태그검색
찾고 싶은 것이 있나요?
사이버보안에 대한 15개의 태그 검색결과가 있습니다.
- 블로그 해킹 이상징후 미리 파악하자! 새로운 보안 위협에 대응하는 3가지 방법 2021년 미국의 대형 송유관 업체가 랜섬웨어(Ransomware, 사용자 PC를 인질로 삼는 보안 공격)에 감염돼 미 동부 에너지 공급체계의 45%를 마비시키는 국가적 피해가 발생했습니다. 2022년에는 유명 해커조직이 글로벌 IT 기업의 고객 정보를 유출해 세상을 시끄럽게 만들기도 했죠. 두 해킹 사고의 공통점은 해커가 임직원의 업무환경에서 해킹을 시도했다는 것인데요. 재택근무 확산으로 데스크톱 가상화(VDI, Virtual Desktop Infrastructure), 가상사설망(VPN, Virtual Private Network)을 통해 언제 어디서나 원격으로 업무환경에 접근할 수 있게 되면서 늘어난 공격 방식입니다. 금융, 서비스,...
- 블로그 해커와 헤어질 결심, 안전한 원격근무를 위한 보안 체크리스트! OA망 원격접속 보안 위협 글로벌 시장조사 기관 가트너(Gartner)에 따르면 코로나19 장기화로 인해 원격근무 비율이 41%나 증가했다고 합니다. 대한상공회의소 조사에서도 코로나19로 인해 원격근무를 시행한 기업이 이전 대비 4배 이상 증가한 것으로 나타났습니다. 이런 변화 속에서 보안 위협도 커지고 있습니다. 한국인터넷진흥원(KISA)이 발표한 ‘사이버 위협 동향 보고서’에 따르면 재택근무 시 사이버 위협 경험 사례에 대해 과반수(51.57%)가 해킹 및 악성 코드 감염 경험이 있거나 의심되는 정황이 있다고 응답했습니다. 원격근무는 업무 수행자가 기업 및 기관...
- 블로그 [보안동향] 이젠 선택이 아닌 필수! DX 필수템 ‘전자문서’ 3편 지난 글에서는 전자문서 관련 인증 및 평가 제도를 살펴봤습니다. 이번 글에서는 공인전자문서 인증을 위한 보안 대책 수립 전략을 알아보겠습니다. 공인전자문서 인증을 위한 보안 대책 수립 전략 전자문서 사업자 인증 취득을 위해 단순히 컴플라이언스 요건 충족을 넘어, 아래 예시 그림과 같이 다양한 보안 대책을 종합적인 관점에서 검토하는 프레임워크 형태의 보안 체계를 수립해야 합니다. 이는 사업자에 따라 제공하는 서비스 영역이 상이하므로 각 특성에 맞춘 도입 및 관리가 필요합니다. 또한 위 보안 프레임워크를...
- 블로그 [보안동향] 잊지 마세요! 개인정보 수집보다 중요한 ‘OO’ 1편 개인정보를 이용∙제공하기 위해 이를 수집하고 저장하는 시스템이 바로 ‘개인정보처리시스템’입니다. 개인정보는 수집/저장/이용/제공돼 파기에 이르기까지 일정한 라이프사이클을 따라 흐르게 되는데요. 정보주체의 동의를 받아서 개인정보를 안전하게 저장하고 이용하는 것도 중요하지만, 이에 못지않게 잘 파기하는 것 역시 중요합니다. 적법하게 수집한 정보라도 정보의 이용 기한이 만료되면 즉시 삭제해야 하죠. 개인정보는 관련 법령에 따라 필요시 분리보관의 대상이 되기도 합니다. 개인정보 파기 기능을 구현하지 않고 시스템을 운영하는 경우도 종종 있습니다. 개인정보 파기 기능이란 보유기간의 경과, 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체없이 개인정보를 파기하는 기능을 의미합니다. 오래된 시스템에서 그동안 개인정보를 삭제하지 않고 사용하는 경우나, 아직 삭제 주기가 도래하지 않았다는 이유로 새로운 시스템에 파기 기능을 구현하지 않고 운영해온 경우입니다. 하지만, 개인정보 파기 기능을 시스템으로 구현해 놓지 않으면, 삭제 주기가 도래한 후에 운영자가 해당 개인정보의 저장소를 확인하고 대상을 선별해 일일이 삭제 처리해야 합니다. 