1. 공격자보다 한발 앞서라: 사이버 위협 헌팅의 새로운 패러다임

- Threat Hunting

> Red, Blue, Puple Team 구성이 필수적

> 각 보안 솔루션을 개별적이 아닌 상호 연관적으로 운용해야 함

2. AI 혁신의 기회와 위험 관리의 균형 사이, 사이버 보안의 미래는?

- AI를 사용해 공격자들이 더 설득력 있는 피싱 메시지를 작성할 수 있음

> 잘못된 절차, 어색한 문법 등이 줄어들어 직원들이 피싱 메일로 판단/식별하기 어려워짐

> XDR을 활용해 의심스러운 송신자, 헤더와 콘텐츠 등을 분석 및 탐지할 수 있도록하고, 직원 교육 강화

 

- AI를 사용해 오디오/비디오로 직원을 속일 수 있는 딥페이크를 만들 수 있음

> 오디오/비디오를 활용해 사기, 계정탈취, 데이터 유출 등이 이루어질 수 있음

> 임원들의 비정상 지시에 대해 직원이 검증할 수 있는 권한을 부여하거나, 딥페이크를 탐지하는 기술 등이 필요

 

- AI를 사용데이터 유출 위험이 발생할 수 있음

 

- AI 혁신과 AI 이니셔티브 보안의 적절한 균형이 필요

> AI를 활용한 오용 및 사기에 대해 미리 대비, 솔루션 활용, 위험 평가, 지속적 모니터링 등

AI 혁신 AI 이니셔티브 보안
- 지능형 데이터 분석 및 인사이트
- 자동화된 사기 탐지 및 예방
- 스마트 공공 서비스 등		 - 민감 데이터 보호
- 공공 신뢰 유지 및 규제 준수
- 사이버 공격 및 제로데이 취약점으로 부터 인프라 보호 등

3. 해커들의 새로운 타겟–귀사의 API는 안전하십니까?

- API 보안이 중요한 이유

> 웹 트래픽의 83%는 Digital Transformation을 주도하는데 중요한 API에 기인

> 기업의 72%는 API 인증/인가와 관련된 문제로 인해 새로운 앱 및 서비스 개선사항의 출시가 지연되는 것을 경험

> 기업의 44%는 내/외부 API에서 개인정보 보호 및 데이터 유출과 관련된 보안문제를 경험

> API와 웹 애플리케이션을 대상으로 한 악성 요청의 비율2022년 54%에서 2023년 70%로 16% 증가

4. 새로운 패러다임에 대응하는 시스템 보안

- 시스템 접근제어의 시작 : 시스템 접속 권한을 가진 내/외부 사용자에 의한 보안사고가 빈번하게 발생

> 등장 전 : 시스템별로 다양한 사용자가 접근해 접속 이력과 로그 분산, 실수로 인한 시스템 장애, 주요 데이터 유출 등의 가능성이 높았음

> 초기 Gateway 모델 : 모든 시스템에 접속하기 위한 단일 게이트웨이를 구축해 접근 경로를 단일화하고, 로그 통합 관리, 실수로 인한 장애 가능성 최소화, 데이터 보호 등 관리 효율성을 마련

 

- 패러다임 변화와 개인정보 및 기밀정보 유출 방지를 위해 시스템 접근제어에서 바뀌어야 할 핵심 요소

보안 아키텍처 변화 이슈
암묵적 신뢰 -> 비신뢰
(Zero Trust 보안 환경)		 클라우드 전환 시 주요 이슈
On-Premise -> Cloud
(TCO 비용 절감과 호환성)		 위협 대응 주요 이슈
Rule -> 행위 기반
(예측 기반 사전 대응 체계)
- ID 기반 접근 제어
- MFA
- 리소스별 보안 환경
- 최소 권한 및 세분화
- 지속적인 감시 및 검증		 - 도입, 전환, 운영 비용절감
- 클라우드 전환 용이성
- 클라우드 보안 책임 이슈		 - 실시간 분석 대응시간 단축
- 위협 예측 사전 대응

5. 사이버 위협 대응 관점에서 바라보는 개인정보 유출 사고 방지 방안

- 경계 중심 보안에서 복원을 위해 중요자산을 보호하는 대응중심으로 IT 환경 변화

- 이기종 보안 솔루션 운영

 

