뱅크사인 (은행공동인증서비스)

 뉴딜코리아 홈페이지

​ 

뱅크사인 (은행공동인증서비스)

1. 뱅크사인 은행공동인증서비스 추진 현황

□ 은행연합회는 정부의 블록체인* 활성화 정책에 부응하고, 블록체인 기술의 금융시스템 적용을 위해 사원은행과 함께 ’16년 11월부터 ‘은행권 블록체인 컨소시엄’을 구성하여 운영하고 있음

 * 블록체인(Blockchain)은 4차 산업혁명 핵심기술 중 하나로, 중앙집중기관 없이 시스템 참가자들이 공동으로 거래정보를 기록, 검증, 보관함으로써 거래정보의 신뢰성을 확보하도록 설계된 분산장부 기술

□ 동 컨소시엄을 통해, 은행권은 블록체인 기반의 은행공동인증서비스인 ‘뱅크사인(BankSign)’ 도입을 추진해 왔으며, 오는 7월에 대고객 상용서비스를 실시할 예정임

  － 작년 11월부터 본격적인 개발에 착수하였고, 지난 4월말부터 일부 은행 임직원을 대상으로 실거래 환경에서 테스트도 진행

□ ‘뱅크사인’은 공개키(PKI; Public Key Infrastructure) 기반의 인증 기술, 블록체인 기술, 스마트폰 기술 등 첨단기술의 장점을 활용하여 전자거래의 안전성과 편의성을 높인 우수한 인증서비스이며, 은행권이 블록체인 기술을 이용한 첫 번째 공동사업이라는 의의가 있음

 － ‘뱅크사인’의 장점
   • 블록체인의 특성인 합의 및 분산저장을 통해 인증서 위‧변조 방지
   • 개인키(전자서명생성정보)를 스마트폰의 안전영역에 보관하고 항상 휴대함으로써 개인키 복제, 탈취 및 무단사용 방지
   • 뱅크사인은 스마트폰 앱 인증을 통해 모바일뱅킹과 PC 인터넷뱅킹 모두 이용 가능
   • 인증서 유효기간을 3년으로 확대하여 인증서 갱신에 따른 불편 경감 등

□ 참고로, ‘뱅크사인’ 도입 후에도 뱅크사인과 기존 공인인증서 모두 병행하여 이용이 가능함

  － 최근 전자서명법 개정안 입법예고(’18.3.30.) 등에 따르면, 공인인증서 제도 폐지에 대한 정부방침은 공인인증서의 우월적 지위*를 없애고, 시장경쟁을 통해 전자서명산업의 경쟁력을 강화하고 이용자의 선택권을 확대하자는 것임

        * 공인인증서에 무결성(전자서명 후 정보의 변경이 없음)을 부여하고, 법령에서 전자서명을 요하는 경우에는 공인인증서에 의한 공인전자서명만 인정


2. 뱅크사인 및 공인인증서 관련 참고사항

가)  공인인증서 제도 폐지에 대한 정부방침 관련

□ ‘전자서명법 개정안 입법예고(’18.3.30.)’ 주요내용

 ㅇ 정부는 공인인증서 제도가 도입초기에는 민원행정, 금융, 상거래 등 다양한 분야에서 전자적 업무처리 활성화 등에 기여하였다고 평가

 ㅇ 하지만, 현 시점에서는 오히려 전자서명시장의 발전을 저해하고, 이용자 불편을 초래하고 있다고 진단

  - 전자서명시장의 독점 초래, 전자서명기술 및 서비스 혁신 저해, 국민들의 전자서명수단 선택권 제한 등
 ㅇ 이에, 정부는 ‘공인’인증서의 우월적 지위*를 없애고, 시장경쟁을 통해 전자서명산업의 경쟁력 강화와 이용자의 선택권 확대 추진

      * 공인인증서에 무결성(전자서명 후 정보의 변경이 없음)을 부여하고, 법령에서 전자서명을 요하는 경우에는 공인인증서에 의한 공인전자서명만 인정

 ⇨ ‘공인’인증서 제도가 폐지되고 전자서명시장을 발전시킬 다양한 인증기술이 허용되므로, 뱅크사인이 도입되어도 고객은 기존 공인인증서와 뱅크사인 모두 병행하여 이용 가능

나) 인증서 제도 유지 필요성 관련

□ 인증에는 ‘본인확인’과 ‘전자서명’ 두 가지 의미가 있음

 ㅇ 본인확인은 단순히 행위당사자 본인을 확인(로그인)하는 것으로, ID/PW, SMS, ARS, 지문, 홍채 등 다양한 인증수단이 사용됨

 ㅇ 전자서명은 행위당사자 본인을 확인하는 것 외에 전자문서 등의 진위도 확인하는 것으로, 현재 공개키(PKI; Public Key Infrastructure) 기반의 전자서명 기술(공인인증서 또는 사설인증서)이 사용됨

 ㅇ 즉, 인증서는 본인확인과 전자서명이 모두 가능한 인증수단임

      * PKI 방식은 국제표준 기술로서 해외에서도 두루 사용

 ㅇ 최근 무서명 거래가 증가하고는 있으나, 서명이 요구되는 거래 또는 계약은 여전히 존재하며, 이러한 거래 등이 전자적인 형태로 이루어지는 경우에는 전자서명이 필요한 것임

