사물인터넷(IoT) 제품·서비스의 개발자를 위한 안내지침인 ‘IoT 공통 보안가이드’가 나왔다. 안전성이 검증된 보안기술을 활용하고, 보안취약점이 발견되면 사용자에게 알려야 한다는 등의 내용이 담겼다.
미래창조과학부는 27일 서울 중구 프레스센터에서 열린 ’2016년 사물인터넷(IoT) 보안 얼라이언스 제3차 정기회의’에서 7개 대원칙과 15개 항목으로 구성된 보안가이드의 세부내용을 발표했다.
지난해 6월 나온 ‘IoT 공통보안 7대 원칙’을 구체화한 것으로, IoT 기기의 개발부터 폐기까지 전 주기에 걸친 기술적 권고사항을 포함했다.
미래부는 “보안가이드가 IoT 제품·서비스에 대한 종합적인 보안 체크리스트 기능을 수행함으로써 IoT 산업, 특히 인력·기술이 취약한 중소기업의 경쟁력 강화에 도움이 될 것”이라고 설명했다.
◇ IoT 공통보안 7대 원칙과 15대 보안가이드
보안원칙 1 : 정보보호·프라이버시 강화를 고려한 IoT 제품·서비스 설계
① IoT 장치의 특성을 고려하여 보안기능의 경량화 구현
② IoT 서비스 운영환경에 적합한 접근권한 관리 및 인증, 종단 간 통신보안, 데이터 암호화 등의 방안 제공
③ 소프트웨어 보안기술과 하드웨어 보안기술의 적용 검토 및 안전성이 검증된 보안기술 활용
④ IoT 장치 및 서비스에서 수집하는 민감 정보(개인정보 등) 보호를 위해 암호화, 비식별화, 접근관리 등의 방안 제공
⑤ IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성 보장
보안원칙 2 : 안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증
⑥ 소스코드 구현단계부터 내재될 수 있는 보안 취약점을 예방하기 위해 시큐어 코딩 적용
⑦ IoT 제품·서비스 개발에 사용된 다양한 SW에 대해 보안 취약점 점검 수행 및 보안패치 방안 구현
⑧ 펌웨어/코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안기법 적용
보안원칙 3 : 안전한 초기 보안 설정 방안 제공
⑨ IoT 장치 및 서비스 (재)설치 시 보안 프로토콜들에 기본으로 설정되는 파라미터 값이 가장 안전한 설정이 되도록 ‘Secure by Default’ 기본원칙 준수
보안원칙 4 : 보안 프로토콜 준수 및 안전한 파라미터 설정
⑩ 안전성을 보장하는 보안 프로토콜 적용 및 보안 서비스 제공 시 안전한 파라미터 설정
보안원칙 5 : IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행
⑪ IoT 장치·서비스의 보안 취약점 발견 시, 이에 대한 분석 수행 및 보안패치 배포 등의 사후조치 방안 마련
⑫ IoT 장치·서비스에 대한 보안취약점 및 보호조치 사항은 홈페이지, SNS 등을 통해 사용자에게 공개
보안원칙 6 : 안전한 운영·관리를 위한 정보보호·프라이버시 관리체계 마련
⑬ 최소한의 개인정보만 수집·활용될 수 있도록 개인정보보호정책 수립 및 특정 개인 식별정보의 생성·유통을 통제할 수 있는 기술적·관리적 보호조치 포함
보안원칙 7 : 사물인터넷 침해사고 대응체계 및 책임추적성 확보 방안 마련
⑭ 다양한 유형의 IoT 장치, 유·무선 네트워크, 플랫폼 등 다양한 계층에서 발생 가능한 보안 침해사고에 대비하여 침입탐지 및 모니터링 수행
⑮ 침해사고 발생 이후 원인분석 및 책임추적성 확보를 위해 로그기록의 주기적 저장·관리
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
사물인터넷(IoT) 제품·서비스의 개발자를 위한 안내지침인 ‘IoT 공통 보안가이드’가 나왔다. 안전성이 검증된 보안기술을 활용하고, 보안취약점이 발견되면 사용자에게 알려야 한다는 등의 내용이 담겼다.
미래창조과학부는 27일 서울 중구 프레스센터에서 열린 ’2016년 사물인터넷(IoT) 보안 얼라이언스 제3차 정기회의’에서 7개 대원칙과 15개 항목으로 구성된 보안가이드의 세부내용을 발표했다.
