정보보안 스터디 - 24주차 7일 - 산업보안 트렌드 보안교육, 양자암호화

Culture/etc 해킹지식

정보보안 스터디 - 24주차 7일 - 산업보안 트렌드 보안교육, 양자암호화

wonder12 2023. 3. 30. 14:32

산업보안 트렌드 보안교육 들었던 내용 복습 및 정리해보도록 하겠습니다.

☞ 최근 산업기술 해외유출 사례 및 대응방안

- 영업, 산업 비밀과 포렌식 업무를 수행하고 계시는 변호사님이였습니다.

중국이 한국이나 다른 나라의 사람을 대려와서 핵심기술을 가져가는 사례가 많아지고 있습니다.

특징은 거액+전세를 얻어주지만 2년 뒤에는 보증하지 않아 쫓겨나듯 나온다고 합니다.

산업기술 유출 방지법은 복잡한데 정리하자면

이렇게 나뉘고 서로 처벌이나 규정이 다릅니다.

정부지원 받냐 안받냐에따라 형사처벌이 다르구요.

국가핵심기술에는

철도기술, 2차전지, 반도체, 수소차 등이 있는데

수소차의 관련 도면을 빼간 사건이 많아졌습니다.

산업기술은 영업비밀과는 다릅니다.
직원의 산업기술 유출로 고소했을 때 산업기술임을 확인서를 받기전에도(나중에 받아도) 당연히 인정됩니다.

국가 차원의 산업유출에 대해서 보안체제가 되었는지도 따집니다. 외국회사들이 노하우를 빼갈려고 외국에 공장을 지으라고 하거나 세제해택을 주는 사례가 있습니다. 국가 핵심기술이라면 처벌이 들어갑니다.

국가핵심기술만 해당하는 점은 직원과 비밀유지 계약을 체결해야한다는 점입니다.

달러로 비싸게 사겠다고 한 다음 M&A 인수합병을 해서 빼가는 경우도 많습니다.
따라서 인수합병을 할 때는 산자부장관의 승인을 받아야합니다.
그렇지 않는다면 보류 및 취소시킬 수 있으며 형사처벌 대상이 됩니다.
예를 들어 양극자전지 합작회사를 차리는 경우 입니다. 엔지니어가 외국으로 가고, 기술 시방서 등이 넘어가기 때문에 수출로 봅니다.

부정 취득 유형

가장 많은 사례일 것이라고 보는데 회사퇴직하면서 USB에 기술을 담고가는 겁니다. = 포렌식을 했을 때 USB로 회사에서 나가는 것 자체가 형사처벌 대상이며 해외 유출은 더 처벌 받습니다.
경기 남부청에 기술이 많아서 사건들도 많습니다.
포렌식은 장비 압수해서 많은 정보들 중에 기술에 대해서 키워드로 검색하는 방식을 많이 씁니다. > 싹 다 복사해서 가져옵니다. > 하지만 안티포렌식으로 aaa, bbb로 파일변경 후 내게 쓴 메일함으로 보내는 경우가 많기 때문에 > 이런 키워드도 검색합니다.
초기 직원 교육이 필요합니다.

구글 등 글로벌기업이 공동연구개발계약(JDA) 해보자고 하면서 샘플을 달라고 하는 사례입니다. > 이 때 아 별로네 하면서 컷했지만 구글에서 개발되어 나오는 사례도 억울하게 있습니다.
입찰제안서는 숙제같이 뿌립니다. A,B,C사 모두 제안메일을 보낸다음 확인 후 발주차를 A로 정하면서 A사한테 B,C자료도 몰아주는 방식입니다.
어느정도는 용인되지만 선을 넘지 않는 것이 중요합니다.

중국 << SK 하이닉스 LCD 디스플레이 기술 유출
중국,인도 << 쌍용자동차
AVG(브로드컴=싱가포르-중국연결) << 퀄컴 5G기술
중국 << 독일 (미국의 압력으로 거래가 깨졌습니다.)

