Offcanvas

������ ������������

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

강은성 보안 아키텍트 보안 정보보안 기밀성 무결성 가용성 빌 게이츠 위험 관리 정보보호

2021.03.12

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

2021.03.12

강은성의 보안 아키텍트ㅣ애플이 쏘아 올린 광고 식별자 논쟁

전 세계가 코로나19로 인해 고통받고 있는 상황에서도 새로운 한 해를 맞이한다. 백신과 치료제가 우리를 해방하는 날이 하루빨리 오길 기대해 본다. 애플은 작년 12월부터 자사의 앱스토어에 등록하는 앱이 이용자의 개인정보를 수집하면 ‘개인정보 처리방침’ URL을 명시하고 어떤 데이터를 수집하는지 공개하도록 하는 정책을 시행하고 있다.      개인정보보호법에 따라 의무적으로 개인정보 처리방침을 공개하는 국내 기업에는 익숙한 정책이다. 다만 정부가 아니라 플랫폼사업자가 규제하는 것이 좀 낯설 뿐이다.  이 정책은 지난해 6월에 열린 애플의 세계개발자대회(WWDC) 2020에서 키노트를 통해 발표되었는데, 이것보다 더 세간의 관심을 끈 것은 같이 발표된 ‘앱 추적 통제’(Tracking control) 정책이다. 그림과 같이 앱에서 이용자의 정보나 행위를 추적하려면 이용자의 사전 승인(opt-in)을 받아야 하고, 그렇지 않은 앱은 앱스토어에서 삭제하겠다는 것이다.   하지만 iOS 업데이트에서 앱 추적 투명성(App Tracking Transparency) 프레임워크를 배포함으로써 이 정책을 시행하겠다던 애플은 개발사에 준비 기간을 주겠다면서 이 기능을 비활성화한 채 배포하고, 정책 시행 시기를 올해 초로 연기하였다. 개인정보보호 관점에서 보면 당연하거나 바람직해 보이는 이 정책을, 광고 매출이 반 이하로 떨어질 것으로 예측한 페이스북이 강력히 반대했기 때문이다.  ‘디스플레이 광고’ 때부터 무료였던 콘텐츠가 ‘개인 맞춤형’ 광고 덕분에 무료라는 초기 주장이 설득력이 없다는 걸 깨달았는지 작년 12월부터 페이스북은 애플의 앱 추적 통제 정책이 프라이버시 보호가 목적이 아니라 애플의 이익을 강화하기 위한 ‘반경쟁적’ 정책이고, 이 정책으로 인해 소기업의 수입이 60% 줄어들 것이라며 이 정책을 중단시키기 위한 좀 더 정교한 반대 캠페인을 시작했다. ‘페이스북-케임브리지 애널리티카 개인정보 유출 사...

강은성 보안 아키텍트 애플 개인정보보호 프라이버시 애플리케이션 데이터 개인정보 앱 추적 통제 페이스북 광고 광고 식별자 네이버

2021.01.18

전 세계가 코로나19로 인해 고통받고 있는 상황에서도 새로운 한 해를 맞이한다. 백신과 치료제가 우리를 해방하는 날이 하루빨리 오길 기대해 본다. 애플은 작년 12월부터 자사의 앱스토어에 등록하는 앱이 이용자의 개인정보를 수집하면 ‘개인정보 처리방침’ URL을 명시하고 어떤 데이터를 수집하는지 공개하도록 하는 정책을 시행하고 있다.      개인정보보호법에 따라 의무적으로 개인정보 처리방침을 공개하는 국내 기업에는 익숙한 정책이다. 다만 정부가 아니라 플랫폼사업자가 규제하는 것이 좀 낯설 뿐이다.  이 정책은 지난해 6월에 열린 애플의 세계개발자대회(WWDC) 2020에서 키노트를 통해 발표되었는데, 이것보다 더 세간의 관심을 끈 것은 같이 발표된 ‘앱 추적 통제’(Tracking control) 정책이다. 그림과 같이 앱에서 이용자의 정보나 행위를 추적하려면 이용자의 사전 승인(opt-in)을 받아야 하고, 그렇지 않은 앱은 앱스토어에서 삭제하겠다는 것이다.   하지만 iOS 업데이트에서 앱 추적 투명성(App Tracking Transparency) 프레임워크를 배포함으로써 이 정책을 시행하겠다던 애플은 개발사에 준비 기간을 주겠다면서 이 기능을 비활성화한 채 배포하고, 정책 시행 시기를 올해 초로 연기하였다. 개인정보보호 관점에서 보면 당연하거나 바람직해 보이는 이 정책을, 광고 매출이 반 이하로 떨어질 것으로 예측한 페이스북이 강력히 반대했기 때문이다.  ‘디스플레이 광고’ 때부터 무료였던 콘텐츠가 ‘개인 맞춤형’ 광고 덕분에 무료라는 초기 주장이 설득력이 없다는 걸 깨달았는지 작년 12월부터 페이스북은 애플의 앱 추적 통제 정책이 프라이버시 보호가 목적이 아니라 애플의 이익을 강화하기 위한 ‘반경쟁적’ 정책이고, 이 정책으로 인해 소기업의 수입이 60% 줄어들 것이라며 이 정책을 중단시키기 위한 좀 더 정교한 반대 캠페인을 시작했다. ‘페이스북-케임브리지 애널리티카 개인정보 유출 사...

2021.01.18

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

강은성 보안 아키텍트 사이버 위협 맥아피 카스퍼스키 파이어아이 소닉월 포티넷 보안기업 위협 인텔리전스 표적 피싱 원격 CISO CSO

2020.12.21

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

2020.12.21

강은성의 보안 아키텍트ㅣ산업기술보호법에도 최고보안책임자?

지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.   이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설).  ‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다.  인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51...

강은성 보안 아키텍트 산업기술 산업기술보호법 최고보안책임자 국가핵심기술 CSO CISO 보안 보안 임원

2020.11.17

지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.   이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설).  ‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다.  인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51...

