태그검색
찾고 싶은 것이 있나요?
보안tech에 대한 98개의 태그 검색결과가 있습니다.
- 블로그 [융합보안] 입주사vs건물주, 물리보안 구축 시 고려사항은? 여러분의 현재 주거 형태는 아파트인가요, 아니면 단독 주택인가요? 물론 다세대 주택일 수도 있을 겁니다. 국토교통부가 발표한 서울시 주거실태 현황 자료를 보면 아파트에 거주하는 시민의 비율이 가장 높은 것으로 나타나는데요. 그렇다면 다른 주택 유형에 비해 아파트에 거주하는 비율이 높은 이유는 무엇일까요? 이는 투자가치, 보안성, 편의성 등 단독주택에 비해 아파트가 가진 장점 때문입니다. 이 중 보안성에 대해 살펴보겠습니다. 아파트에는 CCTV와 경비요원 등 기본적인 보안시스템이 갖춰져 있죠. 무엇보다 저층을 제외하고는 외부로부터 침입이 어려운 구조적 특성이 있습니다. 그런데 만약 여러분이 아파트의 보안수준에 만족하지 못한다면 어떨까요? 여러분이 공동 현관문에 최첨단 얼굴인식 시스템을 설치하고 싶다고 해서 바로 설치할 수는 없을 겁니다. 아파트에는 기본적인 보안시스템이 구축돼 있지만, 개인이 원한다고 해서 함부로 장비를 추가 설치하기는 어렵기 때문이죠. 반면, 단독 주택은 주인 마음대로 보안 시스템을 추가할 수 있습니다. 이러한 상황은 상업용 건물의 보안시스템 설치에도 유사하게 적용될 수 있습니다. 여러 회사가 입주해 있는 건물에 특정 회사를 위한 보안시스템을 구축해야 하는 경우가 발생할 수 있는데요. LG그룹사 사례를 통해 물리보안 시스템 구축 PM의 관점에서 고려해야 할 사항을 알아보겠습니다. 입주사 vs 건물주 하나의 회사가 전용으로 사용하는 건물과 다르게, 여러 회사가 입주한 건물에는 입주회사뿐만 아니라 건물주와 협의를 통한 의사결정이 필요합니다. 일반적으로 신규 입주 회사가 건물의 몇 층을 사용하게 될지 계획이 세워지면 입주 전에 보안시스템 구축이 완료돼야 하죠. 그러나 계약 당시에는 보안시스템 구축 같은 세부 사항까지는 고려하지 못하는 게 현실인데요. 그렇기 때문에 보안시스템 설계 또는 구축과정에서 예상치 못한 어려움에 직면할 수도 있습니다. 따라서 보안시스템 설계자는 주 출입구를 포함해 입주 층까지 임직원 동선은 어떻게 구성되는지 최우선으로 파악해야 합니다. 보통 오피스 건물은 고층 건물인 경우가 많기 때문에 엘리베이터를 운행하게 되는데요. 입주사 전용으로 엘리베이터를 사용할 수 있다면 다행이지만, 불가능한 상황에서는 건물 주 출입구에서 보안시스템 운영에 많은 제약이 발생할 수밖에 없습니다. 엘리베이터 등 출입 동선이 확인되면 X-Ray 등 보안 검색시스템 및 안내데스크 배치 도면을 바탕으로 입주사와 건물주 간 협의와 의사결정이 진행돼야 합니다. 최근 사례로 보면, 건물 시공단계에서부터 스피드게이트와 같은 기본 보안시스템을 고려해 설치했지만, 보안 검색 장비를 추가 배치하기에는 공간이 협소한 경우가 있었습니다. 이에 따라 입주사의 보안 검색 장비 구성 표준안을 적용치 못하게 됐는데요. 결국, 해당 구성의 취약점을 보완하기 위한 새로운 대안을 고민해야 하는 상황을 발생하게 됐고, 이로 인해 입주사와 건물주 간 협상 및 의사결정에 예상치 못한 시간을 소요하게 됐습니다. 이미 설치된 보안장비는 어찌할 것인가? 앞서 언급했지만, 어느 정도 규모가 있는 오피스 빌딩은 스피드게이트, 출입 통제 시스템, 영상감시시스템 등 기본적인 보안시스템이 건물 설계에 반영돼 있습니다. 기본으로 설치된 보안시스템만으로 입주사가 만족할 수도 있지만, 입주사 전용 보안 검색시스템, 출입 통제 시스템, 영상감시시스템 설치를 요구할 수도 있습니다. 만약, 입주사만의 독자적인 출입 통제 시스템을 구축해야 하는 경우, 기존에 설치된 스피드게이트를 재사용할지 철거할지 결정해야 하는데요. 이미 설치된 장비로 인해 장비 구성 변경 또는 추가가 어려울 수도 있습니다. 출입 단말기는 입주 층 주 출입구 비상계단 등에도 설치돼 있습니다. 기존 장비를 철거하지 않고 유지해야 한다면 신규 단말기 위치 선정에 어려움을 겪을 수 있습니다. 따라서 기존 장비와 신규단말기 간 도어락 컨트롤 및 문 상태 정보를 건물공통 출입시스템에 연계하는 방안을 마련해야 합니다. A사의 경우, 입주사가 독자적인 출입 통제 시스템을 구축했지만, 건물 전체를 관리하는 방재센터에서 출입문 상태 모니터링을 위해 건물 공통으로 기존 설치된 출입 단말기를 철거할 수 없도록 했습니다. 오피스건물은 보안 검색시스템 구축에 필요한 공간을 확보하기 어려울 수도 있는데요. 보안 검색시스템은 보통 빌딩의 공용구역과 입주사 전용 구역의 경계에 설치되기에 필연적으로 입주사와 건물주와 이해가 충돌할 수밖에 없습니다. 따라서 의사결정에 더욱 많은 시간이 소요될 수 있습니다. 그리고 일반적으로 임대인은 계약조건에 원상복구 조건을 포함하기도 합니다. 그래서 신규 장비 설치 또는 변경 시에도 향후 원상복구를 고려해 시공해야 하므로 예상치 못한 난관에 부딪히기도 하죠. 만약 철거한 장비가 있다면 향후 원상복구를 고려해 철거 장비 보관 및 인수인계 작업이 필요할 수도 있습니다. 마지막으로, 각 층에는 설비 관리를 위한 EPS실 및 TPS실이 존재하는데요. 대부분 빌딩 공통시설의 운영을 목적으로 하고 있습니다. 여기에 입주사만의 전용 장비를 설치할 수 있도록 허용한다고 하더라도 운영/유지보수 인력의 출입 권한 관리 등 문제 발생 시 책임소재의 리스크도 고려해야 합니다. A사는 각층에 전용 EPS, TPS실을 신설해 출입 통제 및 영상감시 장비를 운영하는 것으로 설계에 반영했습니다. 간과하기 쉬운 업체 관계 기존 장비가 설치돼 있는 경우, 해당 장비를 재사용하든 철거를 하든 해당 장비 설치업체의 협조는 필수적인데요. 이에 대한 비용도 사전에 반영해야 합니다. 예를 들어, 하자보수 기간 내에 있는 장비의 경우, 기설치업체의 협조 없이 스피드게이트의 카드리더기를 바꾼다면 해당 업체는 하자보수 면책 사유를 주장할 수도 있습니다. 또한, 유지보수 기간에 있더라도 문제처리 관련 책임소재 이슈가 발생할 수도 있죠. 이외에도 향후 원상복구를 고려한 장비 철거 또는 변경 작업에도 기존 설치업체의 협업이 요구됩니다. 따라서, 시스템 구축에 착수하기 전에 시공 작업에 참여한 협력업체들의 연락처를 확보하는 것이 중요합니다. 이번 글에서는 한 건물에 여러 회사가 입주한 경우 물리보안 시스템 구축 시 필요한 고려사항을 살펴보았습니다. 입주사 전용 건물에 보안시스템을 구축하는 것에 비해 더 복잡한 의사결정 구조와 다양한 이해관계자들이 존재한다는 것을 알 수 있었는데요. 물리보안 시스템 구축에는 보안시스템 설계자 또는 PM의 세심한 관심이 필요하다는 점을 기억해야 합니다....
