스마트카

스마트카, 상상 아닌 현실로…보안 해법은?

스마트카, 상상 아닌 현실로…보안 해법은?

 

운전석에서 한숨 자고 일어났더니 자동차가 알아서 운전을 해 목적지에 데려다 주는 장면, 더 이상 영화에서 나오는 상상이 아닙니다. 세계 유수의 자동차 회사들과 IT 회사들이 이런 똑똑한 스마트카를 잇따라 내놔 우리를 깜짝 놀라게 하고 있습니다.

만약 이런 스마트카를 해커들이 공격한다면 끔찍한 사고가 일어날 수도 있습니다. 펜타시큐리티가 SBS CNBC에 출연하여 상용화가 멀지 않은 스마트 카에 관한 보안의 중요성, 이중삼중의 보안 시스템에 대해 이야기 나눴습니다. 자세한 내용은 아래의 동영상을 참고하여 주시기 바랍니다.

 

 

[동영상 원문 보기: http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000872748]

펜타_에반젤리스트

‘내 개인정보 괜찮을까?’…웹사이트 해킹 막는 방법은?

‘내 개인정보 괜찮을까?’…웹사이트 해킹 막는 방법은?

 

최근에는 웹사이트를 통한 해킹이 전체 해킹사건의 90%에 육박합니다. 대기업이나 금융권의 해킹사건들은 언론에서 많이 접하셨을 겁니다. 우리나라에서는 중소기업, 스타트업과 같이 잘 알려지지 않은 곳이 모두 해킹의 대상이 되고 있습니다. 최근 급성장한 신생기업들 중 민감한 고객 정보를 다루는 기업들을 대상으로 해킹사고가 계속되고 있습니다. 펜타시큐리티가 SBS CNBC에 출연하여 웹사이트 보안에 대해 이야기했습니다. 자세한 내용은 아래의 동영상을 참고하여 주시기 바랍니다.

 

 

[기사 원문 보기 – SBS CNBC http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000871763]

사물인터넷 보안

생활에 밀접한 ‘사물인터넷’…사용자 보안 방안은?

생활에 밀접한 ‘사물인터넷’…사용자 보안 방안은?

 

IoT는 여러 가지 사물들이 인터넷에 연결된다는 뜻의 Internet of Things 의 약자입니다. 최근  TV, 냉장고, 카메라, 스피커는 물론 도어락, 전등, 보일러 등이 인터넷에 연결돼서 편리함을 주고 있습니다. 또 산업분야에서는 자동차나 원격검침기라든가, 공장에서도 IoT를 만날 수 있습니다. 전 세계 사물인터넷 기기는 올해 84억대에서 내년에는 111억대로 증가할 전망입니다. 펜타시큐리티가 SBS CNBC에 출연하여 사물인터넷 보안에 대해 이야기했습니다. 자세한 내용은 아래의 동영상을 참고하여 주시기 바랍니다.

 

 

[기사 원문 보기 – SBS CNBC http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000870684]

인터넷전문은행

인터넷전문은행 ‘열풍’…보안 믿고 써도 될까

인터넷전문은행 ‘열풍’…보안 믿고 써도 될까

최근 K뱅크부터 카카오뱅크까지 인터넷전문은행이 뜨거운 이슈로 떠오르고 있습니다. 스마트폰 화면 몇 번만 터치해서 계좌를 만들고 송금을 하고 이처럼 은행 서비스들을 혁신적으로 바꿔놨는데 한편으로는 이렇게 간단해서 보안이 제대로 되나 이런 불안감을 가지는 소비자들도 있습니다.  펜타시큐리티가 SBS CNBC에 출연하여 인터넷전문은행 보안에 대해 이야기했습니다. 자세한 내용은 아래의 동영상을 참고하여 주시기 바랍니다.

 

 

 

[기사 원문 보기 – SBS CNBC http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000870102]

캡처

모르는 사이에 내 정보 ‘유출’되고 있다…’IT 보안’ 중요성은?

모르는 사이에 내 정보 ‘유출’되고 있다…’IT 보안’ 중요성은?

지난 5월, 네트워크 전파를 통해 여러 PC를 감염시키는 랜섬웨어 공격으로 보안의 중요성이 커지고 있습니다. 웹으로 인해 모든 것이 연결되고 있는 지금, 펜타시큐리티가 SBS CNBC에 출연하여 실생활에 필요한 IT 보안과 우리가 몰랐던 IT보안 상식에 대해 이야기했습니다.  아래의 동영상을 통해 실생활에서 필요한 IT 보안에 대해 알아보세요.