 ⇨ 위와 같은 상황을 고려할 때 ‘인증서 제도’ 필요

다) 뱅크사인 이용채널 관련

□ 뱅크사인은 스마트폰 앱 인증을 통해 모바일뱅킹과 PC 인터넷뱅킹 모두 이용 가능

 ㅇ 뱅크사인은 인증절차의 보안성과 편의성을 높이기 위해 스마트폰의 첨단기술을 활용하므로 인증절차는 스마트폰에서만 가능

  - 스마트폰의 안전영역에 개인키(전자서명생성정보)를 저장하여 해킹 등에 의한 복제 및 탈취 방지

      * 스마트폰 안전영역은 외부접근이 불가능한 저장공간으로 해킹 등에 안전하나, PC는 이러한 안전한 저장공간을 사용할 수 없어 해킹 등 위험에 노출

 ㅇ 한편, 뱅크사인은 스마트폰에서 인증하여 PC 인터넷뱅킹 이용 가능

      * PC 인터넷뱅킹 화면에서 휴대폰번호 입력 후 ‘뱅크사인으로 로그인’ 선택 → 스마트폰 뱅크사인앱 활성화 → 비밀번호 등 입력 → PC 인터넷뱅킹 로그인 성공

라) 뱅크사인 이용기관 관련

□ 은행권은 이용자 편의 제고를 위해, 뱅크사인이 은행권 뿐 아니라, 정부 및 공공기관, 유관기관 등으로 이용범위가 확대될 수 있도록 관련 기관과 협의해 나갈 예정

 ㅇ 특히, 전자서명법이 개정되면, 정부 및 공공부문에서 공인인증서 외 인증수단도 이용이 촉진될 것으로 기대


☞ 첨부파일 :  뱅크사인 은행공동인증서비스

컨설팅 : ISMS, ISO27001, GDPR,PCI-DSS 

전자금융기반시설 취약점 분석·평가

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

인생은 다른 어떤 것에 비해 너무 짧습니다

인생은 다른 어떤 것에 비해 너무 짧습니다
 ..
...
.....

They see your resume, you see your accomplishments.

They see your successes, you see all your hard work.

You know how much you struggled, how much you cared, how far you have come.

Choose people who choose you, who value you, who believe in you.

Life is too short for anything else.

Agree ?

글 : Oleg Vishnepolsky (Global CTO at DailyMail Online and Metro.Co.Uk)

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

인간과 기계 사이의 경계를 모호하게 할 5가지 기술

 뉴딜코리아 홈페이지 

인간과 기계 사이의 경계를 모호하게 할 5가지 기술

5가지 기술은 탁월한 인텔리전스로 새로운 경험을 창출하고 조직이 새로운 비즈니스 생태계와 연결할 수 있게 해주는 플랫폼을 제공

1) 인공지능(Democratized AI) :
  - 인공지능 기술이 향후 10년 동안 거의 모든 곳에서 사용되리라 전망

2) 디지털화된 생태계 :
  - 인간과 기술 사이를 잇는 다리를 형성하는 완전히 새로운 비즈니스 모델의 기반

3) DIY 바이오해킹(Do-it-yourself biohacking) :
  - 향후 10년 안에 인류가 ‘트랜스 휴먼’ 시대를 열리라고 전망

4) 투명한 몰입 경험(Transparently immersive experiences) :
  - 기술이 사람들, 기업 및 사물 간의 투명성을 도입할 때까지 좀더 인간 중심적으로 되리라 전망

5) 유비쿼터스 인프라 :
5G, 탄소 나노튜브, 심층 신경망 ASIC, 신경구조와 유사한(Neuromorphic) 하드웨어, 양자컴퓨팅 같은 기술

https://www.gartner.com/smarterwithgartner/5-trends-emerge-in-gartner-hype-cycle-for-emerging-technologies-2018/

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

사이버보안과 내부감사의 역할 (딜로이트)

 뉴딜코리아 홈페이지

사이버보안과 내부감사의 역할 (딜로이트)
(Cybersecurity and the role of internal audit: An urgent call to action)


□ 사이버 위험평가의 필요성과 방법
기업의 사이버 위험에 대한 평가는 아래의 세 가지 질문에서 시작합니다.

1. 사이버 위협의 주체가 누구인가?
범죄자, 경쟁자, 외부 공급업체, 불만을 품은 내부자, 특정한 목표를 지닌 해커 등 다양한 주체가 될 수 있음.

2. 사이버 공격의 목적은 무엇이며, 어떤 사업위험이 완화되어야 하는가?
돈이나 지적재산권을 노릴 수도 있고, 회사 운영을 중단시키거나 평판을 훼손하려는 의도일 수도 있으며, 보건 및 안전의 위험을 초래할 수도 있음.

3. 어떤 경로로 공격할 수 있는가?
피싱, 시스템의 취약성, 탈취한 자격증명(ID와 패스워드)을 사용하거나, 취약한 제3자의 네트워크를 통해 회사의 시스템에 접근할 수 있음.


□ 3단계 방어선

사업부문과 IT기능은 일상적인 업무 의사결정 및 운영과정에서 사이버 리스크를 관리하는데 이것이 1차 방어선을 구성합니다.

2차 방어선은 사이버 리스크를 관리·감독하고, 정보보안 운영을 모니터링하여 필요 시에 적절한 조치를 취하는 정보위험관리자들이 주된 역할을 합니다.

2차 방어선은 최고 정보보안책임자(CISO)의 지휘 하에 이루어지는 경우가 많습니다.

많은 기업에서 사이버 리스크의 3차 방어선, 즉 내부감사에 의한 정보보안관리의 독립적인 검토와 확인이 필요하다는 인식이 증가하고 있습니다.

