SC ISID Vol. 우리가 관리할 수 있는 보안, '비밀번호'에 관하여mi.jiransecurity.com/wp-content/uploads/20160930_secuinside vol01.pdf2단계 이메일 및 엔드포인트

- 01 -

SECU INSIDE Vol.01

#개인정보 #비밀번호 #패스워드증후군 #해킹

웹 사이트부터 다양한 모바일 서비스 그리고 수많은 디바이스를 이용하기 위해 스스로를 증

명하는 것이 중요한 시대가 되었습니다. 가장 기본이며 우리가 스스로 관리할 수 있는 ‘보안’

임에도 불구하고, 과연 얼마나 스스로를 인증하기 위해 노력하고 있을까요? 이번 리포트의

주제는 “우리가 관리할 수 있는 보안, ‘비밀번호’에 관하여” 입니다.

우리가관리할 수 있는 보안,'비밀번호'에관하여

SECU INSIDE Vol.01

- 02 -

Contents보안포커스 IT포커스 보안이슈

31

[Zoom in] 사람·사물·

비즈니스를 위협하는Digital Business 시대의보안

32사이버 공격에대응하는기업의 자세

37IT Glossary

03사이버 위협 지형도

08랜섬웨어 현황,대응방안과 전망

21

우리가관리할 수 있는보안'비밀번호' 에 관하여

25

비즈니스 경계가무너진다,디지털 Disruptor를주목하라

14

생체인식 기술의진화, 보안과 위협으로살펴보기

384컷인사이트

40No Comment

- 03 -

SECU INSIDE Vol.01

#보안트렌드 #사이버공격

보안포커스 | 리포트S

대기업이 위험하다! 국내 대기업 전산망이 해킹되는 사고가 발생했습니다. 많은 계열사를 보

유한 그룹사의 해킹으로 인한 피해는 문서 4만여건 유출, 데이터 삭제시 피해 금액 2조 이상

등 상상초월 수준인데요, 국내 뿐 아니라 전세계적으로도 유럽 중앙은행 고객정보 유출, 월

스트리트 상장기업 정보 탈취, TARGET 신용카드 정보 유출 등 대기업을 타겟으로 한 과감한

공격들이 지속되고 있습니다. 변화하는 사이버 위협 지형도를 살펴보겠습니다.

사이버위협 지형도

- 04 -

SECU INSIDE Vol.01

사이버 공격 지형도 : "사이버 공격 탐지까지 146일, 피해금액 평균 67억원"

최근 사이버 공격의 트렌드는 특정 타겟을 교묘하게 고집스럽게 공격하는 형태도 있지만, 표

면적으로 더 강력한, 더 큰 피해를 입히는 방향으로 확산되고 있는 것 또한 맞습니다. 크게 4

가지 트렌드로 꼽아보면 ▲핵심 산업시설에 대한 공격 증가 ▲개인정보의 대규모 유출 ▲기

업 네트워크 레이어에 대한 공격 증가 ▲고전적 공격 방식의 재부상 입니다.

핵심 산업시설 및 사업 타겟의 공격 증가

금전 및 정보 탈취 목적 외에 대기업, 발전소, 공장 등 사회기반시설에 대한 ‘파괴 목적’의 공

격 증가는 최근 사이버 공격의 주요 트렌드 입니다. 전세계적으로 국가 차원의 사회·정치적

갈등 심화가 사이버 공간 상으로 이전되며 ‘사이버 전쟁’, 혹은 ‘사이버 테러’ 개념으로 확산

되고 있기 때문으로 보입니다.

개인정보(PII, Personally Identifiable Information) 대규모 유출

기존 개인정보는 주로 중국 등 주로 개인정보가 거래되는 특정 국가, 시장에 수요가 한정되

고, 정보 탈취 또한 일부 타겟을 대상으로 이뤄졌으나, 최근에는 매스(Mass) 대상의 무작위

탈취가 이뤄지고 있습니다.

사이버 공격의 트렌드

출처: Mandiant

- 05 -

SECU INSIDE Vol.01

기업 네트워크레이어 공격 증가

라우터, 스위치, 방화벽 등 네트워크 인프라

의 백도어, 원격 접속 등을 통한 공격이 다

수 발견되고 있습니다. 이는 트래픽 모니터

링 및 정찰, 보안 통제 무력화 등을 지속적

으로 할 수 있기 때문으로 보여집니다.

스피어피싱 메일·DDoS 등 고전적인 공격 방식의 지속

스피어피싱 메일과 DDoS와 같이 고전적으

로 인식되는 공격 방식이 지속 사용되고 있

습니다. 사이버 첩보의 77.3%에 이메일이

사용되고 있으며, DDoS 공격은 타겟의 네

트워크를 폭파시키는 수준의 볼류메트릭

(Volumetric) 공격이 50% 이상을 차지하는

등 규모와 빈도 모두 증가 추세에 있습니다.

사이버 공격 대응 위한 실행방안은? "2018년까지 기업 트래픽 중 25%는

보안영역을 우회(bypass), 모바일에서 클라우드로 바로 유입될 것"

변화하는 사이버 공격에 대응하기 위해서는 어떤 실행방안이 필요할까요. 변화 속도를 따라

잡을 수 없을 만큼 빠르게 진화하는 최근의 사이버 위협에는 지속적인 ‘모니터링’과 이를 통한

‘빠른 탐지’가 무엇보다 강조되고 있습니다. 또 기업 보안에서 놓치기 쉽지만 가장 기본적으로

3P(Patch, Privilege, Password)를 체크가 필수적입니다.

출처: Mandiant

- 06 -

SECU INSIDE Vol.01

위협 요인이 되는 3P를 체크하자!

Patch(패치) : 99%의 취약점은 업데이트를 통해 사전에 공격 루트로 사용되는 것을 막을

수 있다고 합니다. 특히 웹 앱, 브라우저 등 주요 공격 루트로 활용되는 채널에 대한 패치는

상시 필수입니다.

Previlege(관리자 권한) : MS 취약점 중 90%는 관리자 권한 제거를 통해 해소될 수 있는

만큼, 액세스 시간 제한 혹은 권리자 권한 접근 관리 툴(PAM) 등을 통해 관리자 권한을 통

제함으로써 보안 취약점을 최소화할 수 있습니다.

Password(패스워드) : 기업에서 업무 편의를 위해 무심코 사용하는 원격 사용자, 공유 계정

등은 내부 정보 유출의 주요한 원인이 됩니다. 따라서 기업 차원의 강력한 패스워드 정책,

이중인증, 공유계정 관리 툴 등을 통해 통제해야 합니다.

사이버 위협에 대비해 프로파일링하라!

사이버 위협에 대한 프로파일링은 크게 4단계로 이뤄져야 합니다.

1단계 핵심 자산 : 기업의 주요 데이터 등 보안 대상을 파악하라

2단계 위협 요소 : 기존 공격과 통계를 통해 위협 요소를 정규화하라

3단계 보안 격차 : 암호화된 트래픽을 집중적으로 살펴보고 보안이 열악한 레이어를 찾아라

4단계 프로세스 : 파악된 취약점과 사용자 관리를 1순위로 정비하라

이러한 4단계를 기반이 갖춰지면 선제적 모니러팅&분석-예방-탐지-사후 대응을 통해 궁극

적으로는 선제 대응이 가능한 보안 구조가 될 수 있습니다.

