류프리

사이버보안 교육 업체는 보안 인식 교육에 직원을 참여시키고 프로세스를 덜 지루하게 만들기 위해 특유의 방법을 사용한다.


Credit: Getty Images Bank

만약 가짜 이메일을 클릭했다면 보안에 대해 좀더 잘 알아야 한다. 기업에서는 사이버보안 학교에 보낼 수도 있다. 하지만, 보안 교육은 누구나 듣고 싶어하지 않는다.

그러나 슬프게도 피싱 이메일을 클릭한 직원에게 불이익을 주는 많은 조직에서 보안 인식 교육에 서명한다.

하지만 이 조직들을 비난할 수는 없다. 피시미(PhishMe)의 2016년 보고서에 따르면, 사이버 공격의 91%와 그 결과 발생한 데이터 유출은 스피어 피싱 이메일로 시작된다. 즉, 해킹의 압도적인 수가 직원의 어떤 형태의 악성코드가 포함된 이메일을 클릭하는 데서 시작된다는 것이다.

높아지는 사이버보안 교육의 필요성
사이버보안 직원 교육의 필요성이 높아지는 이유이기도 하다. 사이버보안 벤처스(Cybersecurity Ventures)는 보안 인식 교육 시장이 2014년 10억 달러에서 2027년 100억 달러로 성장할 것이라고 예측했다.

엄청나게 확대되고 있는 공격대상은 현재 온라인에 있는 20억 이상의 사람들인데, 마이크로소프트는 2021년까지 40억 명이 넘을 것으로 예상했다. 이 모든 사람이 보안 인식 교육의 후보자다.

오늘날 전 세계적으로 모든 규모의 조직 직원은 보안에 대한 교육을 받고 있다. 앞으로 고용 시장에서는 개인 스스로가 자신의 교육, 고용 란에 사이버보안을 잘 아는 후보자로 지칭하는 것을 볼 수 있을 것이다.

최근 보안 교육 시장은 급변하고 있다. 직원들의 교육 프로그램이 자리매김할 수 있도록 도와주는 수많은 보안 교육 업체들이 시장의 변화를 꾀하고 있다.

독특한 보안 인식 교육 프로그램과 도구
다음은 보안 인식 교육 업체의 재미있는 제안들이다.
- 디지털 디펜스(Digital Defense)는 유명한 헐리우드 코미디 작가와 협력해 SecurED 교육 프로그램을 창의적으로 개발했다. 웃음은 지루한 보안 수업에 대한 해결책이 될 수 있다.

- 인스파이어드 이러닝(Inspired eLearning)의 씨스위트(C-Suite)에 대한 보안 인식은 보안에 대한 생각이 없는 CEO를 사이버 인식 임원으로 전환시키며, 이는 그들의 직원들을 좀더 따르게 할 수 있다.

- 노우비포(KnowBe4)는 유명한 해커인 케빈 미트닉을 촬영해 컴퓨터 기반 교육(computer-based-training) 업계를 선도하는 인물로 만들었다. 직원의 경우, 영화를 보는 것과 같다.

- 미디어프로(MediaPro)는 성공적인 보안 인식 교육 프로그램의 핵심인 매력적인 콘텐츠를 만드는 방법을 설명하는 이북과 툴킷을 기업들에게 제공한다.

- 피시라인(Phishline)은 피싱에서 멈추지 않고 비싱(Voice phishing, Vishing)과 스미싱(Smishing)으로 조직의 직원 교육을 지원한다.

- 피시미의 모의 피싱 교육은 직원들에게 피싱 공격을 반복함으로써 직원들을 인간 방화벽으로 변모시켜준다.

- 테라노바(Terranova)는 조직이 직원의 사고 방식에 보안을 포함시키는 데 사용할 수 있는 맞춤형 뉴스레터와 같은 사후 교육 도구를 사용해 보안 문화를 구축할 수 있도록 도와준다.

- 웜뱃 시큐리티(Wombat Security)는 직원들이 자신의 데이터 프라이버시 개선, 온라인 쇼핑 안전과 자동차 보안 취약점 처리와 같은 일상적인 보안 팁을 제공한다.

피싱 공격이 증가함에 따라 기업은 보안 인식 교육에 직원들을 참여시키기 위해 뭔가의 유인책이 필요하다. 자사는 무엇을 갖고 있는지 생각해보자. editor@itworld.co.kr 

원문보기: 
http://www.itworld.co.kr/news/106472#csidxece48fff0ce4bd1ac3bbb539d98be2a 

DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다.

1. DDoS 완화 계획 마련
조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다.

산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다.

IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다.

데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다.

비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다”고 말했다.