 

 

[기사 원문 보기 – SBS CNBC http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000869240]

20170419145503138_QPTK654D

김덕수 펜타시큐리티시스템 전무, “CSP만으로 완벽하게 보안 대비 못해”

김덕수 펜타시큐리티시스템 전무, “CSP만으로 완벽하게 보안 대비 못해”

“애플리케이션·데이터보안은 사용자가 순전히 책임져야
AWS·KT·MS 등과 협력중
기술력·솔루션 차별화 전략”

 

20170419145503138_QPTK654D

인터뷰 김덕수 펜타시큐리티시스템 전무

 

“아마존(AWS)·마이크로소프트(MS)·IBM·오라클 등 클라우드서비스제공자(CSP)는 기초적인 시스템부터 네트워크까지의 보안은 제공하지만, 애플리케이션과 데이터 보안은 사용자가 직접 책임져야 합니다. 철저한 보안체계를 갖춰야 클라우드 보안 위협에 대비할 수 있습니다.”

8일 서울 여의도 펜타시큐리티시스템 본사에서 만난 김덕수 전무(사진)는 이같이 강조했다.

기업들이 IT 환경을 클라우드 기반으로 빠르게 바꾸고 있지만, 이를 노린 새로운 보안 위협 또한 증가하고 있다. 최근 한 보안업체 조사에 따르면 국내 기업의 최고보안책임자(CISO)들은 클라우드 보안에서 ‘시스템 침입’과 함께 ‘데이터 손실’을 가장 걱정하는 것으로 나타났다.

그러나 CSP만으로 고객의 보안을 완벽하게 책임질 수 없다는 것이 김 전무의 분석이다. 김 전무는 “데이터베이스(DB), 운영체제(OS), 하드웨어 서비스에 주력하던 기업들이 클라우드 인프라 서비스 시장에 뛰어들고 있는데 이들의 본 목적은 서비스가 효율적이고 빠르게 잘 운영되게 하는 것”이라며 “물리적인 환경에서의 보안을 기본으로 제공하고 그 외 시스템과 애플리케이션에 대한 보안은 부가 서비스로 내놓고 있다”고 설명했다.

한 예로 클라우드 인프라 서비스를 이용하는 한 비트코인 거래소 기업고객이 해커의 시스템 해킹으로 인해 ‘비트코인 월렛(인터넷망에 연결된 비트코인 지갑)’ 데이터를 도난당하면 이는 순전히 기업고객이 책임져야 한다.

CSP들은 클라우드 보안에 대해 우려하는 고객의 요구를 감안, 자체적인 부가 보안서비스를 개발하는 동시에 보안전문 기업들과도 협력하고 있다. AWS 보안 서비스 파트너사 중 핵심으로 꼽히는 펜타시큐리티도 이 중 하나다. 펜타시큐리티는 AWS뿐 아니라 KT, MS, IBM과도 클라우드 보안 서비스와 관련해 협력하고 있다. 과거와 달리 CSP와 총판들도 고객을 유치할 때 부가 보안서비스를 받으라고 권장하는 분위기로 바뀌고 있다는 것.

김 전무는 이 영역에서 분명한 자신감을 드러냈다. 김 전무는 “CSP와 고객들이 우리 서비스를 선호하고 협력을 원하는 것은 국내 어떤 보안기업보다도 클라우드 보안에 필요한 솔루션을 오래 연구하고 제품군을 갖췄기 때문”이라며 “웹 방화벽 ‘와플’, 데이터 암호화 ‘디아모’, 사용자 인증 플랫폼 ‘아이사인플러스’를 통해 안심할 수 있는 클라우드 환경을 만들어준다”고 말했다.

펜타시큐리티는 앞으로 클라우드 보완 관련해 보다 강력한 협력 생태계를 갖춰간다는 계획이다.

 

[기사 원문 보기 – 디지털타임스 http://www.dt.co.kr/contents.html?article_no=2017080902101060041001&ref=naver]

977202_20170721142930_089_0001

이석우 펜타시큐리티 사장 ‘先보안 後연결 시대 연다’

“先 보안 後 연결(Secure First, Then Connect)’ 시대를 연다.”