- 블로그 [보안동향] 아직도 신분증 들고 다니세요? 폰만 있으면 본인인증 가능! 여러분은 모바일기기에서 사용자 인증 수단으로 어떤 것을 사용하시나요? 우리는 오랜 기간 PC에서 아이디와 패스워드로 사용자 인증을 진행해 왔습니다. 공인인증서(현 공동인증서)를 PC에 저장해서 사용했고, 그러다가 USB 저장기기에도 인증서를 저장해 사용할 수 있게 됐죠. USB를 통해 지문인식기기 등도 연결해서 사용해 왔습니다. 이후, 스마트폰의 등장과 확산은 PC에만 있던 인증 수단을 모바일에서도 사용할 수 있도록 만들었습니다. 모바일 기기에 인증서를 저장할 수 있게 됐고, 별도의 장치 없이 스마트폰만 있으면 언제든지 지문인식, 안면인식을 수행할 수 있게 됐습니다. 신분증도 마찬가지입니다. 그동안 주민등록증, 운전면허증 등의 신분증과 함께 회사 사원증도 플라스틱으로 만들어진 실물을 가지고 다녀야 했죠. 신원 확인이 필요하면 신분증을 꺼내서 눈으로 직접 인증받아야 했습니다. 그러나, 최근에는 이러한 신분증도 스마트폰으로 들어가기 시작했습니다. 이제는 두꺼운 지갑을 들고 다니지 않아도 스마트폰만 있으면 신분을 증명하는 것이 가능해졌는데요. 모바일에서도 신분증을 보관, 사용할 수 있게 해주는 기술이 바로 ‘DID 인증’ 기술입니다. DID(Decentralized Identity/Distributed Identity, 탈중앙화 신원 증명) 는 블록체인 기술 기반으로 구축한 신원 증명 서비스입니다. 지갑에서 주민등록증을 꺼내듯 블록체인 지갑에서 DID를 제출해 신원을 증명할 수 있죠. 기존 중앙집권화된 방식과 비교해 신원 확인 과정에서 개인이 자기 정보에 완전한 통제권을 행사하는 것이 특징인데요. 이를 분산 아이디 또는 탈중앙화 신원확인(신원 증명), 자기 주권 신원 증명(Self-Sovereign Identity)이라고도 합니다. LG CNS는 라온시큐어와 함께 DID 플랫폼을 기반으로 한 우리나라 최초 디지털 신분증인 ‘모바일 운전면허증’ 구축을 완료하고 발급 및 시범 운영을 시작했습니다. 블록체인 기술을 기반으로 기존 플라스틱 신분증의 문제점인 분실 위험과 위·변조를 해결하는 동시에 온오프라인에서 사용할 수 있는 시스템 구축에 힘을 쏟았는데요, 이를 통해 상대방이 필요로 하는 정보만 제공할 수 있도록 지원해 개인정보 유출을 방지할 수 있습니다. 실제로 차량을 빌릴 때는 운전 자격 정보만, 담배나 주류를 구매할 때는 생년월일만 노출이 가능합니다. LG CNS외에도 다양한 국내외 기업들이 DID 인증 서비스를 개발·운영 중입니다. 이번 글에서는 최근 DID 인증 동향에 대해서 살펴보겠습니다. DID 인증, 누가 주도하고 있을까요? 국내에서는 이미 기업, 금융권, 공공영역까지 DID 인증 시장을 선점하기 위해 다양한 업체들이 경쟁을 벌이고 있습니다. △아이콘루프가 주도하는 마이아이디(MyID), △블록체인 기술기업 코인플러그가 이끄는 마이키핀(MyKeepin)이 주도하고 나머지 통신사가 합류한 이니셜DID, △보안기업 라온시큐어가 중심인 DID얼라이언스 등이 DID를 주도하는 대표적인 그룹입니다. 정부에서도 모바일 공무원증을 시작으로 운전면허증, 장애인 복지카드 등으로 DID 적용을 확대하고 있습니다. 이렇게 DID 관련 업체, 얼라이언스들은 각자가 가진 기술을 발전시키고, 다양한 서비스를 꾸준히 시장에 내놓으면서 영향력을 확대하고 있습니다. 또한, 호환성과 상호운용성을 확보해야 한다는 사실을 잘 알고 있기 때문에 W3C(World Wide Web Consortium) DIF(2017년 설립된 국제표준기구로, 분산 신원확인 기술의 표준화와...
