LG CNS 자세히보기

IT Solutions/Security 114

ICS 보안에 대한 이해와 약점, 대응 방안

산업 제어 시스템은 흔히 ‘ICS (Industrial Control System, 산업 제어 시스템)’라고 부릅니다. 감시 제어 및 데이터 취득(Supervisory Control And Data Acquisition)을 뜻하는 SCADA와 붙여 ‘ICS/SCADA’로 통칭하기도 하며, 정보통신기반 보호법은 이를 국가안전보장•행정•국방•치안•금융•통신•운송•에너지 등의 업무와 관련된 전자적 제어•관리 시스템이라고 정의하고 있습니다. ICS/SCAD 보안 위협 및 사례 국내에서도 이미 2014년 한국수력원자력 해킹으로 ICS 보안 위협에 대한 인식이 높아져 있습니다. 망 분리 및 최신 보안이 적용된 것으로 알려진 한수원의 원자력 관련 내부망이 해킹되어 당시 사회적 이슈로 대두되었고, 북한과 대치 중인 우..

EU GDPR, 개인정보 보호는 어떻게?

EU GDPR(General Data Protection Regulation)의 시행을 앞두고 이의 적용을 받는 기업•기관들은대응 체계 마련과 함께 법 시행일(5/25) 이후 이에 따른 파급 효과에 대해 초미의 관심을 기울이고 있습니다. GDPR에서 명시된 많은 내용이 국내의 개인정보 관련 법률 수준으로 구체적으로 기술되어 있지 않기 때문에, 국내의 법체계를 참고하여 대응 체계를 수립하고 실제 법이 시행된 이후 법의 적용 방향성에 따라 추가 대응을 신속하게 할 수 있도록 준비하는 추세입니다. GDPR이 국내의 개인정보 유관 법률과 개인정보를 보호하고자 하는 기본 사상은 다르지 않기 때문에 당장 현실적으로 ‘어떻게’를 고민하는 기업이라면, 이런 대응 방법도 나쁘지 않은 방법이 될 수 있습니다. 하지만, 국..

클라우드 전성시대! 보안을 위협하는 12가지

클라우드라는 용어가 생겨나고 우리 삶과 함께하는 것은 이미 오래전 일이 되었고, 이제는 하루도 빠짐없이 기사에 등장하는 그야말로 클라우드 전성시대에 살고 있습니다. 많은 기업이 클라우드를 도입하고 있고, 특히 Public 클라우드는 폭발적으로 성장하고 있습니다. 하지만 환경이 변해도 반드시 지켜야 하는 것이 있습니다. 바로 보안입니다. 클라우드 도입 이전에는 기업 데이터의 유출 및 국가별 Compliance 준수 등을 고려해야 하고, 이후에는 클라우드를 노리는 수많은 위협으로부터 안전하게 지켜야 하는 숙제가 남아 있습니다. 이런 이유로 인해 도입을 망설이게 되고, 도입 후에도 과연 안전할까 하는 의구심을 떨쳐 버릴 수가 없을 것입니다. 그렇다면 클라우드 보안은 어떻게 하면 될까요? 클라우드 보안 연합(이..

스마트팩토리 보안 위협, 어떻게 이겨낼까?

인류는 18세기의 증기기관과 방적기의 발명에 의한 1차 산업혁명과 19세기의 전기를 이용한 자동화 및 대량생산을 통한 2차 산업혁명, 20세기 IT 기술과 산업의 접목을 통한 3차 산업혁명을 이루었습니다. 2016년 1월 스위스 다보스포럼에서 세계경제포럼(WEF) 창시자인 클라우스 슈밥은 기존 산업분류에서 정의되지 않는 모든 산업이 가져올 세계 경제의 변화를 제4차 산업혁명이라 정의했습니다. 제4차 산업혁명이란 과거의 단순한 생산방식에서 벗어나 인공지능기술 및 사물인터넷(IoT), 빅데이터 등 정보통신기술(ICT)과의 융합을 통해 생산과정의 최적화 및 생산성의 급격한 향상이 이루어지고, 이에 따른 제품과 서비스의 지능화로 인하여 경제•사회 전반에 혁신적인 변화가 나타나는 것을 말합니다. 이는 제조 현장에..

보안 위협으로부터 '스마트시티'를 지킬 방법은?

정부 4차 산업혁명 위원회에서 2018년 1월에 ‘도시혁신 및 미래 성장동력 창출을 위한 스마트시티 추진전략’을 발표했습니다. LG CNS 블로그 구독자분들도 몇 년 전부터 인공지능, 빅데이터, 클라우드, 5G, 드론, 스마트카 등 새로운 기술 용어들을 다양한 매체를 통해 접하고 있고, 조금씩 새로운 기술들을 활용한 서비스들을 이용하면서 삶의 질이 향상되고 있는 것을 느끼실 겁니다. 이제는 가스 불을 외부에 나가서도 끌 수 있고, 집에 들어가기 전에 보일러를 켜고, 회사에서 아이들이 집에서 잘 놀고 있는지 지켜볼 수 있는 세상이 되었습니다. 이런 서비스들이 스마트시티 서비스의 한 모습으로 다양한 신기술을 도시에 적용해 도시문제를 해결하고 시민들에게 편리함을 제공하고자 하는 시도가 계속되고 있습니다. 간단..

