안녕하세요, 데이터 지킴이 탈레스 보메트릭입니다. :-)

이전 포스팅에서도 언급했듯이, 정보 보안 산업은 미래 혁신에 대응하는 구조입니다. 미래를 예측하기 보다는, 계속해서 그 격차를 따라잡기 바빠보이죠. 그러나 궁극적으로 정보 보안 산업은 미래의 IT 환경에 대한 예측과 대응 사이에서 적절히 균형을 찾아야 합니다. 이를 위해 오늘날 대부분의 조직은 다음과 같은 질문을 던집니다.

"정보 보안 산업은 어떻게 진화할 것인가?", "산업 내 변화가 생긴다면 어떤 일이 일어날 것인가?","누가 이런 변화를 주도할 것인가?"와 같은 질문 말입니다. 그러나 탈레스는 미래 IT 환경 예측이 단지 어떻게, 무엇이, 언제, 누가에 대한 질문을 던지는 것 이상이라고 생각합니다. 대신에 '왜'라는 질문을 던져야 합니다. 다른 질문들은 왜라는 질문의 확장일 뿐입니다. 따라서, 사이버 보안의 미래에 어떤 것이 변화할 지에 대해 묻는 대신 시스템 전체를 살펴보고 이러한 변화가 발생하는 이유를 살펴봐야 합니다.

New Innovations for the New Year, Part Two: The Long Term

첫 번째 변화, IoT 보안은 소비자와 운영자에게 더 많은 부담을 전할 것.

IoT장치는 독보적인 편리함을 제공합니다. 예를 들어, 많은 의료 기관에서는 환자에 대한 중요한 데이터를 수집하고 공유하기 위해 IoT장치를 이용합니다. 또한, 집의 조명과 온도를 조정하는 아마존 에코와 같은 장치가 있죠. 이 모든 장치는 연결돼 있습니다.

현 시점에서 IoT 장치 사용을 거부하는 것은 현실적으로 불가능합니다. 하지만, 각각의 벤더에서 제조된 IoT 장치들은 벤더 별 보안 기준과 헛점을 가지고 있습니다. 이러한 와중에, 소비자와 운영 업체는 그들이 이용하는 IoT 장치의 안정성과 수집하는 데이터를 신뢰할 수 있어야 하죠. 제조업체들이 보안 문제를 해결하기 위해 노력하고 있지만, SW와 모듈 및 칩을 포함한 모든 것을 면밀히 검토해야 합니다.

IoT보안은 이전 포스팅에서도 IoT 제조 업체 입장에 초점을 맞춰 다룬바 있습니다. 많은 제조 업체들이 보안 조치를 취하기 시작했지만, 결국에 IoT 장치의 소비자와 운영 업체는 제조 업체들이 제공하는 보안에 대한 통제력을 필요로 합니다. 

두 번째 변화, 블록체인 기술은 계속해서 진화할 것.

최근 금융권과 보안 업계에서 블록체인이 화두가 되고 있습니다. 그렇다면, 블록체인은 과연 무엇일까요? 이에 대한 가장 정확한 답변은 최근 월스트리트저널 블로그에 있습니다. 이를 인용하자면, "블록체인은 거래에 대한 디지털 장부를 생성하는 데이터 구조로, 네트워크를 통해 장부를 공유한다. 암호화 기술을 이용하여 네트워크의 각 사용자가 중앙 권한 없이 안전하게 장부를 사용할 수 있도록 하는 기술이다" 자, 이제 이해가 되셨나요? 비트코인은 블록체인이 어떻게 현실에서 이용되는지를 보여주는 좋은 예시입니다. 

블록체인은 공식적인 검증 과정을 제공합니다. 금융 부문에서는 이미 이 기술을 활용하고 있지요. 블록체인은 거래와 계약에서 이를 증명하는 서류로 가는 과정을 합법화하고 체계화할 수 있습니다. 금융 부분 뿐 아니라 다른 많은 분야에서 블록체인을 사용할 것이라 기대합니다.