2020.11.17

강은성의 보안 아키텍트 | 보안 개발자가 필요하다

4차 산업혁명이 우리 사회의 주요 화두로 떠오르면서 보안의 중요성이 한층 더 강조되고 있다. 작년에 정부가 발표한 「4차 산업혁명 대응계획」(관계부처 합동, 2019.07.)에서도 보안은 주요 꼭지 중의 하나를 차지하였다. 보안 전문가가 부족하여 사이버보안 인재를 양성하겠다는 정책 또한 발표되었다.  하지만 ‘보안’의 분야가 넓어서 어떤 인재를 양성하겠다는 것인지 명확하지 않다. 예를 들어 악성코드 분석가, 모의해커, IT 보안 담당자, 소프트웨어 보안 아키텍트, 정보보호 관리체계 인증 심사원을 모두 보안 전문가라고 부를 수 있지만, 현업에서 하는 일은 상당히 다르다.  모바일 앱이나 웹 서비스 등 소프트웨어 제품과 서비스(이하 소프트웨어 제품)에서 보안 취약점을 통해 개인정보 등 중요 정보가 유출되거나 악성코드가 배포되곤 한다. 소프트웨어 제품에서 보안 취약점을 없애기 위한 활동이 소프트웨어 제품 보안(Product Security) 또는 소프트웨어 보안이다.  기업 보안이 기업의 통제 범위 안에 있는 정보자산을 보호하는 것이 목표라고 하면, 제품 보안은 고객에게 통제권이 있는 제품(소프트웨어, 하드웨어 포함)의 보안 취약점을 최소화하고자 한다. 검증 단계에서 하는 모의해킹을 넘어서서 요구사항 정의-설계-구현 단계에서 보안 활동을 수행한다.  소프트웨어 개발자가 각 개발 단계에서 충실히 개발하면 최종 소프트웨어에 오류가 적은 것과 마찬가지로, 소프트웨어 개발자가 각 개발 단계에서 보안 요구사항 정의-보안 설계-보안코딩 등 보안 활동을 잘 수행하면 최종 소프트웨어의 보안 취약점은 많이 줄어든다. 이러한 보안 개발역량은 기업 보안에 필요한 역량과는 다르다. 이러한 역량을 갖춘 소프트웨어 개발자를 보안개발자라고 할 수 있다. 2017년 초부터 모든 가전에 무선랜(Wi-Fi)을 장착하여 출시했던 LG전자에서는 자체 표준 소프트웨어 보안 개발 프로세스인 LG-SDL(Secure Development Lifecycle)을 수...

강은성 보안 아키텍트 보안 개발자 보안 4차 산업혁명 사이버보안 악성코드 분석가 모의해커 LG전자 스마트 가전 스마트 공장 정보보안산업 서비스형 소프트웨어 보안공학 암호학

2020.10.15

4차 산업혁명이 우리 사회의 주요 화두로 떠오르면서 보안의 중요성이 한층 더 강조되고 있다. 작년에 정부가 발표한 「4차 산업혁명 대응계획」(관계부처 합동, 2019.07.)에서도 보안은 주요 꼭지 중의 하나를 차지하였다. 보안 전문가가 부족하여 사이버보안 인재를 양성하겠다는 정책 또한 발표되었다.  하지만 ‘보안’의 분야가 넓어서 어떤 인재를 양성하겠다는 것인지 명확하지 않다. 예를 들어 악성코드 분석가, 모의해커, IT 보안 담당자, 소프트웨어 보안 아키텍트, 정보보호 관리체계 인증 심사원을 모두 보안 전문가라고 부를 수 있지만, 현업에서 하는 일은 상당히 다르다.  모바일 앱이나 웹 서비스 등 소프트웨어 제품과 서비스(이하 소프트웨어 제품)에서 보안 취약점을 통해 개인정보 등 중요 정보가 유출되거나 악성코드가 배포되곤 한다. 소프트웨어 제품에서 보안 취약점을 없애기 위한 활동이 소프트웨어 제품 보안(Product Security) 또는 소프트웨어 보안이다.  기업 보안이 기업의 통제 범위 안에 있는 정보자산을 보호하는 것이 목표라고 하면, 제품 보안은 고객에게 통제권이 있는 제품(소프트웨어, 하드웨어 포함)의 보안 취약점을 최소화하고자 한다. 검증 단계에서 하는 모의해킹을 넘어서서 요구사항 정의-설계-구현 단계에서 보안 활동을 수행한다.  소프트웨어 개발자가 각 개발 단계에서 충실히 개발하면 최종 소프트웨어에 오류가 적은 것과 마찬가지로, 소프트웨어 개발자가 각 개발 단계에서 보안 요구사항 정의-보안 설계-보안코딩 등 보안 활동을 잘 수행하면 최종 소프트웨어의 보안 취약점은 많이 줄어든다. 이러한 보안 개발역량은 기업 보안에 필요한 역량과는 다르다. 이러한 역량을 갖춘 소프트웨어 개발자를 보안개발자라고 할 수 있다. 2017년 초부터 모든 가전에 무선랜(Wi-Fi)을 장착하여 출시했던 LG전자에서는 자체 표준 소프트웨어 보안 개발 프로세스인 LG-SDL(Secure Development Lifecycle)을 수...

2020.10.15

강은성의 보안 아키텍트ㅣ회계사는 개인정보보호 전문가인가?

