안녕하세요, 데이터 지킴이 탈레스 보메트릭입니다. :-)

탈레스와 미국 컨설팅 기업 ‘액센츄어(Accenture)’는 블록체인 기술과 금융 서비스, 헬스케어 및 정부 기관의 산업용 보안 시스템의 통합을 단순화하는 솔루션을 발표했습니다. 현재 특허 출원중인 해당 솔루션은 최근 부상하고 있는 블록체인 플랫폼과 널리 이용되는 하드웨어 보안 기술을 이용하여 개발자 친화적인 인터페이스를 구성합니다. 액센츄어는 해당 솔루션 개발을 위해 HSM 기술을 통해 전 세계 주요 은행의 주요 데이터 및 자산을 보호하고 있는 탈레스와 협업했습니다.

하드웨어 모안 보듈(Hardware security modules, HSM)은 디지털 키(Key)를 생성하고 보호하고 저장하는 암호화 프로세서로서, 탈레스 HSM 아키텍쳐에 저장된 키는 고도로 통제된 프로토콜(protocol)을 제외하고는 함부로 추출하거나 사용할 수 없습니다. 다양한 기관에서 쓰이고 있는 탈레스 엔쉴드 HSM(nShield HSM)을 기반으로 한 새로운 솔루션은 블록체인 기술을 대규모의 상업적 용도로 활용할 수 있도록 지원합니다.

사이먼 화이트하우스(Simon Whitehouse) 액센츄어 수석 이사 겸 블록체인 기술 책임자는 “블록체인은 여러 산업 부문에 걸쳐 빠르게 발전하고 있으며, 앞으로의 비즈니스 운영 방식을 크게 바꾸어 놓을 것이다. 그러나 현재 블록체인 기술을 이용하는 어플리케이션은 메시지 및 거래를 보호하고 인증하는 데 이용되는 디지털 키가 네트워크 공격에 취약한 것으로 판명됐기 때문에, 대부분의 중요한 IT 인프라가 요구하는 엄격한 보안 기준을 충족시킬 수 없다.”며 “탈레스 기술을 이용한 액센츄어의 블록체인 솔루션은 기존에 은행들이 사이버 침해로부터 돈과 거래 기록을 안전하게 보호하기 위해 수 십 년 동안 이용한 물리 보안과 유사한 형태의 보안 역량을 제공한다. 이는 은행뿐만 아니라 정부, 보험 회사, 헬스케어 그리고 여타 다른 업체들이 블록체인 기술을 실제 비즈니스 환경에서 활용할 수 있는 다양한 방법을 제공하는 것”이라고 말했습니다.

현재 블록 체인 기반 시스템은 일반적으로 블록체인을 위한 디지털 키를 저장하는 "사이버 지갑(cyberwallets)"에 의존합니다. 이러한 키는 일반적으로 소프트웨어 서버에 저장되기 때문에, 최근 암호화폐 거래 과정에서 발생한 네트워크 공격에 취약할 수 있습니다. 그러나 액센츄어의 솔루션은 디지털 키가 IT 네트워크로부터 물리적으로 격리되어 저장되고, 고도로 발전된 비선형적인 보안 메커니즘으로 설계되기 때문에 디지털 키가 도용되는 것이 사실상 거의 불가능합니다. 또한 각 솔루션에 대해 코드 인터페이스를 생성하는 보안 솔루션과 비교할 때, 해당 플랫폼은 단 한 번만 설치해도 기업들이 사용하는 블록체인 소프트웨어 및 어플리케이션과 관계 없이 각 블록체인 어플리케이션을 보호 할 수 있습니다.

존 기터(John Grimm) 탈레스 이시큐리티 CTO는 "블록 체인의 가능성은 무한하다. 금융 부문에서는 거래에서 계약 및 인증서에 이르기까지 모든 것을 블록체인을 이용해 해당 정산 과정을 합법화하고 단순화할 수 있으며, 헬스케어 및 정부 기관에서도 블록체인 기술의 이점을 충분히 활용할 수 있다. 그러나 블록체인이 제대로 작동되려면 이를 믿고 신뢰할 수 있어야 한다. 즉, 블록체인을 이용하는 모든 주체들이 블록체인이 운용되는 방법에 동의하고 예상할 수 있어야 한다. 그러나,많은 경우에 혁신과 보안 취약성은 정비례한다. 액센츄어는 탈레스의 HSM 기술을 이용하여 블록체인을 보호하고 악성 행위를 방어하기 위해 블록체인 기술 자체에 대한 신뢰와 강력한 보안 체계을 구축했다. 탈레스는 블록체인 기술에 계속해서 투자하고 있다. "고 말했습니다.

