아이온커뮤니케이션즈의 골라보는 IT이슈(#65)
Community
2021. 12. 20
1) 사상 최악의 취약점, 로그포셸 보안 업데이트 서둘러야
컴퓨터 역사상 최악의 취약점으로 평가받고 있는 ‘로그포셸(Log4Shell)’이 발견됨에 따라, 보안 업데이트가 시급한 상황입니다. 특히 이 취약점은 널리 활용되고 있는 자바 로깅 프레임워크
‘로그포제이(Log4j)’에서 발생, 사실상 대부분의 자바 웹 프로그래밍 서버가 위험한 상태인 것으로 지적되고 있어 빠른 조치가 필요합니다.
이번에 발견된 취약점(CVE-2021-44228)은 로그포제이의 원격 코드 실행 취약점으로, 로그 메시지에 원격의 자바 객체 주소를 포함시켜 취약한 서버에서 실행시킬 수 있습니다. ‘로그포제이
2’에 존재하는 NDI(Java Naming and Directory Interface) 인젝션 취약점을 악용해 원격 코드를 실행합니다. 영향을 받는 버전은 ‘아파치 로그포제이 2(2.0-beta9
~ 2.14.1)’의 모든 버전이며, ‘아파치 로그포제이 2’를 사용하는 제품도 영향을 받습니다.
발표된 이후 국내에서도 대응 방안을 마련하고 있습니다. 국가정보원에서는 11일 자정부터 해당 이슈에 대응했으며, 정부와 공공기관 측에 취약점 패치 적용 및 보안 대책을 구축돼 있는 시스템을 통해
안내했다고 밝혔습니다. KISA 또한 11일 보안 공지를 통해 해결 방법을 게시했습니다. 금융보안원은 지난 12일 취약점 긴급 점검 회의를 개최해 금융권에 미치는 영향 및 대응 상황을 점검했습니다.
(IT데일리_20211213)
(IT데일리_20211213)
2) 비대면 디지털화 속도내는 은행권
은행권이 디지털 금융 혁신을 통한 비대면 중심의 업무 전환을 추진하고 있습니다. 코로나19 이후 비대면 금융거래가 일상화되자 새로운 디지털·비대면 금융서비스를 앞다퉈 내놓고 있습니다.
우리은행과 KB국민은행은 화상 상담 서비스를 도입했습니다. 우리은행은 고객이 화상으로 은행 서비스를 이용할 수 있는 원격 화상 상담창구 ‘디지털데스크’를 운영한다고 13일 밝혔습니다. 디지털데스크는
방문고객이 별도의 기기 조작 없이 화상 상담직원으로부터 일반창구 수준의 금융서비스를 받는 화상 창구입니다. 고객은 디지털데스크에 앉아 화면의 상담 연결 버튼을 누르기만 하면 화상 상담직원이 원하는
업무를 처리해 줍니다.
KB국민은행 역시 이용 채널에 제한 없이 대면 수준의 금융서비스를 받을 수 있는 ‘KB 화상 상담 서비스’를 이날 선보였습니다. 별도의 앱 또는 프로그램 설치가 필요없는 웹 방식 서비스로 신분증 촬영, 비밀번호 확인 등 비대면 실명확인 절차를 통해 상담뿐만 아니라 금융상품 가입까지 가능합니다. 5개 점포의 화상 상담 전용 창구를 시작으로 향후 인터넷뱅킹, KB스타뱅킹까지 서비스를 확대할 계획입니다
KB국민은행 역시 이용 채널에 제한 없이 대면 수준의 금융서비스를 받을 수 있는 ‘KB 화상 상담 서비스’를 이날 선보였습니다. 별도의 앱 또는 프로그램 설치가 필요없는 웹 방식 서비스로 신분증 촬영, 비밀번호 확인 등 비대면 실명확인 절차를 통해 상담뿐만 아니라 금융상품 가입까지 가능합니다. 5개 점포의 화상 상담 전용 창구를 시작으로 향후 인터넷뱅킹, KB스타뱅킹까지 서비스를 확대할 계획입니다
무인형 은행 점포도 늘고 있습니다. KB국민은행, 신한은행, 하나은행 등은 무인점포를 확대하고 있습니다. 비대면 금융 확산으로 금융 소외층이 늘고 있는 점을 고려해 누구나 손쉽게 접근할 수 있도록
무인점포 서비스도 지속적으로 개선하고 있습니다.
신한은행의 경우 무인형 점포 ‘디지털라운지’에서 금융권 최초로 ‘AI 뱅커’를 대고객 서비스에 도입해 편의성을 높였습니다. 실제 영업점 직원을 모델로 구현한 AI 뱅커는 영상합성과 음성인식 기술을 적용한 가상 직원으로 디지털 기기를 통해 고객이 원하는 업무를 안내합니다. 또 고객이 얼굴과 손바닥(장정맥)의 생체정보를 디지털 기기에서 간편하게 등록하고 이를 통해 손쉽게 출금·이체 등 업무가 가능하도록 도와주는 역할도 수행합니다.
