2018년 Vol.04 KISA Report · - 내부자 위협은 중요 정보 및 기술 유출 등 기업의 보안 사고와 밀접하게 연관되며, 매년 증가*하고 있어 대책(정책,

2018년 Vol.04

KISA Report[ RSA Conference 2018 특집편 ]

2018년 Vol.04 KISA Report

2

RSA Conference 2018

• RSA 컨퍼런스 2018 이슈 및 트렌드(김인섭 / 한국인터넷진흥원 책임연구원)

• RSA 컨퍼런스 2018과 개인정보보호 트렌드(김대환 / ㈜소만사 대표)

• RSA 컨퍼런스 2018의 엔드포인트 보안 트렌드(권혁재 / ㈜바이오닉스진 차장)

• RSA 컨퍼런스 2018로 본 위협 인텔리전스와 SOC & AI(정일옥 / ㈜이글루시큐리티 팀장)

• RSA 컨퍼런스 전시회 글로벌 보안 트렌드(홍동철 / ㈜엠시큐어 대표)

• 하드웨어 보안 동향과 특징(황수익 / 시큐리티플랫폼(주) 대표)


3

RSA 컨퍼런스 2018 이슈 및 트렌드김인섭 책임연구원([email protected])

• (現) 한국인터넷진흥원 미래정책팀 책임연구원

RSA 컨퍼런스 개요

▶ RSA 컨퍼런스는 1991년 샌프란시스코에서 시작되었으며, 글로벌 사이버 보안 현재와 미래를 논의하고

최신 기술과 제품을 전시하는 세계 최대의 보안 행사로 자리 매김하였음

• 현재 미국을 중심으로, 유럽(`00년~), 아시아/일본(`13년~) 및 UAE(`15년~)에서 매년 개최 중

그림 1_ 최근 5개년(2013~2017) RSA 컨퍼런스 주제

▶ 올해 RSA 컨퍼런스는 4월 16일부터 20일까지 미국 샌프란시스코 모스콘 센터에서 개최되었으며, “Now

Matters”라는 주제를 통해서, 빠르게 변화하고 진화하는 디지털 시대의 당면한 문제-사이버 위협은

다음이 아닌 바로 지금 해결해야 함을 강조

• 총 42,000명 이상이 참관하였으며, 컨퍼런스 관련 기조연설 17건, 연사 700명 이상 및 550건 이상의

발표가 진행되었음

• 전시회는 27개국 600개 이상 기업에서(스타트업 45개) 참여하였음

그림 2_ RSA 컨퍼런스 및 전시회 현황

• 또한, 부대행사로 진행된 Innovation Sandbox Contest에서 개인정보보호 솔루션 관련 스타트업인

BigID가 1위를 수상하였음


4

2018 RSA 컨퍼런스 화두

▶ 올해 RSA 컨퍼런스는 사이버 위협의 심각성을 되새기고, 국가, 산업을 초월한 소통·공유·협력을 통해

‘모두가 함께 만들어가는 안전한 사이버 세상’을 중점적으로 강조

사람, 기술, 프로세스의 지속적인 혁신 | 소통 | 공유 | 협력

▪ 사이버 보안은 모두의 책임이며, 지금은 새로운 사고와 방식으로 해결해야 할 때임

- 모두가 참여하는 문화(Culture)를 조성하고 선제적인(Proactive) 대응을 해야 함

- 국가, 산업, 조직 간 경계를 낮추고 공유, 소통, 협력의 관계로 함께 해야 함

- 정부의 역할과 책임은 막중하며, 기업 또한 사회적 책임을 해야 함

- ‘Security First’, ‘Trust by design’ 원칙을 최우선으로 고려해야 함

- 기술 개발의 모든 과정에 보안은 통합되고 지속적으로 관리되어야 함

- 사람(human)은 기계(AI)와의 협업 강화를 통해 다양한 가치와 시너지를 창출해야 함

2018 RSA 컨퍼런스 트렌드 및 이슈

▶ 2018 RSA 컨퍼런스에서 진행된 주제 발표, 패널 토의 및 기술 전시 관련 8가지 트렌드와 이슈를 선정

그림 3_ 2018 RSA 트렌드 및 이슈

• 클라우드 보안, 기업의 경계 붕괴, 확산 및 가시성 강화

- 클라우드 서비스 증가 및 이용이 확산되고 있으며, 관련 보안 위협 또한 급증하고 있음


5

그림 4_ 클라우드 서비스 확산 및 관련 현황

[클라우드 서비스 확산 및 공격 표면의 확대] [MS 클라우드 보안 관련 현황(일별)]

- 아마존, MS, IBM, 오라클 등 클라우드 서비스 제공자(CSP)들의 자사 클라우드에 대한 보안 내재화

강화 및 클라우드 보안 서비스 시장으로 진출

- 클라우드 환경에서의 신속한 위협 탐지, 대응을 위한 가시성(Visibility) 확보 및 세분화된 정책 정의,

모니터링 및 진단을 위한 세그멘테이션(micro) 중요

· 가트너(Gartner)는 가시성 및 세그멘테이션을 클라우드 보안을 위한 핵심 전략으로 구분

그림 5_ Market Guide for Cloud Workload Protection Framework, 2018

- 클라우드 보안 분야에서 가시성, 세그멘테이션의 필요성 증가 및 관련 솔루션 개발 기업 확대

Hybrid 클라우드의

Full 가시성

IaaS의 가시성과

컴플라이언스

클라우드 환경에 대한

가시성

가시성 및

마이크로세그멘테이션

• 엔드포인트 보안, 예방에서 탐지와 대응 기능 강화


6

- PC, 노트북을 비롯한 모바일, IoT 기기 등 엔드포인트(Endpoint)의 다양성 및 규모(Scale) 증가,

Public/Hybrid 클라우드 등 네트워크 연결성/개방성 확대

※ 가트너는 2020년까지 네트워크에 연결된 기기의 수는 260억개로 전망

- 사이버 위협(IoT 봇넷 등)의 급증 및 고도화됨에 따라 엔드포인트 보안의 예방(P) 중심에서 탐지(D)

및 대응(R)으로의 기능 확대

- 엔드포인트 보안 기술은 행위 분석, 인텔리전스, 머신러닝(ML) 및 EDR(EndPoint Detection &

Response)과 EPP(EndPoint Protection Platform)를 결합한 통합 엔드포인트 보안으로 진화하고 있음

· Fortinet의 FortiGaurd AI, Cylance의 CylancePROTECT 등 행위 분석, 머신 러닝 기술을 적용한

엔드포인트 솔루션 개발

· CYLANCE, CloudStrike 등 EDR과 EPP 기술을 결합한 통합 엔드포인트 보안 솔루션 개발

- 확산되는 엔드포인트 보안 위협 대응을 위한 조직의 IT환경 진단 및 보안 솔루션 도입 필요

• 사이버 위협, 인텔리전스와 AI 기반으로 선제적 대응

- SW 취약점 증가*, 해킹 도구의 고도화 및 가용성 확대로 사이버 위협은 확산되고 있음

* CVE에 등록된 wSW 취약점은 2016년 6447건에서 2017년 14,712건으로 급증

※ 해킹 도구의 고도화 및 가용성 증가는 해킹에 대한 기술 장벽을 낮추는 효과 발생

- 또한, 사이버 위협은 기술적으로 진화(AI 등)되고 사이버 범죄, 테러 등 조직화, 고도화되고 있음

그림 6_ 사이버 위협 Landscape

- 복잡, 다양한 형태로 진화하는 사이버 위협에 대한 위협 사냥 및 인텔리전스, 머신러닝 기반의 분석

및 대응 효율화(Orchestration & Automation) 등 능동적·선제적 대응 기술 개발이 활발하게 진행되고 있음

- 글로벌 기업들의 위협 정보 공유 및 협력 체계 운영(CTA* 등)을 통한 사이버 위협 인텔리전스 강화

※ 위협 인텔리전스는 양질의 많은 위협 수집 및 분석이 핵심 요소이며, 이를 위한 협력 기반 확대


7

▸ CTA(Cyber Threat Alliance)

· 다양한 위협 정보 공유를 통한 인텔리전스 강화 및 협력을 위해 결성된 파트너십

Founding Members Affiliate & Contributing Members

- 위협 인텔리전스, 분석 및 자동화 기술은 사이버 위협 대응 기술의 주류로 자리매김하고 있으며 관련

기술 및 시장에 대한 관심이 증가하고 있음

※ FireEye, Cisco, CloudStrike 등 인텔리전스 및 관련 솔루션, 서비스 기업 증가

• 하드웨어 보안, ‘Security First’로 대응 필요

- 최근 CPU의 치명적인 보안 결함을 야기하는 멜트다운(Meltdown), 스펙터(Spectre) 버그가

공개되면서(`18.1.3) 전 세계 사용자에게 큰 파장을 일으킴

- 부채널 분석(SCA) 및 오류주입(FI) 등 하드웨어(IoT 기기 등) 공격 기법은 진화하고 있으며, 공격 도구의

다양화 및 비용 저하 추세가 확산되고 있음

· 저비용의 하드웨어 분석 도구 증가 - SCA(60달러 이하), FI(15달러 이하)

· Tampering 등 공격이 간단한 Custom IoT 디바이스의 급증은 심각한 보안 위협을 초래

- 성능과 보안 이슈에서의 ‘Security First’ 적용 및 ‘trust by design’ 강화 필수

- 인텔은 향후 CPU에 적용될 실리콘 레벨의 Threat Detection Technology(TDT)*와 하드웨어 보안

표준 기능 세트 Intel Security Essentials 출시를 발표

* TDT는 Accelerated Memory Scanning와 Advanced Platform Telemetry로 구분됨

- 마이크로소프트는 마이크로컨트롤러 기반의 IoT 기기를 위한 칩-클라우드 보안 플랫폼 Azure Sphere를 공개

· Azure Sphere는 OS, 전용 Sphere-certified 마이크로 컨트롤러 및 Azure Sphere 보안 서비스 3개

분야로 구성


8

• 기업 보안, 진화하는 공격과 내부자 위협 모두 숙제

- 기업의 IT 환경은 클라우드化 엔드포인트 기기(IoT 등) 확대, 데이터 급증으로 복잡해지고 있으며,

이를 악용하는 보안 위협 또한 지속적으로 증가

※ 2017년도 기업 대상 사이버 사건은 159,700건으로 2016년보다 2배 가량 증가(OTA Report, 2018)