내부감사는 조직의 정보보안체계를 평가하고 개선기회를 식별하는데 핵심적인 역할을 담당하여야 합니다.

동시에, 법적, 재무적 책임을 부담하는 이사회에서 정보보안에 대한 관심이 높아짐에 따라, 내부감사는 관련된 내부통제가 제대로 설계되고 작동하고 있는지를 감사위원회와 이사회에 보고할 의무가 있습니다.



☞첨부파일 :  Cybersecurity and the role of internal audit: An urgent call to action

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

개인정보 이동 프로젝트(“Data Transfer Project”)

 뉴딜코리아 홈페이지

▣ 개인정보 이동 프로젝트(“Data Transfer Project”)

- 개인정보 이동 플랫폼 구축을 위하여 구글, 페이스북, 마이크로소프트 등이 참여한 공동 프로젝트
(Microsoft, Facebook, Google y Twitter se unen en Data Transfer Project)

◆ 두 온라인 서비스 제공자를 연결할 수 있는 오픈 소스 플랫폼을 테스트 하기 위해 구글, 페이스북, 마이크로소프트, 트위터 등 글로벌 기업들이 참여한 공동 프로젝트로서, 온라인 서비스 상에서 정보주체가 원하는 경우, 자신의 개인정보를 쉽게 다른 서비스로 이동할 수 있도록 개인정보 이동(data portability)을 지원하는 플랫폼 추진


1. 개요 

▶ “개인정보 이동 프로젝트(Data Transfer Project)”는 두 온라인 서비스 제공자를 연결할 수 있는 오픈 소스 플랫폼을 테스트하기 위해 구글, 페이스북, 마이크로소프트, 트위터 등 글로벌 기업들이 참여한 공동 프로젝트

• 동 프로젝트는 온라인 서비스 상에서 정보주체가 원하는 경우, 자신의 개인정보를 쉽게 다른 서비스로 이동할 수 있도록 개인정보 이동(data portability)을 지원하는 플랫폼 구축을 추진

○ 참고 : 개인정보 이동권 (GDPR 제20조)
: 정보주체는 컨트롤러에게 제공한 자신에 관한 정보를 체계적으로 구성되고, 일반적으로 사용되며, 기계 판독이 가능한 형식으로 제공받을 권리가 있음. 또한 그 정보를 다른 컨트롤러에게 제공할 것을 요구하거나 또는 직접 이전할 수 있음 (우리 기업을 위한 EU 일반 개인정보보호법 가이드북 참고)


▶ (어댑터) 어댑터는 공급자의 핵심 인프라 외부에 존재하며, 각 공급자의 독점적인 데이터 형식 및 인증 형식을 시스템에서 사용 가능한 형식으로 변환하는 방법을 제공

• ‘데이터 어댑터(Data Adapters)’는 특정 공급자의 API를 개인정보 이동 프로젝트에서 사용하는 데이터 모델로 변환하는 코드로서, 공급자의 API에서 데이터 모델로 변환하는 ‘내보내기’ 도구와 데이터 모델에서 공급자의 API로 변환하는 ‘가져오기’ 도구로 구성

- ‘인증 어댑터(Authentication Adapters)’는 소비자가 공급자로부터 데이터를 전송 받거나 또는 다른 공급자에게 데이터를 전송하기에 앞서 계정을 인증 할 수 있도록 해주는 코드

☞ 추가 내용은 첨부 파일을 참고 바랍니다 (click..!)

(참고사이트)
- https://www.elsate.com/viewtopic.php?t=2185
- https://datatransferproject.dev/


< 목 차 >

1. 개요

2. 동 프로젝트에서의 개인정보 이동 구현을 위한 주요 원칙과 시스템의 특징
  - 개인정보 이동 구현의 원칙
  - 개인정보 이동 구현을 위한 시스템의 특징
  - 활용 사례
 
3. 현황 및 과제

출처 : 한국인터넷진흥원

컨설팅 : GDPR, ISMS, ISO27001, PCIDSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

TDES 암호알고리즘의 사용제한 권고(NIST)

 뉴딜코리아 홈페이지 

□ NIST, TDES 암호알고리즘의 사용제한 권고 .. (금융보안원)

○ 최근 NIST에서는 구조적 취약성을 이유로 특정 암호알고리즘의 용도에 따른 사용제한을 권고함


1. NIST 소개

○ NIST(미국 국립표준기술연구소): 미국 상무부 산하 기관으로서 컴퓨터 보안, 정보기술 분야와 관련된 미국 내의 표준 지정 및 가이드라인, 권장사항, 기술 사양 등의 간행물을 배포

○ NIST 문서: 암호를 포함한 정보기술 등 관련 분야에서 국제적인 로드맵을 주도하는 역할을 하고 있음

※ 우리나라 고시, 가이드라인, 안내서에 명시된 ‘안전한 암호 알고리즘’은 국내·외 전문기관 (KISA, NIST, ECRYPT, CRYPTREC 등)이 권고하는 암호알고리즘을 뜻함

◦ 2018년 7월에 개정된 NIST표준문서(SP800-131A1))의 주요 개정 사항은 TDES 암호알고리즘*의 사용중지 계획이며,  (SP800-131A: 안전한 암호알고리즘의 종류와 사용 권고 기간을 제시하고 있기 때으며, 국내·외에서 알고리즘의 보안성을 확인 할 때 주로 참고)

* NIST에서는 TDEA(Triple Data Encryption Algorithm)로 표기하며, 국내에서는 TDES(Triple Data Encryption Standard) 또는 3DES로 표기함)

