Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안

“클라우드와 제로 트러스트가 답이다” 소프트웨어 보안을 유지하는 방법

보험업계 밖에서는 로이즈(Lloyds)가 더 이상 국가 간 사이버 공격의 피해를 보상하지 않는다는 사실을 아는 사람이 거의 없는 것으로 보인다. 자칫 간과되기 쉬운 소식이지만 로이즈가 전 세계 유명한 보험업체인 만큼, 이번 행보로 인한 파급효과는 상당할 것으로 보인다. 실제로 랜섬웨어 공격이 각국에 걸쳐 발생하면서 로이즈가 신디케이트(Syndicate) 구성원에 사이버 보험료를 인상하고 일반 기업을 대상으로는 50% 가까이 줄인 사례도 있다.   더욱 우려되는 점은, 단순히 보험 차원의 문제로 끝나지 않는다는 것이다. 10년 전, 미국 국방장관이었던 리언 파네타(Leon Panetta)는 사이버 테러가 국가 안보의 위협이라고 경고했다. 댐이나 전력망과 같은 인프라에 직접적인 위협이 될 수 있으며 위협 행위자에 자금을 대는 데 악용될 수도 있다. 한 추정에 따르면, 북한은 작년 암호화폐 거래소에서 약 4억 달러를 빼돌렸다. 이런 해킹은 대부분 제대로 패치되지 않은 오픈소스 소프트웨어로 인해 보안 인프라에 흠이 생겨 더욱 쉽게 발생할 수 있다. 현재 모든 것이 해킹을 할 수도, 당할 수도 있는 시대이다. 즉각적 혹은 간접적으로 사이버 공격을 당한 사용자는 구제받는데 상당한 비용을 치러야 한다. 이런 상황에서 어떻게 대처해야 하는지 알아보자.   클라우드 태세 유지 클라이너 퍼킨스(Kleiner Perkins) 투자자인 버키 무어는 버셀(Vercel)과 같은 서버리스 서비스 업체가 클라우드를 중개하지 않는 것을 제안했다. 아마도 클라우드 서비스 업체가 컴퓨팅, 스토리지 등 기본적인 요소를 개선하는 데 집중하도록 하기 위한 전략일 것이다. 이런 무어의 주장은 최근 베터닷컴(Better.com) 전 CTO인 에릭 베른하르트손도 수용했으며, 타당한 분석인 것으로 추정된다. 설령 서버리스 업체가 클라우드를 중개하더라도, 클라우드는 보안을 비롯해 더 나은 서비스에 계속 투자할 것임이 틀림없다. 기술 뉴스 페이지에서 어렵지 않게 AWS나 마이크로소프트...

보안 클라우드 제로트러스트 3일 전

사이버 공격자가 2021년 가장 주목한 표적은 “교육 분야”

지난 2021년에는 교육 및 연구 분야에서 가장 많은 사이버 공격이 발생한 것으로 조사됐다. 체크 포인트 소프트웨어 테크놀로지(Check Point Software Technologies)의 연구 결과, 교육 및 연구 분야의 2021년 사이버 공격은 2020년보다 75% 증가했다. 기업당 매주 약 1,605건의 공격을 받은 셈이었다.   사이버 위협을 증가시킨 코로나19 팬데믹 코로나19 팬데믹으로 많은 기업과 교육 분야의 직원이 재택근무를 하게 됐다. 디지털 기술과 온라인 강좌의 필요성은 자연스럽게 디지털 교육 시장을 활성화했다. 이런 변화로 인해 학습 기회가 증가했지만, 사이버 공격 기회도 덩달아 증가했다. 체크 포인트의 데이터 리서치 매니저 오메르 뎀빈스키는 “원격교육의 확산과 직원이 아닌 사용자가 원격지에서 기업의 시스템에 액세스하는 경우가 많아지면서 사이버 공격에 대한 노출이 확대되고 공격 위험이 증가했다”라고 설명했다. 교육 및 연구 분야 다음으로는 정부와 군 부문에 대한 2021년 사이버 공격이 기관당 매주 1,136건 발생해 2020년보다 47% 증가했다. 정부 기관은 사업의 민감성 때문에 항상 사이버 공격의 주요 표적이 됐다. 하지만 전 세계 정부가 서비스 제공 방식을 온라인으로 전환하면서 사이버 공격자에게 또 다른 공격 지점이 생긴 것이다. 정부 및 군 부문 다음으로는 커뮤니케이션 분야가 사이버 공격을 많이 받은 것으로 조사됐다. 커뮤니케이션 분야에서 발생한 2021년 사이버 공격은 2020년보다 51% 증가해 기업당 매주 1,079건의 공격을 받은 것으로 집계됐다. 컨스텔레이션 리서치(Constellation Research) 애널리스트 리즈 밀러는 교육 분야가 사이버보안을 우선시하지 않았기 때문에 쉬운 표적이 된 것으로 봤다. 밀러는 “코로나19로 인해 교사, 직원, 학생이 가정에서 새로운 기술을 사용하기 위해 강제적으로 CIO가 될 수밖에 없었던 상황이었다. 그동안 학교가 의료기관처럼 강화된 보안 태세와 중요 업데이...