- 07 -

SECU INSIDE Vol.01

사이버위협 대응을 위한 기술은? "현재 보유한 보안 역량의 관리와 확장이

보안 성공의 KEY"

보안 위협에 대응하기 위한 기술은 범위와 종류가 굉장히 넓고 다양합니다. 하지만 기업은 특

성과 규모, 자산 등에 차이가 있기 때문에, 그에 맞는 보안 역량을 갖추고 확장해나가는 것이

성공적인 보안의 필수조건이라고 할 수 있습니다. 공통적인 것은 기업 차원의 ‘보안 정책 &

프로세스 수립’이 기본이 되어야 한다는 점입니다.

최근의 사이버위협은 국가 차안의 위협적인 존재로 부상하고 있고, 규모 측면에서도 기존 보

안 위협의 수십배에 달하기 때문에 영향력이 상당합니다. 하지만 보안 위협은 기존 위협 유형

을 근간으로 변형되기 때문에 보안도 항상 새로운 기술을 고려하기 보다 필수 영역부터신 단

계적인 확장이 필요하다는 사실 잊지마시기 바랍니다!

출처: Gartner

- 08 -

SECU INSIDE Vol.01

보안포커스 | 리포트S

#랜섬웨어 #메일보안

2016년 상반기 보안업계의 키워드를 하나만 꼽으라면 단연 ‘랜섬웨어’를 꼽을 수 있습니다.

작년 하반기부터 본격 등장한 랜섬웨어는 올해 들어 더욱 기승을 부렸고 이에 모든 보안 업

체, 고객 기업사들이 ‘랜섬웨어’에 민감하게 대응하는 모습이었는데요, 상반기 랜섬웨어가 가

져온 영향과 향후 전망 그리고 기업들의 대응 방안까지 정리했습니다.

랜섬웨어현황,대응방안과전망

- 09 -

SECU INSIDE Vol.01

랜섬웨어 피해규모

전세계적으로 랜섬웨어 피해가 급증하기 시작한 것은 2015년 10월로, 이 시점부터 이메일

을 통해 유입되는 악성 URL, 멀웨어의 탐지가 급격하게 증가하기 시작했습니다. 한 보안업체

의 조사에 따르면 2015년 9월에는 100만건에도 미치지 않던 악성 이메일이 2015년 12월

중순에는 약 3,500만건까지 급증하는 모습을 보였습니다.

이렇게 유입된 랜섬웨어에 감염된 사례는 2015년 국내에만

53,000건으로 약 1,090억원 규모의 피해를 유발했고, 2016년

에는 약 3배 규모로 증가해 약 150,000건의 피해사례, 3,000

억원 규모의 피해액이 발생할 것으로 예상되고 있습니다.

반면 랜섬웨어에 대한 기업 설문조사에서 약 46% 응답기업이

외부 평판 혹은 재무적 손실을 우려해 ‘랜섬웨어에 걸려도 외부

에 알리지 않을 것’이라고 답해 실질적인 피해 규모는 이보다 더

욱 클 것으로 유추됩니다.

랜섬웨어 현황

출처: Proofpoint

- 10 -

SECU INSIDE Vol.01

랜섬웨어 급부상의 배경

랜섬웨어가 이렇게 급작스럽게 성장(?)한 배경에는 첫번째로 IT 기술 발전이 있습니다. IT 발

전으로 해킹툴이 고도화될 뿐 아니라, RaaS(Ransom as a Service)라는 개념의 랜섬웨어 제

작 판매 서비스까지 등장할 만큼 보편화되면서 해커들의 활동이 더욱 기승을 부리게 되었습

니다.

두번째는 디지털 정보자산의 가치 성장입니다. 영세한 기업까지 모든 업무 자료가 디지털화

가 되어있을 만큼 종이 문서가 디지털화된 지식 정보를 대체할 수 없는 IT 시대에서 디지털 자

료와 인프라는 비즈니스의 가치는 곧 기업 그 자체라고 할 수 있습니다. 따라서 문서를 암호

화하는 랜섬웨어는 기업 업무를 마비시킬 만큼의 영향력을 갖고 있기 때문에 랜섬, 즉 인질에

대한 금전적 대가가 점차 높아지고 있습니다.

마지막은 비트코인의 등장입니다. 비트코인은 온라인상에서 자유로운 금전 거래가 가능함과

동시에 추적이 불가능한 거래수단으로, 해커들의 거래에 악용되고 있습니다. 이에 기존에는

해킹을 통해 정보를 수집하고, 이를 암시장에서 현금화하는 방식이었다면, 최근에는 랜섬웨

어를 유포하고 일반인들을 대상으로 직접적인 현금을 취득하는 등 해킹 패러다임까지 변화

했다고 볼 수 있습니다.

랜섬웨어 히스토리

현존하는 랜섬웨어는 총 30종 이상이 존재하는 것으로 알려져있지만, 그 공통된 뿌리는 ‘크

립토락커’라고 볼 수 있습니다. 랜섬웨어 트로이목마인 크립토락커는 2013년 본격적으로 등

장한 것으로 파악되고 있습니다. 초기에는 주로 이메일 첨부파일 등을 통해 유포되다가, 최근

에는 인터넷 익스플로러, 플래시 등의 취약점을 이용해 배포되는 추세입니다. 크립토락커는

이후 크립토월, 토렌트락커 등의 변종 형태로 진화해 계속해서 위세를 떨치고 있고 특히 한글

화 버전, 서비스 형태로 제공되는 RaaS(Ransomware as a Service) 등 더욱 조직화되고 치

밀해지는 모습입니다.

- 11 -

SECU INSIDE Vol.01

흥미로운 점은 랜섬웨어에도 형태가 있

다는 점입니다. 앞서 언급한 바와 같이 랜

섬웨어의 공통된 뿌리인 크립토락커에

서 변형된 랜섬웨어들은 암호화 대상, 배

포 방식, 요구대가 등에 따라 크게 락커

(Locker), 크립토(Crypto) 2개 계열로 구

분해볼 수 있습니다. 우선 락커 계열은 사

회공학기법을 활용하거나 기관 등을 사칭

해 시스템 자체를 잠그는 랜섬웨어로, 사

용자에게 ‘벌금’ 명목의 대가를 요구합니

다. 반면 크립토 계열은 특정 혹은 전체 파

일을 암호화시키고, 사용자로 하여금 복호

화 ‘비용’의 명목으로 대가를 요구합니다.

최근 토렌트 등을 통해 일반인들을 대상으

로 무작위 유포되는 랜섬웨어는 후자인 크

립토 계열에 가깝다고 볼 수 있습니다.

- 12 -

SECU INSIDE Vol.01

1단계 백업 및 복구 · 공유네트워크 차단

2단계 이메일 및 엔드포인트 보안 · 가상화 · 보안인텔리전스

랜섬웨어 대응방안

백업은 랜섬웨어 공격 유입시 외에도 상시 가능한 대응 방안 중 하나이며, 백업/

복구에서 그치지 않고 백업 데이터에 대한 멀웨어 스캐닝, 데이터 무결성 테스트

등을 지속수행해야 합니다.