- 동 표준은 2030년까지로 안전성을 허용했던 TDES의 사용을 점진적으로 중지하도록 권고하고 있음


2. TDES의 보안 취약점

(가) TDES의 소개

○ (특징) TDES는 DES*를 세 번 연이어 연산**하는 암호알고리즘으로 1998년 배포(ANSI X9.52 문서)되었고, DES와 동일한 블록크기(64bit)를 가지는 블록암호임

 * DES는 64bit의 평문을 56bit의 키로 암호화 하는 구조적 특징을 가짐
 ** TDES연산: DESkey1암호화 – DESkey2복호화 – DESkey3암호화 연산을 수행

<참고 : 블록암호의 보안성>
◦ 블록암호: 기밀성 있는 정보를 정해진 블록 단위로 암호화하는 대칭키 암호 시스템 
◦ 블록암호의 보안성: 비밀키 길이가 k비트일 때 2(K)개의 비밀키 후보중에서 암호화에 사용된 키를 찾는 것에 의존

- 컴퓨팅 파워가 증가하면서 DES의 보안강도가 약해졌으나, 다른 암호알고리즘이 제시되기 전까지 TDES를 임시로 사용

※ 2000년 10월 이후, 128bit 이상의 블록크기를 갖는 블록암호알고리즘(AES, ARIA, SEED 등)이 등장


○ (종류) 세 번의 DES 연산에서 서로 다른 세 개의 암호키를 사용하는 ‘3키 TDES’와 암호키 준비(키 스케줄링) 시간을 줄이기 위해 두 개의 암호키만 사용하는 ‘2키 TDES’가 있음

- 2키 TDES는 2015년 이후로 암호화 용도로 사용 중지

- 3키 TDES는 2030년까지 사용 가능한 것으로 권고해왔음

○ (사용처) Windows XP 등 이전 운영체제 및 이전 프로토콜 (SSL, 초기 TLS 등)에서 전송 및 저장 중 계정 데이터를 보호하기 위한 방법으로 결제환경에서 자주 사용되었으며,

- 현재는 이전 운영체제와 이전 프로토콜과 호환을 위해 일부 제품에서 선택사항으로 TDES암호알고리즘을 탑재하고 있음


(나) TDES의 보안 취약점

○ TDES는 DES의 암호연산 구조상 특징으로 인해 특정 환경에서 비밀키와 상관없이 평문을 알아낼 수 있는 공격에 취약

- TDES는 현재 국내·외에서 권고하는 다른 블록암호*에 비해 작은 블록크기(64bit)를 가짐
  * AES, ARIA, SEED 등의 128bit이상 블록크기를 갖는 암호알고리즘

- 특정 운영모드에서 서로 다른 입력 값임에도 암호화된 결과 값이 동일한 ‘충돌’ 이 일어날 확률이 큼(일반적으로는 해시값 충돌처럼 입력값 대비 출력값의 경우의 수가 더 적을 때 일어나는 현상을 말하며, TDES와 같은 대칭암호에서는 동일한 암호키와 동일 암호알고리즘에서 서로 다른 입력값에 의한 암호 출력값이 동일한 경우, 충돌이라고 함)

<참고 : 운영모드의 보안성>
◦ 운영모드: 블록암호 사용 시 암호화하려는 정보가 블록 길이보다긴 경우, 블록암호를 처리하는 형태
◦ 운영모드의 보안성: 사용된 블록암호의 블록 크기에 영향을 받음

- 충돌이 일어날 경우, 충돌된 암호 출력값에서 암호키 없이 입력값을 추측할 수 있음 (CVE-2016-2183, Sweet32 취약점은 TLS 64bit 생일공격으로서 블록암호 SSL/TLS 중 특정 설정에서 충돌을 일으켜서 암호화 데이터 중 평문을 추측해 내는 취약점)

○ 특히, 다음의 환경에서 TDES가 활용 될 때 보안성에 큰영향을 줌

   ①동일한 비밀키가 중복되어 사용되는 환경,

   ②일부 평문을 공격자가 알고 있는 환경

- TDES가 TLS, IPSec, SSH와 같은 프로토콜에서 사용되는 경우, 프로토콜 보안성에 영향을 미침



☞ 추가 상세 내용은 첨부파일을 참고 하세요 .(click)

컨설팅 : ISMS, ISO27001, GDPR, PCIDSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드

 뉴딜코리아 홈페이지 

랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드

1. 개요

본 가이드에서는 정보시스템 백업 체계 구성을 위한 정보를 제공하고, 백업시스템을 구축, 운영하기 위한 절차 및 방법에 대해 설명한다.

또한 악성코드, 랜섬웨어 등 외부 환경의 사이버 공격 위협으로부터 백업데이터 보호를 위한 보호대책을 제시하고, 중소 규모 기업 환경에 적합한 정보시스템 백업 구성을 위한 가이드를 제공한다

2. 지침의 구성 및 범위

본 가이드는 중소기업 또는 비교적 소규모 서비스를 제공하는 기업에서 필요한 안전한 백업 시스템 구축 방법 및 운영 절차를 제시한다.

먼저 백업 조직 및 역할을 정의하고, 백업 조직이 백업 수행과 보안 관리를 체계적으로 수행할 수 있도록 백업 절차 및 보안관리 절차를 설명한다.

또한, 악성코드 및 랜섬웨어 감염 시 신속한 대응에 필요한 절차를 제시한다.

백업 시스템 구성은 기업이 일반적으로 사용할 수 있는 백업 시스템 구성 방법과 랜섬웨어 감염 예방을 위한 구성에 대하여 제시한다.

