2017-07-21-1500597132-9864308-53_00-thumb

클라우드 시대의 보안, 간단히

2017-07-21-1500597132-9864308-53_00.jpg

 

IT 보안, 어렵다. 쉽다더라도 제대로 해내기 힘든 일일텐데 어려우니까 더 힘들다. 고작 서버 하나 운영하려 해도 해야 하는 일들이 너무나 많다. 게다가 요즘은 클라우드가 대세다. 기업의 컴퓨팅 환경을 기업이 직접 관리하지 않으니 기존 온갖 보안 문제들로부터 자유로워진 셈일까. 그렇지 않다. 클라우드 서비스 제공자는 하드웨어 수준에서의 보안은 제공해 주지만 어플리케이션 그리고 데이터 보안은 여전히 서비스 이용자의 몫이다. 이에, 오늘날 IT 보안의 핵심, 정말 필수적인 핵심만 간단히 짚어 보자. 물론 이게 IT 보안의 전부는 아니다. 하지만 이 정도만 따르더라도 대부분의 IT 보안 사고는 가볍게 막을 수 있다.

 

막을 수 있었던 사고들 : WAF

보안 사고의 종류는 다양하다. 뉴스를 봐도 매일 이런 사고 저런 다양한 사고들이 끊임없이 터지니까, 저 수없이 많은 공격들을 어떻게 일일이 다 막아 낸단 말인가, 애초에 포기해야 하나 싶은 생각마저 들 정도다. 하지만 최근 일어나는 모든 보안 사고의 90% 이상은 웹 어플리케이션을 통해서 일어난 사고다. 사고 종류는 다양하지만 그 시작점은 웹 어플리케이션, 특히 웹 컨텐츠 레벨에서의 취약점에서부터 시작되어 이후 여러 다양한 종류의 사고로 이어진 것들이다. 즉, 진작에 웹 어플리케이션 방화벽만 가동했더라도 충분히 막을 수 있었던 사고들이다.

 

그럼에도 막지 못한다면? : 암호화

그럼에도 사고는 꼭 발생하고야 만다. 이는 아주 중요한 시각이자 인식이다. 흔히 IT 보안은 사고가 아예 일어나지 않을 것을 전제하고 하는 일이라고 생각한다. 그렇지 않다. IT 보안은 사고가 일어날 것을 전제하고 하는 일이다. 무조건 완전한 방어만을 전제한다면 만약의 사고 발생 이후 원상으로의 회복력이 현저히 떨어지기 때문에 기업에 있어 가장 중요한 일인 비즈니스 연속성을 유지할 수 없다. 따라서 사고 발생을 전제한 채 “문제는 회복력”, 이것이 요즘 IT 보안의 패러다임이다. 세상 모든 방어망은 뚫릴 가능성을 가지고 있고 모든 데이터는 유출될 가능성을 가지고 있다. 그것이 데이터란 것의 애초 성질이다. 따라서 데이터 유출을 막기 위해 최선을 다하되, 동시에 데이터가 유출되는 경우까지 대비해야 한다. 그런 일이 벌어졌을 때에도 최악의 상황, 즉 데이터 내용의 노출을 막을 방법은 데이터 암호화뿐이다. 범죄자들이 데이터를 훔치는 일까지는 혹시 성공하더라도 데이터의 내용을 볼 수는 없게끔, 즉 훔친 데이터를 써먹을 수는 없게끔 만들어야만 피해를 최소화할 수 있다.

 

클라우드는 클라우드로 : 클라우드 보안

클라우드 컴퓨팅에 대한 의심은 아직 완전히 사라지지 않은 것 같다. 클라우드는 아직 완성도가 낮은 기술이고 기존 시스템 사용에 비해 쓸데없이 복잡하기만 할 뿐 왠지 안전하지 않을 것 같다는 부정적 편견이 여전하다. 하지만 이는 아직 클라우드를 써 보지 않은 사람들의 오해일 뿐, 실제로 클라우드를 도입해 사용해 본 기업은 태도가 완전히 반대로 바뀌어 완전 찬양 일색으로 돌아선다. 특히 클라우드를 통해 신규 어플리케이션 및 서비스 적용에 소요되는 시간이 전과 비교할 수 없을 정도로 단축되고 유지 및 보수 비용 또한 크게 절감했다며 만족한다. 그리고 아직 클라우드로 전환하지 않은 기업들은 이미 클라우드로 전환한 기업의 비즈니스 속도를 따라잡지 못할 것이라고 한 목소리로 답한다. 즉, 클라우드는 확실한 대세다.

