2018년 1월 29일 월요일

네트워크가 노후되었음을 알 수 있는 5가지 징후

 뉴딜코리아 홈페이지 



네트워크가 노후되었음을 알 수 있는 5가지 징후

아직도 노후한 네트워크에 의존하여 혁신을 진행 중이라면, 지금이 바로 네트워크를 교체할 시기입니다.


1. 불완전한 보안 기능에 의존하고 있다.
잘못된 클릭 한 번으로 데이터 침해 사고가 발생해 고객의 자산이 위험에 노출되는 것은 물론이고 나아가 기업 전체에 악영향을 미칠 수도 있습니다.

모든 것을 안전하게 연결하고 싶다면 처음부터 최신 네트워크 기술을 사용하여 네트워크 망분리를 간소화하고 전체 네트워크 정책을 손쉽게 적용하십시오.

또한 실시간 데이터를 사용하여 액세스 보안을 강화하고, 가시성 및 인텔리전스를 제공하는 동시에 트래픽이 암호화되어 있더라도 의심스러운 활동을 탐지하십시오.


2. 대부분의 시간이 관리에 허비되고 있습니다.

"80%" IT 자원의 80%가 현재의 가동 상태를 유지하는 데 소모됩니다..!
(The Total Economic Impact of Cisco TrustSec, Forrester, 2016년 9월)


노후한 인프라와 소프트웨어 계약을 관리하는 데 시간을 모두 허비하다 보면 네트워크의 경쟁력을 잃을 수 밖에 없습니다.


3. 느린 속도로 인해 네트워크 성능이 정체되어 있다.
노후한 네트워크는 오늘날 필요한 기술을 지원하도록 설계되지 않았습니다.

새로운 네트워크로 마이그레이션할 때는 디지털 맞춤형 인프라가 네트워크 에지 영역의 환경을 간편하게 제어하고 개선하도록 지원합니다.

오늘날에는 유무선 기술의 컨버전스로 혁신의 속도가 그 어느 때보다 빨라졌습니다.


4. 네트워크에서 어떤 일이 일어나는지 모른다.
문제가 무엇인지 모르면 비즈니스에 악영향을 미치지만 문제가 무엇인지 알고 있다면 커다란 차이를 만들어낼 수 있습니다.


5. 고객과 업무의 환경 개선이 필요하다.
모든 산업에서 고객의 기대가 커지고 있습니다.

그러나 고객의 높아진 기대에 부응하지 못한다면 고객은 다른 곳으로 눈을 돌리기 마련입니다.

직원들은 재택 근무를 원하고 있고 고객들은 맞춤형 환경을 요구하는 가운데 보안, 모바일, 사물 인터넷 및 클라우드를 모두 지원할 수 있는 디지털 맞춤형 인프라가 필요합니다.

이러한 인프라가 올바로 구축된다면 네트워크 에지에서 사용자, 장치 및 애플리케이션에 대한 통찰력을 얻고 학습을 통해 네트워크의 변화와 요건에 맞춰 나갈 수 있습니다.

- 출처 : 시스코 코리아


[참고] - 네트워크 패브릭 ( Network Fabric )
가상화와 클라우드 기반의 데이터센터를 구축할 때 IT관리자가 가장 고심하는 부분이 바로 네트워크 환경입니다.

단순하게 스위치, 라우터, 케이블 등의 물리적인 장비로 네트워크를 구성하는 고전적인 방식과 달리 가상화 기반에서 네트워크 환경을 설계하고 관리하는 것은 상당히 까다로운 일입니다.

이러한 상황에서 시스코, 브로케이드, 주니퍼 등 네트워크 벤더들은 네트워크 패브릭이라는 용어를 들고 나오면서 데이터센터에서의 네트워크 관리 통합이란 화두를 들고 나오기 시작했습니다.

패브릭이란 실크나 면, 마 모직 같이 섬유소재를 짜서 만든 천을 의미합니다.

IT환경에서는 이런 천 처럼 촘촘하게 서로 연결되어 있는 제품군을 패브릭이라고 합니다.

즉, 서비스와 기기들이 서로 긴밀히 연결되어 있는 것을 의미하죠.

네트워크 패브릭이란 통합 네트워크의 컴퓨팅, 스토리지 및 소프트웨어 요소를 연결하는 고성능, 저지연, 확장 가능한 하드웨어적인 이더넷 스위칭 제품을 의미합니다.

