소프트웨어 개발보안 가이드(전자정부 SW 개발/운영자를 위한)

소프트웨어 개발보안 가이드

(전자정부 SW 개발/운영자를 위한)

○ SW 개발보안은 해킹 등 사이버공격의 원인인 보안약점을 SW 개발단계에서 사전에 제거하고 SW 개발생명주기의 각 단계별로 수행하는 일련의 보안활동을 통하여 안전한 SW를 개발/운영하기 위한 목적으로 적용하는 개발체계이다.

○ SW 개발과정 중 소스코드 구현단계에서 보안약점을 배제하기 위한 '시큐어코딩'을 중심으로 발주자, 사업자, 감리법인 등 다양한 참여 주체가 기획 검토 단계부터 개발, 검사/종료에 이르는 다양한 단계에서의 수행해야 할 활동을 포괄적으로 정의한다.


▶ SW 개발보안 적용 대상 및 범위

▶ 첨부파일 : 용량문제로 알집 분할 파일 입니다

   - 소프트웨어 개발보안 가이드(전자정부 SW 개발/운영자를 위한) 3_1

    - 소프트웨어 개발보안 가이드(전자정부 SW 개발/운영자를 위한) 3_2

    - 소프트웨어 개발보안 가이드(전자정부 SW 개발/운영자를 위한) 3_3​
​

Windows Server 2012의 VPN 서버 설정

 뉴딜코리아 홈페이지 

Windows Server 2012의 VPN 서버 설정

네트워크를 통해 중요한 데이터를 전송할 경우 VPN 보안을 적절하게 설정해야합니다.

▶ Open Server Manager > Add roles and features > Next > Choose (default) role based or feature based > Next
 o Select the server you would like to install VPN services to > Next
 o Select Remote Access Role > Add features > Next > Next > Next
 o Choose (Default) DirectAccess and VPN (RAS) > Next > Next > Next > Install > Close

▶ In Server Manager select Remote Access > Select more on the right of the configuration notice or select from you pending tasks
 o Select open getting started wizard if you choose the first method.
 o Select Deploy VPN Only

 o Once the Routing and Remote Access MMC is up right click the Server and choose "Configure and Enable Routing and Remote Access". > Next
   - Select Custom > Next > VPN Access > Finish > OK > Start Service

 o right click server and choose properties
   - Select IPV4 tab to configure IP Pool or leave it Dynamic

▶ From Computer management or Active directory you will need to create a group or modify each user you would like to have access to the VPN
 o right click user > properties > dial-in tab > allow access > apply > ok


▶ 참고 자료 :

o YouTube 동영상
https://www.youtube.com/watch?v=9qbpxKRb-94

https://www.thomasmaurer.ch/2012/07/how-to-install-vpn-on-windows-server-2012/

http://www.dsun.kr/1

뉴딜코리아 솔루션사업부(070-7867-3721, ismsbok@gmail.com)

 

블록체인 기술과 보안 고려사항

 뉴딜코리아 홈페이지

블록체인 기술과 보안 고려사항

1. 개요

▷ EU 산하 정보보호기구인 ENISA*는 최근 발표한 보고서1)를 통해 금융권에서 블록체인 시스템 도입 시 고려해야할 보안 이슈(Cybersecurity challenges)와 보안 강화방안을 제시

* ENISA(European Union Agency For Network and Information Security)
- EU 국가 및 기업과 함께 정보보안 관련 정보 수집/분석 및 컨설팅 등의 역할을 수행하며, 네트워크 및 정보 보안 강화를 위한 보고서 및 권고안 등을 발표

▷ 본 보고서에서는 ENISA 보고서의 내용을 중심으로 금융권에서 안전한 블록체인 시스템 도입을 위해 참고 가능한 보안 위협과 이에 대한 대응방안을 제시