이때, 잘못된 판단으로 일부 개인정보가 파기에서 누락되는 일이 발생할 수도 있죠. 그러므로 시스템 설계부터 이를 고려해 구축하는 것이 바람직합니다. 개인정보의 보유기간과 같은 파기 정책이 없을 수도 있는데요. 파기해야 하는 정보를 잘 모르거나, 올바른 파기 방법을 모르는 경우에도 개인정보 파기에 어려움을 겪을 수 있습니다. 파기 대상이 되는 개인정보가 무엇인지부터 개인정보 분리보관에 대한 법적 근거와 함께 조치 방법까지, 개인정보 파기에 필요한 요소를 살펴보겠습니다. 1. 파기 대상 개인정보 개인정보처리시스템에서 수집∙저장∙이용하는 개인정보는 주로 서비스를 이용하기 위해 가입한 회원이나 외부 고객의 정보입니다. 하지만 그 외에도 내부 시스템에서 업무를 처리하기 위해 등록된 사용자로 관리자, 운영자, 협력업체 또는 외부 거래처 담당자의 개인정보가 포함될 수 있는데요. 빠뜨리기 쉬운 개인정보가 바로 이런 정보입니다. 개인정보의 유형으로는 사번(시스템 키), 성명 외에 이메일, 전화번호와 같은 연락처가 있습니다. 개인정보는 시스템에 저장된 정보 외에도 수집경로에 따라 종이 문서, 우편, 전자메일, 팩스, 전자문서, 통화 녹음 파일, 사진이나 영상 파일 등 다양한 형식으로 존재할 수 있습니다. 이렇게 데이터베이스에 저장된 데이터뿐만 아니라 각종 매체에 존재하는 개인정보도 파기 대상이 되는데요. 파기할 때는 복구 불가능한 방법으로 파기해야 한다는 점을 기억해야 합니다. 저장 매체에 따른 올바른 삭제 방법에 대해서 알아보겠습니다. 2. 개인정보 파기 관련 법령 위에서 살펴본 바와 같이 개인정보를 다루는 시스템이라면 개인정보 수집 목적 달성 또는 보유기간 종료에 따라 개인정보를 파기해야 합니다. 이에 대한 법적 근거는 아래와 같습니다. 정보통신서비스를 제공하는 시스템이라면 추가로 적용해야 할 특례조항도 있습니다. – 개인정보보호법 제21조(개인정보의 파기) – 개인정보보호법 제39조의7(이용자의 권리 등에 대한 특례) – 시행령 제16조(개인정보의 파기방법) – 개인정보의 안전성 확보조치 기준 고시 제13조(개인정보의 파기) – 개인정보보호법 제39조의6(개인정보의 파기에 대한 특례) – 개인정보보호법 시행령 제48조의5(개인정보의 파기 등에 관한 특례) 3. 개인정보의 파기 시점 개인정보 파기에 관련된 아래 조항에서 1항을 보면, 개인정보를 파기해야 하는 시점을 알 수 있습니다. 개인정보 수집 동의 시 명시한 보유기간이 경과됐거나 이용목적의 달성으로 해당 개인정보가 불필요하게 되면 이를 지체없이 파기해야 합니다. 임직원의 퇴사, 이벤트 종료, 숙박 예약 후 체크아웃과 같이 이용목적이 달성된 경우가 그 예시입니다. 또한, 생체정보(얼굴, 지문 등) 추출을 위한 영상정보는 특징점 도출 이후 원본 데이터를 삭제해야 합니다. 보유기간이 정해지지 않은 경우가 바로 삭제 정책이 미흡해 파기할 수 없는 경우인데요. 그렇기 때문에 반드시 해당 정보가 필요한 기간을 정해 정보주체에게 수집동의 받을 때 이를 명시한 후 홈페이지의 개인정보처리방침에도 게시해야 합니다. 이후 보유기간이 지났는지 확인하면서 주기적으로 개인정보를 파기해야 합니다. 또한, 개인정보보호법 제36조, 제37에 의거해 정보 주체가 개인정보의 삭제나 처리정지 등을 요구했을 때에도 지체없이 파기해야 합니다. 개인정보보호법 제39조의7에 의하면 정보통신서비스 이용자가 개인정보 제공에 대한 동의 철회 시에도 이와 마찬가지입니다. 4. 개인정보 삭제 주기에 따른 삭제 프로그램 운영 개인정보의 파기 시점이 도래하거나 정보주체가 개인정보 삭제를 요구하면 파기는 ‘지체없이’...
