Offcanvas

���������

강은성의 보안 아키텍트 | 블록체인과 보안(1)

바야흐로 블록체인의 시대다. 블록체인이란 이 익숙한 듯 낯선 단어를 알지 못하면 시대에 뒤떨어진 듯한 느낌이 들 정도다. 정부가 강력하게 추진하고 있는 ‘혁신성장과 4차 산업혁명’에서도 블록체인은 주요 주제어 중 하나다. 여기저기 나온 블록체인 관련 뉴스, 블로그, 동영상, 책을 찾아 읽으면 뭔가 조금 안 것 같은데, 조금만 더 들어가면, 어느 암호화폐를 사야 하느냐, 가격은 오르냐, 어떤 ICO(Initial Coin Offering)가 있냐는 등 ‘돈 벌기'에 집중되어 있거나 금융, 물류, 의료 분야 등 사회의 온갖 분야에서 블록체인을 ‘만병통치약’처럼 활용할 수 있다는 얘기가 펼쳐져 있다. 최근에는 다양한 블록체인 기반의 서비스가 ‘토큰 경제’와 함께 나오고 있다. 수박 겉핥기로 알아서는 따라가기가 쉽지 않다. 여러 산업에서 보안업무를 하다가 퍼블릭 블록체인 기반의 암호화폐 보스코인(BOScoin)을 개발하는 회사에 합류한 필자에게는 블록체인 관련 논의에서도 역시 보안 이슈가 가장 눈에 띈다. “블록체인은 보안성이 좋다”, “블록체인은 해킹에 강하다”, “블록체인은 프라이버시에 좋다” 등 사실을 정확하게 이해하지 못하거나 심지어는 정반대의 주장이 회자되는 걸 보면서 블록체인과 보안에 관한 부분을 명확히 할 필요를 느낀다. 다만 이더리움의 '스마트 계약'(Smart Contract)이 블록체인을 한 단계 발전시키면서 이제는 블록체인의 기본 속성이 되었듯이 블록체인은 완성된 기술이 아니라 지금도 변화, 발전하고 있는 기술임을 염두에 둘 필요가 있다. 인터넷의 역사를 되돌아보면, 블록체인의 역사에서 2018년은, 월드와이드웹이 대중화되었던 1990년대 중반부터 인터넷 거품이 시작된 1990년대 후반 사이 어딘가에 있지 않을까 싶다. 이제 초기를 막 지났을 뿐이다. 전통적으로 정보보안의 목적은...

혁신 보스코인 스마트 계약 4차 산업혁명 암호화폐 ICO 강은성 비트코인 디도스 P2P CISO BOScoin

2018.08.16

바야흐로 블록체인의 시대다. 블록체인이란 이 익숙한 듯 낯선 단어를 알지 못하면 시대에 뒤떨어진 듯한 느낌이 들 정도다. 정부가 강력하게 추진하고 있는 ‘혁신성장과 4차 산업혁명’에서도 블록체인은 주요 주제어 중 하나다. 여기저기 나온 블록체인 관련 뉴스, 블로그, 동영상, 책을 찾아 읽으면 뭔가 조금 안 것 같은데, 조금만 더 들어가면, 어느 암호화폐를 사야 하느냐, 가격은 오르냐, 어떤 ICO(Initial Coin Offering)가 있냐는 등 ‘돈 벌기'에 집중되어 있거나 금융, 물류, 의료 분야 등 사회의 온갖 분야에서 블록체인을 ‘만병통치약’처럼 활용할 수 있다는 얘기가 펼쳐져 있다. 최근에는 다양한 블록체인 기반의 서비스가 ‘토큰 경제’와 함께 나오고 있다. 수박 겉핥기로 알아서는 따라가기가 쉽지 않다. 여러 산업에서 보안업무를 하다가 퍼블릭 블록체인 기반의 암호화폐 보스코인(BOScoin)을 개발하는 회사에 합류한 필자에게는 블록체인 관련 논의에서도 역시 보안 이슈가 가장 눈에 띈다. “블록체인은 보안성이 좋다”, “블록체인은 해킹에 강하다”, “블록체인은 프라이버시에 좋다” 등 사실을 정확하게 이해하지 못하거나 심지어는 정반대의 주장이 회자되는 걸 보면서 블록체인과 보안에 관한 부분을 명확히 할 필요를 느낀다. 다만 이더리움의 '스마트 계약'(Smart Contract)이 블록체인을 한 단계 발전시키면서 이제는 블록체인의 기본 속성이 되었듯이 블록체인은 완성된 기술이 아니라 지금도 변화, 발전하고 있는 기술임을 염두에 둘 필요가 있다. 인터넷의 역사를 되돌아보면, 블록체인의 역사에서 2018년은, 월드와이드웹이 대중화되었던 1990년대 중반부터 인터넷 거품이 시작된 1990년대 후반 사이 어딘가에 있지 않을까 싶다. 이제 초기를 막 지났을 뿐이다. 전통적으로 정보보안의 목적은...

2018.08.16

강은성의 보안 아키텍트 | 가용성 보호는 정보보안 업무인가?

전통적으로 정보보안의 목표는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보호하는 것으로 정의해 왔다. 거의 흔들림 없이 믿어온 원칙이라고 할 수 있다. 기밀성은 권한 있는 자만이 데이터를 열람할 수 있도록 하는 것이고, 무결성은 권한 있는 자만이 데이터를 변경할 수 있도록 하는 것이며, 가용성은 권한 있는 자가 서비스를 사용하고자 할 때 언제든지 사용할 수 있도록 하는 것이다. 최고정보보호책임자(CISO)를 비롯한 정보보안 조직의 기술적 보안업무 역시 이를 바탕으로 설명할 수 있다. 하지만 요즘 보안 현업에서는 가용성에 관련해 여러 의견이 나오고 있다. 가용성의 범위가 워낙 넓어서 보안 영역에서 포괄하기가 어렵기 때문이다. 이미 확고하게 성립된 이론(理論)에 굳이 이론(異論)을 달려고 하는 이유다. 우선 가용성을 침해하는 원인은 매우 다양하다. 디도스(DDoS) 공격으로 인터넷 쇼핑몰이나 사회관계망 서비스가 중단되는 것이 보안 영역에서 말하는 가용성 침해의 대표적인 보기인데, 실제로 가용성은 다른 요인에 의해서도 침해되는 경우가 많다. 예를 들어 네트워크 장비나 서버에 장애가 있거나 접속자가 너무 많아서 서비스 제공이 중단될 수 있다. 서비스 프로그램의 오류로 인해 서비스가 중단되기도 한다. 드물지만 IDC의 전원공급 장애나 화재로 인해 발생하는 경우도 있고, 정기 점검이나 대규모 서비스 업그레이드를 위해 의도적으로 서비스를 중단하는 경우도 있다. 가용성 침해 원인에는 보안 영역에 포함되지 않는 부분이 있다는 점을 알 수 있다. 둘째, 가용성 보호 대책 관점에서 살펴보면, 보통 디도스 공격을 차단하기 위해서는 디도스 대응 솔루션을 도입하거나 사이버 대피소와 같은 디도스 대응서비스를 이용한다. 공격 트래픽을 차단하고 정상 트래픽을 통과시킴으로써 가용성을 보호하는 전통적인 보안대책이다. 보안공격 이외의 요인으로 발생하는 가용성 침해는 다른 대책이 필요하다. 예를 들면, 네트워크 장비...

