Skip to main content

CSAP, 클라우드 서비스 보안 인증

· 4 min read
Gracefullight
Gracefullight
Owner

CSAP 개념

  • 사용자가 안심하고 클라우드 서비스를 이용할 수 있도록 클라우드 서비스 제공자의 서비스를 인증기관이 평기/인증하여 지원하는 제도

CSAP 평가인증 구성도 유형, 주요항목

CSAP 평가인증 구성도

CSAP 평가인증 유형

구분유형내용
평가대상클라우드기반 서비스IaaS, SaaS, PaaS, Daas
평가인증 종류평가 시점 및 인증 등급평가 최초, 사후, 갱신
표준(IaaS/SaaS/DaaS), 간편(SaaS)
평가인증 조직정책, 평가, 인증, 자문정책(과기부), 평가/인증(KISA), 자문(국가보안연구소)

CSAP 주요항목

구분항목내용
관리적정책/조직클라우드 서비스 제공자의 보안 정책 수립 및 조직 운영
인적보안/교육임직원 및 관계자의 보안 교육, 권한 관리, 접근 통제 강화
자산 식별 관리클라우드 내 IT 자산(서버, 스토리지, 네트워크) 식별 및 보호
침해사고 관리보안 사고 대응 프로세스 수립, 침해사고 탐지 및 보고 체계 운영
물리적출입통제데이터센터 출입 권한 관리 및 접근 통제 절차 마련
식별/인증데이터센터 및 주요 시스템 접근자에 대한 인증 절차 강화
물리적 보호 구역보안 구역 설정, 감시 카메라, 출입 기록 관리
장비보호서버 및 네트워크 장비의 보호 및 물리적 환경(온도, 습도) 관리
기술적가상화 환경 인프라가상 머신(VM), 컨테이너 보안 및 하이퍼바이저 보호
접근권한 인증사용자 및 관리자 접근 권한 제어, MFA(다중 인증) 적용
네트워크 보안/암호화데이터 암호화, IDS/IPS 적용, 방화벽 운영 및 보안 프로토콜 활용

CSAP 개편안

등급대상시스템비고
민감정보, 행정 내부 업무 운영 시스템높은 보안 요구사항 적용 (망분리 필수)
비공개업무자료 포함 또는 운영시스템제한적인 인터넷 접근 허용, 강화된 보안통제 적용
개인정보 미포함, 공개된 공공데이터 운영 시스템논리적 망분리 허용

WAF, 웹 어플리케이션 방화벽

· 3 min read
Gracefullight
Gracefullight
Owner

WAF 개념

  • SQL 인젝션, XSS 등 일반적인 웹 취약점으로부터 웹 어플리케이션을 보호하기 위해 트래픽을 탐지/차단하는 방화벽
  • L7 계층(HTTP/HTTPS)에서 동작하며, 시그니처 기반, 행동 분석 기반 탐지 기법을 적용하여 웹 공격 방어

WAF 구성도, 주요 기능

WAF 구성도

WAF 주요 기능

구분기능설명
사용자 요청 검사입력 검증(Input Validation)사용자 입력값을 필터링하여 SQL 인젝션, XSS 공격 차단
요청/응답 필터링GET, POST 요청과 응답 패킷을 분석하여 이상 트래픽 탐지
세션 관리 보호인증 토큰 변조, CSRF 공격 방지
컨텐츠 보호웹사이트 무결성 보호웹 쉘(Web Shell) 업로드 차단, 악성 스크립트 방어
데이터 유출 방지민감 정보(주민등록번호, 카드번호 등) 포함 요청 차단
암호화 트래픽 분석TLS/SSL 복호화를 통해 암호화된 공격 탐지
보안시그니처 기반 탐지OWASP Top 10 기반 탐지 패턴 적용
행동 분석 기반 탐지이상 징후(비정상 요청 패턴, 속도, 빈도) 감지
DDoS 방어HTTP Flooding, Slowloris 등 L7 DDoS 공격 차단

캡차

· 3 min read
Gracefullight
Gracefullight
Owner

캡차 개념

  • 인간을 구별할 수 있지만 컴퓨터는 구별하기 힘든 의도적인 이미지나 텍스트를 제시하여 봇이 접근하는 것을 방어하는 기술
  • 웹사이트의 로그인, 회원가입, 댓글 작성, 투표 등에서 주로 사용

