2019년 1월 29일 화요일

온라인광고 법제도 가이드북 (2018.12)

 뉴딜코리아 홈페이지 


■ 온라인광고 법제도 가이드북 (2018.12)

본 가이드북을 활용하는 분들께 ...

온라인광고는 스마트 기기의 보편화, IT 관련 기술의 발전과 함께 기술적 발전을 거듭하여, 이제 전체 광고 시장을 주도하는 핵심적인 마케팅 수단으로 활용되고 있습니다.
그러나 산업 발전 이면에는 허위·과장 광고 및 불법 광고로 인한 피해가 증가하여 온라인광고 산업 발전에 부정적인 영향을 미치고 있습니다.

본 가이드북은 각 법률에 산재되어 있는 광고 관련 법규를 알기 쉽게 정리하여 실무자들의 법률적 업무 편의를 도모하고, 업계의 자율적인 불법·유해 광고 근절 노력에 도움을 드리고자 제작되었습니다.


본 가이드북은 어디까지나 온라인광고의 제작부터 집행까지 진행하는 과정과 관련된 참고자료 이므로 다음과 같은 점을 주의해서 활용하시기 바랍니다.

․본 가이드북은 법률 정보를 제공하기 위한 목적으로 제작되었습니다.
 따라서 법적인 책임을 담보하지 않으며, 자세한 사항은 각 행정부처 및 매체에 문의하시기 바랍니다.

․각 품목의 심의와 관련된 세부 사항은 각 품목별 심의기관에 문의하시기 바랍니다.

․집행된 광고에 대한 1차적인 법적 책임은 광고주에게 있습니다.
 그러나 사안에 따라서는 광고대행사 및 매체사가 법적 책임을 질 수도 있으니 이에 유의하시기 바랍니다.

․광고물과 연결되는 랜딩페이지(Landing Page)는 본 가이드북에서 의미하는 광고물에 해당되지 않습니다.

․본 가이드북의 청소년 연령 기준은 만 19세 미만의 자입니다. 그러나 청소년 연령 기준이 각 법령에 따라 별도로 규정되어 있는 경우가 있으니 주의하시기 바랍니다.

․온라인광고의 유형과 광고 대상, 광고 물품, 사용되는 문구, 이미지 등에 따라 법률 기준이 상이하게 적용될 수도 있으니, 광고 집행과 관련한 세부 사항은 각 심의기관에 문의하시기 바랍니다.



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

2019년 1월 28일 월요일

취약점 표준코드 CVE의 개념과 목적

 뉴딜코리아 홈페이지 


■ 취약점 표준코드 "CVE"의 개념과 목적

CVE는 '정보 보안 취약점 표준 코드(Common Vulnerabilities and Exposures)'의 약자이다.

1999년, 미국 연방 정부의 후원을 받는 비영리 연구 개발 기관인 MITRE가 소프트웨어와 펌웨어의 취약점들을 파악하고 분류해, 기업과 기관이 보안 강화에 사용할 수 있는 무료 '코드(Dictionary)'를 만들기 위해 시작한 프로그램이다.

이 코드는 알려진 취약점을 식별하는 방식을 표준화하는 데 목적이 있다.

표준 ID는 보안 관리자가 여러 다양한 CVE 지원 정보 소스에서 특정 위협에 대한 기술적 정보를 찾아 활용하도록 도움을 준다.

미국 국토 안보부(DHS) OCSIA(Office of Cybersecurity and Information Assurance) 산하 US-CERT가 CVE를 후원하고 있다.

그리고 MITRE가 CVE 코드와 웹사이트를 운영, 관리한다.

이와 함께 공인된 CNA(CVE Numbering Authorities)가 규명한 표준 CVE 식별자 사용을 장려하는 CVE 호환성 프로그램(CVE Compatibility Program)을 관리하고 있다.


컴퓨터 보안 취약점이란

CVE 웹사이트에 따르면, 취약점은 공격자가 시스템이나 네트워크에 직접 접속할 수 있도록 만드는 소프트웨어 코드의 오류다.

공격자는 완전한 접속 권한을 가진 수퍼 유저나 시스템 관리자를 가장할 수 있다.


컴퓨터 보안 익스포저(Exposure)란

익스포저는 공격자에게 시스템이나 네트워크에 간접 접속할 수 있는 권한을 주는 오류다.

이를 통해 공격자는 고객 정보를 수집해 판매할 수 있다.

다음은 CVE 이사이자 레드랫 제품 보안 수석 소프트웨어 엔지니어, DWF(Distributed Weakness Filing) 프로젝트 책임자인 커트 세프라이드의 도움을 받아 발췌, 정리한 Q&A이다.


Q. CVE 리스팅이란

A. CVE는 단순한 취약점 데이터베이스가 아니다.

취약점 데이터베이스와 다른 기능들을 연결하고, 보안 도구와 서비스를 비교하는 데 도움을 줄 수 있도록 고안됐다.

CVE 리스팅은 상태 지표(Status indicator)와 표준 식별 번호, 간략한 설명, 관련 취약점 보고서 및 권고(경보) 정보에 대한 참조로 구성되어 있다.

위험이나 영향, 픽스, 상세한 기술 정보는 포함되어 있지 않다.

미국 NVD(National Vulnerability Database)에는 CVE 리스트 식별자와 관련된 픽스, 점수, 기타 정보 등이 들어있다.


Q. 해커가 CVE를 사용해 네트워크에 침입할 수 있을까

A. 간단히 대답하면 '그렇다'이다.

하지만 MITRE와 CVE 이사회는 CVE는 위험보다 큰 장점을 갖고 있다고 주장한다.

CVE는 공개된 취약점과 익스포저를 목록으로 제공한다.