- SOC(보안관제센터), 인·아웃소싱, 보안 서비스(SecaaS 등) 확대 등 대응을 강화하고 있으나, 지속적인

고도화(통합, 자동화, 내재화 등) 및 인력, 프로세스 개선 필요

- 내부자 위협은 중요 정보 및 기술 유출 등 기업의 보안 사고와 밀접하게 연관되며, 매년 증가*하고

있어 대책(정책, 프로세스, 시스템 등) 마련 시급

* 보안 사고의 52.5%가 내부자와 연관, 연평균 27.5% 증가(ITRC, Infosec Magazine)

※ 미국 기업의 내부자 관련 사이버 범죄 지속 발생(2005-2017, 미국 500개 기업 대상 조사 결과)

- RSA, McAfee, splunk 등 SOC, 내부자 위협 대응 관련 솔루션 개발 및 시장 확대 추진

※ (SOC 관련 솔루션) RSA, McAfee, FORTINET, splunk (내부자 위협 대응 솔루션) splunk, NUIX

• 보안 내재화, 개발부터 운영 全단계로 확장

- 소프트웨어(SW)가 서비스로 소비되고 요구사항이 급변하는 환경에서 SW 출시 기간(Time to Market)

단축은 비즈니스 성공을 좌우하는 핵심 요인이 되고 있음

- SW 출시 속도 향상를 위한 데브옵스(DevOps)* 기반의 개발 환경, 문화 확대

* 개발자(Dev)와 운영자(Ops) 간 협업, 소통, 책임 공유 강조, 낮은 실패율과 고객 만족도 향상

- 급증하는 사이버 사건 중 대부분은 SW 개발 프로세스 개선 등으로 사전 예방 가능하며, DevOps에

보안을 내재화하는 DevSecOps 중요성 인식 확산


9

※ 2017년도 데이터 유출 사건 중 93%는 SW 정규업데이트 등으로 예방 가능(OTA report, 2018)

- DevOps에 보안 내재화를 효과적으로 적용하기 위한 자동화 도구 개발(GOVREADY社 등), 솔루션에

관련 기능을 포함하는(Qualys社 등) 등 DevSecOps 가치가 높아지고 있음

※ Qualys社는 클라우드 관련 솔루션에 ToolChain과 통합할수 있는 자동화된 보안 검사 기능을 포함

• EU GDPR, 우려와 기대

- 유럽연합(EU)의 개인정보보호 관련 새로운 규정인 GDPR(General Data Protection Regulation)

시행일이 한 달여 앞으로 다가옴(`18. 5. 25)

· (추진 경과) EU는 2016년 4월 GDPR을 채택하였으며, 2018년 5월 25일 시행

· (적용 대상) EU 국민의 데이터를 취급하는 EU 내외 모든 기업

· (제재 사항) 위반 시 20M Euro 또는 연간 매출액의 4%의 과태료 등 높은 수위의 제재 부과

- EU 시장에 旣 진출 또는 준비 중인 기업들은 GDPR 준비 부족에 따른 비즈니스 리스크를 우려하나,

개인 및 투자자 등은 데이터 통제 강화 및 위험 감소 등의 긍정적 효과를 기대하고 있음

· Gartner는 2020년까지는 40% 기업이 GDPR을 위반할 것으로 전망하면서 2023년에는 대부분

기업들이 준수할 것으로 예상

· 최근 equifax(美 신용평가기관), 페이스북 사건 등으로 개인정보유출 우려 증가

- GDPR 규정 준수(Compliance)를 위해 진단, 역할 규정, 정책 및 프로세스 수립, 지속적인 모니터링

및 사고 대응, 감사 및 평가 등 기업의 체질 개선 필요


10

• GDPR 준수를 위한 자동화된 서비스 구축, 활용 및 준수 여부 점검 활동 강화

- McAfee, BigID, Data443 등 GDPR Complicance 관련 솔루션으로 시장 선점을 위한

데이터 검색 및 분류위반 탐지 및 대응 솔루션

블록체인 기반의 개인 식별 정보 분류, 탐색, 대응 솔루션

GDPR 요구사항을 준수하는 개인정보 관리 솔루션

• 사이버 보안 기업, 디지털 제네바 협약 드라이브 강화

▸ 디지털 제네바 협약

· 국가 간, 국가가 지원하는 해킹 그룹으로 인한 민간인 피해를 막기위해 ‘디지털 제네바 협약’ 및

관리 감독을 위한 국제기구 필요성 제기 및 6대 원칙을 제시(`17.2월, Microsoft CEO)

Ⅰ. 기술 기업, 민간 분야, 중요

기반 시설에 대한 공격 금지

Ⅱ. 민간 분야의 공격 탐지,

대응 및 복구 지원

Ⅲ. 대규모 사고 예방을 위한

공격적 활동 제한

Ⅳ. 사이버 무기 개발 및 재사용

제한

Ⅴ. 사이버 무기 확산 방지

활동 전개

Ⅵ. 취약점의 보관 또는 판매

지양 및 개발 업체 보고

< ‘디지털 제네바 협약’ 6대 원칙 >

- 최근 Wannacry, NotPetya 등의 사이버 공격 및 테러 등으로 인한 글로벌 위기 고조되고 있으며, 이에

대응하기 위한 국가, 정부, 기업 간 공조 필요성에 대한 인식 확대

- MS, RSA, Cisco 등 34개 주요 글로벌 기업들은 ‘사이버 보안 기술 협정(Cybersecurity Tech Accord)’에

서명을 하고(`18.4.17) 4대 원칙 준수 및 협력 강화

Cybersecurity Tech Accord

‘사이버 보안 기술 협정’

참여 기업

ABB | ARM | AVAST | BITDEFENDER | BT | CA TECHNOLOGIES |

CARBON BLACK | CISCO | CLOUDFLARE | DATASTAX | DELL |

DOCUSIGN | FACEBOOK | FASTLY | FIREEYE | F-SECURE | GITHUB

| GUARDTIME | HPE | INTUIT | JUNIPER NETWORKS | LINKEDIN |

MICROSOFT | NIELSEN | NOKIA | ORACLE | RSA | SAP | STRIPE |

SYMANTEC | TELEFONICA | TENABLE | TRENDMICRO | VMWARE

‘사이버 보안 기술 협정’

4대 원칙

1. 전 세계 사용자와 고객에 대한 보호를 우선

2. 시민과 기업에 대한 모든 사이버 공격 반대

3. 사회 구성원들의 자체적인 보호를 위한 도구와 정보 제공

4. 기업 간 협력 및 정보 공유 강화

표 1_ 사이버 보안 기술 협정 참여 기업 및 4대 원칙


11

2018 RSA 컨퍼런스 주요 명사 기조연설(Keynote)

2018 RSA 컨퍼런스 Innovation Sandbox Contest 및 스타트업 전시회(Early Stage Expo)

▶ Innovatin Sandbox Contest 2018

• 심사 결과 1위 기업은 개인정보보호 솔루션을 소개한 BigID로 선정

• Innovation Sandbox Contest 효과

- RSAC Innovation Sandbox Contest에 진출한 후보 기업은 글로벌 데뷔 무대를 가질 수 있으며,

기업과 투자자로부터 M&A 및 투자 유치 등의 주목을 받음

- 최근 3년간(2016~2018) 본선 진출 10개 기업의 투자 유치 및 M&A 현황(단위: 1,000USD)


12

▶ 스타트업 전시회

• RSAC 2018 스타트업 전시회에는 7개국 총 45개 기업이 참여하였으며(2017년 40개), 한국은 미국,

이스라엘에 이어 세 번째로 많은 6개 스타트업이 참여(2017년 한국 참여 기업 0개)

국가 기업 수 비율(%) 국가 기업 수 비율(%)

미국 25 55.6 인도 2 4.4

이스라엘 8 17.8 헝가리 1 2.2

한국 6 13.3 영국 1 2.2

프랑스 2 4.4 전체 45

시사점

▶ 미국, 유럽 등 공공, 민간 영역의 클라우드 서비스 도입이 확산되고 클라우드 관련 솔루션 시장 규모가

지속 증가할 것으로 전망됨에 따라, 글로벌 기업 및 스타트업 등 클라우드 시장 점유율 확대를 위한

전략을 수립하고 적극 시장을 공략하고 있음

• 향후 클라우드 보안 솔루션 시장 경쟁은 더욱 심화될 것으로 예상되며, 국내 기업의 글로벌 클라우드

보안 서비스 시장 확대를 위한 기술 경쟁력 강화 및 실효성 있는 서비스 모델 발굴 필요

• 클라우드 보안 솔루션의 신뢰성 제고 및 용 확산을 통해 안전한 클라우드 서비스 환경 조성 및 시장

확대로의 선순환 환경 조성 필요

▶ 글로벌 기업들은 다양하고 복잡한 엔드포인트 보안 위협에 선제적 대응을 위해 인텔리전스 분야에

역량을 강화하고 있으며, 기업 간 위협 정보 공유 등 공조 체계를 구축 및 확대하고 있음

• 엔드포인트 보안은 향후 보안 시장의 주축으로 성장할 것으로 예상되며, 글로벌 기업의 국내 시장

진출을 위한 많은 공세가 이뤄질 것임

• 국내 엔드포인트 보안 분야는 위협 인텔리전스의 확보 및 타 보안 솔루션 기업과의 연계를 통해

글로벌 기업의 공세에 대비를 해야 함

▶ 위협 인텔리전스 강화 및 보안 분석·대응 자동화를 위한 머신러닝 기반 인공지능 기술의 내재화 확대

• 급증하는 사이버 공격에 대응하기 위한 방법으로 위협 인텔리전스를 이용한 대응 자동화와 사람과

기계의 분업화를 통한 효율성 강화의 측면이 지속적으로 나타날 것으로 예상

▶ 기존 글로벌 보안 기업들의 보안 스타트업 인수합병(M&A)으로 인해 보안 시장의 부익부 빈익빈 현상이

심화되고 있는 상황에서, 경쟁력 확보를 위해서는 새롭고 혁신적인 아이디어 기반의 솔루션/서비스

개발이 필수적임

• 국내 보안 스타트업의 경쟁력 강화 및 시장 확보를 위해서는 IoT 등 새로운 보안 솔루션이 창출되는

분야에 대한 집중 육성 및 지원 필요


13

• Innovation Sandbox Contest 및 스타트업 전시에서 확인된 효과를 바탕으로 국내 스타트업의 글로벌

전시 지원 및 정보보호 해외거점을 통한 해외진출 확대 지원 필요

▶ EU GPDR 준수를 위한 개인정보 보호 프로세스를 완성하기 위해서는 서비스를 설계하는 단계부터

개인정보보호 관리 필요

• 어플리케이션, 제품, 서비스 등의 모든 분야에 개인정보 적용 설계(Privacy by Design) 원칙 적용

• 국내 기업의 GDPR 피해 예방을 위한 가이드 제공, 실태 파악 및 개선 조치 등의 지원 필요

▶ 보안이 제품 Lifecycle 전반에 걸쳐 내재화 될 수 있도록 지속적인 소통 및 협업 체계를 구축하고 이를

효율적으로 달성할 수 있는 방안(정책, 도구 등) 마련 필요

• 모든 구성원의 보안 의식 고취 및 책임감을 강화하고 개발 프로세스 전반에 보안을 내재화함으로써

안전한 제품 개발 모델 구축 및 문화 확산

▶ 보안 위협에 대한 근원적인 원인(내부자 위협, 보안 인식 등)에 대한 고찰 및 해결 방안 모색이 필요


14

RSA 컨퍼런스 2018과 개인정보보호 트렌드김대환 소만사 대표([email protected])

