LG CNS 자세히보기

암호화 14

[RED팀] RFID 카드 보안 뚫리는데 단 10초, 그 해법은?

RFID(Radio Frequency IDentification)는 사물인터넷(IoT) 다양한 분야와 방면으로 사용될 수 있는 차세대 핵심 기술로 전기장을 통해 상품이나 사물의 정보를 IC에 저장하고 식별합니다. RFID 카드는 기업, 교육, 관광, 레저, 주거 등의 다양한 산업 분야에서 적용되고 있는데요. 빌딩, 오피스텔 같은 건물 시스템에서는 스피드게이트, 통제구역, 신원 확인 식별용으로도 사용되고 있습니다. 많은 분야에서 적용되는 RFID 기술은 보안에 대한 이슈가 꾸준히 발생하고 있습니다. 해당 이슈들에 대해 보완을 하고 있긴 하지만, 대다수의 RFID 카드는 여전히 취약한 구조로 사용되고 있는 것이 사실입니다. 정적 암호 기반의 패시브 RFID 태그가 대표적입니다. 대부분 사용되면서 보안성을 높..

IT Solutions 2021.06.02

[보안동향] 문자 내용 수집은 불법? 개인정보 유의사항 대방출!

지난 편에는 ‘법률 속에 정의된 개인 식별 정보’에 대해 이야기했는데요. 오늘은 '데이터 활용 단계별 개인정보 취급 유의사항'에 대해 알아보겠습니다. ● 내 '습관'도 개인정보에 속할까? 데이터 활용 단계별 개인정보 취급 유의사항 기업은 데이터의 개인정보 여부 판단 이외에 데이터 활용의 모든 단계에서 개인정보 취급 주의사항을 숙지하는 것이 중요합니다. 이에 대해 살펴보겠습니다. 데이터를 활용하기까지 ‘수집 → 저장 → 분석 → 이용•제공 → 파기’의 총 다섯 단계를 거칩니다. 수집: 데이터 처리를 목적으로 다양한 경로를 통해 필요한 데이터를 모으는 과정 저장: 수집한 데이터를 장치에 저장하고 분석에 사용할 수 있도록 관리하는 과정 분석: 수집한 데이터를 다양한 방법을 통해 가공하여 새로운 정보를 생성하는..

IT Solutions/Security 2021.01.25 (1)

클라우드 보안 체계 수립 및 보안 모니터링 방안

최근 수년 사이에 클라우드 서비스가 빠른 속도로 확산되고 있으며 다수의 기업들이 기존의 On-premises 환경의 인프라를 부분적•전면적으로 클라우드 환경으로 전환하고 있습니다. 또한 신규 서비스 구축 시에 처음부터 모든 환경을 클라우드에 구성하는 사례도 점점 늘고 있어 클라우드 환경에서의 보안 수준을 On-premises 수준과 동일한 레벨로 보안 대책을 수립하고 적용해야 하는 상황입니다. 반면 클라우드 서비스 사업자는 “책임 공유 모델”이라는 논리로 클라우드 환경에서의 보안을 클라우드 사업자가 모두 책임지는 것이 아니라 고객과 일정 부분 책임을 나누어 각자 담당해야 한다고 주장하고 있습니다. 아래 그림과 같이 IaaS 환경에서는 클라우드 사업자는 H/W 영역과 가상화 자원에 대한 제공을 책임지고 가..

4세대 암호, 완전동형암호란?

‘동형(Homomorphic)’이란, ‘같음(Same)’ 뜻하는 고대 그리스어인, ὁμός(Homos)와 “모양(Shape)이나 형체(form)”를 뜻하는 μορφή(morphe) 의 결합에서 유래되었습니다. 한 걸음 더 나아가서, ‘동형’이라는 단어는 대수학(Algebra)에서 비롯된 단어로, 연산의 구조가 유지되는 함수를 가리킵니다. 예를 들면, 지수 함수인 f(x) = ex는 동형함수입니다. 왜냐하면, ex+y = ex * ey 로서, 지수 함수는 양의 실수군에 대해 동형인 함수입니다. 그렇다면 ‘동형암호(Homomorphic Encryption)’는 무엇일까요? ‘동형(同形)암호’란 평문에 대한 연산을 수행한 후 암호화한 결과(암호문)와 각각의 암호문에 대하여 연산을 수행한 결과가 같은 값을 가지..

양자 컴퓨팅 시대, 양자 암호 기술과 보안

2013년 미국 국가 안보국(National Security Agency) 요원이었던 에드워드 스노든(Edward Joseph Snowden)은 영국의 가디언지를 통해 미국 정부가 전 세계 통신망을 도청해왔다는 사실을 폭로했습니다. '프리즘'이라는 비밀 프로젝트를 통해 미국 국가 안보국이 전 세계를 대상으로 통화 및 인터넷 사용 기록을 무차별적으로 수집하고 사찰해왔다는 사실은 많은 이들에게 충격을 주었습니다. 스노든이 제공한 자료를 토대로 2014년 1월 워싱턴 포스트는 미국 국가 안보국(NSA)이 인터넷 암호화를 거의 깰 수 있는 양자 컴퓨터 개발을 추진하고 있다고 보도했습니다. 스노든의 폭로 후 얼마 안 되어 중국 지도부에서 중국이 이미 해킹을 차단할 수 있는 양자 암호화 통신을 사용하고 있다고 발표..

