닐다스와니,마우디엘바야디
(NeilDaswani)
스탠퍼드고급사이버보안프로그램(StanfordAdvancedCyberSecurityProgram)의공동이사이자보안컨설팅및교육회사인다스와니엔터프라이즈(DaswaniEnterprises)의대표다.시만텍(Symantec),라이프락(LifeLock),엑스(X,구트위터(Twitter)),데이시언트(Dasient),구글(Google),스탠퍼드대학교,NTTDoCoMoUSALabs,요들리(Yodlee)및텔코디아테크놀로지스(TelcordiaTechnologies)(구벨코어(Bellcore))에서다양한연구,개발,교육및경영진역할을수행했다.시만텍에서는고객비즈니스부문의CISO(ChiefInformationSecurityOfficer,최고정보보안책임자)를역임했으며,라이프락에서는전사차원의CISO를역임했다.트리니티벤처스(Auth0,NewRelic,Aruba,Starbucks및Bulletproof의후원자)의전속임원직을역임했다.벤하모우글로벌벤처스,브라이스케털리스트(BryceCatalyst),파이어볼트(Firebolt),그레비티랜치벤처스(GravityRanchVentures),시큐어옥탠(SecureOctane),리더십캐피털(LeadershipCapital),스위프트벤처스(SwiftVC)를포함한여러사이버보안스타트업기업및벤처캐피털펀드의투자자및고문이다.또한『FoundationsofSecurity』(Apress,2007)의공동저자다.DNA는보안연구및개발에깊이뿌리를두고있으며,학술및업계최고회의(ACM,IEEE,USENIX,RSA,BlackHat,OWASP)에서발표된수십건의기술문서를작성했으며,열두건이넘는미국특허를취득했다.산업및학술콘퍼런스에서자주강연하며〈뉴욕타임스〉,〈USA투데이〉,〈CSO〉잡지와같은출판물에인용됐다.스탠퍼드대학교에서컴퓨터공학박사및석사학위를,컬럼비아대학교에서우수한성적으로컴퓨터공학학사학위를취득했다.
