통합검색
'' 검색결과는 총 104 건 입니다.
'24년 전자금융기반시설 취약점 분석평가 기준 신설항목: SSTI(Server-Side Template Injection)
※ 본 저작물은 ㈜SK쉴더스에서 작성한 콘텐츠로 어떤 부분도 서면 동의 없이 사용될 수 없습니다. COPY RIGHT @ 2025 SK SHIELDUS, ALL RIGHT RESERVED
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
'24년 전자금융기반시설 취약점 분석평가 기준 신설항목: SSTI(Server-Side Template Injection)
※ 본 저작물은 ㈜SK쉴더스에서 작성한 콘텐츠로 어떤 부분도 서면 동의 없이 사용될 수 없습니다. COPY RIGHT @ 2024 SK SHIELDUS, ALL RIGHT RESERVED
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[시행 2024. 10. 22.] [기획재정부공고 제2024-226호, 2024. 10. 18., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
국고보조금통합관리지침 - 보조사업 실적보고서 및 정산보고서 작성지침
[시행 2024. 10. 22.] [기획재정부공고 제2024-227호, 2024. 10. 18., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024. 10. 22.] [기획재정부공고 제2024-228호, 2024. 10. 18., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024. 10. 22.] [기획재정부공고 제2024-229호, 2024. 10. 18., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
[시행 2024.1.2.] [기획재정부공고 제2023-242 ,2023.12.29., 일부개정.]
> 주요사업 > e나라도움 운영 > 국고보조금 소개 > 관련법령
과학기술정보통신부는 지난1월 31일 민간기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증인 클라우드컴퓨팅 서비스 보안인증(CSAP[1]) 일부 개정안을 고시했으며, 현재 시행 중에 있다. 이는 2016년 4월에 「클라우드컴퓨팅서비스 정보보호에 관한 기준」이 고시된 이후 7년이 되어가는 시점에서의 개정이다.[1] CSAP: 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 이번 개정안의 주요 내용은 공공부문 클라우드 보안인증 체계를 시스템 중요도에 따라 상·중·하 등급으로 나눠 각기 다른 보안 규제를 하겠다는 것이다. 특히 ‘하’ 등급은 물리적 망분리 이외에 논리적 망분리까지 허용하는 것으로 보안 규제를 완화한다. 더욱이 오는 2025년까지 추진될 행정·공공기관 정보시스템 클라우드 전환 사업이 상대적으로 덜 민감한 업무인 ‘하’ 등급부터 시작될 것으로 보여, 국내와 해외 클라우드 서비스 사업자(CSP[2]) 간의 희비가 교차하고 있는 상황이다. 보안규제 완화가 제한된 공공 영역을 개방해 클라우드 시장 전반을 활성화하고 공공 서비스를 혁신하기 위한 결정이라지만, 해외CSP에 비해 상대적으로 경쟁력이 부족한 국내 CSP가 경쟁에서 밀릴 수 있다는 우려도 제기되는 상황이다.[2] CSP(Cloud Service Provider): 공공 클라우드 인프라, 플랫폼 서비스를 제공하는 업체를 의미한다. CSP는 자체 데이터센터를 구축해 다수의 물리 서버를 가상화해 제공하며 네트워크, 스토리지, 전력 등 서버 운영에 필요한 모든 것을 지원하고 있다. 대표적으로 아마존의 ‘AWS’, 마이크로소프트의 ‘Azure’, 구글의 ‘GCP’ 등이며, 국내기업으로는 네이버클라우드, NHN클라우드, KT클라우드 등이 있다. 