'보안'에 해당되는 글 10/94

[딜라이트닷넷 창간기획] 보안업계, 사물인터넷 보안솔루션 개발 박차
[딜라이트닷넷 창간기획] 사물인터넷 센서 통신을 보호하라
[딜라이트닷넷 창간기획] 사물인터넷 활성화, 선결과제는 보안
KISA, 모질라에 최상위인증서 탑재 재도전…웹트러스트 인증 갱신 추진
스무살 청년 지란지교소프트…“직원 꿈 실현시켜주는 회사될 것”
안드로이드 기본 브라우저가 위험하다
“클라우드 보안, 계정 관리 및 접근 권한 강화가 핵심”
아이클라우드 해킹에 사용된(?) ‘브루트포스’ 공격은 무엇?
클라우드 스토리지 서비스, 용량보다 중요한 것은 ‘보안’
2013년 글로벌 보안 시장은 5% 성장…국내는 절반 수준
사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>

①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차

사용자 삽입 이미지

사물인터넷의 확산이 기대됨에 따라 국내 보안업체들의 발걸음도 빨라지고 있다.

사물인터넷 보안위협이 현실화되고 있으며, 이에 따른 신규 시장이 열림에 따라 이를 선점해 나가겠다는 의도로 해석할 수 있다.

국내에서는 시큐아이, 펜타시큐리티, 마크애니, KTB솔루션 등이 시장에 참전했다. 이들은 각각 웨어러블 방화벽이나 보안게이트웨이와 같은 사물인터넷 센서보호를 위한 하드웨어를 비롯해 사물인터넷을 위한 암호화 솔루션도 내놓고 있다.

이들은 공통적으로 사물간 통신의 보호에 초점을 잡았다.

먼저 시큐아이는 사물인터넷 보안플랫폼 ‘시큐아이 IoT보안플랫폼’을 선보였다. 이 플랫폼에는  ▲사물인터넷 정보유출·해킹 방지 하드웨어 모듈 ▲경량 사물인터넷 시스템에 최적화된 암호모듈 ▲사물인터넷 보안 게이트웨이 ▲사물인터넷 센서 등 4종의 제품을 개발했다.

시큐아이는 개발완료된 ‘시큐아이 IoT보안플랫폼’ 4종을 기반으로 이동통신사업자, M2M사업자와 스마트가전 제조업체를 대상으로 영업·마케팅을 본격 시작하고, 사물인터넷 관련 산·학·관 표준화 기관을 통해 국내 사물인터넷 보안 표준화에도 적극 참여할 계획이다.

펜타시큐리티는 자사의 강점인 DB암호화 솔루션을 사물인터넷용 데이터 암호화 솔루션으로 확장하고 있다.

이 회사는 올해 초부터 데이터암호화플랫폼(DEP) 개발에 착수했다. DEP는 DB암호화 솔루션의 적용 범위를 자동차와 같은 사물인터넷 기기로 확대시킬 수 있는 기반이다.

이미 공개키기반구조(PKI)를 활용해 차량통신 보호 기술을 개발한 펜타시큐리티는 앞으로 출시되는 사물인터넷 기기에 대한 보호를 위해 DEP의 적용 범위를 넓혀갈 계획이다.

마크애니는 사물인터넷을 지원할 수 있는 전자서명 기술을 개발했다. 우리나라에서 전자서명 기술이라고 하면 공인인증서를 많이 떠올린다. 공인인증서는 PKI 기술을 기반으로 부인방지를 위한 본인확인 기능과 전자서명 기능이 함께 탑재돼 있다.

또 개인신용정보와 같이 소량의 데이터를 PKI 기술로 전자서명하는 것은 쉽다. 하지만 사물인터넷 단말기들이 쏟아내는 수많은 데이터에 PKI 기술을 적용하는 것은 다른 문제다. 적합한 성능을 뽑아내기 위한 비용의 문제와 함께 키 관리도 무시할 수 없다.

전자서명은 사물인터넷 보안에 핵심적인 역할을 할 수 있다. 기기간 통신을 하기 전 전자서명의 여부를 판단해 수행 여부를 결정할 수 있기 때문이다. 인증을 통한 통신보안이 이뤄지므로 중간자공격과 같은 위협에도 안전하다.
사용자 삽입 이미지

KTB솔루션은 최근 웨어러블 방화벽 개발을 완료했다. 이 솔루션은 인가된 기기의 접근만을 허용하는 보안게이트웨이의 역할을 하게 된다.

웨어러블 방화벽은 게이트웨이로 구성돼 무선랜(Wi-Fi) 액세스포인트(AP) 기능 수행을 수행하게 된다. 이를 통해 기기와 서버간의 통신을 웨어러블 방화벽이 관장하게 되는데, 이 과정에 인증체계를 적용해 인가된 통신만 허용하게 했다.