– URL/샌드박스 방식 : 첨부파일, 메시지 등에 삽입된 활성코드를 분석함으로써

위험요소 제거. 콘텐츠 무해화(CDR)을 보완책으로 함께 사용하는 경우 많음

– 콘텐츠 무해화 방식(CDR) : ‘Content Disarm & Reconstruction’으로 파일 원본

형태를 변형시키기 때문에 업무 생산성에 저하가 있을 수 있음. 또한 고도화된

공격은 URL, 첨부 등을 포함하지 않고 유입될 수 있어 탐지가 어려울 수 있음.

3단계 위협 파악 및 시나리오에 따라 대응

랜섬웨어 공격이 발생했을 시 리스크 및 법적 대응 등에 대한 시나리오를 사전에

수립해야 하며, 이메일 포함 다양한 커뮤니케이션 채널로 유입되는 소셜공학 공

격에 대한 임직원 교육이 필수적입니다.

- 13 -

SECU INSIDE Vol.01

랜섬웨어 유포툴로서 이메일 활용 지속 : 이메일은 P2P 사이트 등과 함께 랜섬웨어 유포툴

로 가장 빈번하게 사용되는 채널입니다. 2020년까지도 이메일은 랜섬웨어

타겟 공격의 최우선 툴로 활용될 것이며, 일반 소비자 대상 공격 툴로도 가

장 흔하게 사용될 것으로 전망됩니다.

새로운 플랫폼·형태로 확산 : 랜섬웨어 공격은 더 다양한 플랫폼으로 확산될 것으로 예상

됩니다. 현재 윈도우에서 안드로이드, Mac, IoT와 같은 신규 플랫폼 또한

공격대상이 될 수 있으며, 따라서 웹 취약점, .exe 실행파일, 안드로이드

.apk 파일 등 다양한 루트로 배포될 것으로 전망되고 있습니다.

랜섬웨어 복호화 툴 대가 상승 : 랜섬웨어 복호화 요구 비용은 점차 상향될 것으로 전망됩

니다. 현재 랜섬웨어 복호화 비용은 평균 200~500달러 수준이나, 랜섬웨

어에 의한 피해가 커질수록 해커들에게 더 좋은 수익모델이 되기 때문에 지

속적으로 기술이 진화하고 암호화가 강력해져 복호화 대가 또한 10,000달

러 이상까지 상승할 것으로 예상됨.

병원 등 타겟팅된 대상 공격 증가 : 타겟화된 랜섬 공격이 증가할 것으로 예상됩니다. 특히

피해에 대한 리스크가 큰 병원, 공공기관 등의 정보를 타겟으로 하는 것이

빠른 시간 내에 보상 받기에 용이하기 때문에 해당 기관들의 주의가 요구

됩니다.

랜섬웨어 전망

최근 정치적 목적의 보안위협도 증가하고 있지만, 대부분의 보안위협은 기본적으로 금전 목적

으로 자행된다는 점에서 랜섬웨어 공격은 점차 더 상업화, 고도화될 것으로 보입니다. 기업에

즉각적인 금전적/시스템적 피해를 가져올 수 있다는 점에서 랜섬웨어 대응을 위한 예방책을 소

모성이 아닌 ‘보험’으로 인식해야 하며, 랜섬웨어는 공격에 대한 실시간 보안 외 사후 대응에 따

라 피해 규모를 축소시킬 수도 있기 때문에 공격 사후 대응책을 수립하는 것이 중요합니다.

- 14 -

SECU INSIDE Vol.01

#Biometrics #개인정보 #생체인식 #시장동향

보안포커스 | 리포트S

더 강력한 보안을 위해 생체인식이 활용되고 있는 추세이지만, 반대로 생체정보까지 개인정

보의 영역이 확대되면서 정보유출의 범위 역시 넓어졌다고 할 수 있을 것 같은데요. 우리가

생각하는 생체인식 기술은 어떤 것들이 있을까요? 그리고 보안 산업에서의 생체인식 기술 활

용과 반대로 생체인식 기술로 인한 위협에 대해서 이야기해 보고자 합니다.

생체인식기술의 진화,보안과 위협으로살펴보기

- 15 -

SECU INSIDE Vol.01

우리가 쉽게 떠올릴 수 있는 대표적인 생체인식 기술로는 지문인식이 있는데요. 최근 출시되

는 대다수의 스마트폰이 지문인식을 원하면서 일상에서도 쉽게 접할 수 있는 대표적인 생체

인식 기술이라고 할 수 있습니다. 지문인식 기술이 확산되면서 기존의 패스워드나 패턴 등 인

증을 대체하는 수단부터 간편결제, 모바일 뱅킹까지 그 활용 범위가 점차 확대되고 있는 추세

입니다.

또한 최근 이슈가 되고 있는 홍채인식 기술은 S사의 갤xx노x7에 탑재되는 등 스마트 디바이

스에서의 생체인식 기술의 적용 및 확대가 빠르게 추진되고 있는 상황입니다. (출시와 함께

금융권과 협력하여 홍채기반 인증을 통한 간편결제와 모바일 뱅킹 서비스도 시작될 예정이

라고 하니, 대대적인 보급도 기대해볼 수 있지 않을까요?)

반면 행동적 특성을 활용한 생체인식 기술은 아직까지 그 활용의 범위가 신체적 특성 기반의

생체인식 기술보다 상대적으로 뒤쳐져 있다고 할 수 있는데요. 내비게이션이나 음성비서, 전

자서명 등에서 행동적 특성 기반의 생체인식 기술이 활용되고 있으나, 어휘 인식, 외부 소음,

음성 판별 그리고 서명위조 등에 있어 한계를 가지고 있기 때문입니다. (그럼에도 불구하고

애플의 시리나 마이크로소프트의 코타나 등 음성인식 기술의 활용은 더욱 증가할 전망입니

다. 인간과 유사한 형태로 가기 위해서 음성은 반드시 필요하겠죠. ^^)

생체인식(Biometrics)이란?

하나 이상의 고유한 신체적, 행동적 형질에 기반하여 사람을 인식하는 방식을

두루 가리키는 용어로 사용되고 있습니다. 신체적 특성으로는 지문, 홍채, 얼굴,

정맥 등이 포함되며, 행동적 특성으로는 목소리, 서명 등이 포함됩니다. 사람의

고유한 신체적, 행동적 특성을 활용하는 생체인식 기술은 도난, 분실 및 위조,

변조 등이 어려워 기존의 패스워드 인증 등을 대체하는 차세대 보안 인증 기술

로 주목 받고 있습니다. (출처: 위키백과 및 네이버 백과사전)

여기서 잠깐!

- 16 -

SECU INSIDE Vol.01

각각의 생체인식 기술은 다음과 같은 장/단점을 가지고 있으며, 다양한 분야에서 활용될 수

있습니다.

