2017년 7월 31일 월요일

개인정보보호 전문강사 선발 공고 안내(2017년, 행정안전부)

 뉴딜코리아 홈페이지
 
2017년 개인정보보호 전문강사 선발 공고 안내
-  행정안전부, 한국인터넷진흥원 -



□ 선발 개요
 ○ 선발인원 : 150명 (권역별 구분 선발)
   - 수도권(서울, 경기, 인천) 80명, 강원권 5명, 충청권(대전, 충북, 충남, 세종) 15명,
     전라권(광주, 전북, 전남, 제주) 15명, 경상권(부산, 대구, 울산, 경북, 경남) 35명

 ○ 활동기간 : 1년('17년 9월 1일~ '18년 8월 31일까지)


□ 선발 일정
 ○ 지원서 접수 기간 : '17. 8. 7(월) 10:00 ~ '17. 8. 17(목) 18:00까지
   - 제출 방법 : privacy_edu@kisa.or.kr 이메일로 제출
   - 제출 서류 : 전문강사 지원서(별지2, 3, 4포함) 1부
                          개인정보 수집·이용·제공 동의서 1부
                          자격요건 증빙서류

     ※ privacy_edu@kisa.or.kr 이메일 이외의 다른 수단으로 보내는 경우 인정하지 않음

     ※ 지원서 접수 후 3일 이내 접수 확인 답장을 이메일로 보낼 예정이므로 확인 필수

 ○ 선발결과 발표 : '17. 8. 25(금)
     ※ 개인정보보호 종합포털(privacy.go.kr)의 공지사항을 통해 안내 예정

 ○ 교육 실시 및 위촉장 수여 : '17. 8. 31(목)


□ 상세 내용은 첨부파일을 참고하세요
    - 2017년 개인정보보호 전문강사 선발 공고 안내(지원서 포함)


뉴딜코리아 컨설팅 사업버 (070-7867-3721, ismsbok@gmail.com)


gSOAP 라이브러리 원격 코드 실행 취약점 보안 업데이트 권고

 뉴딜코리아 홈페이지
 
gSOAP 라이브러리 원격 코드 실행 취약점 보안 업데이트 권고
(악마의 아이비 : 널리 사용되는 제 3 자 코드의 결함이 수백만에 영향)




□ 개요

Axis 보안 카메라 (모델:M3004 등 249 개 카메라 모델)에서 스택 버퍼 오버플로 취약점 (CVE-2017-9765)을 발견했습니다.  (이 취약점을 "Devil 's Ivy"로 명명하였습니다)

○ Devil 's Ivy는 원격 코드 실행을 유발하며 "gSOAP(Simple Object Access Protocol)"의 오픈 소스 써드 파티 코드 라이브러리에서 발견되었습니다.

○ gSOAP는 널리 사용되는 웹 서비스 툴킷이며 전 세계의 개발자가 소프트웨어 스택의 일부로 gSOAP를 사용합니다.

※ gSOAP : SOAP/XML 웹 서비스 및 일반 XML 데이터 처리를 위한 C/C++ 소프트웨어 개발 툴킷으로, 가볍고 이식성이 높아 IP 카메라 등 IoT 기기에 사용됨


□ 내용
gSOAP 라이브러리 내 soap_get() 함수에서 정수 오버플로우가 발생하여 임의 코드 실행을 가능하게 하는 취약점 (CVE-2017-9765)


제품(서비스)을 지원하기 위해 gSOAP에 의존하는 소프트웨어 또는 장치 제조업체는 Devil 's Ivy의 영향을 받을 수 있어, 악용(exploited) 될 수있는 범위는 현재로서는 결정할 수 없습니다.

 o 수백만 번 다운로드 된 타사 툴킷의 개발로 수천 개의 장치로 확산되어 완전히 제거하기 어렵다.
 o 오픈 소스 써드 파티 툴킷 인 gSOAP (Simple Object Access Protocol)의 통신 레이어 깊숙히 자리 잡고 있습니다.
 o 따라서 Devil 's Ivy는 소프트웨어 제품과 연결된 장치의 수천만 개가 어느 정도 영향을받을 가능성이 큽니다.