• (現) ㈜소만사 대표이사

• (現) 한국정보보호 산업협회 이사

• (前) 고려대학교 기술경영전문대학원 겸임교수

• (前) SETA(소프트웨어 미국 수출회사)협회 회장

RSA 컨퍼런스 개요

▶ RSA 컨퍼런스는 전 세계 보안 업계 관련자들이 모여 최신 보안 동향 및 기술을 논의하고 다양한 교육

기회를 제공하는 세계 최대 규모의 연례 보안 행사

• 1991년 암호, 표준 및 공공정책(Cryptography, Standards & Public Policy)의 명칭으로 소규모의

포럼으로 시작하여 전세계 정보보안 기업 및 정부, 민간 보안실무자가 참석하는 세계 최대 규모의

보안 컨퍼런스로 성장함

• 샌프란시스코에서 가장 큰 전시 복합건물인 모스콘센터(Moscone Center)의 North, South, West

홀에서 동시에 진행되며 전시회가 열리는 North와 South 홀의 면적규모는 약 41,063 m2 로 약

600여개 업체의 부스가 설치됨

그림 1_ RSA 컨퍼런스가 열린 모스콘센터 내부

▶ 2018년 4월 16일에 개최된 RSA 컨퍼런스는 ‘현안(Now Matters)’을 주제로 글로벌 보안 업계가 당면한

문제를 짚어보았으며 앞으로 나아갈 바를 논의함

• 클라우드, 사용자 및 기업 행동 분석 기술(UEBA: User and Entity Behavior Analytics), 머신러닝,

오케스트레이션, GDPR(유럽개인정보보호법), 프라이버시가 주요 키워드로 도출됨


15

• GDPR의 경우 컨퍼런스가 개막한 다음 달인 5월 시행을 앞두고, GDPR과 관련된 세션에 많은

인파들이 몰려 가장 뜨거운 관심을 받았음

• 이번 RSA 컨퍼런스에서 언급된 ‘프라이버시 현안’은 기업의 GDPR 준수, 클라우드 개인정보 관리,

개인정보 관리 및 보호기술임

2018년 프라이버시 관련 사건 사고들

▶ RSA 컨퍼런스의 대표 이벤트인 ‘암호학 권위자들의 패널(Cryptogrpher‘s Panel)’에서는 최근 발생한

프라이버시 관련 사건 사고들을 토론하는 시간을 가짐

• (국가주도의 프라이버시 침해) 지난 2월말 애플이 중국 사용자들의 아이클라우드 계정을 중국내

데이터 센터로 옮김으로써 중국정부는 중국 애플 사용자들의 개인정보 통제권을 얻게 되었음

- 이에 대해 Ron Rivest MIT교수는 정부의 정보 접근을 위해 백도어와 마스터키를 허용하게 되면

보안이 취약해져 프라이버시보다 큰 문제를 야기할 수 있다고 경고함

- Adi Shamir 바이츠만 과학연구소 교수는 마스터키를 제공하지 않아 러시아와 이란 등에서 퇴출위기를

겪고 있는 텔레그램 사태를 언급하며 특정 국가들이 사용자 정보에 대한 통제권을 얻지 못하는 앱들을

불법화하는 추세라고 지적하였음

• (페이스북 개인정보 유출 스캔들) 데이터 기업인 케임브리지 애널리티카(CA)를 통해 8,700만 명

이상의 페이스북 이용자 개인정보가 유출된 사건

- 이 사건에 대해 토론자들은 페이스북이 회사의 이익을 위해 데이터 침해를 허용하였고 데이터를

수집하여 돈을 버는 기업들이 정보를 보호하기를 기대하기란 어렵다는 견해를 내비침

- 또한, Signal 앱의 개발자인 Moxie Marlinspike는 페이스북의 개인정보 유출사고를 엑손모빌의 해양

원유 유출사건과 비교하며 사람들의 일상에 있어 중요한 요소로 자리 잡았지만 한편으로는 가장

혐오하는 대상이 되었다고 말함

그림 2_ RSA 컨퍼런스의 대표 이벤트 ‘암호학 권위자들의 패널’

* 사진 왼쪽부터 Ron Rivest, Adi Shamir, Whitfield Diffie, Paul Kocher, Moxie Marlinspike


16

한달 앞으로 다가온 GDPR, ‘GDPR ESSENTIAL' 세미나

▶ GDPR 시행일이 한 달 앞으로 다가온 가운데 RSA 컨퍼런스에서는 GDPR 세미나를 7가지 세션으로

나누어 종일 진행

• 오프닝 키노트에는 유럽연합 집행위원회(EC, European Commission) 소속의 Juhan Lepassaar가 GDPR

제정 취지 및 주요 내용 설명과 유럽연합 집행위원회와 EU 개인정보보호작업반의 최근 활동들을

정리하여 발표함

- 집행위원회는 2018년 1월 부터 개인 및 중소기업을 위해 웹기반 GDPR 체크리스트 툴을 제공 중

• EU 개인정보보호작업반은 개인정보 이동권(Right to Portability), 프로파일링(Profiling), 데이터 침해(Data

Breach)에 이어 올해 4월, 동의(Consent)와 투명성의 원칙(Transparency)의 준수를 위한 가이드라인을

공개하며, 향후에도 지속적인 가이드라인을 제공하여 기업의 GDPR 준수를 도울 것을 약속함

▶ RSA 최고보안설계자 Rashmi Knowles는 기업들의 GDPR 준비 현황과 GDPR 준비 과정에 있어서 봉착할

수 있는 문제점들을 정리하였음

• 2017년 10월 포레스터 컨설팅이 조사한 결과에 따르면, GDPR을 적용받는 기업의 42%가 소수로

꾸려진 대응팀으로 GDPR 준수에 대비하고 있으며 오직 18%가 DPO(Data Protection Officer)를

임명하여 전문적인 위험관리 프로그램을 운영하는 것으로 나타남

- 또한 GDPR을 준수하기 위한 기업 내 기술적, 관리적, 정책적 요소에 대한 신뢰도는 모두 50%

미만으로 기업들이 GDPR을 적극적으로 대응할 수 있는 능력을 갖추고 있다고 보기 어려움

• 기업들은 GDPR 준수를 위해 사업방식의 변화, 데이터 식별 및 정보주체 권리행사에 대응하기 위한

시스템 구축 비용, 정책의 복잡성, 과징금의 공포 위기에 봉착해 있으며 이를 점진적으로 해결해

나가려면 GDPR 시행 이후에도 많은 시간이 소요될 것으로 예상됨

▶ ‘GDPR : 미래의 국제 규제(GDPR: The Future of International Regulation?)’ 세션에서는 미국과 인도의

