보안위협

조혜민

한국마이크로소프트

지피지기 백전불태그를 알고 나를 알면 백 번 싸워도 위태롭지 않음

“적과 아군의 실정을 잘 비교 검토한 후 승산이 있을 때 싸운다면 백번을 싸워도 결코 위태롭지 아니하다 . 그리고 적의 실정은 모른 채

아군의 실정만 알고 싸운다면 승패의 확률은 반반이다 . 또 적의 실정은물론 아군의 실정까지 모르고 싸운다면 싸울 때마다 반드시 패한다 .”

공격이 발견되기 전, 피해자의 네트워크에머무는 평균 기간

200일+탐지 후 전체

복구까지 걸리는평균 기간

80일성장 및 생산성

손실로 인한 영향

$3Trillion

데이터 침해로 인한평균 비용

(전년대비 15% 증가)

$3.5Million

“대기업에는 두 종류가 있습니다 .

해킹을 당해본 기업과 해킹을 당한지도 모르는 기업입니다 .”

- J A M E S C O M E Y , F B I 국장

뉴스에서의 CYBERSECURITY

랜섬웨어는 흑사병이 되었음

Cisco의 Talos는 "우리는매우복잡한악용키트와셀수없는스팸활동으로퍼진램섬웨어가인터넷의흑사병이되었다는것을크게또자주말할수없습니다."고말합니다.공격자는더많은돈을지불할수있는더큰목표를추구하며, 잠재적으로큰재앙이발생할수있습니다.

PC 랜섬웨어의위험한부분은이제크랙하는것이불가능함

STEVE DENT

Engadget

2016년 3월 17일

Source: A dangerous piece of PC ransomware is now impossible to crack, Steve Dent, Engadget, Macrh 17, 2016

랜섬웨어가 상태 서비스를 종료

병원랜섬웨어:

으스스한모닝콜

VIOLET BLUE

Engadget

2016년 2월 19일

“헐리우드의한장로교교인은랜섬웨어의비상상태를선언했습니다… 익명의의사는기자에게 CT 스캔, 문서, 실험실작업, 약국기능과전자통신을담당하는시스템이작동불능이었다고말했습니다… 방사선과종양학도일시적으로중지되었다고보고되었습니다.”

Source: Hospital ransomware: A chilling wake-up call, Violet Blue, Engadget, February 19, 2016

해커가 2억 달러의 NASA 드론을 하이잭HIJACK

그룹에서는 “사람들이이놀라운보안의부족을찾을지도모르지만우리의경험에따르면이건매우일반적이다.”라고말합니다. “당신이주방어선을한번통과하게된다면, 당신이액세스를유지할수있는동안네트워크를통해이를매우순조롭게증식시킬수있습니다.“

해커는이른바NASA에대규모침해massive breach 후드론을하이잭MIKAEL THALEN

INFOWARS.COM

2016년 1월 31일

Source: Hackers Allegedly Hijack Drone After Massive Breach at NASA, Mikael Thalen, Infowars.com, January 31, 2016

예상치 못한 IOT 디바이스?

무서운 IoT검색엔진은당신이모르는사람의웹캠을염탐할수있도록해줌

JENNINGS BROWN과 ADI COHEN

Vocativ

2016년 1월 25일

“수백만대의디바이스에비디오피드가달려있다는것을생각해보십시오—예를들어아이의침대위에있는베이비모니터혹은당신의뒤현관에있는보안카메라. 사물인터넷(IoT)에서가장인기있는검색엔진의새로운기능은바로이러한피드를쉽게찾을수있도록해주는것입니다. 그리고이것은당신이상상할수있는것보다더오싹합니다.”

Source: Terrifying IoT Search Engine Lets You Spy On Strangers Webcams, Jennings Brown and Adi Cohen , Vocativ, January 25, 2016

경쟁력 높은 지하 생태계

“Uber, PayPal, 심지어 Netflix 계정이범죄자에게더가치가있습니다… Uber 계정정보는지하시장에서계정당평균 $3.78에거래되는반면, 개인식별정보(PII)는평균 $1에서 $3.30에거래됩니다… 2014년에 PII는 $4로거래되었습니다.”