회계사가 개인정보보호 전문가인가? 이 무슨 생뚱맞은 질문인가? 대충 회계와 개인정보가 무슨 뜻인지 구분한다면 머리를 갸우뚱할 것이다. 하지만 법령의 실상은 그리 간단하지 않다. 필자는 개인정보 동네에 발을 들여놓은 뒤 이른바 ‘생계형 법 공부’를 하면서 법이 가정한 현실 그리고 그 법이 실제로 적용되는 현실이 달라서 생기는 부작용을 가끔 보게 된다.   ‘공인’인증서 문제에 관한 사회적 합의가 이뤄지면서 그것의 법적 근거였던 전자서명법이 전부개정(2020.12.10 시행)됐고, 그에 따라 소관부처인 과학기술정보통신부는 전자서명법 시행령의 전부개정안을 내놨다.  개정된 전자서명법에서는 전자문서의 안전성과 신뢰성을 확보할 수 있다는 전제 아래 다양한 인증 방법이 사용될 수 있도록 공인인증기관 대신 전자서명인증 사업자(이하 인증사업자)를 도입했다.  인증사업자는 ‘전자서명인증업무 운영기준(법 제7조)’을 준수하고 있다는 사실을 ‘평가기관’(제10조)에서 평가받고 그 결과를 ‘인정기관’(제9조)인 한국인터넷진흥원에 제출하여 인정받으면 사업을 할 수 있다. 평가기관의 역할이 매우 중요하다는 점을 알 수 있다. 시행령 개정안에서는 평가기관의 선정기준(제6조 제1항)을 다음과 같이 제시하였다.   1. 「민법」이나 그 밖의 다른 법률에 따라 설립된 법인일 것 2. 별표 1에 따른 5인 이상의 전문인력을 상시 고용하고 있을 것 3. 최근 2년 이내에 선정이 취소된 사실이 없을 것 4. 그 밖에 평가 업무 수행을 위하여 필요한 요건·능력을 갖출 것 5인 이상의 전문인력을 확보(제2호)하는 것이 주요 요건 중의 하나다. 전문인력의 요건은 별표 1에 나와 있다.   별표 1. ‘평가기관 전문인력 요건’  “4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유”  그리고 바로 뒤에 각 목에서 동등학력(가목), 정보기술 경력(나...

강은성 보안 아키텍트 회계사 개인정보보호 변호사 개인정보

2020.09.17

회계사가 개인정보보호 전문가인가? 이 무슨 생뚱맞은 질문인가? 대충 회계와 개인정보가 무슨 뜻인지 구분한다면 머리를 갸우뚱할 것이다. 하지만 법령의 실상은 그리 간단하지 않다. 필자는 개인정보 동네에 발을 들여놓은 뒤 이른바 ‘생계형 법 공부’를 하면서 법이 가정한 현실 그리고 그 법이 실제로 적용되는 현실이 달라서 생기는 부작용을 가끔 보게 된다.   ‘공인’인증서 문제에 관한 사회적 합의가 이뤄지면서 그것의 법적 근거였던 전자서명법이 전부개정(2020.12.10 시행)됐고, 그에 따라 소관부처인 과학기술정보통신부는 전자서명법 시행령의 전부개정안을 내놨다.  개정된 전자서명법에서는 전자문서의 안전성과 신뢰성을 확보할 수 있다는 전제 아래 다양한 인증 방법이 사용될 수 있도록 공인인증기관 대신 전자서명인증 사업자(이하 인증사업자)를 도입했다.  인증사업자는 ‘전자서명인증업무 운영기준(법 제7조)’을 준수하고 있다는 사실을 ‘평가기관’(제10조)에서 평가받고 그 결과를 ‘인정기관’(제9조)인 한국인터넷진흥원에 제출하여 인정받으면 사업을 할 수 있다. 평가기관의 역할이 매우 중요하다는 점을 알 수 있다. 시행령 개정안에서는 평가기관의 선정기준(제6조 제1항)을 다음과 같이 제시하였다.   1. 「민법」이나 그 밖의 다른 법률에 따라 설립된 법인일 것 2. 별표 1에 따른 5인 이상의 전문인력을 상시 고용하고 있을 것 3. 최근 2년 이내에 선정이 취소된 사실이 없을 것 4. 그 밖에 평가 업무 수행을 위하여 필요한 요건·능력을 갖출 것 5인 이상의 전문인력을 확보(제2호)하는 것이 주요 요건 중의 하나다. 전문인력의 요건은 별표 1에 나와 있다.   별표 1. ‘평가기관 전문인력 요건’  “4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유”  그리고 바로 뒤에 각 목에서 동등학력(가목), 정보기술 경력(나...

2020.09.17

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

강은성의 보안 아키텍트 | 코로나19와 개인정보 위기관리

중국에서 발생한 코로나바이러스 감염증 사태가 전 세계로 확산하고 있다. 지난 1월 20일 국내에서 처음 발생한 확진자 수가 이제는 8천 명을 넘어섰다. 세계적으로도 많은 편이다. 그런데도 우리나라의 코로나19 대응에 대한 세계 유수의 통신사나 G7 국가의 언론, 정부의 찬사가 뉴스에 나온다. 질병관리본부(질본)를 중심으로 한 중앙정부와 지방정부의 신속한 대응, 세계 최고 수준 의료진의 헌신, 마스크 쓰기와 사회적 거리두기를 실천하는 성숙한 국민이 만들어낸 합작품이다. 10여만 원의 진단비와 최대 수천만 원에 이르는 치료비를 무료로 처리해 주는 국내 보건의료체계가 그 토대가 되었음은 물론이다. 강제로 ‘저녁 있는 삶'을 누리는 분들과 함께 이 사태가 빨리 끝나기를 바라면서, 개인정보 위기관리에 대해 교육과 컨설팅을 하는 입장에서 인상적으로 본 몇 가지를 정리해 보려고 한다. 첫째, 위험평가(Risk assessment)에 관한 것이다. 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한에 대해 기자가 질문하자 정부에서는 질본과 감염병 전문가들이 ‘위험평가'를 하고 있다고 답변했다. 감염병 분야의 전문가가 아니라서 잘은 모르겠으나, 지난 한 달 동안 습득한 지식을 바탕으로 추측해 보면, 해당 나라에서의 확산 상황과 해당국의 관리 수준, 국내 유입 가능성, 국내 확산 및 관리 상황, 방역 방법, 부작용 등 여러 요소를 종합적으로 평가하지 않을까 싶다.  개인정보보호나 정보보안 분야에서도 위험평가를 수행한다. 정보보안 위험관리에 관한 국제 표준인 ISO 27005에서는 위험평가를 통해 식별된 위험의 수준과 우선순위를 정하여 보안대책을 수립하도록 하고 있다. 각 기업에서는 이에 따라 적절한 위혐평가 방법론을 활용하여 보안위험을 평가하고 보안대책을 마련하여 우선순위에 따라 수행하면 된다. 하지만 실제 현실에서는 ‘개인정보 보호조치’에 관한 법규를 점검 목록으로 만들고, 준수 여부를 O, X로 ‘평가'하여 대책을 ...