CSO 강은성 가용성 CDN 디도스 ITSM 소셜 네트워크 인증 CISO 규제 IDC 인터넷 데이터센터

2018.06.07

전통적으로 정보보안의 목표는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보호하는 것으로 정의해 왔다. 거의 흔들림 없이 믿어온 원칙이라고 할 수 있다. 기밀성은 권한 있는 자만이 데이터를 열람할 수 있도록 하는 것이고, 무결성은 권한 있는 자만이 데이터를 변경할 수 있도록 하는 것이며, 가용성은 권한 있는 자가 서비스를 사용하고자 할 때 언제든지 사용할 수 있도록 하는 것이다. 최고정보보호책임자(CISO)를 비롯한 정보보안 조직의 기술적 보안업무 역시 이를 바탕으로 설명할 수 있다. 하지만 요즘 보안 현업에서는 가용성에 관련해 여러 의견이 나오고 있다. 가용성의 범위가 워낙 넓어서 보안 영역에서 포괄하기가 어렵기 때문이다. 이미 확고하게 성립된 이론(理論)에 굳이 이론(異論)을 달려고 하는 이유다. 우선 가용성을 침해하는 원인은 매우 다양하다. 디도스(DDoS) 공격으로 인터넷 쇼핑몰이나 사회관계망 서비스가 중단되는 것이 보안 영역에서 말하는 가용성 침해의 대표적인 보기인데, 실제로 가용성은 다른 요인에 의해서도 침해되는 경우가 많다. 예를 들어 네트워크 장비나 서버에 장애가 있거나 접속자가 너무 많아서 서비스 제공이 중단될 수 있다. 서비스 프로그램의 오류로 인해 서비스가 중단되기도 한다. 드물지만 IDC의 전원공급 장애나 화재로 인해 발생하는 경우도 있고, 정기 점검이나 대규모 서비스 업그레이드를 위해 의도적으로 서비스를 중단하는 경우도 있다. 가용성 침해 원인에는 보안 영역에 포함되지 않는 부분이 있다는 점을 알 수 있다. 둘째, 가용성 보호 대책 관점에서 살펴보면, 보통 디도스 공격을 차단하기 위해서는 디도스 대응 솔루션을 도입하거나 사이버 대피소와 같은 디도스 대응서비스를 이용한다. 공격 트래픽을 차단하고 정상 트래픽을 통과시킴으로써 가용성을 보호하는 전통적인 보안대책이다. 보안공격 이외의 요인으로 발생하는 가용성 침해는 다른 대책이 필요하다. 예를 들면, 네트워크 장비...

2018.06.07

강은성의 보안 아키텍트 | 관리 포인트를 관리하자

올해에도 개인정보 유출 사고가 여러 곳에서 발생하였다. 얼마 전에는 필자가 가입한 중소규모 사이트에서도 해킹 때문에 개인정보가 유출되었다는 통지 메일이 왔다. 이러한 유출 사고가 발생하면 보안투자를 왜 이렇게 하지 않았나, 왜 이리 허술하게 개인정보를 관리했냐는 비난을 받는다. 뭔가 문제가 있어서 사고가 났겠지만, 일정 규모가 있는 회사들이 그런 경우는 많지 않다. 이제는 웬만큼 보안투자를 한 회사에는 20여 개의 보안솔루션을 운영하는 것은 낯설지 않다. 그냥 생각나는 걸 꼽아도 안티바이러스, PC매체제어, 패치관리시스템, 개인정보유출방지(DLP), 문서암호화(DRM), DB접근제어, DB암호화, 개인정보 검색 및 암호화, 네트워크 방화벽, 네트워크접근제어(NAC), 가상사설망(VPN), 일회용 비밀번호(OTP), 망분리/가상화, 침입탐지/방지시스템(IDS/IPS), 무선접근방지시스템(WIPS), DDoS 방어, 통합위협관리(UTM), 유해사이트 차단, 웹방화벽, 스팸차단, 통합계정관리(IM/IAM), APT대응 등 20개가 넘어간다. 보안관제나 모의해킹, 인증 컨설팅 같은 서비스도 이용한다. 미래부가 제정한 「정보보호 공시제도 가이드라인」에서는 정보보호 제품과 서비스를 60여 가지로 분류하고 있다. 실제로 시장에 나와 있는 보안솔루션은 이보다 더 많을 것이다. 제아무리 탁월한 보안전문가라 하더라도 이렇게 많은 보안솔루션을 다 잘 안다는 것은 불가능에 가깝다. 결국 기업의 보안실무자들이 각 솔루션을 어느 수준까지 알아야 하는지 관건이 된다. 어떤 회사에서는 보안관제기업에 보안솔루션 관리를 맡기는데 그렇다고 발주기업에서 해당 솔루션을 몰라도 되는 건 아니다. 보안관제 인력은 주로 발주기업의 지시에 따라 단순 운영하기 때문이다. 그래서 각 보안솔루션의 관리 포인트를 잘 관리하는 것이 중요해진다. 각 보안솔루션은 어떠한 보안위험에 대응하기 위한 것인지 명확한 목적이 있다. 당연히 대응하지 못하는 더 많은 보안위험이 있다. 예를 들어 정보보호의 ...

