태그검색
찾고 싶은 것이 있나요?
소프트웨어에 대한 68개의 태그 검색결과가 있습니다.
- 블로그 테스트 자동화로 고객만족 100% 이끌어낸다 최근 인공지능 챗봇 ChatGPT가 화제입니다. ChatGPT는 미국 샌프란시스코에 위치한 오픈 AI에서 2022년 11월 30일에 출시한 서비스인데요. 단 두 달 만에 누적 사용자 1억 명을 돌파했으며, 사용 만족도 또한 높게 나타났습니다. 오픈 AI는 어떻게 이런 짧은 시간 내 전 세계에 고품질의 AI 서비스를 선보일 수 있었을까요? 그 비결은 끊임없는 서비스 개선과 테스트에 있을 것입니다. 이번 글에서는 고객이 만족하는 높은 품질의 서비스를 계속 유지할 수 있는 ‘테스트 자동화’에 대해 소개하겠습니다. LG CNS의...
- 블로그 [보안동향] 안전한 소프트웨어 개발, 보안 취약점 점검이 답이다! 이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다. OWASP TOP 10 (2021) ‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다. 2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다. 2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이 이름과 범위가 변경되고, 그 외 일부 통합되며 순위 변동이 일어난 것이 눈에 띕니다. 1위를 차지한 ‘취약한 접근통제’와 함께, ‘암호화 오류’, ‘인젝션’ 항목이 웹 애플리케이션에서 가장 빈번하게 나타나는 취약점 1~3위를 차지했으며, ‘크로스 사이트 스크립팅’이 ‘인젝션’ 항목으로 통합됐습니다. 신규 추가됐으나 4위를 차지한 ‘안전하지 않은 설계’ 항목은 소프트웨어 개발 보안 생명주기(Secure Software Development Lifecycle)의 설계 단계에서 위협 모델링 없이 구현되거나 미흡하게 설계돼 발생하는 보안 취약점을 설명하고 있습니다. 다음으로 5위인 ‘잘못된 보안 구성’ 항목은 ‘XML 외부객체’ 항목이 통합됐고, 6위 ‘오래된 취약점이 있는 구성요소 사용’, 7위 ‘사용자 식별 및 인증 오류’, 9위 ‘보안로그 및 모니터링 오류’ 항목은 이름이 변경되며 취약점이 더 명확해지고 범위가 넓어졌습니다. 8위에 오른 신규 추가된 ‘소프트웨어와 데이터 무결성 오류’에는 ‘안전하지 않은 역직렬화’ 항목을 포함해 데이터 무결성 검증을 위한 올바른 전자서명 활용에 관한 내용도 설명하고 있습니다. 마지막으로 ‘서버측 요청 위조’ 항목이 10위에 올랐는데요. 앞서 살펴본 행정안전부의 소프트웨어 개발 보안 항목, [1. 입력데이터 검증 및 표현] 영역의 ’12. 서버사이드 요청 위조’와 동일한 것으로, 새롭게 순위에 오른 만큼 더욱 주의해야 할 취약점이 됐습니다. 소프트웨어 보안 약점과 OWASP TOP 10 (2021) 아래 표는 앞서 살펴본 소프트웨어 개발 보안 구현단계에서의 49개 보안 약점(이하 49개 보안 약점이라 함)과 OWASP TOP 10 (2021) 초안을 비교한 것입니다. OWASP TOP 10에서 설명하는 각 취약점 영역의 범위가 넓어 49개 보안 약점이 상당수 중복됐는데요. A09:2021 ‘보안로그 및 모니터링 오류’ 취약점의 경우 주로 테스트 및 운영 단계에서 서버 보안 설정 또는 주기적인 점검이 필요한 취약점을 설명한 것입니다. 이는 49개 보안 약점과 연결되지는 않았으나, 구현단계에서부터 개인정보 보호법 등 관련 법에 따라 접속기록 보관을 하는 등의 주의가 필요하므로, 역시 주요한 취약점입니다. 