무죄로 선고 받은 사례입니다.
산업기술의 범위는 영업비밀처럼 비밀관리성의 필요는 없습니다
유출은 아닐 수 있습니다. 나간건데 합법적 공개라고 본다면 유출이 아닙니다.

부정한 목적으로라는 조항이 붙는데
중국 << 삼성전자 반도체 사건을 기소한 사례입니다. 목적입증이 안되기 때문에 결과적으로 위협으로 인정되지만 무죄로 받았습니다.
왜냐면 퇴직을 대비하여 이직을 위해 헤드헌터와 접촉한 점을 이해해주기 때문이였습니다.
이 때 목적이 애매한데, 판사재량이 너무 많아져서 국가기술은 빼자라는 말이 나오고 있습니다.

대만 에버라이트(한국에 있는 해외 법인) << 서울반도체 직원 유출사례는 한국에서 해외법인을 기소해서 유죄로 받은 드문 사례입니다. 대만의 대표가 직접와야했습니다.

다른 고객사와의 소통에서 우리 직원이 주면 안될자료를 조금 더해서줘서 처벌받는 사례도 조심해야합니다. 회사가 오히려 처벌받기 때문에. (원래는 양벌규정이긴 합니다.)
따라서 시스템 잘 갖춰져 있는지 입증해야합니다. 즉 가지고 오지말라고 충분히 사전에 말했다거나, 유출방지를 위한 IT기술이 마련되있다거나 등입니다.

국가 핵심기술 반도체, 디스플레이, 로켓 등이 많은데 첨단 전략 부분은 더 처벌을 받습니다.
또 규제도 심해지는데 퇴직 후 어디에 취직했는지 알려달라고 할 수 있습니다.

☞ 최신 클라우드 보안 위협과 대응 방안

AWS먼저 만들고 보안을 늦게 생각하는 경우가 많습니다.
해커의 입장에서는 클라우드 가져갈 정보는 없으니 채굴로 많이 이용했습니다.

on-premise 환경보다는 복잡하긴 해서 기술을 알아야하지만 복잡해보이지만 허술한 곳이 클라우드입니다.
해커의 입장에서는 확산이 용이해서 하나의 플랫폼이라 하나만 뚫리면 모두 침투할 수 있는 곳입니다.
또한 담긴 데이터가 많습니다.
개인정보만 유출되고 땡이겠지가 아니라 제대로 공격당하면 내부시스템이 마비되고 영구적으로 사용하지 못할 수 있습니다.
이게 모두 도입기이며 낮은 성숙도로 인해 발생하고 있습니다. 그러니까 사용자와 공급자 둘 다 아는 게 적습니다.

클라우드 환경은 내, 외부에 다양한 위협 요소가 존재하니 염두해 둡시다.
1) 데이터유출
2) 계정 탈취
3) 내부자 위협
4) 자용자 설정 오류
5) 클라우드 보안 아키텍쳐 미흡
6) 불안정한 인터페이스 및 API
7) 신원, 액세스 관리 미흡

한 기업당 2.4개의 기업 내부망-외부망 까지 합쳐 멀티 클라우드 환경을 쓴다고 합니다.
이 때 public, private 클라우드를 어떻게 관리하냐가 관건입니다.
아키텍쳐가 미흡하고 제대로 안될 가능성이 있기 때문에, 전체적인 모니터링이 오히려 필요합니다

언제 어디서든 공격당할 수 있습니다.
복잡한 부분이 블루팀에서 경고를 제대로 인지하지 않고 무시할 때가 있습니다.
1) 복잡해서
2) 워낙 경고가 많아서
이 때 잘 걸러내는 것이 중요합니다.

설정을 이상하게 해놓는다거나 설정을 놓치는 단순한 취약점으로 대형사고가 날 수 있습니다.
몇천명되는 직원들에게 권한을 나눠줄텐데 초기 사용하지 않는 과잉권한이 문제입니다.

