2013년 6월 29일 토요일

제4계. 급하진 않지만 중요한 것을 먼저 하라.

이일대로(以逸待勞).

병법 36계 중 제 4계인 이일대로란 글자 그대로 해석하면,
편함으로써 수고로움을 기다린다는 뜻이다.

이일대로란 제4계는 손자병법의 군쟁편에 기인하며,
이 책에서 손자(孫子)가 이르기를,

"가까움으로써 먼 것을 기다리고, 편함으로써 수고로움을 기다리고,
배부름으로써 굶주림을 기다린다. 이는 힘을 다스리는 것이다"


라고 했다.

항상 가까운 것, 편한 것, 배부를 것만 보는 것이 아니라,
가까운 중에서도 멀리서 다가올 위험에 대해 준비하고,
편한 때에 수고로운 일들을 미리 처리하고,
배부를 때 굶주릴 것을 앞서 대비하는 것.
이것이 진정한 위험 관리이고 힘을 다스리는 자의 비법이다.

좀더 쉬운 말로, "시간 관리(Time Management)"!

보안하는 사람들은 항상 바쁘다.
자기 상황이 계속 급변하는 이유도 많지만,
여기저기서 급하다고 찾는 사람과 조직도 많다.

물론, 보안 사고가 터지면, 이것은 비상 사태다.
최우선 순위로 처리해야 할 수많은 일들이 쏟아진다.
하지만, 보안 사고가 터지지 않았더라도,
보안팀은 눈코뜰새 없이 바쁘다.

중요한 일들이 계속 업무 큐(Queue)에 쌓이기만 하지,
당췌 해결될 기미가 보이지 않는다.
하지만, 그 가운데 정말 중요한 일들, 긴급한 일들이 얼마나 될까?
냉정하게 보안팀의 관점에서, 아니 나의 관점에서 봤을 때,
중요하고 긴급한 일은 우선 처리해야 할 일들이 맞다.

하지만, 다른 사람이나 조직에 의해 요청된 일 중에,
긴급하지만 중요하지 않은 일들이 얼마나 많은가?

만일 당신에게 두 가지 중 하나만을 선택하라면 어떤 것을 선택할 것인가?
'긴급하지만 중요하지 않은 일'과 '긴급하진 않지만 중요한 일' 중
어떤 것을 선택할지 답을 내라면...
특히 지금 현실에서 당신의 행동을 뒤돌아 보고 선택하라고 하면,
아마 자신있게 선택할 수 있는 사람은 많지 않은 것 같다.

손자병법에서 말한 이일대로(以逸待勞)를 보안 업무 관점에서 본다면,
우선 순위 선정, 그리고 선택과 집중을 통해 긴급하고 중요한 일들과
다음으로는 긴급하진 않지만 중요한 일들을 먼저 처리해 나가도록
조언하고 싶다.

그렇게 하자면, 보안팀에 있어 많은 업무들을 다른 팀에게 위임하고,
보안 업무에 대해 다른 팀들이 어떤 보안 업무와 의무, 책임을 다
해야 할지 잘 설계하는 것이 필요하다.

긴급하진 않지만 중요한 일을 먼저 함을 통해,
언젠간 긴급하고 중요한 일이 될 그 일들을 편안할 때 대비하여,
바쁜 와중에도 정작 챙겨야 할 중요한 일들이 제대로 되지 않아,
공격과 사고의 때에 닥쳐 우왕좌왕하지 않는 든든한 보안팀과
보안 경영을 하는 기업이 많았으면 한다.

2013년 6월 24일 월요일

제3계. 다른 조직으로부터 보안을 먼저 말하게 하라.

차도살인(借刀殺人).

병법 36계 중 제 3계인 차도살인이란 글자 그대로 해석하자면,
다른 사람의 칼을 빌려 남을 죽인다는 뜻이다.

차도살인이란 제 3계가 나오기까지의 배경은 안자춘추에 나오는
'이도살삼사(二桃殺三士)'의 고사로 유래된다.

제나라의 제경공 시대의 명재상 안영은 사마양저를 차세대
대장으로 생각하고 있었는데, 문제는 제경공이 총애하던
전재강, 고야자, 공손첩의 세 장군이었다. 이 세 장군은 제각기
큰 공을 세워 제경공의 총애를 받고 있어 안하무인으로 오만하였다.