그래서 요즘은 서버 등 전산 시스템을 직접 관리하지 않는 기업이 많다. 그리고 세계적으로 아주 유명하고 거대한 클라우드 회사가 대신 맡아서 처리해 주고 있으니까 보안 문제도 아예 없을 거라고 믿는다. 하지만 이는 아주 심각한 오해다. 클라우드 서비스 제공자는 하드웨어 및 네트워크 수준의 보안만을 제공한다. 어플리케이션 그리고 데이터 보안에 대한 책임은 순전히 서비스 사용자의 몫이다. 이는 컴컴한 비밀도 아니고 서비스 제품 설명서에 명백히 쓰여져 있는 사실이다. 그럼, 무엇을 어떻게 해야 할까. 이를테면 웹 어플리케이션 보호를 위해 예전처럼 WAF 하드웨어를 직접 설치해 운용할 수 없을 때, 어떻게 해야 할까. 클라우드는 클라우드로 막는다. 클라우드 환경에 부합하는 클라우드 보안 시스템을 도입해 운영할 수 있고, 복잡한 설치 과정 없이 단지 클릭 몇 번으로 기존 하드웨어 WAF와 동일한 클라우드 보안 서비스를 제공 받을 수도 있다.

 

스타트업의 보안 : 클라우드 보안 서비스

아주 중요한 주제가 또 있다. 스타트업이다. 스타트업은 파괴적 혁신과 아이디어를 통해 단기간 초고속 성장을 지향하는 신생 기업이며 대개 자유로운 기업 문화를 자랑한다. 이는 다시 말해 보안이나 안전을 크게 신경 쓰지 않을 위험이 크다는 뜻이기도 하니, 스타트업의 보안 사고는 정말이지 끊임없이 일어난다. 사업 확장과 마케팅에만 집중하다 보니 보안을 중요하게 여기지 않는 것이다. 그러다가 다른 스타트업이 보안 사고 때문에 와르르 무너지는 걸 보고 그제서야 보안의 필요를 깨닫곤 한다. 그러나, 깨닫기만 한다.

하지만 규모가 작은 스타트업이 대기업 수준의 보안 시스템을 갖출 방법이 없다는 호소도 무시할 수는 없다. 대기업 수준의 보안 시스템은 돈이 아주 많이 드는 일인데, 사업을 시작할 때부터 돈이 많은 스타트업은 거의 없으니까. 그러나, 방법은 있다. 클라우드 시대라, IT 보안 또한 클라우드 서비스로 제공된다. 클라우드 서비스란 네트워크를 통해 컴퓨팅 환경과 기능을 제공하는 서비스다. 기술적으로 말하자면 ‘탄력적 온-디맨드 가상 머신’이며, 따라서 사용량에 따라 자원량이 늘기도 줄기도 하는 신축성을 지니므로 서비스를 사용한 양만큼만 비용을 지불하면 된다. 요즘은 기업정보보안의 가장 중요한 3대 요소 웹 보안, 데이터 암호화, 인증 보안 모두 다 클라우드 서비스 형태로 제공되므로 스타트업이더라도 얼마든지 대기업 수준의 보안 역량을 갖출 수 있다.

 

클라우드 시대의 보안

요약하면,

– 사고는 대부분 웹 어플리케이션에서 일어난다. WAF를 이용해 방지하자.
– 그럼에도 사고가 일어난다면 데이터 암호화를 통해 최악의 상황을 피하자.
– IT 보안 시스템을 직접 운영할 수 없는 상황이라면 클라우드 보안을 적용하자.
– 비용 때문에 보안을 제대로 할 수 없는 스타트업은 클라우드 보안 서비스를 쓰자.

클라우드 시대의 보안, 이렇게 하면 된다.

profile

[펜타 뉴스레터 6월호] 펜타시큐리티, 2016 아태 최고 보안기업 선정

Cloudbric-free-website-protection

펜타시큐리티, 대학생 마케터 3기 모집

펜타시큐리티시스템(대표 이석우, 이하 펜타시큐리티)은 오는 6월 26일까지 펜타시큐리티 대학생 마케터 3기 ‘펜타스틱 3’을 모집한다고 밝혔다.

