Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

화이트햇

IT 보안에 크라우드소싱이 필요한 이유와 주요 서비스

IT 인프라스트럭처와 애플리케이션, 그리고 서비스를 안전하게 보호하기 위해 중요한 활동 가운데 하나가 바로 화이트 햇 해커(white hat hacker)를 고용해 해킹 테스트를 해 보는 것이다. 애초에 해커의 공격을 원천 차단할 방법이 없는 이상, 차라리 해커의 입장이 되어 대비하자는 것이다. 하지만 모든 기업이 다 침투 테스트 팀을 고용할 수 있을 만큼 자원이 풍족한 것은 아니다. 시장에는 물론 적절한 가격만 지불하면 취약점 테스트나 침투 테스트를 기꺼이 해 줄 명망높은 기업이 많다. 하지만 급하게 완수해야 하는 프로젝트에서 마지막 순간에 부랴부랴 적절한 업체를 선정해 테스트를 진행하기란 쉽지 않을 것이다. 다행히도 대안은 있다. 이런 경우 크라우드소싱(Crowdsourcing)을 활용하면 합리적인 비용만을 들이고도 짧은 시간 안에 원하는 결과를 얻을 수 있다. 크라우드소싱은 인력 시장의 이베이라고 할 수 있다. 적절한 타이밍에, 필요한 인재를, 적당한 비용으로 고용할 수 있기 때문이다. 크라우드소싱, 중개 업체를 거쳐야 하는 이유 물론 IT 보안 인재를 크라우드소싱 했을 때 단점이 없는 것은 아니다. 예를 들어 회사 시스템을 해킹하는 사람인만큼 신원이나 이력을 어떻게 확인하고 보증할 것인지, 또 이런 인력에 적절한 임금은 어느 정도인지도 불분명하다. 또한 크라우드소싱 전 과정을 어떻게 시작하고, 추적하고, 통제할 것인지도 문제다. 따라서 사전에 기획해 둔 크라우드소싱 프로그램이 없다면 기껏 크라우드소싱을 통해 절감한 비용이 이에 따르는 시간 및 리스크로 인해 상쇄돼 버리고 만다. 특히 지원자들에 대해 잘 모를 경우, 그들이 경력이나 경험에 대해 거짓말을 할 위험도 있고, 최악의 경우 침투 테스트가 아니라 다른 짓(?)을 하는 불상사가 발생하기도 한다. 해킹 테스트를 아웃소싱 할 때 가장 큰 리스크는 무엇보다도 이들이 일을 하며 알게 된 사실을 추후에도 계속해서 남용하게 되는 것이다. 단지 자사에 고용이 되었다 뿐이지, 기본적으...

크라우드소싱 침투테스트 화이트햇 2018.08.30

글로벌 칼럼 | "해커는 좋은 사람"

이제부터 해커는 블랙 햇 대신 화이트 햇을 언급해야 한다. 해커는 소프트웨어 코드를 작성해 기술적인 문제를 해결할 수 있는 전문 프로그래머다. Credit: Getty Images Bank 전 세계 해커 군대는 앞으로 20년 동안 인류가 직면하게 될 가장 큰 과제 가운데 하나인 사이버범죄 활동을 저지하기 위해 자신의 기술을 사용해 헌신한다. <해커, 해킹하기(Hacking the Hacker: Learn From the Experts Who Take Down Hackers)>라는 이 책에서는 세계를 좀 더 안전한 사이버 공간으로 만들기 위해 활동하는 26명의 최고 해커가 등장한다. 더 중요한 것은 이 책에서는 모든 사람이 염두에 둬야 할 본질적인 진실을 지적했다. 전체적으로 볼 때, 해커는 훌륭하다는 것이다. 미디어와 영화 등에서 그려내는 해커의 나쁜 모습들은 잘못된 것이다. 화이트 햇과 블랙 햇의 대결, 화이트 햇이 이긴다 뿐만 아니라 화이트 햇은 해커 유형에 대한 경험이 풍부하다. 일부 블랙 햇들은 규칙의 제약을 받지 않기 때문에 대담하고 더 빠르게 활동할 수 있어 종종 이기는 것처럼 보일 수 있다. 이 책에서 보여주는 흥미로운 점은 블랙 햇이 어떻게 다른 모든 이들보다 우위를 차지할 수 있는지에 대해 한눈에 보여준다는 것이다. 블랙 햇들은 소비자, 중소기업, 대기업, 정부, 학교, 그리고 사회 전체를 대상으로 겁을 주고 해를 입히고 훔치기를 시도한다. 이 책의 저자인 로저 그라임스는 컴퓨터 보안 화이트 햇이라는 범주를 존경받는 선생과 탐사보도 저널리스트에까지 확장시켰다. 이 좋은 이들은 우리가 우려하는 것들을 제거하는 실체적인 힘이다. 그라임스는 현실주의자다. 그라임스는 사이버 위협이 얼마나 심각한 지 잘 알고 있다. 하지만 그는 다른 사람들보다 균형잡힌 시각을 갖고 있다. 이 책에서 보여주듯이 사회는 사이버 싸움꾼에 대응한 멋진 군대를 갖고 있다는 것이다. 그리고 화이트 햇은 합법적으로 해커라...