그러나 블록체인이 제대로 작동하기 위해서는 이를 믿고 신뢰할 수 있어야 합니다. 블록체인 기술 자체에 보안성을 확립하고 필요할 때 변화에 적응할 수 있도록 해야 합니다. 

세 번째 변화, 자동화된 인프라 시대가 올 것.

데브옵스와 마이크로서비스 분야에는 빠르게 비즈니스에 적용되고 있습니다. 이 두 가지 기술은 응용프로그램을 실시간으로 빠르게 개발할 수 있도록 합니다. 데브옵스 및 마이크로서비스 아키텍처는 기본적으로 소프트웨어를 독립적인 공간에서 고유의 서비스를 운영할 수 있게 하죠. 이를 통해 원하는 인프라 환경을 자동으로 생성할 수 있습니다.

앱, 서버, 인프라는 자동으로 바꿀 수 있지만, 데브옵스와 마이크로서비스는 기밀 자료를 보유하고 있어야 합니다. 이는 새로운 과제를 부여합니다. 이를 어떻게 관리할 수 있을까요? 앞으로 컨테이너를 안전하게 보관하고 접근할 수 있는 보안 방법을 고려해야 합니다. 데브옵스와 마이크로서비스의 보안 니즈를 예상한다면, 이제 이 것은 식은 죽 먹기 입니다.

네 번째 변화, 퀀텀 컴퓨팅

아직까지 퀀텀 컴퓨팅 개념은 SF 소설처럼 들리는게 사실입니다. 그래도 설명하자면, 퀀텀 컴퓨터는 원자의 집합을 기억 소자로 간주하여 원자의 양자 역학적 효과를 기반으로 방대한 용량과 초병렬 계산이 동시에 가능한 컴퓨터입니다. 한 원자가 얻을 수 있는 상태 중의 하나를 한 수치에 적용시켜 양자 이론의 중복 상태(원자를 얻을 수 있는 두 가지 상태)를 응용하여 초고속, 초소형, 초신뢰성을 얻고자 하는 것으로 광통신 등의 기초 기술이 되고 있습니다.

쉽게 말하면, 퀀텀 컴퓨터는 굉장히 빠릅니다. 또한 이는 새로운 가능성, 혁신의 세계를 열고 있습니다. 물론 이로 인한 우려도 커지고 있지요. 퀀텀 컨퓨팅은 여전히 이론적으로 남겨져 있지만, 이 것이 보안 산업에 가져올 변화에 대해서 계속해서 예측해야 합니다. 안전한 퀀텀 알고리즘을 개발하고 정보 보안에 새롭게 적용해야 합니다. 

다섯 번째 변화, 머신러닝

최근 직접 프로그래밍 없이 위협에 맞서며 스스로 수정하고 배우는 역량을 가진 머신러닝 솔루션들의 증가를 목격하고 있습니다. 머신러닝은 엄청난 보안 가치를 실현할 잠재력을 가지고 있습니다.

머신러닝의 성공 여부는 신뢰와 밀접하게 연관돼 있습니다. 이 기술이 널리 이용됨에 따라, 신뢰할 수 있는 프레임워크를 개발하고 이를 따라야 합니다. 현 시점에서 머신러닝을 위한 올바른 프레임워크는 알려지지 않았습니다. 하지만 이러한 상황은 오래가지 않을 것입니다.

탈레스의 목적은 디지털 세계를 좀더 안전하게 만드는 것입니다. 사이버 보안 산업의 미래를 예측하기 위해서는 현재 이루어지는 변화에 대해서 관찰해야 합니다. 이 게시물은 단지 앞으로 변화의 맛보기에 불과합니다. 보안 업계는 계속해서 진화할 것이며 탈레스는 그러한 진화와 함께할 것입니다. 

탈레스 이시큐리티에 대한 보다 자세한 정보는 홈페이지에서 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아

안녕하세요, 데이터 지킴이 탈레스 보메트릭입니다. :-)

전세계에서 가장 큰 보안 컨퍼런스인 RSA가 코앞으로 다가왔습니다. 올해 RSA 컨퍼런스는 미국 샌프란시스코에서 다음주부터 열린다고 합니다. 

