사용자 삽입 이미지
한국인터넷진흥원(KISA)이 웹트러스트(WebTrust) 인증 갱신과 CA브라우저포럼 가입을 추진한다. 이를 통해 KISA는 새로운 웹보안 기술의 빠른 도입과 모질라 파이어폭스에 최상위인증서(root CA) 탑재가 가능해질 것으로 기대하고 있다.


25일 KISA는 ‘2014년 웹트러스트 인증’ 용역 사업을 발주하고 입찰 등록을 시작했다. 웹트러스트는 기업이나 기관의 개인정보보호, 트랜잭션 무결성 등 전반적인 보안상태를 점검하고, 그 상태가 일정 수준 이상일 경우 부여되는 인증이다. 이를 획득할 경우 신뢰성 확보와 더불러 다양한 인증서 발급사업을 추진할 수 있다.

임진수 KISA 전자인증팀장은 “이는 올해 초 받은 웹트러스트 인증을 갱신함과 동시에 모질라에 최상위인증서를 탑재를 지원하는 사업”이라며 “올초 웹트러스트 인증을 받았으나 다소 미비한 부분이 있어 모질라와 이견이 있었다. 이번 용역 사업을 통해 해소할 수 있을 것으로 기대한다”고 설명했다.

KISA의 웹트러스트 인증 획득 목적은 최상위인증서를 모질라 파이어폭스에서 사용할 수 있도록 하기 위해서다. 모질라는 웹트러스트 인증을 받은 공인인증기관의 인증서만 탑재해주고 있다. 신뢰할 수 있는 공인인증기관의 인증서만 탑재해야 사용자들의 피해가 줄어들 것이라고 판단했기 때문이다.

아직까지 KISA의 최상위인증서가 모질라 파이어폭스에 탑재되지 않은 이유는 KISA 하위 공인인증기관들이 웹트러스트 인증을 받지 않았기 때문으로 알려졌다.

현재 국내에서 공인인증사업을 진행하는 한국정보인증, 한국전자인증, 금융결제원, 한국증권전산, 한국전산원, 한국무역정보통신 중 웹트러스트 인증을 받은 기관은 한국전자인증뿐이다.

코모도(Comodo), 베리사인(Verisign) 등과 같은 해외 인증기관들은 하위 인증기관을 따로 두고있지 않다. 자신들이 인증서와 같은 모든 업무를 관장하기 때문에 탑재에도 문제가 없다.

이와 관련 임 팀장은 “최상위인증기관에 대한 검증 등을 통해 당초 목적을 달성할 수 있으리라 본다”고 전했다.

또 KISA는 CA브라우저포럼 가입도 추진한다. KISA는 CA브라우저포럼 가입으로 선도적인 웹보안 기술 도입을 앞당긴다는 계획이다.

한편 CA브라우저포럼은 브라우저 개발사와 CA기관, 보안업체 등을 회원으로 두고 있는 모임으로 EV SSL과 같은 웹보안 기술의 개발과 표준화를 추진하고 있다.
2014/09/25 10:03 2014/09/25 10:03
사용자 삽입 이미지
시만텍(www.symantec.co.kr)은 아이폰 사용자들의 안전한 스마트폰 사용을 위한 3단계 보안수칙을 발표했다.


최근 할리우드 유명 여배우의 사생활 사진이 SNS를 통해 확산되는 사건이 발생함에 따라 애플 아이클라우드(iCloud)의 보안에 대해 걱정을 하는 사람들이 많아졌다. 이에 시만텍은 애플 계정과 기기를 사용하는 사람이라면 누구나 활용할 수 있는 쉽고 간단한 보안 수칙을 제시했다.

1단계: 터치 아이디 지문 인식 활성화

아이폰을 설정할 때 반드시 터치아이디(ID) 기능을 활성화한다. 아이폰 5S와 아이폰 6, 아이폰 6플러스에 내장돼 있는 터치아이디는 지문 인식을 통해 사용자를 인증한다. 이를 통해 아이폰 잠금을 해제하거나, 아이튠즈와 앱스토어, 애플페이에서 제품 및 서비스의 구매가 가능하다.

초기 아이폰 설정 시 터치아이디를 활성화하지 않았더라도, 이후 설정 메뉴에서 해당 기능을 이용할 수 있다.

최신 아이폰이 아니더라도 반드시 기기에 비밀번호(Passcode)를 설정한다. 시만텍 ‘스마트폰 허니 스틱(Honey Stick) 프로젝트’에서 강조했듯이, 비밀번호를 설정해야 아이폰을 분실했거나 도난 당했을 때 다른 사람이 쉽게 잠금을 해제할 수 없다.

참고기사 : 분실된 스마트폰을 주운 사람은 무슨 행동을 할까?