이 취약점을 악용(exploited)하면 공격자가 비디오 피드에 원격으로 액세스하거나 피드에 대한 소유자 액세스를 거부 할 수 있습니다.

Axis M3004 보안 카메라에서 Devil 's Ivy 데모 영상
   (http://blog.senr.io/devilsivy.html)


□ 영향을 받는 버전
  Genivia gSOAP 2.8.48 미만 버전


□ 해결 방안
  취약한 버전을 사용 중인 개발 담당자는 서비스 거부 공격, 악성코드 감염 등의 위험이 있으므로 취약점에 영향을 받지 않는 버전으로 업데이트 수행

    - Axis는 패치 된 펌웨어를 발표하고 파트너 및 고객에게 업그레이드를 권고하고 있습니다

   - Genivia gSOAP 2.8.48 이상 버전 [2]
 
  ※ 최신 버전은 Genivia gSOAP 2.8.50 버전
   o  https://www.genivia.com/downloads.html
   o  https://www.genivia.com/advisory.html#Security_advisory:_CVE-2017-9765_bug_in_certain_versions_of_gSOAP_2.7_up_to_2.8.47_%28June_21,_2017%29

  
권고사항

1) 물리적 보안 장치(보안 카메라, CCTV, 웹캠 등)를 공용 인터넷에 두지 마십시오.
  . 2017년 7월 1일 현재 쇼단 (Shodan)을 검색 한 결과 14,700 개가 넘는 Axis 돔 카메라가 전 세계 누구에게나 공개적으로 액세스 할 수 있다고합니다.
  . Devil 's Ivy에 취약한 모든 카메라는 잠재적으로 악용 될 수 있습니다.
  . 보안 카메라와 같은 장치는 사설 네트워크에 연결해야 악용 하기가 훨씬 어려워집니다.

2) 가능한 한 IoT 장치를 보호 하십시오.
 . IoT 장치 앞에 NAT (Network Address Translation), 방화벽이나 기타 방어 메커니즘을 배치하거나 사용할 수있는 경우 노출을 줄이고 위협 요소를 탐지 할 가능성을 높일 수 있습니다.

3) IoT 장치 패치
 . Windows 10 처럼 기본 OS가 익숙한 경우 라하더라도 IoT 장치 패치는 항상 가능하지는 않습니다.
 . 제조업체가 패치를 릴리스 할 때 가능한 한 빨리 장치를 업데이트하십시오.
 . 패치가 어려운 경우 취약한 장치와 외부 인터넷 사이에 다른 보안 계층을 배치하십시오.


□ 기타 문의사항
o 뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


□ 결론

☞ 뉴딜코리아 조사에 따르면 보안 카메라의 취약점을 연구하는 동안 Devil 's Ivy가 발견되었지만,  광범위한 IoT 장치에도 비슷한 문제가 있다는 것을 확인하였습니다.

네트워크에 내장 된 임베디드 장치 (IOT)가 널리 보급되면 공격에 대항하는 탄력성을 확보하는 것이 중요합니다.
뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)

2017년 7월 23일 일요일

다른 사업자와 영업을 합병하게 되어서 고객을 대상으로 통지를 하려고 ~

 뉴딜코리아 홈페이지 

Q > 다른 사업자와 영업을 합병하게 되어서 고객을 대상으로 통지를 하려고 하는데, 우리 회사 및 합병 회사가 모두 다 통지를 해야 하는가?


A > 영업 양도, 합병 등으로 개인정보를 이전하는 경우에는 원칙적으로는 개인정보를 이전하는 자 및 이전받는 자 모두가 “개인정보 이전 사실, 이전받는 자의 성명(명칭)·주소·전화번호 등 연락처, 이용자가 개인정보 이전을 원하지 않는 경우 동의철회 방법·절차”를 이용자에게 알려야 한다.

다만, 경제현실상 양도자와 양수자 모두가 이를 통지하게 되면 비용상의 부담 및 정보주체의 혼란을 야기할 우려도 있으므로, 「개인정보 보호법」은 개인정보를 이전하는 자(사업자)가 관련 사실을 알린 경우에는 이전받는 자(영업양수자 등)는 알리지 않아도 되도록 규정하고 있다.


