2016년 4월 29일 금요일

랜섬웨어 감염 예방방법 5가지

출처 카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
원문 http://cafe.naver.com/rapid7/2404


랜섬웨어 감염 예방방법 5가지

 


1. %AppData% 디렉토리에 있는 파일 실행 방지2. 시스템 완전 패치: Java, Shockwave, Flash 등
3. 실행파일이 첨부파일로 있는 이메일 비활성화
4. 강력한 백업 유지
5. "백신" 사용
1. %AppData% 디렉토리에 있는 파일 실행 방지

일반적으로 대부분의 대규모 랜섬웨어 실행은 익스플로잇 킷 또는 스팸 엔진을 이용합니다.

두 가지 경우 모두, 익스플로잇 킷 또는 스팸 엔진을 실행하는 악성 코드는 일반적인 윈도 (%AppData%)의 다양한 임시 디렉토리에 있습니다.

그룹 정책 또는 보안 정책을 통해 이러한 디렉토리에 있는 2진 실행파일을 실행하지 못하도록 할 수 있습니다.

이 말은 사용자가 Invoice.exe를 더블 클릭하더라도 악성코드가 실행되지 않습니다.

이 것은 소프트웨어 제한 정책(Software Restriction Policies)으로 가능하며,

자세한 설정 방법은 이 블로그 에 있습니다.
이렇게 하면 다른 형태의 악성코드를 실행하는 것도 예방할 수 있습니다.

그룹 정책 편집 방법 : https://technet.microsoft.com/en-us/library/cc736591(v=ws.10).aspx



2. 시스템 완전 패치: Java, Shockwave, Flash 등
익스플로잇 킷은 악성코드가 실행되기 위해서는 클라이언트 컴퓨터의 취약점을 이용합니다.
일반적으로 Java, Shockwave 및 Adobe Reader의 취약점과 관계있습니다.
많은 윈도 시스템은 현재 자동 윈도 업데이트하도록 설정되어 있습니다. 4
Flash는 최근에 자동 업데이트로 통합되었습니다.
반드시 업데이트 만이 익스플로잇 킷 공격 성공을 방지할 수 있습니다.
종종 익스플로잇 킷이 제로데이 익스플로잇을 사용하지만, 흔한 경우는 아닙니다.

3. 실행파일이 첨부파일로 있는 이메일 비활성화

많은 랜섬웨어의 이메일은 실행파일을 첨부로 할용합니다.
이메일의 실행파일을 금지하면, 사용자가 수신하는 것을 방지할 수 있습니다.
또한 "이중 파일 확장명"이 포함 된 이메일을 잘 보시기 바랍니다.
일반적인 다른 속임수는 실행파일 또는 HTML 문서(실행 파일을 다운로드하기 위한 다른 속임수)가 포함된 zip 파일이 첨부된 것입니다.

사용자들에게 비정상적인 이메일을 찾아내도록 가르치고, 실행하지 않는 것이 중요합니다.

4. 강력한 백업 유지

마지막으로, 강력한 백업의 중요성입니다.
랜섬웨어에 감염되면, 조직에서는 선택할 수 있는 방법은 두 가지뿐입니다.
즉 백업에서 복원하거나, 몸값을 지불하는 것입니다.

백업을 사용할 수 있다면 번거로울 수 있지만, 데이터를 복구를 위해 엄청난 몸값을 지불하는 일은 없을 것입니다.

5. "백신" 사용

모든 랜섬웨어는 피해자의 컴퓨터가 여러 개의 키를 사용하여 암호화되어 있지 않은 지 확인하기 위해 몇 가지 메커니즘이 필요합니다.
전형적인 메커니즘은 레지스트리(또는 다른 아티팩트)에 공개키를 저장하는 것이며, 그래서 다음 감염(또는 동일한 악성 바이너리 실행하는 것)에서 처음 취득한 키만 사용합니다.
이러한 공격자 필요성을 무효화하거나 피해 컴퓨터를 복원할 수 있는 백신을 만드는 시도가 있었습니다.
이 방법을 사용하면 피해 컴퓨터가 가치가 있는 지 확인하기 위해 건별로 조사할 수 있도록 해줍니다.

-- John Bambenek
bambenek /at/ gmail /dot/ com

출처 : SANS 스톰센터 다이어리 / ITL시큐어인스티튜트 

2016년 4월 28일 목요일

의료 빅데이터 분석 플랫폼

출처 카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
원문 http://cafe.naver.com/rapid7/2402

 

한국형 ‘의료 빅데이터 분석 플랫폼’으로 심장마비 예측


수백만 임상ㆍ유전체ㆍ일상생활 데이터 분석으로 만성질환 관리부터 암 치료까지
서울아산병원, 한국전자통신연구원과 헬스케어 빅데이터 분석 기술 개발
2일(금) 심포지엄서 미래창조과학부 등 각계 전문가와 의료 빅데이터 활용 방안 논의




#고혈압을 앓고 있는 50대 직장인 김모씨. 아침에 일어나 스마트폰의 지문 인식 센서를 통해 맥박과 혈압을 측정한다. 측정 결과가 기존 건강 데이터 등이 연동된 헬스케어 빅 데이터 플랫폼을 통해 분석된다.