스마트폰 허니 스틱 프로젝트는 시만텍이 가상의 기업 및 개인 데이터를 저장한 스마트폰 50여개를 의도적으로 분실한 후, 이를 추적한 실험이다. 실험 결과, 습득자의 96%가 스마트폰에 저장된 데이터나 앱에 접속을 시도했으며, 분실된 스마트폰의 50%는 되찾지 못한 것으로 나타났다.
 
2단계: 강력하고 복잡한 애플 아이디 비밀번호 사용

아이튠즈와 애플의 앱스토어에서 구매 시 애플 아이디가 사용된다. 또한 아이폰과 아이패드에서 아이클라우드 기능을 사용할 때에도 아이디가 필요하다. 따라서 강력한 비밀번호를 사용하는 것이 매우 중요하다.

애플 아이디를 만들기 위한 기본 비밀번호 생성 조건으로 소문자와 대문자 그리고 숫자가 각각 한 자리 이상 포함돼야 하며, 최소 8자 이상의 문자로 이루어져야 한다. 비밀번호 구성 시 최소 8자 이상으로 구성하고, 무작위로 문자를 사용함으로써 보안을 강화할 수 있다.

예를 들어 ‘P@ssw0rd’와 같이 문자 대신 기호를 사용한 패스워드는 최소 보안 조건은 충족시킬 수 있지만 여전히 취약한 반면, ‘d*&Z0jWv7Y2E$e’와 같은 알파벳과 숫자, 특수 문자를 조합한 비밀번호는 더욱 강력하다.

또한 다양한 사이트와 서비스에 동일한 비밀번호를 사용하는 것은 매우 위험하다. 현관문과 자동차에 동일한 키를 사용하지 않는 것처럼 계정마다 다른 비밀번호를 사용해야 한다.

하지만, 사용자 입장에서 강력하고 복잡한 비밀번호를 생성하고 기억하는 것은 어려운 일이다. 이런 경우에는 노턴 아이디 세이프(Norton 아이디entity Safe), 라스트패스(LastPass), 1패스워드(1Password) 등과 같은 비밀번호 관리 프로그램을 사용하는 것도 좋은 방법이다.

3단계: 이중 인증 사용

비밀번호 사용보다 강력한 보안 수준을 위해서 시만텍은 이중 인증 사용을 권고한다. 공격자들은 애플 아이디와 비밀번호를 탈취하기 위해 일반적으로 피싱 사기수법으로 애플 기기 사용자를 공격한다. 하지만 이중 인증을 사용함으로써 공격자가 동일한 사용자 이름과 비밀번호로 애플 아이디와 아이클라우드 데이터에 접근하지 못하도록 보호해준다.

이중 인증은 애플 아이디를 보호하기 위한 추가적인 보안 단계이다. 기본적으로 계정에 로그인하고 수정하기 위해 단순한 비밀번호 외에도 피셔(Phisher)들이 접근할 수 없는 신용 단말기로 전송되는 인증 번호가 필요하다.

이중 인증을 사용하려면 애플 아이디로 로그인한 후 암호 설정(Password and Security option)에서 스마트폰이나 태블릿을 신용 단말기로 등록한다. 이때 반드시 애플 암호 키 복구(Recovery key)를 준비해둬 스마트폰의 분실 또는 즉각적인 접근이 불가능하거나, 계정에 로그인이 필요한 경우에 대비해야 한다.

2014/09/23 13:32 2014/09/23 13:32
지란지교소프트 20주년 행사

지란지교소프트 20주년 행사 via http://blog.jiran.com/670


“지란지교소프트가 창립 20주년을 맞이했습니다. 20년전의 그 열정과 그 마음 그대로 ‘다시 시작’하려고 합니다. 직원들의 꿈을 실현시켜주는 ‘드림플랫폼’을 만들어보겠습니다.”

오치영 지란지교소프트 대표

오치영 지란지교소프트 대표

오치영 지란지교소프트 대표는 22일 대치동 사옥에서 열린 ‘땡스디너’에서 드림플랫폼 만들겠다고 강조했다.


지란지교소프트는 1994년 윈도 통신프로그램 ‘잠들지않는시간’으로 창업한 뒤, 개인정보보호 솔루션, 교육기관용 솔루션, 자녀보호 솔루션, 정보보호 솔루션 등을 개발해온 1세대 소프트웨어 벤처기업이다. 법인설립은 1996년에 이뤄졌다.

현재 지란지교소프트는 지란지교시큐리티, 지란지교에스앤씨, 지란소프트재팬 등의 자회사를 보유하고 있으며 사업영역을 지속적으로 확대하고 있다.

오 대표는 “20년 동안 회사를 운영해온 것이 믿겨지지가 않아요. 하지만 IMF가 터지고 벤처거품론 등이 확산됐을때는 정말 힘들었습니다”라고 소회를 밝혔다.

IT업계에 있어 2002년은 악몽의 해였다. 당시 월드컵이란 특수가 있었으나 소프트웨어 시장은 벤처거품이 빠지면서 최악의 상황을 맞이하고 있었다.