연구결과 보안 랜섬웨어 3일 전

“제로데이 공격 막는다” MS, 엣지 베타 버전에 보안 기능 추가

마이크로소프트가 최신 엣지 베타 버전에 웹 기반 공격에서 크로니움 기반 브라우저를 보호할 수 있는 방법을 추가했다.    마이크로소프트의 베타 채널 릴리즈 노트에 따르면, 새로운 보안 기능에는 제로데이 취약점 공격에 대비하기 위한 몇 가지 기술이 적용됐다. 제로데이 취약점은 개발자가 인지하지 못해 패치하지 않은 소프트웨어 혹은 네트워크상의 취약점을 뜻한다. 집 뒷문의 열쇠 잠금장치가 고장 나서 문고리를 흔들면 문이 열린다고 가정해 보자. 도둑은 이런 취약점을 찾아 집마다 돌아다니며 문이 열릴 때까지 문고리를 흔들 수 있다. 제로데이 취약점 공격도 같은 개념이다. 다만 사이버 공간에서 발생할 뿐이다.  기업의 IT 시스템은 점점 더 새로운 바이러스와 사이버 공격, 무차별 대입 공격을 받고 있다. 기업 시스템에 침투하기 가장 좋은 방법은 알려졌으나 아직 패치되지 않은 취약점을 이용하는 것이다. 최종 사용자의 기기처럼 기업 방화벽 외부에 존재하는 취약점일수록 좋다. IT 컨설팅 업체 J.골드 어소시에이트(J. Gold Associates)의 수석 애널리스트 잭 골드는 “개발자와 보안 관리자가 무엇을 찾아야 하는지 모르기 때문에 포착하기 어렵다는 것이 제로데이 취약점 공격의 명백한 문제”라고 말했다. 해커는 제로데이 취약점을 찾아내 판매한다. 화이트 해커는 기업의 보안 개선을 위해 해당 기업에 판매하며, 블랙 해커는 다른 악의적인 행위자에게 판매한다. 예컨대 코로나19 팬데믹 초기에는 화상회의 플랫폼 줌(Zoom)에서 발견된 윈도우 PC용 취약점과 맥OS용 취약점이 암시장에서 50만 달러에 거래됐다. 마이크로소프트의 엣지에 새로운 보안 기능이 추가됨에 따라 IT 관리자는 최종 사용자의 기기(윈도우, 맥OS, 리눅스)에 대한 특정 그룹 정책을 제로데이 취약점을 보호하도록 구성할 수 있다. 이 기능을 활성화하면 HSP(Hardware-enforced Stack Protection)와 ACG(Arbitrary Code Guar...