- 블로그 사이버 보안의 대세는 ‘Zero Trust’, 7가지 기본 원칙을 살펴보자! 제로 트러스트(Zero Trust)를 구현하는 기본적인 내용은 단순합니다. 사용자는 정책결정포인트(Policy Decision Point, PDP)에서 인증한 ID와 연관된 여러 가지 상황에 따라, 정책집행포인트(policy Enforcement Point, PEP)가 부여한 최소한의 권한으로 자원에 접근합니다. 또한, 권한을 부여한 이후에도 ID와 컨텍스트(Context)를 지속해서 검증해 접근을 허용하거나 차단하는 형태로 구현합니다. 미국 국립표준기술연구소(NIST)는 2020년 ZTA(Zero Trust Architecture)를 실현하기 위한 기본 원칙을 7가지로 정리해 발표했습니다. 원칙은 이상적인 목표이지만, 모든 원칙이 Zero Trust에 순수하게 반영될 수 없다는 걸 인정해야 한다는 전제에 기초하는데요. NIST는 아래 7 가지 원칙을 기술 불가지론적(초경험적인 것의 존재나 본질은 인식 불가능하다고 하는 입장)자세로 시도할 것을 권장합니다. 기술 도입만으로 Zero Trust를 실현할 수 없다는 얘기입니다. 물론 특정 문제를 해결하기에 가장 좋은 도구가 존재할 수는 있습니다. 도구의 성능도 차이가 날 수 있죠. 단지, 도구의 가변성이라는 특성이 바뀌는 건 아니기 때문에 정책 개선과 시행의 사이클이 초세분화(Micro Segmentation)가 돼야 한다는 겁니다. 그렇다면 NIST가 발표한 Zero Trust 실현을 위한 7가지 원칙을 살펴보겠습니다. 1. Resources : 모든 데이터, 컴퓨팅 서비스는 자원으로, 보호 대상이다.2. Communication : 모든 통신은 내부망/외부망에 관계없이 동일한 보안 요구를 충족해야 한다.3. Per-session Access : 개별 엔터프라이즈 리소스에 대한 접근은 세션 별로 검증해 부여한다.4. Dynamic Policy : 액세스는 클라이언트 ID, 애플리케이션/서비스 및 요청 자산의 동적 정책에 따라 결정되며, 모든 단말기에 설치된 소프트웨어 버전, 네트워크 위치, 요청 시간 및 날짜, 이전에 관찰한 행동처럼 상세한 정보에 기반을 두어야 한다. 5. Monitoring : 기업은 모든 소유 자산 및 관련 자산의 무결성과 보안 상태를 계속 모니터링하고, 측정한다.6. Authentication and Authorization : 모든 인증 및 권한 승인은 동적이며, 액세스를 허용하기 전 철저하게 적용한다.7. Continuous Improvement : 기업은 자산, 네트워크 인프라, 현재 통신 상태에 대한 가능한 많은 정보를 수집하고, 활용해 꾸준히 보안 상태를 개선한다. Zero Trust의 주요 보안 요건을 기반으로 주요 CSP(Cloud Service Provider) 와 보안업체들은 저마다 Zero Trust 솔루션을 소개하고 있습니다. 그러나, NIST가 언급했듯 위 7가지 요건을 모두 만족시키는 솔루션은 존재하지 않는데요. 이에 업체별로 기존 보안 역량을 기반으로 한 인증, 접근통제, 가시성 확보를 주요 요건으로 Zero Trust 솔루션을 제공하고 있습니다. 마이크로소프트, Azure Active Directory 마이크로소프트는 Zero Trust 원칙으로 ‘명확한 검증’, ‘최소한의 권한 액세스’, ‘침해 가정’ 3가지를 정하고 이에 따라 Azure Active Directory를 구축해 Zero Trust를 실현하고자 했습니다. 마이크로소프트는 Azure Active Directory를 통해 기업용 ID를 기반으로 사용자 인증을 진행하고, 기업 사용자가 싱글 사인 온(Single Sign On, SSO)을 통해 기업 ID로 클라우드에 접속할 수 있게 했습니다. 싱글 사인 온이란 가장 기본적인 인증 시스템으로, 모든 인증을 하나의 시스템에서 이용할 수 있도록 개발된 시스템을 의미합니다. 이와 동시에 멀티 팩터 인증(Multi-Factor Authentication, MFA)을 통해 보안 키, 지문, 얼굴 등을 함께 인증해 Zero Trust 보안성을 높이는 방식을 적용했습니다. 마이크로소프트가 Azure Active Directory를 통해 실현하고자 한 Zero Trust를 살펴보겠습니다. • 모든 액세스 요청은 보안을 위반하며, 내부/외부 접근 구분 없이 개방형 네트워크에서 발생했다고 가정함• 요청의 시작 위치나 액세스하는 리소스와는 무관하게 무조건 신뢰하지 않고 항상 확인함•모든 액세스 요청은 액세스 권한을 부여하기 전에 완전히 인증, 승인 및 암호화가 되며 측면이동을 최소화하기 위해...