1부-BigBreaches
1장.데이터침해사고의근본적인원인
__현실적인원인
__‘고차원적인’근본적인원인:우선순위,투자그리고실행
__기술적인근본원인
____암호화되지않은데이터
____피싱
____멀웨어
____제3자공격또는어뷰즈
____소프트웨어보안
____직원의부주의한실수
__요약
2장.캐피털원침해사고
__에라틱
__캐피털원과‘클라우드’
__클라우드기본
__공격
____시스템구성도
____프라이빗버킷에서웹애플리케이션방화벽역할까지
____EC2인스턴스변수에서서버측요청변조
____혼동된대리인:메타데이터서비스
____도난당한자격증명
____버킷침해
____사고의타임라인및여파
__요약
3장.메리어트침해사고
__인수
____멀웨어
__스타우드의형편없는보안
____대규모침해사고탐지
____멀웨어
__사고여파와배울점
__요약
4장.에퀴팩스침해사고
__공격에대한설명
____아파치스트럿츠와CVE-2017-5638
____CVE-2017-5638의작동방식
__대규모침해사고탐지
__침해대응
__요약
5장.페이스북보안이슈와2016년미국대선
__초기개인정보유출사고및FTC의대응
__워터링홀공격
__제공데이터보다더많은양의데이터다운로드
__빠른실행에서안정적인실행으로
__러시아발허위정보
__케임브리지애널리티카와페이스북어뷰징
__평문상태의비밀번호
__더많은양의데이터유출
__FTC,페이스북에50억달러벌금부과
__다크웹에서판매되는프로필정보
__요약
6장.2014년과2015년의OPM침해사고
__국가지원중국공격자
__침해사고:개요및타임라인
__미국정부,OPM에경고하다
__X1:OPM이공격을받다
__X1:멀웨어및키로깅
__X1쫓아내기:빅뱅
__X2:미국정보기관에대한엄청난타격
__OPM이캡틴아메리카와아이언맨을발견하다
__OPM을도우려는사이랜스
__교훈
__요약
7장.2013년과2014년야후침해사고
__러시아공격자들
__공격심층분석
__이용자데이터베이스
__야후쿠키공격
____계정관리툴공격
____3200만개쿠키생성
__사고의여파
__요약
8장.2013년과2014년의타깃및JP모건체이스침해사고
__왜타깃인가?왜HVAC공급자인가?
__공격:블랙프라이데이악몽
__타깃의실시간공격대응
__조기경보
__타임라인및도난당한데이터
__안티바이러스비용을지불하지않아대가를치른파지오
__버라이즌감사관
__사고의여파
__해커들
__JP모건체이스:미국최대은행침해사고중하나
__연례경주
__홀드시큐리티가도난당한자격증명을확인하다
__JPMC가침해를받다
__사고의여파
__공격자
__요약
2부-모두를위한사이버보안강의
9장.효과적인보안을위한일곱가지습관
__습관1.모든상황을항상대비하고끝없이의문을제기하라
____사전예방:선제적행동또는사후대응
____준비된상태
____지속적인의문제기(또는편집증적인사고)
__습관2.미션중심으로업무를수행하라
____조직적관심
____미션중심활동
____리스크완화
____함께하기
____보안이곧리스크완화
__습관3.보안및개인정보보호를내재화하라
____단순하게관리하라(‘메커니즘의경제’,‘최소공통메커니즘’)
____페일세이프기본값(‘기본적보안’)
____보안‘진입점’생성(‘완전한중재’)
____최소권한의원칙
____개방형설계/은둔방식의보안지양
____사용편의성/심리적수용
____보안설계결함방지
__습관4.보안을최우선으로두고보완책으로규정준수를달성하라
____혁명군처럼당신의영역을방어하라!
__습관5.보안을측정하라
____피싱취약성측정
____멀웨어탐지측정
____소프트웨어취약점측정
__습관6.모든것을자동화하라
__습관7.지속적인개선을추진하라
__요약
10장.이사회를위한조언
__디지털전환
__이사회수준의배경:끊임없는급류
____디지털전환및사용자채택속도
__위협및데이터침해
__리스크의크기조정및우선순위지정
__사고및외부공개관리
__이사회회의전과후
____경영진보고를위한분위기조성
__효과적인이사회는CARE와올바른질문으로회의를주도한다
____일관성
____적절성
____합리성
____효과성
__요약
11장.기술및보안리더를위한조언
__이사회참석
__이야기로전달하라
__맥락생성하기:무엇을보호하고있는가?
__공격자대응관점에서자료를작성하고수치화하기
__점을연결해결론도출하기:비즈니스전략과보안
__보안사건은침착하게보고하기
__요약
12장.침해사고의근본원인을제거하기위한기술방어1부
__문제
__피싱공격방어
____이중인증
____보안키
____전용OTP토큰
____모바일앱이중인증프로그램
____SMS기반OTP
____이메일기반OTP
____다중요인인증
____SPF,DKIM및DMARC로피싱을방지하는도메인
____비슷하게생긴도메인
____크레덴셜스터핑과계정탈취
____비밀번호관리자
____추가피싱방어
__멀웨어방어
____멀웨어방지
____엔드포인트탐지및대응
____네트워크탐지및대응
____원격브라우저격리
____가상데스크톱인터페이스
__요약
13장.침해사고의근본원인을제거하기위한기술방어2부
__서드파티위협완화
____공급업체보안
____인수
____개발자,협력업체및고객
__소프트웨어취약점식별
____자사취약점
____서드파티취약점
__암호화되지않은데이터
____저장된데이터
____전송중데이터
____사용중데이터
__직원의부주의한실수
__전략적접근및도구선택
__요약
14장.사이버보안투자자를위한조언
__데이터출처
__보안스타트업혁명
__투자요인
____시장규모/수요
____현재까지투자액
____투자부족영역
__근본원인
__요약
15장.소비자를위한조언
__소비자의역할
____디지털생활을위한안전벨트
____위험은현실이다
____소비자보안체크리스트개요
__체크리스트
__자격증명보호
____이중인증활성화
____비밀번호관리자사용
____신용및신원정보보호
__게이트웨이보호
__엔드포인트보호
____멀웨어방지프로그램
____데이터암호화
____데이터백업
____시스템업데이트
__상호작용보호
__요약
16장.사이버보안에당신의기술적용하기
__보안팀
____보고체계
____거버넌스,리스크및규정준수
____보안엔지니어링
____보안운영
____위협인텔리전스
____SOC
____사고대응
__사이버보안분야취업하기
____SOC분석가
____보안아키텍트
____CISO
__요약
17장.마무리
◈추천의글◈
“이책은과거의전산보안실패사례를이용해미래의실패를예방하는데유용한교훈을준다.”
─앤디스텐그루블(AndySteingruebl),
핀터레스트(Pinterest)CISO
“닐과마우디는책의마지막장에서사이버보안의임무가얼마나중요한지기술한다.사이버보안직업을다른직업과구별짓는그목적과사명감을이해할수있을것이다.사이버보안전문가는좁은시야에서보면생태계를구성하는일부에불과하지만이들은각국가의중요한기반시설,국가및경제적안보,개인정보보호및자유시민으로서의고유한권리를보호해야하는더높은가치의필수구성요소다.”