Getty Images Bank

2. 실시간 조정
기업은 DDoS 공격에 맞서 실시간 조정이 가능해야 한다는 것은 예전부터 익히 알려진 사실이지만 2012년과 2013년, 연거푸 이어진 공격이 뱅크 오브 아메리카(Bank of America), 캐피탈 원(Capital One), 체이스(Chase), 시티뱅크(Citibank), PNC 뱅크(PND Bank) 및 웰스 파고(Wells Fargo)를 포함한 금융 서비스 및 은행 업계를 강타한 후 그 중요성이 더욱 부각됐다. 이러한 공격은 정교하고도 끈질겼다. 아버 네트웍스(Arbor Networks)의 솔루션 설계자인 개리 소크라이더는 “당시 공격은 다중 벡터 공격이었을 뿐만 아니라 수법이 실시간으로 바뀌었다”고 말했다. 공격자들은 사이트가 어떻게 반응하는지 살피다가 사이트가 다시 온라인 상태로 복귀하면 새로운 방법으로 공격했다.

소크라이더는 "이들은 끈질기게 물고 늘어지며 다른 포트, 다른 프로토콜을 공격하거나 새로운 소스에서 공격하는 등 끊임없이 전술을 바꾼다. 따라서 기업도 공격자와 대등한 수준으로 빠르고 유연하게 움직일 수 있는 태세를 갖추어야 한다”고 말했다.

3. DDoS 보호 및 완화 서비스 확보
사이너지스텍(CynergisTek)의 사이버 보안 전략 담당 부사장인 존 니예는 공격에 따라 조정이 가능하도록 기업 스스로 할 수 있는 일도 많지만 가장 경제적인 방법은 서드파티 DDoS 보호 서비스를 받는 것이라면서 “기업 내에서, 일반적으로 SOC 또는 NOC에서 모니터링을 통해 과도한 트래픽을 감시할 수 있으며, 이 트래픽이 정상 트래픽과 충분한 정도로 구분된다면 웹 애플리케이션 방화벽(WAF)이나 다른 기술 솔루션으로 차단할 수 있다. 큰 트래픽 부하를 감당할 수 있는 더 견고한 인프라를 구축하는 것도 가능하지만 이 솔루션은 서드파티 서비스를 사용하는 방법에 비해 훨씬 더 많은 비용이 든다”고 말했다.

데이터 센터 서비스 제공업체 사익스테라(Cyxtera)의 최고 사이버 보안 책임자인 크리스 데이 역시 니예와 같은 의견으로, 기업은 전문 서비스의 도움을 받는 방안을 고려해야 한다면서 “기업은 DDoS 완화 기업 또는 네트워크 서비스 제공업체와 협력해서 완화 역량을 확보하거나 최소한 공격이 발생할 때 신속하게 그러한 역량을 전개할 수 있는 태세를 갖추어야 한다”고 말했다.

니예는 “웹 자산이 비즈니스의 핵심인 기업이 할 수 있는 가장 효과적인 조치 중 하나는 서드파티 DDoS 보호 서비스를 받는 것”이라면서 “최선의 선택은 상황에 따라 다르고, 기업이 그러한 서비스를 사용하는 방안을 고려한다면 당연히 가용한 옵션을 철저히 조사할 것이므로 특정 벤더를 추천하기는 어렵다”고 덧붙였다.

4. 경계 방어에 의존하지 말 것
몇 년 전 금융 서비스 업체들을 강타한 DDoS 공격에 대해 취재하는 과정에서 인터뷰한 사람들은 하나같이 전통적인 구내 보안 장비(방화벽, 침입 차단 시스템, 로드 밸런서 등)로는 공격을 막을 수 없었다고 말했다.

몇 년 전 은행과 금융 서비스를 상대로 발생한 공격에 대해 이야기하면서 소크라이더는 “이러한 장비가 (방어에) 실패하는 것을 목격했다. 교훈은 단순하다. DDoS 공격이 그러한 장비에 도달하기 전에 완화할 역량을 갖추어야 한다는 것이다. 이러한 장비는 기업이 보호하고자 노력하는 서버와 똑같이 취약하다”고 말했다. 완화를 위해 할 수 있는 일 중 하나는 네트워크 경계에서 멀리 떨어진 지점부터 공격을 막을 수 있는 업스트림 네트워크 제공업체 또는 관리형 보안 서비스 제공업체에 의존하는 것이다.

대규모 공격에 직면할 경우 더 멀리 떨어진 업스트림에서 공격을 완화하는 것이 특히 중요하다.

소크라이더는 “10GB 용량의 인터넷 연결을 사용하는데 100GB 공격을 받는다면 10GB 선에서 맞서 싸우는 것은 헛수고다. 이미 업스트림부터 빈사 상태이기 때문”이라고 말했다.