2. 금융권 블록체인 도입 시 보안위협
 o 키 도난 및 분실
 o 취약한 키 생성
 o 합의 가로채기
 o 사이드 체인 내 비정상
 o 거래 발생
 o 개인정보 침해
 o 권한 오남용
 o 블록체인 S/W 취약점
 o 스마트 컨트랙트 취약점
 o 분산 서비스 거부 공격
 o 가용성 저하
 o 비정상거래 탐지 불가
 o 상호운용성 미제공


3. 보안 대응방안

▷ 금융권에서 블록체인 도입 시 고려가 필요한 보안위협에 대한 대응방안을 제시
(1) 키 관리
(2) 거래 검증 및 합의
(3) 참여자 권한관리
(4) 블록체인 S/W 보안
(5) 서비스 보안


4. 향후 과제

▷ (추가 보안 고려사항 검토) 블록체인 서비스 개발 및 보안기능 추가에 따라 발생 가능한 보안위협 등 고려사항을 지속적으로 검토

▷ (최신 연구동향 검토) 블록체인의 보안위협에 대한 대응방안 등 관련 보안기술에 대한 신규 개발 및 개선이 계속될 것으로 예상되므로 최신 보안기술 연구동향을 지속 검토할 필요

▷ (평가기준 마련) 제시한 보안 위협 및 대응방안을 기반으로 금융권 블록체인 시스템에 대한 평가항목을 도출하고 제공될 서비스의 중요성 등을 고려하여 세부 평가기준을 개발


■ 상세 내용은 첨부파일을 참고 하세요 ...(출처 : 금융보안원)

뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)

EU 개인정보보호법제의 최근 입법과 시사점

 뉴딜코리아 홈페이지 

EU 개인정보보호법제의 최근 입법과 시사점

A Study on Recent Legislations related with Personal
Information Protection in EU and Its Implications

차상육(경북대학교 법학전문대학원 교수)

최근의 EU의 주요 동향 중 주시할 것은 바로 2016. 5. 24. EU의 일반개인정보보호규정(GDPR)이 제정되었고, 2018. 5. 25. 시행될 예정이다.

EU에서는 2014년 3월 일반개인정보보호규정안(案)이 이미 유럽의회 본회의에서 가결된 바 있었으나, 우여곡절을 거쳐 다시 2016. 4. 14. 위와 같은 현재의 단일한 ‘일반개인정보보호규정’(GDPR)이 EU의회를 통과하였다.

 또 2013. 6. 미국의 스노든 사건과 이에 영향을 받은 2015. 10. 유럽사법재판소의 세이프하버협정 무효판결, 그리고 이 세이프하버협정에 갈음하여 2016. 7. 12. 유럽위원회에서 채택된 EU와 미국의 ‘개인정보보호 쉴드’(EU-US Privacy Shield) 협정은 2016. 8. 1.부터 시행되고 있다.

이처럼 EU는 미국과 대비해서 개인정보보호 수준이나 그 정책적 철학과 가치가 서로 다름에도 불구하고, 양 대륙간 상호운용성을 부여하는 글로벌 프레임워크의 재설정 과제를 적극적으로 실천하기 위해서 세이프하버협정의 무효판결에 갈음하여 2016년 ‘개인정보보호 쉴드’(EU-US Privacy Shield) 협정을 전격적으로 체결한 것으로 보인다.

우리나라의 경우 종래 국제적으로 개인정보보호법의 보호 수준이 상대적으로 엄격 하다고 평가받고 있음에도 불구하고, 정부는 보다 강화된 새로운 2016년 6월 30일 통합 가이드라인을 제정하여 시행하고 있다.

EU의 개인정보보호법제의 최근 동향과 국제적 조화를 도모하는 방향으로 보다 진일보한 자세를 취하고 있다고 보여 진다.

다만 향후 새로운 2016년 통합 가이드라인에서 미처 예상하지 못한 문제점의 발생과 실제 운용과정에서의 제기되는 미비점은 적절하게 보완되어야 할 것이므로, 향후 그 추이를 면밀히 지켜보아야 하는 과제는 남아 있다.