- XDR(eXtended Detection & Rseponse)

> 위협 이벤트를 자동으로 수집하고 상호 연결하는 탐지 & 대응 플랫폼

> 분리되어 있던 위험 인자를 단일 플랫폼으로 통합 및 연결

> 복수의 알림을 하나의 침해로 도출

> 자동화된 대응을 바탕으로 보안의 효율성과 생산성 개선

> EDR, 네트워크 탐지, 위협 인텔리전스로 구성

6. 트랜잭션 및 실시간 수집 데이터의 비식별처리 기술

- 트랜잭션 데이터 : 일종의 반정형 데이터로 하나의 데이터 셀 내에 여러 아이템들이 집합으로 구성되어 있는 비정형 데이터

- 실시간 수집 데이터 : 송신 모듈을 통해 즉시 전달되어 지속적으로 생성/수집되는 데이터

구분 설명
삭제기술 삭제
(Suppression)		 - 원본 데이터에서 식별자 컬럼을 단순 삭제하는 기법으로, 원본데이터에서 식별자 또는 민감정보를 삭제
- 남아있는 정보 그 자체로도 분석의 유효성을 가져야 함과 동시에 개인을 식별할 수 없어야 하며, 인터넷 등에 공개되어 있는 정보 등과 결합하였을 경우에도 개인을 식별할 수 없어야 함
마스킹
(Masking)		 - 특정 항목의 일부 또는 전부를 공백 또는 문자(*) 등이나 전각 기호로 대체 처리 하는 기법
암호화 양방향 암호화
(Two-way encryption)		 - 특정 정보에 대해 암호화와 암호화된 정보에 대한 복호화가 가능한 암호화 기법
- 암호화 및 복호화에 동일 비밀키로 암호화하는 대칭키 방식을 이용
- 알고리즘 : AES, ARIA, SEED 등
일방향 암호화-암호학적 해시함수
(One-way encryptionCryptographic hash function)		 - 원문에 대한 암호화의 적용만 가능하고, 암호문에 대한 복호화 적용이 불가능한 암호화 기법 (해시값으로부터 원래의 입력값을 찾기가 어려운 성질을 갖는 암호 화)
- 암호화 해시처리된 값에 대한 복호화가 불가능하고, 동일한 해시 값과 매핑되는 2개의 고유한 서로 다른 입력값을 찾는 것이 계산상 불가능하여 충돌가능성이 매우 적음
- 알고리즘 : SHA, HMAC 등
무작위화 기술 
및 차분 프라이버시		 순열(치환) 
(Permutation)		 - 분석시 가치가 적고 식별성이 높은 열 항목에 대해 대상 열 항목의 모든 값을 열 항목 내에서 무작위로 개인정보를 다른 행 항목의 정보와 무작위로 순서를 변경 하여 전체정보에 대한 변경없이 특정 정보가 해당 개인과 순서를 변경하여 식별 성을 낮추는 기법
차분 프라이버시
(Differential privacy)		 - 프라이버시를 정량적으로 모델화하여 프라이버시 보호 정도를 측정할 수 있는 기술 또는 방법론으로 데이터의 분포 특성을 유지하여 데이터의 유용성은 유지 하면서도 개인정보를 보호하기 위해 잡음을 추가하는 기법
- 프라이버시를 일부 희생하면서 원본 데이터와 마찬가지로 높은 정확성을 갖는 특성을 갖도록 데이터를 익명화시키는 것이 중요

7. 공격표면관리(ASM)와 위협인텔리전스(TI)

- 공격표면관리 (ASM, Attack Surface Management)

> 전 세계 모든 IP에 접속하여 기업의 자산을 탐지하는 사전 예방 목적

> 수집된 자산들이 어떤 취약점, 보안문제를 가지고 있는지 분류, 탐지

> Gartner : AMS은 조직이 인식하지 못할 수 있는 인터넷 연결 자산 및 시스템에서 오는 위험을 식별하는데 도움을 주는 새로운 솔루션이다. 최근 기업에 대한 성공적인 공격의 1/3 이상이 외부와 연결된 자산으로부터 시작되며 ASM은 CIO. CISO에게 필수의 과제가 될 것이다.

