LG CNS 자세히보기

사이버시큐리티 11

[보안동향] 안전한 소프트웨어 개발, 보안 취약점 점검이 답이다!

이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다. ‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다. 2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다. 2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이..

IT Solutions 2022.05.06

[보안동향] 변화하는 소프트웨어 보안, 최근 주요 취약점은?

기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운..

IT Solutions 2022.05.04

[보안동향] 현실에서도, 메타버스에서도 ‘꽉 잡아 보안’

얼마 전, 마크 저커버그가 CEO로 있는 세계 최대 사회관계망서비스(SNS) 기업인 페이스북이 메타(Meta Platforms, Inc.)로 사명을 변경했습니다. 메타버스 육성을 신사업의 주요 목표로 본 것이 사명 변경의 주된 이유라고 하는데요. 가상 환경에서 사람들이 VR 헤드셋을 사용해 게임하고, 일하고, 소통할 수 있는 온라인 세계인 ‘메타버스’를 구축할 계획까지 발표했습니다. 2020년부터 발생한 코로나 19 팬데믹으로 인해 오프라인 활동에 많은 제약이 생기면서 사람들은 피로감을 느끼게 됐죠. 이에 오프라인 활동의 대체재로 오프라인과 유사한 활동을 할 수 있는 메타버스 환경을 선택했는데요. 그 결과 메타버스가 미래 먹거리로 부상하게 됐습니다. 메타버스(metaverse)는 가상, 초월을 의미하는 ..

IT Solutions 2022.03.30

[OT보안] 스마트팩토리 보안 사고, DCS 보안으로 잡으세요!

지난 글에서는 OT 시스템의 종류와 FA 환경 취약점 분석에 관해 알아보았습니다. 이번 글에서는 DCS 환경의 영역별 보안 방안과 DCS 보안 대책 및 사례, 그리고 DCS 보안 관리 절차를 살펴보겠습니다. *DCS : Distributed Control System, 분산 제어 시스템 DCS 환경의 영역별 보안 방안에 관해 알아보겠습니다. 먼저, 설비전용망의 DCS 설비 및 장비를 바이러스 및 악성코드로부터 보호하기 위해서 FA 망 밑단에 설비전용망을 통해 DCS 방화벽을 구성합니다. 그리고 설비용 DMZ Zone을 구성해 설비 단의 데이터를 취합하고 FA 망 또는 OA 망으로 데이터를 올려 통신하는 설비 및 시스템들을 위치시킵니다. 이렇게 각 레이어별 구성 항목을 바탕으로 보안을 강화할 수 있습니다...

IT Solutions 2022.03.11 (1)

[보안동향] 순식간에 개인정보 유출! 피해사례 미리 알고 대비하자! 2편

지난 콘텐츠에서는 관리자의 실수로 인한 개인정보 유출 사례와 파일 업로드 시 개인정보 유출을 예방하는 방법에 관해 알아보았습니다. 이번 글에서는 외부 해킹에 의한 개인정보 유출 사례와 내부자에 의한 유출 사례를 살펴보겠습니다. 얼마 전, 유명 브랜드의 홈페이지 고객의 개인정보가 보관돼 있던 데이터베이스에 외부 해킹 공격이 발생해 고객정보가 일부 유출된 사건이 있었습니다. 이와 비슷한 사례로 대학병원의 홈페이지 해킹으로 인해 환자정보가 대량으로 유출된 사건도 있었죠. 또한 그룹의 사회공헌 활동을 위해 운영하는 홈페이지가 외부자의 해킹에 의해 사회적 기업 회원과 그룹 구성원 회원의 성명, 연락처, 이메일 주소가 유출된 사례도 있었습니다. 위 사례들 모두 외부자에 의해 홈페이지의 데이터베이스가 해킹되어 개인정..

IT Solutions 2022.02.17 (2)

[보안동향] 순식간에 개인정보 유출! 피해사례 미리 알고 대비하자! 1편

최근 개인정보 관리 부실로 인한 사건 사고가 국내에 끊이지 않고 있습니다. 온라인 상품 판매 시스템과 같은 B2C 시스템의 사용자 데이터베이스 해킹은 물론, SNS 고객의 개인정보가 유출되는 등 사고가 이어지고 있는데요. 개인정보 유출 방식이 다양해지면서 사건의 규모 또한 점차 커지고 있습니다. 개인 정보를 활용한 빅데이터의 가치가 높아지면서 이용자 동의 없이 개인 정보가 무단 유출되는 일이 갈수록 늘고 있습니다. 마케팅·광고를 위해 전화번호를 무단 수집하는 것을 넘어 SNS 대화 내용을 AI 서비스 개발에 활용하는 일까지 벌어지고 있습니다. 이러한 개인정보 유출이 빈번해짐에 따라 한국인터넷진흥원에 따르면 개인정보침해신고센터에 접수된 개인정보 침해 상담 개인 정보 침해 상담·신고 건수는 2016년 9만 ..