- 목차 -

Ⅰ. 들어가기

Ⅱ. EU의 개인정보보호법제의 연혁적 개관

Ⅲ. 세이프-하버’(safe-harbor) 협정에 대한 유럽사법재판소(CJEU)의 무효판결
1. ‘세이프-하버’(safe-harbor) 협정 무효판결의 개요
2. ‘세이프-하버’(safe-harbor) 협정 무효판결의 내용과 분석

Ⅳ. 2016년 5월 EU의 ‘일반개인정보보호규정’(GDPR)의 제정
1. 제정경위
2. EU의 2016년 ‘일반개인정보보호규정’(GDPR)의 주요 내용
3. ‘일반 개인정보보호규정’(GDPR)의 제정 의미와 특징

Ⅴ. 2016년 7월 EU와 미국 사이의 ‘프라이버시 쉴드’(EU-US Privacy Shield) 협정 체결
1.2016 ‘프라이버시 쉴드’(EU-US Privacy Shield) 협정의 개요
2. 2016 ‘프라이버시 쉴드’(EU-US Privacy Shield) 협정의 평가

Ⅵ. EU 개인정보보호법제의 최근 동향의 비교법적 시사점
1. EU 개인정보보호법제의 새로운 동향의 비교법적 의미
2. 우리 정부의 2016.6.30.자 통합 ‘개인정보 비식별 조치 가이드라인’제정
3. 2016년 통합 ‘개인정보 비식별 조치 가이드라인’의 비교법적 평가

Ⅶ. 나가기


☞ 상세내용은 첨부파일을 참고 바랍니다.

뉴딜코리아 컨설팅사업부(070-7867-3721, ismsbok@gmail.com

 뉴딜코리아 홈페이지

개인정보의 안전한 관리 e프라이버시 클린서비스

2017년 8월 8일부터 주민등록번호와 아이핀 뿐만 아니라
이통3사의 휴대폰 본인확인 내역 통합조회가 가능해집니다.

더욱 새로워진 e프라이버시 클린서비스와 함께 소중한 개인정보를 안전하게 관리하시기 바랍니다.

☞ 참고자료 보기 : e프라이버시 클린서비스 : 불필요하게 가입한 웹사이트 한꺼번에 탈퇴 처리

▶ e프라이버시 클린서비스 : https://www.eprivacy.go.kr/mainList.do

교육정보 (핀테크 x 블록체인, IoT 개발 보안, 침해사고 유형별 탐지기법)

교육정보 (핀테크 x 블록체인, IoT 개발 보안,  침해사고 유형별 탐지기법) 

​

▶ 침해사고 유형별 탐지기법 및 공개용 보안 도구 활용(충남대학교)
- 교육장소 : 충남대학교 공대5호관 415호
- 교육일시 : 2017.08.29(화), 09:00~18:00
- 교육대상 : 중소기업 재직자 및 재학생 등 (선착순 40명)
- 비      용 : 무료
- 신청기간 : 2017.08.08 ~ 2017.08.25

● 참가신청 및 상세 내용 :
   https://lnkd.in/fHTnmqe


▶ IoT(Internet of Thing) 소프트웨어 개발 보안(강원대학교)
o 교육장소 : 강원대학교(춘천캠퍼스), 한빛관
o 교육일시 : 2017.9.26.(화), 09:00~18:00
o 교육대상 : 중소기업 재직자 및 재학생 등 (선착순 40명)
o 비    용 : 무료
o 신청기간 : 2017.09.04 ~ 2017.09.22

● 참가신청 및 상세 내용 :
   https://lnkd.in/f5N-W5c


▶ 핀테크X블록체인 아카데미 Advanced Development Course 모집

1. 교육 기간: 2017. 09. 11(월)~09. 29(금)  ※총15일(1일 8시간)
  
