수달정보보호

1. 정보보안 통제의 구조정보보안 위험은 위협이 정보자산 또는 그룹의 취약성을 악용하여 조직에 피해를 줄 수 있으므로 조직 및 이해 관계자는 정보보안 위험을 관리하는 것이 필요하다. ISO 27002 정보보안 통제에서 사이버보안 통제 속성은 ISO 27002 사이버보안 프레임워크 또는 사이버보안 통제로 표현한다.통제 프레임워크통제 프레임워크 적용 방법정보보안 통제ISO/IEC 27001ISO/IEC 27002▶ ISO/IEC 27001 위험 기반 통제 원칙은 국제표준, 국가표준 등 통제 프레임워크를 권장함▶ Annex A 통제는 정보보안 통제의 포괄적인 통제 목록에 포함되어 있음▶ ISO/IEC 27001 Annex A 통제 프레임워크는 추가적인 통제를 권장함▶ ISO 27002:2022 정보보안, 사이..

★ 제로 트러스트의 개념신뢰할 수 있는 네트워크라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기, 네트워크 트래픽을 신뢰하지 않으며, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미한다. ★ 기존 경계기반 모델의 한계 내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화되는 보안 위협에 한계 노출 ★ 제로 트러스트 기본 철학① 모든 종류의 접근에 대해 신뢰하지 않을 것② 일관되고 중앙집중적인 정책 관리 및 접근제어 결정·실행 필요③ 사용자, 기기에 대한 관리 및 강력한 인증④ 자원 분류 및 관리를 통한 세밀한 접근제어⑤ 논리 경계 생성 및 세션 단위 접..

★ IoT 공통 보안 7대 원칙① 정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계② 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증③ 안전한 초기 보안 설정 방안 제공④ 보안 프로토콜 준수 및 안전한 파라미터 설정⑤ IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행⑥ 안전한 운영·관리를 위한 정보보호 및 프라이버시 관리체계 마련 ⑦ IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련 ★ IoT 주요 환경 분류① 웨어러블 컴퓨팅: 웨어러블 디바이스 및 다양한 센서 장비들로부터 정보 취득 환경② 사용자 맞춤 환경: 건강 및 수면 등의 일상생활과 관련된 습관 정보 취득 환경③ 가정 자동화: 가정의 일상생활 및 안전사고와 관련된 정보 취득 환경 ★ 개인정보 비식별화 조치 방법 ..

우리는 자산의 중요도를 산정한다. 기밀성, 무결성, 가용성으로 나누어 각 내용에 따라 상(3), 중(2), 하(1)의 평가를 통해 중요도를 산정한다. 그렇다면 개인정보도 이런 식으로 중요도를 산정해 보면 어떨까? 물론 중요도를 산정하는 것 자체에 대해 그다지 긍정적인 편은 아니지만, 그래도 없는 것보다는 뭐든 참고할 만한 기준이 하나 더 생긴다는 것에 의의를 두고 싶다. ① 구분: 식별성상(3): 직접 개인을 알아볼 수 있는 정보로써, 이 정보만으로도 해당 개인에 대하여 직접적으로 침해를 가할 수 있는 경우중(2): 다른 개인정보와 결합하여 해당 개인을 용이하게 알아볼 수 있는 경우하(1): 다른 개인정보들과 결합 없이는 특정 개인을 알아 볼 수 없는 경우 ② 구분: 공개성상(3): 비밀의 개인 정보로,..

국정원이 사이버 안보를 위해 추진하는 정책 4가지에 대해 알아보도록 한다. 1. 국가망 보안 정책국가망 보안 정책에 변화가 필요하다는 목소리는 지속적으로 존재했다. AI, 빅데이터를 비롯한 신기술이 도입되면서 공공데이터의 할용 필요성이 증가했기 때문이다. 이에 국정원은 업무 중요도에 따른 보안체계를 차등 적용하는 '다층 보안체계'를 목표로 개선할 방침이라고 한다. 업무의 중요도에 따라 기밀성(C), 민감성(S), 공개성(O) 등급으로 분류가 될 것이라고 한다. 기밀성은 안보·국방·외교·수사 등의 기밀정보, 국민생활, 생명·안전과 직결된 정보이고, 민감성은 민감정보 등으로 해킹 차단 대책을 강구해야 할 정보이며, 공개성은 비식별화된 민감정보·행정정보 및 기타 공개정보 등의 기준으로 분류할 것이라고 한다. ..