네트워크 패브릭 제품의 목적은 네트워크 상의 노드 사이의 모든 연결과 여러 개의 스위치들을 하나의 제품으로 관리하도록 하는 것입니다.

통합 관리를 목표로 하고 있지만 실제적으로는 벤더 장비의 특성을 탈 수 밖에 없는 구조적 한계를 가지고 있습니다.

이러한 한계를 극복하는 노력이 다음에 설명할 소프트웨어정의 네트워크입니다.



보안솔루션 구축 & 취약점 진단
뉴딜코리아 솔루션사업부 (070-7867-3721, ismsbok@gmail.com)
 


2018년 1월 26일 금요일

핀테크 산업의 보안 이슈와 대응 방안 세미나 (2018-02-01)

핀테크 산업의 보안 이슈와 대응 방안 세미나
(2018-02-01)
[KISA 핀테크 기술지원센터]


- 최신 이슈가 되고 있는 핀테크, 가상화폐, 블록체인 등과 관련하여 보안 이슈와 문제점을 살펴봅니다. 

- 핀테크 분야의 이슈, 블록체인 분야의 이슈와 최신 보안 사고 및 사례를 기반으로 금융 관련 보안 위협 사례를 살펴봅니다.

- 또한 이에 따른 어떠한 대응이 필요한지 살펴봅니다.



■ 모임기간  :  2018년 2월 1일 (목) 15시 00분 ~ 17시 00분

모임장소  : [한국인터넷진흥원 서울청사]
서울 송파구 가락동 핀테크 기술지원센터 (서울 송파구 가락동78 IT벤쳐타워 서관 10층, 경찰병원역 1번 출구)

■ 세미나 등록 :  온오프믹스 (https://onoffmix.com/event/126065)






취약점 분석 및 모의침투
뉴딜코리아 컨설팅사업부 ( 070-7867-3721, ismsbok@gmail.com)






충온 파이어


Federer lauds ‘top-10 prospect’ Chung




정현, 아쉬운 '발바닥 부상'으로 호주오픈 4강전 도중 기권



- 코트에서 많이 뛰는 테니스 선수들에게 흔히 생기는 부상
- 발바닥 물집과 피멍의 고통, "상상할 수 없을 정도로 아프다" 
(호주 쪽 의사가 “고통 정도를 1~10이라고 할 때 얼마나 되느냐”고 묻자, “15”라고 답해 의사를 놀라게 했다. )

♥ 또 하나의 " 세상에서 가장 아름다운 발 " 




경기를 마친 후 정현은 자신의 SNS에 움푹 패인 발바닥 사진을 공개했다.

예상했던 것보다 훨씬 심각해보이는 상태였고 그런 부상으로 경기에 나선 것이 대단해 보였을 정도다.

정현은 사진과 함께 “오늘 저녁에 저는 제가 할 수 있는 최선을 다했습니다.

경기를 포기하기 전 많은 생각을 했습니다.

팬분들 그리고 훌륭한 선수 앞에서 100%를 보여주지 못 하는 건 선수로서 예의가 아닌 것 같아서 힘든 결정을 내렸습니다.

며칠 뒤에 있을 결승전에 페더러 선수에게 행운이 있기를!”라고 적었다.

~~~~
~~~~

정현 선수의 8강 진출을 진심으로 축하드립니다!

너무 자랑스럽습니다.

흘린 땀과 노력에 박수를 드리며, 빠른 쾌유 기원합니다.

앞으로 더 좋은 결과 있으실수 있도록 열심히 응원하겠습니다!! ( ~ 뉴딜코리아 ~ )






2018년 1월 13일 토요일

힐스톤(Hillstone) 차세대 방화벽 소개

힐스톤(Hillstone) 차세대 방화벽










■ 뉴딜코리아 보안성 검증 프로그램 ■
- 솔루션 검토 단계에서 검증된 취약점 분석 서비스를 지원하고 있습니다.
- 이를 바탕으로 고객사의 환경에 최적화된 제품을 제안하고 있습니다.