금융 : ATM, 모바일 뱅킹, 증권거래, 전자상거래, 지불 및 결제수단 등

보안 : 시스템 및 데이터 접근/인증제어, 생체로그인, 스마트 기기 사용자 인증 등

출입관리 : 공항(출입국심사), 기업(출입통제, 근태관리) 등

의료복지 : 신분확인(환자), 기록관리, 원격진료 등

공공 : 범죄자 식별, 전자주민증, 선거관리(본인확인) 등

- 17 -

SECU INSIDE Vol.01

실제로 글로벌 시장기관인 트랙티카에 따르면 전세계 생체인식 시장은 2015년 20억 달러

에서 연평균 25.3% 성장하여 2024년 149억 달러에 이를 것으로 전망되는 높은 성장세

를 보이고 있는 차세대 시장입니다. (특히 모바일 생체인식 시장은 2016년-2020년 연평균

103.3% 성장할 것으로 예측되고 있습니다. 이는 스마트폰이 우리 일상 중심에 있다는 것과

다양한 기술들이 스마트폰에 적용되면서 생체인식 활용이 가능해졌기 때문이 아닐까요?)

앞서 말씀드린 것처럼 지문인식이나 음성인식, 서명 등 우리가 주로 사용하던 기술부터 홍채,

정맥, 걸음걸이 등 새로운 신체부위 및 행동까지 기술이 계속적으로 확대되고 있는 추세인데

요. (하지만 새로운 인식기술이 적용, 보급되기 위해서는 해당 기술이나 인식할 수 있는 기기

들이 보편화되고 안정화되어야 하는 과제가 남아있습니다. 이제 시작하는 것이죠!)

왜?! 생체인식 기술과 시장이 이렇게나 이슈일까요? 특히 보안에 있어서 생체인식 기술은 기

존의 인증체계(공인인증서, 보안카드, 패스워드, SMS인증 등)과는 달리 정보유출이나 분실,

망각에 대한 위험성이 적고 보안성이 높다는 것과 사용 편의성으로 쉽게 보급, 확산이 가능하

다는 것이 이유일 것 같습니다.

그렇다면 생체인식 기술은 과연 100% 안전할까요? 100% 보안이란 없는 것처럼 생체인식

역시 보안에 있어서는 100% 안전한다고 말할 수 없는 것이 현실입니다. 생체인식에 대한 보

안위협으로는 크게 2가지를 말할 수 있을 것 같습니다.

첫 번째는 생체정보의 디지털화입니다.

우리는 지금도 수 많은 정보들을 보호하기 위해서 노력하고 있는데요. 생체인식 기술이 확대

되면서 단순히 문서화된 포맷의 지식자산 이외에도 디지털화된 생체정보에 대한 보안까지도

고민하고 고려해야하는, 더 나은 보안을 위해 적용했지만 더 큰 보안을 요구하는 시대가 되어

버렸습니다.

지난 RSA 컨퍼런스 2015에서 얼굴인식과 프라이버시에 언급이 있었는데요. 얼굴인식으로

사람에 대한 식별이 가능해지면서 개인의 사생활을 비롯하여 조직의 모든 모습들이 노출될

- 18 -

SECU INSIDE Vol.01

2016년 1분기 지란지교시큐리티가 발행한 Zoom in, "초연결시대가 불러온 明과 暗, ‘개인

정보’로 살펴보기"와 같이 개인정보를 둘러싼 기업과 정부의 갈등, 그리고 개인정보의 주체인

소유자와 기업, 정부와의 갈등은 생체인식 기술의 확산과 함께 더 심화될 것 같습니다.

수 있다는 우려를 안고 살아야 한다는 우려도 함

께 경고하는 이야기라고 생각할 수 있을 것 같습

니다. (이미 ‘나’에 대한 모든 정보가 디지털화되

어 있는 상황에서 생체인식 기술의 확대는 ‘나’를

판별해주는 좋은 수단으로 악용될 수 있다는 것

이죠.) 또한 생체정보가 더 확대될 수록 디지털

세상에서의 또 다른 ‘나’는 실제 현실세계의 ‘나’

와 같은 모습을 하게 될지 모릅니다. (현실의 ‘나’ 보다 디지털 세상의 ‘나’에 대한 보안이 더 중

요해지는 모순적인 상활이 아닐까요?)

출처: RSA Conference 2015

- 19 -

SECU INSIDE Vol.01

두 번째는 인증수단에 대한 위협입니다.

현재 지불결제를 비롯하여 스마트폰 본인인증 수단으로

가장 많이 활용되고 있는 지문인식은 보안에 대한 우려

가 현실화되고 있는 상황입니다. 국내에서도 최근 실리

콘 손가락을 활용하여 야근수당을 부정 수급한 공무원

사례가 발생하는 등 지문 위조에 대한 우려가 현실화되

고 있는데요. 이는 단일화된 수단에 대한 문제점을 보여

주는 예라고 할 수 있습니다.

특히 생체인식에 대한 의존다가 높아진다면, 다시 말해

서 모든 정보에 대한 접근이 생체인식으로만 가능해진

다면 정보유출을 위해 해당 사람을 노리는 현실 세계의

범죄 위협도 발생할 수 있습니다. 또한 해당 신체가 훼

손될 경우, 본인마저도 정보에 접근하지 못 하는 상황이

발생할 수 있습니다. (생체인식 기술의 가장 큰 우려는

바로 인증수단인 신체의 변형, 훼손입니다.!! 무섭죠!)

생체인식을 더 안전하게 활용하기 위한 방법은 생체인

식 + 추가인증 수단을 활용하기가 아닐까 싶습니다. 또

는 다중 생체인식 기술을 활용한 인증 수단이 될 수 있

겠네요.

실제로 지문인식이 가능한 스마트폰에 등록할 수 있는 지문은 1개 이상

이지만, 보통 본인의 10개 손가락 모두를 등록한 분은 없지 않나요? 저

같은 경우에는 지문(손가락 2개)과 패스워드를 모두 활용하고 있습니다.

- 20 -

SECU INSIDE Vol.01

구글이 발표한 Abacus 프로젝트는 바로 이러한 다중 생체인식 기술을 활용한 인증 방법인데

요. 비밀번호 대신 사용자의 행동패턴을 분석해 본인인증이 가능하도록 지원하는 생체정보

인증 기술로, 문자 입력시 손가락의 움직임, 얼굴 생김새, 걸음걸이, 목소리와 말하는 톤, 속

도 등 개인의 고유한 특성을 분석하여 신뢰지수(Trust Index)로 전환, 기준 점수 이상이 되었

을 때 인증을 허용한다고 합니다.

스마트폰에 대한 접근에 있어 ‘내’가 누군지에 대해 증명할 필요가 없다는 측면에서 기존 인증

방식과 차별화되었다고 할 수 있습니다.

SkullConduct라는 두개골을 활용한 생체인식 기술에 대한 연구도 진행되고 있다고 하는데

요. 앞으로의 생체인식 기술은 어떤 모습일까요? 사람의 다양한 신체와 행동을 활용한 생체

인식 기술이 기대가 되는데요. 하지만, 말씀드린 것처럼 ‘보안‘에 대하여 다시 한 번 생각해 볼

필요도 분명 존재합니다. 앞으로도 보안과 편의성은 계속적으로 서로 필요하지만 충돌하지

않을까 싶습니다.

출처: Google

- 21 -

SECU INSIDE Vol.01

#개인정보 #비밀번호 #패스워드증후군 #해킹

보안포커스 | 리포트S

웹 사이트부터 다양한 모바일 서비스 그리고 수많은 디바이스를 이용하기 위해 스스로를 증

명하는 것이 중요한 시대가 되었습니다. 가장 기본이며 우리가 스스로 관리할 수 있는 ‘보안’

임에도 불구하고, 과연 얼마나 스스로를 인증하기 위해 노력하고 있을까요? 이번 리포트의

주제는 “우리가 관리할 수 있는 보안, ‘비밀번호’에 관하여” 입니다.

