본문 바로가기

보안

[보안동향] 안전한 소프트웨어 개발, 보안 취약점 점검이 답이다! 이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다. ‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다. 2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다. 2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이.. 더보기
[보안동향] 변화하는 소프트웨어 보안, 최근 주요 취약점은? 기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운.. 더보기
[보안동향] 안전한 공공 클라우드 전환, 고려해야 할 것은? *해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다. *해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다. 지난 글에서는 공공 클라우드의 도입 배경을 살펴보고, 공공 클라우드 센터와 민간 클라우드 센터를 비교해보았습니다. 이번 글에서는 공공 클라우드 지정 요건에 관해 알아보겠습니다. 공공클라우드센터로 지정받고자 하는 기관은 아래의 지정요건을 갖춰 행정안전부 장관에게 신청해야 합니다. 1) 공공 클라우드 지정 요건 공공 클라우드 지정 요건은 총 12개 대항목과 82개 세부 항목으로 구성돼 있는데요. 클라우드 센터의 물리보안부터 정보보호 정책과 조직, 침해사고 및 장애 대응, 접근통제, 네트워크 보안, 가상화 보안, 데이터 보호 및 암호화 등을 .. 더보기
[보안동향] 공공 클라우드 보안 이슈 점검하고, DX 경쟁력을 높이세요! 행정안전부는 7월 27일 ‘행정/공공기관 정보자원 클라우드 전환/통합 추진계획’을 발표하고, 오는 2025년까지 중앙정부부처, 지자체 및 공공기관의 정보시스템 가운데 총 10,009개 시스템을 클라우드로 전환/통합하기로 했습니다. 이를 바탕으로 공공기관의 디지털 트랜스포메이션 경쟁력 강화와 국내 클라우드 산업의 발전에 촉매제 역할을 하겠다는 계획입니다. 또한, 공공 클라우드 센터 구축 사업에 민관협력형 클라우드 사업 모델(클라우드 시스템 구축은 민간 사업자가 맡고 공공기관은 사용료를 지불하는 방식) 도입을 고려하고 있습니다. 민/관 협력형 공공 클라우드 센터는 민간기업의 비용으로 건립/구축하고, 행정/공공기관이나 지방자치단체가 전용 클라우드 데이터 센터처럼 활용할 수 있는 시설을 뜻하는데요. 이를 바탕으.. 더보기
[보안동향] ‘니가 왜 거기서 나와?’ 블록체인 속 ‘영지식증명’ 알리바바의 동굴이라는 수수께끼 같은 이야기가 있습니다. 찰리와 스미스, 두 사람은 동굴 입구에서 만나서 동굴을 여는 주문을 공개하지 않은 채로, 동굴 안 비밀 문을 통과해서 다시 만나 주문을 알고 있다는 사실을 증명을 하는 이야기로, 장 자크 키스케다(Jean-Jacques Quisquater)의 논문, 「어린이들을 위한 영지식증명」에서 동굴의 비유를 들어 설명한 영지식증명에 관한 이야기입니다. 필자의 25년 전 기억 속에 오랫동안 묵혀 있던 이 이야기를 어느 날 우연히 블록체인 강의에서 듣게 되었습니다. “블록체인과 영지식증명? 왜?”, “니가 왜 여기서 나와!”, 유행가요의 제목과 같은 느낌으로 영지식증명을 새삼스레 흥미롭게 바라보게 되었습니다. 블록체인 채굴과정의 핵심인 누가 얼마의 새 화폐를 받을.. 더보기
[보안동향] 치밀하게 접근하는 ‘디도스’ 공격, 이렇게 대응하세요! 지난 글에서는 랜섬 디도스와 주요 디도스 공격 유형에 관해 살펴보았습니다. 이번 글에서는 디도스 공격에 어떻게 대응해야 하는지 함께 알아보도록 하겠습니다. 디도스 공격에 대한 대응 방안으로는 자체 방어와 디도스 대응 서비스를 통한 방법이 있습니다. 첫째로, 자체 방어는 자체 디도스 방어 솔루션과 내부 보안 인력을 통해 대응하는 방법인데요. 내부 업무, 서비스에 대한 세밀한 분석을 통해서 최적화된 보안정책을 적용해 비정상적인 외부 트래픽에 대응할 수 있어야 합니다. 또한, 사전에 디도스 공격에 대응하기 위한 충분한 회선과 자원 용량 대비와 함께 디도스 발생 시 대응할 수 있는 대응 프로세스를 수립해 놓아야 합니다. 이러한 대응 프로세스는 주기적으로 자체 또는 외부 기관(민간업체, 금융보안연구원, KISA .. 더보기
[보안동향] 더 강력한 디도스가 나타났다! ‘랜섬 디도스’의 등장 이전에는 정치적, 사회적 목적으로 디도스(분산서비스 거부, DDoS) 공격이 발생했다면, 최근의 디도스 공격은 금전적 목적 달성을 위한 정밀하고, 규모가 큰 공격으로 변화하고 있습니다. 공격 대상도 기존에는 주로 정부, 방송사, 공기업 등이었으나, 최근엔 금융사, 서비스 플랫폼처럼 서비스 중단 시 금전적 손해나 사용자 피해가 큰 기업을 대상으로 이뤄지고 있습니다. 2020년 8월 뉴질랜드 증권거래소가 DDoS 공격으로 중단됐습니다. 국내 한 금융사는 지난해 8월 14일 스스로 ‘펜시베어’라 칭하는 그룹으로부터 이메일을 받았는데요. 자신들이 뉴질랜드 증권거래소(NZX)를 디도스 공격해 서버를 마비시킨 장본인이라고 소개했습니다. 공격은 이메일 발송 직후 지난 2월까지 20여 차례나 이어졌고, 비트코인을 내놓.. 더보기
[보안동향] 당신의 데이터가 인질이 된다! ‘랜섬웨어’는 무엇? 최근 해킹 트렌드는 시스템 파괴보다는 경제적 목적을 위한 공격이 늘어나고 있다는 것입니다. 이러한 공격의 대표적인 예가 바로 랜섬웨어인데요. 랜섬웨어는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성코드의 한 종류입니다. 시스템 접근에 암호화 조치로 제한을 걸어 복호화에 필요한 비용 지불을 강요하는 방식이죠. 최근에는 개인을 넘어서 기업을 공격대상으로 하며, 그 피해가 점점 늘어나고 있습니다. 오늘날 사이버공간에서 행해지는 표적공격 수단의 하나인 랜섬웨어는 언제부터 시작되었고, 어떤 진화를 거쳤을까요? 이번 글에서는 랜섬웨어의 역사와 진화에 대해 알아보고 대응방안을 살펴보도록 하겠습니다. 1) AIDS Trojan 인류 최초의 랜섬웨어는 1989년 하버드대학의 Joseph Popp .. 더보기