숙련된 해커라면 이미 알고 있을 정보들이다.

기업과 기관은 네트워크를 보호하고, 모든 취약점을 없애기 위해 해커가 하나의 취약점을 찾아 악용하고, 네트워크를 침해하는 것보다 더 많은 노력을 경주해야 한다.

정보를 공유하는 것이 낫다는 생각을 하는 정보 보안 분야 종사자가 증가하고 있다. 이런 이유로, CVE 이사회와 CNA에도 유수 정보 보안 기업, 기관이 참여하고 있다.


Q. CNA란 무엇인가

A. CNA는 CVE ID를 규명해 연구원이나 IT 개발업체에게 배포하는 기관이다.

이들이 새로운 취약점을 공개할 때 이용하도록 만들기 위해서다.

CNA는 MITRE와 CVE가 '페더레이션 시스템'으로 부르는 조직의 일부이다.

여기에는 현재 62개 기업과 기관이 참여해, 1차(Primary) CNA인 MITRE의 직접적인 관여없이 취약점을 찾고, 특정 취약점에 ID 번호를 할당하는 활동을 지원하고 있다.

어도비(Adobe), 애플(Apple), 시스코(Cisco), 구글(Google), HPE(Hewlett Packard Enterprise), 화웨이(Huawei), IBM, 인텔(Intel), 마이크로소프트(Microsoft), 모질라(Mozilla), 오라클(Oracle), 래피드 7(Rapid 7), 레드햇(Red Hat), 지멘스(Siemens), 시만텍(Symantec), VM웨어(VMWare) 같은 기업과 CERT/CC(Computer Emergency Response Team/Coordination Center) 및 DWF 프로젝트 같은 조직이 CAN으로 참여하고 있다.


Q. CNA가 되기 위한 자격과 조건은

A. 사용자 기반이 많고, 보안 역량이 충분한 개발업체, CERT 같은 지역 조율/조정 기관, ISAC(Information Sharing Analysis Center) 같이 특정 분야를 대표하는 도메인 발행기관, 기타 유수 연구 기관이 CNA가 될 수 있다.

자사의 제품과 관련이 있을 수 있는 제품 취약점을 처음 공개, 또는 발표하는 체계를 갖추고 있어야 한다.


Q. 루트(Root) CNA란 무엇인가

A. MITRE는 1차(Primary) CNA이고, 루트 CNA는 특정 영역이나 틈새 영역을 다루는 CNA이다.

자사의 제품과 관련해서만 취약점을 공개하는 마이크로소프트 같은 업체가 루트 CNA인 경우가 많다.

레드햇 같은 경우 오픈소스 취약점에 초점을 맞추는 루트 CNA이다.

세프라이드는 신청자는 자신이 하고 싶은 역할을 어느 정도 선택할 수 있다고 말했다.

세프라이드는 "DWF/JP-CERT/CC 같은 기관, 또는 레드햇이나 마이크로소프트 같은 기업으로 루트 CNA가 되고 싶다면 MITRE에 요청하면 된다.

오픈소스 프로젝트를 추진하고 있고, 규모가 크다면 과거 아파치 재단처럼 MITRE에 직접 요청할 수 있다.

또는 DWF 산하의 하위 CNA가 되는 방법도 있다"고 설명했다.


Q. 최신 CVE 리스트를 확인할 수 있는 장소는

A. 매일, 그리고 가용한 즉시 CVE 웹사이트에 새로운 CVE 식별자가 추가된다.

최신 CVE는 'CVE List Master Copy' 페이지에서 확인할 수 있다.

CERIAS와 퍼듀 대학(Purdue University)은 CVE 리스트가 변경됐는지 모니터링할 수 있는 무료 도구를 공급하고 있다.

여기에 더해 'CVE Change Logs'로 매일, 또는 매월 리스트 변경 사항에 대한 정보를 제공한다. 

이 도구는 CERIAS 카산드라 사고 대응 데이터베이스 서비스의 기능이다.

'CVE-Compatible Products and Services' 페이지에서 찾을 수 있다.

미국 취약점 데이터베이스(US National Vulnerability Database)에도 새로운 CVE 식별자가 반영된다.


Q. 새로운 취약점과 익스포저 각각에 대한 '심사(Vetting)' 프로세스는

A. 세프라이드에 따르면, CVE에 클레임 기반 모델을 적용한다.

지난 해 개최된 이사회 회의 회의록에 잘 요약 정리되어 있다.

개발업체가 확인하지 못하는 경우에도, 연구원이 소프트웨어에서 찾아낸 취약점이나 설계 측면의 오류에 CVE ID를 할당한다.

연구원은 취약점 악용과 관련된 상황 등, 부정적인 영향이 초래된다는 점을 입증하는 증거를 제시해야 할 수도 있다.

세프라이드는 "근거가 확실할수록 CVE로 지정될 확률이 높다"고 말했다.

레드햇 같이 평판이 높은 개발업체의 경우, 일반적으로 그 주장을 신뢰한다.

퀄리스(Qualys)와 같이 잘 알려진 보안 업체나, 타비스 오르만디와 같은 보안전문가, 화이트 햇 해커의 주장에도 동일한 기준을 적용한다.

세프라이드는 "CVE에 의심이 제기되는 경우, 이를 거부하는 프로세스, '분쟁' 프로세스도 갖추고 있다"고 덧붙였다.


Q. CVE 리스트에는 모든 알려진 취약점과 익스포저가 포함되어 있는가

A. 아니다.

반영된 비율과 관련된 논쟁이 있다.

CVE에 따르면, 이 프로그램은 '포괄성(comprehensive)'을 목표로 추구한다.

누락된 취약점과 익스포저 비율에 대한 추정은 1/3부터 1/2까지 다양하다.

