[보안동향] 아직도 신분증 들고 다니세요? 폰만 있으면 본인인증 가능!

여러분은 모바일기기에서 사용자 인증 수단으로 어떤 것을 사용하시나요? 우리는 오랜 기간 PC에서 아이디와 패스워드로 사용자 인증을 진행해 왔습니다. 공인인증서(현 공동인증서)를 PC에 저장해서 사용했고, 그러다가 USB 저장기기에도 인증서를 저장해 사용할 수 있게 됐죠. USB를 통해 지문인식기기 등도 연결해서 사용해 왔습니다. 이후, 스마트폰의 등장과 확산은 PC에만 있던 인증 수단을 모바일에서도 사용할 수 있도록 만들었습니다. 모바일 기기에 인증서를 저장할 수 있게 됐고, 별도의 장치 없이 스마트폰만 있으면 언제든지 지문인식, 안면인식을 수행할 수 있게 됐습니다. 신분증도 마찬가지입니다. 그동안 주민등록증, 운전면허증 등의 신분증과 함께 회사 사원증도 플라스틱으로 만들어진 실물을 가지고 다녀야 했죠...

웹 3.0 기술에서 가장 중요한 개념은 결국 ‘탈중앙화’입니다. 탈중앙화를 구현하기 위해선 많은 참여자가 필요한데요. 그래서 웹 3.0 기업들은 기술이나 커뮤니티에 최대한 많은 사람이 모일 수 있도록 여러 가지 노력을 기울이고 있습니다. 단순히 암호화폐를 통해 사용자를 끌어들일 수도 있지만, 그 외에 다른 요소를 강조하는 경우도 있습니다. 바로, 공적인 가치나 유용한 콘텐츠를 제공하는 방식이죠. 검색엔진은 유난히 독점 구조가 강한 시장입니다. 구글, 네이버처럼 한 번 자리를 잡은 서비스는 시간이 지날수록 더욱 인기가 높아지고 사용자도 많아지죠. 그런데 시민단체처럼 개인정보 보호를 중요시하는 곳에서는 이런 검색엔진 기업들에 대해 비판적인 시선을 가지고 있습니다. 광고를 보여주는 과정이나 기술 개발 과정에서..

과거 대부분의 기업용 애플리케이션은 하나의 거대한 서비스 형태(모놀리식 아키텍처, Monolithic Architecture)로 개발됐습니다. 모놀리식 아키텍처는 개발·관리가 용이하다는 장점이 있지만, 시스템 규모가 커질수록 복잡도가 증가하는데요. 이에 따라 코드의 이해와 분석이 어려워지고 작은 수정사항에도 시스템 전체를 다시 개발(build)하고, 배포해야하는 비효율이 발생해 시스템의 개선과 확장이 어렵다는 단점이 존재합니다. 이러한 단점을 극복하기 위해 등장한 개념이 마이크로서비스 아키텍처(MSA, Microservices Architecture)입니다. 경량화되고 독립적인 여러 개의 서비스를 조합해 애플리케이션을 구현하는 방식인데요. 서비스마다 자체 데이터베이스를 가지고 동작하기 때문에 개발부터 빌..

스마트 계약은 블록체인의 주요 기능 중 하나입니다. 스마트 계약은 사전에 조건을 정하고, 이를 충족하면 계약 내용을 알아서 실행해주는 똑똑한 기술인데요. 계약이 대량으로 이루어지는 분야나 계약 내용을 자주 추적하고 검증해야 하는 산업에서 이러한 스마트 계약을 많이 고려하고 있습니다. 법률, 유통, 헬스케어, 에너지 같은 산업이 대표적인데요. 이 역시 분산화된 구조 속에 중개자 없이 서비스를 구현한다는 점에서 웹 3.0 업계의 핵심 서비스로 평가받고 있습니다. 유통이나 물류는 스마트 계약 시스템을 도입했을 때 효율성을 높일 수 있는 분야입니다. 생산품이 소비자에게 전달되기까지 여러 데이터가 발생되기 마련인데요. 이를 통합하고 기록해 추적하면 중간에 발생하는 여러 문제를 해결할 때 도움을 받을 수 있습니다...

