 점점 더 심각해지고 있다.    보안 전문 업체 사이버헤이븐(Cyberhaven)의 보고서에 따르면, 올해 1월부터 6월 사이에만 전 세계적으로 1,400만 명이 데이터 유출 사건을 일으킨 것으로 조사됐다. 월평균으로 보면 각 기업의 직원 중 2.5%가 민감 정보를 유출하고 있으며, 6개월을 기준으로 조사해보면 직원 중 9.4%가 민감한 데이터를 빼내고 있었다. 여기서 말하는 데이터 유출 사고란 승인되지 않은 방식으로 데이터가 외부로 전송되는 모든 형태를 말한다.  이때 데이터를 빼돌린 직원 중 상위 1%에 해당하는 사람은 전체 사고 중 7.7%를, 상위 10%는 전체 사고의 34.9% 일으켰다. 지역으로 보면, 미국에서 전체 사고의 44%가 발생했으며, 아시아 태평양 지역에서 27%, 유럽, 중동, 아프리카 대륙에서 24%가 발생했다.   클라우드 저장소는 데이터 유출 사고의 중심지 데이터 유출이 가장 많이 발생하는 곳은 개인 클라우드 저장소였다. 전체 사건의 27.5%가 클라우드 저장소에서 발생했다. 또한 개인 이메일(18.7%)과 기업용 메일(14.4%)을 통해서도 데이터가 많이 유출됐다. 기업용 이메일 관련 데이터 유출 사고는 의도적으로 개인 이메일로 민감 데이터를 보내거나 실수로 잘못된 수신자에게 메일을 보내는 경우를 포함한다. 데이터 유출 사고에서 가장 많이 사용된 클라우드 저장소는 드롭박스(44.8%)와 구글 드라이브(25.5%)였다. 왓츠앱이나 시그널 같은 메시지 앱을 통해 일어난 사고 비중은 6.4%였다. 사이버헤이븐은 “메시지 앱은 종단간 암호화를 적용한 경우가 많아, 실제 무엇을 주고받았는지 추적하기 쉽지 않아 더 문제가 되고 있다”라고 지적했다.  데이터 종류를 살펴보면 ...

보안 직원 관리 2022.09.15

“러스트 언어 보안성 높인다”…재단에 자체 보안팀 배치

러스트 재단이 러스트(Rust) 언어의 보안 수준을 평가하고 강화하기 위해 자체적으로 보안팀을 지원하겠다고 밝혔다.    이번에 새로 생기는 러스트 보안팀은 전문 인력으로 구성됐으며, 러스트 커뮤니티를 지원하고, 프로그래밍 언어의 안정성을 높이는 데 도움을 줄 예정이다. 러스트는 기본적으로 메모리 안정성을 보장하기 때문에 보안성이 높다고 여겨지곤 하는데, 러스트 재단 이사장 벡 럼불은 “러스트 역시 다른 언어와 마찬가지로 보안 취약성이 존재할 수 있다”라며 “적극적인 사전 조치로 러스트 언어를 지속 가능하게 만들고 외부 공격으로부터 보호하겠다”라고 밝혔다.  러스트 보안팀은 오픈SSF 알파-오메가 이니셔티브(OpenSSF Alpha-Omega Initiative)와 제이프로그(JFrog)에서 지원받고 있다. 오픈SSF 알파-오메가 이니셔티브는 리눅스 재단 주도 하에 오픈소스 소프트웨어의 공급망 보안 기술을 지원하는 프로그램이다. 제이프로그는 데브옵스 플랫폼 전문 업체다. 두 프로젝트는 러스트 재단에 전문 인력을 배치하고 필요한 자원을 지원하면서 러스트 보안성을 높이는 작업에 착수한다. 초기에는 보안 감사를 진행하고 예상 위협을 모델링하면서 현 상황에서 효율적으로 보안성을 높일 방안을 찾을 예정이다. 또한 카고(Cargo) 패키지 매니저와 크레이트(Crates) 레지스트리 같은 러스트 개발 환경에서 보안성을 확보할 수 있도록 지원할 계획이다.  오픈SSF는 올해 초 ‘오픈소스 보안 모빌리제이션 방안’을 발표하고 메모리 안정성을 지원하지 않는 C나 C++ 같은 언어를 러스트나 고(Go)로 대체해서, 근본적인 보안 취약성을 제거해야 한다고 조언한 바 있다. 오픈SSF 알파-오메가 이니셔티브는 구글과 마이크로소프트에게 금전적인 후원을 받고 있으며, 오픈소스 소프트웨어 프로젝트의 보안성을 높이는 활동을 주도하고 있다.  editor@itworld.co.kr

