417 posts tagged with "professional-engineer"

인포스틸러의 개념​

• 운영체제나 프로그램에 저장된 자격증명과 각종 정보를 훔치는 악성코드
• 암호화폐 지갑, 게임 등 탈취 가능한 자격증명의 증가, 자동화, 지능화된 악성코드 실행

인포스틸러의 매커니즘, 공격절차, 대응방안​

인포스틸러의 매커니즘​

인포스틸러 공격절차​

구분	내용	비고
1. 피싱메일, 링크 접근	악성링크 클릭 유도, 불법파일 설치 유도	사용자 부주의 이용
2. 악성코드 실행	인포스틸러 SW자동설치 및 실행	백신, 방화벽 우회시도
3. 정보탈취	사용자정보, 금융정보, 계정정보 탈취	C&C서버 활용
4. 중요정보 판매	탈취한 정보를 다크웹 판매, 협박	2차 피해 발생

인포스틸러 대응방안​

대응방안	내용	비고
관리적	보안정책 수립 및 교육, 강력한 PW, 일회성 PW 사용	2차 인증 활성화
물리적	중요 정보 암호화, 디스크 별도 백업	정보 유출 피해 최소화
기술적	백신, 침입탐지시스템 등 보안 솔루션 설치, 버전 업데이트	주기적인 검사 및 관리

인포스틸러 고려사항​

• 공격의 지능화에 따라 사용자가 신뢰할 수 없는 링크 클릭을 금지하는 등 개인 보안 수칙 준수 필요

접근제어의 개념​

• 사용자의 신원을 식별, 인증하여 대상, 정보의 접근 및 사용 수준을 인가하는 관리 기법
• 최소 권한과 직무 분리로 제로 트러스트 기반 기밀성, 무결성 달성을 위해 필요

접근제어의 개념도, 주요 유형​

접근제어의 개념도​

접근제어의 주요 유형​

구분	내용	비고
DAC, 임의적 접근제어	사용자나 그룹에 근거한 접근제어, 특정 권한 주체가 권한 위임 가능	ACM, ACL
MAC, 강제적 접근제어	객체별로 정의된 권한을 근거로 접근제어, 보안등급, 규칙 기반	벨라파둘라, 비바, 클락윌슨, 만리장성
RBAC, 역할기반 접근제어	권한을 그룹에 부여하고, 그룹이 수행할 역할을 정의하여 접근제어	IAM 등

LDAP 프로토콜의 개념 및 접근제어 방안​

LDAP 프로토콜의 개념​

• 사용자, 시스템, N/W, 어플리케이션 정보를 트리로 저장하여 조회, 수정 등 디렉토리 서비스와 정보를 전달하는 프로토콜
• DAP의 통신비용을 절감하기 위해 표준화

LDAP 프로토콜의 접근제어 방안​

구분	내용	비고
인증	Bind요청을 통한 사용자, 클라이언트 신원 검증	비밀번호, SASL 등
인가	LDAP 디렉토리 내 객체와 속성 권한 확인 후 권한 부여	사용자, 그룹정보로 ACL 처리
감사, Audit	LDAP 서버 활동 기록, 보안 및 규정준수 추적	Audit Log, Change Log 관리

정보보호제품 신속확인제도​

• 신기술, 융복합 제품에 대해 최소한의 절차와 인증 기준으로 보안제품을 평가한 뒤 평가 기준이 마련될 때까지 공공부문에 제품을 적용할 수 있도록하는 제도
• 기존 인증제도에 평가기준이 없는 제품의 공공시장 진입 가능, 정부 및 공공기관의 혁신 제품 도입을 통한 신규 보안 위협 대응
• 최근 6개월 간 심사 0건, 활성화 필요

