안녕하세요데이터 지킴이 보메트릭입니다. :-)

작년은 민감 데이터가 저장되는 어플리케이션의 클라우드 도입 트렌드의 전환점이 됐습니다. 실제로 최근 발표한 탈레스 글로벌 암호화 트렌드 조사 보고서에서는 처음으로 민감한 데이터를 클라우드에 저장하는 기업들이 보안에 대한 두려움으로 미루는 기업보다 많아졌습니다. 또한, 응답자 중 절반은 암호화 키를 통제하는 것이 클라우드 보안에 있어 매우 중요한 문제이며 내부적으로 직접 제어할 수 있는 암호화 키를 사용할 것이라고 답했습니다.

또한, 조사에 따르면, 응답자 중 61%는 외부 서비스 제공업체(클라우드 혹은 호스팅 서비스 업체)들의 암호화 키를 관리하기 어렵다고 답했습니다. 이는 기업들이 클라우드 제공업체에게 양보할 수 있는 통제 권한 수준과 클라우드가 제공하는 혜택을 이용하기 위해 업체에 줘야할 신뢰 사이에서 조율해야할 문제가 있음을 시사합니다.

이렇듯 클라우드 환경에서 암호화 키에 대한 우려를 불식시키기 위한 새로운 개념이 있습니다. 바로 ‘BYOK(Bring Your Own Key)' 입니다.

탈레스+AWS (+보메트릭+세일즈포스)

탈레스는 BYOK 트렌드의 선두주자로서, 2015년 마이크로소프트와 함께 기업들이 마이크로소프트 애저에서 이용되는 암호화 키를 기업들이 직접 통제할 수 있도록 했습니다. 탈레스 엔쉴드(Thales nShield)를 통해서 강화된 키 통제력을 제공하는 마이크로소프트 애저 키 볼트(Microsoft Azure Key Vault)는 기업들이 민감한 데이터를 보호하면서, 키를 관리하고 직접 통제할 수 있도록 했습니다. 

다행히도 탈레스의 BYOK 모멘텀은 많은 클라우드 제공업체들 역시 도입하는 흐름이 됐습니다. 최근 탈레스는 아마존 웹 서비스에 대한 키 관리 서비스(AWS KMS) 지원을 발표했습니다. 간단히 설명하자면, AWS KMS를 이용하는 조직들은 이용하는 클라우드 서비스에서 데이터 암호화 키에 대한 통제 권한을 가질 수 있으며, 필요하다면 키를 삭제할 수 있습니다. 이는 기업들에게 클라우드의 혜택과 이점을 누리면서도 인하우스에 키를 관리할 수 있도록 합니다. 암호화 키는 기업 시스템의 신뢰에 기반이 되며, 분실되다면 데이터를 복구하기 어려우며, 최악의 경우 유출된다면 기업 내 비밀은 더 이상 비밀이 아니게 됩니다.

물론, 클라우드 제공업체는 최악의 상황을 방지하기 위해 백업 및 복구 서비스를 제공합니다. 그러나 감사 및 컴플라이언스는 불가능할 것이며 서비스의 비용도 증가할 것입니다. 즉, 제대로 작동하기 쉽지 않습니다. BYOK가 훨씬 나은 방법이지요.

탈레스가 제공하는 BYOK의 적용범위가 마이크로소프트 혹은 아마존의 클라우드 서비스에 제한될 것이라고 생각한다면 오산입니다. 보메트릭과의 인수합병으로 탈레스는 보메트릭 키 매니지먼트와 데이터 보호 제품들을 제품 라인업에 추가했으며, 이를 통해 탈레스 패밀리는 HSM에서부터 서비스형 키 매니지먼트까지 폭 넓고 유연한 옵션들을 제공하고 있습니다. 예를 들어, 보메트릭은 최근 세일즈포스를 위한 서비스형 매니지먼트 솔루션을 발표했습니다. 이 시범 프로그램은 조직들이 다른 기능들에 대한 제한 없이 세일즈포스 앱에서 저장 데이터를 암호화할 수 있도록 지원합니다. 많은 기업들이 개인식별정보를 비즈니스를 위해 다루고 있음에 따라 컴플라언스를 충족시키고 앞선 우수 사례들을 적용해야 합니다.

클라우드 환경에서의 보안을 강화하고자 하는 앞선 논의들이 활발해지는 것에 대해서 매우 기쁜 한편으로는 아직까지 BYOK 개념에 대해서 익숙치 않은 기업들이 많이 존재하며, 적용 사례 역시 적다는 점은 안타깝습니다. 

탈레스와 보메트릭은 사이버 보안 전문가들과 클라우드 제공업체들과 함께 BYOK의 적용 사례를 확대하고 일반적인 키 관리와 데이터 보안 수준을 향상시키고자 노력하고 있습니다. 그렇기에 앞으로 2년 내에 데이터 보안 시장은 지금까지와는 매우 다른 양상을 띄고 있을 것이라고 기대합니다. 계속해서 기술은 매우 빠르게 발전하고 비즈니스 기회들 역시 그에 따라 계속해서 생성될 것입니다. 따라서 기업들은 BYOK 게임에 지금 합류해야 합니다. 클라우드로의 변화는 계속될 것이며 확실한 보안 계획이 없는 기업들은 뒤쳐지게 될 것입니다. 