Uber 계정을훔치는것이카드를훔치는것보다더가치있음

HARRIET TAYLOR

CNBC

2016년 1월 20일

Source: Stolen Uber accounts worth more than stolen cards, Harriet Taylor , CNBC, January 20, 2016

TOP 25에 여전히 “123456“, “PASSWORD“, “PASSW0RD” 사용

“인터넷최악의암호에대한SplashData의제 5회차트가발표되었고,사람들은교훈을얻지못한것으로보입니다. SplashData는2015년에유출된약 2백만개의암호를집계하였고, 쉽게추측할수있는암호가여전히사용되고있습니다.”

너무나많은사람이여전히끔찍한암호를사용

Source: Too many people still use terrible passwords, Daniel Cooper, Engadget, January 18, 2016

우크라이나 전력망

공격자는우크라이나국가망에속해있는컴퓨터에성공적으로침투할수있었으며, 그결과 Ivano-Frankivsk 지역의수백가구가어둠에휩싸이게되었습니다. 이는전력망에대한첫번째사이버공격인것으로생각됩니다.

해커가우크라이나의전력망을정지시킴

MATT BRIAN

Engadget

2016년 1월 6일

Source: Hackers shut down power grid in Ukraine, Matt Brian, Engadget, January 6, 2016

미국 인사국OFFICE OF PERSONNEL MANAGEMENT

“그것은미국국가보안에있어역대가장큰피해일것입니다. 세계에서가장민감한데이터일부에액세스할수있는사람은다른사람의신원조사를할수있었으며 .... 익명의공격자에의해도난당했습니다. 우리는아직침해의영향에대해확인하지못했지만, 미국국내와외국의외교및정보작업에해를끼칠것입니다.”

2,200만이상의정부노동자가 blackmail*에취약함

ZACH WHITTAKER

ZDNet

October 2, 2015

Source: 2015's biggest data breaches: CVS, Anthem, IRS, and worse, Zack Whittaker, ZDNet, October 2, 2015

*Blackmail: 누군가의 비밀을 폭로하는 것과같이신상에해가되는 행위를 하지않는대가로 돈을 요구하며위협하는 행위

SONY – 각본에 테러 추가

Source: Hackers Threaten Sony Employees in New Email: ‘Your Family Will Be in Danger’, Dave McNary, MSN, December 5, 2014. Image: G. Hodan

Sony 해커가 9/11을언급하며 ‘인터뷰’

상영하지말라위협

BRENT LANG

Variety

2014년 12월 5일

“2001년 9월 11일을기억하라. 전세계가두려움에떨게될것이다. 그날영화관에서멀리떨어져있을것을권한다.”

백악관 – 무제한의 예산 , 하지만 여전히 취약

Source: Hackers who breached White House network accessed sensitive data, Steven Musil, CNET, April 13, 2015

백악관네트워크를침해한해커가민감한데이터에액세스

STEVEN MUSIL

CNET

2015년 4월 13일

“미국무부침해사고에서부서의분류된이메일시스템은전혀영향을받지않았다고국무성고관은말했습니다. 하지만해커는백악관네트워크에침입하기위해그침해를사용했습니다.”

데이터 유출

2HIPPA Secure Now, 제목 – 보건 데이터 누출 비용의 단면,” Art Gross, 2012년 3월 30일

58%의사람들은다른사람에게민감한정보를보낸적이있습니다.

58%

87%의고위관리자는본인메일또는클라우드계정에파일을업로드

한다고고백했습니다.

87%

$240이데이터누출시발생되는비용의평균입니다.

$240기록 당 240

달러

1Stroz Friedberg, “경험을 바탕으로: 미국 산업의 정보 보안,” 2013

일반적인 공격의 해부

침해가 어떻게 발생하는가?

맬웨어와취약점만걱정할것이아님

99.9%CVE*가게시된후일년이상계속사용되는 악용된취약점

46%맬웨어없이손상된시스템

50%1시간내에첨부파일을열고클릭한사람

23%피싱메시지를열어본수신인(11%는 첨부파일을 클릭)

빠르고효율적인피싱공격은반응할시간을주지않음

*CVE (Common Vulnerabilities and Exposures)

이러한 공격이 일반적으로 어떻게 시작되는가?

취

스피어피싱* / 소셜엔지니어링e.g. 조작된이메일, “Microsoft 지원“ 전화통화, 주차장에흘린 USB 키.

