LG CNS 자세히보기

IT Solutions/Security 114

테스트 수행 시 고객정보 유출 방지 위한 데이터 변환 방안

금융권 프로젝트에서 IT 시스템에 대한 테스트 수행 시 전자금융감독규정에 의거하여 실제 이용자 정보를 사용할 수 없고, 변환해 테스트 데이터를 만들어 사용하도록 규정하고 있습니다. [전자금융감독규정] 제13조(전산자료 보호 대책)① 금융회사 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호 대책을 수립•운용하여야 한다.10. 이용자 정보의 조회·출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지(다만, 부하 테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다) 전자금융감독규정, 출처: 법령정보센터, 2013.12.3 기준 그럼에도 불구하고 2014년 카드 3사의 고객정보 1억 400만 건이 유출되는 사..

클라우드 보안 체계 수립 및 보안 모니터링 방안

최근 수년 사이에 클라우드 서비스가 빠른 속도로 확산되고 있으며 다수의 기업들이 기존의 On-premises 환경의 인프라를 부분적•전면적으로 클라우드 환경으로 전환하고 있습니다. 또한 신규 서비스 구축 시에 처음부터 모든 환경을 클라우드에 구성하는 사례도 점점 늘고 있어 클라우드 환경에서의 보안 수준을 On-premises 수준과 동일한 레벨로 보안 대책을 수립하고 적용해야 하는 상황입니다. 반면 클라우드 서비스 사업자는 “책임 공유 모델”이라는 논리로 클라우드 환경에서의 보안을 클라우드 사업자가 모두 책임지는 것이 아니라 고객과 일정 부분 책임을 나누어 각자 담당해야 한다고 주장하고 있습니다. 아래 그림과 같이 IaaS 환경에서는 클라우드 사업자는 H/W 영역과 가상화 자원에 대한 제공을 책임지고 가..

클라우드 보안 사고 사례 및 보안 관리 책임

가트너(Gartner)는 2019년 전 세계 퍼블릭 클라우드 시장의 규모는 2018년 1,824억 달러에서 17.5% 증가한 2,143억 달러에 이를 것으로 전망했습니다. 가트너는 2022년까지 클라우드 서비스 시장 규모 및 성장세가 전체 IT 서비스 성장세의 약 3배 이를 것으로 예상했습니다. 국내에서도 과학기술정보통신부(이하 과기정통부)는 “제2차 클라우드컴퓨팅 발전 기본계획”을 공표하며 국내 클라우드 산업의 발전 의지를 내세우고 있습니다. 과기정통부에 따르면 클라우드 시장 규모는 연평균 해외 23.1%, 국내 16.8%의 급성장이 예상됩니다. 미국, 영국, 일본 등은 중앙정부, 지방정부 등의 정보 시스템 구축 시 클라우드를 우선 활용하도록 하는 ‘Cloud First’ 정책을 추진하고 있습니다. 국..

‘DID’ 향후 사용자 인증 기술은?

여러분은 어떤 수단으로 사용자 인증을 사용하시나요? 사실 작년까지만 해도 사용자 인증에 있어서 가장 큰 이슈는 비밀번호 대체 수단이었습니다. 이에 스마트폰이 대중화되고 FIDO 표준을 따르는 지문인식이 사용되면서, 생체인증이 인증 기술의 가장 큰 이슈가 되었습니다. 사실 FIDO 자체는 비밀번호뿐만 아니라 PIN, 패턴, 지문인식, 안면인식 등의 포함한 여러 가지 인증 수단을 쓸 수 있음에도 불구하고 지문인증이 가장 많이 사용되면서, FIDO는 생체인증의 대명사(?)로 사용되고 있습니다. 작년에 FIDO 2.0 표준이 발표되면서 이제는 스마트폰뿐만 아니라 IoT 기기, 웹 브라우저 등에서도 생체인증을 사용할 수 있는 확장 되면서, 생체인증은 점점 더 대중화되고 있는 상황입니다. FIDO가 대중화될 수 있..

디지털 포렌식, 기업 비즈니스에 활용하자

“세월호 참사, 최순실 국정농단 사태, 정준영 불법 촬영, 그리고 숙명여고 시험지 유출 사건 등” 최근 법원에서 디지털 증거를 법정 증거로 채택하면서, 투명하고 공정한 수사 및 판결에 디지털 포렌식 기술이 필수불가결(必修不可缺)한 요소가 되었습니다. 또한 과학수사와 공공분야에서 널리 이용되던 디지털 포렌식 기술이 민간 기업의 회계감사, 내부감사, 컴플라이언스 등 각종 비즈니스 영역으로 도입 및 활용이 되고 있습니다. 동시에 클라우드(Cloud), 사물인터넷(IoT), 빅데이터 등으로 대표되는 제3 플랫폼의 등장으로 디지털 포렌식 패러다임에도 많은 변화를 요구하고 있습니다. 미국의 시장조사 컨설팅 전문기관인 트랜스페런시 마켓 리서치(Transparency Market Research)에 따르면, 전 세계 ..