이번 헤드라인에서는 클라우드 서비스 보안인증제도가 개정된 배경과 국내/해외 클라우드 사업자(CSP)의 상황, 그리고 이번 개정안으로 변경된 관리/물리/기술적 보호조치 내용에 대해 살펴보고자 한다.■ 클라우드 서비스 보안인증제도(CSAP) 개편 배경 및 경과그간 아마존웹서비스(AWS)나 마이크로소프트(MS), 구글 클라우드 등 해외CSP는 한국 시장 진입을 위해 클라우드 서비스 보안인증제도(CSAP)의 규제완화를 꾸준히 요청해왔다. 지난 2022년 5월 조 바이든 미국 대통령이 방한 후 주한미국상공회의소에서 과학기술정보통신부에 클라우드 서비스의 보안인증제도(CSAP) 와 논리적 망분리 허용에 관한 내용이 담긴 공문을 보냈다는 소식이 전해지기도 했다. 이후 국가정보원이 국내 CSP로부터 클라우드 서비스 보안인증제도(CSAP)완화에 대한 의견을 마련하면서, 규제완화에 대한 세부내용이 발표되기 시작했다. 2022년 6월 과학기술정보통신부에서 ‘SW산업의 질적 도약을 위한 국내 SW 기업의 성장 및 해외 진출 지원방안’ 간담회를 열고 클라우드 서비스 보안인증제도(CSAP) 완화·개편 지시와 3분기 내 보안인증제를 완화 계획을 알렸으며, 7월에는 과학기술정보통신부에서 보안인증을 상·중·하 등급으로 세분화한 계획을 발표, 8월에는 보안인증제 등급 및 완화 차등 적용을 공식화했다. 같은 해 11월 과학기술정보통신부는 클라우드 보안인증 개편안 설명회를 개최하며 클라우드 보안인증 평가기관 지정계획, 인증평가 수수료의 부과 및 지원계획 등 고시 개정에 따른 주요 변경사항과 함께 기존의 보안인증 과정에서 기업이 부담을 호소했던 인증 평가 방식에 대한 개선 계획을 안내했다. 이러한 과정 중 보안인증과 관련하여 국내 CSP와 회의를 진행하려 했지만 대다수의 업체들이 불참하였고, 도리어 국내 CSP는 국정감사에서 정부가 추진하는 클라우드 서비스 보안인증제도 개편에 대해 ‘글로벌 추세 역행’이라고 비판하며 제도적 보완을 요구하기도 했다. 이후 2022년 12월 과학기술정보통신부는 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」일부 개정안 행정예고를 2023년 1월 18일까지 하였고, 최종으로 2023년 1월 31일에「클라우드컴퓨팅 서비스 보안인증에 관한 고시」(과학기술정보통신부 고시 제 2023-3호)를 일부 개정하여 고시했다. 과학기술정보통신부가 밝힌 개정 이유는 “공공부문의 민간 클라우드 이용 활성화를 위해 국가기관 등의 시스템을 3등급으로 구분하고 등급별로 차등화 된 보안인증기준을 적용하는 클라우드 보안인증 등급제 도입을 위해 필요한 사항을 정하기 위함”이라고 전했다. ■ 클라우드 서비스 보안인증제도(CSAP) 개정 사항2023년 1월 31일에 고시된 주요 개정내용은 크게 3가지로 구분된다. 가. 기존 클라우드 보안인증의 등급제 신설(제14조 개정) - 클라우드컴퓨팅 서비스의 정보보호 수준에 따라 보안인증 기준을 차등화해 적용하는 등급제(상등급, 중등급, 하등급) 시행 근거 마련 나. 보안인증 유형 및 등급에 따른 세부 점검항목을 공개(제15조 개정) - 클라우드 보안인증 유형 및 등급에 따라 보안인증기준 내에서 세부 점검항목을 공개할 수 있는 근거 마련 다. 클라우드 보안인증의 등급화에 따른 보안조치 개정(별표 1, 2, 3, 4, 7) - 관리적, 물리적, 기술적, 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치 개정 개정된 클라우드 서비스 보안인증제도(CSAP)를 살펴보면첫 번째, 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」 제14조(보안인증 유형 및 등급)의 내용을 보면 클라우드컴퓨팅 서비스 보안인증 유형 4가지와 3개의 등급으로 나눈다. 보안인증의 유형은 다음과 같다.