Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

제로트러스트

잼프의 제크옵스 인수로 살펴본다…'스스로 보호하는 기업 모바일 보안'

애플 기기 관리 전문업체 ‘잼프(Jamf)’가 보안회사 ‘제크옵스(Zecops)’를 인수했다. 이 인수가 왜 중요하며, 엔터프라이즈 모바일 보안에는 어떤 의미가 있을까?    경계를 벗어난 보안 이 질문의 답을 얻으려면 모바일 기기의 확산으로 기존 보안 도구의 효과가 예전보다 훨씬 더 낮아진 상태에서, 보안이 어떻게 발전해 왔는지 생각해보자. 이제 모바일 기기는 전 세계 웹사이트 트래픽의 59%를 차지한다. 하지만 가장 최근의 버라이즌 모바일 시큐리티 인덱스(Verizon Mobile Security Index)에 따르면 절반가량(45%)의 기업이 지난 12개월 동안 모바일 기기와 관련된 침해를 겪었다고 말했다.  기업의 방화벽은 ‘벽 내부’만 보호하며, 회고적(retrospective) 맬웨어 검사기는 기본적으로 공격이 발생하기 전까지는 감지하지 않는다.  전통적인 보안 모델은 이제 기기, 사용자, 위치, 심지어는 애플리케이션 기반까지 보안을 적용하는 엔드포인트 보안의 개념으로 대체됐다. 오늘날 보안 업계의 유행어인 제로 트러스트, MFA, 암호 없는 보안 등은 모두 새로운 접근 방식의 구성 요소다.  기기가 스스로를 보호할 수 있을까?  이 밖에 또 다른 전술은 애플의 시큐어 인클레이브(Secure Enclave)처럼 기기 자체의 보안 보호를 발전시키려는 시도다. 이를테면 공격을 받았는지 인식할 수 있을 정도로 스마트한 시스템을 개발하는 것. 하지만 이러한 머신 인텔리전스 셀프 인식을 제공하려면 먼저 원격 측정 데이터의 형태로 정보에 액세스할 수 있어야 한다.  잼프에는 이미 ‘잼프 프로텍트(Jamf Protect)’라는 맥용 보안 솔루션이 있다. 위협을 감지하고, 컴플라이언스를 모니터링하며, 몇몇 보안 사고에 자동으로 대응할 수 있다. 지난 2019년 출시 당시 보안 보호의 미래를 보여다. 이어 제크옵스 인수는 잼프가 이제 아이폰과 아이패드에도 유사한 보호 기능을 제공할 역량을 갖췄...

보안 애플 잼프 2022.11.22

'접근 권한 관리의 기본' MFA 솔루션 제대로 고르기

다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.     오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법의 종류 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 모든 공격은 사용자 이름과 암호 같은 자격 증명을 겨냥한다. 아직도 ID와 비밀번호만 사용하는 것은 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다.  보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다.  현대 인프라와 웹 기반 비즈니스 애플리케이션으로 보안 상황은 훨씬 더 복잡해졌다. 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워진 것이다. MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다.    패스워드리스와 제로 트러스트&...

MFA 2FA 다중인증 2022.10.24

제로 트러스트 여정을 방해하는 레거시 기술에 현명하게 대처하는 방법

기업이 제로 트러스트 보안 모델을 적극적으로 수용하면서 레거시 기술이 방해 요소가 되고 있다. 실제로 최근 조사에 따르면, 기존 인프라의 교체 혹은 재건이 제로 트러스트 구현에 있어 가장 걸림돌로 꼽혔다.   제너럴 다이내믹스(General Dynamics)는 2021년 미국 대통령 행정명령에 따라 제로 트러스트 모델 채택이 의무화된 미국 연방, 민간, 방위 기관의 IT 및 프로그램 관리자 300명을 대상으로 설문 조사를 실시해 '2022년 제로 트러스트 조사 보고서(2022 Zero Trust Research Report)'를 발행했다. 보고서에 따르면, 응답자의 58%는 필요 기술의 결정(50%), IT 직원의 전문 기술 부족(48%), 비용(46%)보다 레거시 기술과 관련한 문제를 가장 먼저 지적했다.  레거시 기술 문제에 직면한 것은 정부 기관만이 아니다. 사이버보안 소프트웨어 및 서비스 업체 옵티브(Optiv)의 '2022년 제로 트러스트 전략 보고서(Zero Trust Strategies for 2022)'에 따르면, 사이버보안 리더들 역시 레거시 기술을 제로 트러스트 로드맵을 어렵게 하는 문제로 꼽았다.  다양한 업계를 아우르는 150명의 응답자 중에서 약 44%는 제로 트러스트를 지원하지 않는 레거시 기술이 너무 많다는 점을 주요 장애물로 언급했다. 제로 트러스트 발전을 방해하는 2번째 요소였다. (첫 번째 요소는 47%가 언급한 '제로 트러스트의 다양한 구성요소에 내부 사일로/이해관계자가 너무 많은 점'이었다.) IT 컨설팅 업체 부즈 알렌 해밀턴(Booz Allen Hamilton)의 선임 사이버 솔루션 아키텍트인 임란 우마도 최신 보안 프레임워크 채택을 방해하는 레거시 기술의 문제점을 잘 인지하고 있었다. 미국 국방부, 연방 기관, 인텔리전스 커뮤니티를 위해 전사적으로 제로 트러스트 이니셔티브를 진두지휘하는 우마는 "레거시 기술은 대체로 매우 정적이다. 정책 의사결정 실행에 필요한 동적인 규칙 집합을 처리...