21일 창립 20주년을 맞은 펜타시큐리티시스템은 사물인터넷(IoT)·클라우드·자동차 보안을 차세대 사업으로 육성한다.

이석우 펜타시큐리티시스템 사장은 “모든 것이 연결되는 시대에 기기 개발이나 서비스에 앞서 보안문제를 해결해야 한다”면서 “先보안 後연결이 4차 산업혁명 시대 초연결사회 필수조건”이라고 강조했다.

펜타시큐리티는 1997년 창업 후 20년간 암호와 웹 보안 기술을 두 축으로 성장했다. 웹방화벽 ‘와플’은 국내 시장 점유율 1위다. 암호플랫폼 ‘디아모’ 역시 DB암호 시장을 선도했다. 2012년부터 3년 연속 나라장터 DB암호화 부문 점유율 1위를 차지했다. 펜타시큐리티는 와플과 디아모를 개발하며 암호와 웹 애플리케이션 보안 원천 기술을 축적했다. 이를 기반으로 펜타시큐리티 2.0 시대를 IoT, 클라우드, 자동차 보안에서 모색한다.

 

펜타시큐리티는 아무도 자동차 보안에 관심을 갖지 않던 7년 전부터 기술 연구를 시작해 스마트카 보안솔루션 ‘아우토크립트’를 개발했다. 스마트팩토리 보안 솔루션도 내놨다. 스마트팩토리에 들어가는 IoT 기기 보안성을 보장하는 솔루션이다. 2010년부터 클라우드용 웹방화벽, 암호화, 인증 보안을 하나씩 출시했으며 지난해 펜타 클라우드 시큐리티로 통합했다.

 

펜타클라우드시큐리티

<펜타 클라우드 시큐리티(Penta Cloud Security)>
 

이 사장은 “이미 2014년부터 펜타시큐리티 재설계를 시작했다”면서 “20주년이 되는 올해까지 3년에 걸쳐 기술과 비즈니스 체계, 마케팅 등에 변화를 완성한다”고 말했다.펜타시큐리티가 신기술 개발과 시장 진출이 빠른 건 기업 문화에서 비롯된다. 이 사장은 “회사는 전략보다 문화가 중요하다”면서 “지난 20년간 실패하더라도 새로운 기술에 도전할 수 있는 문화를 만들었다”고 설명했다.

그는 “그동안 도전한 많은 기술 중에 실패한 사례도 많지만 이 역시 새로운 자산으로 재탄생한다”고 덧붙였다. 이 사장은 기업이 실패 위험을 두려워하면 새로운 기회를 얻을 수 없다고 강조했다. 펜타시큐리티는 전체 240명 중 100명이 연구원이다.

많은 보안기업은 기존 솔루션 외 신성장 동력 확보에 어려움을 토로한다. 내부 개발보다 인수합병(M&A)에 눈 돌리는 이유다.

이 사장은 “’실패해도 괜찮다’란 문화를 만들자 자연스럽게 신성장 동력을 개발하게 됐다”면서 “다양한 분야로 분화할 수 있는 기술개발이 펜타시큐리티의 현재와 미래까지 담보한다”고 말했다.

 

[기사 원문 보기- CIOBIZ+ http://ciobiz.etnews.com/20170721120017]

스마트카

자율차 ‘달리는 무기’ 되지 않으려면, 사이버 보안이 ‘열쇠’

자율주행차 보안은 블랙리스트 아닌 ‘화이트리스트’

하드웨어는 키 관리, 소프트웨어는 인증서, 물리적 보안도 고민해봐야 해

 

꿈이 현실이 됐다, 라는 말이 가장 잘 어울리는 기술이 있다면 바로 그것은 자율주행 자동차일 것이다. 자동차를 부르면 알아서 달려오고, 또 스스로 목적지까지 주행한다. 자율차는 조행 중  장애물을 인식해 피하고 주인에게 각종 편의와 정보를 제공한다. 완전 자율주행차의 상용화는 좀 시간이 걸리겠지만 소위 말하는 ‘반 자율주행차’ 기술은 갈수록 고도화되고 있다. 이제 자율주행 기능을 갖춘 자동차 광고도 쉽게 볼 수 있을 정도로 우리 생활 깊숙이 다가왔다. 본지는 앞으로 11회에 걸쳐 자율주행차 기획을 연재한다. 자율주행차 산업 트렌드를 시작으로 레이더, 라이다, 카메라센서 등 반도체 부품, 통신, 정밀지도, SW플랫폼, 인공지능, 보안 K-city 서비스 등을 다룬다. 독자 여러분의 많은 성원을 부탁드린다. <편집자 주>

