블로그

APAC 보안: 2개의 사업 기회, 1개의 해커 기회

F5 썸네일
F5
2016년 5월 1일 게시

저는 방금 아시아 태평양 북부(APAC)에서 보안 전도 투어를 마쳤고, 그 지역의 보안과 관련된 몇 가지 과제와 기회를 여러분과 공유하고 싶었습니다. APAC 지역은 아메리카(AMER), 호주/뉴질랜드(ANZ), 유럽/중동/아프리카(EMEA)에 비해 기술적으로 발달되지 않았습니다. 이 분야의 기술적 지체는 세 가지 흥미로운 기회를 제공합니다. 두 가지는 기업에, 하나는 해커에게입니다.

확장 중

아시아 태평양 지역의 잠재 소비자 수는 엄청나며 이는 성장 가능성이 엄청나다는 것을 의미합니다. 예를 들어 필리핀을 살펴보겠습니다. 필리핀의 인구는 9천만 명인데, 그 중 대부분은 스마트폰을 가지고 있지 않지만 앞으로는 스마트폰을 가질 가능성이 높습니다. 필리핀의 통신 서비스 제공업체들은 전환에 대비하고 있습니다. 제가 최근 방문했을 때 한 공급업체가 F5의 최고 성능 블레이드 18개가 채워진 F5의 최상위 섀시 4개를 구매했습니다. 그들은 향후 10년 내에 수천만 대의 스마트폰이 온라인에 접속할 것으로 예상되는 네트워크를 구축하고 있습니다.

마찬가지로 인도의 한 회사는 5달러짜리 스마트폰을 월 5달러 요금제로 판매하여 거대한 잠재 소비자 시장을 변화시키고자 합니다. (한 달에 100달러가 넘는 스마트폰 요금을 쓰는 선진국 사람으로서, 저는 부럽습니다!) 15억 명이 넘는 인구를 보유한 인도는 세계에서 가장 큰 시장 중 하나입니다. 문제는, 인도 통신 산업이 온라인에 오르기 전에 그렇게 많은 스마트폰을 지원할 인프라를 구축할 수 있느냐는 것입니다.

 

 

대표이사

활용되지 않은 피해자

미국에서는 'CEO 사기'라는 새로운 해킹 수법이 생겨나 이미 여러 기업에 수십억 달러의 손실을 초래했습니다. CEO 사기는 악성 코드 감염으로 시작되는 사회 공학적 해킹입니다. 공격자는 스피어피싱 공격을 통해 조직에 침투해 이메일 시스템을 손상시킵니다. 가능하다면 이메일을 감시하고 업무 프로세스를 알아낸 후 CEO에서 CFO로 이메일을 위조하여 일상적인 자금 이체를 요청하지만, 사실은 공격자 자신의 계좌로 보낸다는 내용입니다. 저는 미국 중서부에 사는 한 고객과 이야기를 나누었는데, 그녀는 거의 이런 공격에 속아넘어갈 뻔했습니다. 공격자가 CEO의 이메일 대화 톤을 제대로 반영하지 못해 강도 사건은 무산되었습니다. 하지만 많은 미국 기업들이 실제로 희생양이 되었습니다 . 실제로 FBI는 CEO 사기에 대한 권고안을 발표했습니다.

CEO 사기에 대한 "해결책"은 이체를 시작한 임원에게 큰 금액의 이체를 구두로 확인하는 것입니다. 즉, 전화를 들고 이체가 합법적인지 확인하는 것입니다.

제가 아시아 태평양 지역에서 만난 사람 중에 이 공격에 대해 들어본 사람이 아무도 없었습니다. 이 기술을 사용하는 공격자는 위협 인텔리전스를 통해 아직 예방 접종을 받지 않은 AMER의 부유한 고객을 표적으로 삼고 있습니다. 미국인이라면 누구나 언젠가는 이 수법에 대해 알게 될 것이다. 스스로 돈을 잃었거나, 친구의 친구에게 일어난 일이거나, 이와 같은 블로그 게시물에서 이에 대해 읽었기 때문일 것이다.