CIO 질병관리본부 사회적 거리두기 ISO 27005 COVID-19 코비드 코로나바이러스 코로나19 위험평가 코로나 메르스 시큐리티 아키텍트 보안 아키텍트 강은성 개인정보보호 CISO CSO 질본

2020.03.16

중국에서 발생한 코로나바이러스 감염증 사태가 전 세계로 확산하고 있다. 지난 1월 20일 국내에서 처음 발생한 확진자 수가 이제는 8천 명을 넘어섰다. 세계적으로도 많은 편이다. 그런데도 우리나라의 코로나19 대응에 대한 세계 유수의 통신사나 G7 국가의 언론, 정부의 찬사가 뉴스에 나온다. 질병관리본부(질본)를 중심으로 한 중앙정부와 지방정부의 신속한 대응, 세계 최고 수준 의료진의 헌신, 마스크 쓰기와 사회적 거리두기를 실천하는 성숙한 국민이 만들어낸 합작품이다. 10여만 원의 진단비와 최대 수천만 원에 이르는 치료비를 무료로 처리해 주는 국내 보건의료체계가 그 토대가 되었음은 물론이다. 강제로 ‘저녁 있는 삶'을 누리는 분들과 함께 이 사태가 빨리 끝나기를 바라면서, 개인정보 위기관리에 대해 교육과 컨설팅을 하는 입장에서 인상적으로 본 몇 가지를 정리해 보려고 한다. 첫째, 위험평가(Risk assessment)에 관한 것이다. 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한에 대해 기자가 질문하자 정부에서는 질본과 감염병 전문가들이 ‘위험평가'를 하고 있다고 답변했다. 감염병 분야의 전문가가 아니라서 잘은 모르겠으나, 지난 한 달 동안 습득한 지식을 바탕으로 추측해 보면, 해당 나라에서의 확산 상황과 해당국의 관리 수준, 국내 유입 가능성, 국내 확산 및 관리 상황, 방역 방법, 부작용 등 여러 요소를 종합적으로 평가하지 않을까 싶다.  개인정보보호나 정보보안 분야에서도 위험평가를 수행한다. 정보보안 위험관리에 관한 국제 표준인 ISO 27005에서는 위험평가를 통해 식별된 위험의 수준과 우선순위를 정하여 보안대책을 수립하도록 하고 있다. 각 기업에서는 이에 따라 적절한 위혐평가 방법론을 활용하여 보안위험을 평가하고 보안대책을 마련하여 우선순위에 따라 수행하면 된다. 하지만 실제 현실에서는 ‘개인정보 보호조치’에 관한 법규를 점검 목록으로 만들고, 준수 여부를 O, X로 ‘평가'하여 대책을 ...

2020.03.16

강은성의 보안 아키텍트 | 관리 포인트를 관리하자

올해에도 개인정보 유출 사고가 여러 곳에서 발생하였다. 얼마 전에는 필자가 가입한 중소규모 사이트에서도 해킹 때문에 개인정보가 유출되었다는 통지 메일이 왔다. 이러한 유출 사고가 발생하면 보안투자를 왜 이렇게 하지 않았나, 왜 이리 허술하게 개인정보를 관리했냐는 비난을 받는다. 뭔가 문제가 있어서 사고가 났겠지만, 일정 규모가 있는 회사들이 그런 경우는 많지 않다. 이제는 웬만큼 보안투자를 한 회사에는 20여 개의 보안솔루션을 운영하는 것은 낯설지 않다. 그냥 생각나는 걸 꼽아도 안티바이러스, PC매체제어, 패치관리시스템, 개인정보유출방지(DLP), 문서암호화(DRM), DB접근제어, DB암호화, 개인정보 검색 및 암호화, 네트워크 방화벽, 네트워크접근제어(NAC), 가상사설망(VPN), 일회용 비밀번호(OTP), 망분리/가상화, 침입탐지/방지시스템(IDS/IPS), 무선접근방지시스템(WIPS), DDoS 방어, 통합위협관리(UTM), 유해사이트 차단, 웹방화벽, 스팸차단, 통합계정관리(IM/IAM), APT대응 등 20개가 넘어간다. 보안관제나 모의해킹, 인증 컨설팅 같은 서비스도 이용한다. 미래부가 제정한 「정보보호 공시제도 가이드라인」에서는 정보보호 제품과 서비스를 60여 가지로 분류하고 있다. 실제로 시장에 나와 있는 보안솔루션은 이보다 더 많을 것이다. 제아무리 탁월한 보안전문가라 하더라도 이렇게 많은 보안솔루션을 다 잘 안다는 것은 불가능에 가깝다. 결국 기업의 보안실무자들이 각 솔루션을 어느 수준까지 알아야 하는지 관건이 된다. 어떤 회사에서는 보안관제기업에 보안솔루션 관리를 맡기는데 그렇다고 발주기업에서 해당 솔루션을 몰라도 되는 건 아니다. 보안관제 인력은 주로 발주기업의 지시에 따라 단순 운영하기 때문이다. 그래서 각 보안솔루션의 관리 포인트를 잘 관리하는 것이 중요해진다. 각 보안솔루션은 어떠한 보안위험에 대응하기 위한 것인지 명확한 목적이 있다. 당연히 대응하지 못하는 더 많은 보안위험이 있다. 예를 들어 정보보호의 ...

