2017년 12월 29일 금요일

2018 무술년 새해 복 많이 받으세요


[공지]ISMS 인증과 PIMS 인증 통합방안 확정 (2017.12. 28)

 뉴딜코리아 홈페이지 



ISMS 인증과 PIMS 인증 통합방안 확정
- ISMS(104개)와 PIMS(86개) 인증기준을 100개로 통합하고, 통합인증 실시
- 정보보안과 개인정보보호 제도간 연계성 강화 및 기업부담 완화 기대


□ 과학기술정보통신부(장관 유영민, 이하 ‘과기정통부’), 방송통신위원회(위원장 이효성, 이하 ‘방통위’), 행정안전부(장관 김부겸, 이하 ‘행안부’)는 정보보호 관리체계(ISMS)* 인증과개인정보보호 관리체계(PIMS)** 인증을통합한다고 밝혔다.

* 정보보호 관리체계 : Information SecurityManagement System
*개인정보보호 관리체계 : Personal Information Security Mamagement System
 
o ISMS 인증은 정보통신망의 안정성과 신뢰성 확보를 위한 인증으로서 과기정통부가 2002년부터 운영해 온 제도이고,
 
o PIMS 인증은 개인정보 보호활동에 대한 인증으로 2010년부터 방통위가 운영하던 PIMS 인증과 2013년부터 행안부가 운영하던 PIPL 인증을 2016년에 PIMS로 통합하여 운영하고 있는 제도이다.


□ 이번 두 제도의 통합은 최근 정보보안과 개인정보보호가 밀접해지고 있는 추세를 반영하여 제도 간 연계성을 강화하고, 인증 중복운영에 따른 기업부담을 해소하기 위해,
 
o 정보보호 관련 학계, 업계, 인증대상 기업 등 전문가의 검토 및 토론, 관계 부처 간 협의를 거쳐 결정되었다.


□ 이번 통합 논의 과정에서 ISMS 인증항목 104개, PIMS 인증항목 86개에 대한 비교 검토 결과, ISMS 인증항목 82개(78.8%)가 PIMS 인증과 동일․유사하고(ISMS 고유항목은 22개), 



o PIMS 인증항목 86개를 기준으로 볼 때 58개 항목이 동일․유사한 것으로 분석되었다(PIMS 고유항목은 28개).
 
o 따라서, ‘통합 정보보호 인증’에서는 ISMS와 PIMS의 동일․유사한 인증항목을 통폐합하여, 정보보안 관련 80개 항목, 개인정보보호 관련 20개 항목 등 총 100개의 인증항목으로 단일화 할 계획이다.



o 이번 통합에 따라 기업들은 기본적으로 80개의 보안항목으로‘ISMS 인증’을 받을 수 있고, 추가로 신청하여 20개 개인정보보호 항목까지 인증을 받는 경우 ‘ISMS-P(가칭)’ 인증을 받을 수 있다.
 

□ 과기정통부․방통위․행안부는 통합 정보보호 인증제도의 원활한 운영을 위해‘인증운영 협의체’를 구성․운영하고, 2018년 상반기까지 부처 간 공동고시 개정(안) 마련․시행할 예정이다.
 
o 다만, 기업들의 인증 준비에 6개월 이상 소요되는 점을 감안, 2018년 시행 이후 6개월간은 기존 인증 또는 통합 인증 제도 간 선택을 할 수 있게 함으로써, 제도 통합에 따른 기업들의 부담을 경감하기로 하였다. 
 

□ 이번 제도 통합은 보안과 개인정보보호를 아우르는 종합적인 정보보호 관리체계 인증 제도를 수립했다는데 의의가 있으며,
 
o 과거 ISMS와 PIMS 인증 간 유사․중복 항목에 대해 이중으로 인증을 받아야 했던 기업의 비용과 시간 등을 절감함과 동시에,
 
o 기업들의 정보보안 및 개인정보 관리의 수준 향상에 크게 기여할 것으로 예상된다.
 

☞ 이 자료에 대하여 더욱 자세한 내용을 원하시면 과기정통부 사이버침해대응과 김기홍 사무관(☎02-2110-2979), 방통위 개인정보보호윤리과 이우혁 사무관(☎02-2110-1521), 행안부 김용학 사무관(☎2100-4099) 뉴딜코리아 컨설팅사업부 백동수 이사(☎070-7867-3721,ismsbok@gmail.com)에게 연락주시기 바랍니다.


ISMS & PIMS 통합방안 인증 컨설팅 수행

뉴딜코리아 컨설팅사업부(070-7867-3721, ismsbok@gmail.com)


2017년 12월 28일 목요일

망 분리 시스템 보안관리 지침 (국방, 방산 등)



 뉴딜코리아 홈페이지 

○ 망 분리 시스템 보안관리 지침 ( 시행일자: 2017. 1. 1. )

○ 훈령상에 포함되는 망분리 시스템 보안관리 지침입니다.

지침 자료는 뉴딜코리아 솔루션 사업부로 연락 주시면 전달 드리겠습니다


공공 와이파이 사용 팁

출처 :  뉴딜코리아 홈페이지 
공공 와이파이 사용 꿀팁



공공 와이파이란 SKT, KT, LGU+의 이동통신 3사가 국민들이 자주 이용하는 공공장소에서 무료로 제공하는 와이파이를 뜻하며 이는 공원, 주민센터, 복지센터, 시장 등 일상 속 다양한 공공장소에서 이용할 수 있습니다.

