ISMS-P 인증기준과 개정 전 인증기준 비교표
정보보호 및 개인정보보호 관리체계 인증기준과 개정 전 ISMS, PIMS 인증기준 비교표입니다.
2018년 11월 13일 화요일
2018년 11월 11일 일요일
주요 웹 브라우저 2020년 TLS1.0 및 TLS1.1 통신 지원 중지
주요 웹 브라우저 2020년 TLS1.0 및 TLS1.1 통신 지원 중지
(BROWSER VENDORS UNITE TO END SUPPORT FOR 20-YEAR-OLD TLS 1.0)
Chrome, Firefox, Edge, Safari, Explorer를 포함한 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표
■ TLS의 초기버전인 TLS1.0, TLS1.1은 POODLE 및 BEAST와 같은 다양한 공격에 취약
▷ SSL Protocol을 기반으로 개발된 TLS는 클라이언트-서버 간 안전하고 암호화된 통신 채널을 설정하는데 사용되고 있음
▷ POODLE(Padding Oracle On Downgraded Legacy Encryption) 취약점 : 구식 암호화 기법을 악용할 수 있게 하는 프로토콜 다운그레이드 취약점
▷ BEAST(Browser Exploit Against SSL/TLS) 취약점 : 앤드 유저 브라우저에서 HTTPS의 쿠키들을 해독하고 효과적인 타킷의 세션을 하이제킹할 수 있는 취약점
▷ TLS는 현재 1.0, 1.1, 1.2, 1.3(최신)으로 총4개의 버전 존재
■ TLS1.2 이상으로 업그레이드하고 브라우저 옵션에서 TLS1.0, TLS1.1 사용옵션 해제 권장
▷ PCI Data Security Standard(PCI DSS)*, Gitlab 등 업체들이 올해 안에 하위 버전 지원 중단
* 신용카드 회원의 카드정보 및 거래정보를 안전하기 관리하기 위해 신용카드 결제전 과정에 결쳐 준수하여야 하는 신용업계 보안표준
▷ Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기에 TLS1.0 및 TLS1.1 지원을 완전히 삭제 예정
▷ MS는 이미 많은 웹사이트가 새로운 버전의 프로토콜로 이동하였으며, 현재 사이트의 94%가 TLS1.2를 지원하고 있음
[참고]
https://cyberdynesystems.ai/chrome-firefox-edge-and-safari-plans-to-disable-tls-1-0-and-1-1-in-2020/
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
공공웹사이트 인증 수단 소개
■ 공공웹사이트 인증 수단 소개
1. 인증수단 개요
□ 공공웹사이트에서 본인확인 및 본인인증(로그인 등)수단으로 이용 가능한 인증수단에 대해 소개함
□ 인증수단 분류
▷ 인증수단은 인증 특성에 따라 지식기반, 소지기반, 생체기반, 행동기반으로 분류함
<인증특성 분류 >
ㅇ 지식기반 :
- 사용자가 알고 있는 지식을 활용하여 사용자를 인증하는 방법
예시) ID/PW, 문답식 인증 등
- 사용자가 알고 있는 지식을 활용하여 사용자를 인증하는 방법
예시) ID/PW, 문답식 인증 등
ㅇ소지기반 :
- 사용자가 소지하고 있는 인증수단을 활용하여 사용자를 인증하는 방법
예시) OTP, 휴대폰SMS,공인인증서 등
- 사용자가 소지하고 있는 인증수단을 활용하여 사용자를 인증하는 방법
예시) OTP, 휴대폰SMS,공인인증서 등
ㅇ 생체기반 (특성기반)
- 사용자의 생체정보를 활용하여 사용자를 인증하는 방법
예시) 지문, 홍채, 정맥 등
- 사용자의 생체정보를 활용하여 사용자를 인증하는 방법
예시) 지문, 홍채, 정맥 등
ㅇ 행동기반 (습관기반)
- 스마트폰, 스마트패드 등을 통해 서명을 하거나 키보드를 통해 정보를 입력할 때 사용자의 행동 패턴을 분석하여 인증하는 방법
예시) 키보드 타이핑 행위, 서명패턴 등
- 스마트폰, 스마트패드 등을 통해 서명을 하거나 키보드를 통해 정보를 입력할 때 사용자의 행동 패턴을 분석하여 인증하는 방법
예시) 키보드 타이핑 행위, 서명패턴 등
▷ 또한, 인증요소의 개수에 따라 단일인증방식과 다중인증방식으로 나뉨
<인증요소별 분류>
ㅇ 단일인증
- 한가지의 인증요소를 이용하여 식별자의 신원을 검증하는 방식
예시) ID/PWD 등
- 한가지의 인증요소를 이용하여 식별자의 신원을 검증하는 방식
예시) ID/PWD 등
ㅇ 다중인증
- 두가지 이상의 인증요소를 함께 사용하여 안전성 및 보안성을 높여 인증하는 방식
예시) ID/PWD+OTP, ID/PWD+ARS 등
- 두가지 이상의 인증요소를 함께 사용하여 안전성 및 보안성을 높여 인증하는 방식
예시) ID/PWD+OTP, ID/PWD+ARS 등
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
2018년 11월 5일 월요일
정보보호시스템 구축을 위한 실무가이드
1. 정보보호의 범위
○ ‘정보보호’는
① 사이버보안(네트워크·시스템 보안, 관제, 디지털 포렌식 등),
② 물리보안(영상감시, 바이오 인식, 무인전자경비 등),
③ 사이버 보안과 타 산업이 융합된 융합보안(제조, 에너지, 교통, 의료, 홈·가전 등에 대한 보안)으로 분류할 수 있습니다.
