2016년 6월 30일 목요일

HTML5 기술표준 동향

HTML5 기술표준 동향


1. 머리말
 
HTML5는 차세대 웹 표준 언어이다.

기존의 HTML이 텍스트기반으로 정보를 표현 하였다면 HTML5는 ActiveX등 플로그인 설치 없이 비디오, 오디오 파일등 다양한 컨텐츠를 브라우저에서 표현 할 수 있게 되었다.

이는 한 번의 개발로 OS플랫폼에 대한 의존도를 감소시킬 수 있고 사용자들도 장치에 상관없이 동일한 서비스를 받을 수 있는 장점이 있다.

최근 화두가 되고 있는 표준으로 WebRTC가 있다.

WebRTC기술은 웹에서 P2P기반 화상통화나 데이터 통신지원을 가능하게 하는 기술이다. 이 기술 활용하면 한 번의 개발로 PC나 스마트 장치에서 별도의 프로그램 설치 없이 화상통화를 할 수 있어 기존의 화상회의 시스템보다 경제적인 비용으로 스마트워크를 할 수 있다.

 
2. HTML5 기술 동향 및 활용 예시

2.1 HTML5 기술

HTML5는 HTML의 완전한 5번째 버전으로 월드 와이드 웹 (World Wide Web)의 핵심 마크업 언어이다.

 2004년 7월 Web Hypertext Application Technology Working Group(WHATWG)에서 웹 애플리케이션 1.0이라는 이름으로 세부 명세 작업을 시작하였다.

HTML5는 HTML 4.01, XHTML 1.0, DOM 레벨 2 HTML에 대한 차기 표준 제안이다.

비디오, 오디오 등 다양한 부가기능과 최신 멀티미디어 콘텐츠를 액티브X 없이 브라우저에서 쉽게 볼 수 있게 하는 것을 목적으로 한다.

W3C는 2014년 10월 28일, HTML5 표준안을 확정했다고 발표했다.
[표1] HTML5 주요기능
HTML5 주요기능
주요 기능 설 명
3D, GRAPHICS & Effects 다양한 2차원 3차원 그래픽을 지원
Connectivity 웹(클라이언트)에서 서버 측과 직접적인 양방향 통신 가능
CSS3 글씨체, 색상, 배경 등 다양한 스타일 및 이펙트 기능 제공
Device Access 카메라, 동작센서 등의 H/W기능을 웹에서 직접적으로 제어
Multimedia 비디오 및 오디오 기능을 자체적으로 지원
Offline & Storage 네트워크 미지원 환경에서도 웹 이용을 가능하게 함
Performance&Integration GPS없이도 단말기의 지리적인 위치 정보를 제공
Semantics 웹 자료에 의미를 부여하여 사용자 의도에 맞는 맞춤형 검색 제공


2.2 HTML5.1

W3C는 HTML5표준에 수정과 추가 필요한 내용들을 정리하여 HTML5.1표준을 개발 중에 있다.

W3C는 2014년에 HTML5 표준 개발을 확실히 마무리하기 위해 2014년까지 정리가 어려운 이슈들을 따로 정리하여 차기 버전인 HTML5.1표준에 반영하고자 하였다.

현재 HTML5.1은 계획된 일정에 따라 개발이 진행되고 있어 2016년 6월 중순 CR(Candidate Recommendation) 및 2016년 9월 최종 표준 승인이 진행될 예정이다.

HTML5.1 스펙 개발 작업은 주로 새로운 API나 이벤트 등 새로운 기능을 추가하는 작업, 기존의 표준 내용을 수정하거나 실제 활용성이 떨어지는 기능은 삭제하는 방식으로 진행 되고 있다.

2016년에 HTML5.1에서 구체적으로 정리된 내용들을 보면 Accesskey애트리뷰트의 갓은 단일 문자만 허용하도록 수정되었고, 패치(Fetch)또는 로딩 알고리즘에서 필요시 미디어 엘리먼트(Media Element)에서 미디어 소스(Media Source)를 분리시키는 기능이 추가 되었다.

또한 2013년에 HTML5 스펙에서 분리된 마이크로데이타(Microdata) 관련 애트리뷰트가 제거되었고, WHATWG(Web Hypertext Application Technology Working Group)와 조율 작업을 하고, 표준 추가의 장점이 없다고 생각하여 <iframe>에서의 seamless 애트리 뷰트 및 테이블 정렬 모델을 스펙에서 삭제하였다.