개인정보 CISO 방화벽 강은성 보안 아키텍트 관리 포인트 기업보안 거버넌스

2017.08.07

올해에도 개인정보 유출 사고가 여러 곳에서 발생하였다. 얼마 전에는 필자가 가입한 중소규모 사이트에서도 해킹 때문에 개인정보가 유출되었다는 통지 메일이 왔다. 이러한 유출 사고가 발생하면 보안투자를 왜 이렇게 하지 않았나, 왜 이리 허술하게 개인정보를 관리했냐는 비난을 받는다. 뭔가 문제가 있어서 사고가 났겠지만, 일정 규모가 있는 회사들이 그런 경우는 많지 않다. 이제는 웬만큼 보안투자를 한 회사에는 20여 개의 보안솔루션을 운영하는 것은 낯설지 않다. 그냥 생각나는 걸 꼽아도 안티바이러스, PC매체제어, 패치관리시스템, 개인정보유출방지(DLP), 문서암호화(DRM), DB접근제어, DB암호화, 개인정보 검색 및 암호화, 네트워크 방화벽, 네트워크접근제어(NAC), 가상사설망(VPN), 일회용 비밀번호(OTP), 망분리/가상화, 침입탐지/방지시스템(IDS/IPS), 무선접근방지시스템(WIPS), DDoS 방어, 통합위협관리(UTM), 유해사이트 차단, 웹방화벽, 스팸차단, 통합계정관리(IM/IAM), APT대응 등 20개가 넘어간다. 보안관제나 모의해킹, 인증 컨설팅 같은 서비스도 이용한다. 미래부가 제정한 「정보보호 공시제도 가이드라인」에서는 정보보호 제품과 서비스를 60여 가지로 분류하고 있다. 실제로 시장에 나와 있는 보안솔루션은 이보다 더 많을 것이다. 제아무리 탁월한 보안전문가라 하더라도 이렇게 많은 보안솔루션을 다 잘 안다는 것은 불가능에 가깝다. 결국 기업의 보안실무자들이 각 솔루션을 어느 수준까지 알아야 하는지 관건이 된다. 어떤 회사에서는 보안관제기업에 보안솔루션 관리를 맡기는데 그렇다고 발주기업에서 해당 솔루션을 몰라도 되는 건 아니다. 보안관제 인력은 주로 발주기업의 지시에 따라 단순 운영하기 때문이다. 그래서 각 보안솔루션의 관리 포인트를 잘 관리하는 것이 중요해진다. 각 보안솔루션은 어떠한 보안위험에 대응하기 위한 것인지 명확한 목적이 있다. 당연히 대응하지 못하는 더 많은 보안위험이 있다. 예를 들어 정보보호의 ...

2017.08.07

강은성의 보안 아키텍트 | 문재인 정부의 사이버보안 정책에 거는 기대

“정보보호산업은 규제산업이다.” 이렇게 말하면 “그게 무슨 소리야?” 할 분들이 계실 것이다. 대표적인 규제산업으로 꼽히는 금융산업은 국가 경제의 인프라이고, 국민의 재산을 관리하는 산업이기 때문에 그에 대한 법과 규제가 매우 강력하다. 요즘 인터넷 전문은행을 포함해 핀테크가 뜨면서 금융산업에도 규제를 약화시켜야 한다는 주장들이 나오긴 하지만 아직 우리나라에서는 대세가 아니다. 필자가 정보보호산업을 규제산업이라고 한 것은 이와는 좀 다른 의미다. 정보보호산업에 규제가 많다는 뜻이 아니라 이 산업이 규제의 혜택을 많이 받는다는 의미다. 정보통신기반보호법에서 금융·통신·공공부문 등 여러 산업에 걸쳐 지정되는 정보통신기반시설의 취약점 분석·평가를 의무화하면서 정보보호컨설팅이 본격적으로 시작했고, 정보통신망법에서 일정 규모 이상의 기업에 의무화했던 ‘정보보호 안전진단’과 그것을 이은 ‘정보보호 관리체계(ISMS) 인증’이 성장의 계기가 되었다. 전자금융거래와 신용정보를 보호하기 위한 규제가 강력한 금융산업 이외에 근래 정보보호시장에 가장 큰 영향을 미친 것은 개인정보보호 관련법이다. 개인정보를 처리하는 정보통신서비스 사업자가 정보통신망법을 준수하기 위해 침입차단시스템(방화벽), 침입탐지(방지)시스템(IDPS), 데이터베이스 암호화, ‘망 분리’ 솔루션, DB접근제어 솔루션 등을 도입하고 있다. 안전성 확보조치가 미비하여 개인정보 유출 등의 사고가 발생한 법인이나 책임자를 형사처벌하는 조항도 있다. 이러한 규제로 인해 단기적으로 정보보호시장이 커지고 보안업체와 산업이 성장한 것은 사실이지만, 부작용도 적지 않아 보인다. 규제는 제품 혁신의 동력이 되지 못하기 때문이다. 국내 시장은 규제 준수의 수준에서 더 이상 커지지 않고, 글로벌 경쟁력을 갖추지 못한 제품은 동일한 규제가 없는 해외 시장에서 힘을 ...

