태그검색
찾고 싶은 것이 있나요?
IT보안에 대한 9개의 태그 검색결과가 있습니다.
- 블로그 [보안동향] 컴플라이언스 보안을 지키고 싶다면, 세 가지만 기억하세요! IT 정보시스템 보안점검을 하다 보면, 이제 애플리케이션 취약점은 어느 정도 잘 관리되고 있다고 느끼실 겁니다. 초기 개발단계에서는 시큐어코딩(Secure Coding) 가이드를 만들어 배포하고, 소스 취약점 점검 툴을 통해 소스상 여러 가지 취약포인트를 해결합니다. 시큐어코딩이란 개발하는 소프트웨어가 복잡해짐으로 인해 보안상 취약점이 발생할 수 있는 부분을 보완해 프로그래밍하는 것을 의미합니다. 또한, 테스트 단계에서는 모의 해킹을 통해 기술적 취약점을 제거하는 프로세스가 일반화됐죠. 컴플라이언스(준법경영)관점에서 IT정보시스템에 요구하는 사항들이 잘 지켜지고 있는지 살펴보면 그렇지 못한 것이 현실입니다. 미준수 시 처벌조항이 법률에 명시돼 있음에도 불구하고, 고객 기능요구사항 구현에만 집중한 나머지 보안요구사항이 있었는지도 모르는 프로젝트 현장이 있을 수 있습니다. 특히, 개인정보를 다루는 시스템은 이러한 컴플라이언스에 명시된 요구사항에 더욱 주의를 기울일 필요가 있습니다. 1. 컴플라이언스 요구사항은 언제 식별하는 게 좋을까요? 컴플라이언스 요구사항, 특히 보안요구사항은 분석단계에서 식별한 후 설계 단계에 반영돼야 합니다. 개발이 어느 정도 진행된 상태나 테스트 단계에서 수정해 반영하려고 하면 수정 영향도가 너무 크기 때문입니다. 따라서 프로젝트 초기에 컴플라이언스 요구사항을 식별해 대응하는 것이 무엇보다 중요합니다. 개인정보보호법 개인정보 안정성 확보 조치에서는 아래와 같이 명시하고 있습니다. 제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관ㆍ관리해야 한다.다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관ㆍ관리해야 한다. 개인정보를 다루는 담당자가 업무를 수행할 때 개인정보를 보유하고 처리하는 시스템은 누가, 언제, 어디서, 무엇을, 무슨 사유로 활용했는지 기록을 남겨야 합니다. 이를 지키지 않았는데 개인정보 유출이 발생했다면 2년 이하의 징역 또는 2,000만원 이하의 벌금이 부과되는데요. 개인정보 유출이 발생하지 않았더라도 이러한 미조치가 적발된다면 3,000만원 이하의 과태료 처분을 받을 수 있습니다. 개인정보 접속기록을 보관해야 한다는 점은 분석단계에서 인지돼야 합니다. 이후 설계단계에서는 이러한 기능을 응용 프레임워크 단계에서 구현할지 공통함수를 만들어 처리할지 설계해야 하죠. 그리고서 개발단계에서 관련 담당자에게 구현사항을 가이드한다면 이러한 요구사항이 매끄럽게 구현될 수 있습니다. 개인정보 접속기록이 남지 않았다는 사실을 프로젝트 마지막 단계인 테스트 단계에서 인지한다면 두 세배의 시간과 노력을 들여 수정해야 합니다. 급하게 개인정보처리 화면을 식별하고, 기존 설계사항을 분석하고 검토해서 해당 프로그램을 수정해야 하죠. 따라서 컴플라이언스 보안요구사항은 프로젝트 조기에 식별하고 설계, 개발에 반영하는 것이 무엇보다 중요합니다. 2. 컴플라이언스 보안요구사항은 어떻게 식별해야 할까요? 컴플라이언스 보안요구사항 분석은 식별 경험이 많고, 요구사항별로 대응 방안을 수립한 경험이 있는 보안 전문인력이 수행하는 것이 중요합니다. 개인정보보호법 개인정보 안정성 확보조치를 보면 개인정보 접속기록을 남기는 것에서 그치지 않는다는 것을 알 수 있는데요. 아래와 같이 추가로 보관 및 점검을 요구하고 있습니다. 