 또한, <figure> 엘리먼트 내에서 <figcaption>의 위치가 어디든 표현 가능하도록 수정하였고, 보안 이 슈 및 사용률이 낮은 <isindex>를 삭제하였다.

이 밖에도 추가, 수정 또는 삭제된 내용들에 대 한 자세한 변경 사항을 확인하고 싶다면 HTML5.1 WD(Working Draft)[2]의 변경(Changes) 부분을 참고하면 된다.


2.3 기타 HTML5기반 웹 표준

WebRTC (Web RealTime Communication)

WebRTC는 브라우저에서 ActiveX나 Plug-in설치 없이 실시간 영상통신을 할 수 있는 웹 표준 기술이다.

현재 W3C에서 표준을 개발을 진행 하고 있으며 향후 웹 기술의 활용성을 크게 확대 할 수 있는 잠재력이 매우 큰 기술로 평가받고 있다.

현재 가장 기본적이며 핵심적인 두개의 표준에 대한 CR(Candidate Recommendation)개발에 집중하고 있다.

 카메라나 마이크에서 들어오는 미디어 스트림 데이터에 대한 접근 및 제어에 관한 ‘Media Capture and Streams’ CR(Candiate Recommendation) 표준안을 공개하였고, P2P 기반의 연결, 동영상 데이터 전송 및 데이터 전송 기술과 관련한 WebRTC1.0 표준안은 현재 WD(Working Draft)마무리 단계에 있어 머지않아 CR(Candidate Recommendation)단계로 넘어갈 것으로 예상된다.

중요한 점 중의 하나는 이미 크롬, 파이어 폭스, 오페라 브라우저에서 WebRTC표준 기술을 구현하여 지원하고 있으며 마이크로 소프트 엣지(Edge) 및 애플의 사파리 브라우저도 WebRTC표준 기능을 개발 중에 있는 것으로 알려져 있어 향후 WebRTC기반의 다양한 서비스 생태계가 구축될 것으로 예상된다.


3. 맺음말

스마트기기의 사용이 늘어나면서 대다수의 직장인들이 2대 이상의 장치를 사용하여 정보를 습득하고 다양한 서비스를 경험한다.

HTML5기술은 특정 서비스를 받기 위해 장치마다 별도의 프로그램을 설치하는 번거로움 없이 동일한 서비스를 받을 수 있는 기술로 사용자에게 매우 유용하다.

또한 ActiveX와 같은 플러그인 설치로 인한 바이러스 감염과 같은 폐해를 없앨 수 있는 기술로 지속적인 관심과 정부, 공공기관, 기업체들의 적극적인 활용이 필요하다고 판단된다.

[참고문헌]
[1] W3C 핵심 표준 개발 동향, 이원석 박사(ETRI), 이승윤(ETRI)
[2] HTML5, W3C, October 2014, https://www.w3.org/TR/html5/
[3] HTML 5.1, W3C, May 2016, https://www.w3.org/TR/html51/
[4] WebRTC 1.0: Real-time Communication Between Browsers, W3C, January 2016, https://www.w3.org/TR/webrtc/

2016년 6월 29일 수요일

침입탐지시스템(IDS) 및 침입방지시스템(IPS)을 위한 유용한 가이드

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2543

침입탐지시스템(IDS) 및 침입방지시스템(IPS)을 위한 유용한 가이드


지속적인 사이버공격에 대해 네트워크를 보호하려는 보안 전문가들은 다양한 선택사항으로 힘들어 하고 있다.

특히, 다양한 차원으로 침입방지시스템(IPS) 및 침입탐지시스템(IDS)을 구축하는 것에 질려있다.

먼저 조직 내 IDS/IPS를 구축하기 위한 가장 효과적인 방법들 중 몇 가지를 요약한 후, 다양한 솔루션들에서 흔히 발생할 수 있는 시스템 상의 잘못된 설정과, 잘못된 설정으로 인해 어떻게 악의적 행위자들에 의해 악용될 수 있는지에 대해 설명한다.