브라우저 보안 엣지 7일 전

오픈소스 소프트웨어 보안, 미 정부와 IT 업계의 협업 본격화

지난주 미국 백악관이 오픈소스 소프트웨어의 보안 개선을 목적으로 회의를 열었다. 오픈소스 소프트웨어와 관련된 주요 공공 및 민간 사용자와 유지보수 담당자를 초청했다. 백악관은 널리 사용되는 오픈소스 소프트웨어에 대해 “고유한 가치를 제공하지만, 광범위한 사용과 지속적인 보안 유지를 담당하는 많은 기여자의 참여에 따른 보안 문제도 있다”라고 밝혔다.   이번 회의는 자바 기반 로깅 유틸리티인 Log4j에서 위험한 취약점이 발견된 직후인 작년 12월에 기획됐다. 악용이 쉬운 이 취약점으로 인해 전 세계 수억 대의 기기가 잠재적인 침해 위험에 노출됐다. FBI와 NSA, 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Agency, CISA)은 Log4j 결함을 ‘모든 곳의 정부와 기업에 대한 위협’으로 신속하게 규정했다. 국가 안전 자문위원인 제이크 설리번은 기술 선구자를 회의에 초청해 “오픈소스 소프트웨어는 보안에 대한 국가 차원의 주요 관심사이다”라고 말했다. 회의에는 사이버 및 신기술 부문 국가 보안 부자문위원인 앤 뉴버거와 국가 사이버 국장 크리스 잉글리스, 국가 사이버 국장 및 CISA, 국립 표준 기술원(NIST)의 담당자를 비롯해 다양한 정부 부처와 기관이 참여했다. 민간 부문에서는 아카마이(Akamai)와 아마존, 아파치 소프트웨어 재단, 애플, 클라우드플레어(Cloudflare), 메타, 깃허브, 구글, IBM, 리눅스 재단, 오픈SSF, 마이크로소프트, 오라클, 레드햇 임원과 고위 인사가 참여했다. 백악관에 따르면, 회의에서 논의된 안건 3가지는 다음과 같다.   오픈소스 코드와 패키지의 보안 결함 및 취약점 방지 오픈소스 소프트웨어 결함을 발견하고 수정하는 프로세스 개선 수정 배포 및 구현의 대응 시간 단축 첫 번째 주제에서 참석자는 코드를 빌드, 저장, 배포하는 데 사용되는 개발 툴과 인프라에 코드 서명 및 더 강력한 디지털 ID를 통합함으로써 개발자가 더욱 쉽게 안...

오픈소스 소프트웨어 보안 2022.01.20

위급 상황에서 엔지니어의 프로덕션 접근 '권한 상승' 모델 4가지

최신 애플리케이션을 구축할 때 운영 이벤트 중의 접근 권한을 관리하는 일은 까다롭다. 보안 모범 사례에 명시된 바에 따르면 엔지니어(개발자와 운영 엔지니어)는 프로덕션 애플리케이션과 그 인프라에 대한 접근 권한을 최소화해야 한다. 비즈니스 요건이나 업계 규정에 따라 프로덕션에 대한 접근을 엄격히 제한해야 할 때도 있다.   그러나 업계 또는 비즈니스 요건이 없더라도 ‘최소 권한 원칙’과 같은 보안 모범 사례에 따르면 긴급 운영 문제 관리 담당을 포함한 엔지니어는 프로덕션에 대한 접근 권한이 최소화돼야 한다. 문제는 당직 엔지니어가 프로덕션 애플리케이션 내 문제를 처리해야 할 때 추가 권한이 필요할 때다. 프로덕션 서버 재부팅과 같은 동작은 당직 엔지니어의 정상적인 권한 범위를 넘어서는 것인데, 비상사태에서는 필요할 때가 있다. 이럴 때 당직 엔지니어는 평소에 권한이 없는 활동을 비상사태 중에 수행하기 위해 추가 권한이 임시로 필요하고 이를 위해 ‘권한 상승(permission escalation)’ 동작을 실행한다. 그런데 권한 상승 자체가 보안 취약성이 되는 상황에서 어떻게 엔지니어가 자신의 권한을 높일 수 있을까? 당직 엔지니어에게 필요한 추가 권한을 부여하되 그로 인한 보안 취약성은 최소화할 수 있는 권한 상승 방법 4가지를 살펴보자. 각각 장단점이 있다.   BTG(유리 깨기) BTG(Break the Glass) 모델에서는 당직 엔지니어가 비상 상황에서만 사용할 권한 상승을 시스템 프로세스로부터 요청할 수 있다. 요청이 들어오면 자동 시스템은 필요한 추가 권한을 부여하되 즉시 그 사실을 기록한 후 해당 경영진에게 알림을 보낸다. 따라서 엔지니어는 본인이 실제 비상사태 중에 ‘유리 깨기’만 할 수 있고 그 외의 동작은 나중에 열릴 사건 검토 회의 등에서 소명해야 함을 알고 있기 때문에 반드시 필요한 경우를 제외하고는 추가 권한을 요청할 가능성이 낮다. 이 모델은 프로덕션 환경에서 실행하기가 매우 쉽다. 또한, 엔지니어가 비상사태...