정보보호제품 신속확인제도 절차도, 세부절차, 도입요건​

정보보호제품 신속확인제도 절차도​

정보보호제품 신속확인제도 세부절차​

구분	내용	비고
기존제도 가능여부 검토	제품이 기존 인증제도에서 평가 가능한지 검토	CC인증 등
신속 확인 준비	신속 확인 신청을 위한 점검	취약점 진단, 기능 시험
신속 확인 신청	진단서, 평가서, 서약서 제출	2개월 소요
심의 및 확인서 발급	심의 적합시 확인서 발급	2년 유효기간
변경 승인 기준 마련	변경시 취약점 코드 점검, 기존제도 평가 기준 마련시 연장 불가	변경 관리

정보보호제품 신속확인제도 도입 요건​

• '가' 그룹의 경우 국정원의 보안적합성 검증 필요
• 세부 요건은 국가사이버안보센터 보안적합성 검증 체계 참조

활성화방안​

• 대상 그룹 확장: 국방 관련 및 민감 제품 '가' 그룹 확장 필요
• 신기술 필수: AI 제로트러트스 관련 제품 필수 확인

정보보호제품 신속확인제도 발전방향​

• 국가용 보안 요구사항에 정의된 내용을 기반으로 체크리스트 도입, 정보보호 기업의 준비절차 간소화

3-상태 버퍼의 개념​

• 디지털 회로에서 사용되는 논리게이트의 한 종류로, 일반적인 0과 1의 논리 상태 외에 High Impedance (Z) 상태를 가질 수 있는 버퍼게이트이며 고 임피던스 상태에서는 회로에서 연결이 끊어진 것처럼 동작하여, 다른 장치 출력에 영향을 주지 않고 버퍼의 출력 제어
• 회로 간 전기적 분리가 가능하므로, 여러 장치가 동일한 데이터 버스를 효과적으로 제어 가능

3-상태 버퍼의 구성도, 구성요소, 적용방안​

3-상태 버퍼의 구성도​

3-상태 버퍼의 구성요소​

구분	내용	비고
입력	입력 신호를 받는 단자	입력 신호 인입
출력	입력 신호를 출력으로 내보내는 단자	출력 신호 출력
제어	버퍼의 상태를 제어하는 단자	High/Low Impedance

3-상태 버퍼의 적용방안​

구분	내용	비고
데이터 버스 제어	여러 장치가 공유하는 데이터 버스에 연결하여 특정 시간에만 데이터 전송	버스 충돌 방지
메모리 인터페이스	메모리 칩 선택 및 데이터 입출력 제어	주소 디코더 활용하여 특정 메모리 칩만 활성화
주변장치 인터페이스	주변 장치가 데이터를 보낼 준비가 되었을 때만 버퍼 활성화	주변 장치와의 데이터 수신

3-상태 버퍼 고려사항​

• 고임피던스 상태일 때 전류 소모가 적지만, 활성화 상태에서는 전류 소모가 발생할 수 있으므로 전력 관리가 필요

제로 트러스트 보안의 개념​

• 전통적 보안 모델과 달리 네트워크 내/외부를 고려하지 않고, 모든 접근 요청에 대해 철저한 인증과 검증을 끊임없이 수행하는 보안 모델
• 클라우드 컴퓨팅, 원격 근무로 인한 네트워크 경계의 모호성, 지능화된 사이버공격, 데이터 유출 위험의 증가 방지

제로 트러스트 보안의 개념도, 핵심요소, 적용 분야​

제로 트러스트 보안의 개념도​

• 제로 트러스트 패러다임에 맞는 지속적인 요청 검증, 마이크로 세그먼테이션, SDN기반 경계 정의 (SDP) 필요

제로 트러스트 보안 핵심요소​

구분	기존 트러스트 보안	제로 트러스트 보안
신뢰성	신뢰 기반	비신뢰 기반
인증	연결시에만 인증 수행	연결 후에도 지속적인 인증
권한	높은 수준 권한 부여	최소 수준 권한 부여
경계	기업망 단위 보안 경계	SW 정의 보안 경계
NW분할	네트워크 세그먼테이션	마이크로 세그먼테이션
리소스 검증	인증시 리소스 접근 가능	정책결정포인트, 정책집행포인트