보안 관련 공부를 하면서도, 각종 제안서를 작성하면서도 DoA에 대한 개념은 늘 봐오고 있다. 그런데 문제는 이게 진짜로 의미가 있냐는 것이다. 짐작컨대, DoA는 위험분석 및 평가 과정에서의 논리적 개념의 등장을 위해 쓰인 것으로 보인다. 그리고 단언컨대, DoA를 실제 업무에서 쓰는 경우는 거의 없을 것이다. 예를 들어, DoA를 1~10점으로 점수화해서 표현한다고 생각해 보자. 7점이면 냅두고, 8점이면 조치를 취할까? 실상은 결코 그렇지 않다는 게 내 생각이다. 결국 위험을 조치하는 데 있어 중요한 것은 인력, 예산이라 생각한다. 그것을 토대로 단기/중기/장기로 분류하여 이 문제를 해결할 수 있는가 없는가가 핵심인 것이다. 그리고 보통 장기에 속하는 것들은 해결이 불가능하기에 장기로 두는 경우도 ..

1. 사이버보안 트랜스포메이션의 개요전 세계적으로 사이버 공격의 빈도와 심각성이 증가하고 있으며, 향후 10년 동안 가장 우려되는 10대 글로벌 위험 중 하나로 2030년까지 약 519조의 지출이 예상된다는 것은 사이버 보안의 중요성을 인식할 수 있게 해 준다. 사이버 공격 방어의 목표에서 데이터 중심 보안의 관리는 데이터가 있는 위치나 공유 대상에 관계없이 정보 보호를 강화하는 것으로, 데이터의 속성, 등급, 보호 요구사항에 대한 메커니즘이 필요하다. 사이버 보안 트랜스포메이션은 디지털 전환 시대에 사이버 위협의 조직 및 국가를 보호하는 핵심 가치이며 이에 따라 ISO/IEC 27002 개정은 사이버보안 트랜스포메이션의 가치 있는 변곡점이라 할 수 있다. 그 변곡점의 배경으로는 AI, 빅데이터, 블록체..

사이버 공격자들이 취약점의 개념 증명용 익스플로잇이 공개된 후 이를 무기로 전환시키는 데 걸리는 시간이 빠르면 22분에 불과하다고 한다. CVE를 부여하고 따로 관리하는 취약점들이 사실상 공개가 되자마자 공격에 활용될 수 있다는 것이다. 즉, 이 상징적인 시간 22분만에 각 기업의 담당자들이 방어를 실시하지 않으면, 이는 실질적인 제로데이 공격이 되는 것이다. 아래의 취약점들이 특히 공격자들 사이에서 인기가 높았는데, 물론 이것에만 집중해서는 안 된다.  1) CVE-2023-50164 : 아파치(Apache) 소프트웨어 2) CVE-2022-33891 : 아파치 소프트웨어 3) CVE-2023-29298 : 콜드퓨전(Coldfusion) 4) CVE-2023-38203 : 콜드퓨전 5) CVE-2023..

차세대 이동통신인 6G는 5세대 이동통신인 5G의 다음 기술로, 2029, 2030년 즈음에 상용화될 것으로 예상되는 기술이다. 6G는 ① 위성 통신 시스템 도입 ② 1테라비트급 전송속도 ③ 더욱 짧아진 레이턴시 ④ 더욱 넓어진 서비스 거리 ⑤ 높은 신뢰성의 특징을 지닐 것으로 보인다.  그리고 언제나 신기술이 등장하면 그에 따른 위협, 위험도 찾아오기 마련이다. 순천향대학교 염흥열 교수는 국제 정보보호 컨퍼런스를 통해 6G AI/ML 위협 및 공격 유형 7가지로 ① API 기반 공격 ② 포이즈닝 공격 ③ 모델 회피 공격 ④ 물리 계층 공격 ⑤ 모델 인버전 공격 ⑥ AI 미들웨어 공격 ⑦ 모델 도난 공격을 선정했다. 그리고 이 7가지를 방어하기 위한 보안 이슈로는 가시성, 윤리성, 윤리적/법적 제도 확보..

가상자산 추적도구 개발기업 TRM Labs의 분석 보고서에 따르면, 해커들이 24년 1월 1일부터 6월 24일까지 총 13억 8천만 달러, 한화로 약 1조 9,100억에 달하는 금액을 훔쳤다고 한다. 이는 지난해 상반기 피해액인 9,100억에 비하면 2.1배 가량 증가한 수치다. 규모는 커졌으나, 작년과 공격의 양상은 비슷했다. 공격의 다수를 차지한 것은 소수 공격자의 대규모 공격이었다. 상위 5개 해킹 그룹의 공격과 익스플로잇 공격으로 인해 도난당한 금액이 전체의 70% 정도를 차지하니 말이다. 일본의 암호화폐 거래소 DMM 비트코인은 올해 5월 전세계적으로 가장 큰 사이버 공격을 받았는데, 4,500개의 BTC를 도난당했다고 한다. 현재 기준으로 3,550억 가량의 피해가 발생한 것이다. 이 공격의 ..