지난 2014년부터 시작된 펜타시큐리티의 대학생 마케터는 SNS 활성화, 네트워킹 파티 등 다양한 활동으로 IT보안의 대중화에 앞장섰으며, 2기에는 기자단 형식으로 다양한 이슈와 대중들의 보안 인식 등을 취재했다.

이번 3기는 IT 및 정보보안에 대한 이슈를 취재하는 것은 동일하지만, 에디터와 디렉터로 나눠 각각 기사 작성과 영상 및 이미지 제작을 맡게 돼 각자의 재능을 더욱 살린 마케터 활동을 할 수 있도록 한 것이 특징이다.

IT 정보보안에 관심이 있거나 취재 및 그래픽 제작에 관심이 있는 대학생이라면 누구나 지원할 수 있다. 선발된 마케터들은 7월 1일부터 8월 31일까지 약 8주간 IT보안기술, 보안 트렌드 및 대중 인식 등에 관한 취재를 담당하게 되며, 그에 필요한 교육 기회가 제공된다. 마케터 활동에는 소정의 활동비가 지원되며, 수료 시 수료증이 발급된다. 또한, 우수 마케터에게는 소정의 장학금 및 다양한 상품이 지급된다.

펜타시큐리티 기획실장 김덕수 전무는 “그동안 대학생 마케터를 진행하면서 딱딱하게 느껴질 수 있는 IT 보안 분야를 대학생만의 신선한 콘텐츠로 유쾌하게 풀어나가 보안의 대중화에 기여했다고 생각한다”며 “이번 3기 대학생 마케터들은 일방적인 대외 활동이 아닌, 실무에 적용되는 IT분야의 마케팅 활동을 기획할 수 있어 누구보다 알찬 여름방학을 보낼 수 있을 것”이라고 밝혔다.

대학생 마케터 3기 모집 관련 자세한 사항은 펜타시큐리티 공식 블로그에서 확인 할 수 있다.

[[기사 원문 보기 – 아이티데일리 http://www.itdaily.kr/ 2016. 06. 21]

photo-1453060113865-968cea1ad53a

인공지능도 풀지 못하는 펜타시큐리티의 보안 기술

앞선 암호화 기술로 웹보안을 완성하는, 펜타시큐리티

펜타시큐리티는 암호 기술에 기반을 둔 정보보안 소프트웨어 엔지니어링 전문기업입니다. 1997년 창립 이후 국내외 주요 기업과 공공기관 등 보안 전쟁 최전선에서 쌓아 온 고도의 노하우와 전문성을 보유하고 있습니다. 암호플랫폼, 웹보안, 통합 인증보안 등 정보보안 제반 분야 시장점유 1위를 고수하였고 이를 바탕으로 웹방화벽 WAPPLES은 아시아 태평양 시장점유율 1위의 성과를 낼 수 있었습니다.

인공지능도 풀지 못하는, 펜타시큐리티의 보안 기술

안전한 데이터 관리를 위하여, 그리고 강력한 웹보안을 위해 암호화 전문기업 펜타시큐리티는 빠르게 변화하는 웹 환경에 최적화된 강력한 암호 플랫폼 기술로 고객의 소중한 데이터를 완벽하게 지키겠습니다. 더불어, 서로 믿고 소통하고 교류하고 공유하는 열린 사회를 이루기 위한 [신뢰]를 안정망으로서, 기업과 기관의 보다 자유로운 활동을 보장하기 위해 보유한 인재와 기술을 헌신할 것입니다.

암호 플랫폼 1위, 웹방화벽 시장 1위 기업 – 펜타시큐리티

D’Amo란?

 

D’Amo는 2004년에 개발되어 10년간 약 1,800여 고객환경을 지원한 시장점유율 1위의 암호 플랫폼입니다.
다양한 고객의 환경에서 적용가능하며 국내 최고수준의 암호화 성능을 보유하고 있습니다.

 

WAPPLES 이란?