올해 RSA에서는 어떤 주제가 핫 이슈가 될까요? 

오늘날 클라우드 데이터 보안의 중요성은 아무리 강조해도 지나치지 않습니다. 탈레스 역시 올해 RSA에서 클라우드를 비롯한 신기술들을 어떻게 효과적으로 보호할 수 있을까에 초점을 맞출 예정입니다. 

2017년 RSA 컨퍼런스 - 신기술 보호에 집중하라

기업들은 이제 클라우드가 가져다 주는 장점들(민첩성, 유연성, 비용 절감 등)에 대해 모두 잘 알고 있습니다. 또한 구글, 아마존, 세일즈포스, 마이크로소프트와 같은 IT공룡들의 클라우드 플랫폼은 기업들이 디지털 트랜스포메이션을 가속화시킬 수 있도록 돕고 있습니다. 클라우드가 온프레미스보다 안전한지에 대해서는 아직 논쟁이 있습니다. 현실은 이러한 논쟁과 관계없이 기업들은 디지털 트랜스포메이션을 추진하며 데이터 보안을 최우선 과제로 삼고, 클라우드 환경에서 데이터를 안전하게 보호해야 한다는 것입니다. 특히, CIO와 CISO는 다음과 같은 문제에 답을 해야 합니다.

  • 주요 데이터가 클라우드 환경 내 어디에 저장됐는지와 관계없이 안전하게 보호되고 있다고 확신할 수 있는가
  • 보안 감사 시 보안 규제를 준수하여 데이터가 유지 및 관리되고 있다는 것을 입증할 수 있는 증거가 있는가
  • 데이터 침해 사고 발생 시, 데이터 암호 키가 유출되지 않았다고 어떻게 확신할 수 있는가
  • 클라우드 내 데이터에 접근할 수 있는 사용자를 관리할 수 있

를 위해, 탈레스는 선도적인 클라우드 서비스 플랫폼과의 파트너십을 체결했습니다. (곧 발표할 탈레스 파트너십 명단을 기대해주세요!) 클라우드 보안 관련 탈레스 서비스의 핵심은 기업들이 암호 키와 보안 정책을 관리할 수 있게 하는 BYOK 입니다. 탈레스가 지난 해 포네몬과 공동으로 발표한 조사에 따르면, 61%의 응답자들은 클라우드 혹은 호스팅 서비스를 포함한 외부 서비스의 암호 키를 관리하는 것이 힘들다고 답했습니다. 또한, 절반 이상의 응답자들은 암호 키가 매우 중요하며, 기업 내부에서 직접 통제하는 암호 키만을 사용할 것이라고 답했죠.

솔 케이츠(Sol Cates) 탈레스 보메트릭 기술 전략 부사장은 현지시간 2월 17일 10시 15분에 이와 관련해서, "BYOK, 통제권을 포기하지 않으면서 클라우드 암호화하기"라는 세션을 발표할 예정입니다. 암호 키는 기업 전체 시스템에 대한 신뢰의 근원이지요. 

클라우드 암호화를 다루는 동안, 존 기터(Jon Geater) 탈레스 이시큐리티 CTO는 API 암호화와 API 암호화가 어떻게 오작동하는지에 대해 발표할 예정입니다. 그는 API 암호화가 바뀌어야 한다고 주장합니다. 

