LG CNS 자세히보기

보안tech 117

[보안동향] 잊지 마세요! 개인정보 수집보다 중요한 ‘OO’ 1편

개인정보를 이용∙제공하기 위해 이를 수집하고 저장하는 시스템이 바로 ‘개인정보처리시스템’입니다. 개인정보는 수집/저장/이용/제공돼 파기에 이르기까지 일정한 라이프사이클을 따라 흐르게 되는데요. 정보주체의 동의를 받아서 개인정보를 안전하게 저장하고 이용하는 것도 중요하지만, 이에 못지않게 잘 파기하는 것 역시 중요합니다. 적법하게 수집한 정보라도 정보의 이용 기한이 만료되면 즉시 삭제해야 하죠. 개인정보는 관련 법령에 따라 필요시 분리보관의 대상이 되기도 합니다. 개인정보 파기 기능을 구현하지 않고 시스템을 운영하는 경우도 종종 있습니다. 개인정보 파기 기능이란 보유기간의 경과, 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체없이 개인정보를 파기하는 기능을 의미합니다. 오래된 시스템에서..

IT Solutions 2022.07.01

[보안동향] 컴플라이언스 보안을 지키고 싶다면, 세 가지만 기억하세요!

IT 정보시스템 보안점검을 하다 보면, 이제 애플리케이션 취약점은 어느 정도 잘 관리되고 있다고 느끼실 겁니다. 초기 개발단계에서는 시큐어코딩(Secure Coding) 가이드를 만들어 배포하고, 소스 취약점 점검 툴을 통해 소스상 여러 가지 취약포인트를 해결합니다. 시큐어코딩이란 개발하는 소프트웨어가 복잡해짐으로 인해 보안상 취약점이 발생할 수 있는 부분을 보완해 프로그래밍하는 것을 의미합니다. 또한, 테스트 단계에서는 모의 해킹을 통해 기술적 취약점을 제거하는 프로세스가 일반화됐죠. 하지만 컴플라이언스(준법경영) 관점에서 IT정보시스템에 요구하는 사항들이 잘 지켜지고 있는지 살펴보면 그렇지 못한 것이 현실입니다. 미준수 시 처벌조항이 법률에 명시돼 있음에도 불구하고, 고객 기능요구사항 구현에만 집중한..

IT Solutions 2022.06.24

[보안동향] 편하면 끝? 생체정보 활용 시 주의해야 할 3가지!

스마트폰과 같은 모바일 기기의 사용이 증가하면서 지문이나 얼굴, 홍채, 정맥 등의 생체정보를 활용한 기능이 대중화되고 있습니다. 생체정보는 안전하면서도 따로 기억하거나 가지고 다닐 필요가 없어 편리하다는 장점이 있는데요. 이러한 장점으로 인해 잠금 해제, 출입 통제, AI 음성인식 서비스 등 여러 분야에서 자주 활용되고 있습니다. 그러나, 생체정보는 변경이 불가능하다는 특성이 있기 때문에 유출될 경우 심각한 피해를 볼 수도 있습니다. 이러한 피해를 예방하기 위해 개인정보위원회에서는 ‘21년 9월 개정한 "생체정보 보호 가이드라인’에서 생체인식정보 보호 조치를 통해 생체정보의 안전한 활용 방법을 제시하고 있습니다. 여기서 ‘생체인식정보‘란, 생체정보 중 특정 개인을 인증·식별하기 위한 목적으로 처리되는 정..

IT Solutions 2022.06.03

[융합보안] 입주사vs건물주, 물리보안 구축 시 고려사항은?

여러분의 현재 주거 형태는 아파트인가요, 아니면 단독 주택인가요? 물론 다세대 주택일 수도 있을 겁니다. 국토교통부가 발표한 서울시 주거실태 현황 자료를 보면 아파트에 거주하는 시민의 비율이 가장 높은 것으로 나타나는데요. 그렇다면 다른 주택 유형에 비해 아파트에 거주하는 비율이 높은 이유는 무엇일까요? 이는 투자가치, 보안성, 편의성 등 단독주택에 비해 아파트가 가진 장점 때문입니다. 이 중 보안성에 대해 살펴보겠습니다. 아파트에는 CCTV와 경비요원 등 기본적인 보안시스템이 갖춰져 있죠. 무엇보다 저층을 제외하고는 외부로부터 침입이 어려운 구조적 특성이 있습니다. 그런데 만약 여러분이 아파트의 보안수준에 만족하지 못한다면 어떨까요? 여러분이 공동 현관문에 최첨단 얼굴인식 시스템을 설치하고 싶다고 해서..

IT Solutions 2022.05.31

[보안동향] 아직도 신분증 들고 다니세요? 폰만 있으면 본인인증 가능!