 

웹방화벽 WAPPLES은, 독자적인 기술력으로 개발한 지능형 논리 분석 엔진(COCEP)을 탑재하여 알려지지 않은 공격까지 차단하고, 정확한 탐지 수행을 통해 낮은 오탐률을 보장하며, 쉬운 보안 설정과 운영 편리성까지 갖춘 제품입니다.

 

펜타시큐리티 제품 문의

메일 문의 : skim@pentasecurity.com / 전화 문의 : 02-2125-6752

sslcolumn

펜타시큐리티, 기계학습 적용 웹해킹 차단 `클라우드브릭 2.0` 공개

펜타시큐리티시스템(대표 이석우)은 21일 웹해킹 차단 서비스 클라우드브릭(Cloudbric)의 업그레이드 버전 2.0의 베타버전 제공을 시작한다고 밝혔다.

새로운 버전은 기계학습(Machine Learning) 탐지엔진 카탈리스(Catalice)를 탑재해 웹사이트 맞춤형 지능형 탐지를 지원한다. 각 웹사이트별로 서비스의 특성을 학습하고 비정상 트래픽과 공격 의심 접속을 찾아내는 웹사이트 맞춤형 탐지가 가능해져 클라우드브릭 웹해킹 차단 기능을 강화했다.

기존에는 특정 규칙을 위반하거나 유해한 속성을 가졌는지 여부에 대해서만 분석했다면, 업그레이드를 통해 각각의 웹사이트가 가지고 있는 속성과 데이터 특징까지 파악해 공격에 대한 분석이 더 정교해졌다. 개별 웹사이트가 가진 특징을 패턴으로 인식하면, 그 특징을 가진 트래픽에 대해 별도 처리가 가능해 정탐률은 높이고 오탐률은 낮출 수 있게 된다.

이 밖에도 대시보드 업데이트 주기를 실시간으로 바꾸고, 공격 데이터를 스프레드시트 파일로 내려 받는 기능도 추가했다.

김덕수 펜타시큐리티시스템 기획실장(전무)은 “각 웹사이트 특성에 따라 공격 유형이 모두 다르기 때문에, 머신러닝의 학습능력을 이용하여 개별 사이트에 맞는 맞춤형 차단 시스템을 도입하게 되었다”며 “이를 통해 클라우드브릭2.0은 그 어떤 웹보안 서비스보다 사용자들이 편안함을 느낄 수 있으며 정밀한 탐지 기능을 보유한 강력한 보안 제품으로 업그레이드 되었다고 확신할 수 있다”고 말했다.

[[기사 원문 보기 – 디지털타임스 http://www.dt.co.kr/ 2016. 04. 21]

profile

CLOUD EXPO Europe 참가 (4.12~13)

CLOUD EXPO Europe 참가펜타시큐리티시스템은 영국 런던에서 개최된 클라우드 엑스포 유럽(CLOUD EXPO Europe)에 참가할 예정입니다.

세계 각지에서 모인 클라우드 IT 기업에게 클라우드 기반의 웹해킹 차단 서비스인 클라우드브릭을 소개하고 새로운 파트너십을 모색할 예정입니다.

펜타시큐리티는 Cloudbric을 중심으로 부스 참여를 하게 됩니다.

많은 관심과 참여 부탁드립니다.

행사안내

>행사명: CLOUD EXPO Europe
>일 시 : 2016년 4월 12일(화)~4월 13일(수)
>장 소 : London
>주 최 : CLOUD EXPO

dark web

“작년 하반기, 웹 취약성 파악 위한 공격 많아”

펜타시큐리티 ‘웹 공격 동향 보고서’…취약점 이용 공격·관리자 권한취득 목적 공격 집중

지난해 하반기에는 웹 취약성을 파악하기 위한 공격이 많았던 것으로 나타났다.

펜타시큐리티시스템(대표 이석우)이 지난해 하반기에 수집한 정보를 기반으로 분석한 ‘웹 공격 동향 보고서’에 따르면 이 기간 동안 취약성 파악을 목적으로 한 공격이 많이 발생했으며, 공격 위험도는 ‘심각’으로 나타난 것이 많았다.

특히 취약성 관련 정보를 통한 웹 사이트 공격과 관리자 권한 취득을 위한 공격이 빈번하게 발생했다. 이 공격은 상반기에도 4억만건이 탐지돼 1위를 차지한 바 있다.