캡차 개념도, 유형, 보안 강화 방안

캡차 개념도

캡차 유형

구분세부 유형설명
텍스트 방식텍스트를 이미지화사용자가 왜곡된 문자/숫자를 해독하여 입력
질문 응답간단한 수학 문제나 논리 문제를 풀도록 유도
오디오방식입력텍스트를 오디오로 출력시각 장애인을 위한 대체 방법으로, 음성으로 캡차 제공
이미지방식이미지 분류특정 조건에 맞는 이미지를 선택하도록 요구
이미지 퍼즐"나는 로봇이 아닙니다" 체크박스, 퍼즐 조각 맞추기

캡차 보안 강화 방안

구분방안내용
난독화 강화텍스트 왜곡 및 노이즈 추가OCR(광학 문자 인식) 기술을 우회하기 어렵게 함
멀티모달 적용이미지 + 오디오 조합시각/청각 장애인을 고려하면서 보안성 강화
사용자 행동 감지마우스 움직임 및 키 입력 분석인간 사용자의 행동 패턴을 학습하여 봇 탐지
AI 대응동적 캡차 생성캡차 패턴을 인공지능이 학습하지 못하도록 랜덤화
인증 연계MFA(다중 인증) 활용로그인 과정에서 추가적인 보안 요소로 활용

CSRF

· 4 min read
Gracefullight
Gracefullight
Owner

CSRF 개념

  • 사이트 간 요청을 위조하여 사용자가 자신의 의지와 무관하게 공격자의 행위를 수행하도록 하는 보안 공격 기법
  • 사용자의 세션을 악용하여 비밀번호 변경, 결제 요청, 데이터 조작 등의 불법적인 요청 실행

CSRF 공격 매커니즘, 공격 절차, 대응방안

CSRF 공격 매커니즘

CSRF 공격 절차

단계설명예시
1. 공격 준비공격자가 악성 웹사이트, 이메일 등을 통해 CSRF 공격을 수행할 환경을 구축피싱 사이트 생성, 악성 링크 포함된 이메일 발송
2. 공격 수행사용자가 악성 사이트에 접속하면 자동으로 요청이 실행됨자동 POST 요청, 이미지 태그를 통한 GET 요청 포함
3. 피해 발생사용자의 세션을 활용하여 원치 않는 요청이 실행됨비밀번호 변경, 송금 요청, 계정 삭제

CSRF 공격 대응방안

구분대응방안내용
토큰 기반 방어CSRF 토큰 (CSRF Token)요청 시마다 난수 기반 토큰을 포함하여 서버에서 검증
인증 기반 방어SameSite 속성 사용쿠키의 SameSite 속성을 Strict 또는 Lax로 설정하여 CSRF 방어
HTTP 헤더 검증Referer 및 Origin 검증요청의 Referer 또는 Origin 값을 확인하여 출처가 올바른지 검증

CSRF, XSS 비교

구분XSSCSRF
개념공격자가 악성 스크립트를 삽입하여 실행하는 공격사용자의 인증된 세션을 악용하여 원치 않는 요청을 보내는 공격
공격 방식클라이언트 측에서 실행되는 JavaScript 코드서버 측에서 사용자의 세션을 도용하여 요청 수행
주요 피해사용자 정보 탈취, 세션 하이재킹, 웹사이트 변조비밀번호 변경, 송금, 계정 삭제 등 원치 않는 행동 수행
방어 기법CSP(Content Security Policy), 입력 검증, HTTPOnly 쿠키 사용CSRF 토큰, SameSite 쿠키, Referer 검증

CBPR

· 6 min read
Gracefullight
Gracefullight
Owner

CBPR 개념

  • APEC 프라이버시 보호 원칙을 기반으로 기업의 개인정보 보호체계를 평가하여 인증하는 글로벌 인증제도
  • 각국 법제도 비대채성, 자발성, 유연성, 개인정보 국경 간 이동 등 활용 중심

