본문 바로가기

사이버보안

해커와 헤어질 결심, 안전한 원격근무를 위한 보안 체크리스트! 글로벌 시장조사 기관 가트너(Gartner)에 따르면 코로나19 장기화로 인해 원격근무 비율이 41%나 증가했다고 합니다. 대한상공회의소 조사에서도 코로나19로 인해 원격근무를 시행한 기업이 이전 대비 4배 이상 증가한 것으로 나타났습니다. 이런 변화 속에서 보안 위협도 커지고 있습니다. 한국인터넷진흥원(KISA)이 발표한 ‘사이버 위협 동향 보고서’에 따르면 재택근무 시 사이버 위협 경험 사례에 대해 과반수(51.57%)가 해킹 및 악성 코드 감염 경험이 있거나 의심되는 정황이 있다고 응답했습니다. 원격근무는 업무 수행자가 기업 및 기관 내부의 정해진 사무 공간이 아닌 다른 외부 공간에서 업무를 수행하는 것을 통칭합니다. 원격근무를 위해서는 외부에서 회사 내부의 업무처리 시스템으로 안전하게 접속할 수 .. 더보기
[보안동향] 이젠 선택이 아닌 필수! DX 필수템 ‘전자문서’ 3편 지난 글에서는 전자문서 관련 인증 및 평가 제도를 살펴봤습니다. 이번 글에서는 공인전자문서 인증을 위한 보안 대책 수립 전략을 알아보겠습니다. 전자문서 사업자 인증 취득을 위해 단순히 컴플라이언스 요건 충족을 넘어, 아래 예시 그림과 같이 다양한 보안 대책을 종합적인 관점에서 검토하는 프레임워크 형태의 보안 체계를 수립해야 합니다. 이는 사업자에 따라 제공하는 서비스 영역이 상이하므로 각 특성에 맞춘 도입 및 관리가 필요합니다. 또한 위 보안 프레임워크를 기반으로 표준 솔루션을 선정할 경우, 아래 사항을 초기 단계부터 우선 고려해 기술적 보호 대책 도입 및 벤더사를 선정하는 것이 장기적인 관점에서 필요합니다. 지금까지 전자문서 관련 인증 및 평가 제도를 알아보고 전자문서의 미래를 살펴봤습니다. 전자문서를.. 더보기
[보안동향] 효율적인 ‘방화벽 정책 관리’ 두 가지만 기억하세요! 2편 지난 글에서는 방화벽 정책 관리의 주요 문제점을 알아보았습니다. 이번 글에서는 방화벽 정책의 효율적인 관리 방안을 살펴보겠습니다. 그렇다면 방화벽 정책의 효율적인 관리 방안은 무엇일까요? 1. 먼저 기업, 기관의 업무환경에 맞는 정책관리 기준과 절차를 수립하고 이행하는 것입니다. 기업과 기관에서는 수년간 운영해오던 수많은 방화벽 정책에서 단 한개의 잘못된 삭제가 서비스 중단으로 이어지진 않을까 하는 불안감 때문에 정책 관리를 포기할 수 있습니다. 이러한 사태를 예방하기 위해, 네트워크 Zone 분리를 위한 내/외부 방화벽 서비스 용도에 맞은 운영 기준을 설정해야 합니다. 또한, 서비스, 관리/운영, 테스트, 차단 룰 등의 룰 관리 정책을 수립하고 정기적으로 적정성 검토를 수행하는 절차가 필요합니다. 아래.. 더보기
사이버 보안의 대세는 ‘Zero Trust’, 7가지 기본 원칙을 살펴보자! 제로 트러스트(Zero Trust)를 구현하는 기본적인 내용은 단순합니다. 사용자는 정책결정포인트(Policy Decision Point, PDP)에서 인증한 ID와 연관된 여러 가지 상황에 따라, 정책집행포인트(policy Enforcement Point, PEP)가 부여한 최소한의 권한으로 자원에 접근합니다. 또한, 권한을 부여한 이후에도 ID와 컨텍스트(Context)를 지속해서 검증해 접근을 허용하거나 차단하는 형태로 구현합니다. 미국 국립표준기술연구소(NIST)는 2020년 ZTA(Zero Trust Architecture)를 실현하기 위한 기본 원칙을 7가지로 정리해 발표했습니다. 원칙은 이상적인 목표이지만, 모든 원칙이 Zero Trust에 순수하게 반영될 수 없다는 걸 인정해야 한다는 전제.. 더보기