스마트폰에 경고 메시지가 뜬다.

급성 심근경색의 위험성이 매우 높다는 것. 김모씨는 바로 병원을 찾아 정밀검사를 받고 혈관조영술을 시행해 이미 심장 혈관이 반쯤 막혀 언제 일어날지 모르는 심장 마비의 가능성을 찾게 되었다.

거대 정보로부터 가치를 창출하고 결과를 분석하는 기술, 이른바 빅데이터를 활용한다면 이처럼 심장 마비를 예측하는 의료 서비스가 가능해진다. 수많은 사람들의 임상, 유전체, 일상생활 등의 건강 데이터를 분석 및 연계해 개인의 미래 건강에 대해서도 가장 적합한 솔루션을 제공할 수 있는 것이다.

서울아산병원은 최근 한국전자통신연구원(ETRI)과 헬스케어 빅데이터 분석 플랫폼 기술개발을 위한 공동 연구에 합의했다.

이른바 한국형 ‘왓슨 컴퓨터’인 의료 빅데이터 분석 플랫폼을 개발해 수백만 의료 데이터를 개개인에게 적용 가능하게 하는 맞춤형 통합 의료 서비스를 시행한다는 계획이다. 


공동 연구팀은 한국형 빅데이터 분석 플랫폼을 통해 개인 건강의 지속적 관리는 물론 암, 심혈관질환 등 중증질환에 대한 예측 및 최적의 진단?치료 가이드를 제시하는 차별화된 맞춤형 보건의료 시스템을 마련한다.

특히 이번 공동 연구는 기존 빅데이터를 바탕으로 의사가 작성한 진료 기록을 분석, 최적의 치료법을 제안하는 미국 ‘왓슨 컴퓨터’의 임상 의사결정 지원시스템과는 또 다른 서비스를 제시하는 데 그 목표를 둔다고 밝혔다.

수백만 건강정보를 통합 분석한 의료 빅데이터에 특정 대상자에 대한 임상 기록과 함께 유전체 데이터, 기후 및 환경 데이터, 기술의 발전으로 인해 측정 및 저장이 가능해진 일상생활 데이터를 결합해, 만성질환 관리부터 암 치료까지 한 개인의 질환에 대한 더욱 체계적인 분석이 가능해 지는 것이다.

더불어 의료 빅데이터 플랫폼에 기반한 질환 연관성, 약물 부작용, 유전자 연구 등을 통해 질환의 예측 및 진행, 예후를 밝혀 궁극적으로 질환 극복에도 도전한다.

김종재 서울아산병원 아산생명과학연구원장은 “빅데이터의 진정한 활용 가치는 단순히 많은 정보를 모으는 것이 아니라 이를 가공하고 분석할 수 있는 차별화된 기술과 서비스에 그 핵심이 있는 것으로, 일일 외래환자 1만 2천여 명, 연간 수술 환자 6만여 명에 달하는 서울아산병원의 의료 빅데이터로 한 사람 한 사람을 위한 새로운 건강 솔루션을 제시할 것”이라고 밝혔다.

헬스케어 빅데이터 분석 플랫폼은 의료 빅데이터의 수집, 처리, 분석, 적용의 4단계를 거쳐 구축되며, 향후 5년 내 본격 상용화를 목표로 공공기관, 외부 의료기관, 통신사업자, 디바이스 업체 등 산ㆍ학ㆍ연ㆍ병의  유기적 협력 체계 속에 운영될 예정이다.

이를 위해 서울아산병원은 지난해 9월 국내 의료기관 최초로 ‘헬스케어 빅데이터 센터’란 전문 조직을 갖추고 본격적인 사전 준비 작업에 들어간 바 있다.

먼저 첫 단계에서는 4백여만 명의 환자, 6억 7천 7백여만 건의 처방, 2억 6천 8백만 건의 진료 기록, 2천 2백만 건의 영상 기록 등 방대한 서울아산병원의 임상 정보를 익명화해 연구용 빅데이터 초기 인프라를 구축하고 있다.

물론 데이터 수집과 처리 과정에 철저한 개인정보 보호를 위해 관련 법률을 준수하는 개인정보 익명화 과정을 거쳤다. 지난해 3월부터 본격 가동한 ABLE(Asan BiomedicaL Research Environment) 시스템을 통해 데이터 대상자의 이름, 상세 주소, 전화번호 등 개인을 식별할 수 있는 모든 정보가 삭제된 채 익명화된 임상 정보만이 연구에 활용된다.

또한 개인의 건강정보를 통합 분석하기 위해 쉽고 편리하며 정확하게 측정할 수 있는 고감도 생체정보 측정 디바이스와 함께 정보 처리를 위한 표준화 및 데이터 전송 기술도 개발할 예정이다.