정부기관과 민간보안업체 관계자들이 모여 GDPR이 아시아·태평양 국가들에 미치는 영향을

논의하였고, 이는 GDPR이 향후 아시아 국가들의 개인정보보호 법률의 롤 모델이 될 수 있음을 시사함

▶ GDPR의 세미나에서 언급된 핵심내용들은 다음과 같음

• 개인정보 이슈 발생시, 해당 기업의 총매출 4% 또는 2000만 유로의 과징금에서만 끝나지 않으며,

정보주체의 피해에 대한 보상과 구제가 이루어져야 함

• ‘명백한 동의‘ 는 GDPR에서 요구하는 6가지 법적기준 중 하나일 뿐, 상황에 따라 다른 기준이 적용될

수 있음

예) 계약의 필요성(Necessary for Contract), 응급상황(Vital Interest of Person) 등


17

• GDPR은 신규 서비스 제공자들에게 비관세장벽으로 자리 잡을 수 있음

• 자동화된 개별 의사 결정/프로파일링(Automated Decision-making)을 이용할 경우에는 법적 요구사항이

있거나 정보주체의 명백한 동의가 필요함

• 침해 발생 시 규제기관에게 즉각 보고하되, 침해로 인한 피해규모가 낮을 경우 규제기관과 상의하여

해당 정보주체에게 통보 여부를 정함

• 아-태평양 지역에서 GDPR을 모델로 한 프라이버시 법률이 생겨나고 있음

• GDPR 적정성 평가를 통과한 국가는 비교우위를 가질 수 있음

- 적정성 평가는 제3국이 개인정보 보호를 위한 적정한 수준을 갖추고 있는지를 심사해 EU 시민의

개인정보를 이전·처리할 수 있도록 허용하는 제도

클라우드에 보관된 개인정보 유출사고 증가

▶ 파괴적인 랜섬웨어의 등장으로 외부 클라우드를 이용한 백업 증가

• Raj Samani 맥아피 수석연구원의 ‘클라우드 보안위협(Appetite for Destruction – The Cloud

Edition)’에 의하면 2017년 변종 랜섬웨어(Pseudo-Ransomware)들의 출현 이후 클라우드에 중요

정보를 백업하는 기업이 늘어난 것으로 나타남

• 맥아피가 전 세계 기업의 IT전문가 1,400명을 조사한 결과, 이 중 83%가 고객정보를 포함한 중요

데이터를 클라우드에 백업하였다고 응답

• 특히 2017년 6월 출현한 낫페트야(NotPetya) 랜섬웨어가 우크라이나, 유럽, 미국, 인도의 민간사업체와

주요 사회기반 시설을 마비시킨 것을 계기로 기업이 보유하고 있는 고객정보 및 데이터의 외부 백업

중요성이 대두되었음

• 낫페트야는 2016년 처음 출현한 페트야(PETYA)의 변종으로 윈도우 사용자 접근제어를 얻은 후 하드

드라이브의 로드맵 역할을 하는 파일시스템의 일부인 마스터 파일 테이블을 암호화함

- 낫페트야는 기존 페트야 랜섬웨어와 달리 SMB 프로토콜 취약점을 악용하여 네트워크와 연결된

백업서버까지 전염시키는 파괴력을 보임

- 또한, 낫페트야는 표면적으로 비트코인을 요구하는 랜섬웨어로 보이나, 사실은 데이터를 복구할 수

없도록 망가뜨리는 특정 국가를 겨냥한 국가주도의 공격이었음

▶ 고객정보를 포함한 기업의 주요 데이터들이 클라우드로 이전되는 사례가 늘어남에 따라 클라우드

저장소(Cloud Storage & Repository)를 타깃으로 한 공격이 증가하는 추세

• 미국 사이버보안 전문교육기관인 SANS 인스티튜트는 ‘최근 가장 위험한 5가지 공격기법(The Five

Most Dangerous New Attack Techniques, and What's Coming Next)’에서 클라우드 저장소를

공격하는 사례가 빈번해졌다고 발표함


18

• 2017년에는 버라이즌, 타임즈 워너, 우버 등이 클라우드 저장소 설정 오류로 고객데이터를 대량

유출하는 사건에 휘말렸고 이외에도 페덱스, 다우존슨, 미국 육군 정보보안사령부가 클라우드 설정

오류로 민감한 데이터를 유출함

• 이들 기업들은 아마존웹서비스(AWS)의 S3(Simple Storage Service)를 위한 컨테이너인 ‘버킷’의 접근

권한을 일반 사용자도 허용도록 설정함으로써 공격자가 쉽게 중요 데이터에 접근할 수 있었음

그림 3_ AWS 버킷의 Permissions 탭에서 Any Authenticated AWS User(기본그룹)에게

접근을 허용할 경우 공격자는 클라우드 내 정보를 쉽게 탈취 가능

• 현재 공격자들은 오픈 소스 코드 저장소인 GITHUB를 활발히 돌아다니며 AWS 클라우드 서비스의

인증정보(Credential)를 찾는데 주력하고 있으며, 공격자들은 다수의 기업 계정 접속에 성공하여 클라우드

저장소에 보관된 개인정보를 탈취하거나 리소스를 암호화폐 채굴(Cryptomining)에 악용하고 있음

▶ 클라우드에 보관된 개인정보를 보호하기 위해서는 중요 데이터의 자산관리와 기술적 보호조치가 필요함

• (관리측면) ‘데이터 인벤토리(Data Asset Inventory)‘를 운영하여 중요 데이터 자산을 식별하고 관리해아

하고 인증정보를 외부에 노출시키지 않도록 개발자들을 교육시키고, 아키텍처를 데이터 중심으로 설계

• (기술적 측면) 무료 툴인 Git-Seekret, Git-secrets, Gitrob 등을 이용하여 개발자들이 Github 등에

인증정보를 남기지 않도록 예방하고 이외에도 Amazon Macie for S3, Azure SQL Threat Detection,

Google Cloud DLP API 등을 사용하여 인증정보, 키, 개인정보 등을 클라우드 저장소에서 검색 할 수 있음

BigID, 올해의 가장 혁신적인 보안 스타트업으로 선정

▶ ‘2018 RSA 이노베이션 샌드박스’ 결선에 진출한 10개 업체 중 개인정보보호 기술업체인 BigID가 최종

우승자로 선정됨

• ‘RSA 이노베이션 샌드박스’는 매년 가장 혁신적인 보안 스타트업을 선정하는 대회로, 지난 2005년 처음

개최된 이래 RSAC의 대표적인 이벤트, SourceFire, Imperva, Phantom 등 이전 대회에 참가해 우승한

업체들은 대형보안회사에 인수되거나 성공적인 기업공개를 이루었음


19

• 연간 500만 달러 이하의 매출 기업, 출시된 지 1년 이하의 제품, 고객사에서 검증된 제품만 대회에

참가할 수 있으며 현 보안문제를 독창적으로 풀어낼수록 높은 평가를 받음

• 결선 당일 10개의 업체가 각 3분가량의 프레젠테이션을 발표 후 전문위원들이 우승자를 선정

• 2018년 이노베이션 샌드박스 우승자인 BigID는 미국-이스라엘 개인정보보호 업체로 머신러닝과

아이텐디티 인텔리젠스(identity intelligence)를 이용하여 페타바이트급 규모의 고객정보를 관리할 수

있는 제품을 출시하였음

그림 4_ BigID의 CEO Dimitri Sirota가 이노베이션 샌드박스 결선 발표

• BigID는 GDPR이 코앞에 다가오면서 기업들은 현재 어떠한 개인정보 데이터(Whose, Where, What

Data)를 가지고 있는지, 어떻게 이용되고 있는지, 잠재적인 리스크는 무엇인지 해답을 줄 수 있는

솔루션 도입이 필수사항이 되었다고 발표함

- 또한 데이터 중심 프라이버시 설계(Data-Driven Privacy Framework)로의 전환만이 GDPR을

효과적으로 준수할 수 있다고 하였음


20

RSA 컨퍼런스 2018의 엔드포인트 보안 트렌드

권혁재 바이오닉스진 차장([email protected])

• (現) ㈜바이오닉스진 차장

키워드로 정리한 2018 RSA 컨퍼런스

▶ 올해 RSA 컨퍼런스는 클라우드(Cloud)가 주요한 이슈로 주목을 받음

• 클라우드는 단연 핫 키워드로 전면에 대대적으로 클라우드라는 단어를 내세운, 제품의 공급

형태나 보안 대상이 클라우드인 제품군이 매우 많았고 클라우드 서비스 명칭을 직접적으로 홍보

• 클라우드 기반의 보안 제품, 클라우드를 보호하는 제품, SaaS 형태의 퍼블릭 클라우드 어플리케이션(예.

오피스 365, 세일즈포스 등)을 보호하는 제품 등 다양하게 등장

• SaaS 어플리케이션을 보호하는 제품으로는 대표적으로 MS 오피스 365에 보안을 강화하는 형태의

제품이 다수를 차지

(예 : 시만텍 오피스 365 보안 솔루션의 DLP, 그레이드혼(GreatHorn)의 오피스 365 이메일 보안 등)

• 특히 ‘클라우드 접근 보안 브로커(CASB)’ 제품군이 눈에 띄었으며(Skyhigh, Bitglass, FortiCASB 등),

CASB 제품을 통해 조직 내 클라우드 서비스의 가시성을 확보하고 보안을 강화

• 대형 벤더들의 CASB 인수를 적극적으로 추진하는 것으로 판단했을 때, CASB의 시장규모가 더욱

빠르게 성장할 것으로 예상됨(맥아피의 스카이하이 인수, 시만텍의 블루코트 인수, 시스코의

클라우드락 인수 등)

▶ 대응(Response)이라는 키워드도 다양한 사이버보안 분야의 제품들에서 사용되는 추세

• 대응의 개념은 위협이 발생하기 이전에 사전 대응하는 방안도 있지만 최근의 트렌드는 이미 위협은

발생했다는 가정 하에 그 위협을 얼마나 빠르게 탐지(감지) 하고 대응할 것인가에 많은 초점을 맞추고 있음

• 많은 사용자 혹은 단말 그리고 다양한 장비들에서 수집되는 데이터에서 위협을 행위 기반 혹은

인공지능(머신러닝 등) 기술들을 활용해 찾아내고 있음

• 또한 업무 흐름(Work Flow) 등을 자동화(Automation)하는 사고 대응 플랫폼(Incident Response

Platform)들을 많이 선보였으며, 이 영역에서는 대응의 관점과 함께 자동화(Automation)이라는

키워드도 단연 눈에 띄었음

• 엔드포인트 보안 제품들도 대응의 중요성을 강조 : 대표적으로 EDR이 있으며, 데이터 유출을 탐지하고

대응하는 데이터 손실 감지 및 대응(Data Loss Detection & Response) 등의 제품들이 있음


21

• 전통적인 보안이 사전에 위협을 차단하는데 집중했다면 이제는 좀 더 현실적으로 모든 위협을 사전에

차단할 수 없다는 것을 받아들이고, 얼마나 빠르고 잘 위협을 탐지하고 대응하느냐가 관건이라고 판단됨

▶ 유럽개인정보보호법(GDPR) 대응과 최종 사용자단 엔드포인트(Endpoint) 대응 역시 중요한 주제로

논의됐음

• 올해 5월부터 시행되는 유럽의 개인정보보호규정인 GDPR(General Data Protection Regulation)은

RSA에서도 큰 이슈로 참여한 많은 기업들이 다양한 방법으로 GDPR에 대비하는 솔루션들을 전시를

진행했고 제품 외에도 GDPR 관련 발표 세션도 30개 넘게 진행

• 기존 네트워크 보안 영역을 영위하던 벤더들도 엔드포인트 보안으로 영역을 확장(파이어아이,

팔로알토 네트웍스, 시스코 등)

• 전통적인 엔드포인트 보안 제품군인 엔드포인트 보안플랫폼(EPP) 등과 관련된 제품보다 엔드포인트

탐지대응(EDR), 차세대 안티 바이러스(NGAV) 제품 등 차세대 제품들의 대거 등장 및 벤더들의 전시

규모 확장이 눈에 띄었음. 인증, 암호화 등을 통해 IoT 기기의 보안을 강화하는 플랫폼을 선보인

기업들이 다수 등장해 엔드포인트의 범위가 더욱 확장

그림 1_ RSA 컨퍼런스의 보안 기업들이 선보인 차세대 기술

* 차세대 안티 바이러스 솔루션을 선보인 사일런스(Cylance)의 부스 모습

핵심 키워드에서 제외된 인공지능(AI) 관련 이슈들

▶ 지난해 2017 RSA 컨퍼런스에서 인공지능(AI) 관련 키워드가 많아 올해에도 가장 많이 접할 것이라고

예상한 키워드인 ‘AI’를 전면에 내세운 전시관은 거의 찾아볼 수 없었음

• 하지만 실제로 기업들의 제품 및 솔루션 브리핑이나 데모에 참여해서 보면 AI 기술이 많이 활용되고

있고, 이해하기 난해하고 너무 범위가 폭넓은 인공지능(AI)이라는 키워드를 전면에 내세우기보다는

하나의 요소 기술로써 많은 보안 솔루션 제품에 포함되어 있다고 생각됨

• 대표적으로 NGAV(Next Generation AntiVirus)나 EDR(Endpoint Detection and Response) 등에서도

인공지능 기술을 활용해 악성코드나 위협을 탐지하고 있으며, 통합보안관제시스템(SIEM) 플랫폼과


22

같은 인시던트 대응(Incident Response) 제품에서도 이상 행위(Anomaly or Fraud) 등을 탐지하기 위해

인공지능 기술을 활용하고 있음

• 한편 전시에서는 AI라는 키워드를 많이 볼 수는 없었지만, 실제로는 많은 기업들에서 인공지능 기술을

활용 중으로 추상적인 인공지능 보안이라는 개념보다 실질적으로 활용하는 하나의 기술로서 받아들여지는

분위기(RSAC 혁신 콘테스트에 참여한 10개의 스타트업 중 5개 이상이 실제 인공지능 기술을 활용)