힐스톤 방화벽 공급 및 기술지원
뉴딜코리아 솔루션사업부  (070-7867-3721, ismsbok@gmail.com)



2018년 1월 11일 목요일

CPU 칩셋 취약점(Meltdown, Spectre) 분석 및 대응방안

CPU 칩셋 취약점(Meltdown, Spectre) 분석 및 대응방안


□ 개요
 o Google社 Project Zero는 Intel社, AMD社, ARM社 CPU 제품의 취약점을 발표 
 o 영향 받는 버전 사용자는 해결방안에 따라 최신버전으로 업데이트 권고


□ 내용
 o 오늘날 사용되는 거의 모든 컴퓨터와 휴대폰에 영향을 줄 수 있는 두 가지 취약점을 발견했다. 

 o CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점
    - 스펙터(Spectre, CVE-2017-5753, CVE-2017-5715)
    - 멜트다운(Meltdown, CVE-2017-5754)


 o 부채널 공격(side channel attack) : 특수한 상황에서 처리 시간 차이의 특성을 이용한 공격 방식 중 하나

□ CPU 칩셋 취약점 보안 업데이트 권고

 ☞ 상세내용 : 
      http://cafe.naver.com/rapid7/3070

      CPU칩_취약점_관련_Windows_보안_업데이트_안내(180109)




ISMS PIMS 인증제도 통합에 따른 인증심사원 자격검정 안내 (2018.01.10)

 뉴딜코리아 홈페이지 





☞ ISMS-PIMS 인증제도 통합에 따른 인증심사원 자격검정 안내 (2018.01.10)


안녕하세요. 한국인터넷진흥원입니다.

신규 인증심사원 자격검정과 관련하여 다음과 같이 안내드립니다.

2018년도에는 정보보호 관리체계(ISMS) 인증과 개인정보보호 관리체계(PIMS) 인증제도의 통합이 추진될 예정입니다.

이에 따라,
2018년에는 기존 인증심사원(ISMS, PIMS)의 제도간 자격 통합 등만 시행되며,
별도의 신규 인증심사원 자격검정은 시행되지 않사오니 참고하시기 바랍니다.

기존 인증심사원 자격 통합 등에 관한 구체적인 사항은 추후 안내해 드릴 예정입니다.

감사합니다.


[참고]
https://isms.kisa.or.kr/main/community/notice/?boardId=bbs_0000000000000005&mode=view&cntId=285&category=&pageIdx=



ISMS/P 인증 컨설팅
뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)



2018년 1월 9일 화요일

표준 개인정보 유출사고 대응 매뉴얼

 뉴딜코리아 홈페이지 

표준 개인정보 유출사고 대응 매뉴얼






1. 개요

1.1 목적
‘개인정보 유출사고 대응 매뉴얼’은 ‘개인정보 보호법’ 및 같은법 시행령, 시행규칙에 따라 개인정보 유출사고에 대한 신속하고 체계적인 대응을 목적으로 한다.

 ※ 관련근거 : 표준 개인정보 보호지침 제29조(개인정보 유출 사고 대응 매뉴얼 등)

1.2 법적 근거
o 개인정보 보호법 및 시행령, 시행규칙
o 표준 개인정보보호 지침
o 개인정보의 안전성 확보조치 기준

1.3 적용범위
o 해킹, 분실, 도난 등으로 인해 개인정보가 내·외부자에 의하여 유출된 경우에 적용된다.
o 유출된 개인정보의 종류, 수량, 암호화 여부, 유출시기, 개인정보취급자의 고의?과실 여부 등을 묻지 아니한다.


2. 가이드
o 단 1건만 유출되어도 정보주체(예: 고객, 회원)에 대한 통지 등 의무를 이행하고, 1천명 이상 유출 된 경우 행정자치부 및 한국인터넷진흥원에 신고
o 유출된 정보(예: 비밀번호, 계좌번호 등)가 암호화되어 있어도 정보주체 통지 의무 이행


3. 개인정보 유출의 개념
표준 개인정보보호지침 제25조(개인정보의 유출) 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다.

 1). 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
 2). 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
 3). 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
 4). 기타 권한이 없는 자에게 개인정보가 전달된 경우




첨부파일 : 표준 개인정보 유출사고 대응 매뉴얼 (2017.12)



ISMS/P 인증 컨설팅
뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)  




성공인의 삶의 7가지 용기

성공인의 삶의 7가지 용기 





1. 진퇴양난(進退兩難)에 대사대성(大思大成)하라 

  오도 가도 못하는 어려운 상황에서도

  크게 생각하고 크게 이루려는 용기가

  필요합니다



2. 백척간두(百尺竿頭)에 즉행집완(卽行執完)하라 

  높디높은 두려움 상황에서도

  즉시 행동해서 완성하려는

  용기가 필요합니다.



