태그검색
찾고 싶은 것이 있나요?
LGCNS블로그에 대한 12개의 태그 검색결과가 있습니다.
- 블로그 [보안동향] 정보보호도 ESG! 어떻게 진행해야 할지 막막하다면? 지난 글에서는 정보보호 공시 배경과 정보보호 관련 ESG 동향에 관해 알아보았습니다. 이번 글에서는 정보보호 공시 개요와 함께 대응 업무 범위 및 수행 절차를 살펴보겠습니다. 정보보호 공시 배경 정보보호 공시는 아래의 의무 대상 기업이 정보보호 투자액, 인력, 정보보호 인증, 정보보호 활동을 공시하도록 규정하고 있습니다. 정보보호 공시 진행 시에 회계법인 또는 감리법인을 통해 정보보호 공시 사전 점검자료를 제출한 후 공시하는 경우에는 사후 검증 면제의 혜택이 제공됩니다. 사후 검증의 경우, 공시 후 제출 기업 중 20% 표본 기업을 대상으로 제출한 공시 내용에 대한 사후 점검을 수행합니다. 제출 기업의 정확한 공시 작성은 물론 제출된 공시 자료를 검증해 신뢰도를 높이고자 하는 검증 절차상의 단계입니다. 다수의 기업이 전문 회계 법인이나 감리 법인을 통해 정보보호 공시를 준비하는데요. 이는 보안 관련한 공시 작성 분야지만 회계, 인사의 인건비 회계 처리 등과 관련한 전문성이 필요하기 때문입니다. 또한, 고객 현업팀의 경우 수행 업무의 부담을 최소화하고 사후 검증에 대한 부담을 줄이고자 전문 회계법인, 감리법인을 통해 수행하고 있음을 알게 됐습니다. 정보보호 공시를 진행할 때 주의해야 하는 사항이 몇 가지 있습니다. 이 중 첫 번째가 정보보호 공시 시스템의 선정입니다. 아래의 표와 같이 기본은 과학기술정보통신부에서 운영하는 전자공시시스템(ISDS)에 공시하는 것이 원칙인데요. 특히 주의사항으로 한국거래소 상장공시시스템(KIND)에 자율 공시하는 경우, 예를 들어 정정 공시 처리 규정 등에 따라 공시 위반 제재를 받을 수 있습니다. 따라서 정보보호 ISDS를 통해 공시를 진행해야 합니다. 정보보호 공시 준비/대응 업무 범위 및 수행 절차 공시 대응과 준비를 위해서 제일 먼저 해야 하는 업무는 설명회를 기반으로 한 착수 회의의 진행입니다. 회계팀, 정보기술팀, 인사팀, 기타 유관 부서를 식별하고 관련 부서장과 실무자를 대상으로 한 설명회를 진행하는데요. 이를 통해 제도 및 필요한 자료 요청에 대한 설명, 진행 일정을 공유해 효율적으로 수행할 수 있습니다. 설명회 전에는 정보기술 전담 조직 식별 및 정보보호 조직의 식별을 선행해야 합니다. 이후 설명회 시에 인사팀을 통해 인원, 인건비와 관련한 자료 작성을 요청해야 합니다. 이때 아래 가이드와 같이 전담 조직의 경우, 조직 즉 상위 부서 또는 팀 단위 전체를 대상으로 요청하면 작업이 좀 더 쉽습니다. 정보보호 조직의 경우, 정보보호 업무를 전담으로 하는 인원을 대상으로 인원별 인건비 산정을 진행해야 합니다. 만약 보안 전담 부서는 아니지만, 정보보호 직무를 100% 전담하고 있는 인원이 있는 경우는 정보보호 부문 직무기술서를 작성하고 CEO 또는 CISO(Chief Information Security Officer)의 서명을 받아 증거자료를 준비하고, 인원수와 인건비 산정을 진행해야 합니다. 근무 인원수와 인건비 산정 시 월별로 대상 연도에 근무한 인원의 수와 해당 인원의 급여, 상여, 퇴직급여, 급여성 복리후생비의 합계를 급여 대장을 통해 비용 산정해야 합니다. 또한, 비용 원장 분석 시 인사팀을 통해 별도 산정을 진행하게 되면 비용원장에서 급여성 비용 계정을 제외해 중복으로 합산되지 않도록 진행해야 합니다. 정보보호 공시 준비 자료 요청 투자액 산정 시 사용되는 자산 대장과 비용원장 분석은 가장 많은 시간이 소요되는 작업입니다. 두 자료 모두 회계팀을 통해 입수하게 되는데요. 사전 설명회를 통해 원하는 데이터를 정확하게 받기 위해 템플릿과 샘플 양식(KISA 가이드 참조)을 기반으로 사전 요청을 진행해야 합니다. 자산 대장의 경우 자산 유형 중 정보기술이나 정보보호와 관련된 유형을 식별해서 요청할 수도 있지만, 누락 등이 발생할 수 있으므로 전체 자산대장을 입수해 분석하는 것을 권장합니다. 비용원장의 경우, 자산 대장보다는 정보기술/정보보호 비용이 회계기준에 따라 처리되는 계정이 비교적 명확합니다. 따라서 KISA에서 요구하는 주요 정보기술과 관련한 비용 계정을 중심으로 입수해 분석을 진행합니다. 외주 용역비 내역의 경우 비용원장상에서 수수료-외주용역 또는 수수료-전산 용역을 통해 정보기술의 비용 분류가 가능하지만, 대부분의 경우 정보보안관련 내역이 포함돼 있습니다. 따라서 용역과 관련 기안서 및 계약서를 확보해 관련 비용 중 정보보안 관련한 인원, 비용 금액을 별도로 확인해야 합니다. [출처 및 참고...