첨부파일 : http://cafe.naver.com/rapid7/2543

영문저작권 SANS 연구소
한글본 저작권 ITL시큐어인스티튜트 작성자가 모든 권한을 가지고 있음

개인신용정보 보호 및 관리 관행 개선방안

개인신용정보 보호 및 관리 관행 개선방안(「제2차 국민체감 20大 금융관행 개혁」 과제 󰊹 세부 추진계획)



▶ 금융회사의 개인신용정보 보호의무 이행실태 전면 점검
개인신용정보 관리 취약분야 현장검사

Ⅰ. 추진배경

□ “카드사 정보유출 사건(’14.1.8.)” 이후 금융권의 고객 신용정보 보호 및 관리가 과거에 비해서는
     크게 개선

□ 그러나, 아직도 일부 금융회사 및 금융유관 사업자의 경우 고객 신용정보 보호에 대한 인식과
   실천이 미흡

 ◦ 특히, 최근 대폭 강화된 개인신용정보 보호의무를 제대로 이행하지 않는 사례가 다수 발견

□ 따라서, 금융감독원은 「제2차 국민체감 20大 금융관행 개혁」의 일환으로

 ◦ 금융회사 등의 개인신용정보 관리실태를 전면 점검하여 금융소비자의 권익을 제고하는 방향으로
   개인신용정보 관리관행을 개선하고자 함


자세한 내용은 첨부파일을 참고하시기 바랍니다.
   http://cafe.naver.com/rapid7/2542




2016년 6월 27일 월요일

도청탐지에 대한 이야기

도청탐지에 대한 이야기


우리는 많은 직업중에 특이한 목적을 가진 활동을 하는 직업에 대한 내용을 잘 알지못하고 있는 대단한 직업이 있겠습니다 그러나 돈은 얼마를 버는지 도 궁금합니다

그래서 도청탐지 전문가 는 어떤 일을 하는지 볼까요?


헤드폰을 끼고 복잡한 전자장비의 주파수를 맞추면서 무엇인가 알아내려는 심각한 표정 007 영화를 비롯한 첩보 영화에서 자주 등장하는 도청 또는 감청장면 입니다


도청은 개인의 이익을 목적으로 그리고 감청은 수사를 목적으로 각정 정보를 입수하는 것으로 남의 비밀을 엿듣는 것도 목적에따라 다르게 표현 하고 있습니다


도청탐지에 대한 이야기 | 도청탐지 보안..
전체공개 2016.06.27. 14:28
퍼스나콘/아이디 영역
뉴딜코리아(ntow****)
카페매니저 1:1대화

도청탐지에 대한 이야기

우리는 많은 직업중에 특이한 목적을 가진 활동을 하는 직업에 대한 내용을 잘 알지못하고 있는 대단한 직업이 있겠습니다 그러나 돈은 얼마를 버는지 도 궁금합니다

그래서 도청탐지 전문가 는 어떤 일을 하는지 볼까요?

헤드폰을 끼고 복잡한 전자장비의 주파수를 맞추면서 무엇인가 알아내려는 심각한 표정 007 영화를 비롯한 첩보 영화에서 자주 등장하는 도청 또는 감청장면 입니다

도청은 개인의 이익을 목적으로 그리고 감청은 수사를 목적으로 각정 정보를 입수하는 것으로 남의 비밀을 엿듣는 것도 목적에따라 다르게 표현 하고 있습니다
​도청은 전자 기술의 발달 무선장비 의발달 녹음장비의 소형화 등의 영향으로 등장해서 지속적으로 발전해 오고 있습니다 외국에서는 도청탐지가 1940~1950년 대 부터 활성화 되었다고 합니다
우리나라도 도청장치 정부 납품업체를 중심으로 도청탐색 서비스가 오래 전부터 제공되었으나 이분야에 대한 괸심이 증가한 것은 1990년대 후반 청문회에서 도청이 사회적 문제로 부각 되면서 부터 입니다


특히 최근에는 국가정보보안기본지침 개정에 따른 의무화(참고 : http://cafe.naver.com/rapid7/2453)로
많은 공공기관에서 관심이 높아 지고 있다​
먼저 고객 과만나면서 업무가 시작 되는데 상담을 통해 도청정보읱특성,도청현장의 특성 등을 파악합니다
개인의사생활 보장과 업무효과의 극대화를 위해 탐지 업무는 항상 보안을 유지해야 합니다
의뢰된 장소에 도착해서 도청 탐색 업무를 시작하는데 이때에 많은 도청탐지 장비 등이 등장합니다


도청 대상제품이 유선이냐 무선이냐에 따라 광역 수신기,감쇄기,전화 분석기,전자회로탐지기 등이 사용되며 도청장치 설치여부를 탐색하는 시간은 보통 3~4 시간 정도 입니다
도청탐색이 완료되면 결과에 대해서 기업이나 고객에게 구두로 보고하고 최종적인 탐색결과 보고서를 작성하게 됩니다
현재는 도청탐색을 주로 서비스 하고 있으나 향후에는 도청을 예방하기 위한 컨설팅 업무 등로 확대될 예정입니다