이 회사 김태봉 대표는 “사물인터넷 보호의 핵심은 사물간 통신을 어떻게 보호할 것인가에 달렸다”고 강조했다.
2014/09/30 07:02 2014/09/30 07:02

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>
①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차


사용자 삽입 이미지


몇 년전 커피전문점에 있는 무선랜(Wi-Fi)를 쓰다가 인터넷뱅킹에서 쓰이는 금융정보가 모조리 털렸다는 기사가 화제가 된 적이 있다.

이는 서버와 클라이언트간의 데이터 전송을 중간에 가로채는 중간자공격(Man in the middle, MITM)에 대한 피해로 국내보단 해외에 보다 많은 피해가 발생되고 있는 것으로 조사됐다.

공격자는 사용자의 클라이언트(웹브라우저)와 서버(금융사 서버)사이에 끼어들어 사용자가 입력한 로그인 정보를 훔쳐내는 것뿐만 아니라 금액을 입력하는 폼 등의 양식을 변경해 웹브라우저에 표시한다.

사용자는 바른 화면이라고 생각해 정보를 입력하지만 실제로는 공격자의 계좌로 금전을 전송하게 되는 방식이다. 이러한 문제가 불거지자 금융사들은 모두 EV SSL, 일명 녹색창을 도입하며 대응책을 마련했다.

이러한 MITM이 사물인터넷에 가장 강력한 위협이 될 것으로 예측된다. 웹서비스와 달리 사물인터넷은 기기에 대한 보안을 해결할 수 있는 방법이 그리 많지 않기 때문이다.

최근 글로벌 시장에서 문제가 된 사물인터넷 보안사고를 살펴보자.

지난해 10월 러시아 국영방송은 국내 전자제품 도매상이 수입한 중국산 다리미 일부 제품에서 와이파이로 동작하는 해킹 장치가 발견됐다고 보도했다.

다리미 설명서에 공개된 무게와 실측 무게가 다르다는 것을 의심한 도매상이 이를 의심해 분해한 결과 발견된 것이다. 이 모듈은 공개된 와이파이 네트워크에 접속해 악성코드를 유포하는 것으로 조사됐다.

같은해 블랙햇에서 공개된 티비싱(TVshing=TV+Smishing)도 중간자공격을 사용한 공격기법이다. 티비싱은 TV와 셋톱박스의 통신을 가로채 원래 방송 자막 대신 공격자가 원하는 자막을 송출하는 기법이다. 즉, 통신판매 사업자가 송출하는 계좌번호 자막을 공격자의 계좌번호로 바꾼 뒤 전송하는 등의 공격이 가능해진다.

냉난방시스템 통제에 쓰이는 셋톱박스가 디도스(분산서비스 거부, DDoS) 공격에 악용된 사례가 국내에서도 발견됐다.

국내 A사는 올해 초 강력한 디도스 공격을 받았다. 한국인터넷진흥원(KISA)이 공격을 가하는 진원지를 탐색한 결과 충격적인 결과가 나타났다. 모 대학 네트워크에서 감행된 디도스 공격이 PC같은 단말이 아니라 냉난방통제시스템용 셋톱박스에서 이뤄졌기 때문이다. 공격자는 셋톱박스에 들어있는 네트워크타임프로토콜(NTP)의 취약점을 악용해 공격에 사용한 것으로 조사됐다.

앞서 일련의 사고 사례들은 공통적으로 사물인터넷 기기들에 대한 상호인증 과정이 없었기 때문에 발생한 것이다. 서버가 보안이 담보되지 않은 기기들과의 통신을 무조건적으로 허용했기 때문이다.

이러한 사고를 예방하기 위해서는 사물인터넷에 쓰이는 센서들에 대한 보호가 우선시 돼야 한다. 서버와 클라이언트와의 통신에서 가장 선두에 서 있는 것이 센서이기 때문이다.

중간자공격에 활용되는 것도 센서다. EV SSL과 같은 보호체계가 센서 생태계에는 없을 뿐더러, 소형화를 위해서 만들어진 센서에 보안에 대한 대책이 있을리 만무하기 때문이다.

이때문에 최근에는 초소형 방화벽이나 침입방지시스템이 국내외 업체들로부터 나오고 있다. 센서를 보호하는 것이 사물인터넷 보안을 위한 최선의 방침이란 것을 인지하게 된 것이다.

보안업계 관계자는 “사물인터넷 보안에서 가장 중요한 것이 센서를 보호하는 것”이라며 “이를 위해서는 게이트웨이를 먼저 보호해야 한다. 그 전까지는 대안이 없다”고 말했다.
2014/09/30 07:01 2014/09/30 07:01
사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>
①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차

사용자 삽입 이미지

현재 글로벌 IT시장은 사물인터넷(IoT)과 같이 새로운 디지털 비즈니스에 주목하고 있다. 가트너 등 시장조사 업체들은 오는 2020년에는 500억개의 사물(물건)이 서로 연결되는 세상이 올 것으로 전망하고 있다.

애플, 구글, 삼성전자 등 주요 글로벌IT기업들도 사물인터넷에 초점을 잡고 다양한 제품과 서비스를 속속 출시하고 있다.

