Cappuccino sapiens

지난 4월 22일, 게임엔진 제작업체인 벨브(Valve)의 게임엔진 소스코드 일부가 유출되었으며, 유출된 코드 연구를 통해 온라인게임에 대한 해킹 가능성에 대해 우려의 목소리가 있었습니다. 이와 관련해, 해당 엔진을 사용하는 게임사에서는 유출된 소스를 더이상 사용하고 있지 않으며 문제가 없다고 했으나, 내부의 핵심 자산이 유출되었다는 것은 조직의 보안홀이 있음을 의미하며, 언제든지 유사한 사건이 재발할 수 있음을 보여주고 있습니다.

개발소스는 제조사 및 개발사의 핵심자산으로, 모든 소스접근 계정(특권계정)에 대한 접근권한을 파악하고, 권한에 따른 적절한 접근통제와 접근관리(모니터링, 감사기록)가 필요하며, 주기적인 보안취약점관리 및 보안관리(주기적 패스워드 변경, MFA 등)를 통해 보호해야 합니다.

※ 관련기사: Valve Confirms the Leak of Counter-Strike: Global Offensive Code

※ IBM Security : Secret Server는 특권계정에 대한 관리, 권한별 접근관리 및 이력관리 등의 보안관리 제공

(웹사이트, 제품 소개자료 다운받기)

기업 보안사고의 60% 이상이 보안시스템을 포함한 IT 시스템의 운영 및 설정오류 등에 기인하며, 이러한 약점은

• 보안위협의 증가,

• 침입시 심각한 손실 초래,

• 적절한 대응기능 상실로 인한 피해확산을 초래할 수 있습니다.

특히, 특권계정에 대한 관리 소홀로 인해, 80% 이상의 보안사고가 발생하고 있습니다.

특권계정! 무엇이 문제일까요?

• 있는지 모르는, 관리되지 않는 계정 존재

• IT 관리자들 사이에 계정의 공유 사용

• 혹은 SSH 키가 변경되지 않음

• 팩터 인증이 강제화되지 않음

• 높은 수준의 접근권한

• 통제 부족

※ 특권계정 이란? 시스템 Root/Admin, DBA, 응용프로그램, 임직원 계정, 3rd Party, 서비스 계정, API, 세션, 승인되지 않은 계정 등 모든 관리대상 계정을 말합니다. 

Zero trust 구현을 위한 IBM의 특권계정 및 접근권한 솔루션 Secret Server의 주요 기능 및 특징은 다음과 같습니다. 

< 운영 관점 >

- Mac, Windows 등 최신 운영체제 지원 및 에이전트리스 방식 운영

- 감사로그 및 스케줄 리포트 지원, 외부 SIEM/ESM 장비와 연동

- 노드분산 방식으로 패스워드 및 정책의 동시적용 등 분산처리

- Endpoint에서 사용자 세션을 처리하여 관리서버 부하분산

< 기능 관점 >

- 계정 및 자산 자동식별 : 알려지지 않은 특권계정 탐지, 미식별 자산 자동인식

- 강력한 계정통제 및 관리 : 민감한 특권계정 관리통제, 주기적 패스워드 강제 변경

- 강력한 접근통제 정책 : 역할기반, 요청기반

- 실시간 사용자별 세션관리 : 사용자별 세션 기록·관리, 모니터링 및 레코딩

- 로그기록 및 보안감사 : 모든 세션 감사로그 및 비정상 접근시도 실시간 경고

접근권한 관리 솔루션 도입시 아래의 3가지를 반드시 확인하세요. 

- 계정단위가 아닌, 사용자별 접근기록 관리가 가능한가?

- 사용자가 증가해도 시스템 부하에 영향을 주지 않는가?

- 다수의 패스워드를 동시에 변경하는 상황에서 일괄 처리가 가능 한가?

재택근무를 하면서, 중요해진 몇가지 요소들 입니다.

- 온라인 회의를 위한 조용한 공간

- 화상회의가 가능한 충분한 네트워크 속도 보장

- 회사 정보접근을 위한 안전한 네트워크와 단말기 보안

재택근무 환경을 위해, 나만의 인터넷 전용 공유기를 새로 도입하고, 기본 ID/Password를 재설정하였습니다. That's all !!!

한국IBM은 MDM(IBM MaaS 360)과 계정관리 솔루션(IBM IAM)으로 언제 어디에서 든 노트북, 단말기를 안전하게 사용할 수 있으니까요.

- MaaS360: PC는 물론, 노트북, 태블릿, 스마트 폰 까지 하나의 관리 콘솔에서 보안정책 관리, 데이터 보호, 디바이스에서 발생하는 세부적 문제를 파악할 수 있습니다.

- IBM IAM: Agentless 기반으로 서버, DB, 어플리케이션 등에 대한 계정 및 권한관리 기능을 제공합니다.

영국기업을 대상으로 진행된 보안사고 조사 결과, 60% 가 외부 공격이 아닌 운영·조작 실수에 의한 것이라고 합니다.