대 도청탐지 관련 문의 : 뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)


2016년 6월 26일 일요일

WordPress 보안 업데이트 권고 2016.06.23

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2538

WordPress 보안 업데이트 권고 2016.06.23
□ 개요

 o WordPress社는 서비스 거부, 비밀번호 변경 등 17가지 버그를 해결한 보안 업데이트를 발표
 o 영향 받는 버전의 사용자는 최신 버전으로 업데이트 권고
 
□ 영향 받는 소프트웨어
 o WordPress 4.5, 4.5.1, 4.5.2
 
□ 해결 방안
 
o 영향 받는 소프트웨어 최신 버전 설치[1][2]

- 대쉬보드(알림판) – 업데이트 - “Update Now” 클릭





 □ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 

[참고사이트]

[1] https://www.us-cert.gov/ncas/current-activity/2016/06/22/WordPress-Releases-Security-Update

[2] https://wordpress.org/news/2016/06/wordpress-4-5-3/

윈도우 원격데스크톱프로토콜(RDP) 사용 주의 권고

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2537

윈도우 원격데스크톱프로토콜(RDP) 사용 주의 권고

□ 개요


o 윈도우 원격 접속 프로그램인 RDP(Remote Desktop Protocol) 서비스를 취약한 패스워드를 이용하여 사용할 경우 원격에서 해커가 대상시스템을 모니터링 및 임의조작이 가능함

    - 사용자가 쉽게 추출 가능한 비밀번호를 사용함에 따라 무차별 대입공격(Brute Force Attack)에
       취약함
    - 공격자는 RDP에서 사용하는 기본 포트(3389/TCP)를 통해 접속IP와 비밀번호로 접속 후
       원격제어 공격이 가능함



□ 해결 방안

 o RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 권고

 o RDP 접속에 사용되는 비밀번호는 쉽게 유추가 불가능한 복잡한 패스워드를 사용하며
    주기적(3~6개월)으로 비밀번호 변경

    ※ 복잡한 패스워드 : 대소문자, 숫자, 특수문자를 혼합하여 9자리 이상 사용

 o RDP에서 기본으로 사용되는 포트번호(3389/TCP)를 서비스별 사용하는 기본 포트번호를 제외한
    다른 포트번호로 변경

    - ①레지스트리 편집기 실행 → ②HKEY_LOCAL_MACHINE₩SYSTEM₩CurrentControlSet₩Control₩Terminal

       Server₩WinStations₩RDP-Tcp 경로 이동 → ③PortNumber 값 변경(Default : 0x00000d3d) → ④방화벽에서 변경 된 포트번호 예외 처리


o RDP 사용자는 해킹을 통한 피해 확산방지를 위해 윈도우 공유폴더 기능 제한, 윈도우 및 백신
  최신 업데이트 상태 유지

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118




아태지역 인터넷거버넌스 아카데미 신청자 모집 접수 시작(~7.1)


아태지역 인터넷거버넌스 아카데미 신청자 모집 접수 시작(~7.1)


한국인터넷진흥원(KISA)은 국제인터넷주소기구(ICANN)와 공동주관으로

'제1회 아시아태평양 인터넷거버넌스 아카데미(Asia-Pacific Internet Governance Academy)'를 개최 하고자 합니다.

인터넷거버넌스에 대한 이해를 넓힐 수 있는 좋은 기회이오니, 많은 참여 부탁드립니다.

자세한 내용은 (www.2016apiga.org) 를 참고해 주시기 바랍니다.


- 아    래 -  


ㅁ 교육명 : 제1회 아시아태평양 인터넷거버넌스 아카데미
 
ㅁ 교육 기간 : '16.8.8(월)~8.12(금)
  
ㅁ 장소 : 연세대학교(신촌캠퍼스)

ㅁ 대상 : 인터넷 관련 이슈 및 국제활동에 관심있는 청년(만 18세~35세)


ㅁ 교육 신청 기간 : '16.6.7(화)~'16.7.1(금) 18시 마감


해시함수 LSH 코드

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2535
국산 암호 알고리즘 LSH 코드


1. 해시 함수 LSH
      LSH는 메시지 인증, 사용자 인증, 전자서명 등 다양한 암호 응용 분야에 활용 가능한 암호학적
      해시 함수입니다.