공공 와이파이는 여러 사람이 함께 사용하기 때문에 공공재적 성격이 강하며 접속 유지시간을 1시간으로 제한

접속자가 워낙 많다 보니 일부 사용자가 과도하게 동영상이나 게임과 같은 크래픽을 사용할 경우 이용가능 범위가 줄어들며 속도가 느려지는 단점


□ 내 주변의 공공 와이파이는 어디에 있을까 ?

한국통신사업자연합회(KTOA)에서는 내 주변의 모료 공공와이파이를 찾을 수 있는 웹사이트를 운영하고 있습니다.

공공와이파이 웹사이트 : www.wififree.kr

1) 메인 페이지에서 찾고자 하는 지역을 선택하고 검색 버튼을 누른 후 가까운 공공 와이파이 중 내 통신사에 제공 중인 와이파이를 찾으면 됩니다.

2) 그 후 와이파이 표시 지역으로 이동하면서 와이파이를 검색합니다.

3) 일반(비보안) 접속의 경우엔 무선네트워크 설정에서 주변 와이파이 신호를 검색한 후 'Public WIfi Free'를 선택하고 캡티브포탈 화면 중앙 이용하기 버튼을 클릭한 후 웹 브라우저를 실행하여 원하는 서비스를 이용하시면 됩니다.

4) 보안 접속의 경우에는 무선네트워크 설정에서 'Public Wifi Secure'를 선택한 다음, 인증방식 (PEAP, MSCHAPV2) 및 ID/비밀번호(wifi/wifi)를 입력한 후 사용하시면 됩니다.

5) 공공와이파이, 스마트폰 앱으로도 간편하게 확인 가능!!
- 공공와이파이는 스마트폰으로도 간편하게 확인이 가능합니다.
- 앱스토어나 구글플레이어에서 앱을 다운받는다면 쉽게 사용이 가능


□ 주의사항
공공 와이파이를 비롯한 오픈 와이파이 서비스는 편리하고 무료라는 점이 있지만 그 만큼 보안 부문에서는 취약할 수 있기 때문에 제공자가 불분명한 공중 무선랜은 사용하지 않는 것이 좋으며 중요한 개인정보를 입력하거나 금융거래 등을 하는 것은 위험하므로 이에 반드시 유의하시는 것이 좋습니다.

또한 공공 와이파이를 사용한 후엔 자동접속 설정을 해제하시 것 또한 잊지마세요~!!

참고 : 국민행복기금 블로거


무선 취약점 진단 서비스
뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)


2017년 12월 26일 화요일

무료 사진을 구할 수 있는 웹사이트

추처 : 뉴딜코리아 홈페이지 


무료 사진을 구할 수 있는 웹사이트 24곳 타입폼 이 자사 블로그를 통해 ‘무료 사진을 구할 수 있는 웹사이트 24곳’을 소개했습니다.

1. 언스플래시(Unsplash) : https://unsplash.com/

2. 스플릿샤이어(SplitShire) : https://www.splitshire.com/

3. 에피칸투스(Epicantus)  : http://epicantus.tumblr.com/

4. 픽점보(Picjumbo) : https://picjumbo.com/

5. 아임프리(IM Free) : http://imcreator.com/free

6. 뉴올드스톡(New Old Stock) : https://nos.twnsnd.co/

7. 피코그래피(Picography) : https://picography.co/

8. 제이 맨트리(Jay Mantri) : http://jaymantri.com/


아래에서 추천 사이트 24곳을 모두 확인하실 수 있습니다.
https://www.typeform.com/blog/ask-awesomely/free-pics/


  

2017년 12월 18일 월요일

OpenSSL 신규 취약점 보안 업데이트 권고 (2017-12-07)

 뉴딜코리아 홈페이지 




OpenSSL 신규 취약점 보안 업데이트 권고 (2017-12-07)


□ 개요
 o OpenSSL에서 서비스 거부 공격이 가능한 취약점을 해결한 보안 업데이트 발표

"error state" 상태에서 SSL_read() 혹은 SSL_write() 함수를 호출할 때, "error state"메커니즘의 버그 때문에 원래의 의도대로 동작하지 않게 됩니다.

이 때문에 원래 데이터가 OpenSSL을 통해 데이터가 암/복호화 되어야 하는데, 더 이상 SSL/TLS 레이어에서 암/복호화 처리가 불가하게 됩니다.

심각도 : 낮음 (Severity: Low)

□ 설명
 o OpenSSL 1.0.2 (버전 1.0.2b에서 시작)에 메커니즘 "error state" 버그 발생

핸드 셰이크가 진행되는 과정에서 SSL_read() 및 SSL_write() 함수 호출 시 오류가 발생할 경우, 데이터가 암호화 되지 않고 전달되어 정보노출이 발생하는 취약점(CVE-2017-3737)

이는 SSL_read () 또는 SSL_write ()가 직접 호출되면 버그로 인해 명시 적 핸드 셰이크 함수 (SSL_do_handshake (), SSL_accept () 및 SSL_connect ())로 설계된 것처럼 작동하지만 버그로 인해 올바르게 작동하지 않습니다.