CBPR 개념도, 핵심요소, 인증기준

CBPR 개념도

  • APEC 내 개인정보 처리 기업이라면 CBPR인증 후 개인정보 주체 동의 없이 개인정보 국외 이전 가능

CBPR 핵심요소

구분핵심요소설명
목적전자상거래 활성화APEC 내 국가 간 개인정보 흐름을 원활하게 하여 디지털 경제 촉진
개인정보보호개인정보의 적절한 보호를 보장하면서도 기업의 데이터 활용과 국제 데이터 전송을 지원
적용범위APEC 회원국APEC에 가입한 국가들을 대상으로 하며, 회원국 간의 상호인정 협약 기반으로 운영
대상개인정보개인을 식별할 수 있는 모든 정보에 적용
개인정보처리자개인정보를 수집, 저장, 이용 및 공유하는 기업 또는 조직이 적용 대상
수탁처리자 제외개인정보를 직접 처리하는 기업(Controller)에 초점을 맞춤
단순 데이터 처리만 수행하는 수탁업체(Processors)는 직접적인 적용 대상이 아님
갱신주기1년 단위 갱신CBPR 인증을 받은 기업은 매년 개인정보 보호 준수 여부를 평가받아야 하며, 갱신을 통해 지속적인 적합성을 유지

CBPR 인증기준

분야세부분야내용
개인정보관리체계수립정책 및 절차 수립기업 및 조직이 개인정보 보호를 위한 정책과 절차를 문서화하고 준수하도록 요구
책임성 확보개인정보 보호책임자 지정, 기업의 개인정보 보호 조치 이행 및 지속적 개선 요구
개인정보 수집최소 수집 원칙개인정보는 목적에 필요한 최소한의 정보만 수집하도록 제한
투명성 확보개인정보 수집 시 정보주체에게 수집 목적, 이용 범위 등을 명확히 고지
개인정보 이동/위탁/제공목적 내 이용개인정보는 수집된 목적 내에서만 사용해야 하며, 목적 변경 시 추가 동의 필요
제3자 제공 제한개인정보를 제3자에게 제공할 경우 명확한 동의 절차 및 보호 조치를 마련해야 함
정보주체 권리열람 및 정정정보주체는 자신의 개인정보에 대한 열람 및 정정을 요구할 수 있어야 함
선택권 및 동의 철회정보주체는 자신의 개인정보 이용에 대한 선택권을 가지며, 언제든 동의를 철회할 수 있음
무결성데이터 품질 유지개인정보가 정확하고 최신 상태로 유지될 수 있도록 관리
보관 및 삭제 정책불필요한 개인정보는 보관하지 않고, 일정 기간 후 안전하게 삭제해야 함
보호대책기술적 보호조치암호화, 접근제어, 침입탐지 등 개인정보 보호를 위한 기술적 조치 요구
물리적 보호조치개인정보를 저장하는 서버, 네트워크, 문서 등의 안전한 보호 필요

NPU

· 3 min read
Gracefullight
Gracefullight
Owner

NPU 개념

  • AI, 딥러닝 활용을 위해 행렬연산 등 대량 병렬처리를 효과적으로 수행할 수 있는 차세대 반도체
  • 저전력, 고성능, 고효율, 온디바이스 AI, ML Framework 지원

NPU 구성도, 구성요소, GPU 비교

NPU 구성도

NPU

NPU 구성요소

CPU 구성 요소

구분구성 요소설명
연산부신경망 ALU뉴런 기반 산술 및 논리 연산을 수행하는 장치
레지스터연산 속도를 높이기 위해 데이터 및 명령어를 저장하는 초고속 메모리
Processing Engine명령어 실행 및 데이터 처리를 담당하는 핵심 연산 유닛
제어부버스 스케줄러CPU 내 데이터 및 명령 전송을 최적화하는 스케줄링 장치
버스CPU 내부 및 외부 장치 간 데이터 전송을 위한 경로
메모리부캐시(Cache)자주 사용하는 데이터를 저장하여 CPU 접근 속도를 향상
DMA(Direct Memory Access)CPU 개입 없이 데이터 전송을 수행하여 성능 최적화
입출력부I/O 컨트롤러외부 장치와의 데이터 입출력을 관리

NPU, GPU 비교

구분NPUGPU
목적딥러닝 및 AI 가속, 신경망 연산 최적화그래픽 및 범용 병렬 연산 (GPGPU)
특징저전력, 고성능, 고효율, 최적화된 AI 연산대량의 병렬 연산, 높은 메모리 대역폭
구조활성화 함수, 신경망 ALU, 메모리 컨트롤러SP (Streaming Processor), SIMD, HBM
연산 방식행렬 연산(MAC, Matrix Multiply-Accumulate) 최적화병렬 처리(벡터 연산, 픽셀 렌더링)
데이터 처리텐서 연산 최적화(Tensor Core, TPU 등)부동소수점 연산(FP32, FP64), 벡터 연산
활용 분야AI, 딥러닝, 엣지 컴퓨팅, 자율주행3D 그래픽, 데이터 병렬처리, 게임, 영상처리
전력 소비저전력고전력