2. 주요 특성
   개발연도 : 2014년
   알고리즘 구분 : 해시 함수
   출력 길이 : 224비트, 256비트, 384비트 또는 512비트
   구조 : Wide-pipe Merkle Damgaard 구조


3. 성능
  
  다양한 SW 환경에서 국제 표준(SHA2/3) 대비 2배 이상 성능

   256비트 출력
CPU LSH-256 SHA-256 SHA3-256
Intel Core i7-4770K@3.5Ghz 3.60 1.82 10.56
ARM Cortex-A15@1.7GHz 11.17 19.91 36.03
256비트 출력 해시 함수 구현 효율성 비교 (메시지 길이: 1MB, 단위: cycles/byte)

   512비트 출력
CPU LSH-512 SHA-512 SHA3-512
Intel Core i7-4770K@3.5Ghz 2.39 7.65 16.36
ARM Cortex-A15@1.7GHz 8.94 44.13 63.31
512비트 출력 해시 함수 구현 효율성 비교 (메시지 길이: 1MB, 단위: cycles/byte) 
4. 표준화
   LSH 규격은 국내 TTA 표준으로 제정되었습니다.
분류 표준명
LSH TTAK.KO-12.0276, 해시 함수 LSH
5. 지적재산권
  
    LSH는 지적재산권에 대한 사용료 없이 제품 생산 및 판매와 관련하여 적용할 수 있습니다.
6. LSH 소스코드

  - 코드 구성 및 특징
구분 특징
SIMD 고속 구현 코드 SSE2, SSSE3, AVX2, XOP, NEON 지원
C 레퍼런스 코드 구현 참조용 코드
Java 코드 Java 1.5 이상 지원
Python 코드 Python 2.7 이상, 3.2 이상 지원


- 제공 기능
   LSH-224, LSH-256, LSH-512-224, LSH-512-256, LSH-384, LSH-512
   LSH 기반 메시지 인증 코드(HMAC)

- 본 소스코드는 지적재산권에 대한 사용료 없이 제품 생산 및 판매와 관련하여 적용할 수 있습니다.
- 소스코드 관련 문의는 cryptoalg@nsr.re.kr 로 주시기 바랍니다.






7. 첨부파일
      LSH 규격서
      LSH 논문(영문)
      LSH 소스코드
      LSH 소스코드 매뉴얼

국산 고속 해시함수 LSH

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2534


국산 고속 해시함수 LSH

1. 기술소개
● 디지털 데이터의 고유값을 생성하는 암호학적 해시함수
● 데이터 변조 유무의 확인 기능(무결성) 제공
● 전자서명, 키 공유, 난수발생기 등 다양한 암호 응용에 사용됨

2. 기존 기술과의 차별성
● ARX(덧셈, 비트 순환, XOR) 기반 신규 구조
● Intel/AMD 등 범용 SW 환경에서 국제 표준(SHA-2/3) 대비 2배 이상 속도

3. 활용분야
● 금융, 클라우드, 빅데이터 등의 분야에서 대용량 데이터의 무결성 검증
● 실시간 서비스에서의 데이터 인증
● 전자서명, 키 유도함수, 난수발생기 등 암호 기능 구현

[참고] 해시함수는 디지털 데이터를 압축해 고유값을 생성하는 암호 알고리즘이다. 전자서명과 데이터 무결성 검증, 난수 생성, 사용자 인증, 비밀번호 보호 등 다양한 응용분야에 널리 사용된다.

           [해시함수 LSH 핵심 논리]


[해시함수 LSH 성능]

클라우드 시스템을 위한 새로운 보안 플랫폼의 필요성

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2532
 

클라우드 시스템을 위한 새로운 보안 플랫폼의 필요성


주요 이슈

빅데이터를 활용하는 업무 시스템이 산업 전반에 도입되면서 클라우드 컴퓨팅을 활용하는 기업과 조직이 급속히 늘어나고 있다. 이에 따라 클라우드 컴퓨팅 보안에 대한 중요성도 점차 대두되고 있다.

클라우드를 통해 확보한 데이터의 보관과 처리에 사용될 시스템을 고민하면서 신뢰할만한 시스템 환경을 구축하는 것에 대한 고민 또한 함께 이루어져야 하는 시기가 온 것이다. 클라우드 시스템의 보안은 큰 그림으로 보면 기존의 서버 시스템이 갖추고 있는 보안 기능과 크게 다르지 않다.