비대면 금융상품도 속속 출시되고 있습니다. 케이뱅크는 100% 비대면으로 이용 가능한 전세대출과 청년 전세대출 상품을 출시했습니다. NH농협은행은 비대면 채널을 통한 펀드 신규 가입 이벤트를 진행해 높은 호응을 얻었습니다. NH농협은행 관계자는 “코로나19로 증가하고 있는 비대면 채널 이용 고객을 위해 앞으로도 다양한 이벤트와 서비스 제공으로 고객의 편의성과 접근성을 높일 수 있도록 노력하겠다”고 말했습니다.
(스포츠서울_20211213)
신한은행의 경우 무인형 점포 ‘디지털라운지’에서 금융권 최초로 ‘AI 뱅커’를 대고객 서비스에 도입해 편의성을 높였습니다. 실제 영업점 직원을 모델로 구현한 AI 뱅커는 영상합성과 음성인식 기술을 적용한 가상 직원으로 디지털 기기를 통해 고객이 원하는 업무를 안내합니다. 또 고객이 얼굴과 손바닥(장정맥)의 생체정보를 디지털 기기에서 간편하게 등록하고 이를 통해 손쉽게 출금·이체 등 업무가 가능하도록 도와주는 역할도 수행합니다.
비대면 금융상품도 속속 출시되고 있습니다. 케이뱅크는 100% 비대면으로 이용 가능한 전세대출과 청년 전세대출 상품을 출시했습니다. NH농협은행은 비대면 채널을 통한 펀드 신규 가입 이벤트를 진행해 높은 호응을 얻었습니다. NH농협은행 관계자는 “코로나19로 증가하고 있는 비대면 채널 이용 고객을 위해 앞으로도 다양한 이벤트와 서비스 제공으로 고객의 편의성과 접근성을 높일 수 있도록 노력하겠다”고 말했습니다.
(스포츠서울_20211213)
3) 아파트 월패드 해킹, IoT PKI로 근본적 대책 마련해야
아파트 월패드 해킹 사건이 전 사회에 큰 충격을 주면서, 이러한 피해를 막기 위한 다양한 보안 기술이 제안되고 있습니다. 그중 신뢰와 신원확인 수준 강화를 위해 IoT 기기에 대한 PKI 사용이
증가할 것이라는 전망이 나왔습니다.
디지서트의 ‘2022년 사이버 보안 전망’ 보고서에서는 “신원 확인과 신뢰는 IoT의 원동력”이라고 강조하며, “아파트 월패드 해킹과 같은 IoT 보안 사고 예방을 막기 위해 PKI를 통해 강력하고
검증된 신원 확인, 신뢰 기반을 쌓아야 한다”고 밝혔습니다.
이 보고에서는 디지털 트랜스포메이션 시장이 2021년부터 2028년까지 연평균 24%씩 성장할 것이라고 언급하며, 복잡한 기술이 기업의 가장 핵심적인 프로세스에 깊숙이 자리 잡게 되면서 디지털 서명의 사용이 증가하고 보다 강력한 수준의 신뢰 및 신원 확인이 요구될 것이라고 설명했습니다.
이 보고에서는 디지털 트랜스포메이션 시장이 2021년부터 2028년까지 연평균 24%씩 성장할 것이라고 언급하며, 복잡한 기술이 기업의 가장 핵심적인 프로세스에 깊숙이 자리 잡게 되면서 디지털 서명의 사용이 증가하고 보다 강력한 수준의 신뢰 및 신원 확인이 요구될 것이라고 설명했습니다.
솔라윈즈·카세야와 등 소프트웨어 공급망 공격이 내년에 더욱 극성을 부릴 것이며, 사이버 테러, 랜섬웨어, 사이버 스파이 등의 활동을 촉진시킬 것이라는 경고도 나왔습니다. 공급망 공격 방어를 위해서는
공급망에 참여하는 모든 주체가 강력한 통제 체계를 따라야 하는데, 현실적으로 불가능합니다. 하이브리드 업무환경과 클라우드로 공급망이 더욱 복잡해지면서 취약점이 증가하고 공격자들이 침투할 수 있는
지점도 늘어날 것입니다.
이러한 공급망 공격은 사이버테러, 랜섬웨어를 성공시키는 주요 공격 기법으로 활용됩니다. 사이버테러는 올해 발생한 콜로니얼 파이프라인, 올즈마 수자원 시스템 공격 등을 통해 위험성을 충분히 알 수 있었습니다. 디지서트는 민간 우주선 발사나 선거 등 고도의 기술 환경이 다음 공격 대상이 될 수 있다고 경고하면서 화려한 사이버 공격에 취약한 공공· 민간 조직은 보안에 대한 제로 트러스트 접근방식을 강화해야 한다고 역설했습니다.