‘워터링홀Watering hole’e.g. 악용된웹사이트

외부에접해있는서버에대한직접해킹내부자지식이나권한

0-day 익스플로잇취약점(CVE)

취약한방어소셜엔지니어링

공격이들어오는방법 권한을획득하는방법

*스피어피싱(Spear Phishing)이란 작살낚시에 빗댄표현으로, 불특정다수가 아닌 특정기관이나기업의 내부직원을 표적삼아 집중적으로 공격하는 행위를 일컫는 용어입니다.

다시말해 정부기관이나 기업조직 등특정타깃의 내부이용자를 은밀히 염탐하고 해당조직의기밀정보를 빼내기 위해, 신뢰할 수있는내용처럼 위장한 악성이메일을 관련자들에게 전송시켜감염시킵니다. 이후원격제어 및 데이터탈취 등을시도하는 대표적인 지능형 표적공격입니다.

고급 공격ADVANCED ATTACK의 특성

공격자의도전과제

무엇이APT를만드는가?

정찰 배달 악용명령과제어

EoP&측면이동

Lateral movement

자산Asset탈출Exfiltrati

on

목표가있는공격은빈번하고복잡하고

장기간의작업

실생활공격과매우유사하게공격을성공하기위해계획, 제어와시간이필요함

공격자의 “kill-chain”

손상자체는몇분이걸리는반면, 계획과측면이동,

데이터의탈출은며칠, 몇주혹은몇달이소요됨

:)

공격의해부

정상적인컴퓨터

사용자가이메일을수신

사용자가악의적인

사이트에액세스

디바이스가맬웨어에감염됨

HelpDesk가디바이스에로그온

Identity 도난, 공격자가상승된권한을가짐

:)

정상적인컴퓨터

사용자가이메일을수신

사용자가악의적인사이트에액세스

디바이스가맬웨어에감염됨

사용자가악의적인

사이트에액세스

디바이스가맬웨어에감염됨

HelpDesk가디바이스에로그온

Identity 도난, 공격자가상승된권한을가짐

사용자가이메일을수신

새로운 문제에는 신규 플랫폼이 필요합니다 .

신원보호

데이터보호

위협대응

디바이스보안

위협을해결하기위해새로운접근법이필요함:

모든것inside out에대한보안 –더큰벽을넘어

공격자의경제모델을파산시킴

공격자의각본을파괴 공격자의벡터vector를제거

클라이언트보안관리

조혜민

한국마이크로소프트

제가 기업데이터를

어떻게 지켜야하나요

모바일 기기의보안이 저희의

가장 큰걱정입니다

툴이 너무 많고너무

분열되어있습니다

저희는고객들만큼 빨리신기술을 활용할필요가 있습니다

비밀번호로는 더 이상충분하지않습니다

저희사용자들은

언제 어디서든앱과 데이터에

접속할 수있어야 합니다

저희는 마이크로소프트에 더 많은투명성과 열린

대화를 원합니다.

더 이상 대규모개발이 있어선

안됩니다

IT 예산에압박이

있습니다.

저희가 IT

비용을 어떻게줄일 수 있을지보여주세요.

고객들이저희에게해주시는말들

자연스러운 상호작용

경험의 모바일

데이터 보호에대한 신뢰

고객 & IT 모두에게사랑 받음

더 많은 퍼스널컴퓨팅 생성

보안공격의진화

표적

정교

함

부피와 영향

아마추어해커들블래스터, 슬래머

동기: 장난

2003-2004

표적

정교

함

2005-현재

조직범죄

랜섬웨어신원 도용

동기: 이윤

아마추어해커들블래스터, 슬래머

동기: 장난

2003-2004

보안공격의진화

표적

정교

함

2005-현재

조직범죄

랜섬웨어신원 도용

동기: 이윤

아마추어해커들블래스터, 슬래머

동기: 장난

이후

민족국가, 운동가, 테러그룹

뻔뻔하고 복잡하며지속적임

동기: IP 절도, 손상, 붕괴

2003-2004

보안공격의진화

오늘날우리는혁명적인사이버위협을경험하고있습니다.

