류프리

챗봇과 대화하다가 민감한 개인 정보를 입력하는 경우가 많다. 기업 내 챗봇 보안을 강화하고 프라이버시 위협을 최소화하는 방법을 알아보자.

빅데이터에서 챗봇이 새로운 취약점이 될 가능성이 있을까? 그렇다. 기본적 인사과 질문에 대답하거나 기업 단위 설문조사를 실시할 때, 사용자를 특정인과 연계하기 전 정보를 얻는 챗봇은 슬랙과 기타 메시지 앱에 부가 기능으로 추가되어 보안 위험을 높인다.

챗봇 업체 탈라(Talla) CEO 롭 메이는 보안 위기가 봇을 구입하는 방식에서 온다고 말했다. 즉, “SaaS 초기에는 마케팅 부서가 IT 부서의 승인 없이도 웹 브라우저만 있으면 바로 소프트웨어를 구입하는 방식으로 판매되었고, IT 부서는 큰 문제가 없다고 생각했지만 결국 기업 전체가 SaaS 방식으로 운영되기 시작했다”고 설명했다. 그러면 갑자기 기업의 핵심 운영이 난데없이 나타난 사용자나 데이터 관리 경험 없는 플랫폼으로 운영되기 시작한다. 챗봇에서 오는 데이터 취약점을 차단하기 위해 메이는 현재의 봇 구입과 이행 간소화를 권장한다.

안타깝게도 직원들은 이미 챗봇으로 급여정보, 의료보험 세부사항 같은 기밀 데이터를 공유하고 있을지 모른다. IT 부서가 데이터를 안전하게 보호하기 위해 어떤 조치를 취할 수 있을까? 어떻게 하면 이 취약점을 미리 막을 수 있을까? 그 외에 어떤 질문이 유용할까?

챗봇을 활용하는 방식을 파악하라
컴퓨터 및 네트워크 보안 제공자 라피드7(Rapid7)의 개발자 프라이야 도드워드 는 현재의 상황을 분류하는 것부터 시작하라고 말했다. 그리고 나서 구매에 앞서 사용자와의 면담을 실시한다. 이렇게 하면 2가지 측면에서 도움이 된다. 우선, 사용자 반응을 통해 도입 고려 중인 챗봇을 계획대로 활용하게 될지를 알 수 있어 사용자 도입 및 생산성을 높인다. 또 면담은 위협 수준 평가에 도움이 된다. 보호하고 있는 데이터의 유형을 알면 챗봇 프라이버시 문제에 더욱 잘 대비할 수 있다.

라피드7이 새로운 챗봇을 고려할 때 도드워드는 “우리는 우선 ‘일단 어떤 정보가 수반되는가? PII(Personally Identifiable Information) 데이터인가 아니면 기밀 또는 매출 관련 데이터인가?’고 생각한다. 봇이 가장 걱정스러운 요소”라고 말했다. 라피드7은 슬랙 채팅에 gif를 붙여 넣는 등 필수적이지 않은 작업에는 엄격하지 않은 프로세스로 봇을 운용하고 있다.

하지만 문제는 사람들이 부적합한 도구를 통해 중요한 주제로 채팅한다는 점이다. 허브스폿(Hubspot)의 CIO였던 짐 오닐은 “인간들이 자진해서 데이터를 제공한다는 사실을 기억하라”고 경고했다. 예를 들어, gif 봇으로 직원이 재미 있는 문병 메시지를 보내고, 사람들이 이어서 암 진단에 관해 이야기하는 경우다. 오닐은 “봇과의 대화 상호작용의 경우 우리는 의도한 것보다 더 많은 정보를 포기할 수 밖에 없다”고 말했다.

챗봇이 작동하려면 질문을 던져야 한다. 획득하는 데이터는 상황을 평가하고 훈련하는데 도움이 된다. 오닐은 “봇이 더 많은 도움을 제공하고 더 많이 배우기 위해 더 많은 것을 질문할수록 더 민감한 데이터를 많이 얻게 된다”고 말했다. 예를 들어, 의료보험 고객을 사안에 따라 관련 부서로 이관하는 봇을 생각해 보자. 봇은 우선 고객의 청구 번호를 요청하고, 사용자는 “번호는 4652이며 발진에 대한 조치를 취해야 하기 때문에 STD 테스트가 처리되는지 알아야 한다”고 입력할 것이다.

그 외에 챗봇 정보를 보는 사람은 누구인가?
IT는 시스템에 예상치 못한 데이터가 입력되는 상황에 대비해야 하고, CSO는 이 정보를 보는 사람이 누구인지도 파악해야 한다. 새 업체를 고려할 때 메이는 데이터가 필연적으로 이동하는 곳이 어디인지를 파악하라고 권고한다. 데이터가 로컬에 저장되는가? 아니면 클라우드에 저장되는가? 누구에게 이관되는가? 봇은 어떻게 훈련되는가?

대부분의 머신 러닝에서처럼 사람들은 엔진을 개선하기 위해 기업 챗봇의 작업을 확인하는 경우가 많다. 인간 검토 작업이 업체 프로세스에 포함되어 있는 경우 메이는 이렇게 질문하라고 말했다. “데이터를 보는 사람은 누구인가? 아마존의 미케니컬 터크(Mechanical Turk) 서비스 밖으로 유출되는가? 집단 파일에서 벗어나는가? 이 문제에 관심을 쏟고 있는가?”

메이에 따르면 이 방법에는 “장단점이 있다”. 때로는 챗봇이 유일한 수단일 수도 있기 때문이다. 결단을 내려야 한다. 데이터가 유출되어도 괜찮은가? 데이터는 어디로 유출되는가? 봇은 어떻게 훈련되는가?”

