태그검색
찾고 싶은 것이 있나요?
사이버시큐리티에 대한 22개의 태그 검색결과가 있습니다.
- 블로그 [보안동향] 변화하는 소프트웨어 보안, 최근 주요 취약점은? 기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 행정기관 및 공공기관 정보 시스템 구축 · 운영 지침과 소프트웨어 보안 약점 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운영 지침(이하 지침이라 함)은 전자정부법 제45조 제3항에 따라 행정기관 등의 장이 정보시스템을 구축 · 운영하면서 준수해야 할 기준, 표준 및 절차와 동법 제49조 제1항에 따른 상호운용성 기술평가에 관한 사항을 정한 것입니다. 정보시스템 사업 수행 시 프로젝트 관리 및 보안 준수에 있어 위 지침에 따라 수행하게 됩니다. 지침이 개정된 이유를 보면, 소프트웨어 보안성 강화 및 통합인증 공통 기반을 적용하도록 해 국민이 전자정부 서비스를 안전하고 편리하게 이용하고, 관련 법 · 제도 변경 사항 등을 반영하기 위함이라 설명돼 있습니다. 보안 관련된 내용만 살펴보면 아래와 같습니다. 보안성 강화 부분에서 국내외 최신 보안 약점을 반영해 소프트웨어 개발 보안 제도를 강화한다는 것을 알 수 있습니다. 또한, 지난 2020년 12월 전면 개정된 전자서명법을 반영해 공동인증서와 민간인증서 발급기관을 포함하는 ‘통합인증 공통 기반’ 적용이라는 내용이 추가된 것을 확인할 수 있습니다. 지침 제50조(소프트웨어 개발 보안 원칙)에 따라 정보시스템 사업 진행 시 개발자가 설계 및 구현 단계에서 반드시 개선 조치해야 할 소프트웨어 보안 약점 기준(지침 별표3)도 개정된 이유에 의해 변경됐습니다. 2019년 발령된 고시 대비 변경된 내용을 비교해 살펴보겠습니다. 구현단계 소프트웨어 개발 보안 항목은 총 47개에서 49개로 늘어났습니다. 신규 추가된 항목은 6개이며, 8개 항목이 통합돼 4개 항목으로 축소됐습니다. [1. 입력 데이터 검증 및 표현] 영역에서 신규 추가된 항목은 ‘2. 코드 삽입’, ‘8. 부적절한 XML 외부 개체 참조’, ‘12. 서버사이드 요청 위조’ 3개이며, ‘9. XML 삽입’은 기존의 ‘Xquery삽입’, ‘Xpath삽입’ 보안 약점이 통합된 것입니다. ‘2. 코드 삽입’ 보안 약점은 ‘1. SQL 삽입’, ‘3. 경로 조작 및 자원 삽입’, ‘5. 운영체제 명령어 삽입’ 등과 같은 삽입 취약점과 같은 개념으로 eval()과 같은 함수로 이루어진 코드(명령어)가 검증되지 않고 실행 가능할 때 발생할 수 있는 보안 약점입니다. ‘8. 부적절한 XML 외부 개체 참조’ 보안 약점은 OWASP TOP 10 (2017)에서도 발표됐던 항목으로 취약한 XML 파서가 외부 개체를 삽입한 XML을 검증 없이 그대로 처리하게 될 시 발생할 수 있는 보안 약점입니다. ’12. 서버사이드 요청 위조’ 보안 약점은 서버사이드에서 이루어지는 요청을 검증하지 않아 의도하지 않은 서버로 요청이 가게 되거나 요청이 변경될 수 있는 보안 약점입니다. 크로스사이트 요청 위조와 유사하지만, 클라이언트가 아닌 서버에 영향을 줘 파급력이 크며, OWASP TOP 10 (2021)에도 새롭게 순위를 차지했습니다. [2. 보안 기능] 영역에서 신규 추가된 항목은 ‘10. 부적절한 전자서명 확인’, ‘11. 부적절한 인증서 유효성 검증’ 2개인데요. 기존 ‘중요정보 평문저장’, ‘중요정보 평문전송’ 항목이 통합돼 ‘5. 암호화되지 않은 중요정보’ 항목이 됐고, 기존 ‘하드코드된 패스워드’, ‘하드코드된 암호화 키’ 항목이 통합되어 ‘6. 하드코드된 중요정보’ 항목이 됐습니다. ‘10. 부적절한 전자서명 확인’ 과 ‘11. 부적절한 인증서 유효성 검증’ 항목은 전자서명법 개정으로 간편인증과 같은 민간 인증사업자의 다양한 전자서명인증서비스가 활성화되며, 이에 따라 발생할 수 있는 위험을 줄이고자 추가된 항목으로 보입니다. 전자서명 및 인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안 약점입니다. [3. 시간 및 상태] 영역은 기존 소프트웨어 개발 보안 항목과 변동된 점이 없으며, [4. 에러처리] 영역의 ‘오류 메시지 정보 노출’ 항목이 기존 [6. 캡슐화] 영역의 ‘시스템 데이터 정보 노출’ 항목과 통합됐습니다. [5. 코드오류] 영역에서는 ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목이 새롭게 추가됐습니다. ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목은 직렬화된 데이터를 원래 객체(Object)로 복원할 때 적절한 검증 없이 수행해 발생하는 보안 약점으로, OWASP TOP 10 (2017)...