개인정보 CISO 방화벽 강은성 보안 아키텍트 관리 포인트 기업보안 거버넌스

2017.08.07

올해에도 개인정보 유출 사고가 여러 곳에서 발생하였다. 얼마 전에는 필자가 가입한 중소규모 사이트에서도 해킹 때문에 개인정보가 유출되었다는 통지 메일이 왔다. 이러한 유출 사고가 발생하면 보안투자를 왜 이렇게 하지 않았나, 왜 이리 허술하게 개인정보를 관리했냐는 비난을 받는다. 뭔가 문제가 있어서 사고가 났겠지만, 일정 규모가 있는 회사들이 그런 경우는 많지 않다. 이제는 웬만큼 보안투자를 한 회사에는 20여 개의 보안솔루션을 운영하는 것은 낯설지 않다. 그냥 생각나는 걸 꼽아도 안티바이러스, PC매체제어, 패치관리시스템, 개인정보유출방지(DLP), 문서암호화(DRM), DB접근제어, DB암호화, 개인정보 검색 및 암호화, 네트워크 방화벽, 네트워크접근제어(NAC), 가상사설망(VPN), 일회용 비밀번호(OTP), 망분리/가상화, 침입탐지/방지시스템(IDS/IPS), 무선접근방지시스템(WIPS), DDoS 방어, 통합위협관리(UTM), 유해사이트 차단, 웹방화벽, 스팸차단, 통합계정관리(IM/IAM), APT대응 등 20개가 넘어간다. 보안관제나 모의해킹, 인증 컨설팅 같은 서비스도 이용한다. 미래부가 제정한 「정보보호 공시제도 가이드라인」에서는 정보보호 제품과 서비스를 60여 가지로 분류하고 있다. 실제로 시장에 나와 있는 보안솔루션은 이보다 더 많을 것이다. 제아무리 탁월한 보안전문가라 하더라도 이렇게 많은 보안솔루션을 다 잘 안다는 것은 불가능에 가깝다. 결국 기업의 보안실무자들이 각 솔루션을 어느 수준까지 알아야 하는지 관건이 된다. 어떤 회사에서는 보안관제기업에 보안솔루션 관리를 맡기는데 그렇다고 발주기업에서 해당 솔루션을 몰라도 되는 건 아니다. 보안관제 인력은 주로 발주기업의 지시에 따라 단순 운영하기 때문이다. 그래서 각 보안솔루션의 관리 포인트를 잘 관리하는 것이 중요해진다. 각 보안솔루션은 어떠한 보안위험에 대응하기 위한 것인지 명확한 목적이 있다. 당연히 대응하지 못하는 더 많은 보안위험이 있다. 예를 들어 정보보호의 ...

2017.08.07

강은성의 보안 아키텍트 | ISMS/PIMS 인증과 IoT 보안인증

기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다. 보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다. 2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIM...

CSO 개인정보 인증 PIPL ISO 9001 인증 품질경영시스템 강은성 사물인터넷 PIMS KISA 인증 취약점 CISO 사물인터넷 정보보호로드맵

2017.07.14

기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다. 보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다. 2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIM...

2017.07.14

강은성의 보안 아키텍트 | 문재인 정부의 사이버보안 정책에 거는 기대

“정보보호산업은 규제산업이다.” 이렇게 말하면 “그게 무슨 소리야?” 할 분들이 계실 것이다. 대표적인 규제산업으로 꼽히는 금융산업은 국가 경제의 인프라이고, 국민의 재산을 관리하는 산업이기 때문에 그에 대한 법과 규제가 매우 강력하다. 요즘 인터넷 전문은행을 포함해 핀테크가 뜨면서 금융산업에도 규제를 약화시켜야 한다는 주장들이 나오긴 하지만 아직 우리나라에서는 대세가 아니다. 필자가 정보보호산업을 규제산업이라고 한 것은 이와는 좀 다른 의미다. 정보보호산업에 규제가 많다는 뜻이 아니라 이 산업이 규제의 혜택을 많이 받는다는 의미다. 정보통신기반보호법에서 금융·통신·공공부문 등 여러 산업에 걸쳐 지정되는 정보통신기반시설의 취약점 분석·평가를 의무화하면서 정보보호컨설팅이 본격적으로 시작했고, 정보통신망법에서 일정 규모 이상의 기업에 의무화했던 ‘정보보호 안전진단’과 그것을 이은 ‘정보보호 관리체계(ISMS) 인증’이 성장의 계기가 되었다. 전자금융거래와 신용정보를 보호하기 위한 규제가 강력한 금융산업 이외에 근래 정보보호시장에 가장 큰 영향을 미친 것은 개인정보보호 관련법이다. 개인정보를 처리하는 정보통신서비스 사업자가 정보통신망법을 준수하기 위해 침입차단시스템(방화벽), 침입탐지(방지)시스템(IDPS), 데이터베이스 암호화, ‘망 분리’ 솔루션, DB접근제어 솔루션 등을 도입하고 있다. 안전성 확보조치가 미비하여 개인정보 유출 등의 사고가 발생한 법인이나 책임자를 형사처벌하는 조항도 있다. 이러한 규제로 인해 단기적으로 정보보호시장이 커지고 보안업체와 산업이 성장한 것은 사실이지만, 부작용도 적지 않아 보인다. 규제는 제품 혁신의 동력이 되지 못하기 때문이다. 국내 시장은 규제 준수의 수준에서 더 이상 커지지 않고, 글로벌 경쟁력을 갖추지 못한 제품은 동일한 규제가 없는 해외 시장에서 힘을 ...

CIO 정보보호커설팅 정보보호산업 문재인 보안 아키텍트 강은성 대통령 사이버보안 CISO 규제 공공 정책 정부 CSO 2017 국가정보보호백서

2017.05.22

“정보보호산업은 규제산업이다.” 이렇게 말하면 “그게 무슨 소리야?” 할 분들이 계실 것이다. 대표적인 규제산업으로 꼽히는 금융산업은 국가 경제의 인프라이고, 국민의 재산을 관리하는 산업이기 때문에 그에 대한 법과 규제가 매우 강력하다. 요즘 인터넷 전문은행을 포함해 핀테크가 뜨면서 금융산업에도 규제를 약화시켜야 한다는 주장들이 나오긴 하지만 아직 우리나라에서는 대세가 아니다. 필자가 정보보호산업을 규제산업이라고 한 것은 이와는 좀 다른 의미다. 정보보호산업에 규제가 많다는 뜻이 아니라 이 산업이 규제의 혜택을 많이 받는다는 의미다. 정보통신기반보호법에서 금융·통신·공공부문 등 여러 산업에 걸쳐 지정되는 정보통신기반시설의 취약점 분석·평가를 의무화하면서 정보보호컨설팅이 본격적으로 시작했고, 정보통신망법에서 일정 규모 이상의 기업에 의무화했던 ‘정보보호 안전진단’과 그것을 이은 ‘정보보호 관리체계(ISMS) 인증’이 성장의 계기가 되었다. 전자금융거래와 신용정보를 보호하기 위한 규제가 강력한 금융산업 이외에 근래 정보보호시장에 가장 큰 영향을 미친 것은 개인정보보호 관련법이다. 개인정보를 처리하는 정보통신서비스 사업자가 정보통신망법을 준수하기 위해 침입차단시스템(방화벽), 침입탐지(방지)시스템(IDPS), 데이터베이스 암호화, ‘망 분리’ 솔루션, DB접근제어 솔루션 등을 도입하고 있다. 안전성 확보조치가 미비하여 개인정보 유출 등의 사고가 발생한 법인이나 책임자를 형사처벌하는 조항도 있다. 이러한 규제로 인해 단기적으로 정보보호시장이 커지고 보안업체와 산업이 성장한 것은 사실이지만, 부작용도 적지 않아 보인다. 규제는 제품 혁신의 동력이 되지 못하기 때문이다. 국내 시장은 규제 준수의 수준에서 더 이상 커지지 않고, 글로벌 경쟁력을 갖추지 못한 제품은 동일한 규제가 없는 해외 시장에서 힘을 ...