이 시나리오에서 핸드 셰이크에 실패하면 초기 함수 호출에서 치명적인 오류가 반환됩니다.
SSL_read () / SSL_write ()가 동일한 SSL 객체에 대한 응용 프로그램에 의해 연속적으로 호출되면 성공하고 데이터는 SSL/TLS 레코드 계층에서 직접 암/복호화 되지 않고 전달됩니다.


OpenSSL 버전 1.0.2b-1.0.2m이 영향을받습니다.

OpenSSL 1.0.2n에서 수정되었습니다.

OpenSSL 1.0.2을 사용하는 사용자들은 OpenSSL 1.0.2n버전으로 업데이트

OpenSSL 1.1.0은 영향을받지 않습니다.
※ OpenSSL v1.1.0은 영향 받지 않으며, v1.0.1은 지원종료 됨



[참고 자료]

OpenSSL Security Advisory [07 Dec 2017]
========================================

Read/write after SSL object in error state (CVE-2017-3737)
==========================================================

Severity: Moderate

OpenSSL 1.0.2 (starting from version 1.0.2b) introduced an "error state" mechanism.
The intent was that if a fatal error occurred during a handshake then OpenSSL would move into the error state and would immediately fail if you attempted to continue the handshake.
This works as designed for the explicit handshake functions (SSL_do_handshake(), SSL_accept() and SSL_connect()), however due to a bug it does not work correctly if SSL_read() or SSL_write() is called directly.
In that scenario, if the handshake fails then a fatal error will be returned in the initial function call.
If SSL_read()/SSL_write() is subsequently called by the application for the same SSL object then it will succeed and the data is passed without being decrypted/encrypted directly from the SSL/TLS record layer.

In order to exploit this issue an application bug would have to be present that resulted in a call to SSL_read()/SSL_write() being issued after having already received a fatal error.

This issue does not affect OpenSSL 1.1.0.

OpenSSL 1.0.2 users should upgrade to 1.0.2n

This issue was reported to OpenSSL on 10th November 2017 by David Benjamin (Google).
The fix was proposed by David Benjamin and implemented by Matt Caswell of the OpenSSL development team.

rsaz_1024_mul_avx2 overflow bug on x86_64 (CVE-2017-3738)
=========================================================

Severity: Low

There is an overflow bug in the AVX2 Montgomery multiplication procedure used in exponentiation with 1024-bit moduli.
No EC algorithms are affected.
Analysis suggests that attacks against RSA and DSA as a result of this defect would be very difficult to perform and are not believed likely.
Attacks against DH1024 are considered just feasible, because most of the work necessary to deduce information about a private key may be performed offline.
The amount of resources required for such an attack would be significant.
However, for an attack on TLS to be meaningful, the server would have to share the DH1024 private key among multiple clients, which is no longer an option since CVE-2016-0701.

This only affects processors that support the AVX2 but not ADX extensions like Intel Haswell (4th generation).
Note: The impact from this issue is similar to CVE-2017-3736, CVE-2017-3732 and CVE-2015-3193.

Due to the low severity of this issue we are not issuing a new release of OpenSSL 1.1.0 at this time. The fix will be included in OpenSSL 1.1.0h when it becomes available.
The fix is also available in commit e502cc86d in the OpenSSL git repository.

OpenSSL 1.0.2 users should upgrade to 1.0.2n

This issue was reported to OpenSSL on 22nd November 2017 by David Benjamin (Google).
The issue was originally found via the OSS-Fuzz project.
The fix was developed by Andy Polyakov of the OpenSSL development team.

Note
====
Support for version 1.0.1 ended on 31st December 2016.
Support for versions 0.9.8 and 1.0.0 ended on 31st December 2015.
Those versions are no longer receiving security updates.

References
==========
URL for this Security Advisory:
https://www.openssl.org/news/secadv/20171207.txt
Note: the online version of the advisory may be updated with additional details over time.
For details of OpenSSL severity classifications please see:
https://www.openssl.org/policies/secpolicy.html



취약점 분석 & 모의 침투
컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)




2017년 12월 17일 일요일

클라우드 보안의 핵심이슈 와 대응책
Key Issues and Countermeasures in Cloud Security

■ 요약문

클라우드 컴퓨팅은 세계적으로 활용률이 높아지고 있으나 국내에서는 도입과 확산이 저조한 편으로, 그 큰 원인 중 하나는 보안에 대한 우려 때문인 것으로 조사되었다.

그러나 클라우드 컴퓨팅의 보안은 일반적인 정보 보안과 본질적으로 다르지 않으며, 공유자원의 사용으로 새롭게 야기되는 위협에 대해서도 기존 보안기술을 재구성한 방어체계를 통해 현재의 정보 보안 수준으로 해결이 가능하다.

이 보고서에서는 기존 클라우드 컴퓨팅의 보안 위협에 대한 관점을 종합하고, 기술 및 기술외적인 측면에서 다양한 해결방안을 살펴보면서, 클라우드 컴퓨팅 보안에 대한 인식전환이 필요함을 설명하고 있다.

Cloud computing is growing globally, but the adoption and diffusion of cloud computing is slow in Korea. One of the major causes was the concern of security.

 However, the security of cloud computing is not fundamentally different from general information security, and new security threats caused by the use of shared resources can be solved by the existing information security level through a defense systems that reconstruct existing security technology.