 

스마트카

 

운전자의 제어권을 차량으로 넘기는, 자율주행 기술 레발 4단계 이상을 실현하기 위해서는 더욱 강력한 보안 기술이 요구된다. 운전자에게 차량 시스템 오류나 해커의 접속 등 자율주행차가 위협요인에 노출되더라도 안전하다는 신뢰를 주어야 하기 때문이다.

차량 반도체 업체 르네삿, 인피니언, NXP, 맥심 등은 일찍이 하드웨어 보안 모듈 (Hardware Security Module: HSM)을 적용해왔다. HSM은 중앙에서 키를 두고 암호화해 전달하는 키 관리 역할을 지원한다. HSM은 2008년~2011년까지 운영한 EVITA(E-safety Vehicle Intrusion proTected Applications)가 스마트카와 커넥티드카가 발전하며 취약한 ECU 보안에 대해 규정한 모듈로 ECU용 보안인 1단계, 차내 ECU간 통신보안인 2단계, 외부 통신간 보안인 3단계로 구분된다.

지난해 삼성이 인수한 하만의 보안업체 타워섹(Toursec)은 텔레메트릭스를 지원하는TCU(telecommunication control unit)에 직접 소프트웨어 방어막을 설치하는 솔루션을 내놓기도 했다.

아우토크립트_2

차량 ECU 해킹사례는 유례가 없지만, 사이버 보안은 이미 해킹사례가 나왔다. 테슬라S는 OTA(Over-the-Air)로 패치를 제공했지만, 피아트크라이슬러와 GM은 보안위협으로 리콜까지 강행해야 했다. NXP와 현대모비스는 올해 2월 Auto-ISAC(Automotive Information Sharing and Analysis Center)에 가입해 사이버보안 강화에 나섰다. 차량 관련 OEM들이 참여하는 협의체인 Auto-ISAC에는 보쉬, LG전자, 허니웰 등이 가입해 활동 중이다.

자동차의 컴퓨터화, 자동차 보안은 결국 사이버 보안

사이버 보안은 SAE J3061이 국제 표준으로 통용되고 있다. OEM과 보안업체별 솔루션의 차이가 있지만, 국내 업체 중 펜타시큐리티는 3단계로 보안 솔루션을 제공하고 있다. ▲차량 내 게이트웨이에 설치해 겉모습과 속성을 판별해 차단하는 방화벽(Firewall) ▲ECU 간 통신에 활용되는 키 관리(Key Management System: KMS), ▲외부 통신 보안에 프라이버시를 보장하는 인증서관리기술(PKI)로 구성된 아우토크립트(AutoCrypt)다.

특히 자율주행은 달리며 자신의 위치를 주변에 ‘뿌리는’ 형태로 프라이버시에 대한 우려가 심각한데, 이를 5분마다 20개의 인증서를 랜덤하게 사용하는 PKI 인증서로 예방한다. 20개의 인증서는 일주일 간격으로 교체해 1년간 약 1천개의 인증서를 사용한다. 미국 CAMP VSC와 SCMS(Security Credential Management System) 규격을 충족시킨 인증서 관리 기술이다. V2X통신 보안은 IEEE1609.2가 정의하는 글로벌 표준을 따랐다.

인터뷰 심상규 공학박사 / 펜타시큐리티 IoT 융합보안연구소장

완전한 보안은 몇천만 원, 실제 가능한 비용은 몇천 원

자율주행차 보안 화이트리스트로 구축하게 될 것

6KYMTQMG8ZQU1Q0IP2FE

Q. 차량 회사에서 ECU 단계에서 보안을 강화하고, 사이버 보안을 지원하면, 보안은 안전한 것이라 볼 수 있나?

“기존에는 문을 못 열게 하는 데만 집중하지 않았나. 물리적 보안이 추가로 필요하다. 보이지 않는 곳에 구멍을 뚫어 차량 네트워크에 해킹시스템을 붙이게 되면 속수무책으로 당할 수밖에 없다.