2017.05.22

강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(2)

오랜 만에 쓰다 보니 독자들 중 앞의 칼럼과 연결되지 않는 분이 많이 계실 것 같다. 궁금하신 분들은 다음 관련 칼럼을 읽어 보시기 바란다. ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1) ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2) ->강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(1) 사물인터넷(Internet of Things, IoT) 보안이 IoT 시대가 순항할 수 있는 핵심 요인으로 등장하면서 각 나라와 주요 단체, 업계 등에서 이에 관한 IoT 보안에 관한 문서를 앞다퉈 내고 있다. 대표적인 걸 몇 개 꼽으면 다음과 같다.  Open Web Application Security Project(OWASP), Internet of Things Top Ten, 2014.  Cloud Security Alliance(CSA), Security Guidance for Early Adopters of the Internet of Things, 2015.4.  일본 정보처리추진기구(IPA), 연결되는 세계의 개발지침(2016.3.), IoT 개발의 보안설계 지침(2016.5.)  GSM Alliance(GSMA), IoT Security Guidelines, 2016.  Industrial Internet Consortium, Industrial Internet of Things Volume G4: Security Framework, 2016.9.  Open Connectivity Foundation(OCF), OIC Security Specification V1.1.0, 2016.10.  IoT 보안 얼라이언스, IoT 공통보안 가이드, 2016.9. 위 자료 중 가장 쉽게 읽을 수 있는 자료는 역시 우리 말로 작성된 ‘IoT 공통보안 가이드’이다. 이것은 여러 자료를 참고해서 작성했기 때문에 위 목록에 있는 일부 ...

CISO 사물인터넷 강은성 OWASP CISO Lab IoT 보안 SSDL 소프트웨어 개발보안 생명주기

2017.02.09

오랜 만에 쓰다 보니 독자들 중 앞의 칼럼과 연결되지 않는 분이 많이 계실 것 같다. 궁금하신 분들은 다음 관련 칼럼을 읽어 보시기 바란다. ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1) ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2) ->강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(1) 사물인터넷(Internet of Things, IoT) 보안이 IoT 시대가 순항할 수 있는 핵심 요인으로 등장하면서 각 나라와 주요 단체, 업계 등에서 이에 관한 IoT 보안에 관한 문서를 앞다퉈 내고 있다. 대표적인 걸 몇 개 꼽으면 다음과 같다.  Open Web Application Security Project(OWASP), Internet of Things Top Ten, 2014.  Cloud Security Alliance(CSA), Security Guidance for Early Adopters of the Internet of Things, 2015.4.  일본 정보처리추진기구(IPA), 연결되는 세계의 개발지침(2016.3.), IoT 개발의 보안설계 지침(2016.5.)  GSM Alliance(GSMA), IoT Security Guidelines, 2016.  Industrial Internet Consortium, Industrial Internet of Things Volume G4: Security Framework, 2016.9.  Open Connectivity Foundation(OCF), OIC Security Specification V1.1.0, 2016.10.  IoT 보안 얼라이언스, IoT 공통보안 가이드, 2016.9. 위 자료 중 가장 쉽게 읽을 수 있는 자료는 역시 우리 말로 작성된 ‘IoT 공통보안 가이드’이다. 이것은 여러 자료를 참고해서 작성했기 때문에 위 목록에 있는 일부 ...

2017.02.09

강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안

어느새 사물인터넷(Internet of Things, IoT)이 우리 곁으로 들어왔다. 냉장고와 세탁기에 인터넷이 연결되고 스마트폰 앱으로 조종할 수 있는 로봇청소기도 선을 보였다. 시장 조사기관인 가트너에서는 인터넷에 연결되는 IoT 기기가 2020년에 208억 대에 이를 것이라는 예측을 내놓았다(Gartner, "Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015", 2015.11.10). 세계적인 IT업체인 구글뿐 아니라 전통적인 완성차 업체인 다임러, 아우디, BMW 등이 선도하는 자율주행차 역시 전형적인 사물인터넷 제품이다. <그림 1> 개인ㆍ가정용 사물인터넷 제품 뿐만 아니라 이미 대중화된 스마트 밴드를 비롯한 웨어러블 제품, 에너지, 항공, 열차, 교통시스템 같은 산업용 제품도 인터넷(또는 네트워크)에 연결되어 편의성, 효율성 등을 크게 향상시켰다. 이렇게 제품들에는 CPU나 MPU(Micro Processing Unit)가 장착되고, 플래시 메모리 같은 저장장치를 갖고 소프트웨어나 펌웨어(Firmware)가 필요한 기능을 실행한다. 이렇게 스마트 제품이 인터넷에 연결되면서 그에 따른 부작용에 대한 우려가 커지고 있다. 대표적인 것이 IoT 제품에 대한 해킹에 의한 원격 조종이나 프라이버시 침해이다. <그림2> 원격에서 해킹당한 지프 체로키 미국 유명 잡지인 와이어드의 기자가 직접 원격 모의해킹을 체험하여 쓴 기사를 보면, 그가 운전한 세계적인 자동차 회사의 지프차가 원격에서 해킹되어 자신의 의사와 관계없이 핸들이 움직이고 브레이크가 작동하지 않은 상태에서 속도 역시 원격에서 조종되어 달리던 지프차가 <그림 2>와 같이 고속도로를 벗어나 멈춰 섰다(Andy Greenberg, "Hackers remotely kill ...

CSO 원격 조정 스마트 밴드 자율주행차 IoT 보안 디지털 사이니즈 강은성 사물인터넷 취약점 CISO 해킹 가트너 버스정보시스템

2016.09.08

어느새 사물인터넷(Internet of Things, IoT)이 우리 곁으로 들어왔다. 냉장고와 세탁기에 인터넷이 연결되고 스마트폰 앱으로 조종할 수 있는 로봇청소기도 선을 보였다. 시장 조사기관인 가트너에서는 인터넷에 연결되는 IoT 기기가 2020년에 208억 대에 이를 것이라는 예측을 내놓았다(Gartner, "Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015", 2015.11.10). 세계적인 IT업체인 구글뿐 아니라 전통적인 완성차 업체인 다임러, 아우디, BMW 등이 선도하는 자율주행차 역시 전형적인 사물인터넷 제품이다. <그림 1> 개인ㆍ가정용 사물인터넷 제품 뿐만 아니라 이미 대중화된 스마트 밴드를 비롯한 웨어러블 제품, 에너지, 항공, 열차, 교통시스템 같은 산업용 제품도 인터넷(또는 네트워크)에 연결되어 편의성, 효율성 등을 크게 향상시켰다. 이렇게 제품들에는 CPU나 MPU(Micro Processing Unit)가 장착되고, 플래시 메모리 같은 저장장치를 갖고 소프트웨어나 펌웨어(Firmware)가 필요한 기능을 실행한다. 이렇게 스마트 제품이 인터넷에 연결되면서 그에 따른 부작용에 대한 우려가 커지고 있다. 대표적인 것이 IoT 제품에 대한 해킹에 의한 원격 조종이나 프라이버시 침해이다. <그림2> 원격에서 해킹당한 지프 체로키 미국 유명 잡지인 와이어드의 기자가 직접 원격 모의해킹을 체험하여 쓴 기사를 보면, 그가 운전한 세계적인 자동차 회사의 지프차가 원격에서 해킹되어 자신의 의사와 관계없이 핸들이 움직이고 브레이크가 작동하지 않은 상태에서 속도 역시 원격에서 조종되어 달리던 지프차가 <그림 2>와 같이 고속도로를 벗어나 멈춰 섰다(Andy Greenberg, "Hackers remotely kill ...