> FORRESTER : 조직은 ASM을 통해 평균적으로 30% 이상의 아려지지 않은 외부 자산을 발견한다. 일부는 알려진 자산의 몇 배나 더 많은 자산을 발견하기도 한다.

 

- 위협 인텔리전스 (TI, Threat Intelligence)

> 공격에 사용된 IP/URL 등에 대한 관련 정보(과거 공격 이력 또는 연관성 등)를 제공하는 대응 목적

8. 생성형 AI 보안 위협과 안전한 생성형AI 운용 방안

- Deepfake, 아동 성 학대 사진 생성/유포 등 생성형 AI를 사용한 새로운 위협이 등장

- OWASP Top 10 for LLM Appliocations 2025

> LLM01 2025:Prompt Injection : 사용자입력(프롬프트)을 악의적으로 조작하여 LLM의 행동이나 출력 결과를 의도와 다르게 변경하는 취약점

> LLM02 2025:Sensitive Information Disclosure : LLM이 민감한 개인 정보, 기밀 데이터 또는 독점 알고리즘 정보를 의도치 않게 노출하는 취약점

> LLM03 2025:Supply Chain : LLM 개발 및 운영에 사용되는 서드파티 구성 요소, 데이터셋 및 사전 학습 모델에서 발생하는 공급망 취약점

> LLM04 2025:Data and Model Poisoning : 학습 데이터나 모델 파라미터를 악의적으로 변조하여 취약점을 주입하는 공격

> LLM05 2025:Improper Output Handling : LLM의 출력이 충분히 검증, 정제, Sandboxing 되지 않을 경우 발생하는 문제

> LLM06 2025:Excessive Agency : LLM이 지나치게 자율적인 행동을 수행하도록 허용. 인간의 직접적인 통제 없이 예기치 않은 결과나 악의적 행동 발생

> LLM07 2025:System Prompt Leakage : LLM이 내부 지시사항이나 운영 설정 정보를 의도치 않게 외부에 공개하는 취약점

> LLM08 2025:Vector and Embedding Weaknesses : Retrieval-Augmented Generation(RAG) 시스템에서 사용되는 벡터 표현 및 임베딩 기법의 결함으로 인한 문제. 부정확한 검색 결과, 조작된 문맥, 또는 민감 데이터 노출 발생

> LLM09 2025:Misinformation : LLM이사실과다른,또는왜곡된정보를생성하여잘못된결정을유도하는취약점 환각(hallucination)및학습데이터의편향등이주요원인으로작용하며,법적,평판,안전문제를야기

> LLM10 2025:Unbounded Consumption : LLM이과도하고통제되지않은요청을처리함으로써시스템자원(메모리,CPU,비용등)이고갈되는취약점

 

- 가장 중요하게 뵈야할 문제 : LLM01 2025:Prompt Injection

> AI에 악의적인 프롬프트를 주입하여 공격자가 의도하는 동작으로 유도

> Direct Injection (생성형 AI에 공격자가 직접 프롬프트 주입) or Indirect Injection (공격자가 데이터에 프롬프트 주입하여 접근하는 AI감염)

> 멀웨어 생성 및 개선, 유해 컨텐츠 생성, 데이터 유출, 모욕, 시스템 프롬프트 유출 등이 발생할 수 있음

공격 유형 설명 예시
Content Manipulation Attacks
(콘텐츠 조작 공격)		 프롬프트의 텍스트를 조작하여 모델의 응답을 조종하거나 톤을 변경 단어 대체/삽입/삭제, 문법 및 철자 수정, 공격적인 문구 추가
Context Manipulation Attacks
(맥락 조작 공격)		 대화 또는 상황적 맥락을 조작하여 모델의 응답을 유도 대화 가로채기, 사용자 사칭, 모델의 가정된 맥락 변경
Code/Command Injection
(코드/명령어 삽입 공격)		 실행 가능한 코드 또는 명령어를 프롬프트에 삽입하여 모델 및 상호 작용하는 시스템을 손상 코드 스니펫 삽입, API 호출, 시스템/쉘 명령 실행
Data Exfiltration
(데이터 유출 공격)		 민감한 데이터(개인 정보, API 키, 패스워드 등)를 유출시키는 프롬프트 제작 모델이 훈련된 데이터를 유추하여 반환하도록 유도
Obfuscation
(난독화 공격)		 필터링 및 보안 장치를 우회하기 위해 복잡한 난독화 기법 활용 동형문자(Homoglyphs), 유니코드 트릭, 보이지 않는 문자 삽입
Logic Corruption
(논리 훼손 공격)		 논리적 모순이나 오류를 삽입하여 모델이 잘못된 출력을 생성유도 논리적 역설, 거짓 전제, 통계적 오류 삽입