맺음말 최근 제로데이 공격, 웹사이트 해킹 등의 보안패치 발표 전에 소프트웨어에 내재된 보안취약점을 악용하는 사이버공격이 꾸준히 증가하고 있습니다. 안전한 정보시스템 구축을 위해 보안 담당자와 개발자 등은 이를 대비해 최신 보안 방안이 반영된 소프트웨어 개발 보안 가이드 및 OWASP TOP 10을 참고해 시큐어 코딩(Secure Coding)을 적용해야 합니다. 또한, 주기적인 취약점 점검 및 개선 활동을 수행해야 합니다. [참고] https://www.law.go.kr/행정규칙/행정기관및공공기관정보시스템구축·운영지침owasp.org/www-project-top-ten 글 | LG CNS 사이버시큐리티팀 조민아 책임
- 블로그 [보안동향] 변화하는 소프트웨어 보안, 최근 주요 취약점은? 기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 행정기관 및 공공기관 정보 시스템 구축 · 운영 지침과 소프트웨어 보안 약점 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운영 지침(이하 지침이라 함)은 전자정부법 제45조 제3항에 따라 행정기관 등의 장이 정보시스템을 구축 · 운영하면서 준수해야 할 기준, 표준 및 절차와 동법 제49조 제1항에 따른 상호운용성 기술평가에 관한 사항을 정한 것입니다. 정보시스템 사업 수행 시 프로젝트 관리 및 보안 준수에 있어 위 지침에 따라 수행하게 됩니다. 지침이 개정된 이유를 보면, 소프트웨어 보안성 강화 및 통합인증 공통 기반을 적용하도록 해 국민이 전자정부 서비스를 안전하고 편리하게 이용하고, 관련 법 · 제도 변경 사항 등을 반영하기 위함이라 설명돼 있습니다. 보안 관련된 내용만 살펴보면 아래와 같습니다. 보안성 강화 부분에서 국내외 최신 보안 약점을 반영해 소프트웨어 개발 보안 제도를 강화한다는 것을 알 수 있습니다. 또한, 지난 2020년 12월 전면 개정된 전자서명법을 반영해 공동인증서와 민간인증서 발급기관을 포함하는 ‘통합인증 공통 기반’ 적용이라는 내용이 추가된 것을 확인할 수 있습니다. 지침 제50조(소프트웨어 개발 보안 원칙)에 따라 정보시스템 사업 진행 시 개발자가 설계 및 구현 단계에서 반드시 개선 조치해야 할 소프트웨어 보안 약점 기준(지침 별표3)도 개정된 이유에 의해 변경됐습니다. 2019년 발령된 고시 대비 변경된 내용을 비교해 살펴보겠습니다. 구현단계 소프트웨어 개발 보안 항목은 총 47개에서 49개로 늘어났습니다. 신규 추가된 항목은 6개이며, 8개 항목이 통합돼 4개 항목으로 축소됐습니다. [1. 입력 데이터 검증 및 표현] 영역에서 신규 추가된 항목은 ‘2. 코드 삽입’, ‘8. 부적절한 XML 외부 개체 참조’, ‘12. 서버사이드 요청 위조’ 3개이며, ‘9. XML 삽입’은 기존의 ‘Xquery삽입’, ‘Xpath삽입’ 보안 약점이 통합된 것입니다. ‘2. 코드 삽입’ 보안 약점은 ‘1. SQL 삽입’, ‘3. 경로 조작 및 자원 삽입’, ‘5. 운영체제 명령어 삽입’ 등과 같은 삽입 취약점과 같은 개념으로 eval()과 같은 함수로 이루어진 코드(명령어)가 검증되지 않고 실행 가능할 때 발생할 수 있는 보안 약점입니다. ‘8. 부적절한 XML 외부 개체 참조’ 보안 약점은 OWASP TOP 10 (2017)에서도 발표됐던 항목으로 취약한 XML 파서가 외부 개체를 삽입한 XML을 검증 없이 그대로 처리하게 될 시 발생할 수 있는 보안 약점입니다. ’12. 