블로그

2018년이 2019년에 대해 가르쳐 줄 수 있는 것

F5 썸네일
F5
2018년 12월 5일 게시

국가가 지원하는 공격과 취약한 산업 시스템, 지속적인 보안 전문가 부족에 이르기까지 2018년에는 대규모 침해와 대규모 DDoS 공격이 발생했고, 기업들이 범죄자로부터 인프라를 방어하는 데 따르는 과제가 커졌습니다. 올해는 처음으로 일어나는 일들이 많았습니다. 일주일 동안 테라바이트 규모로 DDoS 공격이 이어졌고, 암호화폐 채굴을 위해 침해된 시스템을 모니터링했으며, 공격을 개시하기 위한 정치적, 군사적 동기가 커졌습니다. 의무적인 GDPR 데이터 보호 및 개인정보 보호 규정도 발효되어 전 세계적으로 영향을 미치는 개인 데이터 보호에 대한 개인의 권리가 변경되었습니다.

2018년에는 사용자를 제외하면 사이버범죄자들의 주요 타깃이 애플리케이션이었으며, 새해를 맞이하며 한 가지 확실한 사실은 이러한 현상이 변함없이 지속될 것이라는 것입니다. 애플리케이션과 사용자는 계속 위험에 노출될 것이며, 2019년이 코앞으로 다가온 지금, 우리는 사이버범죄의 지속적인 진화에 대비해야 합니다.

새로운 추세와 지속적인 위험이 나타나는 주요 분야는 다음과 같습니다.

클라우드 보안 – 앱 보안을 위해 고객과 클라우드 제공자 간의 이중 책임이 발생하면서 관리형 보안 서비스가 증가하게 됩니다.

클라우드에서 시스템을 보호하는 것은 공동의 책임입니다. 클라우드 제공자는 인프라와 고객이 구매한 서비스에 대한 책임이 있지만, 애플리케이션 자체를 보호하는 것은 고객의 책임입니다. 점점 더 많은 기업이 클라우드 서비스에 의존함에 따라, 클라우드 제공업체는 기업이 책임의 한계를 이해할 수 있도록 선을 그어 놓고 있습니다. 초기 클라우드 보안 솔루션의 대부분은 필요에 의해 구축되었지만, 보다 중요한 애플리케이션이 클라우드로 이동함에 따라 고유한 애플리케이션 요구 사항에 맞게 적절한 정책, ID 및 액세스 관리, 기타 보안 보호 기능이 구현되어 있는지 확인하는 일은 고객의 몫입니다. 보안 인력이 여전히 제한적인 추세를 보이고 있는 가운데, 내년에는 기존 클라우드 공급업체가 제공하지 못하는 필수 서비스를 제공하는 관리형 보안 서비스 공급업체(MSSP)가 늘어날 가능성이 있습니다.

보안은 정말로 모든 사람의 일이 됩니다.

점점 더 많은 사업부(인사, 재무 등)가 클라우드에서 서비스를 구축함에 따라, 이들 사업부 역시 보안 조치를 채택해야 할 것입니다. 종종 이는 IT 부서와 협력하거나 적어도 몇 가지 '모범 사례'를 따르지만 민첩성을 추구하는 과정에서 클라우드로 서둘러 가는 많은 사람들이 보안을 잊거나 포기할 것입니다. 전반적인 비즈니스를 위해 클라우드 도입이 확대된다는 것은 클라우드 인프라 보안, 관리 서비스, IAM, 사용자 행동 분석, 오케스트레이션/자동화 유형 솔루션에 대한 예산이 늘어난다는 것을 의미합니다.

조직에서는 코드에 보안을 강화하는 방안을 고려할 수 있지만, DevOps 기능 내에서도 보안을 고려해야 합니다. WAF, IPS, IAM, 프록시 등 보안 조치가 무엇이든 이러한 서비스는 개발 중에 고려되고 테스트되어야 합니다.

2019년에는 애플리케이션 보안에 더 많은 예산이 할당될 것으로 전망됩니다. 이는 우리의 삶 전체가 이러한 애플리케이션에 달려 있기 때문에 좋은 일입니다.

IoT – 공격자가 앱 계층에 집중함에 따라 손상된 IoT 기기의 수가 증가할 것이며, 봇 감지가 중요해질 것입니다.

오늘날 수십억 대의 연결된 기기가 존재하고, 앞으로 몇 년 안에 더 많은 기기가 연결될 것으로 예상됩니다. 많은 기업은 보안이 부족하거나 전혀 없어서 인수당하기 쉽습니다. 과거 IoT 봇넷은 2016년 Mirai가 발생하기 전까지 이론적인 것에 불과하다고 여겨졌습니다. 오늘날 DDoS 공격을 가하는 ThingBot은 매일같이 발생하고 있습니다.

이러한 점을 감안할 때, 내년에는 사전 예방적 봇 방어가 중요해질 것입니다. 이미 웹 애플리케이션 방화벽(WAF)이 있더라도 많은 기존 WAF는 이 중요한 기능을 제공하지 않으며 앱 계층을 표적으로 삼는 진화하는 위협을 완화할 수 있는 기능도 갖추고 있지 않습니다. 앱 스택을 따라 이동하는 위협에 대처하려면 보다 고급 보호 기능이 필요합니다.