백업 정책은 다양한 백업 방법에 대하여 소산 정책 또는 소규모 기업들이 반영할 수 있는 정책에 대하여 설명한다.

마지막으로 랜섬웨어 피해 등 사이버 공격 예방을 위해 필요한 백업 시스템의 보안 사항에 대하여 설명한다.

3. 백업 용어 정의

▷ 백업 : 백업은 정보시스템의 장애, 화재와 같은 재해 또는 해킹으로 인한 정보의 망실에 대비하여 파일 또는 데이터베이스를 복사해 별도의 매체에 저장 및 관리하는 행위를 말하며, 대부분의 기업들이 시스템 장애시 최근 시점으로 복구해 줄 수 있는 중요 업무이다

▷ 시스템 백업 : 정보시스템 OS 영역, 시스템 설정파일, 시스템로그 등에 대한 백업을 의미한다. 데이터백업과 구별하여 보통 OS(Operating System) 백업이라 한다.

▷ 데이터 백업 : 데이터가 손상되거나 유실되는 것을 대비하여 데이터를 복사하고 다른 곳에 저장하는 것을 말한다. 저장 장소는 동일 장비 또는 다른 장비의 하드디스크 공간일 수도 있고 별도의 백업 장치일 수도 있다. 일반적으로 백업대상에는 문서, 소스 코드, DB데이터 관련 파일 등이 있다.

▷ Cloud 백업 : 클라우드 기반 백업 서비스는 흔히들 ‘온라인 백업’이라고 하며, 보호받아야 할 데이터를 인터넷으로 전송해 사본을 만들고, 필요 시 해당 데이터를 이용해 복원할 수 있는 백업 방식을 말한다.

▷ 백업 장비(장치) : 백업시스템을 구성하기 위해 필요한 매체, 라이브러리, 채널 등의 물리적인 설비를 의미한다. 백업 장비와 백업 장치는 동일한 용어로 정의한다.

▷ 백업 매체(미디어) : 주요 시스템의 OS, 데이터 영역에 대하여 백업하는 저장 장치로 일반적으로 테이프(Tape), 디스크(Disk) 등을 말한다.

▷ 볼팅(Vaulting) : 물리적인 오프사이트 볼트로 보내질 백업의 지정 저장 위치로 작동하는 특정 로봇과 연결된 논리적인 객체이다. "볼트"라는 용어는 오프사이트 테이프 세트의 물리적 저장소 위치와 프로세스를 함께 지칭하는 데 사용한다.

▷ 소산백업 : 재난·재해 발생 시 백업된 매체를 일정거리 이상 떨어진 장소에 이격시켜서 보관하는 것으로 지진, 홍수, 화재 등의 재난·재해 발생 시 원본의 손실이 있더라도 백업매체가 원격지에 떨어져 있으므로 손실되는 것을 예방할 수 있다.

▷ 백업센터 · DR(Disaster Recovery)센터 운영센터 재해 발생 시 즉각적인 서비스 복구를 위한 업무연속성(continuity)을 보장할 수 있는 재해복구를 위한 백업 전산센터를 의미한다.

▷ 백업구성 방식 : 백업시스템을 구성하는 형태 및 특징을 의미한다. 백업 솔루션을 구분하기 위해 크게 로컬(다이렉트) 백업, 네트워크 백업, SAN(Storage Area Network) 백업으로 나눠지며 백업 규모, 시간 및 특성에 따라 그 구성 방식이 결정된다.

▷ 디스크 복제 : 하드 디스크의 내용물을 다른 디스크나 이미지 파일로 복사하는 과정을 의미한다. 복제의 속도가 빠르고 복구 역시 용이하며, 보통 디스크 제공사의 복제 솔루션을 많이 사용한다.

▷ 미러링 : 특정 사이트의 콘텐츠(글, 웹페이지, 이미지 파일, html 소스 등)을 특정 주기를 간격으로 자동으로 복제해 저장해 놓는 기능을 말한다. 미러링은 디스크의 RAID(Redundant Array of Independent Disks) 레벨 중 RAID 1에 해당하는 디스크 구성방법으로써 한 개의 디스크에 물리적 장애가 발생하더라도 미러링 되어 있는 디스크가 자동으로 장애가 발생한 디스크를 대체하여 서비스를 지속할 수 있다.

▷ 전체 백업(full backup) : 지정한 디렉터리 아래의 모든 파일과 디렉터리를 저장소로 복사하는 백업을 말한다. 복구 시에 일부 다른 백업 방식보다 간편하고 시간이 증분 백업에 비해 상대적으로 덜 걸린다는 장점이 있다.

▷ 증분 백업(Incremental backup) : 전체백업과는 달리 최종 전체 백업 혹은 최종 증분 백업 이후에 변경된 파일만을 복사한다. 전체 백업과 비교할 때 증분 백업은 매일 백업해야 하는 파일의 양이 적어 빠른 백업이 가능하다는 점이 장점이다. 그러나 복구 과정에서는 최종 백업된 전체 및 모든 후속 증분 이미지나 복사본까지 복구해야 하기 때문에 복구 작업이 번거로워지고 경우에 따라서는 시간이 훨씬 더 걸릴 수 있다.

