여러분님을 위한 뉴스레터, 에쓱-케어입니다!

매달 새로운 IT보안 소식을 여러분님께 배달해드립니다 :)

피드백하기   |   구독하기 

짧은 주기의 인증서 갱신으로 인한 단말기 및 플랫폼 오류,

해결방안은?

최근 은행권을 포함한 여러 단말기를 제공하는 기업에서 SSL인증서 오류로 인해 여러 차례 곤혹을 겪은 바 있습니다.

결제시스템을 담당하는 은행/금융권은 SSL인증서 자동 만료로 고객들이 결제를 하지 못해 큰 손해를 봤다고 불만을 토로했으며, 일반 플랫폼 사업을 운영하는 기업은 PC접속이 차단되어, 인증서 갱신을 소홀했다는 지적을 받았습니다.

SSL인증서 갱신은 그 만큼 기업의 보안과 운영에 있어 중요한 부분입니다.

최근 TLS인증서 유효기간에 대한 표준을 정하는 CA/B (Certficate Authority/Browser)포럼에서 구글이, 보안 강화를 이유로, 360여 일에서 90일로 단축하겠다고 발표한 바 있는데요.

CA/B포럼에서 구글이 갖는 권위와 브라우저 시장에서의 점유율을 고려했을 때 구글의 계획대로 인증서 유효기간이 단축될 것으로 예상됩니다.

인증서 갱신기간이 90일로 줄어들면 어떻게 될까요?

기업은 이전보다 5배 더 자주 인증서를 갱신해야 합니다. 하지만 갱신하는 일을 ‘사람’이 하기 때문에 갱신 처리를 관리자 및 IT리소스 담당자가 로테이션으로 돌아가며 수동으로 하게 되고, 일관되지 않으며, 결국에는 비즈니스에 부정적인 영향을 끼치게 될 수 있습니다

실제로 인증서 갱신관련한 어느 조사에서 응답자의 76%가 보안을 강화하기 위해 TLS 인증서의 유효 기간을 단축해야 할 필요성을 인식한다고 답했지만, 이와 동시에 81%는 인증서 관리에 관한 기존의 문제가 더 커질 것을 걱정했습니다.

심지어 응답자의 75%는 오히려 더 안전하지 않을 수 있다고 답했으며, 77%는 인증서가 만료되는 경우가 불가피하게 발생할 것이라고 답했습니다.

늘어나는 인증서, 자동화 관리 솔루션은 필수

최근 아이덴티티 보안기업 사이버 아크 (CyberArk)는 베나피(Venafi)를 인수함에 따라 아이덴티티를 기반으로 한 강력한 인증서 보안을 내놓을 것으로 예고하고 있습니다.

최근 사이버아크가 내놓은 한 전략 보고서에 따르면 통합 머신 아이덴티티 보안 솔루션을 통해 인증서, PKI, 인증정보 보안 및 인증서 만료로 인한 서비스가 중단되는 것을 방지할 것이라고 밝히고 있습니다.

뿐만 아니라 사이버아크 PAM고객이 CLM 및 PKI프로세스를 손쉽게 보호할 수 있도록 통합 제공하고 있으며, 모든 머신, 팀 또는 환경에서 인증서 관리의 복잡성을 감소시켜줄 것이라 명시하고 있습니다.

사이버 아크 관련하여 더 궁금한 사항이 있으시면

아래 [CyberArk 관련 문의하기]를 클릭하시기 바랍니다

📌보안당국 "北파병에 국제 해킹그룹 국내 공격 가능성 커져"  더보기

한국인터넷진흥원 (KISA)이 북한군의 러시아 파병 등으로 인해 사이버 위협이 커지고 있다며 국내 보안 강화를 권고했습니다. 

보안 강화 권고에 따르면 러시아 해킹 그룹 등에 의한 디도스 (DDos) 공격에 대비해 각 기관·기업은 홈페이지나 주요 정보기술시스템을 모니터링하고 보안 대응을 한층 강화해야 한다고 전했습니다. 자세한 내용은 더보기링크를 통해 확인 바랍니다.

📌FBI, 중국 해커들에 대한 정보를 얻기 위해 대중의 도움 요청  더보기

FBI가 중국의 한 APT단체가 전 세계 곳곳의 에지장비들을 무차별적으로 침해하려는 내용을 근거로, 단체에 대한 정보를 획득하기 위해 중국 해커들에게 현상금을 걸었다고 보안외신인 해커뉴스에서 보도하였습니다. 

해당 사건과 관련하여 공격자들은 아스나록(Asnarok)이나 고스트랫(GhostRAT)등과 같은 탈취형 멀웨어를 유포한 것으로 알려졌습니다.