공부

보안 담당자들의 관심사는 언제나 핵심적인 것 하나가 있다. 무언가의 합격을 위한 보안, 인증을 위한 인증에서 벗어나, 실질적인 보안 강화를 꿈꾸는 것이다. A인증에서 100점으로 합격하고 사고 1번 발생하는 것보다는 A인증에서 80점을 받는다 해도 사고가 발생하지 않는 것이 좋은 건 당연지사다. 사실 많은 담당자들은 진단을 맡겼을 때 점수가 너무 높은 걸 꺼리기도 한다. 아무튼 각설하고, 담당자들은 사건사고를 0으로 줄이기 위한, 실제 환경에서 적용 가능한 방안을 원하는데, 그렇다면 담당자가 알아야 할 것 4가지는 무엇이 있을까?1. 제로트러스트몇 년 전부터 꾸준히 어디서나 들을 수 있는 용어고, 앞으로도 계속 들어야 할 용어다. 대한민국 주도로 제로트러스트가 25년~28년 동안 연구될 예정이며, 연구를..

이른바 씨습이라 불리는, CISSP 국제 공인 정보시스템 보안전문가 자격 시험이 한국에서 철수했다고 한다. 이유는 간단다하다. 응시율이 낮으니, 수익성이 떨어지는 사업인 것이다. 이제 CISSP 응시를 하기 위해서는 가까운 일본으로 가야 한다. 근데 뭐.. 사실 이런 자격증이 흔치 않은 건 아니다. 당장 해킹 쪽에선 시험을 응시하기 위해 일정 단계가 되면 캘리포니아로 가야만 하기도 하는 상황도 있고.. 하니 말이다. 그나저나 씨습도 언젠가는 응시를 해야겠구나 생각만 하던 찰나에 이런 상황이 벌어졌다. 자격증을 그렇게나 좋아하는 한국인들이 씨습에 대한 의지가 떨어지는 건 사실 간단하다. Associate를 딸 수 있다고 할지언정, 응시료부터 수십만원이니 부담스러운 것이다. 유지 비용도 내야 하고 말이다. ..

범죄 사건이 발생했을 때 가장 중요한 것은 무엇일까? 피해 규모, 원인, 발생 시기, 대응 등 여러가지가 있겠지만, 범죄자가 누구인가가 단연코 중요한 정보일 것이다. 그러나 공격자를 알아낸다는 것은 정말 쉽지 않은 일이다. 그러나 쉽지 않은 일이지, 불가능한 일은 아닐 것이다. 어떠한 범죄자도 조금이나마 흔적을 남기기 때문이다. 그럼 우리는 어떻게 해킹 공격자를 잡을 수 있을까?1. 범죄피해자학이 문항은 사건 발생 이전에 해두어야 할 것이다. 우리는 사건 발생 시, 당장의 범죄자의 정체는 알지 못할 것이다. 하지만, 적어도 나, 내가 속한 단체에 대해서는 알고 있고, 그렇기에 자신과 자신이 속한 단체에 상세하게 파악하는 것은 정말 중요하다. 우리는 주기적으로 아래의 질문에 답을 할 수 있어야 할 것이다...

과학기술정보통신부, 국정원, 디지털플랫폼정부위원회의 협력을 통해 SW 공급망 보안 가이드라인 1.0이 마련됐다. 해당 가이드라인은 확산되고 있는 SW 공급망 사이버보안 위협과 미국, 유럽 등 해외 주요국의 SW 구성요소 명세서 제출 의무화 등에 대응하여 정부, 공공기관, 기업들이 자체적인 SW 공급망 보안 관리역량을 갖출 수 있도록 지원하기 위해 마련됐다. 본 가이드라인은 국산 SW에 대한 SBOM 실증 및 SW 공급망 보안 테스트베드(판교) 시범 운영 결과 등을 반영한 것으로, 100여 페이지의 전체본과 16 페이지의 요약본으로 제공되며, 정부 및 공공기관의 정책결정자 및 기업의 경영진 등은 요약본을 통해 쉽게 SW 공급망 보안에 관한 주요 내용을 이해할 수 있을 것으로 기대된다. 국내 중소기업들에게..

보안 팀이 보안 도구를 구매할 때 저지르는 가장 큰 실수는 무엇일까? 아마드 사데딘은 '도구 구매를 프로그램 관리로 혼동하는 것'이라고 말한다. 도구는 프로그램 관리를 위한 일부일 뿐이지, 도구가 프로그램을 관리하는 주체가 아니라는 말이다.따라서 도구 자체에 초점을 맞춰서는 안 되고, 보안 프로그램이 조직에게 무엇을 의미하는지, 무엇을 달성하려고 하는지에 초점을 맞춰야 한다.1. 사이버 보안 도구에 대한 오해와 한계사실 보안 도구는 굉장히 매력적이다. UTM, ESM, SIEM에서부터 시작하여 이미 오래 전부터 보안 도구들은 많은 것을 패키징하고 있다. 피부를 관리하기 위해 제품을 덕지덕지 바르는 게 귀찮은 사람들을 위해 올인원 제품을 내세웠더니, 올인원 제품을 사용하기만 하면서 그걸로 피부가 만사 OK..