2. 교육 대상:
   - 핀테크 창업을 준비하는 예비창업자(스타트업) 및 대학생
   - 핀테크 솔루션/서비스 개발자

3. 수강에 필요한 역량
   - HTML 활용한 간단한 테이블 작성
   - Javascript 사용한 화면의 element 제어

4. 교육정원: 차수별 30명

5. 수강료: 무료(다과 및 중식, 교재 제공)

6. 교육장소:
   한국인터넷진흥원 핀테크 보안·인증기술 지원센터
   (서울특별시 송파구 중대로 135, IT 벤처타워 서관 10층)

7. 교육 참가 신청 :

   [신청방법]
    - 접수기간: 2017. 07. 28(금) ~ 2017. 08. 31(목) 18:00시 까지
    - 합격자발표: 2017. 09. 01(금) [신청서 검토 후 합격자 발표]
    - 문의사항: fintech@kisa.or.kr(061-820-1421),  gotofintech@bntree.com   

● 참가신청 및 상세 내용 :
   https://lnkd.in/fgk8dYc

뉴딜코리아 컨설팅사업부(070-7867-3721, ismsbok@gmail.com)

클라우드로 데이터를 이동하기 전에 고려해야 할 3가지 사항

 뉴딜코리아 홈페이지 

클라우드로 데이터를 이동하기 전에

고려해야 할 3가지 사항

(Veritas)

클라우드 환경을 구축한 대부분의 기업은 온프레미스에서 비교적 중요도가 낮은 데이터를 먼저 클라우드 스토리지로 옮깁니다. 기가바이트당 비용이 1센트 미만이므로 경제성 측면에서 합리적인 선택입니다.

하지만 페타바이트 단위의 데이터를 클라우드로 이전하겠다는 결정은 쉽게 내릴 수 없습니다.
클라우드 데이터를 올바르게 보호하고 관리하려면 전체 데이터에 대한 가시성를 먼저 확보해야 합니다.
데이터를 파악하고 시각화한 후 다음 작업을 수행하는 것이 좋습니다.

​

클라우드로의 효율적인 데이터 이전을 위해 아래와 같이 세 가지 방안을 제안해 드립니다.• 데이터 분류
• 데이터 이전
• 데이터의 비정상적인 요소 식별


■ 어떤 데이터가 있는지 파악하십시오.

일반적인 기업의 데이터 중 52%가 미확인 데이터(다크 데이터)입니다.
(https://www.veritas.com/content/dam/Veritas/docs/reports/veritas-strike-global-report_a4-sdc2.pdf)

• 미확인 데이터에 무엇이 포함되어 있는지, 즉 중요한 데이터인지 아니면 불필요한 데이터인지, 보존해야하는지 혹은 삭제해야하는지, 이디스커버리에 필요한 데이터인지 여부를 전혀 알지 못합니다

• 다만 그로 인해 비용이 발생한다는 사실은 잘 알려져 있습니다.
  Gartner에 따르면, 1페타바이트의 엔터프라이즈 데이터를 저장하고 관리하는 데 대략 5백만 달러가 소요됩니다. ( Gartner IT Key Metrics Data 2012 Report )

• 미확인 데이터를 그대로 클라우드로 이전하면 불필요하게 리소스를 낭비하고 리스크가 커집니다.


1. 데이터를 시각화한 후 분류하십시오

• 평균적으로 엔터프라이즈 데이터 1페타바이트에는 23억 개의 파일이 있습니다.(http://datagenomicsproject.org/data-genomics-report-2016.html)
 - 음악, 영화와 같은 개인적인 파일도 포함되어 있습니다.

• 다크 데이터의 41%는 3년간 변경된 적이 없어 사용 가치 여부가 의심스러운 "방치된" 데이터입니다.
 (http://datagenomicsproject.org/data-genomics-report-2016.html)

• 15%는 7년간 사용된 적이 없는 "오래된" 데이터입니다.
 (http://datagenomicsproject.org/data-genomics-report-2016.html)

• 데이터 생성 시점과 구성 내용을 파악하고 그에 따라 분류하십시오.
  그런 다음 개인 정보를 제외한 데이터, 지적 재산 데이터와 강력한 규제 대상 데이터만 클라우드로 이전하십시오.