위 보안인증의 유형에 따라 보안인증 등급은 기존 IaaS, SaaS(표준등급), SasS(간편등급), PaaS에서 개정 후 상, 중, 하로 구분한다.2016년부터 2023년 2월까지 클라우드 서비스 보안인증을 받아 국가기관에서 사용 가능한 시스템은 82개로 IaaS 9개, SaaS 표준 22개, SaaS 간편 48개, DaaS 3개다.두 번째, 제15조(보안인증기준)는 클라우드컴퓨팅 서비스 보안인증제도(CSAP) 항목을 14개 통제항목과 117개 평가항목으로 분류했다. 관리적/물리적/기술적 보호조치(별표 1∼3)를 위한 14개 통제항목과 106개 평가항목을 적용한다.또한, 행정기관 및 공공기관에게 클라우드컴퓨팅 서비스를 제공하려는 경우 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치(별표 4)는 1개 분야 11개 평가항목을 적용하는 것이다.마지막으로 클라우드 보안인증의 등급화에 따른 관리적/물리적/기술적 보호조치를 위한 평가항목이 일부 변경됐다. 특히, 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치와 관련하여, 물리적 보호조치 내 물리적 위치 및 영역 분리 통제항목에 상·중·하 등급이 모두 적용되는 부분에 가장 논란이 많다. 클라우드 시스템, 백업 시스템 및 데이터와 이를 위한 관리·운영 인력의 물리적 위치 기준 충족을 위해서는 데이터센터가 국내에 위치해야 하고, CC인증은 국가정보원이 주관하는 공통평가기준을 통과해야 한다. 망분리는 기존에 적용했던 물리적 망분리를 상·중등급에 적용하고, 하등급만 적용하도록 하여 일반 이용자용 클라우드컴퓨팅 서비스 영역과 물리적 또는 논리적 망분리가 가능하다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
AI코디으로 만들어진 앱은 과연 안전할까? '바이브 코딩'의 두 얼굴
※ 본 저작물은 ㈜SK쉴더스에서 작성한 콘텐츠로 어떤 부분도 서면 동의 없이 사용될 수 없습니다. COPY RIGHT @ 2023 SK SHIELDUS, ALL RIGHT RESERVED
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
웹 취약점과 해킹 매커니즘#7 XSS(Cross-Site Scripting)
■ 개요XSS(Cross-Site Scripting, 크로스사이트 스크립팅)은 공격자가 입력한 악성스크립트가 사용자 측에서 응답하는 취약점으로, 사용자 입력값에 대한 검증이 미흡하거나 출력 시 필터링 되지 않을 경우 발생한다. 쿠키 값 또는 세션 등 사용자의 정보를 탈취하거나 피싱 사이트로의 접근 유도 등 사용자에게 직접적인 피해를 줄 수 있다.이번 Special Report에서는 사용자 입력값 검증이 미흡하여 악성스크립트를 삽입할 수 있는 공격인 XSS에 대해 알아보고, 세 가지 종류의 XSS 공격 동작 과정을 다루며 보안대책을 살펴보고자 한다.■ 환경 구성취약점 테스트는 실습을 위해 구축한 웹 서버에서 진행된다. XSS 취약점이 존재하는 해당 웹 사이트는 특정 단어를 검색하면 데이터베이스에서 결과를 불러와 화면에 출력해 주는 검색 기능을 가지고 있다. 또한 글쓰기를 통해 게시물 작성이 가능하며 작성한 게시물은 누구나 열람 가능하다.[XSS 취약점이 있는 게시판]※ 실제 운영 중인 서버에 테스트 또는 공격을 하는 행위는 법적인 책임이 따르므로 개인용 테스트 서버 구축 또는 bWAPP, DVWA, WebGoat 등과 같은 웹 취약점 테스트 환경 구축을 통해 테스트하는 것을 권장한다.※ 본 Special Report는 JSP와 Oracle Database 11gR2의 환경에서 실습을 진행한다.■ XSS(Cross-Site Scripting)XSS 취약점은 서버 측의 입력값 검증이 미흡할 경우 발생할 수 있는 취약점으로, 공격자가 게시물 또는 URL을 통해 삽입한 악성스크립트가 사용자의 요청에 의해 사용자 측에서 응답하게 되어 발생한다.