- 블로그 [보안동향] 성공적인 ‘컨테이너 플랫폼’ 운영을 위한 5가지 보안Tip! 과거 대부분의 기업용 애플리케이션은 하나의 거대한 서비스 형태(모놀리식 아키텍처, Monolithic Architecture)로 개발됐습니다. 모놀리식 아키텍처는 개발·관리가 용이하다는 장점이 있지만,시스템 규모가 커질수록 복잡도가 증가하는데요. 이에 따라 코드의 이해와 분석이 어려워지고 작은 수정사항에도 시스템 전체를 다시 개발(build)하고, 배포해야하는 비효율이 발생해 시스템의 개선과 확장이 어렵다는 단점이 존재합니다. 이러한 단점을 극복하기 위해 등장한 개념이 마이크로서비스 아키텍처(MSA, Microservices Architecture)입니다. 경량화되고 독립적인 여러 개의 서비스를 조합해 애플리케이션을 구현하는 방식인데요. 서비스마다 자체 데이터베이스를 가지고 동작하기 때문에 개발부터 빌드·배포까지 효율적으로 수행할 수 있습니다.기업 입장에서는 개발과 유지관리에 드는 시간과 비용을 줄일 수 있어 MSA로의 전환이 대세가 되고 있습니다. 국내업계는 MSA 도입과 전환에 대해 2013년부터 검토를 시작했습니다. 쿠팡, 배달의민족, 11번가 등 스타트업이 선도적으로 MSA를 채택했습니다. 트래픽 증가에 따라 데이터베이스, 서버를 증설해야하는 기존 모놀리식 구조의 한계를 극복하고 MSA로의 전환을 완료했는데요. 이들 기업은 MSA 이후 개발단계의 속도뿐만 아니라 주문 결제 서비스 대고객 응답 속도 개선이 이뤄졌다고 스스로 평가하고 있습니다. 오늘의 주제는 컨테이너의 보안위협과 대응방안인데 왜 마이크로서비스로 이야기를 시작했을까요? 마이크로서비스를 가장 잘 구현할 수 있는 형태의 플랫폼이 컨테이너 방식이기 때문입니다. 국내외 기업이 점차 더 많은 서비스를 MSA 방식으로 개발하는 흐름 속에서 이를 뒷받침하는 기반 기술로서 컨테이너 플랫폼 선택 또한 자연스럽게 증가하고 있습니다. 지금부터 도커(Docker), 쿠버네티스(Kubernetes)로 구체화된 컨테이너 플랫폼의 개념을 간략하게 소개하고, 컨테이너의 보안 위협과 대응 방안에 관해 살펴보겠습니다. 컨테이너, 도커, 쿠버네티스 서버가상화 기술은 하이퍼바이저(Hypervisro)를 활용한 가상머신에서 게스트운영체제(OS)없이 바이러니(Bin)/라이브러리(Lib)와 애플리케이션으로 구성된 컨테이너로 발전하고 있습니다. 기존의 가상머신(VM, Virtue Machine) 서버는 물리적인 서버 위에 하이퍼바이저,그 위에 각각의 게스트 OS가 설치된 VM을 구동하는 형태입니다. 가상머신은 하이퍼바이저에 의해 서버 내 CPU, 메모리, 디스크, 네트워크 등의 자원을 분할공유해 사용합니다. 컨테이너형 서버는 물리적인 서버 위에 서버운영체제(OS), 그 위에 도커 엔진 또는 컨테이너 런타임이 설치되며,그 위에 여러 개의 컨테이너가 동작하는 형태입니다. CPU, 메모리, 디스크, 네트워크와 같은 운영체제의 자원을 필요한 만큼 격리해 컨테이너에 할당하는 형태인데요. 여기서 컨테이너란 일종의 격리된 공간으로서, 별도의 게스트OS 없이 런타임과 바이너리, 데이터만으로 애플리케이션이 구동되는 환경을 가리킵니다. 서두에 언급한 마이크로서비스 아키텍처는, 이와 같은 컨테이너 방식의 플랫폼을 활용해 거대한 애플리케이션을 기능별로 쪼개고, 개별 컨테이너에 경량화된 단위 서비스를 배포합니다. 또한, 컨테이너별 변경 사항이 다른 서비스에 영향 미치지 않아서, 전체 서비스를 하면서도 독립적으로 구성할 수 있습니다. 도커는 리눅스 진영의 오픈소스 프로젝트로, 컨테이너 개념을 구체화한 도구입니다. 쿠버네티스는 엔터프라이즈 버전의 컨테이너 및 도커를 관리하는 도구입니다. 부연 설명하면, 실행 이미지를 컨테이너에 띄우고 실행하는 기술이 ‘도커’이고, 이러한 도커를 기반으로 복잡한 컨테이너들을 관리하는 서비스가 ‘쿠버네티스’입니다. 쿠버네티스는 △컨테이너의 생성과 소멸 △시작 및 중단 시점 제어 △스케줄링 △로드 밸런싱, △클러스터링 등 컨테이너로 애플리케이션을 구성하는 모든 과정을 관리하는 컨테이너의 오케스트레이션 도구입니다. 마스터(MASTER): 쿠버네티스 노드를 제어하는 머신. 모든 태스크 할당을 시작함 노드(NODE): 할당된 태스크를 요청대로 수행하는 시스템 포드(POD): 단일 노드에 배포된 하나 이상의 컨테이너 그룹. 포드에 있는 모든 컨테이너는 IP 주소,...
- 블로그 [보안동향] 안전한 소프트웨어 개발, 보안 취약점 점검이 답이다! 이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다. OWASP TOP 10 (2021) ‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다. 2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다. 2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이 이름과 범위가 변경되고, 그 외 일부 통합되며 순위 변동이 일어난 것이 눈에 띕니다. 1위를 차지한 ‘취약한 접근통제’와 함께, ‘암호화 오류’, ‘인젝션’ 항목이 웹 애플리케이션에서 가장 빈번하게 나타나는 취약점 1~3위를 차지했으며, ‘크로스 사이트 스크립팅’이 ‘인젝션’ 항목으로 통합됐습니다. 신규 추가됐으나 4위를 차지한 ‘안전하지 않은 설계’ 항목은 소프트웨어 개발 보안 생명주기(Secure Software Development Lifecycle)의 설계 단계에서 위협 모델링 없이 구현되거나 미흡하게 설계돼 발생하는 보안 취약점을 설명하고 있습니다. 다음으로 5위인 ‘잘못된 보안 구성’ 항목은 ‘XML 외부객체’ 항목이 통합됐고, 6위 ‘오래된 취약점이 있는 구성요소 사용’, 7위 ‘사용자 식별 및 인증 오류’, 9위 ‘보안로그 및 모니터링 오류’ 항목은 이름이 변경되며 취약점이 더 명확해지고 범위가 넓어졌습니다. 8위에 오른 신규 추가된 ‘소프트웨어와 데이터 무결성 오류’에는 ‘안전하지 않은 역직렬화’ 항목을 포함해 데이터 무결성 검증을 위한 올바른 전자서명 활용에 관한 내용도 설명하고 있습니다. 마지막으로 ‘서버측 요청 위조’ 항목이 10위에 올랐는데요. 앞서 살펴본 행정안전부의 소프트웨어 개발 보안 항목, [1. 입력데이터 검증 및 표현] 영역의 ’12. 