작년 탈레스는 클라우드와 더불어 또 다른 신기술인 도커 컨테이너의 데이터 보안 서비스를 제공하기 시작했습니다. 애플리케이션 개발자 사이에서 컨테이너는 점점 대중화되고 있습니다. 도커는 사용자들이 사용자들의 인프라 위의 컨테이너에서 어느 플랫폼이던 운영할 수 있으며, 애플리케이션 환경에서 인프라가 필요 사항들을 분리시킬 수 있습니다. 이를 통해 개발자들은 애플리케이션을 보다 빠르고 생산적이고 단순하게 할 수 있습니다. 그렇다면 애플리케이션 개발을 위한 이 새로운 모델을 어떻게 보호돼야 할까요? 보메트릭 트랜스페어런트 인클립션은 IT부서가 OS 수준의 정책 기반 암호화, 데이터 접근 통제, 데이터 접근 로깅 역량을 도커 컨테이너 내부 사용자가 사용할 있도록 합니다. 컨테이너 혹은 애플리케이션 변경 없이 말이죠. 또한 데이터를 암호화하는동안 애플리케이션을 온라인 상태로 유지할 수 있습니다.

새로운 기술들이 나타남에 따라, 탈레스는 자사 솔루션에 대한 혁신을 계속하고 있으며 이를 통해 조직들의 디지털 트랜스포메이션을 가속화하는데 있어 정부 혹은 기업들의 보안 담당자들이 탈레스 솔루션에 의지할 수 있을 것이라 자신합니다. 다운타임 최소화한 암호화를 비롯한 탈레스의 데이터 보안 플랫폼은 조직들의 비즈니스 연속성을 해치지 않고도 어느 환경에서도 데이터를 보호할 수 있도록 합니다. 데이터를 그 수명주기 전반에 걸쳐 보호하는 것은 기업들에게 중요한 과제이기 때문입니다.

탈레스 이시큐리티에 대한 보다 자세한 정보는 홈페이지에서 확인하실 수 있습니다.


신고
Posted by 보메트릭코리아

안녕하세요, 데이터 지킴이 보메트릭입니다. :-)

너무나 당연한 소리처럼 들리지만, 보안은 앞에 나서기 보다는 뒤에서 변화 혹은 위협에 대응하는 구조입니다. 그래서 때론 보안 전문가들은 재앙이 일어날 때를 뒤에서 기다리거 있는 것만 같기도 하죠. 오직 그 순간에 보안 전문가들은 기술적인 트렌드에 대응하고 개발할 수 있습니다.

왜 보안은 계속해서 트렌드에 뒤쳐지는 것처럼 느껴질까요? 다양한 이유가 있습니다. 여러분들 역시 보안과 편의성 사이의 논쟁에 대해서 익숙하실 것입니다. 이러한 논쟁은 마치 보안이 혁신의 정반대인 것처럼 느껴지게 만들죠. 실제로 많은 스타트업들은 장기적인 안정성보다는 비즈니스 신속성에 가치를 두는 문화를 장려하고 있으며 따라서 그들에게 보안은 대체로 귀찮은 존재로 여겨집니다. 그러나 시장은 점점 정보 보안에 초점을 맞추고 있으며, 이제는 올바른 보안 절차를 밟기 시작해야 합니다.

보안 업계는 미래의 취약성에 그저 대응하기 보다는 미리 예측해야 합니다. 탈레스 이시큐리티는 조직들이 현재의 보안 문제를 해결하는데 도움을 줄 뿐 아니라 미래의 문제를 해결할 수 있도록 지원합니다. 이번 포스팅에서는 추후 3-6개월 동안 탈레스 이시큐리티가 제공할 이슈와 혁신에 대해서 다룰까합니다.  

그렇다면 어떤 기술 트렌드를 예측해야 하며, 이러한 트렌드에서 어떻게 시스템을 안전하게 보호될 수 있을까요?

첫번 째 트렌드, 클라우드 도입의 증가로 보안 취약점 역시 증가할 것

글로벌 암호화 트렌드에 대한 포네몬과 탈레스의 합동 조사에 따르면, 조사를 시작한 이래로 처음으로 기업들은 민감한 데이터를 클라우드에 저장하는 것을 선호하기 시작했습니다. 보안에 대한 우려로 인해 이를 미루기 보다는 말이죠. 게다가 61%의 응답자들은 클라우드 혹은 호스팅 서비스 제공업체와 같은 외부 업체의 암호 키를 관리하는 것이 가장 힘들다고 답변했습니다. 2017년에도 이러한 트렌드는 계속될 것입니다. 따라서 기업들은 데이터 보안에 대한 확신을 가져야 합니다. 궁극적으로 사용자들은 클라우드 암호화를 필요로할 것입니다. 특히 클라우드 제공업체 보다는 엔드유저에게 통제 권한을 주는 혁신까지 말이죠.