다음으로 다양한 의료 빅데이터의 수집과 저장을 위한 플랫폼 개발은 한국전자통신연구원의 ‘힐링  플랫폼’ 기술을 활용해 진행한다. 클라우드 기반 분석 플랫폼과 함께 국제 표준 다기관 데이터 통합 기법 및 의료 데이터 전송 기술도 개발한다.

이렇게 모은 데이터는 분석 과정을 거친다. 현재 서울아산병원에서는 심혈관 질환에 관한 의료 빅데이터 분석 기술을 개발하고 있다. 심혈관 질환 데이터는 표준화된 진단법과 치료법으로 정형ㆍ비정형 자료의 취합이 용이하며 환자 변이가 크지 않아 분석 기술 개발에 매우 적합하기 때문이다.

심장마비 및 심혈관계 질환 위험도 사전 예측, 심질환 진단 정확도 증가, 급성 부정맥 사전예측, 약제 순응도 및 부작용 모니터링 예측에 관한 연구 등이 진행 중으로, 개발된 분석 기술은 향후 다른 질환 영역에 표준화돼 적용될 예정이다.

실제 심혈관계중환자실 환자의 생체신호를 이용해 치명적인 심실부정맥을 그 발생 한 시간 이전에 예측하는 알고리즘을 최근 개발한 바 있다. 2천 5백여 명의 환자로부터 획득한 생체신호 데이터베이스를 구축해 심실부정맥 예측 시스템이 시행되고 있으며, 전체적인 예측 성능은 90%에 가까운 정확도를 보이고 있다.

김흥남 한국전자통신연구원장은 “최근 인구 고령화와 만성질환 유병율의 증가로 의료비 증가와 의료 서비스의 접근성 및 편차에 대한 문제가 커지고 있어, 의료 빅데이터 플랫폼을 통해 누구나 양질의 의료 서비스를 쉽게 받을 수 있을 것으로 기대된다”고 말했다.

공동 연구팀 서울아산병원 심장내과 김영학 교수는 “의료 빅데이터를 활용하기에 현재 법ㆍ제도 등의 주변 환경은 미비한 것이 사실이지만, 개인 맞춤형 건강관리, 환자 진료, 의료 관련 개발 및 연구, 공익적 목적으로의 이용 등 우리의 상상력이 닿는 모든 부문에서 활용될 가능성이 있어 의료 산업 및 병원들의 국제 경쟁력 향상과 선진화에도 기여할 수 있을 것으로 확신한다”고 전했다.

한편 서울아산병원과 한국전자통신연구원은 오는 10월 2일(금) 서울아산병원 동관 6층 대강당에서 심포지엄을 개최해 각계 빅데이터 전문가들과 함께 헬스케어 빅 데이터 분석 플랫폼 등 의료 빅데이터의 향후 활용 방안에 대한 심도 있는 논의를 가진다.

---------------------------------------------------------------------------------

※ 왓슨 컴퓨터란?IBM의 인공지능 컴퓨터 시스템인 ‘왓슨’은 2011년 미국의 유명 퀴즈쇼에서 인간과의 대결을 통해 승리를 거두며 그 성능을 인정받았다.
혁신적인 인지 컴퓨팅 기술을 갖춘 왓슨은 이후 의학 분야에서 활용되며, 6십만 건의 의학적 근거, 42개 의학 저널과 임상시험 데이터로부터 약 2백만 페이지 분량의 자료를 학습했고 이러한 ‘빅데이터’를 이용해 의사가 작성한 진료 기록을 분석해 최적의 치료법을 제안한다.
이러한 임상 의사결정 지원시스템을 선보이고 있는 왓슨은 보건의료 분야에서 각광받고 있으며, 실제 지난해부터 미국의 MD앤더슨 암센터와 뉴욕 메모리얼 슬론케터링 암센터(MSKCC), 클리블랜드 클리닉, 뉴욕 유전체 연구소가 암 진단 및 치료에 활용 중이다.
실제 진단 정확도도 높은 것으로 나타나, 2014년 미국종양학회에서 발표된 자료에 의하면 MSKCC의 연구결과 전문의들과의 진단 일치율이 대장암의 경우 98%, 직장암 96%, 방광암 91%, 췌장암 94%, 신장암 91%, 난소암 95%, 자궁경부암 100%에 달하고, MD Anderson 암센터에서 수행한 백혈병의 경우 83% 정도의 일치율을 보였다. 최근에는 EMR 텍스트 분석, 의학 교육 등 다양한 분야로 확장되고 있다. 
IBM은 현재 Dr. Watson이라고 시스템을 홍보하고 있으며, 해당 서비스를 클라우드 서비스로 제공하고 있다. 원한다면 빅데이터를 가지고 환자 진료에 사용할 수 있는 상황이다.

2016년 4월 27일 수요일

개인정보의 안전성 확보조치 기준 개정 공청회

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2395

개인정보의 안전성 확보조치 기준 개정 공청회
 
모시는 글
 
행정자치부와 한국인터넷진흥원에서는 개인정보의 안전성 확보조치 기준 개정을 추진하고 있습니다.