하지만 클라우드 특성에 따른 가상화, 멀티테넌시(Multi-tenancy: 다중공유), 정보 위탁과 모바일 기기접속, 데이터 센터 안전성 등 신규 공격 위협이 존재한다.

이에 가트너(Gartner)는 실제 기업 보안 관리자들은 클라우드 보안에 상대적으로 무지한 편이라고 꼬집으며 클라우드 보안 위협이 본격화될 것에 대한 대응 준비의 필요성을 밝혔다.

1부에서는 클라우드 컴퓨팅 환경 위협 공격에 대해 기존 보안기술의 한계와 새로운 보안 클라우드 환경의 방향성에 대해 간단히 살펴보고자한다.

이어지는 2부에서는 가트너가 제시하는 클라우드 환경에 걸맞는 새로운 보안 플랫폼에 대해 자세히 기술할 예정이다.


동향 분석

◎ 클라우드 컴퓨팅 환경의 보안 기능 강화의 필요성

○ 2018년까지 현존하는 기업의 60% 이상이 클라우드 컴퓨팅을 활용할 것으로 기대되며 이에 따라 클라우드 컴퓨팅 보안 강화에 대한 필요성 증가

○ 클라우드 환경에서는 가상화, 다중임차, 원격지에 정보 위탁 및 사업자 종속,모바일 기기 접속, 데이터 국외이전, 데이터 센터의 안전성 등 새로운 보안 위협이 존재

○ 클라우드 컴퓨팅을 통해 무수한 데이터가 연동되고 다양한 자원이 활용되고 있기 때문에 데이터 보호와 자원의 관리 정책, 기업 및 개인의 프라이버시 측면에서의 포괄적 문제점 해결 필요

○ 많은 기업들이 고객 정보 유출에 대한 우려를 클라우드 서비스의 가장 큰 위험 요인으로 꼽으며 이로 인한 매출 손실 발생을 우려하고 있음.



◎ 클라우드 컴퓨팅 환경 내 주요 보안 취약성

 ○ 다수 고객 임차 환경(Multi-Tenancy)
     - 클라우드 인프라를 공격의 수주로 삼을 수 있음(좀비 PC).
     * 아마존의 가상서버 임대 서비스(EC2)에 가명으로 가입하여 가상 서버를 대여해

        소니 플레이스테이션 네트워크를 해킹한 사건 (2011년 6월)
     - 고객 정보를 저장 및 관리하는 제3기관의 보안 수준이 각 기업 및 이용자들의 보안 수준을
        결정하기 때문에 이들의 관리 부주의나 설정 오류 등으로 정보 유출이 가능함.
     * 이메일과 온h인미팅시스템 등을 제공하는 MS 기업용 클h우g 솔루션의 권한 설정 오류로

        기업정보가 타인에게 열람 (2010년 12월)

 ○ 정보와 서비스의 집중화
     - 침해사고 발생 시 서비스 연쇄 중단 및 대규모 피해 속출
     * 아마존 EC2 정전으로 190개 서비스 동시 마비 (2011년 4월)

     - 다수의 이용자 및 기업 정보를 보유한 클h우g 서버 내 저장 정보가 암호화 되어있지 않으면

       모든 사용자의 정보가 한 번에 유출 될 수 있음.

◎ 클라우드 서비스를 위해 요구되는 보안 사항

♤ Iaas(Infrastructure as a Service) 
  Iaas는 시스템 인프라 클라우우 서비스h고도 불리며 서버, 스토리지, 네트워크를 가상 환경으로
    만들어 사용자의 필요에 따h 인프h 자원을 사용 할 수 있도록 제공되는 서비스 형태를 말함.
  - 사용자는 인프라를 클라우드 서비스로 이용하며 서버의 구매 및 유지, 네트워크 구성과 트래픽,
    하드웨어 장애 등에 대한 모든 부분에 대해 신경 쓸 필요가 없음.

  이와 같이 모든 것을 공유(Sharing)하는 특별한 환경에서는 보안 문제에 대한 책임과 관리 대상이
     확실시 되어야 함.
   - 안전한 내부 망에 있는 물리적 장비를 대상으로 외부로의 침입을 막는 경계적 보안이 과거의
      보안 패러다임이라면 이제는 클라우드 컴퓨팅을 통한 가상의 인프라에서 발생하는 APT나
      데이터 유출/침해 등과 같은 새로운 위협에 대비한 보안 솔루션에 요구되는 것임.