클라우드 키 관리에 대한 차별적인 서비스를 제공하는 탈레스의 자회사 보메트릭에 대한 정보는 홈페이지에서도 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아

안녕하세요데이터 지킴이 보메트릭입니다. :-)

8월 초에 미국에서는 보안연구원들과 해커들이 모이는 사이버 보안 대규모 행사인 블랫햇과 데프콘 행사가 열립니다. 언뜻 유사한 행사처럼 보이지만 사실 매우 성격이 다른 행사입니다. 블랙햇이 해킹보다는 기업 스폰서십과 주류 보안 토픽에 초점을 맞추는 반면 데프콘 행사는 해킹에 관련된 매우 흥미로운 볼거리들로 가득차 있죠. 그래서 오늘은 데프콘 행사에서 흥미로웠던 세션들을 소개하고자 합니다. 

커널(kernel)을 통한 직접 메모리 공격

직접 메모리 해킹 시연에서 해커들은 OS로 침투해 시스탬 내 메모리 덤프(dumps)를 탈취할 수 있었습니다. 커널에 접근하기만 하면 해커들은 시스템에 접근 경로 뿐 아니라 원격 셀까지 확보할 수 있습니다. 이는 물리적인 탈취가 모든 것에 대한 접근을 가능케하는 가장 쉬운 방법이 될 수 있다는 점에서 매우 흥미로운 시연이었습니다. 이 경우에 해커들은 PCI express 카드를 통해 시스템 내에서 돌아다니고, 랩탑에 연결하고 그들이 원하는 것에 접근할 수 있습니다.

정부에 반역하는 법

타이틀부터 눈에 뛰었던 이 세션에서는 구스토니안의 CEO 크리스 락(Chris Rock)은 해커들이 어떻게 쿠데타를 일으킬 수 있는지에 대해 설명했습니다. 세션 중에 그는 용병인 사이번 맨과 함께 쿠웨이트 정부를 해킹했던 경험을 소개했습니다. 크리스의 말에 따르면 쿠테타를 일으키는 방법은 세 가지 입니다. 1) 쿠테타 계획을 세운다 2) 투표를 조작한다 3) 해킹한다.쿠테타를 위한 해킹은 정부 데이터, 주요 언론 기관, 정부 관료자 감청에 대한 통제권을 확보합니다. 물론 이는 매우 복잡합니다. 이 세션의 핵심은 해커들은 확실한 결과를 가져다주는 증명된 방법을 고수해야 한다는 것입니다.

다시 현실로

해커들이 정부기관에 반기를 들 수 있다는 점을 무시하는 것은 아니지만, 대부분의 기업들의 일상적인 고민과는 동떨어져있습니다. 따라서 이런 비현실적인 주제보다는 데프콘이 전달하는 핵심 메시지로 다시 돌아가봅시다. 바로 해커들이 시스템에 곧 침입할 것이라는 것입니다.

네, 해커들이 언제든지 우리들의 시스템에 침입할 수 있습니다. 그럼 이제 다음 질문으로 넘어가봅시다. 해커들이 침입했을 때 데이터를 어떻게 보호할 까요?

민감한 데이터는 어디에나 산재해 있습니다. 클라우드, IoT 기기, 빅데이터 플랫폼 등 다양한 곳에 말이죠. 이러한 현 상황에 대해서 보메트릭의 CEO 앨런 케슬러는 이렇게 말합니다. "악성코드, 랜섬웨어, 스피어피싱, 내부자 위협, 국가 지원 공격, APT, SQL 주입 공격, 소셜 엔지니어링에 둘러싸인 세계에 살고 있다"고 말이죠.

이런한 상황에서 보메트릭과 같은 기업이 필요합니다. 물론 하나의 보안 업체가 해킹을 100% 방어할 수는 없습니다. 하지만 보메트릭의 암호화 솔루션을 통해 해커들이 데이터를 악용하려는 모든 시도들을 더 힘들게 만들 수 있죠.

사이버 세상은 험난합니다. 데프콘은 이를 더 무섭게 만들었죠. 하지만 그저 두려워하기 보다는 우리가 가진 것을 바탕으로 최선을 다해야 할 것입니다. 