서버사이드 요청 위조’와 동일한 것으로, 새롭게 순위에 오른 만큼 더욱 주의해야 할 취약점이 됐습니다. 소프트웨어 보안 약점과 OWASP TOP 10 (2021) 아래 표는 앞서 살펴본 소프트웨어 개발 보안 구현단계에서의 49개 보안 약점(이하 49개 보안 약점이라 함)과 OWASP TOP 10 (2021) 초안을 비교한 것입니다. OWASP TOP 10에서 설명하는 각 취약점 영역의 범위가 넓어 49개 보안 약점이 상당수 중복됐는데요. A09:2021 ‘보안로그 및 모니터링 오류’ 취약점의 경우 주로 테스트 및 운영 단계에서 서버 보안 설정 또는 주기적인 점검이 필요한 취약점을 설명한 것입니다. 이는 49개 보안 약점과 연결되지는 않았으나, 구현단계에서부터 개인정보 보호법 등 관련 법에 따라 접속기록 보관을 하는 등의 주의가 필요하므로, 역시 주요한 취약점입니다. 맺음말 최근 제로데이 공격, 웹사이트 해킹 등의 보안패치 발표 전에 소프트웨어에 내재된 보안취약점을 악용하는 사이버공격이 꾸준히 증가하고 있습니다. 안전한 정보시스템 구축을 위해 보안 담당자와 개발자 등은 이를 대비해 최신 보안 방안이 반영된 소프트웨어 개발 보안 가이드 및 OWASP TOP 10을 참고해 시큐어 코딩(Secure Coding)을 적용해야 합니다. 또한, 주기적인 취약점 점검 및 개선 활동을 수행해야 합니다. [참고] https://www.law.go.kr/행정규칙/행정기관및공공기관정보시스템구축·운영지침owasp.org/www-project-top-ten 글 | LG CNS 사이버시큐리티팀 조민아 책임
- 블로그 [보안동향] 변화하는 소프트웨어 보안, 최근 주요 취약점은? 기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 행정기관 및 공공기관 정보 시스템 구축 · 운영 지침과 소프트웨어 보안 약점 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운영 지침(이하 지침이라 함)은 전자정부법 제45조 제3항에 따라 행정기관 등의 장이 정보시스템을 구축 · 운영하면서 준수해야 할 기준, 표준 및 절차와 동법 제49조 제1항에 따른 상호운용성 기술평가에 관한 사항을 정한 것입니다. 정보시스템 사업 수행 시 프로젝트 관리 및 보안 준수에 있어 위 지침에 따라 수행하게 됩니다. 지침이 개정된 이유를 보면, 소프트웨어 보안성 강화 및 통합인증 공통 기반을 적용하도록 해 국민이 전자정부 서비스를 안전하고 편리하게 이용하고, 관련 법 · 제도 변경 사항 등을 반영하기 위함이라 설명돼 있습니다. 보안 관련된 내용만 살펴보면 아래와 같습니다. 보안성 강화 부분에서 국내외 최신 보안 약점을 반영해 소프트웨어 개발 보안 제도를 강화한다는 것을 알 수 있습니다. 또한, 지난 2020년 12월 전면 개정된 전자서명법을 반영해 공동인증서와 민간인증서 발급기관을 포함하는 ‘통합인증 공통 기반’ 적용이라는 내용이 추가된 것을 확인할 수 있습니다. 지침 제50조(소프트웨어 개발 보안 원칙)에 따라 정보시스템 사업 진행 시 개발자가 설계 및 구현 단계에서 반드시 개선 조치해야 할 소프트웨어 보안 약점 기준(지침 별표3)도 개정된 이유에 의해 변경됐습니다. 2019년 발령된 고시 대비 변경된 내용을 비교해 살펴보겠습니다. 구현단계 소프트웨어 개발 보안 항목은 총 47개에서 49개로 늘어났습니다. 신규 추가된 항목은 6개이며, 8개 항목이 통합돼 4개 항목으로 축소됐습니다. [1. 입력 데이터 검증 및 표현] 영역에서 신규 추가된 항목은 ‘2. 코드 삽입’, ‘8. 부적절한 XML 외부 개체 참조’, ‘12. 서버사이드 요청 위조’ 3개이며, ‘9. XML 삽입’은 기존의 ‘Xquery삽입’, ‘Xpath삽입’ 보안 약점이 통합된 것입니다. ‘2. 코드 삽입’ 보안 약점은 ‘1. SQL 삽입’, ‘3. 경로 조작 및 자원 삽입’, ‘5. 운영체제 명령어 삽입’ 등과 같은 삽입 취약점과 같은 개념으로 eval()과 같은 함수로 이루어진 코드(명령어)가 검증되지 않고 실행 가능할 때 발생할 수 있는 보안 약점입니다. ‘8. 부적절한 XML 외부 개체 참조’ 보안 약점은 OWASP TOP 10 (2017)에서도 발표됐던 항목으로 취약한 XML 파서가 외부 개체를 삽입한 XML을 검증 없이 그대로 처리하게 될 시 발생할 수 있는 보안 약점입니다. ’12. 서버사이드 요청 위조’ 보안 약점은 서버사이드에서 이루어지는 요청을 검증하지 않아 의도하지 않은 서버로 요청이 가게 되거나 요청이 변경될 수 있는 보안 약점입니다. 크로스사이트 요청 위조와 유사하지만, 클라이언트가 아닌 서버에 영향을 줘 파급력이 크며, OWASP TOP 10 (2021)에도 새롭게 순위를 차지했습니다. [2. 보안 기능] 영역에서 신규 추가된 항목은 ‘10. 부적절한 전자서명 확인’, ‘11. 부적절한 인증서 유효성 검증’ 2개인데요. 기존 ‘중요정보 평문저장’, ‘중요정보 평문전송’ 항목이 통합돼 ‘5. 암호화되지 않은 중요정보’ 항목이 됐고, 기존 ‘하드코드된 패스워드’, ‘하드코드된 암호화 키’ 항목이 통합되어 ‘6. 하드코드된 중요정보’ 항목이 됐습니다. ‘10. 부적절한 전자서명 확인’ 과 ‘11. 부적절한 인증서 유효성 검증’ 항목은 전자서명법 개정으로 간편인증과 같은 민간 인증사업자의 다양한 전자서명인증서비스가 활성화되며, 이에 따라 발생할 수 있는 위험을 줄이고자 추가된 항목으로 보입니다. 전자서명 및 인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안 약점입니다. [3. 시간 및 상태] 영역은 기존 소프트웨어 개발 보안 항목과 변동된 점이 없으며, [4. 에러처리] 영역의 ‘오류 메시지 정보 노출’ 항목이 기존 [6. 캡슐화] 영역의 ‘시스템 데이터 정보 노출’ 항목과 통합됐습니다. [5. 코드오류] 영역에서는 ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목이 새롭게 추가됐습니다. ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목은 직렬화된 데이터를 원래 객체(Object)로 복원할 때 적절한 검증 없이 수행해 발생하는 보안 약점으로, OWASP TOP 10 (2017)...