이와 관련하여 개인정보처리자 및 각 분야의 전문가, 이해당사자 분들을 모시고 아래와 같이 공청회를 개최하고자 하오니 많은 참여 바랍니다.

일 시 : 2016. 5. 4() 15:00 17:00
장 소 : 서울중앙우체국(포스트타워) 10층 대회의실
주 최 : 행정자치부
주 관 : 한국인터넷진흥원

<진행순서>
시 간
내 용
비 고
15:0015:10
개회 및 인사말씀
행정자치부 개인정보보호정책관
15:1015:30
주제발표
KISA 개인정보기술팀장
15:3015:40
휴 식
15:4016:30
패널 토론
좌장(김정덕 중앙대 교수)
패널 토론(7)
16:3017:00
참석자 질의응답 및 폐회


<오시는 길>
서울중앙우체국(포스트타워) 10층 대회의실
- 주 소 : 서울 중구 소공로 70(충무로121-1) 서울중앙우체국(포스트타워)
- 지하철 : 4호선 명동역 5번출구(도보 5), 2호선 을지로입구역 6번출구(도보 10)


 


전자금융거래법 시행령 입법예고

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2394

전자금융거래법 시행령 입법예고
 (2016-04-19 ~ 2016-05-24)

◎ 금융위원회 공고 제2016-114호

전자금융거래법 시행령」을 일부 개정함에 있어 개정 이유와 주요 내용을 국민에게 미리 알려, 이에 대한 의견을 듣고자 행정절차법 제41조에 따라 다음과 같이「전자금융거래법 시행령 일부개정령안」을 공고합니다. 
                                                                                                                                                                                             2016년 4월 19일
                                                                                                                                                                                                  금융위원회

「전자금융거래법 시행령 일부개정령안」 입법예고

1. 개정이유
     대포통장 양수ㆍ도 등에 이용된 전화번호 이용중지 및 소규모 전자금융업 등록자본금 완화 등을 내용으로 하는 전자금융거래법 개정에 따라 개정 법률의 시행을 위한 세부사항을 시행령에 반영하고자 하는 것임

2. 주요내용
  가. 대포통장 양수ㆍ도 광고 등에 이용된 전화번호의 이용중지 조치 신설에 따라 전화번호 이용이 중지된 자의 이의신청 절차 마련 (안 제6조의2)
  나. 소규모 스타트업의 시장진입 촉진을 위하여 소규모 전자금융업자의 완화된 등록 자본금 요건 규정 (안 제17조)

  다. 전자금융감독업무 효율성 제고를 위해 현재 금융위가 접수하는 금융회사 등의 IT부문 계획서 및 취약점 분석평가 보고서를 금융감독원에서 직접 접수하여 평가ㆍ분석할 수 있도록 위탁 (안 제30조)

3. 의견제출
  이 시행령 개정안에 대하여 의견이 있는 단체 또는 개인은 2016년 5월 24일까지 다음 사항을 기재한 의견서를 금융위원회(참조 : 전자금융과, 전화: 02-2156-9931, 팩스: 02-2156-9489, 이메일 : crisis@korea.kr)로 제출하여 주시기 바랍니다.

   가. 입법예고사항에 대한 의견
       (찬성 또는 반대 의견과 그 사유 및 기타 참고사항)
   나. 성명(단체의 경우 단체명과 대표자명), 주소 및 전화번호
   다. 보내실 곳 : 금융위원회 전자금융과
       (주소 : 100-745 서울특별시 중구 세종대로 124)

4. 첨부파일

 자세한 사항은 금융위원회 홈페이지(www.fsc.go.kr/법령정보/입법예고)를 참고하시기 바랍니다.


신용정보의 이용 및 보호에 관한 법률 일부개정법률안 입법예고

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2392
 
 

신용정보의 이용 및 보호에 관한 법률 일부개정법률안 입법예고
시작일 : 2016-04-20     종료일 : 2016-05-30


참고 : 관련기사


◎ 금융위원회 공고 제2016 - 107호

신용정보의 이용 및 보호에 관한 법률」을 일부 개정함에 있어 그 개정이유와 주요 내용을 국민에게 미리 알려 이에 대한 의견을 듣고자 행정절차법 제41조에 따라 다음과 같이「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」을 공고합니다.
2016년 4월 20일

금융위원회


 출처 : 뉴딜코리아 홈페이지



 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」 입법예고


1. 개정 이유

  금융회사가 준수하여야 하는 개인신용정보 관련 규제가 「신용정보의 이용 및 보호에 관한 법률」, 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호에 관한 법률」 등에 분산?중복되어 있으며, 일부 내용은 서로 상이하게 규율하고 있어 규제 체계 이해 및 준수에 어려움을 겪고 있는 점을 개선하기 위하여 금융회사 및 신용정보회사, 신용정보집중기관에 적용되는 개인신용정보 관련 규제를 신용정보법으로 일원화 하고자 하는 것임