보메트릭에 대한 자세한 정보는 보메트릭 홈페이지에서도 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아

안녕하세요데이터 지킴이 보메트릭입니다. :-)

스마트폰으로 커피 머신을 작동하고, 조간 뉴스를 볼 동안 자율주행차가 회사에 데려다 주는 세상을 상상해봅시다. 이 세상에서는 집에 오는 길에 냉장고가 저절로 저녁 재료를 해동하고 있을 것입니다. 먼훗날 미래의 일 같이 느껴지지만 사실 그다지 멀지 않았습니다. 전세계적으로 IT기업들이 석유 파이프라인부터 토스터기까지 그야말로 모든 곳에 센서를 장착하고 있기 때문입니다. 그러나 인터넷과 모든 것이 연결되는 세상이 무조건 좋은 것만은 아닙니다. 매우 치명적인 취약점을 동반하기 때문입니다. 해커들은 몇 분 만에 인터넷에 연결된 제품을 해킹할 수 있으며, 이는 몇몇 해킹 사고로도 증명됐죠. 

  • 브이테크: 600만명이 넘는 어린이들의 정보를 가진 브이테크의 데이터베이스가 해킹 된 후, 전 세계에 아이들을 가진 부모들은 두려움에 떨어야 했습니다.
  • 헬로바비: 헬로바비는 클라우드 서버를 통해 아이들과 대화할 수 있는 말하는 인형입니다. 보안 연구원들은 이 인형에 심각한 취약점이 있다는 것을 발견했으며, 최악의 경우 공격자들이 인형과 아이들의 대화를 엿들을 수 있습니다.
  • 지프: 두 명의 보안 연구원들은 와이파이를 통해 지프의 멀티미디어 시스템을 해킹했습니다. 해킹을 통해 연구원들은 자동차 핸들, 엔진, 변속기, 브레이크는 물론 와이퍼, 에어컨, 잠금장치를 제어할 수 있었습니다. 게다가 그들은 스프린트의 셀룰러 네트워크를 통해서 원격으로 이 모든 것을 제어할 수 있었습니다.

매년 인터넷에 연결된 사물들의 숫자는 점점 증가하고 있습니다. 가트너에 따르면, 이 숫자는 2020년에 들어 208억개에 달할 것이라고 합니다. IoT 산업이 성장하며 사이버 보안 솔루션의 필요성 또한 이와 비례하여 증가하고 있습니다. 대도시권에서 해킹이 발생했을 시의 실질적인 피해도 엄청납니다. 사물인터넷에 연결된 차가 해킹되면, 끔찍한 교통체증을 발생할 수 있으며 대규모 교통사고를 초래할 수도 있죠. 또한 의료기기가 해킹된다면, 해커에게 의료 기록을 제공하거나 환자들에게 제대로된 치료를 안할 수도 있죠. 또한 전력소는 전력 공급을 중단하고 대규모 정전사태를 초래할 것입니다. 이러한 피해들은 한도 끝도 없이 나열할 수 있습니다. IoT세상에서는 이러한 재앙이 기다리고 있을지 모릅니다.

보메트릭은 IoT 보안과 관련된 조사를 진행했습니다.

  • 대부분의 응답자들은 차에 대한 해킹을 두려워했습니다. 61%
  • 또한, 61%의 응답자는 가정용 보안 카메라가 해킹당하는 것을 두려워했습니다. 
  • 반면, 의료 관련 IoT 기기 해킹에 대한 두려움은 비교적 적은 비중을 차지했습니다.

이렇듯, IoT 기기 해킹이 재앙을 초래할 수 있음에도 불구하고 많은 응답자들은 여전히 IoT 기술 도입을 희망하고 있습니다. 응답자의 거의 절반 가량이 IoT에 연결된 기기를 사용하고 있었습니다. 사물인터넷이 우리 일상에 한 부분이 되고 있는 상황에서 유념해야 할 것은 사물인터넷이 가져다 주는 혜택은 취약점으로 이어질 수 있다는 것입니다. 가치 있고, 민감한 정보를 생성해내는 IoT의 능력은 기업들이 찾던 것이지만 이는 또한 해커와 사이버 범죄자들에게 좋은 먹잇감입니다. 그들이 이 정보를 사적으로 이용하건 혹은 다른 이들에게 판매하던, 데이터 유출 사고는 기업과 개인들에게 실질적인 피해가 불가피합니다.

IoT생태계가 그 잠재력을 충분히 발휘하기 위해서는 보안이 중요합니다. 조직의 보안을 높이는 가장 효과적인 방법은 해커들이 데이터를 사용하지 못하게 만드는 것입니다. 데이터 암호화는 데이터가 고객정보이건, 기업 정보 이건 혹은 IoT를 통해 수집된 인사이트이건 외부 침입자에게 무용지물로 만들 수 있습니다. 트랜스페어런트 암호화를 통해 퍼포먼스 저하 혹은 UX 변동 없이 정보를 손쉽게 보호할 수 있습니다.

한편, 보메트릭의 모회사 탈레스는 삼성전자의 IoT 플랫폼 ‘아틱’에 암호 키 생성, 인증, 사인, 키 매니지먼트 서비스를 제공하는 자사의 암호화 솔루션을 제공했습니다.

IoT 플랫폼에 철통보안을 보안을 제공하는 보메트릭에 대한 자세한 정보는 보메트릭 홈페이지에서도 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아


티스토리 툴바