신원보호

데이터보호

위협대응

디바이스보안

DEFENDING AGAINST MODERN SECURITY THREATS

기기 보호 신원 보호

정보 보호위협 대응

신원보호

공유된비밀

쉿!

잘못관리되거나잃어버리기쉬움

(사용자가문제임)

사용자의골칫거리, 패스워드문제

패스워드를 재사용 함

패스워드를 어디에 써두기도함

패스워드를 잊어버림

패스워드는 복잡하고 성가신 문제

내것이라는 증명이 없음

추측, 무차별대입공격에 취약함

기존 2단계인증(Two Factor)은 비싸고복잡함

패스워드의 보안 상의 취약점

인터넷사용자 ID와비밀번호

사용자

사이트와사용자간의약점

나쁜 사람

1

소셜

은행

네트워크

웃긴사이트

유명하지않은 사이트

1

2

기업사용자 ID와비밀번호

사용자

1

3

5

디바이스

IDP

IDP

IDP

전자정보처리시스템

2

4

네트워크리소스

사용자와디바이스간의약점

나쁜 사람

＂패스더해시” 공격

차세대사용자자격증명 Microsoft Passport

IDP

활성 디렉토리Azure AD

구글페이스북

마이크로소프트계정

1

사용자

2

윈도우 10

3인트라넷리소스

4

4인트라넷리소스

새로운접근법

자격증명을하는 2가지방법

• 가장 간단한 적용 옵션

• 기존의 디바이스에활용 가능

• 사용자 친화적

별도의비밀번호 (PIN)

• 다중인증을가능하게함

• 손쉽게 적용 가능

• 잊어버릴염려가 없음

생체정보 (Windows Hello)

생체정보를활용한인증 Windows Hello (1/2)

- Demonstrate False Acceptance Rate (FAR)*: 1/100,000

- With False Rejection Rate(FRR)*: 2-4%,

- Provide live-ness measures

*FAR (誤수락율) : 등록된 사용자를 잘못 인식하여 수락하는 확률*FRR (誤거부율) : 등록된 사용자가 인식이 안되어 거부하게 될 확률

생체정보를활용한인증 Windows Hello (2/2)

Windows Hello: can identical twins fool Microsoft and Intel? http://www.theaustralian.com.au/business/in-depth/windows-hello-can-identical-twins-fool-microsoft-and-intel/story-fnw66tov-1227490164701

정보보호

정보유출문제

2HIPPA Secure Now, 제목 – 보건 데이터 누출 비용의 단면,” Art Gross, 2012년 3월 30일

58%의사람들은다른사람에게민감한정보를보낸적이있습니다.

58%

87%의고위관리자는본인메일또는클라우드계정에파일을업로드한다고고백했습니다.

87%

$240이데이터누출시발생되는비용의평균입니다.

$240기록 당

240달러

1Stroz Friedberg, “경험을 바탕으로: 미국 산업의 정보 보안,” 2013

기업정보보호 (1/6)

for business

personal

비즈니스 앱및 데이터

관리영역

개입 앱 및데이터

비관리영역

기업정보보호 (2/6)

1

사용자

2

프로비저닝:

키와정책

기업정보보호 (3/6)

사용자

데이터수신

기업정보보호 (4/6)

데이터송신:(앱에서디스크로)

사용자

기업정보보호 (5/6)

데이터송신:(앱간또는네트워크)

사용자

기업정보보호 (6/6)

폐기

사용자

Annual Report Draft 1

Contoso

Personal

Marketing Plan

Microsoft Work D…

2014 total return has increased significantly, outperforming both the S&P 500 and NASDAQ indices.

Britta Simon

Britta SimonWARNING!

Pasting content from a corporate document to a public location is not allowed.

OK

위협대응및기기보호

우선신뢰하고실행했을때의문제

기본적으로 신뢰하여 설치됨, 악성코드가탑재되어 있을경우 A/V에서 탐지후조치

매일약 300,000개 이상의 악성코드가새롭게 발견되는 지금, 사후조치적인 방법의한계존재

지금까지의 앱

실행되기 전에 신뢰되어야 한다 .

디바이스가드

모든프로그램의 실행을원천적으로 차단하고(어떠한 것도신뢰하지 않는 – Trust Nothing),

조직내 또는 PC 제조사에서 허가한프로그램만 실행하도록 잠겨있는보안기술

디바이스 가드란?