▶ 추가내용 : 영업양도 등에 따른 개인정보의 이전 제한




영업양도 등에 따른 개인정보의 이전 제한 정리 (개인정보보호법)

▣ 영업양도 등에 따른 개인정보의 이전 제한


□ 영업양도, 합병 등으로 영업자산을 다른 사업자에게 이전할 때에는 기존 사업자가 가지고 있던 개인정보DB 등에 관한 권리·의무도 포괄적으로 다른 사업자에게 승계된다.

그 결과 정보주체에게 원치 않는 결과가 초래될 수 있으므로 영업양도, 합병 등으로 인한 개인정보의 이전 시에는 정보주체가 회원탈퇴, 동의철회 등의 권리를 행사할 수 있는 기회를 미리 부여하여야 한다.

이 때의 영업양도,합병 등은 민간사업자를 대상으로 한다.


○ 법률 : 개인정보 보호법 [시행 2017.3.30.]
           제27조(영업양도 등에 따른 개인정보의 이전 제한)

○ 시행령 : 개인정보 보호법 시행령 [시행 2017.6.27.]
               제29조(영업양도 등에 따른 개인정보 이전의 통지)


1. 영업양도․양수자 등의 통지의무(제1항, 제2항)

2. 영업양도․양수 등의 통지방법(제1항, 제2항, 영 제29조)

3. 영업양도․양수 등의 통지시기(제1항, 제2항)

4. 개인정보의 목적외 이용․제공금지(제3항)

5. 회사의 분할 및 분할합병에의 적용 여부

6. 다른 법률과의 관계
  - 정보통신망 이용촉진 및 정보보호 등에 관한 법률
  - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
  - 신용정보의 이용 및 보호에 관한 법률

7. 벌칙규정
   - 영업양도 등에 따른 개인정보 이전사실 미통지 (제27조제1항 및 제2항 위반)
     . 1천만원 이하의 과태료 (제75조제3항제6호)

   - 이전 당시의 본래 목적외로 개인정보를 이용하거나 제3자에게 제공 (제27조제3항 위반)
     . 5년이하의 징역 또는 5천만원 이하의 벌금(제71조제2호)


▶ 추가상세 내용 : 영업양도 등에 따른 개인정보의 이전 제한(뉴딜코리아)

 뉴딜코리아 개인정보보호법 설명



2017년 7월 20일 목요일

빅데이터 분석 컨텐츠 E-Book

 뉴딜코리아 홈페이지
 
빅데이터 분석 이란 무엇인가?

기초에서 사례까지 담은 빅데이터 분석 컨텐츠 북!




본 컨텐츠 E-Book에서는 빅데이터 분석 이란 무엇이며, 어떻게 가치를 만들어 내고 있는지에 대한 답을 찾을 수 있다.

또한 빅데이터 분석 기법으로는 무엇이 있는지 살펴 볼 수 있으며, 부록으로 실제 빅데이터 분석사례로 본 창의적 가설에 대해서도 알아 볼수 있다.

빅데이터를 통해 가치를 창출해내기 위한 명확한 트렌드는 없지만, 모든 기업들은 스스로를 평가하여 최대의 가치를 이끌어내는 것에 초점을 맞춰야만 한다.
.......

□ 빅데이터분석
1. 비즈니스 가치를 만드는 7가지 빅데이터 기법
2. 어떻게, 어디서, 그리고 왜 빅데이터 분석 가치를 만들어내고 있는가
3. 데이터 시각화 대시보드 만드는 Step 5

[부록] 빅데이터 분석 특집
1. 여자는 30대 초반, 50대 후반 평생 2번, 피부 주름 위기를 맞는다
2. 데이터 요약하는 것과 분석하는 것은 다르다
3. 데이터에서 꿈을 찾는 데이터 아티스트가 되라


