본문 바로가기

보안

스마트폰의 보안 위협과 대응 방안 모바일이란 '움직이기 쉬운'이라는 뜻의 라틴어 mobilis에서 유래하여 ‘고정되어 있지 않고, 이동하기 쉬운’이라는 사전적 의미를 갖고 있습니다. 오늘날 정보통신 분야에서는 이동성을 가진 휴대용 통신을 통칭하여 모바일(mobile)이라고 부르고 있죠. 모바일의 대표는 ‘손 안의 PC’로 불리는 스마트폰으로 대중화를 넘어 이제 생활의 필수품이 되었습니다. 현재 우리나라 성인 인구 4천1백만여 명 중 83%인 3천4백만여 명이 스마트폰을 보유하고 있는데요. 스마트폰 보급률은 아랍에미리트(90.8%), 싱가포르(87.7%), 사우디아라비아(86.1%)에 이어 세계 4위(KT경제경영연구소 '2015년 상반기 모바일 트렌드' 보고서)에 이르고 있습니다. 이 시간에는 이처럼 빠르게 보급되어 점차 인터넷에 연결되는.. 더보기
정보보호 관련 인증 및 평가 제도 현재 국내에서 운영되고 있는 보안관련 인증•평가 제도 중 의무적으로 받아야 하는 대표적인 제도가 ISMS(Information Security Management System)인증제도입니다. 하지만, 이 외에도 국내에서 운영 중인 보안 관련 인증•평가 제도가 여러 개가 있고, 각 제도 별로 유사한 부분이 많아 혼란스러운 점이 있습니다. 이번 시간에는 현재 운영 중인 대표적인 보안 관련 인증•평가 제도를 알아보도록 하겠습니다. 보안관련 인증제도 현황 5~6년 전까지만 해도 보안과 관련된 인증제도를 준비한다면 'ISO 27001을 준비할까? 아니면 ISMS를 준비할까?' 정도의 고민을 했는데요. 두 제도 모두 정보보호 관점에서 관리체계에 대한 수준을 평가하고 인증해 주는 제도입니다. ISO 27001이 국제.. 더보기
ISMS 인증 주요 결함항목 및 대응방안 지난 시간까지 ISMS 인증에 대한 소개 및 보안솔루션 구성방안에 대해서 설명을 드렸습니다. 그렇다면 ISMS 인증심사 과정에서 자주 나오는 주요 결함항목에는 어떤 것이 있을까요? 이번 시간에는 인증심사 시 발견되는 주요 결함항목들에 대해 알아보고, 이에 대한 보완조치를 위해 어떤 대응방안들이 있는지 알아보고자 합니다. 먼저 ISMS 인증 심사기준에 대해서 알아보도록 하겠습니다. ISMS의 인증심사 기준은 정보보호 5단계 관리과정 요구사항 12개 통제항목, 정보보호대책 13개 분야 92개 통제 항목 총 104개 통제사항으로 구성되어 있습니다. 그 중에서도 주요 결함항목은 매년 인증심사에서 도출된 결함을 정리•분석하여 도출되며, 차년도 인증심사에 활용 및 인증기준 개정 시 반영되는 중요한 항목들입니다. 따.. 더보기
ISMS 인증을 위한 보안솔루션 구성방안 ISMS 인증을 받으려면 어떤 보안솔루션을 구축해야 할까요? 2015년 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 개정으로 ISMS 인증 대상이 매출 또는 세입이 1,500억 원 이상인 기업과 기관으로 확대되었습니다. 웬만한 규모의 기업과 기관들은 모두 보안을 소홀히 할 수 없도록 법이 점차 강화되고 있는데요. 여러분이 속한 곳도 지금은 ISMS 인증 대상이 아닐지라도 추후에는 ISMS 인증 대상이 될 가능성이 많습니다. ISMS 인증을 위해서가 아니더라도 보안을 위해서 지켜야 할 사항은 무엇인지, 어떤 보안시스템을 구축해야 하는지 미리 알아둔다면 향후에 보다 쉽고 안전하게 여러분의 기업과 기관을 지킬 수 있을 것입니다. 이번 포스팅에서는 ISMS에서 요구하는 각 항목에 대해 어떤 보안솔루션을 .. 더보기