- 블로그 아무것도 신뢰하지 않는 보안 전략, ‘Zero Trust’ 제로트러스트(Zero Trust)는 ‘아무것도 신뢰하지 않는다’는 것을 기본 전제로 삼는 보안 개념입니다. 2010년, 세계 3대 리서치 기업 중 하나인 포레스터 리서치의 분석가 존 킨더백(John Kindervag)이 기업 내 보안 및 액세스 컨트롤을 설명하기 위해 사용하면서 주목받기 시작했죠. 전통적인 보안 시스템은 액세스 지점에서 신뢰하는 사용자나 단말기를 (내부 네트워크) 인식해 권한을 확인합니다. 반면, Zero Trust는 신뢰하는 내부자나 단말기의 여부와 상관없이 철저하게 검증하고 권한을 부여한 뒤에도 접근 범위를 최소화합니다. Zero Trust는 한동안 추상적이고 신선하지 않은 개념으로 여겨졌습니다. Zero Trust 실현에 필요한 시스템 중 하나인 싱글 사인 온(Single Sign On, SSO)은 90년대에 개발된 기술로, 단 한 번 로그인해 여러 서비스에 액세스 할 수 있게 합니다.새로운 영역에 있는 기술이 아니기 때문에 이미 SSO를 도입한 조직 입장에서 Zero Trust라는 개념은 신선하지 않게 느껴질 수밖에 없었죠. 그러나 Zero Trust 개념을 준수하려면 보안 체계를 새롭게 설계하거나 재구축해야 할 가능성이 높습니다. 기존 사용자와 단말기에 대한 신뢰를 바탕으로한 보안 아키텍처에서 아무것도 신뢰하지 않는 구조로 넘어가기 위해서는 새로운 사고방식과 도구, 방법론이 고려돼야 하기 때문이죠. 하지만, 당장 큰 문제가 발생하지 않는 상황에서 새로운 보안 아키텍처를 고민하는 것은 쉽지 않은 일이었습니다. 이런 인식은 코로나19 팬데믹 이후 급속도로 바뀌었습니다. 실제로 심각한 보안 문제가 발생했으며, 이러한 보안 문제가 더 이상 먼 이야기가 아니라는 위기감이 조성되었기 때문입니다. 이번 글에서는 주요 사례를 통해 Zero Trust가 해법이 된 이유와 Zero Trust의 전망에 대해서 살펴보겠습니다. 코카콜라의 영업비밀 도난 지난 2018년, 중국계 과학자 샤논 유(Shannon You)는 약 1억 2,000만 달러 가치의 영업 비밀을 훔친 혐의로 코카콜라 컴퍼니로부터 미국 법무부에 고발됐습니다....
- 홍보센터 온 세상 DX신기술 여기 다 모인다, LG CNS 부산 스마트시티💡
- 블로그 [보안동향] 놓칠 수 없는 ESG 트렌드, ‘정보보안’을 잡아라! 2019년 8월, 애플과 아마존 등 미국을 대표하는 180여 개 기업의 CEO를 대변하는 비즈니스 라운드 테이블(BRT)은 ‘기업의 목적에 대한 성명’을 발표했습니다. 이를 통해 기업의 주주뿐만 아니라 근로자와 고객, 사회 등 기업의 다른 이해관계자에 대한 사회적 책임을 이행하겠다는 의지를 내보였죠. 최근 몇 년 사이 기업에 대한 사회적 책임에 대한 목소리가 커지면서, ESG(Environment, Social and Governance) 경영을 도입하고 있는 기업이 점차 늘고 있습니다. 자본주의가 시작된 이후 기업의 목적은 이윤 추구로 여겨졌는데요. 기후 위기와...