제로트러스트 ZTNA 2022.10.14

CI/CD 파이프라인을 보호하는 모범 사례 5가지

엔지니어의 사고는 문제 이해하기, 해결책 만들기, 그리고 프로덕션 환경에 견고하고 안전한 구현을 배포할 방법 알아내기 순서로 흐른다.   일단 해결책이 구현된 이후 보안 모범 사례를 집어넣으면 복잡하고 자원이 많이 든다.  또한 혁신을 빠르게 내놔야 한다는 압박으로 인해 데브옵스 팀이 보안 부채를 떠안고 릴리즈하는 사례가 빈번하게 발생한다. 최선의 데브섹옵스 모범 사례는 지식, 권장 사항, 보안을 개발 프로세스의 “왼쪽으로 옮겨(shift left)” 애자일 개발 팀이 마이크로서비스, 애플리케이션 또는 데이터베이스에 바로 보안을 구현해 넣도록 하는 것이다.   그러나 지속적 통합, 지속적 제공(CI/CD) 파이프라인은 어떻게 해야 할까? 코드를 빌드, 통합, 패키징해서 환경에 제공하기까지의 수작업 단계가 CI/CD 도구에 스크립팅되어 있을 때 이 자동화는 배포의 안정성을 높여준다. 견고한 CI/CD 구현을 갖춘 데브옵스 팀은 그 다음 단계로 프로덕션 환경을 위한 지속적 배포까지 고려하는 경우가 많다. 따르는 위험은 더 높지만 더 자주 배포할 수 있게 된다.   안전하고 견고한 CI/CD 파이프라인을 구축할 때 필요한 권장 사항과 모범 사례를 확인해 보자.   1. 모범적인 보안 개발 방법 구축 캡제미니(Capgemini)의 애자일 및 데브옵스 리더인 쿨비르 라이나는 가장 중요한 일을 가장 먼저 해야 한다면서 “CI/CD 파이프라인에서 자동화를 다룰 때 보안과 품질은 코드에 내장해야 하며 품질 관리 단계로 미루면 안 된다. 개발자가 적절히 코드를 린팅하기 위해서는 개발자의 통합 개발 환경에 통합된 보안 도구가 필요하다”라고 말했다.   린팅은 코딩 스타일 편차와 안전하지 않은 관행을 식별하는 도구에서 수행하는 프로세스다. 고급 정적 애플리케이션 보안 테스트(SAST) 도구는 버퍼 오버플로우, SQL 주입 결함을 비롯한 여러 문제점을 찾을 수 있다. 라이나는 SAST를 지속적 통합에 통합할 것을 권장한다. ...