권한상승 보안 2022.01.20

'설사 실패한다 해도' 제로 트러스트가 가치 있는 이유

지난해 말 오랜 지인으로부터 보안 관련한 큰 걱정거리가 있다는 말을 들었다. 이 지인이 일하는 기업은 3개의 보안 레이어를 구축했고 감사까지 마쳤는데, 구축 이후 보안 사고가 5건이나 발생했다는 것이다. 사고 대부분은 보안 경계의 내부에서 일어났고 공격자는 보안 체계를 우회한 것으로 나타났다. 그 지인은 무엇이 잘못됐는지 어떻게 이를 바로 잡아야 할지 힘들어했다. 이 기업이 처한 상황은 예외적인 사례가 아니다. 이런 문제가 발생한 원인과 바로 잡는 방법도 절대 간단하지 않다.   흔히 보안이라고 하면 단순한 툴킷을 도입해 달성할 수 있는 목표라고 생각한다. 하지만 그렇지 않다. 보안은 모든 예상할 수 있는 위협을 관리하고 각 위협에 대해 고유의 방법으로 대응하면서 달성하는 일종의 '상태'에 가깝다. 보안 문제는 해커가 기업 외부에서 내부 애플리케이션이나 데이터베이스에 접근하는 권한을 탈취하는 것에서 시작된다. 계정을 훔치거나 취약한 인증을 악용해 권한을 탈튀한다. 애플리케이션이나 미들웨어, 운영체제 프로그램 내부의 보안 취약점이 보안 사고로 이어지기도 한다. 악의적인 행위의 방아쇠 역할을 한다. 악성코드에서 시작된 보안 문제도 있다. 최근에는 이런 원인이 복합적으로 나타나는 비중이 커지고 있다. 이에 따라 필자 지인의 기업을 포함한 많은 기업이 이런 보안 문제를 푸는 방어의 출발점으로 경계 보안(perimeter security)에 주목하고 있다. 경계 보안은 모든 가능한 문제의 원인에 대응하는 것을 의미한다. 그리고 필자 지인의 사례는 보안 원칙 측면에서 몇 가지 시사점을 제시한다. 첫 번째 원칙은 '문을 열어 놓는 한 필요 없는' 보안 벽을 만드는 것이다. 기업 대부분은 직원이 사용하는 기기에 대해 너무 관대하다. 지인 기업의 보안 사고 대부분에서 시작점은 해킹된 노트북이었다. 이런 상황에서 재택근무와 기업 VPN 접속의 확장은 곧 보안의 문제 뿐만 아니라 관리(보안 사고 확인)의 문제로 이어진다. 가능하다면, 업무용 기기는 사적인 목적...

제로트러스트 ZeroTrust 보안 2022.01.19

마이크로소프트 디펜더를 수동으로 업데이트하는 방법

마이크로소프트 디펜더(Microsoft Defender)는 오늘날 윈도우 운영 체제에 기본으로 탑재된 안티바이러스 패키지다. 윈도우 보안 설정 페이지에는 ‘윈도우 보안(Windows Security)’로, 마이크로소프트 기술 문서에는 ‘윈도우 디펜더 안티바이러스(Windows Defender Antivirus)’라고도 표기돼 있다. 명칭이 무엇이든, 많은 윈도우 사용자가 자신의 PC에서 보안을 관리하는 데 사용하는 기본 도구다.   윈도우 업데이트와 마찬가지로, 종종 마이크로소프트 디펜더가 제대로 업데이트되지 않는 경우가 있다. 마이크로소프트 디펜더 업데이트는 보통 예약 작업으로 실행되는 정기적인 윈도우 업데이트에서 처리된다. 그러나 때로는 윈도우 업데이트 자체에 문제가 발생할 때가 있다. 이런 일이 일어났을 때 마이크로소프트 디펜더를 직접 업데이트하는 방법을 소개한다. 1. 마이크로소프트 디펜더 자체의 업데이트 기능 이용하기 설정 앱에서 접근하는 방법이다. 윈도우 10이라면 ‘시작 → 설정 → 업데이트 및 보안 → Windows 보안’ 경로로, 윈도우 11이라면 ‘시작 → 설정 → 개인정보 및 보안 → Windows 보안’ 경로로 들어가면 ‘Windows 보안 열기’라는 버튼을 찾을 수 있다. 시작 메뉴에 ‘Windows 보안’을 입력해 앱을 직접 여는 방법도 있다.   ‘Windows 보안 열기’를 클릭하면 위 사진과 같은 화면이 표시된다. ‘바이러스 및 위협 방지’를 클릭한 후 스크롤을 내린 후 ‘바이러스 및 위협 방지 업데이트’ 항목에서 ‘보호 업데이트’를 클릭한다. ‘업데이트 확인’ 버튼을 클릭해 이용 가능한 업데이트가 있는지 확인하고, 설치할 수 있다.   Windows 보안을 이용한 업데이트는 백그라운드에서 윈도우 업데이트를 통해 진행되는 것이 특징이다. 따라서 윈도우 업데이트가 특정 업데이트에 머물러 있는 상황에서 제대로 작동하지만, 윈도우 업데이트가 완전히 중단돼 아무것도 다운로드하지 못하는 경우에는 ...

