Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안내재화

OT 기기 취약점 대량 발견 "표준 인증도 소용없어"…포어스카우트

최근 한 조사에 따르 10곳의 업체가 만든 운영 기술(Operational Technology, OT) 기기에서 56가지의 결함이 드러났다. 모두 프로그래밍 오류가 아니라 안전하지 않게 설계되거나 구현된 기능이 원인이었다. 지난 10년 동안 보안 연구자와 악의적 공격자의 OT 기기에 대한 관심이 증가했음에도 불구하고, 업계가 아직도 근본적인 ‘설계부터 안전을 고려한 보안 내재화(secure-by-design)’ 원리를 준수하지 않고 있음이 극명하게 드러난 것이다.  는 최신 보고서에서 “공격자가 취약점을 악용하면서 표적 OT 기기에 네트워크를 통해 액세스한 후 코드를 실행하거나, OT 기기의 로직, 파일, 펌웨어를 변경하고 인증을 우회하며, 인증 정보를 훼손하고 서비스 거부를 유발하는 등 다양한 악영향을 미칠 수 있다”라고 밝혔다.   통칭 ‘OT:ICEFALL’으로 알려진 이 보안 문제는 불안전한 엔지니어링 프로토콜, 부실한 암호 구현 또는 파손된 인증 체계, 안전하지 않은 펌웨어 업데이트 메커니즘, 그리고 원격 코드 실행으로 악용될 수 있는 부실한 네이티브 기능에 기인한다. 실제로 공개된 취약점 중 14%는 원격 코드 실행으로, 21%는 펌웨어 조작으로 이어질 수 있다.    이 연구에서 밝혀진 또 다른 흥미로운 사실은 취약 기기 대부분이 OT 환경에 적용되는 각종 표준에 따라 인증을 받았다는 점이다. 예를 들어 IEC62433, NERC CIP, NIST SP 800-82, IEC 51408/CC, IEC62351, DNP2 시큐리티, 모드버스 시큐리티 (Modbus Security) 등이다.  보고서는 “이들 표준이 주도한 견실화 노력은 분명 보안 프로그램 개발, 위험 관리, 그리고 아키텍처 수준 설계 및 통합 활동에서의 큰 개선에 기여했으나, 개별 시스템 및 컴포넌트의 보안 개발 수명주기를 성숙시키는 데는 미흡했다”라고 결론지었다.    OT의 ‘보안 비내재화’ 역사&nb...

OT 운영기술 보안내재화 2022.06.24

인공지능 및 머신러닝 프로젝트, 얼마나 안전할까

기업이 새로운 기술을 도입할 때 보안이 뒷전으로 물러나는 경우가 많다. 가능한 빨리, 가능한 저렴한 비용으로 고객과 내부 사용자를 위한 새로운 제품과 서비스를 도입하는 것이 더 중요해 보일 수도 있다. 보안을 견고히 하려면 시간과 비용을 투자해야 할 수 있기 때문이다. 즉, 좋은 보안은 느리고 비싸다. 인공지능(Artificial intelligence, AI)과 머신러닝(Machine Learning, ML)은 이전의 기술 발전과 마찬가지로 ‘취약점’과 ‘잘못된 구성’이 초래될 수 있으며, 동시에 고유의 위험도 존재한다. 기업이 AI에 기반을 둔 디지털 트랜스포메이션이라는 중요한 여정을 거치면서, 이런 위험이 과거 우리가 경험하지 못했던 수준으로 커질 가능성이 있다. AI와 머신러닝은 다른 기술들보다 훨씬 더 많은 데이터, 훨씬 더 복잡한 데이터를 요구한다. 여기에 사용되는 알고리즘은 수학자와 데이터 과학자가 개발했으며, 연구 프로젝트에서 나온 것들이다. 한편 불륨(양)과 프로세싱에 필요한 요건 때문에 클라우드 플랫폼으로 워크로드를 처리해야 하는 경우가 일반적이다. 이로 인해 복잡성과 취약점이 가중된다. 많은 데이터 요구, 암호화되지 않은 데이터를 남긴다  AI와 머신러닝 시스템은 3가지 데이터 세트를 요구한다. 첫째, 기업이 예측 모델을 구축하기 위해 필요한 트레이닝 데이터다. 둘째, 모델이 얼마나 잘 작동하는지 파악하기 위해 필요한 테스팅 데이터다. 마지막은 모델을 가동할 때 사용하는 트랜젝션 데이터, 운영 데이터다. 이로 인해 2가지 보안 문제를 초래한다. 첫 번째, 데이터 과학자가 수집하는 트레이닝 데이터는 통상 평문(cleartext) 형식이다. 익명화된 데이터, 토큰화 된 데이터를 사용하면 모델을 구축하기 더 힘들어진다. 데이터 과학자는 일반적으로 이런 종류의 데이터 보안 전문성을 갖고 있지 않다. 모델이 입증되어 운영에 사용되는 경우에도 여전히 평문 데이터를 받아들이게 될 것이다. 이는 중대한 보안 위험이다. 엣지와이즈 네트워크...

프로젝트 사이버보안 인공지능 2019.09.05

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.