지란지교소프트도 여기에서 자유롭지 못했다. 이 회사는 2002년 심각한 경영난으로 인해 대대적인 구조조정을 실시하고, 대전 연구소까지 매각했다. 오 대표에게 이 히스토리는 가슴아픈 기억으로 남아있다.

그는 “2000년에 들어서면서 우리는 최고의 전성기를 맞이했습니다. 사무실도 대치동으로 이전하고 직원수도 많이 늘렸죠. 하지만 시장이 그렇게 될진 예상하지 못했습니다. 아쉬웠던 부분이죠”라고 전했다.

이 회사는 이후 ‘대한민국 소프트웨어 리더 3개년 계획’을 수립했다. 2003년 내실경영, 2004년 인재경영, 2005년 글로벌 경영이란 전략을 전면에 세우고 내실을 다지고 수익모델을 강화했다.

2005년에는 일본시장에 진출했다. 지란지교소프트는 일본 신생업체인 트라이포드웍스와 함께 일본 중소기업공략에 힘을 쏟았다. 이때 트라이포드웍스와의 인연은 지금도 진행 중이다.

2012년에는 미국 샌프란시스코에서 열린 RSA2012에 참석하며 북미 시장 진출을 시작했다. 이때 기자는 취재를 위해 RSA2012에 참석했는데, 기회가 닿아 지란지교소프트의 북미 사무소를 구경하기도 했다.

스무살 청년이 된 지란지교소프트가 바라보는 향후 10년은 어떠할까. 오 대표에게 물었다.

오 대표는 “우리는 100대 글로벌 소프트웨어 기업을 목표로 향후 10년을 치열하게 살아갈 것입니다. 무엇보다도 구성원들의 꿈을 이뤄줄 수 있는 드림플랫폼이 될 수 있도록 노력하겠습니다”고 강조했다.

아직까지 글로벌 시장에서 인정받는 국내 소프트웨어 회사는 없다. 지란지교소프트가 그 선발주자가 돼 주길 기대한다.
2014/09/23 10:13 2014/09/23 10:13
사용자 삽입 이미지
구글 안드로이드 4.4 이전 버전에 탑재된 기본 브라우저(AOSP 브라우저)에서 크로스사이트스크립팅(XSS) 결함에 따른 취약점이 발견됐다.


이 취약점이 악용될 경우 브라우저에서 접근한 모든 데이터가 외부로 유출될 수 있어 주의가 필요하다.

17일 현재까지 알려진 바에 따르면 기본 안드로이드 브라우저는 크로스사이트스크립트(XSS) 취약점을 보유하고 있는데, 이 취약점은 브라우저가 공백(null) 바이트 문자가 포함된 자바 스크립트를 처리하는 과정에서 SOP(Same Origin Policy)를 무력화시킨다.

SOP는 월드와이드웹 컨소시엄(W3C)에서도 보안을 위해 반드시 지키도록 강조하는 규칙이다. 주된 내용은 특정 도메인에서 동작하는 스크립트는 해당 도메인에서만 동작해야 된다는 것이다.

즉, 네이버에서 동작하는 자바 스크립트는 네이버 도메인(*.naver.com)에서만 동작하도록 설계해야 한다는 의미다.

반대로 SOP가 무력화되면 특정 웹페이지에 심어둔 코드나 쿠키가 다른 웹페이지까지 영향을 미칠 수 있게 된다.

사용자가 AOSP 브라우저를 통해 공격자의 웹사이트에 접근하게 되면 그 이후에 접속하는 모든 웹사이트에 대한 정보가 그대로 공격자의 손에 들어갈 수 있게 된다. 당연히 로그인 세션값을 훔칠 수 있게되니 개인정보나 금융정보의 탈취도 가능한 상황이다.

현재 안드로이드 4.4 이상을 쓰는 사용자는 전체 안드로이드 사용자의 70%를 넘는 것으로 파악된다.

이러한 피해를 예방하기 위해서는 XSS 취약점이 해결된 구글 크롬, 오페라 등을 사용해야 한다.
사용자 삽입 이미지

삼성전자의 갤럭시 시리즈에 탑재돼 있는 순정 브라우저의 경우 AOSP를 기반으로 하고 있어 이 역시도 안전하지 않다.
2014/09/17 16:07 2014/09/17 16:07
사용자 삽입 이미지

이번 아이클라우드의 정보 유출 사고 경의에 대해 아직 명확하게 밝혀지지는 않았지만, 누군가 계정 접근에 대한 권한을 얻어 특정 계정으로부터 민감한 사진을 유출시켰다는 것은 명백한 사실이다.

이번 사고는 클라우드 사용이 점차 증가함에 따라 공격에 노출된 부분들을 더욱 철저하게 감시하고, 계정 접근 관리에 민감하게 대응해 보안 위험성을 최소화해야 할 필요성을 여실히 보여줬다.