MITRE는 이에 대한 언급을 거부한다.

이를 계산하는 보편적으로 수용되는 방법이 없기 때문이다.



Q. CVE는 어떻게 네트워크 보호에 도움을 주는가

A. 기업과 기관은 특정 취약점이나 익스포저에 대한 CVE ID를 활용, 신속하면서 정확히 다양한 CVE 지원 정보 소스에서 관련 정보를 획득할 수 있다.

또한 여러 다양한 보안 도구와 서비스를 더 효과적으로 비교할 수 있다.

기업과 기관이 자사의 필요 사항에 가장 잘 부합하는 도구와 서비스를 선택할 수 있다는 의미다.

CVE 호환 제품과 서비스를 이용, 보안 권고(경고)에 더 효과적으로 대응할 수 있다.

CVE와 관련된 권고(경고)인 경우, 스캐너나 보안 서비스가 이런 위협을 다루는지, 침입 감지 시스템이 적절히 공격 신호를 포착했는지 확인할 수 있다.

고객을 위해 시스템을 구축하거나 관리하는 기업들의 경우, 이런 시스템에 탑재된 상용 소프트웨어 개발업체의 픽스를 쉽게 찾을 수 있다.

이를 위해서는 개발업체의 픽스 사이트가 CVE를 지원해야 한다.





컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
  


2019년 1월 27일 일요일

워너크라이(WannaCry) 랜섬웨어 감염 사례

 뉴딜코리아 홈페이지 

워너크라이(WannaCry) 랜섬웨어 감염 사례



2017년 5월, 워너크라이(WannaCry) 사건은 전 세계 모든 뉴스 일면을 장식하며, 랜섬웨어 역사의 새로운 획을 그었다.

랜섬웨어는 지난 10년간 높은 감염성을 보여 왔으며, 이제는 전 세계를 대상으로 하는 사이버 위협으로 자리 잡았다.

미국 정부의 통계에 따르면 2005년부터 랜섬웨어 공격 건은 온라인 데이터 침해 건을 앞질렀으며, 사이버보안 최고의 문제로 부상하였다.


이전까지의 랜섬웨어 공격 규모는 세계가 주목할 수준은 아니었다.

하지만 최근 발생한 워너크라이 사태는 전 세계인들의 이목을 랜섬웨어로 집중시키는 계기가 되었다.

워너크라이 랜섬웨어는 영국의 국민건강보험공단(NHS)을 비롯한 세계 주요 공공 기관들을 감염시켰으며, 동시에 전 세계 30만대 이상의 컴퓨터들을 감염시키면서, 전 세계를 떠들썩하게 만들었다.


워너크라이 사건은 전 세계가 랜섬웨어를 주목하게 만든 사건이며, 동시에 앞으로 다가올 위협 예측에 있어서, 의미하는 바가 큰 사건이었다.

랜섬웨어를 배포하는 악성코드는 날로 정교해져가며 배포 방법 또한 효율적인 방법으로 발전 하고 있다.

이러한 흐름을 바탕으로 가까운 미래에 더욱 심각한 랜섬웨어 공격이 발생할 수 있다고 예측하는 것은 어려운 일이 아닐 것이다.

~~ 첨부파일 참고


용어정리

o 랜섬웨어
컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다.

컴퓨터 및 데이터로의 접근 제한을 없애려면 해당 악성 프로그램 개발자에게 비용 지불을 강요받게 된다.

이때 데이터가 암호화되는 랜섬웨어가 있는 반면, 어떤 것은 시스템을 잠그고 사용자가 지불하게 만들기 위한 안내 문구를 띄운다.

최근 전 세계적인 랜섬웨어를 통한 대량해킹은 인터넷 세계의 사이버 아마겟돈으로 불리어진다.


o 워너크라이 (Wannacry), 워너크립트 (WannaCrypt)
2017년 5월 12일부터 등장한 랜섬웨어 멀웨어 툴이다.

2017년 5월 12일부터 대규모 사이버 공격을 통해 널리 배포되었으며, 전 세계 99개국의 컴퓨터 12만대 이상을 감염시켰다. 감염된 컴퓨터로는 20개의 언어로 비트코인을 지급하면 풀어주겠다는 메시지를 띄웠다.


o RSA 암호
공개키 암호시스템의 하나로, 암호화뿐만 아니라 전자서명이 가능한 최초의 알고리즘으로 알려져 있다.

1978년 로널드 라이베스트(Ron Rivest), 아디 샤미르(Adi Shamir), 레너드 애들먼(Leonard Adleman)의 연구에 의해 체계화되었으며, RSA라는 이름은 이들 3명의 이름 앞 글자를 딴 것이다.

RSA가 갖는 전자서명기능은 인증을 요구하는 전자 상거래 등에 광범위하게 활용되었다.


o AES (Advanced Encryption Standard) 암호
2001년 미국 표준 기술 연구소(NIST)에 의해 제정된 암호화 방식이다.

AES는 두 명의 벨기에 암호학자인 존 대먼과 빈센트 라이먼에 의해 개발된 Rijndael(레인달) 에 기반하며 AES 공모전에서 선정되었다.


o 비트코인
비트코인은 블록체인 기술을 기반으로 만들어진 온라인 가상화폐이다.

비트코인의 화폐 단위는 BTC로 표시한다. 2008년 10월 나카모토라는 가명을 쓰는 익명의 개발자 또는 그룹이 개발하여, 2009년 1월 프로그램 소스를 배포했다.