각 영역(IT 운영, 보안운영, 조직관리 등)에서 제 역할을 명확히 인지하고 수행하지 않을 경우,

- 잠재적인 보안위협 증가,

- 외부의 침입으로 인해 심각한 손실 초래,

- 적절한 대응기능 상실로 인해 조직에 피해를 키울 수 있습니다.

※ IBM Resilient: 보안인력, 사고대응 프로세스, 보안 솔루션을 상호 연결하여 사고 대응을 효율적으로 조율하고 대응 자동화 구현 https://www.ibm.com/kr-ko/marketplace/resilient-soar-platform/resourceshttps://lnkd.in/f-v6rVt)

https://www.infosecurity-magazine.com/news/human-error-linked-to-60-of/

점점 변화된 일상에 적응해 나가고 있습니다. 이러한 환경에 맞춰, 보안 컴플라이언스를 포함한 시장환경도 변하고 있네요.

- 금융회사 전산직원의 원격접속 상황에 한해 망분리 규제 예외인정(전자금융감독규정)

- 재택근무 시 업무용 단말기 사용, 이메일 정상여부 확인 등 보안 유의사항 권고(금융보안연구원)

- 단말보안 솔루션(EDR, MDM 등)에 대한 관심 증가

안전한 재택근무 환경 구축을 위해, IBM이 제시하는 AI 기반의 보안솔루션을 소개합니다.

- MaaS360: PC는 물론, 노트북, 태블릿, 스마트 폰 까지 하나의 관리 콘솔에서 보안정책 관리, 데이터 보호, 디바이스에서 발생하는 세부적 문제를 파악할 수 있습니다.

- IBM Trusteer: 사용자 접속 패턴 및 바이오 행위 패턴 학습을 통해 계정도용을 방지하고, 인공지능에 의한 판단으로 사기식별 오탐을 최소화 합니다.

- IBM IAM: Agentless 기반으로 서버, DB, 어플리케이션 등에 대한 계정 및 권한관리 기능을 제공합니다.

CARTA(Continuous adaptive risk and trust assessment )는 2017년도에 가트네에서 소개된 보안전략 입니다.

CARTA에 대한 소개자료가 있어 공유 드립니다. 

- 관련 IBM 솔루션: https://www.ibm.com/kr-ko/marketplace/resilient-soar-platform?mhsrc=ibmsearch_a&mhq=resilient

http://www.datanet.co.kr/news/articleView.html?idxno=143125

RSA 2020에서 CISCO의 Head of Advisory CISOs 인 Wendy Nather가 언급한 내용이 관심을 끈다. Wendy Nather는 보안시스템의 복잡도 증가에 따라 보안통제 비용이 증가할 것을 우려하고 있으며, 기존의 보안통제 방식에 변화를 줄 때라고 말하고 있다.

즉, 사이버 공격을 막기 위한 방법만으로는 모든 공격을 차단하기 어렵다는 것이다.

최근에 소포스(Sophos)가 발표한 방화벽을 통과하는 공격기법(Cloud Snooper)과 C&C서버와의 멀웨간의 통신을 정상트래픽으로 위장하여 보안장비를 우회하는 기법 등이 이러한 예이다.

Wendy Nather는 대응방법으로 사이버 레질리언스 개념의 협업시스템을 소개하고 있다.

사이버 레질리언스는 사이버 공격이 발생했을 경우, 보안 분석가, IT 담당자, 재무담당자, 언론 담당자 등 모든 조직원이 협업해서, 기업과 서비스에 피해를 최소화 할 수 있는 적절한 대응방법을 찾고 결정하며, 빠른 서비스 회복을 돕는 것이다.

 ※ IBM Resilient: 보안인력, 사고대응 프로세스, 보안 솔루션을 상호 연결하여 사고 대응을 효율적으로 조율하고 대응 자동화 구현 (https://www.ibm.com/security/intelligent-orchestration/resilient)

https://m.etnews.com/20200226000073

2013년에 발생한 시간이 지난 이야기지만, 선량한 개발자가 한순간에 악성코드 개발자로 그리고 사기꾼으로 변했네요.

 - PC방의 관리서버를 통해 악성코드 배포

 - RAM에서 동작하도록 하여, Anti-Virus 도 탐지 불가

 - 전국의 PC방 7,459곳의 컴퓨터 46만여 대에 악성코드 설치

 ※ 2009년 7·7 DDoS 공격시 11만 5천대

악성코드 감염 마음만 먹으면, 악성코드로 국가 전산망도 마비시킬 정도의 대단한 자원을 확보했었네요. 중요한 것은 관리서버와 같은 중앙 컨트롤러를 어떻게 안전하게 관리하냐에 달려 있습니다. 이는 보안업데이트 서버, N/W 모니터링 시스템 등의 보안시스템도 마찬가지 입니다.

https://www.hankookilbo.com/News/Read/202002221736023336