We looked at important key elements of information security and personal information to look around the year, introduced the security threats that threatened in 2018, and summarized future considerations.
1. Privacy and Security
in a Hyper-connected world
보안연구실 이사
CISSP KOREA/유정훈
james.yoo@boanin.com
2. Before beginning
• How Safe Is the Future World?
(https://www.youtube.com/watch?v=4NXpEUFO_6o)출처:enewsTV
쿠팡, 배달의민족, 업비트, 코인원, 마켓
컬리, 푹(POOQ), 야놀자, 다방, 나이키
등 주요 온라인 서비스가 모두 마비
➔ 장애 원인은
A사의‘DNS 설정 오류’
[참고]: 도메인 등록은 효력이
발생하려면 24~48 시간소요
22일 AWS의 클라우드
서비스인 아마존 웹서비
스(AWS)의 장애로 인해
3. Agenda
• Hyperconnected world
• Main Control unit
• Problems through Future Technology
• 10 critical security threats in 2018
• Future Considerations
4. Hyper-connected world
• hyperconnected world is driven by the next generation of the Internet
of Things (IoT). The number of things connected to the Internet will
likely reach 50 billion or more in 2020. [ref. World Economic Forum]
5. Main Control unit
• What is the key device of modern society?
출처:SK인사이트
Smartphones are no longer just
a device, but a carry-on bomb.
6. Why is the problem in the future society?
The most important
element of future society is
personal information and
security.
7. Problems through Future Technology (1/2)
• 모든 중요 디바이스는 항시 연결되어 있음
• 인터넷이 빠를수록 정보를 빠른속도로 받아 볼 수 있
지만 멀웨어는 계속 변모 하고 있음 -> 모바일 멀웨어 증가
※ 참고: securitysales기사에 따르면, 기존 멀웨어변종 43%증가, 신규 멀웨어 32%증가
• 기술의 발전에 의해 새로운 프로그램 언어로 인해
점검자 입장에서 보안 테스팅 점검 방식도 어려워 짐
-> 과거의 지식으로는 수행 불가능
• 환경은 빠르게 변화되고 있지만, 보안관점과 절차에
있어서는 보안설계가 되어 있지 않거나 그대로 사용
• 미래기술은 파워풀하고 쉽게 개발되고 빨라졌으므로
패스워드도 주기적으로 변경이 필요한 시점
8. Problems through Future Technology (2/3)
• 자율 주행카 시대가 빠른 속도로 다가옴
=> 각종 IOT 센서 디바이스 : 블루투스 공격, 스푸핑공격 가능
• 스마트폰을 이용한 IoT 컨트롤러
- 악성코드 주입을 통해 스마트 공장 등을 마비시킴
• 공급망 보안 이슈
- Kaspersky – 자사 소프트웨어를 통한 민감정보 유출
- Google Store – 모바일 앱 을 통한 악성코드 주입
• 스케줄링을 통한 기관/기업내의 PMS 시스템 된다면
어떻게 될까? (예약 배치가 설정된 환경)
9. Problems through Future Technology (3/3)
• 관심만 가지만 어둠의 통로가 쉽게 접근 할수 있음
(Darkweb, Shodan, Censys 등)
• 다양한 Unit 을 통한 의료정보, 금융정보 등을 해킹
할수 있음 – 생명위험, 파산
• 기관/기업/가정 내의 예산 절약 또는 익숙함으로 인해
기존 제품을 오랜기간 사용
→ 오래된 가전제품과 보안 장비도 수년간 동작중
(냉장고 25년, 자동차 20년, 모 증권회사 방화벽 20년, CCTV 15년)
• 오픈소스 API는 과연 안전할까? (GItHub, Sourceforge 등)
10. 10 critical security threats in 2018 (1/3)
출처: https://www.synopsys.com
1. 데이터 유출
- 클라우드 고객에게 가장
중요한 관심사는 데이터 유출
2. 인재에 의한 오류
- 클라우드 보안 사고는
2020년까지는 95%로가
고객사의 실수로 발생 예상
3. 무백업으로 인한 데이터 손실
- 사고 재해는 데이터를 백업 할
의지가 없는 한 고객 데이터의
영구적인 손실 발생
-
11. 10 critical security threats in 2018 (2/3)
출처: https://www.synopsys.com
4. 내부자 위협
- 최근 조사에 따르면,
내부자 위협이 53%
5. DDOS 공격
- DDOS 공격을 통한
클라우드 고객 및 공급업체에
중대한 위험 증가
(명성손상, 고객데이터노출 포함 등)
6. 불안전한 API
- 일명 “현관문”의 성격으로,
API는 공격자의 초기 진입 점
=> 즉, 보안의 약점 요소임.
-
12. 10 critical security threats in 2018 (3/3)
출처: https://www.synopsys.com
7. 익스플로잇
- 클로우드 관점의 제로데이 공격
8. 계정 하이제킹
- 클라우드 서비스의 인증 탈취
* 훔친 인증 정보를 사용해서 클라우드
컴퓨팅 서비스의 중대한 영역에 접근,
* 해당 서비스의 기밀성과 무결성,
가용성 훼손
9. APT
- 시스템 침투를 통한 데이터 유출
-
10. 멜트다운과 스펙터
- 멜트다운: 공격자가 운영체제권한
영역을 훔쳐 볼 수 있는 취약점
- 스펙터는 공격자가 사용자의
중요정보를 훔쳐보는 취약점
13. Future Considerations
• 환경 변화와 조직의 문화 이해 필요(법, 기술 등)
• 지속적인 스킬(다양한 신기술) 과 프로그램 공부 필요
• Security By Design을 고려 필요
• 실무자를 의한 인식제고 교육 필요
• PSA 훈련 필요
(Problem Solving Approach = 문제 해결법)
• 공급망 보안 대책과 이상징후 모니터링 구축 고려
• 자사내 오픈소스 프로그램 점검 필요