▷ 차등 백업(Differential backup) :  마지막 ‘전체 백업’ 이후 변경된 ‘모든’ 데이터를 백업하는 방식이다. 이는 바로 이전의 전체 백업 혹은 증분 백업 이후 ‘변경된’ 데이터만 복사하는 증분 백업과는 다르다. 일단 파일이 변경되면 예정된 다음 전체 백업 시까지 매일 백업한다. 따라서 파일이 변경될 때마다 파일 크기가 증가하게 되며, 다음 전체 백업 때까지 파일크기가 점점 커지게 된다. 하지만, 전체 백업 이미지와 가장 최근의 차등 이미지만 복구하면 되기 때문에 복구 시점에 따라 다르긴 하지만 대개 증분 백업보다 복구 속도가 빠르다.

▷ 자동화 백업(CDP(Continue Data Protection) : 일반적인 파일단위 백업 서비스와는 달리 이미지백업 (Volume Snapshots 방식)이면서 분 단위까지 백업을 받고 필요시 특정 백업 시점으로 복원 할 수 있는 백업 서비스로서 Continuous Data Protection Back-Up 이라는 의미이다.

▷ SAN(Storage area network) : 블록 레벨 데이터 스토리지로 통합 액세스 할 수 있는 네트워크이다. SAN은 주로 서버가 로컬로 연결된 디바이스에 액세스 할 수 있도록 Disk어레이, 테이프 라이브러리 및 광학 주크 박스와 같은 스토리지 디바이스를 향상시키는 데 주로 사용된다.

▷ 랜섬웨어(Ransomware) : 악성코드의 종류로 사용자의 동의 없이 해당 컴퓨터에 불법으로 설치된다. 불법으로 설치된 랜섬웨어로 해당 컴퓨터에 저장된 파일을 암호화시켜 잠글 수 있다. 그러면 팝업 창이 뜨면서 컴퓨터가 잠겼으니 금액을 지불하지 않으면 컴퓨터에 접속할 수 없다는 경고가 나타난다.

▷ 리던던시(redundancy) : 정상 동작에 필요한 정도 이상의 여분의 장치/기능을 부가하여 안정성을 높인 백업 시스템이다.

▷ MTTR(Mean Time To Recovery) : 수리 가능한 품목의 유지 보수성을 측정하는 기본 척도이다. 고장난 구성 요소 또는 장치를 수리하는 데 필요한 평균 시간을 의미한다. 수학적으로 표현하면, 실패에 대한 총 교정 유지 보수 시간을 주어진 기간 동안의 실패에 대한 교정 유지 보수 총 횟수로 나눈 값이다.

▷ 시스템 커널(Kernel) : 운영 체제의 핵심 부분으로서, 운영 체제의 다른 부분 및 응용 프로그램수행에 필요한 여러 가지 서비스를 제공한다.

▷ 복구시점목표(RPO: Recovery Point Objective) : 재해 상황에서 수용할 수 있는 최대 허용 데이터 손실을 정의합니다. 예를 들어 재해가 발생했을 때 벙커 노드에 두 시간 분량의 데이터가 있고 한 시간 분량의 데이터만 재생해도 된다면 RPO는 한 시간입니다. 데이터 손실을 수용할 수 없다면 RPO는 0입니다.

▷ 복구시간목표(RTO: Recovery Time Objective) : 복구 시간 목표 데이터를 반드시 복구해야 하는 최대 허용 시간 제한을 정의합니다. 재해가 발생했을 때 시스템을 즉시 사용 가능하게 만들어야 하지만 일부 데이터 손실을 용인할 수 있는 경우 RTO는 0입니다.

☞ 랜섬웨어 대응 백업관련 추가 내용은 첨부 파일을 참고 바랍니다

한글 문서를 이용하는 악성코드 프로파일링

 뉴딜코리아 홈페이지

한글 문서를 이용하는 악성코드 프로파일링

2018 사이버 위협 인텔리전스 보고서 (금융보안원)

  CAMPAIGN

  DOKKAEBI
  Documents of Korean and Evil Binary


01 머리글

한글 워드프로세서 파일(Hangul Word Processor, HWP)을 이용하는 악성코드는 우리나라에서 주로 발견되고 있는 특징을 갖는 위협적인 공격 방법 중의 하나이다.

이 공격 방법이 효과적인 이유는 한글 워드프로세서가 주로 한국에서만 사용되고, 한국 정부기관에서 주요 공공문서를 한글 워드프로세서 파일(이하 한글문서)로 작성하고 있으며, 이러한 이유로 인해 국내의 수많은 민간 기업에서도 한글 워드프로세서를 이용하고 있는 등 우리나라의 특수한 환경 때문이다.


한글을 이용한 문서 편집기는 1982년 당시 고등학생이었던 박현철씨에 의해 개발된 애플 2 플러스에서 동작한 “한글 워드프로세서 버전 1.0”이 최초인 것으로 알려져 있으며, 이후 1985년 삼보에서 제작한 IBM PC용 한글 워드프로세서인 “보석글", 1987년 한글화하여 발매되었던 미국 팔란티어 소프트웨어사의 “팔란티어워드프로세서" 그리고 한글 워드프로세서 1.0 정식버전(1989년 4월) 출시 전까지 가장 많이 사용되었던 하나워드(금성소프트웨어 주식회사 개발, 1988년)까지 한글 워드프로세서의 역사는 오래되었다.


따라서, 한글 워드프로세서를 악용한 악성코드(이하 악성 한글문서) 역시 오래 되었으며, 주로 한글 워드프로세서를 활발하게 이용하고 있는 정부기관 및 기업을 대상으로 APT 공격에 활용됨에 따라 국내 보안업체 뿐만 아니라 글로벌 보안업체에서도 관심을 갖고 관련 분석 보고서를 공개하고 있다.