This report summarizes the viewpoints of security threats of existing cloud computing, explores various solutions in terms of technology and non-technology, and explains the necessity of changing awareness of cloud computing security.


☞ 첨부파일 :  http://cafe.naver.com/rapid7/3051


클라우드 & 가상화 취약점 분석
뉴딜코리아 컨설팅 사업부 ( 070-7867-3721, ismsbok@gmail.com)


2017년 12월 11일 월요일

프로계획러의 신년 계획 세우는 법칙

 뉴딜코리아 홈페이지

프로 계획러의 신년 계획 세우는 법칙


2018년 새해가 코앞으로 다가왔습다.

매년 그렇듯 새해가 되면 계획을 세웁니다.

지키지도 못할 걸 알면서, 작심삼일일 걸 알면서.

3일이라도 지켜보자는 생각으로.

모름지기 시작이 반이라 했다.

그리고 프로 계획러들은 그 반을 돈 쓰는 것부터 시작한다.

한 해 계획을 위한 다이어리를 사는 건 당연지사.

지난 해 6개월짜리 끊어놓고 6일밖에 안 간 헬스장을 또 알아보며 운동화를 사는 것 역시 순리다.

뭐든 새롭게 해야하지 않겠어?

 새해니까!

“날이 좋아서, 날이 좋지 않아서, 날이 적당해서….”(<도깨비> 대사 中)

금나와라 뚝딱 하면 금이 나오고, 하늘을 날고,
순간이동을 하는 도깨비라도 날씨의 영향을 피해갈수는 없다.

그러니 한낱 인간들이야 오죽할까. 해가 쨍하고 하늘이 맑으면 나가 놀아야 하고, 
비가 오면 비가 오니까 파전에 막걸리 한 사발 들이켜야 한다.

의지가 부족해서가 아니다.

날씨 때문이다.
이 병은 시계라는 걸 볼 수 있고,
시간이라는 걸 인지할 때부터 생기는,
인간이라면 누구나 갖고 있는 고질병이다.

이상하게 분침이 12시를 가리키지 않으면 뭔가를 할 마음가짐이 생기지 않는다.

때로 의지가 강한 자들은 30분이나 10분 단위로 쪼개서 시간 컨트롤을 하곤 하는데,
이 역시 녹록치 않다.

딱 그 시각에서 단 몇 초만 지나도 바로 의욕이 상실되기 때문.
비슷한 병으로는 월요일병과 매월 1일 병이 있다.
 친구란 기쁨과 슬픔을 함께하며 서로 의지하는 존재다.


그래서일까. 나의 계획까지 공유하게 되는데….
이 때는 꼭 “내가 또 이러면 날 때려줘”와 같은 가학적인 임무를 주곤 한다.

하지만 마음 약한 친구는 결국 때리지 못하고….
함께 계획을 수정하게 된다는 아름다운(?)

 결론에 이르게 된다.
(서로 약속을 하는 경우는 더욱 빨리 망하는 지름길)

 ‘마지막’이라는 말은 그 힘이 대단하다.


헬스 트레이너의 “마지막 한개!”는 정말 젖먹던 힘까지 쏟게 만들고,
마지막 잎새는 희망을 주지 않는가.

무언가를 끊겠다는 계획을 세운 뒤 맞이하는 ‘마지막’은 더욱 대단하다.

다이어트를 결심한 마지막 날은 폭식을 가져 오고, 금연 전 마지막 담배는 유독 아쉽다.

 그리고 대개 몸에 좋지 않다.

 2018년은 무술년(戊戌年) 개띠해다.

매년 신년계획을 세우고 지키지 못하는 계획이 태반이지만.

그래도 2018년은 무술년(戊戌年) 개띠해에는 모두가 계획하는 것들을 꼭 이루시길!
 (뉴딜코리아..임직원 일동 드림)



ICT에 기반을 둔 비지니스 파트너



클라우드 컴퓨팅 주요 법령 해설서 (2017. 11)


뉴딜코리아 홈페이지 


1 추진배경

○ 세계적으로 ICT활용 패러다임이 정보시스템을 자체구축하는 방식에서 서비스 이용량에 따라 비용을 지불하는 클라우드컴퓨팅으로 전환되고 있습니다.

○ 우리 정부도 클라우드컴퓨팅 이용 확산을 통해 비용절감 및 업무혁신을 유도하고, 취약한 국내 클라우드컴퓨팅 산업의 경쟁력을 높이기 위해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 ‘클라우드컴퓨팅법’이라 함)을 제정(‘15.3월)하고, ’제1차 클라우드컴퓨팅 발전 기본계획(‘16~’18)‘을 수립(‘15.11월)하였습니다.

○ 또한 보안인증제 실시(‘16.4월), 공공기관 민간 클라우드 이용 가이드라인 마련(‘16.7월), 공공기관 선도 프로젝트 등을 통해 공공부문의 선제적인 클라우드컴퓨팅 도입을 지원하고 있으며, 산업단지 내 중소기업 이용 지원, 전문인력 양성 등을 통해 클라우드컴퓨팅 산업 활성화에 역량을 집중하고 있습니다.