2. 주요 내용

가. 신용정보제공?이용자의 범위 명확화 (안 제2조제7호)

  신용정보법의 적용 대상을 감독대상인 금융회사(금융공공기관 포함), 신용정보회사, 신용정보집중기관에 한정함

나. 신용정보 범위 확장(안 제2조제1호)

  개인정보와 신용정보를 구분하지 않고 금융회사가 금융거래 등과 관련하여 처리하는 거래상대방에 관한 정보는 모두 신용정보로 규정함

다. 신용정보의 처리 개념 재정의 (안 제2조제13호)

  컴퓨터를 이용한 신용정보의 입력?저장?가공 등 으로 한정되어있는 신용정보의 처리 개념을 신용정보를 수집한 이후 이용·제공·파기 등 일련의 전 과정(Life-cycle)으로 재정의하여 일관된 처리와 보호원칙을 적용

라. 법 적용 순서 명확화 (안 제3조의2, 제19조제3항, 제20조제11항 등)

  개인정보법 및 정보통신망법의 유사 조문에 대하여 신용정보법과의 관계를 명확히 하기 위하여, 금융회사가 처리하는 신용정보에 대해서는 정보통신망법 제4장을 적용하지 아니하며, 개인정보법의 일부 조항은 중복하여 적용되지 않음을 명시함

마. 개인정보법 및 정보통신망법 상 유사규제 일원화(안 제15조의2, 제15조의3, 제16조, 제32조, 제32조의2, 제32조의3, 제38조의4, 제42조 등)

  개인정보 보호와 관련하여 조문명, 조문내용, 조문체계 등을 개인정보법과 유사하게 변경하여 법 적용 대상자들의 이해도를 제고하고, 개인정보법상 정보주체의 권리행사 방법 및 절차, 개인정보 처리자의 금지행위 등 그간 신용정보법에 미비되어 개인정보법을 보완적용하였던 내용들을 신용정보법에 반영함


3. 의견제출

  이 법률 개정안에 대하여 의견이 있는 단체 또는 개인은 2016년 5월 30일까지 다음 사항을 기재한 의견서를 금융위원회(신용정보팀, 전화 : 02-2156-9670, 팩스 : 02-2156-9646, 이메일 : knt1@korea.kr)로 제출하여 주시기 바랍니다.

   가. 입법예고사항에 대한 의견(찬성 또는 반대 의견과 그 사유 및 기타 참고사항)
   나. 성명(단체의 경우 단체명과 대표자명), 주소 및 전화번호
   다. 보내실 곳 : 금융위원회 신용정보팀 (주소 : 100-745 서울특별시 중구 세종대로 124)

 4. 첨부 : 


※ 자세한 사항은 금융위원회 홈페이지(www.fsc.go.kr/법령정보/입법예고)를 참고하시기 바랍니다.


금융권 개인정보보호체계, 21년만에 개정 .. 신용정보법 우선 적용

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2393

금융권 개인정보보호체계, 21년만에 개정  .. 신용정보법 우선 적용


신용정보법·개인정보법·정보통신망법 등 유사․중복규제 해소…신용정보법으로 통일
비식별정보 활용 근거 마련…빅데이터산업 활성화 노려

- 주요 내용 -


▲신용정보법, 개인정보법, 정보통신망법 간 유사·중복규제 해소▲금융회사가 금융거래와 관련해 처리하는 모든 정보를 개인신용정보로 정의하여 개인신용정보 보호 강화▲비식별정보의 활용근거 마련 및 개인신용정보 보호 의무 규정이다.

이번에 법이 개정된 이유는 신용정보의 이용 및 보호에 관한 법률(이하 “신용정보법”)이 제정(1995년)된 후 정보통신망법과 개인정보보호법이 제정됐으며, 타 법률에 금융회사 특성을 반영하지 못하는 규제가 신설되어 개인정보와 관련해 법률간 충돌이 발생하고 있다.

세 법률이 상호 복잡하게 연결되어 있어 실무에서는 어떤 법률이 적용되는지 알기 어려워 오히려 개인정보 보호를 저해하고 있으며,  금융회사가 아닌 일반 상거래회사 등도 신용정보법 적용대상에 해당되는 등 현실을 반영하지 못하는 문제가 있다.

아울러 빅데이터 활용 등 신용정보 이용에 관한 사항이 명확하지 않아 금융회사 등은 빅데이터 활용에 소극적이다.

신용정보법 시행령에서 개인신용정보를 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보라고 정의하여, 비식별정보가 개인신용정보인지에 대해 계속 논란이 제기되어 왔다.

이와 관련 개정된 주요 내용을 구체적으로 알아보면 다음과 같다.

‘금융회사’ 등은 신용정보법을 적용하고, ‘일반 상거래회사’는 개인정보보호법 및 정보통신망법을 적용한다.