종래의 정보보호가 해킹, 바이러스 대응을 위한 사이버보안 중심이었다면 최근에는 전 산업이 ICT 기술과 연계·융합되면서 기존 사이버공간의 위험이 현실세계로 전이(轉移)되어 대부분의 제품에 보안이 필요한 시대가 도래함에 따라, 점차 물리보안과 융합보안으로 그 범위가 확장되고 있는 상황입니다.
○ ICT 기술의 발전에 따른 정보보호의 범위 확장을 반영하여 정보보호의 범위에 사이버보안 외에 물리보안을 포함하여 규정하고 있습니다.
즉, 사이버보안과 관련해서는
① 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하는 것 및 ②정보의 훼손, 변조, 유출 등이 발생한 경우 이를 복구하는 것을 규정하고 있으며, 물리보안과 관련해서는 암호·인증·인식·감시 등의 보안기술을 활용하여 ③ 재난·재해·범죄 등에 대응하거나 ④ 관련 장비·시설을 안전하게 운영하는 것을 규정하고 있습니다.
2. 정보보호시스템
정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지 및 복구하거나 또는 암호·인증·인식·감시 등의 보안기술을 활용하여 재난·재해·범죄 등에 대응하거나 관련 장비·시설을 안전하게 운영하기 위한 관리적・기술적・물리적 수단
3. 정보보호사업
정보보호기술 및 정보보호제품을 개발・생산 또는 유통하거나 정보보호 서비스를 제공하는 산업(정보보호산업)과 관련된 경제활동
▹ 사업 : 사업 추진 준비 단계부터 사업이행 및 관리단계까지 전 단계에 걸쳐 추진되는 대상을 의미한다.
▹ 프로젝트 : “사업” 중 사업자 선정 시점부터 인수 및 사업 종료까지 걸쳐 추진되는 대상을 의미한다.
즉, “사업”은 “프로젝트”를 포함하는 개념으로 사용한다.
※ 출처 : 소프트웨어사업 요구사항 분석 적용 가이드 (NIPA, ‘12.12)
4. 첨부파일 : 정보보호시스템 구축을 위한 실무가이드 (2018. 06)
<목차>
제 1 장 정보보호사업 개요
제 1 절 정보보호사업 정의
제 2 절 정보보호사업 발주 단계
제 3 절 사업 계획 수립
제 2 장 제안요청서 작성
제 1 절 제안요청서 개요
제 2 절 사전 준비
제 3 절 제안요청서 작성
가. 사업 개요
나. 현황 및 문제점
다. 사업 추진방안
라. 제안요청 내용
마. 제안서 작성요령
바. 제안 안내사항
사. 기타 사항
제 4 절 제안요청서 검토
제 3 장 사업자 선정 및 계약
제 1 절 사업 발주 계획 수립
제 2 절 제안평가 및 계약
제 4 장 사업 수행 및 검사
제 1 절 사업 이행 및 관리
제 2 절 검사 및 종료
별첨. 서식
부록. 발주가이드 참고 자료
1. 사업유형 분류표
2. 요구사항 표준 패키지
3. 사업유형별 요구사항 매핑표
4. 제안요청서 적용 법제도 목록
5. 사업유형별 제안요청서 표준 템플릿
- 과학기술정보통신부 | 한국인터넷진흥원
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
2018년 11월 4일 일요일
5세대 이동통신(5G) 보안 기술 관련 표준화 동향
■ 5세대 이동통신(5G) 보안 기술 관련 표준화 동향
1. 개요
최근 사물인터넷(IoT), 4차 산업혁명이라는 용어는 어디서나 너무나 쉽게 접할 수 있게 되었으며, 해당 기술이 전 산업으로 확산 및 적용되면서 덩달아 핫이슈로 떠오르는 용어가 5G, 즉 5세대 이동통신이다.
5G는 기존 1세대 이동통신망인 아날로그통신망에서 최근 4세대인 LTE를 이어나가는 새로운 이동통신망을 의미하며, 기존 4G LTE 보다 데이터 용량이 약 1000배 많고 속도도 약 200배 정도 빠른 이동통신망이다.
ITU-T를 통해 국제적으로 표준화된 용어는 IMT-2020이며 전송속도, 이동속도, 주파수 효율, 최고 전송속도, 최대 기기 연결 수 등 다양한 목표를 가지고 태어난 차세대 이동통신망이다.
5G 보안의 경우 네트워크 자체에 대한 보안은 기존 4G LTE가 가지고 있는 보안 기술과 유사하다고 할 수 있다.