제8조(접속기록의 보관 및 점검) ②개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위해 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다. ③ 개인정보처리자는 개인정보취급자의 접속기록이 위ㆍ변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관해야 한다. 먼저 ③번 조항을 살펴보면, 개인정보 접속 기록이 위변조 및 도난, 분실되지 않도록 요구하고 있습니다. 그렇다면 이러한 위협을 막기 위해서는 어떻게 해야 할까요? 여러 방법이 있겠지만 접속기록을 파일 또는 DB에 저장할 경우, 해시함수를 이용해서 로그 데이터 건별로 해시값을 이용한 MAC값을 만들어 별도 테이블에 보관하고, 접근을 통제해 위변조 여부를 확인하는 방법이 있습니다. 다소 비용이 들지만 간편한 웜(Write Once Read Many,WORM) 디스크를 이용하는 방법도 있는데요. WORM 디스크는 한 번 기록된 정보는 수정할 수 없는 데이터 스토리지를 말합니다. 이렇게 비인가자가 접근할 수 없도록 접근통제 솔루션을 이용해 접속 이력 테이블 또는 파일을 보호하는 것이 중요합니다. 개인정보처리자는 이처럼 보안요구사항을 종합해서 빈틈없이 보안요건을 정의하고, 대응 방안을 설계자들에게 다각도로 제시해 해당 시스템에 가장 적합한 대응 방안을 수립해야 합니다. 다음으로 ②번 조항을 살펴보면 개인정보처리자가 개인정보 접속기록을 월 1회 이상 점검해야 한다고 명시하고 있습니다. 하지만 이를 시스템 구축단계가 아닌 운영단계에서 지켜야 할 사항이라고 생각해 넘어가는 경우가 많은데요. 곰곰이 생각해보면 그렇지 않습니다. 구축단계에서 개인정보 접속이력을 잘 저장해야 운영단계에서 원활하게 모니터링이 진행될 수 있죠. 편하게 조회할 수 있도록 화면을 설계하고, 일정 기간 동안 일정 횟수 이상 조회하거나 업무시간 외에 조회하는 상황을 확인하는 기능을 구현하면 운영단계에서 개인정보를 편리하게 사용할 수 있습니다....
- 블로그 [보안동향] LG CNS Security Summit 2022 다시보기! LG CNS Security Summit 2022에서는 국내외 유수의 보안 기업, 학계, 정부부처 등 각계 각층의 최고의 보안 전문가들을 모시고, AI보안, OT보안, 클라우드 보안 등 IT 신기술에 대한 최신의 보안 트렌드와 보안 전략을 제시합니다. 최신 보안 정보를 들을 기회를 놓치신 분들을 위해 LG CNS가 ‘LG CNS Security Summit 2022 다시보기!’ 콘텐츠를 마련했습니다. 이번 행사를 다시 보기 원하시는 분들과 개인 사정으로 당일 참석이 어려우셨던 분들을 위해 발표 영상과 발표자료를 제공해드립니다. 아래 이미지를 클릭해 확인해주세요! 글 ㅣ LG CNS 홍보팀
- 블로그 사이버 보안의 대세는 ‘Zero Trust’, 7가지 기본 원칙을 살펴보자! 제로 트러스트(Zero Trust)를 구현하는 기본적인 내용은 단순합니다. 사용자는 정책결정포인트(Policy Decision Point, PDP)에서 인증한 ID와 연관된 여러 가지 상황에 따라, 정책집행포인트(policy Enforcement Point, PEP)가 부여한 최소한의 권한으로 자원에 접근합니다. 또한, 권한을 부여한 이후에도 ID와 컨텍스트(Context)를 지속해서 검증해 접근을 허용하거나 차단하는 형태로 구현합니다. 미국 국립표준기술연구소(NIST)는 2020년 ZTA(Zero Trust Architecture)를 실현하기 위한 기본 원칙을 7가지로 정리해 발표했습니다. 