[XSS 동작 과정]사용자의 입력값을 받는 모든 곳에서 발생할 수 있으며, 웹 서버 사용자에게 직접적인 영향을 미칠 수 있는 공격 기법이다. 또한 게시물 또는 URL에 포함된 악성스크립트가 동작하여 발생하는 취약점이기 때문에 불특정 다수를 대상으로 공격을 시도할 수 있다.발생할 수 있는 피해는 스크립트 구문에 따라 사용자 쿠키 값 탈취를 통한 권한 도용과 세션 토큰 탈취, keylogger 스크립트를 삽입하여 키보드 입력값 탈취 등이 가능하다. 또한 피싱 사이트와 같은 악성 사이트로의 접근 유도가 가능하며 사용자에게 직접적인 피해를 줄 수 있다.■ 공격 유형에 따른 분류공격자가 삽입한 악성스크립트가 사용자 측에서 어떻게 동작하는지에 따라 크게 세 가지로 분류할 수 있으며 각각의 개념과 동작 과정은 다음과 같다.Stored XSS (저장형 크로스사이트 스크립팅)공격자의 악성스크립트가 데이터베이스에 저장되고 이 값을 출력하는 페이지에서 피해가 발생하는 취약점이다.공격자는 악성스크립트가 포함된 게시물을 작성하여 게시판 등 사용자가 접근할 수 있는 페이지에 업로드한다. 이때 사용자가 악성스크립트가 포함된 게시물을 요청하면, 공격자가 삽입한 악성스크립트가 사용자 측에서 동작하게 된다.공격자의 악성스크립트가 서버에 저장되어 불특정 다수를 대상으로 공격에 이용될 수 있어 Reflected XSS보다 공격 대상의 범위가 훨씬 크다.[Stored XSS]Stored XSS 공격 과정은 다음을 통해 확인할 수 있다.[Stored XSS 공격 과정]Reflected XSS (반사형 크로스사이트 스크립팅)사용자가 요청한 악성스크립트가 사용자 측에서 반사(Reflected)되어 동작하는 취약점으로, 공격자의 악성스크립트가 데이터베이스와 같은 저장소에 별도로 저장되지 않고 사용자의 화면에 즉시 출력되면서 피해가 발생한다.공격자는 악성스크립트가 포함된 URL을 이메일, 메신저 등을 통해 사용자가 클릭할 수 있도록 유도한다. 사용자가 악성스크립트가 삽입된 URL을 클릭하거나 공격자에 의해 악의적으로 조작된 게시물을 클릭했을 때 사용자의 브라우저에서 악성스크립트가 실행된다.[Reflected XSS]Reflected XSS 공격 과정은 다음을 통해 확인할 수 있다.[Reflected XSS 공격 과정]DOM Based XSS (DOM 기반 크로스사이트 스크립팅)공격자의 악성스크립트가 DOM 영역에서 실행됨으로써 서버와의 상호작용 없이 브라우저 자체에서 악성스크립트가 실행되는 취약점이다. DOM 영역에 변화가 생기면 브라우저는 서버로 패킷을 보내지 않고 DOM 영역에서 페이지를 변환시킨다. 따라서 DOM의 일부로 실행되기 때문에 브라우저 자체에서 악성스크립트가 실행된다.• DOM(Document Object Model, 문서 객체 모델) 이란?브라우저가 웹 페이지를 렌더링 하는데 사용하는 모델로 HTML 및 XML 문서에 접근하기 위한 인터페이스이다. 브라우저는 HTML 문서를 읽고 해석한 결과를 DOM 형태로 재구성하여 사용자에게 제공한다.[DOM Based XSS]DOM Based XSS 공격 과정은 다음을 통해 확인할 수 있다.[DOM Based XSS 공격 과정]Stored XSS과 Reflected XSS는 서버에서 악성스크립트가 실행되고 공격이 이뤄지는 반면에 DOM Based XSS는 서버와 상호작용 없이 브라우저에서 악성스크립트가 실행되고 공격이 이뤄진다.■ 보안대책XSS 취약점은 공격자가 삽입한 악성스크립트로 인해 발생하기 때문에 입력값 검증을 통해 악성스크립트가 삽입되는 것을 방지해야 하며, 악성스크립트가 입력되어도 동작하지 않도록 출력값을 무효화해야 한다.입력값 필터링의 경우 데이터베이스에 악성스크립트가 저장되는 것을 원천적으로 차단해야 한다. 또한 악성스크립트가 삽입되어도 동작하지 않도록 출력값을 검증하여 스크립트에 사용되는 특수문자를 HTML Entity로 치환하여 응답하도록 한다.