데이비드 트리트(David Treat) 액센츄어 금융 서비스 블록 체인 총괄은 "금융 서비스 및 헬스케어와 같은 부문에서 블록체인 기술의 이점을 활용할 수 있는지 여부는 기존의 보안 기준을 이용해 디지털 키를 보호하는 역량에 달려 있다. 이전에도 HSM과 블록체인의 통합 시도가 있었지만, 이번 솔루션은 블록체인 플랫폼과 HSM을 연결하는데 있어 더 단순하고 유연한 기준을 제시한다. 이처럼 액센츄어와 탈레스는 대기업들이 블록체인 기술을 실제로 비즈니스에 활용할 수 있도록 하는 발판을 마련하기 위해 노력하고 있다."고 말했습니다.

이 솔루션은 하이퍼렛저(Hyperledger) 기술인 패브릭(Fabric)을 사용했으며 다른 주요 블록 체인 기술 플랫폼에 적용 할 수 있습니다. 하이퍼렛저는 모든 산업에서 범용적으로 이용 가능한 블록 체인 기술을 개발하기 위해 주력하고 있는 100 개 이상의 대기업이 참여하는 글로벌 오픈 소스 협업체입니다.

솔루션 주요 기능

보안을 중시하는 기관들은HSM을 이용하여 디지털 키를 보호 및 관리하고, ATM기기, 메인 프레임 운영, POS 시스템 등 주요 시스템을 보호하며, 안전하고 인증된 디지털 서명이 필요한 어플리케이션을 위해 SWIFT메시지를 확인하고 서명합니다. 대부분이 HSM의 역할에 대해 제대로 이해하지 못하고 있지만 이는 사실 일상생활에서 매일 이용되는 기술입니다. 예를 들어, 은행 데이터 센터에 있는 HSM은 고객들이 ATM에서 현금을 인출할 때, 고객들의 PIN의 유효성을 확인하는데 이용되거나, 혹은 고객들이 POS단말기에서 상품을 구매할 때, 거래 암호를 확인하는데 이용된다. 이 두 가지 경우 모두, 은행의 통제 하에 있는 HSM만이 보안된 프로세스를 수행할 수 있는 올바른 키에 접근할 수 있다. HSM 장점은 다음과 같습니다.

  • 키는 안전한 HSM 내부에 저장됩니다: 키는 항상 안전하고 검증된 HSM 내부에서 활성화됩니다. 키가 소프트웨어 혹은 하드드라이브에서 활성화 될 경우 사이버 공격에 취약합니다.
  • 변조 방지 하드웨어: FIPS 140-2 레벨 2, 3를 인증 받은 HSM은 엄격한 기준에 따라 테스트됐으며, 허가 받지 않은 사용자가 이에 접근하기 매우 어렵습니다
  • 정교한 암호화: HSM은 인증되고 안전한 암호화된 난수 발생기를 통해 키를 생성하고 이를 통해 기존의 컴퓨터 시스템보다 우수한 품질의 키를 제공합니다.
탈레스에 대한 보다 자세한 정보는 홈페이지에서 확인하실 수 있습니다.


신고
Posted by 보메트릭코리아

안녕하세요, 데이터 지킴이 탈레스 보메트릭입니다. :-)

탈레스가 451리서치(451 Research)와 공동으로 2017년 탈레스 데이터 위협 보고서를 발간했습니다. 보고서에 따르면, 68%의 응답자들이 데이터 침해를 경험한 적이 있다고 조사됐으며, 이 중 작년에 데이터 침해를 당했다고 답한 비율은 26%로, 두 수치 모두 작년에 비해 증가했습니다. 역설적이게도 기업들의 전체적인 보안 관련 지출 역시 증가하고 있는 것으로 조사됐는데, 73%의 조직들이 2017년에 IT 보안 관련 지출을 늘릴 것이라고 답했으며, 이는 58%를 기록했던 2016년에 비해 증가한 수치입니다.


오래된 습관은 고치기 힘들다

5번째로 발간되는 이번 보고서는 전 세계 대기업에 종사하는 1,100명의 IT보안 담당자들을 대상으로 조사한 결과를 담고 있습니다. 보고서를 통해 조직들이 투자하는 보안 솔루션과 실제 민감 데이터 보호 역량에는 간극이 존재하는 것으로 드러났습니다. 30%의 응답자들이 그들의 조직이 데이터 위협에 ‘매우 취약하다’ 혹은 ‘극도로 취약하다’고 인식했지만, 기업들이 보안 예산을 가장 많이 투자하는 상위 2개 분야는 네트워크 보안(62%)와 엔드포인트 보안(56%) 솔루션으로 나타났습니다. 반면에 저장 데이터 솔루션에 대한 투자는 46%로 가장 낮은 수치를 기록했습니다.