다만, 향후 4차 산업혁명과 같이 다양한 산업에 광범위하게 적용되기 위해서는 안전이 최우선으로 고려되어야하기 때문에 최근에 양자암호나 블록체인과 같은 기술을 적용하여 5G 네트워크의 안전성을 강화하는 흐름으로 추진되고 있다.
이러한 흐름에 맞춰 5G 보안 기술과 연관된 표준들의 개발도 최근에 증가하고 있는 추세이며. ITU-T에서도 2018년부터 5G 보안 관련 권고안이 신규 워크 아이템으로 채택되어 개발 중에 있다.
또한, 양자 암호 기술에 대한 권고안도 2018년 9월 회의에서 신규 워크 아이템으로 제안되었다.
본 표준화 보고서는 지난 2018년 8월 29일부터 9월 7일까지 스위스 제네바에서 개최된 ITU-T SG17 정기회의에서 논의된 5G 보안 기술과 관련한 표준화 동향을 소개하고자 한다.
2. 5G 보안 기술의 필요성
최근 자동차, 가전, 스마트 공장, 스마트 의료 등 우리의 생활과 밀접한 다양한 산업 전반에 네트워크가 연결되고 IoT 기술이 접목되면서 모든 산업과 생활 공간이 하나의 네트워크로 연결되는 컨넥티드 사회로 진화하고 있다.
이러한 현상을 최근에는 4차 산업혁명이라고 부르고 있으며, 정부에서도 4차 산업혁명을 달성하기 위해 많은 예산과 기술인력을 투입하여 가시적인 성과를 내고자 분주히 노력하고 있다.
하지만, 4차 산업혁명이라는 거대한 목표를 달성하기 위해 간과하면 안되는 것이 바로 보안사고 문제이다.
특히나 자동차, 가전, 의료 등의 경우 국민의 생명과 직결될 수 있는 분야이기 때문에 해킹사고를 미연에 방지하기 위한 보안 기술의 적용은 무엇보다도 중요하다고 할 수 있다.
4차 산업혁명에서 핏줄 역할을 하는 것이 네트워크이고, 이러한 네트워크를 편하고 빠르고 안전하게 구축하기 위해 국내 뿐 아니라 세계적으로도 5G 기술 개발에 많은 노력을 기술이고 있으며, 이 중에 5G 보안 기술이 핵심 기술 중에 하나로 포함되어 개발되고 있다.
최근, ITU-T 에서도 이러한 필요성을 인지하고 2018년부터 SG7 Q6을 전담분과로 지정하고 5G 보안 기술에 대한 표준을 개발하고 있다.
3. IoT 보안 기술 표준화 진행 상황 및 표준화 회의 결정사항
현재 SG17 Question 6에서 추진하고 있는 5G 보안 기술 관련 표준화는 총 2건이 있으며,
그 중 중국에서 제안한 “5G 시스템내 양자 내성 알고리즘에 대한 보안 가이드라인(X.5Gsec-q)” 권고안은 2018년 3월 회의에서 신규 워크 아이템으로 제안되어 채택된 권고안으로, 5G시스템의 보안 구조 소개, 양자컴퓨터 이용 시 5G 시스템의 보안 수준 평가, 양자 내성 암호 이용 기준 등을 포함하는 권고안이며.
본 권고안의 경우 2018년도 9월 회의에서 첫번째 기고서를 제안하였으며, 해당 내용 검토 후 권고안에 반영하기로 합의되었다.
두번째 5G 보안 관련 권고안은 중국에서 제안한 “5G 에코시스템의 신뢰관계를 기반한 보안 프레임워크(X.5Gsec-t)”이며, 2018년 9월 회의를 통해 신규 워크아이템으로 제안이 되었으며, 회원국의 커멘트를 받아들여 제목 및 일부 표준화 범위를 수정하여 최종 신규 워크아이템으로 채택되었다.
현재까지, 5G 보안 관련 권고안은 2018년도에 제안된 2건이며 향후 지속적으로 5G 보안 관련 권고안이 제안될 것으로 기대된다.
4. IoT 보안 기술 표준화 관련 시장 전망 및 국내 표준화 활동에의 제언
앞에서도 언급했지만 5G 보안기술은 최근 정부에서 관심이 많은 4차 산업혁명에 필수적인 요소 기술이며 이동통신사를 포함한 국내 산업계, 정부, 학계에서 많은 관심을 가지고 있으며, 다양한 5G 서비스에 활용 가능한 보안기술 개발이 활발히 진행되고 있다.
따라서, 5G 보안 기술 표준화에 대한 시장성은 매우 높다고 할 수 있으며, 5G 보안 기술에 대한 표준화 선점은 향후 국내 산업 경쟁력에도 크게 도움이 될 것으로 판단된다.
다만, 최근 ITU-T에서는 중국이 5G 보안 기술 표준화를 주도하는 분위기이기 때문에 국내 이통사를 비롯한 산업계, 학계 등에서 연구 개발되고 있는 우수한 5G 보안기술에 대한 조속한 국제 표준화 추진이 절실히 필요하다고 할 수 있다.
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
피드 구독하기:
글 (Atom)