메이는 챗봇 위험에 관한 SLA(Service Level Agreement)를 이행하는 것이 하나의 방법이라고 말했다. 일반적으로 SLA에 포함되는 업타임(Uptime) 요건, 품질 기대치, 기타 사안을 포함하는 것 외에 계약서에서 챗봇 암호화와 유사한 보안 기대치를 다루어야 한다. 업체는 어떤 외부 제공자(아마존 터크 등)를 취급하는가? 계약기간 동안 SSAE-16/SSAE-18 인증 또는 SOC 2 준수성이 유지될까? 그렇지 않은 경우 어떻게 되는가?

챗봇 개념 증명부터 시작하라
위험을 완화하기 위해 도드워드는 라피드7에 있는 대부분의 외부 챗봇이 개념 증명(POC)으로써 시작된다고 말했다. POC에 성공한 후에야 광범위하게 도입된다. 그는 POC가 필요를 다시 평가할 수 있는 기회이기도 하다고 말했다. “해당 봇의 범위를 파악하는 것이 중요하다. 모든 직원들에게 도달할까? 아니면 특정 부서에서만 활용될까? 이 문제는 우리가 배치를 계획하고 이를 중심으로 훈련하는 방식에 영향을 끼친다.” 도드워드는 라피드7이 기술 기업임에도 불구하고 많은 직원들이 “기술에 능하지 않기 때문에 봇이 매우 직관적이어야 한다”고 말했다.

직관적일수록 좋다. 챗봇은 구매 목적에 알맞은 솔루션을 제공할 수 있고, 사용자들도 개인적이고 불필요한 데이터를 입력하지 않게 된다. 의료보험 예시로 돌아가면, 사용자가 너무 많은 데이터를 제공하지 않도록 봇이 “다른 정보는 없이 청구 번호만을 알려주세요”라고 요청하는 경우 발진 등의 의료 정보에 관해 이야기하는 사용자가 줄어들 것이다.

직원 대응 챗봇은 사용자 교육을 통해 공유에 적합한 정보 수준을 알려준다. 또, 직원 교육은 SaaS 초기에 목격되었던 악의적인 이행의 위험을 낮춘다. 직원들이 챗봇 프라이버시 위험의 중요성을 이해한다면 설치에 앞서 IT가 관리하는 새로운 봇을 사용할 수 있다.

사소한 챗봇 데이터 유출도 인지하라
메이는 IT가 권한이 있는 사람을 판단해야 한다고 말했다. “점심 메뉴 설문조사를 수행하는 봇은 간단하게 여겨지기 쉽지만, 사실 많은 봇들이 크리덴셜을 이용해 시스템을 연결한다”는 것이다. 이것을 어떻게 모니터링할까?

개인의 즉석 설치까지 제한하려면, 직원들에게 소규모 데이터 유출이라도 큰 피해를 끼칠 수 있음을 인지시킨다. 메이는 탈라를 설립하기 전 회사인 백업피파이(Backupify)에서 해킹을 시도했던 사례를 공유했다. 누군가 CFO의 이메일 주소를 이용해 은행 계좌에서 자금을 인출하려다 실패한 일이 있었다. 메이는 “봇이 회사에 대해 안다면, 사람들이 일련의 질문을 던지고 정보를 검색하며 데이터를 추가할 때 부적절한 정보가 제공된다”고 말했다.

데이터를 제출할 때 동료를 위협해서는 안 된다. 현재 여러 가지 기업 활동 중 봇에 가장 큰 영향을 받는 것은 HR이다. 기업 챗봇은 채용을 더욱 효율화하고 새로운 직원을 고용하며 직원이 이직할 가능성을 예측할 때 사용된다. 탈라의 챗봇은 “남아 있는 휴가 기간은?” 등의 보편적인 질문에 답하면서 HR 직원들의 수고를 덜어준다. HR 챗봇 등이 작동하려면 직원들이 반드시 편안하게 대화할 수 있어야 한다. 오닐은 “PII, PHI 등 모든 정보가 제공될 것이다. 우회하기보다는 포용하라. 데이터의 흐름을 이해하고 봇과 채팅 상호작용 통합을 추진하는 기업을 신뢰하게 되면 더 나은 결과에 대한 확신이 설 것이다. 그러면 더 나은 데이터를 얻고 더 많은 정보에 기초한 결정을 내릴 수 있다”고 조언했다. editor@itworld.co.kr 

원문보기: 
http://www.itworld.co.kr/news/106622#csidxaa9682ef890ae73ab78deebeab78634 

포티넷코리아의 보안연구소인 포티가드랩이 ‘2017년 2분기 글로벌 위협 전망 보고서’를 최근 발간했다.

이번 보고서는 아태 지역뿐만 아니라, 전세계적으로 비효과적인 사용자의 사이버 보안 건강 관리(cybersecurity hygiene)와 위험도 높은 애플리케이션 사용이 웜과 유사한 파괴적인 공격을 급속도로 확산시킬 수 있다고 경고했다. 공격자들은 침입 방법을 개발하는데 드는 시간을 줄이는 대신, 자동화된 인텐트 기반의 툴을 활용하여 비즈니스 연속성을 저해하는데 주력하고 있다.

포티넷의 CISO(정보보호최고책임자) 필 쿼드는 “사이버 범죄자들은 새로운 제로데이 공격을 통해 시스템에 침입하지 않고, 이미 발견된 취약점을 주로 공격한다”며, “새로운 웜과 유사한 기능은 빠른 속도로 감염을 확산시키며, 플랫폼이나 벡터에서 보다 쉽게 확장이 가능해서, 자동화 및 통합의 강점을 이용하는 인텐트 기반의 보안 접근법은 이같은 위협 환경에서 매우 효과적인 방법”이라고 말했다.