1. 2008년 옥션 개인정보 유출 사태 2월과 4월, 총 두 번에 걸쳐 개인정보가 유출되었다. 초기에는 1,081만 건이 유출되었다고 발표했으나, 2010년이 되어서는 피해크기가 1,863만 명이라고 공지했다. 악성 이메일에 의한 코드 감염이 원인이었고, fuckkr 키로거가 첨부된 메일이 옥션 직원에게 무작위 발송된 것이 사건의 시작점이다. 즉, 스팸 메일을 경계하지 않은 것이 주원인인 것이다. 피해자들의 성명, ID, 주민등록번호, 이메일 주소, 집 주소, 전화번호가 유출되며 대거 손해배상 청구 사태까지 이어졌지만, 옥션이 승소하며 끝을 맺은 사건이다. 그리고 판결문의 내용을 보았을 때, 개인적으로 이 판결은 정말 좋지않은 선례를 남겼다고 생각한다. 물론, 모든 것을 방어할 수는 없다. 그러나 이 ..

서울CCTV안전센터가 전국 지자체에서 최초로 ISMS 인증을 획득했다고 한다. 2019년애 개소한 CCTV 안전센터는 지난해 말에 모든 자치구 CCTV 연계까지 완료하며 광역 CCTV 통합 컨트롤타워 역할을 본격적으로 수행하고 있다고 한다. CCTV 공화국으로의 한발짝 더욱 나아간 셈이다. 과거 어떤 기사를 통해 알게된 건데, 서울 시민을 기준으로 한 번 외출을 해서 교통수단을 통해 어딘가를 다녀온다고 가정할 때, CCTV에 최소 80번은 찍힌다고 한다. 그리고 그 숫자는 늘면 늘지, 결코 시간이 흐름에 따라 줄어들지는 않을 것이다. 그런 것을 고려했을 때, 서울시에서 지자체 최초로 ISMS 인증을 획득한 것은 매우 좋은 소식이다. CCTV 안전센터가 2023년 한 해 범죄 예방과 수사를 위해 경찰서 등..

인공지능 기술 자체가 뜨겁다. 그건 분명한 사실이다. 그런데 인공지능 기술을 다루는 회사가 몸집을 마구 키울 수 있는 것은 비단 그것만은 아니다. 그들이 그렇게 할 수 있는 원동력 중 상당수는 바로 우리의 안일함 혹은 관대함 때문이다. Plainsight Technologies의 CEO 킷 머커는 인공지능을 등에 업고 가는 모든 길이 찬란하지는 않다고 말했다. 이유는 데이터 보안 때문이다. 인공지능 모델을 개발해 훈련을 하고자 하는 기업은 많은데, 훈련에 필요한 데이터를 제 값을 주고 사는 기업은 많지 않기 때문이다. 현재 세상에 존재하는 데이터의 대부분은 조용하게 인공지능 개발사로 흘러간다고 해도 과언이 아닌 상황이다. 어떤 데이터를 가져가는지, 어떤 방식으로 데이터를 가져가는지, 수집의 목적이 무엇인..

금일 3월 7일 오전 9시부터 오후 5시 30분까지 코엑스에서 제 23회 차세대 보안 비전(NGSV) 세미나 & 전시가 진행됐다. 7~10만원의 입장료와 선착순 500인에게만 입장이 허락됐다. NGSV는 일상화, 고도화, 지능화되는 사이버 공격과 위협에 효율적으로 대응할 수 있는 최적의 보안 기술과 솔루션, 그리고 시장 동향과 전망을 제시하는 보안 컨퍼런스다. 이번 컨퍼런스의 첫 번째 세미나를 장식한 것은 팔로알토였다. 현재 보안 분야의 화두는 단연코 AI라 할 수 있다. AI와 AI의 싸움, 이것이 보안 분야에서 AI를 설명할 수 있는 말일 것이다. 이에는 이, AI에는 AI로 맞서야 한다. AI 위협 대응을 위한 AI를 갖춰야 하는 것은 선택이 아닌 필수가 되고 있다. AI의 공격이 거세지면서, 조직..

2023년 3월 14일에 1년 후 시행을 공포했던 일부 규정이 적용되는 날이 다가오고 있다. 이에 따라 우리가 반드시 기억해야 할 내용 5가지를 꼽아본다. 1. AI를 비롯한 자동화된 결정에 대한 정보주체 권리 구체화 인공지능(AI)에 대한 기술은 끊임없이 발전하고 있고, 이에 따라 그를 위한 법제화도 꾸준히 진행되고 있다. AI의 기술 발전이 너무 빠르고, 일상에 스며드는 속도도 빠르다 보니, 법이 그를 따라잡지 못하는 실정이다. 그래서 앞으로도 꾸준히 AI와 관련된 개정과 신설은 있을 것으로 보인다. 사람의 개입이 없는 완전히 자동화된 결정이 내려지는 영역으로는 크게 ① 개인정보 처리의 투명성 확보 ② 정보의 제공 등 대응권 보장 2가지를 들 수 있다. 여기서 '자동화된 결정'이란, 사람의 개입 없이..