중앙은행이 없이 전 세계적 범위에서 P2P 방식으로 개인들 간에 자유롭게 송금등의 금융거래를 할 수 있게 설계되어 있다.


o 드라이브 바이 다운로드 (Drive-by Download)
사용자가 웹사이트에 방문하는 자체만으로도 사용자 모르게 악성코드가 다운로드 되는 사이버 공격 방법 가운데 하나이다.


o CVE 취약점
CVE(Common Vulnerabilities and Exposure)는 공개적으로 알려진 소프트웨어의 보안취약점을 가리키는 고유 표기를 뜻한다.


o MD5 해쉬
MD5(Message-Digest Algorithm 5)는 128비트 암호화 해시 함수이다.

RFC1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다.

1991년에 로널드 라이베스트가 예전에 쓰이던 MD4를 대체하기 위해 고안했다.


o SHA 해쉬
SHA(Secure Hash Algorithm, 안전한 해시 알고리즘) 함수들은 서로 관련된 암호학적 해시 함수들의 모음이다.

이들 함수는 미국 국가안보국(NSA)이 1993년에 처음으로 설계했으며 미국 국가 표준으로 지정되었다.


o 멀버타이징 (Malvertising)
멀버타이징(Malvertising)은 Malicious Advertising의 줄임말로 온라인 광고를 통해 악성코드(Malware)를 유포시키는 행위를 일컫는 신조어이다.

방문자가 많은 사이트의 배너 광고 등에 여러 가지 교묘한 방법을 통해 악성코드 설치를 유도하는 것으로 일반 사용자는 믿을 수 있는 사이트의 광고 또한 안전하다고 인식하는 심리적 맹점을 이용한 방식이다.


o 사용자 계정 컨트롤 (User Account Control)
마이크로소프트의 윈도우 비스타 운영 체제에서 처음 선보인 보안 기술이다.

특정 어플리케이션이 실행될 때 관리자 권한을 필요로 하는 경우 이를 허용할지 여부를 사용자에게 묻는 보안 기술이다.

o 침해지표(IOC)
여러 침해사고의 흔적들을 일정한 포맷으로 정리해 놓은 문서 또는 파일을 의미한다.



o SMB(Server Message Block)
서버 메시지 블록(Server Message Block, SMB)은 도스나 윈도우에서 파일이나 디렉터리 및 주변 장치들을 공유하는데 사용되는 메시지 형식이다.

NetBIOS는 SMB 형식에 기반을 두고 있으며, 많은 네트워크 제품들도 SMB를 사용한다.

이러한 SMB 기반의 네트워크에는 랜매니저, 윈도우 포 워크그룹(Windows for Workgroups), 윈도우 NT, 그리고 랜 서버(Lan Server) 등이 있다.

서로 다른 운영 체제 사이에 파일을 공유할 수 있도록 하기 위해 SMB를 사용하는 제품들도 많이 있다.

그 중 하나가 삼바인데, 유닉스와 윈도우 컴퓨터들 간에 디렉터리와 파일을 공유할 수 있게 해 준다.


o 아티팩트(Artifacts)
디지털 포렌식이나 침해사고 분석 관점에서의 아티팩트는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 의미한다.

가령 사용자가 시스템에 로그온 했을 때 그 결과로 작성되는 시스템 로그 파일 따위가 이에 속한다.


o Tor
온라인상에서의 익명을 보장하고 검열을 피할 수 있게 해주는 자유 소프트웨어로 미국 해군 연구소에서 최초로 시작하여 현재는 EFF 프로젝트에서 관리되고 있다.

EFF는 2005년 11월까지 Tor를 재정적으로 지원하였고, 현재도 웹 호스팅을 지원하고 있다.


o YARA Rule
YARA는 악성코드 샘플에 포함된 패턴을 이용해 특성과 행위를 기준으로 악성 파일을 분류하는데 사용되는 도구이다.

YARA가 악성코드를 식별하기 위해 사용 되는 Rule을 YARA Rule이라고 한다.


o 킬스위치(Killswitch)
킬 스위치는 특정 제품이나 소프트웨어의 동작을 중지시키는 장치를 의미한다.

가령 라인센스 기간이 만료된 소프트웨어의 경우 킬스위치가 동작하여 해당 소프트웨어의 동작을 멈출 수 있는 것을 예로 들 수 있다.


☞ 첨부파일 : 워너크라이(WannaCry) 랜섬웨어 감염 사례


 ISMS, ISO27001  GDPR,PCI-DSS 컨설팅 
랜섬웨어 대응 솔루션(EDR, CDR) 공급
070-7867-3721, ismsbok@gmail.com

ISMS-P 인증기준 안내서(2019.1.18)

 뉴딜코리아 홈페이지




ISMS-P 인증기준 안내서(2019.1.18)

  새로운 ISMS-P의 인증기준 안내서 입니다

  ISMS-P 인증 준비 및 인증심사원 시험 준비에 꼭 필요한 자료 입니다

  업무에 참고 바랍니다

  - 뉴딜코리아 컨설팅사업부 -  
 

[첨부파일]


  

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com



케이쉴드 주니어(K-Shield.Jr) 2기 모집안내 ( ~ 2월 28일)

 뉴딜코리아 홈페이지 




■ 케이쉴드 주니어(K-Shield.Jr) 2기 모집안내

과학기술정보통신부가 주최하고, 한국인터넷진흥원이 주관하며 하는 실무형 정보보호 전문인력 양성을 위한 "케이쉴드 주니어  2기 교육생 모집"이 시작되었습니다.