이에 안영은 젋은 사마양저를 대장으로 임명할 경우, 이 세 명으로
인해 제 뜻을 펼치지 못할 것을 우려하여 제거하기로 맘 먹었다.

마침 노나라의 사신이 제나라를 방문하자 안영은, 복숭아 여섯 개를
따서 제경공과 노나라 사신에게 바쳤는데, 제경공과 노나라 사신은
자신들의 복숭아 각각 하나씩을 갖고 남은 복숭아 중
각각 복숭아 하나씩을 안영과 노나라 사신에게 하사하였다.
그러자 복숭아가 두 개 남게 되었는데, 이때 안영이 제경공에게
건의하기를, "남은 복숭아 두 개는 신하 가운데 공이 큰 두 사람에게
나눠 주도록 하십시오" 라고 하였다.

이 연회에 제나라를 대표하는 세 사람, 전재강, 공손첩, 고야자가
참석해 있었는데, 그 말을 듣자 공손첩과 고야자가 얼른 나서서
자신이 세운 공을 말하며 복숭아를 먹었다.
이미 두 개의 복숭아가 두 사람의 입으로 들어간 것을 본 전개강은
분개하며 자신의 목을 찌르며 이렇게 말했다.

"호랑이를 죽이고 괴물을 죽이는 일은 작은 일이다.
 나는 천리 길을 산을 넘고 물을 건너 피나는 싸움으로 큰 공을 세우고도
 오히려 복숭아를 먹지 못하고 두 나라 임금과 신하들이 모인 앞에서
 모욕을 당하고 만대의 웃음거리가 되었으니 무슨 면목으로 조정에 선단 말인가."

그렇게 전재강이 죽자 공손첩과 고야자도 각기 칼을 뽑아 자신의
목을 찔렀다.

"우리는 작은 공을 세우고도 복숭아를 먹었는데
 전재강은 큰 공을 세우고도 그것을 먹지 못했다.
 복숭아를 양보하지 못한 것은 참으로 염치없는 일이며,
 죽는 이를 보고도 따라 죽지 못하는 것은 겁장이나 하는 짓이다."

그렇게 안영은 고작 복숭아 두 개로 세 장군을 너무나 손쉽게 죽여 버리게 되는데,
공자는 후일 이 일화를 두고 이와 같이 평가했다.

"안자는 복숭아로써 남의 칼을 빌려 사람을 죽였으니, 이것은 의로운 일이 아니다. "
바로 여기서 유래한 말이 바로 차도살인이다.

나의 자원과 노력을 들이지 않고, 남의 자원과 노력을 들여 목적한 바를 이루는 것.
이것이 차도살인의 계책이다.

보안에 있어서도 임직원의 보안 인식과 수준을 높이기 위해서
무수히 많은 보안팀의 노력과 자원의 투입이 필요하다.
특히 보안 정책에 대한 강제화와 정책 준수에 대한 확인,
취약점에 대한 관리와 공격에 대한 대응 등을 제대로 하려면
보안 팀에서 필요한 노력과 자원은 거의 무한대이다.
하지만, 이는 현실상 거의 불가능하다.

어디든 자원과 시간은 한계가 있기 마련이고,
필요한 수준으로 확보하기란 거의 힘들다.
이럴 때 차도살인의 계책을 활용해서
다른 팀에서 보안에 대해서 먼저 얘기하고
다른 팀의 자원과 시간을 보안 인식과 수준을 높이는데
사용할 수 있도록 하는 건 어떨까?

이렇게 하자면, 통제적인 보안보다는 서비스 관점에서의 보안을,
닫힌 정보 운영 보다는 열린 커뮤니케이션이 필요하다.

가장 많이 쓰는 방법 중 하나는 보안 위험에 대한 정보 공유이다.
인사팀, 감사팀, 운영팀, 고객 관리팀 등 우선 보안과 연관성 있는 팀부터
적극적으로 커뮤니케이션하고 보안 위험에 대해서 알려 주고,
그로 인해 겪을 수 있는 구체적인 피해와 관련 사례에 대해 얘기해 보자.
혹은 그들로부터 그들의 문제를 보안으로 해결할 수 있는 방법에 대해
컨설팅 및 조언을 하는 방법도 좋다.