미국이 포화 상태에 이르면 공격자들은 다른 지역을 표적으로 삼기 시작할 것입니다. 싱가포르는 많은 금융 기관이 거래하는 곳이므로, 싱가포르가 확실한 선택이 될 것입니다. 싱가포르와 홍콩과 같은 은행 중심지에 위치한 조직들은 공격이 해당 도시로 확산되기 전에 프로세스를 개선하기 위한 조치를 지금 당장 취해야 합니다.

실패를 건너뛸 수 있는 기회

파괴적 기술이라는 개념은 새로운 것이 아니다. 20년 이상 전에 Philip Anderson과 Michael L. Tushman은 기술적 불연속성과 지배적 설계를 썼습니다. 그들은 기술 변화의 순환 모델을 통해 시멘트, 유리, 운송 산업의 혼란을 살펴보았습니다.

그들의 연구에 따르면 기술 변화는 순환적으로 4단계를 따릅니다.

  1. 파괴적 기술(불연속성 제공)
  2. 여러 디자인이 우위를 차지하기 위해 경쟁하는 발효의 시대
  3. 지배적인 디자인이 등장합니다(종종 파괴적인 디자인이 아닙니다)
  4. 점진적 변화의 시대(판매가 정점에 도달하는 시기)

그러면 또 다른 혼란이 발생하고 그 순환이 다시 시작됩니다.

미국에서는 'CEO 사기'라는 새로운 해킹 수법이 생겨나 이미 여러 기업에 수십억 달러의 손실을 초래했습니다. CEO 사기는 악성 코드 감염으로 시작되는 사회 공학적 해킹입니다. 공격자는 스피어피싱 공격을 통해 조직에 침투해 이메일 시스템을 손상시킵니다. 가능하다면 이메일을 감시하고 업무 프로세스를 알아낸 후 CEO에서 CFO로 이메일을 위조하여 일상적인 자금 이체를 요청하지만, 사실은 공격자 자신의 계좌로 보낸다는 내용입니다. 저는 미국 중서부에 사는 한 고객과 이야기를 나누었는데, 그녀는 거의 이런 공격에 속아넘어갈 뻔했습니다. 공격자가 CEO의 이메일 대화 톤을 제대로 반영하지 못해 강도 사건은 무산되었습니다. 하지만 많은 미국 기업들이 실제로 희생양이 되었습니다 . 실제로 FBI는 CEO 사기에 대한 권고안을 발표했습니다.

CEO 사기에 대한 "해결책"은 이체를 시작한 임원에게 큰 금액의 이체를 구두로 확인하는 것입니다. 즉, 전화를 들고 이체가 합법적인지 확인하는 것입니다.

제가 아시아 태평양 지역에서 만난 사람 중에 이 공격에 대해 들어본 사람이 아무도 없었습니다. 이 기술을 사용하는 공격자는 위협 인텔리전스를 통해 아직 예방 접종을 받지 않은 AMER의 부유한 고객을 표적으로 삼고 있습니다. 미국인이라면 누구나 언젠가는 이 수법에 대해 알게 될 것이다. 스스로 돈을 잃었거나, 친구의 친구에게 일어난 일이거나, 이와 같은 블로그 게시물에서 이에 대해 읽었기 때문일 것이다.

미국이 포화 상태에 이르면 공격자들은 다른 지역을 표적으로 삼기 시작할 것입니다. 싱가포르는 많은 금융 기관이 거래하는 곳이므로, 싱가포르가 확실한 선택이 될 것입니다. 싱가포르와 홍콩과 같은 은행 중심지에 위치한 조직들은 공격이 해당 도시로 확산되기 전에 프로세스를 개선하기 위한 조치를 지금 당장 취해야 합니다.

실패를 건너뛸 수 있는 기회

파괴적 기술이라는 개념은 새로운 것이 아니다. 20년 이상 전에 Philip Anderson과 Michael L. Tushman은 기술적 불연속성과 지배적 설계를 썼습니다. 그들은 기술 변화의 순환 모델을 통해 시멘트, 유리, 운송 산업의 혼란을 살펴보았습니다.

그들의 연구에 따르면 기술 변화는 순환적으로 4단계를 따릅니다.