- 블로그 [보안동향] 안전한 공공 클라우드 전환, 고려해야 할 것은? 지난 글에서는 공공 클라우드의 도입 배경을 살펴보고, 공공 클라우드 센터와 민간 클라우드 센터를 비교해보았습니다. 이번 글에서는 공공 클라우드 지정 요건에 관해 알아보겠습니다. 3. 공공 클라우드 센터 지정 요건 공공클라우드센터로 지정받고자 하는 기관은 아래의 지정요건을 갖춰 행정안전부 장관에게 신청해야 합니다. 1) 공공 클라우드 지정 요건공공 클라우드 지정 요건은 총 12개 대항목과 82개 세부 항목으로 구성돼 있는데요. 클라우드 센터의 물리보안부터 정보보호 정책과 조직, 침해사고 및 장애 대응, 접근통제, 네트워크 보안, 가상화 보안, 데이터 보호 및 암호화 등을 체크하고 있습니다. 상세 내용은 ‘행정기관 및 공공기관 정보자원 통합기준’의 제5장 공공클라우드 센터 제14조 제2항을 별표1에서 확인하실 수 있습니다. 2) 클라우드 환경에서의 망 분리특히, 보안 관련 항목 중 가장 이슈가 되는 항목은 망 분리 관련 항목입니다. 망 분리의 한계 망 분리는 외부 공격을 차단하는 강력한 보안 환경으로, 국내 공공·금융기관에 의무화돼 있습니다.그러나 망 분리는 공격을 까다롭게 하지, 공격을 불가능하게 하지는 않습니다. 업무 관련 내용으로 위장한 악성 메일과 문서, 백신·샌드박스 분석을 우회하는 비 실행형 파일 악성코드 등은 인터넷망에서 업무망으로 얼마든지 이동할 수 있죠. 금융기관은 개인신용정보나 고유 식별정보 등 가장 민감한 정보를 처리하는 시스템의 경우에도 민간 클라우드를 이용하는 것이 가능합니다. 이에 따라 금융 부문에서 AI, 빅데이터 등을 활용한 혁신적인 서비스가 이루어질 수 있을 것으로 기대되는데요. 그러나 공공부문은 민간 클라우드를 이용할 수 있는 시스템이 제한돼 있습니다. 공공부문에서는 물리적 망 분리 요건이 예외 없이 요구되고 있습니다. 보안을 중시하는 공공부문의 특성상 어쩔 수 없지만, 보안이 중요하지 않은 모든 시스템까지 획일적으로 물리적 망 분리를 요구하는 것은 클라우드 환경에는 적합하지 않은 규제라는 생각이 듭니다. 변화하는 업무 환경 망 분리로 인해 재택근무, 클라우드 환경의 업무에 불편함이 늘어나는 데 비해, 진화하는 공격에 대응하는 효과는 낮아지고 있습니다. 공공·금융기관 임직원도 특정 부서·업무를 제외하고 전면 재택근무가 가능한데요. 그러나 외부에서 접속할 때 반드시 VPN을 사용해 업무망에 접속해야 하며, 재택근무용 PC는 VPN으로 업무망에 접속하지 않으면 인터넷 사용을 할 수 없습니다. VPN은 대규모 원격 사용자를 지원하기에 너무 큰 비용과 복잡한 관리 이슈가 발생합니다. 또한, VPN 접속 후 행위가 모니터링되지 않고, 사용자 PC에 침투한 악성코드가 VPN을 타고 업무망으로 잠입했을 때 탐지되지 않는다는 문제가 있죠. 이를 해결하기 위해 사용자 PC에 백신을 설치하고, 외부 파일은 샌드박스로 분석하지만, 백신과 샌드박스는 우회가 쉽다는 단점이 있습니다. 웹메일 등의 외부 서비스 이용을 엄금한다고 해도 보안을 장담하기는 힘든 것이 현실입니다. 인터넷을 연결하지 않은 상태에서도 가까운 거리에 있는 컴퓨터의 내용을 모니터링하는 해킹 기술이 일반화됐기 때문이죠. 이는 2014년 한국수력원자력에서 발생한 해킹이 대표적인 사례로 꼽히는데요. 당시 한수원은 물리적 망 분리 원칙을 지켰지만, 관리업체를 통한 해커의 침투에 무너졌습니다. 외부 인터넷망과 연결되지 않는 물리적 망 분리 방식으로 클라우드를 전환하다 보니 공공 데이터를 민간이 활용하기 어려워 경제적 활용성이 크게 떨어질 수 있다는 우려가 제기되고 있습니다. 한국규제학회 관계자는 “물리적 망 분리를 강제하면 기관 내부에서만 클라우드 서비스를 이용하겠다는 것”이라며 “국방·외교·수사 등 민감한 정보가 아닌 일반적 정보는 외부에서도 활용할 수 있도록 인프라를 개선해야 한다”고 말했습니다. 중요정보와 엄격히 분리되는 업무에 대해서는 단계적으로 망 분리 규제를 완화할 필요가 있습니다. 대체 기술의 등장 미국 국방부가 ‘클라우드 기반 인터넷 격리CBII)’ 기술을 도입하고 있다는 사실이 알려지면서 관련 업계가 주목하고 있습니다. 미 국방부 직원은 인터넷 접속 시 국방부 정보네트워크(DoDIN)를 이용해야 했는데요. 재택근무나 원격지에서 인터넷 접속 시 VPN으로 DoDIN으로 접속한 후 인터넷에 접속하게 됐습니다. VPN 과부하로 인한 성능 저하와 비용 증가가 야기되면서 안전한 인터넷 접속 방안으로 ‘웹 격리(Web Isolation)’ 기술을 검토하게 됐습니다. 코로나19로 재택근무자가 급증하면서 CBII은 빠르게 적용됐습니다. 격리 기술은 인터넷 HTML 소스를 안전한 다른 소스로 변경하는 렌더링 기술을 이용해 웹상의 알려진· 알려지지 않은 위협을 제거합니다. 사용자 경험을 전혀 해치지 않으면서 안전한 웹페이지를 로딩시키는 것이 이 기술의 완성도를 가르는 핵심 요소입니다. 이 프로젝트에 참여한 멘로시큐리티는 가장 완성도 높은 격리 기술을 제공하는 기업으로 인정받습니다. 고속 렌더링 기술을 이용해 사용자 경험을 유지하면서 웹 위협을 제거하죠. 멘로시큐리티는 SLA를 통해 자사 솔루션을 도입했다가 악성코드에 감염됐을 때 100만달러(약 12억 원)의 보상을 보장합니다. 4. 결론 공공 클라우드 전환의 목적은 크게 2가지입니다. 첫째는 공공 부문의 디지털 트랜스포메이션의 가속화, 둘째는 공공 부문의 클라우드 활용을 통한 민간 클라우드 시장 활성화입니다. 대용량 데이터를 수집/저장/가공해 AI, 빅데이터, 메타버스 등 타 서비스와 융합하기 위해서는 민간 클라우드 센터가 중요한 역할을 수행할 것으로 기대됩니다. 민간 클라우드 센터 사용에 대한 가장 큰 부담은 보안성과 안정성이지만, 클라우드 보안 인증제도 및 여러 가지 규제와 가이드라인을 통해서 많은 부분을 해소하고 있습니다. 또한, 클라우드 환경에 맞지 않는 레거시 규제는 입증된 새로운 기술로 대체해야 공공 클라우드 구축의 목적이 달성될 수 있습니다. [출처] 1. www.itbiznews.com2. www.etnews.com3. www.law.go.kr4. www.legaltimes.co.kr5. m.ddaily.co.kr6. www.digitaltoday.co.kr7. www.mk.co.kr8. isms.kisa.or.kr9. www.koit.co.kr10. www.gcsa.or.kr11. www.datanet.co.kr12. www.sedaily.com 글 ㅣ LG CNS Cloud Innovation팀 이겸기 책임