빅데이터 분석 컨텐츠 E-Book 




2017년 7월 18일 화요일

이메일주소 사칭한 스팸 메일 차단기술

 뉴딜코리아 홈페이지 

이메일주소 사칭한 스팸 메일 차단기술



▶ 이메일 발신서버 진위여부 확인 국제표준 기술 적용으로 스팸 감소 기대

이메일 스팸 감축 및 정책 자료 수집을 위해 지난 6월(2017년) 약 108만개 국가도메인(.kr 및 .한국) 중 도메인네임서버(DNS)에 메일서버를 운영하는 약 46만개 도메인을 대상으로 이메일 발신서버 진위여부 확인 국제표준 기술인 SPF(Sender Policy Framework)의 적용여부를 조사한 결과, 약 30만개에 해당하는 66%가 SPF를 적용중이라고 밝혔다.
 
IETF 국제표준 : RFC 7208(Sender Policy Framework(SPF) for Authorizing Use of Domains in Email)

  SPF는 발신 메일서버의 IP주소를 도메인네임서버(DNS)에 등록하여 정당한 메일서버임을 확인, 수신 메일에서 확인된 발신 메일서버의 IP주소와 일치하는 경우 정상 처리하고, 일치하지 않을 경우 차단하는 대표적인 이메일 스팸 차단 기술이다.

이런 이유로 KISA는 수신측 메일서버 뿐만 아니라 발신측 도메인네임서버(DNS)에 모두 SPF를 적용해야 이메일 주소를 사칭한 스팸메일을 자동 차단할 수 있다고 설명한다.

최근 유명 소셜마케팅사업자의 이메일 주소 사칭으로 성인스팸이 발송된 사례도 수신측 메일서버에 SPF 검증 및 차단 기능이 설정되지 않아 다수의 수신자에 정상 메일인 것처럼 전달된 것으로 확인됐다.

  KISA는 이런 이메일 주소 사칭 스팸을 차단하기 위해 이메일 서비스를 제공하는 국내 주요 포털사업자 및 스팸메일 차단솔루션 사업자, 이메일 호스팅 사업자 등에게 SPF 적용 여부를 확인하여 차단하거나 스팸메일함에 보내는 기능을 기본 적용할 수 있도록 안내할 예정이다.

- 또한, 국내 주요 도메인 등록대행 사업자에게 도메인 등록 시 SPF를 기본 적용할 수 있도록 요청하고, 국내 도메인 뿐만 아니라 국내에서 사용하는 국제 도메인(.com, .net 등)에 대해서도 SPF 적용률을 조사하는 등 SPF 적용 확대 정책을 추진할 예정이다.

  스팸메일이 악성코드 감염, 개인정보 유출 및 금전 피해를 유발할 수 있는 만큼 수·발신측 메일서버 양측에서 모두 SPF를 적용하여 이메일 주소를 사칭한 스팸메일을 자동차단하는 것이 필요(.. 뉴딜코리아 컨설팅사업부..)

SPF에 대한 자세한 내용과 적용 방법은 불법스팸대응센터 홈페이지(https://spam.kisa.or.kr/white/sub1_2.do)에서 확인할 수 있다.

뉴딜코리아 솔루션사업부 (070-7867-3721, ismsbok@gmail.com)


2017년 7월 17일 월요일

개인정보 보호법에서의 동의, 고지, 통지, 공개의 차이

 뉴딜코리아 홈페이지 




 개인정보 보호법 및 하위법령, 고시 등에서는 각각의 개인정보 처리요건에 대해 동의, 고지, 통지, 공개 등의 용어가 사용되고 있어 이의 명확한 의미 및 규정예시를 정리함


▶ 동의

o 정보주체가 개인정보의 처리에 대해 허락・승낙하겠다는 의사표시(명시적 의사표시를 의미함)

※ (규정예시) 개인정보 수집・이용(제15조), 제3자 제공(제17조), 목적외이용 또는 제3자 제공(제18조), 민감정보 또는 고유식별정보 처리(제23조 또는 제24조) 등


▶ 고지

o 개인정보 처리에 대한 동의를 받는 경우, 처리목적 등에 관한 사항을 동의서 등에 명시하거나 구두로 정보주체에게 알려주는 행위

※ (규정예시) 개인정보 수집・이용(제15조), 제3자 제공(제17조), 목적외이용 또는 제3자 제공(제18조), 민감정보 또는 고유식별정보 처리(제23조 또는 제24조) 등