정보보호 기술 교육 및 KISA 협약 31개 기업과의 취업 연계 컨설팅까지






☞케이쉴드 주니어사업 홍보영상


K-Shield.Jr 교육 프로그램은 향후 정보보호 분야 취업시 현장실무를 즉각 수행할 수 있는 사이버버안 전문 주니어 인력양성을 목표로 국가직무능력표준(NCS)에 맞춘 실습 중심의 교육과정이며, 200시간 이상 교육과정 이수 후 정보보호 유관단체 및 기업의 취업까지 연게.운영되는 취업연계 실무 맞춤형 교육과정입니다


▶교육 신청 및 과정상세보기
https://kshieldjr.org/


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션


보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


창업기업을 위한 정보보호 가이드라인

 뉴딜코리아 홈페이지 

창업기업을 위한 정보보호 가이드라인
(Security Guide for Start-up)



1. 배경

2017년 초 발생한 숙박시설 관련 업체 Y사의 고객정보 유출사건으로 스타트업(창업초기기업) 및 중소기업의 정보보호현황에 적신호가 커졌다.

Y사 개인정보 유출사고는 유사규모 기업들의 정보보호 및 개인정보보호의 현황이 적나라하게 드러나는 계기가 되었다.

특히 Y사의 대규모 개인정보유출사고의 과정은 ‘SQL인젝션’과 ‘세션 하이재킹’이라는 해킹 공격을 사용했으며, 이 두가지 공격은 웹에서 가장 빈번하게 일어나는 공격 방식 중 하나로 알려져 있다.

이처럼 스타트업 및 중소기업을 대상으로 발생하는 해킹 또는 유출사고의 경우 ‘지능형 지속 공격(APT)’과 같이 공격자의 고도화된 공격 방법에 의한 불가피한 사건이라기 보다는 해당업체가 피해를 사전에 막기 위한 기본적인 보호조치들을 제대로 하지 않은것이 원인이었다.

스타트업의 경우, 창업을 위한 준비 단계에서 정보보호에 대한 투자보다는 사업 홍보를 위한 광고에 더 많은 비용을 투자할 것이다.

그래서 해당 기업들은 정보보호 및 개인정보보호에 대한 중요성 및 인식이 부족한 실정이다.

최근 정보보호실태조사에 따르면, 10인 미만의 기업 10곳 중, 6곳은 IT예산에 정보보호 예산 자체가 없으며 이와 같이 스타트업 이나 중소기업들의 정보보호 수준은 현저히 낮은 편이다.

정보보호 및 개인정보보호는 이제 특정 개인, 특정기업의 문제가 아닌 사회적, 국가적인 이슈가 되고 있으며, 해킹, 악성코드 등과 같은 피해도 증가하고 있는 상황이다.

창업단계별 준비를 통해 기업의 정보보호 수준을 높여 기업의 정보보호 및 개인정보보호에 힘써야 할 것이다.


2. 목적 및 구성

Y사의 개인정보 유출 사건을 계기로 스타트업(창업초기기업)의 정보보호에 대한 투자 확대와 정보보호 역량 강화를 위한 지적들이 대두되고 있다.

본 가이드라인은 스타트업이 창업 준비 및 운영 단계에서 개인정보보호 및 정보보호 관련 법률에서 요구되는 사항을 안내하고 사전 체계 구축을 통해 고객의 신뢰를 얻을 수 있는 기업이 될 수 있도록 돕기 위함이다.

가이드라인의 적용 대상은 창업을 준비하거나 이미 스타트업을 운영하는 사업자이다,

본 자료는 1장부터 3장까지 구성되어 있다. 제 1장에서 정보보호 필요성 인식에 대해 간략한 배경을 소개했으며,

제 2장은 스타트업의 초기단계, 회사 설립 및 신고단계, 개업과 사업을 운영하는 단계까지의 과정별로 확인해야 할 정보보호 내용을 담고 있다.

제 3장은 실제 정보보호 침해사고 사례와 이에 따른 예방법을 소개하며, 업무 담당자들이 실제로 참고할 수 있는 KISA 기술안내서 가이드 정보, 유용한 사이트 목록으로 구성되어 있다.


첨부파일 : 창업기업을 위한 정보보호 가이드라인


■ 알아두면 유용한 사이트

O KISA 보호나라 | www.boho.or.kr
 - 해킹·바이러스, 개인정보 침해, 불법스팸신고에 대한 정보를 제공


O 온라인 개인정보보호 포털 | www.i-privacy.kr
 - 정보통신망법 개정안내, 위치정보보호 교육, 주민등록번호 대체수단
 - 업종별 개인정보보호 교육 무료 제공


O 개인정보보호 종합지원 포털 | www.privacy.go.kr
 - 개인정보보호법 관련 법·제도·교육정보를 제공


O 정보보호산업진흥포털 | www.kisis.or.kr
 - 정보보호산업에 대한 종합적인 지원 및 핀테크 기술지원 등을 제공


O 뉴딜코리아SNS | https://cafe.naver.com/rapid7
 - ISMS-P / ISO27001 / PCI-DSS 관련 컨설팅정보 제공
 - 취약점 진단 및 모의해킹 정보 제공
 - 정보보호솔루션 및 기술지원 정보 제공



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


DevOps 보안 전문가를 위한 생존 가이드

 뉴딜코리아 홈페이지 

DevOps 보안 전문가를 위한 생존 가이드
DevOps Survival Guide for Security Professionals



CI / CD 파이프 라인에 보안 기능 구현
(Building Security Into Your CI/CD Pipelines)


DevOps팀이 스마트 사이버 보안 전략을 채택하는 것은 왜 그렇게 어려운 일입니까?

개발자와 보안팀 모두 안전하게 배포(개발) 하기를 원하지만 서로 다른 KPI로 작업하고 있습니다.

개발팀은 점점 더 빠른 속도로 개발해야한다는 큰 압박을 받고 있습니다.

완전히 다른 세트(메트릭스)로 평가되기 때문에, 생산 요구 사항을 충족시키기 위해 소스 취약성이 존재 할 가능성이 커집니다.