IT Solutions 2022.02.16 (3)

[보안동향] SAP DB 암호화? 이것만 기억하세요! 2편

지난 시간에는 법령으로 규정되는 암호화 항목과 SAP DB의 특성, 고려해야 할 사항을 알아보았습니다. 이번 글에서는 SAP 암호화 방식을 살펴보겠습니다. SAP DB에 대한 토큰 암호화에는 두 가지 방식이 있습니다. 랜덤토큰 암호화 방식과 형태보존 암호화 방식인데요. 먼저 랜덤토큰 암호화 방식을 알아보겠습니다. 랜덤토큰 암호화 방식 SAP 시스템 내부에서는 실제 데이터 대신에 '랜덤 토큰'으로 대체해서 사용하기 때문에 ‘토크나이제이션(Tokenization)'이라 합니다. 중요한 데이터만 따로 안전하게 보관한다는 점에서 편리해 보이는데요. 별도 시스템 사이의 통신이 필수적이어서 전체 시스템의 복잡도가 높아지고, 따라서 성능에 영향을 미친다는 단점이 있습니다. 무엇보다도 데이터와 토큰을 1:1 매칭한 테..

IT Solutions 2022.01.13

[보안동향] SAP DB 암호화? 이것만 기억하세요! 1편

금융권 차세대 프로젝트를 진행할 때 빠지지 않는 것이 있습니다. 바로 ‘DB 암호화’인데요. 그렇다면 DB 암호화는 왜 해야 하는 걸까요? 기업 내 고객정보와 같은 중요 정보는 주로 데이터베이스(DB) 내에 저장하게 되는데요. 이런 중요 정보를 안전하게 보호하기 위해 암호화해 보관하게 됩니다. 개인정보보호법 등과 같은 법령에서 개인정보를 안전하게 저장 및 전송해야 한다고 규정하고 있죠. 이를 지키지 않으면 벌금이나 과태료를 내야 합니다. 그럼 어떤 정보를 어떻게 암호화해야 할까요? 를 살펴보면 반드시 암호화해야 하는 정보를 알 수 있습니다. 개인정보보호법에서 말하는 암호화 대상 항목 비밀번호 암호화 조치 (본인 식별 및 인증 시) 바이오 정보 암호화 조치 암호화 적용 기준 요약표 또한 금융권에 속하는 금..

IT Solutions 2022.01.12

[보안동향] 일상 속에 스며든 ‘블록체인’, 안전하게 도입하려면? 2편

지난 콘텐츠에서는 블록체인 기술의 보안 이슈와 블록체인 도입에 있어 사이버 보안의 역할에 대해 알아보았습니다. 이번 글에서는 중요한 보안 권장 사항과 함께 안전한 블록체인 도입을 위한 10단계 프로세스를 소개하겠습니다. 블록체인 기술이 실제 비즈니스 니즈를 해결하는데 합당한 솔루션이라는 긍정적인 비즈니스 평가가 이루어지면, 조직은 보안 고려사항을 포함한 주요 성공 요소에 주의를 기울여야 합니다. 성공적인 보안 사례로 이끄는 10단계의 안전한 도입 가이드를 살펴보겠습니다. 1 단계: 블록체인 보안 전문가 확보 블록체인 도입을 고려하기 전, 가장 중요한 첫 번째 단계는 블록체인 보안 전문가를 확보하는 것입니다. 조직의 리소스와 블록체인 서비스의 중요도 및 목적에 따라 전문가를 아웃소싱 하거나 신뢰할 수 있는..

IT Solutions 2021.12.06

[보안동향] 일상 속에 스며든 ‘블록체인’, 안전하게 도입하려면? 1편

‘블록체인(혹은 분산원장기술)’이라는 용어는 이제 ICT(Information and Communication Technology, 정보통신기술) 분야에서 일상적인 단어가 됐습니다. 많은 전문가가 블록체인 기술을 더욱 발전시키며, 다양한 사업 분야에서 블록체인 기술을 적용하기 위해 다각적인 방법을 모색하고 있죠. 미래의 산업 분야에서 블록체인 기술이 발전하기 위해서는 안전성과 신뢰성을 보장하는 것이 매우 중요하다고 생각되는데요. 적절한 보안 방안이 이러한 안전성과 신뢰성을 보장한다고 판단됩니다. 하지만, 블록체인 기술의 보안성에 대한 과도한 기대치가 안전성 및 신뢰성에 대한 부정적인 영향으로 이어졌습니다. 사람들은 블록체인 기술이 암호화 기반의 기술이므로 자체적으로 보안을 해결한다고 믿었죠. 그 결과, ..

IT Solutions 2021.12.02