2016.09.08

본지 칼럼니스트 강은성 대표, 정보보호 조직 역량 강화 교육

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 27일부터 28일까지 이틀간 ‘정보보호 조직 역량 강화 교육-보안팀, 유기적인 운영방안’을 맡게 된다. 이 교육에서 강 대표는 기업 경영과 정보보호 조직의 위상, 정보보호 조직의 바람직한 업무, 보안위험 관리와 보안투자, 보안사고 대응방안, 협업 방안 수립과 추진, 전사 보안정책 추진, 바람직한 보안문화의 형성, 보안 실무자의 동기 부여 등을 강의할 예정이다. 또 정보유출 사고 및 대응 사례에 관해서는 KT 이상용 상무가 특강을 맡을 것으로 알려졌다. 이 교육에 관한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

CSO CISO 랩 CISO Lab CONCERT 한국침해사고대응팀협의회 강은성 보안 교육 KT CISO 이상용 상무

2016.09.07

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 27일부터 28일까지 이틀간 ‘정보보호 조직 역량 강화 교육-보안팀, 유기적인 운영방안’을 맡게 된다. 이 교육에서 강 대표는 기업 경영과 정보보호 조직의 위상, 정보보호 조직의 바람직한 업무, 보안위험 관리와 보안투자, 보안사고 대응방안, 협업 방안 수립과 추진, 전사 보안정책 추진, 바람직한 보안문화의 형성, 보안 실무자의 동기 부여 등을 강의할 예정이다. 또 정보유출 사고 및 대응 사례에 관해서는 KT 이상용 상무가 특강을 맡을 것으로 알려졌다. 이 교육에 관한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

2016.09.07

강은성의 보안 아키텍트 | 개인정보 유출시 할 일(1), 통지 - 법규를 중심으로

몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다. 본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다. 먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다. 이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다. 사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 ...

CSO 통지 보건복지부 정보통신망법 신고 강은성 개인정보보호법 공공기관 유출 CISO 개인정보 교육 정부 과태료

2016.08.08

몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다. 본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다. 먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다. 이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다. 사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 ...

2016.08.08

본지 칼럼니스트 강은성 대표, 정보보호 조직역량 강화 교육

오는 6월 21일과 22일 이틀간 정보보호 조직역량 강화 교육이 진행될 예정이며, 여기에 <CIO Korea> 칼럼니스트인 CISO랩 강은성 대표가 강의를 맡는다. 정보보호 조직역량 강화 교육은 기존의 정보보호 교육이 주로 보안기술이나 관련 법규를 다루는 것과 달리 기업의 정보보호 조직이 부딪히는 현실에 대한 해결책을 모색하는 것이 특징이다. 정보유출 사고에 직접 대응한 경험이 있는 강사와 함께 사고 발생시 기업의 대응체계 구축 방안과 언론, 고객사, 수사기관 등 외부 대응절차 및 요령 등 생생한 경험과 노하우를 공유하는 자리가 될 것이다. 강 대표는 안랩 연구소장과 시큐리티대응센터장을 거쳐 SK커뮤니케이션즈에서 최고보안책임자(CSO)를 지냈다. 이번 교육은 팀장, 파트장, 그룹장 등 정보보호 조직운영자와 실무책임자를 대상으로 하며, 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

교육 CISO 강은성 한국침해사고대응팀협의회 CONCERT CISO랩 정보보호 조직역량강화 교육

2016.06.07

오는 6월 21일과 22일 이틀간 정보보호 조직역량 강화 교육이 진행될 예정이며, 여기에 <CIO Korea> 칼럼니스트인 CISO랩 강은성 대표가 강의를 맡는다. 정보보호 조직역량 강화 교육은 기존의 정보보호 교육이 주로 보안기술이나 관련 법규를 다루는 것과 달리 기업의 정보보호 조직이 부딪히는 현실에 대한 해결책을 모색하는 것이 특징이다. 정보유출 사고에 직접 대응한 경험이 있는 강사와 함께 사고 발생시 기업의 대응체계 구축 방안과 언론, 고객사, 수사기관 등 외부 대응절차 및 요령 등 생생한 경험과 노하우를 공유하는 자리가 될 것이다. 강 대표는 안랩 연구소장과 시큐리티대응센터장을 거쳐 SK커뮤니케이션즈에서 최고보안책임자(CSO)를 지냈다. 이번 교육은 팀장, 파트장, 그룹장 등 정보보호 조직운영자와 실무책임자를 대상으로 하며, 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

2016.06.07

강은성의 보안 아키텍트 | 금융권 '자율'보안과 개인정보의 '자율'보호

지난해 금융보안의 주요 화두 중 하나는 ‘자율보안’이었다. 금융권에서의 자율보안에 관해 종합적으로 정리한 ‘금융IT부문 자율보안체계 확립 방안’(금융개혁회의, 2015.6)에서는, '자율보안'을, “핀테크 산업 활성화를 위해 IT보안 규제의 패러다임을 사전규제에서 사후규제로 전환”하는 것을 목적으로 "금융회사 스스로 정보보안 및 내부통제를 강화하고 핀테크 시대에 부응하는 민간 중심의 자율적 보안체계”로 정의하였다. 국가 경제의 한 축을 담당하면서 국민의 금융자산을 관리하고 있어서 전통적으로 정부가 강력하게 규제해 온 금융산업에서, 거래의 대다수를 점하고 있는 전자금융의 인프라와 국민의 자산 및 정보를 보호하는 막중한 임무를 띠고 있는 금융보안을 자율보안으로 해 나가겠다는 '선언'은 다소 어색해 보인다. 게다가 2014년 1월 카드사의 개인정보 대량유출 사건 이후 금융당국의 정보보호 및 개인정보 대책은 규제와 처벌의 확대ㆍ강화를 기조로 진행됐다. 카드사 대책으로 ‘개인정보 정상화 대책’(관계부처 합동, 2014.7.31)이 발표된 이후 개인정보보호법, 정보통신망법, 신용정보법 등 '개인정보 3법' 중 규제수준이 낮은 법 조항을 높은 쪽에 맞추는 방향으로 법들이 개정되면서, 금융권을 포함해 전반적으로 정보보호 및 개인정보 관련 규제를 강화해 온 흐름과 상반된 것이기도 하다. 단순화시키면 '천송이코트 구매 불가 사건'으로 붉어진 액티브X 기반의 불편한 보안모듈 문제가 '낡은 규제'의 결과로 지적되고, 이것이 글로벌 화두였던 간편결제를 중심으로 한 핀테크와 대비되면서 금융개혁회의 자료에서도 밝혔듯이 자율보안의 필요성으로까지 확대된 것으로 보이지만, 그 배경에는 카드사 사태에서 금융보안의 세세한 부분까지 강력한 규제를 행사해 온 금융(감독)당국의 책임론이 나오고, 개인정보 유출사고에서...