오픈소스 러스트 보안 2022.09.14

캐논코리아, 리눅스 서버 지원하는 문서 보안 시스템 ‘리눅스용 MAPP-E’ 출시

캐논코리아는 리눅스 서버 운영 체제를 지원하는 통합 문서 보안 시스템 ‘MAPP-E 포 리눅스(MEAP Any Place Printing – Enterprise for Linux)’를 출시했다.   캐논코리아는 통합 문서 보안 시스템인 ‘MAPP-E’를 고객사의 필요에 따라 제안 및 구축해 운영하고 있다. 기존에는 윈도우 운영체제만 지원했으나, 이번 신규 버전 출시로 리눅스를 사용하는 기업 고객들도 라이선스 비용에 대한 부담 없이 캐논코리아의 ‘MAPP-E’를 선택할 수 있게 됐다. 기존 ‘MAPP-E’ 시리즈와 동일한 성능을 갖춘 캐논코리아의 ‘MAPP-E 포 리눅스’는 기업 내 구축된 통합 서버를 통해 시공간 제약 없이 문서를 출력할 수 있는 ‘AP(AnyPlace-Printing)’ 서비스를 지원한다. 사용자 인증만 거치면 문서 출력 실행 시 기업 내 모든 복합기에서 인쇄가 가능하며, 사용자 인증은 사원증(IC 카드), 생체, 모바일 인증 등 다양한 수단을 통해 실행할 수 있다. 업무의 효율성과 보안성도 모두 갖췄다. 운영 서버 장애 시 바로 장애 출력 전환 기능이 작동하므로 업무 단절을 줄일 수 있으며, 관리자는 사용자와 부서별 사용량 및 이력 조회로 특정 부서의 출력 사용량이 높은 경우 할당/제한 기능으로 출력 시스템을 관리할 수 있다. 이러한 데이터를 내부 운영 지표로 활용해 불필요한 출력을 차단하거나 비용을 효율적으로 절감할 수 있다. 보안성 측면에서는 기본 보안으로 인증되지 않은 사용자의 복합기 접속을 차단하고, 인증 출력 기능으로 문서 간 혼재 방지 및 민감한 정보를 보호한다. 또한, 서버 기반의 워터마크 기능으로 불법 복제를 방지하고, 모든 작업물의 특정 내용 검출 시 담당자에게 자동으로 메일을 전송해 서버 해킹 등 회사의 기밀 내용 유출을 사전에 차단할 수 있다. 스캔과 팩스 기능에서도 편리성을 더했다. 스캔 결과물은 기업 내 서버에 저장돼 사용자 개인 계정을 통해 스캔 문서를 검색 및 조회, 삭제, 다운로드할 수 있다....

캐논코리아 리눅스 문서 2022.09.07

줌, 줌 클라우드 데이터 보호하는 고객 관리형 키 ‘줌 CMK’ 출시

줌(Zoom Video Communications)이 사용자가 자체적으로 암호화 키를 설정해 줌 클라우드 인프라 내 특정 데이터를 보호할 수 있는 ‘고객 관리형 키(Customer Managed Key; 이하 CMK)’를 출시했다고 밝혔다.    줌 CMK는 줌의 BYOK(Bring Your Own Key) 솔루션으로 유료 고객에게 제공되는 최신 보안 기능이다. 최근 규제 및 보안 문제가 대두되며 업계에선 보안 정책을 강화하고 있다. 특히, 미국의 경우, 의료기관은 의료정보보호법(HIPPA), 금융 기관은 그램-리치 블라일리법(Gramm-Leach Bliley Act), 뉴욕주 금융서비스국(NY DFS)의 관련 법규 등을 준수하도록 하고 있는데, 다양한 조직들이 줌 CMK를 통해 더욱 엄격해진 보안 정책에 적절히 대응할 수 있을 것으로 기대된다. 사용자는 줌 CMK를 통해 클라우드 녹화, 음성메시지, 캘린더 액세스 토큰 등 특정 줌 자산을 나만의 암호화 키로 보호할 수 있다. 적용 가능한 자산은 ▲줌 회의 클라우드 기반 녹화본(자막 및 챗 텍스트 포함) ▲줌 웨비나 클라우드 기반 녹화본 ▲줌 폰 음성메시지와 녹화본 ▲줌 룸 캘린더 액세스 토큰 ▲사용자 캘린더 액세스 토큰 ▲마이크로소프트 팀즈 액세스 토큰 ▲회의 및 웨비나 보관 등이 포함된다. 줌 CMK는 아마존웹서비스(AWS) KMS(Key Management Service) 사용 고객도 지원한다. 계정 관리자는 줌 관리자 포탈의 ‘보안’ 탭에서 암호화 키를 프로비저닝하거나 줌 글로벌 서비스에 도움을 요청하여 줌 CMK를 설정할 수 있다. 그 밖에도 줌은 조직이 복잡한 보안 규제를 준수하면서 조직의 특성에 맞는 보안 전략을 수립할 수 있게 다양한 툴을 제공하고 있다. 사용자는 비즈니스 니즈에 맞게 데이터를 보호할 수 있도록 설계된 줌 CMK 외에도 줌의 다양한 보안 기능을 사용하여 주요 정보 자산을 보호할 수 있다. editor@itworld.co.kr