- 블로그 [보안동향] 공공 클라우드 보안 이슈 점검하고, DX 경쟁력을 높이세요! 1. 공공 클라우드 도입 배경 행정안전부는 7월 27일 ‘행정/행정안전부는 7월 27일 ‘행정/공공기관 정보자원 클라우드 전환/통합 추진계획’을 발표하고, 오는 2025년까지 중앙정부부처, 지자체 및 공공기관의 정보시스템 가운데 총 10,009개 시스템을 클라우드로 전환/통합하기로 했습니다. 이를 바탕으로 공공기관의 디지털 트랜스포메이션 경쟁력 강화와 국내 클라우드 산업의 발전에 촉매제 역할을 하겠다는 계획입니다. 공공기관 정보자원 클라우드 전환/ 이를 바탕으로 공공기관의 디지털 트랜스포메이션 경쟁력 강화와 국내 클라우드 산업의 발전에 촉매제 역할을 하겠다는 계획입니다. 또한, 공공 클라우드 센터 구축 사업에 민관협력형 클라우드 사업 모델 (클라우드 시스템 구축은 민간 사업자가 맡고 공공기관은 사용료를 지불하는 방식) 도입을 고려하고 있습니다. 민/관 협력형 공공 클라우드 센터는 민간기업의 비용으로 건립/구축하고, 행정/공공기관이나 지방자치단체가 전용 클라우드 데이터 센터처럼 활용할 수 있는 시설을 뜻하는데요. 이를 바탕으로 클라우드 보안 인증(CSAP)을 획득한 민간 클라우드 서비스가 증가하고 공공 부문의 이용이 확대될 전망입니다. 2. 공공 클라우드 센터 vs 민간 클라우드 센터 한편, 공공 클라우드 센터 이용 대상인 정보시스템의 수용을 위해 공공 클라우드 센터 지정 및 배치 방향도 공개됐습니다. 중앙부처의 시스템은 지난 3월 지정된 국가정보자원관리원 대전과 광주센터에, 공공기관의 시스템은 2022년 개소하는 국가정보자원관리원 대구센터에 클라우드 전환·통합을 우선 추진할 예정입니다. 지자체의 시스템은 자체 클라우드 센터 구축, 한국지역정보개발원 (KLID) 활용 또는 민관 협력을 통한 추진 등 지자체의 지역적 특성, 재정 여건 및 정보화 역량과 같은 제반 상황을 고려해 다양한 방식으로 클라우드 전환이 가능하도록 했습니다. 1) 모호한 공공 클라우드 센터 이용 기준 행정안전부의 계획은 국내 민간 클라우드 산업 활성화를 위해 공공부문의 선도적인 클라우드 활용을 높여 공공·민간 클라우드 센터로 전환 및 통합하는 것입니다. 자세히 들여다보면 국가안보, 수사·재판, 내부 업무 등 행정기관의 중요한 정보와 공공기관의 민감한 정보 처리를 위해서는 공공 클라우드 센터를 이용하겠다는 계획이죠. 문제는 내부 업무 및 공공기관의 민감한 정보를 어디까지 볼 것인지 명확한 기준이 없는 모호성으로 말미암아 행정 시스템 전반으로 해석할 공산이 크다는 점입니다. 이 경우, 기관 홈페이지와 같은 소규모 시스템에만 적용이 가능, 민간 클라우드가 들러리로 전락하는 결과를 낳을 수 있습니다. 2) 공공 클라우드 지정 요건의 중복과학기술정보통신부와 한국인터넷진흥원은 공공기관에 제공되는 민간 클라우드의 안전성과 신뢰성을 객관적으로 검증해 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력을 확보하기 위해 클라우드 보안인증제(CSAP)를 실시하고 있습니다. 공공 클라우드 센터로 지정받으려면 정보 자원의 통합 및 유지·관리, 사이버 침해에 대비한 보안관제·침해 대응을 포함해 전력·인적 보안·자산관리 등 82건의 지정 요건을 모두 만족해야 하는데요. 이는 CSAP 및 정보보호관리체계(ISMS) 인증과 거의 동일한 것으로, 이미 해당 인증을 모두 획득한 기업이 공공 기관에 클라우드 서비스를 제공할 수 없다는 건 납득하기 어려운 부분입니다. 3) 민간 클라우드 센터는 보안성이 떨어진다?클라우드 이전 시 보안은 가장 큰 우려 사항으로 꼽힙니다. 정보기술(IT) 환경이 복잡해질수록 위협 가시성이 떨어지고 정보 유출 가능성도 커지기 때문이죠. 특히, 공공 부문은 보안 우려로 인해 클라우드 이전을 주저하는 경우가 많습니다. 우리나라는 클라우드 이전 시 보안 우려를 해소하고 공공 클라우드 확산을 촉진하기 위해 지난해부터 클라우드 보안 인증(CSAP) 제도를 운용하고 있습니다. 한국인터넷진흥원(KISA)은 서비스형인프라(IaaS), 서비스형데스크톱(DaaS), 서비스형소프트웨어(SaaS) 등 클라우드 서비스를 대상으로 보안 평가·인증을 수행합니다. CSAP 인증은 14개 분야 117개 항목의 관리·물리·기술 보호조치와 공공기관용 추가 보호조치를 완료했다는 인증으로, 지난 2015년부터 시행된 제도입니다. 클라우드컴퓨팅 보안인증을 받으면 공공기관에 상용 클라우드컴퓨팅 서비스를 제공해 상급 기관과 국가정보원의 보안성 검토를 받을 때 관리적, 물리적, 기술적 보호조치 및 공공기관 추가 보호조치 사항 관련 보안성 검토가 생략됩니다. CSAP 인증이 전제조건으로 제시되는 이유는 민간 클라우드로 이전되는 공공 시스템에 대해 최소한의 안전장치를 마련하기 위해서입니다. 4) 국내 클라우드 산업 발전의 계기하지만, CSAP 인증이 우리나라의 독자 인증인 만큼, 글로벌 기업보다는 국내 클라우드 기업이 더 민첩하게 움직일 수 있는데요. 따라서, 국내 기업에 더 많은 기회가 있다고 볼 수 있습니다. 실제로 다수 기업이 CSAP 인증을 획득하면서 공공부문 클라우드 전환의 기회를 노리고 있습니다. 현재 공공 클라우드 센터 참여가 가능한 IaaS CSAP 인증을 획득한 기업은 가비아, 네이버 클라우드, 더존비즈온, 삼성SDS, 스마일서브, 카카오엔터프라이즈, KT, LG헬로비전, NHN 등 9개 사입니다. 글로벌 기업의 인증 참여는 아직은 없습니다. 5) 대세는 하이브리드 클라우드인데…미국, 유럽연합, 일본 등 해외 사례를 살펴봐도 공공 클라우드를 짓겠다는 발상을 가진 나라는 없습니다. 이는 클라우드 퍼스트 전략을 통해 민간 클라우드 기업을 적극 육성하고 있는 글로벌 트렌드와도 맞지 않는데요. 미국 정부는 민간 기술을 통한 정부 서비스 혁신을 위해 중앙정보국(CIA)과 국방부 프로젝트까지 모두 아마존웹서비스(AWS), 마이크로소프트(MS) 등 민간...