5. 애플리케이션 계층 공격에 즉시 맞서기
특정 애플리케이션을 노리는 공격은 일반적으로 은밀하게 이루어지며 규모는 훨씬 더 작지만 집중적이다.

소크라이더는 “이러한 공격은 저공비행으로 레이더망을 피해가도록 설계되므로 애플리케이션 계층에서 딥 패킷 검사를 수행하고 모든 요소를 볼 수 있는 구내 또는 데이터 센터 보호가 필요하다. 이러한 종류의 공격을 완화하는 최선의 방법”이라고 말했다.

시그널 사이언스(Signal Sciences)의 전략, 마케팅 및 파트너십 담당 부사장 타일러 실즈는 “조직에는 애플리케이션 계층 DoS 공격에 대처할 수 있는 웹 보호 툴이 필요하다. 비즈니스 로직을 충족하도록 구성 가능한 툴이어야 한다. 네트워크 기반 완화책으로는 더 이상 충분하지 않다”고 말했다.

컨테이너 보안 업체 아쿠아 시큐리티(Aqua Security) 공동 창업자이자 CTO인 아미르 저비는 DDoS 공격에 대처하기 위해 취할 수 있는 단계 중 하나는 애플리케이션을 복수의 퍼블릭 클라우드 제공업체에 배포함으로써 중복성을 추가하는 것이라면서 “이렇게 하면 애플리케이션 또는 인프라 제공업체가 공격을 당하더라도 다른 클라우드 환경으로 손쉽게 옮길 수 있다”고 말했다.

6. 협업
은행들은 이러한 공격과 관련하여 약간이나마 협력하고 있다. 이들이 공개하는 모든 정보는 엄격하게 은행들 사이에서만 공유되고 철저히 보호되지만 제한적인 방법이긴 해도 은행들은 대부분의 다른 업계에 비해 협업을 잘 하는 편이다.

IBM의 금융 부문 보안 전략가인 린 프라이스는 “은행들은 상호, 그리고 각자의 통신 제공업체와 협력하고 있으며 서비스 제공업체와도 직접 협력한다. 그래야만 한다. 따로 떨어져 혼자서는 보안에 성공할 수 없기 때문”이라고 말했다.

예를 들어, 금융 서비스 업계가 공격 목표가 되었을 당시 이들은 금융 서비스 정보 공유 및
분석 센터(Financial Services Information Sharing and Analysis Center)에 지원을 요청하고 위협에 대한 정보를 공유했다. 아카마이 테크놀로지(Akamai Technologies)의 금융 서비스
부문 수석 전략가인 리치 볼스트리지는 “이러한 정보 공유 회의에서 대형 은행들은 현재 일어나는 공격의 유형, 사용해본 결과 효과적인 것으로 입증된 솔루션 등에 대해 매우 개방적으로 대화했다. 이런 방법으로 대형 은행들은 최소한 서로 대화는 해오고 있다”고 말했다.

업종을 불문하고 다른 분야에서도 이러한 금융 분야의 전략을 받아들일 수 있으며 받아들여야만 한다.

7. 2차 공격 경계
DDoS 공격은 그 자체로도 큰 피해를 입힐 수 있지만 가끔 더욱 극악한 공격을 위해 단순히 주의를 분산시키는 용도로 사용되는 경우도 있다.

프라이스는 “DDoS는 다른 방향에서 감행되는 더 강력한 공격을 위한 분산 전술일 수 있다. 은행들은 DDoS 공격을 모니터링하고 방어해야 할 뿐만 아니라 DDoS가 예를 들어 계정이나 기타 민감한 정보를 훔치기 위한 다면적 공격의 한 가지 요소에 불과할 수 있다는 점도 인지해야 한다”고 말했다.

8. 경계태세 유지
DDoS 공격은 규모가 큰 업계와 기업만 목표로 하는 것처럼 보이는 경우가 많지만 연구 결과 이는 사실이 아닌 것으로 드러났다. 상호 연결된 현대의 디지털 공급망(모든 대기업은 수십, 많게는 수백 개의 온라인 공급업체에 의존함), 공격으로 의사를 표현하는 온라인 행동주의와 다른 국가의 산업을 대상으로 한 정부 후원 공격의 확산, 그리고 DDoS 공격의 간단함까지 감안하면 모든 조직은 스스로를 공격 목표라고 생각해야 한다.

따라서 항상 대비하고, 이 기사의 조언을 조직의 대 DDoS 전략 구축을 위한 시작 지점으로 활용하기 바란다. editor@itworld.co.kr

원문보기: 
http://www.itworld.co.kr/news/106463#csidxd441051fb372ad288cbd69c07338c16 

침투 테스트는 전문 해커가 공격자보다 먼저 시스템 취약점을 찾기 위해 사용하는 방법이다. 침투 테스트를 위해서는 치밀한 사고와 인내심이 필요하며 약간의 운도 필요하다. 또한 대부분의 전문 해커에게는 테스트를 위한 몇 가지 특정 툴도 필요하다.