통지

o 개인정보 보호법이 정하는 일정 사항을 정보주체 개개인에게 도달되도록 알리는 행위 (서면, e-mail, 팩스, 전화, 문자전송 등)

※ 개인정보보호법에서는 “정보주체에게 알려야 한다”는 표현도 사용하고 있음

※ (규정예시) 홍보・판매권유 위탁 통지(제26조제3항), 영업양도 통지(제27조제1항), 개인정보 유출통지(제34조), 정정・삭제 및 처리정지 결과 통지(제36조, 제37조) 등

※ 수집출처 고지의무(제20조)는 ‘고지’라는 표현을 사용하고 있으나 해석상 ‘통지’에 보다 가까움


공개

o 개인정보 보호법이 정하는 일정 사항을 정보주체 누구나 용이하게 열람・확인 가능한 상태로 두는 것

※ (규정예시) 처리위탁 공개(제26조제2항), 개인정보 처리방침 공개(제30조), 영상정보처리기기 운영관리방침 공개(시행령 제25조), 개인정보 보호책임자 공개(표준지침 제23조), 개인정보파일 공개(제32조) 등


뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)
 

2017년 7월 16일 일요일

개인정보 수집 동의서 개정 예고(2017년 7월 13일)

 뉴딜코리아 홈페이지 
개인정보 수집 동의서

개인정보 보호법 시행령 및 시행규칙 개정 예정 (2017년 7월 13일)


□ 이젠 개인정보 수집 동의서 읽기가 한결 쉬워진다

- 자신의 개인정보 열람 및 삭제 요청 절차도 간편하게 개선 -


☏ 개인정보보호 컨설팅 전문기업 뉴딜코리아는

   " 이번 제도 개선을 통해 국민의 개인정보 수집 동의권이 보다 강화되고, 스팸 전화·메일 등으로 인한 국민 불편이 줄어들 것으로 기대된다.”라며,

   " 앞으로 정보주체의 의사를 명확히 확인하고, 개인정보 처리를 투명하게 하는 등 보다 성숙한 개인정보 보호문화가 정착되기를 바란다.”라고 말했다.







2017년 7월 4일 화요일

꼭 지켜야 할 정보보호 실천수칙 10가지 (한국인터넷진흥원)

출처 : 뉴딜코리아 홈페이지



꼭 지켜야 할 정보보호 실천수칙 10가지














▶ 정품 프로그램 사용하기
정품 OS는 해당 OS에 대한 보안 업데이트를 꾸준히 지원해줘요.
때문에 정품이 아닌 OS로 임의로 변경하게 되면 보안 위험에 빠지기 쉬워요.


 공유폴더 사용 최소화하고 사용시 비밀번호 설정
중요한 정보의 경우 USB 같은 외장하드에 저장하는 것이 안전해요.
공유폴더를 사용해야 할 때는 영어 알파벳, 숫자, 특수문자 등 3가지 종류 이상을 합하여 안전한 비밀번호를 만들어 사용해요.


 공인인증서는 별도의 저장매체에 보관
공인인증서는 '나'를 인증할 수 있는 중요한 문서예요.
그만큼 더욱 더 보안이 안전한 저장매체(보안토큰, USIM, 금융IC카드 등)에 보관해야 해요.


 의심스러운 메시지는 바로 삭제하기
문자를 통해 악성코드를 전송하는 스미싱의 피해가 꾸준히 증가하고 있어요.
모르는 사람에게서 온 이벤트 당첨문자, 택배 미수령 문자 등은 링크를 누르지 말고 바로 삭제해야 해요.


 백신프로그램 설치하고 바이러스 검사하기
백신프로그램은 우리 PC와 스마트폰 속 악성코드 및 프로그램을 검사하고 찾아서 없애주는 고마운 프로그램이예요. 정기적으로 검사를 실시한다면 더 안전한 PC/스마트폰이 될거예요.