하지만 해커 입장에서 사물인터넷은 너무나도 맛있는 먹잇감이 될 수 있다. 인터넷에 연결되는 사물이 많아지고 이에 대한 관문도 함께 열려있기 때문이다.

가령 자동차와 자동차간 통신이 이뤄질 경우 이 통신이 허위일 경우 발생할 위험, 또 관제센터에서 잘못된 센서 정보를 수집해 운전 중인 자동차의 에어백을 터뜨릴 경우 등의 사고를 예측할 수 있다.

최근 1년간 사물인터넷을 통해 발생한 보안사고들을 살펴보자.

먼저 지난해 보안카메라 전문업체 트렌드넷이 미국 연방통상위원회(FTC)로부터 제재를 받는 사건이 발생했다. 트렌드넷의 유아용 CCTV가 보안에 취약하다는 지적이 나왔기 때문이다.

이 회사는 제품에 보안상 문제가 없다고 주장했으나 실제 조사결과 소프트웨어의 결함으로 인해 인터넷 주소만 알면 누구든지 보안을 우회해 온라인으로 영상과 음성을 도감청할 수 있는 것으로 나타났다.

실제로 FTC 조사결과 인터넷 상에서 약 700개의 CCTV에서 촬영 중인 실시간 영상링크가 유포되고 있었으며, 유출된 영상에는 곤히 잠든 아기의 모습부터 뛰노는 아이들, 그리고 어른들의 일상적인 생활까지 고객 수백명의 사생활이 모두 담겨 있었다.

주목해야 할 부분은 이 회사의 CCTV가 악성코드에 감염되거나 해킹을 당한 것이 아니고, 단순히 방법만 안다면 누구나 쉽게 장치에 접근할 수 있다는 취약점이 있었을 뿐이라는 점이다.

또 지난해 10월에는 인터넷 기반 장치를 검색할 수 있는 ‘쇼단(Shodan)’이라는 검색 엔진이 처음으로 등장했다.
이를 사용하면 난방 제어시스템과 정수 처리장, 자동차, 신호등, 태내 심장 모니터, 발전소 제어장치와 같은 다양한 디바이스를 찾아낼 수 있다.

이 장치를 통해 검색할 수 있다고 해서 해당 디바이스가 보안에 취약하다고 할 수는 없지만, 다른 취약점을 악용해서 공격하고자 하는 해커로 하여금 디바이스를 찾아내는 작업을 수월하게 해 줄 수 있다.

이는 사물인터넷이 빠르게 도입되고 있는만큼 새로운 보안 위협이 대두되고 있음을 시사한다. 특히 네트워크에 연결되어 있는 자동차, TV, 냉장고와 같은 주요 사물인터넷 기기가 보안 위협에 노출돼 있는 등 위협이 실제화되고 있어 앞으로 사이버범죄자에게 봇으로 악용될 수 있을 것으로 보고 있다.


제품의 기능과 서비스가 아무리 좋더라도 개인정보유출과 같은 보안사고가 발생한다면 성공하기는 불가능하다. 사물인터넷의 활성화는 반드시 보안문제를 해결한 뒤에야 가능할 것이다.
2014/09/30 07:00 2014/09/30 07:00
사용자 삽입 이미지
한국인터넷진흥원(KISA)이 웹트러스트(WebTrust) 인증 갱신과 CA브라우저포럼 가입을 추진한다. 이를 통해 KISA는 새로운 웹보안 기술의 빠른 도입과 모질라 파이어폭스에 최상위인증서(root CA) 탑재가 가능해질 것으로 기대하고 있다.


25일 KISA는 ‘2014년 웹트러스트 인증’ 용역 사업을 발주하고 입찰 등록을 시작했다. 웹트러스트는 기업이나 기관의 개인정보보호, 트랜잭션 무결성 등 전반적인 보안상태를 점검하고, 그 상태가 일정 수준 이상일 경우 부여되는 인증이다. 이를 획득할 경우 신뢰성 확보와 더불러 다양한 인증서 발급사업을 추진할 수 있다.

임진수 KISA 전자인증팀장은 “이는 올해 초 받은 웹트러스트 인증을 갱신함과 동시에 모질라에 최상위인증서를 탑재를 지원하는 사업”이라며 “올초 웹트러스트 인증을 받았으나 다소 미비한 부분이 있어 모질라와 이견이 있었다. 이번 용역 사업을 통해 해소할 수 있을 것으로 기대한다”고 설명했다.

KISA의 웹트러스트 인증 획득 목적은 최상위인증서를 모질라 파이어폭스에서 사용할 수 있도록 하기 위해서다. 모질라는 웹트러스트 인증을 받은 공인인증기관의 인증서만 탑재해주고 있다. 신뢰할 수 있는 공인인증기관의 인증서만 탑재해야 사용자들의 피해가 줄어들 것이라고 판단했기 때문이다.

아직까지 KISA의 최상위인증서가 모질라 파이어폭스에 탑재되지 않은 이유는 KISA 하위 공인인증기관들이 웹트러스트 인증을 받지 않았기 때문으로 알려졌다.