원칙은 이상적인 목표이지만, 모든 원칙이 Zero Trust에 순수하게 반영될 수 없다는 걸 인정해야 한다는 전제에 기초하는데요. NIST는 아래 7 가지 원칙을 기술 불가지론적(초경험적인 것의 존재나 본질은 인식 불가능하다고 하는 입장)자세로 시도할 것을 권장합니다. 기술 도입만으로 Zero Trust를 실현할 수 없다는 얘기입니다. 물론 특정 문제를 해결하기에 가장 좋은 도구가 존재할 수는 있습니다. 도구의 성능도 차이가 날 수 있죠. 단지, 도구의 가변성이라는 특성이 바뀌는 건 아니기 때문에 정책 개선과 시행의 사이클이 초세분화(Micro Segmentation)가 돼야 한다는 겁니다. 그렇다면 NIST가 발표한 Zero Trust 실현을 위한 7가지 원칙을 살펴보겠습니다. 1. Resources : 모든 데이터, 컴퓨팅 서비스는 자원으로, 보호 대상이다.2. Communication : 모든 통신은 내부망/외부망에 관계없이 동일한 보안 요구를 충족해야 한다.3. Per-session Access : 개별 엔터프라이즈 리소스에 대한 접근은 세션 별로 검증해 부여한다.4. Dynamic Policy : 액세스는 클라이언트 ID, 애플리케이션/서비스 및 요청 자산의 동적 정책에 따라 결정되며, 모든 단말기에 설치된 소프트웨어 버전, 네트워크 위치, 요청 시간 및 날짜, 이전에 관찰한 행동처럼 상세한 정보에 기반을 두어야 한다. 5. Monitoring : 기업은 모든 소유 자산 및 관련 자산의 무결성과 보안 상태를 계속 모니터링하고, 측정한다.6. Authentication and Authorization : 모든 인증 및 권한 승인은 동적이며, 액세스를 허용하기 전 철저하게 적용한다.7. Continuous Improvement : 기업은 자산, 네트워크 인프라, 현재 통신 상태에 대한 가능한 많은 정보를 수집하고, 활용해 꾸준히 보안 상태를 개선한다. Zero Trust의 주요 보안 요건을 기반으로 주요 CSP(Cloud Service Provider) 와 보안업체들은 저마다 Zero Trust 솔루션을 소개하고 있습니다. 그러나, NIST가 언급했듯 위 7가지 요건을 모두 만족시키는 솔루션은 존재하지 않는데요. 이에 업체별로 기존 보안 역량을 기반으로 한 인증, 접근통제, 가시성 확보를 주요 요건으로 Zero Trust 솔루션을 제공하고 있습니다. 마이크로소프트, Azure Active Directory 마이크로소프트는 Zero Trust 원칙으로 ‘명확한 검증’, ‘최소한의 권한 액세스’, ‘침해 가정’ 3가지를 정하고 이에 따라 Azure Active Directory를 구축해 Zero Trust를 실현하고자 했습니다. 마이크로소프트는 Azure Active Directory를 통해 기업용 ID를 기반으로 사용자 인증을 진행하고, 기업 사용자가 싱글 사인 온(Single Sign On, SSO)을 통해 기업 ID로 클라우드에 접속할 수 있게 했습니다. 싱글 사인 온이란 가장 기본적인 인증 시스템으로, 모든 인증을 하나의 시스템에서 이용할 수 있도록 개발된 시스템을 의미합니다. 이와 동시에 멀티 팩터 인증(Multi-Factor Authentication, MFA)을 통해 보안 키, 지문, 얼굴 등을 함께 인증해 Zero Trust 보안성을 높이는 방식을 적용했습니다. 마이크로소프트가 Azure Active Directory를 통해 실현하고자 한 Zero Trust를 살펴보겠습니다. • 모든 액세스 요청은 보안을 위반하며, 내부/외부 접근 구분 없이 개방형 네트워크에서 발생했다고 가정함• 요청의 시작 위치나 액세스하는 리소스와는 무관하게 무조건 신뢰하지 않고 항상 확인함•모든 액세스 요청은 액세스 권한을 부여하기 전에 완전히 인증, 승인 및 암호화가 되며 측면이동을 최소화하기 위해...
