태그검색
찾고 싶은 것이 있나요?
보안tech에 대한 98개의 태그 검색결과가 있습니다.
- 블로그 [융합보안] 코로나가 쏘아 올린 ‘출입통제 보안 솔루션’ 불꽃! ‘출입통제’라고 하면 흔히들 직장인들이 출입 게이트 앞에서 사원증으로 출입하는 모습을 떠올립니다. 또는 영화나 드라마의 한 장면처럼 외부인 출입 통제 구역을 지문이나 홍채로 인증하는 모습도 생각날 것입니다. 출입통제 시스템은 업무의 특성과 필요에 따라 사람들의 불필요한 출입을 제한해 인명이나 재산 및 정보를 안전하게 보호할 목적으로 사용됩니다. 출입통제 시스템은 물리적인 카드(신분증)를 이용한 인증이 가장 보편적인데요. 최근에는 인증 기술의 발달로 지문, 홍채, 얼굴, 정맥 등 다양한 생체 기반 인증 수단을 이용한 출입통제 시스템으로 발전하고...
- 블로그 [RED팀] RFID 카드 보안 뚫리는데 단 10초, 그 해법은? RFID(Radio Frequency IDentification)는 사물인터넷(IoT) 다양한 분야와 방면으로 사용될 수 있는 차세대 핵심 기술로 전기장을 통해 상품이나 사물의 정보를 IC에 저장하고 식별합니다. RFID 카드는 기업, 교육, 관광, 레저, 주거 등의 다양한 산업 분야에서 적용되고 있는데요. 빌딩, 오피스텔 같은 건물 시스템에서는 스피드게이트, 통제구역, 신원 확인 식별용으로도 사용되고 있습니다. 많은 분야에서 적용되는 RFID 기술은 보안에 대한 이슈가 꾸준히 발생하고 있습니다. 해당 이슈들에 대해 보완을 하고 있긴 하지만, 대다수의 RFID 카드는 여전히 취약한 구조로 사용되고...
- 블로그 [보안동향] 정보보안의 첫 스텝, 정보자산 식별하기! 기업의 보안담당자가 정보보안을 위해 가장 먼저 해야 할 일은 자산과 보호해야 할 대상을 정의하는 것입니다. 그럼 정보자산은 어떻게 식별하고 관리해야 하는지 알아보겠습니다. 정보자산이란? 기업이 보유한 자산은 유형과 종류가 매우 다양합니다. 오늘날 기술의 발달로 경영환경이 정보화되면서 정보는 기업의 존립을 좌우할 수 있는 중요한 자산이 됐습니다. 정보자산은 일반적인 정보와 정보를 생성하거나 보관•처리하는 모든 설비를 포함하는데요. 정보자산은 정보 및 데이터, 하드웨어, 소프트웨어, 물리적 환경, 인적 자산 등으로 분류할 수 있습니다. 정보자산 관리 프로세스...
- 블로그 [RED팀] 해킹이 이렇게 쉬울 일? 오픈소스 정보만으로 뚫릴 수 있다고? ‘지피지기면 백전백승’이라는 말이 있습니다. 상대를 이기기 위해서는 정보 수집이 매우 중요한데요. 이와 마찬가지로 해킹의 첫 단계도 정보 수집입니다. 그렇다면 해커들은 해킹을 위한 정보를 어디서 수집할까요? 공격 타깃의 내부에 잠입해 필요한 정보들을 얻을까요? 아니면 그들만의 사이트가 있어 그 곳에 모인 정보를 수집하는 걸까요? 분명 해커들에게도 해킹을 하기 위한 정보를 수집할 필요가 있을 것입니다. 그들이 이용하는 정보는 의외로 누구나 수집할 수 있는 정보일 테고요. 공개된 출처에서 수집된 정보를 OSINT라고 합니다. OSINT란 ‘Open...
- 블로그 [보안동향] 금융의 판을 바꾸는 ‘마이데이터’, 개념부터 보안까지!! 2020년 6월, ‘마이데이터(MyData)’ 사업이 실증사업 선정을 시작으로 금융권 내에서 본격 시행됐습니다. 2020년 1월에 데이터 3법(개인정보보호법·신용정보법·정보통신망법) 개정안이 국회 본회의를 통과하면서 마이데이터사업 허가를 받은 기업이 개인신용정보를 통합·관리할 수 있게 된 것입니다. 2020년 하반기와 2021년 상반기에 마이데이터 사업자 허가를 신청한 많은 기업의 수를 보면 이 사업에 대한 높은 관심을 가늠할 수 있습니다. 2020년 10월에 금융위원회가 1차 마이데이터 사업자 예비허가 신청을 받은 결과 총 35곳의 기업이 참여했습니다. 국민·신한·우리·하나·농협 등 국내 5대 은행이 모두 참여했으며,...
- 블로그 [보안동향] AI ‘연합학습’, 경제성·보안성 두 마리 토끼잡다 스마트폰에서 학습하는 구글의 연합학습 이번 글에서 최근 구글에서 발표한 연합학습(Federated Learning)에 대해 알아보고 연합학습이 보안과 어떤 관련이 있는지 살펴보겠습니다. 구글은 연합학습을 ‘Collaborative Machine Learning without Centralized Training Data’로 정의하고 있습니다. 연합학습은 모든 데이터를 서버로 모아 인공지능(AI)을 학습하는 기존의 방식과는 다릅니다. 사용자의 스마트폰에서 데이터를 처리해 모델을 강화하고, 이 모델을 한곳에 모아 더 정교하게 만든 후 재배포하는 방식을 말합니다. 간단히 말하면 중앙 서버가 아닌 개별 스마트폰에서 학습하는 것입니다. 왜 이런 개념이 나왔을까요?...