─로버트로드리게스(RobertRodriguez),
사이넷(SINET)창시자이자회장
“마우디와닐은이유의미한작업을통해큰성공을거뒀다.FBI에서27년간근무하며책에서술된많은침해사고를눈앞에서직접접했고,사람으로서저자들의매력적인스토리텔링뿐만아니라사후문제해결을위한안내에빠져들게됐다.2021년의사이버활동분위기를고려하면이책의출간시기는섬뜩하다.”
─존카루더스(JohnCaruthers),
전FBI선임특수요원
“보안침해사고에대한체계적이고포괄적이며전사적인관점을취하는것은좋은관행일뿐만아니라보안프로그램을평가하는기준이돼야한다.보안침해의근본원인에집중하는것은데이터침해의가능성을효과적으로완화하고조직과소비자에미치는영향을최소화하는‘합리적인’보안관행과거버넌스활동을보다잘이해하는데있어서중요한단계다.실용적이고실무자중심의통찰력을포착한이책은이사회구성원,회사임원뿐만아니라CISO,CIO,CTO와같은기술리더에게도귀중한자료가될것이다.”
─맷스탬퍼(MattStamper),
『CISODeskReferenceGuide』(CISODRG,2023)(1권과2권)의공동저자,침해대응을다룬가트너(Gartner)과거연구임원,이보텍(EVOTEK)CISO이자상임고문
“이책은CISO와사이버보안전문가들을위한필수서적일뿐만아니라사이버공격으로부터비즈니스를선제적으로보호하고자하는기술및비즈니스리더들을위한중요한참고자료이다.”
─마진라와슈데(MazenRawashdeh),
Ebay전무이자CTO
◈이책에서다루는내용◈
사이버보안산업은지난15년간450억달러이상의투자를받아왔다.반복되는침해사고가운데에도이분야는수십만개일자리가채워지지않은채남아있어문제가심각해졌다.이제는기술자뿐만아니라모든이가사이버보안에대한정보를얻고능력을강화할때다.
이책은가장큰보안침해사고중일부와피싱,멀웨어,서드파티침해,소프트웨어취약점,암호화되지않은데이터등의침해사고뒤에가려진기술적인주제를다루고있다.사이버보안은우리모두의일상에영향을미치며,이책만큼해당분야에대해쉽게접근하긴쉽지않다.
효과적인예방및탐지대책,메타수준의침해사고원인,조직내보안을최적화하기위한일곱가지중요한습관등다양한업계내부지식을자신있게습득할수있을것이다.이러한귀중한교훈은실제사례에적용되며타깃,JP모건체이스,에퀴팩스,메리어트등에서발생한유명한큰규모의침해사고가어떻게발생했는지배울수있을것이다.
조직내에서사이버보안의보다강력한기반을구축하려는경우든기본에대해배우고싶은개인이든빅브리치를통해모든사람이성공적으로전진하기위한필수지식을습득할수있다.이책의전문가적통찰력으로스스로를무장하고사이버보안의미래에대비하라.
◈이책의구성◈
1장에서현재까지침해사고의근본원인을개략적으로살펴본후에2~8장에서가장큰침해사고중일부를시간의역순으로자세히살펴본다.
2장에서는당시가장큰클라우드보안데이터침해사고였던2019년의캐피털원(CapitalOne)데이터침해에대해다룬다.이침해사고에서아마존(Amazon)출신의한직원은소프트웨어취약점과방화벽의잘못된설정을이용해1억개이상의신용카드정보를훔쳐냈다.
3장에서는2018년에발표된메리어트(Marriott)데이터유출사건을다룬다.메리어트의스타우드호텔(StarwoodHotels)을인수로인해서3억8300만건이상의고객기록이도난당했는데,이는스타우드호텔이인수한제3자회사의멀웨어로인해서발생한사건이다.
4장에서는제3자소프트웨어취약점으로인해1억4500만건이상의신용기록을도난당한2017년에퀴팩스(Equifax)침해사고에대해다룬다.
5장에서는2016년과그이전의여러페이스북(Facebook)(현메타(Meta))해킹과데이터침해에대해다룬다.페이스북서비스는2016년미국대선과관계가있는외부협력사케임브리지애널리티카(CambridgeAnalytica)때문에악용됐다.페이스북은또한‘내프로필미리보기(ViewPageAs…)’기능에소프트웨어취약점이있어사용자가다른사용자로로그인했을때프로필이어떻게생겼는지볼수있으며공격자는5000만명이상의프로필데이터를훔칠수있었다.