서버사이드 요청 위조’ 보안 약점은 서버사이드에서 이루어지는 요청을 검증하지 않아 의도하지 않은 서버로 요청이 가게 되거나 요청이 변경될 수 있는 보안 약점입니다. 크로스사이트 요청 위조와 유사하지만, 클라이언트가 아닌 서버에 영향을 줘 파급력이 크며, OWASP TOP 10 (2021)에도 새롭게 순위를 차지했습니다. [2. 보안 기능] 영역에서 신규 추가된 항목은 ‘10. 부적절한 전자서명 확인’, ‘11. 부적절한 인증서 유효성 검증’ 2개인데요. 기존 ‘중요정보 평문저장’, ‘중요정보 평문전송’ 항목이 통합돼 ‘5. 암호화되지 않은 중요정보’ 항목이 됐고, 기존 ‘하드코드된 패스워드’, ‘하드코드된 암호화 키’ 항목이 통합되어 ‘6. 하드코드된 중요정보’ 항목이 됐습니다. ‘10. 부적절한 전자서명 확인’ 과 ‘11. 부적절한 인증서 유효성 검증’ 항목은 전자서명법 개정으로 간편인증과 같은 민간 인증사업자의 다양한 전자서명인증서비스가 활성화되며, 이에 따라 발생할 수 있는 위험을 줄이고자 추가된 항목으로 보입니다. 전자서명 및 인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안 약점입니다. [3. 시간 및 상태] 영역은 기존 소프트웨어 개발 보안 항목과 변동된 점이 없으며, [4. 에러처리] 영역의 ‘오류 메시지 정보 노출’ 항목이 기존 [6. 캡슐화] 영역의 ‘시스템 데이터 정보 노출’ 항목과 통합됐습니다. [5. 코드오류] 영역에서는 ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목이 새롭게 추가됐습니다. ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목은 직렬화된 데이터를 원래 객체(Object)로 복원할 때 적절한 검증 없이 수행해 발생하는 보안 약점으로, OWASP TOP 10 (2017)...
- 홍보센터 [소프트웨이브2021 2탄] 스마트물류부터 메타버스까지! LG CNS DX신기술 여기 다모였다
- 홍보센터 [소프트웨이브2021 1탄] LG CNS DX신기술 60초안에 몰아보기!
- 홍보센터 [소프트웨이브2021] 스마트물류 전문가와 함께하는 LG CNS DX 신기술 탐색!
- 블로그 ‘자율주행차’ 전쟁의 선두는 누구? 전기 밴 부터 경로 최적화 소프트웨어까지 제공 GM Bright Drop CES2021에서 GM의 키노트 발표가 큰 주목을 받았습니다. 새로운 EV 상용차 및 물류 사업부인 ‘Bright Drop’을 공식 출범했기 때문입니다. Bright Drop은 두 개의 주요 제품을 발표했습니다. 하나는 전기 밴(electric delivery van) EV600이고, 또 다른 하나는 바퀴가 달린 첨단 컨테이너이자 전기 팔레트(electric pallet)인 EP1 입니다. EV600은GM이 개발한 차세대 배터리 시스템인 Ultium이 적용되는 최초의 상업용 차량으로, 현재 전기차 배터리보다 약 40% 저렴한 비용으로...
- 블로그 엘사와 함께! 미취학 우리 아이 ‘코딩 천재’ 되다 2021년 새해가 밝았습니다. 새해를 맞아 모두 올해의 다짐이나 목표를 한 가지 이상 세우셨을 것 같은데요. 그 어느 때보다 목표를 세우기가 어렵지 않으셨나요? 사람들과 만나서 함께 진행하거나, 해외를 방문해야 하는 일 등은 아직 선뜻 목표에 추가하기가 어렵네요. 2020년은 그 어느 해보다도 기억에 남는 해가 아니었을까 합니다. 연초부터 시작되어 아직도 진행 중인 코로나19로 우리의 일상이 바뀌고 일하는 방식도 변화가 되고 있죠. 그 이전에도 온라인 쇼핑이나 배달, 무인점포 등 비대면 산업, 문화는 확산되어...