온디바이스 AI

· 3 min read
Gracefullight
Gracefullight
Owner

온디바이스 AI 개념

  • 클라우드 서버를 거치지 않고 단말 자체에서 AI연산을 수행하는 기술
  • 개인정보/데이터보호, 빠른 응답속도, 비용절감, 오프라인 AI

온디바이스 AI 구성도, 주요 기술

온디바이스 AI 구성도

온디바이스 AI 주요 기술

구분주요기술설명
HW 기술뉴로모픽신경망을 하드웨어적으로 구현하여 초저전력 AI 연산 수행
NPUAI 연산 최적화 전용 프로세서로 CNN, RNN 등 가속 처리
HBM고대역폭 메모리로 AI 연산 시 병렬 처리 성능 향상
SoCCPU, GPU, NPU 통합 설계로 AI 연산 최적화 및 전력 절감
SW 기술엣지컴퓨팅데이터가 생성된 기기에서 직접 AI 연산 수행, 실시간 응답 가능
경량 AI모델/알고리즘모델 경량화, 저전력 최적화 기법으로 모바일·IoT 기기에서도 AI 실행 가능
MoE전문가 모델(Mixture of Experts)로 AI 연산 효율성 향상
BitNet저비트(1~2bit) 연산을 활용한 경량 AI 모델, 전력·메모리 사용 절감
개인정보보호 기술차등프라이버시데이터에 노이즈를 추가하여 개인정보 보호 강화
TPM신뢰할 수 있는 환경에서 AI 연산을 수행하는 보안 칩 활용
데이터 로컬 처리클라우드 전송 없이 기기 내에서 AI 데이터 처리, 보안 및 응답 속도 향상

데이터 거래소

· One min read
Gracefullight
Gracefullight
Owner

데이터 거래소 개념

  • 데이터 수집, 가공하여 부가가치를 높혀 소비자에게 공급하는 대규모 플랫폼
  • 데이터 품질보증, AI학습 데이터 마련, 데이터 활용 경제 활성화

데이터 거래소 구성도, 활성화 방안

데이터 거래소 구성도

데이터 거래소

데이터 거래소 활성화방안

  • 데이터 바우처
  • 빅데이터 캠퍼스
  • VM, R, Spark 등 데이터 분석 환경 지원

슈퍼앱

· One min read
Gracefullight
Gracefullight
Owner

슈퍼앱

  • 하나의 앱 안에서 다양한 서비스를 통합 제공하여 다른 앱을 설치하지 않고 여러 서비스를 이용할 수 있는 앱
  • 사용편의성, 고객 락인효과, 지속적인 거래경험

슈퍼앱, 멀티앱 비교

슈퍼앱 개념

  • 하나의 앱 안에 다양한 미니앱 통합 제공

미니앱 개념

  • 서비스별 앱 분리 후 별도 앱으로 제공

쿠버네티스

· 2 min read
Gracefullight
Gracefullight
Owner

쿠버네티스 개념

  • 컨테이너화 된 워크로드와 서비스를 관리하기 위해 이식성과 확장성을 갖춘 오픈소스 오케스트레이션 플랫폼
  • 서비스 디스커버리, 스토리지 오케스트레이션, 자동화 롤아웃, 롤백

쿠버네티스 구성도, 구성요소

쿠버네티스 구성도

쿠버네티스 구성요소

구분구성요소역할
유저Kubectl클러스터 관리 CLI
Dashboard클러스터 관리 웹 UI
컨테이너 리소스 모니터링컨테이너 시계열 로그 모니터링
컨트롤플레인API Server명령어 전달, ETCD 통신
SchedulerPod, 서비스 등 자원할당
Controller Manager컨틀로러 생성, 노드 배포
ETCD클러트더 데이터 KV 저장소
워커노드Pod기본 배포단위, 컨테이너 포함
컨테이너 런타임Pod 통한 배포컨테이너 실행 환경
Kubelet에이전트, Pod 동작 관리
KubeproxyNW프록시, 로드밸런싱