AI옵스 보안자동화 CICD 2022.09.22

“기업 자산을 보호하는 보이지 않는 경계” SDP의 이해

사이버 공격을 차단하려는 방편으로 인터넷에 연결된 리소스 주변에 보이지 않는 경계선을 그리는 기업이 늘고 있다. 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)라고 하는 이 기술의 기본 개념은 비교적 단순하다. 서버와 라우터, 프린터 및 기타 엔터프라이즈 네트워크 구성요소 주변에 가상의 방벽을 설치하는 것이다.   SDP의 목적은 유연한 소프트웨어 기반의 경계 뒤에서 네트워크를 보호하는 것이다. IT 및 비즈니스 컨설팅 업체 캡제미니 아메리카(Capgemini Americas)의 수석 SD-WAN 및 SASE 아키텍트인 론 하웰은 “더 강력한 보안과 높은 유연성, 일관성 등이 SDP의 이점”이라고 말했다. 전용 서버에 위치하는 기존 모놀리식 앱과 달리 둘 이상의 서버에 위치할 수 있는 마이크로서비스로 만들어진 애플리케이션이 등장하면서 보안 문제가 더욱 복잡해졌다. SDP는 바로 이런 문제에 대처한다. VM웨어의 글로벌 보안 전문가 채드 스키퍼는 “최근 애플리케이션은 더욱 모듈화되어 이제 기업의 데이터 센터 또는 퍼블릭 클라우드의 여러 워크로드 유형과 마이크로서비스로 구성된다”라고 설명했다. 권한 없이 볼 수 없다 비즈니스 자문 업체 딜로이트의 사이버 및 전략적 위험 부문 상무 이사 챌런 아라스는 “SDP 프레임워크는 일반적으로 내부 네트워크의 서버 또는 노드를 읽기 어렵게 만든다. SDP는 ID를 비롯한 입증 방법을 사용해 최소 권한 혹은 액세스 필요성에 따라 네트워크 노드와 서버에 대한 가시성과 연결을 허용한다”라고 말했다. 구체적으로 SDP는 외부에서 인프라 요소를 볼 수 없도록 한다. 인프라가 클라우드에 있든 온프레미스에 있든 라우터, 서버 프린터 같은 하드웨어를 비롯해 엔터프라이즈 네트워크와 인터넷에 동시에 연결된 거의 모든 요소가 승인되지 않은, 권한 없는 사용자에게는 보이지 않는다. 기술 연구 자문업체 ISG의 사이버보안 부문 수석 컨설턴트 존 헨리는 “먼저 인증한 다음 액세스를 허용하므로 무단 사용...

SDP ZTNA 제로트러스트 2022.09.15

ABM이 제로 트러스트를 중심으로 응집력 있는 보안 프로그램을 구축한 방법

스테파니 프랭클린-토마스는 2021년 초 설비 관리 솔루션 제공업체 ABM 인더스트리(ABM Industries)에 초대 CISO로 합류했다. 프랭클린-토마스는 당시 회사가 적절한 구성요소를 많이 갖춘 보안 접근방식을 취하고 있었음을 발견했다. 구성요소를 많이 갖추었다는 점은 긍정적이었지만, 그 요소들이 완전히 조립된 상태가 아니었다는 점은 부정적이었다. 그 결과 회사의 보안 태세는 미흡했다. 프랭클린-토마스는 “다들 잘하고 싶어 하는 것은 분명한데 프로그램이 없었다. 프로그램의 조각들은 존재했지만 함께 연결되지 않아서 총체적인 면이 부족했다”라고 지적했다.     이에 프랭클린-토마스는 이런 시나리오를 바꾸는 일에 착수했다. 응집력 있는 보안 프로그램을 만들 수 있도록 다양한 조각을 연동할 뿐만 아니라 빠진 조각을 파악해 추가해 넣는 계획을 추진했다. 프랭클린-토마스는 “기존의 것은 ‘우연한 보안’이었다. 올바른 작업이 진행되고 있었지만, 완전한 프로그램은 없었다. 훨씬 계획적인 접근방식이 필요했다”라고 설명했다.   부임 후 1년 반이 된 프랭클린-토마스는 그동안 ABM을 위한 본격적인 보안 프로그램을 시행했다. 제로 트러스트 보안 모델을 중심으로 사람, 프로세스, 기술이 혼연일체가 되어 회사를 효과적이고 효율적으로 방어/보호하며 궁극적으로 비즈니스를 가능하게 하는 보안 프로그램이었다. ABM의 제로 트러스트 프로젝트로 프랭클린-토마스는 비즈니스 가치와 사고 리더십을 인정 받아 2022년 CSO50 상(The CSO50 Awards)을 수상했다.   프랭클린-토마스는 “이제 모두가 같은 방향으로 노를 젓고 있다”라고 말했다. 완벽한 재료, 완성되지 않은 요리 신임 최고 보안 책임자 겸 SVP로 부임한 프랭클린-토마스의 최우선 순위는 보유한 구성요소, 즉 구비된 보안 요소와 누락된 보안 요소를 파악하는 것이었다. 가장 먼저 NIST 평가를 실시했다. 통제 매트릭스를 기준으로 기존의 보안 정책과 절차, 기...

