Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안

‘텔레그램 봇’ 이용한 사이버 범죄 암약…이중 인증과 OTP도 안전하지 않다

지난 몇 년간 온라인 서비스에 이중 인증(Two-factor authentication, 2FA)이 많이 도입되고 있다. 2FA는 탈취 당한 비밀번호가 악용되는 것을 방지하기 때문에 온라인 계정을 보호할 수 있는 가장 좋은 방법일 것이다. 하지만 같은 이유로 사이버 범죄자 역시 2FA에 적응하고, 기발한 방법으로 일회용 인증 코드를 탈취하고 있다.   보안 업체 인텔 471(Intel 471)의 보고서에 따르면, 최근 사이버 공격자는 자동녹음전화와 양방향 메시지를 활용해 피해자의 실시간 OTP를 탈취하는 방법으로 2FA를 우회하고 있다. 자동녹음전화와 양방향 메시지는 텔레그램 봇을 이용해 자동화하고 관리하는데, 마치 일반 기업에서 슬랙 봇을 이용해 업무를 자동화하는 것과 비슷하다. 인텔 471이 조사한 이들 서비스는 고작 지난 6월부터 운영되기 시작했으며, 텔레그램 봇이나 채널을 통해 운영된다. 공격자들은 종종 봇이나 채널을 사용하는 동안 피해자 계정에서 수천 달러를 탈취했다는 등 성공담을 공유하기도 했다. 자동화 봇을 이용한 소셜 엔지니어링 공격 이런 공격 기법의 중심에는 고도로 자동화된 소셜 엔지니어링 공격이 자리 잡고 있다. 과거 공격자는 정보를 얻기 위해 피해자에게 직접 전화를 걸거나, 은행이나 서비스 업체의 고객 지원 번호를 사칭해 계정에 무단으로 접근할 수 있는 정보를 취득했다. 이제 이 방법은 자동화 봇이 텔레그램 채팅방에 오가는 지시에 따라 정해진 원고를 읽으며 전화하는 형태로 바뀌었다. 인텔 471이 확인한 서비스는 유명 은행이나 구글 페이, 애플 페이, 페이팔과 같은 온라인 결제 서비스 업체, 모바일 통신사로 가장한 통화 원고와 ‘모드’를 미리 설정했다. 인텔 471의 조사 결과 ‘SMS 버스터(SMS Buster)’라는 이름의 서비스는 영어와 불어로 전화를 걸어 캐나다 소재 은행 8곳의 계좌에 불법 접근했다. ‘SMS레인저(SMSRanger)’라는 서비스는 피해자가 전화를 받고, 공격자가 피해자의 개인 정보를 봇에게 정확...

보안 이중인증 OTP 2021.09.30

글로벌 칼럼 | 일부 앱의 기만적 '정보보호 공지', 애플의 대책이 필요하다

앱 스토어(Apple Store) 올라온 앱의 개인정보보호 약속은 아직도 허술한 점이 많다. 애플은 이를 더 공격적으로 감시할 필요가 있다. 애플이 가시적인 조처를 할 때까지 기업 사용자는 자신과 소속된 조직을 보호하기 위해 무엇을 해야 할까.     앱 개인정보보호의 문제 애플의 앱 스토어 개인정보보호 규칙의 정신을 제대로 지키지 않는 일부 개발자의 행태가 계속되고 있다. 앱 개인정보보호 설명 부분에 오해의 소지가 있는 정보를 게시하는가 하면 기기를 추적하지 않겠다는 약속을 노골적으로 위반하기도 한다. 일부 개발자는 기기 추적 정보를 빼내려고 추적 금지 요청을 계속 무시하고 있다. 최근에 자체 디지털 광고 네트워크를 출범시킨 '워싱턴 포스트'는 사용자 개인정보보호 약속을 지키지 않은 여러 스토어 앱 사례를 적발했다. 사용자가 앱의 추적을 원하지 않는다는 의사 표시를 하면 해당 앱은 그러한 요청을 존중해야 한다. 그러나 워싱턴포스트에 따르면, 사용자 요청을 불문하고 계속해서 똑같은 정보를 수집하는 앱이 많다. 이렇게 수집된 데이터는 서드파티 데이터 추적 회사에 판매되거나 표적 광고 제공에 이용될 수 있다.   상황을 해결하는 방법 전 아이클라우드 엔지니어 조니 린은 매체와의 인터뷰에서 "‘앱 추적 투명성(ATT)’은 서드파티 추적자를 저지하는 데 별로 효과가 없다. 더 심각한 것은 사용자에게 ‘앱에 추적 금지 요청’ 버튼을 누를 선택권을 줌으로써 오히려 사용자에게 개인정보보호에 대한 잘못된 생각을 심어줄 수 있다는 것이다”라고 말했다. 린이 이처럼 가차 없이 비판하는 이유에는 자신의 이해관계도 관련돼 있다. 그의 회사에서 개발하는 록다운(Lockdown)은 사파리뿐만이 아니라 모든 앱의 '추적, 광고 및 배드웨어'를 차단한다. 어쩌면 애플 역시 똑같은 방식을 취해야 하지만, ATT 도입 당시 몇 달이나 반발을 겪은 점을 고려할 때 애플이 같은 조치를 하기에는 상당한 시간이 걸릴 것이다. 이해가 걸린 업계의 반발을 고려하면 ...