민감 데이터 위협에 대한 조직의 체감 정도

451리서치의 정보 보안 수석 연구원이자 보고서의 저자인 가렛 베커(Garrett Bekker)는 “이러한 상황의 배경은 조직들이 데이터 침해 사고를 예방하는데현재로서는 결코 효과적이라고 볼 수 없는 솔루션에 계속해서 투자하는 것에 있다고 설명할 수 있습니다. 데이터 보안 전략은 점점 지능화되는 오늘날의 위협과 보조를 맞춰 진화해야 합니다. 보안 전략이 빠르게 변화하는 사이버 위협 환경에 맞춰 유연하게 발전하지 않는다면, 데이터 침해 비율은 계속해서 증가할 것이다”라고 말했습니다.

보안 규제는 IT 보안 예산 지출에 있어 가장 주요한 고려사항

보안 예산 관련 고려 사항들은 다양하지만, 가장 우선시 되는 고려 사항은 여전히 보안 규제인 것으로 조사됐습니다. 거의 절반 가량에 달하는 44%의 응답자들은 보안 예산 지출의 가장 핵심 고려 사항은 보안 규제를 충족시키는 것이라고 답했으며, 이는 우수 사례 적용(38%)과 기업의 이미지 및 브랜드 보호(36%)를 웃돈 수치입니다. 또한, 59%의 응답자들은 보안 규제를 만족시키는 것이 데이터 침해 사고를 예방하는데 ‘매우’ 혹은 ‘굉장히’ 효과적이라고 답했습니다. 비록 보안 규제가 데이터 보안의 청사진을 제공할 수 있지만, 지능적인 오늘날의 공격자들로부터 시스템을 방어하는 보안 전략을 수립하기 위해 고려하는 유일한 사항이 되어서는 안 될 것입니다.

IT보안 예산 지출 시 기업들의 우선 고려 사항

기업 내외부의 사이버 위협

사이버 위협에 대한 인식 조사에서는, 조사에 참여한 모든 산업 군에서 사이버 범죄자를 (44%) 가장 큰 외부 위협 요소로 인식했으며, 핵티비스트(Hacktivist)(17%), 사이버 테러리스트(15%), 정부 지원을 받는 해킹 그룹(12%)이 그 뒤를 이었습니다. 내부 위협으로는 58%의 응답자들이 권한을 가진 사용자가 가장 위험한 내부자라고 답했는데, 이는 63%였던 작년에 비해 다소 감소한 수치다. 44%는 임원진을 두 번째로 위험한 내부자로 인식했으며, 일반 직원들(36%) 그리고 하청 업체(33%)가 그 뒤를 이었습니다.

미래의 위협으로부터 데이터 보호

기업들이 점차 클라우드와 SaaS를 도입함에 따라, 기업 내에서는 점점 더 많은 데이터가 생성, 이동 및 처리되며, 기업 네트워크 외부에 저장됩니다. 이러한 현 상황에서 기존의 경계(perimeter) 기반 보안 제품과 네트워크 혹은 엔드포인트 보안 솔루션은 점점 그 효력을 잃고 있습니다. 이 밖에, 최근 인기를 얻고 있는 도커 컨테이너 기술도 또 다른 보안 과제를 가져오는 것으로 조사됐습니다. 거의 40%의 응답자들은 도커(Docker) 컨테이너를 애플리케이션 개발에 이용하고 있습니다. 동시에 47%의 응답자들은 보안이 도커 컨테이너를 더 폭 넓게 도입하는데 가장 큰 장애물이라고 답했습니다.

피터 갤빈(Peter Galvin) 탈레스 이시큐리티 전략부 부사장은 “오늘날 기업들은 점점 복잡해 지는 위협 에 대응해야 한다. 클라우드, 빅데이터, IoT, 도커가 활발히 이용되고 있는 오늘날, 저장 데이터, 활성화된 데이터, 이동 중인 데이터 등 모든 형태의 데이터를 보호할 수 있는 적극적인 IT 보안 전략이 필요하다. 기업들은 귀중한 데이터와 지적 재산을 보호하기 위해서 암호화와 같이 개인정보보호를 중점으로 설계된 방어 솔루션에 투자해야 한다. 또한, 보안을 기업의 디지털 이니셔티브를 가속화하고 파트너와 고객들과의 신뢰를 형성할 수 있는 비즈니스 지원 수단으로 인식해야 한다.”고 말했습니다.

데이터 침해 사고를 방어하고 새로운 기술과 혁신이 가져다 주는 이점을 누리기 위해서 조직들은 다음과 같은 최소한의 수칙을 따라야 합니다.