이에 따라 신용정보법 적용대상을 감독대상인 금융회사(금융공공기관 포함), 신용정보회사, 신용정보 집중기관에 한정하고, 금융회사가 아닌 일반 상거래회사가 신용과 관계된 정보(대출, 연체 등)를 처리할 경우 개인정보보호법 및 정보통신망법을 적용한다.  

한편 금융회사가 보유한 고객정보는 모두 신용정보에 포함되어 개인신용정보 보호가 강화된다.  

이에 따라 고유식별정보(주민등록번호 등)와 신용정보를 구분하지 않고 금융회사가 금융거래 등과 관련하여 처리하는 모든 정보는 신용정보로 규정하게 되고, 고유식별정보가 신용정보법 적용을 받게 되어 개인신용정보 보호를 강화하게 된다.


 참고 : 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」 입법예고 공고문


2016년 4월 25일 월요일

RADIUS (Remote Authentication Dial In User Serivce )

출처 카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
원문 http://cafe.naver.com/rapid7/2388


RADIUS (Remote Authentication Dial In User Serivce )


1. RADIUS
  ㅇ 리빙스턴社(루슨트에 인수)가 1990년 중반 개발한 분산 보안 시스템(인증 프로토콜)
     - 통상적으로 ISP에서 사용하는 전화 등에 의한 원격 접속에 대한 인증용 서버를 지칭


2. RADIUS 시스템 구성 요소
  ㅇ 실제 사용자
  ㅇ Radius 클라이언트 (인증 에이전트)
     - 원격접속 터미널 서버, NAS, 802.1x 브리지 또는 AP 등

  ㅇ Radius 서버 (인증 서버,Authentication Server)
     - 인증전용의 서버
        . 인증을 위한 주요 자격정보가 저장되고 관리됨
           .. 자격정보 : 사용자 식별명,비밀번호,디지털 인증서,단말 MAC 주소 등

  ※ 구성 
     - 실제 사용자 ↔ 터미널 서버 (Radius 클라이언트) ↔ 인증전용서버 (Radius 서버)


3. RADIUS 특징
  ㅇ 분산형 클라이언트/서버 기반의 동작
     - 사용자 관리는 중앙집중식으로 수행
  ㅇ 인증방법
     - PAP, CHAP 등 다양한 방법을 지원
  ㅇ RADIUS 메세지
     - 속성/값 쌍(Attribute/Value Pair)라 불리는,
       Type - Length - Value 형태로 인코딩되어 전달됨
  ㅇ 수송용 프로토콜
     - 통상 UDP에 의해 전달됨 (인증,인가 : 포트번호 1812, 계정관리 : 포트번호 1813)
  ㅇ RADIUS 서버는 다른 RADIUS 서버에 대해 Proxy 클라이언트로 쓰여질 수 있음
  ㅇ 표준 :  인증관련 RFC 2138, 과금관련 RFC 2139
     - 1996년 IETF의 RADIUS Working Group에서 최초 표준화하여 RFC 2138로 문서화함


4. 일반적인 동작설명
  ㅇ 사용자는 RADIUS 클라이언트를 지원하는 서버에 접속 시도
  ㅇ 서버는 PPP 프레임 등을 사용하여 ID 및 암호를 받음
  ㅇ UDP/IP 를 통하여 RADIUS 서버로 암호화된 Access-Request를 전달
  ㅇ RADIUS 서버는 받아들인 User-Name Attribute(속성)과 자신이 저장하고 있는 DB 내용과
     일치하는지 확인함
    - 다르면, 실패 이유를 Access-Reject 메세지를 해당 서버에 알려줌
    - 맞으면, Access-Accept 메세지를 해당 서버에 알려줌


 5. 원격 접근시 제공되는 2가지 보안 모드
  ㅇ Packet Mode   : 흘러다니는 패킷에 대한 보안
  ㅇ Charater Mode : 관리자가 원격관리를 위한 터미널 접속시 보안
     - 例) Telnet 등



6. 패킷 구조

  ㅇ 구조 



- 코드 (8 바이트)
        . 1 : Access Request, 2 : Access Reply(Accept), 3 : Access Reject,
          4 : Accounting Request, 5 : Accounting Response, 11 : Access Challenge,
          12 : Status Server, 13 : Status Client, 255 : (Reserved)

     - 식별 (8 바이트)
        . 요청과 회신 패킷을 일치시키는데 사용되는 메세지 일련번호

     - 패킷의 길이 (16 바이트)

     - 인증자,Authenticator (16 바이트)
        . RADIUS 서버로부터의 요청 패킷은 임의로 생성됨
        . RADIUS 서버로의 회신 패킷은 요청 패킷을 사용한 MD5 해쉬 값

     - 속성, Attributes (가변)


  - 참조 : http://wikisecurity.net/identification:%EC%9E%A5%EB%B9%84%EC%9D%B8%EC%A6%9D