정보보호 보안 앱스토어 2021.09.29

제로 트러스트와 SASE를 통한 차세대 클라우드 보안의 완성 - IDG Summary

재택근무라는 낯선 IT 서비스 환경의 새로운 보안 문제를 어떻게 풀어야 할까. 최근 들어 그 대안으로 주목받고 있는 것이 SASE(Secure Access Service Edge)다. 기업 외부에서 직원이 업무용 서비스에 접속할 때, 사용자 기기와 업무 서비스를 운영하는 클라우드 사이에 퍼블릭 엣지 클라우드를 만든 후 여기에서 필요한 보안 서비스를 일괄 제공하는 것이다. SASE로의 전환 흐름은 소수 기업에만 의미가 있는 것이 아니다. 이제는 점차 많은 기업이 지적, 물적 자산 전체를 클라우드 기반 운영, 관리로 전환하고 있다. 기존 보안 체계로 감당할 수 없는 위험에 대응하고, 특히 재택근무라는 새로운 IT 업무 환경을 적극적으로 지원해야 하는 기업이라면 SASE를 중심으로 보안 전략을 전면적으로 재검토해야 할 시점이다. 주요 내용 - 코로나가 몰고 온 IT 환경의 근본적 변화 - 낡은 보안과 새로운 업무환경의 괴리 - SASE를 통한 차세대 클라우드 보안 완성 - RBI, 알려지지 않은 공격을 막는 유일한 SASE 기술 - SASE 활용 시나리오 2가지와 여전히 남은 문제 - 제로 트러스트와 SASE 중심의 새 보 안전략 필요

SASE 제로트러스트 보안 2021.09.29

IDG 블로그 | 윈도우·크롬·애플, ‘빅 3’ 보안 업데이트 톺아보기

이번 주 ‘빅 3’라고 불릴 만한 주요 업데이트가 있었다. 운영체제(윈도우), 브라우저(구글 크롬), 휴대폰(애플)이다. 모두 제로데이 취약점을 해결하는 것이 주요 내용이었다.   크롬 브라우저와 아이폰은 가능한 빨리 업데이트하는 것이 좋지만, 윈도우 업데이트는 언제나 유보하는 것을 추천한다. 업데이트로 인한 부작용이 있는지 먼저 살펴봐야 하기 때문이다.  이제 3가지 업데이트를 하나씩 살펴보자. 우선 애플 기기를 먼저 업데이트하는 것이 좋다. 이번 주 애플의 iOS 14.8 업데이트에는 페가수스 스파이웨어 패치가 포함돼 있다. 페가수스 스파이웨어는 휴대폰 카메라나 마이크, 문자 메시지, 전화, 이메일 등에 접근해 정보를 탈취하는 소프트웨어로, 아이폰이 주된 공격 대상이다. 늘 그렇듯이 애플 업데이트는 와이파이가 연결된 상태에서 휴대폰을 충전 상태로 두면 밤사이 실행된다. 업데이트가 제대로 되었는지 확인하고 싶다면, ‘설정’ 애플리케이션의 ‘일반’ 탭으로 들어가 ‘소프트웨어 업데이트’ 탭을 클릭하자. 업데이트 후에는 일부 앱에서 비밀번호를 다시 요구할 수 있으니 아이클라우드 키체인에 주요 비밀번호를 미리 저장해두는 것을 추천한다. 이번 업데이트 버전은 iOS에서는 14.8, iPad OS는 14.8, 맥OS 카탈리나는 보안 업데이트(Security Update) 2021-005이며 빅 서는 11.6이다. 크롬 브라우저 업데이트에서는 현재 보안을 위협하는 취약점 2가지에 대한 패치가 이뤄졌다. 윈도우와 맥, 리눅스 운영체제에서는 93.0.4577.82 버전 크롬 브라우저가 최신 버전이다. 크롬 OS를 사용하는 일부 기기에서는 계정에 로그인할 때 검은 화면이 뜨는 오류가 발생했다는 사례도 있다. 마지막으로 윈도우다. 도메인 혹은 기업 사용자 중에서 그룹 정책(Group Policy)으로 프린터를 제어할 때 발생하는 문제가 해결됐을 거라고 기대하는 사용자가 있다면, ‘마이크로소프트식’ 뉴 노멀에 온 것을 환영한다. 프린터 관리 방법은 ...