  프로그래머들은 설치 후 수정(build first/fix later)적 성격을 띠는 다양하고 자유로운 소프트웨어
     환경 속에서도 보안 코드 제작과 입력에 심혈을 기울여야 함.

  기업이나 조직 등 비즈니스와 직접 연결되어 다양한 소스에서 위협 인텔리전스를 수집하고
     피드백을 제공하는 소프트웨어 정의 보안(Software-Defined Security) 방법이 클라우드 서비스
     환경의 보안 체제로 운영됨. 

  ♤ SaaS(Software as a Service)

   서비스를 위한 클라우드 서비스라 불리는 SaaS는 기본 인프라와 서비스뿐만 아니라 사용자의
     어플리케이션까지 이르는 모든 영역을 클라우드 서비스로 제공하는 것을 말함.
   - 사용자는 자신이 필요한 서비스를 바로 선택하여 사용할 수 있음. 네이버나 Dropbox 등의

     웹하드 서비스가 이에 속함.

   SaaS환경에서는 인프라에서 어플리케이션에 이르는 다양한 서비스를 제공하는 벤더들의 관리
     통제에 대해 철저한 검수와 확인 필요

    뿐만 아니라 SaaS 환경에서는 보안에 대한 책임 의식이 개발자에서 그치는것이 아닌
       사용자까지로 확장되어 적용됨.

(Soucre: Gartner)

 첨부 : 클라우드 시스템을 위한 새로운 보안 플랫폼의 필요성


2016년 6월 21일 화요일

정보보호관리체계(ISMS) 구축 방법 및 적용 방안

 뉴딜코리아 홈페이지 | 뉴딜코리아
 http://cafe.naver.com/rapid7/2528

정보보호관리체계(ISMS) 구축 방법 및 적용 방안




세계 최고 수준의 정보통신 인프라를 기반으로 사회ㆍ경제 전반에 걸쳐 인터넷의 이용 및 새로운 융합 서비스가 급속히 활성화되기 시작하였다. 

하지만, 이와 더불어 2009년 7?7 DDoS 공격, 2011년 은행 전산망 마비, 2012년 통신사 개인정보 대규모 유출 사고 등 고도화된 사이버 침해사고 또한 급증하게 되었다. 

이와 같이 급변하는 IT 서비스 및 사이버 침해 환경에 능동적으로 대처하고 기업의 보다 실질적인 정보보호 활동을 유도하는 한편, 해킹 등 사이버 위협에 대한 사전예방 조치를 강화할 수 있도록 하는 등 2012년 ISMS 인증 제도를 정비하게 되었다.

이는 기업 경영진 차원에서의 상시 모니터링 체계 구축 등 지속적이고 체계적인 정보보호 관리를 유도하기 위해 일정규모 이상의 주요 정보통신 서비스 제공자를 대상으로 ISMS 인증 제도를 의무화하게 되었다(2013년 2월 18일부터 시행). 

의무대상자는 ISP, IDC, 정보통신 서비스 매출액 100억 원 이상, 또는 일평균 이용자 수 100만 명 이상자를 대상으로 기존에 운영되던 실효성 문제로 논란이 되어왔던 정보보호 안전진단 제도가 폐지되고, 보다 높은 수준의 ISMS 인증 제도로 일원화 되었다. 

국내 기업의 정보보호 수준은 한층 높아질 것으로 예상된다. 

이에 따라 2013년부터 인증의무대상자는 시급하게 ISMS를 구축하고 인증을 취득하기 위해 무엇을 어떻게 해야 할 것인지가 가장 이슈라 할 수 있다. 본 고에서는 ISMS 구축 방법론을 알기 쉽게 설명하고자 한다. 


2016년 6월 20일 월요일

PPT 단축키 10가지!

PPT 단축키 10가지!


첨부파일 : PPT 단축키 10가지!

블루투스SIG 차세대 무선표준 블루투스5 발표

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2524


블루투스 기술 다국적 연합단체  *‘블루투스SIG’ 블루투스 5 발표 (2016년 6월 16일) 

∎ 2016년 6월 16일, 블루투스 기술 다국적 연합단체  *‘블루투스SIG’, 블루투스 5 발표
블루투스SIG(Special Interest Group)가 이전보다 전송거리와 속도를 향상한 새로운 규격 ‘블루투스 5’를 미국 현지시간 2016년 6월 17일 발표했다.