Credit: Getty Images Bank 

최근 본지는 몇몇 보안 전문가(일부는 레드 팀 운영자이자 개발자)에게 즐겨 사용하는 툴에 대해 물었다.

다음에서 설명하는 툴은 간단한 평가, 복잡한 교전 상황에서 도움이 됐거나 어떤 식으로든 현장에서 항상 전문가들에게 도움이 된 툴이다. 무료도 있고 라이선스 비용이 필요한 경우도 있지만 모두 한번쯤 살펴볼 가치는 있다.

1. N맵(Nmap) 
N맵은 2017년 9월 1일자로 20주년을 맞았다. 처음 나온 당시부터 네트워크 검색 및 공격 표면 매핑을 위한 최고의 툴 자리를 지켜왔다. 호스트 검색과 포트 스캐닝부터 운영체제 탐지, IDS 회피/스푸핑에 이르기까지 다양한 기능을 제공하며 작업의 규모에 관계없이 필수 툴이다.

2. 에어크랙-ng(Aircrack-ng) 
에어크랙-ng는 N맵과 마찬가지로 침투 테스터들에게 익숙하며 무선 네트워크 평가에서 단골로 사용되는 툴 가운데 하나다. 에어크랙-ng는 패킷 캡처와 공격(WPA 및 WEP 크랙 포함)을 포함한 종합적인 무선 평가 툴이다.

3. 와이파이피셔(Wifiphisher) 
와이파이피셔는 무단 액세스 포인트 툴로, 와이파이 네트워크를 대상으로 자동화된 피싱 공격을 실행한다. 와이파이피셔를 사용하면 작업 범위에 따라 인증 정보를 수집하거나 실제 감염을 일으킬 수 있다. 와이파이피셔 웹사이트의 문서 세션에서 전체적인 개요를 볼 수 있다.

4. 버프 스위트(Burp Suite) 
웹 브라우저와 함께 애플리케이션을 매핑하는 데 사용되는 버프 스위트는 특정 앱의 기능 및 보안 문제를 발견한다. 이를 통해 맞춤형 공격을 실행할 수 있다.
현재 무료 버전의 기능은 상당히 제한적이다. 유료 버전(사용자당 349달러)은 완전한 크롤링과 스캐닝(OWASP 최상위 10가지를 포함한 100개 이상의 취약점, 복수 공격 포인트, 범위 기반 구성 포함)을 지원한다. 이 툴에 대해 가장 자주 듣는 이야기는 반복 작업을 자동화할 수 있고 서버에서 앱이 수행하는 작업을 일목요연하게 표시한다는 것이다.

5. 오와스프 잽(OWASP ZAP) 
오와스프 잽은 버프 스위트와 함께 언급된 애플리케이션 테스트 툴이다. 대체로 잽(Zed Attack Proxy)은 애플리케이션 보안을 처음 시작하는 사람에게 적합한 툴이며, 버프 스위트는 본격적인 하드코어 평가 툴로 분류된다. 가격에 민감한 경우 오픈소스인 잽을 선호한다. 오와스프는 애플리케이션 테스트 용도로 잽을 추천하며, 장기적인 보안 프로젝트에서 제대로 잽을 사용하기 위한 여러 자습서도 내놨다.

6. SQL맵(SQLmap) 
웹사이트에 나온 대로 SQL맵은 "자동 SQL 주입 및 데이터베이스 점유 툴"이다 이 설명은 툴의 핵심을 정확히 표현한다. 마이SQL, MSSQL, 액세스(Access), DB2, 포스트그레SQL(PostgreSQL), 사이베이스(Sybase), SQ라이트(SQLite) 등 일반적으로 많이 사용되는 모든 데이터베이스 플랫폼과 6가지 종류의 공격을 지원한다.

7. CME(CrackMapExec) 
CME는 공격 후(post-exploitation) 툴로, 대규모 액티브 디렉터리 네트워크의 보안 평가 작업을 자동화한다. 이 툴을 만든 'byt3bl33d3r'로 알려진 해커는 이 툴이 "내장 액티브 디렉터리 기능/프로토콜을 악용해 기능을 수행하면서 대부분의 엔드포인트 보호/IDS/IPS 솔루션을 회피할 수 있는 자립적인 개념의 툴"이라고 설명한다.
CME는 레드 팀에서 그 용도가 확실하지만 블루 팀에서도 계정 권한을 평가하고 공격을 시뮬레이션하고 잘못된 구성을 찾는 데 이 툴을 사용할 수 있다. CME는 파워스플로잇 툴킷(PowerSploit)과 임패킷(Impacket) 라이브러리도 사용한다.