 비밀번호 설정하고 주기적으로 변경하기
비밀번호는 주기적으로 바꿔주는 것이 좋아요.
이때, 비밀번호에 이름, 생일, 전화번호 등을 사용하지 않도록 주의해요.


 신뢰할 수 없는 웹사이트는 방문하지 않기
의심스러운 웹사이트에서 로그인/회원가입을 하게 될 경우 입력한 개인정보가 바로 유출될 수 있어요.
유명 웹사이트를 똑같이 만들어 로그인하게 만드는 피싱 사이트도 조심해야 해요.


 운영체제 및 소프트웨어는 자동 업데이트 설정
옛날 버전의 윈도우는 최신 바이러스에 취약해요.
자동 보안 업데이트를 설정해두면 늘 최신 버전의 윈도우를 유지할 수 있어요.


 공식마켓에서 앱 다운로드 하기
공식마켓을 통해 인증 받지 않은 앱은 보안위험에 노출되어 있을 가능성이 커요.
인증 받은 앱만 사용하기로 해요.

 모르는 사람이 보낸 이메일, 파일은 열어보지 않기
클릭하게 되면 자동으로 결제가 되는 피싱 사기일 수 있어요.
의심스럽다면 바로 삭제하기로 해요.


출처 : 한국인터넷진흥원




2017년 7월 3일 월요일

페트야(Petya) 랜섬웨어 분석 백서 & 예방법

 뉴딜코리아 홈페이지 

페트야(Petya) 랜섬웨어 분석 백서 & 예방 백신 생성

페트야 변종 랜섬웨어 전 세계 확산, 감염 피해 확산에 따른 주의 권고




1.  최근 해외 기관, 기업 등에서 동시다발적인 랜섬웨어 감염 피해가 발생하여 주의 필요
 
■  우크라이나, 프랑스, 러시아, 미국 등 세계 여러 나라에서 공공기관, 기업, 금융기관이 해당 랜섬웨어 공격을 받아 시스템 장애 등 피해가 속출

  o 우크라이나의 보르시프리 국제공항, 중앙 은행 등이 페트야 변종 랜섬웨어의 공격
  o 체르노빌 원자력 발전소 운행 시스템까지 공격 대상
  o 이외에도 러시아 석유 회사 로즈네프트, 미국 피츠버그에 위치한 제약 회사 등 피해 사례가 확인

■ 공격자는 컴퓨터의 파일을 암호화 한 뒤 해독키를 제공하는 대가로 금전을 요구


2. 특징

▶ 워너크라이 랜섬웨어와 같이 SMB 취약점을 이용 :  SMB v1 취약점을 타겟, Chimera, Rokku와 유사

※ 컴퓨터의 부팅관련 파일 및 이용자 파일을 암호화하여 장애를 유발
- Petya는 파일을 암호화하지 않음, NTFS 마스터 파일 테이블 (MFT)을 암호화
- 페트야 랜섬웨어에 감염되면 PC를 부팅하는 것조차 불가능

부팅을 시도하면 정상 윈도우 로고 대신 랜섬웨어 감염 사실과 300달러 상당의 비트코인을 요구하는 ‘랜섬노트’가 뜬다.

빠른 전염성
- 전염병처럼 퍼지는 네트워크 웜의 특성을 지님
- PC 1대가 감염되면 인터넷에 연결돼 있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도 암호화 과정에 결함을 이용, 역 설계하여 백신을 개발(암호 해독 키가 제공)


3. 페트야(Petya) 랜섬웨어 대응방안

 뉴딜코리아 랜섬웨어 대응센터는 피해를 예방하기 위해 윈도우와 백신의 최신 버전 업데이트를 진행 해야..  (마이크로소프트의 보안 패치 MS17-010)

 TCP 포트 445 사용을 차단하고 관리자 그룹 액세스 권한 계정의 사용을 제한
 중요 자료는 네트워크에서 분리된 저장장치에 별도저장하여 관리
 윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용
 불필요한 공유폴더 연결 설정 해제

 신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사진행(시스템 정밀검사 및 실시간 감시 기능 켜기)
    - V3 제품군 : Trojan/win32.Petya
    - 알약 : Trojan.Ransom.Petya