탈레스 이시큐리티는 클라우드 환경에서 고객들이 자체적으로 암호 키를 관리할 수 있도록 하는 BYOK(Bring Your Own Encryption Key) 흐름의 선두주자입니다. 기업들이 그들의 암호화 소프트웨어와 키를 직접 관리할 수 있게 지원하고 있지요. 탈레스 이시큐리티는 마이크로스프트와 아마존과 함께 협업하여 키 관리 서비스와 마이크로소프트 애저와 AWS를 위한 볼트를 개발합니다. 이를 통해 기업들이 키를 인하우스에서 관리하면서도 클라우드를 효과적으로 활용할 수 있습니다. 

탈레스 이시큐리티는 2017년에도 BYOK 솔루션에 대한 혁신을 지속할 것입니다. 그 일환으로 최근 탈레스 이시큐리티는 세일즈포스 쉴드 플랫폼 인크립션(Salesforce Shield Platform Encryption) 지원을 발표했습니다. 세일즈포스 쉴드 플랫폼 인크립션은 세일즈포스를 이용하는 기업들이 비즈니스 상 필요한 기능을 유지하면서, 세일즈포스 어플리케이션 내 저장 데이터 (data at rest)를 자동으로 암호화할 수 있도록 지원합니다. 클라우드에서 호스팅되는 서비스형 보메트릭 키 매니지먼트는 SaaS 환경에서 인프라 사용 및 관리 비용을 절감시킵니다.

또한, 현재 HSM의 원활한 연결이 어려운 업체들을 위한 솔루션을 개발하기 위해 노력하고 있습니다. 연결 장애는 높은 운영 비용, 성능 장애, 보안취약성과 같은 문제를 야기합니다. 탈레스 이시큐리티의 솔루션을 통해 사용자들은 클라우드 제공업체과 직접 소통할 수 있습니다.

두번째 트렌드, 컨테이너 특히 도커는 점점 더 대중화될 것

조직들은 공격적으로 컨테이너를, 특히 도커를 도입하고 있습니다. 도커가 이 기술의 선도업체이기 때문입니다. 그러나 폭발적인 컨테이너 도입 증가는 보안 문제가 함께 떠오르고 있습니다. 먼저 애플리케이션 보안 문제가 있습니다. 보다 빠르게 그리고 더 큰 규모로 진행할 수 있음에 따라, 기존의 응용 프로그램 보안 오류가 확대될 수 있다는 것입니다. 

또한, 관리자는 모든 도커 이미지와 관련된 데이터에 접근할 수 있습니다. 이는 루트 권한을 취득하여 행해지는 해킹 공격은 곧 도커 환경에 저장된 모든 중요한 데이터가 노출로 이어질 수 있다는 것을 의미합니다. 마지막으로, 도커는 종종 클라우드 혹은 공유된 가상화 인프라에서 구현돼 또 다른 잠재적인 위협을 가져옵니다. 실제로 많은 사용자는 기본 하드웨어 및 소프트웨어 환경을 소유하거나 제어하지 않습니다. 이로 인해 제 3 자의 접근 그리고 기존의 클라우드 보안 문제가 발생할 수 있습니다.

궁극적으로 가장 큰 문제는 컨테이너 보안이 뒤쳐져 있다는 것입니다. 물밑에서 일어나는 일에 대한 가시성 확보가 부족하죠. 탈레스 이시큐리티는 수년 간 도커와 같은 컨테이너의 보안을 지원했으며, 곧 보메트릭 데이터 시큐리티 플랫폼은 이와 관련된 새로운 기능을 제공할 예정입니다 - 보메트릭 트랜스페어런트 인크립션 도커 확장판은 OS수준의 정책 기반 암호화, 데이터 접근 통제 그리고 데이터 접근 로깅 기능을 내부 도커 컨테이너 사용자와 처리 과정과 리소스에 제공합니다.