3. 누란지세(累卵之勢)에 백절불굴(百折不屈)하라 

  계란을 쌓아올린 듯 긴장된 상황에서도

  결코 물러서지 않는 용기가 필요합니다.



4. 여리박빙(如履薄氷)에 불포가인(不抛加忍)하라 

  살얼음판 같은 아슬아슬한 상황에서도

  포기 대신 인내를 더하는 용기가 필요합니다.



5. 설상가상(雪上加霜)에 초지일관(初志一貫)하라 

  어려움이 가중되는 고통스런 상황에서도

  처음의 열정을 되새기는 용기가 필요합니다.



6. 기호지세(騎虎之勢)에 배수지진(背水之陣)하라 

  호랑이 등에 올라탄 듯 긴박한 상황에서도

  배수의 진을 치는 용기가 필요합니다.



7. 일촉즉발(一觸卽發)에 현존임명(現存任命)하라

  언제 터질지 모르는 긴장된 상황에서도

  현재의 모든 것을 거는 용기가 필요합니다.


Bravo My Life




2018년 1월 2일 화요일

바이오정보 보호 가이드라인

 뉴딜코리아 홈페이지 



바이오정보 보호 가이드라인
- 6대 보호원칙 규정 및 보호조치 사항 안내 -

□ 방송통신위원회과 한국인터넷진흥원은 지문·홍채 등 바이오정보가 스마트폰 잠금해제, AI 음성비서 등으로 활용이 증가함에 따라, ’17.12.12일 바이오정보의 보호와 안전한 활용을 위한 「바이오정보 보호 가이드라인」을 마련·시행한다고 밝혔다.

ㅇ 바이오정보는 신원확인 용도로 널리 쓰이고 있으나 유출 시 변경이 어려워 지속적으로 악용될 수 있고, 인종·병력 등 부가적인 정보가 추출될 우려도 있어 보호의 필요성이 큰 개인정보이다.

ㅇ 그간 바이오정보는 현행 정보통신망법상 개인정보 관련 법령 및 고시에 따라 일반 개인정보로서 보호되고 있었으나 암호화 저장 이외에는 명시적인 규정이 부재하였다.

ㅇ 이에, 가이드라인을 통해 바이오정보 보호를 위해 필요한 6대 보호원칙과 기술적·관리적 보호조치를 제시하고자 하였다.

□ 바이오정보 개념
ㅇ 우선, 가이드라인은 바이오정보 개념을 ‘지문, 홍채, 음성, 필적 등 개인의 신체적·행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위하여 기술적으로 처리되는 개인정보’로 명확히 규정하였다.

‘기술적 처리’란 센서 입력장치 등을 통해 이미지 등 원본 정보를 수집·입력하고 해당 원본 정보로부터 특징점을 추출하는 등 개인을 인증 또는 식별하기 위해 전자적으로 처리되는 전 과정을 말한다.

ㅇ 따라서 바이오정보는 인증 또는 식별 목적으로 입력장치 등을 통해 수집·입력된 ‘원본정보’와 그로부터 특징 값을 추출하여 생성된 ‘특징정보’로 구분된다. 사진 등은 특정 개인을 식별 또는 인증하기 위하여 기술적으로 처리되는 경우에 한해서만 바이오정보에 해당한다.


□ 대상 사업자
ㅇ 가이드라인 적용 대상 사업자에는 바이오정보를 직접 처리하는 정보통신서비스 제공자 뿐만 아니라 바이오정보를 직접 처리하지 않지만 인증결과 값 등을 전송받는 사업자, 스마트폰 등 기기 제조업자, 바이오정보가 활용되는 앱 개발자 등으로 확대하였다.

ㅇ ’07년 정보통신부에서 마련한 ‘바이오정보 보호 가이드라인’은 출입통제 시스템을 운영하는 일반 기업 중심으로 규정하였으나 변화된 정보통신환경을 반영하여 현행화한 것이다.

□ 바이오정보 6대 보호원칙
ㅇ 가이드라인은 바이오정보의 안전한 활용을 위해 비례성 원칙, 수집·이용 제한의 원칙, 목적제한의 원칙, 통제권 보장의 원칙, 투명성 원칙, 바이오정보 보호 중심 설계 및 운영 원칙을 제안하고 있다.