보안에 있어 차도살인의 또다른 예는 법 규제와 표준이다.

보안이 왜 필요한지를 구구절절히 논하는 것보다, 법 규제 항목으로
정의된 것이 있다면 그것을 활용하는 것이 더 낫다. 영향력은 법
규제보다는 낮지만, 보안 관련 국제 표준도 마찬가지이다.

모 고객사는 보안 사업 이전에 보안 진단을 비밀리에 수행한 다음,
주요 임원이 모여 있는 자리에서 보안 인식 교육 안에 보안 진단
결과를 함께 포함하여 교육을 진행한다. 그런 다음 사업에 대한
기안을 올리면 대게 보안이 취약한 것으로 연관된 조직의 임원부터
적극적으로 찬성의 의사를 표시하고 도와 주려고 하는 것을 쉽게
볼 수 있었다.

아울러, 개인정보 보호법의 추진 주체를 보안팀이 아닌,
인사팀이나 고객 관리팀 등으로 그 책임을 넘기는 것도 좋은 방법 중 하나이다.
이때 보안팀은 적극적인 조력자로써 관련 팀과의 협조 공조 체계를
공고히 하기만 하면 된다.

이런 커뮤니케이션 채널을 위해 최근에는 전사 조직이 함께 참여하는 보안 위원회
구성을 적극 권장한다.

또한, 통제와 감시를 위해 고립된 보안팀이 아니라,
전사 보안을 함께 이끌어 가는 열린 보안팀,
타 조직의 보안을 어떻게 해야 하는지를 도와 줄 수 있는 서비스 중심의 보안팀,
자신의 힘이 아니라, 조직의 힘을 통해 보안을 할 수 있는 보안팀이고 보안관리자일 때
진정 그 조직의 보안 수준은 높아질 것이다.

2013년 6월 21일 금요일

제2계. 보안 수준이 가장 낮은 부분부터 그 약점을 보안하라!!

위위구조(圍魏救趙).

병법 36계 중 제 2계인 위위구조는 글자 그대로 해석하자면,
위를 포위해 조를 구하다란 뜻이다.

위위구조라는 제 2계가 나오기까지의 배경을 보면,
중국 전국시대 위나라가 조나라를 공격하자, 조나라는 이웃 제나라에게
도움을 요청하게 된다.
이때 제나라 지원군의 대장인 손빈은 조나라를 구하러 가지 않고,
그 대신 위나라를 공격해 갔다.

위나라의 수도까지 제나라의 포위되었다는 소식을 듣자,
조나라를 공격하던 위나라 군대는 공격을 멈추고 위나라로 돌아가게 된다.
이때 제나라 군대는 위나라 군대가 퇴각하는 길목을 지키다가
사기가 떨어질대로 떨어진 위나라 군사를 공격하여 크게 이기게 된다.

이로써 상대방의 강한 부분을 정면으로 공격하지 않고,
상대방의 약점을 노려 적은 노력으로 큰 승리를 취한다는 의미이다.

이 부분은 보안에 있어서 공격자 관점에서도 그대로 적용된다.
굳이 수십겹 쌓여 있는 정문을 공략하기 보다는
미쳐 생각하지 못한 취약한 우회 경로를 찾아서 공략하는 것이 더
경제적이다.

현재 보안에 있어서 취약한 부분은 어디일까?
기술보다는 프로세스가, 프로세스 보다는 사람이 더 취약하지 않을까?
소셜 엔지니어링 기반의 공격이 효과적인 것도,
네트워크의 방화벽을 두드리기 보다는 스피어 피싱을 통해 사용자 PC를
공략하려고 하는 것이 더 나음은 현실에서도 증명되는 바이다.

이런 관점에서 본다면, 보안은 새로운 기술이나 프로세스를 도입하려고 하거나,
사건이나 이벤트 중심으로 그때그때 대응하기 보다는
전체적인 관점에서 어디가 제일 약한지, 그 약한 부분부터 점차 제거해 가면서,
전반적인 수준을 높여가는 것이 오히려 보다 강한 보안 체계가 아닐까.