또한 OWASP 톱 10 공격 기준 A1에 해당하는 보안위험인 인젝션 공격이 31%를 차지했다. 해당 공격은 비교적 쉽게 공격시도가 가능하지만, 공격 난이도에 비해 기술적 영향도가 심각해 대응이 반드시 필요하다.

그 뒤를 이어 보안 설정 오류(Security Misconfiguration)가 26%로 2위를 차지했다. 이 공격은 시스템에 대한 권한을 공격자가 가질 수 있어 시스템 전체가 해킹 될 위험이 있다.

김덕수 펜타시큐리티의 기획실장은 “이러한 웹사이트 공격 및 관리자 권한취득을 타깃으로 한 공격이 성공할 경우, 웹사이트 취약점이 노출되는 것과 더불어 기밀 정보들이 유출되고 웹서버가 동작 불능 상태가 될 수 있다”라며 “각종 공격을 예방하기 위해 서버 및 보안 담당자는 강력한 접근제어를통해 권한 관리 수준을 관리해야 하고, 사전에 웹방화벽 솔루션을 구축해 웹공격 위협에 대비해야 한다”고 말했다.

[[기사 원문 보기 – 데이터넷 http://www.datanet.co.kr// 2016. 03. 28]

cloudbric_img (1)

펜타시큐리티, 클라우드브릭 통해 유럽 시장 본격 공략

유럽 시장 적극 공략 예정

펜타시큐리티가 클라우드브릭을 통해 유럽 시장을 본격 공략한다.

펜타시큐리티시스템(대표 이석우, 이하 펜타시큐리티)은 클라우드 기반의 웹해킹 차단 서비스인 ‘Cloudbric(클라우드브릭)’을 주요 제품으로 내세워 지난 3월 15일부터 17일까지 3일간 독일에서 개최된 ‘WorldHostingDays Global 2016(이하 WHD Global)’에 참가했다고 밝혔다.

WHD Global은 올해로 12년째를 맞이한 세계 최대 규모의 호스팅 및 클라우드 컨퍼런스로 전세계 호스팅 및 클라우드 사업자들의 네트워킹 및 상호작용을 목적으로 하고 있다. 이번 행사에는 박람회, 기조연설, 세션과 더불어 BierFest, ConneXion Party 등과 같은 교류의 장도 마련했다. 매 해 싱가폴, 미국, 중국, 인도, 일본 등 세계 각지에서 개최되며 올해에는 독일 유로 파크에서 개최되어 약 6600여 명이 방문, 210여개의 부스가 참여했다.

펜타시큐리티는 국내 보안 기업 중 유일하게 참가하여 클라우드 기반의 웹해킹 차단 서비스인 클라우드브릭을 유럽의 IT 산업 종사자들에게 소개했다. 행사에 참여한 방문자들은 Cloudbric이 아시아∙태평양 시장점유율 1위 웹방화벽 WAPPLES(와플)의 기술을 기반으로 만들어졌다는 점과 보안 지식이 부족한 일반 웹사이트 운영자를 위한 서비스 버전과 엔터프라이즈 사업자를 위한 비즈니스 에디션 버전 두가지를 니즈에 맞춰 제공한다는 점에 높은 관심을 보였다.

펜타시큐리티에 따르면 특히 유럽의 많은 호스팅 및 클라우드 산업 관계자들은 기존의 웹방화벽 서비스와 달리 Cloudbric의 비즈니스 에디션이 그들의 웹서버 환경에 바로 설치되어 웹사이트 속도에 미치는 영향을 최소화하고 다양한 하이퍼바이저 환경을 지원하기 때문에 기존 인프라에 큰 변화 없이 적용이 가능한 점을 높이 평가했다. 이와 더불어 WHD Global 참가자의 약 65%가 기업의 최고경영진을 맡고 있어 실질적인 사업 파트너십에 대한 심도 있는 대화가 오갈 수 있었다.

김덕수 펜타시큐리티 전무는 “Cloudbric의 비즈니스 에디션은 호스팅 사업자가 인프라 상에서 쉽고 편리하게 보안 솔루션을 제공할 수 있도록 최적화한 솔루션“이라며 “이번 행사는 유럽 IT 시장에 Cloudbric을 알리는 발판으로서 앞으로의 지속적인 유럽 시장 공략을 본격적으로 시작할 것”이라고 전했다.

