보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

SECON & eGISEC 2024 오픈 콘퍼런스에서 제시한 보안위협 대응방안 TOP 6

입력 : 2024-03-26 14:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
SECON & eGISEC 2024 오픈 콘퍼런스, 20~22일 3일간 킨텍스에서 뜨거운 관심 속에 성료
취약점 발굴해 사전에 보안위협 대비, 리버스엔지니어링 통해 제로데이 자동 분석
제로트러스트 기반의 위협 가능 요소 제거, 간편인증 통합서비스로 간편성+보안성 높여야
단일PC 기반의 물리적 망분리로 보안성 UP, 무인 출입관리로 간소화·보안성 높여 효율성 극대화


[보안뉴스 김경애 기자] ‘SECON & eGISEC 2024 오픈 콘퍼런스’가 20~22일까지 3일간 일산 킨텍스 제1전시장 3~5홀 내 오픈 콘퍼런스장에서 뜨거운 관심 속에 개최됐다. 버그바운티부터 스마트시티 보안위협과 대응방안, 이메일 및 문서 보안위협과 대응방안, 보안성과 편리성이라는 두마리 토끼를 모두 잡은 간편인증통합 서비스 등 다양하고 알찬 강연 내용으로 3일내내 참관객들의 뜨거운 호응을 얻었다.

[이미지=gettyimagesbank]


1. 파인더갭 한영석 이사, “삼성·LG처럼 버그바운티로 보안 강화해야”
파인더갭은 고도화된 공격, AI 기술 발달로 인한 자동화 공격, 제로데이 취약점 등에 대한 대비를 위해 버그바운티의 중요성을 강조했다. 이제는 보안 솔루션만으로 보안을 강화하기에는 한계가 있기 때문이다. 내부 인력만으로는 찾을 수 없는 취약점을 발굴해 사전에 보안 위협에 대비해야 한다는 것.

이러한 측면에서 삼성전자와 LG전자가 버그바운티를 효율적으로 운영하며 보안을 강화하고 있다고 설명한 파인더갭 한영석 이사는 “삼성전자는 전 세계의 보안 연구자들과 적극적으로 소통해 완벽한 보안 시스템 구현에 노력한다”며 “보안 취약점은 이메일, 제보 웹사이트 등 다양한 채널을 통해 접수 받고, 취약점을 빠르게 제거해 위협을 차단한다”고 밝혔다. 또한 보안 취약점을 발견해 제보하는 경우 보상하는 버그바운티 프로그램(Bug Bounty Program)을 운영한다.

LG전자 역시 마찬가지다. 한영석 이사는 “LG전자 제품 보안관리 체계는 제품 보안 활동 기준인 LG-SDL에 따라 각 개발 단계별 보안 활동과 기준을 준수해 제품 개발을 진행하고 있다”며 “모의해킹 전문조직인 LGE ISAC(LG Electronics Information Security Analysis Center)를 운영해 IoT 제품과 사내외 서버·시스템의 취약점을 점검한다”고 밝혔다. 하지만 LG전자 역시 여기에서 안주하지 않고 보안 취약점 신고 포상제(Bug Bounty)를 통해 제품 소프트웨어의 보안 취약점을 외부로부터 제보 받고 포상금을 지급한다는 게 한영석 이사의 설명이다.

▲파인더갭 한영석 이사[사진=보안뉴스]

버그바운티의 경우 △대규모 화이트해커 인력의 점검 △발견된 취약점에만 포상지급으로 점검 비용 절감 △점검인력, 툴, 시간 제약 없이 다방면 점검을 통해 높은 점검 효과 △24시간 365일 상시 점검 가능 △최초 취약점 발견시간 평균 10분 내외로 빠르고 지속적인 점검 등이 가능하다는 점에서 기존의 보안위협 대응 방법과는 차별화된다고 볼 수 있다.