DevOps KPIs
1. Shortest possible cycle time
2. No customer-facing outages
3. Other than coding, no more than 5% of the procedures you do to deliver software are manual


Security KPIs
1. All medium- to high-severity vulnerabilities are remediated within 30 days
2. All high-severity incidents are responded to within 15 minutes
3. Maintain 100% CIS benchmark compliance with waivers (rule exceptions for assets you can’t make compliant for whatever reason)


다행히도 보안 및 개발 작업이 잘 어울리지 않는다는 생각은 잘못된 것입니다.

DevOps 고유의 보안 도구가 존재하므로 보안을 통해 개발자을 느리게 할 필요가 없습니다.

실제로 고속 CI / CD 파이프 라인과 보조를 맞추어 도중에 모든 프로세스를 강화할 수 있습니다.

보안 작업이 DevOps의 언어를 말할 수있게되면 DevOps 세계에 보안을 적용하는 것이 훨씬 쉽습니다.

두 팀이 사용하고있는 도구와 이유에 대해 눈으로 확인하면 CI / CD 파이프 라인을 속도를 잃지 않고 철저하게 확보 할 수 있습니다.



첨부파일(영문) :   (Building Security Into Your CI/CD Pipelines)
 


Contents

Introduction.........................................................................3
DevOps KPIs........................................................................5
Security KPIs........................................................................5
A Decade of DevOps...........................................................6
Understanding the CI/CD Pipeline......................................8
»»Code..............................................................................10
»»Build...............................................................................11
»»Test................................................................................12
»»Release..........................................................................13
»»Deploy...........................................................................14
»»Operate.........................................................................15
»»Monitor..........................................................................16
Why Security Should Be a Quality Gate..............................17
The DevOps Tech Stack.......................................................18
»»Source Code Repositories.............................................20
»»Container Tools..............................................................21
»»Automation Tools...........................................................22
»»Application Orchestration Tools....................................23
»»Infrastructure-as-Code Orchestration Tools..................24
»»IT Service Management ................................................25
»»Public Cloud Infrastructure ...........................................26
»»Monitoring Tools............................................................27
»»Security Tools.................................................................28
Using the Center for Internet Security’s CIS Controls........29
Get to Know Tripwire for DevOps.......................................30
Ready to See Tripwire for DevOps in Action?.....................33
Summary..............................................................................34

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

2019년 1월 20일 일요일

DEVOPS, CI/CD란 무엇일까요?

 뉴딜코리아 홈페이지 

DEVOPS
CI/CD란 무엇일까요?

CI (continuous integration) : 지속적인 통합, 지속적 통합, 연속적 통합
CD (continuous delivery) : 지속적인 딜리버리, 지속적 배포, 연속적 배포



CI/CD는 애플리케이션 개발 단계를 자동화하여 애플리케이션을 보다 짧은 주기로 고객에게 제공하는 방법입니다.

CI/CD의 기본 개념은 지속적인 통합, 지속적인 서비스 제공, 지속적인 배포입니다.

CI/CD는 새로운 코드 통합으로 인해 개발 및 운영팀에 발생하는 문제(일명 "통합 지옥(integration hell)")를 해결하기 위한 솔루션입니다.

특히, CI/CD는 애플리케이션의 통합 및 테스트 단계에서부터 제공 및 배포에 이르는 애플리케이션의 라이프사이클 전체에 걸쳐 지속적인 자동화와 지속적인 모니터링을 제공합니다.

이러한 구축 사례는 “CI/CD 파이프라인”이라 부르며 개발 및 운영팀의 애자일 방식 협력을 통해 지원됩니다.



■ CI와 CD(및 또 다른 CD)의 차이점은 무엇일까요?

약자 CI/CD는 몇 가지의 다른 의미를 가지고 있습니다.

CI/CD의 “CI”는 개발자를 위한 자동화 프로세스인 지속적인 통합(Continuous Integration)을 의미합니다.

CI를 성공적으로 구현할 경우 애플리케이션에 대한 새로운 코드 변경 사항이 정기적으로 빌드 및 테스트되어 공유 리포지토리에 병합되므로 여러명의 개발자가 동시에 애플리케이션 개발과 관련된 코드 작업을 할 경우 서로 충돌할 수 있는 문제를 해결할 수 있습니다.

CI/CD의 “CD”는 지속적인 서비스 제공 (Continuous Delivery) 및/또는 지속적인 배포 (Continuous Deployment)를 의미하며 이 두 용어는 상호 교환적으로 사용됩니다.

두 가지 의미 모두 파이프라인의 추가 단계에 대한 자동화를 뜻하지만 때로는 얼마나 많은 자동화가 이루어지고 있는지를 설명하기 위해 별도로 사용되기도 합니다.

지속적인 제공은 개발자들이 애플리케이션에 적용한 변경 사항이 버그 테스트를 거쳐 리포지토리(예: GitHub 또는 컨테이너 레지스트리)에 자동으로 업로드되는 것을 뜻하며, 운영팀이 이 리포지토리에서 애플리케이션을 실시간 프로덕션 환경으로 배포할 수 있습니다.

이는 개발팀과 비즈니스팀 간의 가시성과 커뮤니케이션 부족 문제를 해결해 줍니다.

지속적인 제공은 최소한의 노력으로 새로운 코드를 배포하는 것을 목표로 합니다.

지속적인 배포(또 다른 의미의 “CD”: Continuous Deployment)는 개발자의 변경 사항을 리포지토리에서 고객이 사용 가능한 프로덕션 환경까지 자동으로 릴리스하는 것을 의미합니다.

이는 애플리케이션 제공 속도를 저해하는 수동 프로세스로 인한 운영팀의 프로세스 과부하 문제를 해결합니다.