우리가관리할 수 있는 보안,'비밀번호'에관하여

- 22 -

SECU INSIDE Vol.01

지금까지 가입한 수많은 웹 사이트들을 기억하고 계신가요? 모바일 시대와 함께 다양한 서비

스들을 이용하기 위해서 가입한 수많은 서비스들은 어떤가요? 아마도 이미 많은 웹 사이트,

서비스들이 삭제되었거나 이용이 중단된 상황일 것입니다. (또는 잊혀진 사이트나 서비스겠

죠) 그렇다면 스스로 직접 계정을 삭제하고 사이트를 탈퇴한 적은 얼마나 되십니까? 이렇게

질문 드리는 이유는 우리 스스로 계정 및 개인정보 관리에 대한 중요성을 인지하고 있지 못

하기 때문입니다.

비밀번호의 중요성

비밀번호의 중요성에 대해서는 이미 수년째 강조되고 있지만, 관리에 있어 어려운 가장 큰 이

유는 가입된 웹 사이트나 서비스마다 비밀번호를 다르게 설정하는 것은 아무래도 기억하는

데 어려움이 존재하기 때문입니다. 이는 개인의 웹사이트 및 서비스 이용에 복잡성을 스스로

만드는 행동이기 때문에 개인의 입장에서 편의성을 저하하게 됩니다. 결국 동일한 계정과 비

밀번호로 사이트와 서비스를 이용하게 되는 것이죠.

- 23 -

SECU INSIDE Vol.01

최근에는 정보유출 사고를 막기 위해 각각의 웹 사이트 및 서비스에 대한 비밀번호를 다르게

설정하면서, 수십개로 늘어난 비밀번호를 사용자가 기억하지 못 하고 로그인에 어려움을 겪

는 증상을 '패스워드 증후군'이라고 부르는 등 증가하는 비밀번호의 복잡성에 대한 문제가 사

회적인 이슈로도 주목 받고 있습니다.

해킹으로 인한 정보유출 이외에도 어떤 위협이 추가적으로 있을까요? 앞서 말씀드린 복잡성

등의 이유로 많은 사람들이 동일한 계정정보(ID, Password)로 웹 사이트와 서비스를 이용하

고 있는데요. 그렇기 때문에 하나의 정보유출은 추가적인 2차 피해까지 확대될 수 있는 여지

를 가지고 있습니다. 실제로 최근 온라인 문화상품권을 등록, 이용하는 사이트에 로그인하여

구입한 문화상품권을 사용한 '도용'부터 이메일 이용 내역을 이용해 스피어피싱을 통해 기업

정보유출을 시도한 '사회공학적 공격'까지 다양한 2차 피해가 발생하고 있는 상황입니다.

유출 사고 및 보안위협

이외에도 Dropbox의 정보유출 사례와 같이 유출된 계정정보가 인터넷을 통해 거래되는

등 1회성 정보유출이 아닌 추가적인 보안 위협이 발생할 수 있습니다.

▶ 국내 역시 대형 커뮤니티 뽐X 개인정보유출('15), 온라인 쇼핑몰 I사 개인정보유출('16)등 대규모 비밀

번호 유출부터 병원 홈페이지를 해킹, 획득한 개인정보를 통해 커플앱에 로그인해 사생활 정보유출 시도

등 다양한 보안 위협 존재

- 24 -

SECU INSIDE Vol.01

지금까지의 보안은 웹 사이트나 서비스를 운영하는 기업 등이 제공해야 했다면, 앞으로의 보

안은 ‘스스로’가 인지하고 돌아보는 보안으로 변화할 필요가 있습니다.(물론 개인정보를 가지

고 있는 기업의 보안 수준 강화는 기본이겠죠.) 디지털 세상의 ‘나’와 연결된 현실세계의 ‘나’를

지키기 위한 추가적인 노력은 스스로가 해야만하는 영역이기 때문입니다. 스스로가 지킬 수

있는 보안, ‘비밀번호’ 관리부터 시작입니다.

1. 최소 12개의 문자를 이용, 14개를 권장

2. 대문자와 소문자 그리고 숫자를 조합하고, 허용될 경우 특수문자도 조합

3. 자신만의 비밀번호 생성 규칙 수립 (사이트/서비스명 + 기존 비밀번호 등)

'비밀번호는 복잡하게 설정해야 한다', '동일한 비밀번호는 지양한다', '쉽

게 기억할 수 있어야 한다' 등 모든 조건을 만족시키는 것은 개인이 수행하

는데 어려움이 존재합니다. 하지만 관리규칙 수립은 가능하지 않을까요?

마지막으로 이용하지 않는 웹 사이트나 서비스를 탈퇴하는 것도 내 정보를 안전하게 지키고,

추가적인 피해에서 벗어날 수 있는 방법이라고 생각됩니다.

개인이 관리할 수 있는 보안 ‘비밀번호’, 여러분의 ‘비밀번호’는 안전합니까?

안전한 비밀번호를 위한 대안

[ 안전한 비밀번호를 만들기 위한 규칙 몇 가지 ]

- 25 -

SECU INSIDE Vol.01

IT포커스 | 리포트T

#Digital Business #Disruptor #IT서비스 #산업 변화

요즘 주변을 둘러보면 ‘이 회사는 온라인 기업일까, 오프라인 기업일까’ 혹은 ‘유통 업체일까

서비스 업체일까’ 쉽게 구분짓기 어려운 기업들이 참 많습니다. 이렇게 전통적인 산업 경계를

무너뜨리고 혁신적이고 새로운 시장을 만들어내는 기업들을 ‘Disruptor(사전적의미로 ‘혼란

시키는 사람)’라고 부르고 있습니다. 그리고 이러한 새로운 Disruptor들이 생겨난 배경에는

디지털 기술이 있었습니다. 어떤 새로운 기술들이 산업의 경계를 무너뜨리고 있고, 그로 인해

어떤 Disruptor들이 생겨났는지, 또 이러한 비즈니스 모델의 발전을 위해 IT 서비스는 어떻게

발전해야하는지 살펴보겠습니다.

비즈니스 경계가무너진다,디지털 Disruptor를주목하라

- 26 -

SECU INSIDE Vol.01

미국 경제전문 방송 CNBC에서는 4년째 TOP 50 Disruptor를 선정해 발표하고 있습니다.

(www.cnbc.com/2016/06/07/2016-cnbcs-disruptor-50.html) 우주항공부터 금융서비스,

정보보안, 유통까지 다양한 분야의 기업들을 대상으로 선정되며, 이들 기업들은 조단위(약 10

억달러) 규모로 성장할 잠재력을 가지고 있다고 합니다. 그만큼 Disruptor라고 부를 수 있는 기

업들이 이제 경제적으로도 큰 영향력을 갖는다는 것을 반증하는 것이라고 볼 수 있겠습니다.