아래와 같이 <, >, ', " 등 스크립트에 쓰이는 문자가 입력될 경우 스크립트로 동작하여 XSS 공격이 가능할 수 있으므로 의미가 없는 일반 문자로 치환해야 한다.문자 : < > ' " ( )Entity : < > " ' ( )치환 함수인 replaceAll()를 사용하여 외부 입력값으로 받은 스크립트에 쓰이는 문자열을 필터링하여 공격자가 입력한 악성스크립트가 동작하지 않도록 한다.…String searchWord = request.getParameter("searchWord");if (searchWord != null) {searchWord = searchWord.replaceAll("<","<");searchWord = searchWord.replaceAll(">",">");searchWord = searchWord.replaceAll("(","(");searchWord = searchWord.replaceAll(")",")");}위와 같이 문자열 치환을 적용하면 <script>는 <script> 로 치환되어 일반 문자 처리되어 스크립트로 실행되지 않는다.게시판과 같이 HTML 태그 사용이 필요한 경우에는 WhiteList Filter를 통해 허용할 태그를 선정하여 해당 태그만 허용하는 방식을 적용해야 한다.searchWord = searchWord.replaceAll("<p>","<p>");searchWord = searchWord.replaceAll("<br>","<br>");searchWord = searchWord.replaceAll("<P>","<P>");searchWord = searchWord.replaceAll("<BR>","<BR>");허용할 태그 목록 선정이 어려울 경우에는 javascript, document, alert 등과 같이 공격에 사용될 가능성이 있는 모든 문자열을 차단하는 BlackList Filter 방법을 사용할 수 있다. 하지만 모든 태그를 차단하는 것은 현실적으로 어려움이 있고 위험이 존재한다. 부득이하게 사용해야 하는 경우에는 태그마다 적용 가능한 이벤트 핸들러가 다르다는 것을 고려하여 적용하면 된다.추가적으로 알려진 XSS 필터 관련 외부 라이브러리를 활용하는 방법도 있다.• Lucy-XSS-Filter: WhiteList 방식으로 XSS 공격을 방어하는 Java 기반의 오픈 소스 라이브러리https://github.com/naver/lucy-xss-filter• OWASP ESAPI: OWASP에서 제공하는 무료 오픈 소스 라이브러리로 JAVA, PHP 등 다양한 언어 지원https://github.com/ESAPI/esapi-java-legacy■ 맺음말지금까지 사용자 입력값 검증 미흡으로 인해 발생하는 취약점인 XSS(Cross-Site Scripting)에 대한 기본 개념을 살펴보았다. 공격자가 삽입한 악성스크립트가 사용자 측에서 동작하여 계정 탈취 등의 피해가 발생할 수 있으므로 보안대책을 통해 방지해야 한다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2023 SK SHIELDUS. All Rights Reserved.[출처] 웹 취약점과 해킹 매커니즘#7 XSS(Cross-Site Scripting) - ① 개념|작성자 SK쉴더스
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
사이버보안 위협 대응을 위한 접근권한 제어 7 가지 전략
