Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보호

미 정부가 만든 ‘개발자가 알아야 할 SW 공급망 보호 가이드' 핵심 살펴보기

클라우드 네이티브 컴퓨팅 재단(CNCF)이 공개한 ‘공급망 침해 카탈로그’에서 볼 수 있듯이, 소프트웨어 공급망에 대한 공격은 업계 전반에 걸쳐 증가하는 추세다. 구글, 리눅스 재단, 오픈SSF 등 IT 업계 주요 기관은 이미 1년 전부터 미국 국립표준기술연구소(NIST) 같은 공공 기관과 함께 공급망 보안과 관련한 가이드를 공개하기도 했다.   여기에 한발 더 나아가 미국 국가안전국(NSA)은 사이버보안 및 인프라 보안국(CISA), 미국 국가정보장실(ODNI)과 함께 ‘소프트웨어 공급망 보호:개발자를 위한 권장 사항 가이드(Securing the Software Supply Chain: Recommended Practices Guide for Developers)’라는 별도의 문서를 발간하며, 적극적으로 공급망 보호에 힘쓰고 있다. NSA는 해당 가이드를 발표하면서 “안전한 소프트웨어를 만드는 데 있어 개발자의 역할을 강조하고, 개발자가 정부 및 업계 권장 사항을 채택하도록 돕기 위해 가이드를 마련했다”라고 설명했다. NSA는 향후 개발자 뿐만 아니라 공급자와 소비자에게 초점을 맞춘 공급망 보호 가이드도 추가로 공개할 예정이다. 개발자에 대해서만 다룬 이번 가이드는 다음과 같은 세 부분으로 구성된다.   소프트웨어 개발자를 위한 보안 가이드 소프트웨어 공급자 고려 사항 소프트웨어 고객 권장 사항   개발자, 소프트웨어 공급자, 고객의 역할 가이드는 먼저 개발자, 공급자, 고객이 전체 소프트웨어 공급망 생태계에서 어떤 역할을 담당하고 있는지 설명한다. 다음 이미지에서 볼 수 있듯이, 세 주체는 각각 해야 하는 보안 활동이 있다. 역할에 따라 보안 테스트와 무결성 검증과 관련된 안전한 소프트웨어 개발 및 구성 등을 진행한다.    안전한 소프트웨어란 안전한 소프트웨어 개발 수명주기(SDLC)를 갖춘 기술을 말하는데, NSA는 미국 국립표준기술원(NIST)의 ‘안전한 소프트웨어 개발 프레임워...

소프트웨어 공급망 보호 2022.09.19

랜섬웨어로부터 백업을 보호하는 방법

랜섬웨어는 데이터에 대한 가장 큰 위협이다. 따라서, 악성 행위자들이 랜섬웨어 공격을 실행할 때 사용자의 기본 데이터와 더불어 사용자의 백업 데이터를 암호화하지 않도록 조치하는 것이 필수적이다. 랜섬웨어 공격으로 백업 데이터마저 암호화되어 버리면 사용자 입장에서는 몸값을 지불하지 않을 수 없게 되며 몸값을 받으면 고무된 악성 행위자들이 다시 랜섬웨어 공격에 나서게 될 것이기 때문이다. 몸값을 지불할 필요가 없게 하기 위한 핵심은 시스템이 랜섬웨어로 암호화되더라도 복원할 수 있도록 백업을 갖추는 것이다. 백업을 랜섬웨어로부터 보호하기 위한 핵심은 생산 시스템과 백업 시스템 사이에 장벽을 최대한 많이 배치하는 것이다. 무슨 일이 있어도 피해야 할 것은 보호하고자 하는 것과 같은 데이터센터 내 윈도우 서버상의 디렉토리에 유일한 백업 하나를 그냥 두는 것이다. 이 문장의 핵심 부분인 ‘윈도우’, ‘같은 데이터센터’, ‘디렉토리에 두는 것’ 등을 자세히 살펴보자.     윈도우 보호 대다수의 랜섬웨어 공격은 윈도우 호스트를 대상으로 한다. 일단 호스트 하나가 감염되면 사용자 컴퓨터 환경 내 다른 윈도우 호스트로 퍼져나간다. 그런 식으로 충분히 많은 호스트에 랜섬웨어가 퍼지고 나면 공격자는 암호화 프로그램을 작동시킨다. 그러면 사용자의 세계가 전체가 갑자기 멈춰버린다. 따라서, 무엇보다도 백업 서버를 윈도우 아닌 다른 것으로 사용해야 한다. 안타깝게도 인기 있는 백업 제품은 주로 윈도우에서 실행되는 것이 많다. 그나마 다행한 것은 리눅스 대안을 제공하는 것도 많다는 것이다. 비록 기본 백업 소프트웨어는 반드시 윈도우 상에서 실행해야 한다고 하더라도 리눅스 미디어 서버 옵션이 갖춰져 있을 수도 있다. 미디어 서버가 핵심이다. 사용자가 보호하려고 하는 데이터가 있는 곳이 미디어 서버이기 때문이다. 리눅스 기반 미디어 서버를 통해서만 접근 가능한 백업은 윈도우 기반 서버에 대한 랜섬웨어 공격이 침범할 수 없다. 리눅스 기반 미디어 서버 뒤에는 주기적...