공격자들은 CaaS(crime-as-a-service, 서비스로서의 범죄) 인프라 및 자율 공격 도구를 통해 글로벌한 규모로 손쉽게 범죄를 일으킬 수 있다. 워너크라이(WannaCry)와 같은 위협은 빠른 확산 속도 및 다양한 산업을 공격하는 역량이 매우 탁월하다. 그러나 더 많은 조직들이 일관된 사용자의 사이버 건강 관리(cyber hygiene)를 실천했다면 공격을 충분히 예방할 수 있었을 것이라고 포티넷은 설명했다. 그러나 여전히 공격자들은 패치 또는 업데이트가 이뤄지지 않은 취약점을 공격하여 엄청난 성공을 거두고 있는 것으로 나타났다. 특정 위협이 자동화되면 공격자들은 더 이상 특정 산업을 타깃으로 제한하지 않게 되며, 그 영향력은 시간이 지남에 따라 더욱 커질 수 있다.

워너크라이와 낫페트야(NotPetya)는 단 몇 달만 사용이 가능한 패치를 적용한 취약점을 공격했다. 이 공격에서 벗어난 조직들은 일반적으로 2가지 특징 중 하나를 갖고 있었다. 이같은 취약점을 타깃으로 하는 공격을 탐지하기 위해 업데이트된 보안 툴을 구축했거나, 또는 패치를 최신 상태로 업데이트한 경우다. 워너크라이와 낫페트야가 등장하기 전까지는 10년간 네트워크 웜이 발견되지 않았다.

2017년 2분기, 기업의 2/3가 심각한 공격을 경험한 것으로 나타났다. 조직의 90%가 3년 이상된 취약점 공격을 당했다. 취약점이 공개된 지 10년이 지난 후에도, 기업의 60%는 여전히 연관된 공격을 경험했다. 2분기에는 총 1,840억 건의 익스플로잇 탐지, 6,200만 건의 멀웨어 탐지, 29억 건의 봇넷 통신 시도가 있었다.

자동화된 위협은 주말이나 밤에도 중단되지 않았다. 모든 익스플로잇 시도 중 약 44%가 토요일 또는 일요일에 발생했다. 주말 동안의 일일 평균 용량은 평일의 2배였다.

포티넷은 디지털 경제에서 속도와 효율성은 매우 중요하다고 밝혔다. 즉, 모든 디바이스 및 시스템의 다운타임에는 ‘무관용’(Zero Tolerance)’이 기본원칙이다. 애플리케이션, 네트워크, 디바이스와 같은 기술 사용이 발전함에 따라 익스플로잇, 멀웨어, 봇넷 등의 사이버 범죄도 함께 발전한다. 사이버 범죄자들은 이 같은 새로운 기술이나 서비스의 약점 및 기회를 활용할 준비가 되어 있다.

특히, 의심스러운 소프트웨어 사용과 초연결 네트워크(hyperconnected networks)의 취약한 IoT 기기들은 일관성 있는 관리, 업데이트, 교체가 어렵기 때문에 잠재적 위험성을 내포하고 있다고 업체 측은 설명했다. 또한, 암호화된 웹 트래픽은 인터넷 개인정보 보호 및 보안에는 유리하지만 암호화 된 통신에 대한 가시성이 낮은 방어 도구에는 문제가 될 수 있다고 덧붙였다. ciokr@idg.co.kr

원문보기: 
http://www.ciokorea.com/news/35671#csidxcd840552f672700b6298a86c0c9196c 

사이버보안 교육 업체는 보안 인식 교육에 직원을 참여시키고 프로세스를 덜 지루하게 만들기 위해 특유의 방법을 사용한다.


Credit: Getty Images Bank

만약 가짜 이메일을 클릭했다면 보안에 대해 좀더 잘 알아야 한다. 기업에서는 사이버보안 학교에 보낼 수도 있다. 하지만, 보안 교육은 누구나 듣고 싶어하지 않는다.

그러나 슬프게도 피싱 이메일을 클릭한 직원에게 불이익을 주는 많은 조직에서 보안 인식 교육에 서명한다.

하지만 이 조직들을 비난할 수는 없다. 피시미(PhishMe)의 2016년 보고서에 따르면, 사이버 공격의 91%와 그 결과 발생한 데이터 유출은 스피어 피싱 이메일로 시작된다. 즉, 해킹의 압도적인 수가 직원의 어떤 형태의 악성코드가 포함된 이메일을 클릭하는 데서 시작된다는 것이다.

높아지는 사이버보안 교육의 필요성
사이버보안 직원 교육의 필요성이 높아지는 이유이기도 하다. 사이버보안 벤처스(Cybersecurity Ventures)는 보안 인식 교육 시장이 2014년 10억 달러에서 2027년 100억 달러로 성장할 것이라고 예측했다.

엄청나게 확대되고 있는 공격대상은 현재 온라인에 있는 20억 이상의 사람들인데, 마이크로소프트는 2021년까지 40억 명이 넘을 것으로 예상했다. 이 모든 사람이 보안 인식 교육의 후보자다.

오늘날 전 세계적으로 모든 규모의 조직 직원은 보안에 대한 교육을 받고 있다. 앞으로 고용 시장에서는 개인 스스로가 자신의 교육, 고용 란에 사이버보안을 잘 아는 후보자로 지칭하는 것을 볼 수 있을 것이다.