  1. 파괴적 기술(불연속성 제공)
  2. 여러 디자인이 우위를 차지하기 위해 경쟁하는 발효의 시대
  3. 지배적인 디자인이 등장합니다(종종 파괴적인 디자인이 아닙니다)
  4. 점진적 변화의 시대(판매가 정점에 도달하는 시기)

그러면 또 다른 혼란이 발생하고 그 순환이 다시 시작됩니다.

미국에서는 'CEO 사기'라는 새로운 해킹 수법이 생겨나 이미 여러 기업에 수십억 달러의 손실을 초래했습니다. CEO 사기는 악성 코드 감염으로 시작되는 사회 공학적 해킹입니다. 공격자는 스피어피싱 공격을 통해 조직에 침투해 이메일 시스템을 손상시킵니다. 가능하다면 이메일을 감시하고 업무 프로세스를 알아낸 후 CEO에서 CFO로 이메일을 위조하여 일상적인 자금 이체를 요청하지만, 사실은 공격자 자신의 계좌로 보낸다는 내용입니다. 저는 미국 중서부에 사는 한 고객과 이야기를 나누었는데, 그녀는 거의 이런 공격에 속아넘어갈 뻔했습니다. 공격자가 CEO의 이메일 대화 톤을 제대로 반영하지 못해 강도 사건은 무산되었습니다. 하지만 많은 미국 기업들이 실제로 희생양이 되었습니다 . 실제로 FBI는 CEO 사기에 대한 권고안을 발표했습니다.

CEO 사기에 대한 "해결책"은 이체를 시작한 임원에게 큰 금액의 이체를 구두로 확인하는 것입니다. 즉, 전화를 들고 이체가 합법적인지 확인하는 것입니다.

제가 아시아 태평양 지역에서 만난 사람 중에 이 공격에 대해 들어본 사람이 아무도 없었습니다. 이 기술을 사용하는 공격자는 위협 인텔리전스를 통해 아직 예방 접종을 받지 않은 AMER의 부유한 고객을 표적으로 삼고 있습니다. 미국인이라면 누구나 언젠가는 이 수법에 대해 알게 될 것이다. 스스로 돈을 잃었거나, 친구의 친구에게 일어난 일이거나, 이와 같은 블로그 게시물에서 이에 대해 읽었기 때문일 것이다.

미국이 포화 상태에 이르면 공격자들은 다른 지역을 표적으로 삼기 시작할 것입니다. 싱가포르는 많은 금융 기관이 거래하는 곳이므로, 싱가포르가 확실한 선택이 될 것입니다. 싱가포르와 홍콩과 같은 은행 중심지에 위치한 조직들은 공격이 해당 도시로 확산되기 전에 프로세스를 개선하기 위한 조치를 지금 당장 취해야 합니다.

실패를 건너뛸 수 있는 기회

파괴적 기술이라는 개념은 새로운 것이 아니다. 20년 이상 전에 Philip Anderson과 Michael L. Tushman은 기술적 불연속성과 지배적 설계를 썼습니다. 그들은 기술 변화의 순환 모델을 통해 시멘트, 유리, 운송 산업의 혼란을 살펴보았습니다.

그들의 연구에 따르면 기술 변화는 순환적으로 4단계를 따릅니다.

  1. 파괴적 기술(불연속성 제공)
  2. 여러 디자인이 우위를 차지하기 위해 경쟁하는 발효의 시대
  3. 지배적인 디자인이 등장합니다(종종 파괴적인 디자인이 아닙니다)
  4. 점진적 변화의 시대(판매가 정점에 도달하는 시기)

그러면 또 다른 혼란이 발생하고 그 순환이 다시 시작됩니다.