랜섬웨어 백업 보안 2021.02.17

업데이트 : 안드로이드와 iOS 기기를 어린이의 손으로부터 보호하는 두 가지 방법

어린아이는 어찌된 영문인지 비싸고 귀중한 물건일수록 잘 집어 든다. 필자의 15개월된 딸은 침이 잔뜩 묻은 손으로 아이패드를 만지는 것을 무척 좋아한다. 게다가어린이용 앱은 쳐다보지도 않고 바로 사파리와 메일 앱을 실행한다. 아이가 있는 집을 위한 케이스도 있지만 그런 케이스는 크고 거추장스러운 경우가 많다. 게다가 “홈” 버튼을 잠그는 기능이 있다 해도 필자가 아는 15개월 된 아이들은 모두 10초만에 스마트폰 케이스의 잠금 장치를 풀어버린다. 안드로이드와 iOS 기기 모두 어린이 보호 기능이 있지만 단순히 스위치 하나를 켜는 간단한 동작으로 활성화할 수는 없다. 한참 동안 웹과 메시징, 앱 구매, 기타 성인용 기능을 찾아 일일이 차단해야 한다. 나중에 다시 활성화할 때도 똑같은 단계를 거쳐야 한다. 아예 아이 전용으로 사용하는 구형 스마트폰이나 태블릿이라면 한 번 설정해두고 잊으면 되지만 본인이 사용하는 기기라면 일일이 잠갔다 푸는 과정을 반복하기란 쉽지 않다. 그 대신 단말기를 일시적으로, 신속하게 잠그는 두 가지 방법(하나는 안드로이드, 다른 하나는 iOS 사용자용)이 있다. 설정 메뉴로 번거롭게 들어가지 않고도 아이의 접근을 효과적으로 차단하는 방법이다. 안드로이드 : 화면 고정하기 최신 안드로이드(특히 안드로이드 5.0 롤리팝 이상을 구동하는 제품)에는 앱을 화면에 고정시키고, 버튼 조합을 올바르게 누르기 전까지는 홈 화면으로 가거나 뒤로가기, 멀티태스킹 제어를 할 수 없도록 하는 기능이 있다. 우선, 설정 > 보안으로 들어가서 ‘화면 고정’ 옵션을 활성화한다. 그 다음 고정할 앱을 실행하고, 화면의 아래 오른쪽에 있는 멀티태스킹 버튼(미리보기 버튼)을 누른다. 멀티태스킹 화면이 나타나면 앱 카드를 스크롤한 다음 초록색 고정 버튼을 탭한다. 이제 휴대폰이나 태블릿을 아이에게 주어도 된다. 다른 앱으로 전환할 수 없기 때문에 안전하다. 앱 고정을 해제...

어린이 ios 안드로이드 2017.05.17

씨디네트웍스의 웹사이트 보호 서비스

네트워크 공격을 비롯하여 감염 도구(예, 웜바이러스) 및 공격 도구의 수와 규모 및 그 확산 속도가 급증하면서 인터넷 연결 애플리케이션과 웹사이트 등 온라인 자산의 보안 문제는 필히 해결해야 할 비즈니스 과제가 되었습니다. 고 위험성 공격은 앞으로도 계속 되겠지만 끊임 없는 웹사이트 공격의 수위는 규모나 지능적인 면에서 점점 강력해지고 있습니다. 따라서 서비스 사업자 선정 시 이러한 위협 요소에 대한 보안 서비스 지원 여부 확인은 반드시 필요합니다. 본 백서에서는 사이트 가용성과 유용성을 확보하기 위해 씨디네트웍스가 지원하는 보안 대책에 대해 살펴보도록 하겠습니다. 주요 내용 위협 요소 씨디네트웍스의 보안 서비스 예방 / 감지 / 교정 타사 디바이스(써드파티 디바이스) 및 서비스와의 호환성 씨디네트웍스에 대한 공격 향후 로드맵  

웹사이트 씨디네트웍스 보호 2014.10.24

“스스로를 지켜라” 최고의 암호 보호 툴

보안의 시작은 암호다. 웹 서비스의 어디에나 사용하고 있는 암호가 하나 뚫리면 우후죽순 개인 정보가 털리기 마련이다. 네트워크월드는 6가지 암호 보호 툴을 살펴보면서 장단점을 찾아보았다. 여섯 가지 모두 암호화된 형태로 정보를 저장하는 마스터 암호 금고 방식을 채택하고 있고, 한 가지를 제외한 나머지 제품은 모두 복잡한 암호를 생성해 로그인 절차에 투입할 수 있어서, 사용자들은 스스로 어려운 암호를 만들어낼 필요가 없다. 아래에서 그 리뷰를 소개한다. editor@itworld.co.kr

