사회 기반 시설 노리는 APT 단체의 공격이 점점 무서워지는 이유
4월 13일 미국의 에너지부, CISA, NSA, FBI가 합동으로
ICS와 SCADA 장비들을 노리는 고급 APT 공격 행위가 발견되었다는 내용의 경고문을 발표
…
APT 공격자들의 이러한 일반적인 공격 행위 외에 윈도 기반 엔지니어링 워크스테이션을 노린다는 경고도 나왔었다.
즉 OT 네트워크만이 아니라 연결된 IT 네트워크에도 문제가 있을 수 있다는 뜻
…
OT보안에 대한 위협은 사물인터넷 장비 도입이 증가하면서 늘어났고
예전과 달리 OT네트워크와 IT네트워크의 접점이 늘고 있음
모든 기업들은 사물인터넷과 OT 네트워크가 가지고 있는 위험성에 대해 충분히 인지하기 시작해야 한다.
인지하는 것만으로는 늦고, 얼른 점검에 들어가야 한다.
우리 회사 안에 어떤 사물인터넷 장비들이 있는지, OT와 IT가 얼마나 연결되어 있는지 확인부터 시작해야 한다.
…
개인정보 침해 피해, 분쟁조정 제도로 소송없이 해결한다
지난해 분쟁조정 대상사건의 침해주제는 민간부문이 88.7%로 압도적으로 많았으나
동일사건에 대한 신청자가 가장 많은 사건인 페이스북은 조정참여를 거부함으로써
민간기관은 현행법상 조정참여를 강제할 근거가 없는 등 분쟁조정의 한계가 드러남
-> 이에 개인정보위는 조정참여 의무대상을 공공기관에서 ‘모든 개인정보처리자’로 확대하고
조사관의 조사권한을 부여하는 등의 내용을 포함한 ‘개인정보 보호법’ 개정안을 작년 9월 국회에 제출
애자일과 클라우드의 보편화로 갈수록 위험해지고 있는 API
기업의 API 사용이 증가하면서 소프트웨어 취약점을 이용한 해킹의 위험도 증가함
빠른 개발을 통한 출시를 위해 API 사용과 API에 의존적인 소프트웨어도 증가하는 반면
API에 대한 조사 미흡,,
...
API 사용 현황에 대해 점검 필요
API의 출처, 사용처, 유형, 데이터 민감도, 소유자, 인증 여부와 같은 항목들별로 API를 분석하고, 그 기록을 보관해 둘 필요가 있음
...
애플리케이션 보안을 위해 개발 시작 단계부터 보안을 고려하고
API에 대한 꼼꼼한 조사를 통해 취약점 점보 파악 필요
대표적인 위험은 프라이버시와 휴먼해킹