침투 불가능한 시스템을 위해서는 침투가능성을 얼마나 빨리 발견하느냐에 달렸습니다

devops라고 개발, 보안, IT운영 3조직이 공동으로 관리하는 것이 중요합니다.
컴플라이언스 준수하는지. 견제 해야합니다.
취약점 새롭게 생겨나기 때문에 머신러닝등으로 빨리 발견해야합니다.
public 클라우드환경이 private보다 더 복잡하고 서로 다릅니다.

미국의 사례를 보면 바이든정부의 제로 trust로 삼성이 미국에게 파일을 전송할 때 취약점을 가지고 와서 제품을 만들게 되면 제재를 높이겠다는 겁니다.
사이버 복원력이 중요합니다.

변동성이 커서 지속적인 관리, 모니터링을 해야합니다.
컨테이너도 어플리케이션입니다.

계정 노출되었다고 가정했을 때 CIEM,CSPM 등 여러 솔루션이 있는데
계정 관리 등 토폴로지형태로 초기 시각화할 수 있는 것이 중요합니다. (계정권한이 복잡한 구조라서 누가 어떤 권한인지 시각화가 필요합니다.)
원래는 큰 서버하나였지만 > VPC로 쪼개면서 > 관리하는 기능을 적용하게 됩니다.
컨테이너 이미지 자체가 취약한 부분도 관리가 필요합니다.
호스트마다 방화벽을 운영하거나
ISMS-P, CSAP, NIST, GDRP 등 정책이 유효한지 확인하여 > 안전/위험 지대 상태를나눕니다.
의심가는 이벤트로그를 계속 확인해서 분석하고 탐지해야합니다. = CDR을 활성화하는 것이 도움됩니다.

대기업 외에도 지자체에서도 클라우드 구축사례가 늘어나는데 public- 제어 어렵게 되어있음/private- 제어 가능

새로운 기술은 더 생긴건 아니지만 관리가 중요합니다. 기존에 IPS/EDR이 있어도 계정자체를 탈취해서 접속하기 때문에 더 조심해야합니다.
클라우드는 내부자 공격이 유독 많을 수 있기 때문에 관리시스템을 만들어줘야 행동을 조심하게 됩니다.

☞ 글로벌 패권 경쟁시대 연구보안 전략

중국이 미국의 하버드대 연구자를 포섭해서 연구, 기술자료를가져간 사태가 발생합니다.
미국은 연구에 자율성은 주되 보안이 뚫린다면 one strike out 제도로 처벌이 심합니다.

10억 단위로 6개월간 교수가 연구하러갔다가 기술유출되는 사례가 있습니다.
미국은 무슨 내용을 자문햇는지도 보고 하는 제도가 있습니다.

미국은 반도체 및 과학에 특히 연구안보를 중요시하며, 손해배상을 입법화했다는 점이 주목할 만합니다.

연구자 식별코드를 주면서 보안에 수행을 강화할 수 있도록합니다.
미국은 연구규모를 금액기준으로 규제하고 있습니다.

미국의 기업, 대학, 연구소를 직접 가서 인터뷰 및 조사해본 결과
대학, 연구소
자율연구지만 유출 시 one strike out제도.
기관마다 IP policy가 있다는점
과도한 데이터 tracking
자료는 오픈하지만 연구 노트 엄격히 쓰도록, 핵심기술은 private한게 영업비밀로 놓고 더 엄격.
기업
maximum 패널티를 높여 잘지켜집니다.
일하는 외국인의 경우 외국갈 때 보고
보안상으로는 내국인으로 규정
교육 단계적 보안 매뉴얼 지키도록.
Real time tracker
보안 인력 양성 프로그램
중국은 이런 기술에서 밀리니까 사이버공격으로 노려야겠다고 하기 때문에 미국도 그에 따라 준비하는 상황입니다.