ISMS 의무인증 대상 확대! 어떻게 대응해야 할까? 2015년 12월, 개인정보보호와 관련된 정보통신망법이 개정되었습니다. 정보통신망법은 개인정보 유출 등 관련 사고가 있을 때마다 개인정보보호 강화 측면에서 지속적으로 개정되어 왔는데요. 특히 이번 개정안에는 일반기업이나 공공기관 등에 큰 영향을 미칠 수 있는 항목이 포함되어 있습니다. 바로 정보보호관리체계(Information Security Management System, 이하 ISMS) 인증 의무대상이 매출 또는 세입이 1,500억 원 이상인 업체로 확대되어 많은 기업이 의무적으로 ISMS 인증을 받아야 하는 상황이 되었습니다. 2014년 중소기업청 발표 기준 매출액 1,500억 원 이상 중견기업의 수가 3,826개라고 하는데요. 이중 상당수 기업이 ISMS 인증 의무대상에 해당할 것으로 보입니다... 더보기
내 정보가 인질이 되었다! 랜섬웨어 2015년 한 해를 뜨겁게 달구었던 보안 사건사고 중에 대표적인 이슈를 한가지 꼽으라면 바로 ‘랜섬웨어(Ransomware)’일 것 같습니다. 2015년 이전에는 주로 정보보안 전문가들 사이에서 회자되던 용어가 이제는 일반 대중들에게도 널리 알려지게 되었는데요. 오늘은 랜섬웨어란 무엇이고, 어떻게 대비해야 할지 독자 여러분께 소개해 드리겠습니다. 랜섬웨어(Ransomware)에 대해 알아보기 전에 해당 용어의 어원에 대해서 먼저 알아볼까요? ‘Ransomware’는 몸값을 뜻하는 단어인 ‘Ransom’과 제품을 뜻하는 단어인 ‘–ware’가 합쳐져서 만들어진 단어인데요. 이는 악성코드를 분류할 때 흔히 사용하는 방법으로, Malware, Ad-Ware, Spyware 등의 용어도 이와 같은 방식으로 단어.. 더보기
네트워크 접근 제어(NAC), 네트워크 보안을 책임지다! 과거 전통적인 IT 보안은 바이러스, 해킹 등의 외부 침입에 집중되어 있었습니다. 그러나 이제는 IT 기술의 발달과 그에 따른 업무 환경의 변화로 인해 이동성이 강한 노트북, 스마트폰, PDA, 패드 등 모바일 기기까지 챙겨야 하는데요. 그렇다면 이를 위해 어떤 방법이 연구되었고, 또 사용되고 있을까요? 지금부터 함께 알아보겠습니다. '네트워크 접근 제어(Network Access Control, 이하 NAC)'란 단말기(PC 등)가 네트워크에 접근하기 전 보안 정책 준수 여부를 검사하여 네트워크 사용을 제어하는 것을 말합니다. 또한 NAC 시스템은 네트워크에 연결된 단말기의 여러 가지 정보를 수집하고, 수집된 정보를 바탕으로 단말기들을 분류하는 것이죠. 그리고 분류한 그룹의 보안 위협 정도에 따른 제어.. 더보기
물리보안과 정보보안이 만나 ‘융합보안’으로 진화하다 지난 시간에는 보안 위험 분석 방법론의 장단점과 앞으로의 발전 방향에 대해 알아보았는데요. 오늘 이 시간에는 연재기획 5편으로 물리 보안의 발전 동향에 대해 살펴보겠습니다. 물리 보안이란 물리적 보안 통제 수단을 적용하여 사람•물품•차량 등의 물리적인 위협 수단으로부터 정보•인명•시설을 보호하는 것을 의미합니다. 즉 인가자•비인가자의 출입 관리, 천재지변으로부터의 시설 보호, 방범 관리 등 모든 물리적 위협에 대해 보안을 지키는 것이죠. 전통적으로 보안은 '물리 보안'과 '정보 보안'으로 구분되어 따로 발전해 왔는데요. 과거에는 정보 보안의 중요성으로 인해 물리 보안의 중요성을 낮게 보는 경향이 있었습니다. 그러나 최근 가장 기초가 되는 물리 보안이 취약하면 다른 보안들의 안정성도 보장할 수 없다고 인식.. 더보기