누가 그랬던가. 조직의 전체 보안 수준은 그 조직의 가장 낮은 수준의 보안으로
평가될 수 있다고,

물론 그렇게 하자면, 내가 갖고 있는 자산이 무엇이며,
그 안의 취약점과 위협이 무엇이며, 그에 따른 우선 순위가 어떤 것인지,
즉 가장 약한 부분이 무엇인지를 알고 결정하는 것이 필요하다.

정말 제대로 된 정보보안 관리체계와 위험 평가 시스템이 필요한 이유이기도 하다.

전체적인 관점에서 보안을 바라보고 취약점을 없애 나가는 것.
이것이 보다 튼튼한 보안 체계를 구축하기 위한 정도이자 가장 빠른 길이다.


2013년 6월 19일 수요일

제1계. 임직원을 속여 자연스런 보안 인식과 문화를 확보하라.

과천만해(瞞天過海).

병법 36계 중 제 1계인 과천만해는 글자 그대로 해석하자면,
하늘을 속여 바다를 건너다라는 뜻이다.

과천만해라는 제 1계가 나오기까지의 배경을 보면,
영락대전 설인귀정요사략에서 당태종 이세민이 30만 대군을 이끌고
고구려를 치기 위해 요하까지 왔을 때의 일이다.
요하에 도착한 당태종은 험난한 바다를 30만 대군이 건너는 것은 무리라 생각되어,
머뭇거리고 있었다.
이에 설인귀 장수는 당태종을 지방 호족의 연회에 모시고 가서,
음주 가무를 즐기며 하루 밤을 즐겁게 보냈는데,
당태종이 문득 깨어 보니 망망 대해에 있어 할 수 없이 바다를 건너
고구려를 침략하기에 이른다.
즉, 설인귀 장수가 배를 집으로 거짓으로 꾸며,
음주 가무로 당태종의 시선과 마음을 사로 잡는 동안,
배는 바다 한 가운데로 나아간 것이다.

이 고사로부터 하늘, 즉 황제를 속여서 바다를 건너다라는 제1계가 나오게 된 것이다.

이와 유사한 사례로 중국 삼국시대의 조조가 길을 잃어 헤매다가 갈증난 병사들에게 '저 산너머에 매실나무가 있다.' 라고 거짓말을 하여 갈증을 잊고 산을 넘게 한 예가 있다.

보안에 있어서도 이와 같은 상황은 매우 비슷하다.
임직원 모두가 보안을 강화하게 되면 불편하고, 생산성이 저하된다고 하여,
보안을 강화하는데 있어 모두 주저하게 된다.

이러한 어려움에 있어서, 필요한 것은 바로 보안이라는 경계를 허무는 전략이다.
때로는 재미있게,
때로는 업무 프로세스에 감춰져서,
보안 통제를 하고자 하는 의도를 숨기고
하나의 일상으로써, 하나의 업무 프로세스로 보안이란 것을
인식하지 못하도록 속여 보자.
굳이 보안이란 것을 드러낼 필요는 없다. 그 목적만 달성하면 되는 것이지...

기업 문화 개선 활동 속에서 보안 인식 프로그램을 자연스럽게 녹인다든가,
업무 프로세스 내에서 보안 프로세스를 녹인다든가,
사실 이렇게 하기 위해서는 부가한다기 보다는 뭐든 지 첨부터 같이 고민하고,
디자인하는 것이 필요하다.

때로는 인지하지 않고 있지만, 항시 모니터링과 보안 감사가 진행된다고
속여 보자. 이때 쓸 수 있는 효과적인 방법이 셈플링과 입소문이다.
일벌백계(一罰百戒)랄까. 임직원이 의도하지 못했던 보안 위반을 통해
전사적으로 위반 사례가 전파될 수 있도록 하자.

예를 들면, 출입증 없이 따라 들어가기(피기백 - Piggybacking)를 허용한 임직원을
찾아내어서 경고 메일과 관련 사례를 전파한다든가, 이메일 중 보안 위반 사례를 적발하여
인사 고과에 반영하고 관련 사례를 전파한다든가.