■ 개요코로나 팬데믹으로 인해 일상 생활의 많은 변화가 일어났다. 특히 IT분야에서는 오랜 시간 전통처럼 유지됐던 사무업무 환경이 변화해 불편함을 초래했다. 원격 업무 트렌드는 점차 가속화되어 확대되었으며, 현재는 지속가능한 하이브리드(혼합형)환경으로 자리를 잡아가고 있다.하이브리드형 환경은 IT기술을 적극적으로 사용할 때 구현된다. 비대면 업무를 위한 도구로 다양한 원격 회의 및 채팅 프로그램이 사용되고 있으며, 클라우드 기술을 이용한 협업도 이뤄지고 있다.즉, 접속 채널이 많아 복잡한 하이브리드 환경은 뉴 노멀(새로운 기준)이 필요해짐을 의미한다. 사용자가 네트워크에 접속하는 방법, 사용자-장비 간의 다양한 구성에 대응하는 보안 정책 숙지, 변화하는 환경에 적절하게 통제하는 방법 등 새로운 엔드포인트 보안 전략이 필요한 시점이다.■ WFA로 인한 뉴 노멀(New Normal) 시대하이브리드 업무 환경은 WFA(Work-From-Anywhere), 어디서나 근무할 수 있음을 의미하며 WFA 시대의 보안은 움직이는 데이터들을 보호할 수 있어야 한다. 공격자가 기업 데이터와 자산 탈취를 위해 주로 노리는 POLR도 변화하고 있어 보안팀의 IT 위험관리 우선 순위도 바뀌어야 한다.기존 IT업계의 보안은 바이러스 백신과 방화벽을 최우선순위로 반영해 보안 환경을 구성했다. 그러나 바이러스 백신은 전체 사이버 공격의 60% 정도를 탐지하지 못하고, IoT 및OT(Operation Technology) 환경에서는 백신 소프트웨어 설치조차 어려운 환경이다. 또한, 방화벽 정책 역시 늘어나는 클라우드 및 분산 컴퓨팅 환경으로 인하여 자주 무력화되거나 제 역할을 다하지 못하고 있는 상황이다.또한, WFA 환경 구축에 있어 가장 까다로운 문제는 엔드포인트의 보안 문제다. 보통의 기업 네트워크 시스템에서는 방화벽을 활용해 외부에서 내부로 들어오는 접근을 차단하는 역할을 한다. 그러나, 저장된 데이터와 계정의 유출로 엔드포인트가 악성코드에 감염되어 있는 상황에서 사용자가 VPN을 연결할 경우, 악성코드는 방화벽을 거치지 않고 내부 시스템으로 유입되어 네트워크까지 감염시킬 수 있다.따라서, WFA 환경에서는 기존 보안 정책으로 외부 공격을 막기가 어려워지고 있으며, 다양한 보안 위협에 대비하기 위한 정책과 솔루션 구축이 요구되고 있다.■ 접근 권한 제어 기반의 7가지 보안 전략디지털 환경을 구축한 조직은 보안 격차를 해결하고 능동적으로 위협 요소를 관리해야 한다. 최근 IT보안은 새롭게 등장하고 있는 사이버 위협으로부터 대응하기 위해 네트워크 보안 전략으로 아이덴티티(Identity)를 기반으로 하는 ‘제로 트러스트(Zero Trust)’라는 핵심 보안 솔루션 모델을 제안하고 있다.제로트러스트란(Zero Trust), ‘아무것도 신뢰하지 않는다'는 것을 전제로 한 사이버 보안 모델로, 사용자 또는 기기가 접근을 요청할 때 철저한 검증을 실시하고, 그 검증 과정에서 최소한의 권한만 부여해 접근을 허용하는 방식기업이 제로 트러스트(Zero Trust)의 핵심 아키텍처 구성 요소를 구축하기 위해서는 PAM(Privileged Access Management)이라고 불리는 ‘특권 접근 관리’가 필수적이다. 권한 있는 액세스 관리 솔루션은 기업의 핵심인 가장 중요한 시스템과 자산을 보호하도록 설계되어 액세스 정책을 최적화할 수 있다.사이버보안 생존 가이드 2022 (2022 Cybersecurity Survival Guide)[1] 에서 급변하는 사무·업무 패러다임, 증가하는 위협 상황, 치밀한 사이버 범죄 전술 등 최신 보안 위협에 더 효과적으로 대응하기 위한 권한 제어 기반의 7가지 보안 전략을 제시하고 있다.위의 7가지 보안 전략이 필요한 보안 사고의 가장 큰 원인은 내부 사용자의 무분별한 권한 남용과 업무 PC의 랜섬웨어 감염이다. 이를 대응하기 위해 사용자 환경, 엔드포인트 권한을 제어해 보안을 강화해야 한다.사용자 환경인 엔드포인트의 최소권한 환경구축은 ‘언제’, ‘어디서’, ‘누가’, ‘무엇을’과 같은 세밀한 항목을 정의하고, 이를 토대로 사용자 환경에 대하여 관리자 권한을 제거하는 등 업무 목적 및 권한 등에 적합한 명령어, 애플리케이션 실행 제어를 목표로 한다. 