본문 바로가기

보안tech

[클라우드보안] AWS 계정을 ‘철통방어’하는 세 가지 방법 L사에 다니는 A 선임은 AWS 아키텍처입니다. 현재 대규모 프로젝트에 참여하고 있는 A 선임은 업무를 마치고 기분 좋게 퇴근했습니다. 그런데 다음날 A 선임은 AWS 리소스의 권한이 변경되거나 삭제된 것을 알게 됐습니다. 이 사실을 PM에 보고하니 PM은 화를 냈습니다. A 선임은 개발자들에게 사고 발생 사실을 알리고 사과 메일을 돌렸고, 여기저기서 한숨 소리가 들렸습니다. A 선임은 경위서와 야근을 준비해야 했습니다. 혹시 A 선임과 비슷한 경험을 하신 적 있나요? 없더라도 A 선임과 같은 일을 겪고 싶지는 않으실 겁니다. 그렇다면 AWS 계정 보안 3가지 방법을 기억해야 합니다. Root 계정은 제한이 없는, 모든 권한을 가지고 있는 계정입니다. 따라서, Root 계정의 Access key를 삭제하.. 더보기
[보안동향] 네트워크망 보안을 책임질 ‘삼총사’는 누구? 네트워크팀에 근무하는 김 과장은 내부망을 구성하는 프로젝트를 진행하고 있습니다. 그런데 프로젝트가 끝나갈 무렵, 외부 보안감사에서 내부망 보안 조치 미흡으로 시정 요청을 받았습니다. 이때, 김 과장은 어떻게 조치해야 할까요? 이와 같은 상황에서 기업에 도입해야 하는 보안 장비 3가지에 대해 알아보도록 하겠습니다. 방화벽은 L3 레이어에서 동작하는 장비로 IP, Port 기반으로 트래픽을 통제합니다. 정해진 규칙에 따라 동작하며, inbound/outbound 트래픽을 모니터링해 필터링합니다. 방화벽을 사용하면 승인받지 않은 사용자의 내부망 접근 통신을 효과적으로 통제할 수 있습니다. 서버에 접속하기 위한 SSL, RDP 통신이나 주요 통신포트인 ICMP, SMB 포트 등에 대해 외부 사용자로부터의 접근을.. 더보기
[보안동향] ‘정보보호 공시’ 분석부터 작성까지 한 번에 끝내세요! 지난 글에서는 정보보호 공시 개요와 대응 업무 절차, 정보보호 공시 준비 자료를 살펴보았습니다. 이번 글에서는 정보보호 공시 자료 분석 및 작성에 관해 알아보겠습니다. 정보보호 공시 투자 영역 집계는 자산 대장과 비용 원장을 기반으로 분석을 진행합니다. 아래는 분석과 관련된 한국인터넷진흥원(KISA)의 가이드와 공시 실무교육 자료를 요약한 내용입니다. 앞에서 언급한 기본적인 분류 기준 방안을 기반으로 아래 세부 항목별 작성을 진행해 보도록 하겠습니다. 자산 분류, 집계와 관련해 KISA 가이드 및 추가적인 질의를 통해 확인한 내용에 대해 알려드리겠습니다. 제조업을 기반으로 하는 기업인 경우 운영기술(OT) 영역의 다양한 장비가 있는데요. KISA에 문의한 결과 산업용 소프트웨어는 정보 기술로 분류해 반영.. 더보기
[보안동향] 정보보호도 ESG! 어떻게 진행해야 할지 막막하다면? 지난 글에서는 정보보호 공시 배경과 정보보호 관련 ESG 동향에 관해 알아보았습니다. 이번 글에서는 정보보호 공시 개요와 함께 대응 업무 범위 및 수행 절차를 살펴보겠습니다. 정보보호 공시는 아래의 의무 대상 기업이 정보보호 투자액, 인력, 정보보호 인증, 정보보호 활동을 공시하도록 규정하고 있습니다. 정보보호 공시 진행 시에 회계법인 또는 감리법인을 통해 정보보호 공시 사전 점검자료를 제출한 후 공시하는 경우에는 사후 검증 면제의 혜택이 제공됩니다. 사후 검증의 경우, 공시 후 제출 기업 중 20%의 표본 기업을 대상으로 제출한 공시 내용에 대한 사후 점검을 수행합니다. 제출 기업의 정확한 공시 작성은 물론 제출된 공시 자료를 검증해 신뢰도를 높이고자 하는 검증 절차상의 단계입니다. 다수의 기업이 전문.. 더보기