보안업데이트 보안 iOS 2021.09.17

'경영진이라면 명심!' 보안 전략 전체를 망가뜨리는 8가지 함정

2021년 5월 발생한 콜로니얼 파이프라인 공격은 훼손된 비밀번호를 악용해 가상 사설 네트워크(VPN)으로 회사 네트워크에 침입한 사건이다. 2017년 에퀴팍스 공격은 널리 알려졌음에도 패치되지 않았던 취약점이 진입점이었다. 그리고 트위터에서 일어난 비트코인 사기는 트위터 직원을 노린 스피어 피싱 공격에서 시작되었다.  물론 완벽한 보안 프로그램이라는 것은 존재하지 않지만, 수 년간 발생한 여러 보안 사건은 기업의 사이버보안 부서가 어떤 것도 그냥 지나쳐서는 안 된다는 점을 여실히 보여준다.  성공적인 보안 전략을 망가뜨릴 수 있는, 그리고 기업에서 쉽게 간과하기 쉬운 8가지 함정을 정리한다.     보안 사고은 기술만이 아니라 경영 전체의 위험임을 잊어버리는 것 UN 프로젝트 조달 기구(United Nations Office for Project Services, UNOPS)의 CISO   닐 하퍼는 사이버 보안이 이사회 차원의 관심사가 되었지만, 최고 임원은 물론이고 CISO까지 보안을 비즈니스가 아닌 기술적 위험으로만 여기는 경우가 빈번하다고 말했다.  얼핏 말장난 같지만 그렇지 않다. 하퍼는 기업 경영진이 사이버 보안을 너무 협소하게 바라볼 경우 부적정인 영향이 있다고 말했다.  하퍼는 “정보 보안을 비즈니스 위험으로 생각하지 않고, 단지 기술 위험으로만 본다면 보안이 기업 전체의 기반이라는 점을 간과하게 된다. 그 결과, CISO는 전적인 인정을 받지 못하고, 보고체계도 임원보다 2~3 단계 아래의 직위에 보고한다. 그 경우 임원 수준에서 전략에 대해 의견을 개진할 수 없다”라고 설명했다.  하퍼는 CISO가 이해관계자와 관계를 증진할 때 상황을 반전시키는 것을 여러 차례 목격했다고 강조했다. 즉, CISO는 이해 관계자의 위험과 목표를 이해하면서 이들과 교류하고 이들에게 보안 계획이 위험과 목표에 어떻게 대처하는지를 설명할 수 있어야 한다는 의미다.   컴플...

보안 2021.09.15

SaaS 거버넌스 계획이 필요한 이유와 도입시 고려해야 할 사항

SaaS 도입 속도가 IaaS 소비량을 크게 앞서고 있다. 그럼에도 불구하고 기업들은 거의 인프라 보안에만 집중하고 있다. 이제 기업들은 SaaS 사용과 관련된 위험을 낮추기 위해 보안 조치를 구현하는 SaaS 거버넌스 계획을 고려해야 한다. 이 계획에는 준법감시 프레임워크, 문서화/상당한 주의, 지속적인 모니터링과 위험 감소를 위한 기술적 조치의 조합이 포함된다.   클라우드 도입에 관한 보안 논의의 상당 부분이 AWS, 마이크로소프트 애저, 구글 클라우드 등의 IaaS(Infrastructure as a Service)/PaaS(Platform as a Service) 제공업체에 집중되는 데는 그만한 이유가 있다. 기업들은 엄청난 IaaS 도입 증가를 경험했으며 잘못된 IaaS 구성과 관련된 무수히 많은 보안 사고를 목격했다.  하지만 잘못 구현되어 안전하지 못한 SaaS로 인한 위험은 간과되고 있다. 가트너는 SaaS가 가장 큰 공공 클라우드 시장으로 유지될 것으로 전망했으며, 이 전망 이후 코로나19로 인해 SaaS 사용이 전례 없이 폭증했다. 또한 기업들은 일반적으로 3대 클라우드 서비스 제공업체를 비롯, 소수의 IaaS 제공업체만 이용하면서 많은 SaaS 제품을 소비하는 경향이 있다. 2020년 블리스풀리(Blissfully)의 조사에 따르면, 대기업은 최대 288개의 SaaS 앱을 사용하며 중소기업은 100개 이상을 사용하고 있는 것으로 나타났다. 기업이 IaaS 보안을 강화하기 시작했을 수 있지만 더 광범위하고 다양한 SaaS 부문은 그렇지 않을 가능성이 높다. 이런 현실로 인해 IaaS 제공업체보다 SaaS 제공업체의 비승인 IT 사용이 만연하며, 그 이유는 시장에 SaaS 제품이 많고 신용카드만으로도 손쉽게 소비할 수 있기 때문이다. 자일로(Zylo)의 연구에 따르면, 기업들은 월 평균 10개의 SaaS 제품을 추가하고 있으며 이 가운데 IT 부서가 직접 관리하는 것은 25%에 불과했다. 관리되지 않는 SaaS 위험...