- 블로그 아무것도 신뢰하지 않는 보안 전략, ‘Zero Trust’ 제로트러스트(Zero Trust)는 ‘아무것도 신뢰하지 않는다’는 것을 기본 전제로 삼는 보안 개념입니다. 2010년, 세계 3대 리서치 기업 중 하나인 포레스터 리서치의 분석가 존 킨더백(John Kindervag)이 기업 내 보안 및 액세스 컨트롤을 설명하기 위해 사용하면서 주목받기 시작했죠. 전통적인 보안 시스템은 액세스 지점에서 신뢰하는 사용자나 단말기를 (내부 네트워크) 인식해 권한을 확인합니다. 반면, Zero Trust는 신뢰하는 내부자나 단말기의 여부와 상관없이 철저하게 검증하고 권한을 부여한 뒤에도 접근 범위를 최소화합니다. Zero Trust는 한동안 추상적이고 신선하지 않은 개념으로 여겨졌습니다. Zero Trust 실현에 필요한 시스템 중 하나인 싱글 사인 온(Single Sign On, SSO)은 90년대에 개발된 기술로, 단 한 번 로그인해 여러 서비스에 액세스 할 수 있게 합니다.새로운 영역에 있는 기술이 아니기 때문에 이미 SSO를 도입한 조직 입장에서 Zero Trust라는 개념은 신선하지 않게 느껴질 수밖에 없었죠. 그러나 Zero Trust 개념을 준수하려면 보안 체계를 새롭게 설계하거나 재구축해야 할 가능성이 높습니다. 기존 사용자와 단말기에 대한 신뢰를 바탕으로한 보안 아키텍처에서 아무것도 신뢰하지 않는 구조로 넘어가기 위해서는 새로운 사고방식과 도구, 방법론이 고려돼야 하기 때문이죠. 하지만, 당장 큰 문제가 발생하지 않는 상황에서 새로운 보안 아키텍처를 고민하는 것은 쉽지 않은 일이었습니다. 이런 인식은 코로나19 팬데믹 이후 급속도로 바뀌었습니다. 실제로 심각한 보안 문제가 발생했으며, 이러한 보안 문제가 더 이상 먼 이야기가 아니라는 위기감이 조성되었기 때문입니다. 이번 글에서는 주요 사례를 통해 Zero Trust가 해법이 된 이유와 Zero Trust의 전망에 대해서 살펴보겠습니다. 코카콜라의 영업비밀 도난 지난 2018년, 중국계 과학자 샤논 유(Shannon You)는 약 1억 2,000만 달러 가치의 영업 비밀을 훔친 혐의로 코카콜라 컴퍼니로부터 미국 법무부에 고발됐습니다....
- 블로그 [융합보안] 입주사vs건물주, 물리보안 구축 시 고려사항은? 여러분의 현재 주거 형태는 아파트인가요, 아니면 단독 주택인가요? 물론 다세대 주택일 수도 있을 겁니다. 국토교통부가 발표한 서울시 주거실태 현황 자료를 보면 아파트에 거주하는 시민의 비율이 가장 높은 것으로 나타나는데요. 그렇다면 다른 주택 유형에 비해 아파트에 거주하는 비율이 높은 이유는 무엇일까요? 이는 투자가치, 보안성, 편의성 등 단독주택에 비해 아파트가 가진 장점 때문입니다. 이 중 보안성에 대해 살펴보겠습니다. 아파트에는 CCTV와 경비요원 등 기본적인 보안시스템이 갖춰져 있죠. 무엇보다 저층을 제외하고는 외부로부터 침입이 어려운 구조적 특성이 있습니다. 그런데 만약 여러분이 아파트의 보안수준에 만족하지 못한다면 어떨까요? 여러분이 공동 현관문에 최첨단 얼굴인식 시스템을 설치하고 싶다고 해서 바로 설치할 수는 없을 겁니다. 아파트에는 기본적인 보안시스템이 구축돼 있지만, 개인이 원한다고 해서 함부로 장비를 추가 설치하기는 어렵기 때문이죠. 반면, 단독 주택은 주인 마음대로 보안 시스템을 추가할 수 있습니다. 이러한 상황은 상업용 건물의 보안시스템 설치에도 유사하게 적용될 수 있습니다. 여러 회사가 입주해 있는 건물에 특정 회사를 위한 보안시스템을 구축해야 하는 경우가 발생할 수 있는데요. LG그룹사 사례를 통해 물리보안 시스템 구축 PM의 관점에서 고려해야 할 사항을 알아보겠습니다. 