최근 보안 교육 시장은 급변하고 있다. 직원들의 교육 프로그램이 자리매김할 수 있도록 도와주는 수많은 보안 교육 업체들이 시장의 변화를 꾀하고 있다.

독특한 보안 인식 교육 프로그램과 도구
다음은 보안 인식 교육 업체의 재미있는 제안들이다.
- 디지털 디펜스(Digital Defense)는 유명한 헐리우드 코미디 작가와 협력해 SecurED 교육 프로그램을 창의적으로 개발했다. 웃음은 지루한 보안 수업에 대한 해결책이 될 수 있다.

- 인스파이어드 이러닝(Inspired eLearning)의 씨스위트(C-Suite)에 대한 보안 인식은 보안에 대한 생각이 없는 CEO를 사이버 인식 임원으로 전환시키며, 이는 그들의 직원들을 좀더 따르게 할 수 있다.

- 노우비포(KnowBe4)는 유명한 해커인 케빈 미트닉을 촬영해 컴퓨터 기반 교육(computer-based-training) 업계를 선도하는 인물로 만들었다. 직원의 경우, 영화를 보는 것과 같다.

- 미디어프로(MediaPro)는 성공적인 보안 인식 교육 프로그램의 핵심인 매력적인 콘텐츠를 만드는 방법을 설명하는 이북과 툴킷을 기업들에게 제공한다.

- 피시라인(Phishline)은 피싱에서 멈추지 않고 비싱(Voice phishing, Vishing)과 스미싱(Smishing)으로 조직의 직원 교육을 지원한다.

- 피시미의 모의 피싱 교육은 직원들에게 피싱 공격을 반복함으로써 직원들을 인간 방화벽으로 변모시켜준다.

- 테라노바(Terranova)는 조직이 직원의 사고 방식에 보안을 포함시키는 데 사용할 수 있는 맞춤형 뉴스레터와 같은 사후 교육 도구를 사용해 보안 문화를 구축할 수 있도록 도와준다.

- 웜뱃 시큐리티(Wombat Security)는 직원들이 자신의 데이터 프라이버시 개선, 온라인 쇼핑 안전과 자동차 보안 취약점 처리와 같은 일상적인 보안 팁을 제공한다.

피싱 공격이 증가함에 따라 기업은 보안 인식 교육에 직원들을 참여시키기 위해 뭔가의 유인책이 필요하다. 자사는 무엇을 갖고 있는지 생각해보자. editor@itworld.co.kr 

원문보기: 
http://www.itworld.co.kr/news/106472#csidxece48fff0ce4bd1ac3bbb539d98be2a 

DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다.

1. DDoS 완화 계획 마련
조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다.

산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다.

IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다.

데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다.

비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다”고 말했다.

Getty Images Bank

2. 실시간 조정
기업은 DDoS 공격에 맞서 실시간 조정이 가능해야 한다는 것은 예전부터 익히 알려진 사실이지만 2012년과 2013년, 연거푸 이어진 공격이 뱅크 오브 아메리카(Bank of America), 캐피탈 원(Capital One), 체이스(Chase), 시티뱅크(Citibank), PNC 뱅크(PND Bank) 및 웰스 파고(Wells Fargo)를 포함한 금융 서비스 및 은행 업계를 강타한 후 그 중요성이 더욱 부각됐다. 이러한 공격은 정교하고도 끈질겼다. 아버 네트웍스(Arbor Networks)의 솔루션 설계자인 개리 소크라이더는 “당시 공격은 다중 벡터 공격이었을 뿐만 아니라 수법이 실시간으로 바뀌었다”고 말했다. 공격자들은 사이트가 어떻게 반응하는지 살피다가 사이트가 다시 온라인 상태로 복귀하면 새로운 방법으로 공격했다.

소크라이더는 "이들은 끈질기게 물고 늘어지며 다른 포트, 다른 프로토콜을 공격하거나 새로운 소스에서 공격하는 등 끊임없이 전술을 바꾼다. 따라서 기업도 공격자와 대등한 수준으로 빠르고 유연하게 움직일 수 있는 태세를 갖추어야 한다”고 말했다.

3. DDoS 보호 및 완화 서비스 확보
사이너지스텍(CynergisTek)의 사이버 보안 전략 담당 부사장인 존 니예는 공격에 따라 조정이 가능하도록 기업 스스로 할 수 있는 일도 많지만 가장 경제적인 방법은 서드파티 DDoS 보호 서비스를 받는 것이라면서 “기업 내에서, 일반적으로 SOC 또는 NOC에서 모니터링을 통해 과도한 트래픽을 감시할 수 있으며, 이 트래픽이 정상 트래픽과 충분한 정도로 구분된다면 웹 애플리케이션 방화벽(WAF)이나 다른 기술 솔루션으로 차단할 수 있다. 큰 트래픽 부하를 감당할 수 있는 더 견고한 인프라를 구축하는 것도 가능하지만 이 솔루션은 서드파티 서비스를 사용하는 방법에 비해 훨씬 더 많은 비용이 든다”고 말했다.

데이터 센터 서비스 제공업체 사익스테라(Cyxtera)의 최고 사이버 보안 책임자인 크리스 데이 역시 니예와 같은 의견으로, 기업은 전문 서비스의 도움을 받는 방안을 고려해야 한다면서 “기업은 DDoS 완화 기업 또는 네트워크 서비스 제공업체와 협력해서 완화 역량을 확보하거나 최소한 공격이 발생할 때 신속하게 그러한 역량을 전개할 수 있는 태세를 갖추어야 한다”고 말했다.