하지만 기존에 공개된 악성 한글문서를 분석한 보고서는 단일 샘플 또는 단일 사고에 대한 단편적인 분석 보고서인 경우가 많아, 악성 한글문서를 이용한 일련의 공격에 대한 전체적인 흐름 및 이해가 부족한 편이다.


이에 금융보안원은 다수의 위협그룹이 다양한 악성 한글문서를 이용해 수행한 공격들에 대한 종합적인 분석과 프로파일링을 통해 현재까지 사용된 각 위협그룹의 악성코드 유포 및 추가 악성코드 생성 방식, 사용한 취약점 등을 도출하여 그 결과를 본 보고서에 기술하였다. 단, 내용의 일부는 사실관계가 명확히 확인되지 않은 것과 정황에 따른 추정도 포함되어 있다


02 개요

침해사고 및 악성코드를 분석하면서 공격자, 제작자를 추적하는 일은 쉽지 않다.

특히 자신을 철저하게 은닉하며 공격하는 사이버테러의 경우에는 더욱 그러하다. 때문에 분석가들은 침해사고 전반에 걸친 TTP(Tactics,Techniques and Procedures)를 분석하여 공격자(그룹)를 프로파일링 한다.


이러한 프로파일링 결과는 새롭게 발생하는 침해사고 및 악성코드를 분석할 때 공격 예상 시나리오나 은닉 기법 파악 등에 도움이 된다.

또한, 공격대상이나 공격목표 등을 예측하여 대비태세를 점검하고, 피해를 예방하여 선제적 대응이 가능하게 한다.


금융보안원은 2015년부터 2018년 상반기까지 알려진1) 악성 한글문서들에 대한 분석을 진행하여 특징점을 분류하고, 이에 따른 연관성 분석 결과와 변화 추이를 살펴보았다.

다양한 악성 한글문서에 대한 연관성 분석 결과, 사이버 공격에 한글문서를 이용한 위협그룹은 크게 블루노로프(Bluenoroff), 김수키(Kimsuky), 스카크러프트(Scarcruft) 3개의 위협그룹으로 구분된다.

각 그룹별로 사용하는 악성 한글문서의 특징 및 추가 생성되는 악성코드는 차이가 있지만, 각 위협그룹의 활동 배경, 목적 그리고 공격 방식상의 유사성을 분석한 결과, 일련의 연속된 침해사고로 판단하여 이를 “Campaign DOKKAEBI: Documents of Korean and Evil Binary” 라는 이름으로 종합 보고서를 작성하였다.

위협그룹이나 침해사고 분석보고서를 공개할 때 코드명을 사용하는 것을 자주 접할 수 있다.

보통 군사작전에서 정보유출에 대비하거나 작전에 의미를 부여, 혹은 단순히 부르기 쉽도록 부여 하던 전통에서 이어진 것으로, 특히, 사이버테러(전쟁)와 관련된 분석결과에 코드명을 부여한다.

비슷하게 하나의 침해사고를 오퍼레이션(작전), 일련의 연속된 침해사고를 캠페인으로 부른다.


이 보고서에서는 악성 한글문서의 악성코드 특징을 추출하고 이를 통한 연관성 분석 결과 등을 담고 있다.
단, 오퍼레이션은 자세한 사항이 알려지지 않아 여러 경로에서 수집한 악성코드 샘플을 토대로 정황을 파악하였고, 또한 현재 수사가 진행중인 사례의 경우도 부분적인 내용만을 포함하고 있다

. 블루노로프 (Bluenoroff) 그룹
. 김수키 (Kimsuky) 그룹
. 스카크러프트 (Scarcruft) 그룹


☞ 추가 내용은 첨부파일(링크)을 참고(Click) 하세요..!

 

디지털 변혁(DX) 시대의 가상사설망 기술

 뉴딜코리아 홈페이지 

디지털 변혁(DX) 시대의 가상사설망 기술

1. 서론

디지털 변혁(Digital Transformation: DX)과 4차 산업혁명이 화두가 되면서 가상사설망(Virtual Private Network: VPN)이 다시 주목 받고 있다.

VPN은 제한된 접속을 허용하는 회사 내부 시스템 등을 인터넷을 이용하여 외부에서도 편리하게 사용할 수 있도록 하는 기술이다.

사물인터넷, 헬스케어 등 신산업 분여의 성장에 따라 안전한 통신 보장이 필수가 되면서 VPN이 새롭게 주목받고 있으며, 이에 따라 유료 및 무료 VPN 서비스가 증가하고 있다.

최근 사회관계망(SNS)에서의 아이디 도용으로 인한 침해사고는 스마트기기에 대한 직접 해킹보다는 공용 와이파이 구간에서 정보를 탈취하는 경우가 많아 개인정보보호 목적에서 VPN을 설치 운영하는 경우도 증가하고 있다.

그러나, 대부분의 정보 서비스는 역기능이 존재하며 VPN도 통신 구간을 암호화하는 특성으로 인해 해커들이 자신의 IP 주소를 숨기고 우회 접속 방법으로 사용하는 부작용도 나타나고 있다.

~~ 생략

☞ 추가 내용은 첨부 파일을 참고하세요 ...!

ISMS 인증컨설팅|취약점 진단 및 모의 침투|보안솔루션 공급

(070-7867-3721, ismsbok@gmail.com

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드(2017)

주요정보통신기반시설
기술적 취약점 분석ㆍ평가 방법 상세가이드 (2017.12)

1. 개요

주요정보통신기반시설 관리기관은 정보통신기반보호법 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월 이내, 그리고 매년 취약점 분석·평가를 실시하여야 한다.