윈도우 보안 2022.01.11

CISO가 출장 보안 프로그램에서 검토해야 할 내용

지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.   따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다. 스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다. 앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다. 그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 ...

CISO 보안 2021.12.24

보안 전문가가 Log4j 스트레스에 대처하는 방법

2021년 많은 보안 전문가가 전례 없는 긴장에 시달렸다. 사이버 사고 대응 담당자와 네트워크 방어 담당자는 끊임없이 이어지는 보안 비상 상황으로 정신이 없었을 것이다. 사이버보안 연구자 케빈 보몬트의 말을 빌리자면, 올해는 사이버 공격이 최고조에 달했다.   2021년은 랜섬웨어 공격 집단 노벨리엄(Nobelium)의 공격에 대한 피해를 대대적으로 복구하는 작업으로 시작됐다. 노벨리엄은 2020년 솔라윈즈의 오리온 플랫폼을 해킹했다. 솔라윈즈를 복구하는 도중에 보안팀은 마이크로소프트 익스체인지 서버에서 발견된 4가지 제로데이 취약점과도 씨름해야 했다. 랜섬웨어 공격 집단은 의료, 교육 및 기업을 계속해서 공격했다. 미국의 최대 송유관 관리업체 콜로니얼 파이프라인과 육류 가공 업체 JBS의 북미 사업부 해킹 사건으로 사이버 공격은 정점에 이르렀다.  유명 랜섬웨어 공격 사건의 소용돌이에 전 세계 정부, 의료 업체, 교육 기관, 정치 단체, 인권 운동가를 대상으로 한 수십 가지의 크고 작은 랜섬웨어 공격과 해킹, 첩보 활동이 가세했다. 미국 바이든 행정부는 일련의 행정 명령과 지침, 정부 기관 및 핵심 인프라 제공업체에 새로운 요건을 부가하면서 사이버 공격 행위를 가라앉히려고 노력했다. 동시에 미국 의회는 사이버 보안 태세를 강화하는 법률을 제정했다. 2021년 막바지에는 Log4j 취약점이 출현했다. 전 세계 모든 기업의 보안팀은 인력이 부족한 상황이었고 지칠 대로 지쳐 있었지만 Log4j 취약점에 신속히 대응해야 했다. 또한 코로나19 오미크론 변이의 빠른 확산으로 인해 야기된 직장 내 혼란과 인력 이탈도 주목해야 할 문제였다.  CSO는 보안 전문가에게 2021년 마지막을 장식한 Log4j에 대한 생각과, 동료에게 전하고 싶은 조언이 있는지 물었다. 비교적 한산하고 편안할 것으로 기대했던 휴가 기간에 Log4j 패치 및 복구 업무가 추가되면서 스트레스에 대처하는 방법도 질문했다. 여러 보안 전문가의 답변을 정리했다. “...