2013년 12월, 블루투스 4.1이 나온 이후 2년만에 등장한 블루투스 5는 드론, 웨어러블 기기, 스마트전구, 가정 자동화 기기 등 사물인터넷(Internet of Things)영역 전반을 겨냥하여 기존 버전 대비 전송거리를 4배 늘리고 데이터 전송속도 또한 2배 이상 끌어올렸다.

블루투스 5는 이 외에도 내비게이션 및 beacon(근거리 무선통신 기술) 등 위치정보를 기반으로 제공되는 서비스 영역 또한 활성화 시킬 것으로 예상된다.



블루투스SIG 전무이사 마크 포웰(Mark Powell)은 성능이 업그레이드된 블루투스 5를 통해 사람들이 더욱 쉽고 편리한 사물인터넷 기기들을 경험할 수 있게 되었다고 전했다.

블루투스SIG에 따르면, 블루투스 5를 내장한 제품은 2017년 상반기에 선보일 예정이다.

- 블루투스 SIG가 작년에 발표한 2016년 기술 로드맵의 일환으로 IoT 어플리케이션지원에 초점을 맞춘 블루투스4.2(저전력 블루투스)는 간단한 장거리 무선 연결을 지원하도록 설계되어 네트워크화 된 IoT 기기에 사용 가능함

- 블루투스 5는 현재 블루투스 4.2보다 통신 범위가 4배 증가하고, 속도는 2배 더빠르며, 광고 전송에 더 많은 용량을 사용함으로써 전 세계 사용자들이 비콘1) 및 위치기반 서비스를 적용하고 이용하는 것에 도움을 줄 것임

∎ 블루투스 5의 새로운 기능은 다음과 같음
- 매시 네트워킹2)이 전체 홈 기기, 산업 자동화, 아웃도어 사용, 의료기기, 위치기반 서비스 등을 지원하도록 도움

- 또한, 비콘 기술을 통해 더 많은 광고와 내비게이션을 위한 비접속형(connectionless)서비스 등의 신규 기능이 추가될 예정임

∎ 블루투스 5 관련 기사
 http://www.eweek.com/blogs/first-read/faster-bigger-bluetooth-5-could-be-a-boon-for-the-iot.html?mc_cid=e76560df0e&mc_eid=53071803b5

http://www.zdnet.com/article/bluetooth-5-is-coming-double-the-speed-four-times-the-range/


* 블루투스SIG(Bluetooth Special Interest Group)은 근거리 무선통신 블루투스 기술의 다국적 연합체로,애플, 에릭슨, 인텔, 레노버, 마이크로소프트, 노키아, 토시바 등이 주요 회원임





이메일 비밀번호 유출사례 증가에 따른 보안관리 철저 (2016.06)

최근 이메일 비밀번호 유출사례 증가에 따른 보안관리 철저


1. 최근 발생하고 있는 피싱사례를 붙임 파일로 안내해드리오니 보안에 주의하여 주시기 바랍니다.

2. 해킹 사례 개요 : 교육청, 대학에서 운영하는 기관메일과 네이버, 다음 등 상용 메일 관리자를 사칭하여 피싱메일을 발송하고 개인 아이디와 비밀번호를 불법으로 탈취하는 사례발생

3.피싱메일 실제사례
- 해커가 메일관리자를 사칭하여 메일 발송, 아이디/비밀번호 탈취하는 사이트로 접속 유도
- 메일 제목 : [주의] 메일함 용량이 초과되었습니다.- '메일함 정리하기'클릭 시 해커가 유인하는 피싱사이트로 이동







4. 보안대책
    가. 개인은 출처가 불분명, 의심되는 제목의 이메일 열람 금지
    나. 자신의 이메일 아이디·비밀번호는 타인과 공유금지
    다. 정상적인 로그인 목적 외 아이디/비밀번호를 요구할 경우 절대 입력하지 말고 해당 메일관리자의 확인 후 조치
    라. 비밀번호는 8장 이상 16자리 이상 영문, 숫자, 특수문자를 사용하여 3개월 마다 변경


AWS 클라우드에서의 보안 이해

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2522
 

AWS 클라우드에서의 보안 이해

2015년 4월 21일 서울 코엑스에서 열렸던 AWS Summit Seoul 2015의 두번째 트랙에서
양승도 아마존 웹서비스 솔루션스 아키텍트가 발표한 자료입니다.




동영상 :
http://www.slideshare.net/awskorea/aws-summit-seoul-2015-aws-47454367

첨부파일http://cafe.naver.com/rapid7/2522