현재 국내에서 공인인증사업을 진행하는 한국정보인증, 한국전자인증, 금융결제원, 한국증권전산, 한국전산원, 한국무역정보통신 중 웹트러스트 인증을 받은 기관은 한국전자인증뿐이다.

코모도(Comodo), 베리사인(Verisign) 등과 같은 해외 인증기관들은 하위 인증기관을 따로 두고있지 않다. 자신들이 인증서와 같은 모든 업무를 관장하기 때문에 탑재에도 문제가 없다.

이와 관련 임 팀장은 “최상위인증기관에 대한 검증 등을 통해 당초 목적을 달성할 수 있으리라 본다”고 전했다.

또 KISA는 CA브라우저포럼 가입도 추진한다. KISA는 CA브라우저포럼 가입으로 선도적인 웹보안 기술 도입을 앞당긴다는 계획이다.

한편 CA브라우저포럼은 브라우저 개발사와 CA기관, 보안업체 등을 회원으로 두고 있는 모임으로 EV SSL과 같은 웹보안 기술의 개발과 표준화를 추진하고 있다.
2014/09/25 10:03 2014/09/25 10:03
지란지교소프트 20주년 행사

지란지교소프트 20주년 행사 via http://blog.jiran.com/670


“지란지교소프트가 창립 20주년을 맞이했습니다. 20년전의 그 열정과 그 마음 그대로 ‘다시 시작’하려고 합니다. 직원들의 꿈을 실현시켜주는 ‘드림플랫폼’을 만들어보겠습니다.”

오치영 지란지교소프트 대표

오치영 지란지교소프트 대표

오치영 지란지교소프트 대표는 22일 대치동 사옥에서 열린 ‘땡스디너’에서 드림플랫폼 만들겠다고 강조했다.


지란지교소프트는 1994년 윈도 통신프로그램 ‘잠들지않는시간’으로 창업한 뒤, 개인정보보호 솔루션, 교육기관용 솔루션, 자녀보호 솔루션, 정보보호 솔루션 등을 개발해온 1세대 소프트웨어 벤처기업이다. 법인설립은 1996년에 이뤄졌다.

현재 지란지교소프트는 지란지교시큐리티, 지란지교에스앤씨, 지란소프트재팬 등의 자회사를 보유하고 있으며 사업영역을 지속적으로 확대하고 있다.

오 대표는 “20년 동안 회사를 운영해온 것이 믿겨지지가 않아요. 하지만 IMF가 터지고 벤처거품론 등이 확산됐을때는 정말 힘들었습니다”라고 소회를 밝혔다.

IT업계에 있어 2002년은 악몽의 해였다. 당시 월드컵이란 특수가 있었으나 소프트웨어 시장은 벤처거품이 빠지면서 최악의 상황을 맞이하고 있었다.

지란지교소프트도 여기에서 자유롭지 못했다. 이 회사는 2002년 심각한 경영난으로 인해 대대적인 구조조정을 실시하고, 대전 연구소까지 매각했다. 오 대표에게 이 히스토리는 가슴아픈 기억으로 남아있다.

그는 “2000년에 들어서면서 우리는 최고의 전성기를 맞이했습니다. 사무실도 대치동으로 이전하고 직원수도 많이 늘렸죠. 하지만 시장이 그렇게 될진 예상하지 못했습니다. 아쉬웠던 부분이죠”라고 전했다.

이 회사는 이후 ‘대한민국 소프트웨어 리더 3개년 계획’을 수립했다. 2003년 내실경영, 2004년 인재경영, 2005년 글로벌 경영이란 전략을 전면에 세우고 내실을 다지고 수익모델을 강화했다.

2005년에는 일본시장에 진출했다. 지란지교소프트는 일본 신생업체인 트라이포드웍스와 함께 일본 중소기업공략에 힘을 쏟았다. 이때 트라이포드웍스와의 인연은 지금도 진행 중이다.

2012년에는 미국 샌프란시스코에서 열린 RSA2012에 참석하며 북미 시장 진출을 시작했다. 이때 기자는 취재를 위해 RSA2012에 참석했는데, 기회가 닿아 지란지교소프트의 북미 사무소를 구경하기도 했다.

스무살 청년이 된 지란지교소프트가 바라보는 향후 10년은 어떠할까. 오 대표에게 물었다.

오 대표는 “우리는 100대 글로벌 소프트웨어 기업을 목표로 향후 10년을 치열하게 살아갈 것입니다. 무엇보다도 구성원들의 꿈을 이뤄줄 수 있는 드림플랫폼이 될 수 있도록 노력하겠습니다”고 강조했다.

아직까지 글로벌 시장에서 인정받는 국내 소프트웨어 회사는 없다. 지란지교소프트가 그 선발주자가 돼 주길 기대한다.
2014/09/23 10:13 2014/09/23 10:13
사용자 삽입 이미지
구글 안드로이드 4.4 이전 버전에 탑재된 기본 브라우저(AOSP 브라우저)에서 크로스사이트스크립팅(XSS) 결함에 따른 취약점이 발견됐다.