IT Solutions/Security 2019.06.12 (1)

구글 ‘운전자 없는 자율주행 자동차’에 통신 기술은 어떻게 사용될까?

지난 10월 31일 미국 캘리포니아주는 구글 웨이모의 ‘운전자 없는 자율주행 자동차’의 운행을 허가했습니다. 고속도로 자율주행부터 상용화해왔던 자동차사와 비교할 때, 구글 웨이모는 도시 주행에서 기술력을 인정받고 있는데요. 구글 웨이모 자율주행 자동차의 운행에는 원격 모니터링, 데이터 기록, 비상시 원격 운행 등 통신 기술이 필수적으로 사용되고 있습니다. 이번 글에서는 구글 웨이모 자율주행 자동차의 현재와 자율주행 자동차 운행을 위한 통신 기술 및 원격 모니터링에 대해서 정리해 보도록 하겠습니다. 구글 자율주행 자동차의 진화 구글의 자율주행 자동차는 2010년에 갑자기 등장해서 전 세계를 놀라게 했습니다. 사실, 우리나라에서도 1990년대부터 자율주행을 연구해 왔던 노교수님이 있는데요. 바로 고려대 한민..

IT Insight 2018.11.20

개인정보 실태 점검 사례를 통한 침해사고 대응 준비

‘구글링한다.’라는 표현이 등장하듯이 인터넷을 통한 온라인 서비스의 증가는 많은 도움이 되고 있습니다. 그러나 밝은 것이 있으면 어두움이 존재하듯이 온라인을 통해 검색을 조금만 해봐도 단순 스크립트를 이용하여 침해사고를 유발하는 사례도 많이 있습니다. 상황이 이렇게 되다 보니 해킹 사고 소식이 계속 들려 옵니다. 더구나 개인정보보호에 대한 법적 조치가 강화되면서 기존에는 알려지지 않던 사고 사례조차 공개되다 보니 더 많이 알려지는 것으로 보입니다. 그러나 보안 담당자가 취해야 하는 침해사고 발생 시 대응 사례는 검색을 통해 정보를 수집하는 데 어려움이 있습니다. 이런 유출 사례를 자발적으로 공개하기 꺼릴 수밖에 없는 점과 상세 대응을 위해 취한 조치 등은 보호조치의 일환으로 대외비(비밀) 등으로 관리되다..

생활 속의 암호학

네트워크의 발달로 다양하고 엄청난 양의 정보가 유통되고 있습니다. 이 정보 중에는 다양하게 공유되어야 할 정보들도 넘쳐나겠지만, 유출되면 개인의 사생활 보호를 위협 할 수 있는 다양한 개인정보, 기업의 흥망을 결정지을 수도 있는 영업비밀, 기술정보, 국가 안보에 치명적인 정보 등 보호 대상이 되는 정보들도 많습니다. 네트워크(특히, 스마트폰을 통한 무선 네트워크)가 발달하는 만큼 정보의 중요도에 따라 사이버 위협도 증가해 뉴스를 통해 다양한 해킹 사고, 유출 사고에 대해서 매일 접하게 되고, 이런 위협들은 현대를 살아가는 모든 개인에게도 멀지 않은 일로 다가올 때가 많습니다. 일부 유출 사고의 경우에는 정보보호의 기반 기술인 암호를 적절히 적용했을 경우 유출되었더라도 보호될 수 있었던 사건도 있었습니다...

랜섬웨어의 진화와 대응 방안

최근 2017년 6월에는 모 웹 호스팅 업체의 Linux 웹 서버 및 백업 서버 153대가 “랜섬웨어”에 감염되어, 5,500여 개에 달하는 개인과 기업 홈페이지가 접근할 수 없었던 사건이 있었습니다. 특히 이 사건은 기업에서 주로 사용하는 Linux 서버가 감염된 국내 최초의 사고 사례였으며, 그 결과로 사업주가 힘들게 일군 회사를 매각하는 일까지 벌어지며 많은 이들의 아쉬움을 불러일으키기도 했습니다. 이와 같은 랜섬웨어는 시스템 화면 또는 파일 등을 암호화하여 사용자가 시스템 접근하지 못하도록 제한하고, 사용자에게 복구를 위한 돈을 지급할 것을 강요하는 일종의 악성 프로그램입니다. 기존의 전통적인 해킹은 보안 수준이 높은 기업을 대상으로 오랜 시간이 걸려 공격을 해야 하지만, 랜섬웨어는 보안 수준이 ..

개인영상정보 보호는 어떻게 이루어질까?

오늘의 보안 연재 시간에는 개인정보 보호법 상에 개인영상정보를 보호하기 위한 조항을 찾아보고, 이에 대해 필요한 기술적 조치와 적용 방안에 대해서 살펴보고자 합니다. Privacy Masking, 사생활 보호를 위한 모자이크 처리 개인정보 보호법 제25조 2항에 따라, 개인의 신체가 노출될 우려가 있거나, 개인의 사생활을 현저히 침해할 우려가 있는 장소 내부를 볼 수 있는 곳에 영상정보처리기기를 설치•운영하는 행위는 금지되고 있습니다. 그러나, 불가피하게 아래 사진과 같은 상황에서는 다음과 같은 기능을 적용할 수 있습니다. l CCTV의 Privacy Masking 기능 적용 예시 ● CCTV의 기능 중 Privacy Masking 적용● 영상관제솔루션(NVR, VMS 등)에서 제공하는 Privacy M..