제로 트러스트 적용분야​

구분	분야	내용
클라우드환경	클라우드 서비스 접근제어	클라우드 서비스 접근시 사용자기기, 앱에 대한 지속적 검증, 인증
원격근무환경	VPN 접속시 다중 인증	VPN 접근 사용자 인증 강화, 기기 상태 확인
데이터 보호	중요데이터 접근 제어	사용자 권한 및 데이터 접근 맥락 확인, 사용자 액션 로깅

제로 트러스트 아키텍처 보안 모델 및 구성요소​

제로 트러스트 아키텍처 보안 모델​

제로 트러스트 아키텍처 보안 모델 구성요소​

구분	설명	주요 기능 역할
정책결정지점(PDP)	보안 정책을 기반으로 사용자의 접근 요청을 평가하고 결정하는 중앙집중식 관리 시스템	사용자와 기기에 대한 인증 및 승인, 정책 관리, 권한 부여
정책시행지점(PEP)	PDP의 결정을 실행하며, 데이터 흐름과 리소스 접근을 제어하는 역할	데이터 통제, 리소스 보호, 불법 접근 차단
정책정보지점(PIP)	PDP가 의사 결정을 내릴 수 있도록 데이터를 수집, 분석 및 제공하는 구성 요소	사용자, 디바이스, 위치, 시간, 네트워크 활동 등 환경 정보 수집 및 PDP에 실시간 데이터 제공
신뢰 평가지표	사용자 및 기기의 현재 상태를 평가하여 동적으로 신뢰도를 조정	인증 후 지속적인 모니터링, 의심 상황에서 추가 인증 또는 세션 종료
최소 권한 모델	사용자 및 기기에 필요한 최소한의 리소스 접근 권한만 부여하는 세밀한 접근 제어 시스템	리소스의 세분화된 분류 및 관리, 횡적 이동 방지, 최소 권한 원칙 준수
세션 단위 보호	세션 단위로 접근을 허용하며, 세션 종료 후 다시 인증이 필요하게 설계	통신 보호 기술 적용, 각 세션의 독립적 인증

제로 트러스트 보안 적용시 고려사항​

• ITAM 도입을 선행하여 정보 자산의 추적용이성 확보

참조​

• 과기정통부: 철통인증지침, 제로트러스트 가이드라인 2.0
• KISA: 제로트러스트 가이드라인 1.0

인공지능 윤리의 개념​

• AI 산업 전반에서 AI시스템의 개발, 배포, 사용과 관련된 윤리적 원칙가 가치
• AI의 급속한 발전으로 인한 오남용이 심화됨에 따라 AI 개발, 적용 과정에서의 설명가능성, 투명성 확보를 위한 윤리 기준과 거버넌스 필요

인공지능 윤리의 주요 원칙, 적용방안​

인공지능 윤리의 주요 원칙​

인공지능 윤리 주요 원칙 상세설명​

구분	세부 원칙	설명
인간존엄성	인권보장	인간중심, 인권, 자유 보장
	프라이버시 보호	사생활 보호, 개인정보 오용 최소화
	다양성 존중	다양성, 접근성 보장, 편향 및 차별 금지
사회공공선	침해 금지	인간에 무해한 목적으로 활용
	공공성	인류 공통 이익 중시, 순기능 극대화
	연대성	이해관계자 참여 기회 보장
기술합목적성	데이터 관리	목적 외의 용도 사용 금지, 품질 관리
	책임성	책임 명확화, 주체별 책임 분산
	안전성	잠재적 위험 방지, 안전 보장 활동
	투명성	설명 가능성 확보, 유의사항 고지