[[기사 원문 보기 – 아이티투데이 http://www.ittoday.co.kr// 2016. 03. 25]

profile

RSA Conference 2016 참가 (2016.2.29~3.4)

RSA Conference 2016 참가펜타시큐리티시스템은 2016년 2월 29일부터 3월4일까지 샌프란시스코 정보 보안 기술 컨퍼런스 박람회(RSA Conference 2016)에 참가할 예정입니다.

올해로 25회째를 맞고 있는 RSA 2016은 전세계 글로벌 사이버 보안 500여개 기업과 30,000여명의 기업인, 전문가가 참여하는 세계 최대 전시회, 컨퍼런스로 금년에는 “Connect to Protect”라는 주제로 개최됩니다.

펜타시큐리티는 그 동안 연구해온 인공 지능 및 웹보안 기술을 중심으로 부스참여를 하게 됩니다.

많은 관심과 참여 부탁드립니다.

행사안내

>행사명: RSA Conference 2016
>일 시 : 2016년 2월 29일(월)~3월 4일(금)
>장 소 : 샌프란시스코 MOSCONE CENTER
>주 최 : EMC Corporation

profile

[펜타 뉴스레터 1월호] 펜타시큐리티의 새로운 클라우드 웹방화벽! WAPPLES Cloud



새로운 클라우드 웹방화벽, WAPPLES Cloud가 출시되었습니다!
새롭게 선보이는 WAPPLES Cloud는 기존 WAPPLES V-Series를 이용할 수 있는 스탠다드 에디션(Standard Edition)과 다양한 클라우드 및 엔터프라이즈 환경에 적합한 확장 버전인 비즈니스 에디션(Business Edition)으로 구성됩니다. 웹해킹 차단 서비스인 클라우드브릭(Cloudbric)과 함께 펜타시큐리티의 클라우드 보안 전략에 시너지를 낼 수 있을 것이라 기대됩니다.

보고서
12월 웹 취약점 트렌드 분석 보고서 Update
웹 취약점을 이용한 새로운 공격들은 끊임없이 생겨나고 있습니다. 펜타시큐리티 보안성 평가팀의 전문적인 지식과 이해를 바탕으로 분석하여 가장 최신의 웹 취약점 트렌드를 한 눈에 파악하고 이에 적절히 대응할 수 있도록 Exploit-DB의 웹 취약점 관련 항목을 분류, 분석한 웹 취약점 분석 보고서 내용을 확인해 봅니다.
칼럼
CES 2016 단상 “IoT는 이미 현실입니다.”
세계 최대 규모의 가전제품 박람회, ‘CES 2016’의 핵심 키워드는 ‘융합’이었습니다. 융합의 바탕이 되는 기술은 IoT였지요. IoT가 가전의 영역에 당당하게 침투하였습니다. 이젠 정말 IoT로 대동단결해야 할 시기입니다.
칼럼
헬로 키티, 너마저..!
Hello Kitty, 이제 키티는 더 이상 ‘헬로우’ 하지 못합니다. ‘헬로 키티(Hello Kitty)’의 팬 커뮤니티 사이트 ‘산리오타운닷컴(Sanriotown.com)’의 이용자 330만 명의 정보가 유출되었기 때문이지요. 전자 상거래가 이루어지지 않는다고 해서 개인정보보안을 허술히 하지 않을 시, 개인 정보가 유출되는 것은 한순간입니다.
포커스
웹방화벽 WAPPLES로 일본 클라우드 보안 시장 공략!
펜타시큐리티에서 일본 소프트웨어 기업인 Daiwa Software Research (DSR)와 파트너십을 맺고 클라우드형 WAF 서비스 “STAR CLOUD Security Service-WAF(SCSS-WAF)”를 출시하게 되었습니다. DSR과 함께 일본의 클라우드 보안 시장을 지속적으로 선점해 나가는 모습, 기대해주세요.
본 뉴스레터는 펜타시큐리티시스템(주) 에서 주최, 참여하는 컨퍼런스, 전시회, 온라인이벤트, 자사 홈페이지 문의 등을 통해 수집된 이메일에 발송되는 보안 동향 및 기업홍보 안내메일입니다. 만약 뉴스레터의 수신을 원하지 않으시면 수신거부 를 해주시기 바랍니다.