보안 log4j 2021.12.24

“호텔 와이파이 믿지 마라” 여행 중에도 기기 보안을 유지하는 2가지 방법

여행에서 안전한 데이터 연결은 필수적이다. 사용자는 휴대폰 통신사 서비스가 보안 공격에서 안전하다고 믿는 경우가 많지만, 호텔이나 친척 집에서도 그렇다고 단정할 수 없다. 이런 장소가 해커나 멀웨어에 의해 손상될 확률은 매우 낮지만, 중요한 개인 데이터를 다룬다면 일말의 위험도 배제할 수 없다.   태블릿이나 노트북을 들고 여행하는 경우, 이동 중에도 연결 상태를 유지하려면 안전이 보장되는 VPN 서비스를 이용하거나 간편하게 모바일 핫스팟에 무선으로 연결할 수 있다. 2가지 방법 모두 장단점이 있다.   VPN : 안전을 우선으로 하는 선택지 가상 사설망인 VPN은 ‘다른 터널을 통과하는 터널’에 비유할 수 있다. 사용자가 컴퓨터나 휴대폰으로 주고받는 모든 데이터를 처리하는 원격 서버에 연결할 때 암호화한다. 그래서 낯설거나 안전이 보장되지 않은 연결을 사용하더라도, 다른 트래픽이나 사용자로부터 데이터를 보호할 수 있다. VPN은 노트북과 스마트폰, 태블릿에서 사용할 수 있으며, 거의 모든 운영체제에서 실행된다. VPN 요금은 보통 1달에 15달러 미만이다. 장기 구독할 경우 수수료가 훨씬 더 적다. 무료 VPN 서비스도 있지만, 이들 VPN은 고급 보안이 취약한 경향이 있으며, 사용자의 데이터를 모아 서드파티에 판매하기도 한다. 보안이 우려된다면 안정된 유료 서비스를 이용하는 것이 좋다. VPN을 사용하기 위해서는 먼저 로컬 네트워크에 연결한다. 예를 들어, 호텔 와이파이나 이더넷을 통해 직접 연결한다. 그런 다음 VPN 프로그램을 시작하고 활성화하면, 로컬 네트워크와 외부 인터넷에 안전하게 연결할 수 있다. VPN이 실행되면, 집에서처럼 인터넷을 사용해 개인정보에 액세스하는 홈페이지를 비롯한 모든 사이트에 접속할 수 있다. VPN 연결은 모든 데이터가 로컬 네트워크와 원격 서버를 통과하기 때문에 일반 광대역보다 느리다. 사용자가 많은 서비스일수록 속도가 빠르기는 하지만, VPN 종류나 제품에 따라 고화질 스트리밍 비디오나 속도가 ...

보안 VPN 모바일데이터 2021.12.24

중소기업과 개인 사용자를 위한 'Log4j2 보안 취약점' 대처법

기술, 보안 관련 웹사이트를 즐겨 찾는 윈도우 사용자라면 인터넷을 강타한 Log4j2 취약점 소식을 들었을 것이다. 대기업이라면 회사에서 사용한 코드에 대해 잘 아는 애플리케이션 개발자가 있고 어느 부분이 문제인지 알 수 있지만, 이런 인력이 없는 작은 기업은 상황이 완전히 다르다. 또는 기업이 아닌 개인 사용자라면 지금 상황에 대해 어떻게 대처해야 할까.   먼저 Log4j가 무엇인지부터 살펴보자. 코딩하는 개발자가 소프트웨어에서 필요한 것을 빌드하는 데 사용하는 로깅 프레임워크다. 자바로 작성됐으며 누구나 사용할 수 있는 라이선스를 부여하고 오픈소스 소프트웨어에 흔히 쓰인다.  알리바바(Alibaba) 클라우드 보안 팀에서 최초로 취약점을 보고했고 픽스가 준비되는 상황에서 마인크래프트 게이머가 채팅 상자에 특정 코드 문자열을 입력하면 원격 코드 실행이 트리거될 수 있다는 사실을 발견했다. 마이크로소프트는 마인크래프트 게임 서버를 수정했지만 곧 이 문제가 클라우드 서버를 넘어 더 광범위하게 영향을 미친다는 점이 명확하게 드러났다.  이 취약점은 비즈니스 애플리케이션에도 영향을 미칠 수 있다. 대기업의 경우 다양한 정부 리소스가 제공되지만 작은 기업과 개인 사용자를 위한 뚜렷한 조언은 아직 충분치 않다. 이런 사용자를 위한 필자의 조언은 다음과 같다. 일단 가장 중요한 것은 윈도우에서 기본 마이크로소프트 오피스 소프트웨어를 사용한다면 걱정하지 않아도 된다는 것이다. 마이크로소프트 제품은 영향을 받지 않는다. 이 취약점은 특히 개인 사용자용 윈도우에는 기본으로 설치되지 않는 아파치 기반 소프트웨어와 관련된다. Log4j2에 의존하는 클라우드 기반 앱을 사용한다면 업체가 앱을 업데이트하고 패치할 것이다. 이 취약점은 윈도우 기반이 아닌 라우터, 방화벽, 프린터 또는 기타 사물인터넷 하드웨어를 포함한 다양한 종류의 기기에 영향을 줄 수 있다. 자신이 취약한 상태인지는 직접 확인해야 한다. 이와 같은 기기가 내부 네트워크에 어떻게...