○ 특히 제5차 규제개혁장관회의(‘16.5월)에서는 클라우드컴퓨팅 분야 규제혁신 방안을 발표하였고, 이에 따라 금융·의료·교육분야 등에서 클라우드컴퓨팅 이용을 저해하는 규제개선(‘16.7~10월)이 이뤄졌습니다.

○ 그러나 국내 클라우드컴퓨팅 시장은 아직 초기단계로 정부의 정책적 노력에도 불구하고 클라우드컴퓨팅에 대한 인식 및 신뢰가 부족하고 일부 불명확한 규정과 해석차이로 도입에 어려움을 겪고 있는 등 클라우드컴퓨팅 도입이 저조한 실정입니다.

○ 본 해설서를 통해 금융, 의료, 교육, 공공 분야 등에서 클라우드컴퓨팅 이용 규제개선 내용을 상세히 소개하고 이에 따른 클라우드컴퓨팅 이용 가능범위·절차를 명확화함으로써 클라우드컴퓨팅 이용확산을 촉진하고자 합니다.


총  론

󰊱 클라우드컴퓨팅법 제21조의 취지와 내용

 ○ 각종 법령에서 인가·허가·등록·지정 등의 요건으로 전산 시설·장비·설비 등(이하 ‘전산시설등’이라 함)을 규정한 경우에 클라우드컴퓨팅서비스 제공자와 클라우드컴퓨팅서비스 이용계약을 체결하는 것으로 전산시설등의 구비 의무를 대체할 수 있습니다.

 ○ 클라우드컴퓨팅서비스 이용에 대해서 ‘원칙 허용, 예외 금지’라는 이른바 네거티브 규제 원칙을 적용하고 있습니다.

 ○ 예외적으로 금지되는 경우는 법령에서 클라우드컴퓨팅서비스 이용을 명시적으로 금지하거나 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우드컴퓨팅 이용을 제한하는 경우에 ‘전산시설등’의 구비 의무를 대체할 수 없습니다.

 ○ 법령에서 망분리 또는 회선분리를 요구하고 있더라도 논리적 분리방식을 명시적으로 금지하지 않으면 클라우드컴퓨팅서비스 이용이 가능한 것으로 해석해야 합니다.

󰊲 클라우드컴퓨팅법 제21조의 적용 대상

 ○ 클라우드컴퓨팅서비스는 원칙적으로 상용(商用)으로 제공되는 서비스이어야 됩니다. 여기서 ‘상용’이란 무상․유상에 구애받지 않고 상업용으로 제공되는 것을 의미하므로 무상이라 하더라도 상용으로 제공되고 있다면 포함될 수 있습니다.

 ○ 커뮤니티나 하이브리드 등의 방식으로 구축된 클라우드컴퓨팅 시스템이라도 서비스의 전부 또는 일부를 클라우드컴퓨팅서비스 제공자가 상용으로 제공하고 있다면 그 범위 내에서 제21조의 클라우드컴퓨팅서비스로 볼 수 있습니다.

󰊳 클라우드컴퓨팅서비스와 정보보안

 ○ 클라우드컴퓨팅서비스는 수많은 기업의 정보가 클라우드컴퓨팅시스템에 공존하기 때문에 해커들의 주요 공격목표가 될 수 있어 취약점이 발견될 경우 정보 유출사고로 이어질 수 있습니다.

 ○ 클라우드컴퓨팅법은 개별법이나 실무에서 제기하는 정보보안 문제를 해결하기 위하여 과학기술정보통신부장관으로 하여금 클라우드컴퓨팅서비스의 정보보호에 관한 기준을 제정하여 서비스 제공자에게 그 기준을 지킬 것을 권고하고 있습니다.

 ○ 클라우드컴퓨팅 보안인증 제도는 클라우드컴퓨팅서비스 이용자가 서비스를 안심하고 도입·이용할 수 있도록 정보보호 전문기관인 한국인터넷진흥원(KISA)이 해당 서비스가 「클라우드컴퓨팅서비스 정보보호에 관한 기준」(과학기술정보통신부 고시)을 준수하고 있는지 여부를 객관적으로 평가·인증해 주는 제도입니다.

 ○ 클라우드컴퓨팅 보안인증은 클라우드컴퓨팅서비스 제공자의 의무사항이 아니지만, 공공기관을 대상으로 한 서비스 제공에는 필요합니다. 클라우드컴퓨팅서비스 제공자가 클라우드컴퓨팅 보안인증을 받으면 공공기관에 상용 클라우드컴퓨팅서비스를 제공할 때 상급기관과 국가정보원의 보안성 검토 시 관리적ㆍ물리적ㆍ기술적 보호조치 및 공공기관 추가 보호조치 사항 관련 부분의 보안성 검토가 생략됩니다.

󰊴 클라우드컴퓨팅서비스와 개인정보 보호

 ○ 클라우드컴퓨팅서비스는 서비스제공자의 하드웨어, 소프트웨어, 플랫폼 등을 이용해서 이용자(이용사업자)가 직접 개인정보를 처리하므로 전산시설등의 사용대차 또는 소비대차로 볼 수도 있으나, 저장된 개인정보의 보관, 관리 등을 클라우드서비스제공자가 자신의 책임 하에 수탁받아 행하게 되므로 개인정보 처리업무의 위탁에 해당한다는 것이 다수의 해석입니다.