보안 데이터 2022.09.07

글로벌 칼럼 | 트위터 내부 고발 사건으로 살펴보는 선거 보안의 중요성

선거의 공정성과 신뢰성을 보장하는 선거 보안(election security)은 과거에도 문제가 되긴 했지만, 요즘처럼 그 중요성이 커지는 시기도 없을 것이다. 최근 몇 년간 러시아, 중국, 이란 등 국가 차원에서 선거 개입을 시도한 정황이 발견되면서 선거 보안에 대한 관심이 더 커지고 있기 때문이다. 그런 와중에 선거 보안에서 소셜 네트워크의 역할은 별로 논의되지 않았다. 실제로 이전에는 소셜 네트워크가 미치는 영향은 미미했다. 하지만 최근 전직 트위터 CISO의 내부 고발을 계기로 소셜 네트워크가 선거에 미치는 영향력이 주목받게 됐다.      소셜 네트워크와 선거의 역사 2008년과 2012년 버락 오바마 대통령의 선거 운동은 선거 메시지를 전달하고, 유권자를 결집할 때 소셜 네트워크가 엄청난 역할을 할 수 있다는 것을 강력하게 보여줬다. 당시 전문가와 기술 분석가는 소셜 네트워크 영역만큼은 오바마 대통령이 상대 진영을 압도했다고 평가했다. 오바마 선거 캠프는 당시 메시지를 바이러스처럼 퍼뜨리면서 증폭시키는 소셜 네트워크의 특징을 잘 이해했던 것으로 보인다.  2015년 이번엔 러시아 정부가 미국의 주 선거 인프라를 노리고 부정확한 정보와 허위 정보를 퍼뜨리고, 여론을 조작한 활동이 포착됐다. 러시아는 2016년 대선 결과에 영향을 미치기 위해 미국에서 활동 중인 별도의 직원을 이용하기도 했다. 이미 2015년에 미국연방수사국(FBI)은 민주당과 공화당 모두에게 경고하며, 소속 후보와 정당 인프라를 비롯한 선거 인프라를 노리는 러시아의 사이버 공격이 있다고 알려주기도 했다. 2016년 10월에는 특정 단체가 부분적 또는 전면적으로 사실이 아닌 정보를 배포하기도 했다.    선거 허위 정보에 대처하는 민간 및 공공의 노력 2017년만 해도 ‘오정보(misinformation)’와 ‘허위 정보(disinformation)’는 미국 유권자에게 익숙한 단어가 아니었다. 하지만 2022년 현재 ‘오정보’와...