온라인 광고 시장과 개인정보보호

2019년 1월 2일 자 파이낸셜뉴스 기사는, “프랑스 정부가 구글에 개인정보보호규정(GDPR) 위반으로 5,700만 달러(약 643억 원) 과징금을 부과했다.”라고 보도하고 있습니다. 부과된 과징금액의 규모뿐만 아니라, 전 세계 스마트폰 OS 시장의 80% 이상 점유하는 기업, 구글에 부과했다고 하니, 일반인들에게도 충분히 자극적인 내용이었습니다. 과징금 처분 사유에 대해서는 "구글이 이용자들에게 개인정보가 어떻게 수집되고 사용되는지 충분히 설명하지 않았다"면서 "또 개인정보를 이용해 특정 광고 대상자에 '타깃 광고'를 노출하는데, 이용자의 개인정보 제공 동의를 적절하게 받지 않았다."라고 프랑스 CNIL의 발표를 인용 보도했습니다. 이 기사를 배경으로, 온라인 광고 시장에서 어떠한 개인정보가 활용되는..

IT Solutions/Security 2019.10.01 (1)

보안은 개발부터!! 데브섹옵스(DevSecOps)

2012년 말 가트너는 "DevOpsSec: Creating the Agile Triangle."라는 문서를 통해 기존의 DevOps보다 발전된 새로운 DevSecOps라는 개념을 시장에 소개했습니다. 가트너에서는 이후에도 2016년 "DevSecOps: How to Seamlessly Integrate Security Into DevOps", 2017년 “Gartner Top 10 Strategic Technology Trends for 2018” 등의 문서로 DevSecOps의 중요성을 계속 강조하고 있습니다. 가트너는 DevSecOps를 가장 빠르게 성장하는 분야 중 하나라고 명명하고 2021년까지 Rapid Development Team 중 80%가 DevSecOps를 활용할 것으로 예측했습니다...

악성 메일 대응 훈련은 APT 공격도 막을 수 있다

“의심스러운 이메일은 열어보지 않기”, “이메일에 포함된 의심스러운 인터넷 주소는 클릭하지 않기” 등과 같은 이메일과 관련된 내용은 항상 빠짐없이 등장하는 보안 수칙일 것입니다. 이는 여전히 많은 사람이 의심스러운 이메일을 열어보고 있으며, 해커와 사이버 범죄자들에게 효과 좋은 관문이기 때문일 것입니다. 피싱 vs 스피어 피싱 피싱(Phishing)은 전자우편 또는 메신저 등을 사용해서 신뢰할 수 있는 단체 및 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 개인정보와 같이 기밀을 필요로 하는 정보를 부정하게 얻으려는 오늘날 대표적인 온라인 사기 방식(사회 공학 기법, Social Engineering)의 한 종류입니다. 특히, 과거에는 누가 봐도 수상하고, 뜬금없는 제목의 피싱 메일이 주를 이뤘다면..

클라우드 자원 설정 취약점 관리의 중요성

최근 국내 많은 기업이 퍼블릭 클라우드 도입을 고려하고 있거나 이미 클라우드로 전환 중입니다. 정부도 2021년까지 세계 10대 클라우드 강국으로 도약한다는 목표 아래, 클라우드 이용 확대를 위한 법 개정이나 관련 제도를 개선하고 하고 있습니다. 특히, 올해부터 시행되는 개정된 전자금융감독규정에 따라 이제 금융회사의 핵심 시스템도 퍼블릭 클라우드로 전환할 수 있게 되었습니다. 그러나 이런 분위기에 찬물을 끼얹듯이 클라우드 보안 사고도 계속 발생하고 있습니다. 최근 보안 사고의 원인 중 대다수는 임직원의 보안 취약한 설정 문제 2019년 4월 페이스북의 개인정보 5억여 개가 공개된 클라우드 서버에 무방비로 노출되었던 사고가 있었습니다. 같은 해 1월에는 미국의 금융사들이 보유하고 있던 약 2,400만 건의..

4세대 암호, 완전동형암호란?

‘동형(Homomorphic)’이란, ‘같음(Same)’ 뜻하는 고대 그리스어인, ὁμός(Homos)와 “모양(Shape)이나 형체(form)”를 뜻하는 μορφή(morphe) 의 결합에서 유래되었습니다. 한 걸음 더 나아가서, ‘동형’이라는 단어는 대수학(Algebra)에서 비롯된 단어로, 연산의 구조가 유지되는 함수를 가리킵니다. 예를 들면, 지수 함수인 f(x) = ex는 동형함수입니다. 왜냐하면, ex+y = ex * ey 로서, 지수 함수는 양의 실수군에 대해 동형인 함수입니다. 그렇다면 ‘동형암호(Homomorphic Encryption)’는 무엇일까요? ‘동형(同形)암호’란 평문에 대한 연산을 수행한 후 암호화한 결과(암호문)와 각각의 암호문에 대하여 연산을 수행한 결과가 같은 값을 가지..