- 블로그 [보안동향] 현실에서도, 메타버스에서도 ‘꽉 잡아 보안’ 1. 메타버스! 너 어디서 왔니? 얼마 전, 마크 저커버그가 CEO로 있는 세계 최대 사회관계망서비스(SNS) 기업인 페이스북이 메타(Meta Platforms, Inc.)로 사명을 변경했습니다. 메타버스 육성을 신사업의 주요 목표로 본 것이 사명 변경의 주된 이유라고 하는데요. 가상 환경에서 사람들이 VR 헤드셋을 사용해 게임하고, 일하고, 소통할 수 있는 온라인 세계인 ‘메타버스’를 구축할 계획까지 발표했습니다. 2020년부터 발생한 코로나 19 팬데믹으로 인해 오프라인 활동에 많은 제약이 생기면서 사람들은 피로감을 느끼게 됐죠. 이에 오프라인 활동의 대체재로 오프라인과...
- 블로그 [OT보안] 스마트팩토리 보안 사고, DCS 보안으로 잡으세요! 지난 글에서는 OT 시스템의 종류와 FA 환경 취약점 분석에 관해 알아보았습니다. 이번 글에서는 DCS 환경의 영역별 보안 방안과 DCS 보안 대책 및 사례, 그리고 DCS 보안 관리 절차를 살펴보겠습니다. *DCS : Distributed Control System, 분산 제어 시스템 DSC 환경의 영역별 보안 방법 DCS 환경의 영역별 보안 방안에 관해 알아보겠습니다. 먼저, 설비전용망의 DCS 설비 및 장비를 바이러스 및 악성코드로부터 보호하기 위해서 FA 망 밑단에 설비전용망을 통해 DCS 방화벽을 구성합니다. 그리고 설비용...
- 블로그 [보안동향] 순식간에 개인정보 유출! 피해사례 미리 알고 대비하자! 2편 지난 콘텐츠에서는 관리자의 실수로 인한 개인정보 유출 사례와 파일 업로드 시 개인정보 유출을 예방하는 방법에 관해 알아보았습니다. 이번 글에서는 외부 해킹에 의한 개인정보 유출 사례와 내부자에 의한 유출 사례를 살펴보겠습니다. 두 번째 사례 : 외부로부터 해킹에 의한 개인 정보 유출 얼마 전, 유명 브랜드의 홈페이지 고객의 개인정보가 보관돼 있던 데이터베이스에 외부 해킹 공격이 발생해 고객정보가 일부 유출된 사건이 있었습니다. 이와 비슷한 사례로 대학병원의 홈페이지 해킹으로 인해 환자정보가 대량으로 유출된 사건도...
- 블로그 [보안동향] 순식간에 개인정보 유출! 피해사례 미리 알고 대비하자! 1편 최근 개인정보 관리 부실로 인한 사건 사고가 국내에 끊이지 않고 있습니다. 온라인 상품 판매 시스템과 같은 B2C 시스템의 사용자 데이터베이스 해킹은 물론, SNS 고객의 개인정보가 유출되는 등 사고가 이어지고 있는데요. 개인정보 유출 방식이 다양해지면서 사건의 규모 또한 점차 커지고 있습니다. 개인 정보를 활용한 빅데이터의 가치가 높아지면서 이용자 동의 없이 개인 정보가 무단 유출되는 일이 갈수록 늘고 있습니다. 마케팅·광고를 위해 전화번호를 무단 수집하는 것을 넘어 SNS 대화 내용을 AI 서비스 개발에...
-
블로그 [보안동향] SAP DB 암호화?