우리나라는 과학기술로 도약하고 있지만 two-track으로 가야합니다.
보안과제에대해서 중요 / 일반 으로 나눕니다.
중요 - 휴대용 디바이스 규제 필요. 등
협약도입.
권한 제한 완화

또한 당근이 부족했습니다. 연구 자율성을 인정하고 입원급으로 우대해주는 등의 대안이 필요합니다.
제대로 처벌은 안하기 때문에 one strike out제도를 도입해얗바니다.
개인 사용 PC 접근 시 과도하게 data다운받을 시 tracking 도 필요합니다.
연구노트 작성, IT융합 필요합니다.

미국은 보안 전문가를 높이고 있습니다. 건물별 보안 책임자를 두는 등.
보안중심의 융합 보안대학원 지원이 많아지고 있습니다.

최고 전문가는 추후에 창업하게 하고 국방부문도 매리트를 느끼게 하여 충원이 필요합니다.

결국 기술이전은 나중에 미래를 봤을 때 큰 문제를 일으키므로 차단 장치를 만드는 노력이 필요합니다.

☞ 양자 암호화

GPT는 못봤지만 양자컴퓨터, 양자내성암호를 보면서

암호화에대해서 더 공부하는 시간이였습니다.

다시 복습해보자면

공개키(비대칭키 방식) 이며 공개키/개인키로 나눈 것을 말합니다.

TLS는 SSL 을 넘어 대칭, 비대칭 혼합이구요.

양자컴퓨터 해킹이 위험한 이유
암호가 뚫리면 인터넷에서 소통하는 정보들이 모두 노출됨.
지금은 RSA(공개키형식) 암호를 표준으로 많이 사용하며 전자서명인증용도로 사용합니다.(현재 인터넷 뱅킹에 이용하고 있는 표준암호화 RSA는 2048비트입니다. + 지금 3027 4092 등 나오고 있긴합니다.)

양자컴퓨터를 사용하면 공개키를 역추적해서 사설키를 알아낼 수 있음.
그러니까 SSH서버부터 인터넷 정보, 암호화폐(암호화 3번 한거)까지 모든 게 뚫린다고 생각하면 됨.

양자컴퓨터

RSA 공개키 암호화는 큰자리 수들을 소인수분해 하기 어렵다는 보안 장점이 있지만 양자컴퓨터로로 뚫는 것이 가능했습니다.

양자컴퓨터는 고전컴퓨터하는 일을 포함하긴합니다.

CPU성능(Ghz)으로 봤을 땐 연산 하나하나가 현재 컴퓨터보다 느립니다. (아직 200~512비트는 2시간이 걸리고 느린데 초기수준이라 발전 가능성이 큼)

따라서 기존의 컴퓨터를 대체하지 않습니다.

또한 병렬 동시 연산의 특징이 있지만 측정은 일부만 하게되서 기존의 컴퓨터보다 더 빨라서 대체한다고 이해하기 보다는 특별한 부분에서는 양자컴퓨터만 할 수 있는이 있고, 월등한 컴퓨터로 이해하는 것이 좋습니다.

고전 컴퓨터가 풀수없는 (소인수분해 문제) 등입니다.

예를 들어 큰 규모 화학연산(어떻게 분자가 움직이고 상호작용하는지, 새로운 약치료, 백신), 과학적 발견의 발전, 자료검색, 머신러닝 발전 등 이있습니다. 이런 장점도있지만 개발자들은 위협 때문에 조심하고있습니다.

그래도 오늘날 public-key 깰려면 5년~이상 정도 걸린다고 합니다.

큐비트

기존: 0 1 측정 > 0, 1
양자: 0 1> 0 또는 1 랜덤.(큐비트 상태)
(00, 01, 11, 00) 이런식으로 값이 나옵니다.

하드웨어 quantum lab

소프트웨어 직접 클라우드 양자 컴퓨터 활용해서 소프트웨어 코딩할 수 있습니다.(양자 회로짜기> 실제 양자컴퓨터로 돌려서 결과 보내줍니다)

결국 작은 크기의 수를 소인수분해할 때는 고전 컴퓨터가 유리하지만 RSA 512 비트 이상부터는 양자컴퓨터가 빠릅니다.