SaaS 거버넌스 클라우드 2021.08.19

기업에 위험한 5가지 유형의 모바일 앱

기업 모바일 기기에서 실행되는 미승인 소프트웨어와 애플리케이션은 보안에 있어 악몽과 같은 존재다. 여기에는 동료와의 효율적인 원격 통신, 또는 다운로드 가능한 메시징, 파일 공유 앱을 통한 기업 문서 관리와 같은 일반적으로 섀도우 IT(Shadow IT)라고 부르는 비즈니스 요구를 충족시키는 앱 등이 포함된다. 뿐만 아니라 사교, 피트니스, 게임, 스포츠 시청 등 업무와 관련되지 않은 생활이나 엔터테인먼트 목적의 앱에 이르기까지 다양하다.     기업 기기에서 관리되지 않은 개인 앱은 데이터 유출, 사이버 공격, 악의적인 서드파티로부터의 직원 활동 감시 등 기업에 잠재적인 위험으로 간주되는 여러 요소를 포함해 악용할 수 있는 수많은 벡터와 취약점을 야기한다. 포레스터 보안 및 위험 분석가 스티브 터너는 “이런 앱은 기업에서 관리하지 않으며 직원이 무심코 다운로드, 사용함으로써 다양한 데이터, 개인정보 보호 및 기타 정책을 침해할 수 있다”라고 말했다.   웹루트(Webroot) 선임 위협 연구원 켈빈 머레이는 코로나 19 팬데믹의 발발 이후, 원격 근무로 대거 전환하면서 원치 않는 앱으로 인한 기업의 위험이 더욱 심화됐다”라고 말했다. 머레이는 “대면 회의와 상호 작용이 줄어들면서 직원들은 이메일이나 팀즈 통화와 같은 격식없이 소통할 새로운 방법을 찾고 있다. 그러나 원치 않는 앱을 통해 새로운 공격 전술, 익스플로잇 및 도구가 등장하면서 모바일 기기와 앱이 지금처럼 기업에 큰 위협이 된 적은 없었다”라고 설명했다.  사용자는 사이버 범죄자가 자신을 표적으로 삼을 것이라고 믿지 않는 경향이 있지만, 이런 앱들은 종종 개인정보에 대한 과도한 접근이나 특권 계정과의 통합을 요청한다. 교활한 공격자에게는 매우 효과적인 위협 벡터가 될 수 있다.  금융서비스 플랫폼 웨이브머니(Wave Money) CISO 도미닉 글런든은 “모바일 기기에 대한 공격에는 사용자 데이터에 접근하거나 도청하기 위한 원격 접속 트...

모바일앱 보안 위협 2021.08.09

2021 사이버보안 채용 현황 "보안 일자리, 언제나 많다"

정보 보안 일자리는 언제나 전망이 밝았다고 말하는 것도 지나치지 않다. 게다가 미국의 경우, 기업들이 코로나19의 제약으로부터 풀려나고 직장의 ‘뉴노멀(normal)’에 마주치면서 구직자에게는 더할 나위 없이 좋은 시절이 도래했다. 다시 말해 높은 구인 수요, 증가하는 급여, 그리고 어디서나 일할 수 있는 기회가 생겨났다.    '어떤 일자리의 수요가 가장 높은지', '구직 기회가 가장 많은 곳은 어디인지'라는 질문에 관한 대답은 둘 다 매우 광범위하다고 컨설트넷(ConsultNet)의 사이버보안 구인 전략가 테럴 TJ 잭슨은 진단했다.  여전히 코로나19 팬데믹의 여파가 정보 보안 취업 시장의 주된 원동력이라는 사실은 부정할 수 없다.  텍사스주 오스틴에 소재한 IT 전문가 네트워크인 스파이스웍스(Spiceworks)의 기술 인사이트 책임자인 피터 차이는 “원격 근무로의 이동은 팬데믹 이전과 비교할 때 인력 수 면에서 2배가 증가했다”면서, “보안 전문가 등 IT 전문가 대다수가 원격 근무로 인해 기기 및 데이터를 보안하는 일이 더 어렵다고 말했다. 본인의 기기를 이용해 가정 네트워크로 연결된 사람의 문제는 말할 것도 없다. 따라서 이들 기기를 보안하는 일만으로도 보안 전문가의 일이 훨씬 더 많아졌다. 이제 공격 표면이 훨씬 더 넓어졌다”라고 설명했다.   차이는 “또한 랜섬웨어는 여러 해 동안 뉴스 첫머리를 장식했지만 공격은 더 증가하고 있다. 요구하는 몸값은 커지고 있고, 표적은 더 중요해지고 있다. 따라서 이는 아마도 보안 전문가의 필요에 대한 최고의 촉매제 역할을 한다”라고 분석했다.  수요가 가장 높은 보안 직무 및 스킬  위협 지형이 극적으로 넓어짐에 따라 정보 보안 분야에서 가장 수요가 높은 일자리가 (구인 게시물 기준으로) 여전히 보안 분석가 직무임은 새삼스러울 게 없다. 그 다음은 취약점 분석가 또는 침투 테스터가 근접하게 뒤를 잇는다. 구직자 분석업체인 버닝 글래스 테...