CIO 정보보호커설팅 정보보호산업 문재인 보안 아키텍트 강은성 대통령 사이버보안 CISO 규제 공공 정책 정부 CSO 2017 국가정보보호백서

2017.05.22

“정보보호산업은 규제산업이다.” 이렇게 말하면 “그게 무슨 소리야?” 할 분들이 계실 것이다. 대표적인 규제산업으로 꼽히는 금융산업은 국가 경제의 인프라이고, 국민의 재산을 관리하는 산업이기 때문에 그에 대한 법과 규제가 매우 강력하다. 요즘 인터넷 전문은행을 포함해 핀테크가 뜨면서 금융산업에도 규제를 약화시켜야 한다는 주장들이 나오긴 하지만 아직 우리나라에서는 대세가 아니다. 필자가 정보보호산업을 규제산업이라고 한 것은 이와는 좀 다른 의미다. 정보보호산업에 규제가 많다는 뜻이 아니라 이 산업이 규제의 혜택을 많이 받는다는 의미다. 정보통신기반보호법에서 금융·통신·공공부문 등 여러 산업에 걸쳐 지정되는 정보통신기반시설의 취약점 분석·평가를 의무화하면서 정보보호컨설팅이 본격적으로 시작했고, 정보통신망법에서 일정 규모 이상의 기업에 의무화했던 ‘정보보호 안전진단’과 그것을 이은 ‘정보보호 관리체계(ISMS) 인증’이 성장의 계기가 되었다. 전자금융거래와 신용정보를 보호하기 위한 규제가 강력한 금융산업 이외에 근래 정보보호시장에 가장 큰 영향을 미친 것은 개인정보보호 관련법이다. 개인정보를 처리하는 정보통신서비스 사업자가 정보통신망법을 준수하기 위해 침입차단시스템(방화벽), 침입탐지(방지)시스템(IDPS), 데이터베이스 암호화, ‘망 분리’ 솔루션, DB접근제어 솔루션 등을 도입하고 있다. 안전성 확보조치가 미비하여 개인정보 유출 등의 사고가 발생한 법인이나 책임자를 형사처벌하는 조항도 있다. 이러한 규제로 인해 단기적으로 정보보호시장이 커지고 보안업체와 산업이 성장한 것은 사실이지만, 부작용도 적지 않아 보인다. 규제는 제품 혁신의 동력이 되지 못하기 때문이다. 국내 시장은 규제 준수의 수준에서 더 이상 커지지 않고, 글로벌 경쟁력을 갖추지 못한 제품은 동일한 규제가 없는 해외 시장에서 힘을 ...

2017.05.22

강은성의 보안 아키텍트 | ISMS 인증제도와 심사 대비

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

CSO ISMS 정보통신망법 보안 아키텍트 강은성 한국인터넷진흥원 심사 대비 KISA 인증 CISO 규제 정보보호 관리체계

2016.04.14

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

2016.04.14

강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2)

이번 칼럼에서는 지난 칼럼에 이어 보안 소프트웨어 개발생명주기(SSDL, Secure Software Development Lifecycle)를 좀더 세부적으로 살펴보려고 한다. 상용 소프트웨어를 개발하는 회사들은 소프트웨어 기획 - 요구사항 정의 - 설계 - 구현 - 시험(검증) - 출시 - 유지보수(운영)를 뼈대로 하는 개발 프로세스를 갖고 있기 마련이다. SSDL에서는 각 개발단계에서 해야 할 보안활동을 정의한다. 개발단계별 대표적인 보안활동으로는 보안요구사항 작성(요구사항 정의단계), 위협모델링(설계단계), 보안 코딩, 정적 분석, 보안 코드리뷰(구현단계), 보안 테스트, Fuzz 테스트, 동적 분석, 침투 테스트(시험단계), 최종 보안점검(출시단계), 제품보안 이슈 대응(유지보수단계) 등이 있다. [그림 1] 마이크로소프트의 Security Development Lifecycle(SDL) 요구사항 정의단계에서는 소프트웨어를 개발할 때 구현할 기능요구사항을 주로 작성하지만, 비기능적인 요구사항도 작성하는 것이 보통이다. 여기에는 품질, 성능, 운영, 인터페이스, 보안 요구사항이 포함된다. 보안요구사항의 예로는 다음과 같은 것들이 있다. ① 익명 사용자를 허용하지 않는다. ② 일반 사용자 계정으로는 관리 기능을 수행할 수 없다. ③ 원격에서 관리자 계정으로 시스템 접속 시 2단계 인증을 적용한다. ④ 전화번호와 거주지 상세 주소는 저장 및 전송 시 암호화한다. ⑤ 데이터 암호화 키는 별도의 하드웨어 보안모듈(HSM)에 저장한다. ⑥ 전사 서비스 개인정보 및 정보보호 정책에 따라 암호화 여부, 방법, 수준을 결정한다. ⑦ SSDL의 모든 보안활동을 적용한다. 보안요구사항은 기능요구사항과 마찬가지로 특정 기능이나 데이터에 대한 것(①~⑤)일 수도 있고, 여러 사항에 적용되는 정책적인 것(⑥~⑦)일 수도 있다. 어떤 것이든 요구사항 정의서(SRS, Software Requirement Specification)에 ...

CSO 개발프로세스 소프트웨어 보안 SSDL 보안 아키텍트 강은성 CISO 테스트 마이크로소프트 보안 소프트웨어 개발생명주기

2016.03.17

이번 칼럼에서는 지난 칼럼에 이어 보안 소프트웨어 개발생명주기(SSDL, Secure Software Development Lifecycle)를 좀더 세부적으로 살펴보려고 한다. 상용 소프트웨어를 개발하는 회사들은 소프트웨어 기획 - 요구사항 정의 - 설계 - 구현 - 시험(검증) - 출시 - 유지보수(운영)를 뼈대로 하는 개발 프로세스를 갖고 있기 마련이다. SSDL에서는 각 개발단계에서 해야 할 보안활동을 정의한다. 개발단계별 대표적인 보안활동으로는 보안요구사항 작성(요구사항 정의단계), 위협모델링(설계단계), 보안 코딩, 정적 분석, 보안 코드리뷰(구현단계), 보안 테스트, Fuzz 테스트, 동적 분석, 침투 테스트(시험단계), 최종 보안점검(출시단계), 제품보안 이슈 대응(유지보수단계) 등이 있다. [그림 1] 마이크로소프트의 Security Development Lifecycle(SDL) 요구사항 정의단계에서는 소프트웨어를 개발할 때 구현할 기능요구사항을 주로 작성하지만, 비기능적인 요구사항도 작성하는 것이 보통이다. 여기에는 품질, 성능, 운영, 인터페이스, 보안 요구사항이 포함된다. 보안요구사항의 예로는 다음과 같은 것들이 있다. ① 익명 사용자를 허용하지 않는다. ② 일반 사용자 계정으로는 관리 기능을 수행할 수 없다. ③ 원격에서 관리자 계정으로 시스템 접속 시 2단계 인증을 적용한다. ④ 전화번호와 거주지 상세 주소는 저장 및 전송 시 암호화한다. ⑤ 데이터 암호화 키는 별도의 하드웨어 보안모듈(HSM)에 저장한다. ⑥ 전사 서비스 개인정보 및 정보보호 정책에 따라 암호화 여부, 방법, 수준을 결정한다. ⑦ SSDL의 모든 보안활동을 적용한다. 보안요구사항은 기능요구사항과 마찬가지로 특정 기능이나 데이터에 대한 것(①~⑤)일 수도 있고, 여러 사항에 적용되는 정책적인 것(⑥~⑦)일 수도 있다. 어떤 것이든 요구사항 정의서(SRS, Software Requirement Specification)에 ...