게이트웨이 방화벽이 외부통신에서 차량 내부로 유입되는 보안위협을 막아내는 기술이라면 내부통신을 안전하게 하는 보안 기술을 고민해볼 필요가 있다. 예로, 차량 내부 네트워크를 암호화한다든지, 인가되지 않은 기기가 네트워크에 참여하는 것을 감지하는 기술들이 있다”

Q. 보안을 안전하게 갖추려면 얼마정도 필요한가? 

“차량마다 하드웨어와 소프트웨어 보안을 모두 충족하려면 한 대당 몇천만 원정도다. 미국의 도로교통안전국(NHTSA)의 NPRM 문서는 V2X통신을 차량마다 135달러~ 301달러로 의무화하겠다는 내용을 담았는데 여기서 보안은 많아 봐야 10%다. 단가로 보면 몇천 원 정도다. 결국, 허용한 리스트 내에서만 프로토콜을 허용하는 화이트리스트 방식의 보안이 폭넓게 적용될 것으로 예상된다”

Q. 운전자의 비용 부담을 줄이려면 V2X인포테인먼트나 관련 산업을 활성화해 기업의 투자가 이뤄지는 방안으로 진행하면 되지 않나

“V2X통신을 활용한 관련 산업은 무궁무진하다. 이미 나오고 있는 것도 많고. 외국에는 운전자 패턴을 저장했다가 온라인 보험사에 전송해 보험료를 깎아 주는 시큐어 스토리지를 추진하고 있다. 또, 차량 OEM에서도 초기 1세대 제품을 출시할 때 OTA방식을 고려하고 있다. 버그를 실시간으로 점검할 수 있어 리콜을 막는 수단으로 V2X통신을 활성화할 수 있다”

Q. 정부 정책은 자율주행 보안에 대해 어떻게 추진하고 있나?

“현재로서 자동차 보안은 차량 제조사에 달려있다. 국토부는 스마트 도로를 구축하고 있지만, 내부통신까지 관여하고 있지는 않다. 오히려 산업통상자원부에서 제조사를 통해 관여할 수도 있다. 정부는 스마트 도로가 구축되고 나면 그 위를 달리는 자동차에 대해 고민할 때 보안을 의무화하는 방향으로 추진하게 될 것으로 본다.”

[기사 원문 보기 – e4ds http://www.e4ds.com/sub_view.asp?ch=11&t=1&idx=6805]

art_1499728356

펜타시큐리티, “중소기업, 클라우드브릭으로 부담없이 보안↑”

“해커가 이렇게 작은 곳까지 공격하겠어요?”

“보안은 당연히 중요하지만, 버는 수익보다 보안장비가 더 비싼데 배보다 배꼽이 더 커요.”

“보안시스템 구축부터 운영까지 어디서 어떻게 시작해야 할 지 모르겠어요.”

“지금까지 별 일 없었는데, 괜찮겠죠.”

상당수 중소·개인 사업자들이 보안을 대하는 모습이다. 하지만, 실제 사이버공격자들은 기업의 규모를 가리지 않는다. 오히려 작은 곳일수록 보안에 취약한 경우가 많기 때문에 이를 거점으로 삼기 위한 위협을 가한다. 예를 들어, 한 기업의 관리자 정보를 얻기 위해 해당 직원이 자주 가는 웹사이트 중 가장 취약한 곳을 공격해 개인정보를 획득한다. 해커가 꼭 특정한 목적을 갖고 행동하는 것은 아니다. 타깃을 정하지 않고 무작위로 취약점을 찾는 프로그램을 활용하기도 하는데, 이 때 평소 보안에 취약한 곳들이 당하게 된다.

이에 펜타시큐리티는 중소·개인 사업자들의 비용 부담을 줄이면서 안정성을 확보하는 방안을 강구했다. 클라우드형 보안서비스를 통해 웹보안을 강화하는 ‘클라우드브릭’이 그 결과물이다. 무료 체험부터 쓰는 만큼 지불하는 방식까지, 가격에 대한 부담부터 줄였다. 클라우드를 활용했기에 가능했다.