제로트러스트 보안 인터뷰 2022.08.23

제로 트러스트를 구현할 때 반드시 피해야 할 5가지 실수

지난 2년 동안 많은 기업이 원격 근무자, 협력 업체, 서드파티 업체가 클라우드와 온프레미스 환경의 데이터에 접근하는 더 나은 방법을 모색했다. 이런 상황에서 주목받기 시작한 것이 바로 제로 트러스트(Zero Trust) 보안이다.   제로 트러스트 보안을 트렌드로 이끈 요인은 매우 다양하다. 갈수록 정교해지는 사이버 위협, 클라우드 도입의 가속, 코로나19 팬데믹으로 인한 원격 및 하이브리드 근무환경 도입 등이 대표적이다. 많은 기업이 경계 안에 있는 모든 것을 암묵적으로 신뢰하는 전통적인 보안 모델이 경계가 존재하지 않고 데이터와 사용자가 갈수록 탈중앙화되는 오늘날 환경에 적합하지 않다는 사실을 깨달았다. 미국에서는 2021년 5월 바이든 행정부가 연방 기관에 제로 트러스트 보안을 구현하라는 행정 명령을 내리면서 제로 트러스트 보안에 대한 연방 기관의 관심이 커졌다. 보안 업체 일루미오(Illumio)의 위탁을 받아 포레스터 리서치가 실시한 최근 조사에 따르면, 응답자의 2/3가 2022년 제로 트러스트 예산을 높였다고 답했다. 응답자 중 절반 이상(52%)이 자사 제로 트러스트 프로그램이 중대하고 전사적인 이점을 가져올 것이라고 답했고, 50%는 클라우드 마이그레이션이 더 안전해질 것이라고 전망했다. 사이버보안 업체들은 큰 기회를 감지하고 ‘제로 트러스트’라는 단어가 붙은 제품들을 서둘러 내놨다. 리서치 업체인 IT하베스트(IT-Harvest)가 약 2,800곳의 업체의 웹사이트를 대상으로 시행한 비공식 조사에 따르면, 조사 대상 사이트 중 238곳이 제로 트러스트를 유독 강조하는 것으로 나타났다. IT하베스트의 최고 연구 애널리스트 리처드 스타이넌은 “백악관과 CISA가 제로 트러스트 접근법으로 전환하라는 가이드를 발표한 후부터 모두가 이 가이드에 발맞추고 싶어 하는 것”이라고 말했다.  제로 트러스트를 둘러싼 과대 선전은 상당한 혼란을 초래했다. 급기야 제로 트러스트라는 개념을 처음 소개했던 포레스터 리서치는 2022년 초 ...

제로트러스트 ZTNA 2022.07.14

sw 개발자가 공급망 보안에서 던져야 할 질문 "너무 많이 신뢰하지는 않는가?"

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 2022.07.14

"설명할 수 없으면 탐지도 의미 없다" 풀 패킷 분석으로 완성하는 차세대 NDR - Tech Summary

오늘날의 보안 환경은 이전과 완전히 다르다. 기업 외부에서 내부로의 공격은 정교해졌고, 이후 공격자가 기업 내부에서 내부로의 확산 공격을 활발하게 감행하고 있다. 위협 그룹은 더 조직화, 전문화됐고, 이들의 랜섬웨어 공격을 당하면 기업은 금전 피해 외에 정보 탈취까지 걱정해야 한다. 반면 기업 내부는 다양한 경로와 네트워크의 복잡성 때문에 기본적으로 관리가 까다롭고, 여전히 신뢰구간으로 여겨져 충분한 모니터링과 분석이 이뤄지지 않고 있다. 이런 상황에서는 단일 보안 취약점에 대한 이벤트 분석만으로 위협 그룹 공격의 전체 윤곽을 파악할 수 없다. 네트워크에서 트랜잭션된 모든 콘텐츠와 데이터에 대한 분석이 가능해야 실제적 대응이 가능하다. 바로 'NDR(Network Detection and Response)'이다. 최근의 위협 동향과 NDR의 정의를 알아보고, 탐지(Detection), 헌팅(Hunting), 포렌식(Forensic), 대응(Response) 등 NDR의 4가지 핵심 기능과 솔루션 선택 기준 등을 살펴보자. 주요 내용 - 외부-내부 공격 정교해지고, 내부-내부 공격 ‘확산일로’ - 이중 갈취로 더 악랄해진 랜섬웨어 - 가장 효과적인 보안 출발점은 ‘제로 트러스트’ - ‘설명할 수 있는 보안’ NDR의 4가지 핵심 기능 - IP만 입력하면 ‘확정적 증적’ 확인 - OT망 운영 기업이라면 NDR 도입 필수 - 보안 이벤트 의미를 설명할 수 있는 솔루션 선택해야