무선랜 설계시 고려사항

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2386

무선랜 설계시 고려사항

최근 스마트 폰의 열기를 타고 무선랜이 이슈화 되고 있습니다.
이에 이동성, 확장성, 편리성 등의 장점을 갖는 무선랜의 보급이 많은 분야에 걸쳐 빠르게 이루어 지고 있습니다.
초기의 무선랜은 주로 기업용 네트워크 솔루션으로 사용되어 왔지만, 공공장소에서 노트북, PDA, 스마트 폰을 이용하여 인터넷에 접속할 수 있는 공중 무선랜 서비스 용도로도 많이 활용되고 있습니다.
그러나, 무선랜의 사용이 늘어난 반면에, 관리자 및 사용자의 무관심과 정보보호의 마인드 부족으로 기본적인 설치 및 운영에 대한 사항은 전혀 고려하지 않고 마구잡이로 설치되어 무선랜 사용에 장애 및 보안 사고가 다발적으로 발생하고 있어, 이에 기본적인 설계에 대해 나열해 보고자 합니다.
1. 무선네트워크 셀 설계
2. 무선네트워크 보안
3. 무선네트워크 구축 방안

1. 무선네트워크 셀 설계
기본 적인 무선랜의 셀 설계는 전문적인 무선랜 업체와 협의를 하는 것이 가장 최선의 방법 입니다.
그러나, 무선랜 업체의 도움을 받을 수 없을 경우, 기본 적인 몇가지 사항만 숙지 한다면, 어느정도 안전한 셀 설계가 가능합니다.
고려사항
A. 사용자 : 한 개의 AP 당 사용할 최대 Client 수
보통의 한 개의 AP 사용자는 802.11n(300Mbps)기준 10~15명을 수용하는 것으로 합니다.
단, 802.11b/g/n 사용자와 802.11a/n 사용자를 별개로 분리할 수 있다면, 사용자는 한 개의 AP당 최대 30명을 수용하는 것으로 기준을 잡을 수 있습니다.

B. RF 출력 : 국내 전파 규격에 802.11a/b/g/n은 1MHz 당 10mW 이하로 규정되어 있으나, 일반적으로 100mW로 보시며 됩니다.
출력에 대한 설계는 실제 AP를 설치하여 Coverage를 확인하는 방법이 가장 좋으며, 최대 Coverage의 60%를 기준으로 설계하는 것이 가장 안정적인 설계 기준 입니다.(서비스를 open할 시에는 출력은 줄여서 약 10%의 중첩지역을 설계하여 주는 것이 좋습니다.
C. 채널 : 802.11b/g/n(2.4GHz~2.4835GHz 13채널), 802.11a/n(5GHz~5.825GHz, A,B,C,D대역 19개 채널) 802.11b/g/n의 13개 채널 중 중첩되지 않는 채널은 보통 1,6,11 번 채널을 사용합니다. 802.11a/n의 19개 채널은 모두 중첩되지 않는 채널이므로 셀 설계시 같은 채널만 사용하지 않으면 됩니다. 두 RF의 채널은 주파수 변조 방식이 다르기 때문에 중첩채널이 다르기 때문입니다.
D. 감쇄 원인 파악 : 무선랜 신호세기의 장애 원인으로 철큰 콘크리트, 유리, 경량칸막이 등 가장 큰 무선랜의 감쇄 원인은 위에 나열된 구조물 보다는 사람입니다.
AP가 설치되어 있는 주변에 Client와 많은 사람이 있다면, 분명히 위 장애 원인보다 더 큰 장애원인이 될 수 있습니다.
사람은 항상 움직이기 때문에 RF출력이 일정하지 않기에 접속 속도가 많이 불안할 수 있습니다.
철근 콘크리트(철문) 구조물 등을 사이에 두고 통신 하는 경우는 거의 접속이 되지 않는 다고 보시면 됩니다.
그 밖에 유리나, 파티션으로 사용하는 경량 칸막이의 경우도 약 0.5dBi~1dBi까지 감쇄가 있다고 보면 되고, 철판 또는 철판과 유리가 혼합되어 있는 상황에서는 반사파가 심하므로, 전문 업체와 꼭 협의를 하셔야 안정적인 무선랜 사용이 가능합니다.





 2. 무선네트워크 보안
기본 적인 무선네트워크 보안은 공중에 보이지 않는 Packet들에 의해 발생할 수 있는 사고에 대비하기 위해 꼭 필요 합니다.


A. 인증 및 데이터 보안 :

가장 기본이 되는 보안으로 인증된 사용자 만이 네트워크를 사용 가능하게 해야 하며, 암호화를 통해 보안을 사용해야 합니다.

인증 : 다음은 802.1x 인증을 위한 세 가지 기본 요소입니다.

1) 요청자 – 무선 워크스테이션에서 실행되는 소프트웨어 클라이언트
2)인증자 – 무선 액세스 포인트
3)인증 서버 – 인증 데이터베이스(일반적으로 Cisco ACS*, Funk Steel-Belted RADIUS* 또는 Microsoft* IAS*와 같은 Radius 서버)

데이터 보안 : 데이터를 전송하기 전에 암호화한 다음 수신 종단에서 암호를 해독(일반 데이터 복구)하는 자격 증명 키를 사용하여 구현됩니다.
WEP(Wired Equivalent Privacy)는 상대적으로 보안 기능이 취약합니다. 따라서 무선 데이터의 보호 효과를 높이기 위해 WPA, WPA2 등과 같은 다른 방법을 사용합니다.