당사의 최신 확장판은 컨테이너 또는 응용 프로그램을 변경할 필요 없이 도입할 수 있습니다. 이제 도커 컨테이너도 안전해질 수 있습니다.

세번째 트렌드, 제조업체 수준의 IoT보안

IoT 커뮤니티에는 소비자, 운영 업체 및 제조 업체라는 세 가지 주요 업체가 있습니다. 소비자는 편의성을 위해 IoT 장치를 사용하며, 보안은 일반적으로 고려하지 않습니다. 한편 운영 업체는 데이터 수집을 위해 IoT 장치를 이용하지만, 데이터가 과연 정확한지, 고객에게 잘 커스터마이즈됐는지, 안전한지를 확인하는 데 문제가 있습니다. 

이러한 문제는 다시 물리적으로 보유하고 도입한 장치를 만든 제조 업체에게 돌아갑니다. 불행히도 많은 제조사는 IoT장치에 적절한 보안 조치를 취하지 않고 있으며, 이로 인해 보안 허점이 발생합니다. 유감스럽게도 제조업체를 위한 통인된 보안 기준이 존재하지 않아, 그들은 엄청난 혼란을 겪고 있죠.

탈레스의 HSM은 제조 단계에서 보안 문제를 해결할 수 있도록 지원하며, IoT 보안에 대한 신뢰를 되찾을 수 있도록 노력하고 있습니다. HSM 및 보조적인 보안 애플리케이션을 사용하여 제조업체는 제품을 발표 하기 전에 각 장치 별 고유한 디지털 인증서를 삽입하여 강력한 장치 인증 기능을 삽입할 수 있습니다. 이 독점적인 ID를 통해 제조사는 제품이 수명을 다할 동안 장치를 추적하고 안전한 방식으로 통신하며 허가되지 않은 프로세스를 중단 할 수 있습니다. 이처럼 탈레스는 IoT 제조 업체가 장치에 문제가 발생하기 전에 IoT 보안 문제를 예측하고 치료할 수 있도록 도와줍니다.

네번째 트렌드, 최소한의 다운타임으로 데이터 암호화

암호화는 중요한 보안 툴이지만 도입 및 유지 보수는 성가실 수 있습니다. 대용량 데이터로 작업하는 경우 일반적으로 긴 유지 보수 기간이 필요합니다. 따라서 많은 조직들은 암호 키를 재설정하기 위해서는 장기간의 다운타임을 필요하다고 생각하고 있지요. 이는 IT 팀이 보안과 가용성 사이에서 고민하게 만듭니다. 그러나 IT팀이 보안 또는 가용성 둘 중의 하나를 꼭 선택해야 할까요?

보메트릭 라이브 데이터 트랜스포메이션을 통해 보안팀은 최소한의 다움타임과 비용으로 암호화를 구현할 수 있습니다. 이 제품을 통해 보안 조직은 애플리케이션, 네트워크 또는 스토리지 아키텍처를 변경하지 않고도 데이터를 암호화할 수 있습니다. 또한 보메트릭 라이브 데이터 트랜스포메이션은 탄력성과 효율성을 획기적으로 향상시키는 독자적인 기능을 제공합니다. 탈레스 이시큐리티를를 사용하면 더 이상 가용성을 확보하기 위해 애쓸 필요가 없습니다.

탈레스 이시큐리티는 2017 년 상반기에도 조직들에게 혁신을 가져오기 위해 노력합니다. 보안은 편의성, 가용성 그리고 혁신의 반대가 아닙니다. 보안 업계가 그저 변화에 대응하는 것 이상을 할 수 있다는 것을 탈레스 이시큐리티가 증명하고 있습니다. 

탈레스에 대한 보다 자세한 정보는 홈페이지에서 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아


티스토리 툴바