풀패킷분석 NDR 보안 2022.06.03

데이터 센터에서 제로 트러스트를 달성하기 위한 실질적인 방법

제로 트러스트 이니셔티브는 네트워크, 원격 사용자, BYOD, 클라우드 기반 자산 및 애플리케이션에 대한 더욱 세분화된 제어를 통해 데이터 센터를 보호할 목적으로 점점 더 많은 각광을 받고 투자 대상이 되고 있습니다. 하지만 이러한 접근법이 작동하기 위해서는 워크로드를 서로 분리해 개별적으로 보호하는 등 워크로드 수준에서의 네트워크 보안이 필요합니다. 제로 트러스트를 위해 특별히 설계된 분산 내부 방화벽은 보안을 빠르게 강화할 수 있는 최고의 방법입니다. 제로 트러스트로의 여정에서 반드시 이뤄야 하는 핵심 요건을 알아보고, 데이터 센터에서 이를 구축하는 5단계 프로세스와 VMware 서비스 정의 방화벽을 소개합니다. <11p> 주요 내용 - 전통적인 방화벽의 한계 - 마이크로 세그멘테이션 오케스트레이터 - 분산 내부 방화벽 - 두 가지 방식의 장점을 합친 최상의 조합 - 데이터 센터의 제로 트러스트를 위한 단계별 프로세스

제로트러스트 방화벽 세그먼테이션 2022.06.03

ZTNA 솔루션 구매 전 업체에 꼭 물어야 할 8가지

클라우드에서 핵심 비즈니스 애플리케이션을 운영하는 일이 늘어나고 팬데믹으로 인해 원격 근무가 확산하면서 전통적인 ‘기업 해자(corporate moat)’ 방식의 보안 개념은 자취를 감추었다. 오늘날의 하이브리드 워크에서 직원은 외근하고 집에서 일하고 일주일에 한두 차례 사무실에 방문한다. 따라서 네트워크 및 보안팀은 네트워크, 신원, 인증을 관리하는 더 유연한 접근법을 도입해야 하는 상황이다.   제로 트러스트 네트워크 접근법(Zero Trust Network Access, ZTNA)은 오늘날 보안이 가진 이런 문제에 대응하는 인기 있는 방법으로 주목받고 있다. 개념은 그리 어렵지 않다. 제로 트러스트는 방화벽, IDS/IPSes, 안티바이러스 소프트웨어라는 계층적 경계를 구축하는 대신, 충분히 검증되기 전까지 '어떤 사용자나 기기도' 신뢰하지 않는 것이다. 그러나 이 간단한 개념을 구현하는 과정은 그리 쉽지 않다. 대다수 기업은 제로 트러스트 업체의 온갖 마케팅에도 불구하고 IT 임원이 제로 트러스트를 기성품으로 구매해 단기간에 적용할 수 없음을 알고 있다. 제로 트러스트는 제품이 아니다. 프레임워크이자 아키텍처이고 철학이다. 여러 형태를 취할 수 있고 성공적으로 구현하는 데는 상당한 시간과 노력이 필요하다는 의미다. 기업이 제로 트러스트를 도입할 때 제로 트러스트 업체에 반드시 물어야 하는 질문을 정리했다.   ZTNA로 전환할 때 기존의 보안 및 네트워킹 인프라를 어떻게 활용할 수 있나 기업은 여러 해에 걸쳐 보안/네트워킹 하드웨어 및 소프트웨어에 상당한 돈을 투자했다. 따라서 기존 기술을 최대한 활용하면서 ZTNA로 전환하는 것이 매우 중요하다. 대다수 기업은 ID 관리, 접근 제어, 이중 인증, 네트워크 분할, 정책 관리 등 ZTNA에 필요한 조각을 이미 갖고 있다. 그러나 종합적이고 확장성 있고 정책 주도적 방식으로 제로 트러스트의 모든 측면에 두루 숙달된 기업은 별로 많지 않다. 네트워크 자동화 업체인 글루웨어(Gluwar...