출처 : 각 기업

이처럼 주목받는 Disruptor 기업의 대

부분은 IT 기술을 오프라인과 접목한 서

비스를 제공하고 있습니다. CNBC 선정

TOP 50 중 1위를 차지한 모바일 차량 예

약 서비스 Uber를 비롯해 Airbnb, 테슬

라, 네스트 등을 꼽을 수 있습니다. 그리

고 이 외에 전통적인 제조, 유통업에서

도 새로운 시도를 통해 Disruptor로 성공

적인 변신을 한 GE (제너럴일렉트릭스),

아마존 등이 있습니다. 또 국내에는 생

소하지만 인도의 모바일 결제 시스템인

Ezetap도 신흥 시장을 기반으로 성장하

고 있는 Disruptor로 꼽힙니다.

디지털 기술을 장착한 Disruptor들

이들 기업의 공통적인 성공 포인트는 ‘IT 서비스’의 중요성을 좀 더 빨리 깨달았다는 점입니

다. 모두 오프라인의 자원(차량, 숙소, 유통인프라, 가전 등)의 활용도를 높일 수 있는 IT 서비

스를 적극 활용했고, 특히 이러한 서비스의 배경에는 모바일 기술, 스마트폰의 확산이 주효하

게 작용했습니다. Gartner는 미래 비즈니스 모델에서 IT 서비스의 도입에는 예외가 없으며,

적응하거나 아니면 도태될 것이라고 이야기 할 만큼 IT 서비스가 현대 모든 산업군에서 중요

한 부분이 되고 있습니다.

- 27 -

SECU INSIDE Vol.01

끊임없는 신기술 등장

전통적인 시장 경계가 무너지고 새롭게 생겨나고 있는 IT 서비스 시장도 마찬가지로 그 경계

가 점점 흐려지고 있습니다. 이렇게 IT 서비스의 경계를 허물고 있는 요인에는 무엇보다도 매

일 새롭게 생겨나는 신기술들이 자리하고 있습니다. 아래 가트너의 ‘신기술 하이프사이클’에

서도 볼 수 있듯이 클라우드, 모바일에서 시작된 신기술은 소셜, 분석, 3D 프린팅, 드론, 사이

버 화폐, AR, 나노기술, IoT, 자율주행자동차, 인공지능 등의 기술로 끊임없이 발전하고 있습

니다. 이들 신기술은 서로의 기술 영역에 영향을 미치고 융합되면서 또 새로운 형태의 시장을

만들어 내며 IT 서비스의 경계 마저 무너뜨리고 있습니다. 또 IT 서비스들은 이러한 신기술 적

용을 하지 않는 이상 향후 생성되는 시장에 진입하기가 점점 어려워질 것으로 전망됩니다.

디지털 시대,산업 경계는 어떻게 무너지고 있는가

- 28 -

SECU INSIDE Vol.01

IT 서비스를 위한 기업 수요의 변화

IT 서비스를 제공하는 기업이 늘어나면서 많은 기업들이 기존에 고려하지 않았던 기술 제휴,

융합에 대해서도 시야를 돌리고 있는 상황입니다. 더불어 기업 IT 인프라에 대해서도 더 나은

서비스, 더 진화된 솔루션으로 개선해나가려는 움직임이 증가할 것으로 예상하고 있습니다.

이를 증명하는 내용으로 가트너 집계에 따르면 약 70%의 CIO들이 향후 2~3년내 IT 관련 기

술 및 아웃소싱 파트너를 교체할 계획이라고 답했으며, 46%는 더 빠르고, 더 역량이 큰 서비

스 제공을 위해 새로운 분야의 파트너를 물색할 필요를 느끼는 것으로 나타났습니다.

IT 서비스의 선택 기준 변화

기존에는 비용 혹은 기능 수준이 IT서비스를 선택하는 기준이었다면 향후에는 ‘이 서비스가

차세대 기술까지 고려 혹은 투자하고 있는지, 직관적이고 사용하기 쉬운 디자인인지, 기술 변

화에 빠르게 대응이 가능한지’ 등 보다 현재 기술 발전 속도에 맞춰 본질적인 부분으로 이동

하고 있기 때문에 IT 서비스에 변화가 필연적이라고 할 수 있습니다.스 제공을 위해 새로운 분

야의 파트너를 물색할 필요를 느끼는 것으로 나타났습니다.

비즈니스 모델의 ‘서비스화’

가트너가 2016년 1분기 발표한 IT 서비스 전망에 따르면 기존에 IT 서비스 예산 중 개별 부

서, 서비스 등 유닛(Unit) 단위의 예산은 약 1/3에 지나지 않았다고 합니다. 하지만 점차 서

비스 별로 적용할 수 있는 기술이 다변화, 세분화되면서 2018년에는 전체 예산의 절반 규모

가 유닛별로 개별 집행될 것으로 전망된다고 합니다. 서비스(혹은 해당 서비스를 운영하는 부

서, 팀) 단위의 예산 집행이 증가한다는 것은 특정 서비스가 하나의 비즈니스 모델로 운영되

면서 하나의 기업이 특정 물품 혹은 서비스만 제공하는 단일 기업이 아니라 다양한 사업 영역

을 갖고 개별적인 기업처럼 운영하는 형태가 증가한다는 것으로 해석할 수 있겠습니다.

- 29 -

SECU INSIDE Vol.01

서비스를 다각화하라

비즈니스를 둘러싸고 있는 신기술들은 끊임없이 발전하고 융합되고 있는 만큼,

다각적인 측면에서 경쟁력을 강화하고 새로운 유형의 서비스를 고민해야합니

다. 특히 클라우드, 모바일, 소셜, 분석, e-커머스 등 다양한 플랫폼을 중심으로

서비스 다각화가 필요하다는 제언입니다. 아래 인포그래픽의 여행자의 모습 변

화에서 기술 융합, 다각화가 어떻게 이루어졌는지 엿볼 수 있습니다.

산업 경계가 무너지는 속에서 비즈니스의 디지털화, IT서비스를 성공적으로 운

영하기 위해서 기업들은 비즈니스 연속을 위해서는 전반적으로 새로운 시각을

가져가야 한다고 제언하고 있습니다.

출처 : amadeus.com

혼란스러운 기업들,살아남기 위해 어떻게 해야하는가

- 30 -

SECU INSIDE Vol.01

경쟁자의 범위를 넓게 잡아라

이제 IT 서비스에서 ‘동종업계’라는 단어로 경쟁자가 한정되지 않습니다. 기업들은 서비스 강

화를 위해 더 작지만 새로운 기술을 가진 기업들과 제휴하고 있고, 심지어는 기계, 로봇의 힘

을 빌리기도 합니다. 경쟁기업의 강점과 차별점이 전혀 예상치 못한 영역에서 나올 수 있다는

점을 염두해야 합니다.

비즈니스 모델을 다양화하라

최근 IT 서비스 모델은 ‘적은 리소스, 적은 매출’을 ‘지속적으로 창출’할 수 있도록 자동화, 서비

스화되는 추세입니다. 오히려 큰 하나의 매출보다 적더라도 순환되는 매출 구조를 가져가는

것이 중요하다고 볼 수 있습니다. 최근 IT 기술영역에서 SaaS(클라우드 기반 서비스화 솔루

션)이 각광받는 이유도 마찬가지겠습니다.