8. 임패킷(Impacket) 
CME에 사용되는 임패킷은 SMB1-3 또는 TCP, UDP, ICMP, IGMP 및 IPv4/ IPv6의 ARP와 같은 프로토콜에 대한 저수준 프로그래밍적 접근을 위한 파이썬 클래스 모음이다. 패킷을 처음부터 새로 만들거나 원시 데이터에서 분해해 가져올 수 있다.

9. 파워스플로잇(PowerSploit) 
파워스플로잇은 평가 중 사용할 수 있는 모듈 모음이다. 이름에서 짐작할 수 있듯이 모듈 자체는 윈도우 파워셸용이다. 지속성, AV 우회, 반출(exfiltration), 코드 실행, 스크립트 수정, 정찰 등의 기능이 포함된다.

10. 럭키스트라이크(Luckystrike) 
curi0usJack이 만든 툴인 럭키스트라이크는 악성 엑셀(.xls) 및 워드(.doc) 문서 생성기다. 럭키스트라이크는 표준 셸 명령, 파워셸 스크립트 및 EXE와 함께 사용할 수 있다. 추가 정보 및 사용 세부 정보는 여기서 볼 수 있다.

11. BeEF(Browser Exploitation Framework) 
BeEF는 "클라이언트 측 공격 벡터를 사용해 대상 환경의 실질적 보안 상태를 점검하기 위한 용도"로 유용한 툴이다. 여러 전문가가 BeEF를 언급했고 다양한 기능과 옵션에 비하면 사용하기 쉬운 편이라는 점을 강조했다. 여기서 BeEF에 대해 더 자세히 알아볼 수 있다.

12. THC-히드라(THC-Hydra)  
THC 히드라는 여러 가지 서비스를 지원하는 네트워크 로그인 크래커다. 사실 Cisco auth, Cisco enable, IMAP, IRC, LDAP, MS-SQL, MYSQL, Rlogin, Rsh, RTSP, SSH(v1, v2)를 포함해 50가지에 육박하는 서비스를 지원한다. 생각보다 많이 복잡하지는 않으며 상세한 README 파일이 제공되므로 처음 시작할 때 도움이 된다.

13. 이뮤니티 디버거(Immunity Inc. – Debugger) 
이뮤니티 디버거는 보안 전문가가 익스플로잇을 제작하고 악성코드를 분석하고 바이너리를 리버스 엔지니어링하는 데 사용하는 툴이다. 상당히 많은 기능이 있지만 이고르 노브코비치가 쓴 개요서와 기본적인 리버스 엔지니어링에 대한 SANS 리딩 룸(SANS Reading Room) 논문에서 기능의 대부분을 상세히 다루고 있다. 리버스 엔지니어링 또는 익스플로잇 제작이 주 업무라면 대부분의 경우 이미 이 툴에 익숙할 것이다. 아직 모른다면 살펴볼 만한 가치는 충분하다.

14. 소셜 엔지니어 툴킷(Social Engineer Toolkit, SET) 
이름에서 잘 나타나듯이 SET는 소셜 엔지니어링에 초점을 둔 침투 테스트 프레임워크다. 널리 사용되는 툴이고 텔레비전 방송에도 나왔다. USA 네트워크(USA Network) 프로그램인 미스터 로봇(Mr. Robot)에 등장한 SET는 해커들에게 반가운 장면이었다.
이 외에도 언급할 만한 트러스티드섹(TrustedSec) 툴은 두 가지 더 있다. 유니콘(Unicorn)은 파워셸 다운그레이드 공격을 사용하고 메모리에 직접 코드를 주입하기 위한 툴이고(SET와 함께 사용하면 효과적), nps_payload는 침입 탐지 회피를 위한 페이로드를 생성한다.

15. 메타스플로잇(Metasploit) 
메타스플로잇 프레임워크는 너무 흔히 사용되기 때문에 원래는 이 목록에 넣지 않으려고 했다. 그러나 이 툴은 인터뷰한 전문가들 사이에서 칼리 리눅스(Kali Linux)를 제외한 다른 어떤 툴보다 많이 언급됐다(칼리는 리눅스 배포판으로, 이 기사에 언급된 툴 가운데 상당수가 미리 설치된 상태로 제공된다).
메타스플로잇은 오래 전부터 많은 침투 테스트 전문가의 주요 도구로 사용되고 있다. 래피드7(Rapid7)에 인수된 이후에도 오픈소스 프로젝트로 충실하게 지원되고 있으며 익스플로잇 개발자와 코더 커뮤니티에서 지속적으로 개발되고 있다. 취약점 또는 익스플로잇이 새로 발견됐다는 소식이 뜨면 메타스플로잇에 바로 포함된다. 네트워크에서 예전 취약점에 대한 보안을 평가해야 한다면? 메타스플로잇을 사용하면 된다.