 

- 대부분은 Prompt Injection은 Jailbreaking 기법을 사용

> AI의 제한(가드레일)이나 안전 필터를 우회 하거나 완화하기 위한 방법

> Context Ignoring, 참조 usal Suppression, Style Injection, Virtualization, Obfuscation 등의 패턴

9. 제로트러스트 가이드라인 2.0 주요 내용 및 향후 방향

- 제로트러스트 도입 과정을 보다 구체화하고 도입 수준을 분석할 수 있는 방안 제시

> 미국 CISA, NSA 등 문서 발간에 맞추어 성숙도 모델을 4단계 수준으로 정의 및 성숙도를 토대로 체크리스트 구현

> 도입 절차에 대한 방향성 구체화 및 조직 내 역할 및 목표 설정 방안 제시

> 보안 수준 평가 방법 제공

 

- 향후방향

> 각 산업 분야 및 기업 도메인 특성을 반영한 맞춤형 도입 전략 및 로드맵 제시 필요

> 우리나라에서도 글로벌 제로트러스트 도입 흐름을 적극 반영하여, ZT 아키텍처 도입 정책을 수립하고 관련 기술 개발 가속화 필요

> 제로트러스트 도입 후 발생하는 문제를 해결하기 위한 방안 마련과 지속적인 연구가 필요

> NIST 1800-35, 800-53, ISMS-P, 금융보안원 취약점 점검 리스트를 토대로 새로운 형태의 체크리스트 구현 중

'대외활동' 카테고리의 다른 글

K-CTI 2025  (0) 2025.04.16
PASCON 2024  (1) 2024.09.11
코리아 핀테크 위크 2024  (5) 2024.09.01
제13회 정보보호의 날 기념식  (1) 2024.07.11
RSAC2024 글로벌보안트렌드  (0) 2024.06.13

 

1. '제로트러스트 가이드라인 1.0'으로 바라본 제로트러스트 구현 전략

- 정보보안 영역에서의 패러다임 대전환으로 제로트러스트가 주목받음

> 비대면ㆍ디지털 전환 가속화: '언제 어디서든 누구나' 사이버 위협이 가능하며, 관리 대상의 증가

> 新환경ㆍ보안위협: 지능화 기술 확산으로 사이버 공격 은밀화ㆍ고도화

> 보안산업 외연 확대: 일상생활 전반에 정보보호 내재화 및 정보보호산업 육성을 위한 국가 차원 전략 마련

> 기존 경계 기반 보안모델의 한계: 최근 해킹 및 랜섬웨어 사례로 경계 기반 보안모델의 한계 부각

∴ 더 세밀한 인증체계, 보호 대상을 각각 분리ㆍ보호하고, 모든 접근 요구를 정확하게 제어하여 최소 권한을 부여할 수 있는 보안 체계 필요

 