급변하는 디지털 기술과 높아지는 소비자들의 기대치가 변화를 이끌고 있습니다. 비즈니스

구조가 디지털로 전환되는 과정에서 전통산업이 잠식되는 ‘카니벌라이제이션’이 필연적이지

만, 비즈니스 지속을 위한 성장통을 이겨내고 IT로의 변화를 수용해야 살아남을 수 있다는 점

을 살펴봤습니다. 앞서 언급한 TOP 50 Disruptor 중 절반 이상이 미국 실리콘밸리에 기반을

갖고 있다는 점은 비즈니스 모델에서 IT 기술의 중요성을 다시 한번 증명하는 대목입니다. 앞

으로의 Disruptor는 어떤 분야에서, 어떤 기술을 기반으로 등장할 것인지를 통해 향후 기술

발전 방향을 가늠해볼 수 있겠습니다.

서비스, 유통방식의 한계를 깨라

더 이상 전통적인 서비스 방식, 유통방식을 고집할 필요가 없어졌습니다. 더 빠르고, 쉽고, 혁

신적으로 더 많은 가치를 전달할 수 있는 유통방식을 고민해야 합니다. 애자일 개발(빠른 프

로토타입), 디자인 중심 사고, 자동화, 스마트 머신의 도입 등의 개념이 좋은 사례입니다.

- 31 -

SECU INSIDE Vol.01

IT포커스 | 리포트T

#Digital Business #ICS #zoom in #보안 #산업제어시스템

[Zoom In]사람·사물·비즈니스를 위협하는 Digital Business시대의 보안

- 32 -

SECU INSIDE Vol.01

IT포커스 | 리포트T

#기업보안 #보안프로세스 #사이버공격

‘투자는 나름 하고 있는데 보안 효과는 미비…. 왜 그럴까?’모든 보안 담당자와 기업들은 사이

버 공격을 막을 수 있는 효과적인 보안 방법을 고민합니다. 하지만 보안이 중요하다고 해서

무조건 예산을 투입하기에는 보안의 ROI(Return On Investment)가 발목을 잡습니다. 어떻

게 하면 사이버 공격에 보다 똑똑하게 대응할 수 있을까요?

사이버 공격에대응하는기업의 자세

- 33 -

SECU INSIDE Vol.01

위의 수치에서 알 수 있듯이, 기업들의 보안 위협 노출과 규모는 지속 증가하고 있고, 많은 기

업들이 자신들이 위협의 타겟이 될 수 있다는 점을 인지하고 있습니다. 반면 비즈니스의 주요

관리영역으로서 정보보안 프로세스 수립 및 투자에는 소극적인 자세를 취하고 있습니다. 즉,

‘보안’이 더욱 중요해지는 환경 변화 속도에 비해 기업 경영 프로세스로서의 보안으로 변화하

는 속도가 턱없이 느리다는 것이죠.

사이버 위협에 대응하는 기업들의 아이러니

카드사 정보유출부터 올 상반기 가장 뜨거운 이슈로 조명된 I사의 개인정보 2,665만건 유출까

지, 사이버 공격의 규모는 나날이 커지고 있습니다. 게다가 2015년 PwC의 글로벌 정보보안

설문조사 결과에 따르면 2015년에 탐지된 보안 사고는 전년대비 38%나 증가했다고 합니다.

그렇다면 전년 대비 보안에 대한 투자가 줄었느냐, 그렇지 않습니다. 동 설문에 따르면 오히려

전세계적으로 정보보안 예산은 24% 가량 증가했다고 합니다. 그렇다면 혹시 빈도만 많아졌을

뿐 실질적인 피해는 줄어든 것이 아닐까요? 안타깝지만 금전적 손실의 감소율은 5%에 그쳤다

고 합니다. 이렇듯 기업들의 사이버 보안 투자가 이렇게 아이러니한 결과를 낳고 있는 것은 ‘보

안 = 보안 솔루션 도입’이라는 단순한 가설에 기반하고 있기 때문일 수 있습니다.

출처: Gartner

- 34 -

SECU INSIDE Vol.01

컴플라이언스 준수를 위한 보안에서 리스크 관리를 위한 보안

기존의 보안은 기업에 요구되는 컴플라이언스를 준수하고, 충족하지 못했을

시의 불이익을 피하기 위한 일종의 숙제와 같은 것이었습니다. 하지만 각기

다른 기업의 IT 환경을 고려하지 않고 컴플라이언스에서 제시하는 내용만 체

크하다보면 기업의 특수한 환경과 맞지 않는 부분에서 빈틈이 생기기 마련이

죠. 따라서 기업은 ‘보험’의 개념으로 보안을 이해하고 보안 사고가 발생했을 때 기업이 당면

하게 될 가장 큰 리스크를 파악하고, 그에 맞는 보안을 설계해야 합니다.

정보 통제·제어에서 정보 흐름의 이해로

정보 유출을 막는다는 명목으로 기업들은 정보가 유통되는 그 순간을 통제

하고 제어하려고 합니다. 하지만 기업이 파악할 수 없는 형태의 정보라면,

아무리 강력한 수문장이 지키고 있다 하더라도 보이지 않는 존재가 오고가

는 것과 마찬가지입니다. 통제와 제어를 고민하기 이전에 기업 내부에 어떤

형태, 어떤 내용의 정보가 있는지 정보자산 현황의 파악과 그 정보들이 어떤 프로세스로 유통

되는지에 대한 흐름을 파악하는 것이 선행되어야 보안의 효과가 제대로 발휘될 수 있습니다.

정보보안 아이러니 해결을 위한 6가지 원칙

가트너에서는 이러한 아이러니를 해소하기 위해 기업이 지켜야하는 6가지 보안 원칙을 제안

합니다. 이 원칙은 기술적 측면 혹은 투자 측면의 노력을 요구하는 것이 아니라 보안에 대한

기업의 ‘자세’에 관한 것입니다.

- 35 -

SECU INSIDE Vol.01

기술을 위한 보안에서 실제 성과로 이어지는 보안

기업 경영 프로세스의 궁극적인 목적은 ‘이익’이라는 성과 창출이죠. 기업 경

영의 일부인 보안도 마찬가지로 해석해야 합니다. 인프라를 안전하게 보호

하는 것은 보안 제품의 목적이 아닌 기본 역할이며, 이 역할을 충실히 수행

함으로써 기업 운영이 더욱 원활해지고 더 나은 성과를 창출할 수 있도록 돕

는 것이 보안의 궁극적인 목표임을 인지해야 합니다.

기술 중심에서 사람 중심으로

전·현 임직원에 의한 보안 사고 비중은 62%에 달할 만큼 ‘사람’은 기업에 가

장 위협적인 보안 Hole입니다. 피싱, 이메일에 첨부된 악성코드, 랜섬웨어

등 사람을 통해 유입되는 보안 위협이 증가하면서, 사람에 포커스된 보안이

주목받고 있습니다. 최근 많이 언급되는 UBA(User Behavior Analytics)와

같은 솔루션이 그 예입니다. 기술보다는 기술을 다루는 사람에 대한 보안과, 사람이 스스로

보안하도록 유도하는 방법을 고민해야 합니다.

