보안 267

제로 트러스트 가이드라인 1.0 주요 개념 추출

★ 제로 트러스트의 개념신뢰할 수 있는 네트워크라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기, 네트워크 트래픽을 신뢰하지 않으며, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미한다. ★ 기존 경계기반 모델의 한계 내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화되는 보안 위협에 한계 노출 ★ 제로 트러스트 기본 철학① 모든 종류의 접근에 대해 신뢰하지 않을 것② 일관되고 중앙집중적인 정책 관리 및 접근제어 결정·실행 필요③ 사용자, 기기에 대한 관리 및 강력한 인증④ 자원 분류 및 관리를 통한 세밀한 접근제어⑤ 논리 경계 생성 및 세션 단위 접..

보안/개념 2024.07.31

IoT 공통 보안 가이드 주요 개념 추출

★ IoT 공통 보안 7대 원칙① 정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계② 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증③ 안전한 초기 보안 설정 방안 제공④ 보안 프로토콜 준수 및 안전한 파라미터 설정⑤ IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행⑥ 안전한 운영·관리를 위한 정보보호 및 프라이버시 관리체계 마련 ⑦ IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련 ★ IoT 주요 환경 분류① 웨어러블 컴퓨팅: 웨어러블 디바이스 및 다양한 센서 장비들로부터 정보 취득 환경② 사용자 맞춤 환경: 건강 및 수면 등의 일상생활과 관련된 습관 정보 취득 환경③ 가정 자동화: 가정의 일상생활 및 안전사고와 관련된 정보 취득 환경 ★ 개인정보 비식별화 조치 방법 ..

보안/개념 2024.07.31

국정원의 사이버 안보 분야 최근 추진 정책 4가지

국정원이 사이버 안보를 위해 추진하는 정책 4가지에 대해 알아보도록 한다. 1. 국가망 보안 정책국가망 보안 정책에 변화가 필요하다는 목소리는 지속적으로 존재했다. AI, 빅데이터를 비롯한 신기술이 도입되면서 공공데이터의 할용 필요성이 증가했기 때문이다. 이에 국정원은 업무 중요도에 따른 보안체계를 차등 적용하는 '다층 보안체계'를 목표로 개선할 방침이라고 한다. 업무의 중요도에 따라 기밀성(C), 민감성(S), 공개성(O) 등급으로 분류가 될 것이라고 한다. 기밀성은 안보·국방·외교·수사 등의 기밀정보, 국민생활, 생명·안전과 직결된 정보이고, 민감성은 민감정보 등으로 해킹 차단 대책을 강구해야 할 정보이며, 공개성은 비식별화된 민감정보·행정정보 및 기타 공개정보 등의 기준으로 분류할 것이라고 한다. ..

보안/뉴스 2024.07.29

국제표준 정보보안 개론 #1 개요

1. 사이버보안 트랜스포메이션의 개요전 세계적으로 사이버 공격의 빈도와 심각성이 증가하고 있으며, 향후 10년 동안 가장 우려되는 10대 글로벌 위험 중 하나로 2030년까지 약 519조의 지출이 예상된다는 것은 사이버 보안의 중요성을 인식할 수 있게 해 준다. 사이버 공격 방어의 목표에서 데이터 중심 보안의 관리는 데이터가 있는 위치나 공유 대상에 관계없이 정보 보호를 강화하는 것으로, 데이터의 속성, 등급, 보호 요구사항에 대한 메커니즘이 필요하다. 사이버 보안 트랜스포메이션은 디지털 전환 시대에 사이버 위협의 조직 및 국가를 보호하는 핵심 가치이며 이에 따라 ISO/IEC 27002 개정은 사이버보안 트랜스포메이션의 가치 있는 변곡점이라 할 수 있다. 그 변곡점의 배경으로는 AI, 빅데이터, 블록체..

보안/개념 2024.07.23

취약점 익스플로잇까지의 시간, 단 22분

사이버 공격자들이 취약점의 개념 증명용 익스플로잇이 공개된 후 이를 무기로 전환시키는 데 걸리는 시간이 빠르면 22분에 불과하다고 한다. CVE를 부여하고 따로 관리하는 취약점들이 사실상 공개가 되자마자 공격에 활용될 수 있다는 것이다. 즉, 이 상징적인 시간 22분만에 각 기업의 담당자들이 방어를 실시하지 않으면, 이는 실질적인 제로데이 공격이 되는 것이다. 아래의 취약점들이 특히 공격자들 사이에서 인기가 높았는데, 물론 이것에만 집중해서는 안 된다.  1) CVE-2023-50164 : 아파치(Apache) 소프트웨어 2) CVE-2022-33891 : 아파치 소프트웨어 3) CVE-2023-29298 : 콜드퓨전(Coldfusion) 4) CVE-2023-38203 : 콜드퓨전 5) CVE-2023..