니예는 “웹 자산이 비즈니스의 핵심인 기업이 할 수 있는 가장 효과적인 조치 중 하나는 서드파티 DDoS 보호 서비스를 받는 것”이라면서 “최선의 선택은 상황에 따라 다르고, 기업이 그러한 서비스를 사용하는 방안을 고려한다면 당연히 가용한 옵션을 철저히 조사할 것이므로 특정 벤더를 추천하기는 어렵다”고 덧붙였다.

4. 경계 방어에 의존하지 말 것
몇 년 전 금융 서비스 업체들을 강타한 DDoS 공격에 대해 취재하는 과정에서 인터뷰한 사람들은 하나같이 전통적인 구내 보안 장비(방화벽, 침입 차단 시스템, 로드 밸런서 등)로는 공격을 막을 수 없었다고 말했다.

몇 년 전 은행과 금융 서비스를 상대로 발생한 공격에 대해 이야기하면서 소크라이더는 “이러한 장비가 (방어에) 실패하는 것을 목격했다. 교훈은 단순하다. DDoS 공격이 그러한 장비에 도달하기 전에 완화할 역량을 갖추어야 한다는 것이다. 이러한 장비는 기업이 보호하고자 노력하는 서버와 똑같이 취약하다”고 말했다. 완화를 위해 할 수 있는 일 중 하나는 네트워크 경계에서 멀리 떨어진 지점부터 공격을 막을 수 있는 업스트림 네트워크 제공업체 또는 관리형 보안 서비스 제공업체에 의존하는 것이다.

대규모 공격에 직면할 경우 더 멀리 떨어진 업스트림에서 공격을 완화하는 것이 특히 중요하다.

소크라이더는 “10GB 용량의 인터넷 연결을 사용하는데 100GB 공격을 받는다면 10GB 선에서 맞서 싸우는 것은 헛수고다. 이미 업스트림부터 빈사 상태이기 때문”이라고 말했다.

5. 애플리케이션 계층 공격에 즉시 맞서기
특정 애플리케이션을 노리는 공격은 일반적으로 은밀하게 이루어지며 규모는 훨씬 더 작지만 집중적이다.

소크라이더는 “이러한 공격은 저공비행으로 레이더망을 피해가도록 설계되므로 애플리케이션 계층에서 딥 패킷 검사를 수행하고 모든 요소를 볼 수 있는 구내 또는 데이터 센터 보호가 필요하다. 이러한 종류의 공격을 완화하는 최선의 방법”이라고 말했다.

시그널 사이언스(Signal Sciences)의 전략, 마케팅 및 파트너십 담당 부사장 타일러 실즈는 “조직에는 애플리케이션 계층 DoS 공격에 대처할 수 있는 웹 보호 툴이 필요하다. 비즈니스 로직을 충족하도록 구성 가능한 툴이어야 한다. 네트워크 기반 완화책으로는 더 이상 충분하지 않다”고 말했다.

컨테이너 보안 업체 아쿠아 시큐리티(Aqua Security) 공동 창업자이자 CTO인 아미르 저비는 DDoS 공격에 대처하기 위해 취할 수 있는 단계 중 하나는 애플리케이션을 복수의 퍼블릭 클라우드 제공업체에 배포함으로써 중복성을 추가하는 것이라면서 “이렇게 하면 애플리케이션 또는 인프라 제공업체가 공격을 당하더라도 다른 클라우드 환경으로 손쉽게 옮길 수 있다”고 말했다.

6. 협업
은행들은 이러한 공격과 관련하여 약간이나마 협력하고 있다. 이들이 공개하는 모든 정보는 엄격하게 은행들 사이에서만 공유되고 철저히 보호되지만 제한적인 방법이긴 해도 은행들은 대부분의 다른 업계에 비해 협업을 잘 하는 편이다.

IBM의 금융 부문 보안 전략가인 린 프라이스는 “은행들은 상호, 그리고 각자의 통신 제공업체와 협력하고 있으며 서비스 제공업체와도 직접 협력한다. 그래야만 한다. 따로 떨어져 혼자서는 보안에 성공할 수 없기 때문”이라고 말했다.

예를 들어, 금융 서비스 업계가 공격 목표가 되었을 당시 이들은 금융 서비스 정보 공유 및
분석 센터(Financial Services Information Sharing and Analysis Center)에 지원을 요청하고 위협에 대한 정보를 공유했다. 아카마이 테크놀로지(Akamai Technologies)의 금융 서비스
부문 수석 전략가인 리치 볼스트리지는 “이러한 정보 공유 회의에서 대형 은행들은 현재 일어나는 공격의 유형, 사용해본 결과 효과적인 것으로 입증된 솔루션 등에 대해 매우 개방적으로 대화했다. 이런 방법으로 대형 은행들은 최소한 서로 대화는 해오고 있다”고 말했다.

업종을 불문하고 다른 분야에서도 이러한 금융 분야의 전략을 받아들일 수 있으며 받아들여야만 한다.

7. 2차 공격 경계
DDoS 공격은 그 자체로도 큰 피해를 입힐 수 있지만 가끔 더욱 극악한 공격을 위해 단순히 주의를 분산시키는 용도로 사용되는 경우도 있다.

프라이스는 “DDoS는 다른 방향에서 감행되는 더 강력한 공격을 위한 분산 전술일 수 있다. 은행들은 DDoS 공격을 모니터링하고 방어해야 할 뿐만 아니라 DDoS가 예를 들어 계정이나 기타 민감한 정보를 훔치기 위한 다면적 공격의 한 가지 요소에 불과할 수 있다는 점도 인지해야 한다”고 말했다.