엔드포인트 보안의 새로운 흐름 EDR

▶ RSA 컨퍼런스에서 EDR에 대한 참석자들의 뜨거운 관심과 벤더들의 성장이 돋보였음

• 사이버리즌(Cybereason), 카운터택(CounterTack), 크라우드 스트라이크(CrowdStirke), 엔드게임(Endgame),

카본 블랙(Carbon Black), 디지털 가디언(Digital Guardian) 등 많은 EDR 전문 벤더들이 전시에 참여

• 다수의 EDR 벤더들이 AV를 대체할 수 있다고 홍보했으며 일부 벤더들은 AV 엔진을 탑재, 또한 행위

기반, 머신러닝 등의 기술들을 활용해 다양한 위협을 탐지한다고 설명

그림 2_ RSA 컨퍼런스의 전시된 EDR 업체

[크라우드 스트라이크 부스] [카운터택 부스]

• EDR이 무엇을 하는 제품인지 정체성에 대한 논의도 활발했으며, EDR 개발 기업들은 EDR이

엔드포인트에서 수집되는 다양한 데이터를 실시간으로 기록하고 조회할 수 있고 조직 내의

엔드포인트에 대한 위협 현황 등을 한눈에 확인할 수 있도록 하여 가시성을 확보해 준다고 설명

• 알려진 혹은 알려지지 않은 랜섬웨어, 멀웨어 등을 탐지하며 위협 인텔리전스와 IOC(침해탐지지표)를

활용한 탐지, 평판 정보 활용, 행위 기반 분석, 인공지능 기술 등을 활용해 위협을 탐지하는 것이

특징. 위협의 탐지에 있어서 차세대 안티 바이러스(NGAV)와 명확한 영역 구분이 모호하지만

NGAV는 위협 헌팅 플랫폼, 엔드포인트 가시성 확보 등에서 EDR에 뒤쳐짐


23

엔드포인트 보안의 진화 : 디셉션(Deception) 기술

▶ RSA 행사에서는 공격자들을 속여서 조직 내에 이미 침입해 있는 공격자(악성코드)를 탐지하고 분석,

대응하는 디셉션(Deception) 기술이 주목받음

• 지난해 RSA에 비해 기만 기술 관련 전시 업체가 늘었으며, RSA 공식 사이트에서 제공하는 디셉션 기술

기반 보안 카테고리에 등록된 전시 업체는 총 24개로 디셉션 기술만 전문적으로 하는 기업도

5곳(애티보네트웍스, 사이메트리아, 일루시브 네트워크 등) 이상 참여

• 디셉션 기술은 네트워크 보안, 엔드포인트 보안 등 다양한 분야에서 활용되고 있고, 디셉션 기술을

활용한 엔드포인트 보안 기술도 주목받는 상황

• 허니팟이 네트워크 상에 위치해 수동적으로 들어오는 공격을 탐지했다면 디셉션 기술은 조금 더

능동적으로 조직 내부의 공격을 탐지하기 위해 다양한 시도를 하고, 공격을 탐지하기 위한 미끼들로

공격자를 유도하기 위해 정교하게 단서들을 만들어 엔드포인트, 네트워크 등에 배치시킴

• 디셉션 기술은 대표적으로 위협이 이미 조직 내부에 존재하고 있고, 이 위협이 더 주변으로 확산되기

전에 탐지하기 위한 방안을 제시, 엔드포인트에 다양한 단서들을 배치(쿠키, 서버 접근 정보, 로그인

정보 등) 하고 공격자 혹은 악성코드 등이 PC 내의 정보를 스캔해 측면 확산 등을 시도 시, 단서들을

활용해 미끼(Decoy)에 접근하도록 유도

• 디셉션 기술은 미끼에 접근하는 행위들을 모두 기록하고 정보 제공하는데, 미끼는 다양한 형태로 구성

가능(생성 가능한 미끼는 서버, 엔드포인트 등으로 실제 운영 환경과 유사하게 정교한 미끼를 생성)

• 제품에 따라 상이하지만 미끼에 의해 위협이 탐지되면, 해당 엔드포인트를 네트워크에서 격리하는 등

실시간 대응하고 대응 방안을 미리 지정한 정책 혹은 흐름(Flow)에 따라서 자동화함

• 디셉션 기술을 활용하는 스타트업 얼루어 시큐리티(Allure Security)는 공격자를 속이기 위해 매우

정교하고, 실제 중요 문서(기술, 도면 등)와 유사하게 미끼를 생성하는 기술을 보유

• 정교하게 생성된 미끼 파일을 비콘화(Beaconize)해 유출되었을 때, 유출된 위치 등을 추적 가능하고

미끼 파일 뿐만 아니라 정상 파일(오피스 문서, 캐드 등)들도 비콘화해 추적 가능하며 일반적인 중요 문서의

이동(Flow)을 행위 분석 등을 통해 정상과 비정상을 학습하고, 이상 행위가 발견 시 알림 및 추적


24

RSA 컨퍼런스 2018로 본 위협 인텔리전스와 SOC & AI 정일옥 이글루시큐리티 관제기술연구팀장([email protected])

• (現) ㈜이글루시큐리티 관제기술연구팀장

• (現) 제 3기 사이버보안전문단

• (前) ㈜이글루시큐리티 보안분석팀장

RSA 컨퍼런스 2018과 위협 인텔리전스

▶ RSA컨퍼런스에서 2017년도에 비해 많은 업체에서 위협 인텔리전스(Threat intelligence)를 주요

키워드로 다뤘음

• 작년에는 위협 인텔리전스에 대한 개념과 어떻게 사용할 것인가에 대한 주제가 전반적이었다면 올해의

경우 위협 인텔리전스가 시장에 정착해 인텔리전스 사용의 문제점과 이에 대한 해결책이 주된 이슈였음

• 전시회에서는 주요 회사들이 위협 인텔리전스에 관한 내용을 선보였음. 방대한 양과 화려한 인터페이스가 주를

이뤘고 소규모 회사들도 쓰레트쿼션트(ThreatQuotient), 쓰레트커넥트(ThreatConnect), 쓰레트매트릭스(ThreatMatrix)

등 위협 인텔리전스 영역에서 각자의 전문화 된 서비스를 선보임

• 전시회에 위협 인텔리전스라는 분야로 참가한 업체 중 130여개 업체가 위협 인텔리전스를 지원하거나

제공 중으로, 이는 2017년 80여개의 업체에 비해 확대된 수준

그림 1_ 브레드 스미스 마이크로소프트 사장의 RSA 기조강연 모습과 주요 키워드


25

위협 인텔리전스에 관한 주요 발표들

▶ 저스틴 몬티 MKA사이버(MKACyber) 최고기술책임자(CTO)는 위협 인텔리전스가 현재의 위협

인텔리전스의 이슈에 대해 너무 많은 피드(Feeds)에서 무차별적으로 데이터가 수집되고 있으며 이는

곧 분석가의 업무를 가중시키는 일을 초래한다고 지적

• 이를 해결하기 위해 보안관제센터(SOC) 방법론에 위협 인텔리전스 매니지먼트 프로세스 접목이

필요하고, 이는 Feeds를 결정할 때 비즈니스 및 내부의 위험도를 고려한 위협 모델링 기반의 우선 순위

지정 등이 이루어져야 한다고 언급

그림 2_ 보안관제센터(SOC) 팀의 활동 방법론

▶ 할 로나스 웹루트(Webroot) 최고기술책임자(CTO)는 검증되지 않은 소스로부터 수집된 정보가

유용하지 않다고 지적

• 현재 수집되는 위협 인텔리전스 정보는 샌드박스(Sandboxes), 크롤러(Crawlers), 허니팟(Honeypots),

다양한 피드(Feeds), 검증되지 않은 소스로부터 수집되고 있고 이러한 위협 정보들은 ‘리얼 위협

인텔리전스(Real Threat intelligence)’가 될 수 없으며 실제 장비에서 수집되고 분석 되어진 리얼 위협

인텔리전스가 필요하다고 설명

• 이러한 리얼 위협 인텔리전스를 모으기 위해서는 OODA(Observe, orient, decide, act) 프로세스를

제안하고 수많은 데이터 가운데 이를 가능하게 하기 위해서는 머신 러닝이 현재는 가장 좋은

방법이라고 이야기함

• 네트워크 업체 시스코 내의 사이버보안에 대한 위협 인텔리전스를 수집 및 연구하는 조직인 시스코

탈로스(Cisco Talos)는 인텔리전스 수집 방법에 대해 설명


26

- 시스코 탈로스에서 만들어진 인텔리전스 정보는 시스코 보안 솔루션에 적용되고 일부 보고서 외부에

공개하여 기존 시스코가 인수한 소스파이어(Sourcefire)의 스노트(Snort) 커뮤니케이션과 ClamAV

등의 오픈 커뮤니티를 통한 정보 확보가 탈로스의 장점. 다만 아직 많은 데이터 및 정보가 쌓여있지는 않음

주목받은 보안관제센터(SOC) 모델

▶ 보안관제센터(SOC)는 사이버 상에서 발생하는 이상 현상을 사전에 탐색하고 침해사고에 대해 대응하는

사람(People), 프로세스(Process), 기술(Technology)로 구성된 센터로 RSA에서는 보안관제센터에 대한

세션에 많은 참석자들이 몰리면서 관련 발표 세션도 조기 마감되기도 함

그림 3_ 보안관제센터(SOC) 모델

• 마르타 팔랑쿠스 ADP 보안 수석 컨설턴트와 제임스 루가비흘 ADP 정보 보안 이사는 SOC에

효율적인 운영을 위해서는 METRICS 기법을 사용, 위험 프레임워크와 SOC의 통합이 필요하다고 지적

및 또한 이를 위해서 2년 전에 제시한 GQIM(The goals, questions, indicators, measures) 프로세스에

대한 적용 및 성과에 대해 언급함

그림 4_ RSA에서 제시된 위협 대응 프로세스


27

• 또한 예방 기반 구조(Prevention-based Architecture)를 제시하면서 확인(Identify), 완화(Mitigate)가 중시되는

환경에서 향후에는 조사(Investigate)에 대한 비중을 높여야 하며, 향후 이런 체계로 바뀔 필요성 제시

• 미국 국가안보국(NSA)은 RSA 행사에서 사이버시큐리티 SOC에 대해 설명하면서 국가 간 사이버전쟁은

지속적으로 증가 중으로 이에 대한 대응 방안도 변경이 필요하고 실제 수행 가능한 SOC 5가지 원칙을 언급함

- 5가지 원칙은 ‘방어할 수 있는 경계선 수립(Establish a defendable perimeter)’, ‘네트워크 전반에 대한

가시성 확보(Ensure visibility across the network)’, ‘최선의 방안 강화(Harden to best practices)’, ‘위협