정태준 펜타시큐리티 기획실 e비지니스부장은 “규모가 크지 않은 사업자들 상당수는 제대로 된 보안 운영을 힘들어하고, 해킹에 대한 안전장치도 만들지 못하고 있다”며 “상대적으로 비싼 장비 위주의 보안시장에서 중소·개인 사업자들은 웹사이트 해킹으로부터 안전한 보호체계를 갖출 수 없기 때문에 펜타시큐리티는 클라우드를 통해 부담부터 줄이기로 했다”고 말했다.

◆파격적 제안, 웹방화벽 보안 ‘공짜’

펜타시큐리티는 웹사이트 운영자라면 기본적으로 웹에 대한 보안을 적용해야 한다고 봤다. 이에 작은 규모의 웹사이트에 대해서는 무료 기회를 확대키로 했다.

펜타시큐리티는 클라우드브릭의 가격정책을 0원부터 시작했다. 트래픽이 4GB 이하일 때 클라우드브릭의 보안서비스를 무료로 이용할 수 있고, 이후의 가격은 트래픽 용량 기반으로 측정키로 한 것이다. 유료서비스는 월 29달러부터 시작한다. 한화로 약 3만원대다. 규모가 있는 기업을 통해 수익을 얻고 작은 웹사이트에 대해서는 무료 서비스를 제공하는 형태다. 클라우드를 통한 웹보안을 확대하려는 시도다.

클라우드브릭은 웹방화벽과 콘텐츠전송네트워크(CDN), SSL(Secure Socket Layer)을 기본 제공한다. 클라우드브릭 비즈니스 에디션이라는 온-프레미스(On-Premises) 솔루션도 이용 가능하다. 또, 사용자가 파악하기 쉬운 상호적 대쉬보드를 지원하고 원클릭으로 쉽게 웹사이트 보안 관리를 할 수 있도록 했다.

정 부장은 “글로벌 벤더들도 무료서비스 플랜을 제공하는데, 보안 기능은 제대로 포함되지 않는다”며 “보안기능 받으려면 고가의 플랜을 선택해야 하는데, 클라우드브릭은 트래픽에 따라 비용이 달라지고 유료와 무료 서비스 모두 같은 보안정책을 제공한다”고 설명했다. 또 “IT를 잘 모르는 웹사이트 운영자도 클라우드브릭을 통해 보안에 더 이상 신경쓰지 않아도 된다”며 “고객 대신 보안을 책임지고 공격 통계까지 제공하며 펜타시큐리티 내 보안존을 통해 관리하기 때문에 고객 환경과 무관하게 보안수준을 높일 수 있다”고 부연했다.

펜타시큐리티가 무료혜택을 늘린 이유는 그만큼 영세한 웹페이지일수록 보안에 취약하다는 것을 알아서다. 랜섬웨어만 해도 약 40%의 공격이 웹 애플리케이션을 통로로 이용한다. 웹에 대한 기본적 보안만 지켜도 무방비로 공격에 노출되지는 않는다.

정 부장은 “데이터 유출을 시도하는 건수를 비교하면 대기업이 중소기업보다 압도적으로 많지만 실제 사고가 일어난 건수는 중소기업과 비슷하다”며 “중소기업은 상대적으로 보안을 제대로 갖추고 있지 않다는 것”이라고 지적했다. 이어 “웹보안을 안전하게 하려면 웹방화벽 장비를 사용하거나, 시큐어코딩을 통해 웹사이트 자체를 안전하게 만들고, 애플리케이션 취약점을 방치하지 않고 최신버전으로 패치하고 업데이트하는 관리가 필요하다”며 “보안위협에 대한 피해를 입기 전에는 보안에 대한 인식이 낮고, 제대로 된 웹보안이 이뤄지는 곳은 사실 거의 없다”고 덧붙였다.

클라우드브릭 고객인 센트럴투자파트너스의 이수희 대표이사는 “해커가 직접 피해를 주는 것뿐만 아니라 홈페이지 방문자에게 덫을 놓을 수도 있다는 이야기를 알게 돼 충격을 받았다”며 “선의로 회사의 웹사이트를 방문한 고객에게 해킹 피해가 생겨서는 결코 안 되며, 홈페이지를 운영하는 회사들은 가능한 모든 예방조치를 해둬야 한다고 믿는다”고 전했다.

◆펜타시큐리티, “클라우드브릭, 50만곳 구축 목표”

이처럼 펜타시큐리티는 클라우드브릭을 통해 고객이 느끼는 장벽을 낮췄다. 펜타시큐리티는 2020년 목표로 50만개 웹사이트에 클라우드브릭을 구축키로 했다.