- 블로그 2022년 가트너가 주목한 IT 전략 기술 트렌드, 지금 바로 확인! 2편 지난 콘텐츠에서는 가트너가 발표한 2022년 IT 전략 기술 트렌드 1~6까지 소개해드렸습니다. 이번 콘텐츠에서는 2022 IT 전략 기술 트렌드 7~12를 알아보겠습니다. 7. 하이퍼오토메이션 (Hyperautomation) 하이퍼오토메이션(Hyperautomation) 즉, 하이퍼자동화는 가능한 한 많은 비즈니스 및 IT 프로세스를 신속하게 판별, 조사, 자동화하기 위한 비즈니스 기반 접근법으로, 가장 최적화된 경로를 제안할 수 있는 기술입니다. 이를 달성하기 위해서는 작업 품질 개선, 비즈니스 프로세스 속도 가속화 및 의사결정의 민첩성 등의 영역에 집중해야 한다고 밝혔습니다. 가트너 연구 결과에 따르면...
- 블로그 2022년 가트너가 주목한 IT 전략 기술 트렌드, 지금 바로 확인! 1편 IT분야의 연구와 자문을 담당하고 있는 미국 시장조사 기업 ‘가트너(Gartner)’는 매년 비즈니스에 중요한 기술 전략들을 발표해왔습니다. 많은 기업과 정부들이 가트너가 발표한 전략 기술 트렌드를 참고하고 있죠. 가트너는 올해도 향후 3~5년 동안 디지털 비즈니스와 혁신의 원동력이 될 것으로 예상되는 2022년 디지털 기술 트렌드를 발표했습니다. 신뢰 구축(Engineering Trust), 변화 형성(Sculpting Change), 성장 가속(Accelerating Growth)이라는 세 가지 주제 아래 12가지 트렌드를 제시했죠. 지금부터 2022년 전략 기술 트렌드 TOP 12를 통해 올해 어떤 IT기술 트렌드가...
- 블로그 [보안동향] 일상 속에 스며든 ‘블록체인’, 안전하게 도입하려면? 2편 지난 콘텐츠에서는 블록체인 기술의 보안 이슈와 블록체인 도입에 있어 사이버 보안의 역할에 대해 알아보았습니다. 이번 글에서는 중요한 보안 권장 사항과 함께 안전한 블록체인 도입을 위한 10단계 프로세스를 소개하겠습니다. 4. 블록체인의 안전한 도입 10단계 프로세스 블록체인 기술이 실제 비즈니스 니즈를 해결하는데 합당한 솔루션이라는 긍정적인 비즈니스 평가가 이루어지면, 조직은 보안 고려사항을 포함한 주요 성공 요소에 주의를 기울여야 합니다. 성공적인 보안 사례로 이끄는 10단계의 안전한 도입 가이드를 살펴보겠습니다. 1 단계: 블록체인 보안 전문가...
-
블로그 [보안동향] 일상 속에 스며든 ‘블록체인’,
안전하게 도입하려면? 1편 ‘블록체인(혹은 분산원장기술)’이라는 용어는 이제 ICT(Information and Communication Technology, 정보통신기술) 분야에서 일상적인 단어가 됐습니다. 많은 전문가가 블록체인 기술을 더욱 발전시키며, 다양한 사업 분야에서 블록체인 기술을 적용하기 위해 다각적인 방법을 모색하고 있죠. 미래의 산업 분야에서 블록체인 기술이 발전하기 위해서는 안전성과 신뢰성을 보장하는 것이 매우 중요하다고 생각되는데요. 적절한 보안 방안이 이러한 안전성과 신뢰성을 보장한다고 판단됩니다. 하지만, 블록체인 기술의 보안성에 대한 과도한 기대치가 안전성 및 신뢰성에 대한 부정적인 영향으로 이어졌습니다. 사람들은 블록체인 기술이 암호화...