인텔리전스와 머신러닝 활용(Use comprehensive threat intelligence and machine learning)’,

‘호기심을 가지는 문화를 만들기(Create a culture of curiosity)’ 였음

그림 5_ 미국 NSA의 사이버보안 위협 관리 센터

보안에 적용된 머신러닝과 인공지능(AI)

▶ 머신러닝은 올해 RSA 세션 발표에서 처음으로 등장한 세션 중 하나로 보안의 핫이슈로 모두가 현재의

정보보안 이슈를 해결할 수 있는 방안으로 인공지능(AI) 세대를 이야기하고 있지만, 이것을 통한

구체적인 방안을 제시하지는 못하고 단지 인간의 손과 발이 많이 들어가는 부분에 대해 보완하는 수준

• 크리스 모랄레스 벡트라(Vectra) 보안분석가는 인공지능을 통해 네트워크의 가시성을 확보할 수 있으며,

이는 분석가의 업무 부담을 줄이고 위협을 찾는 시간을 단축시켜, 사고대응에 대해 신속하게 대응

가능하다고 지적

- 그는 머신러닝의 자원 및 시간의 효율적인 사용을 이미 개발된 알고리즘을 사용하는 트랜스퍼 러닝 사용을

제안했으며 또한 마이크로소프트 애저(Azure)에서의 악성코드 탐지, 난독화 된 파워쉘(PowerShell) 실행

등 데모를 시연

• 필자는 인공지능 또는 머신러닝이 보안솔루션이나 프로세스에 어떤 영향을 미칠까 기대를 하며 이번

컨퍼런스에 참여했지만, 아직까지는 초기단계로 생각되고 이에 대한 성과 및 활용은 내년을 기약할

것으로 보여짐


28

RSA 컨퍼런스 2018 전시회 글로벌 보안 트렌드홍동철 엠시큐어 대표([email protected])

• (現) ㈜엠시큐어 대표

• (前) 에스이웍스 이사

• (前) 쉬프트웍스 연구개발 부장

전시회 그리고 클라우드 보안

▶ 올해 RSA 컨퍼런스 전시회의 보안 트렌드라고 하면, 단연 클라우드(Cloud) 서비스와 가상현실(VR)

기기로 보여짐

▶ 이번 RSA에서는 30여개 한국 기업을 포함해 다수의 보안 기업이 참가하며 참가 기업 중 260여 기업이

클라우드 보안이나 가상화 기술과 관련된 것으로 나타남

• 국내는 보안 규칙상 자사에 서버를 두고 서비스하는 형태를 선호하지만, 세계시장에서는 이미

클라우드 서비스로 비즈니스를 하는 모델을 쉽게 찾아볼 수 있음

• 세계 시장의 클라우드 서비스는 거리 제약을 해소시켜주는 장점이 있기 때문에 트렌드가 변화하는

것으로 보임

그림 1_ 전시회 RSA 부스의 클라우드(구름) 모형

• 전시회장에는 맥아피(McAfee), 시만텍(symantec), 포티넷(Fortinet), 팔로알토네트웍스(Palo Alto

Networks) 등 유명한 보안기업이 참가했는데, 이들 기업 부스는 물론 전시장 곳곳에서 클라우드

문구를 확인할 수 있었음


29

- 팔로알토네트웍스는 이미 5~6년 전부터 클라우드로 서버 서비스 환경을 구축해 서비스하고 있었으며,

미국을 포함해 대부분의 네트워크 환경을 오래 전부터 클라우드로 서비스를 하고 있었다고 함

- 클라우드 서비스는 아마존 웹 서비스(AWS)를 사용해 구축하며, 방화벽, 가상사설망(VPN) 등 네트워크

상의 모든 장비를 AWS를 활용, 구축해 서비스를 진행함

클라우드 서비스

▶ 클라우드 서비스의 종류는 IaaS, PaaS, SaaS 등이 있음1

• IaaS(Infrastructure as a Service)

- 서버를 운영하기 위해서는 서버 자원, IP, 네트워크 장비, 스토리지, 전력 등 인프라를 구축하기 위한

다양한 장비가 필요한데, IaaS는 이러한 것들을 가상의 환경에서 편하게 이용할 수 있게 서비스

형태로 제공함

- 이러한 장비들을 서비스로 제공하기 위해 오프라인으로 한 개씩 서버를 임대하는 형태보다 확장성이

좋고 탄력적이며 빠르게 제공할 수 있도록 물리적으로 한 대의 서버에 논리적으로 여러 개의 서버를

만들 수도 있고 물리적으로 여러 대의 서버를 묶어 논리적인 한 대의 서버로 만들 수도 있는 가상화

기술 활용

- IaaS는 PaaS, SaaS의 기반이 되는 기술임

• PaaS(Platform as a Service)

- PaaS는 개발자를 위한 서비스로, 고객이 애플리케이션을 개발, 실행, 관리할 수 있게 하는 플랫폼을

제공. 고객이 플랫폼을 구축할 필요 없이 개발요소들을 빌려 쓸 수 있게 하는 모델임

- 서비스를 개발할 수 있는 안정적인 환경과 그 환경을 이용해 응용 프로그램을 개발할 수 있는 API까지

제공함

- 개발자들이 기반 시스템에 대해 신경 쓰지 않고 앱을 개발하고 테스트할 수 있게 해주며 서버 설비와

관련된 모든 작업이 개발자가 인지하지 못하는 사이에 백그라운드에서 자동으로 이뤄짐

• SaaS(Software as a Service)

- SaaS는 클라우드 환경에서 동작하는 프로그램을 서비스 형태로 제공함

- 사용자는 일반적으로 웹 브라우저로 인터넷을 통해 해당 서비스에 연결하며 모든 기본 인프라,

미들웨어, 소프트웨어, 데이터는 서비스 공급자의 데이터센터에 있음

1. https://www.networkworld.com/article/2163430/cloud-computing/paas-primer--what-is-platform-as-a-service-and-why-does-it-matter-.html


30

그림 4_ 클라우드 서비스 및 하드웨어 아키텍처2

[출처] 2011 IEEE MARCH/APRIL Understanding Cloud Computing Vulnerabilities

주요 클라우드 서비스

▶ 클라우드 보안 서비스를 제공하기 위해서 서비스하는 대상이 어떤 목적인지에 따라 아마존 웹

서비스(AWS), 마이크로소프트 애저(Azure), 구글 클라우드를 사용하기도 함

• 아마존 웹 서비스(AWS : Amazon Web Service)

- 아마존 웹 서비스(AWS)는 아마존닷컴이 제공하는 클라우드 서비스로 전 세계에서 가장 큰 클라우드

서비스를 제공함

- 가입만 하면 가장 가벼운 클라우드 서버에 대해 1년간 무료 라이선스를 제공해 비교적 자주 사용하는

서비스임

- 하지만 복잡한 사용방법과 과금체계로 인해 많은 사용자가 지속적으로 교육을 받아야 하고

과금체계를 정밀하게 확인해야 하는 단점이 있음

• 마이크로소프트 애저(Azuer)

- AWS와 경쟁되는 서비스인 마이크로소프트 애저는 2010년 시작됐으며, 2011년 PaaS에 이어 2013년

IaaS 서비스를 시작함

2. 2011 IEEE MARCH/APRIL Understanding Cloud Computing Vulnerabilities


31

• 구글 클라우드(Google cloud)

- 구글 클라우드는 AWS, 애저와 비슷한 서비스지만, 머신러닝 등의 빅데이터를 처리하기 편리한 것이

특징임3

- RSA 컨퍼런스 현지 엔지니어들과의 대화에서 PasS 서비스를 제공하기에는 AWS와 애저가 좋고

머신러닝과 같은 딥 학습을 위해서는 구글 드라이브가 좋다는 의견을 받음

클라우드 보안

▶ 기업들이 사용하는 서비스와 그에 따른 데이터들이 클라우드 환경으로 변경되면서 클라우드

환경에서의 보안 문제가 크게 대두되고 있으며, 이번 RSA 컨퍼런스도 키노트에서부터 클라우드

컴퓨팅의 보안 위험이 언급됨

• 미국에서는 클라우드 시스템의 보안 문제를 해결하기 위한 협회인 CSA(Cloud Security Alliance)가 설립됨

- CSA는 2008년 결성되고 2009년 네바다에서 법인이 설립된 미국 연방의 비영리 단체임4

- 이번 RSA 컨퍼런스에서는 CSA 협회가 CSA 서밋(Summit) 세션을 만들어 ‘Cloud 2018: Enterprise

Grade Security’를 주제로 발표와 논의를 함5

- 최근 CSA는 업계 전문가를 대상으로 클라우드에서 가장 큰 보안 문제에 대한 설문조사를 하고 상위

12가지 문제에 대한 결과를 공개함6 항목과 그 설명은 아래와 같음

그림 5_ 클라우드 보안 협회 CSA(Cloud Security Alliance)

3. https://cloud.google.com/products/machine-learning/?hl=ko#guides4. CSA Cloud Security Alliance, https://cloudsecurityalliance.org/5. CSA Summit: Cloud 2018: Enterprise Grade Security, https://www.rsaconference.com/events/us18/agenda/sessions/11391-CSA-Summit-Cloud-2018-Enterprise-Grade-Security6. https://www.csoonline.com/article/3043030/security/12-top-cloud-security-threats-for-2018.html


32

• 설정 잘못으로 인한 데이터 유출(Data Breachs)

- 실제로 공격의 대상이 돼 유출될 수도 있지만 간단하게 취약점이나 보안 경험이 없는 운영자의 실수로

발생할 수 있는 취약점

- 개인건강정보, 재정정보, 개인식별정보, 영업비밀 및 지적재산을 포함해 공개를 목적으로 하지 않는

모든 종류의 정보가 포함될 수 있음

- 실제로 외부에 공개된 데이터 수집의 경우 공격자에게 가치 있을 수 있음

- 이 위험은 클라우드에만 통용되는 것은 아니지만 클라우드 고객에게는 간단한 설정만으로 데이터가

유출될 수 있는 가능성이 있어 최고의 관심사로 뽑힌 것으로 보임

• 잘못된 ID, 자격증명, 권한관리 문제(Insufficient identity, credential, and access management)

- 클라우드 컴퓨팅에서는 ID나 계정, 권한을 온라인 상에서 직접 설정하게 됨

- 여기에 문제가 발생하면 운영자나 개발자로 가장해 로그인한 뒤 데이터를 읽고 수정하고 삭제할 수

있음

- 결과적으로 ID, 자격증명(Credential), 키 관리가 충분하지 않으면 데이터에 대한 무단 액세스가

가능하고 치명적인 손상을 줄 수 있음

• 안전하지 않은 인터페이스 및 API(Insecure interfaces and application programming interfaces(APIs))