 출처가 불분명한 메일 또는 링크의 실행 주의
 파일 공유 사이트 등에서의 파일 다운로드 및 실행 주의
이상징후 포착, 침해사고 발생 시 한국인터넷진흥원 인터넷침해대응센터로 즉시 신고 등


페트야_랜섬웨어_분석백서(Petya Ransomware Goes Low Level) _ 첨부파일

페트야 랜섬웨어 예방법 (백신 생성, Petya Ransomware Vaccine) _ 링크
   (http://cafe.naver.com/rapid7/2921)


 해커에게 복종하지 마십시오.
   (몸값을 지불하고도 파일을 해독 할 수 있다고 보장 할 수 없습니다.)




VLAN( Virtual LAN, 가상랜 )

 뉴딜코리아 홈페이지

가상랜 (Virtual LAN)



1. VLAN 용어
 
ㅇ VLAN 장비              ☞ L2 스위치
     - 브로드캐스트 도메인을 분할할 수 있는 장비

  ㅇ 브로드캐스트 도메인
     - 브로드캐스트성 프레임이 영향 주는 영역

  ㅇ 이더넷프레임의 VLAN 태깅방식  ☞ 802.1Q, ISL

  ㅇ 스위치 간 연결 링크    ☞ VLAN 트렁크
     - 여러 VLAN을 함께 실어나르는 점대점 링크

  ㅇ VLAN 간 통신 연결      ☞ 라우터(또는, 3계층 스위치)
     - VLAN 간의(Inter-VLAN) 트래픽은 라우터에 의해 전달 가능
        . 하나의 VLAN 내에 있는 모든 단말들을 같은 IP 서브넷을 공유

  ㅇ 스위치의 VLAN 설정관리 ☞ GVRP, VTP
     - 스위치 간에 VLAN 정보를 주고받는 프로토콜

  ㅇ Native VLAN 
     - 802.1Q 기능이 없는 장비를 위해 사용 (하위 호환성 지원)
        . 명시적으로 어떤 태그도 하지않는 VLAN을 말함
           .. VLAN 트렁크를 인식 못하는 스위치를 위함
     - 처리 방식 : 태그가 없는 프레임으로 전달되어 처리됨
     - 디폴트 값 : VLAN 1 <= (네이티브 VLAN ID)

  ㅇ 서브 인터페이스 (Sub Interface)
     - 하나의 물리 인터페이스를 여러 논리 인터페이스로 구분함으로써,
       그 각각을 다른 네트워크(즉, 다른 VLAN)로 나누어 사용하려는 것
     - 한편, 프레임 릴레이에서도 논리 인터페이스로써 서브 인터페이스를 구분 사용 가능


2. VLAN

  ㅇ 2계층(데이터링크 계층) 상에서 논리적이고 유연한 망(網)을 구성할 수 있는 가상 LAN
     - 물리적인 배선 구성에 제한을 받지 않음
        . 네트워크내 구성 단말의 추가,삭제,변경 용이
        . 물리적으로 떨어져있는 노드들을 그룹 단위로 묶을 수 있음
     - 라우터 없이 스위치에서도 브로드캐스트 도메인을 분할할 수 있는 방법
        . 단, VLAN 간에 통신을 하려면 라우터가 필요함


3. VLAN 특징

  ㅇ 더 작은 LAN으로 세분화시켜 과부하 감소 가능
     - 효율적으로 대역폭 활용, Load Balancing 효과, 브로드캐스트 제어
     - 여러 다양한 트래픽을 용도에 따라 나눌 수 있음

  ㅇ 보안성 및 안정성 강화
     - 임의 세그먼트로의 접속을 제한할 수 있음
     - 문제 발생요소의 확산을 방지하고 고립시킴

  ㅇ 네트워크 구성변경에 유연함
     - 하나의 물리적 세그먼트를 다수의 논리적 세그먼트로 분리 운용 가능
        . 즉, 특정 노드의 다른 세그먼트로의 이동 시 물리적 변경 대신에 소프트웨어적으
          로 간단히 재배치 가능
        . 부서별, 용도별, 그룹별로 VLAN을 각각 구분 가능
     - VLAN은 LAN을 크게 확장시킴
        . 마치 여러 개의 LAN으로 보이도록 분할시키는 유연성을 줌
     - 여러 개의 LAN 스위치 장비에 걸쳐 VLAN 구현
        . 스위치로 구성된 네트워크에서 사용하는 주요 기술



