LG CNS 자세히보기

Security 23

보안은 개발부터!! 데브섹옵스(DevSecOps)

2012년 말 가트너는 "DevOpsSec: Creating the Agile Triangle."라는 문서를 통해 기존의 DevOps보다 발전된 새로운 DevSecOps라는 개념을 시장에 소개했습니다. 가트너에서는 이후에도 2016년 "DevSecOps: How to Seamlessly Integrate Security Into DevOps", 2017년 “Gartner Top 10 Strategic Technology Trends for 2018” 등의 문서로 DevSecOps의 중요성을 계속 강조하고 있습니다. 가트너는 DevSecOps를 가장 빠르게 성장하는 분야 중 하나라고 명명하고 2021년까지 Rapid Development Team 중 80%가 DevSecOps를 활용할 것으로 예측했습니다...

중국 네트워크 안전법 분석 및 대응 방안 ②

지난 원고에서는 중국 네트워크 안전법의 상세 내용에 대해 알아보았는데요. 이번 원고에서는 네트워크 안전법의 대응 방안 및 준비 방안에 대해서 알아보겠습니다. 네트워크 안전법 대응 방안 앞서 살펴본 바와 같이, ‘네트워크 안전법’은 그 범위가 매우 광범위하고 내용 자체도 포괄적이어서 어떻게 준비해야 할지 막막한 측면이 있습니다. 하지만 다행스러운 점이 있다면, 네트워크 침해 행위와 개인정보 보호 등은 한국에서도 다년간 이슈가 되어 왔던 내용들이어서, 이에 대응하기 위한 경험이 한국 내에 많이 있고, 한국에 본사를 둔 기업들의 경우 중국 내에도 이런 경험을 확산하기 위해 다년간 점검과 이행 등의 노력이 있어왔다는 점입니다. 법규 내용을 분석해 보면 관리적•기술적•개인정보의 크게 세 가지 측면에서 준비가 필요..

중국 네트워크 안전법 분석 및 대응 방안 ①

작년 여름 무렵에 중국에도 개인정보 보호법이 생긴다는 소식이 나오기 시작했습니다. 그로부터 1년 반 정도가 지난 11월 7일에 ‘그 법’이 전국인민대회에 통과되어 내년(2017년) 6월 1일부터 시행하는 것으로 확정되었습니다. 중국어로 정식 명칭이 ‘网络安全法’ 입니다. ‘网络’는 네트워크를 지칭하는 용어로 한국에서 ‘사이버 안전법’, ‘인터넷 안전법’, ‘네트워크 안전법’, ‘인터넷 정보 안전법’등 여러 명칭으로 분석이 되고 있습니다. 법의 명칭이 ‘네트워크’를 지칭하는 점에서 알 수 있듯이, 최초에 알려진 것처럼 단순히 개인정보에 대한 보호 목적만을 가지고 있는 것은 아니며, 매우 광범위한 내용을 담고 있어 중국 내에서 사업을 영위하고 있는 기업들은 모두 영향을 받을 수밖에 없습니다. 이제부터 법이 ..

인증의 완성판 생체인증에서 다중 생체인증까지 ②

지난 원고에서는 우리에게 익숙한 개별 생체인증 방법들을 알아보았는데요. 이번 원고에서는 다중 생체인증 기술에 대해 알아보겠습니다. 다중 생체인증 기술(Multimodal Biometrics) 전편에서 설명한 생체인증(Biometrics)은 기존의 카드번호나 패스워드보다 보안이 향상된 기술이지만, 인식된 생체정보의 저장과 관리 방식이 기존 방식과 유사하여 여전히 보안 위협이 존재합니다. 비밀번호는 유출되면 변경할 수 있지만, 생리적 생체정보는 개인별로 고유한 것이므로 유출되어도 변경할 수 없다는 것이 가장 큰 취약점입니다. 전체 인구의 약 5~10%가 지문을 사용할 수 없고, 오인식률(FAR)과 오거부율(FRR) 측면에서 모든 조건을 만족시키는 생체인증 기술이 없기 때문에 적합한 생체정보를 복합적으로 활용..

인증의 완성판 생체인증에서 다중 생체인증까지 ①

모바일의 기능 확대와 금융 접목, 사물인터넷, 웨어러블 디바이스의 융합서비스 확장으로 인해서 비대면 안전한 인증수단이 강하게 요구되고 있으며, 우리의 몸은 ‘편의’와 ‘보안’이라는 두 가지 핵심 요구 사항을 만족시키는 인증도구가 되어 가고 있습니다. 여기서 인증이란 사람이나 사물을 식별하고, 식별된 것이 본래의 것과 일치하는지 따져보는 절차와 결과를 말합니다. 그리고 인증방법들은 알고 있는 어떤 것을 확인하는 지식 기반, 가지고 있는 물리적 객체를 통한 소유 기반, 주체의 생물학적 특성을 보여주어야 하는 존재 기반과 주체가 하는 행동을 통한 행위 기반 등을 활용하는 것으로 나눌 수 있습니다. 그러나 기존의 비밀번호, 공인인증서, 스마트카드, OTP 등은 해킹이나 유출의 위험이 날로 커지고 있어 복제•위조..