ZTNA 제로트러스트 2022.05.23

“엔데믹 시대를 대비하라” 하이브리드 업무 환경의 선결 과제와 해결 방안 - Tech Summary

사회적 거리 두기 해제는 기업에 고민거리를 안겨주었다. 특별 방역 지침에 따라 해오던 유연, 재택 근무 종료를 선언하고 전면 출근 체제로 전환해야 하는가? 아니면 유연 근무와 재택 근무를 뉴노멀로 받아들여야 하는가? 디지털 전환 수준이 높은 기업들의 선택은 혼합형 근무 환경(Hybrid workspace)을 제공하는 것이다. 혼합형 근무 환경은 풀타임, 파트타임, 재택 근무 선택지를 모두 제공해 코로나19 이전의 근무 방식으로 돌아가는 것에 대한 어색함과 거부감을 줄이는 효과가 있다. 하지만 이런 환경을 구현하려면 접근 관리, 다양한 장치 통합 관리, 윈도우 장치 보안 관리, 애플리케이션 보안 관리라는 기술적 난제를 풀어야 한다. VM웨어 워크스페이스 원을 활용해 코로나19 이후 일하는 방식을 새롭게 정의한 VM웨어의 경험을 통해 혼합형 근무 환경을 위한 디지털 기술 활용 방안을 소개한다. 주요 내용 - 하이브리드 업무 환경의 전제 조건과 기술 과제 - 제로 트러스트 보안이 접근 관리의 해법 - PC부터 모바일까지 모든 디바이스의 통합 관리 - 현대화가 필요한 윈도우 디바이스 관리 - 자체 앱스토어로 애플리케이션과 데이터 보호

엔데믹 하이브리드업무환경 제로트러스트 2022.05.09

글로벌 칼럼 | “원격 근무에 제로 트러스트는 반드시 필요하다”

작년 여름, ‘리커션 팀(Recursion Team)’이라는 사이버 범죄 조직과 연루된 해커가 경찰로 위장해 애플과 메타에 ‘비상 데이터 요청’ 형태로 고객 데이터를 요구했다. 두 기업 모두 깜빡 속아 요구에 응하고 말았다. 약 3년 전에는 영국에 소재한 애너지 기업의 CEO가 독일에 있는 모기업 CEO로부터 헝가리 공급업체에 25만 달러를 송금하라는 전화를 받고 지시에 따랐다. 알고 보니 모회사의 CEO라던 사람은 딥페이크 오디오 기술을 사용해 다른 사람의 목소리를 변조한 사이버 범죄자였다. 두 해커는 각각 데이터와 돈을 성공적으로 갈취했다. 이들은 모두 신뢰를 악용해 범죄를 저질렀다. 피해자는 해커가 말하는 정보 만을 곧이곧대로 믿었다.     제로 트러스트의 정의 제로 트러스트는 경계 보안에 의존하지 않는 보안 프레임워크이다. 경계 보안은 오래 전부터 보편적으로 사용돼 온 모델로, 기업의 건물이나 방화벽 안에 있는 모든 사람과 사물을 신뢰하는 것은 전제로 한다. 여기서 보안은 경계 밖에 있는 사용자가 내부로 들어오지 못하도록 막는 데 중점을 둔다. ‘제로 트러스트’는 1994년 영국 스털링 대학에서 박사 과정을 밟고 있던 스티븐 폴 마시가 처음 만든 용어이다. ‘탈경계화’라고도 불리는 이 개념은 포레스터 익스텐디드(Forrester eXtended), 가트너의 CARTA 및 NIST 800-207과 같은 가이드라인에서 구체화됐다. 경계 보안의 효용성이 떨어진 데는 여러 가지 이유가 있지만, 이 중에서도 원격 근무의 확산이 대표적이다. 이밖에 모바일 컴퓨팅과 클라우드 컴퓨팅, 갈수록 증가하는 정교한 사이버 공격, 그리고 내부에서 비롯되는 위협 등을 이유로 들 수 있다. 다르게 말하면, 네트워크 경계는 더 이상 존재하지 않는다. 경계가 존재한다고 해도 침해될 수 있다. 해커는 경계 안으로 들어오면 더 쉽게 이동한다. 제로 트러스트의 목표는 각 사용자와 디바이스, 애플리케이션이 네트워크 컴포넌트나 기업 리소스에 액세스할 때마다 ...