 ○ 따라서 기업이나 공공기관이 클라우드컴퓨팅서비스를 이용할 때에는 개인정보보호 관련 법령의 개인정보 처리업무 위탁 규정에 따라 개인정보 처리업무를 위탁하여야 합니다.


☞  첨파일 : http://cafe.naver.com/rapid7/3046


아마존웹서비스(AWS) & 가상화  취약점 분석
 
뉴딜코리아 컨설팅사업부 ( 070-7867-3721, ismsbok@gmail.com)



2017년 12월 9일 토요일

한번에 이해하는 와이파이 표준 (802.11ah부터 802.11ba까지·)

 뉴딜코리아 홈페이지 

한번에 이해하는 와이파이 표준
(802.11ah부터 802.11ba까지··· )
와이파이라는 용어 자체(그리고 와이파이 얼라이언스)는 여러 무선 랜 제품과 기술 간 상호 운용성을 가리킨다.

그러나 무선 인터넷 세계에서 와이파이는 보통 무선 액세스와 같은 의미로 쓰인다.

이들 표준은 그 자체로 IEEE 802.11 표준 그룹의 일부다.

802.11b(읽을 때는 8, 5, 2, 11, B로 끊어 읽으며 ‘점’은 읽지 않는다)나 802.11ac 같은 이름으로 불린다.

1990년대 후반에 시작돼 처리율(throughput)과 범주가 꾸준히 개선돼 더 빠른 네트워크 액세스를 제공한다.

이러한 과정에서 새로운 무선 데이터 전송 주파수를 수용하고 무선통신 범위를 늘리면서 전력 소모량을 줄였다.

현재는 사물 인터넷이나 가상 현실과 같은 새로운 IT 흐름을 지원할 정도로 발전했다.

그 동안 802.11로 시작되는 기술 규격 시리즈에 무관심했던 이들을 위해 물리적(PHY) 레이어 규격의 현주소를 살펴본다.

가장 최근 표준부터 역순으로 되짚어 본다. 아직까지 개발 단계에 있는 기술 규격도 알아본다.

802.11ah


802.11ah는 '와이파이 헤일로(Wi-Fi HaLow)'라고도 불린다.

TV 화이트 스페이스(TV White Space) 대역을 제외한 1GHz 이하의(보통 900MHz 대역) 면허 불요(license-exempt) 네트워크에 적용된다.

미국에서는 908~928MHz이며 주파수는 나라마다 다르다.

802.11ah는 일반적인 2.4GHz나 5GHz 영역(주파수가 낮으면 범위는 더 넓다)을 넘어 서며 최대 347Mbps 속도의 확장형 와이파이 네트워크를 제공하는 것이 목표다.

또한 에너지 소비율을 낮춰 사물 인터넷 기기 간 장거리 통신 시 에너지 효율을 높이고자 했다. 이러한 에너지 효율 덕분에 블루투스의 대체 기술로도 주목받고 있다.

이 규격은 2016년 9월에 승인되고 2017년 5월에 상용화됐다.

802.11ad


2012년 12월 승인된 802.11ad는 빠른 속도가 특징이다.

60GHz 주파수에 6.7Gbps 속도를 자랑한다.

하지만 이는 어디까지나 거리가 가까울 때,
즉 클라이언트 기기가 액세스 포인트의 반경 3.3m 이내에 있을 때만 가능하다.

802.11ac


아마 현재 대부분 가정에서 쓰는 무선 라우터는 5GHz 주파수대에서 운용되는 802.1ac 라우터일 것이다.

MIMO(Multiple Input, Multiple Output) 방식(송/수신 기기에 안테나를 여러 개 붙여 에러를 낮추고 속도를 높이는 방식)을 사용하며, 최대 3.46Gbps 데이터 전송 속도를 지원한다.

업체에 따라서는 라우터에 802.11n을 통해 2.4GHz 주파수를 지원하는 경우도 있다.

이렇게 하면 802.11b/g/n 라디오를 사용하지만 개선된 데이터 속도를 감당할 수 있는 부가적 대역폭을 지닌 구형 기기까지 쓸 수 있기 때문이다.

802.11n

처음으로 MIMO 방식을 구체화 한 표준으로, 2009년 10월 승인됐다.

이 규격은 2.4GHz와 5GHz 두 주파수를 지원하며 최대 속도는 600Mbps이다.

무선 랜 업체가 '듀얼 밴드'라는 용어를 사용한다면 이는 2개의 주파수대에서 데이터를 전송할 수 있다는 의미다.

802.11g


2003년 6월 승인된 802.11g 규격은 802.11b의 뒤를 잇는 후속 표준이다.

2.4GHz 대역에서 54Mbps 속도를 지원한다. 802.11a의 속도를 더 낮은 대역에서 구현한 것이 특징이다.

802.11a


1997년 6월 802.11 규격이 승인된 이후 802.11 뒤에 ‘글자’가 붙은 표준으로는 처음이었던 802.11a는 5GHz 주파수대에서 최대 54Mbps 속도를 지원한다.

802.11a는 802.11b보다 늦게 나와 시장을 혼란에 빠뜨리기도 했다.

실제로 802.11b 제품은 주파수 대역의 차이로 인해 802.11a 제품과 맞지 않았다.