8. 경계태세 유지
DDoS 공격은 규모가 큰 업계와 기업만 목표로 하는 것처럼 보이는 경우가 많지만 연구 결과 이는 사실이 아닌 것으로 드러났다. 상호 연결된 현대의 디지털 공급망(모든 대기업은 수십, 많게는 수백 개의 온라인 공급업체에 의존함), 공격으로 의사를 표현하는 온라인 행동주의와 다른 국가의 산업을 대상으로 한 정부 후원 공격의 확산, 그리고 DDoS 공격의 간단함까지 감안하면 모든 조직은 스스로를 공격 목표라고 생각해야 한다.

따라서 항상 대비하고, 이 기사의 조언을 조직의 대 DDoS 전략 구축을 위한 시작 지점으로 활용하기 바란다. editor@itworld.co.kr

원문보기: 
http://www.itworld.co.kr/news/106463#csidxd441051fb372ad288cbd69c07338c16 

침투 테스트는 전문 해커가 공격자보다 먼저 시스템 취약점을 찾기 위해 사용하는 방법이다. 침투 테스트를 위해서는 치밀한 사고와 인내심이 필요하며 약간의 운도 필요하다. 또한 대부분의 전문 해커에게는 테스트를 위한 몇 가지 특정 툴도 필요하다.


Credit: Getty Images Bank 

최근 본지는 몇몇 보안 전문가(일부는 레드 팀 운영자이자 개발자)에게 즐겨 사용하는 툴에 대해 물었다.

다음에서 설명하는 툴은 간단한 평가, 복잡한 교전 상황에서 도움이 됐거나 어떤 식으로든 현장에서 항상 전문가들에게 도움이 된 툴이다. 무료도 있고 라이선스 비용이 필요한 경우도 있지만 모두 한번쯤 살펴볼 가치는 있다.

1. N맵(Nmap) 
N맵은 2017년 9월 1일자로 20주년을 맞았다. 처음 나온 당시부터 네트워크 검색 및 공격 표면 매핑을 위한 최고의 툴 자리를 지켜왔다. 호스트 검색과 포트 스캐닝부터 운영체제 탐지, IDS 회피/스푸핑에 이르기까지 다양한 기능을 제공하며 작업의 규모에 관계없이 필수 툴이다.

2. 에어크랙-ng(Aircrack-ng) 
에어크랙-ng는 N맵과 마찬가지로 침투 테스터들에게 익숙하며 무선 네트워크 평가에서 단골로 사용되는 툴 가운데 하나다. 에어크랙-ng는 패킷 캡처와 공격(WPA 및 WEP 크랙 포함)을 포함한 종합적인 무선 평가 툴이다.

3. 와이파이피셔(Wifiphisher) 
와이파이피셔는 무단 액세스 포인트 툴로, 와이파이 네트워크를 대상으로 자동화된 피싱 공격을 실행한다. 와이파이피셔를 사용하면 작업 범위에 따라 인증 정보를 수집하거나 실제 감염을 일으킬 수 있다. 와이파이피셔 웹사이트의 문서 세션에서 전체적인 개요를 볼 수 있다.

4. 버프 스위트(Burp Suite) 
웹 브라우저와 함께 애플리케이션을 매핑하는 데 사용되는 버프 스위트는 특정 앱의 기능 및 보안 문제를 발견한다. 이를 통해 맞춤형 공격을 실행할 수 있다.
현재 무료 버전의 기능은 상당히 제한적이다. 유료 버전(사용자당 349달러)은 완전한 크롤링과 스캐닝(OWASP 최상위 10가지를 포함한 100개 이상의 취약점, 복수 공격 포인트, 범위 기반 구성 포함)을 지원한다. 이 툴에 대해 가장 자주 듣는 이야기는 반복 작업을 자동화할 수 있고 서버에서 앱이 수행하는 작업을 일목요연하게 표시한다는 것이다.

5. 오와스프 잽(OWASP ZAP) 
오와스프 잽은 버프 스위트와 함께 언급된 애플리케이션 테스트 툴이다. 대체로 잽(Zed Attack Proxy)은 애플리케이션 보안을 처음 시작하는 사람에게 적합한 툴이며, 버프 스위트는 본격적인 하드코어 평가 툴로 분류된다. 가격에 민감한 경우 오픈소스인 잽을 선호한다. 오와스프는 애플리케이션 테스트 용도로 잽을 추천하며, 장기적인 보안 프로젝트에서 제대로 잽을 사용하기 위한 여러 자습서도 내놨다.

6. SQL맵(SQLmap) 
웹사이트에 나온 대로 SQL맵은 "자동 SQL 주입 및 데이터베이스 점유 툴"이다 이 설명은 툴의 핵심을 정확히 표현한다. 마이SQL, MSSQL, 액세스(Access), DB2, 포스트그레SQL(PostgreSQL), 사이베이스(Sybase), SQ라이트(SQLite) 등 일반적으로 많이 사용되는 모든 데이터베이스 플랫폼과 6가지 종류의 공격을 지원한다.

7. CME(CrackMapExec) 
CME는 공격 후(post-exploitation) 툴로, 대규모 액티브 디렉터리 네트워크의 보안 평가 작업을 자동화한다. 이 툴을 만든 'byt3bl33d3r'로 알려진 해커는 이 툴이 "내장 액티브 디렉터리 기능/프로토콜을 악용해 기능을 수행하면서 대부분의 엔드포인트 보호/IDS/IPS 솔루션을 회피할 수 있는 자립적인 개념의 툴"이라고 설명한다.
CME는 레드 팀에서 그 용도가 확실하지만 블루 팀에서도 계정 권한을 평가하고 공격을 시뮬레이션하고 잘못된 구성을 찾는 데 이 툴을 사용할 수 있다. CME는 파워스플로잇 툴킷(PowerSploit)과 임패킷(Impacket) 라이브러리도 사용한다.