- 블로그 [보안동향] ‘니가 왜 거기서 나와?’ 블록체인 속 ‘영지식증명’ 알리바바의 동굴이라는 수수께끼 같은 이야기가 있습니다. 찰리와 스미스, 두 사람은 동굴 입구에서 만나서 동굴을 여는 주문을 공개하지 않은 채로, 동굴 안 비밀 문을 통과해서 다시 만나 주문을 알고 있다는 사실을 증명을 하는 이야기로, 장 자크 키스케다(Jean-Jacques Quisquater)의 논문, 「어린이들을 위한 영지식증명」에서 동굴의 비유를 들어 설명한 영지식증명에 관한 이야기입니다. 필자의 25년 전 기억 속에 오랫동안 묵혀 있던 이 이야기를 어느 날 우연히 블록체인 강의에서 듣게 되었습니다. “블록체인과 영지식증명? 왜?”, “니가 왜 여기서 나와!”, 유행가요의 제목과 같은 느낌으로 영지식증명을 새삼스레 흥미롭게 바라보게 되었습니다. 블록체인 채굴과정의 핵심인 누가 얼마의 새 화폐를 받을지 결정하는 합의 알고리즘의 활용 기술로 영지식증명이 재조명 받게 된 것이었습니다. 지금부터 작업증명(Proof of Work, PoW), 지분증명(Proof of Stake, PoS) 등의 블록체인 분산 네트워크가 합의를 얻는 방식(합의 알고리즘)과 블록체인 속 영지식증명 그리고 영지식증명과 관련한 앞으로의 과제에 대하여 간략하게 살펴보겠습니다. 블록체인 합의 알고리즘 블록체인의 합의 알고리즘이란 다수의 참여자들이 통일된 의사결정을 하기 위해 사용하는 알고리즘을 말합니다. 합의 모델, 합의 방식, 합의 메커니즘 또는 합의 프로토콜이라고도 합니다. 블록체인 분산 네트워크에서는 모든 참여자들이 동일한 데이터를 복사하여 분산 저장하기 때문에 원본과 사본의 구별이 없고, 통일된 의사결정을 내릴 수 있는 권위 있는 중앙(center)이 존재하지 않습니다. 이런 상황에서 합리적이고 효율적인 의사결정을 내릴 수 있는 다양한 합의 알고리즘이 개발되었습니다. 대표적인 합의 알고리즘인 작업증명 방식과 지분증명 방식을 살펴보겠습니다. 작업증명 기반 합의 알고리즘은 Satoshi Nakamoto의 논문 “Bitcoin: A Peer-to-Peer Electronic System’에 처음 소개된 메커니즘으로, 블록 생성을 하고자 하는 노드들이 특정한 해시값을 찾는 연산을 수행하여 특정한 난이도의 작업을 수행했음을 증명하는 것입니다. 채굴자들은 해시값을 찾기 위해 경쟁하고, 특정 채굴자가 목푯값에 해당하는 해시값을 찾는 데 성공하면 새로운 블록이 생성됩니다. 작업증명에서 ‘작업’이란 ‘채굴’에 이르기까지 연산 과정을 뜻합니다. 채굴자들은 컴퓨터로 복잡한 수식을 풀어 조건에 맞는 해시값을 찾는 과정을 반복하고, 이 경우 모든 노드들이 찾아낸 해시값을 검증하고 승인하는 과정을 거쳐 블록에 거래 내역을 저장합니다. 모든 노드들의 승인을 거쳐야 하기 때문에 거래 내역을 속이기가 힘들다는 장점이 있습니다. 이러한 점에서 작업증명(PoW) 합의 알고리즘은 블록체인이 가지는 탈중앙화라는 본질을 잘 살린 합의 방식입니다. 그러나 이런 과정 때문에 거래 처리 속도가 늦어진다는 한계가 있고, 채굴에 필요한 에너지 소비가 심한 단점을 가지고 있습니다. 이 때문에 일정 조건에 따라 블록 생성에 참여하는 노드들을 제한하는 지분증명(PoS) 방식이 등장했습니다. 작업증명 방식을 사용하는 디지털 자산에는 비트코인, 이더리움, 라이트코인, 비트코인캐시, 비트코인골드, 모네로, 지캐시, 시아코인, 불웍, 에이치닥 등이 있습니다. 지분증명(PoS) 방식은 해당 디지털 자산을 보유하고 있는 지분율에 비례하여 의사결정 권한을 주는 방식입니다. 채굴 과정이 필요 없는 지분증명은 의사 결정 권한을 디지털 자산 보유량에 비례하여 지급하는 방식이기 때문에 디지털 자산을 많이 보유하고 있는 노드일수록 블록 생성에 참여할 수 있는 기회가 더 많아집니다. 블록 생성에 따른 보상도 역시 디지털 자산 보유량에 비례합니다. 지분증명 방식은 모든 노드들의 승인을 거치지 않아도 되기 때문에, 작업증명 방식보다 처리 속도가 빠르고, 전력 소비를 줄일 수 있습니다. 그러나 이 방식은 많은 디지털 자산을 가지고 있을수록 더 많은 보상을 받는 구조이기 때문에, 탈중앙화와 평등을 추구하는 블록체인의 본질에서 벗어나 ‘부익부 빈익빈’을 초래한다는 논란을 불러오고 있습니다. 큐텀(QTUM), 피어코인(Peercoin) 등이 지분증명 방식을 사용하고 있고, 스트라티스(Stratis)는 작업증명 방식에서 지분증명 방식으로 변경하였습니다. 또한 이더리움 재단은 기존 합의 방식인 작업증명 방식을 지분증명 방식으로 전환하기 위한 ‘캐스퍼(Casper)’ 프로젝트를 진행하였고, 2020년 12월 ‘이더콘 한국 2020’을 통해 발표한 이더리움2.0 개발 로드맵에 따라 2022년에는 작업증명 방식을 벗어나 지분증명 방식으로 전환하게 될 예정입니다. 영지식 증명의 개념 영지식증명은 1985년 Shafi Goldwasser, Silvio Micali, Charles Rackoff의 논문 “The Knowledge Complexity of Interactive Proof-Systems”에서 처음 소개된 개념입니다. 현대 암호학에서는 영지식증명을 다자간의 비대면 통신 프로토콜에서 정보보호 기능을 제공하기 위해 적용하는 암호 프로토콜 중 매우 중요하고, 구현하기 까다로운 고급 암호 프로토콜의 한 종류로 취급하고 있습니다. 디지털 자산(암호화폐)에서 영지식증명이 처음 적용된 것은 2013년 존스홉킨스 대학교의 연구진들이 실행한 제로코인(ZeroCoin)이었습니다. 