보안 사이버보안 정보보안 2021.07.28

컨테이너 및 쿠버네티스 보안에 대한 계층화된 접근 방식

컨테이너는 애플리케이션과 그 종속 요소를 단일 이미지로 패키징하여 개발에서 테스트, 프로덕션에 이르는 전 과정에서 활용할 수 있다는 장점 때문에 광범위하게 사용되고 있습니다. 컨테이너를 사용하면 물리 서버, VM(가상 머신), 프라이빗 클라우드 또는 퍼블릭 클라우드와 같은 다양한 배포 대상과 환경에 걸쳐 일관성을 쉽게 유지할 수 있습니다. 쿠버네티스는 기업용 컨테이너 오케스트레이션 플랫폼입니다. 많은 조직에서 컨테이너를 사용하여 필수 서비스를 실행하는 오늘날, 컨테이너의 보안 유지는 무엇보다 중요한 문제입니다. 이 문서에서는 컨테이너화된 애플리케이션을 위한 핵심 보안 요소에 대해 설명합니다. <16p> 주요 내용 - 컨테이너와 쿠버네티스의 포괄적 보안: 계층 및 라이프사이클 - 애플리케이션 자체에 보안 구축 - 배포: 배포에 필요한 구성, 보안 및 컴플라이언스 관리 - 실행 중인 애플리케이션 보호 - 강력한 에코시스템으로 폭넓은 보안 범위 제공  

컨테이너 쿠버네티스 보안 2021.07.15

'털릴 것인가, 지킬 것인가?' PC와 온라인 기본 보안 수칙 5가지

개인정보 보호는 단순한 스마트한 특성이 아니라 거의 필수에 가깝다. 전 세계가 점차 연결되면서 개인정보의 중요성은 점차 커진다. 웹 사이트를 공격해 유출된 정보를 악용하고, 다른 계정에 침투하거나 개인용 컴퓨터에 랜섬웨어를 설치하고 돈을 요구하는 세력들은 이익을 위해서라면 망설임 없이 누구에게라도 악몽을 선사할 것이다. 기업 수천 곳이 무릎을 꿇었던 카세야 랜섬웨어 공격에서 이미 그런 상황이 벌어졌다.   하지만 희망이 없는 것은 아니다. 기본적인 보안 원칙만 준수해도 인터넷 세상에서 발생하는 대다수 공격에서 스스로를 보호할 수 있다. 기사에서 소개하는 5가지 보안 작업은 너무나 간단해서 완료까지 오래 걸리지도 않는다. 지금 바로 실행에 옮기고 편안한 마음으로 잠자리에 들자.   1. 비밀번호 관리자를 사용하라 가장 큰 보안 위험은 비밀번호 재사용이다. 주요 웹 사이트와 서비스에서 일어나는 대규모 데이터 유출 사태는 거의 주기적으로 일어나고 있다. 여러 계정에 똑같은 이메일, 똑같은 비밀번호를 사용하다가 웹 사이트에서 데이터가 유출되면, 공격자는 그 정보를 악용해 다른 계정까지 해킹할 수 있다. 따라서 소유한 모든 계정에 강력하고 고유한 비밀번호를 사용하면 스스로를 보호할 수 있지만, 계정을 생성한 모든 웹 사이트의 비밀번호가 기억하는 것은 불가능에 가깝다. 비밀번호 관리자가 필요한 것이 바로 이 단계다. 비밀번호 관리자는 강력한 무작위 비밀번호를 생성하고 정보를 저장하며 웹 사이트와 소프트웨어의 로그인 필드를 자동으로 채운다. 브라우저도 기본적인 비밀번호 관리 기능을 제공하기 시작했다. 브라우저 내장 기능은 유사시에 사용할 수 있을 정도지만 아주 완전하지는 않다. 적절한 비밀번호 관리자에 투자하는 것은 그만한 가치가 있다(무료 요금제를 제공하는 서비스도 많다).   2. 이중 인증을 활성화하라 대부분의 주요 서비스는 현재 이중 인증 기능을 제공하고 있으며, 민감한 개인정보를 취급하는 경우에는 더욱 그렇다. 가능할 경우라...