한영석 이사는 “기업이 다양한 보안전문가로부터 취약점을 제보받고 보상함으로써 높은 취약점 점검 효과를 얻을 수 있다”며 “공개 취약점 점검, 비공개 취약점 점검, 기업 자체 취약점 제보창구 운영 등을 통해 다가올 보안위협을 미리 알고 대비해야 한다”고 강조했다.

2. 지엔 박한렬 선임연구원, “제로데이 취약점, 자동 분석해야”
지엔은 스마트시티 해킹 시나리오를 통해 보안위협에 대해 발표하고, 이에 대한 대응방안으로 참관객들의 관심을 모았다.

스마트시티에서 많이 활용되고 있는 IP 카메라의 경우 공격자가 포트 스캔을 통해 IP 카메라를 해킹하고, 카메라를 제어할 수 있다. 포트 스캔 정보는 취약한 보안 상태 정보를 제공하는 쇼단 사이트 등을 이용해 공격에 활용한다. 스마트시티에 설치된 스마트 가로등의 경우 OPU UA 활성화를 취약점으로 꼽았다. OPU UA가 활성화되면 데이터 변조가 가능해 가로등을 제어할 수 있기 때문이다. 뿐만 아니라 패스워드 설정이 취약한 경우 비인가자의 접근에 따른 IoT 기기 장악 및 악성코드 감염에 취약할 수 있다

2016년 우크라이나 정전 사태의 경우 러시아의 해킹단체 샌드월이 도시 전력망을 공격해 스위치를 원격으로 조작함으로써 대규모 정전 사태를 일으킨 바 있다. 2019년 보안 카메라 업체 버카다(Verkada)의 경우 보안성 검토가 되지 않은 MQTT를 기반으로 영상을 전송해 회사의 사생활이 유출된 바 있다. 국내는 2021년 아파트나 오피스텔에 설치된 월패드의 보안 취약점이 악용돼 40만 487가구의 카메라 영상이 불법으로 유출된 바 있다.

▲지엔 박한렬 선임연구원[사진=보안뉴스]

이처럼 해킹으로 인해 도시 전체에 엄청난 피해가 발생할 수 있다. 이러한 보안 위협에 대응하기 위해 지엔 박한렬 선임연구원은 “리버스엔지니어링을 통해 알려지지 않은 제로데이 취약점을 자동 분석해야 한다”며 “바이너리 분석 기술(Static Binary Analysis)를 이용해 IoT의 주요 취약점이 발생 가능한 포인트를 자동으로 분석해야 한다”고 밝혔다.

이어 박한렬 선임연구원은 “패스워드 보안 분석, 인증서 보안 분석, 실행파일(바이너리) 보안 분석, 오픈 소프트웨어 보안 분석, 펌웨어에 대한 보호, IoT 장치 내 운영 데이터 수집을 통해 더 넓은 범위의 보안 취약점을 식별해야 한다”고 강조했다.

3. 시큐레터 이승원 CTO, “공항검색대처럼 위협 가능 요소 제거해야”
시큐레터 이승원 CTO는 최신 IT 보안 트렌드로 문서·이메일 보안위협과 해킹 산업 발전을 꼽았다. 문서의 경우 단순히 문서를 열기만 해도 랜섬웨어에 감염되고, 이메일은 기업에 악성코드를 심는 가장 편리한 방법이기 때문이다. 뿐만 아니라 해킹 산업은 한 번 공격에 성공하면 엄청난 이익을 창출할 수 있고, 해킹하기 위해 사전에 백신 탐지를 우회하는 등 다양한 테스트를 거쳐 해킹에 성공하기 때문에 이미 기업에서는 해킹을 당했어도 바로 탐지를 못할 수 있다는 것이다.

이를 위한 대응방안으로 제로트러스트 보안 철학을 기반으로 내부 임직원도, 상용 보안 솔루션도 믿지 말고 디지털 문서를 해킹이 불가능한 형태로 바꿔야 한다고 강조했다.