해커 블랙햇 화이트햇 2018.01.05

해커들이 말하는 '침투하기 어려운' 네트워크란?...블랙햇 컨퍼런스 설문조사

화이트햇 해커, 블랙햇 해커, 그리고 그 중간 어딘가에 있는 해커 대부분은 안전한 비밀번호는 없다고 밝혔다. 이 해커들에 따르면, 이들이 법을 지키느냐 여부와 상관없이 기업 네트워크 침투를 훨씬 어렵게 만드는 5가지 조치가 있다. Credit: Getty Images Bank 이번 달 초, 미국 라스베이거스에서 열린 블랙햇 USA 2016 컨퍼런스에서 PAM(privileged account management) 솔루션 전문업체인 티코틱(Thycotic)은 자신을 해커(응답자는 익명)라고 밝힌 250명 이상의 참석자들을 대상으로 조사했다. 응답자의 84%는 자신을 '기업들이 취약점을 발견하고 고치는데 도움을 주는 화이트햇 해커'라고 밝혔다. 그리고 15%는 범죄 의도를 가지고 네트워크에 침투하는 '블랙햇 해커'라고 말했다. CISSP(Certified Information Systems Security Professional)이자 티코틱의 글로벌 얼라이언스 총괄인 조셉 카슨은 "선택지에 '그레이햇 해커'도 넣어 달라는 요청이 올해 아주 많았는데 이번 조사에는 적용되지 않았다"고 전했다. 그레이햇 해커는 블랙햇 해커와 화이트햇 해커의 중간에 위치한다. 이들은 자신들이 발견한 제로데이 취약점을 정부기관, 법 집행기관, 정보기관, 군대 등에 공개하거나 판매한다. 궁극적으로 해커들은 5가지 핵심 조치들을 다음과 같이 순서를 매겼는데, 블랙햇 해커들은 한가지 핵심 분야에서만 차이를 보였다. 1. 시스템에 대한 운영자 접근을 제한하라 우선 무엇보다 네트워크를 안전하게 하려는 본격적인 시도는 특권 계정에서 시작해야 한다. 특권 계정은 네트워크 내 접근 권한을 탈취해 어디로든 이동하려는 공격자들의 최고 핵심 표적이다. 티코틱은 자체 <블랙햇 2016: 해커 조사 보고서>에서 다음과 같이 설명했다. "우선 공격자들은 어떻게 해서든 네트워크에 발을 들이...

해커 블랙햇 화이트햇 2016.08.31

소셜 엔지니어링 공격의 성공률, "무려 150%!"...화이트햇 해커 조쉬 베리

화이트햇 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 해야 할 일이 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 알려줬다. Q. 소속 화이트햇 팀에 대한 간략한 소개를 부탁한다. A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다. 대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다. Q. 고객은 누구인가? A. 통상 정보보안 담당팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객들이 목적과 목표를 인식하고 있어, 많은 설명이 필요없다. Q. 침해 사고 후 의뢰를 받기도 하는가? A. 그런 경우도 있다. 침해 사고를 당한 경우, 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후, 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다. 예를 들어, 한 은행권 고객은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했었다. 테스트를 통해 취약점 하나를 발견했...

컴플라이언스 소셜엔지니어링 화이트햇 2016.08.16

토픽 브리핑 | 블랙햇 2014로 본 "죄다 뚫리는 세상"

이번주 진행된 해커들의 컨퍼런스인 블랙햇 USA 2014에서는 상당히 충격적인 해킹 사례와 기법, 악성코드들이 선보이면서 다양한 이슈를 양산해냈다. 블랙햇 컨퍼런스는 각 분야의 연구원들에게 네트워크 및 전자기기 보안을 테스트할 수 있는 툴을 제공한다는 취지로 시작된 행사로, 다양한 해킹 방법과 기법, 전략, 그리고 이를 방어할 수 있는 방안에 대해서 논의하는 자리다. 블랙햇 USA 2014에서 공개될 10가지 충격적인 공격 사례 블랙 햇이 말하는 해킹 공격 툴 TOP 20 특히 이번 블랙햇 2014에서는 사물인터넷과 관련해 거의 모든 사물에 대한 해킹이 가능하다는 것이 드러났으며, 이런 공격 사례들이 선보였다. 자동차, 안드로이드, 스마트폰에서부터 하둡, USB, IPv6에 이르기까지 사물인터넷이 적용될 것이라 예상되는 모든 사물과 기기, 기술 등 모든 것이 취약점을 갖고 있다는 사실은 편리함과 안전이라는 상관 관계에 대해 다시금 생각해 볼 계기가 될 수 있다. 블랙햇 2014 | 자동차, 핸드폰, 하둡, USB 등 모든 것을 크랙하는 법 블랙햇 2014 | 해킹에 가장 취약한 자동차, 가장 안전한 자동차는? 특히 사물인터넷의 뿌리인 임베디드 기기에서 드러나는 보안 취약점과 이를 제대로 관리할 수 없다는 것은 무척이나 충격적으로 와 닿는다. 하지만 이런 허술한 보안과는 상관없이 사물인터넷과 임베디드 기기는 나날히 확장, 발전해나갈 것이다. 블랙햇 2014 | 임베디드 기기와 사물인터넷의 안전에 대한 도전과 과제 사물인터넷 시대, 그 지옥에 대비하라...패치 불가능한 임베디드 보안 이와 함께 안티바이러스 감지 기법에 걸리지 않는 차세대 악성코드와 사이버 범죄의 새로운 비즈니스 모델도 소개되는 반면, 크립토로커에 의해 암호화당한(?) 피해자들을 구제해주는 서비스까지 선보였다. 결국 보안은 창과 방패의 영원한 싸움이 진행될 것이라 쉽게 예상할 수 있지만, 항상 방패가 뚫리고 난 뒤, 이를 보완하는 방...

자동차 블랙햇 사물인터넷 2014.08.08

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.