원격근무 제로트러스트 보안 2022.04.26

SaaS 애플리케이션 보안의 핵심 과제와 SASE 기반의 제로 트러스트 전략 - Tech Summary

SaaS 애플리케이션의 보안 문제는 크게 애플리케이션, 데이터, 사용자 측면으로 나누어 볼 수 있다. 사용자는 기업에서 허용한 애플리케이션만이 아니라 개인용 애플리케이션도 사용하고, 개발자는 허가 받지 않은 개발 도구를 사용하기도 하는데, 이는 기업 보안의 큰 문제가 되고 있다. 이런 문제의 해답이 바로 SASE 기반의 제로 트러스트 전략이다. SaaS 애플리케이션을 많이 사용하고 원격지, 또는 전 세계에 지사를 운영하는 기업이나 클라우드 환경에서 다양한 형태의 트래픽을 보유한 기업에 안전한 보안을 제공한다. 제로 트러스트의 원칙을 알아보고 SASE와 제로 트러스트를 활용한 SaaS 보안 강화 방안을 살펴본다. 주요 내용 - 클라우드 환경과 SaaS 애플리케이션으로 인한 보안 문제 대두 - 제로 트러스트 아키텍처의 5가지 원칙 - 제로 트러스트 구현 방법과 효과 - SASE, 제로 트러스트 구현을 통한 SaaS 및 클라우드 보안

제로트러스트 SASE 보안 2022.04.04

글로벌 칼럼 | 제로 트러스트가 현재로서는 최선

지난 몇 년 동안 제로 트러스트에 관한 수많은 기사가 보도됐다. 그 중 대부분은 보안 전문가를 위한 제로 트러스트 탐구 및 설명식 기사였다. 하지만 필자는 ‘신뢰 방정식’의 등호 반대편에 있는 원격 근무자를 염두에 두고 이 글을 작성했다. 실제로 많은 재택 근무자가 제로 트러스트 전략을 구현하고 개선하는 과정에서 다양한 변화와 불편함을 겪고 있다.   여기서는 어려운 전문 용어를 사용하지 않고 제로 트러스트를 쉽게 설명했다. 보안 전문가나 IT 담당자라면 재택 근무자와 이 기사를 공유하기 바란다. 재택 근무자는 현재 벌어지고 있는 상황과 그 이유를 이해할 필요가 있다. 우선 제로 트러스트는 제품 및 서비스가 아닌, 하나의 아이디어나 접근법, 전략이다. 직장의 미래를 위해 제로 트러스트는 반드시 필요하다. 오래된 경계 보안 전략은 이제 더 이상 통하지 않기 때문이다. 원래 기업은 경계 보안의 일환으로 방화벽을 구축했다. 방화벽 내부의 모든 사용자와 장치, 애플리케이션은 안전하다고 간주됐다. 기업은 이들이 방화벽에 둘러싸여 있기 때문에 당연히 신뢰할 수 있다고 믿었던 것이다. 원격 직원은 가상 사설망(Virtual Private Network, VPN)을 통해 방화벽을 뚫을 수 있었다. VPN은 데이터를 암호화해 권한 있는 사용자가 방화벽 내부에 진입하도록 하는 소프트웨어이다. 예전에는 경계 보안이 무난하게 작용했지만, 지금은 세상이 많이 변했기 때문에 효과가 없다. 연결은 매우 복잡해졌으며, 사이버 공격자는 더욱 교묘한 기법을 사용하기 시작했다. 오늘날 기업의 모든 네트워크는 구식이 되고 있다. 또한, 많은 기업에 복잡한 클라우드 컴퓨팅 방식과 IoT로 작동하는 수많은 작은 연결 및 센서 기반 장치, 그리고 재택 근무자가 있다. 경계 보안이 의미 없는 가장 큰 이유는 많은 사용자가 홈 오피스 외에도 모든 곳에서 원격으로 작업하기 때문이다. 홈 오피스를 떠올려보자. 경계 보안 방식에서 사용자는 VPN으로 기업 방화벽 내부에 진입해 업무용 노...