취약점 분석·평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응위 위한 종합적 개선 과정이다.

한편, 취약점 분석·평가를 수행함에 있어 기술적 점검은 시스템에 대한 실제 보안 값 설정에 관한 것으로, 각 시스템에 대한 명령어 코드(Command), 메뉴 구성(UI)과 같은 기술적인 사항을 충분히 숙지하여야 가능하기에 주요정보통신기반시설 담당자들의 어려움이 따르게 된다.

이런한 기술적 점검에 대한 어려움을 해소하고, 주요정보통신기반시설 담당자들의 이해를 돕기 위해 과학기술정보통신부와 한국인터넷진흥원에서는 전체 313개 기술적 점검항목에 대한 가이드를 발간하게 되었다.

각각의 점검항목이 의미하는 위험내역 설명과 함께, 점검방법 및 조치방법을 실제 시스템 입력화면 등을 확용하여 상세 설명하였으며, 특정 벤더사의 제품으로 한정하지 않고 대표적인 벤더사 제품별로 구분하여 설명을 제시하였다.

특히, 이번 개정판 에서는 Windows 10 · 2012 server, TIBERO, ALTIBASE 등 영역별 신규시스템을 추가하여 담당자들의 활용성을 더욱 높였다.(뉴딜코리아)

2. 목적 및 구성

□ 목적 : 주요정보통신기반시설 담당자의 기반시설 보호 역량강화를 위한 기술적 안내 제공

□ 대상 : 주요정보통신기반시설 정보보호 담당자

□ 범위 : 주요정보통신기반시설 기술적 취약점 분석·평가 항목 313개

□ 구성 : 기술적 점검 기준(313개 항목)의 항목 설명, 점검(설정확인) 방법, 조치 방법(Unix, Windows, 보안장비, 네트워크장비, 제어시스템, PC, DBMS, Web)

□ 활용 : 주요정보통신기반시설 기술적 취약점 분석 및 보안조치 시 활용

※ 문의 : 뉴딜코리아 컨설팅사업부 ( 070-7867-3721,  ismsbok@gmail.com)

<유의 사항>

○ 본 가이드는 기술적 취약점 분석·평가 항목별 점검 방법의 이해를 돕기 위해 발간된 것으로, 수록된 점검 방법은 취약점 분석·평가 수행 중 활용할 수 있는 참조의 대상일 뿐, 절대적이지 않습니다.

더욱이 점검 대상의 세부 버전, 패치 내용 등에 따라 점검 방법은 언제든지 변경 될 수 있습니다.

따라서 본 가이드에 수록된 내용 이외에도 다양한 점검 방법을 사용하여 취약점 분석평가를 수행하시기 바랍니다.

○ 본 가이드의 수록된 판단기준은 일반적으로 통용되는 권고사항으로, 양호 혹은 취약을 가르는 실제 판단기준은 각 주요정보통신기반시설 현업에 적용되고 있는 다양한 정책 및 운용 상황을 고려하여 취약점 분석·평가 수행자가 최종적으로 결정해야 합니다.

예를 들어 본 가이드에 수록된 판단기준에 의하여 취약판단을 받게 되어도 그 위험을 부담할 수 있는 합당한 보안조치와 근거를 수반하고 있다면 양호로 판단할 수 있습니다.

○ 본 가이드를 교육기관 등에서 교육 자료로 활용하는 것을 권장하지 않습니다.

○ 본 가이드에 수록된 점검 및 조치 사례는 시스템 유형별로 다음(표. 분야별 점검대상 테스트 세부 버전) 버전에서 실증 되었습니다.

○ 개선 사항(취약점 개요, 점검 방법, 조치 방법 등)에 대한 의견을 항상 소중히 듣겠습니다. (한국인터넷진흥원)

☞ 첨부파일 : 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법 상세가이드 (2017.12)

컨설팅 : ISMS-P, ISO2710, PCI-DSS, GDPR
취약점 진단 및 모의침투
070-7867-3721,  ismsbok@gmail.com

해외 주요국(영국, 프랑스, 독일 등)의 GDPR 대응 동향

해외 주요국(영국, 프랑스, 독일 등)의 GDPR 대응 동향


□ 개요

○ 유럽 일반 개인정보보호법(General Data Protection Regulation, 이하 ‘GDPR’) 시행(’18.5.25)
관련하여 해외 주요국 개인정보보호 감독기구들은 다양한 방식으로 대응해왔음

 • 본 동향보고서에서는 영국, 프랑스, 독일, 폴란드, 네덜란드 등 유럽 국가 중심으로 GDPR대응 현황에 대해 검토하고자 함

 *(참고)
- 유럽국가 및 미국, 호주, 캐나다 등을 중심으로 (2017년 9월 핫이슈, 월간 동향보고서)
- 해외 주요 기업들의 GDPR 대응동향, EU 29조 작업반의 GDPR 대응동향(2018년 3월, 4월 월간 동향보고서)

[목차]

1. 개요

2. 영국
- 브렉시트 이후의 대응 방향
- 영국 개인정보보호 감독기구 ICO의 GDPR 대응 동향

3. 프랑스
- 법률 정비
- 프랑스 개인정보보호 감독기구 CNIL의 GDPR 대응 동향

4. 독일 - 법률 정비
- 독일 개인정보보호 감독기구(DPA)의 GDPR 대응 동향

5. 폴란드

6. 네덜란드

☞ 상세 내용은 첨부 파일을 참고 바랍니다.