‘버라이즌 데이터 침해 조사 2014’ 보고서에 따르면, 15번의 스피어 피싱 공격을 한 경우 공격 대상의 90 %가 유해 사이트로 연결되는 ‘클릭’을 하는 것으로 나타났다.

일단 공격자들이 피해 대상의 이메일 주소를 확인한 경우, 보안에 대해 굉장히 민감한 이들을 제외하고는 이와 같은 공격에 속수무책일 수 밖에 없는 것이다.

<딜라이트닷넷>는 보메트릭의 엘런 케슬러(Alan Kessler) 최고경영자(CEO)에게 이번 아이클라우드 사태로 인해 클라우드 서비스에 대한 예상되는 공격 유형과 이에 대한 대응방안을 물어봤다.

Q.계정 탈취가 일어나는 이유는 무엇인가?

케슬러. 클라우드 서비스에서는 클라우드 관리자, 스토리지 관리자, 시스템 관리자 등 권한 있는 사용자 계정이 주요 공격 대상이 된다.

공격자는 사용자의 링크드인, 페이스북 및 기타 미디어를 통해 이러한 계정을 보유하고 있는 사람들을 찾아내고, 이들의 계정을 도용해 시스템 리소스에 대한 접근 권한을 얻는다. 때때로 공격자들은 사용자들이 자주 사용하는 사이트를 통해 데이터를 훔쳐낸다.

이러한 방식을 ‘워터 홀링(Water Holing)’이라고 부르며, 게임 사이트가 주요 공격의 대상이 되는 이유기도 하다. 공격자들은 일명 ‘워터홀(Water hole)’ 공격으로 권한을 훔쳐내고, 그와 같은 권한이 VPN이나 보안 사이트에 대한 액세스 권한으로도 사용될 수 있음을 유추해낸다.

일반적으로 많은 이들이 하나의 아이디/패스워드를 여러 업무 (또는 모든 업무)에 걸쳐 동일하게 사용하고 있기 때문이다.

2014 보메트릭 내부자 위협 보고서에 따르면, 이러한 내부 위협 요소의 2/3가 IT 관리자 계정 및 특정 권한 계정과 관련이 있으며, 또한 내부 네트워크에서 임무를 수행하는 협력업체 인력의 계정과 관련이 있다고 확인됐다.
사용자 삽입 이미지

Q.계정을 잘 보호한다고 모든 문제가 해결되는가? 시스템통합 과정이나 협업에서는 공동으로 사용되는 계정도 있다. 이는 어떻게 해야 하는가


케슬러. 암호화뿐 아니라 중요 데이터에 대한 섬세한 접근 제어 정책 설정이 필요하다.


이러한 정책을 통해 관리자 계정도 암호화된 데이터에 대한 접근을 제한시켜야 하며, 이때 해당 사용자는 아무런 문제 없이 작업 수행은 할 수 있다. 이로써 실제 계정이 도용 당하는 경우에도 ‘공격에 노출되는 면’을 최대한 좁힐 수 있다.

또한, 특정 계정을 통해 확인 가능한 데이터 엑세스 정보도 보호할 수 있다. 기존의 사용 패턴 기록을 통해 각 계정 별로 전형적인 사용 유형을 분석할 수 있으며, 평소와 다른 사용 패턴이 감지되는 경우에 계정 도용에 대한 조사를 실시할 수 있다.

이를 통해 업무상 볼 필요가 없는 정보에 대한 접근이 발생하는 경우, 해당 계정을 즉각 식별함으로써 신속한 대응이 가능하다.
사용자 삽입 이미지

Q.이번 아이클라우드 사태와 관련 나는 멀티팩터인증이 공격을 차단하는데 효과적일 것이라는 컬럼을 쓴 적이 있다. 당신의 생각은 어떠한가.

케슬러. 멀티팩터인증은 ‘공격 범위’를 좁히는 데에 큰 도움이 된다. 계정 정보 탈취를 막기 위해서는  뭔가를 ‘가지고 있는가’뿐만 아니라 뭔가를 ‘알고 있는가’도 중요한 고려 대상이 된다.

뭔가를 ‘알고 있다’는 것은 사용자의 패스워드 및 로그인 정보에 해당하며, ‘가지고 있다’는 것은 보안을 원하는 정보의 양에 따라 매우 다양하게 나타난다. 일부 보안 액세스는 접근을 위해 특정 키를 요구한다.

예를 들어 정부 및 국방 조직에서는 일반적으로 CAC 카드를 사용한다. 또 다른 보호 전략으로는 특정 머신에 로그인하는 방법이 있다. 오직 특정 계정이 특정 머신에서 로그인 된 경우에만 접근 권한을 부여하는 것이다. 또한 오프라인 보안 툴을 통해 액세스를 위한 질문·응답을 요구할 수도 있다.