보안 제로트러스트 경계보안 2022.04.01

글로벌 칼럼 | 제로 트러스트로 네트워크 기술 부채에 맞서는 방법

제로 트러스트(Zero Trust)는 기술이 아닌 사고방식이자 방법의 일종이다. 오늘날 제로 트러스트 채택이 추진력을 얻는 이유는 기업 네트워크에서 위험 관리 및 공격 방어 개선의 필요성이 빠르게 증가했기 때문이다. 지속적인 랜섬웨어 공격으로 인한 변화다. IT팀은 제로 트러스트 채택의 시급성을 활용해 기업의 기술 부채를 일부 찾아낼 수 있다. 특히 네트워크 및 네트워크 보안 표준에서 제외된 영역을 찾아 제로 트러스트라는 새로운 패러다임을 촉진할 수 있다.   제어 대상에서 제외되지 않는 네트워크 컴포넌트 제로 트러스트 환경에서 네트워크는 새로운 노드를 신뢰하지 않을 뿐 아니라 네트워크를 통해 이미 통신하는 노드도 신뢰하지 않는다. 제로 트러스트 네트워크는 처음 발견한 노드에 인증 및 인가 확인 절차를 거칠 것을 요구한다. 신원을 증명하는 유효 인증서가 있는지, 해당 ID를 사용한 연결이 허용되는지, 유효한 소프트웨어 버전과 방어 도구를 실행하고 있는지 등을 확인한다. 통신이 허용되기 전에 노드는 이런 장애물을 제거해야 한다. 또한 제로 트러스트 네트워크는 신뢰 관계가 영구적이거나 맥락에서 자유롭다고 가정하지 않는다. 즉, 네트워크상의 노드는 모든 네트워크 작업을 시도할 때마다 인증 및 권한 부여 절차를 거쳐야 한다. 한 작업과 다음 작업 사이에 신뢰 관계가 손상되었을 수도 있고 노드가 비정상적으로 행동해 권한이 박탈됐거나, 혹은 해당 시스템의 사용자가 해고되었을 수 있기 때문이다. 제로 트러스트를 도입하기 위해서 네트워크 전문가는 그동안 생각하던 네트워크 서비스 방식을 근본적으로 바꾸어야 한다. 실제로 802.1x 기반의 기본적인 승인 제어에 익숙해진 네트워크팀이 많아지기 시작한 것도 최근부터였으며, 여전히 네트워크에는 기본 수준의 승인 제어를 적용하지 않는 포트, 스위치, 세그먼트 및 서브넷이 만연하다. 대부분의 경우 포트/세그먼트/서브넷 등은 제어 대상이 되지 않는다. 이를 통해 연결된 시스템이 (심지어 밑단의 하드웨어 자체도) 보안 프...

제로트러스트 네트워크 기술부채 2022.03.31

“변화하는 시대, 진화하는 사이버 위협” 한국IDG, 퓨처 오브 시큐리티 2022 성료

한국IDG가 3월 24일 '퓨처 오브 시큐리티 2022(Future of Security 2022)' 컨퍼런스를 온라인으로 개최했다. '디지털 시대, 변화하는 기술 트렌드와 보안 위협'을 주제로 진행한 이번 행사에는 여러 보안 전문가가 참여해 디지털 시대의 핵심 보안 전략과 엔터프라이즈 보안 이슈를 살펴보고 구체적인 실행 방안을 논의했다.    뉴노멀과 디지털 시대가 도래하면서 정보 보안의 중요성이 강조되고 있다. 오프닝 기조연설을 맡은 IDC의 리서치 디렉터 크리스 키셀은 "사이버보안은 이제 회의실, 아이덴티티, 사람의 문제다. 사람들의 디지털 발자국이 확장되면서 사이버 공격은 개인적인 위협으로 다가온다"라고 말했다. 오늘날 기업은 온프레미스, 퍼블릭/프라이빗 클라우드, IoT, VPN, 모바일, OT, 와이파이, 소셜 미디어와 같은 다양한 경계(perimeter) 환경에 대응해야 한다. 새로운 디지털 사용 사례가 생겨날 때마다 새로운 디지털 공격도 생겨나기 마련이다. 키셀은 "한국은 국민과 기업의 약 84%가 인터넷에 연결돼 있으며 1인당 보급률은 전 세계 1위다. 하지만 한국의 IT는 의미 있는 애플리케이션, 프로페셔널 및 매니지드 서비스 요소를 갖추고 있지 않다. '셀프 문화'가 한국 기업의 보안 태세에도 자리 잡은 것"이라고 지적했다.  랜섬웨어 공격 행태도 변화하고 있다. IDC가 격주로 진행하는 미래 기업 탄력성 및 지출 설문조사 결과에 따르면, 과거에는 다른 지역보다 북미 지역의 기업이 랜섬웨어 공격의 표적이 된 경우가 많았다. 그러나 북미 기업이 보안 태세를 강화하면서 공격 표적이 유럽, 중동, 아프리카 및 아태지역으로 이동하고 있다. 키셀은 "아태지역을 중심으로 랜섬웨어 피해를 보고한 응답자의 비율이 2021년 7월 22.5%에서 12월 무려 70.4%로 급증했다"라고 말했다.    백업 데이터를 표적으로 하는 공격도 증가하는 추세다. IDC 조사에 따르면 기업의 90%는 백업/재해 복구...

한국IDG 퓨처오브시큐리티2022 Future Of Security 2022 2022.03.25

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.