독일의 데이터 보호법을 통해 알아보는 GDPR 이해

EU의 GDPR(General Data Protection Regulation)은 전년도 전 세계 매출의 최대 4%까지 벌금 부과를 가능하게 하는 등 지난 20년간 알려진 데이터 보호에 관한 법률 중 가장 야심 차고 포괄적인 변화를 제시하고 있습니다. 이는 EU 시민의 데이터 자산을 처리하는 전 세계 모든 회사에 적용됩니다. 본 기고에서는 2018년 5월 25일 발효되는 GDPR의 핵심사항과 벌금조항은 무엇이고, GDPR에 맞춰 개정한 첫 번째 사례인 독일 데이터 보호법의 주요 개정사항에 대하여 살펴보도록 하겠습니다. GDPR에 대한 이해 GDPR의 도입배경은 아래와 같습니다. •DPR은 유럽연합 회원국에 동일하게 적용되는 개인정보보호 일반법으로서, •정보 주체에게 더 많은 통제권을 부여하고, •디지털 ..

IT Solutions/Security 2018.02.05 (2)

국내 개인정보 관리체계의 관점에서 본 EU GDPR

EU의 개인정보보호법이라고 알려진 GDPR의 시행이 5개월 앞으로 다가왔습니다. GDPR은 ‘General Data Protection Regulation’의 약자로, 기존에 지침(Data Protection Directive) 수준으로 공포되었던 EU의 개인정보보호 관련 규정을 법규(Regulation) 수준으로 한층 더 강화했다는 점에서 EU 내 거주자에 대한 개인정보 권익을 더욱 강력하게 보호하겠다는 의지를 표명한 것으로 볼 수 있습니다. 또한, 법규 위반 시 제재 수준을 해당 기업 전 세계 매출액의 4%와 2천만 유로(2017년 12월 기준 약 257억원) 중 높은 금액을 과징금으로 부과할 수 있는 등, 현재 발표된 전 세계의 개인정보 관련 법령 중 최고 강력한 수준의 금전적 제재를 부과할 수 있..

개인정보 영향평가(PIA)는 어떻게 이루어지는가?

지능정보화 기술의 발전에 따라 빅데이터, 사물인터넷 분야에서 개인정보 보호 이슈가 제기되고 있습니다. 이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 규정(GDPR)의 채택에 따른 변화를 주목하고 있다고 이전 글에서도 설명드렸는데요. 2016년, 개인정보 유출 사고에 대한 책임에 대해서 방송통신위원회가 44억 8천만 원이라는 역대 최고 과징금을 부과했습니다. 지금까지 개인정보 유출이나 오•남용은 언제, 어떻게 누구에 의해서 발생했는지 알기도 어려웠는데요. 특히, 정보주체는 손해배상을 받기가 더 어려웠으나, 2016년 7월부터 손쉽게 피해를 구제받을 수 있도록, 법정손해배상제도 및 징벌적 손해배상제도가 본격 시행되었습니다. l 개인정보 보호 관련 법규 공공기관의 개인정보 ..

해외 주요 국가들의 개인정보 보호 방법은?

기술이 빠른 속도로 발전함에 따라, 우리가 살고 있는 현대 정보화 사회에서 정보는 빠르게 유통되고 있습니다. 개인정보 또한 신기술의 발달로 다양한 종류로 발전되고 있는데요. 바이오 정보, RFID, 위치 정보 등이 대표적입니다. 이렇게 다양한 개인정보는 기존 개인의 단순한 확인 용도에서 기업의 부가가치를 창출할 수 있는 핵심자원의 단계까지 발전되었는데요. 최근, 개인정보 유출에 의한 침해 사례가 급증하고 있어, 개인정보의 안전한 관리는 그 어느 때보다 중요한 화두가 되었습니다. 이번 편에서는 개인정보에 대해 자세히 알아보고, 이를 지키기 위한 우리나라의 개인정보보호법 알아보고자 합니다. 더 나아가 이제는 하나의 생활권이 되어 있는 다른 나라들의 개인정보보호에 대한 개념은 어떤지, 어떤 법들이 있는지에 대..

“따라 들어가기” 차단(Anti-tailgating) 설계 방안

물리 보안 영역의 출입통제 설계에 있어, 중요한 설계사항 중 하나인 Anti-tailgating에 대하여 알아보도록 하겠습니다. 일반적으로 업계에서는 Tailgating과 Piggybacking이란 단어를 “따라 들어가기”라는 용어로 사용하고 있는데요. 이를 차단하는 것을 Anti-tailgating과 Anti-piggybacking이라고 합니다. 본 글에서는 Tailgating과 Anti-tailgating이란 단어를 사용하도록 하겠습니다. 출입통제 설계 물리 보안에서 가장 기본이 되는 것은 보호해야 할 자산과 중요 설비가 있는 핵심시설 혹은 중요시설을 파악하고 위험평가(Risk Assessment)에 따라 보호 수준을 구분하는 것입니다. 위험평가 방법에 대해서는 다양한 방법론이 학술적으로 제시됐으며,..