암호 비밀번호 보안 2013.09.05

하둡 내 빅 데이터 보호 방법

빅 데이터는 조직들이 자신의 비즈니스, 고객, 환경에 있어 이전까지는 상상만 해왔던 수준까지 이해도를 높여줄 것을 약속한다.   비즈니스가 데이터 기반의 서버들로 전환되고, 기업이 보유한 데이터가 경쟁우위를 점할 주요요인이 되어가면서, 빅 데이터가 가진 잠재력은 엄청나다. 그 결과, 데이터와 인프라 모두의 보안이 그 어느 때보다 중요해졌다.   잃어버리면 오히려 독이 되는 빅 데이터 비교우위를 제공하는 데이터의 경우, 그 보안은 명백하다. 그 데이터를 잃어버리거나, 경쟁업체의 손에 들어가게 되면 자신만의 경쟁우위는 사라진다. 더 나쁜 점은, 이점이 사라지는 것에서 그치지 않고 골치거리가 될 수도 있다.   포레스터 리서치의 표현을 빌리면, 많은 경우에서 조직들은 이런 데이터들을 '독성 데이터(toxic data)'로 받아들일 수 있다.    예를 들어, 이용자 행동에 대한 통찰을 얻는데 사용될 수 있는 데이터- 누가 어느 기지국에 로그온하고, 그들이 얼마나 오랫동안 온라인 상태를 유지하고, 얼마나 많은 데이터를 사용하며, 그들이 이동 중인지 아니면 서있는 지 등-들을 수집하는 이동통신업체를 떠올려보라.   경쟁 이동통신업체 역시 막대한 양의 이용자 생성 데이터를 갖고 있을 것이다. 신용카드 번호, 주민등록번호, 구매 습관 데이터, 이용 패턴 등 인간이 스스로 선택한 경험에서 나온 모든 정보들이 여기 해당된다.    이런 데이터의 상관관계를 보여주고 이것에서 추론을 얻는 능력은 소중하지만, 그 연관된 데이터가 조직 밖으로 흘러나가 다른 누군가의 손에 들어가면 해당 개인과 조직 모두에게 치명적일 수 있기 때문에, 그 반대 급부 또한 막대하다.   빅 데이터, 컴플라이언스와 제어권을 잊지 말라 미국 텍사스 오스틴 소재 데이터 보안 솔루션 업체 가장(Gazzan...

보안 빅 데이터 보호 2012.11.13

자신을 해킹으로부터 보호하는 간단한 팁

와이어드 뉴스 매트 호난 기자는 지난 8월 자신의 '디지털 라이프'를 해킹 당했다. 아니 사실상 쓸려나갔다는 표현이 더 적당하다. 그러나 호난 기자가 밝히는 가장 두려웠던 경험은 중요한 데이터를 잃어버린 것이 아니다. 해커가 자신의 디지털 계정을 공격한 방법이었다고.   해커는 소셜 엔지니어링 악성코드를 이용해 호난으로 가장해 아마존과 애플의 고객 지원부서에서 개인정보의 키 비트(Key bits)를 빼냈다. 그리고 구글 계정을 잠궈 호난이 접속 못하도록 차단하고, 멋대로 트위터를 사용하고, 애플 ID에 대한 관리 권한을 얻고, 결국 컴퓨터 기기를 지워버렸다.   잠시 동안이지만 '인생을 파멸시킨 것'이다.   해커가 신분 도용이나 디지털 데이터 해킹을 통해 인생을 망친다? 아마 이런 목적을 달성하기가 쉽지 않을 것이라고 생각할 것이다. 그러나 실상은 그렇지 않다. 인생을 망치는 행위는 생각하는 것보다 훨씬 쉽다.   해킹이 쉬운 목표인가? 패스워드와 개인 데이터 관리 업체인 대시래인(Dashlane)이 최근 실시한 설문 조사 결과에 따르면, 미국 온라인 사용자 대부분은 자신들이 알지 못하는 사이 개인 데이터가 온라인에서 사용될까 걱정을 하고 있는 것으로 밝혀졌다.    조사 대상 성인 2,208명 가운데 약 88%는 이를 '다소 걱정한다'고 대답했으며, 29%는 '대단히 많이 걱정한다'고 응답했다. 또한 5명 가운데 3명은 자신이 해킹에 취약한 대상이 아닌지 우려한다고 밝혔다.   시만텍 보안대응 부문 그룹장 존 해리슨은 "사람들이 당연히 이런 부분을 걱정해야 한다. 자신이 생각하는 것보다 더 많이 인터넷에서 공유를 하고 있기 때문"이라고 말했다.   소셜 네트워크와 공공 기록, 아주 중요한 보안 기록에 대한 ...

해킹 보호 신용조회 차단 2012.09.26

멋지고 이상하고 비범한 보안장치 열전

여기서 소개할 제품은 흔하디 흔한 보안 제품이 아니다. 만약 정부의 스파이나 사법기관, 군인으로 일하고 있다면 무엇을 구매하겠는가? 아마도 최근 워싱턴에서 열린 GovSec 컨퍼런스에서 선보인 이런 제품들을 구매하고 싶을 것이다.  editor@itworld.co.kr

스파이 추적 방범 2012.04.12

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.