여러분은 모바일기기에서 사용자 인증 수단으로 어떤 것을 사용하시나요? 우리는 오랜 기간 PC에서 아이디와 패스워드로 사용자 인증을 진행해 왔습니다. 공인인증서(현 공동인증서)를 PC에 저장해서 사용했고, 그러다가 USB 저장기기에도 인증서를 저장해 사용할 수 있게 됐죠. USB를 통해 지문인식기기 등도 연결해서 사용해 왔습니다. 이후, 스마트폰의 등장과 확산은 PC에만 있던 인증 수단을 모바일에서도 사용할 수 있도록 만들었습니다. 모바일 기기에 인증서를 저장할 수 있게 됐고, 별도의 장치 없이 스마트폰만 있으면 언제든지 지문인식, 안면인식을 수행할 수 있게 됐습니다. 신분증도 마찬가지입니다. 그동안 주민등록증, 운전면허증 등의 신분증과 함께 회사 사원증도 플라스틱으로 만들어진 실물을 가지고 다녀야 했죠...

IT Solutions 2022.05.27 (2)

[보안동향] 성공적인 ‘컨테이너 플랫폼’ 운영을 위한 5가지 보안Tip!

과거 대부분의 기업용 애플리케이션은 하나의 거대한 서비스 형태(모놀리식 아키텍처, Monolithic Architecture)로 개발됐습니다. 모놀리식 아키텍처는 개발·관리가 용이하다는 장점이 있지만, 시스템 규모가 커질수록 복잡도가 증가하는데요. 이에 따라 코드의 이해와 분석이 어려워지고 작은 수정사항에도 시스템 전체를 다시 개발(build)하고, 배포해야하는 비효율이 발생해 시스템의 개선과 확장이 어렵다는 단점이 존재합니다. 이러한 단점을 극복하기 위해 등장한 개념이 마이크로서비스 아키텍처(MSA, Microservices Architecture)입니다. 경량화되고 독립적인 여러 개의 서비스를 조합해 애플리케이션을 구현하는 방식인데요. 서비스마다 자체 데이터베이스를 가지고 동작하기 때문에 개발부터 빌..

IT Solutions 2022.05.13

[보안동향] 안전한 소프트웨어 개발, 보안 취약점 점검이 답이다!

이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다. ‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다. 2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다. 2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이..

IT Solutions 2022.05.06

[보안동향] 변화하는 소프트웨어 보안, 최근 주요 취약점은?

기본적으로 정보시스템 사업 수행 시 안전한 소프트웨어 개발을 위해 기준으로 삼는 국내 대표 가이드는 행정안전부 고시(행정기관 및 공공기관 정보시스템 구축 · 운영 지침)에 따라 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발 보안 가이드’가 있으며, 국외 대표 참고 기준으로는 OWASP(The Open Web Application Security Project)의 ‘TOP 10 Web Application Security Risks(이하 OWASP TOP 10이라 함)’가 있습니다. 지난 2021년 1월 19일 개정된 ‘행정기관 및 공공기관 정보시스템 구축 · 운영 지침’에서 소프트웨어 개발 보안과 관련해 강화된 내용을 함께 알아보겠습니다. 먼저 살펴볼 행정기관 및 공공기관 정보시스템 구축 · 운..

IT Solutions 2022.05.04

[보안동향] 안전한 공공 클라우드 전환, 고려해야 할 것은?

*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다. *해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다. 지난 글에서는 공공 클라우드의 도입 배경을 살펴보고, 공공 클라우드 센터와 민간 클라우드 센터를 비교해보았습니다. 이번 글에서는 공공 클라우드 지정 요건에 관해 알아보겠습니다. 공공클라우드센터로 지정받고자 하는 기관은 아래의 지정요건을 갖춰 행정안전부 장관에게 신청해야 합니다. 1) 공공 클라우드 지정 요건 공공 클라우드 지정 요건은 총 12개 대항목과 82개 세부 항목으로 구성돼 있는데요. 클라우드 센터의 물리보안부터 정보보호 정책과 조직, 침해사고 및 장애 대응, 접근통제, 네트워크 보안, 가상화 보안, 데이터 보호 및 암호화 등을 ..

IT Solutions 2022.04.29

[보안동향] 공공 클라우드 보안 이슈 점검하고, DX 경쟁력을 높이세요!

행정안전부는 7월 27일 ‘행정/공공기관 정보자원 클라우드 전환/통합 추진계획’을 발표하고, 오는 2025년까지 중앙정부부처, 지자체 및 공공기관의 정보시스템 가운데 총 10,009개 시스템을 클라우드로 전환/통합하기로 했습니다. 이를 바탕으로 공공기관의 디지털 트랜스포메이션 경쟁력 강화와 국내 클라우드 산업의 발전에 촉매제 역할을 하겠다는 계획입니다. 또한, 공공 클라우드 센터 구축 사업에 민관협력형 클라우드 사업 모델(클라우드 시스템 구축은 민간 사업자가 맡고 공공기관은 사용료를 지불하는 방식) 도입을 고려하고 있습니다. 민/관 협력형 공공 클라우드 센터는 민간기업의 비용으로 건립/구축하고, 행정/공공기관이나 지방자치단체가 전용 클라우드 데이터 센터처럼 활용할 수 있는 시설을 뜻하는데요. 이를 바탕으..

IT Solutions 2022.04.28