이 취약점이 악용될 경우 브라우저에서 접근한 모든 데이터가 외부로 유출될 수 있어 주의가 필요하다.

17일 현재까지 알려진 바에 따르면 기본 안드로이드 브라우저는 크로스사이트스크립트(XSS) 취약점을 보유하고 있는데, 이 취약점은 브라우저가 공백(null) 바이트 문자가 포함된 자바 스크립트를 처리하는 과정에서 SOP(Same Origin Policy)를 무력화시킨다.

SOP는 월드와이드웹 컨소시엄(W3C)에서도 보안을 위해 반드시 지키도록 강조하는 규칙이다. 주된 내용은 특정 도메인에서 동작하는 스크립트는 해당 도메인에서만 동작해야 된다는 것이다.

즉, 네이버에서 동작하는 자바 스크립트는 네이버 도메인(*.naver.com)에서만 동작하도록 설계해야 한다는 의미다.

반대로 SOP가 무력화되면 특정 웹페이지에 심어둔 코드나 쿠키가 다른 웹페이지까지 영향을 미칠 수 있게 된다.

사용자가 AOSP 브라우저를 통해 공격자의 웹사이트에 접근하게 되면 그 이후에 접속하는 모든 웹사이트에 대한 정보가 그대로 공격자의 손에 들어갈 수 있게 된다. 당연히 로그인 세션값을 훔칠 수 있게되니 개인정보나 금융정보의 탈취도 가능한 상황이다.

현재 안드로이드 4.4 이상을 쓰는 사용자는 전체 안드로이드 사용자의 70%를 넘는 것으로 파악된다.

이러한 피해를 예방하기 위해서는 XSS 취약점이 해결된 구글 크롬, 오페라 등을 사용해야 한다.
사용자 삽입 이미지

삼성전자의 갤럭시 시리즈에 탑재돼 있는 순정 브라우저의 경우 AOSP를 기반으로 하고 있어 이 역시도 안전하지 않다.
2014/09/17 16:07 2014/09/17 16:07
사용자 삽입 이미지

이번 아이클라우드의 정보 유출 사고 경의에 대해 아직 명확하게 밝혀지지는 않았지만, 누군가 계정 접근에 대한 권한을 얻어 특정 계정으로부터 민감한 사진을 유출시켰다는 것은 명백한 사실이다.

이번 사고는 클라우드 사용이 점차 증가함에 따라 공격에 노출된 부분들을 더욱 철저하게 감시하고, 계정 접근 관리에 민감하게 대응해 보안 위험성을 최소화해야 할 필요성을 여실히 보여줬다.

‘버라이즌 데이터 침해 조사 2014’ 보고서에 따르면, 15번의 스피어 피싱 공격을 한 경우 공격 대상의 90 %가 유해 사이트로 연결되는 ‘클릭’을 하는 것으로 나타났다.

일단 공격자들이 피해 대상의 이메일 주소를 확인한 경우, 보안에 대해 굉장히 민감한 이들을 제외하고는 이와 같은 공격에 속수무책일 수 밖에 없는 것이다.

<딜라이트닷넷>는 보메트릭의 엘런 케슬러(Alan Kessler) 최고경영자(CEO)에게 이번 아이클라우드 사태로 인해 클라우드 서비스에 대한 예상되는 공격 유형과 이에 대한 대응방안을 물어봤다.

Q.계정 탈취가 일어나는 이유는 무엇인가?

케슬러. 클라우드 서비스에서는 클라우드 관리자, 스토리지 관리자, 시스템 관리자 등 권한 있는 사용자 계정이 주요 공격 대상이 된다.

공격자는 사용자의 링크드인, 페이스북 및 기타 미디어를 통해 이러한 계정을 보유하고 있는 사람들을 찾아내고, 이들의 계정을 도용해 시스템 리소스에 대한 접근 권한을 얻는다. 때때로 공격자들은 사용자들이 자주 사용하는 사이트를 통해 데이터를 훔쳐낸다.

이러한 방식을 ‘워터 홀링(Water Holing)’이라고 부르며, 게임 사이트가 주요 공격의 대상이 되는 이유기도 하다. 공격자들은 일명 ‘워터홀(Water hole)’ 공격으로 권한을 훔쳐내고, 그와 같은 권한이 VPN이나 보안 사이트에 대한 액세스 권한으로도 사용될 수 있음을 유추해낸다.

일반적으로 많은 이들이 하나의 아이디/패스워드를 여러 업무 (또는 모든 업무)에 걸쳐 동일하게 사용하고 있기 때문이다.

2014 보메트릭 내부자 위협 보고서에 따르면, 이러한 내부 위협 요소의 2/3가 IT 관리자 계정 및 특정 권한 계정과 관련이 있으며, 또한 내부 네트워크에서 임무를 수행하는 협력업체 인력의 계정과 관련이 있다고 확인됐다.
사용자 삽입 이미지

Q.계정을 잘 보호한다고 모든 문제가 해결되는가? 시스템통합 과정이나 협업에서는 공동으로 사용되는 계정도 있다. 이는 어떻게 해야 하는가


케슬러. 암호화뿐 아니라 중요 데이터에 대한 섬세한 접근 제어 정책 설정이 필요하다.