■ 데이터 위치를 파악하십시오.

일반정보보호규정(GDPR)에 대비해야 할 때입니다.

• 위반 시 최대 연매출의 4%를 과징금으로 부과하는 규정이 곧 시행될 예정이므로 기업들이 이에 대비하고 있습니다.

• 일반적인 글로벌 기업의 데이터 중 33%가 중복된 데이터이므로 EU회원국 주민의 개인 정보가 EU 외부에도 있을 가능성이 높습니다(GDPR101 위반)
 (https://www.veritas.com/content/dam/Veritas/docs/reports/veritas-strike-global-report_a4-sdc2.pdf)

• 클라우드에 모든 데이터를 무조건 저장하면 데이터가 여러 지역에서 중복되어 GDPR에 대한 컴플라이언스를 수행할 수 없습니다.


2. 데이터를 시각화한 후 이전하십시오.

• 어디에 어떤 데이터가 있는지 파악하면 2018년 5월부터 시행될 GDPR에 대비할 수 있습니다.

• 데이터를 전략적으로 관리할 수도 있습니다.
 - GDPR 및 기타 규정에 대한 컴플라이언스를 보장할 수 있도록 공식적인 정보 거버넌스 정책을 마련하십시오.


■ 누가 데이터에 액세스하는지 파악하십시오.

• Fortune지 100대 기업의 33%가 향후 12개월 내에 정보 위기를 겪게 될 것입니다.
 (http://www.gartner.com/newsroom/id/2672515)

• FBI에 따르면, 2016년 랜섬웨어는 사이버 범죄자들에게 10억 달러 규모의 수입원이 되었습니다.
 (http://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/index.html?section=money_techno)

• CNN 보도에 따르면 2016년 1분기에만 2억 9백만 달러가 랜섬웨어 범죄자들에게 갈취되었습니다.
 (http://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/index.html?section=money_techno)

• 악의적인 내부자가 보수를 받고 랜섬웨어를 유포하는 RaaS(Ransomware-as-a-Service)도 확산되고 있습니다.


3. 데이터를 시각화한 후 비정상 요소를 파악하십시오.

• 데이터 가시성을 통해 데이터를 중심으로 한 사용자 활동을 분석할 수 있습니다.

• 평균적으로 엔터프라이즈 사용자는 매일 10개 미만의 파일에 액세스합니다.
  이를 기준으로 이상 및 비정상 요소를 파악함으로써 성공적으로 리스크를 예측할 수 있습니다.

• 데이터가 어떻게 사용되는지 또한 랜섬웨어와 같은 사이버공격을 지속적으로 차단하기 위한 행동 패턴은 무엇인지 확인하십시오.


■ 인프라스트럭처가 온프레미스, 클라우드, 가상, 물리적 환경 등 어떻게 구성되어 있는지에 관계없이 전체 데이터에 대한 통합적인 가시성을 반드시 확보해야 합니다.

클라우드가 갈수록 다양해질 것을 고려하면 이러한 기능은 더욱 중요합니다. 이미 74%의 기업이 여러 가지 퍼블릭 IaaS 플랫폼(AWS, Azure, Google등)에서 데이터를 관리하고 있으며, 평균적으로 각기 다른 기능을 수행하는 900개 이상의 클라우드 호스팅 애플리케이션을 보유하고 있습니다.

이러한 다양성과 사실상 제한이 없는 데이터 저장 위치로 인해 통합적인 가시성이 더욱 중요해졌습니다.

통합적인 데이터 가시성 확보에 대한 자세한 내용은 아래 페이지를 참조하십시오.

• https://www.veritas.com/ko/kr/product/backup-and-recovery/netbackup/global-data-visibility

• www.veritas.com/lightupdarkdat