정 부장은 “대중화를 목표로 하기 때문에 웹사이트를 갖고 있는 사람들은 모두 클라우드브릭을 알 수 있기를 바라며, 2020년 50만곳에 구축하는 로드맵을 잡았다”며 “궁극적으로는 들어오는 트래픽뿐 아니라 기업 내에서 외부로 나가는 트래픽에 대한 보안까지 책임지고자 한다”고 제언했다. 이러한 클라우드브릭은 국내뿐 아니라 글로벌시장에서 승부를 걸고 있다. 펜타시큐리티는 클라우드브릭을 북미시장을 타깃으로 2015년 1월 글로벌 론칭 후 같은 해 6월 한국에 선보였다. 이후 지난달에 한국에 거점을 만들었다. 이는 글로벌 보안기업을 목표로 하기 때문이다.

현재 클라우드브릭 이용자는 6000여명, 웹사이트는 1만여개, 파트너 30여곳이 전세계서 확보돼 있다. 최적의 웹방화벽 속도와 퍼포먼스를 제공하기 위해 전세계 17개 지역에 위치한 IDC·POP 서버로의 접근을 제공한다. 연내 30곳으로 확대할 예정이다. CDN은 약 50개로, 17개 지역과 거리가 멀 경우 이 포인트를 통해 빠르게 접속 가능하다. 정 부장은 “장비를 수출할 경우 파트너, 영업 등 여러 제약사항이 있으나 서비스의 경우 국경 없이 선보일 수 있기 때문에 클라우드브릭을 통해 해외시장부터 공략키로 했다”며 “사물인터넷(IoT) 시대가 도래하면, 모든 기기가 웹으로 통신하기 시작해 기업뿐 아니라 개인의 문제로 부각될 수 있어 웹보안은 반드시 필요하다”고 말을 보탰다.

한편, 펜타시큐리티는 국내에서도 시장을 넓히기 위해 한국에서 거점 서비스를 오픈하고 지난달부터 3개월간 무료사용 프로모션을 진행하고 있다. 또, 국내 이용자들이 친숙하게 접근할 수 있도록 한인수 펜타시큐리티 이사는 페이스북 라이브 방송 ‘인수분해(인수가 분석해주는 보안 해법)’를 운영하고 있다.

[기사 원문 보기 – 디지털데일리 http://ddaily.co.kr/news/article.html?no=157989]

art_1498691126

“해커와의 전쟁, 최전선을 지켜라” 펜타시큐리티가 말하는 웹방화벽 중요성

 

 

전세계는 현재 해커와의 전쟁 중이다. 공격자들은 다양한 통로를 통해 기업 및 개인들에게 접근하고 있다. 이 중에서도 웹사이트는 해커들이 선호하는 내부 침입 경로 중 하나다.

수억개의 웹사이트가 존재하고, 대부분의 기업들은 자사의 홈페이지를 보유하고 있다. 스타트업부터 개인 사업자까지, 웹을 통한 비즈니스를 꾀하고 있다. 문제는 웹사이트의 보안 상태다. 이곳이 뚫리면 해커를 내부로 초대하는 길이 된다.

웹사이트는 기업 내부 시스템으로 연결되는 최앞단의 게이트웨이와 마찬가지다. 이 때문에 웹방화벽을 비롯한 웹보안에 대한 중요성이 강조되고 있지만, 실제 상당수 웹페이지는 기본적인 보안체계조차 갖추지 못하고 있다.

정태준 펜타시큐리티 기획실 e비지니스부장은 “전세계 수억개 웹사이트 중 웹방화벽을 사용해 보안을 꾀하는 곳은 1~2% 수준으로 추산된다”며 “해킹에 대한 최소한의 안전장치조차 만들지 못하는 곳들이 수두룩하다”고 말했다.

 

“웹방화벽, 선택 아닌 필수”

웹사이트를 보호하는 기본적인 방어체계가 필요한 이유는 최근 벌어지고 있는 일련의 해킹 사례만 살펴봐도 알 수 있다.

가상화폐 관련 커뮤니티에서는 거래소 계정을 해킹당했다는 글을 종종 볼 수 있다. 갑자기 가상화폐 지갑에 있는 돈이 모두 증발했다는 것이다. 이러한 공격 수법은 주로 취약한 웹사이트 해킹을 통해 이뤄진다.