기존의 경우 악성 파일은 차단하고, 정상 파일은 통과시키는 등의 이분법적인 판단에 의존했다면 이제는 판단하지 않고 위협 가능 요소를 모두 제거해야 한다는 것. 또한 기존의 선탐지·후조치 체계에서 이제는 선조치(DISARM)·후보고(REPORT) 체계로 바뀌어야 한다는 게 그의 설명이다.

▲시큐레터 이승원 CTO[사진=보안뉴스]

이승원 CTO는 “공항검색대의 경우 정상인지 악성인지 판단하지 않는다”며 “명확한 기준에 의해 통과시키고, 위협 가능 요소를 모두 제거하는 선조치·후보고 방식을 채택한다”고 말했다.

이어 이승원 CTO는 “민원처리, 보험신청 등 웹 게시판 구간은 상시 보안위협이 도사리고 있어 보안에 만전을 기해야 한다”며, “기자, 인사, 영업, 구매 등 Unknown 이메일 수신 업종은 물론이고 OT망, 데이터센터 등은 보안을 강화해야 하는 구간”이라고 강조했다.

4. 넥스원소프트 김준만 프로, “간편인증 통합서비스, 간편성+보안성 높여야”
넥스원소프트 김준만 프로는 최근 간편인증 시장현황에 대해 소개하고, 간편인증 통합서비스의 중요성을 제시해 참관객들로부터 눈길을 끌었다.

전자서명법 개정 후 인증서비스 환경을 살펴보면 카카오, 네이버, 토스, PASS, 뱅크샐러드 등 다양한 기업들이 전자서명 인증사업에 참여해 인증시장의 복잡성이 증가하고 개별적으로 연동된 인증서비스 환경이 조성되고 있다고 분석했다.

전자서명 개정에 따른 전자서명 이용 실태조사(2022년 12월 한국인터넷진흥원)에 따르면 ‘여러 인증서를 도입·연동하는 것이 번거롭다’고 답한 응답율이 40%였다. 또한 ‘웹사이트마다 전자서명 수단 선택 화면이 달라 혼란스럽다’는 의견이 34.3%로 가장 높았다.

▲넥스원소프트 김준만 프로[사진=보안뉴스]

이와 관련 김준만 프로는 “인증기관별 다른 연동방법, 통합모듈의 재배포, 프로세스의 법적 이슈, 다양한 전자서명방식 요구 등의 기술표준화 부재, API 테스트 및 연동 이슈, 인증기관별 이용계약 및 표준약관 정립, 장애 및 이슈 신속 대응, 개발·운영환경에 따른 방화벽 정책 이슈 등으로 이용기관들의 부담이 증가하고 있어 프로세스 상에서의 보안성 강화가 요구된다”고 밝혔다.

이에 대해 김 프로는 “간편인증 통합서비스 적용을 통해 사용자가 하나의 인증 창에서 간편하게 인증을 수행함으로써 운영자의 피로도를 감소시키고, 평소 친숙한 인증서 사용으로 사용자 서비스 만족도가 증가하며, 관리 포인트 단일화로 운영 및 정산에 대한 운영담당자들의 업무가 감소할 수 있다”고 설명했다.

5. 스토리지안 윤동구 대표, “단일 PC 기반의 물리적 망분리로 보안성 높여야”
스토리지안 윤동구 대표는 단일 PC 기반의 물리적 망분리를 보안 관점과 편의성 관점에서 분석해 참관객들의 관심을 받았다.

단일 PC 기반의 물리적 망분리가 보안 관점에서 신뢰성을 극대화할 수 있다는 설명이다. 웹브라우저 미기동시 또는 사용 후 닫힌 상태에서는 네트워크를 차단함으로써 대기 상태의 내장형 디스크 장치는 디스크 장치 차단으로 전환된다는 게 윤 대표의 설명이다.