- 블로그 LG CNS, ‘AWS 프리미어 티어 파트너’ 자격 획득 DX전문기업 LG CNS가 ‘AWS 프리미어 티어 파트너(AWS Premier Tier Partner)’ 자격을 획득하고, 아마존웹서비스(Amazon Web Services, 이하 AWS)와의 협업을 더욱 강화합니다. ‘AWS 프리미어 티어 파트너’는 AWS가 국가별로 가장 풍부한 클라우드 사업 경험을 보유한 파트너사들에게 제공하는 자격입니다. AWS의 파트너 프로그램 검증을 통해 클라우드 기술 전문성이 확인되고, 다수의 고객과 대규모 클라우드 사업 실적을 확보한 파트너사에게 부여됩니다. LG CNS가 국내 클라우드 시장의 리더로서 인정받았다는 의미입니다. LG CNS는 AWS와 함께 국내 고객의 DX(디지털 전환)를 지원하고,...
- 블로그 [보안동향] 안전한 소프트웨어 개발, 보안 취약점 점검이 답이다! 이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다. OWASP TOP 10 (2021) ‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다. 2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다. 2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이 이름과 범위가 변경되고, 그 외 일부 통합되며 순위 변동이 일어난 것이 눈에 띕니다. 1위를 차지한 ‘취약한 접근통제’와 함께, ‘암호화 오류’, ‘인젝션’ 항목이 웹 애플리케이션에서 가장 빈번하게 나타나는 취약점 1~3위를 차지했으며, ‘크로스 사이트 스크립팅’이 ‘인젝션’ 항목으로 통합됐습니다. 신규 추가됐으나 4위를 차지한 ‘안전하지 않은 설계’ 항목은 소프트웨어 개발 보안 생명주기(Secure Software Development Lifecycle)의 설계 단계에서 위협 모델링 없이 구현되거나 미흡하게 설계돼 발생하는 보안 취약점을 설명하고 있습니다. 다음으로 5위인 ‘잘못된 보안 구성’ 항목은 ‘XML 외부객체’ 항목이 통합됐고, 6위 ‘오래된 취약점이 있는 구성요소 사용’, 7위 ‘사용자 식별 및 인증 오류’, 9위 ‘보안로그 및 모니터링 오류’ 항목은 이름이 변경되며 취약점이 더 명확해지고 범위가 넓어졌습니다. 8위에 오른 신규 추가된 ‘소프트웨어와 데이터 무결성 오류’에는 ‘안전하지 않은 역직렬화’ 항목을 포함해 데이터 무결성 검증을 위한 올바른 전자서명 활용에 관한 내용도 설명하고 있습니다. 마지막으로 ‘서버측 요청 위조’ 항목이 10위에 올랐는데요. 앞서 살펴본 행정안전부의 소프트웨어 개발 보안 항목, [1. 입력데이터 검증 및 표현] 영역의 ’12. 서버사이드 요청 위조’와 동일한 것으로, 새롭게 순위에 오른 만큼 더욱 주의해야 할 취약점이 됐습니다. 소프트웨어 보안 약점과 OWASP TOP 10 (2021) 아래 표는 앞서 살펴본 소프트웨어 개발 보안 구현단계에서의 49개 보안 약점(이하 49개 보안 약점이라 함)과 OWASP TOP 10 (2021) 초안을 비교한 것입니다. OWASP TOP 10에서 설명하는 각 취약점 영역의 범위가 넓어 49개 보안 약점이 상당수 중복됐는데요. A09:2021 ‘보안로그 및 모니터링 오류’ 취약점의 경우 주로 테스트 및 운영 단계에서 서버 보안 설정 또는 주기적인 점검이 필요한 취약점을 설명한 것입니다. 이는 49개 보안 약점과 연결되지는 않았으나, 구현단계에서부터 개인정보 보호법 등 관련 법에 따라 접속기록 보관을 하는 등의 주의가 필요하므로, 역시 주요한 취약점입니다. 