이러한 정책을 통해 관리자 계정도 암호화된 데이터에 대한 접근을 제한시켜야 하며, 이때 해당 사용자는 아무런 문제 없이 작업 수행은 할 수 있다. 이로써 실제 계정이 도용 당하는 경우에도 ‘공격에 노출되는 면’을 최대한 좁힐 수 있다.

또한, 특정 계정을 통해 확인 가능한 데이터 엑세스 정보도 보호할 수 있다. 기존의 사용 패턴 기록을 통해 각 계정 별로 전형적인 사용 유형을 분석할 수 있으며, 평소와 다른 사용 패턴이 감지되는 경우에 계정 도용에 대한 조사를 실시할 수 있다.

이를 통해 업무상 볼 필요가 없는 정보에 대한 접근이 발생하는 경우, 해당 계정을 즉각 식별함으로써 신속한 대응이 가능하다.
사용자 삽입 이미지

Q.이번 아이클라우드 사태와 관련 나는 멀티팩터인증이 공격을 차단하는데 효과적일 것이라는 컬럼을 쓴 적이 있다. 당신의 생각은 어떠한가.

케슬러. 멀티팩터인증은 ‘공격 범위’를 좁히는 데에 큰 도움이 된다. 계정 정보 탈취를 막기 위해서는  뭔가를 ‘가지고 있는가’뿐만 아니라 뭔가를 ‘알고 있는가’도 중요한 고려 대상이 된다.

뭔가를 ‘알고 있다’는 것은 사용자의 패스워드 및 로그인 정보에 해당하며, ‘가지고 있다’는 것은 보안을 원하는 정보의 양에 따라 매우 다양하게 나타난다. 일부 보안 액세스는 접근을 위해 특정 키를 요구한다.

예를 들어 정부 및 국방 조직에서는 일반적으로 CAC 카드를 사용한다. 또 다른 보호 전략으로는 특정 머신에 로그인하는 방법이 있다. 오직 특정 계정이 특정 머신에서 로그인 된 경우에만 접근 권한을 부여하는 것이다. 또한 오프라인 보안 툴을 통해 액세스를 위한 질문·응답을 요구할 수도 있다.


2014/09/05 14:23 2014/09/05 14:23
사용자 삽입 이미지

제니퍼 로렌스, 케이트 업튼 등 미국 유명 셀럽(연예인)들에게 지난달 31일(현지시각)은 악몽의 하루였을 것이다. 자신의 누드사진들이 외부 해킹에 의해 대외적으로 노출됐기 때문이다. 셀럽들이 누드사진을 찍는 것은 일상다반한 일이지만 문제는 당사자가 원하지 않았음에도 노출됐다는 점이다.

애플, 아이클라우드 해킹 사고 자체 조사 시작



1일(현지시각) 애플은 이번 해킹에 사용된 아이클라우드 취약점을 패치하고 자체적인 조사에 착수했다. 아직까지 어떤 해킹 수법이 사용됐는지는 알려지지 않은 상황이다.

일부 IT, 보안업계에서는 이번 해킹이 브루트포스 수법을 통한 해킹으로 유추하고 있다. 브루트포스에 취약한 점이 확인됐기 때문이다.

먼저 브루트포스 수법을 알아보자. 이 수법은 가장 난이도가 낮으나 강력한 힘을 갖고 있다. 계정 암호값을 알아내기 위해 가능한 모든 값을 대입해 매칭되는 값을 알아내는 방식이다.

가령 4자리 비밀번호의 경우 0000에서부터 9999까지 1만개의 비밀번호를 일일히 암호폼에 입력해 일치하는 값을 알아내는 방법이다. 과거 영화에서 볼 수 있었던 '암호를 알아내기 위해 수많은 숫자들이 스크롤링 되는 장면'이 바로 브루트포스를 이용한 해킹인 것이다.

하지만 브루트포스 공격은 이미 널리 알려진 상황이기 때문에 대응하는 방법도 널리 나와있는 상태다. 가장 일반적인 방법은 캡챠(Capcha)코드를 사용하는 법이다.

일정 횟수 이상 비밀번호를 틀릴 경우 임의의 코드를 입력하도록 새로운 폼을 하나 더 생성해 노출하게 된다. 아직까지 캡챠코드를 읽을 수 있는 애플리케이션이 없기 때문에 브루트포스를 막기에는 최적의 방법이다. 실제로 국내 포털사이트들은 5회 이상 로그인 실패 시 캡챠코드를 보여주며 자동화된 공격을 차단한다.

애플은 디바이스에 대해서는 이를 적용했다. 10회 이상 비밀번호를 틀릴 경우 디바이스에 저장된 모든 데이터를 삭제하도록 하는 기능을 아이폰, 아이패드, 맥 등에 탑재했다.