아무것도 신뢰하지 않는 보안 전략, ‘Zero Trust’ 제로트러스트(Zero Trust)는 '아무것도 신뢰하지 않는다'는 것을 기본 전제로 삼는 보안 개념입니다. 2010년, 세계 3대 리서치 기업 중 하나인 포레스터 리서치의 분석가 존 킨더백(John Kindervag)이 기업 내 보안 및 액세스 컨트롤을 설명하기 위해 사용하면서 주목받기 시작했죠. 전통적인 보안 시스템은 액세스 지점에서 신뢰하는 사용자나 단말기를(내부 네트워크) 인식해 권한을 확인합니다. 반면, Zero Trust는 신뢰하는 내부자나 단말기의 여부와 상관없이 철저하게 검증하고 권한을 부여한 뒤에도 접근 범위를 최소화합니다. Zero Trust는 한동안 추상적이고 신선하지 않은 개념으로 여겨졌습니다. Zero Trust 실현에 필요한 시스템 중 하나인 싱글 사인 온(Single Sign O.. 더보기
[보안동향] 치밀하게 접근하는 ‘디도스’ 공격, 이렇게 대응하세요! 지난 글에서는 랜섬 디도스와 주요 디도스 공격 유형에 관해 살펴보았습니다. 이번 글에서는 디도스 공격에 어떻게 대응해야 하는지 함께 알아보도록 하겠습니다. 디도스 공격에 대한 대응 방안으로는 자체 방어와 디도스 대응 서비스를 통한 방법이 있습니다. 첫째로, 자체 방어는 자체 디도스 방어 솔루션과 내부 보안 인력을 통해 대응하는 방법인데요. 내부 업무, 서비스에 대한 세밀한 분석을 통해서 최적화된 보안정책을 적용해 비정상적인 외부 트래픽에 대응할 수 있어야 합니다. 또한, 사전에 디도스 공격에 대응하기 위한 충분한 회선과 자원 용량 대비와 함께 디도스 발생 시 대응할 수 있는 대응 프로세스를 수립해 놓아야 합니다. 이러한 대응 프로세스는 주기적으로 자체 또는 외부 기관(민간업체, 금융보안연구원, KISA .. 더보기
[보안동향] 놓칠 수 없는 ESG 트렌드, ‘정보보안’을 잡아라! 2019년 8월, 애플과 아마존 등 미국을 대표하는 180여 개 기업의 CEO를 대변하는 비즈니스 라운드 테이블(BRT)은 '기업의 목적에 대한 성명'을 발표했습니다. 이를 통해 기업의 주주뿐만 아니라 근로자와 고객, 사회 등 기업의 다른 이해관계자에 대한 사회적 책임을 이행하겠다는 의지를 내보였죠. 최근 몇 년 사이 기업에 대한 사회적 책임에 대한 목소리가 커지면서, ESG(Environment, Social and Governance) 경영을 도입하고 있는 기업이 점차 늘고 있습니다. 자본주의가 시작된 이후 기업의 목적은 이윤 추구로 여겨졌는데요. 기후 위기와 코로나 19 팬데믹을 겪으며 기업의 사회적 책임이 중요해지면서 많은 투자기관에서는 ESG를 투자의 중요한 평가지표로 활용하고 있습니다. ESG.. 더보기
2022년 가트너가 주목한 IT 전략 기술 트렌드, 지금 바로 확인! 2편 지난 콘텐츠에서는 가트너가 발표한 2022년 IT 전략 기술 트렌드 1~6까지 소개해드렸습니다. 이번 콘텐츠에서는 2022 IT 전략 기술 트렌드 7~12를 알아보겠습니다. 하이퍼오토메이션(Hyperautomation) 즉, 하이퍼자동화는 가능한 한 많은 비즈니스 및 IT 프로세스를 신속하게 판별, 조사, 자동화하기 위한 비즈니스 기반 접근법으로, 가장 최적화된 경로를 제안할 수 있는 기술입니다. 이를 달성하기 위해서는 작업 품질 개선, 비즈니스 프로세스 속도 가속화 및 의사결정의 민첩성 등의 영역에 집중해야 한다고 밝혔습니다. 가트너 연구 결과에 따르면 뛰어난 하이퍼오토메이션 팀은 업무 품질 향상, 비즈니스 프로세스 속도 향상, 의사결정의 민첩성 향상이라는 세 가지 핵심 우선순위에 초점을 맞추고 실천한.. 더보기