2016.03.17

강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1)

작년 9월에 휴대폰 장터로 잘 알려진 커뮤니티에서 195만여 명의 개인정보가 유출되는 사고가 발생했다. 미래부가 발표한 민ㆍ관합동조사단의 조사결과에 따르면 이 곳의 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어서 이를 통해 SQL 삽입 공격이 이뤄졌다고 한다. 방통위는 이 곳이 정보통신망법에서 규정한 개인정보 보호조치(제28조 제1항)를 위반했다는 이유로 과징금 1억 200만 원, 과태료 1,500만 원의 행정처분을 결정했다. SQL 삽입 취약점은 오래되었을 뿐 아니라 유명한 글로벌 프로젝트인 OWASP(Open Web Application Security Project) 10에서도 2010년과 2013년 연속 1위를 차지할 정도로 잘 알려졌음에도 불구하고 이로 인한 사고가 끊이지 않은 것이 우리의 보안 현실이다. (OWASP 10은 2004년, 2007년, 2010년, 2013년에 진행됐다.) 웹 애플리케이션은 불특정 다수의 이용자가 서비스를 이용하는 공간이기 때문에 공인 IP로 인터넷에 공개된 서버에서 작동한다. 이용자와의 접점(인터페이스)인 동시에 범행자들의 보안 공격의 통로이기도 하다는 말이다. 따라서 웹 애플리케이션은 이용자에게 필요한 기능, 사용 편의성, 적절한 성능을 제공할 뿐 아니라 경계선에 있는 제1차 방어 기제로서 보안 공격에 최소한의 방어를 할 수 있어야 한다. 그래야 서비스 제공자가 이용자에게 온전한 서비스를 제공할 수 있다. 따라서 개발조직의 개발 목표에 기능, 편의성, 성능뿐 아니라 보안이 들어가야 한다. SQL 삽입 공격에 대해서도 그에 대한 취약점이 없도록 웹 서비스를 개발하는 것이 가장 좋은 방어책이다. 웹 애플리케이션뿐 아니라 일반 소프트웨어에도 방어 기제로서의 성격이 있다. 많은 소프트웨어들이 이용자와 직접적인 접점을 갖거나 다른 소프트웨어 모듈을 통해 간접적으로 연결되어 있기 때문이다. 메신저 같이 PC나 스마트폰에서 작동하는 애플리케이션도 이용자에게 서비스를 제공하는 동시에 이용자 정보...

CSO 보안 소프트웨어 개발 생명주기 Open Web Application Security Project 크라이슬러 웹 애플리케이션 오작동 보안 아키텍트 OWASP 강은성 소프트웨어 개발 취약점 CISO 리콜 테스팅 자동차 해킹 SSDL

2016.01.22

작년 9월에 휴대폰 장터로 잘 알려진 커뮤니티에서 195만여 명의 개인정보가 유출되는 사고가 발생했다. 미래부가 발표한 민ㆍ관합동조사단의 조사결과에 따르면 이 곳의 홈페이지에는 비정상적인 DB 질의에 대한 검증절차가 없어서 이를 통해 SQL 삽입 공격이 이뤄졌다고 한다. 방통위는 이 곳이 정보통신망법에서 규정한 개인정보 보호조치(제28조 제1항)를 위반했다는 이유로 과징금 1억 200만 원, 과태료 1,500만 원의 행정처분을 결정했다. SQL 삽입 취약점은 오래되었을 뿐 아니라 유명한 글로벌 프로젝트인 OWASP(Open Web Application Security Project) 10에서도 2010년과 2013년 연속 1위를 차지할 정도로 잘 알려졌음에도 불구하고 이로 인한 사고가 끊이지 않은 것이 우리의 보안 현실이다. (OWASP 10은 2004년, 2007년, 2010년, 2013년에 진행됐다.) 웹 애플리케이션은 불특정 다수의 이용자가 서비스를 이용하는 공간이기 때문에 공인 IP로 인터넷에 공개된 서버에서 작동한다. 이용자와의 접점(인터페이스)인 동시에 범행자들의 보안 공격의 통로이기도 하다는 말이다. 따라서 웹 애플리케이션은 이용자에게 필요한 기능, 사용 편의성, 적절한 성능을 제공할 뿐 아니라 경계선에 있는 제1차 방어 기제로서 보안 공격에 최소한의 방어를 할 수 있어야 한다. 그래야 서비스 제공자가 이용자에게 온전한 서비스를 제공할 수 있다. 따라서 개발조직의 개발 목표에 기능, 편의성, 성능뿐 아니라 보안이 들어가야 한다. SQL 삽입 공격에 대해서도 그에 대한 취약점이 없도록 웹 서비스를 개발하는 것이 가장 좋은 방어책이다. 웹 애플리케이션뿐 아니라 일반 소프트웨어에도 방어 기제로서의 성격이 있다. 많은 소프트웨어들이 이용자와 직접적인 접점을 갖거나 다른 소프트웨어 모듈을 통해 간접적으로 연결되어 있기 때문이다. 메신저 같이 PC나 스마트폰에서 작동하는 애플리케이션도 이용자에게 서비스를 제공하는 동시에 이용자 정보...