- 제로트러스트

구분 설명
개념 접속요구가 있을 때 마다 네트워크가 이미 침해된 것으로 간주하고, '절대 믿지 말고, 계속 검증하라는 새로운 보안 개념'
※ 보호해야할 모든 데이터와 컴퓨팅 서비스를 자원으로 분리ㆍ보호하고 각 자원에 접속 요구마다 인증
핵심원칙 - 강화된 인증: ID/PW 외 다양한 인증 정보를 활용한 다중 인증 등 지속적 인증
- 마이크로 세크멘테이션: 서버ㆍ컴퓨팅 서비스 등을 중심으로 하는 작은 단위 분리
- 소프트웨어 정의 경계: 소프트웨어 기반으로 보호 대상 분리ㆍ보호
기본철학 - 모든 종류의 접근에 대해 신뢰하지 않을 것 (명시적인 신뢰 확인 후 리소스 접근 허용)
- 일관되고 중앙집중적인 정책 관리 및 접근제어 결정ㆍ실행 필요
- 사용자, 기기에 대한 관리 및 강력한 인증
- 자원 분류 및 관리를 통한 세밀한 접근제어 (최소 권한 부여)
- 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용
- 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰석 지속 검증ㆍ제어
대응방법 - 신뢰도 판단 전까지 모든 접근 비신뢰 및 접근 거부
- 내부자 행위 모니터링ㆍ감시ㆍ분석, 명확한 신뢰도 판단에 근거한 최소 권한 부여)
보안원리 - 해커가 내ㆍ외부 어디든 존재할 수 있으며, 모든 접속 요구는 신뢰할 수 없다는 가정하에 보호해야할 모든 데이터와 컴퓨팅 서비스를 각각의 자원으로 분리ㆍ보호, 인증 강화
접근제어 원리 - '제어 영역'과 '데이터 영역'을 구분하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)접속을 시행하는 정책시행지점(PEP)를 두고 운영

- 정책결정지점(Policy Decision Point)
> 정책엔진(Policy Engine): '신뢰도 평가 알고리즘' 기반으로 접근 주체가 리소스에 접근할 수 있을지를 최종 결정
> 정책관리자(Policy Administrator): 정책엔진의 결정을 정책시행지점에 알려주어 접근 주체와 리소스 사이의 통신 경로를 생성 또는 폐쇄
※ 신뢰도 평가 알고리즘: 접근정보(OS 버전, S/W, 권한 등), 특정기준, 가중치, 머신러닝 등 다양한 방식으로 신뢰도를 평가하는 알고리즘

- 정책시행지점(Policy Enforcement Point)
> 데이터 영역에서 접근 주체가 기업 리소스 접근 시 결정된 정책에 따라 최종적으로 연결-종료 역햘 담당

 

> NIST: 이미 침투당했다는 관점에서 정확한, 최소 권한의, 세션 단위 접근 결정을 강제하여 불확실성을 최소화하기 위해 설계된 개념과 아이디어의 집합

> DoD: 정적ㆍ네트워크 기반 경계로부터 사용자ㆍ자산ㆍ리소스에 중점을 둔 방어로 이동ㆍ진화하는 사이버 보안 패러다임의 집합

> 단순히 제품이나 기술의 구입ㆍ도입만으로는 달성할 수 없으며, 현재 환경의 객관적인 파악과 평가가 선행되어야 함

 