  • 암호화와 접근 통제를 데이터를 보호하기 위한 기본적인 방어 도구로 이용하고 모든 것을 암호화하는 전략(‘encrypt everything’ strategy)을 고려한다.
  • 다양한 활용 사례를 지원하고 사용하기 용이한 데이터 보안 플랫폼을 선정한다
  • 데이터 이용과 관련된 위협적인 패턴을 파악하기 위해 보안 분석을 활용하고 멀티팩터인증(multi-factor authentication) 솔루션을 도입해야 한다. 

상세한 조사 결과와 보고서는 탈레스 홈페이에서 확인할 수 있다.

신고
Posted by 보메트릭코리아

안녕하세요데이터 지킴이 탈레스 보메트릭입니다. :-)

일상생활에서 직접적으로 느끼진 못하지만, 여러 통계를 통해 우리는 얼마나 디지털화되고 연결된 세상에 살고 있는지 간접적으로나마 느낄 수 있습니다. 이러한 상황에서 작년 야후, 링크드인에 대한 해킹 공격과 이로 인한 고객들의 피해에 대해서는 이미 잘 아시리라 생각합니다.

오늘날의 디지털 세계에서 해커들의 위협에 대상이 되는 것은 비즈니스 뿐 아니라 개인도 마찬가지입니다. 미국에서는 명의 도용와 관련된 사기가 작년 사상 치고치를 기록했으며, 이로 인해  1 5 4십만명의 피해자가 발생했습니다. 또한, 영국에서도 10명 중 1명은 작년 이 같은 온라인 상 사기를 당하며, 전 세계적으로 관련 위협이 고조되고 있습니다.

슬프지만 분명한 사실은 인터넷이 이 같은 사기 범죄를 더욱 저지르기 쉽게 만들었다는 것입니다. 전자상거래가 활성화됨에 따라, 결제 정보를 손에 넣는 것이 이보다 더 쉬웠던 적은 없습니다. 디지털 세계의 흔적들이 많아지고 보다 많은 개인 정보들이 산재하고 있습니다. 이러한 결제 및 신원 정보를 보호하기 위해 독창적이고 복제하기 힘든 서명을 만든 시대는 이제 지났습니다. 

그러므로 이제 보다 나은 인터넷 환경을 위해서는 사이버 보안에 대해 다시 한번 생각해보아야 합니다. 그 첫 번째 단계는 데이터를 관리하는 것이며, 이는 개인과 조직 모두에게 해당되는 문제입니다. 

오늘날, 보안 전문가들이 가진 보편적인 과제는 무엇이 보호해야 하는 데이터인지에 대해서 알지 못하는 일반 사람들의 무지에 대응하는 것입니다. 흔히 체크카드 및 신용카드 번호에 대해 조심스러워 하지만, 생년월일과 거주지와 같은 개인 정보를 수 많은 인터넷 사이트에 위탁하고, 여러 사이트에 동일한 비밀번호를 사용하기도 합니다.

해커들은 바로 이러한 보안 취약점을 이용하고 있습니다. 작년 영국 금융산업 사기방지 기구인 CIFAS의 조사에 따르면, 명의 도용 문제는 사이버 범죄자들이 타인의 신원정보를 얻기 위해 소셜 미디어 플랫폼을 이용하기 시작함에 따라 57% 증가했습니다.

많은 사이트에서 소량의 정보를 수집하여, 사이버 범죄자들은 이를 피싱 공격을 위한 미끼로 사용하거나 보다 더 민감한 정보에 접근하기 위한 수단으로서 악용합니다. 예를 들어, 최근 보안 전문가 조차 탐지 하지 못하는 정교한 G메일 피싱 공격이 있었습니다. 조만간 이 공격을 통해 축적된 정보를 이용해 보다 더 심각한 공격이 발생하거나, 소비자의 디지털 라이프(쇼핑, 소셜미디어, 은행 업무 등)에 막대한 영향을 있을 것입니다. 실제로 이와 같은 명의 도용 사기는 폭발적으로 증가하고 있으며, 명의 도용 사기로 인한 전 세계적인 비용은 30억 달러에 달할 것으로 예측됩니다.

따라서 개인 차원에서 개인 정보 설정을 확인하는 노력 뿐 아니라, 기업 차원의 데이터 보호에 대한 인식 변화가 중요합니다. 민감한 정보가 잘못된 손아귀에 들어가는 것을 방지하기 위해 암호화 정책을 모든 개인 식별 정보 및 계좌 정보에까지 확대해야 합니다.

오늘날, 인터넷은 어디에나 있습니다. 휴대폰, 자동차, 심지어 가전 제품에도 말이죠. 점점 더 연결됨에 따라, 개인 정보 보안의 중요성은 아무리 강조해도 지나치지 않을 것입니다.

탈레스에 대한 보다 자세한 정보는 홈페이지에서 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아


티스토리 툴바