권장사항 : WPA, WPA2를 이용하여 인증 및 데이터 보안을 구현합니다.

참고사항 :

– WPA*(Wi-Fi* Protected Access) Wi-Fi Alliance는 802.11i 수정 사항을 충족하는 보다 강력한 무선 LAN 보안 솔루션을 개발하려는 노력의 일환으로 이 표준 기반 솔루션을 2003년 후반에 도입하였습니다.

WPA에는 802.1x 인증 및 TKIP 암호화가 포함됩니다(WEP 암호화보다 강화된 보안 방식).

– WPA2*(Wi-Fi* Protected Access 2) Wi-Fi Alliance는 2004년 말 차세대 WPA 보안 솔루션을 발표했습니다.

 WPA와 같이 WPA2에도 802.1x 인증이 포함됩니다.

802.11i 개정에 따라 WPA2는 AES(Advanced Encryption Standard)를 사용하여 데이터 개인 정보를 보호합니다.

– WPA Personal 및 WPA2 Personal인증 서버가 없는 소규모 사무실이나 가정에서는 PSK(Pre-Shared Key)의 사용을 통해 액세스에 대한 인증이 결정됩니다.
사전 공유 키는 16진수 문자열이거나 암호문으로, 액세스 포인트와 모든 클라이언트 간에 일치해야 합니다. 
WPA 개인 또는 WPA2 개인 방법을 사용할 때는 802.1x 보안을 사용할 수 없습니다


B. 외부 침입 및 위치 추적 :

외부의 침입, 공격 및 원인을 찾는 위치 추적할 수 있는 솔루션으로 보안을 강화 합니다.
기업의 무선랜은 공격 대상이 되기 가장 쉬운 취약 지역입니다.
무선랜을 이용한 공격으로 장애발생 및 심할 경우에는 AP가 Down 되는 현상까지 발생할 수 있습니다.
이를 방지하기 위해 보안을 중요시 하는 기업에서는 외부 침입 탐지 및 위치를 추적할 수 있는 솔루션을 추천합니다.

일반적으로 현재 나와 있는 WIPS 솔루션이 있지만, 기본적인 Controller 기반의 무선랜 도입 만으로도 침입 탐지 및 위치추적은 가능합니다.



3. 무선네트워크 구축 방안
무선네트워크 구축 방안은 크게 두 가지로 볼 수 있습니다.

A. 단독형 AP를 이용한 무선네트워크 구축– 2000년대 초반 부터 약 2005년까지 주를 이루었던 구축방식으로 현재는 SOHO 사업장 용으로 약 AP 20대 미만의 사업장에 구축을 권장합니다.
– 인증 및 데이터 보안은 위에서 설명한 내용과 동일 하며, 단 주위의 RF 환경을 잘 이해하고 조사해서 셀설계 및 채널 설계를 해야 합니다.

B. 중앙 집중식 무선네트워크 구축– 2005년 부터 활성화 되어, 기본적인 무선네트워크 및 보안을 동시에 만족하는 솔루션으로 AP 20대 이상을 사용하는 사업장에 적합한 솔루션으로 인증 및 데이터 보안은 위에서 설명한 내용과 동일하며, 주위의 RF 환경 및 출력을 자동으로 업데이트 해주기 때문에 이 문제에 대한 장애의 대처는 굉장히 유연해 지며, 추가 솔루션 도입으로 WIPS도 함께 운용할 수 있어, 현 수준의 무선랜에서는 가장 신뢰할 수 있는 솔루션입니다.

마치면서 마지막으로

무선랜 환경을 구축하실 경우 고민을 덜어드리기 위해 말씀 드리자면, 도입의 최대 문제점은 우리기업의 네트워크 환경에 맞는 솔루션(Vendor)을 찾는 일입니다.

무선랜은 가장 기본이 중요합니다.

기본 적인 무선 통신이 안정되어야 하고, 기본적인 데이터 보안이 되어야 합니다.

그리고, 하나를 더 하자면 보안/관제까지 동시에 되어야 합니다.

그러나, 많은 솔루션들이 이 기본에 충실하지 않고 있습니다.
VPN이 된다, Firewall이 된다, NMS가 Controller에서 구현된다, 등………


이는 고객을 현혹하는 말들이며, 기본에 충실하고 위 내용들이 된다면, 너무나도 훌륭한 솔루션이겠지만, 속을 들어다 보면, 이것은 마치 Pentium 3 500MHz 의 컴퓨터에 Windows XP를 설치했다고 자랑하는 꼴과 같다고 보시면 됩니다.

모쪼록 안전하고, 효율적인 무선네트워크 구축을 하시기 바랍니다.

작성자: 장혁민