보안/뉴스 2024.07.18

차세대 이동통신인 6G에 위협이 되는 공격 7가지

차세대 이동통신인 6G는 5세대 이동통신인 5G의 다음 기술로, 2029, 2030년 즈음에 상용화될 것으로 예상되는 기술이다. 6G는 ① 위성 통신 시스템 도입 ② 1테라비트급 전송속도 ③ 더욱 짧아진 레이턴시 ④ 더욱 넓어진 서비스 거리 ⑤ 높은 신뢰성의 특징을 지닐 것으로 보인다.  그리고 언제나 신기술이 등장하면 그에 따른 위협, 위험도 찾아오기 마련이다. 순천향대학교 염흥열 교수는 국제 정보보호 컨퍼런스를 통해 6G AI/ML 위협 및 공격 유형 7가지로 ① API 기반 공격 ② 포이즈닝 공격 ③ 모델 회피 공격 ④ 물리 계층 공격 ⑤ 모델 인버전 공격 ⑥ AI 미들웨어 공격 ⑦ 모델 도난 공격을 선정했다. 그리고 이 7가지를 방어하기 위한 보안 이슈로는 가시성, 윤리성, 윤리적/법적 제도 확보..

보안/뉴스 2024.07.15

24년 상반기 도난당한 암호화폐 금액 전년 대비 2.1배 증가

가상자산 추적도구 개발기업 TRM Labs의 분석 보고서에 따르면, 해커들이 24년 1월 1일부터 6월 24일까지 총 13억 8천만 달러, 한화로 약 1조 9,100억에 달하는 금액을 훔쳤다고 한다. 이는 지난해 상반기 피해액인 9,100억에 비하면 2.1배 가량 증가한 수치다. 규모는 커졌으나, 작년과 공격의 양상은 비슷했다. 공격의 다수를 차지한 것은 소수 공격자의 대규모 공격이었다. 상위 5개 해킹 그룹의 공격과 익스플로잇 공격으로 인해 도난당한 금액이 전체의 70% 정도를 차지하니 말이다. 일본의 암호화폐 거래소 DMM 비트코인은 올해 5월 전세계적으로 가장 큰 사이버 공격을 받았는데, 4,500개의 BTC를 도난당했다고 한다. 현재 기준으로 3,550억 가량의 피해가 발생한 것이다. 이 공격의 ..

보안/뉴스 2024.07.11

24년 상반기 보안 트렌드 개념 추출

★ Ivanti 취약점Ivanti VPN 솔루션인 Ivanti Connect Secure 및 Ivanti Policy Secure에서 제로데이 취약점이 공개됐다. 공격에 성공할 경우 기업 네트워크 망에 자유롭게 접근할 수 있다. ★ 크로스 체인하나의 블록체인 네트워크에서 다른 블록체인 네트워크로 가상자산 ,NFT 등을 교환하는 것 ★ 토네이토 캐시범죄자들이 자금 출처를 숨기기 위해 일반적으로 사용하는 방식으로 라자루스가 탈취한 가상자산을 돈 세탁하는 등 각종 사이버 범죄에 연루된 혐의를 받는 업체 ★ 볼트 타이푼중국 정부 지원 해킹 그룹으로, 미국의 통신, 에너지, 교통 시스템 등 주요 인프라의 내부망에 최소 5년 간 침투해 있었다는 사실이 공개됐다. 소형 및 수명이 다한 라우터, 방화벽, VPN 취약점..

보안/개념 2024.07.10

새로운 봇넷 멀웨어, 저그에카(Zergeca)

새 봇넷 멀웨어가 등장했다. 저그에카(Zergeca)라는 멀웨어로, Go 언어로 작성되었으며, DDoS 공격을 위해 만들어진 것으로 의심되고 있다. 이 멀웨어의 C&C 서버에는 ootheca라는 문자열이 있는 것으로 밝혀졌는데, ootheca는 곤충의 알주머니를 뜻한다. 사실 나도 저그에카라는 단어를 보자마자 스타크래프트..? 하고 해당 게임을 떠올렸는데, 실제 거기에서 이름을 따왔다고 한다. Zerg + ootheca = Zergeca인 것이다. 이 저그에카는 단순 DDoS 봇넷이라고 치부할 수 없다. 기존 봇넷 멀웨어들이 지니고 있지 않은 기능들을 포함하고 있기 때문이다. ① 6가지 유형의 DDoS 공격(http 플러드, 신플러드, 액플러드, 푸시플러드, 레스트플러드, 푸시OVH플러드) ② 프록시 ③..

보안/뉴스 2024.07.09

합성데이터 생성 참조모델(2024.05) 개념 추출

★ 합성데이터실제 데이터(Real Data)와 통계적 특성이 유사하여, 실제 데이터 분석결과와 유사한 결과를 얻을 수 있도록 새롭게 생성해낸 가상의 데이터 ★ 합성데이터의 유형① 완전 합성데이터 (Fully synthetic data): 생성하려고 하는 데이터에 실제 데이터가 하나도 없이 모두 가상으로 생성된 데이터② 부분 합성데이터 (Partially synthetic data): 실제 데이터 중 일부 데이터셋 또는 일부 속성·변수를 선택하여 합성데이터로 대체한 데이터. 다른 속성은 그대로 두고, 민감성이 높거나 공개가 어려운 데이터만 합성데이터로 대체하는 방식 등으로 활용③ 복합 합성 데이터 (Hybrid synthetic data): 일부 변수들의 값을 합성데이터로 생성하고 생성된 합성데이터와 실제..

보안/개념 2024.07.08
728x90