UEFI 2.3 또는그이상버전의펌웨어

TPM 2.0

Virtualization

하드웨어 기술과 연계되어 더욱 강력

UMCI @ 디바이스가드

Windows Store

사설인증서, 공인인증서

Microsoft Device Guard Signing Portal (금년말제공)

User Mode Code Integr i ty

Hypervisor Code Integrity (HVCI) @ 가상보안모드

가상 보안 모드(VSM)

로컬

보안

인증

서비

스

윈도우

앱

가상

TP

M

하이

퍼바

이저

코드

무결

성

Windows Defender

Windows Defender가 켜져있으면스파이웨어 및기타사용자 동의없이설치되는소프트웨어가 컴퓨터에서 자체적으로 설치또는실행될때알림이 표시

기본설정을사용할 경우 Windows Defender는 새로운 정의(소프트웨어가 스파이웨어인지확인하는 데사용되는 파일)가있는지확인하고 권장제거작업이 있는항목이검색될 경우자동으로 제거

Windows Defender의 기능

Windows Defender ATP(Advanced Threat Protection)

Device Guard기기통제보안정책

Built-in 2FACredential Guard

Microsoft PassportWindows Hello

기기보호/드라이브암호화Enterprise Data Protection (EDP)조건부접속

AppLockerDevice Guard

Windows Defender네트워크/방화벽

Windows DefenderATP

기기보호 정보보호 위협저항붕괴탐지조사 & 대응

Pre breach Post breach

신원보호

Windows Defender ATP(Advanced Threat Protection)

온라인 자산 생태계전반에서 수집한 정보를활용한 클라우드 머신

러닝분석으로작동됩니다.

내장된 에이전트가클라이언트 기기에서발생한 모든 것을

기록(log)하고 클라우드에전송합니다.

자사 헌터, 분석가,

커뮤니티 등으로인해 더

강화되었습니다.

고급 공격과 데이터 침해를 탐지하고 해결할 수 있도록 지원

분실로인한정보유출

정보 유출의 대표 사례

비트락커를활용한데이터보호

컴퓨터를 분실하거나, 습득했을 경우, 해당컴퓨터에서 하드디스크를 빼서, 딴컴퓨터를이용해서 열어보면, 하드디스크내 데이터가 모두다 접근이가능

비트락커가 필요한 시나리오

초기부팅구성요소와 부팅구성데이터의 무결성을 확인하여, 시스템이 악성코드나 외부에의해위변조되지 않았는지를 확인

하드웨어와 연계하여, 운영체제볼륨과 데이터볼륨에 대한암호화를 지원

즉 BitLocker를 통해서 암호화된 하드디스크는 암호화를 진행한컴퓨터가 아니라면, 해독이불가능하고, 하드디스크만 뽑아서 다른컴퓨터에 연결하더라도, 데이터를 인식시킬 수가없음

비트락커가 하는 일

미국국방성보안대비를위해 Windows 10으로업그레이드

400만대컴퓨터를Windows 10으로

Windows 10에대한신뢰

Windows 10의보안기능

미국 국방성이 선택한 플랫폼

신원보호

데이터보호

위협대응

디바이스보안

Enterprise 고객을위한프로그램안내

Windows 10

고객방문세미나

Windows 10 고객방문세미나 & 교육

• 대상 : Windows 10에 대해 더 많은 것을 알고 싶으신 고객사

• 고객의 요구에 맞는 세미나/교육을 직접 방문하여 제공해 드립니다.

• 방문 세미나/교육을 원하시는 분은 담당 영업 대표를 통해 말씀해 주시기 바랍니다.

(신청 상황에 따라 진행이 어려울 수 있는 점, 양해 부탁드립니다.)

Windows 10 PoC

• 대상: Windows 10 업그레이드를 고려하고 계신 고객사 대상

• Windows 10 호환성 및 배포 등과 관련한 사전 검증 작업을 진행합니다.

• 실재 Windows 10 PoC 수행을 위해 고객 비용이 발생할 수 있습니다.

• 방문 세미나를 원하시는 분은 담당 영업 대표를 통해 말씀해 주시기 바랍니다.

전문 파트너사와 함께하는 Windows 10 PoC