가상머신 소프트웨어 ‘샌드박스(SandBox)’의 보안에 대해서는 외부망용 운영체제 부팅을 통해 클립보드(붙여넣기), 프린터, 비디오, 오디오, 공유폴더를 허용할 수 있고, 네트워크는 외부망으로 고정한다. 내부망용 운영체제 부팅은 클립보드, 프린터, 비디오, 오디오, 공유폴더를 비허용하고, 네트워크는 내부망 또는 외부망으로 물리적 망분리 상태를 유지해야 한다고 윤 대표는 설명했다.

▲스토리지안 윤동구 대표[사진=보안뉴스]

편의성 관점에 대해 윤동구 대표는 “마우스 원 클릭으로 내부망에서 외부망, 외부망에서 내부망으로 전환된다”며 “기존 KVM 스위치를 물리적 망분리 전용 보안 마우스로 대체할 수 있다”고 설명했다.

이외에도 망연계 용이, 설치공간, 발열 대응, 유지보수 장점, 원격·재택 근무, 서버 기반 내외부망 디스크 백업 등 측면에서 물리적 망분리의 장점이 있다고 덧붙였다.

6. 디지탈센스 최주호 대표, 보안 환경에 따라 방문자 신원확인 방법 달리 적용해야
디지탈센스 최주호 대표는 무인 출입관리 시스템의 편리성과 용이성에 대해 제시해 참관객들의 눈길을 끌었다. 일반적으로 출입관리 절차는 방문예약 -> 방문승인 -> 운영방법(안내데스크, 무인) -> 보안인증 -> 보안/안전교육 -> 신분증 보관 -> 출입증 발급 -> 출입증 회수 단계를 거친다. 이렇듯 복잡하고 번거롭기 때문에 대기시간을 줄일 수 있는 간소화 절차가 필요한 상황이다.

이러한 불편함을 해소하기 위한 방안으로 최주호 대표는 “무인 출입관리 시스템(Smartsecure-EasyPass)은 예약 방문객이 키오스크(Kiosk)를 이용해 무인으로 출입증(ID카드)을 발급받아 출입하는 출입보안 시스템”이라며 “본인 인증은 신분증, QR코드, 지문 등을 이용할 수 있고, 24시간 운영 가능해 효율적”이라고 말했다.

▲디지탈센스 최주호 대표[사진=보안뉴스]

또한 무인 출입관리 시스템은 방문예약, 인사DB 필요시 데이터 연동, 관리자용 프로그램을 통한 출입인원 현황 파악, 출입증 관리, 통계 및 리포트를 확인할 수 있다. 특히 관리 서버 운영, 안내데스크용 프로그램, 무인 출입관리(Kiosk), 신분증 보관함 기능 제공으로 효율성을 높였다는 게 최 대표의 설명이다.

그러면서 그는 “키오스크를 통한 신분증 인식을 통해 신원을 확인하고, 출입증을 RFID 방식, 인쇄 중 선택할 수 있다”며 “출입자 인증 방법은 본인 휴대용품, 생체인증 등으로 출입증 발급을 위한 대기시간을 최소화함으로써 출입절차를 간소화할 수 있고, 보안 환경에 따라 차별화된 방문자 신원확인 방법 적용이 가능하다”고 말했다.

이외에도 시큐인포 이영배 기술연구소장은 ‘AI 카메라 메타데이터를 이용한 VMS/NVR 객체인식 표출 개발방법’에 대해 발표했으며, 한국바이오인식협의회 김재성 회장은 ‘텔레바이오인식기술의 진화’를 주제로 발표했다. 또한 뮤즈블라썸 조은선 대표는 ‘오디오콘텐츠 저작권 생성검증 서비스 기술’을 소개했다. 이와 함께 인포마 Chris Edwards Group Director가 ‘IFSEC becomes part of Anticipate London Explaining our event strategy for 2024 and beyond’라는 제목으로 발표했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)