6장에서는2014년과2015년에2000만명이상의공무원신원정보가도난당한미인사관리국(OPM,OfficeofPersonnelManagement)의침해사고사례를다룬다.
7장에서는야후의30억사용자계정전체를탈취하기위해피싱,멀웨어및쿠키생성알고리듬의리버스엔지니어링(reverseengineering)을사용한2013년과2014년의야후(Yahoo)데이터침해사고에대해다룬다.
8장에서는2013년과2014년타깃및JP모건체이스의데이터침해사고에대해다룬다.이때제3자공급업체인파지오메카니컬서비스(FazioMechanicalServices)와심코데이터시스템즈(SimmcoDataSystems)는각각각사례에서수천만건의고객기록에대한침해를기인하는중개자로서등장한다.
후반부에서는보안을달성하기위한습관에대해서술하며임원진수준의논의를수행하고적절한기술과프로세스를도입하며올바른투자를결정하는임원진차원의복구로드맵을개략적으로설명한다.
마지막으로,우리는전투에참여하고사이버보안분야로진입하고자하는사람들을위한지침을제공한다.다음은나머지장의상세한내용이다.
9장은보안을달성하기위해숙지해야할일곱가지습관을개략적으로설명한다.9장은개인인재개발대신보안에초점을맞춘다는점을제외하면스티븐코비(StephenCovey)의『성공하는사람들의일곱가지습관』(김영사,2003)과내용이유사하다.
10장과11장은이사진과임원들에게보안에대한이사회차원의논의에접근하는방법에대한조언을제공한다.여기에는(9장의습관을기초해)올바른문화를조성하고,회사의보안활동에임원진을참여시켜조직의보안에대한일관된이야기를들려주며그이야기를정성적및정량적수치로뒷받침하기위한여러조언이포함돼있다.
12장과13장에서는침해사고의각기술적근본원인에대해조직이기술및프로세스방어를위해도입할수있는옵션을다룬다.
14장에서는소비자가조직에영향을미치는침해사고의동일한근본원인으로부터스스로를방어할수있는방법에대한조언을제공한다.
15장에서는450억달러규모의사모펀드및공개IPO사이버보안투자가지난15년간어디에투입됐는지,침해사고의근본원인에어떻게대응하는지분석하고데이터침해사고를완화하기위해향후자금을어디에투입해야하는지권고한다.
16장은사이버보안분야가세계에서가장빠르게성장하는분야중하나이고전세계적으로수백만개의일자리가있다는점을감안해서사이버보안분야에진출하기위해기술을습득하는방법에대한조언을제공한다.이의핵심내용으로자주발생하는대규모의침해사고가과거의유물이되는세상을만들려면사이버보안을달성하기위한지적인능력과노력을개발할인재들이필요하다.
독자들이책의전반부에서과거발생한대규모데이터침해사고사례들을살펴보고,책의후반부에서복구로드맵으로무장해더욱안전한디지털세상을만드는데동참해주길바란다.
◈옮긴이의말◈'
정보보안혹은정보유출사고는항상존재했으며지금도어디에선가일어나고있다.규모가큰사고가반복됨으로써이에대한심각성을느낀정부및기관이개인정보보호에대한관심을갖기시작했고,2003년미국캘리포니아데이터침해통지법안발의이후GDPR(유럽일반개인정보보호법)등정보유출사고발생시기업에큰벌금을부과하는규제법안들이등장하기시작했다.같은맥락으로2023년개정된한국의개인정보보호법또한정보주체의개인정보에대한통제권을강화시켰다.
이책은대표적인대규모의정보유출사고는어떤것들이있었는지,그근본적인원인은무엇이었는지,해결책은어떤것인지일목요연하게정리하고있다.아주가장기본적인보안통제의부재로인해정보유출사고는계속발생하고있다.최소수년전에발생한정보유출사고이지만그교훈과해결책은오늘날에도여전히유용함을알게될것이다.
기업의보안담당자라면누구나한번쯤들어봤을캐피털원,메리어트,페이스북등에서실제발생했던대규모정보유출사고의근본적인원인과당시기업들이취했던조치,대응방안이일목요연하게정리돼있어관련업무종사자라면유용하게활용할수있으리라생각한다.
꼭정보보안분야에서일하지않는사람들에게도굉장히흥미롭게다가올것이다.‘정보보호’또는‘정보보안’이라는단어는모두가익숙하지만정확히어떤말인지모르는단어이기도하다.저자는전세계적으로유명했던정보유출사고를이해하기쉽고흥미롭게설명하는한편보안분야에서일하지않는다양한사람들을위한조언도빼놓지않았다.