보안 백업 비밀번호관리자 2021.07.09

기업 네트워크 보안의 ‘맹점’ 액티브 디렉토리 인증서 서비스

윈도우 기업 네트워크의 핵심인 액티브 디렉토리(Active Directory, 이하 AD)는 사용자와 컴퓨터의 인증과 권한을 처리하는 서비스로, 수십년간 보안 전문가의 연구 대상이기도 했다. 하지만 AD의 PKI(Public Key Infrastructure) 컴포넌트는 이 정도로 면밀히 조사되지 않았다. 한 보안 연구 팀에 따르면, 이는 계정과 도메인 수준에서 권한 상승과 침해를 초래할 수 있는 여러 구성상의 실수가 존재할 수 있다. 보안 업체인 스펙터옵스(SpectreOps)의 연구원인 윈 슈뢰더와 리 크리스텐슨은 새 보고서를 통해 “AD 인증서 서비스(Active Directory Certificate Services, 이하 AD CS)는 파일 시스템 암호화부터 디지털 서명, 사용자 인증까지 모든 것을 제공하는 PKI 구현 기술이다. AD CS는 AD 환경에 기본 설치되지 않는다. 하지만 경험상 기업 환경에 널리 배포되어 있고, 이 인증서 서비스를 잘못 구성했을 때 초래되는 영향이 아주 크다”라고 설명했다.     AD CS 동작 방식 AD CS는 비공개 기업 인증 기관(certificate authority, 이하 CA)을 설정하는 데 사용된다. 사용자와 디바이스 ID 또는 계정을 공개-비공개 키 쌍에 연결하는 인증서를 발급하는 데 사용되어, 이 키 쌍을 파일 암호화, 파일 또는 문서 서명, 인증 등에 사용할 수 있다. AD CS 관리자는 인증서 발급 방법, 대상, 작업, 보유 기간 및 암호화 설정에 대한 청사진 역할을 하는 인증서 템플릿을 정의한다. 즉, HTTPS처럼 CA가 서명한 인증서는 AD 인프라가 특정 공개-비공개 키 쌍을 신뢰하도록 하는 증거다. 따라서 AD CS로부터 인증을 받으면 인증 받은 사용자나 컴퓨터는 키 쌍을 생성하고 원하는 다양한 설정과 함께 공개 키를 CSR(Certificate Signing Request)의 일부로 CA에 보낸다. CSR은 제목 필드의 도메인 계정 형식으로 사용자 신원과 인증서를 생...

액티브디렉토리 AD AD CS 2021.06.21

IDG 블로그 | 애플이 사용자 데이터를 수집하고 개인정보를 보호하는 방법

애플은 사용자 중심의 개인정보보호를 강조하면서, 아마존이나 구글, 페이스북 및 여러 경쟁 기업과의 핵심 차별점으로 내세우고 있다. 그렇다고 애플이 사용자 정보를 전혀 수집하지 않는 것은 아니다.  한 Macworld 독자의 질문 덕분에 애플이 직접적으로 추적하고, 추천과 광고에 활용하는 앱과 서비스가 무엇인지 살펴보게 됐다. 애플이 데이터와 전혀 상호작용하지 않는 경우도 있고, 서버를 통한 데이터 액세스 없이 디바이스 기반의 결과만 제공하기도 하며, 다른 경우에는 어떤 데이터를 활용하고 있는지 공개해 사용자가 비활성화할 수 있게 하고 있다. 애플은 매우 개인적인 데이터와 관련해선 엔드 투 엔드 암호화(End-to-End Encryption, 이하 E2EE)를 적용한다. E2EE는 각 디바이스에 저장되는 암호화된 키에 의존하며, 애플은 이 키에 액세스할 수 없다. iOS, 아이패드OS, 맥OS가 디바이스 간에 정보를 동기화할 때 E2EE를 사용하며, 애플은 이 정보를 복호화할 수 없고, 사용자 역시 icloud.com을 통해 액세스할 수 없다. 사용자가 알아두면 좋을 주요 앱과 서비스가 데이터를 어떻게 수집하고, 애플이 데이터 보호를 위해 어떤 조처를 했는지 살펴본다.   애플의 디지털 매장 앱 스토어 등 애플의 디지털 매장에서 사용자의 행동은 개인화된 광고와 관련 상품 추천에 영향을 끼친다. 맞춤형 광고는 iOS에서는 설정 > 개인 정보 보호 > Apple 광고 > 맞춤형 광고에서 비활성화할 수 있다. 추천은 설정 > 계정 이름 > 미디어 및 구입 항목 > 맞춤형 추천에서 비활성화할 수 있다.    구매 신뢰 점수 애플은 사용자의 대략적인 통화 횟수나 이메일 송수신 횟수 등 디바이스 사용을 추적해서 특정 구매 활동이 합법인지를 판단해 사기를 방지한다. 하지만 이 점수는 사용자의 디바이스에서 측정되며, 애플은 측정에 사용되는 요소를 알기 위해 이를 분석할 수 없고, 일정 기간이 지나면 데이...

애플 보안 개인정보호 2021.06.17

구글 크롬 URL 간소화 실험 중단 “보안 문제 있어”