미국에서는 'CEO 사기'라는 새로운 해킹 수법이 생겨나 이미 여러 기업에 수십억 달러의 손실을 초래했습니다. CEO 사기는 악성 코드 감염으로 시작되는 사회 공학적 해킹입니다. 공격자는 스피어피싱 공격을 통해 조직에 침투해 이메일 시스템을 손상시킵니다. 가능하다면 이메일을 감시하고 업무 프로세스를 알아낸 후 CEO에서 CFO로 이메일을 위조하여 일상적인 자금 이체를 요청하지만, 사실은 공격자 자신의 계좌로 보낸다는 내용입니다. 저는 미국 중서부에 사는 한 고객과 이야기를 나누었는데, 그녀는 거의 이런 공격에 속아넘어갈 뻔했습니다. 공격자가 CEO의 이메일 대화 톤을 제대로 반영하지 못해 강도 사건은 무산되었습니다. 하지만 많은 미국 기업들이 실제로 희생양이 되었습니다 . 실제로 FBI는 CEO 사기에 대한 권고안을 발표했습니다.

CEO 사기에 대한 "해결책"은 이체를 시작한 임원에게 큰 금액의 이체를 구두로 확인하는 것입니다. 즉, 전화를 들고 이체가 합법적인지 확인하는 것입니다.

제가 아시아 태평양 지역에서 만난 사람 중에 이 공격에 대해 들어본 사람이 아무도 없었습니다. 이 기술을 사용하는 공격자는 위협 인텔리전스를 통해 아직 예방 접종을 받지 않은 AMER의 부유한 고객을 표적으로 삼고 있습니다. 미국인이라면 누구나 언젠가는 이 수법에 대해 알게 될 것이다. 스스로 돈을 잃었거나, 친구의 친구에게 일어난 일이거나, 이와 같은 블로그 게시물에서 이에 대해 읽었기 때문일 것이다.

미국이 포화 상태에 이르면 공격자들은 다른 지역을 표적으로 삼기 시작할 것입니다. 싱가포르는 많은 금융 기관이 거래하는 곳이므로, 싱가포르가 확실한 선택이 될 것입니다. 싱가포르와 홍콩과 같은 은행 중심지에 위치한 조직들은 공격이 해당 도시로 확산되기 전에 프로세스를 개선하기 위한 조치를 지금 당장 취해야 합니다.

실패를 건너뛸 수 있는 기회

파괴적 기술이라는 개념은 새로운 것이 아니다. 20년 이상 전에 Philip Anderson과 Michael L. Tushman은 기술적 불연속성과 지배적 설계를 썼습니다. 그들은 기술 변화의 순환 모델을 통해 시멘트, 유리, 운송 산업의 혼란을 살펴보았습니다.

그들의 연구에 따르면 기술 변화는 순환적으로 4단계를 따릅니다.

  1. 파괴적 기술(불연속성 제공)
  2. 여러 디자인이 우위를 차지하기 위해 경쟁하는 발효의 시대
  3. 지배적인 디자인이 등장합니다(종종 파괴적인 디자인이 아닙니다)
  4. 점진적 변화의 시대(판매가 정점에 도달하는 시기)

그러면 또 다른 혼란이 발생하고 그 순환이 다시 시작됩니다.

미국에서는 'CEO 사기'라는 새로운 해킹 수법이 생겨나 이미 여러 기업에 수십억 달러의 손실을 초래했습니다. CEO 사기는 악성 코드 감염으로 시작되는 사회 공학적 해킹입니다. 공격자는 스피어피싱 공격을 통해 조직에 침투해 이메일 시스템을 손상시킵니다. 가능하다면 이메일을 감시하고 업무 프로세스를 알아낸 후 CEO에서 CFO로 이메일을 위조하여 일상적인 자금 이체를 요청하지만, 사실은 공격자 자신의 계좌로 보낸다는 내용입니다. 저는 미국 중서부에 사는 한 고객과 이야기를 나누었는데, 그녀는 거의 이런 공격에 속아넘어갈 뻔했습니다. 공격자가 CEO의 이메일 대화 톤을 제대로 반영하지 못해 강도 사건은 무산되었습니다. 하지만 많은 미국 기업들이 실제로 희생양이 되었습니다 . 실제로 FBI는 CEO 사기에 대한 권고안을 발표했습니다.

CEO 사기에 대한 "해결책"은 이체를 시작한 임원에게 큰 금액의 이체를 구두로 확인하는 것입니다. 즉, 전화를 들고 이체가 합법적인지 확인하는 것입니다.