개인정보 보호 사전규제 법규 자율규제 자율보안 행정자치부 액티브X 강은성 개인정보보호법 CISO 금융 소송 사후규제

2016.06.03

지난해 금융보안의 주요 화두 중 하나는 ‘자율보안’이었다. 금융권에서의 자율보안에 관해 종합적으로 정리한 ‘금융IT부문 자율보안체계 확립 방안’(금융개혁회의, 2015.6)에서는, '자율보안'을, “핀테크 산업 활성화를 위해 IT보안 규제의 패러다임을 사전규제에서 사후규제로 전환”하는 것을 목적으로 "금융회사 스스로 정보보안 및 내부통제를 강화하고 핀테크 시대에 부응하는 민간 중심의 자율적 보안체계”로 정의하였다. 국가 경제의 한 축을 담당하면서 국민의 금융자산을 관리하고 있어서 전통적으로 정부가 강력하게 규제해 온 금융산업에서, 거래의 대다수를 점하고 있는 전자금융의 인프라와 국민의 자산 및 정보를 보호하는 막중한 임무를 띠고 있는 금융보안을 자율보안으로 해 나가겠다는 '선언'은 다소 어색해 보인다. 게다가 2014년 1월 카드사의 개인정보 대량유출 사건 이후 금융당국의 정보보호 및 개인정보 대책은 규제와 처벌의 확대ㆍ강화를 기조로 진행됐다. 카드사 대책으로 ‘개인정보 정상화 대책’(관계부처 합동, 2014.7.31)이 발표된 이후 개인정보보호법, 정보통신망법, 신용정보법 등 '개인정보 3법' 중 규제수준이 낮은 법 조항을 높은 쪽에 맞추는 방향으로 법들이 개정되면서, 금융권을 포함해 전반적으로 정보보호 및 개인정보 관련 규제를 강화해 온 흐름과 상반된 것이기도 하다. 단순화시키면 '천송이코트 구매 불가 사건'으로 붉어진 액티브X 기반의 불편한 보안모듈 문제가 '낡은 규제'의 결과로 지적되고, 이것이 글로벌 화두였던 간편결제를 중심으로 한 핀테크와 대비되면서 금융개혁회의 자료에서도 밝혔듯이 자율보안의 필요성으로까지 확대된 것으로 보이지만, 그 배경에는 카드사 사태에서 금융보안의 세세한 부분까지 강력한 규제를 행사해 온 금융(감독)당국의 책임론이 나오고, 개인정보 유출사고에서...

2016.06.03

강은성의 보안 아키텍트 | ISMS 인증제도와 심사 대비

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

CSO ISMS 정보통신망법 보안 아키텍트 강은성 한국인터넷진흥원 심사 대비 KISA 인증 CISO 규제 정보보호 관리체계

2016.04.14

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

2016.04.14

강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2)

이번 칼럼에서는 지난 칼럼에 이어 보안 소프트웨어 개발생명주기(SSDL, Secure Software Development Lifecycle)를 좀더 세부적으로 살펴보려고 한다. 상용 소프트웨어를 개발하는 회사들은 소프트웨어 기획 - 요구사항 정의 - 설계 - 구현 - 시험(검증) - 출시 - 유지보수(운영)를 뼈대로 하는 개발 프로세스를 갖고 있기 마련이다. SSDL에서는 각 개발단계에서 해야 할 보안활동을 정의한다. 개발단계별 대표적인 보안활동으로는 보안요구사항 작성(요구사항 정의단계), 위협모델링(설계단계), 보안 코딩, 정적 분석, 보안 코드리뷰(구현단계), 보안 테스트, Fuzz 테스트, 동적 분석, 침투 테스트(시험단계), 최종 보안점검(출시단계), 제품보안 이슈 대응(유지보수단계) 등이 있다. [그림 1] 마이크로소프트의 Security Development Lifecycle(SDL) 요구사항 정의단계에서는 소프트웨어를 개발할 때 구현할 기능요구사항을 주로 작성하지만, 비기능적인 요구사항도 작성하는 것이 보통이다. 여기에는 품질, 성능, 운영, 인터페이스, 보안 요구사항이 포함된다. 보안요구사항의 예로는 다음과 같은 것들이 있다. ① 익명 사용자를 허용하지 않는다. ② 일반 사용자 계정으로는 관리 기능을 수행할 수 없다. ③ 원격에서 관리자 계정으로 시스템 접속 시 2단계 인증을 적용한다. ④ 전화번호와 거주지 상세 주소는 저장 및 전송 시 암호화한다. ⑤ 데이터 암호화 키는 별도의 하드웨어 보안모듈(HSM)에 저장한다. ⑥ 전사 서비스 개인정보 및 정보보호 정책에 따라 암호화 여부, 방법, 수준을 결정한다. ⑦ SSDL의 모든 보안활동을 적용한다. 보안요구사항은 기능요구사항과 마찬가지로 특정 기능이나 데이터에 대한 것(①~⑤)일 수도 있고, 여러 사항에 적용되는 정책적인 것(⑥~⑦)일 수도 있다. 어떤 것이든 요구사항 정의서(SRS, Software Requirement Specification)에 ...