802.11b


1999년 9월 출시된 802.11b는 아마 대부분의 가정에서 처음으로 라우터라는 것을 사용할 때 구매했을 제품이다.

802.11b는 2.4GHz 대역에서 최대 11Mbps의 데이터 전송 속도를 지원한다.

재미있는 것은 802.11b가 802.11a와 승인은 동시에 받았지만 a보다 시장에 먼저 나왔다는 점이다.

802.11-1997


2.4GHz 대역에서 최대 2Mbps 속도를 보여준 최초의 규격이다.

실내에서는 반경 20m(실외는 100m) 정도 커버리지를 지원해 아마 802.11을 사용했던 사람들은 방 하나에서만 이를 사용했을 것이다.


곧 출시될 예정이거나 이미 출시된 최신 규격들


802.11aj

차이나 밀리미터 웨이브(China Millimeter Wave)라고도 알려진 이 규격은 802.11ad의 물리적 레이어와 MAC 레이어를 수정해 중국의 59~64GHz 대역폭에서 운용할 수 있다.

이 대역에서 802.11ad(60GHz)와의 하위 호환성을 유지하고 중국의 45GHz 대역에서 운용 가능하며 802.11의 사용자 경험을 유지하는 것을 목표로 했다.

2017년 말에 최종 승인을 받을 것으로 보인다.

802.11ak


홈 엔터테인먼트나 산업 컨트롤(industrial-control) 영역에는 802.11 와이어리스 기능과 802.3 이더넷 기능을 갖춘 제품이 있다.

이러한 표준은 특히 데이터 전송 속도나 규격화된 보안 및 서비스 품질 향상 분야에서 802.11 미디어가 802.1q 브릿지 네트워크 내에서 통행 링크(transit links)로써 내적 커넥션을 제공하는 것이 목표다.

2017년 말 최종 승인 예정이다.

802.11ax

 'HEW(High Efficiency WLAN)'라고도 알려졌다. 802.11ax는 운동 경기장이나 공항과 같이 밀집된 환경에서 2.4GHz, 5GHz 스펙트럼을 유지하면서도 WLAN 성능을 향상하고자 고안됐다.

 스펙트럼 활용의 효율성을 높여 802.11n이나 802.11ac보다 통행률을 4배 가까이 강화하는 것을 목표로 했다.

최종 승인은 2019년 7월로 예상된다.

802.11ay

넥스트 제너레이션 60GHz(Next Generation 60GHz)라고도 알려진 802.11ay 규격은 60GHz 대역에서 최대 20Gbps의 통행률을 보장하면서 동시에 범위와 안정성을 높일 목적으로 고안됐다(802.11ad는 현재 최대 7Gbps의 통행률을 보인다).

이 규격은 2019년 9월에서 11월 사이 승인될 예정이다.

802.11az

넥스트 제너레이션 포지셔닝(NGP, Next Generation Positioning)이라고도 알려져 있다.

2015년 1월에는 “802.11az와 연관됐거나 연관되지 않은 또 다른 스테이션(들) 사이의 상대적, 절대적 포지션”을 연구하기 위한 단체가 결성되기도 했다.

이 단체의 목표는 “기존의 와이어리스 장치 사용과 전력 소모량을 줄이면서 밀집된 환경의 디플로이먼트에 확장 가능한, 동시에 같은 PHY-타입에서 실행되는 MTM(Fine Timing Measurement) 프로토콜과 관련해 더 높은 정확도를 보이는 상대적, 절대적 포지셔닝”을 결정하는 MAC과 PHY 레이어에 대한 변경 사항을 파악하는 것이었다.

802.11ba

 '웨이크-업 라디오(Wake-Up Radio, WUR)'라고 알려진 802.11ba는 사물 인터넷 네트워크 상 기기 및 센서의 배터리 수명을 확장하기 위해 고안됐다.

 WUR의 목표는 “잦은 재 충전과 배터리 교체가 필요 없는, 그러면서도 최적의 디바이스 성능을 유지할 수 있는” 사물 인터넷 기기를 만드는 것이었다. 최종 승인은 2020년 7월로 예상된다.

원문보기:
http://www.ciokorea.com/news/36436#csidxc423e4b4f053676a355143d8f577867

첨부파일
- 차세대 무선랜 최신 기술동향 (ETRI)
- WI-FI 표준 기술 및 동향
- 와이파이 표준 핵심 기술


http://cafe.naver.com/rapid7/3045

무선랜 & WI-FI 취약점 분석
뉴딜코리아 컨설팅사업부 ( 070-7867-3721, ismsbok@gmail.com)


팔로알토 네트웍스 차세대 방화벽 개념 교육


이 Palo Alto Networks Training Video에서는 차세대 FireWall의 핵심 기능을 소개합니다.




