본문 바로가기

보안

[보안동향] 현실에서도, 메타버스에서도 ‘꽉 잡아 보안’ 얼마 전, 마크 저커버그가 CEO로 있는 세계 최대 사회관계망서비스(SNS) 기업인 페이스북이 메타(Meta Platforms, Inc.)로 사명을 변경했습니다. 메타버스 육성을 신사업의 주요 목표로 본 것이 사명 변경의 주된 이유라고 하는데요. 가상 환경에서 사람들이 VR 헤드셋을 사용해 게임하고, 일하고, 소통할 수 있는 온라인 세계인 ‘메타버스’를 구축할 계획까지 발표했습니다. 2020년부터 발생한 코로나 19 팬데믹으로 인해 오프라인 활동에 많은 제약이 생기면서 사람들은 피로감을 느끼게 됐죠. 이에 오프라인 활동의 대체재로 오프라인과 유사한 활동을 할 수 있는 메타버스 환경을 선택했는데요. 그 결과 메타버스가 미래 먹거리로 부상하게 됐습니다. 메타버스(metaverse)는 가상, 초월을 의미하는 .. 더보기
[보안동향] 놓칠 수 없는 ESG 트렌드, ‘정보보안’을 잡아라! 2019년 8월, 애플과 아마존 등 미국을 대표하는 180여 개 기업의 CEO를 대변하는 비즈니스 라운드 테이블(BRT)은 '기업의 목적에 대한 성명'을 발표했습니다. 이를 통해 기업의 주주뿐만 아니라 근로자와 고객, 사회 등 기업의 다른 이해관계자에 대한 사회적 책임을 이행하겠다는 의지를 내보였죠. 최근 몇 년 사이 기업에 대한 사회적 책임에 대한 목소리가 커지면서, ESG(Environment, Social and Governance) 경영을 도입하고 있는 기업이 점차 늘고 있습니다. 자본주의가 시작된 이후 기업의 목적은 이윤 추구로 여겨졌는데요. 기후 위기와 코로나 19 팬데믹을 겪으며 기업의 사회적 책임이 중요해지면서 많은 투자기관에서는 ESG를 투자의 중요한 평가지표로 활용하고 있습니다. ESG.. 더보기
[OT보안] 스마트팩토리 보안 사고, DCS 보안으로 잡으세요! 지난 글에서는 OT 시스템의 종류와 FA 환경 취약점 분석에 관해 알아보았습니다. 이번 글에서는 DCS 환경의 영역별 보안 방안과 DCS 보안 대책 및 사례, 그리고 DCS 보안 관리 절차를 살펴보겠습니다. *DCS : Distributed Control System, 분산 제어 시스템 DCS 환경의 영역별 보안 방안에 관해 알아보겠습니다. 먼저, 설비전용망의 DCS 설비 및 장비를 바이러스 및 악성코드로부터 보호하기 위해서 FA 망 밑단에 설비전용망을 통해 DCS 방화벽을 구성합니다. 그리고 설비용 DMZ Zone을 구성해 설비 단의 데이터를 취합하고 FA 망 또는 OA 망으로 데이터를 올려 통신하는 설비 및 시스템들을 위치시킵니다. 이렇게 각 레이어별 구성 항목을 바탕으로 보안을 강화할 수 있습니다... 더보기
[OT보안] 늘어나는 스마트팩토리 보안 사고! 제대로 대비하려면? 스마트팩토리(Smart Factory)는 말 그대로 ‘똑똑한 공장’을 말합니다. 단위 공정별로 자동화, 최적화된 공정의 데이터를 자유롭게 연계시켜 총체적 관점에서 최적화를 이룰 수 있죠. 스마트팩토리를 유지하는 것 또한 상당히 중요한데요. 이미 많은 기업에서 OT(Operational Technology) 보안에 관심을 기울이고 있습니다. 이미 산업제어시스템 사이버 보안 사고는 매년 증가하고 있습니다. 2010년 스턱스넷 공격을 기점으로 전 세계적으로 스카다(SCADA), 산업제어시스템(ICS), 운영기술(OT) 환경을 운영하는 공장, 발전소 등 산업시설과 기반시설을 대상으로 한 사이버 공격이 꾸준히 발생하고 있죠. 최근 해외에서 상수도 시설, 송유관 업체 해킹 등 사회 기반시설을 타깃으로 한 랜섬웨어 .. 더보기