맺음말 최근 제로데이 공격, 웹사이트 해킹 등의 보안패치 발표 전에 소프트웨어에 내재된 보안취약점을 악용하는 사이버공격이 꾸준히 증가하고 있습니다. 안전한 정보시스템 구축을 위해 보안 담당자와 개발자 등은 이를 대비해 최신 보안 방안이 반영된 소프트웨어 개발 보안 가이드 및 OWASP TOP 10을 참고해 시큐어 코딩(Secure Coding)을 적용해야 합니다. 또한, 주기적인 취약점 점검 및 개선 활동을 수행해야 합니다. [참고] https://www.law.go.kr/행정규칙/행정기관및공공기관정보시스템구축·운영지침owasp.org/www-project-top-ten 글 | LG CNS 사이버시큐리티팀 조민아 책임
- 블로그 [보안동향] 변화하는 소프트웨어 보안, 최근 주요 취약점은? 기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 행정기관 및 공공기관 정보 시스템 구축 · 운영 지침과 소프트웨어 보안 약점 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운영 지침(이하 지침이라 함)은 전자정부법 제45조 제3항에 따라 행정기관 등의 장이 정보시스템을 구축 · 운영하면서 준수해야 할 기준, 표준 및 절차와 동법 제49조 제1항에 따른 상호운용성 기술평가에 관한 사항을 정한 것입니다. 정보시스템 사업 수행 시 프로젝트 관리 및 보안 준수에 있어 위 지침에 따라 수행하게 됩니다. 지침이 개정된 이유를 보면, 소프트웨어 보안성 강화 및 통합인증 공통 기반을 적용하도록 해 국민이 전자정부 서비스를 안전하고 편리하게 이용하고, 관련 법 · 제도 변경 사항 등을 반영하기 위함이라 설명돼 있습니다. 보안 관련된 내용만 살펴보면 아래와 같습니다. 보안성 강화 부분에서 국내외 최신 보안 약점을 반영해 소프트웨어 개발 보안 제도를 강화한다는 것을 알 수 있습니다. 또한, 지난 2020년 12월 전면 개정된 전자서명법을 반영해 공동인증서와 민간인증서 발급기관을 포함하는 ‘통합인증 공통 기반’ 적용이라는 내용이 추가된 것을 확인할 수 있습니다. 지침 제50조(소프트웨어 개발 보안 원칙)에 따라 정보시스템 사업 진행 시 개발자가 설계 및 구현 단계에서 반드시 개선 조치해야 할 소프트웨어 보안 약점 기준(지침 별표3)도 개정된 이유에 의해 변경됐습니다. 2019년 발령된 고시 대비 변경된 내용을 비교해 살펴보겠습니다. 구현단계 소프트웨어 개발 보안 항목은 총 47개에서 49개로 늘어났습니다. 신규 추가된 항목은 6개이며, 8개 항목이 통합돼 4개 항목으로 축소됐습니다. [1. 입력 데이터 검증 및 표현] 영역에서 신규 추가된 항목은 ‘2. 코드 삽입’, ‘8. 부적절한 XML 외부 개체 참조’, ‘12. 서버사이드 요청 위조’ 3개이며, ‘9. XML 삽입’은 기존의 ‘Xquery삽입’, ‘Xpath삽입’ 보안 약점이 통합된 것입니다. ‘2. 코드 삽입’ 보안 약점은 ‘1. SQL 삽입’, ‘3. 경로 조작 및 자원 삽입’, ‘5. 운영체제 명령어 삽입’ 등과 같은 삽입 취약점과 같은 개념으로 eval()과 같은 함수로 이루어진 코드(명령어)가 검증되지 않고 실행 가능할 때 발생할 수 있는 보안 약점입니다. ‘8. 부적절한 XML 외부 개체 참조’ 보안 약점은 OWASP TOP 10 (2017)에서도 발표됐던 항목으로 취약한 XML 파서가 외부 개체를 삽입한 XML을 검증 없이 그대로 처리하게 될 시 발생할 수 있는 보안 약점입니다. ’12. 서버사이드 요청 위조’ 보안 약점은 서버사이드에서 이루어지는 요청을 검증하지 않아 의도하지 않은 서버로 요청이 가게 되거나 요청이 변경될 수 있는 보안 약점입니다. 