지속적인 배포는 파이프라인의 다음 단계를 자동화함으로써 지속적인 제공이 가진 장점을 활용합니다.

CI/CD가 지속적 통합 및 지속적 제공의 구축 사례만을 지칭하는 것일 수도 있고, 지속적 통합, 지속적 제공, 지속적 배포라는 3 가지 구축 사례 모두를 의미하는 것일 수도 있습니다.

좀 더 복잡하게 설명하면 "지속적 제공"은 때로 지속적 배포의 과정까지 포함하는 방식으로 사용되기도 합니다.

결과적으로 CI/CD는 파이프라인으로 표현되는 실제 프로세스를 의미하고, 애플리케이션 개발에 지속적인 자동화 및 지속적인 모니터링을 추가하는 것을 의미합니다.

이 용어는 사례별로 CI/CD 파이프라인에 구현된 자동화 수준 정도에 따라 그 의미가 달라집니다.

대부분의 기업들은 CI를 먼저 추가한 다음 클라우드 네이티브 애플리케이션의 일부로서 배포 및 개발 자동화를 구현해 나갑니다.


지속적 통합

현대적인 애플리케이션 개발에서는 여러 개발자들이 동일한 애플리케이션의 각기 다른 기능을 동시에 작업할 수 있도록 하는 것을 목표로 합니다.


그러나 조직에서 특정한 날("병합의 날(merge day)")을 정해 모든 분기 소스 코드를 병합하는 경우, 결과적으로 반복적인 수작업에 많은 시간을 소모하게 됩니다.

이렇게 반복적인 수작업을 하는 이유는 독립적으로 작업하는 개발자가 애플리케이션에 변경 사항을 적용할 때 다른 개발자가 동시에 적용하는 변경 사항과 충돌할 가능성이 있기 때문입니다.

CI(지속적 통합)를 통해 개발자들은 코드 변경 사항을 공유 브랜치 또는 "트렁크"로 다시 병합하는 작업을 더욱 수월하게 자주 수행할 수 있습니다.

개발자가 애플리케이션에 적용한 변경 사항이 병합되면 이러한 변경 사항이 애플리케이션을 손상시키지 않도록 자동으로 애플리케이션을 구축하고 각기 다른 레벨의 자동화 테스트 (일반적으로 단위 테스트 및 통합 테스트) 실행을 통해 변경 사항이 애플리케이션에 제대로 적용되었는지를 확인합니다.

다시 말해, 클래스와 기능에서부터 전체 애플리케이션을 구성하는 서로 다른 모듈에 이르기까지 모든 것에 대한 테스트를 수행합니다.

자동화된 테스트에서 기존 코드와 신규 코드 간의 충돌이 발견되면 CI를 통해 이러한 버그를 더욱 빠르게 자주 수정할 수 있습니다.

▶ 기술적인 내용에 대해 자세히 알아보기


지속적 제공

CI의 빌드 자동화, 유닛 및 통합 테스트 수행 후, 이어지는 지속적 제공 프로세스에서는 유효한 코드를 리포지토리에 자동으로 릴리스합니다.

따라서 효과적인 지속적 제공 프로세스를 실현하기 위해서는 개발 파이프라인에 CI가 먼저 구축되어 있어야 합니다.

지속적 제공의 목표는 프로덕션 환경으로 배포할 준비가 되어 있는 코드베이스를 확보하는 것입니다.

지속적 제공의 경우, 코드 변경 사항 병합부터 프로덕션에 적합한 빌드 제공에 이르는 모든 단계에는 테스트 자동화와 코드 릴리스 자동화가 포함됩니다.

이 프로세스를 완료하면 운영팀이 보다 빠르고 손쉽게 애플리케이션을 프로덕션으로 배포할 수 있게 됩니다


지속적 배포


CI/CD 파이프라인의 마지막 단계는 지속적 배포입니다. 프로덕션 준비가 완료된 빌드를 코드 리포지토리에 자동으로 릴리스하는 지속적 제공의 확장된 형태인 지속적 배포는 애플리케이션을 프로덕션으로 릴리스하는 작업을 자동화합니다.

프로덕션 이전의 파이프라인 단계에는 수동 작업 과정이 없기 때문에 지속적 배포는 잘 설계된 테스트 자동화에 크게 의존합니다.

실제 사례에서 지속적 배포는 개발자가 애플리케이션에 변경 사항을 작성한 후 몇 분 이내에 애플리케이션을 자동으로 실행할 수 있는 것을 의미합니다.

 (자동화된 테스트를 통과한 것으로 간주) 이를 통해 사용자 피드백을 지속적으로 수신하고 통합하는 일이 훨씬 수월해집니다.

이러한 모든 CI/CD 적용 사례는 애플리케이션 배포의 위험성을 줄여주므로 애플리케이션 변경 사항을 한 번에 모두 릴리스하지 않고 작은 조각으로 세분화하여 더욱 손쉽게 릴리스할 수 있습니다.

그러나 자동화된 테스트는 CI/CD 파이프라인의 여러 테스트 및 릴리스 단계를 수행할 수 있어야 하기 때문에 많은 선행 투자가 필요합니다.

실제 CI/CD 구현 과정에 대해 알아보기

출처 : Red Hat


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 


기업의 보안 담당자를 위한 로그설정 노트

 뉴딜코리아 홈페이지 

기업의 보안 담당자를 위한 로그설정 노트



기업의 보안 담당자 분들을 위한 '한눈에 보는 로그설정 노트'가 제작되었습니다!

사이버 침해사고가 발생 했을 때, 해킹 탐지와 원인 분석을 하려면 시스템에 보안 관련 '로그' 기록이 보존되어 있어야 하는데요.