지난해 6월 나온 ‘IoT 공통보안 7대 원칙’을 구체화한 것으로, IoT 기기의 개발부터 폐기까지 전 주기에 걸친 기술적 권고사항을 포함했다.
미래부는 “보안가이드가 IoT 제품·서비스에 대한 종합적인 보안 체크리스트 기능을 수행함으로써 IoT 산업, 특히 인력·기술이 취약한 중소기업의 경쟁력 강화에 도움이 될 것”이라고 설명했다.
◇ IoT 공통보안 7대 원칙과 15대 보안가이드
보안원칙 1 : 정보보호·프라이버시 강화를 고려한 IoT 제품·서비스 설계
① IoT 장치의 특성을 고려하여 보안기능의 경량화 구현
② IoT 서비스 운영환경에 적합한 접근권한 관리 및 인증, 종단 간 통신보안, 데이터 암호화 등의 방안 제공
③ 소프트웨어 보안기술과 하드웨어 보안기술의 적용 검토 및 안전성이 검증된 보안기술 활용
④ IoT 장치 및 서비스에서 수집하는 민감 정보(개인정보 등) 보호를 위해 암호화, 비식별화, 접근관리 등의 방안 제공
⑤ IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성 보장
보안원칙 2 : 안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증
⑥ 소스코드 구현단계부터 내재될 수 있는 보안 취약점을 예방하기 위해 시큐어 코딩 적용
⑦ IoT 제품·서비스 개발에 사용된 다양한 SW에 대해 보안 취약점 점검 수행 및 보안패치 방안 구현
⑧ 펌웨어/코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안기법 적용
보안원칙 3 : 안전한 초기 보안 설정 방안 제공
⑨ IoT 장치 및 서비스 (재)설치 시 보안 프로토콜들에 기본으로 설정되는 파라미터 값이 가장 안전한 설정이 되도록 ‘Secure by Default’ 기본원칙 준수
보안원칙 4 : 보안 프로토콜 준수 및 안전한 파라미터 설정
⑩ 안전성을 보장하는 보안 프로토콜 적용 및 보안 서비스 제공 시 안전한 파라미터 설정
보안원칙 5 : IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행
⑪ IoT 장치·서비스의 보안 취약점 발견 시, 이에 대한 분석 수행 및 보안패치 배포 등의 사후조치 방안 마련
⑫ IoT 장치·서비스에 대한 보안취약점 및 보호조치 사항은 홈페이지, SNS 등을 통해 사용자에게 공개
보안원칙 6 : 안전한 운영·관리를 위한 정보보호·프라이버시 관리체계 마련
⑬ 최소한의 개인정보만 수집·활용될 수 있도록 개인정보보호정책 수립 및 특정 개인 식별정보의 생성·유통을 통제할 수 있는 기술적·관리적 보호조치 포함
보안원칙 7 : 사물인터넷 침해사고 대응체계 및 책임추적성 확보 방안 마련
⑭ 다양한 유형의 IoT 장치, 유·무선 네트워크, 플랫폼 등 다양한 계층에서 발생 가능한 보안 침해사고에 대비하여 침입탐지 및 모니터링 수행
⑮ 침해사고 발생 이후 원인분석 및 책임추적성 확보를 위해 로그기록의 주기적 저장·관리
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
돈으로 막을 수 있는 것들을 걱정하지 마세요. 돈으로도 막을 수 없는 것들을 걱정하세요.
지능적 사이버 위협/랜섬웨어 대응 DAMBALLA
전세계에서 담발라만이 내부 네트워크로 침입된 악송코드를 모두 오진없이 탐지하여 대응합니다.
그것은 수년간 축적해온 빅데이터가 있기에 가능합니다.
Security architecture scheme should be designed in accordance with with Enterprise Security Operation and legal compliance.
Enterprise Security program
돈으로 막을 수 있는 것들을 걱정하지 마세요. 돈으로도 막을 수 없는 것들을 걱정하세요.
지능적 사이버 위협/랜섬웨어 대응 DAMBALLA
전세계에서 담발라만이 내부 네트워크로 침입된 악송코드를 모두 오진없이 탐지하여 대응합니다.
그것은 수년간 축적해온 빅데이터가 있기에 가능합니다.