제가 아시아 태평양 지역에서 만난 사람 중에 이 공격에 대해 들어본 사람이 아무도 없었습니다. 이 기술을 사용하는 공격자는 위협 인텔리전스를 통해 아직 예방 접종을 받지 않은 AMER의 부유한 고객을 표적으로 삼고 있습니다. 미국인이라면 누구나 언젠가는 이 수법에 대해 알게 될 것이다. 스스로 돈을 잃었거나, 친구의 친구에게 일어난 일이거나, 이와 같은 블로그 게시물에서 이에 대해 읽었기 때문일 것이다.

미국이 포화 상태에 이르면 공격자들은 다른 지역을 표적으로 삼기 시작할 것입니다. 싱가포르는 많은 금융 기관이 거래하는 곳이므로, 싱가포르가 확실한 선택이 될 것입니다. 싱가포르와 홍콩과 같은 은행 중심지에 위치한 조직들은 공격이 해당 도시로 확산되기 전에 프로세스를 개선하기 위한 조치를 지금 당장 취해야 합니다.

실패를 건너뛸 수 있는 기회

파괴적 기술이라는 개념은 새로운 것이 아니다. 20년 이상 전에 Philip Anderson과 Michael L. Tushman은 기술적 불연속성과 지배적 설계를 썼습니다. 그들은 기술 변화의 순환 모델을 통해 시멘트, 유리, 운송 산업의 혼란을 살펴보았습니다.

그들의 연구에 따르면 기술 변화는 순환적으로 4단계를 따릅니다.

  1. 파괴적 기술(불연속성 제공)
  2. 여러 디자인이 우위를 차지하기 위해 경쟁하는 발효의 시대
  3. 지배적인 디자인이 등장합니다(종종 파괴적인 디자인이 아닙니다)
  4. 점진적 변화의 시대(판매가 정점에 도달하는 시기)

그러면 또 다른 혼란이 발생하고 그 순환이 다시 시작됩니다.

미국에서는 'CEO 사기'라는 새로운 해킹 수법이 생겨나 이미 여러 기업에 수십억 달러의 손실을 초래했습니다. CEO 사기는 악성 코드 감염으로 시작되는 사회 공학적 해킹입니다. 공격자는 스피어피싱 공격을 통해 조직에 침투해 이메일 시스템을 손상시킵니다. 가능하다면 이메일을 감시하고 업무 프로세스를 알아낸 후 CEO에서 CFO로 이메일을 위조하여 일상적인 자금 이체를 요청하지만, 사실은 공격자 자신의 계좌로 보낸다는 내용입니다. 저는 미국 중서부에 사는 한 고객과 이야기를 나누었는데, 그녀는 거의 이런 공격에 속아넘어갈 뻔했습니다. 공격자가 CEO의 이메일 대화 톤을 제대로 반영하지 못해 강도 사건은 무산되었습니다. 하지만 많은 미국 기업들이 실제로 희생양이 되었습니다 . 실제로 FBI는 CEO 사기에 대한 권고안을 발표했습니다.

CEO 사기에 대한 "해결책"은 이체를 시작한 임원에게 큰 금액의 이체를 구두로 확인하는 것입니다. 즉, 전화를 들고 이체가 합법적인지 확인하는 것입니다.

제가 아시아 태평양 지역에서 만난 사람 중에 이 공격에 대해 들어본 사람이 아무도 없었습니다. 이 기술을 사용하는 공격자는 위협 인텔리전스를 통해 아직 예방 접종을 받지 않은 AMER의 부유한 고객을 표적으로 삼고 있습니다. 미국인이라면 누구나 언젠가는 이 수법에 대해 알게 될 것이다. 스스로 돈을 잃었거나, 친구의 친구에게 일어난 일이거나, 이와 같은 블로그 게시물에서 이에 대해 읽었기 때문일 것이다.

미국이 포화 상태에 이르면 공격자들은 다른 지역을 표적으로 삼기 시작할 것입니다. 싱가포르는 많은 금융 기관이 거래하는 곳이므로, 싱가포르가 확실한 선택이 될 것입니다. 싱가포르와 홍콩과 같은 은행 중심지에 위치한 조직들은 공격이 해당 도시로 확산되기 전에 프로세스를 개선하기 위한 조치를 지금 당장 취해야 합니다.