- 블로그 ‘3D 아바타’로 화상 회의를? 원격 근무 툴 파헤치기! 뉴노멀이 된 원격 업무용 기업 소프트웨어, Zoom vs MS Teams vs Slack, 세 업체의 운명은? ● Zoom의 Boom 코로나19의 최대 수혜 기업을 꼽으라면 Zoom을 제외하고 이야기하기는 어렵습니다. 전 세계적으로 록다운이 시행되면서, 재택근무와 원격 수업이 보편화되었고, 이에 따라 비디오 콘퍼런스 툴은 급격한 속도로 팽창했습니다. 2012년 베타 버전으로 서비스를 시작한 Zoom은 회원가입 없이도 쉽게 회의에 참여할 수 있으면서도 뛰어난 퍼포먼스를 보인다는 장점으로 팬데믹 기간 동안 커뮤니케이션을 위한 필수적인 툴이 되었고, 뉴노멀 시대의...
- 블로그 AI 교육도 라방으로! 비대면 S/W 교육의 모든 것 2020년도 어느덧 얼마 남지 않았네요. 올해는 코로나19 바이러스로 인해 우리의 일상생활에도 참 많은 변화가 있었는데요. 사회적 거리두기 문화의 확산으로, 대면으로 했던 모든 것을 비대면으로 전환하는 과정을 경험하고 있죠. 이러한 ‘언택트’, ‘비대면’은 이른바 ‘뉴노멀(시대 변화에 따라 새롭게 떠오르는 기준 또는 표준)’이라고 해서, 다양한 분야의 새로운 기준이 되고 있습니다. ‘교육’은 대표적으로 대면으로 이루어지는 활동 중 하나였습니다. 온라인 강의는 학교나 학원 수업을 보충하는 정도로 생각해왔죠. 하지만 등교가 불가능해지면서 올해 처음 국가 차원에서 대대적으로...
- 블로그 LG CNS Startup Monster 2020년 참가팀 모집 LG CNS에서 우수 기술 보유 스타트업을 육성 지원하는 “Startup Monster” 프로그램에 참여할 스타트업을 모집합니다 . Q. 어떤 지원을 해주나요?A. 여러분의 아이디어가 구체화될 수 있도록 개발 지원금(최대 1억원)을 지원해 드립니다. 또한 사무 공간 제공(마곡 LG사이언스파크 내 별도 입구 공간), 식비 및 숙박비 지급(지방 거주자 한함), 개발 플랫폼 제공(클라우드/IoT/Robot/AI빅데이터 플랫폼 등), 사업팀 네트워킹 및 시범사업 기회를 제공해드립니다. Q. 개발 지원금 최대 1억원 지원의 정확한 의미가 무엇인가요?A. 6개월 분할 지급 형태(매월 약 1,700만원)로...
- 블로그 클라우드 도입 전 꼭 알아야 할 ‘클라우드 보안’ ① ‘한비자(韓非子)’에 나오는 이야기 중에, 매독환주(買櫝還珠), 즉 상자만 사고 구슬은 돌려준다는 말이 있습니다. 초나라 사람이 정(鄭)나라로 진주를 팔러 갔는데 값을 비싸게 받으려고, 목란(木蘭)으로 상자를 만들어 좋은 향기가 나도록 한 다음, 온갖 주옥으로 화려하게 꾸며 장식했다고 합니다. 지나가던 정나라 사람이 시장에서 초나라 상인의 물건을 보고 마음에 들어 그 자리에서 상자를 사고 상자 속에 들어 있던 옥을 돌려줬다고 합니다. 이 고사는 화려한 겉모습에 현혹되어 중요한 본질은 놓침을 이르는 이야기입니다. 최근 기업에서 클라우드 환경을...