입주사 vs 건물주 하나의 회사가 전용으로 사용하는 건물과 다르게, 여러 회사가 입주한 건물에는 입주회사뿐만 아니라 건물주와 협의를 통한 의사결정이 필요합니다. 일반적으로 신규 입주 회사가 건물의 몇 층을 사용하게 될지 계획이 세워지면 입주 전에 보안시스템 구축이 완료돼야 하죠. 그러나 계약 당시에는 보안시스템 구축 같은 세부 사항까지는 고려하지 못하는 게 현실인데요. 그렇기 때문에 보안시스템 설계 또는 구축과정에서 예상치 못한 어려움에 직면할 수도 있습니다. 따라서 보안시스템 설계자는 주 출입구를 포함해 입주 층까지 임직원 동선은 어떻게 구성되는지 최우선으로 파악해야 합니다. 보통 오피스 건물은 고층 건물인 경우가 많기 때문에 엘리베이터를 운행하게 되는데요. 입주사 전용으로 엘리베이터를 사용할 수 있다면 다행이지만, 불가능한 상황에서는 건물 주 출입구에서 보안시스템 운영에 많은 제약이 발생할 수밖에 없습니다. 엘리베이터 등 출입 동선이 확인되면 X-Ray 등 보안 검색시스템 및 안내데스크 배치 도면을 바탕으로 입주사와 건물주 간 협의와 의사결정이 진행돼야 합니다. 최근 사례로 보면, 건물 시공단계에서부터 스피드게이트와 같은 기본 보안시스템을 고려해 설치했지만, 보안 검색 장비를 추가 배치하기에는 공간이 협소한 경우가 있었습니다. 이에 따라 입주사의 보안 검색 장비 구성 표준안을 적용치 못하게 됐는데요. 결국, 해당 구성의 취약점을 보완하기 위한 새로운 대안을 고민해야 하는 상황을 발생하게 됐고, 이로 인해 입주사와 건물주 간 협상 및 의사결정에 예상치 못한 시간을 소요하게 됐습니다. 이미 설치된 보안장비는 어찌할 것인가? 앞서 언급했지만, 어느 정도 규모가 있는 오피스 빌딩은 스피드게이트, 출입 통제 시스템, 영상감시시스템 등 기본적인 보안시스템이 건물 설계에 반영돼 있습니다. 기본으로 설치된 보안시스템만으로 입주사가 만족할 수도 있지만, 입주사 전용 보안 검색시스템, 출입 통제 시스템, 영상감시시스템 설치를 요구할 수도 있습니다. 만약, 입주사만의 독자적인 출입 통제 시스템을 구축해야 하는 경우, 기존에 설치된 스피드게이트를 재사용할지 철거할지 결정해야 하는데요. 이미 설치된 장비로 인해 장비 구성 변경 또는 추가가 어려울 수도 있습니다. 출입 단말기는 입주 층 주 출입구 비상계단 등에도 설치돼 있습니다. 기존 장비를 철거하지 않고 유지해야 한다면 신규 단말기 위치 선정에 어려움을 겪을 수 있습니다. 따라서 기존 장비와 신규단말기 간 도어락 컨트롤 및 문 상태 정보를 건물공통 출입시스템에 연계하는 방안을 마련해야 합니다. A사의 경우, 입주사가 독자적인 출입 통제 시스템을 구축했지만, 건물 전체를 관리하는 방재센터에서 출입문 상태 모니터링을 위해 건물 공통으로 기존 설치된 출입 단말기를 철거할 수 없도록 했습니다. 오피스건물은 보안 검색시스템 구축에 필요한 공간을 확보하기 어려울 수도 있는데요. 보안 검색시스템은 보통 빌딩의 공용구역과 입주사 전용 구역의 경계에 설치되기에 필연적으로 입주사와 건물주와 이해가 충돌할 수밖에 없습니다. 따라서 의사결정에 더욱 많은 시간이 소요될 수 있습니다. 그리고 일반적으로 임대인은 계약조건에 원상복구 조건을 포함하기도 합니다. 그래서 신규 장비 설치 또는 변경 시에도 향후 원상복구를 고려해 시공해야 하므로 예상치 못한 난관에 부딪히기도 하죠. 만약 철거한 장비가 있다면 향후 원상복구를 고려해 철거 장비 보관 및 인수인계 작업이 필요할 수도 있습니다. 마지막으로, 각 층에는 설비 관리를 위한 EPS실 및 TPS실이 존재하는데요. 대부분 빌딩 공통시설의 운영을 목적으로 하고 있습니다. 