엔드포인트 권한 관리 적용은 이와 같은 목표 달성을 위한 필수 보안 툴이며 임의 실행되는 환경, 특히 랜섬웨어 실행 환경 차단에 효과적이므로 보안의 최우선이 되어야 한다■ 제로트러스트(Zero Trust) 원칙의 실용적인 구현앞서 제시한 7가지 보안 전략을 충족하기 위해서는 NIST SP 800-207에서 정의하는 제로트러스트 원칙을 스마트하고 실용적으로 지향하고, 복원 및 변화에 대응이 가능한 상태를 유지해야 한다. 또한, 원격 작업 및 디지털 전환에 필요한 보안 환경 구현을 위한 완벽한 특권 접속 관리 플랫폼(Privileged Access Management Platform)이 제공되어야 한다.<표1> NIST SP 800-207에서 정의하는 제로트러스트(Zero Trust) 원칙제로트러스트(Zero Trust) 아키텍처란, 제로트러스트(Zero Trust) 개념을 사용한 기업 사이버 보안 계획이며, 컴포넌트간 관계, 워크플로우 설계, 액세스 정책이 포함된다. 또한, 제로트러스트(Zero Trust) 엔터프라이즈란 이러한 제로트러스트(Zero Trust) 아키텍처를 실행함으로써 기업에 존재하는 네트워크 인프라스트럭처(물리∙가상) 및 정책을 의미한다.* 출처: 미국 NIST, "제로 트러스트 아키텍처", 2020[2][2] https://csrc.nist.gov/publications/detail/sp/800-207/final이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2023 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
소중한 정보를 위협하는 해킹메일! 유형부터 판별 기준, 예방법까지 알아보기
최근 해킹 메일 관련 피해가 늘고 있습니다. 메일을 열람하는 것만으로도 많은 정보가 유출될 수 있어 각별한 주의가 필요한데요. 우리의 소중한 정보를 지키기 위해, 해킹 메일의 유형부터 판별 기준, 예방 방법까지 함께 알아보겠습니다.| 1/ 모르면 쉽게 당하기 쉬운 ‘해킹메일’ 유형 4가지!해킹 메일의 대표적인 유형은 바로 포털 사이트의 고객센터를 사칭한 메일입니다. 로그인 이력, 비밀번호가 유출되었다는 사칭 메일을 통해, 계정 정보를 입력하도록 유도하는 것이죠.최근에는 공공기관, 기업, 지인으로 가장한 업무 메일을 통해, 해킹 사이트로 접속을 유도하는 사례도 늘고 있는데요. 특히 코로나19 관련 확진자 동선, 재난 지원금 관련 메일이 많아지면서, 악용 사례가 급격히 증가했습니다.이 외에도 메일 본문에 첨부파일로 위장한 링크를 첨부하거나 해킹 메일을 보안메일로 위장하는 경우도 있습니다. 해킹 피해를 막기 위해 보안메일을 사용한다는 점을 역으로 악용한 것인데요. 이와 같은 해킹 메일은 메일 제목만으로는 구별이 어렵기 때문에 판별법을 미리 숙지하는 것이 필요합니다.| 2/ 제목만 보면 알 수 없는 해킹 메일, 어떻게 판별할 수 있을까?먼저, 발신 메일 주소가 정상적인지 확인해야 합니다. 해킹 메일은 대중화된 메일 주소를 교묘하게 변경해 보내는 경우가 많기 때문인데요. @naver.com 대신 @naver-com.cc와 같이, 메일 주소를 눈속임하는 것이 이에 해당합니다. 모르는 주소로 전송된 광고성 메일은 해킹메일일 가능성이 높으므로 열람하지 않는 것이 좋습니다.모르는 메일로 온 첨부파일을 열었을 때 매크로 사용을 위한 ‘콘텐츠 사용’ 클릭을 유도하는 등 보안 경고가 나타나면 해킹 메일일 가능성이 높습니다. 대표적으로 첨부파일 클릭 시 파일이 다운로드 되지 않고 계정 정보 입력을 요구하는 경우가 있죠.이 외에도 경찰 출석요구서, 국내·외 정세 자료, 정책 자료 등의 내용이 사전 안내 없이 발송됐다면, 해당 기관에 연락해 메일 발송 여부를 먼저 확인해 보는 것을 권장합니다.| 3/ 소중한 정보를 지키기 위한 길! 해킹메일 예방법 알아보기해킹 메일 예방법의 기본은 컴퓨터와 계정의 보안을 강화하는 것인데요. 이를 위해 바이러스 백신 소프트웨어는 반드시 설치해 두고, 지속적인 업데이트를 통해 최신 버전을 유지해야 합니다.