제로코인은 2014년 제로캐시(Zero Cash)라는 이름을 거쳐, 2016년 지캐시(Zcash)라는 이름으로 변경되었습니다. 서두에 잠시 소개했던 동굴의 비유를 들어 영지식증명의 개념을 좀 더 자세히 소개하겠습니다. 알리바바 동굴(Alibaba’s cave)의 비유는 영지식증명의 3가지 조건인 완전성, 건전성, 영지식성을 만족시킴과 동시에 영지식증명을 이해하기 쉬운 문제로 설명한 아주 좋은 사례입니다. 찰리(Charlie)는 증명자(prover)이고 스미스(Smith)는 검증자(verifier)라고 가정하겠습니다. 찰리와 스미스 모두 비밀 문이 있는 동굴 가까이에 있습니다. 둥근 고리 형태의 동굴에는 A와 B라는 길이 있으며 그사이에는 도어락이 설치된 비밀 문이 있습니다. 찰리는 스미스에게 비밀 문의 암호를 알고 있다고 말했습니다. 하지만 찰리는 스미스를 포함한 다른 누구에게도 그 암호를 밝히고 싶지 않습니다. 이에 대해 스미스는 믿을 수 없다며 찰리에게 암호를 알고 있음을 증명하라고 합니다. 즉, 검증자는 증명자에게 직접적으로 설치된 도어락의 비밀번호를 물어보지 않고 증명자가 비밀번호를 알고 있다는 명제가 참인지 확인하려 합니다. 이 조건문이 참인지를 확인하기 위해 다음 방법을 사용할 수 있습니다. 이 과정을 통해 찰리(증명자)는 스미스(검증자)에게 자신이 알고 있는 비밀번호를 알려주지 않고도 자신이 비밀번호를 알고 있음을 증명할 수 있습니다. ① 찰리(증명자)가 먼저 동굴에 들어간 다음, 도어락 근처로 이동한 후 스미스(검증자)를 동굴 안으로 부릅니다.② 스미스(검증자)는 A와 B의 갈림길에 서서 찰리(증명자)에게 특정 길로 나오라고 지시합니다.③ 찰리(증명자)는 검증자가 지시한 길로 나옵니다. 이 과정을 한 번만 보았을 때는 증명자가 비밀번호를 정말로 알고 있어서 검증자가 지시한 길로 나왔는지 확신하기 어렵습니다. 왜냐하면 찰리(증명자)가 우연히 올바른 길로 나왔을 수도 있기 때문입니다. 하지만 위 과정을 일정 횟수 이상 반복하여도 항상 찰리(증명자)가 스미스(검증자)의 지시대로 행동했다면 찰리(증명자)는 스미스(검증자)에게 자신이 비밀번호를 알고 있다는 사실을 납득시킬 수 있습니다. 예를 들어 위와 같이 20번만 반복해도, 찰리(증명자)가 비밀번호를 모르면서도 스미스(검증자)의 지시를 모두 따를 수 있는 확률은 100만분의 1 이하가 됩니다. 만약 이 과정을 40회 반복하게 되면, 우연히 비밀번호를 맞출 확률은 1조분의 1 이하가 됩니다. 1회가 아니라, 40회 이상의 반복을 통해 우연성을 제거하고, 검증 대상 명제를 확률적으로 참이라고 증명할 수 있게 됩니다....
- 블로그 [보안동향] 치밀하게 접근하는 ‘디도스’ 공격, 이렇게 대응하세요! 지난 글에서는 랜섬 디도스와 주요 디도스 공격 유형에 관해 살펴보았습니다. 이번 글에서는 디도스 공격에 어떻게 대응해야 하는지 함께 알아보도록 하겠습니다. 대응방안 디도스 공격에 대한 대응 방안으로는 자체 방어와 디도스 대응 서비스를 통한 방법이 있습니다. 첫째로, 자체 방어는 자체 디도스 방어 솔루션과 내부 보안 인력을 통해 대응하는 방법인데요. 내부 업무, 서비스에 대한 세밀한 분석을 통해서 최적화된 보안정책을 적용해 비정상적인 외부 트래픽에 대응할 수 있어야 합니다. 또한, 사전에 디도스 공격에 대응하기 위한...
- 블로그 [보안동향] 더 강력한 디도스가 나타났다! ‘랜섬 디도스’의 등장 이전에는 정치적, 사회적 목적으로 디도스(분산서비스 거부, DDoS) 공격이 발생했다면, 최근의 디도스 공격은 금전적 목적 달성을 위한 정밀하고, 규모가 큰 공격으로 변화하고 있습니다. 공격 대상도 기존에는 주로 정부, 방송사, 공기업 등이었으나, 최근엔 금융사, 서비스 플랫폼처럼 서비스 중단 시 금전적 손해나 사용자 피해가 큰 기업을 대상으로 이뤄지고 있습니다. 2020년 8월 뉴질랜드 증권거래소가 DDoS 공격으로 중단됐습니다. 국내 한 금융사는 지난해 8월 14일 스스로 ‘펜시베어’라 칭하는 그룹으로부터 이메일을 받았는데요. 자신들이 뉴질랜드 증권거래소(NZX)를 디도스 공격해 서버를...
- 블로그 [보안동향] 당신의 데이터가 인질이 된다! ‘랜섬웨어’는 무엇? 최근 해킹 트렌드는 시스템 파괴보다는 경제적 목적을 위한 공격이 늘어나고 있다는 것입니다. 이러한 공격의 대표적인 예가 바로 랜섬웨어인데요. 랜섬웨어는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성코드의 한 종류입니다. 시스템 접근에 암호화 조치로 제한을 걸어 복호화에 필요한 비용 지불을 강요하는 방식이죠. 최근에는 개인을 넘어서 기업을 공격대상으로 하며, 그 피해가 점점 늘어나고 있습니다. 오늘날 사이버공간에서 행해지는 표적공격 수단의 하나인 랜섬웨어는 언제부터 시작되었고, 어떤 진화를 거쳤을까요? 이번 글에서는 랜섬웨어의 역사와 진화에...
- 블로그 [보안동향] 현실에서도, 메타버스에서도 ‘꽉 잡아 보안’ 1. 메타버스! 너 어디서 왔니? 얼마 전, 마크 저커버그가 CEO로 있는 세계 최대 사회관계망서비스(SNS) 기업인 페이스북이 메타(Meta Platforms, Inc.)로 사명을 변경했습니다. 메타버스 육성을 신사업의 주요 목표로 본 것이 사명 변경의 주된 이유라고 하는데요. 가상 환경에서 사람들이 VR 헤드셋을 사용해 게임하고, 일하고, 소통할 수 있는 온라인 세계인 ‘메타버스’를 구축할 계획까지 발표했습니다. 2020년부터 발생한 코로나 19 팬데믹으로 인해 오프라인 활동에 많은 제약이 생기면서 사람들은 피로감을 느끼게 됐죠. 이에 오프라인 활동의 대체재로 오프라인과...