여기에 입주사만의 전용 장비를 설치할 수 있도록 허용한다고 하더라도 운영/유지보수 인력의 출입 권한 관리 등 문제 발생 시 책임소재의 리스크도 고려해야 합니다. A사는 각층에 전용 EPS, TPS실을 신설해 출입 통제 및 영상감시 장비를 운영하는 것으로 설계에 반영했습니다. 간과하기 쉬운 업체 관계 기존 장비가 설치돼 있는 경우, 해당 장비를 재사용하든 철거를 하든 해당 장비 설치업체의 협조는 필수적인데요. 이에 대한 비용도 사전에 반영해야 합니다. 예를 들어, 하자보수 기간 내에 있는 장비의 경우, 기설치업체의 협조 없이 스피드게이트의 카드리더기를 바꾼다면 해당 업체는 하자보수 면책 사유를 주장할 수도 있습니다. 또한, 유지보수 기간에 있더라도 문제처리 관련 책임소재 이슈가 발생할 수도 있죠. 이외에도 향후 원상복구를 고려한 장비 철거 또는 변경 작업에도 기존 설치업체의 협업이 요구됩니다. 따라서, 시스템 구축에 착수하기 전에 시공 작업에 참여한 협력업체들의 연락처를 확보하는 것이 중요합니다. 이번 글에서는 한 건물에 여러 회사가 입주한 경우 물리보안 시스템 구축 시 필요한 고려사항을 살펴보았습니다. 입주사 전용 건물에 보안시스템을 구축하는 것에 비해 더 복잡한 의사결정 구조와 다양한 이해관계자들이 존재한다는 것을 알 수 있었는데요. 물리보안 시스템 구축에는 보안시스템 설계자 또는 PM의 세심한 관심이 필요하다는 점을 기억해야 합니다....
- 블로그 [보안동향] 성공적인 ‘컨테이너 플랫폼’ 운영을 위한 5가지 보안Tip! 과거 대부분의 기업용 애플리케이션은 하나의 거대한 서비스 형태(모놀리식 아키텍처, Monolithic Architecture)로 개발됐습니다. 모놀리식 아키텍처는 개발·관리가 용이하다는 장점이 있지만,시스템 규모가 커질수록 복잡도가 증가하는데요. 이에 따라 코드의 이해와 분석이 어려워지고 작은 수정사항에도 시스템 전체를 다시 개발(build)하고, 배포해야하는 비효율이 발생해 시스템의 개선과 확장이 어렵다는 단점이 존재합니다. 이러한 단점을 극복하기 위해 등장한 개념이 마이크로서비스 아키텍처(MSA, Microservices Architecture)입니다. 경량화되고 독립적인 여러 개의 서비스를 조합해 애플리케이션을 구현하는 방식인데요. 서비스마다 자체 데이터베이스를 가지고 동작하기 때문에 개발부터 빌드·배포까지 효율적으로 수행할 수 있습니다.기업 입장에서는 개발과 유지관리에 드는 시간과 비용을 줄일 수 있어 MSA로의 전환이 대세가 되고 있습니다. 국내업계는 MSA 도입과 전환에 대해 2013년부터 검토를 시작했습니다. 쿠팡, 배달의민족, 11번가 등 스타트업이 선도적으로 MSA를 채택했습니다. 트래픽 증가에 따라 데이터베이스, 서버를 증설해야하는 기존 모놀리식 구조의 한계를 극복하고 MSA로의 전환을 완료했는데요. 이들 기업은 MSA 이후 개발단계의 속도뿐만 아니라 주문 결제 서비스 대고객 응답 속도 개선이 이뤄졌다고 스스로 평가하고 있습니다. 오늘의 주제는 컨테이너의 보안위협과 대응방안인데 왜 마이크로서비스로 이야기를 시작했을까요? 마이크로서비스를 가장 잘 구현할 수 있는 형태의 플랫폼이 컨테이너 방식이기 때문입니다. 국내외 기업이 점차 더 많은 서비스를 MSA 방식으로 개발하는 흐름 속에서 이를 뒷받침하는 기반 기술로서 컨테이너 플랫폼 선택 또한 자연스럽게 증가하고 있습니다. 지금부터 도커(Docker), 쿠버네티스(Kubernetes)로 구체화된 컨테이너 플랫폼의 개념을 간략하게 소개하고, 컨테이너의 보안 위협과 대응 방안에 관해 살펴보겠습니다. 