그렇기 때문에 사용하고 있는 시스템·운영 프로그램의 로그를 미리 설정해 놓는 것이 중요합니다.

각 운영체제(Windows/Linux/응용 프로그램)별 로그설정 방법과 권장 설정값을 보고,

우리 회사의 보안을 한층 강화해주세요!


● 한눈에 보는 로그설정 노트(Windows)


● 한눈에 보는 로그설정 노트(Linux)


● 한눈에 보는 로그설정 노트(응용프로그램)


 1. 한눈에 보는 로그설정 노트(Windows)
 2. 한눈에 보는 로그설정 노트(Linux)
 3. 한눈에 보는 로그설정 노트(응용프로그램)

** A3 사이즈로 출력하시면 가독성이 좋습니다.

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


2019년 1월 15일 화요일

오픈 소스 소프트웨어 보안 가이드 (SK infosec)

 뉴딜코리아 홈페이지



■ 오픈 소스 소프트웨어 보안 가이드 (SK infosec)


안녕하십니까?

 SK인포섹 EQST그룹 이재우입니다.

이번에 저희 EQST그룹에서 오픈 소스 소프트웨어(Open Source Software) 보안 가이드를 발간 하였습니다.

최근 몇 년 동안 빅데이터 기술 분야를 중심으로 오픈 소스 소프트웨어 도입이 증가하고 있습니다.

오픈소스는 개방성을 기반으로 여러 장점을 가지고 있지만, 초기 도입부터 보안성을 고려하지 않은 경우에는 해킹 공격의 타깃이 되곤 합니다.

실제 지난해 1억건 이상의 개인정보가 유출되었던 美 대형신용평가사 에퀴팩스 해킹 사건 역시 오픈 소스인 아파치 스트러츠의 취약점을 방치해 큰 피해를 입었습니다.

이처럼 오픈 소스에 대한 사이버 위협 리스크가 지속적으로 증가하고 있음에도 불구하고, 아직 오픈 소스에 대한 보안 지식이 체계화 되어 있지 않아 이를 사용하는 기업들의 고민이 깊어지고 있습니다.

이에 EQST그룹에서는 이런 문제를 해결하기 위해 오픈 소스 22종에 대한 보안 가이드를 발간하였습니다.

본 가이드에는 각 오픈 소스마다 가지고 있는 취약점 정보를 비롯해, 이에 대한 보안 설정, 운영 가이드 등이 자세하게 설명돼 있습니다.




컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 


2019년 1월 14일 월요일

모바일 웹 애플리케이션 로드맵 새로운 버전 발표 (W3C)

 뉴딜코리아 홈페이지



■ 모바일 웹 애플리케이션 로드맵 새로운 버전 발표 (W3C)
(NEW VERSION OF THE ROADMAP OF WEB APPLICATIONS ON MOBILE)


▶ 2019년 1월 7일, W3C는 모바일 웹 애플리케이션 로드맵의 새로운 버전을 발표함

  - 로드맵의 내용은 2018년 7월 이후 웹 플랫폼의 변화를 반영하여 업데이트 되었으며, W3C에서 개발된 웹 응용 프로그램의 기능을 향상시키는 다양한 기술과 이를 모바일 환경에서 더욱 구체적으로 적용시킬 수 있는 방법을 요약하고 있음


▶ 특히, 네이티브와 갭을 줄이기 위해 웹 플랫폼 인큐베이터 커뮤니티 그룹(WICG, Web Platform Incubator Community Group)에서 최근 논의한 내용이 반영되어 있음


▶ 주요 업데이트 내용

 ○ 구분 : 시험 작업 (Exploratory work)
   - 미디어(Media)에서 자동재생 정책 언급
   - 애플리케이션 수명주기(Application Lifecycle)와 네트워크 및 통신 (Network and Communications)에서 백그라운드 패치(Background Fetch) 언급
   - 그래픽 및 레이아웃(Graphics and Layout)에서 CSS 페인팅 API 레벨 1 언급
   - 성능 및 튜닝(Performance and Tuning)에서 디스플레이 잠금 표시
   - 애플리케이션 수명주기(Application Lifecycle)에서 포털 언급
   - 사용자 상호작용(User Interaction)에서 WebHID 언급
   - 그래픽 및 레이아웃(Grophics and Layout)에서 스크롤 링크 애니메이션 언급

 ○ 구분 : 진행 중인 기술 (Technologies in progress)
   - WebXR Device API를 미디어(Media)에서 진행 중인 기술로 이동
   - 보안 및 개인 정보(Security and Privacy)에서 웹 인증 설명 업데이트

 ○ 구분 : 잘 적용된 기술 (Well-deployed technologies)
   - 포인터 이벤트를 사용자 상호 작용(User Interaction)의 잘 배치된 섹션 으로 이동


※ 사이트 : https://www.w3.org/blog/news/archives/7475




>> 웹 표준/ 접근성 진단 주요 솔루션 ……………………………………………………………………………….......................
.............................................................................................................................
…… CoolCheck!™ Privacy Monitoring System  ::::: 홈페이지 개인정보 노출점검 통합관제 시스템
…… CoolCheck!™ Enterprise                   ::::: 홈페이지 통합관제(품질진단/개인정보진단/접근성진단)
…… CoolCheck!™ Accessibility                ::::: 웹표준/접근성진단/자산관리
…… CoolCheck!™ Privacy                       ::::: 개인정보진단/기술적오류진단
…… CoolFilter!™                                  ::::: 홈페이지 게시판 개인정보 등록차단
…… CCD (CoolCheck!™ Desktop)             ::::: PC내 개인정보 관리/점검/암호화저장

...............................................................................................................................
문의 : 뉴딜코리아 솔루션사업부 (070-7867-3721, ismsbok@gmail.com




출 처 W3C