이달 초 크로미움(Chromium) 프로젝트의 버그 데이터베이스 속 메모에 따르면, 크롬에서 URL을 축소해 도메인만 보여주는 실험이 중단됐다. 6월 7일 버그 데이터베이스에 업데이트된 메모에 따르면, 크롬 팀의 소프트웨어 엔지니어 에밀리 스타크는 “이 실험은 관련 보안 메트릭스를 이동하지 않으므로 출시하지 않을 것”이라고 적었다.    스타크가 언급한 실험은 크롬과 마이크로소프트 엣지를 포함한 여러 브라우저의 오픈소스 프로젝트인 크로미움을 대상으로 한 것으로, 브라우저 주소줄에 표시되는 내용을 간소화하려는 시도다. 예를 들어, Computerworld의 기사 URL이 https://www.computerworld.com/article/3082024/google-android-chrome-os-flip-flops.html 라면, 여기서 computerworld.com이라는 합법적 도메인만 주소 표시줄에 표시하는 것이다. 이를 통해서 도메인에 교묘하게 알파벳을 바꾸거나 추가해서 사용자를 속이려는 시도를 줄일 수 있다고 생각한 것이다. 2020년 8월 구글은 이 실험을 공식화했는데, 스타크는 이 프로젝트를 맡았던 3명의 멤버 중 하나다. 스타크는 당시 “우리의 목표는 URL을 줄여 보여주는 것이 사용자가 악성 웹사이트를 방문하고 있는지 알게 하는 데 도움이 되어 피싱이나 소셜 엔지니어링 공격으로부터 사용자를 보호하는 것”이라고 밝혔다. 해당 실험은 2020년 10월 초에 출시된 크롬 86 버전부터 적용되어, 이후 버전 크롬에서 사용자는 직접 chrome://flags 옵션 페이지의 설정을 통해 URL 간소화를 활성화할 수 있었다.  당연히 기존 크롬 UI와 UX에 익숙한 사용자들의 반발도 있었다. 이에 따라 구글은 5월 25일에 공개한 크롬 91 버전에서는 URL에서 ‘http://’만 없애고, 설정 페이지의 URL 간소화 선택 옵션을 삭제했다. 한편, 다른 브라우저, 특히 사파리의 경우는 도메인만 보여주는 URL 정책을 ...

구글 크롬 URL 2021.06.16

'책임 공유 모델', 클라우드 보안을 이해하는 출발점

지난해 클라우드 도입은 기업 사이에 원격 근무를 서둘러 지원하려는 노력으로 인해 가속화됐다. 그러나 이러한 급속한 도입과 성장에도 불구하고 기업은 '책임 공유 모델(Shared Responsibility Model, SRM)'이라는 클라우드 핵심 개념을 여전히 제대로 이해하지 못하고 있다.   아직도 ‘클라우드는 안전한가?’라고 질문하는 비즈니스 리더가 많다. 이는 틀린 질문이다. 적절한 질문은 “보안 팀 및 조직으로서 우리는 클라우드의 우리측 영역 보안을 잘 감당하고 있는가?”일 것이다. 클라우드 데이터 침해/유출의 압도적 다수가 사용자에서 비롯된다. 가트너는 2025년까지 99%의 클라우드 보안 실패는 사용자의 잘못일 것이라고 예상했다. 모든 보안 종사자가 자신의 책임을 이해하는 것이 중요한 이유다.   책임 공유 모델이란 무엇인가 책임 공유 모델(Shared Responsibility Model, SRM)은 클라우드 사용자의 책임과 클라우드 서비스 공급자(CSP)의 책임을 설명한다. CSP는 클라우드‘의’ 보안, 다시 말해 물리적 시설, 유틸리티, 케이블, 하드웨어 등을 책임진다. 반면 사용자는 클라우드 ‘내’의 보안, 다시 말해 네트워크 제어 수단, ID 및 액세스 관리, 애플리케이션 구성 설정, 데이터 등을 담당한다. 이 책임 분할은 이용하는 서비스 모델에 따라 달라질 수 있다. NIST 클라우드 컴퓨팅 정의(NIST Definition of Cloud Computing)에 따르면, 클라우드 서비스 모델을 크게 3가지다.   인프라 서비스(Infrastructure as a service, IaaS): IaaS 모델 하에서, CSP는 물리적 데이터센터, 물리적 네트워킹, 물리적 서버/호스팅을 책임진다. 플랫폼 서비스(Platform as a service, PaaS): PaaS 모델에서 CSP는 예를 들어 운영체제의 패칭 및 유지 보수 등 더 많은 책임을 부담한다(패칭은 지금까지 사용자가 매우 힘들어하는 작업이고,...