컨테이너, 도커, 쿠버네티스 서버가상화 기술은 하이퍼바이저(Hypervisro)를 활용한 가상머신에서 게스트운영체제(OS)없이 바이러니(Bin)/라이브러리(Lib)와 애플리케이션으로 구성된 컨테이너로 발전하고 있습니다. 기존의 가상머신(VM, Virtue Machine) 서버는 물리적인 서버 위에 하이퍼바이저,그 위에 각각의 게스트 OS가 설치된 VM을 구동하는 형태입니다. 가상머신은 하이퍼바이저에 의해 서버 내 CPU, 메모리, 디스크, 네트워크 등의 자원을 분할공유해 사용합니다. 컨테이너형 서버는 물리적인 서버 위에 서버운영체제(OS), 그 위에 도커 엔진 또는 컨테이너 런타임이 설치되며,그 위에 여러 개의 컨테이너가 동작하는 형태입니다. CPU, 메모리, 디스크, 네트워크와 같은 운영체제의 자원을 필요한 만큼 격리해 컨테이너에 할당하는 형태인데요. 여기서 컨테이너란 일종의 격리된 공간으로서, 별도의 게스트OS 없이 런타임과 바이너리, 데이터만으로 애플리케이션이 구동되는 환경을 가리킵니다. 서두에 언급한 마이크로서비스 아키텍처는, 이와 같은 컨테이너 방식의 플랫폼을 활용해 거대한 애플리케이션을 기능별로 쪼개고, 개별 컨테이너에 경량화된 단위 서비스를 배포합니다. 또한, 컨테이너별 변경 사항이 다른 서비스에 영향 미치지 않아서, 전체 서비스를 하면서도 독립적으로 구성할 수 있습니다. 도커는 리눅스 진영의 오픈소스 프로젝트로, 컨테이너 개념을 구체화한 도구입니다. 쿠버네티스는 엔터프라이즈 버전의 컨테이너 및 도커를 관리하는 도구입니다. 부연 설명하면, 실행 이미지를 컨테이너에 띄우고 실행하는 기술이 ‘도커’이고, 이러한 도커를 기반으로 복잡한 컨테이너들을 관리하는 서비스가 ‘쿠버네티스’입니다. 쿠버네티스는 △컨테이너의 생성과 소멸 △시작 및 중단 시점 제어 △스케줄링 △로드 밸런싱, △클러스터링 등 컨테이너로 애플리케이션을 구성하는 모든 과정을 관리하는 컨테이너의 오케스트레이션 도구입니다. 마스터(MASTER): 쿠버네티스 노드를 제어하는 머신. 모든 태스크 할당을 시작함 노드(NODE): 할당된 태스크를 요청대로 수행하는 시스템 포드(POD): 단일 노드에 배포된 하나 이상의 컨테이너 그룹. 포드에 있는 모든 컨테이너는 IP 주소,...
- 홍보센터 AI가 댐까지 관리한다구요? OT보안 꼭 필요한 이유!
- 블로그 [보안동향] 다 같은 AI가 아니다! LG CNS의 차별화된 AI 보안 모니터링 정보기술의 발전과 함께 영화 속에서나 보던 AI 기술이 현실에 적용되고, 수많은 사람이 매체를 통해 이 같은 소식을 접하고 있습니다. 영리를 추구하는 기업은 AI 기술을 적극적으로 도입해 상품기획·마케팅, 제조·생산 등의 영역에 적용하고 있죠. 또한 새로운 마케팅 대상을 창출하고 생산성 향상의 성과를 이뤄내고 있습니다. 이러한 결과를 바탕으로 기업에서는 AI 기술의 적용범위를 확대하며, 모든 조직에 AI 기술을 통한 혁신을 기대하고 있는데요. 기업 내 많은 조직 중에서도 특히 정보보안 조직이 AI 기술을 활용해 정보보안...
- 블로그 벤처·스타트업 여러분! 지금 바로 보안솔루션 무료기회를 잡으세요~ LG CNS가 지난 5월에 출시한 보안 브랜드 SecuXper(시큐엑스퍼)가 스타트업과 벤처기업을 대상으로 무료 보안 지원 사업을 한다는 반가운 소식을 전합니다. 보안 지원사업, 왜 필요한가요? 최근 혁신적인 기술과 참신한 아이디어를 활용한 스타트업이 늘고 있습니다. 스타트업은 자사의 서비스 가입자 확보를 위한 마케팅 비용 지출이 늘고 있는데요. 그런데 정작 보안에는 크게 신경 쓰지 못하고 있는 게 현실입니다. 이런 허점을 노리고 스타트업을 공격하는 해커가 많아지고 있습니다. 그 피해 규모도 증가하는 추세입니다. 이 같은 해킹과 정보...