- 제로트러스트 가이드라인 1.0

> 22.10월 산ㆍ학ㆍ연ㆍ관 전문가들이 참여하는 '한국제로트러스트포럼' 구성

> 23.06월 국내외 기술동향 분석, 토론회 등 전문가 의견을 모아 제로트러스트 가이드라인 1.0 발간

구분 설명
발간목적 국내 정부ㆍ공공, 기업 관계자 등이 제로트러스트 아키텍처의 개념을 빠르고 쉽게 이해하여
향후 국내 정보통신 환경에 적합한 제로트러스트 보안체계를 도입할 수 있도록 지원
버전 요약본 - 일반인부터 전문가까지 폭넓은 대상층
- 의사 결정 과정에 포함된 모든 인력의 제로트러스트 이해와 인식
전체본 - 보안 전략수립 책임자 및 실무자
- 조직내 사이버보안 계획 수립, 운영 등을 담당하는 보안 담당자의 제로트러스트 전략 수립에 도움
발간원칙 - 미국 중심으로 논의된 제로트러스트 NIST 문서 등을 최대한 참고하며, 기본 철학 유지
- 국내 환경을 고려하여 핵심 요소(시스템) 및 도입 참조모델(원격근무 및 망분리) 추가
- 도입하고자 하는 환경이 모두 다르므로, 이를 모두 아우를 수 있도록 상위 수준에서 기술
- 조직내 모든 구성원을 대상으로 상세한 기술보다 더 쉽게 개념을 이해할 수 있도록 작성
핵심요소 - 해외사례, 금융망 및 국가 기반시설ㆍ공공 클라우드 보안 인증기준 등을 고려해 국내 환경에 적합한 핵심요소 6종 도출
① Identity&User: 사람, 서비스, IoT 기기 등을 고유하게 설명할 수 있는 속성(속성의 집합)
② Device&Endpoint: 네트워크에 연결하여 데이터를 주고 받는 모든 하드웨어 장치
③ Network: 데이터를 전송하기 위해 사용되는 모든 형태의 통신 매체
④ System: 응용 프로그램을 구동하거나 중요 데이터를 저장하고 관리하는 서버
⑤ Application&Workload: 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서 실행되는 서비스
⑥ Data: 기업(기관)에서 가장 최우선적으로 보호해야 할 자원
성숙도 모델 - 국내 환경에 적합한 성숙도 3단계 모델과 함께 핵심요소별 성숙도 모델 제시
① 기존(Traditional)
> 아직 제로트러스트 아키텍처를 적용하지 않은 수준
> 대체로 네트워크 방어에 초점을 맞춘 경계 기반 보안모델이 적용되어 있는 상태
> 정교한 공격, 내부자 공격 등 일부 취약성을 지님

② 향상(Advanced)
> 제로트러스트 철학을 부분적으로 도입한 수준
> 제로트러스트 원칙이 보안 아키텍처에서 핵심 기능이 되는 상태
> 최소 권한 접근, 네트워크 분할, 로깅 및 모니터링 등 부분적으로 적용되어 기존보다 높은 보안성 달성

③ 최적화(Optimal)
> 제로트러스트 철학이 전사적으로 적용된 상태
> 자동화 운영, 네트워크 세분화, 지속 접근 제어 등 보안성이 크게 개선

 

- 제로트러스트 도입

> 많은 자원, 시간, 소요예산 등이 필요한 작업으로 충분한 검토 및 체계적인 준비가 필요하며, 도입 계획 수립 필요

> 보유 자원에 대한 보안 위협을 줄이기 위한 절차로 위험 관리 프레임워크(NIST)와 연계하여 검토 가능

 

2. 제로 트러스트 아키텍처의 핵심 솔루션 ‘Micro Segmentation’

- 제로트러스트 도입 근거

> 현대화된 Hybrid Cloud Infrastructure: On-Prem 환경에서 Cloud 환경으로 이전 또는 혼용

> 확인되지 않는 Attack 시퀀스: 공격의 지능화 및 고도화로 공격의 순서도를 파악하기 어려움

 

- 제로트러스트 관련 솔루션

> Micro Segmentation: East-West Traffic 보호

> ZTNA(ZeroTrust Network Access): North-South Traffic 보호

> MFA: 다중인증 

> SWG(Secure Web Gateway): Internet Access 보호

 

- Micro Segmentation

> 제로트러스트의 핵심 솔루션으로, 랜섬웨어 확산 방지의 장점을 지님

> Gartner: 제로트러스트 구축시 가장 초기 단계 중 하나로 워크로드 세그먼테이션 강조

> Forrester: 마이크로세그멘테이션은 제로트러스트 필수 요소

> 과학기술정보통신부: 제로트러스 구현 핵심원칙으로 마이크로 세그멘테이션 강조

 

※ 단계 예시

① Environment Segmentation (망분할)

② Critical Application Ring-Fencing (중요 어플리케이션 분할)

③ Critical Application Micro Segmentation (어플리케이션 자체 분할)

④ Third-Party Access Control (협력사)

⑤ Identity-Based Access Control (사용자)

 

※ Micro Segmentation 구현을 위한 Forrester 5단계

① Sensitive Data 식별: 중요 데이터 식별

② Sensitive Data Flow의 도식화: 데이터 흐름 시각화

③ Zero Trust 마이크로 경계 설계: 최적의 경계 설계

④ 보안분석을 통한 Zero Trust 생태계의 지속적인 모니터링: 설계된 경계에서 발생하는 보안 인벤트 모니터링

⑤ Security 자동화 및 오케스트레이션 수용: Third-Party 연동

 