2014/09/05 14:23 2014/09/05 14:23
사용자 삽입 이미지

제니퍼 로렌스, 케이트 업튼 등 미국 유명 셀럽(연예인)들에게 지난달 31일(현지시각)은 악몽의 하루였을 것이다. 자신의 누드사진들이 외부 해킹에 의해 대외적으로 노출됐기 때문이다. 셀럽들이 누드사진을 찍는 것은 일상다반한 일이지만 문제는 당사자가 원하지 않았음에도 노출됐다는 점이다.

애플, 아이클라우드 해킹 사고 자체 조사 시작



1일(현지시각) 애플은 이번 해킹에 사용된 아이클라우드 취약점을 패치하고 자체적인 조사에 착수했다. 아직까지 어떤 해킹 수법이 사용됐는지는 알려지지 않은 상황이다.

일부 IT, 보안업계에서는 이번 해킹이 브루트포스 수법을 통한 해킹으로 유추하고 있다. 브루트포스에 취약한 점이 확인됐기 때문이다.

먼저 브루트포스 수법을 알아보자. 이 수법은 가장 난이도가 낮으나 강력한 힘을 갖고 있다. 계정 암호값을 알아내기 위해 가능한 모든 값을 대입해 매칭되는 값을 알아내는 방식이다.

가령 4자리 비밀번호의 경우 0000에서부터 9999까지 1만개의 비밀번호를 일일히 암호폼에 입력해 일치하는 값을 알아내는 방법이다. 과거 영화에서 볼 수 있었던 '암호를 알아내기 위해 수많은 숫자들이 스크롤링 되는 장면'이 바로 브루트포스를 이용한 해킹인 것이다.

하지만 브루트포스 공격은 이미 널리 알려진 상황이기 때문에 대응하는 방법도 널리 나와있는 상태다. 가장 일반적인 방법은 캡챠(Capcha)코드를 사용하는 법이다.

일정 횟수 이상 비밀번호를 틀릴 경우 임의의 코드를 입력하도록 새로운 폼을 하나 더 생성해 노출하게 된다. 아직까지 캡챠코드를 읽을 수 있는 애플리케이션이 없기 때문에 브루트포스를 막기에는 최적의 방법이다. 실제로 국내 포털사이트들은 5회 이상 로그인 실패 시 캡챠코드를 보여주며 자동화된 공격을 차단한다.

애플은 디바이스에 대해서는 이를 적용했다. 10회 이상 비밀번호를 틀릴 경우 디바이스에 저장된 모든 데이터를 삭제하도록 하는 기능을 아이폰, 아이패드, 맥 등에 탑재했다.

하지만 아이클라우드에는 이를 적용하지 않았는데, 이 때문에 이번 해킹 사고가 발생하지 않았나하는 지적도 나오고 있는 상황이다.

실제 아이클라우드에서 자신의 계정으로 브루트포스를 시행해보라. 캡챠코드는 커녕 이를 저지하는 팝업하나 뜨지 않음을 확인할 수 있다.
사용자 삽입 이미지

브루트포스 공격을 차단하는 두번째 방법은 멀티팩터인증을 도입하는 것이다. 멀티팩터 인증은 금융회사들이 사용하는 일회용비밀번호(OTP) 생성기나 보안카드 등을 통해 추가로 접근 권한을 부여하는 방법이다.

사용자 본인만 알 수 있는 인증 수단을 통해 제3자의 접근을 통제하는 효율적인 방법이다. 페이스북, 드롭박스, 구글, 에버노트 등 대부분의 서비스 제공자들은 이를 지원하고 있다.

애플도 지난해 북미를 시작으로 멀티팩터인증을 도입했으나 사용하지 않는 사람이 많은 것으로 보인다. 이는 아이클라우드 등록시 멀티팩터인증을 안내하는 절차가 없었기 때문으로 추정된다.  애플의 멀티팩터 인증은 문자메시지를 통해 이뤄진다. 국내 소액인증과 같은 방식이다.

Apple ID의 2단계 확인에 대한 자주 묻는 질문


브루트포스 공격이 사실로 드러난다면 애플에 대한 사용자와 셀럽들의 비난이 집중될 것으로 보인다.
2014/09/02 09:52 2014/09/02 09:52
사용자 삽입 이미지

구글, 애플, 마이크로소프트에 이어 드롭박스도 저장 공간을 늘려 제공하겠다고 밝히면서 클라우드 스토리지 가격 경쟁이 본격화됐다.


참고 : Introducing a more powerful Dropbox Pro



27일(현지시각) 드롭박스는 9.99달러에 100GB를 부여하는 요금제를 개편해 같은 가격에 1TB를 제공할 계획이라고 밝혔다. 드롭박스가 새로 발표한 요금제는 구글 드라이브와도 동일한 수준이며, MS와 애플에 비해서도 저렴한 편이다.

이번 요금제 발표와 관련 주요 외신들은 구글, 애플, MS 등 거대 서비스 사업자들에 대항하기 위한 드롭박스의 전략이라고 보도했다.

특히 ‘가격’은 기존 고객들의 이탈을 막고 신규고객을 유치하기 위한 중요한 요인 중 하나다. 메일서비스처럼 종속성이 강하기 때문이다.