이것만 기억하세요! 2편 지난 시간에는 법령으로 규정되는 암호화 항목과 SAP DB의 특성, 고려해야 할 사항을 알아보았습니다. 이번 글에서는 SAP 암호화 방식을 살펴보겠습니다. SAP 암호화 방식 SAP DB에 대한 토큰 암호화에는 두 가지 방식이 있습니다. 랜덤토큰 암호화 방식과 형태보존 암호화 방식인데요. 먼저 랜덤토큰 암호화 방식을 알아보겠습니다. 랜덤토큰 암호화 방식 SAP 시스템 내부에서는 실제 데이터 대신에 ‘랜덤 토큰’으로 대체해서 사용하기 때문에 ‘토크나이제이션(Tokenization)’이라 합니다. 중요한 데이터만 따로 안전하게 보관한다는 점에서 편리해 보이는데요. 별도 시스템 사이의 통신이... -
블로그 [보안동향] SAP DB 암호화?
이것만 기억하세요! 1편 금융권 차세대 프로젝트를 진행할 때 빠지지 않는 것이 있습니다. 바로 ‘DB 암호화’인데요. 그렇다면 DB 암호화는 왜 해야 하는 걸까요? 기업 내 고객정보와 같은 중요 정보는 주로 데이터베이스(DB) 내에 저장하게 되는데요. 이런 중요 정보를 안전하게 보호하기 위해 암호화해 보관하게 됩니다. 개인정보보호법 등과 같은 법령에서 개인정보를 안전하게 저장 및 전송해야 한다고 규정하고 있죠. 이를 지키지 않으면 벌금이나 과태료를 내야 합니다. 그럼 어떤 정보를 어떻게 암호화해야 할까요? <개인정보의 암호화 조치 안내서(2021년 개정판)>를 살펴보면... - 블로그 [보안동향] 일상 속에 스며든 ‘블록체인’, 안전하게 도입하려면? 2편 지난 콘텐츠에서는 블록체인 기술의 보안 이슈와 블록체인 도입에 있어 사이버 보안의 역할에 대해 알아보았습니다. 이번 글에서는 중요한 보안 권장 사항과 함께 안전한 블록체인 도입을 위한 10단계 프로세스를 소개하겠습니다. 4. 블록체인의 안전한 도입 10단계 프로세스 블록체인 기술이 실제 비즈니스 니즈를 해결하는데 합당한 솔루션이라는 긍정적인 비즈니스 평가가 이루어지면, 조직은 보안 고려사항을 포함한 주요 성공 요소에 주의를 기울여야 합니다. 성공적인 보안 사례로 이끄는 10단계의 안전한 도입 가이드를 살펴보겠습니다. 1 단계: 블록체인 보안 전문가...
-
블로그 [보안동향] 일상 속에 스며든 ‘블록체인’,
안전하게 도입하려면? 1편 ‘블록체인(혹은 분산원장기술)’이라는 용어는 이제 ICT(Information and Communication Technology, 정보통신기술) 분야에서 일상적인 단어가 됐습니다. 많은 전문가가 블록체인 기술을 더욱 발전시키며, 다양한 사업 분야에서 블록체인 기술을 적용하기 위해 다각적인 방법을 모색하고 있죠. 미래의 산업 분야에서 블록체인 기술이 발전하기 위해서는 안전성과 신뢰성을 보장하는 것이 매우 중요하다고 생각되는데요. 적절한 보안 방안이 이러한 안전성과 신뢰성을 보장한다고 판단됩니다. 하지만, 블록체인 기술의 보안성에 대한 과도한 기대치가 안전성 및 신뢰성에 대한 부정적인 영향으로 이어졌습니다. 사람들은 블록체인 기술이 암호화... - 블로그 [보안동향] 정보보안의 첫 스텝, 정보자산 식별하기! 기업의 보안담당자가 정보보안을 위해 가장 먼저 해야 할 일은 자산과 보호해야 할 대상을 정의하는 것입니다. 그럼 정보자산은 어떻게 식별하고 관리해야 하는지 알아보겠습니다. 정보자산이란? 기업이 보유한 자산은 유형과 종류가 매우 다양합니다. 오늘날 기술의 발달로 경영환경이 정보화되면서 정보는 기업의 존립을 좌우할 수 있는 중요한 자산이 됐습니다. 정보자산은 일반적인 정보와 정보를 생성하거나 보관•처리하는 모든 설비를 포함하는데요. 정보자산은 정보 및 데이터, 하드웨어, 소프트웨어, 물리적 환경, 인적 자산 등으로 분류할 수 있습니다. 정보자산 관리 프로세스...