16. 침투 테스트 툴 참고서 
HighOn.Coffee 블로그의 침투 툴 참고서에서 네트워크 구성부터 포트 스캐닝, 네트워크 서비스 공격에 이르기까지 여러 가지 일반적인 명령을 참조할 수 있다.

17. 섹리스트(SecLists) 
섹리스트는 이름대로 깃허브(GitHub)에서 받을 수 있는 침투 테스터의 실무에 도움이 되는 목록(사용자 이름, 비밀번호, 일반적인 데이터 패턴, 퍼징 페이로드, 셸 등) 모음이다. editor@itworld.co.kr  

원문보기: 
http://www.itworld.co.kr/news/106421#csidx9f3b80e2dbb33648a62259d38a640c3 

에퀴팍스(Equifax)의 대규모 개인 정보 유출 사고 이후 세금과 금융 관련 사기 우려가 커지고 있다. 그러나 가장 크게 영향을 받는 쪽은 파트너의 신용을 확인하는 데 신용평가 기관을 이용해 온 기업이 될 것으로 보인다.



채용 확인이나 소셜 서비스 검증을 비롯해 여러 형태의 신원 확인이 대표적이다. 모두 신용평가에 의존하는 업무다. 이런 서비스는 본인만이 신원을 확인하는 데 사용하는 세부 정보를 알고 있다는 가정을 기반으로 한다. 그러나 상당한 양의 개인식별정보(PII)가 인터넷에 유출되면서 이러한 전제가 무너지고 있다. 지난 2년간 대학과 유통업체, 대기업, 헬스케어 기관 등에서 많은 데이터가 유출됐다. 범죄자가 상당한 양의 PII를 악용할 수 있는 상황이다.

가트너의 유명 애널리스트인 아비바 리탄은 가트너 리서치 블로그에 "범죄자들은 이렇게 유출된 최신 PII 데이터를 이용해 다른 사람을 가장한 후 계좌를 빼낼 수 있다"라고 지적했다.

이전 보도에 따르면, 신원 미상의 해커는 에퀴팍스 웹 애플리케이션의 보안 취약점을 이용해 최대 1억 4300만 명의 개인 정보를 빼냈다. 여기에는 사회보장번호, 이름, 주소 등이 포함됐고 일부 경우는 운전면허증 번호도 유출됐다. 에퀴팍스에 따르면, 해커는 지난 5월 중순부터 7월까지 이러한 불법 접속을 계속했다.

현재까지 사람들의 우려는 신원 도용과 이를 악용한 신규 계좌 개설 가능성에 모아지고 있다. 그러나 리탄은 이번 데이터 유출로 대규모 금융 사기가 발생할 가능성은 크지 않다고 예상했다. 그는 "과거 사례를 보면 범죄자가 신원을 도용해 대출을 받거나 계좌 개설, 신용카드를 발급 받은 비율은 전체의 5% 이하다"라고 말했다.

오히려 더 빈번하게 발생하는 것은 기존 은행 계좌를 탈취하는 것이다. 훔친 정보를 이용해 은행과 휴대폰 서비스, 은퇴 연금 계좌 등을 뚫는데 이용하는 것이다. 콜센터와 온라인 시스템은 계좌 이체나 계좌 관련 정보 변경 등 주요 온라인 작업을 처리할 때 신원을 확인하는 과정에서 이러한 정보 일부만 이용한다. 리탄은 "이들 데이터가 범죄자의 손에 들어갔을 가능성이 높은 상황에서 신원을 확인하는 데 오로지 정적인 개인 정보만 사용하는 것이 문제다"라고 지적했다.

디지털 생태계는 웹 상의 다양한 신뢰를 기반으로 지탱된다. 이 중 한 곳에서라도 약점이 발견되면 모두에게 영향을 줄 수 있다. 신원 관리 업체 핑 아이덴티티(Ping Identity)의 CTO 패트릭 하딩은 "미국의 신용 시스템은 디지털 신원의 안전을 확보하는 수단으로 신용평가 기관에 거의 절대적으로 의존하고 있다"라고 말했다.

따라서 범죄자가 이들 정보를 이용하면 주요 신원 확인 시스템, 특히 금융 서비스가 큰 혼란에 빠질 수 있다. 더는 신원 확인 결과를 믿을 수 없기 때문이다. 위협 인텔리전스 업체 서프와치 랩(SurfWatch Labs)의 수석 보안 전략가 아담 메이어는 "데이터 유출은 많은 기업과 공공 기관이 금융 사기에 맞서기 위해 사용하고 있는 인증 스택에 직접적인 영향을 줄 수 있다"라고 말했다.

