Skip to main content

35 posts tagged with "pe/security"

기술사 보안 토픽

View All Tags

LDAP, Lightweight Directory Access Protocol

· 3 min read

접근제어의 개념

  • 사용자의 신원을 식별, 인증하여 대상, 정보의 접근 및 사용 수준을 인가하는 관리 기법
  • 최소 권한과 직무 분리로 제로 트러스트 기반 기밀성, 무결성 달성을 위해 필요

접근제어의 개념도, 주요 유형

접근제어의 개념도

접근제어의 주요 유형

구분내용비고
DAC, 임의적 접근제어사용자나 그룹에 근거한 접근제어, 특정 권한 주체가 권한 위임 가능ACM, ACL
MAC, 강제적 접근제어객체별로 정의된 권한을 근거로 접근제어, 보안등급, 규칙 기반벨라파둘라, 비바, 클락윌슨, 만리장성
RBAC, 역할기반 접근제어권한을 그룹에 부여하고, 그룹이 수행할 역할을 정의하여 접근제어IAM 등

LDAP 프로토콜의 개념 및 접근제어 방안

LDAP 프로토콜의 개념

  • 사용자, 시스템, N/W, 어플리케이션 정보를 트리로 저장하여 조회, 수정 등 디렉토리 서비스와 정보를 전달하는 프로토콜
  • DAP의 통신비용을 절감하기 위해 표준화

LDAP 프로토콜의 접근제어 방안

구분내용비고
인증Bind요청을 통한 사용자, 클라이언트 신원 검증비밀번호, SASL 등
인가LDAP 디렉토리 내 객체와 속성 권한 확인 후 권한 부여사용자, 그룹정보로 ACL 처리
감사, AuditLDAP 서버 활동 기록, 보안 및 규정준수 추적Audit Log, Change Log 관리

정보보호제품 신속확인제도

· 3 min read

정보보호제품 신속확인제도

  • 신기술, 융복합 제품에 대해 최소한의 절차와 인증 기준으로 보안제품을 평가한 뒤 평가 기준이 마련될 때까지 공공부문에 제품을 적용할 수 있도록하는 제도
  • 기존 인증제도에 평가기준이 없는 제품의 공공시장 진입 가능, 정부 및 공공기관의 혁신 제품 도입을 통한 신규 보안 위협 대응
  • 최근 6개월 간 심사 0건, 활성화 필요

정보보호제품 신속확인제도 절차도, 세부절차, 도입요건

정보보호제품 신속확인제도 절차도

정보보호제품 신속확인제도 세부절차

구분내용비고
기존제도 가능여부 검토제품이 기존 인증제도에서 평가 가능한지 검토CC인증 등
신속 확인 준비신속 확인 신청을 위한 점검취약점 진단, 기능 시험
신속 확인 신청진단서, 평가서, 서약서 제출2개월 소요
심의 및 확인서 발급심의 적합시 확인서 발급2년 유효기간
변경 승인 기준 마련변경시 취약점 코드 점검, 기존제도 평가 기준 마련시 연장 불가변경 관리

정보보호제품 신속확인제도 도입 요건

  • '가' 그룹의 경우 국정원의 보안적합성 검증 필요
  • 세부 요건은 국가사이버안보센터 보안적합성 검증 체계 참조

활성화방안

  • 대상 그룹 확장: 국방 관련 및 민감 제품 '가' 그룹 확장 필요
  • 신기술 필수: AI 제로트러트스 관련 제품 필수 확인

정보보호제품 신속확인제도 발전방향

  • 국가용 보안 요구사항에 정의된 내용을 기반으로 체크리스트 도입, 정보보호 기업의 준비절차 간소화

제로 트러스트 보안

· 4 min read

제로 트러스트 보안의 개념

  • 전통적 보안 모델과 달리 네트워크 내/외부를 고려하지 않고, 모든 접근 요청에 대해 철저한 인증과 검증을 끊임없이 수행하는 보안 모델
  • 클라우드 컴퓨팅, 원격 근무로 인한 네트워크 경계의 모호성, 지능화된 사이버공격, 데이터 유출 위험의 증가 방지

제로 트러스트 보안의 개념도, 핵심요소, 적용 분야

제로 트러스트 보안의 개념도

  • 제로 트러스트 패러다임에 맞는 지속적인 요청 검증, 마이크로 세그먼테이션, SDN기반 경계 정의 (SDP) 필요

제로 트러스트 보안 핵심요소

구분기존 트러스트 보안제로 트러스트 보안
신뢰성신뢰 기반비신뢰 기반
인증연결시에만 인증 수행연결 후에도 지속적인 인증
권한높은 수준 권한 부여최소 수준 권한 부여
경계기업망 단위 보안 경계SW 정의 보안 경계
NW분할네트워크 세그먼테이션마이크로 세그먼테이션
리소스 검증인증시 리소스 접근 가능정책결정포인트, 정책집행포인트