전파의 방법에 있어서도 단순히 게시판의 게시글이나 메일링보다도,
사내 방송과 같은 매체를 활용해 보자.
소통을 중시하는 기업이라면 사내 소셜 네트워크를 활용하는 것도 좋을 것 같다.

어쨋든, 보안이란 경계를 허물고, 항시 통제되고 감시되고 있다는 분위기.
보안을 목적으로 다양하게 임직원을 속여 자연스런 보안 인식과 문화를 확보해 보자.

그러기 위해서는 앞으로 보안 담당자/전문가는 보안 전략가이자
기업 내 소통의 중심에 서서 커뮤니케이션 해야 한다.

ISO/IEC 27000 국제 표준 - SecurityPlus 공개 웨비나 안내


ISO/IEC 27000 국제 표준 - SecurityPlus 공개 웨비나 안내

- 일시: 2013년 6월 27일 목요일 오후 8시부터 오후 11시까지 3시간
- 내용: ISO/IEC 27000(Information technology — Security techniques — Information security management systems — Overview and vocabulary) 국제 표준 기반으로
정보보호 관리체계란 무엇인가?
정보보호 관리체계 표준 체계, 목표, 중요성과 이점
정보보호 관리체계의 프로세스
정보보호 관리체계의 구현, 모니터링, 유지와 고도화
정보보호 관리체계의 CSF(핵심 성공 요소)

- 교재: http://blog.securityplus.or.kr/2013/03/isoiec-270002012-information-technology.html

- 참여 방법

1. 웨비나 참여는 반드시 파이어폭스 혹은 크롬을 사용하시기 바랍니다. (화질, 음질 차이 많이 남.)

2. 참여할 웨비나 URL 주소는 아래와 같습니다.
https://www.ibm.com/collaboration/meeting/join?schedid=6720053

위 URL을 통해 웹과 VoIP로 강의가 진행됩니다.

그럼, 많은 관심과 참여 바랍니다. ^^

2013년 6월 12일 수요일

2013년 6월 MS 정기 보안 업데이트 권고

[MS13-047] Internet Explorer 누적 보안업데이트
 
영향
  • 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
설명
  • 사용자가 Internet Explorer를 이용하여 특수하게 제작된 웹페이지를 열람할 경우, 원격코드가 실행될 수 있는 취약점이 존재
    • 관련취약점 : Internet Explorer 스크립트 디버그 취약점(CVE-2013-3126)
    • Internet Explorer 메모리 손상 취약점 (CVE-2013-3110, CVE-2013-3111, CVE-2013-3112, CVE-2013-3113, CVE-2013-3114, CVE-2013-3116, CVE-2013-3117, CVE-2013-3118, CVE-2013-3119, CVE-2013-3120, CVE-2013-3121, CVE-2013-312, CVE-2013-3123, CVE-2013-3124, CVE-2013-3125, CVE-2013-3139, CVE-2013-3141, CVE-2013-3142)
  • 영향 : 원격코드 실행
  • 중요도 : 긴급
 
해당시스템
  • 영향 받는 소프트웨어
운영체제
구성요소
IE6
IE7
IE8
IE9
IE10
Windows XP 서비스 팩 3
 
 
Windows XP x64 서비스 팩 2
 
 
Windows Server 2003 서비스 팩 2
 
 
Windows Server 2003 x64 서비스 팩 2
 
 
Windows Server 2003 Itanium 서비스 팩 2
 
 
 
Windows Vista 서비스 팩 2
 
 
Windows Vista x64 서비스 팩 2
 
 
Windows Server 2008 서비스 팩 2
 
 
Windows Server 2008 x64 서비스 팩 2
 
 
Windows Server 2008 Itanium 서비스 팩 2
 
 
 
 
Windows 7
 
 
 
Windows 7 서비스 팩 1
 
 
Windows 7 x64
 
 
 
Windows 7 x64 서비스 팩 1
 
 
Windows Server 2008 R2 x64
 
 
 
Windows Server 2008 R2 x64 서비스 팩 1
 
 
Windows Server 2008 R2 Itanium 서비스 팩 1
 
 
 
 
Windows 8
 
 
 