하지만 아이클라우드에는 이를 적용하지 않았는데, 이 때문에 이번 해킹 사고가 발생하지 않았나하는 지적도 나오고 있는 상황이다.

실제 아이클라우드에서 자신의 계정으로 브루트포스를 시행해보라. 캡챠코드는 커녕 이를 저지하는 팝업하나 뜨지 않음을 확인할 수 있다.
사용자 삽입 이미지

브루트포스 공격을 차단하는 두번째 방법은 멀티팩터인증을 도입하는 것이다. 멀티팩터 인증은 금융회사들이 사용하는 일회용비밀번호(OTP) 생성기나 보안카드 등을 통해 추가로 접근 권한을 부여하는 방법이다.

사용자 본인만 알 수 있는 인증 수단을 통해 제3자의 접근을 통제하는 효율적인 방법이다. 페이스북, 드롭박스, 구글, 에버노트 등 대부분의 서비스 제공자들은 이를 지원하고 있다.

애플도 지난해 북미를 시작으로 멀티팩터인증을 도입했으나 사용하지 않는 사람이 많은 것으로 보인다. 이는 아이클라우드 등록시 멀티팩터인증을 안내하는 절차가 없었기 때문으로 추정된다.  애플의 멀티팩터 인증은 문자메시지를 통해 이뤄진다. 국내 소액인증과 같은 방식이다.

Apple ID의 2단계 확인에 대한 자주 묻는 질문


브루트포스 공격이 사실로 드러난다면 애플에 대한 사용자와 셀럽들의 비난이 집중될 것으로 보인다.
2014/09/02 09:52 2014/09/02 09:52
사용자 삽입 이미지

구글, 애플, 마이크로소프트에 이어 드롭박스도 저장 공간을 늘려 제공하겠다고 밝히면서 클라우드 스토리지 가격 경쟁이 본격화됐다.


참고 : Introducing a more powerful Dropbox Pro



27일(현지시각) 드롭박스는 9.99달러에 100GB를 부여하는 요금제를 개편해 같은 가격에 1TB를 제공할 계획이라고 밝혔다. 드롭박스가 새로 발표한 요금제는 구글 드라이브와도 동일한 수준이며, MS와 애플에 비해서도 저렴한 편이다.

이번 요금제 발표와 관련 주요 외신들은 구글, 애플, MS 등 거대 서비스 사업자들에 대항하기 위한 드롭박스의 전략이라고 보도했다.

특히 ‘가격’은 기존 고객들의 이탈을 막고 신규고객을 유치하기 위한 중요한 요인 중 하나다. 메일서비스처럼 종속성이 강하기 때문이다.

기자도 무료로 사용하던 클라우드 스토리지 슈가싱크(SugarSync)가 전면 유료로 바뀌면서 눈물을 머금고 드롭박스로 이동한 경험이 있다.

관련기사 : [PLAY Cloud] PCC의 원조 ‘슈가싱크’ 써보니

또 애플 아이클라우드, 구글 드라이브, MS 오피스365와 달리 드롭박스는 문서편집이나 협업에 대한 기능이 약하다는 측면을 볼 때 가격 인하는 충분히 방어를 위한 전략으로 유추된다.

하지만 클라우드 스토리지를 선택하는 사용자들은 단순히 ‘가격 대 용량비’를 따지지는 않는다. 서비스의 안정성과 보안에 대한 기능도 꼼꼼히 따지는 사용자들이 늘어나고 있다. 장애로만 그치면 양반이다. 해킹사고가 발생하면 그 피해는 말로 표현할 수 없다.

이런 트렌드에 발 맞춰 드롭박스는 요금제 발표와 함께 보안을 강화했다. 2012년 8월 해킹사고를 경험했고, 스타트업 클라우드 스토리지 사업자 중 유일하게 일회용비밀번호(OTP) 생성기를 지원했던 드롭박스이기에 이는 충분히 예상할 수 있었다.
사용자 삽입 이미지

드롭박스 프로(1TB 이상 요금제)에서는 공개, 비공개로만 할 수 있었던 기능에서 다운로드 횟수, 만료일, 비밀번호 제어 기능을 추가로 사용할 수 있다.

또 공유한 파일을 열람·편집을 가능하게 하거나, 내려받기만 가능하게 제어할 수 있는 기능도 추가됐으며, 디바이스 분실시 디바이스별 원격 삭제 기능도 탑재됐다.
사용자 삽입 이미지

클라우드 스토리지의 가격 경쟁은 일시적인 상황일 것이다. 장기적인 관점에서는 용량보다는 보안이 강력한 서비스가 많은이들의 사랑을 받게 될 것이라고 감히 예측한다.

2014/08/28 16:13 2014/08/28 16:13
사용자 삽입 이미지
전세계 보안SW 시장이 2012년 190억 달러에서 2013년 4.9% 성장한 199억 달러로 조사됐다. 가트너는 이같은 성장세가 이어져 올해는 더 큰 폭으로 성장할 것으로 예측했다.