- 클라우드 공급자는 고객이 클라우드 서비스를 관리하고 사용하는 일련의 소프트웨어 사용자

인터페이스(UI)나 API를 공개함

- 관리 및 모니터링은 모두 이러한 인터페이스를 통해 수행되며 클라우드 서비스의 보안은 API 보안에

따라 결정됨

- 클라우드의 인터페이스나 API 제공자는 이러한 정책을 우회하려는 공격으로부터 보호할 수 있도록

설계돼야 할 것임

• 시스템 취약점(System vulnerabilities)

- 시스템 취약점은 공격자가 시스템에 침투해 제어를 획득하거나 데이터 유출 혹은 서비스를 방해할

수 있는 취약점을 말함

- 특히 클라우드는 가상화로 다양한 조직의 시스템이 서로 가깝게 공유 메모리를 사용하고 리소스에

액세스 할 수 있게 구성돼 있어 매우 위험함

- 최근에 발생한 중앙처리장치(CPU) 취약점인 멜트다운(MeltDown)과 스팩터(Spectre Variant)

취약점은 클라우드 시스템에서 얼마나 많은 사용자가 타격을 받을 수 있는지를 보여줌7

7. http://www.etnews.com/20180107000027


33

• 계정 가로채기(Account hijacking)

- 공격자가 사용자의 자격증명 파일을 가져오거나 접근할 수 있다면 다양한 공격에 활용될 수 있음

- 자격증명을 가져온 공격자는 해당 서버의 데이터를 가져오는 것뿐만 아니라 데이터를 조작하고

변조하며 악성코드를 배포할 수 있음

• 악의적 내부자(Malicious insiders)

- 시스템 관리자와 같은 내부자는 민감한 정보에 액세스 할 수 있으며 중요한 시스템과 데이터에 대한

접근 권한 수준을 높일 수 있음

- 보안을 클라우드 서비스 제공업체에만 의존해야 하는 시스템은 많은 문제가 발생할 수 있음

• APT 공격(Advanced persistent threats)

- APT는 지능적 지속 위협(Advanced Persistent Threats)으로, 지능적, 지속적으로 특정 대상을 공격하는

것임

- APT 공격은 불특정 다수를 노리는 공격과는 달리 하나의 대상을 목표로 지속적으로 공격함

- 클라우드도 APT 공격의 논의에서 벗어날 수 없음

• 데이터 손실(Data loss)

- 클라우드 서비스 공급자의 실수로 데이터가 삭제될 수 있고, 화재, 지진과 같은 물리적 재앙의 경우

클라우드 사용자가 데이터를 백업하는 등의 적절한 조치를 취하지 않는 한 데이터가 영구 손실될

수 있음

- 필자도 클라우드 서버의 오류로 데이터가 손실된 경우가 있었는데, 이 경우 클라우드 서비스는 서버에

대해 물리적으로 재부팅 혹은 하드를 복구하지 못하는 치명적인 단점이 있음

• 불충분 한 서비스 검증(Insufficient due diligence)

- 비즈니스 전략을 수립할 때 클라우드 기술과 서비스 공급자를 고려해야 함

- 기술 및 공급 업체를 평가할 때 올바른 로드맵과 점검 목록을 마련해야 함

• 오남용과 클라우드 서비스의 악용(Abuse and nefarious use of cloud services)

- 클라우드 서비스에 무료 사용기간이나 트라이얼 서비스를 이용할 수 있음

- 예를 들어 AWS는 12개월의 무료 사용기간이 있고 애저도 비슷한 무료 트라이얼 기간이 있음

- 공격자는 가짜 신용카드로 회원가입을 하고 무료 클라우드 컴퓨팅 리소스를 활용해 분산 서비스

거부(DoS) 공격, 전자메일 스팸 및 피싱(Phishing) 등의 공격을 함


34

• 서비스 거부 공격(DoS)

- DoS 공격은 자신이 개발한 서비스에 접근하려는 고객이 개발된 서비스에 액세스 할 수 없도록 함

- 프로세서 전력, 메모리, 디스크 공간 또는 네트워크 대역폭과 같은 한정된 시스템 리소스를 과도하게

소비하게 해 시스템 속도를 저하시키고 서비스 사용자가 접근하지 못하도록 함

• 공통적으로 적용되는 취약점(Shared technology vulnerabilities)

- 클라우드 서비스 공급자는 가상화 기술을 활용해 서비스를 분할함

- 이 때 클라우드 서비스 배포를 지원하는 인프라를 구성하는 기본 구성요소는 동일하며, 이로 인해

모든 서비스에서 잠재적으로 악용될 수 있는 공통 취약점이 발생할 수 있음

• CPU 취약점 대란

- 위에 열거한 항목 중 시스템 취약점, 공통으로 적용되는 취약점에 해당하는 클라우드 보안 이슈가

최근 발생함

- 이는 CPU에서 발생한 취약점으로 인해 클라우드 서비스에 사용되는 CPU에 취약점이 발생하면

가상화 기술을 위해하고 타 클라우드 서비스의 데이터가 유출될 수 있는 가능성이 발견됨

- 멜트다운과 스팩터 취약점으로, 인텔, AMD, ARM, 애플, 시스코, 시트릭스 등 39곳이 보안 업데이트를

내놓고 아마존, 구글, 마이크로소프트 등 클라우드 기업이 급히 업데이트를 진행함

- 이는 PaaS 서비스를 진행하는 다양한 보안 회사의 서비스에도 영향을 받음

- 스펙터 취약점은 모든 CPU에 적용되며 멜트다운은 인텔 CPU에 영향을 끼침

시사점

▶ 이번 RSA 컨퍼런스 전시장에서 최근 보안 트렌드와 이슈는 클라우드라는 것을 확인함

• 한국은 서버나 네트워크가 기관 내에 위치해야 한다는 보안 규정으로 인해 클라우드 서비스가

사용되기 어려운 경우가 많지만 해외에서는 클라우드 서비스가 5년 이상 상업용으로 사용돼 온 것을

확인함

• 클라우드 서비스는 쉽고 편리한 반면, 외부에 공개되는 부분이 많아 일반적인 서버 인프라보다 추가

보안 취약점이 발생할 수 있음

- 특히 최근 발생한 CPU 취약점에서 가장 큰 보안 이슈가 발생한 것을 예로 들 수 있으며, 몇 개의

취약점이 전체 시스템 보안에 영향을 미치는 부분도 발생함

- 클라우드 서비스 도입을 검토할 경우 앞서 언급한 다양한 보안 검토를 진행한 뒤 도입을 결정하는

것이 바람직함


35

하드웨어 보안 동향과 특징

황수익 시큐리티플랫폼 대표([email protected])

(現) 시큐리티플랫폼㈜ 대표

하드웨어 보안 개요

▶ 하드웨어 보안은 스마트카드를 시작으로 모바일 기기(스마트폰) 보안을 위해 사용했으며, 최근 들어

사물인터넷(IoT) 보안을 위해 경량 디바이스로 적용 확대를 시도하고 하드웨어 보안은 IoT 보안과

밀접하며 향후 표준화 및 법 규제에 큰 영향을 전망됨

• 초기 하드웨어 보안은 암호 기술에서 키(Key)의 보호가 주된 목적임

- 범용 사용자 식별 모듈(Universal Subscriber Identity Module, USIM)

- 개인의 데이터 및 서비스를 안전하게 저장(Secure Element, SE)

• 디바이스의 무결성을 보장하고 사이버공격 방어를 목적으로 발전

- 컴퓨팅 환경의 보안 암호 처리 규격(Trusted Platform Module, TPM)

- 사용자 및 커널의 보안 경계 설정과 실행 특권 생성(Trustzone)

• IoT 보안의 중요성이 증가하면서 MCU(Microcontroller)와 통합

- ARM은 8세대 경량 프로세서 아키텍처(ARMv8-M) 발표

- 물리적 복제방지(Physical unclonable function, PUF) 역할 증가

그림 1_ 보안 하드웨어 종류 및 구분


36

IoT 보안 표준화 및 법·규제 동향

▶ 국내 동향

• 미래부-KISA, 홈·가전 IoT 보안 가이드 발표(2017년 7월 18일)

- 소프트웨어 보안, 물리적 보안, 플랫폼 보안, 인증, 암호화, 데이터 보호 등

• 미래부-KISA, 홈 IoT 인증 'AAA 등급' 신설, 7월부터 시행

- 원격에 의한 조명, 난방, 출입통제 등의 서비스 건축물에 부여

• 과기정통부-KISA, 'IoT 보안 인증제' 11월 27일부터 시행

- 최근 IP카메라 해킹 등 심각한 사회문제 발생으로 대응책 마련

▶ 국제 동향

하드웨어 보안 기술 동향

▶ ARM이 하드웨어 보안 표준을 선도하고 있으며 PSA(Platform Security Architecture) 항목 발표, 국내외

표준화 및 인증단체들이 IoT 보안기술을 규격화 진행 → 주류(Main Stream) 시장에서의 코어(Core)

기술에 대한 정의가 가능해짐

• ARM PSA는 국제 공통평가기준(Common Criteria, CC) 규격 만족

- 위협 모델 분석 → 펌웨어 및 하드웨어 보안설계 → 소스코드 및 IP로 구성

지역 내용 비고

유럽

- General data protection regulation(GDPR)· Approved in April 4 2016· Enforcement date : May 25 2018

- Security of Network and Information Systems(NIS)· Effective since August 2016· Enforcement by EU countries May 2018

- European Union Agency for Network and Information Security(ENISA)

· Guidelines around security and protection in various field of applications

미국

- Governmental Acts· Information Protection and Security Act· Consumer Data Security and Notification Act· Securely Protect Yourself Against Cyber Trespass Act

- Security Agencies guidelines· DHS guidance for network-connected devices· NIST guidelines for IoT (NIST Special Publication 800-160)

· * * Hardware gets higher level of privilege →Hardware-protected systems can achieve higher level of

security assurance than Software-protected system


37

- 보안등급별 평가(EAL:Evaluation Assurance Level) 적용

- ARM PSA로 M급 프로세서 디바이스의 '공통 보안 원칙' 정립

그림 2_ 보안 하드웨어 종류 및 구분

• 국내외 IoT 보안 시험 인증 제도의 스탠다드(Standard)화 진행

- KISA, OCF, ICSA, UL, ENISA 등 5개 항목으로 구분하여 시험 인증

- IoT 서비스 관점에서 사용자 인증, 데이터 보호 등 포괄적 구성

- 5개 항목으로 나누어 필수적으로 요구되는 시험 내용 명시

※ 5개 항목 중 하드웨어 보안으로 구현되는 것은 암호, 플랫폼 보안, 물리적 보안 항목임

하드웨어 보안의 기본 요소

▶ 신뢰 컴퓨팅(Trusted Computing) 구성으로 디바이스 무결성 보장, 신뢰 저장소 제공으로 인증, 암호

등 중요 정보의 비밀성 보장

• 신뢰점(Root of Trust)