코로나19 상황이 진정되고 있지만, 코로나19 대유행과 관련된 보안 위협은 계속될 것으로 보입니다. 공항, 소매업, 레스토랑 및 기타 공공장소에서 비대면 기술이 늘어나고 있지만 모두 사이버 공격에 취약합니다. 운전면허증 및 헬스케어 기록 등의 디지털 ID 활용 계획이 점차 확대되고 있지만 해킹당할 가능성이 여전히 존재합니다.
이러한 공급망 공격은 사이버테러, 랜섬웨어를 성공시키는 주요 공격 기법으로 활용됩니다. 사이버테러는 올해 발생한 콜로니얼 파이프라인, 올즈마 수자원 시스템 공격 등을 통해 위험성을 충분히 알 수 있었습니다. 디지서트는 민간 우주선 발사나 선거 등 고도의 기술 환경이 다음 공격 대상이 될 수 있다고 경고하면서 화려한 사이버 공격에 취약한 공공· 민간 조직은 보안에 대한 제로 트러스트 접근방식을 강화해야 한다고 역설했습니다.
코로나19 상황이 진정되고 있지만, 코로나19 대유행과 관련된 보안 위협은 계속될 것으로 보입니다. 공항, 소매업, 레스토랑 및 기타 공공장소에서 비대면 기술이 늘어나고 있지만 모두 사이버 공격에 취약합니다. 운전면허증 및 헬스케어 기록 등의 디지털 ID 활용 계획이 점차 확대되고 있지만 해킹당할 가능성이 여전히 존재합니다.
기업은 손익을 중요시하기 때문에 효율성이 높은 보안 기술을 요구하게 될 것이고, 보안 조직은 적은 자원으로 더 많은 업무를 수행해야 할 것입니다. 이에 2022년에는 기업이 더 적은 비용으로 더
많은 업무를 지원할 수 있는 기술이 중요해질 것으로 예상되는 가운데, 새해의 보안 혁신이라는 관점에서 자동화가 중요한 역할을 할 것으로 보입니다.
최근 디지서트가 발표한 ‘2021 PKI 자동화 현황 보고서(2021 State of PKI Automation Survey)’에 따르면, 91%의 기업에서 PKI 인증서 관리를 자동화하는 방안을 논의하고 있는 것으로 나타났습니다. 인공지능 및 머신러닝 기술은 앞으로도 자동화를 가속화하는데 핵심적인 역할을 하게 될 것입니다.
바쁜 마케팅 환경에서 마케팅 담당자들의 최우선 과제인 오래 기억되는 브랜드 인지도를 만드는 데 도움이 되는 신기술이 등장하고 있습니다. 기업에서는 브랜드 자산을 구축하고 신뢰를 강화하기 위해 상표 표기 인증서(VMC)를 갈수록 더 도입할 것으로 봅니다.
메시지 식별을 위한 브랜드 표시(BIMI) 전략을 활용한 협업 프로젝트의 일환인 VMC는 이메일의 받은 편지함 바로 옆에 로고를 표시하는 것입니다. 이메일 수신자는 메시지를 열기 전에 이메일의 진본임을 확인할 수 있는데, VMC는 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 보안에 의해 시행됩니다. DMARC가 보호하는 VMC를 사용하면, 마케팅 담당자들은 브랜딩을 강화하고 메시지 열람률을 10% 향상시킬 뿐만 아니라, 고객의 개인정보와 IT 보안에 신경 쓰고 있으며 리스크를 최소화할 수 있는 사전 예방 조치를 취하고 있음을 고객들에게 알릴 수 있습니다.
(데이터넷_20211202)
최근 디지서트가 발표한 ‘2021 PKI 자동화 현황 보고서(2021 State of PKI Automation Survey)’에 따르면, 91%의 기업에서 PKI 인증서 관리를 자동화하는 방안을 논의하고 있는 것으로 나타났습니다. 인공지능 및 머신러닝 기술은 앞으로도 자동화를 가속화하는데 핵심적인 역할을 하게 될 것입니다.
바쁜 마케팅 환경에서 마케팅 담당자들의 최우선 과제인 오래 기억되는 브랜드 인지도를 만드는 데 도움이 되는 신기술이 등장하고 있습니다. 기업에서는 브랜드 자산을 구축하고 신뢰를 강화하기 위해 상표 표기 인증서(VMC)를 갈수록 더 도입할 것으로 봅니다.
메시지 식별을 위한 브랜드 표시(BIMI) 전략을 활용한 협업 프로젝트의 일환인 VMC는 이메일의 받은 편지함 바로 옆에 로고를 표시하는 것입니다. 이메일 수신자는 메시지를 열기 전에 이메일의 진본임을 확인할 수 있는데, VMC는 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 보안에 의해 시행됩니다. DMARC가 보호하는 VMC를 사용하면, 마케팅 담당자들은 브랜딩을 강화하고 메시지 열람률을 10% 향상시킬 뿐만 아니라, 고객의 개인정보와 IT 보안에 신경 쓰고 있으며 리스크를 최소화할 수 있는 사전 예방 조치를 취하고 있음을 고객들에게 알릴 수 있습니다.
(데이터넷_20211202)