기자도 무료로 사용하던 클라우드 스토리지 슈가싱크(SugarSync)가 전면 유료로 바뀌면서 눈물을 머금고 드롭박스로 이동한 경험이 있다.

관련기사 : [PLAY Cloud] PCC의 원조 ‘슈가싱크’ 써보니

또 애플 아이클라우드, 구글 드라이브, MS 오피스365와 달리 드롭박스는 문서편집이나 협업에 대한 기능이 약하다는 측면을 볼 때 가격 인하는 충분히 방어를 위한 전략으로 유추된다.

하지만 클라우드 스토리지를 선택하는 사용자들은 단순히 ‘가격 대 용량비’를 따지지는 않는다. 서비스의 안정성과 보안에 대한 기능도 꼼꼼히 따지는 사용자들이 늘어나고 있다. 장애로만 그치면 양반이다. 해킹사고가 발생하면 그 피해는 말로 표현할 수 없다.

이런 트렌드에 발 맞춰 드롭박스는 요금제 발표와 함께 보안을 강화했다. 2012년 8월 해킹사고를 경험했고, 스타트업 클라우드 스토리지 사업자 중 유일하게 일회용비밀번호(OTP) 생성기를 지원했던 드롭박스이기에 이는 충분히 예상할 수 있었다.
사용자 삽입 이미지

드롭박스 프로(1TB 이상 요금제)에서는 공개, 비공개로만 할 수 있었던 기능에서 다운로드 횟수, 만료일, 비밀번호 제어 기능을 추가로 사용할 수 있다.

또 공유한 파일을 열람·편집을 가능하게 하거나, 내려받기만 가능하게 제어할 수 있는 기능도 추가됐으며, 디바이스 분실시 디바이스별 원격 삭제 기능도 탑재됐다.
사용자 삽입 이미지

클라우드 스토리지의 가격 경쟁은 일시적인 상황일 것이다. 장기적인 관점에서는 용량보다는 보안이 강력한 서비스가 많은이들의 사랑을 받게 될 것이라고 감히 예측한다.

2014/08/28 16:13 2014/08/28 16:13
사용자 삽입 이미지
전세계 보안SW 시장이 2012년 190억 달러에서 2013년 4.9% 성장한 199억 달러로 조사됐다. 가트너는 이같은 성장세가 이어져 올해는 더 큰 폭으로 성장할 것으로 예측했다.


가트너의 8월 보고서를 살펴보면 올해 전세계 정보보안 지출이 2013년 대비 7.9% 늘어난 711억 달러에 이를 것이며, 그 중 내부정보 유출방지(DLP) 분야 지출이 18.9% 로 가장 빠른 성장세를 보일 것으로 전망된다. 2015년 전체 정보보안 지출 규모는 8.2% 더 성장해 769억 달러에 달할 전망이다.

특히 모바일, 클라우드, 소셜 및 정보 관련 기술 도입이 늘어나면서, 2016년까지 새로운 보안 기술과 서비스 사용이 늘어날 것으로 예측된다.

가트너 책임 연구원 로렌스 핑그리(Lawrence Pingree)는 “힘의 결합(클라우드, 소셜, 모바일 및 정보의 결합)이 신규 취약점을 소개하며 보안에 영향을 미치는 중”이라며, “그러나 동시에 상황 정보와 기타 보안 인텔리전스의 사용으로 보안 위협을 더 잘 이해하도록 해 보안 효과를 개선하는 기회도 제공하고 있다”고 말했다.

2013년 한해 동안 보안 분야에서 두드러진 경향은 보안 위협의 민주화였다. 악성코드(malware)와 지하경제 인프라의 사용이 쉬워지면서 보안 위협이 대중화됐으며 이로 인해 그간 보안을 IT 업무나 비용 부문으로 여기던 기업들 사이에서 정보 보안에 대한 인식이 강화됐다는 평가다.

가트너는 또 클라우드 기반 서비스가 증가함에 따라 새롭게 부상하는 공급 모델(delivery model)이 광범위한 보안 시장에 영향을 주고 있다.

클라우드 기반 서비스가 가진 가격 경쟁력이 보안 시장에 압력을 가하고 있지만, 사내 보안 제품을 설치하는 대신 클라우드 기반 서비스, 클라우드 관리 제품을 도입하는 기업이 늘면서 클라우드가 보안 시장에 새로운 성장 기회를 제공하는 중이다. 2015년에 이르면 중소기업들이 도입하는 보안 통제 제품의 30% 이상이 클라우드에 기반할 것이다.
 
반면 국내 보안 시장의 성장세는 글로벌 보안 시장의 절반 수준으로 집계됐다. 앞으로의 성장률도 관망하기 힘든 상황이며, 이를 타계할 방법으로 클라우드 기반 서비스가 제시되고 있으나 여전히 도입에는 시간이 걸릴 것으로 예상된다.