실패를 건너뛸 수 있는 기회

파괴적 기술이라는 개념은 새로운 것이 아니다. 20년 이상 전에 Philip Anderson과 Michael L. Tushman은 기술적 불연속성과 지배적 설계를 썼습니다. 그들은 기술 변화의 순환 모델을 통해 시멘트, 유리, 운송 산업의 혼란을 살펴보았습니다.

그들의 연구에 따르면 기술 변화는 순환적으로 4단계를 따릅니다.

  1. 파괴적 기술(불연속성 제공)
  2. 여러 디자인이 우위를 차지하기 위해 경쟁하는 발효의 시대
  3. 지배적인 디자인이 등장합니다(종종 파괴적인 디자인이 아닙니다)
  4. 점진적 변화의 시대(판매가 정점에 도달하는 시기)

그러면 또 다른 혼란이 발생하고 그 순환이 다시 시작됩니다.

APAC 지역은 AMER, EMEA, ANZ보다 몇 년 뒤쳐져 있기 때문에, APAC 기업이 다른 지역이 겪을 수밖에 없는 발효 시대(실패한 디자인)를 건너뛰고 바로 지배적인 디자인을 사용할 수 있는 독특한 기회가 있을 수 있습니다.

교통에 대한 구체적인 (하!) 예를 들어보겠습니다.

설탕 기차, 호주, 이미지 출처: Gwernol CC BY-SA 3.0

호주에서 증기 기관차는 운송 산업에 파괴적 기술을 가져왔는데, 그때까지 운송 산업은 주로 해운에 기반을 두고 있었습니다. 기관차 기술이 발전함에 따라 세 가지 궤간(폭) 디자인이 표준을 차지하기 위해 경쟁했습니다. 철도 회사는 여러 지방에 서로 다른 폭의 수만 킬로미터에 달하는 선로를 놓았습니다.

이런 서로 다른 철도 폭은 오늘날에도 호주에 존재합니다 . 승객들이 한 폭의 열차에서 내려 다른 폭의 열차에 탑승하여 지방을 가로질러 여행을 계속해야 하는 곳이 여러 군데 있습니다. 이러한 호주의 발효 시대를 해결하기 위해 250개 이상의 해결책이 제안되었지만 모두 거부되었습니다. 150년이 넘도록 지배적인 디자인은 나타나지 않았습니다.

 

KimonBerlin의 이미지 - Flickr, CC BY-SA 2.0

그 어처구니없는 상황을 아시아 태평양 지역의 놀라운 고속철도 시스템과 비교해보세요. 이 시스템은 현대적인 주요 디자인이 등장한 지 1세기가 넘게 지나서 건설되었습니다. APAC은 이런 열차 시스템을 도입하는 데 시간이 오래 걸렸지만, 최종 결과는 훨씬 더 좋았습니다.

 APAC의 사이버 보안에도 동일한 기회가 있습니다. AMER의 조직이 오늘날 투자하고 있는 새로운 기술 중 일부는 초기의 파괴적 기술로 판명될 수 있지만 궁극적으로 지배적인 디자인은 아닐 수 있습니다. 아시아 태평양 지역에서 어떤 기술이 각기 어떤 역할을 하는지 파악할 수 있는 엔지니어는 앞으로 큰 변화를 가져올 수 있습니다.

벌레와 치즈

내가 가장 좋아하는 말 중 하나는 두 가지 유명한 말을 합친 것입니다. "일찍 온 새가 벌레를 가져가지만, 두 번째로 온 쥐가 치즈를 가져간다."

잠재적 규모와 기술적 지연을 고려했을 때, APAC은 아마도 엄청나게 큰 치즈 조각을 얻는 두 번째 쥐가 될 것입니다. 반면, AMER의 사이버 피해자로부터 교훈을 얻지 못하는 APAC 조직의 경우 APAC 조직은 동일한 함정에 빠질 수 있습니다.

두 가지 방법 모두 생각해 볼 만한 가치가 있습니다.