• AI 윤리 원칙을 준수하기 위해 기업 내 AI 거버너스 확립

AI 거버넌스 모형 개념도, 구성요소, 주요 사례​

AI 거버넌스 모형 개념도​

AI 거버넌스 구성요소​

구분	요소	설명
기술	설명가능성	희소오토인코더 기반 xAI 구현
	공정성	편향, 차별 식별 및 제거
보안	프라이버시 보호	개인 데이터 학습에 의한 침해 방지
	안정성, 보안성	적대적 공격, 환각 방지
사회	공공성	AI로 인한 일자리 변화 고려
	연대성	긍정적인 사회 변화 선도
규제	오남용 방지 규제	딥페이크 등 오남용 규제
	국제사회 협력	국제 사회 소통을 통한 규제 마련

AI 거버넌스 주요 사례​

구분	사례	내용
국내	카카오	국내 최초 AI 윤리 헌장 제정
	삼성전자	AI 국제 컨소시엄 가입
국외	미국	AI 이니셔티브 행정 명령
	EU	AI 윤리 가이드라인 발표

SBOM의 개념​

• SW개발 및 배포 과정에 사용된 모든 오픈소스, 라이브러리, 패키지, 모듈 등의 구성요소를 체계화한 SW자재 명세서
• SW복잡성의 증가로 인한 보안취약점, OSS라이센스 관리, SW공급망 투명성 확보, 구성요소들의 품질 관리를 위해 필요

SBOM의 개념도, 구성요소, 적용사례​

SBOM의 개념도​

• SW 공급망에 대한 SBOM 유통체계를 구축하고 SDLC 전체에서 SW 공급망 보안 관리

SBOM의 구성요소​

구분	내용	비고
지침, 절차	SBOM 요청, 생성, 사용에 관한 절차 정의	생성 빈도, 분석 깊이, 접근 제어 등
컴포넌트 명세	추적해야할 각 컴포넌트의 식별정보, 관계정보	이름, 버전, 고유식별자, 의존관계, 라이센스
자동화 지원	기계 가독성 데이터포맷으로 자동화된 추적관리	SPDX, CycloneDX 등 SBOM 프로토콜

SBOM 적용사례​

구분	사례	비고
국내	디지털 플랫폼 정부	SW공급망 보안 가이드라인
국외	바이든 행정부	행정명령 통한 주요 인프라SW SBOM 의무화
	리눅스 재단	SPDX 표준 관리 통한 SBOM 정보 교환 및 활용 지원
	EU	사이버복원력법 제정, 유통되는 모든 디지털 기기의 SBOM 의무화

SBOM 도입 후 고려사항​

• SW구성요소 변경시 SBOM을 최신상태로 유지하여 정보 정확성을 확보하고, 주기적인 오픈소스 버전 업데이트로 보안 취약점 개선

참조​

• KISA: SW 공급망 보안 가이드라인 1.0

크리덴셜 스터핑의 개념​

• 공격자가 미리 확보한 사용자의 계정, 인증정보를 이용하여 다른 사이트에 무작위로 대입하여 정보를 탈취하는 사이버 공격
• 인터넷 사용자가 동일 로그인 정보를 여러 사이트에서 사용한다는 점을 노린 자동화 공격

크리덴셜 스터핑 개념도, 공격절차, 대응방안​

크리덴셜 스터핑 개념도​

• 무차별 대입 공격으로 탈취한 정보를 판매하여 2차 피해 발생

크리덴셜 스터핑 공격절차​

구분	절차	설명
수집	백도어 삽입	취약점 이용 백도어 삽입
	개인정보 탈취	내부시스템의 계정, 인증 정보 탈취
공격	무차별 대입 공격	계정정보로 무차별 로그인, 권한 획득
	중요정보 탈취	중요정보 탈취 후 협박, 유포, 금전 요구
반복	중요정보 판매	정보를 다크웹에 판매, 공개
	추가피해 발생	공개된 정보로 추가 공격 수행

크리덴셜 스터핑의 대응방안​

구분	방안	설명
개인	사이트별 고유 계정 사용	동일 정보 사용 지양
	다단계 인증 활성화	MFA 등 2단계 인증 활성화
	회사 이메일 사용 지양	가입시 개인 이메일 사용
기업	보안 모니터링	트래픽 탐지로 동일 IP 차단
	로그인 시도 제한	자동화 공격 방지
	대응 계획 수립	개인 보안 조치, 주기적 교육