CSO 개발프로세스 소프트웨어 보안 SSDL 보안 아키텍트 강은성 CISO 테스트 마이크로소프트 보안 소프트웨어 개발생명주기

2016.03.17

이번 칼럼에서는 지난 칼럼에 이어 보안 소프트웨어 개발생명주기(SSDL, Secure Software Development Lifecycle)를 좀더 세부적으로 살펴보려고 한다. 상용 소프트웨어를 개발하는 회사들은 소프트웨어 기획 - 요구사항 정의 - 설계 - 구현 - 시험(검증) - 출시 - 유지보수(운영)를 뼈대로 하는 개발 프로세스를 갖고 있기 마련이다. SSDL에서는 각 개발단계에서 해야 할 보안활동을 정의한다. 개발단계별 대표적인 보안활동으로는 보안요구사항 작성(요구사항 정의단계), 위협모델링(설계단계), 보안 코딩, 정적 분석, 보안 코드리뷰(구현단계), 보안 테스트, Fuzz 테스트, 동적 분석, 침투 테스트(시험단계), 최종 보안점검(출시단계), 제품보안 이슈 대응(유지보수단계) 등이 있다. [그림 1] 마이크로소프트의 Security Development Lifecycle(SDL) 요구사항 정의단계에서는 소프트웨어를 개발할 때 구현할 기능요구사항을 주로 작성하지만, 비기능적인 요구사항도 작성하는 것이 보통이다. 여기에는 품질, 성능, 운영, 인터페이스, 보안 요구사항이 포함된다. 보안요구사항의 예로는 다음과 같은 것들이 있다. ① 익명 사용자를 허용하지 않는다. ② 일반 사용자 계정으로는 관리 기능을 수행할 수 없다. ③ 원격에서 관리자 계정으로 시스템 접속 시 2단계 인증을 적용한다. ④ 전화번호와 거주지 상세 주소는 저장 및 전송 시 암호화한다. ⑤ 데이터 암호화 키는 별도의 하드웨어 보안모듈(HSM)에 저장한다. ⑥ 전사 서비스 개인정보 및 정보보호 정책에 따라 암호화 여부, 방법, 수준을 결정한다. ⑦ SSDL의 모든 보안활동을 적용한다. 보안요구사항은 기능요구사항과 마찬가지로 특정 기능이나 데이터에 대한 것(①~⑤)일 수도 있고, 여러 사항에 적용되는 정책적인 것(⑥~⑦)일 수도 있다. 어떤 것이든 요구사항 정의서(SRS, Software Requirement Specification)에 ...

2016.03.17

본지 칼럼니스트 강은성 대표, 정보보호 조직역량강화 교육

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 3월 29일부터 30일까지 2일간 ‘정보보호 조직역량강화 교육’을 맡게 된다. 이번 교육은 한국침해사고대응팀협의회(CONCERT, 회장 류재철)과 한국CPO포럼(회장 정태명)이 공동으로 운영한다. 기존 정보보호 교육이 보안 기술이나 관련 법규를 주로 다루는 것과 달리 이번 교육은 기업의 정보보호 조직이 맞닥뜨리는 현실에 관한 해결책을 모색하는 것이 특징이다. 또 정보보호 조직의 위상과 역할 설정, 보안 투자 및 성과 평가, 전사 보안 정책 추진, 타 부서 협업, 보안 문화 형성, 동기부여 등 정보보호 팀장, 파트장, 미래 관리자 등 고참 실무자라면 한번쯤 고민했을 다양한 사안을 다룰 예정이다. 이 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

CSO CISO 강은성 사고 대응 한국침해사고대응팀협의회 CONCERT CISO Lab 정보보호 교육 실무 교육

2016.03.16

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 3월 29일부터 30일까지 2일간 ‘정보보호 조직역량강화 교육’을 맡게 된다. 이번 교육은 한국침해사고대응팀협의회(CONCERT, 회장 류재철)과 한국CPO포럼(회장 정태명)이 공동으로 운영한다. 기존 정보보호 교육이 보안 기술이나 관련 법규를 주로 다루는 것과 달리 이번 교육은 기업의 정보보호 조직이 맞닥뜨리는 현실에 관한 해결책을 모색하는 것이 특징이다. 또 정보보호 조직의 위상과 역할 설정, 보안 투자 및 성과 평가, 전사 보안 정책 추진, 타 부서 협업, 보안 문화 형성, 동기부여 등 정보보호 팀장, 파트장, 미래 관리자 등 고참 실무자라면 한번쯤 고민했을 다양한 사안을 다룰 예정이다. 이 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

2016.03.16

강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1)

작년 9월에 휴대폰 장터로 잘 알려진 커뮤니티에서 195만여 명의 개인정보가 유출되는 사고가 발생했다. 미래부가 발표한 민ㆍ관합동조사단의 조사결과에 따르면 이 곳의 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어서 이를 통해 SQL 삽입 공격이 이뤄졌다고 한다. 방통위는 이 곳이 정보통신망법에서 규정한 개인정보 보호조치(제28조 제1항)를 위반했다는 이유로 과징금 1억 200만 원, 과태료 1,500만 원의 행정처분을 결정했다. SQL 삽입 취약점은 오래되었을 뿐 아니라 유명한 글로벌 프로젝트인 OWASP(Open Web Application Security Project) 10에서도 2010년과 2013년 연속 1위를 차지할 정도로 잘 알려졌음에도 불구하고 이로 인한 사고가 끊이지 않은 것이 우리의 보안 현실이다. (OWASP 10은 2004년, 2007년, 2010년, 2013년에 진행됐다.) 웹 애플리케이션은 불특정 다수의 이용자가 서비스를 이용하는 공간이기 때문에 공인 IP로 인터넷에 공개된 서버에서 작동한다. 이용자와의 접점(인터페이스)인 동시에 범행자들의 보안 공격의 통로이기도 하다는 말이다. 따라서 웹 애플리케이션은 이용자에게 필요한 기능, 사용 편의성, 적절한 성능을 제공할 뿐 아니라 경계선에 있는 제1차 방어 기제로서 보안 공격에 최소한의 방어를 할 수 있어야 한다. 그래야 서비스 제공자가 이용자에게 온전한 서비스를 제공할 수 있다. 따라서 개발조직의 개발 목표에 기능, 편의성, 성능뿐 아니라 보안이 들어가야 한다. SQL 삽입 공격에 대해서도 그에 대한 취약점이 없도록 웹 서비스를 개발하는 것이 가장 좋은 방어책이다. 웹 애플리케이션뿐 아니라 일반 소프트웨어에도 방어 기제로서의 성격이 있다. 많은 소프트웨어들이 이용자와 직접적인 접점을 갖거나 다른 소프트웨어 모듈을 통해 간접적으로 연결되어 있기 때문이다. 메신저 같이 PC나 스마트폰에서 작동하는 애플리케이션도 이용자에게 서비스를 제공하는 동시에 이용자 정보...

