본문 바로가기

IT Solutions/Security

공공사업 기회 잡으려면? 2020 보안 적합성 이해해야 공공사업 프로젝트는 SI 회사들이 많은 경험을 쌓을 기회인데요. 공공사업은 공공의 정보를 다루는 사업의 특성상 국가정보원의 국가 정보보안 기본 지침을 준수해야 합니다. 관련 제도가 계속 변화함에 따라 그 트렌드를 잠시 놓치게 되면 사업 기회를 놓칠 수도 있는데요. 다음은 최근에 공개된 대규모 사업의 제안 요청서 중 보안 요건 관련한 일부 자료입니다. l RFP상 보안 요건 관련 항목 (출처: 우정사업본부 홈페이지), 재구성 여기서 보시면 국정원 검증필 암호에 대한 내용과 CC 인증 필수 제품 유형 군에 대한 내용이 기술되어 있습니다. 위 요구 사항을 검토하기 위해 인증 기준 변화에 대해 살펴보고, 최근 2020년 기준의 보안 적합성 검증에 관해 확인해 공공기관 프로젝트 수행 시 도움이 되고자 이 글을 작.. 더보기
보안 사고, 'SOAR'로 대응하자! 지금까지 기업의 보안 투자는 예방과 탐지에 집중되었습니다. 방화벽, IPS, Anti-Virus 등 사전 차단을 위한 솔루션과 SandBox, AI 기반의 지능화된 탐지 솔루션, 그리고 보안 솔루션의 로그를 통합하는 SIEM 솔루션까지 예방과 탐지를 위한 다양한 솔루션을 구축했습니다. 지금까지의 투자를 통해 보안 이상 징후를 탐지할 수 있는 체계는 갖추게 되었지만 여전히 보안 사고는 발생하고 있으며, 발생한 보안 사고의 원인을 분석해 보면 피해 발생 전 이상 징후가 있었으나 제대로 대응하지 못한 경우가 다수 확인되었습니다. 하인리히(Heinrich) 법칙을 한 번쯤 들어 보셨을 겁니다. 하나의 큰 사고 이전에는 29건의 작은 사고와 300건의 사소한 징후가 나타난다고 하며, 이 법칙에 따르면 보안 사고도.. 더보기
개인정보 보호 비상! 글로벌 컴플라이언스에 대응하려면? (下) 이번 시간은 지난 시간에 이어 ‘개인정보 보호 처리 단계별 보호 조치, 대상 시스템의 기술적 보호 조치, 공개된 장소에 대한 영상 모니터링’에 대해 알아보겠습니다. ● 개인정보 보호 비상! 글로벌 컴플라이언스에 대응하려면? (上) 보기 개인정보 처리 단계별 보호 조치 개인정보의 Lifecycle(수집 ▶ 저장 ▶ 이용•제공 ▶ 파기)에 따라 준수해야 할 내용은 다음과 같습니다. ● 수집 모든 국가에서 개인정보 수집 시 적법한 근거 중 하나로 정보 주체의 동의를 채택하고 있습니다. 따라서, 국가별로 정의한 개인정보 수집 양식 및 방법을 참고해 개인정보를 수집할 때 정보 주체의 ‘동의’기반으로 수집이 될 수 있도록 체계를 수립해야 합니다. 주의할 사항은 EU에서는 실질적으로 거부 의사를 표현하기 어려운 환경.. 더보기
개인정보 보호 비상! 글로벌 컴플라이언스에 대응하려면? (上) 2018년 EU GDPR(General Data Protection Regulation) 시행 이후, 2019년도에는 중국이 네트워크 안전법 세부 시행 방법들을 활발하게 발표했고, 올해에는 CCPA(California Consumer Privacy Act, 캘리포니아 소비자 보호법) 및 국내 데이터 3법 통합이 시행되었습니다. 우리가 한국에서 비즈니스를 수행하는 입장에서 주요 이해 당사국에만 주목을 하고 있지만, 그 범위를 넓혀보면 2018년도 이후에 중남미(브라질, 아르헨티나, 콜롬비아, 멕시코 등), 아시아(대만, 인도, 인도네시아, 말레이시아 등), 중동 및 아프리카(바레인, 나이지리아 등) 등 전 세계에서 “데이터 전쟁”이라 표현 할 수 있을 만큼 모든 국가가 관련 법들을 정비하고 있습니다. 본 .. 더보기