• 크리덴셜 스터핑 공격은 자동화되어있으므로, 트래픽 변화, 로그인 실패 빈도 증가 등 선행 징조 확인 필요

크리덴셜 스터핑 대응시 고려사항​

• 공격을 사전에 예방하기 위해 IP보안, 2단계 인증 등 사용성을 고려한 보안 정책 도입 필요

Realtime Scheduling의 개념​

• 실시간 스케쥴링은 특정 태스크가 주어진 데드라인 내에 완료되도록 프로세싱을 보장하는 스케줄링 방법
• 시스템 제약 만족, 예측 가능성, 응답성, Mission Critical 프로세스 처리

우선순위 기반 스케줄링 기법​

RM, Rate Monotonic​

비율 단조

• 태스크의 주기가 짧을 수록 높은 우선순위로 스케줄링
• 스케줄링 예상 가능, 단순 구현, 고정 우선순위, 제한적 CPU 활용, Soft RTOS

EDF, Earliest Deadline First​

최단 마감시간 우선

• 태스크의 데드라인이 가까울 수록 높은 우선순위로 스케줄링
• 스케줄링 예상 어려움, 높은 CPU 활용, 동적 우선순위, 효율적, Hard RTOS
• 주기가 짧거나 데드라인이 긴 태스크가 공유 자원을 선점하는 경우 우선순위 역전현상 발생

우선순위 역전현상 개념 및 세부 절차​

우선순위 역전현상 개념도​

우선순위 역전현상 세부 절차​

순번	절차	내용
1	임계영역 진입	Task3은 자원R 사용 위해 진입
2	프로세스 선점	높은 우선순위의 Task1은 Task3의 임계영역 선점 스케줄링 실행
3	임계영역 대기	Task3이 진입 중이므로, Task1은 대기
4	우선순위 역전	중간 우선순위의 Task2가 선점하여 스케줄링, Task1은 계속 대기

우선순위 역전현상 해결방안​

우선순위 상속​

• 임계영역에 진입한 낮은 우선순위 태스크의 우선순위를 진입 대기하는 높은 우선순위 태스크와 동일하게 부여

우선순위 올림​

• 임계영역 자원R에 가장 높은 우선순위를 부여하고, 임계영역 진입 태스크의 우선순위를 자원의 우선순위로 올림

컴퓨팅 아키텍처의 개요​

• AI 등 병렬처리와 연산 효율이 필요한 최적화된 칩 수요의 증가로 ASIC 기반의 SoC으로 발전
• FPGA: 이종병렬성, 설계 유연성
• ASIC: 최고성능, 효율성

CPU, GPU, FPGA, ASIC 개념 및 특징, 적용분야​

CPU, GPU, FPGA, ASIC 개념 및 특징​

CPU​

• 복잡한 연산, 순차처리, 범용성

GPU​

• 단순한 연산, 병렬처리, 소숫점 연산 특화/FPU

FPGA​

• 설계 가능한 논리소자, 회로
• 스위치를 주변으로 CLB가 감싸고 있는 구조
• 목적별 재구성 가능, 유연성

ASIC​

• 특화 반도체
• 저전력, 고효율, 대량생산

CPU, GPU, FPGA, ASIC 적용분야​

구분	분야	비고
CPU	범용 컴퓨팅	웹브라우징, 오피스업무
GPU	그래픽 렌더링, 병렬처리	게임, 시뮬레이션, 머신 러닝
FPGA	맞춤형 H/W	디지털 회로 프로그래밍
ASIC	특정 작업 최적화, 고성능	스마트폰, N/W 장치, AI가속기

FPGA, ASIC 선택시 고려사항​

• 대량생산시 비용 절충점을 고려하여 ASIC 기반 SoC 도입 검토 필요