정 부장은 “해커는 사용자가 이용하는 다른 웹사이트를 해킹해 아이디와 패스워드 등 개인정보를 획득, 같은 패스워드를 사용하는 곳의 계정을 탈취한다”며 “동일한 계정정보를 이용하는 사용자가 많기 때문에 이를 악용하고 있으며, 거래소 계정 탈취도 이와 같은 방식을 쓴다”고 말했다.

펜타시큐리티에 따르면 랜섬웨어도 40%에 달하는 비율로 웹 어플리케이션을 활용해 침투한다. 또, 사물인터넷(IoT)도 웹으로 통신하고 있다. 모바일 기기부터 커넥티드카까지 다양한 IoT 기기가 연결되고 있다. 웹보안의 중요성이 점점 커지는 대목이다.

상황은 이러하지만 아직도 해킹은 남의 일이라고 생각해 보안을 취약하게 운영하는 곳들이 많다. 타깃을 정해 공격하는 사례도 있지만, 무작위로 취약한 곳을 찾아 위협하는 경우도 대다수다.

정 부장은 “특정 의도를 가지고 해킹을 시도하는 것 외에도 무작위로 스캔툴을 돌려 취약점을 찾기도 한다”며 “본인의 웹사이트는 공격을 받지 않는다고 말한 고객도, 정작 클라우드브릭을 설치했을 때 무수히 많은 해킹 트래픽을 탐지해 놀라기도 한다”고 설명했다.

 

펜타시큐리티, 클라우드브릭으로 웹사이트 보안수준↑

이에 펜타시큐리티는 웹방화벽(WAF) 서비스인 클라우드브릭을 통해 규모에 상관없이 웹사이트 운영자라면 누구나 기본적으로 보안을 적용할 수 있도록 서비스를 제공하고 있다.

웹방화벽은 웹사이트 운영자가 웹 공격 또는 개인정보를 노리는 해커들로부터 자신의 웹사이트를 안전하게 보호하도록 도와주는 장치다.

클라우드브릭은 100% 자체 기술을 기반으로 하고 있다. 논리 기반 탐지 엔진은 시맨틱, 휴리스틱, 패턴 매칭 방식으로 동작해 악의적인 웹 트래픽의 가능성을 일체 차단한다. 알려진, 알려지지 않은, 변조된 웹 공격에 대해서도 높은 정확도를 보여준다는 설명이다.

펜타시큐리티는 누구나 웹보안을 할 수 있어야 한다는 미션 아래 가격정책을 새롭게 수립했다. 중소·개인사업자에게 기존의 웹방화벽 보안장비는 부담스러운 가격의 구축형 제품이었다. 이에 펜타시큐리티는 클라우드 서비스형 보안(SECaaS)을 적용했다.

정 부장은 “클라우드로 서비스화해 장비를 구축하지 않아도 회원가입 후 사이트를 등록하고 설정만 변경하면 5분 내로 쉽게 도입할 수 있다”며 “트래픽 규모에 따라 과금하고, 트래픽이 4GB 이하일 때 클라우드브릭의 보안서비스를 무료로 이용할 수 있다”고 전했다.

또한, 클라우드브릭은 모든 SECaaS 고객들에게 최적의 웹방화벽 속도와 퍼포먼스를 제공하기 위해 전세계 17개 지역에 위치한 IDC·POP 서버로의 접근을 제공한다. 연내 30곳으로 확대할 예정이다. 지난 6월 한국에 거점을 마련했으며 남아공과 이스라엘도 지역 거점 오픈을 앞두고 있다.

아울러, 클라우드브릭은 사용자 웹사이트의 더욱 빠른 로딩을 위해 전세계 약 50곳에 포인트를 두고 콘텐츠전송네트워크(CDN) 최적화를 제공한다.

정 부장은 “사용자들은 악의적인 웹 공격 또는 개인정보 유출 이후에 웹 보안 솔루션을 찾는 경향이 있지만 그때는 너무 늦다”며 “사고 발생 이후에 대응하는 것이 아닌 사전에 방지하는 자세를 취해 더욱 안전하게 웹을 보호해야 한다”고 제언했다.

 

[기사 원문 보기 – 디지털데일리 http://www.ddaily.co.kr/news/article.html?no=157582 ]