> 도입효과

① 기술적 관점: 대부분의 보안 사고(85%)는 내부에서 발생 (Cisco 연구 조사 결과)

② 비즈니스적 관점: 공격 표면 감소, 비용 절감, 일관된 정책 구축, 비즈니스 연속성 보장, 운영 효율성 향상, 안전한 디지털 전환

'대외활동' 카테고리의 다른 글

네이버 프라이버시 세미나 - 2023 네이버 프라이버시 백서 주제 발표  (0) 2024.02.01
소프트웨이브 2023  (0) 2023.11.30
제7회 금융보안원 논문공모전  (0) 2023.09.01
제2회 사이버안보 정책 포럼  (0) 2023.07.25
제22회 세계 보안 엑스포(SECON 2023)  (0) 2023.03.31
요약 - 2022.12.05 페이코(PAYCO)에서 서명키가 유출 및 2022.12.06 저녁 신규 서명키가 적용된 페이코 앱의 업데이트를 완료
※ NHN에서 결제수단을 사전에 등록해두고 등록한 결제수단을 통해 신속하게 결제하는 간편결제 서비스
 서명키: 안드로이드 앱을 제공하는 구글 플레이(Google Play)에서 사용자 기기로 전달되는 APK 서명에 사용하는 키
내용 - NHN페이코는 2022.12.05일 홈페이지에 공지 게시
> ‘구글 서명키 관련 보도에 대해 안내 드립니다’
> 구글 플랫폼에서 운영되는 페이코 서명키가 외부로 유출
> 스토어를 통해 정상적으로 페이코 앱을 다운받은 회원의 개인정보 및 결제정보 유출은 전혀 없음
> 현재까지 해당 사안과 관련된 피해 사례도 확인된 바 없음
> 사안 인지 후 서명키 변경 작업 및 신규 서명키를 적용한 최신 버전 업데이트를 제공할 예정_2022.12.06 완료

- 보안 솔루션 기업 에버스핀이 주요 고객사에 페이코 서명키 유출로 인한 악성 애플리케이션 제작 및 유포 주의를 당부하면서 알려짐
> 해당 서명키 유출은 지난 8월 1일부터 11월 30일까지 무려 4개월 동안 이어짐
> 이 기간에 유출된 서명키를 통해 생성된 악성코드는 5,144건 탐지 및 유출 경로는 확인되지 않음
> 해당 서명키로 제작된 악성 앱의 숫자는 100여개로 추정

- 구글 서명키는 앱 개발사들이 플레이스토어에 앱을 등록하고 배포할 때 특정 개발사 앱임을 증명하는 도구
> 앱 이용자의 개인정보와는 관련이 없음
> 서명키 유출에 따른 악성앱 관련 피해는 문자나 메신저 등 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제
> 정상적인 경로로 내려받아 설치한 앱은 이번 서명키 유출과 관계없이 안전

- NHN페이코는 8월 구글 서명키 유출을 인지한 직후부터 유출된 서명키로 생성되는 앱의 악성행위 여부를 탐지할 수 있게 조치하고 있었음
> 고객의 불안감을 해소하기 위해 서비스 공지사항과 앱 내 배너 등을 통해 기존 앱을 삭제하고 재설치 적극 권장
> 스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성 앱으로 탐지 및 차단하는 방안 추가 검토
결과 - 금융보안원이 일부 보안기업과 서명키 유출에 대한 패턴을 공유
> 이는 서명키 유출에 대한 블랙리스트 패턴을 긴급하게 등록해 확산을 방지하기 위한 적절한 긴급조치

- 금융보안원은 이번 페이코 서명키 도난사건의 경우 8월경 정보를 확인
> 해당 정보를 보안기업들에게 공유해 공격에 대비

- NHN페이코
> 8월에 서명키 탈취 사실을 인지하고 계속 교체 작업을 진행
> NHN이 서비스하는 전체 서명키를 교체

- 정식 서명키를 획득하거나 탈취하려는 해커들의 움직임은 2023년에 보다 거세질 것
> 2022.12에 알려진 NHN페이코의 서명키 유출사건과 마이크로소프트의 디지털 서명 도난사건
> 마이크로소프트의 디지털 서명 도난사건
  NHN페이코 사건과는 비교되지 않을 정도로 미칠 파장이 크고, 이에 따른 보안 위협은 현재진행형
  악성 드라이버 인증 > 인증을 받아 보안 솔루션들 우회 및 악성 드라이버들이 랜섬웨어 등 사이버 공격 정황 포착