IoT 보안에 대한 책임은 제조업체에 있을 수 있습니다.

캘리포니아는 IoT 기기의 제한적인 보안 기능을 해결하기 위해 제조업체에 더 많은 책임을 부여하는 법안( SB 327 )을 최근 통과시켰습니다. 구체적인 세부 사항은 언급하지 않았지만, " 2020년 1월 1일부터 해당 용어가 정의한 대로 연결된 장치의 제조업체는 장치의 특성과 기능에 적합한 합리적인 보안 기능 또는 기능을 장치에 장착해야 하며, 수집, 저장 또는 전송할 수 있는 정보에 적합하고, 지정된 대로 장치와 그 안에 포함된 정보를 무단 액세스, 파괴, 사용, 수정 또는 공개로부터 보호하도록 설계해야 합니다."

이는 그렇게 똑똑하지 않은 기기에 대한 입법 규제의 중요한 첫 단계입니다. 이는 다른 주들이 곧 뒤따를 수 있는 선례가 될 수도 있습니다. 이 법률에서는 제조업체가 해당 기기에서 수집, 저장, 전송하는 정보/데이터를 공개하도록 규정하고 있습니다. 또한 각 장치에는 사용자가 사용 전에 변경할 수 있는 고유한 비밀번호가 필요합니다. 이는 많은 손상된 IoT 기기에 암호가 없거나 기본값이 잘 알려져 있어서 악용될 가능성이 높기 때문에 중요합니다.

모바일 – 점점 더 많은 조직이 BYOD(Bring Your Own Device) 전략으로 이동함에 따라 엔터프라이즈 모빌리티 관리(Enterprise Mobility Management)는 계속해서 발전하고 있습니다.

여기서는 새로운 iPhone, Android, Samsung 또는 기타 모델에 대해 이야기하는 것이 아니라 정책 기반 액세스, 행동 생체 인식, 5G 및 Enterprise Mobility/BYOD와 같은 분야에 대해 이야기합니다.

정책 기반 액세스를 통해 직원이 모든 장치를 사용하여 데이터에 액세스할 수 있으며, 데이터는 암호화되어 보호되고, 장치를 분실하거나 도난당하거나 직원이 회사를 그만둘 경우 삭제가 가능한 가상의 격리된 작업 컨테이너가 제공됩니다.

기기는 소유자를 식별하고 인증하는 능력도 향상될 것입니다. 최신 얼굴 인식 소프트웨어는 얼굴 윤곽을 파악하거나, 사람의 음성, 움직임 또는 타이핑 스타일을 인식하여 휴대전화 잠금을 해제하도록 발전했습니다. 점점 더 많은 근로자가 개인 기기를 사용해 회사 리소스에 접근하기 때문에 이는 확실히 중요합니다.

사람과 사회 – 사회 공학과 피싱은 앞으로도 사기에 매우 성공적인 수단으로 남을 것이고, 개인정보 보호는 더욱 더 찾기 어려워질 것입니다.

F5 Labs 위협 연구에 따르면 피싱은 가장 흔한 공격 벡터입니다 . 사회 공학적 전술로 인해 피싱 사기는 훨씬 더 정교해지고 발견하기 어려워졌습니다. 공격자는 해킹을 통해 수익을 창출하며, 이로 인해 발생하는 사고의 유형과 빈도가 달라집니다. 피싱 공격은 종종 신원을 훔쳐서 애플리케이션 공격에 사용하는 방법입니다. 시만텍에 따르면, 작년 한 해 동안 평균 사용자 한 명이 매달 16개의 악성 이메일을 받았습니다. 피싱을 당한 경우 추가 침입에 주의 깊게 주의하세요. 오늘날의 디지털 시대에 완전한 개인 정보 보호를 유지하는 것은 거의 불가능하며, 개인용 스마트 기기가 넘쳐나면서 더욱 복잡해지고 있지만, 대부분의 사람이 매일 기꺼이 자신의 세부 정보를 공유한다는 사실을 기억하세요. 우리의 데이터와 정보가 인터넷 곳곳에 퍼져 있다 하더라도, 우리는 여전히 가능한 모든 보안 및 개인정보 보호 조치를 취해야 합니다. 유럽의 GDPR은 모든 개인 데이터를 보호하고자 하며, GDPR 위반으로 인해 조직이 해체될 수 있습니다. GDPR에 따라, 침해를 당한 조직의 평판은 지속적인 영향을 받을 수 있습니다.

우리는 현명하게 행동해야 하고, 항상 경계해야 하며, 우리가 얼마나 많은 것을 포기하고 있는지 살펴봐야 합니다. 고등학교 때의 옛 친구가 갑자기 이메일로 찾아와서 동창회에 갈 거냐고 묻는 경우가 있을지 모르죠. 전문가의 팁: 링크를 클릭하지 마세요!!