가트너의 8월 보고서를 살펴보면 올해 전세계 정보보안 지출이 2013년 대비 7.9% 늘어난 711억 달러에 이를 것이며, 그 중 내부정보 유출방지(DLP) 분야 지출이 18.9% 로 가장 빠른 성장세를 보일 것으로 전망된다. 2015년 전체 정보보안 지출 규모는 8.2% 더 성장해 769억 달러에 달할 전망이다.

특히 모바일, 클라우드, 소셜 및 정보 관련 기술 도입이 늘어나면서, 2016년까지 새로운 보안 기술과 서비스 사용이 늘어날 것으로 예측된다.

가트너 책임 연구원 로렌스 핑그리(Lawrence Pingree)는 “힘의 결합(클라우드, 소셜, 모바일 및 정보의 결합)이 신규 취약점을 소개하며 보안에 영향을 미치는 중”이라며, “그러나 동시에 상황 정보와 기타 보안 인텔리전스의 사용으로 보안 위협을 더 잘 이해하도록 해 보안 효과를 개선하는 기회도 제공하고 있다”고 말했다.

2013년 한해 동안 보안 분야에서 두드러진 경향은 보안 위협의 민주화였다. 악성코드(malware)와 지하경제 인프라의 사용이 쉬워지면서 보안 위협이 대중화됐으며 이로 인해 그간 보안을 IT 업무나 비용 부문으로 여기던 기업들 사이에서 정보 보안에 대한 인식이 강화됐다는 평가다.

가트너는 또 클라우드 기반 서비스가 증가함에 따라 새롭게 부상하는 공급 모델(delivery model)이 광범위한 보안 시장에 영향을 주고 있다.

클라우드 기반 서비스가 가진 가격 경쟁력이 보안 시장에 압력을 가하고 있지만, 사내 보안 제품을 설치하는 대신 클라우드 기반 서비스, 클라우드 관리 제품을 도입하는 기업이 늘면서 클라우드가 보안 시장에 새로운 성장 기회를 제공하는 중이다. 2015년에 이르면 중소기업들이 도입하는 보안 통제 제품의 30% 이상이 클라우드에 기반할 것이다.
 
반면 국내 보안 시장의 성장세는 글로벌 보안 시장의 절반 수준으로 집계됐다. 앞으로의 성장률도 관망하기 힘든 상황이며, 이를 타계할 방법으로 클라우드 기반 서비스가 제시되고 있으나 여전히 도입에는 시간이 걸릴 것으로 예상된다.

이에 대해 보안전문가들은 우리나라가 각종 정보유출로 몸살을 앓은 상황에 비해 크게 진전된 것이 없다는 평가를 내리고 있다.

업계 관계자는 “짧은 시간동안 너무 많은 사고를 경험해 기업의 보안실무자들은 ‘어디부터 투자를 해야할 지 막막하다’는 이야기를 전해온다”며 “당분간은 이런 상황이 지속도리 것으로 예측한다”

수치로 살펴보자. 지식정보보안산업협회(KISIA)에 따르면 2012년 1억5770만원에서 2.5% 성장한 16억1676만원에 그쳤다. 실질적으로 대부분의 업체가 마이너스 성장을 한 셈이다.
사용자 삽입 이미지

실제로 국내에서는 네트워크 보안 솔루션을 제외한 솔루션에 대한 매출 상승이 미비했다. 다만 보안 컨설팅이나 교육, 훈련 등으로 인한 매출 향상이 빈자리를 메꾸고 있는 것으로 나타났다.

이 같은 사실을 뒷받침 하듯 국내 보안업체들의 보릿고개는 지난해부터 지금까지 이어지고 있다.

올 상반기를 기준으로 안랩, 인포섹, 시큐아이 등 보안 탑3 업체를 제외한 대부분의 보안업체들은 매출 하락으로 신음하고 있으며, 하반기에도 이러한 상황이 타개되지 않을 것이란 예측이 나온 상황이다.

증권가에서는 “기업, 기관들의 보안 투자가 이뤄지고 있지 않아 보안업체들의 보릿고개는 내년까지 이어질 것”이라고 평했다.

이 같은 상황을 극복하기 위해서는 정부의 투자가 우선돼야 한다는 주장이 지속적으로 나오고 있다. 심종헌 KISIA  회장은 “보안산업을 육성하기 위해서는 정부에서 투자를 먼저 해야 한다”며 “정보화예산 안에 정보보호예산이 포함돼 있는 상황에서 이를 확보한다는 것은 사실 힘들다”며 정부의 적극적인 투자를 요구했다.

이러한 요구에 대해 강성주 미래창조과학부 정보화전략국장은 “텐텐전략을 통해 정보보호산업 육성에 나서겠다”고 밝힌바 있다.

일각에서는 정부 투자만 바라보는 국내 보안산업의 병폐를 극복해야한다는 주장도 나오고 있으나 그 전에 보안업체들이 연구개발에 집중할 수 있는 환경을 조성해주는 것이 먼저라 생각한다.
2014/08/26 15:39 2014/08/26 15:39