'보안은 제품이 아니라 절차다!'라는 말의 의미

지금까지 보안 연재기획을 통해 정보보안 관리체계 수립에서부터 운영 및 인공지능과의 결합 등 향후 보안의 발전 방향에 대해서 이야기를 나눴었는데요. 이번 시간에는 다시 한번 정보보안의 기본 개념으로 돌아가서 이야기를 나눠보고자 합니다. 옛날부터 보안업계에서는 “Security is a process, not a product”라는 관용구가 널리 사용되고 있습니다. 이 말의 뜻을 해석해 보면, “보안은 제품이 아니라 절차이다” 정도가 될텐데요. 무척 직관적인 이 문장의 참뜻에 대해서 한번 더 고민하고 음미해보는 시간을 가졌으면 합니다. 우선 이 문구는 정보보안 분야에서 많은 글들과 책을 출판하고 있는 브루스 슈나이어(Bruce Schneier)라는 사람의 글에서 나왔습니다. “The Process of Se..

인공지능과 보안

CES 2016에서 핵심 키워드였던 무인 자율 주행 자동차사람의 취향에 맞는 음악이나 영화 등의 콘텐츠를 추천해주고 어떤 장소에 들어갈 때 그 장소에 맞는 쿠폰이나 필요한 물건들을 추천해주는 시스템음성 인식을 통해 문장을 만들고 자연어 처리로 컴퓨터가 이해할 수 있는 명령으로 바꾸어 주고 그 명령을 기반으로 사용자가 원하는 액션을 처리하는 스마트 비서사진이나 동영상에서 특정 사람의 얼굴을 인식하여 저장되어 있는 사진들을 사람 별로 추출하고 추출한 사진에서 특징을 패턴화시키고 자동화하여 개인별 맞춤 앨범을 만들어 주는 서비스사용자가 평소와 다른 금융 거래를 진행할 때 이를 감지하여 경고하는 시스템 최근 들어 우리들이 주변에서 뉴스나 기사를 통해 자주 접하게 되는 위와 같은 기술이나 서비스의 공통점은 무엇일..

공개키 암호화 방식과 포스트 양자 암호체계

안녕하세요. LG CNS 대학생 기자단 6기 강동구입니다. 여러분은 에니그마를 아시나요? 에니그마는 ‘수수께끼’라는 뜻을 가진 암호 기계의 한 종류로, 2차 세계대전 당시 나치 독일이 군 기밀을 암호화하는 데 사용되었습니다. 연합군은 독일군의 군사적 통신을 도청하는데 성공했지만, 천문학적인 숫자 조합의 암호를 24시간마다 바뀌는 독일군의 암호체계에 맞게 해석하는 것은 불가능했습니다. 하지만 영국의 천재 암호 학자 앨런 튜링을 포함한 암호 해독 팀이 에니그마를 이론적으로 해독하는 기계를 고안해 내면서, 연합군의 승리를 이끌어낼 수 있었습니다. 암호체계는 과거 상업, 군사용 통신에서부터 현재의 광대역 통신까지, 비밀 보장이라는 중요한 역할을 수행해왔습니다. 하지만 다양한 암호체계의 등장에 따라, 그에 따른 ..

IT Life 2016.11.02

암호 이야기 2편 - 암호 알고리즘에 대하여

암호는 평문을 암호문으로 만들 때 사용하는 키와 암호문을 다시 원래의 평문으로 만들 때 사용되는 키가 동일한지 아니면 서로 다른 키를 사용하는지에 따라 대칭키 암호와 공개키 암호로 나누어집니다. 대칭키 암호는 암호화에 사용되는 키와 복호화에 사용되는 키가 동일한 것으로, 송신자와 수신자가 동일한 키를 소유하고 있기 때문에 두 사람 모두 키에 대한 비밀을 유지하고 있어야 합니다. 만약, 송신자와 수신자 둘 중 한 사람이라도 키를 노출한다면 그 키로 생성된 암호문은 더 이상 안전을 보장할 수 없습니다. 따라서 대칭키 암호에서는 키의 비밀 유지가 가장 중요하며 이 키를 비밀키라고 합니다. l 대칭키 암호 대칭키 암호는 암호화와 복호화를 수행하는데 소모되는 시간이 매우 짧은 장점이 있어서 하드디스크에 저장된 파..

IT Insight 2016.10.19

차세대 행위 기반 위협 탐지 방식에 관하여

최근 한 인터넷 쇼핑몰에서 1,000만여 건의 개인 정보를 빼내간 해커가 30억 원 상당의 비트코인을 요구하는 보안 사고가 있었습니다. 이는 2014년 카드 3사 개인 정보 유출 이후 발생한 가장 큰 정보 유출 사고였는데요. 지금까지 이런 유출 사고는 여러 차례 있어 왔으나 카드 3사 사고 이후 소송의 결과나 법률 동향이 개인 정보 관리에 대한 사업자 책임에 대해 강조하고 있는 상황이었기에 이번 개인 정보 유출 사고에 대한 원인과 판결의 향방에 대해 주목하고 있습니다. 이러한 큰 사고가 발생을 하면 정부 또는 기업에서는 보안 강화 조치로 여러 가지 방안을 시스템에 적용하고 있는데요. 그럼에도 불구하고 이러한 보안 사고가 반복되는 것은 왜일까요? 이번 글에서는 이러한 보안 사고를 일으키는 보안 위협에 대한..