Log4j2 보안 2021.12.23

쿠버네티스 SW 공급망 보안을 강화하는 방법

현대 소프트웨어 개발 방식의 확산으로 소프트웨어 공급망을 보호하는 것이 예전보다 훨씬 더 중요해졌다. 코드는 오픈소스 라이브러리에 종속성이 있고 오픈소스 라이브러리는 다른 라이브러리에 종속성이 있고, 이런 식으로 계속 이어진다. 자신이 개발하지 않았고 컴파일하지 않았으며 대부분의 경우 출처도 알 수 없는 코드가 사슬처럼 엮여 있다.   이 코드 중에는 거의 모든 곳에 사용되는 코드도 있다. 업계를 발칵 뒤집어 놓은 로그포셸(Log4Shell) 익스플로잇은 흔히 사용되는 자바 로깅 구성요소인 로그포제이(log4j)에 있는 오래된 버그를 기반으로 한다. 결국 지금 업계는 거인의 어깨 위가 아니라, 소수의 애플리케이션 및 구성요소 유지관리자의 어깨 위에 올라가 있다. 전 세계 인프라가 이들이 한가한 시간에 선의로 하는 일에 의존해 굴러간다.   분산 개발로 위험 가중 유지관리자의 일을 깎아내리는 것이 아니다. 이들은 현대 소프트웨어 공급망의 필수적인 요소다. 소소한 모듈부터 전체 컨테이너 기반 플랫폼까지 모든 것을 제공한다. 이렇게 중요한 코드를 만들지만 그에 상응하는 인정도, 보상도 받지 못한다. 안타깝게도 지금까지 악의적 행위자가 유지관리 코드를 넘겨받아 악성코드를 추가한 사례가 여러 번 있었다. 오래 신뢰를 받아온 코드이므로, 설치할 가능성이 높다고 공격자가 판단했기 때문이다. 코드가 그룹 작업의 결과물이 되는 경우가 증가하고 있으므로 이와 같은 공격은 앞으로 더 늘어날 것이다. 이제 우리 스스로와 애플리케이션을 보호하려면 어떻게 해야 할까? 무엇보다 소프트웨어 공급망이 실제로 존재한다는 것, 그리고 코드가 서로 격리된 채 개발되던 시절이 오래전에 끝났다는 것을 이해해야 한다. 오픈소스와 서드파티 라이브러리는 현재 소프트웨어를 만드는 과정에서 필수적이며 그 중요성은 갈수록 더 커질 것이다. 소프트웨어 공급망을 보호하기 위해 취할 수 있는 조치는 무엇일까? 코드에서 라이브러리 스캔하기, 정적 및 동적 분석 사용하기, 코드에 디지털 서명 ...