웹 3.0 기술의 겉면만 보면 그리 새롭지 않다고 생각할 수 있습니다. 어떤 면에서는 최종 소비자가 이용하는 서비스는 똑같고 내부 기술 구조만 바뀐 것이기 때문이죠. 따라서, 전통 서비스가 앞으로 비슷한 기능을 제공하는 웹 3.0 기술로 언제나 대체될 수도 있습니다. 특히, 인프라 분야에서는 웹 2.0 서비스와 웹 3.0 서비스 간의 경쟁이 치열합니다. 스토리지는 많은 웹 3.0 기업들이 도전하고 있는 분야입니다. 블록체인이라는 분산 저장 시스템을 도입해 드롭박스, 구글 클라우드의 탈중앙 스토리지 버전을 만들려는 것인데요. 탈중앙 스토리지는 보통 데이터가 영원히 보존되며 특정 기업이 데이터를 소유하지 않는 특징이 있습니다. 알위브도 이와 같습니다. 알위브가 관리하는 데이터는 외부 사용자의 남는 디스크 공..

최근 웹 기술은 단순히 인터넷 서핑 공간에서만 사용되는 것은 아닙니다. 그야말로 혁신을 상징하는 기술 트렌드이자, 투자 붐을 이끄는 신산업이 되고 있죠. 물론 여기서 말하는 웹은 일반적인 웹이 아닙니다. 앞으로 이용하게 될 미래의 웹 기술입니다. 이를 구분하기 위해 웹 ‘3.0’이라 버전을 따로 붙였는데요. 먼저 정의를 간단하게 살펴보겠습니다. 웹 1.0은 인터넷이 처음 보급되던 시절 이용하던 기술입니다. 그 시대의 웹은 주로 웹페이지를 통해 정보를 제공하기만 했습니다. 웹 2.0은 페이스북, 트위터 같은 서비스가 중심이었는데요. 이 시기엔 사용자들이 직접 웹에 정보를 올리기 시작했습니다. 그 덕에 참여와 소통이 웹 속에서 많이 이뤄졌죠. 웹 3.0은 인터넷상에서 발생하는 데이터를 사용자가 직접 소유하고..

이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다. ‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다. 2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다. 2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이..

기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운..

그동안 UX(User Experience, 사용자 경험)를 중심으로 움직였던 디지털 세계의 화두가 몇 년 전부터 CX(Customer Experience)로 이동하기 시작했습니다. 기존의 UX는 제품과 서비스의 중심에 ‘사용자’를 두고 사용자에게 최적의 사용 편의성을 제공하는 것을 중점적으로 고민했는데요. CX는 ‘고객’을 중심에 놓고 그들이 서비스에 대한 정보를 수집하는 경험부터 구매, 이용, 이탈(또는 폐기), 재유입하는 전 과정을 살펴보고 새롭게 경험을 제시하는 활동으로 이해할 수 있습니다. 우리가 관심을 두는 주체가 사용자에서 고객이라는 대상으로, 한층 넓은 의미로 확장된 것이죠. 이러한 흐름 속에서 코로나19 팬데믹이 도화선이 된 DCX(Digital Customer Experience)로의 전..

*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다. *해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다. 지난 글에서는 공공 클라우드의 도입 배경을 살펴보고, 공공 클라우드 센터와 민간 클라우드 센터를 비교해보았습니다. 이번 글에서는 공공 클라우드 지정 요건에 관해 알아보겠습니다. 공공클라우드센터로 지정받고자 하는 기관은 아래의 지정요건을 갖춰 행정안전부 장관에게 신청해야 합니다. 1) 공공 클라우드 지정 요건 공공 클라우드 지정 요건은 총 12개 대항목과 82개 세부 항목으로 구성돼 있는데요. 클라우드 센터의 물리보안부터 정보보호 정책과 조직, 침해사고 및 장애 대응, 접근통제, 네트워크 보안, 가상화 보안, 데이터 보호 및 암호화 등을 ..