> 소프트웨어에 디지털 서명을 하거나 정식 서명키를 보유 = 신뢰가능한 제품을 인증
> 운영체제(OS)가 이 서명을 보고 해당 소프트웨어의 실행을 허용할지 말지를 결정
> 때문에, 불법 소프트웨어라고 하더라도 정상 서명키만 보유하고 있으면 보안 검사 통과

> 정상 서명키를 악용한 사이버 공격이 증가할 것이라는 전망은 다크웹 시장에서도 미리 예측 가능
> 올해(2022) 중반부터 각종 소프트웨어의 정상 서명키들이 다크웹에서 활발하게 거래되는 정황을 파악

∴ 해커들이 보안 감시망을 유유히 뚫을 수 있는 최고의 수단으로 정식 서명키가 가장 효과적이라는 사실을 인식
> 기업 입장에서는 ‘제로트러스트(Zero Trust)’에 대한 관심과 인증 보안 강화 이슈가 더욱 커질 것
※ 제로트러스트(Zero Trust)
    2010년 포레스터 리서치 보안위협팀의 존 킨더백 수석 애널리스트가 제안한 모델
    '신뢰하지 말고 항상 검증할 것'이라는 원칙을 바탕
    사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략
    보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제
    모든 유효성을 다 입증한 다음에 최소한의 권한만을 부여해 접근을 허용
> 2단계 인증을 기본으로 사용자 인증과 검증을 강화하는 인증 보안체계 확립이 보안 강화를 위한 숙제

 

보안뉴스

 

NHN 간편결제 앱 페이코 서명키 유출... “개인정보 유출은 없어”

NHN에서 결제수단을 사전에 등록해두고 온라인 쇼핑 때마다 등록한 결제수단을 통해 신속하게 결제하는 간편결제 서비스인 페이코(PAYCO)에서 서명키가 유출됐다.

www.boannews.com

 

NHN페이코, “6일자로 신규 서명키 적용 페이코 앱 업데이트 완료”

간편결제 서비스를 제공하고 있는 NHN페이코는 7일 신규 서명키가 적용된 페이코 애플리케이션의 업데이트가 완료됐다고 밝혔다. 앞서 지난 5일부터 페이코 앱의 구글 서명키가 유출돼 이를 활

www.boannews.com

 

NHN페이코의 서명키 유출 둘러싼 오해와 진실... ‘공포마케팅’ 논란 커져

NHN페이코 서명키 유출사건과 관련한 E사의 연이은 보도자료 발표와 관련해 <보안뉴스>에서 보안전문 기업 및 보안전문가들을 대상으로 취재해본 결과, E사의 주장과는 다른 부분이 많았다. 심지

www.boannews.com

 

[2023 보안 핫키워드-10] NHN페이코와 MS의 서명키 탈취 사건, 2023년의 서막일 뿐?

해커들이 촘촘한 보안 감시망을 유유히 뚫을 수 있는 최고의 수단으로 정식 서명키가 가장 효과적이라는 사실을 절실히 인식하게 된 셈이다. 이 때문에 정식 서명키를 획득하거나 탈취하려는

www.boannews.com

'보안뉴스' 카테고리의 다른 글

LG유플러스, 디도스 공격으로 또 인터넷 장애... 11만명 개인정보 유출도 추가 확인 외 3건  (3) 2023.02.05
하이브 랜섬웨어 일망타진한 국제 수사기관들, 피해자들도 구제  (1) 2023.02.04
[긴급] 중국 해커조직, 한국 정부·공공기관 타깃 대규모 해킹 작전 선포 외 10건  (0) 2023.01.27
노턴 라이프락 계정에 대한 크리덴셜 스터핑 공격, 통했다  (0) 2023.01.16
PyPI 통한 공급망 공격이 성공하여 파이토치에까지 멀웨어 심겨져  (0) 2023.01.04

+ Recent posts

티스토리툴바