8. 임패킷(Impacket) 
CME에 사용되는 임패킷은 SMB1-3 또는 TCP, UDP, ICMP, IGMP 및 IPv4/ IPv6의 ARP와 같은 프로토콜에 대한 저수준 프로그래밍적 접근을 위한 파이썬 클래스 모음이다. 패킷을 처음부터 새로 만들거나 원시 데이터에서 분해해 가져올 수 있다.

9. 파워스플로잇(PowerSploit) 
파워스플로잇은 평가 중 사용할 수 있는 모듈 모음이다. 이름에서 짐작할 수 있듯이 모듈 자체는 윈도우 파워셸용이다. 지속성, AV 우회, 반출(exfiltration), 코드 실행, 스크립트 수정, 정찰 등의 기능이 포함된다.

10. 럭키스트라이크(Luckystrike) 
curi0usJack이 만든 툴인 럭키스트라이크는 악성 엑셀(.xls) 및 워드(.doc) 문서 생성기다. 럭키스트라이크는 표준 셸 명령, 파워셸 스크립트 및 EXE와 함께 사용할 수 있다. 추가 정보 및 사용 세부 정보는 여기서 볼 수 있다.

11. BeEF(Browser Exploitation Framework) 
BeEF는 "클라이언트 측 공격 벡터를 사용해 대상 환경의 실질적 보안 상태를 점검하기 위한 용도"로 유용한 툴이다. 여러 전문가가 BeEF를 언급했고 다양한 기능과 옵션에 비하면 사용하기 쉬운 편이라는 점을 강조했다. 여기서 BeEF에 대해 더 자세히 알아볼 수 있다.

12. THC-히드라(THC-Hydra)  
THC 히드라는 여러 가지 서비스를 지원하는 네트워크 로그인 크래커다. 사실 Cisco auth, Cisco enable, IMAP, IRC, LDAP, MS-SQL, MYSQL, Rlogin, Rsh, RTSP, SSH(v1, v2)를 포함해 50가지에 육박하는 서비스를 지원한다. 생각보다 많이 복잡하지는 않으며 상세한 README 파일이 제공되므로 처음 시작할 때 도움이 된다.

13. 이뮤니티 디버거(Immunity Inc. – Debugger) 
이뮤니티 디버거는 보안 전문가가 익스플로잇을 제작하고 악성코드를 분석하고 바이너리를 리버스 엔지니어링하는 데 사용하는 툴이다. 상당히 많은 기능이 있지만 이고르 노브코비치가 쓴 개요서와 기본적인 리버스 엔지니어링에 대한 SANS 리딩 룸(SANS Reading Room) 논문에서 기능의 대부분을 상세히 다루고 있다. 리버스 엔지니어링 또는 익스플로잇 제작이 주 업무라면 대부분의 경우 이미 이 툴에 익숙할 것이다. 아직 모른다면 살펴볼 만한 가치는 충분하다.

14. 소셜 엔지니어 툴킷(Social Engineer Toolkit, SET) 
이름에서 잘 나타나듯이 SET는 소셜 엔지니어링에 초점을 둔 침투 테스트 프레임워크다. 널리 사용되는 툴이고 텔레비전 방송에도 나왔다. USA 네트워크(USA Network) 프로그램인 미스터 로봇(Mr. Robot)에 등장한 SET는 해커들에게 반가운 장면이었다.
이 외에도 언급할 만한 트러스티드섹(TrustedSec) 툴은 두 가지 더 있다. 유니콘(Unicorn)은 파워셸 다운그레이드 공격을 사용하고 메모리에 직접 코드를 주입하기 위한 툴이고(SET와 함께 사용하면 효과적), nps_payload는 침입 탐지 회피를 위한 페이로드를 생성한다.

15. 메타스플로잇(Metasploit) 
메타스플로잇 프레임워크는 너무 흔히 사용되기 때문에 원래는 이 목록에 넣지 않으려고 했다. 그러나 이 툴은 인터뷰한 전문가들 사이에서 칼리 리눅스(Kali Linux)를 제외한 다른 어떤 툴보다 많이 언급됐다(칼리는 리눅스 배포판으로, 이 기사에 언급된 툴 가운데 상당수가 미리 설치된 상태로 제공된다).
메타스플로잇은 오래 전부터 많은 침투 테스트 전문가의 주요 도구로 사용되고 있다. 래피드7(Rapid7)에 인수된 이후에도 오픈소스 프로젝트로 충실하게 지원되고 있으며 익스플로잇 개발자와 코더 커뮤니티에서 지속적으로 개발되고 있다. 취약점 또는 익스플로잇이 새로 발견됐다는 소식이 뜨면 메타스플로잇에 바로 포함된다. 네트워크에서 예전 취약점에 대한 보안을 평가해야 한다면? 메타스플로잇을 사용하면 된다.

16. 침투 테스트 툴 참고서 
HighOn.Coffee 블로그의 침투 툴 참고서에서 네트워크 구성부터 포트 스캐닝, 네트워크 서비스 공격에 이르기까지 여러 가지 일반적인 명령을 참조할 수 있다.