범죄자가 신원 확인에 필요한 모든 정보를 확보하게 되면 이런 인증 시스템 자체가 의미가 없어질 수 있다. 그래서 리탄 같은 보안 전문가들은 정적인 개인 정보에 의존해 신원 확인을 하는 대신 동적인 인증 정보를 이용해야 한다고 주장해 왔다. 예를 들어 보안 업체 쓰랫매트릭스(Threatmetrix)는 크라우드 소싱과 머신러닝을 이용해 동적인 행위와 태도 등을 기반으로 개인의 신원을 확인한다.

리탄은 "세무당국을 포함한 가트너 고객사와 논의해 보면, 미국인의 절반 이상이 이미 이번 해킹 이전부터 신원 정보가 유출된 것으로 추정된다. 그들의 기록도 이미 범죄자의 데이터베이스로 넘어간 상태다"라고 말했다.

리탄은 개개인이 금융과 휴대폰 서비스 계정 탈취, 세금 환급 사기, 사회 보장을 포함한 정부 복지 관련 사기 등에 주의해야 한다고 경고했다. 핵 무기 시스템이나 전력망에 대한 공격에도 대비가 필요하다고 덧붙였다. 그는 "범죄자들이 이번에 유출된 개인 정보를 이용해 가짜 주택대출에 나설 가능성이 있다. 그러나 이보다는 앞으로 새로운 범죄에 악용될 가능성이 훨씬 더 크다"라고 말했다. ciokr@idg.co.kr 

원문보기: 
http://www.ciokorea.com/news/35548#csidxb899ead623880de914cffd9b6adc3ac 

NAS가 필요한 4가지 이유

중소기업이 NAS를 도입하면 구체적으로 어떤 변화가 일어날까. 무엇보다 보안이다. 랜섬웨어와 같은 사이버 공격으로부터 기업의 데이터를 안전하게 보호할 수 있다. 단, 사이버 보안 대책의 출발점은 ‘보안 시스템은 언제든 뚫릴 수 있다’라는 전제다. 세상에 완벽하게 안전한 시스템은 없고, 제로데이(Zero Day) 공격처럼 아직 알려지지 않은 보안 취약점을 이용한 사이버 테러를 미리 막는 것은 불가능하다. 

따라서 시스템이 뚫리는 상황에서도 데이터 유출을 최소화하고 가장 빠르게 데이터를 복구해 기업 활동을 정상화하는 체계를 만드는 것이 핵심이다. 보안 측면에서 백업이 중요한 것도 이 때문이다. 만약 랜섬웨어 공격을 받았을 경우, 체계적인 백업 시스템을 갖추고 백업 데이터 관리를 강화했다면, 설사 데이터가 암호화됐어도 백업 데이터를 복구해 단시간에 서비스를 정상화할수 있다. 특히 NAS의 ‘스냅샷 복제(Snapshot Replica)’ 같은 기능을 이용하면 데이터를 거의 실시간에 가깝게 백업하고 다시 몇 분 만에 복구할 수 있다.

NAS가 유용한 두 번째 이유는 백업, 파일 공유 같은 기본 기능 외에 활용 방안이 점점 더 다양해지고 있다는 점이다. 관련 기술이 성숙하면서 이제 NAS는일종의 플랫폼이 됐다. 백업하고 파일을 관리하는 것은 물론 감시시스템이나 멀티미디어 시스템을 운영하는 것도 가능하다. 특히 가상화와 컨테이너 기술 등을 이용하면 가상머신을 만들어 필요한 기능의 서버로 활용할 수 있다. 일부 업체는 100여 개 이상의 NAS용 애플리케이션을 지원하기도 한다. 이제 NAS를 단순한 하드웨어 장비가 아닌 애플리케이션 패키지로 보는 것도 이 때문이다.

NAS에 주목해야 하는 세 번째 이유는, 기업에 비슷한 혜택을 제공할 것으로예상했던 클라우드가 기대에 미치지 못한다는 것이 확인됐기 때문이다. 많은중소기업이 데이터를 클라우드에 저장한다. 그러나 클라우드의 단순함과 유연성에 끌려 애플리케이션까지 클라우드에서 활용하려고 하는 순간 예상보다 높은 비용 부담에 놀라곤 한다.