방어를 위한 보안에서 업무 협업을 돕는 보안

앞서 성과로 이어지는 보안과 마찬가지로 보안이 까다롭고 어려운 절차로

업무 효율성을 떨어뜨려서는 안됩니다. 이는 기업이 보안 도입시 자사의 규

모와 예산, 환경을 고려해야하는 이유이기도 합니다. 앞으로의 보안은 개개

인이 업무를 진행함에 있어 걸림 없이 원활히 진행될 수 있는 수준에서 적용

되고 조율되어야 하며, 또 보안과 편의성을 모두 만족시키는 방향으로 더 발전할 것입니다.

- 36 -

SECU INSIDE Vol.01

예방·사전 대응에서 빠른 탐지와 대응으로

얼마전까지만 해도 보안은 ‘사전 대응, 예방’의 키워드가 강조되었습니다. 하

지만 오늘날의 위협은 대응이 불가능한 수준으로 빠르게 변화하고 있고 전

혀 새로운 위협들에 대한 면역 시스템이 갖춰지지 않은 상황에서 사전 대응

은 효과가 떨어질 수 밖에 없었습니다. 이에 ‘리스크 관리’ 측면에서는 유입

된 보안 위협을 빠르게 탐지하고 리스크를 최소화할 수 있는 대응 기술을 도입하는 것이 효과

적이라는 추세입니다.

정보보안은 더이상 ‘기술(IT)’가 아닌 ‘경영(Business Management)’ 입니다. 정보보안 위협

의 급격한 변화로 이미 보안 트렌드는 ‘예방’보다 빠른 ‘탐지와 대응’으로 변하고 있으며, 이에

따라 어떻게 하면 사고 발생시 RISK(피해)를 최소화하고 빨리 자산과 임직원 모두가 원상복

귀하느냐의 ‘회복력(Resilience)’이 정보보안의 중요한 키워드로 등장하고 있습니다. 따라서

앞으로의 사이버 보안은 경영 프로세스와 임직원 교육을 통해 기업의 경영 일상에 녹아져 있

어야 하며, 솔루션은 그것을 돕는 툴(Tool)로서 활용되어져야 할 것입니다.

- 37 -

SECU INSIDE Vol.01

IT포커스 | IT보안 Glossary

01

04

02

05

03

06

07

08

09

10

new

Bimodal 업무 프로세스를 목적, 적근방식, 주기 등에 따라 2개의 모드로 구분하되, 궁극

적으로는 일관성을 유지하도록 운영하는 관리 방식

FIDO(Fast Identity Online) 홍채, 지문, 안면인식 등 생체인식을 접목한 인증 기술

Nexus of Forces 새로운 비즈니스를 창출하는 4개의 힘(소셜, 모바일, 클라우드,

정보)의 결합

랜섬웨어 Ransom(몸값)과 Software(소프트웨어)의 합성어, 감염된 사용자 PC나 기기

내 문서를 암호화시키고 복호화를 대가로 금품을 요구하는 악성 프로그램

생체인식 생물 측정학, 사람의 신체적 특성을 담고 있는 생체 정보를 추출, 정보화하여

개인 식별 및 인증 등에 활용하는 기술

스마트팩토리 제조 현장의 효율화, 생산성의 극대화를 목표로 ICT 기술과 융합한 공장 모델

자율주행자동차 운전자 없이 센서를 활용하여 스스로 이동하는 차량

인지컴퓨팅 인공지능과 신호처리를 기반으로 한 기술 플랫폼

컴플라이언스 기업 내 모든 임직원들이 관련 법률, 규정 등을 보다 철저하게 준수하도록

사전 또는 상시적으로 통제·감독하는 것을 말함

핀테크 금융 서비스와 관련된 IT 기술

신규용어

- 38 -

SECU INSIDE Vol.01

4컷인사이트보안이슈 | 4컷인사이트

16화

- 39 -

SECU INSIDE Vol.01

4컷인사이트보안이슈 | 4컷인사이트

17화

- 40 -

SECU INSIDE Vol.01

NoComment보안이슈 | 노코멘트

BEC(Business Email Compromise) 피싱 공격,

심각한 피해 야기

※ BEC(Business Email Compromise)란? 고위 임직원을

가장한 이메일을 통해 송금 등을 유도하는 사기방식

•BEC(Business Email Compromise) 피해 규모

- FBI에 따르면 피해규모는 평균 25,000 달러~75,000 달러이며,

더 큰 피해를 입은 기업들도 존재함.

- 전세계적으로 약 30억 달러의 피해를 야기시켰으며, 2016년 들

어 피해기업은 약 270% 증가한 상황임.

•BEC(Business Email Compromise) 특징

- 국외를 대상으로 정기적인 송금/비즈니스를 수행하는 기업이 주요

타겟이며, 송금 관련 업무를 수행하는 직원들이 주요 공격 대상임.

- 산업과 분야에 관계없이 모든 기업을 대상으로 공격이 발생하고

있으며, 특정 단어(request, payment, urgent, transfer, enquiry)

의 사용 빈도가 높음.

#NoComment!

거래처를 사칭하여 거래대금을 가로채는 스캠에서 더욱

진화된 형태라고 할 수 있는데요. CEO를 비롯하여 임원

진을 사칭하기 때문에 직원들 입장에서는 쉽게 속을 수 밖

에 없다는 것이 큰 특징입니다, 거기에 사회공학 분석까

지.. 사람을 속이는 것은 결국 기술이 아닌 사람이네요.

71번째 이야기

- 41 -

SECU INSIDE Vol.01

NoComment보안이슈 | 노코멘트

다섯 가지 사이버보안 이슈 (by CISCO)

•해커들이 사랑하는 랜섬웨어

- 최근 병원, 대학 등 기반 시설 타겟의 랜섬웨어 공격이 증가, 월

9,500명 이상이 평균 $300의 랜섬웨어 대가를 지불.

•여전히 보안에 취약한 Adobe Flash

- Adobe Flash 보안홀과 버그를 악용한 공격이 지속되고 있으나

구글, 아마존 등이 HTML5로 대체하면서 공격 감소할 전망.

•버려진 워드프레스 사이트를 이용한 공격

- 대중적 웹페이지 제작도구인 워드프레스 사이트 중 사용 중단 혹

은 업데이트되지 않은 사이트가 랜섬웨어, 피싱 공격에 활용.

•노후화된 기술은 공격에 취약

- 노후된 장비, 기술은 기술지원 종료로 업데이트 및 패치가 불가능

하거나, 신규 보안위협 대응이 어려워 위협에 노출.

•보안 팀의 자신감 하락

- 소니 픽쳐스 사건 등 대규모 보안 사고들은 보안 인프라에 대한

신뢰도 및 보안 전문가들에 대한 자신감을 저하시킴.

#NoComment!

보안이 중요하다고 외치고 있지만, 정작 스스로 많은 취약

점을 만들어내고 노출하고 있다고는 생각하지 못 하는 것이

현실입니다. 보안을 바라보는 여러분의 시선은 어떤가요?

더 나은 보안을 위해서는 여러분의 참여가 필요합니다.

72번째 이야기

- 42 -

SECU INSIDE Vol.01

2016년 3분기 (통권 제1호)

발행일 : 2016년 9월 30일

발행인 : 윤두식

발행처 : ㈜지란지교시큐리티

기획/디자인 : ㈜지란지교시큐리티 전략기획부

Copyright 2016. JiranSecurity All Rights Reserved