책임공유모델 SRM 클라우드 2021.06.16

보안 현상금 행사 '버그 바운티' 시행 전 확인해야 할 5가지

현상금을 걸고 보안 취약점을 찾아내는 버그 바운티(bug bounty) 프로그램은 지난 몇 년간 상당한 변화를 겪었다. 규모와 업계를 불문하고 많은 기업이 이 버그 현상금 모델을 활용하고 있다. 이 프로그램을 진행하는 방식이 다양하고 저렴해지는 동시에 기업이 원하는 대로 결과물을 낼 수 있기 때문이다.   1990년대 중반에 작게 시작한 버그 현상금 프로그램은 주로 기업이 제공하는 방식이다. 공개적으로 또는 개인적으로 초청된 윤리적 해커가 보안 취약성을 찾아내 알려 주면 인정과 보상을 받을 수 있다. 버그 현상금 프로그램의 목적은 보안 취약성을 발견, 해결해 일반에게 알려지거나 사이버 범죄자에 의해 악의적으로 악용되는 일을 미리 방지하는 것이다. 기업이 버그 현상금 프로그램에 투자하면 보안 업무 부담을 크게 줄일 수 있다. 버라이즌 미디어(Verizon Media)의 제품 보안 책임자 션 포리스는 “해당 프로그램에 함께 작업하는 연구자들의 전 세계적인 대규모 네트워크뿐만 아니라 연구자와 직원 간의 공동체 의식도 자연스럽게 형성된다. 일부 해커의 기술과 재능은 믿기지 않을 만큼 높기 때문에 기업의 보안 태세를 강화하는 창의적이고 인상적인 결과를 낼 수 있다”라고 말했다. 그러나, 버그 현상금 시장이 커지고 기업 내부에 보안 역량이 축적되면서 성공적인 버그 현상금 프로그램을 시작하는 것이 점점 더 복잡하고 미묘한 일이 되고 있다. 기업이 버그 현상금 프로그램을 통해 현실적인 도움을 얻으려면 다음 5가지 핵심 질문에 답해야 한다.   1. 절차를 내부적으로 관리할 것인가 아니면 그 일부나 전부를 외주에 맡길 것인가 무엇보다도 기업은 이용 가능한 버그 현상금 옵션을 파악해야 한다. 기본적으로 버그 현상금 옵션은 사내 아니면 외주 두 가지로 나뉘지만, 두 가지 사이에는 다소 겹치는 영역이 있다. 사내 버그 현상금 프로그램은 다국적 대기업이 선택하는 경우가 많은데 문서 형식으로 자유롭게 제출 가능하며 현상금 절차를 내부에서 관리한다. 외주 버그 ...

버그바운티 bugbounty 보안 2021.06.10

하이브리드 멀티 클라우드 여정을 위한 보안 운영 전략

뉴노멀시대 기업의 디지털 혁신이 가속화됨에 따라 클라우드 환경에서의 보안 운영이 중요한 보안 과제로 떠오르고 있습니다.   본 세션에서는 하이브리드 멀티 클라우드 여정을 위한 보안 운영 전략과 함께 기존 보안 팀과 솔루션을 보다 신속하게 통합하여 위협에 대한 심층적인 통찰력을 제공하기 위한 차세대 지능형 보안 플랫폼에 대해 보다 자세히 알아봅니다. <20분>

멀티클라우드 보안 하이브리드 2021.06.02

애플 ID 계정에서 '신뢰하는 전화번호'를 변경·삭제하는 방법

애플의 이중인증 시스템을 활성화하면 사용자가 애플 ID 계정에 로그인할 때 암호 외에 아이폰, 아이패드, 맥 등 신뢰하는 기기나 신뢰하는 전화번호로 전달받은 코드까지 추가로 입력해야 한다. 이때 신뢰하는 기기는 비교적 관리하기 편리하다. 같은 아이클라우드용 애플 ID로 로그인된 모든 기기이기 때문이다. 반면 신뢰하는 전화번호는 상황이 조금 다르다. 필자는 그동안 사용하는 휴대폰 외에 다른 휴대폰 번호를 신뢰하는 전화번호로 등록하라고 조언했다. 당연히 가족이나 배우자 등 충분히 믿을 수 있는 가까운 사이여야 한다. 기기를 도난당하거나 완전히 망가졌을 때, 혹은 모든 기기를 사용할 수 없는 상황에서 계정을 인증하는 최후의 수단이기 때문이다. 하지만 기업의 경우 상황이 조금 다를 수 있다. 실제로 최근 필자는 더는 신뢰할 수 없거나 함께 일하지 않는 상황이 돼서 기존에 등록했던 '신뢰하는 전화번호'를 삭제해야 하는 상황을 접하기도 했다. 신뢰하는 전화번호를 삭제하는 방법은 간단하다. 하지만 그 전에 신뢰하는 계정에 접속할 수 있는지부터 확인해야 한다. 자칫 잘못하면 내가 접속하지 못하는 상황이 될 수도 있다.   애플 ID 웹사이트에 로그인할 때 사용할 수 있는 신뢰하는 기기를 가졌는지 쉽게 확인할 수 있다. 구체적인 계정 정보를 보려고 할 때, iOS와 아이패드OS, 맥OS와 이를 지원하는 사파리에서 저장된 신원 정보를 사용하지 않으면, 항상 이중인중 코드가 필요하기 때문이다. 누군가 나의 계정에 로그인하려 하면 모든 신뢰하는 기기에서 알림을 받게 된다. 작은 크기의 지도 미리보기와 함께 허용할지 허용하지 않을지 묻는 버튼 2개가 나타난다. 이런 화면이 나타났다면 '허용'을 클릭 혹은 탭한 후 애플 ID 사이트의 적절한 지역에 나타난 코드를 입력하면 된다. 이제 로그인을 누르면 정상적으로 진행이 된다. 어떤 기기에서도 허용/허용하지 않음 메시지가 나타나지 않으면, 어딘가 문제가 있는 것이다. 예를 들면 아이폰과 아이패드, 맥에 로그인할 때 사용...

신뢰하는전화번호 보안 애플ID 2021.05.31

IDG 블로그 | 클라우드 보안 문제 대부분이 시작되는 곳

포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다.    요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다.  하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다.  클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다.  제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다. 사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다.  지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키...

제로트러스트 실수 침해 2021.05.31

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.