- 하드웨어 보안의 가장 핵심이 되며 신뢰 컴퓨팅을 구현

- 신뢰 체인(Trust Chain)을 구성하며 변경 불가능하여 보안상 침해 불가능

항목 인증 항목 암호 항목 데이터 보호 항목

플랫폼 보안 항목

물리적

보안 항목

개수 3 3 5 5 2


38

그림 3_ 신뢰점 구성을 통한 신뢰 체인

• 보안 저장소(Root Secrets)

- 암호화 키와 암호화 관련 파라미터를 안전하게 저장하고 활용

- 승인된 프로그램 외 운영체제 및 하드웨어로부터 격리된 공간

- 저장된 정보는 메모리에 로드되지 않으며 입·출력 연산만 허용

그림 4_ 보안 저장소 적용 사례 - 모바일

RSA - 반도체 기업

▶ IoT 시장 선점을 위해 '보안'을 마케팅 포인트로 활용한 것으로 반도체 기업 외 마이크로소프트는

보안이 내장된 MCU를 선보임

▶ ARM

• 새로운 IoT 솔루션인 ARM SDK-700 시스템 디자인 키트

- 플랫폼 시큐리티 아키텍처(PSA) 공통 보안 원칙을 기반으로 구축(디바이스 고유ID, 트러스티드 부트,

시큐어 업데이트, 인증서 기반 인증 등)

- 마이크로소프트 애저 스피어(Azure Sphere)를 위한 안전한 SoC 프레임워크 제공


39

• ARM은 이미 IoT 디바이스를 위한 8세대 아키텍처(ARMv8-M) 발표

- TrustZone 기반 보안 솔루션을 Cortex-M급에 적용 (Cortex-M23,33)

그림 5_ ARM Security IP & ARMv8-M 출시 현황

▶ 인텔

• Intel Security Essentials

- 플랫폼과 데이터를 보호하고 신뢰할 수 있는 애플리케이션 구축

- Built-in Foundation with Security at the Core

• Intel Secure Device Onboard(SOD)

- 보안성이 높고 자동화되어 신속한 IoT 디바이스 생산 지원(현재의 IoT 디바이스 온보드 프로세스는

평균 20분 이상 소요)

- Automated from minutes to seconds : 수동 작업 제거

<Platform Integrity>

- Boot, BIOS, OS Guard, PTT, Protection Technology Resilience

<Protected Data Keys, & ID>

- EPID, Platform Trust Technology

<Trusted Execution>

- Software Guard eXtensions, Virtualization Technology-X/D

<Crypto Accelerators>

- Secure Key, AES


40

- Hardware Protected Onboarding(Enhanced Privacy ID : EPID)

- 유통 합리화 : 제조업체에서 고객으로의 소유권

- Ecosystem Accelerator : Pre-load로 Customer Configuration 제거

그림 6_ Intel Secure Device Onboard

• CrytoManager Trusted Servies

- Silicon-to-Cloud 서비스(보안, 분석, 관리)

그림 7_ Rambus CrytoManager Trusted Servies

▶ 마이크로소프트

• 애저 스피어(Azure Sphere)

- 향후 10년간 모든 장난감, 가전, 산업기기들은 인터넷에 연결될 것이고, 보다 똑똑하고 예측능력이

생기고 듣고 말할 수 있게 되며 이러한 연결은 비즈니스를 무한히 확장

- ‘실리콘에서부터 시큐리티가 시작되어야 한다'는 사상

- Sphere MCUs, OS, Security Service를 통해 '보안과 연결성' 제공


41

RSA - 보안 기업

▶ Trustonic

• TSP(Trustonic Secured Platform)

- 수 십 억 개의 모바일 디바이스에서 검증 : 보안성, 호환성, 확장성

- 안정성이 검증된 하드웨어 기반 하에서 디바이스 설계

그림 8_ Trustonic TSP(Trustonic Secured Platform)

• Micro-TEE(Kinibi-M) : 경량 MCU용 솔루션

- 32KB 이하 메모리

- Unique ID로 신뢰점을 구현

- 디바이스 인증, Secure Cryptography, 애플리케이션 보호

그림 9_ Trustonic Micro-TEE(Kinibi-M)

▶ Mocana

• Mocana TrustPoint

- Embedded Security Software : 70종 이상 칩과 30종 OS에 구동

- 주요 기능 : Trusted Identity, Trusted Boot, Trusted Update, Trusted Firmware, Trusted Operation


42

그림 10_ Mocana TrustPoint

• Mocana TrustCenter

- IoT device security lifecycle Management(개발, 제조, 생산, 관리, 업데이트)

그림 11_ Mocana TrustCenter

▶ Thales

• Shield : Thales HSMs enable the Root of Trust

- Secure & Authorized communication

- PKI 무결성 보장 및 안전한 업데이트

그림 12_ Thales nShield


43

▶ Security Platform

• Axio : 하드웨어 기반 임베디드 보안 솔루션

그림 3_ Security Platform Axio

결론

▶ 글로벌 반도체 회사들을 중심으로 하드웨어 보안이 발전 중이나 제조사들에게 아직도 보안은 어려운

상황으로 이는 쉽고 빠르게 구현할 수 있는 솔루션이 요구되는 보안 업계에게는 기회일 수 있음

• 모든 기기들이 통신을 하는 사물인터넷은 산업 전반에 새로운 기회임

- 2035년에는 1조 개의 디바이스가 인터넷에 연결될 전망임

• ARM, 인텔, Rambus 등 반도체 설계회사는 보안 내재화 제품 출시

- 신뢰점은 하드웨어 보안의 필수적인 요소로 인정됨

- 실리콘에서부터 보안이 적용되어 클라우드까지 보안 서비스 연결

• 그러나 제조사에게 보안은 너무 어려운 영역이며 구현이 어려움

- 인증, 암호, 전자서명 등의 보안 기술을 하드웨어 기반에 적용

- 대부분의 제조사들은 보안 전담 개발자를 보유하지 못함

• 임베디드 보안회사는 보안 하드웨어를 활용한 솔루션 상품화 가속

• 반도체의 보안을 활용한 턴키 솔루션을 고객사에 제공

- 신뢰점을 활용한 펌웨어 복제 및 변조 방지 솔루션

- 보안 저장소를 활용한 키(Key) 보호 및 관리 솔루션

• 또 디바이스 생명주기 동안 관리를 제공하는 서비스 상품화

- 디바이스 원격 무결성 검증 또는 서명 기반 신뢰 업데이트 등

• 하드웨어 보안 시장은 세계적으로도 이제 초기 단계로, 아직 선도하는 기업도 없으며 적용 사례도 많지 않음

DeviceManager · Secure FOTA (Firmware Over The Air)· Attestation, TLS, mutual authentication, etc.

KeyManager · Secure Key and Parameter · Cryptography operation

BootManager · Root of Trust & SecureBoot· Illegal copy Protection


44

2018년 Vol.01 – CES 2018편 2018년 Vol.02

이슈 & 트렌드

• 돌아보는 CES 2018: 진화하는 가전의 미래 (최호섭)

• 인공지능 기술의 대중화 시대를 예고한 CES 2018 (한상기)

• CES 2018을 통해 본 최신 뷰티케어 제품 동향 (윤대균)

• CES 2018이 제시하는 자율주행 및 스마트카의 미래 (정구민)

• 현실로 다가온 드론택시 시대 (이석원)

• CES 2018로 보는 올해의 VR 헤드셋 트렌드 (최필식)

이슈 & 트렌드

• 2017년 실적 발표로 본 주요 소셜미디어 기업의 과제

(한상기)

• 자율주행을 위한 새로운 센서들의 등장 (정구민)

• 평창 동계올림픽과 네트워크의 의미 (최호섭)

• 와퍼가 말해주는 망중립성 논란 (이석원)

• 평창 동계올림픽의 숨겨진 승자. ‘인텔’ (최필식)

• 평창에서 다시 불붙은 동영상 플랫폼 경쟁

: NBC의 전략과 그 주변 상황들이 보여주는 것 (최홍규)

ICT 동향

• 사용자 정보 유출 가능한 CPU 취약점(Meltdown

& Spectre) 발견

• Wi-Fi 얼라이언스, WPA3 표준 출시 계획 발표

• 2018년 비즈니스 사이버보안을 변화시킬 10가지 트렌드

• 중국 바이두, 인공지능(AI) 개발 조직 강화

• 러시아 미국 대통령 선거 개입 논란 확산

ICT 동향

• 산업제어시스템(ICS) 보안 취약성 경고

• 악성 크롬 확장프로그램을 이용한 세션 재생 공격 주의

• 美, 에너지부 산하 사이버 보안 담당 기관 설립

• 독일 정부, 인터넷망 현대화에 150억 달러 투입

• 우주탐험 ‘블록체인’ 기술 적용한다

2018년 Vol.03

이슈 & 트렌드

• 리테일 산업의 미래를 이끄는 인공지능 기술 (한상기)

• 유튜브는 위키피디아를 통해 음모론을 막을 수 있나 (최홍규)

• 브로드컴의 퀄컴 인수 불발, 그 배경과 시사점 (윤대균)

• MWC 2018 스마트카 주요 동향 (정구민)

• 게임‧증강현실‧자율주행…지도 비즈니스 뜬다 (이석원)

• MWC 2018, 스마트폰의 변화를 봐야 할 때가 왔다 (최필식)

ICT 동향

• 영국정부, 보안 위협으로부터 스마트 디바이스를

안전하게 사용하기 위한 지침 발표

• 5백만 대의 유명 안드로이드 스마트 기기에 악성

코드가 사전 설치된 것으로 밝혀져

• 국제 앰네스티 “트위터는 여성에게 유해한 환경”

• 블록체인 통한 불법자료 유통 위험성 대두


45

발 행 일 2018년 5월

발 행 한국인터넷진흥원

기 획 및 편 집 한국인터넷진흥원 미래정책연구실 미래정책팀

발 행 처 전라남도 나주시 진흥길 9 Tel 1544 - 5118

▶ 본지에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

▶ KISA Report의 내용은 무단 전재를 금하며, 가공 · 인용할 경우 반드시 「한국인터넷진흥원, KISA Report」라고 출처를 밝혀주시기 바랍니다.

Documents

2018년 Vol.04 KISA Report · - 내부자 위협은 중요 정보 및 기술 유출 등 기업의 보안 사고와 밀접하게 연관되며, 매년 증가*하고 있어 대책(정책,