제로 트러스트 적용분야

구분분야내용
클라우드환경클라우드 서비스 접근제어클라우드 서비스 접근시 사용자기기, 앱에 대한 지속적 검증, 인증
원격근무환경VPN 접속시 다중 인증VPN 접근 사용자 인증 강화, 기기 상태 확인
데이터 보호중요데이터 접근 제어사용자 권한 및 데이터 접근 맥락 확인, 사용자 액션 로깅

제로 트러스트 보안 적용시 고려사항

  • ITAM 도입을 선행하여 정보 자산의 추적용이성 확보

참조

인공지능 윤리

· 4 min read

인공지능 윤리의 개념

  • AI 산업 전반에서 AI시스템의 개발, 배포, 사용과 관련된 윤리적 원칙가 가치
  • AI의 급속한 발전으로 인한 오남용이 심화됨에 따라 AI 개발, 적용 과정에서의 설명가능성, 투명성 확보를 위한 윤리 기준과 거버넌스 필요

인공지능 윤리의 주요 원칙, 적용방안

인공지능 윤리의 주요 원칙

인공지능 윤리 주요 원칙 상세설명

구분세부 원칙설명
인간존엄성인권보장인간중심, 인권, 자유 보장
-프라이버시 보호사생활 보호, 개인정보 오용 최소화
-다양성 존중다양성, 접근성 보장, 편향 및 차별 금지
사회공공선침해 금지인간에 무해한 목적으로 활용
-공공성인류 공통 이익 중시, 순기능 극대화
-연대성이해관계자 참여 기회 보장
기술합목적성데이터 관리목적 외의 용도 사용 금지, 품질 관리
-책임성책임 명확화, 주체별 책임 분산
-안전성잠재적 위험 방지, 안전 보장 활동
-투명성설명 가능성 확보, 유의사항 고지
  • AI 윤리 원칙을 준수하기 위해 기업 내 AI 거버너스 확립

AI 거버넌스 모형 개념도, 구성요소, 주요 사례

AI 거버넌스 모형 개념도

AI 거버넌스 구성요소

구분요소설명
기술설명가능성희소오토인코더 기반 xAI 구현
-공정성편향, 차별 식별 및 제거
보안프라이버시 보호개인 데이터 학습에 의한 침해 방지
-안정성, 보안성적대적 공격, 환각 방지
사회공공성AI로 인한 일자리 변화 고려
-연대성긍정적인 사회 변화 선도
규제오남용 방지 규제딥페이크 등 오남용 규제
-국제사회 협력국제 사회 소통을 통한 규제 마련

AI 거버넌스 주요 사례

구분사례내용
국내카카오국내 최초 AI 윤리 헌장 제정
-삼성전자AI 국제 컨소시엄 가입
국외미국AI 이니셔티브 행정 명령
-EUAI 윤리 가이드라인 발표

SBOM, Software Bill of Materials

· 3 min read

SBOM의 개념

  • SW개발 및 배포 과정에 사용된 모든 오픈소스, 라이브러리, 패키지, 모듈 등의 구성요소를 체계화한 SW자재 명세서
  • SW복잡성의 증가로 인한 보안취약점, OSS라이센스 관리, SW공급망 투명성 확보, 구성요소들의 품질 관리를 위해 필요

SBOM의 개념도, 구성요소, 적용사례

SBOM의 개념도

  • SBOM 도입으로 관리자가 SW를 통합 관리 가능

SBOM의 구성요소

구분내용비고
지침, 절차SBOM 요청, 생성, 사용에 관한 절차 정의생성 빈도, 분석 깊이, 접근 제어 등
컴포넌트 명세추적해야할 각 컴포넌트의 식별정보, 관계정보이름, 버전, 고유식별자, 의존관계, 라이센스
자동화 지원기계 가독성 데이터포맷으로 자동화된 추적관리SPDX, CycloneDX 등 SBOM 프로토콜

SBOM 적용사례

구분사례비고
국내디지털 플랫폼 정부SW공급망 보안 가이드라인
국외바이든 행정부행정명령 통한 주요 인프라SW SBOM 의무화
-리눅스 재단SPDX 표준 관리 통한 SBOM 정보 교환 및 활용 지원
-EU사이버복원력법 제정, 유통되는 모든 디지털 기기의 SBOM 의무화

SBOM 도입 후 고려사항

  • SW구성요소 변경시 SBOM을 최신상태로 유지하여 정보 정확성을 확보하고, 주기적인 오픈소스 버전 업데이트로 보안 취약점 개선

참조

크리덴셜 스터핑

· 3 min read

크리덴셜 스터핑의 개념

  • 공격자가 미리 확보한 사용자의 계정, 인증정보를 이용하여 다른 사이트에 무작위로 대입하여 정보를 탈취하는 사이버 공격
  • 인터넷 사용자가 동일 로그인 정보를 여러 사이트에서 사용한다는 점을 노린 자동화 공격