- 블로그 [홍보] 클라우드 보안의 모든 것! 웨비나에서 속 시원히 알려드려요! “이미 보안 제품이 있는데 클라우드 보안까지 도입할 필요가 과연 있을까요?”“보안인력이 적은데 클라우드 보안 솔루션을 운영하는 데 어려움은 없을까요?” 클라우드를 도입한 기업들은 기존 IT 시스템의 인프라와 서비스 개발 및 운영 전반에 걸쳐 많은 변화가 따릅니다. 이 같은 IT 환경 변화에 따라 효율적인 서비스 운영에 대한 고민이 깊지만, 기존의 보안 방식으로 대응하기에는 분명 한계가 있습니다. 이에 대한 명쾌한 해답을 LG CNS가 4월 23일 올쇼TV 웨비나에서 모두 밝히겠습니다. 이번 웨비나에서 LG CNS의 보안 기술 역량이 집약된 클라우드 보안 필수 기술과 최신 보안...
- 블로그 [RED팀] 지피지기면 백전불태, API보안 이해로 개인정보 철통방어! 앱 중심의 세상 속에서 혁신의 기본 요소는 API(Application Programming Interface)입니다. API는 클라우드, IoT, 모바일 등 다양한 환경에서 널리 활용되고 있는데요. 특히 API를 통해 전달되는 개인식별정보, 신용정보 등의 민감한 데이터의 유출은 심각한 결과를 초래할 수 있습니다. API 보안이 점차 중요해짐에 따라 국제 웹보안 분야의 대표적인 비영리단체인 OWASP(국제 웹 보안 표준기구, The Open Web Application Security Project)는 2019년에 API 보안 Top 10을 발표했습니다. 이 발표는 특성에 맞는 취약점의 관리와 완화 정책이 필요하다고...
- 블로그 [RED팀] 역직렬화 취약점, 이렇게 하면 극복 가능! 최근 마이크로소프트가 익스체인지 서버(Exchange Server)에 알려지지 않은 네 가지 취약점에 대해 긴급 패치를 발표했습니다. 이번 패치에는 서버에서 시스템 권한으로 원격 코드를 실행할 수 있는 역직렬화(Deserialization) 취약점(CVE-2021-26857)이 포함됐는데요. 역직렬화는 국제적인 웹보안 분야의 비영리기구 ‘OWASP’가 발표한 ‘OWASP TOP 10’에도 올라 있는 취약점으로, 발생빈도와 위험도가 높은 것이 특징입니다. 역직렬화 취약점이란? 역직렬화 취약점을 이해하기 위해서는 먼저 직렬화가 무엇인지 알아야 합니다. 직렬화란 객체를 전송 가능한 형태로 변형하는 것을 의미하는데요. 역직렬화는 직렬화와 반대 개념으로, 직렬화된 데이터를...
- 블로그 [RED팀] 1억명 정보 유출! 미국은행도 뚫은 ‘SSRF’ 해킹 막으려면? 지난 2019년, 미국의 한 은행에서 고객정보가 대량으로 유출되는 사고가 발생했습니다. 방화벽 설정이 미흡했던 것을 이용해 ‘SSRF(Server Side Request Forgery)’ 공격을 시도한 것입니다. 이로 인해 1억 600만 명의 고객 정보가 해킹돼 유출됐습니다. 이 개인정보 중 일부가 인터넷에 공개되었으며, 이를 복구하기 위한 비용은 1,772억 원으로 추산되고 있습니다. 이런 엄청난 피해를 일으킨 SSRF에 대해서 알아보겠습니다. SSRF란? SSRF는 취약한 서버를 이용하여 공격자가 내부 서버에 원하는 요청을 보내도록 하는 방법입니다. 보통 공격자가 과도한 정보나 기능을...
- 블로그 [OT보안] 해킹 공격에 노출되었다면? ‘OT보안’으로 철통 방어 기차나 지하철의 운영 시스템, 도로 위 자동차를 통제하는 신호 체계, 가정에 공급되는 전기를 제어하는 전력 관리 시스템 등 우리가 일상 생활 속에서 이용하는 제품 및 서비스의 제조나 운영 과정의 측정, 결정, 수정 활동에는 OT(Operational Technology, 운영기술)이 꼭 필요합니다. 산업발전과 사회 관계망 강화에 따라 OT를 효율적이고 안전하게 관리할 수 있는 보안기술에 대한 중요도도 점점 높아지고 있죠. 다양한 기술들이 서로 네트워킹된 상태에서 보안에 문제가 생긴다는 건 여러 시스템에 영향을 주기 때문입니다. 2010년...
- 블로그 [보안동향] 문자 내용 수집은 불법? 개인정보 유의사항 대방출! 지난 편에는 ‘법률 속에 정의된 개인 식별 정보’에 대해 이야기했는데요. 오늘은 ‘데이터 활용 단계별 개인정보 취급 유의사항’에 대해 알아보겠습니다. ● 내 ‘습관’도 개인정보에 속할까? 데이터 활용 단계별 개인정보 취급 유의사항 기업은 데이터의 개인정보 여부 판단 이외에 데이터 활용의 모든 단계에서 개인정보 취급 주의사항을 숙지하는 것이 중요합니다. 이에 대해 살펴보겠습니다. 데이터를 활용하기까지 ‘수집 → 저장 → 분석 → 이용•제공 → 파기’의 총 다섯 단계를 거칩니다. 수집: 데이터 처리를 목적으로 다양한 경로를...