CSO 보안 소프트웨어 개발 생명주기 Open Web Application Security Project 크라이슬러 웹 애플리케이션 오작동 보안 아키텍트 OWASP 강은성 소프트웨어 개발 취약점 CISO 리콜 테스팅 자동차 해킹 SSDL

2016.01.22

작년 9월에 휴대폰 장터로 잘 알려진 커뮤니티에서 195만여 명의 개인정보가 유출되는 사고가 발생했다. 미래부가 발표한 민ㆍ관합동조사단의 조사결과에 따르면 이 곳의 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어서 이를 통해 SQL 삽입 공격이 이뤄졌다고 한다. 방통위는 이 곳이 정보통신망법에서 규정한 개인정보 보호조치(제28조 제1항)를 위반했다는 이유로 과징금 1억 200만 원, 과태료 1,500만 원의 행정처분을 결정했다. SQL 삽입 취약점은 오래되었을 뿐 아니라 유명한 글로벌 프로젝트인 OWASP(Open Web Application Security Project) 10에서도 2010년과 2013년 연속 1위를 차지할 정도로 잘 알려졌음에도 불구하고 이로 인한 사고가 끊이지 않은 것이 우리의 보안 현실이다. (OWASP 10은 2004년, 2007년, 2010년, 2013년에 진행됐다.) 웹 애플리케이션은 불특정 다수의 이용자가 서비스를 이용하는 공간이기 때문에 공인 IP로 인터넷에 공개된 서버에서 작동한다. 이용자와의 접점(인터페이스)인 동시에 범행자들의 보안 공격의 통로이기도 하다는 말이다. 따라서 웹 애플리케이션은 이용자에게 필요한 기능, 사용 편의성, 적절한 성능을 제공할 뿐 아니라 경계선에 있는 제1차 방어 기제로서 보안 공격에 최소한의 방어를 할 수 있어야 한다. 그래야 서비스 제공자가 이용자에게 온전한 서비스를 제공할 수 있다. 따라서 개발조직의 개발 목표에 기능, 편의성, 성능뿐 아니라 보안이 들어가야 한다. SQL 삽입 공격에 대해서도 그에 대한 취약점이 없도록 웹 서비스를 개발하는 것이 가장 좋은 방어책이다. 웹 애플리케이션뿐 아니라 일반 소프트웨어에도 방어 기제로서의 성격이 있다. 많은 소프트웨어들이 이용자와 직접적인 접점을 갖거나 다른 소프트웨어 모듈을 통해 간접적으로 연결되어 있기 때문이다. 메신저 같이 PC나 스마트폰에서 작동하는 애플리케이션도 이용자에게 서비스를 제공하는 동시에 이용자 정보...

2016.01.22

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(3) - 실효성 있는 보안을 위해

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

CISO 카스퍼스키 강은성 보안 아키텍트 정보통신망법 망 분리 네트워크 영역 분리

2015.12.21

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

2015.12.21

칼럼 | 차세대 보안위협과 대응전략

당장 코 앞에 닥친 보안 현실도 녹록치 않은데 미래의 보안위협을 논하는 것은 좀 한가해 보이기도 한다. 관심이 있다 하더라도 ‘지적 호기심’에 가까울 수도 있다. 우리가 미래의 보안을 생각할 때는 다음 2가지 경우가 있다. 우선 새로운 사업을 고려하고 있을 때다. 예를 들어 사물인터넷 관련 사업을 추진하려고 한다면 자연히 해당 단말기나 서비스의 보안 위협과 취약점, 그에 따른 위험을 살펴보게 된다. 클라우드 기반의 서비스를 하기 위해 클라우드 서비스의 보안 점검 포인트나 해당 클라우드 서비스 제공자(CSP, Cloud Service Provider)가 제공하는 보안 서비스 종류를 들여다 본다. 다른 하나는 트렌드와 연관된 보안위협이다. 이러한 위협은 당장 우리 회사와 관련이 없어 보이더라도 어느 순간 우리가 그 환경에 포함될 수 있으므로 봐 둘 필요가 있다. 어떤 것들은 조직에서의 ‘나’가 아닌 개인과 가정에서의 ‘나’와 연관될 수도 있다. 여기에서는 주요 IT 트렌드인 클라우드, 빅데이터, 사물인터넷과 그것의 주요 보안 이슈, 그에 대한 대응 방안을 검토하려고 한다. ->Digital Mook CSO vol.1 차세대 위협과 대응 1. 클라우드 서비스와 클라우드 보안 우리는 어느새 클라우드의 시대에 살고 있다. 개인으로 보면 휴대폰, 태블릿, 컴퓨터의 데이터를 구글 드라이브나 네이버 N드라이브에 올려 놓는 게 자연스러워졌고, 문서 편집은 아예 구글 문서도구(google docs)나 드롭박스에 하는 경우도 많다, 내가 의식하지 못한 사이에 아이폰이나 아이패드의 사진이 아이클라우드(i-cloud)로 올라가는 것이 이제 낯설지 않다. 기업 측면에서는, 게임 개발을 하는 소규모 업체들이 클라우드의 원조 격인 아마존의 AWS를 사용하면서 개발 및 운영 비용을 크게 줄였고, 글로벌 서비스를 제공하는 업체들 역시 클라우드를 적극적으로 활용하고 있다. 사실 클라우드 서비스는 초...

CSO 모빌리티 빅데이터 CISO 강은성 차세대 보안위협

2015.09.24

당장 코 앞에 닥친 보안 현실도 녹록치 않은데 미래의 보안위협을 논하는 것은 좀 한가해 보이기도 한다. 관심이 있다 하더라도 ‘지적 호기심’에 가까울 수도 있다. 우리가 미래의 보안을 생각할 때는 다음 2가지 경우가 있다. 우선 새로운 사업을 고려하고 있을 때다. 예를 들어 사물인터넷 관련 사업을 추진하려고 한다면 자연히 해당 단말기나 서비스의 보안 위협과 취약점, 그에 따른 위험을 살펴보게 된다. 클라우드 기반의 서비스를 하기 위해 클라우드 서비스의 보안 점검 포인트나 해당 클라우드 서비스 제공자(CSP, Cloud Service Provider)가 제공하는 보안 서비스 종류를 들여다 본다. 다른 하나는 트렌드와 연관된 보안위협이다. 이러한 위협은 당장 우리 회사와 관련이 없어 보이더라도 어느 순간 우리가 그 환경에 포함될 수 있으므로 봐 둘 필요가 있다. 어떤 것들은 조직에서의 ‘나’가 아닌 개인과 가정에서의 ‘나’와 연관될 수도 있다. 여기에서는 주요 IT 트렌드인 클라우드, 빅데이터, 사물인터넷과 그것의 주요 보안 이슈, 그에 대한 대응 방안을 검토하려고 한다. ->Digital Mook CSO vol.1 차세대 위협과 대응 1. 클라우드 서비스와 클라우드 보안 우리는 어느새 클라우드의 시대에 살고 있다. 개인으로 보면 휴대폰, 태블릿, 컴퓨터의 데이터를 구글 드라이브나 네이버 N드라이브에 올려 놓는 게 자연스러워졌고, 문서 편집은 아예 구글 문서도구(google docs)나 드롭박스에 하는 경우도 많다, 내가 의식하지 못한 사이에 아이폰이나 아이패드의 사진이 아이클라우드(i-cloud)로 올라가는 것이 이제 낯설지 않다. 기업 측면에서는, 게임 개발을 하는 소규모 업체들이 클라우드의 원조 격인 아마존의 AWS를 사용하면서 개발 및 운영 비용을 크게 줄였고, 글로벌 서비스를 제공하는 업체들 역시 클라우드를 적극적으로 활용하고 있다. 사실 클라우드 서비스는 초...

2015.09.24

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6