크로스사이트 요청 위조와 유사하지만, 클라이언트가 아닌 서버에 영향을 줘 파급력이 크며, OWASP TOP 10 (2021)에도 새롭게 순위를 차지했습니다. [2. 보안 기능] 영역에서 신규 추가된 항목은 ‘10. 부적절한 전자서명 확인’, ‘11. 부적절한 인증서 유효성 검증’ 2개인데요. 기존 ‘중요정보 평문저장’, ‘중요정보 평문전송’ 항목이 통합돼 ‘5. 암호화되지 않은 중요정보’ 항목이 됐고, 기존 ‘하드코드된 패스워드’, ‘하드코드된 암호화 키’ 항목이 통합되어 ‘6. 하드코드된 중요정보’ 항목이 됐습니다. ‘10. 부적절한 전자서명 확인’ 과 ‘11. 부적절한 인증서 유효성 검증’ 항목은 전자서명법 개정으로 간편인증과 같은 민간 인증사업자의 다양한 전자서명인증서비스가 활성화되며, 이에 따라 발생할 수 있는 위험을 줄이고자 추가된 항목으로 보입니다. 전자서명 및 인증서에 대한 유효성 검증이 적절하지 않아 발생하는 보안 약점입니다. [3. 시간 및 상태] 영역은 기존 소프트웨어 개발 보안 항목과 변동된 점이 없으며, [4. 에러처리] 영역의 ‘오류 메시지 정보 노출’ 항목이 기존 [6. 캡슐화] 영역의 ‘시스템 데이터 정보 노출’ 항목과 통합됐습니다. [5. 코드오류] 영역에서는 ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목이 새롭게 추가됐습니다. ‘5. 신뢰할 수 없는 데이터의 역직렬화’ 항목은 직렬화된 데이터를 원래 객체(Object)로 복원할 때 적절한 검증 없이 수행해 발생하는 보안 약점으로, OWASP TOP 10 (2017)...
- 블로그 [이벤트] LG CNS Fun IT Quiz 3월 매월 LG CNS 블로그에 소개된 콘텐츠의 내용으로 진행되는 ‘LG CNS Fun IT Quiz’ 시간입니다. 이번 3월은 ‘빈칸 채우기’로 진행해보려고 하는데요. 아래 문제를 보고 빈칸의 정답을 맞혀주세요.정답은 아래 배너를 클릭하고 남겨 주시면 됩니다. 참여하시는 분들 중 추첨을 통해 푸짐한 상품을 드립니다.문제가 알 듯 말 듯 아리송하다면, 힌트를 클릭해 보세요. 쉽게 맞힐 수 있을 거예요! 문제 및 힌트 보기 문제 1번 이제 일반인도 프로그램을 개발할 수 있는 시대입니다. 개발언어를 입력하지 않아도 프로그램을...
- 블로그 [당첨자 발표] LG CNS 블로그 누적 방문자 1,000만 명 돌파 이벤트 LG CNS 블로그 누적 방문자 1,000만 명 돌파했소! 이벤트에 참여해 주신 모든 분께 감사드립니다!앞으로도 독자 여러분께 더 많은 도움드릴 수 있는 LG CNS 블로그가 되도록 노력하겠습니다. 이벤트에 당첨된 행운의 주인공을 발표합니다.아래 성함과 휴대폰 번호 뒷자리 확인 부탁드립니다. 스타벅스 카페 아메리카노 Tall 기프티콘 당첨자(100명) PC의 경우 Ctrl+F 를 눌러 휴대번호 뒷자리를 검색하시면 용이합니다. 정*현 9721 주*영 1015 강*승 7908 김*혜 0872 원*신 0109박*률...
- 블로그 거짓말 아님 주의! 코드 없이 코딩한다 ‘LG CNS DevOn NCD’ 인터넷 기술이 도입된 이후 만들어 진 수많은 디지털 서비스는 프로그래밍 언어와 같은 특정 기술을 가진 개발자만이 만들 수 있었습니다. 새로운 디지털 비즈니스를 하고 싶어도 쉽게 할 수 없는 일종의 진입장벽이 있는 셈이죠. “코딩 없이 프로그램을 개발한다.”는 말은 몇 년 전만 해도 “칼질 없이 요리한다.”, “악보는 모르지만 작곡을 한다.”처럼 믿기 힘든 말이었습니다. 이제 이런 이야기들은 ‘라떼’가 됐습니다. LG CNS가 프로그래밍 언어를 알지 못하더라도 프로그램 개발을 할 수 있는 플랫폼 ‘DevOn NCD’를...