17. 섹리스트(SecLists) 
섹리스트는 이름대로 깃허브(GitHub)에서 받을 수 있는 침투 테스터의 실무에 도움이 되는 목록(사용자 이름, 비밀번호, 일반적인 데이터 패턴, 퍼징 페이로드, 셸 등) 모음이다. editor@itworld.co.kr  

원문보기: 
http://www.itworld.co.kr/news/106421#csidx9f3b80e2dbb33648a62259d38a640c3 

에퀴팍스(Equifax)의 대규모 개인 정보 유출 사고 이후 세금과 금융 관련 사기 우려가 커지고 있다. 그러나 가장 크게 영향을 받는 쪽은 파트너의 신용을 확인하는 데 신용평가 기관을 이용해 온 기업이 될 것으로 보인다.



채용 확인이나 소셜 서비스 검증을 비롯해 여러 형태의 신원 확인이 대표적이다. 모두 신용평가에 의존하는 업무다. 이런 서비스는 본인만이 신원을 확인하는 데 사용하는 세부 정보를 알고 있다는 가정을 기반으로 한다. 그러나 상당한 양의 개인식별정보(PII)가 인터넷에 유출되면서 이러한 전제가 무너지고 있다. 지난 2년간 대학과 유통업체, 대기업, 헬스케어 기관 등에서 많은 데이터가 유출됐다. 범죄자가 상당한 양의 PII를 악용할 수 있는 상황이다.

가트너의 유명 애널리스트인 아비바 리탄은 가트너 리서치 블로그에 "범죄자들은 이렇게 유출된 최신 PII 데이터를 이용해 다른 사람을 가장한 후 계좌를 빼낼 수 있다"라고 지적했다.

이전 보도에 따르면, 신원 미상의 해커는 에퀴팍스 웹 애플리케이션의 보안 취약점을 이용해 최대 1억 4300만 명의 개인 정보를 빼냈다. 여기에는 사회보장번호, 이름, 주소 등이 포함됐고 일부 경우는 운전면허증 번호도 유출됐다. 에퀴팍스에 따르면, 해커는 지난 5월 중순부터 7월까지 이러한 불법 접속을 계속했다.

현재까지 사람들의 우려는 신원 도용과 이를 악용한 신규 계좌 개설 가능성에 모아지고 있다. 그러나 리탄은 이번 데이터 유출로 대규모 금융 사기가 발생할 가능성은 크지 않다고 예상했다. 그는 "과거 사례를 보면 범죄자가 신원을 도용해 대출을 받거나 계좌 개설, 신용카드를 발급 받은 비율은 전체의 5% 이하다"라고 말했다.

오히려 더 빈번하게 발생하는 것은 기존 은행 계좌를 탈취하는 것이다. 훔친 정보를 이용해 은행과 휴대폰 서비스, 은퇴 연금 계좌 등을 뚫는데 이용하는 것이다. 콜센터와 온라인 시스템은 계좌 이체나 계좌 관련 정보 변경 등 주요 온라인 작업을 처리할 때 신원을 확인하는 과정에서 이러한 정보 일부만 이용한다. 리탄은 "이들 데이터가 범죄자의 손에 들어갔을 가능성이 높은 상황에서 신원을 확인하는 데 오로지 정적인 개인 정보만 사용하는 것이 문제다"라고 지적했다.

디지털 생태계는 웹 상의 다양한 신뢰를 기반으로 지탱된다. 이 중 한 곳에서라도 약점이 발견되면 모두에게 영향을 줄 수 있다. 신원 관리 업체 핑 아이덴티티(Ping Identity)의 CTO 패트릭 하딩은 "미국의 신용 시스템은 디지털 신원의 안전을 확보하는 수단으로 신용평가 기관에 거의 절대적으로 의존하고 있다"라고 말했다.

따라서 범죄자가 이들 정보를 이용하면 주요 신원 확인 시스템, 특히 금융 서비스가 큰 혼란에 빠질 수 있다. 더는 신원 확인 결과를 믿을 수 없기 때문이다. 위협 인텔리전스 업체 서프와치 랩(SurfWatch Labs)의 수석 보안 전략가 아담 메이어는 "데이터 유출은 많은 기업과 공공 기관이 금융 사기에 맞서기 위해 사용하고 있는 인증 스택에 직접적인 영향을 줄 수 있다"라고 말했다.

범죄자가 신원 확인에 필요한 모든 정보를 확보하게 되면 이런 인증 시스템 자체가 의미가 없어질 수 있다. 그래서 리탄 같은 보안 전문가들은 정적인 개인 정보에 의존해 신원 확인을 하는 대신 동적인 인증 정보를 이용해야 한다고 주장해 왔다. 예를 들어 보안 업체 쓰랫매트릭스(Threatmetrix)는 크라우드 소싱과 머신러닝을 이용해 동적인 행위와 태도 등을 기반으로 개인의 신원을 확인한다.

리탄은 "세무당국을 포함한 가트너 고객사와 논의해 보면, 미국인의 절반 이상이 이미 이번 해킹 이전부터 신원 정보가 유출된 것으로 추정된다. 그들의 기록도 이미 범죄자의 데이터베이스로 넘어간 상태다"라고 말했다.

리탄은 개개인이 금융과 휴대폰 서비스 계정 탈취, 세금 환급 사기, 사회 보장을 포함한 정부 복지 관련 사기 등에 주의해야 한다고 경고했다. 핵 무기 시스템이나 전력망에 대한 공격에도 대비가 필요하다고 덧붙였다. 그는 "범죄자들이 이번에 유출된 개인 정보를 이용해 가짜 주택대출에 나설 가능성이 있다. 그러나 이보다는 앞으로 새로운 범죄에 악용될 가능성이 훨씬 더 크다"라고 말했다. ciokr@idg.co.kr 

원문보기: 
http://www.ciokorea.com/news/35548#csidxb899ead623880de914cffd9b6adc3ac