 
Windows 8 x64
 
 
 
 
  
 해결책
  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
참조사이트

[MS13-048] 커널에서 발생하는 취약점으로 인한 정보유출 문제
 
영향
  • 공격자가 영향 받는 시스템에 대한 정보유출 가능
 
설명
  • 공격자가 시스템에 로그온한 상태에서 특수하게 조작된 응용 프로그램을 실행할 경우, 정보유출이 발생할 수 있는 취약점이 존재
  • 관련취약점 :
    • 커널 정보 유출 취약점(CVE-2013-3136)
  • 영향 : 정보유출
  • 중요도 : 중요
 
해당시스템
  • 영향 받는 소프트웨어
    • Windows XP 서비스 팩3
    • Windows Server 2003 서비스 팩2
    • Windows Vista 서비스 팩2
    • Windows Server 2008 서비스 팩2
    • Windows 7 서비스 팩1
    • Windows 8
 
해결책
  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
 
참조사이트

[MS13-049] 커널모드 드라이버에서 발생하는 취약점으로 인한 서비스 거부 문제

영향

  • 공격자가 영향 받는 시스템에 대해 서비스 거부 유발
 
설명

  • 공격자가 취약점이 존재하는 서버에 특수하게 조작된 패킷을 전송할 경우, 서비스 거부가 발생할 수 있는 취약점이 존재
  • 관련취약점 :
    • TCP/IP 정수 오버플로 취약점(CVE-2013-3138)
  • 영향 : 서비스 거부
  • 중요도 : 중요
 
해당시스템
  • 영향 받는 소프트웨어
    • Windows Vista 서비스 팩2
    • Windows Vista 64-bit 서비스 팩2
    • Windows Server 2008 서비스 팩2
    • Windows Server 2008 64-bit 서비스 팩2
    • Windows Server 2008 64-b Itanium 서비스 팩2
    • Windows 7 서비스 팩1
    • Windows 7 64-bit 서비스 팩1
    • Windows Server 2008 R2 64-bit 서비스 팩1
    • Windows Server 2008 R2 Itanium 서비스 팩1
    • Windows 8
    • Windows 8 64-bit
    • Windows Server 2012
    • Windows RT
 
해결책
  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
 
참조사이트

[MS13-050] Windows인쇄 스풀러에서 발생하는 취약점으로 인한 권한상승 문제
 
영향
  • 공격자가 영향 받는 시스템에 대해 권한상승
 
설명
  • 인증된 공격자가 프린터 연결을 삭제할 경우, 권한이 상승할 수 있는 취약점이 존재
  • 관련취약점 :
    • 인쇄 스풀러 취약점(CVE-2013-1339)
  • 영향 : 권한상승
  • 중요도 : 중요
 
해당시스템
  • 영향 받는 소프트웨어
    • Windows Vista 서비스 팩2
    • Windows Vista 64-bit 서비스 팩2
    • Windows Server 2008 서비스 팩2
    • Windows Server 2008 64-bit 서비스 팩2
    • Windows Server 2008 64-b Itanium 서비스 팩2
    • Windows 7 서비스 팩1
    • Windows 7 64-bit 서비스 팩1
    • Windows Server 2008 R2 64-bit 서비스 팩1
    • Windows Server 2008 R2 Itanium 서비스 팩1
    • Windows 8
    • Windows 8 64-bit
    • Windows Server 2012
    • Windows RT
 
해결책
  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
 
참조사이트

[MS13-051] Microsoft Office에서 발생하는 취약점으로 인한 원격코드 실행 문제
 
영향
  • 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
 
설명
  • 공격자가 특수하게 제작한 오피스 파일을 사용자가 열람하거나 미리보기 등의 행위를 수행할 경우, 원격코드가 실행될 수 있는 취약점이 존재
  • 관련취약점 :
    • Office 버퍼 오버플로 취약점(CVE-2013-1331)
  • 영향 : 원격코드 실행
  • 중요도 : 중요
 
해당시스템
  • 영향 받는 소프트웨어
    • Microsoft Office 2003 서비스 팩 3
    • Microsoft Office for Mac 2011
 
해결책
  • 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
 
참조사이트