이에 대해 보안전문가들은 우리나라가 각종 정보유출로 몸살을 앓은 상황에 비해 크게 진전된 것이 없다는 평가를 내리고 있다.

업계 관계자는 “짧은 시간동안 너무 많은 사고를 경험해 기업의 보안실무자들은 ‘어디부터 투자를 해야할 지 막막하다’는 이야기를 전해온다”며 “당분간은 이런 상황이 지속도리 것으로 예측한다”

수치로 살펴보자. 지식정보보안산업협회(KISIA)에 따르면 2012년 1억5770만원에서 2.5% 성장한 16억1676만원에 그쳤다. 실질적으로 대부분의 업체가 마이너스 성장을 한 셈이다.
사용자 삽입 이미지

실제로 국내에서는 네트워크 보안 솔루션을 제외한 솔루션에 대한 매출 상승이 미비했다. 다만 보안 컨설팅이나 교육, 훈련 등으로 인한 매출 향상이 빈자리를 메꾸고 있는 것으로 나타났다.

이 같은 사실을 뒷받침 하듯 국내 보안업체들의 보릿고개는 지난해부터 지금까지 이어지고 있다.

올 상반기를 기준으로 안랩, 인포섹, 시큐아이 등 보안 탑3 업체를 제외한 대부분의 보안업체들은 매출 하락으로 신음하고 있으며, 하반기에도 이러한 상황이 타개되지 않을 것이란 예측이 나온 상황이다.

증권가에서는 “기업, 기관들의 보안 투자가 이뤄지고 있지 않아 보안업체들의 보릿고개는 내년까지 이어질 것”이라고 평했다.

이 같은 상황을 극복하기 위해서는 정부의 투자가 우선돼야 한다는 주장이 지속적으로 나오고 있다. 심종헌 KISIA  회장은 “보안산업을 육성하기 위해서는 정부에서 투자를 먼저 해야 한다”며 “정보화예산 안에 정보보호예산이 포함돼 있는 상황에서 이를 확보한다는 것은 사실 힘들다”며 정부의 적극적인 투자를 요구했다.

이러한 요구에 대해 강성주 미래창조과학부 정보화전략국장은 “텐텐전략을 통해 정보보호산업 육성에 나서겠다”고 밝힌바 있다.

일각에서는 정부 투자만 바라보는 국내 보안산업의 병폐를 극복해야한다는 주장도 나오고 있으나 그 전에 보안업체들이 연구개발에 집중할 수 있는 환경을 조성해주는 것이 먼저라 생각한다.
2014/08/26 15:39 2014/08/26 15:39
사용자 삽입 이미지

“나는 20년 동안 방화벽, 침입방지시스템 등 전통적인 보안솔루션 시장에서 살아왔다. 우리가 새로운 회사를 인수한다면 당연히 거기는(전통적인 보안솔루션 업체)아닐 것이다.”

20일 방한한 데이브 메르켈 파이어아이 최고기술책임자(CTO)는 “다음에 인수할 회사는 어떤 회사가 될 것인가?”라는 기자의 질문에 이렇게 답했다.

그는 “나는 CTO로 기업인수에 대한 이야기를 하는 것이 적절치는 않다고 생각한다. 하지만 반대로 CTO의 입장에서 인수에 대한 결정권이 있다면 파이어아이의 ‘4단계 위협 예방 프로세스’에 부합하는 기업을 택할 것”이라고 덧붙였다.
사용자 삽입 이미지


파이어아이는 지난해 맨디언트(Mandiant)를 인수한데 이어 올해 5월에는 엔펄스(nPulse)를 인수했다. 두 회사의 공통점은 ‘가시성(Visibility)’에 있다. 파이어아이가 가시성 확보를 위해 두 회사의 솔루션을 자사 솔루션과 통합에 나선 것이다. (이들 회사는 이전부터 파이어아이와 파트너십을 맺고 있었다.)

파이어아이, 엔드포인트 보안업체 맨디언트 10억달러에 인수

파이어아이, 美 네트워크 포렌식 업체 ‘엔펄스’ 인수

맨디언트는 엔드포인트에서 발생할 수 있는 보안위협을 탐지하고, 사고 발생 시 재발방지를 위한 다양한 분석과 조치를 내려줄 수 있는 솔루션과 서비스를 보유한 업체다.

맨디언트의 가장 큰 장점은 엔드포인트를 위협하는 요소들에 대한 정보를 분석할 수 있다는 점이다. 기존 파이어아이 장비로는 엔드포인트의 위험까진 진단하기 힘들었다.

엔펄스는 네트워크 포렌식 업체다. 네트워크에서 일어나는 일들을 기록한 다음 침해사고에 대응할 수 있는 기능을 제공하는 것이 핵심이다.

그럼 다시 파이어아이의 4단계 위협 예방 프로세스를 자세히 살펴보자. 각 단계는 탐지(Detect), ’예방(Prevent)’, ‘분석(Analyze)’, ‘해결(Resolve)’로 구성돼 있다. 파이어아이의 APT 대응 솔루션은 탐지와 예방 영역에 해당한다.