[보안동향] 이것도 ESG? 이젠 ‘정보보호 공시’도 챙겨야 할 때! 정보보호 공시제도는 2021년 처음으로 시행됐습니다. 정보보호산업의 진흥에 관한 법률 개정에 따라 공시의무대상 기업은 작년 6월 30일 전까지 정보보호 투자/인력/인증/활동 현황을 공시시스템상에서 의무 공시를 하게 됐습니다. 제도가 시행되기 전인 2016년부터 한국인터넷진흥원(KISA)에서는 사전 정보보호 공시 모의 수행 및 검증 지원 사업을 진행해 왔는데요. 정보보호에 대한 객관적인 기업의 투자와 정보보호 활동을 판단할 수 있는 기준을 제시했습니다. 이를 통해 투자자/이용자에게 기업 신뢰도 평가와 이용자 보호를 위한 객관적 정보를 제공받아 평가할 수 있게 됐습니다. 최근 ESG 경영과 기업의 ESG 평가에 국내외 정보보호 항목이 포함됐습니다. 기업 경영에서 고려해야 할 중요한 변수로 정보보호 투자 및 .. 더보기
[보안동향] 효율적인 ‘방화벽 정책 관리’ 두 가지만 기억하세요! 2편 지난 글에서는 방화벽 정책 관리의 주요 문제점을 알아보았습니다. 이번 글에서는 방화벽 정책의 효율적인 관리 방안을 살펴보겠습니다. 그렇다면 방화벽 정책의 효율적인 관리 방안은 무엇일까요? 1. 먼저 기업, 기관의 업무환경에 맞는 정책관리 기준과 절차를 수립하고 이행하는 것입니다. 기업과 기관에서는 수년간 운영해오던 수많은 방화벽 정책에서 단 한개의 잘못된 삭제가 서비스 중단으로 이어지진 않을까 하는 불안감 때문에 정책 관리를 포기할 수 있습니다. 이러한 사태를 예방하기 위해, 네트워크 Zone 분리를 위한 내/외부 방화벽 서비스 용도에 맞은 운영 기준을 설정해야 합니다. 또한, 서비스, 관리/운영, 테스트, 차단 룰 등의 룰 관리 정책을 수립하고 정기적으로 적정성 검토를 수행하는 절차가 필요합니다. 아래.. 더보기
[보안동향] 효율적인 ‘방화벽 정책 관리’ 두 가지만 기억하세요! 1편 AI(인공지능), IoT(사물인터넷), 클라우드 등 빠르게 변하는 IT 환경 속에서 해킹 기술 또한 날로 지능화·고도화되고 있습니다. 보안사고도 매일 끊임없이 발생하고 있죠. 이번 글에서는 기업, 기관의 보안담당자와 정보보호 책임자가 간과하기 쉬운 네트워크 접근통제 보안영역 중 ‘방화벽 정책 관리’에 대해 고민해 보고, 대응 방향을 제시하고자 합니다. 방화벽 정책 관리는 왜 필요하고, 왜 중요한 걸까요? 보안관리 절차에 따라 검토, 승인된 정책만 적용하고 있다면 보안에 문제가 없는 걸까요? 방화벽 정책 수립과 최적화 컨설팅을 몇 차례 수행하면서 알게된 점이 있습니다. 통제·보호해야 할 대상을 정확하게 식별해 보호 대상 시스템 변화에 따른 정책을 관리하고, 불필요하게 허용된 정책은 없는지 정기적으로 점검하.. 더보기
[보안동향] 개인정보 해외 이전, ‘이것’만 체크하면 걱정 끝! 2편 지난 글에서는 CBPR(Cross Border Privacy Rules)의 장점과 함께 적용 사례를 살펴보았습니다. CBPR은 ‘국경 간 프라이버시 규칙’이라는 의미로, 회원국 간 데이터 활용을 장려하기 위한 개인정보보호 자율인증제도입니다. 이번 글에서는 CBPR과 ISMS-P(개인정보 보호관리체계 인증제도)의 차이점과 CBPR 인증 심사 절차에 관해 알아보겠습니다. 인증기준은 아래와 같습니다. CBPR은 개인정보 항목만 다루고 있습니다. ISMS-P에서 개인정보 관련 부분이 CBPR과 유사한데요. 실제로 CBPR을 신청할 때 ISMS-P 획득 여부를 기입하도록 하고 있습니다. CBPR 인증기준이 ISMS-P 보다 낮기 때문에 ISMS-P 인증기업이라면 CBPR도 어렵지 않게 인증 받을 수 있는데요, 인.. 더보기