- 블로그 [이벤트] LG CNS Fun IT Quiz LG CNS Fun IT Quiz 이벤트 LG CNS 블로그에 소개된 콘텐츠 내용으로 진행되는 Fun IT Quiz!이번엔 빈칸 채우기로 여러분을 찾아갑니다. 문제를 보고 빈칸의 정답을 아래 배너를 클릭하고 남겨주세요.참여해주시는 분 중 추첨을 통해 푸짐한 상품을 드립니다.힌트 보기를 활용하시면 쉽게 정답을 맞힐 수 있습니다. 문제 및 힌트 보기 문제 1번 챗봇의 OOO OO 기술을 바퀴에 비유한다면 결국 ‘바퀴를 재발명할 것인가?’라는 질문에 대한 답을 찾아야 할 것입니다. 잘 만들어진 바퀴로 자동차를 만들 수 있는 기업이라면 바퀴를...
- 블로그 LG CNS 블로그 독자 초청 스마트팩토리 세미나 안내 [신청 마감] 독자 여러분의 성원에 감사드립니다.세미나 신청이 마감되었습니다. 참여 대상자분에게는 금주 중으로 안내드리겠습니다.더욱 알찬 내용의 세미나로 찾아뵙겠습니다.감사합니다. 이제는 4차 산업혁명 시대! IoT, 빅데이터, 인공지능과 만나 더 똑똑해지고, 자율적으로 움직이는 공장을 어떻게 구현하고 스마트하게 활용할 수 있을까요? 스마트팩토리에 대해 궁금하신 블로그 독자 여러분을 위해 이번 LG CNS 블로그 세미나에서는 4차 산업혁명 시대의 스마트팩토리 전략에 대해 소개해 드립니다. 4차 산업혁명 시대의 스마트팩토리 전략 – 일시: 5월 31일(목) 오후 7시 ~ 8시 30분– 장소: 강서구 마곡동 LG사이언스파크 E13 대강당– 신청 마감: 5월 23일(수)까지 스마트팩토리에 대해 관심...
- 블로그 LG CNS Fun IT Quiz 이벤트 당첨자 발표 LG CNS Fun IT Quiz 이벤트에 참여해 주신 모든 분께 감사드립니다!앞으로도 독자 여러분께 더 많은 도움드릴 수 있는 LG CNS 블로그가 되도록 노력하겠습니다. 이벤트에 당첨된 행운의 주인공을 발표합니다. 가로 1번 문제 깃(Git)을 대중화하는 동시에 오픈소스 개발자들을 확산하는 데 중요한 역할을 한 웹 서비스. GitHub 원문 보기 클릭 가로 2번 문제 4차 산업혁명 꿈나무 육성을 위해 LG CNS에서 시행하고 있는 무료 코딩교육 프로그램. 코딩지니어스 원문 보기 클릭 세로 1번 문제 보안을...
- 블로그 코딩지니어스 대학생 서포터즈 모집 Coding Genius 서포터즈는 LG CNS 사회공헌 프로그램의 대학생 자원봉사단으로 활동하며,중학생들이 IT와 관련한 꿈과 끼를 찾을 수 있도록 도와주는 역할을 합니다. 모집대상 및 인원 : 서울 및 수도권 대학교 재(휴)학생 20명 (컴퓨터 관련 전공자 우대) 모집일정– 서류접수 : 2017년 3월 09일(목) ~ 2017년 3월 15일(수)– 서류 합격자 발표 : 2017년 3월 16일(목)– 면접 : 2017년 3월 18일(토)– 최종 합격자 발표 : 2017년 3월 21일(화) ※ 발대식 및 교육이 3월 28일 예정되어...
- 블로그 [이벤트] LG CNS Fun IT Quiz LG CNS Fun IT Quiz 이벤트 LG CNS 블로그에 소개된 콘텐츠 내용으로 매 월 진행되는 Fun IT Quiz!1월은 낱말 퀴즈로 여러분을 찾아갑니다. 아래 퍼즐 문제 빈칸의 정답을 비밀 댓글로 남겨주세요. 참여해주시는 분 중 추첨을 통해 푸짐한 경품을 드립니다. 힌트 보기 가로 1번 문제 홀로렌즈을 이용해 3D 그래픽을 증강현실에서 디자인할 수 있도록, 마이크로소프트가 시험용으로 개발한 앱. OO OOOO 힌트 보기 클릭 가로 2번 문제 유럽과 미국에서 다양한 분야의 학자들에 연구되었던 수학의...