FireWall Concepts Training Series 
차세대 FireWall의 핵심 개념, 차세대 FireWall의 기본 동작, 배포 방법, NAT, VPN, App-ID, SSL 암호 해독에 대해 설명합니다.

http://cafe.naver.com/rapid7/3044



2017년 12월 6일 수요일

아파치 스트럿츠2(Apache Struts2) 보안 업데이트 권고 (2017.12.06)

 뉴딜코리아 홈페이지 

아파치 스트럿츠2(Apache Struts2) 보안 업데이트 권고
(2017.12.06)




□ 개요
 o Apache Struts2에서 서비스 거부 및 임의 코드 실행이 가능한 취약점이 발견 [1]
 o 취약한 버전을 사용 중인 서버의 담당자는 해결방안에 따라 최신 버전으로 업데이트 권고
 
□ 내용
 o Struts REST 플러그인에서 JSON 페이로드를 처리할 때 발생하는 서비스 거부 취약점(CVE-2017-15707)
  o Jackson-databind에서 직렬화 결함이 발생하여 ObjectMapper의 readValue 메소드에 특수하게 조작 된 페이로드 전송 시 임의  코드 실행 가능한 취약점(CVE-2017-7525)
 
 □ 영향을 받는 버전
 o Apache Struts 2.5~ 2.5.14

 □ 해결 방안

 o CVE-2017-15707
    - 취약점에 영향을 받지 않는 버전으로 업데이트 수행(Apache Struts 2.5.14.1) [3]
      또는, 기본 JSON-lib 대신 Jackson 사용

 o CVE-2017-7525
    - 취약점에 영향을 받지 않는 버전으로 업데이트 수행(Apache Struts 2.5.14.1) [3] 
      또는, Jackson dependencies를 취약점에 영향을 받지 않는 버전으로 수동 업데이트
  
 [참고사이트]
  [1] https://cwiki.apache.org/confluence/display/WW/S2-054
  [2] https://cwiki.apache.org/confluence/display/WW/S2-055
  [3] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1
   
 

취약점 분석 & 모의해킹 수행
뉴딜코리아 컨설팅사업부(070-7867-3721, ismsbok@gmail.com)

 

2017년 11월 26일 일요일

솔라리스 패스워드 암호 알고리즘

 뉴딜코리아 홈페이지 



☞ 패스워드 암호화 알고리즘을 sha256 이상으로 변경 필요
 
 
Step 1. Solaris 10 U6 이후 부터 적용
 
# cat /etc/release
                       Solaris 10 8/07 s10s_u4wos_12b SPARC
           Copyright 2007 Sun Microsystems, Inc.  All Rights Reserved.
                        Use is subject to license terms.
                            Assembled 16 August 2007
 
※ U6 이전일 경우 140905-02 패치를 적용해 준다
 
# showrev
Hostname:
Hostid:
Release: 5.10
Kernel architecture: sun4u
Application architecture: sparc
Hardware provider: Oracle Corporation
Domain:
Kernel version: SunOS 5.10 Generic_147440-09
 

Step 2. 적용 가능한 알고리즘

# cat /etc/security/crypt.conf
 
# Copyright 2008 Sun Microsystems, Inc.  All rights reserved.
# Use is subject to license terms.
#
#ident  "@(#)crypt.conf 1.2     08/05/14 SMI"
#
# The algorithm name __unix__ is reserved.
 
1       crypt_bsdmd5.so.1
2a      crypt_bsdbf.so.1
md5     crypt_sunmd5.so.1
5       crypt_sha256.so.1
6       crypt_sha512.so.1
 
 
Step 3. 알고리즘 적용
 
# cat /etc/security/policy.conf
 
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6
CRYPT_DEFAULT=5
 
 
Step 4. 암호화 적용 확인
 
# cat /etc/shadow
UserID:$sha256$WWPosyC1$$heOphUzdBSUGdktGO98EQ/:15540::84::::



암호화 & Key관리 솔루션 공급사
뉴딜코리아 솔루션사업부 (070-7867-3721, ismsbok@gmail.com)

2017년 11월 22일 수요일

OWASP Top 10 2017 ((Final, 2017-11-20)


☞ OWASP Top 10 2017 ((Final, 2017-11-20) 파일


                                                                                      웹 취약점 분석 및 모의해킹
                                          뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)



2017년 11월 18일 토요일

중소기업을 위한 기술보호 실무 가이드북(베트남, 2017)

중소기업을 위한 기술보호 실무 가이드북(베트남, 2017)




▣ 해외진출 중소기업의 경쟁력 강화를 위해서는 보유기술 및 정보에 대한 보호활동이 무엇보다 필요하며, 이를 위해 현지기업의 다양한 정보를 제공 필요

▣ 본 가이드북은 서론, 해외 기술유출 현황 및 사례, 해외 진출 중소기업의 유의사항, 베트남에서의 기술유출시 대응방안 등 총 4개의 장과 보안서식에 대한 부록으로 구성

제1장 서론
- 가이드북의 목적, 구성, 적용방법

제2장 해외 기술유출 현황 및 사례
- 해외 기술유출 현황(국내, 해외 실태조사), 기술유출사례

제3장 해외 진출 중소기업의 유의사항
- 사전조사 및 정보수집, 기술유출방지 기본전략 수립, 보안업무 추진

제4장 베트남에서의 기술유출시 대응방안
- 영업비밀, 영업비밀 침해 대응, 지식재산권 침해 대응 시장관리국, 베트남 IP-DESK

부록 1 기술보호 자가진단 요령
- 자가진단서식, 보안업무 기준

부록 2 보안서식 자료
- 보안관리규정 예시문, 보안서약서 국문, 영문, 베트남어 예시문

▣ 첨부파일 : http://cafe.naver.com/rapid7/3026
    

출처 : 대중소기업농어업협력재단


스마트 팩토리 보안구축
뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)