ㅇ 첫번째 원칙은 비례성 원칙이다.
사업자는 바이오정보 활용에 따르는 위험과 예상 편익을 비교하여 수집·이용 여부를 판단하고, 서비스 도입 시 바이오정보의 종류별 특성을 고려하여 침해 위험을 최소화할 수 있는 바이오정보를 선택하여야 한다.

ㅇ 둘째는 수집·이용 제한의 원칙이다.
사업자는 바이오정보의 수집·이용 목적, 항목, 보유기간을 이용자에게 명확히 알리고 동의 받아야 하고, 특징정보 생성 후 원본정보는 원칙적으로 파기해야 한다. 원본정보를 파기하지 않으려면 그 이유(목적) 및 보유기간을 별도로 고지 후 동의를 받아야 한다.

ㅇ 셋째는 목적제한의 원칙이다.
인증 또는 식별 목적으로 이용자에게 동의 받은 바이오정보를 무단으로 질병검사 등 다른 목적으로 활용해서는 아니된다. 바이오정보를 다른 목적으로 활용하기 위해서는 이용자의 사전동의 등 적법한 절차를 따라야 한다.

ㅇ 넷째는 통제권 보장의 원칙이다.
이용자가 자신의 바이오정보를 쉽게 수정하거나 삭제할 수 있도록 기기나 웹·앱 등을 통한 통제방법을 제공해야 한다. 아동 등 바이오정보 제공을 원하지 않거나 신체적 장애가 있는 경우 등을 대비하여 비밀번호 등의 대안을 마련하는 것이 바람직하다.

ㅇ 다섯째는 투명성 원칙이다.
바이오정보 보호에 관한 사항을 이용자에게 적극적으로 안내하고 이용자의 문의 등을 처리하기 위한 피해구제 기능을 마련·운영해야 한다.

ㅇ 여섯째는 바이오정보 보호 중심 설계 및 운영 원칙이다.
바이오정보를 활용한 서비스의 개발·설계 단계부터 이용자의 바이오정보를 보호할 수 있는 기본 값(Defaults) 설정 등 방안을 고려하도록 권고한다. 바이오정보를 서버로 전송하여 대량으로 처리하려면 바이오정보 침해 예방을 위해 개인정보 영향평가를 실시할 것을 권고한다.

□ 기술적·관리적 보호조치
ㅇ 가이드라인은 바이오정보의 유출, 위변조 등을 방지하기 위하여 처리단계별로 필요한 기술적·관리적 보호조치도 제시하고 있다.

ㅇ 수집·입력 단계에서는 실리콘 인공지문 등 위·변조된 바이오정보가 처리되지 않도록 적절한 보안조치를 취하고, 바이오정보가 암호화 저장되기 전까지 유출되지 않도록 전송구간을 암호화하여야 한다.

ㅇ 저장·이용 단계에서는 원본정보와 특징정보 모두를 안전한 알고리즘으로 암호화하여 저장하여야 한다. 또한, 바이오정보를 서버로 전송하는 경우 유출 피해 범위가 커질 수 있으므로 기기 내 안전한 영역에서 처리하는 방식을 우선적으로 고려하여야 한다.

ㅇ 파기 단계에서는 원칙적으로 원본정보는 특징정보 생성 시 그 목적이 달성된 것으로 볼 수 있으므로 지체 없이 파기하도록 하였다. 예외적으로 이용자의 별도의 동의를 받아 원본정보를 이용하는 경우 해당 이용자의 다른 개인정보와 분리하여 별도로 저장?관리 하도록 권고하였다.

□ 방송통신위원회는 “최근 기술 발전에 따라 지문·홍채 등 바이오정보가 비밀번호 대체수단 이외에도 AI 스피커 등 새로운 서비스에도 활용되고 있는 상황에서 가이드라인은 바이오정보의 특성에 맞춘 구체적인 법령 해석 기준과 사업자가 자율적으로 준수할 수 있는 보호원칙 등을 제시하였다.”며, “가이드라인을 통해 국민이 안심하고 지문·홍채 등을 활용한 서비스를 이용할 수 있는 토대가 마련되길 바란다”고 밝혔다.


첨부 : 「바이오정보 보호 가이드라인」