[보안동향] ‘순식간에 뚫린다’ 편리한 간편인증의 두 얼굴 비대면 업무가 증가하면서 온라인에서 신원을 확인하고 인증(로그인)하는 절차가 더욱 중요해졌습니다. 2020년, 공인인증서 사용의무가 폐지되면서 다양한 인증 수단이 등장했는데요. 이에 보안 검증은 제대로 이루어지고 있는지 우려하는 목소리가 높아지고 있습니다. 메타버스, 블록체인과 같은 신기술이 인증 기술과 결합되면서 복잡도는 더욱 증가하고 있기 때문이죠. 인증에는 보안성 외에 편의성도 고려되는데요. 사용자 편의성을 강화한 간편인증 영역에서는 다양한 업종의 기업이 치열한 경쟁을 벌이고 있습니다. 작년 말, 55개 공공기관에 간편인증을 적용하겠다는 계획이 있었으며, 민간의 유통, 보험, 금융, 서비스 등 다양한 업종에 간편인증이 적용돼 활용되고 있습니다. 간편인증이 적용된 서비스는 나날이 증가하고 있는데요. .. 더보기
[OT보안] OT보안에서 꾸준히 거론되는 '이상징후탐지솔루션' 주목! OT보안은 IT보안과 다르게 악성 행위, 위협, 악성코드 등 명확하게 악성을 판단하는 기준인 블랙리스트를 적용하기 어렵습니다. IT 환경과 다르게 환경의 운영과 변화가 매우 다양하고, 실질적으로 악성으로 밝혀진 취약점 공개가 매우 적기 때문이죠. 이에 17년도부터 미국을 시작으로 화이트리스트 접근의 보안 강화 개념인 Anomaly Detection(이상징후 탐지) 관점에서 OT보안이 꾸준히 거론되고 많은 솔루션이 출시되고 있습니다. Anomaly Detection(이상징후 탐지)는 정상상태가 아닌 것은 모두 위협의 가능성인 이상징후로 판단해 관리자에게 그 정보를 제공하고, 조기 대응하는 것을 원칙으로 하는데요. 여기서 정상 상태를 기준으로 정책화 하기 위해 특정 기간(통상 8주)의 데이터 및 트래픽, 시.. 더보기
[OT보안] 국내 OT보안 관련 컴플라이언스 특징은? 2편 지난 글에서는 OT보안에 대한 국내 인식과 현실, OT보안 시장에서 사업의 접근에 관해 알아보았습니다. 이번 글에서는 국내 OT보안 관련 컴플라이언스에서 관심 포인트를 살펴보겠습니다. 국내 OT 보안에 대한 정부의 관여와 제도 정비는 2013년부터 진행됐습니다. 시장이 제대로 형성되지 않았고 인식도 낮아서 OT 보안에 대한 컴플라이언스 정착은 매우 더디게 진행됐죠. 그래서 많은 관계자가 최근이 되어서야 제도적 환경이 이슈가 된 것으로 오해를 하곤 하는데요. 2013년부터 행정안전부는 정보통신기반보호법(제9조) 및 시행령(제17조)을 기반으로 국가 주요 정보통신기반시설을 대상으로 보안 취약점 점검 시 산업제어시스템에 대한 취약점 점검도 시행해왔습니다. 또한, 2020년 4월 국가기술표준으로 『산업제어시스템.. 더보기
[OT보안] ‘블루오션’ OT보안, 어떻게 접근해야 할까? 1편 과거 많은 공장이 대형화되고 지능화되면서 대부분의 공공시설 및 대기업 공장은 고도화된 NW(네트워크) 구성을 갖추게 됐습니다. NW 구성 고도화의 기본 원칙은 ‘폐쇄망’인데요. 공장 NW를 구성해 외부로부터의 접속을 통제하고, 침입을 막는다는 것을 기본 원칙으로 해왔습니다. 그래서 많은 시설, 공장 운영자는 폐쇄형 환경이기에 안전하다는 인식을 갖고 있습니다. 또한 인권에 대한 인식이 높아지면서 안전에 대한 인식도 함께 높아지고 있지만, 폐쇄망이 주는 안락함으로 인해 보안 인식은 여전히 부족한 상태입니다. 이러한 실태는 USB 등을 통한 악성코드 감염으로 발생한 많은 사고 사례를 통해 드러나고 있는데요. 공장의 생산 효율성을 위해 설비와 전산장비의 유지보수 시 외부 연결을 허용하는 관행을 자주 접할 수 있.. 더보기