쿠버네티스 보안 2021.12.21

“혁신 아닌 종합적인 발전” CISO가 말하는 2022년 보안 우선순위

CSO가 매년 실시하는 ‘보안 우선순위 조사’에 따르면, 많은 보안 책임자가 기업의 회복을 견인하는 2022년 전략을 추진하고 있다. 이들이 추구하는 것은 단순히 하나의 도구를 강화하거나 하나의 방법만 활용하는 것이 아니라, 다양한 기술을 결합해 발전을 꾀하는 이니셔티브다.   CISO가 이니셔티브 설정 시 고려한 우선순위는 각 기업이 직면한 특정 위험 및 위협에 대응하는 기술 역량과 상호 의존적인 정책 및 절차가 결합된 것으로, 보안 기능의 발전상을 반영한다. 또한 IT 및 비즈니스 환경의 변화와 달라지는 위협 지형, 새로운 위험으로 인한 보안 요구사항도 이니셔티브에 반영됐다. 조사 결과를 종합하면, 속도를 일정하게 유지하면서 발전하는 것이 CISO의 2022년 우선순위다.  우선순위를 바꾸는 지형 변화 클라우드 마이그레이션이 확산하고 있다. IT팀은 애플리케이션을 데이터 계층에서 분리하고 있으며, CIO는 더 다양한 구성이 가능한 아키텍처로 이동하고 있다. 디지털 이니셔티브에 박차를 가하는 것이다. 여기에 코로나19로 인해 확산된 재택근무도 보안 지형을 바꾸었다.  컨설팅 업체 컨스텔레이션 리서치(Constellation Research)의 수석 애널리스트 리즈 밀러는 “2년 동안의 재택근무로 인해 보안의 방어선이 직원이 일하기를 원하는 장소까지 확대된 것이다. 2년간 지켜봤던 불안정한 상태가 앞으로도 계속될 전망이다”라고 말했다. CISO는 직원 문제까지 해결해야 한다. 밀러는 “이른바 ‘대규모 퇴직(Great Resignation)’은 현실이며, 특히 보안 분야에서 이런 현상이 심각하다. 많은 직원이 ‘번아웃’되어 업계를 떠나고 있다. 2022년에는 이 문제를 관리하기 더욱 힘들어질 것이다”라고 설명했다.  현재 CISO에게 던져진 질문은 ‘이 모든 것을 어떻게 관리할 것인가?’, ‘현명하고 안전하면서 신속하게 목표를 달성하는 방법은 무엇일까?’이다. 의료 업체 파크뷰 헬스(Parkview Health)...

보안 2022년 전망 2021.12.17

구형 서버를 지금 당장 마이그레이션해야 하는 이유

향후 윈도우 10과 윈도우 11 배포를 계획하는 기업이 많을 것이다. 준비 과정에서 그룹정책과 인튠 설정법 등 배포 및 관리 방법을 조사하고, 윈도우 10과 윈도우 11의 기능 업데이트가 연간 2회에서 1회로 축소된다는 소식을 찾아보며 철저히 준비한다. 이처럼 많은 기업이 데스크톱 배포는 비교적 원활하게 관리하지만, 서버 배포에 있어서는 그렇지 않다.   최근 데스크톱 윈도우 업데이트와 최신 패치를 적용하지 않은 구형 플랫폼이 상호작용하면서 문제가 발생한 경우가 있었다. IT 전문가는 패치를 이유로 꼽았지만, 근본적인 문제는 인증 및 스토리지용 서버 플랫폼에 있다. 윈도우 서버 2003을 사용하는 네트워크는 사이버 공격 진입점이 될 수 있고, 네트워크에 SMB v1이 배포되어 있으면 더 안전한 인증 기법과 네트워크와 더 효과적으로 연결하는 기능을 사용할 수 없다.  구체적으로, 윈도우 2003 시스템을 프린터 서버로 이용하면서 윈도우 10 워크스테이션에 지난 10월 및 11월 보안 업데이트를 적용한 경우 프린팅 문제가 발생했다. 윈도우 10, 2004, 20H2, 21H1, 21H2용으로 10월 배포된 KB5006670과 11월 배포된 KB5007186 업데이트였다. 네트워크 관리자는 업데이트가 부족한 윈도우 서버 2003 플랫폼과 윈도우 10 업데이트 배포로 발생한 프린팅 문제를 해결하기 위해 최신 패치를 적용한 플랫폼으로 프린터 서버를 옮겨야 했다. 프린터 문제뿐만 아니라 서버 2008 R2, 서버 2008, 서버 2003 같은 구형 서버를 윈도우 10과 연결했을 때 네트워크 파일 공유 문제도 발생했다.  서버 수명과 보안 지원 종료일에 주의하라 마이크로소프트는 지난 11월 ESU(Extended Security Update)를 연장 및 확대한다고 밝혔다. ESU는 임베디드 시스템용 윈도우 서버 2008 R2 SP1, 2008 SP2, 2008 R2 SP1과 마이크로소프트 애저에서 실행하는 임베디드 시스템용 윈도우 서버 2...

클라우드 보안 2021.12.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.