트위터 선거 보안 2022.09.06

KISA, IoT 보안기준 ITU-T 국제표준으로 최종 채택

한국인터넷진흥원(KISA)은 제안한 ‘사물인터넷(IoT) 보안 시험·인증 기준 국제표준안(X.1352)’이 국제전기통신연합 전기통신표준화부문(ITU-T)에서 최종 국제표준으로 채택되었다고 밝혔다.   KISA는 지난 8월 24일부터 9월 2일까지 스위스 제네바에서 개최된 이번 ITU-T 표준화 회의(SG17)에 참석해 대응한 결과, 제안한 표준안이 최종 승인됐다. 이를 위해, KISA는 공인시험기관인 한국기계전기전자시험연구원과 함께 기존 국제표준인 ‘IoT 보안 프레임워크(X.1361)’에 기반해 이번 ‘IoT 보안 시험·인증 기준’을 ITU-T 신규 아이템으로 제안했다. 이후, KISA는 7차례 기고문을 제출해 올해 5월 회의에서 표준안이 사전채택 되어, 지난 3개월간 표준안에 대한 ITU 회원국의 의견수렴 과정을 거쳤다. 제안한 국제표준안은 IoT 기기 및 게이트웨이에서 발생 가능한 보안위협 식별, 관련 보안(인증, 암호, 데이터, 플랫폼, 물리적 보안) 요구사항의 내용을 담고 있다. KISA는 이번 표준화 최종 채택으로 국내 IoT 보안 시험·인증 기준을 만족하는 IoT 인증제품이 국제표준을 동시에 만족하게 되어 해외 진출 시 국내 IoT 인증제품의 경쟁력이 강화될 것으로 기대한다. 또한, 다른 IoT 국외기관과 상호인증 추진 시 국내 기준이 국제표준 기준이라 설명할 수 있어 상호인증 소요기간 단축에 도움이 될 것으로 예상한다. KISA 이원태 원장은 “KISA가 제안한 국제표준안이 최종 채택됨에 따라 국내 IoT 보안제품의 글로벌 입지를 강화하는 데 크게 기여할 것으로 기대한다”며, ”KISA는 앞으로도 IoT 보안 산업이 활성화될 수 있도록 적극 지원할 것”이라고 강조했다. editor@itworld.co.kr

KISA IoT 보안기준 2022.09.05

구형 애플 기기 노린 악성코드 등장 “최신 버전으로 무조건 업데이트해야”

애플이 제로 데이 공격을 방어하기 위한 긴급 보안 패치를 공개하며, 구형 애플 기기의 업데이트를 강력히 권고했다.    이번 패치는 해킹당한 기기를 공격자가 제어하지 못하게 막는 기술을 포함한다. 미국 사이버보안 및 인프라 보안국(CISA)은 9월 1일 애플 기기 사용자 및 IT 관리자에게 애플의 자료를 확인하고 필수적인 업데이트는 반드시 진행해달라고 요청했다.  애플은 해당 취약점을 구체적인 공격을 받아서 알게 된 것인지에 대해서는 따로 언급하지 않았으나 공식 홈페이지를 통해 “해당 취약점이 적극 악용될 수 있다는 것을 잘 인지하고 있다”라고 밝혔다. 이번 취약점과 관련된 소프트웨어 결함은 정보 보안 취약점 표준 코드(CVE)에 포함됐다. CVE는 미 국토안보부가 관리해서 만드는 자료로 주요 보안 및 취약점 문제에 대한 정보가 담겨 있다.  컨설팅 업체인 제이 골드 어소시에이트(J. Gold Associates)의 대표 애널리스트 존 골드는 “웹 페이지가 특정 방식으로 구성될 경우, 디바이스 밖에서 악성코드를 실행하면서 악성 코드를 실행하는 환경을 디바이스 안에서 효과적으로 생성할 수 있다. 그런 경우 기기에 저장된 데이터, 연락처, 위치정보 등에 문제를 발생시키거나 악성 소프트웨어 등을 설치할 수 있다. 매우 큰 문제다”라고 강조했다.   이번 취약점은 주로 아이폰 6, 아이폰 6 플러스, 아이패드 에어, 아이패드 미니2 및 미니 3, 아이팟 터치 6세대, 구형 맥 OS를 실행하는 컴퓨터에 영향을 미친다. 골드는 “이번 악성코드는 주로 구형 제품에 영향을 주기에 실제 피해를 입는 기기는 적을 것으로 예상된다. 그럼에도 불구하고 구형 기기를 가지고 있다면 가능한 한 빨리 업데이트해야 한다”라고 설명했다.  구형 기기에 보안 업데이트를 하는 것은 중요하지 않아 보일 수 있는데, 사실 해커는 구형 기기를 주요 먹잇감으로 노린다. 특히 해당 기기가 다른 시스템 및 서비스에 대한 접근권이나 제어권을 줄...