2016.01.22

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(3) - 실효성 있는 보안을 위해

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

CISO 카스퍼스키 강은성 보안 아키텍트 정보통신망법 망 분리 네트워크 영역 분리

2015.12.21

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

2015.12.21

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(2)

이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다. <그림> 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다. 그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다. 수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할...

CSO 망 분리 시큐리티 아키텍트 보안 아키텍트 강은성 공격 CISO 규제 PC 예외

2015.06.22

이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다. <그림> 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다. 그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다. 수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할...

2015.06.22

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가? (1)

2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다. '망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다. 2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다. 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융...

CSO 원자력발전소 망분리 시큐리티 아키텍트 보안 아키텍트 강은성 공격 CISO 공공 정부 해킹 정보통신망법

2015.06.04

2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다. '망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다. 2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다. 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융...

2015.06.04

강은성의 보안 아키텍트 | APT 공격, 어떻게 막을까?(2)

지난 3월 25일에 CONCERT Forecast 2015가 열렸다. 이 행사는 320여 개 기업 정보보호조직이 가입해 있는 한국침해사고대응팀협의회(CONCERT)가 회원사 설문 조사를 통해 선정한 올해 사업계획과 고민에 대한 대책을 찾는 자리다. 올해 계획에는 표적 공격(APT: Advanced Persistent Threat), 고민에는 사람이 선정되었다고 한다. 표적 공격의 대상은 고객정보(개인정보, 금융정보 등), 산업기밀, 군사기밀, 국가기밀 등 다양하지만, 사회적 파장이 큰 고객정보가 데이터베이스에 대량으로 저장되어 있다고 가정하면, 고객 DB에 대한 범행은 크게 계정 및 권한이 있는 경우와 그렇지 않은 경우로 구분할 수 있다. 서버나 DB에 관한 권한이 없다 하더라도 고객 DB를 짧은 시간에 대량으로 훔칠 수 있는 지점이 바로 웹 서비스다. SQL 삽입공격과 같이 쉽게 사용할 수 있는 범행도구가 많아서 '탁월한 실력'을 갖추지 않더라도 웹을 통한 고객정보 범행이 가능하므로 보안실무자들이 늘 경계를 늦추지 말아야 한다. 권한을 갖고 범행을 저지르는 경우는 정당한 권한을 갖고 있거나 정당한 권한을 획득한다. 회사 외부나 사내 PC, USB, 서버 등 어디에서 접근하든 사내에 있는 여러 IT 인프라를 통해 DB까지 도달한다. 결국 네트워크 단에서 회사 침입을 막는 경계선 방어와 함께 이미 그 경계를 뚫고 들어왔거나 아예 회사 안에서 시작한 공격을 찾아내어 예방하는 내부망 보안이 표적 공격 방어의 핵심이라 할 수 있다. DB에 대한 최후의 방어막인 DB보안 솔루션은 잘 활용하면 여전히 중요한 역할을 하지만 별도의 제품 분류이므로 여기에서 다루지 않는다. 이런 관점에서 기업에서 활용할 만한 APT 대응솔루션을 검토해 보자. APT 대응솔루션으로 시장에 가장 많이 알려져 있는 것은 파이어아이(FireEye)이다. 파이어아이는 한국 시장에서 기업보안 책임자에게 처음 역접속(reverse connection)을 보여주어 ...

CSO CONCERT Forecast 2015 CONCERT 한국침해사고대응팀협의회 Security Architect 보안 아키텍트 강은성 파이어아이 안랩 APT CISO 나루시큐리티

2015.04.10

지난 3월 25일에 CONCERT Forecast 2015가 열렸다. 이 행사는 320여 개 기업 정보보호조직이 가입해 있는 한국침해사고대응팀협의회(CONCERT)가 회원사 설문 조사를 통해 선정한 올해 사업계획과 고민에 대한 대책을 찾는 자리다. 올해 계획에는 표적 공격(APT: Advanced Persistent Threat), 고민에는 사람이 선정되었다고 한다. 표적 공격의 대상은 고객정보(개인정보, 금융정보 등), 산업기밀, 군사기밀, 국가기밀 등 다양하지만, 사회적 파장이 큰 고객정보가 데이터베이스에 대량으로 저장되어 있다고 가정하면, 고객 DB에 대한 범행은 크게 계정 및 권한이 있는 경우와 그렇지 않은 경우로 구분할 수 있다. 서버나 DB에 관한 권한이 없다 하더라도 고객 DB를 짧은 시간에 대량으로 훔칠 수 있는 지점이 바로 웹 서비스다. SQL 삽입공격과 같이 쉽게 사용할 수 있는 범행도구가 많아서 '탁월한 실력'을 갖추지 않더라도 웹을 통한 고객정보 범행이 가능하므로 보안실무자들이 늘 경계를 늦추지 말아야 한다. 권한을 갖고 범행을 저지르는 경우는 정당한 권한을 갖고 있거나 정당한 권한을 획득한다. 회사 외부나 사내 PC, USB, 서버 등 어디에서 접근하든 사내에 있는 여러 IT 인프라를 통해 DB까지 도달한다. 결국 네트워크 단에서 회사 침입을 막는 경계선 방어와 함께 이미 그 경계를 뚫고 들어왔거나 아예 회사 안에서 시작한 공격을 찾아내어 예방하는 내부망 보안이 표적 공격 방어의 핵심이라 할 수 있다. DB에 대한 최후의 방어막인 DB보안 솔루션은 잘 활용하면 여전히 중요한 역할을 하지만 별도의 제품 분류이므로 여기에서 다루지 않는다. 이런 관점에서 기업에서 활용할 만한 APT 대응솔루션을 검토해 보자. APT 대응솔루션으로 시장에 가장 많이 알려져 있는 것은 파이어아이(FireEye)이다. 파이어아이는 한국 시장에서 기업보안 책임자에게 처음 역접속(reverse connection)을 보여주어 ...

2015.04.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6