중소기업이 클라우드를 본격적으로 활용할 때 또 다른 어려움은 바로 데이터 통제권이다. 데이터 공유를 위해 일부 데이터를 클라우드에 저장하는 것을 넘어 모든 민감한 기업 데이터를 외부 클라우드 업체에 넘기는 것은 여전히 부담스럽다. 이는 비단 국내 기업만의 정서가 아니라 외국 기업도 비슷하다. 이때 NAS를 도입하면 데이터에 대한 완벽한 통제권을 가지면서도 기존 클라우드의 이점을 그대로 누릴 수 있다. 다양한 NAS용 애플리케이션을 통해 필요한 SaaS(Software as a Service)도 이용할 수 있다. 장애가 발생했을 때도 클라우드라면 서비스 업체의 대응을 기다리고 있어야 하지만, NAS는 도입 기업이 NAS 업체와 함께 신속하게 복구할 수 있다.

중소기업이 NAS를 도입했을 때 기대할 수 있는 마지막 효과는 비용 절감이다. 이제 기업은 어떤 제품을 도입하든 구매 시점부터 5년을 내다보고 총비용을 계산해 검토한다. 클라우드 업체의 비용이 기대만큼 저렴하지 않다는 것은 이미 확인됐고, 대형 스토리지 전문업체의 제품은 가격이 터무니없이 높다. 중소기업용 NAS야말로 가장 비용 효율적인 대안이다.

최근에는 일부 대형 업체가 중소기업용 제품을 내놓기도 한다. 초기 비용만보면 매력적이라고 생각할 수 있다. 그러나 유지보수 비용이 문제다. 용량을 확장하거나 새 기능을 추가하려 하면 도입 비용의 몇 배를 내야 하는 경우가 종종 있다. 실제로 한 중견기업의 경우 10TB 용량을 사용하다가 5TB를 추가하려고 했는데 초기 10TB를 도입한 것보다 더 많은 견적서를 받기도 했다. 이미해당 장비에 상당한 데이터가 쌓인 후에는 제품을 바꾸는 것도 힘들어 울며 겨자 먹기로 업체에 끌려다녀야 한다. 이 때문에 업체 종속을 피하면서 적절한 가격에, 꼭 필요한 기능을 제공하는 중소기업용 NAS 제품이 비용 효율적인 대안으로 부상하고 있다.

글로벌 기업부터 방송국까지 활용 분야 다양NAS가 중소기업의 필수 IT 인프라로 확산하는 모습은 다양한 사례를 통해

확인할 수 있다. 예를 들어 중견 제약사 A사는 여러 곳에 분산된 공장과 연구소 등의 직원이 데이터나 연구자료를 공유하고 협업하기 위해 NAS를 도입해 사용하고 있다. NAS의 용량을 부서별로 할당해 사용하고 있는데, 마치 개별 PC에 로컬 하드디스크를 추가한 것처럼 쓸 수 있어 사용법이나 관리부담이 거의 없다는 것이 내부 평가다. 필요에 따라 할당 용량을 유연하게 확대, 축소할수 있는 것도 장점이다.

방송도 NAS를 잘 사용하는 대표적인 업계다. 공중파 B사는 촬영한 영상을 편집하는 작업에 NAS를 활용하고 있다. 편집 프로그램을 실행한 후 촬영된 영상 원본을 여러 개 띄워놓고 동시에 편집할 때 NAS를 사용한다. 기존에는 PC 1대에서만 이 작업이 가능했지만, 이제는 여러 PC에서 영상을 불러올 수 있고, 영상 원본을 여러 PC에서 동시에 불러 편집하는 것도 가능해졌다. 그만큼 편집시간이 줄고 시청자에게 더 좋은 영상을 제공할 수 있게 됐다.

또 다른 공중파 C사는 현장 중계에 NAS를 이용하고 있다. 최근의 TV 중계차는 내부에 촬영, 편집, 송출을 위한 모든 장비가 들어가 있다. 현장의 생생한 화면을 더 빠르고 안정적으로 방송하기 위해서다. C사는 이 중계차에 NAS를 설치해 현장에서 찍은 영상을 차량 내부에서 바로 편집해 송출한다. 주로 뉴스나 행사 중계 등에 활용되는데, 2018년 2월에 열리는 평창 동계올림픽에서도 이 시스템이 유용하게 사용될 것으로 기대하고 있다.

D사진관의 사례는 랜섬웨어에 대한 대응과 관련이 있다. 사진관이라고 하지만 직원이 20명 이상인 대형 사진관이다. 최근 랜섬웨어 공격을 당한 이 기업은 고객 사진 데이터가 암호화되는 피해를 봤다. 30TB에 달하는 방대한 데이터였다. 복구에 최선을 다했지만, 일부 데이터는 결국 유실하고 말았다. 이후 이 기업은 NAS를 도입해 스냅샷 방식의 백업 체계를 구축했다. 이제는 사이버 공격이 있어도 거의 실시간으로 복구해 대응할 수 있다.