애플 보안 악성코드 2022.09.02

블로그 | 클라우드 보안 궁극의 해법은 자동화다

최근 한 조사 결과를 보면 데이터 유출 사고의 19%가 클라우드 서버의 잘못된 설정에서 비롯됐다고 한다. 매일 이런 위협에 맞서는 퍼블릭 클라우드 업체의 자료에서도 비슷한 흐름을 확인할 수 있다. 마이크로소프트가 실제 사이버위협 활동 데이터를 분석한 사이버 시그널 보고서에 따르면, 랜섬웨어 공격의 80% 이상에서 소프트웨어 혹은 기기의 잘못된 설정이 발견됐다. 복잡한 기술적 이야기를 걷어 내면, 사람의 실수가 보안 사고의 위험을 높이고 있다는 뜻이다.   그렇다면 기업 보안 문제를 해결하는 방법은 이런 작업에서 사람을 역할을 없애는 것이라는 결론에 다다른다. 실제로 제대로 구현하기만 하면 보안 자동화는 해킹이 발생할 수 있는 위험 대부분을 제거한다. 이처럼 자동화는 보안의 자연스러운 진화지만, 많은 기업이 여전히 보안 상황이 발생했을 때 대응하는 수준으로 인프라를 운영하고 있다. "우리 공격 받았어. 누군가 뭐든 해줘!"라고 외치는 것이다. 반면 점점 더 많은 기업이 선제적으로 대응하는 방식으로 전환하고 있다. 이런 기업에서 보안 팀의 하루는 매일 아침 메일을 읽는 것으로 시작한다. 이 메일에는 지난 밤 얼마나 많은 공격이 있었는지, 이에 대응해 인공지능, 보안 오케스트레이션, 크로스 클라우드 보안 관리 등과 같은 자동화된 보안 시스템을 통해 어떻게 방어했는지에 대한 내용이 담겨 있다 일반적으로 보안 자동화는 모든 잘못된 설정을 사전에 막고 지속적인 보안 대응을 제공하는 자동화 레이어를 확보하는 것을 목표로 한다. 랜섬웨어든 분산 서비스 거부든 상관없이 모든 공격을 자동화를 통해 막는 것이다. 누군가 새벽 3시에 긴급 문자를 받아 노트북을 켜는 방식이 아니다. 자동화된 보안의 많은 장점에도 불구하고, 왜 이렇게 많은 기업이 여전히 수작업으로 처리하는 보안 시스템을 고집하는 것일까? 사람의 수작업이 클라우드와 비 클라우드 시스템 모두에서 위험 요소라는 것이 여러 차례 판명됐는데도 말이다. 필자의 경험에 따르면, 이는 이해의 부족과 투자...

클라우드 보안 자동화 2022.08.31

블로그 | 보안에 만병통치약은 없다

전 세계가 불황에 빠질지라도 예산 삭감이라는 도끼에서 생존할 분야 중 하나가 보안이다. 그러나 안전한 미래를 구현하기가 점점 더 어려워지고 있다는 사실 또한 분명하다.  SLSA(Supply-chain Levels for Software Artifacts), 텍톤(Tekton)을 비롯한 각종 솔루션이 오픈소스 서플라이 체인의 안전성을 높여줄 수 있기는 하다. 하지만 현실 속 해법은 여전히 구태의연하다. 모달 랩스의 설립자 에릭 베른하드슨은 “여전히 개발자가 더 잘 해내기를 바라고 ‘경계를 유지’하는데 의존하고 있다”라고 말했다. 그리고 이러한 비전략적 접근법은 계속해서 실패하고 있다. 베른하드슨은 “2022년의 보안은 왜 그렇게 어려운가?”라고 반문했다. 이 질문에 대한 한 가지 답은 시스템이 점점 더 복잡해지고 있으며, 이로 인해 해커가 악용할 수 있는 구멍을 남겨놓는 현실이다. 그렇다면 상황이 나아질 가능성이 있을까?     만병통치약 없음 보안이 어려운 근본적인 이유 중 하나는 시스템을 보호하기 위해서는 시스템 전체를 이해해야 한다는 진실이 자리하고 있다. 오픈소스 전문가인 사이먼 윌슨은 “보안 소프트웨어를 작성하려면 모든 것이 어떻게 작동하는지에 대한 깊은 지식이 필요하다”라고 말했다. 그에 따르면 개발자가 기본적인 이해 없이 그저 ‘모범수칙’만 따를 수 있겠지만, 이는 “우연한 실수와 새로운 보안 허점의 출현으로 이어진다”라고 말했다.  그는 개발 단계에 보안 기본값을 적용하는 자동화를 이용해 인적 오류를 줄이려는 시도에 대해 부정적인 입장을 밝혔다. 윌슨은 “도구가 우리를 구할 수 있다고 생각하지 않는다. 기본 도구가 우수하더라도 한계가 있다. 기본 도구가 어떻게 보안을 유지하는지 엔지니어가 이해하지 못하면 자신이 하는 일이 왜 나쁜지에 대한 이해 없이 보안을 파괴할 것”이라고 단언했다. 이어 “궁극적으로 보안은 사람에 달렸다. 소프트웨어를 고칠 수는 있지만 소프트웨어 뒤에 있는 사람을 고칠 때까지...

보안 데브섹옵스 속성 2022.08.24

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.