예를 들어 인터넷 뱅킹 네트워크 중간에서 스니핑으로 계좌 비밀번호를 확인하거나 값을 변조할 수 있겠죠.

PQC VPN

이 회사가 소개하는 PQC VPN서버는 이렇습니다.

여기서 PQC(post-quantum cryptography = 양자내성암호)는 양자컴퓨터로도 수십억이 넘게 걸리는 복잡한 알고리즘입니다.

클라이언트(IoT, device) ==== VPN 서버 | trusted network(여러 웹서버, NetBIOS, ssh서버 등)

또는

직원 | VPN장비 --------VPN장비 | 본사
device,IoT| VPN장비 --------VPN장비 | 서버

라고 해석할수도 있습니다.

클라이언트에서 서버로 접속할 때 양자내성 암호화된 안전한 링크를 제공해줍니다.
그래서 VPN서버와 같은 네트워크면 다 보호가 됩니다.
이걸 쓰면 IoT(cctv, 산업기기, 모빌리티, 월패드 등) Host 에서 서버 네트워크로 침입 못하죠

하이브리드 방식: PQC자체 뿐만아니라 다른 표준화 알고리즘(기존 SSL) 같이 사용해서 강력합니다.

그러니까 하나뚤려도 다른 알고리즘으로 방어합니다. - 뚫는 시간은 늘어날 것으로 보입니다.

NIST 연구

NIST는 양자암호 표준 알고리즘을 고민중인데 격자 기반이 후보로 유력하고 25년까지 표준화 완료할 듯합니다.

다변수 암호, 코드기반, 격자 기반, 아이소제니, 해시기반 등 다양하지만 > 격자기반이 대표
nist 표준 > CRYSTALS-KYBER, CRYSTALS-DILITHIUM > 격자 기반이 대표적이라 표준될 가능성 높습니다.
아직은 오류없는 완벽한 양자컴퓨터가 필요하기 때문에 상용화되까지 초기단계입니다.

+ 자세한 내용

이렇게 양자내성암호는 지금 가장 이용할 수 있는 분야는 VPN입니다.

software로도 PQC VPN을 만들 수 있습니다.

openvpn 이랑 합칠려고 프로젝트하고 있습니다.

아직 테스트중이라 민감 데이터에 적용하거나 애플리케이션 자체 소통으로는 적합하지 않습니다.

내부(클라우드환경)에 있으면 보호되는데, 다른 네트워크로 넘어가면 보호안됩니다.(기존 암호화)

시나리오를 좀만 더 알아보면

암호화폐 거래는 SHA-256 알고리즘으로 이루어집니다.
공인키는 보여도 상관없지만 공인키를 역추적해서 사설키를 알아낼 수 있습니다.
그러니까 비트코인이 더 견고한데 (이 암호화를 3번이나해서) 이 사설키가 뚫릴 정도면 나머지는 더 쉽게 뚫린다는 얘기입니다.

뚫으면 인터넷모두 커뮤니케이션내용을 노출시킬 것입니다. ( MITM으로 인터넷뱅킹도그렇고 ssl까지 다 뚫죠)

일단 web에서의 소통을 암호화를 뚫어 볼 수 있으니, password 다볼수 있고 2FA도 무결성깨지니까 변조가능하다는 겁니다. > 뱅크 계좌접속

그리고 telnet이나 서버에 접속하는것도 네트워크로 스니핑하면 다 뚫을 수 있다는 말입니다.

예시로는

online banking, e-commerce, cloud computing, email, online gaming 은 물론
military communications

health records.
Medical history or genetic information
Juvenile criminal records
Intellectual property
Department of Energy laboratories

까지 그냥 다 영향을 줍니다.

대응
외부인터넷에서 device에 접근 못하도록 IP, port차단 등 네트워크 차단하는 망분리를 의무로 해야됩니다. (예를 들어 월패드 해킹 사건.)

저작자표시