4. VLAN 구분

  ㅇ 멤버쉽(Membership) 구분 방식
     - 물리적인 포트에 의한(Port-based) VLAN
        . 1계층 물리계층에서 포트 단위로 단말의 멤버쉽 구분 관리
     - MAC 주소에 의한 VLAN
        . 2계층 데이타링크계층의 MAC 주소에 의해 단말의 멤버쉽 구분 관리
     - IP 주소에 의한 VLAN
        . 3계층 망계층의 IP 주소에 의해 단말의 멤버쉽 구분 관리
           .. 하나의 스위치 상에서도 여러 논리적 IP 서브 네트워크 구분 가능
     - 프로토콜에 의한 VLAN (Protocol based VLAN)
        . 1~3계층 모두 사용. 프로토콜 종류 뿐만 아니라, MAC 주소나 포트번호 모두 사용

  ㅇ 브로드캐스트 도메인 구분 방식
     - 각 VLAN은 통상적으로 Broadcast Domain 별로 설정됨
        .  하나의 VLAN = 하나의 논리적인 브로드캐스트 도메인 = 하나의 논리적 네트워크
                       = IP 서브넷(Subnet) = 하나의 VLAN ID

  ㅇ 스위치 포트 구분
     - 엑세스 포트(Accsee Port) : 일반 단말이 사용하는 포트
     - 트렁크 포트(Trunk Port)  : VLAN 트렁크를 위한 포트
        . 802.1Q 트렁크 포트
        . ISL 트렁크 포트

  ㅇ VLAN 할당 방식
     - 정적 VLAN
        . VLAN 할당을 관리자가 각 스위치에서 직접 할당
           .. 스위치 각 포트들을 원하는 VLAN으로 직접 설정하게됨
     - 동적 VLAN
        . VLAN 할당이 동적으로 자동화 이루어짐
           . 이동장비 MAC 주소 등을 보고 관리서버로부터 VLAN이 할당되어 자동으로 설정됨


5. VLAN 트렁크


ㅇ 하나의 물리적 연결로써 스위치 간 프레임 전달을 공유


[별첨]


1). Broadcast Domain
  ㅇ LAN 상에서 어떤 단말이 브로드캐스트 패킷을 송출할 때,  이 패킷에 대해
     `네트워크에서 영향 받는 영역` 또는 `그 패킷을 수신할 수 있는 단말들의 집합`
  ※ [참고] ☞ 충돌 도메인

2). 브로드캐스트 도메인 분할 단위
  ㅇ 하나의 VLAN = 하나의 논리적인 브로드캐스트 도메인
     - 여러 물리적인 세그먼트에 걸쳐 설정될 수 있음

3). 브로드캐스트 도메인을 분할 할 수 있는 장비

  ㅇ VLAN 구현 장비
     - 각각 독립적인 브로드캐스트 도메인들을 여러 개 세분화하거나 합칠 수 있지만,
     - 브로드캐스트 도메인 간 연결성을 줄 수 없음
  ㅇ 라우터 (또는, Layer 3 스위치)
     - 브로드캐스트 도메인의 세분화 및 상호간 연결성을 줄 수 있음

  ※ 결국, VLAN 구현 스위치 및 라우터의 적절한 배치로써,
     - 적정 규모의 데이터 네트워크 설계 구축 가능

4). 브로드캐스트 도메인의 적정한 제한 설정 필요
  ㅇ 브로드캐스트는 부작용(브로드캐스트 스톰, 망 대역폭 낭비, 보안성 약화 등)을 최소화
     하기 위해 적절히 제한되어야 함
     - 즉, VLAN의 적절한 설정이 중요함
        . 대략 전체 트래픽에서 브로드캐스트 트래픽이 10% 정도로,
        . 브로드캐스트 도메인 크기를 가지도록 데이터 네트워크 설계 필요