Security architecture scheme should be designed in accordance with with Enterprise Security Operation and legal compliance.
Enterprise Security program
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽GangSeok Lee
2013 CodeEngn Conference 09
기업의 보안 취약점을 분석하고 이에 대한 대응 방안을 제시하는 보안 컨설팅에 대해 알아본다. 아울러, 보안컨설턴트 양성을 위해 BoB에서 진행하고 있는 보안컨설팅 인턴쉽과정에 대해 소개한다.
http://codeengn.com/conference/09
http://codeengn.com/conference/archive
Privacy OCR은 스캔, 복사, 촬영된 이미지 파일 형태의 문서, 신분증, 각종 증명서/신청서 등을 문자인식(OCR)하여 이미지 내의 특정 키워드와 개인정보를 추출하는 기능을 제공
합니다.
추출된 텍스트 내에 키워드, 개인정보가 존재 시에 해당 정보를 제공 함으로서 기업, 공공기관의 개인정보보호 정책에 따른 보안기능을 적용합니다
2. I. SIS
[Specialist for Information Security]
• 주관 : 한국정보보호진흥원(KISA)
정보통신대학(ICU)
• 설명 : 정보통신부의 인정을 받는 유일한 정보보
호 관련 국내 자격증이다.
• 시험일 : 1년에 2번
• 이론 : 시스템 보안, 네트워크 보안, 어플리케이션
보안, 정보보호론으로 분류
3. I. SIS
[Specialist for Information Security]
• 시스템 보안
▫ 운영체제
▫ 클라이언트 보안
▫ 서버 보안
• 네트워크 보안
▫ 네트워크 일반
▫ 네트워크 활용
▫ 네트워크 기반
▫ 공격의 이해
▫ 각종 네트워크 장비를 이용한 보안 기술
▫ 최근 경향 및 추세
• 어플리케이션 보안
▫ 인터넷 응용 보안
▫ 전자상거래 보안
▫ 기타 어플리케이션 보안
• 정보보호론
▫ 암호학
▫ 정보보호관리
▫ 관련법규
5. II. CISSP
[Certified Information System Security
Professional]
• 응시자격 : ① (ISC)2 윤리강령의 준수를 확인.
② (ISC)2 CISSP CBK의 2개 이상의
도메인에서 5년 이상의 경력이 필요.
6. II. CISSP
[Certified Information System Security
Professional]
• 응시과목 : 시스템 접근통제 및 방법론, 통신망 및
네트워크 보안, 보안 관리, 물리적 보안, 응용프로
그램 및 시스템 개발, 암호학, 보안 아키텍처 및 모
델, 시스템 운영 보안, 사업지속계획 및 비상복구
계획, 관련 법률, 사고조사기법, 윤리
7. II. CISSP
[Certified Information System Security
Professional]
• 물리 보안 : 물리적으로 정보, 인명, 시설을 보호
하는것을 의미한다. 이는 인가자 / 비인가자의 출
입관리, 천재지변으로부터의 시설보호, 방범관리
등 모든 물리적 위협에 대해 보안을 지키는것을
의미한다, 대한민국에도 물리보안 전문업체[1]가
있으며, 도난 관리 중심으로 보안활동을 하고 있
다.
• 다른 보안의 기초가 되는 부분으로 물리보안이 취
약하면 해당 시설의 안정성을 담보할 수 없다.
8. II. CISSP
[Certified Information System Security
Professional]
• 취득 후 진로 : 관리자, 지도자, 경영자, 리더, 감독,
분석가, 설계자, 프로그래머, 암호학자, 암호전문
가, 암호분석가, 구조전문가, 엔지니어, 강사, 교수,
조사자, 컨설턴트, 세일즈맨, 대표 ….
10. III. CISA
[Certified Information Systems Auditor]
• CISA의 자격 갱신은 ISACA가 지정하는 교육과정을 3
년간 120학점 이상 수강하면 가능하다.
• 컴퓨터 시스템의 유효성과 효율, 신뢰성, 안전성을 확
보하기 위해 독립적인 입장에서 일정한 시스템 감사
기준에 의거하여 시스템을 종합적으로 점검 ·평가하
고, 관계자에게 조언 및 권고하는 작업을 수행한다.
• 회계 시스템에 관해서는 공인 회계사가 외부 감사로
서 시스템 감사인의 역할을 담당하는 경우도 있다.