피해 금액 '1조'... 랜섬웨어 공격에 당하지 않으려면? 최근 랜섬웨어(Ransomware) 감염으로 큰 피해를 본 기업들에 관한 기사를 빈번하게 접할 수 있습니다. 랜섬웨어란 사용자 디바이스 또는 네트워크 스토리지 디바이스의 파일을 암호화해 금전을 지불할 것을 요구하는 악성코드의 한 가지 유형입니다. 2000년대 중반에 처음 등장한 랜섬웨어는 약 15년 이상 지속적인 변천과 발전을 거듭하며 현재까지 사이버 위협의 큰 부분을 차지하고 있습니다. 최초로 발견된 것으로 알려진 랜섬웨어는 단순하게 파일을 압축하고 암호를 설정하는 형태로 시작되었으나, 점차 시간이 지나면서 다양하고 고도화된 기술과 전략을 사용하기 시작했습니다. 이러한 전략의 일환으로, 랜섬웨어 공격자들은 개인보다는 상대적으로 경제적 손실의 규모가 큰 기업을 주요 목표로 하고, 가상화폐를 통해 금액을 .. 더보기
업무 메일 열어보니 해킹?! 재택근무 시 지켜야 할 보안 수칙 코로나19 유행 초기, 잠시 위기가 있었으나 전 세계가 주목할 정도로 훌륭한 방역 체계와 성숙한 시민 의식을 통해 심각한 사태를 벗어나 이전의 일상으로 돌아갈 수 있다는 분위기가 조금씩 생겨나기 시작했습니다. 여전히 조심스러웠지만, 코로나 1차 확산 당시 재택근무를 하던 많은 회사도 이전처럼 다시 일터로 출근하는 경우가 많아졌습니다. 1차 확산 당시에 국내 기업 중 LG, 삼성, 현대, SK, 롯데, 네이버, 카카오 등이 원격근무 환경이 갖춰진 대기업을 중심으로 재택근무로의 전환이 시작되었고 한화, 엔씨소프트, 쿠팡 등은 출근조와 재택조를 나누어 순환하는 방식으로 부분적인 재택근무 방식을 채택했습니다. 글로벌 기업인 구글, 아마존, 마이크로소프트 등의 글로벌 기업들도 연말까지 재택근무를 적극적으로 권장하.. 더보기
“우리가 남이가? 우리는 남이다!” 내부자 위협 대처 방안 일반적으로 보안은 크게 해킹이나 악성코드 등 외부 위협에 대응하는 영역과 내부에서 외부로의 데이터 유출 등 내부 위협에 대응하는 영역으로 나눌 수 있습니다. 내부자로 인한 데이터 유출, 침해 등의 위협은 외부 공격보다 그 피해가 크며 사전 탐지 및 대응이 매우 어렵고 까다롭습니다. 2014년에 발생한 국내 3개 금융 회사의 개인 신용 정보 1억 4천만 건 유출, 최근 N번방 피의자 중 한 명에 의한 주민 정보 불법 조회 및 유출 등은 모두 외부 요인에 의한 사고가 아니라 외주 업체 직원, 공익 요원 등 모두 내부자에 의해 발생한 사고였습니다. 이번 글에서는 내부자 위협의 정의와 현황을 확인하고, 위험을 최소화하기 위한 대처 방안에 대해 이야기하고자 합니다. 내부자 위협이란? 내부자 위협이란 조직의 보안,.. 더보기
데이터 3법과 정보 주체 권리 보장 한 방에 정리! 데이터 이용을 활성화하기 위해서 개선이 필요한 「개인정보 보호법」, 「정보통신망 이용 촉진 및 정보 보호 등에 관한 법률(이하, 정보통신망법)」, 「신용 정보의 이용 및 보호에 관한 법률(이하, 신용 정보법)」등 3가지 법률을 데이터 3법이라고 통합해 부릅니다. 4차 산업혁명 시대를 맞아 핵심 자원인 데이터 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있습니다. 특히, 신산업 육성을 위해서는 인공지능(AI), 클라우드, IoT, Mobile 등 신기술을 활용한 데이터 이용이 필수적으로 필요합니다. 한편 안전한 데이터 이용을 위한 문화 정착 및 제도 마련도 시급합니다. 이를 위해 데이터 이용에 관한 규제 혁신과 개인정보 보호 거버넌스 정비의 두 가지 문제를 해결하기 위해 2018년 11월 15.. 더보기

티스토리툴바