맨디언트와 엔펄스의 솔루션은 각각 어느 영역에 포함될까?

우선 맨디언트는 보안위협에 대한 분석이 핵심으로 4단계 위협 예방 프로세스에서는 ‘분석’에 위치한다. 엔펄스 역시 네트워크 포렌식이 핵심 기능임으로 ‘분석’에 그 초점을 잡고 있다.

메르켈 CTO는 엔펄스 인수에 대해 “엔펄스는 정교한 공격이 발생했을 때 그 공격이 어떻게 이뤄졌는지 알 수 있게 도와줄 수 있다. 즉 ‘분석’단계에서 가장 큰 위력을 발휘할 것으로 기대하고 있다”고 설명했다.

그렇다면 현재 파이어아이가 강화하지 않은 절차는 바로 ’해결’이다. 기업의 보안리스크를 줄이고 보안에 대한 인식 변화를 위한 교육이나 컨설팅 등이 여기에 포함될 것이다. 물론 맨디언트의 ‘분석’을 통해서도 일부 해결할 수 있을 것이다.

하지만 실시간 위협 예방 프로세스가 제대로 구현하려면 무엇보다도 ‘해결’에 대한 투자를 우선시 할 것으로 기대된다.
2014/08/20 15:45 2014/08/20 15:45
사용자 삽입 이미지

지난 광복절 연휴기간 동안 넥슨 네오플의 온라인게임 던전앤파이터 홈페이지가 악성코드로 몸살을 앓았다.

공격자는 어도비 플래시플레이어의 취약점(CVE-2014-0515)을 악용해 비정상적인 게임 클라이언트를 내려받고 실행하도록 유도했다.

어도비 플래시플레이어 최신버전이 설치돼 있지 않은 사용자는 던전앤파이터 홈페이지에 접속하기만 하더라도 피싱 클라이언트로 접속된다는 점이 무서운점이다. 최근 몇 년 사이 유행처럼 번지는 드라이브바이다운로드(DBD)의 확장 버전이라고 봐도 무방할 것이다.

피싱 클라이언트는 사용자의 일회용비밀번호(OTP)를 탈취한 뒤 공격자의 서버로 전송하는 역할을 한다. 이미 아이디와 비밀번호는 피싱 클라이언트 접속 시에 이미 노출된 상황이기 때문에 계정에 포함된 게임아이템 등이 탈취당하는 것은 시간문제다.

출처 : http://viruslab.tistory.com/3557

출처 : http://viruslab.tistory.com/3557


보안업계에서는 취약점에 대한 업데이트가 나온지 석 달이나 지났음에도 이를 적용하지 않는 사용자가 많아 우려된다고 전했다.

보안업계 관계자는 “평소에 보안 업데이트를 하지 않는 사용자들은 3개월 전에 나온 업데이트가 아니라 나온지 1년이 넘은 업데이트도 진행하지 않는 경우가 많다”며 “보안 업데이트를 실행하지 않을 경우 DBD 등으로 인한 좀비피시화(化), 개인정보유출 등의 문제가 발생할 수 있다”고 주의를 당부했다.

카스퍼스키랩이 최근 발표한 보고서에도 보안 업데이트에 대한 사용자들의 인식을 보여주고 있다.

2010년 6월에 발견 스턱스넷 공격에 사용된 CVE-2010-2568 취약점은 아직까지도 수천만명의 피해자를 낳고 있다. 이 취약점은 윈도 바로가기 핸들링 오류를 이용해 임의의 DLL 파일을 로드해 실행할 수 있도록 하는데, DLL 파일을 임의로 삽입할 수 있다는 강력함으로 인해 공격자들이 활용하기도 매우 수월해 인기가 높은(?) 취약점이다.

카스퍼스키랩 조사에 따르면 2013년 11월부터 2014년 6월까지 8개월간 CVE-2010-2568 취약점으로 인해 피해를 입은 PC는 전 세계적으로 1900만대에 달하는 것으로 나타났다. 취약점에 대한 패치가 나온지 3년이란 시간이 지났으나 이를 패치하지 않은 사용자가 여전히 많다는 증거다.

악성코드를 비롯해 제로데이 취약점이 활개치는 상황에서 보안 업데이트마저 하지 않는다면 그 피해는 더 확산될 수 밖에 없다.

지금 우려되는 점은 지난주 발생한 윈도7 업데이트 오류로 인해 자동 업데이트를 꺼리는 사용자가 더 늘어나진 않을까 하는 부분이다.

하지만 어떠한 이슈가 있더라도 보안 업데이트를 제때 하지 않으면 이에 대한 보호를 받지 못한다. 자신의 PC나 계정을 지키기 위해서는 스스로 보안에 신경을 써야할 것이다.
2014/08/20 10:18 2014/08/20 10:18