계정 로그인 시에는 메일 비밀번호를 주기적으로 변경하거나 문자, 모바일 OTP 등 2단계 인증 로그인 설정을 통해 보안을 강화해야 하는데요. ‘로그인 이력 조회’를 통해 비정상적인 접근이 있었는지 수시로 점검하는 것이 좋습니다. 네이버 계정의 경우 ‘보안 설정 > 로그인 관리’에서 로그인 목록을 확인할 수 있으며, 구글 계정 사용자라면 Gmail 우측 하단 ‘세부정보’를 클릭해 Gmail계정이 사용된 이력과 계정에 엑세스 한 IP 주소를 볼 수 있습니다..스스로 관리하는 것이 번거롭다면, 인포섹이 제공하는 ‘해킹 사고 분석 서비스’를 이용하는 방법도 있습니다. 해킹 사고 분석 서비스는 해킹의 원인을 분석하고 보안 대책을 마련해, 안전하고 믿을 수 있는 정보 보안 환경을 제공하는데요. 보다 전문적으로 해킹 메일을 예방하고 싶은 분들께 추천합니다!지금까지 소중한 정보를 앗아가는 해킹 메일의 유형부터 판별법, 예방법까지 알아봤습니다. 해당 내용을 잘 숙지해, 소중한 정보를 보호하시길 바랍니다.이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2023 SK SHIELDUS. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
[5대 사이버 보안 위협]안랩에서는 ‘월간安’을 통해 2023년 5대 사이버 보안 위협을 아래와 같이 예측하고 있다.1. 랜섬웨어 조직, ‘양보다 질‘ 전략 추구최근 신규 랜섬웨어의 등장이 주춤한 가운데, 향후 렌섬웨어 조직은 최소한의 공격으로 최대한 의 수익과 효과를 노리는 ‘양보다 질‘ 전략을 추구할 것으로 예상된다. 이를 위해 기업의 핵심 인프라를 장악 후 정보유출부터 랜섬웨어 감염, 디도스 공격까지 가하는 ‘다중 협박’ 으로 하나의 표적을 집요하게 노릴 것이다.2. 기업의 핵심 정보를 장기간 유출하는 ‘기생형‘ 공격 대세공격자의 투자 대비 효과를 중요시 하는 경향을 감안할 때, 주요 기관 및 기업의 핵심 기술과 자산 탈취 시도는 계속될 것이다. 특히 인프라를 장악한 후 장기간에 걸쳐 핵심 기술 또는 민감 정보를 유출하는 ‘기생형‘ 공격이 주를 이룰 것인 바, 통합 보안 체계 구축이 필요하다.3. 파급 효과가 큰 ‘잭팟‘ 취약점 발굴 및 지속적인 악용PC부터 모바일, 클라우드, 운영기술 환경을 가리지 않고 파급 효과가 큰 ‘잭팟‘ 취약점을 공격에 활용할 것으로 전망하며, 이에 대응하기 위한 방안으로 주기적인 보안 패치 적용 및 미 사용 프로그램의 삭제가 필요하다.4. 모바일 환경으로 공격 확대최근 모바일을 통한 금전 거래와 개인정보 활용이 활발해 지면서 공격이 모바일 환경으로 확대되고 있다. 공격자는 정상적인 앱 마켓에 등록할 수 있는 제작사, 제작 툴을 해킹하여 앱 제작 초기 단계부터 침투하는 수법을 사용할 것으로 보이며, 모바일 앱 배포 또는 업데이트 단계에서 악성코드 주입 시도 및 탈취한 정상 모바일 앱 인증서를 앱 제작 및 배포에 활용할 수도 있다.5. 개인의 가상 지갑을 노린 공격 심화대형 암호 화폐 거래소, 주요 블록체인 서비스에 대한 해킹 공격의 발생으로 코인 등의 가상 자산을 개인 지갑으로 옮기는 사용자가 증가함에 따라 개인의 가상 자산 지갑을 노린 공격이 심화 될 것으로 예상된다. 공격자는 ‘니모닉’ 키 정보와 지갑 계정 정보를 탈취하기 위해 정보 유출 악성코드 또는 유명 가상 자산 지급을 사칭한 피싱 웹사이트, 앱 유포를 확대할 것이다. 개인 지갑 사용자는 시드 구문 및 ‘니모닉’ 키를 안전하게 보관하고, 키 분실 위험으로부터 안전한 지갑을 사용해야 할 것이다.이 콘텐츠의 저작권은 ㈜안랩에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2023 AhnLab. All Rights Reserved.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 36명 참여