크리덴셜 스터핑 개념도, 공격절차, 대응방안

크리덴셜 스터핑 개념도

  • 무차별 대입 공격으로 탈취한 정보를 판매하여 2차 피해 발생

크리덴셜 스터핑 공격절차

구분절차설명
수집백도어 삽입취약점 이용 백도어 삽입
-개인정보 탈취내부시스템의 계정, 인증 정보 탈취
공격무차별 대입 공격계정정보로 무차별 로그인, 권한 획득
-중요정보 탈취중요정보 탈취 후 협박, 유포, 금전 요구
반복중요정보 판매정보를 다크웹에 판매, 공개
-추가피해 발생공개된 정보로 추가 공격 수행

크리덴셜 스터핑의 대응방안

구분방안설명
개인사이트별 고유 계정 사용동일 정보 사용 지양
-다단계 인증 활성화MFA 등 2단계 인증 활성화
-회사 이메일 사용 지양가입시 개인 이메일 사용
기업보안 모니터링트래픽 탐지로 동일 IP 차단
-로그인 시도 제한자동화 공격 방지
-대응 계획 수립개인 보안 조치, 주기적 교육
  • 크리덴셜 스터핑 공격은 자동화되어있으므로, 트래픽 변화, 로그인 실패 빈도 증가 등 선행 징조 확인 필요

크리덴셜 스터핑 대응시 고려사항

  • 공격을 사전에 예방하기 위해 IP보안, 2단계 인증 등 사용성을 고려한 보안 정책 도입 필요

TPM, 신뢰할 수 있는 플랫폼 모듈

· 3 min read

TPM의 개념

Trusted Platform Module

  • 무결성 검증을 위해 키, 패스워드, 인증서를 안전하게 저장하기 위한 기능을 주로 하드웨어 기반으로 구현한 보안 암호화 프로세서

TPM의 구성도, 구성요소, 적용사례

TPM의 구성도

TPM의 구성요소

구분내용비고
I/O 버퍼입출력을 위한 버퍼호스트 시스템 간 인터페이스
암호화 하위시스템암호화 기능을 담당하는 하드웨어 모듈RSA, HMAC, 해시, 서명 연산, 키 생성
인증 하위시스템인증 기능을 담당하는 하드웨어 모듈명령어 실행 전후 호출 권한 확인
랜덤 액세스 메모리임시 데이터 저장을 위한 메모리PCR, 객체, 세션
비휘발성 메모리영구 데이터 저장을 위한 메모리TPM 상태, 시드, 증명 값
전원 감지 모듈전원 상태 모니터링 모듈전원 변동시 적절한 조치 수행

TPM 적용사례

구분내용비고
국내삼성전자, 자사 노트북에 TPM 모듈 포함윈도우11 대응
해외TPM 스펙 표준화 지정Trusted Computing Group
해외마이크로소프트, 구글 등 주요 IT 기업에서 TPM 활용윈도우11, 크롬OS

TPM 2.0 개선 내용

  • ECC 타원곡선 암호화 지원, Windows7 지원 종료

큐싱

· 2 min read

큐싱의 개념

  • QR Code와 Phishing의 합성어로 QR코드를 활용하여 개인정보, 결제정보 등을 탈취하는 공격 기법

큐싱의 개념도, 공격흐름

큐싱의 개념도

큐싱의 공격 흐름

구분내용비고
QR코드-과금, 결제, 링크QR
피싱사이트-UI카피, XSS
해커-개인, 범죄조직
다크웹-2차 피해

큐싱 대응방안

구분내용비고
공공큐싱 URL 차단DNS 우회
금융결제시 2차인증, 홍보 강화FIDO, 2FA
민간URL 재확인, 신뢰할 수 없는 인증서 확인외부링크 재확인
  • 큐싱 피해를 줄이기 위해 정부, 기업, 개인의 지속적인 관심 필요

만리장성 모델

· 2 min read

만리장성 모델의 개념

  • 정보의 이해 상충 문제를 해결하기 위해 고안된 접근 통제 모델로 동일 조직 내에서 서로 다른 이해관계자가 특정 정보에 접근하는 것을 제한하여 정보 유출 및 오용 방지.
  • 직무 분리, 이익 충돌 방지

만리장성 모델의 구성도, 구성요소

만리장성 모델 구성도

만리장성 모델 구성요소

구분내용비고
주체정보에 접근하는 개인 또는 그룹컨설턴트, 변호사 등
객체접근이 제한되는 정보 자원 고객 정보기업 비밀, 사건 자료
충돌 집합서로 이해 상충 관계에 있는 객체들의 집합동일 업종, 경쟁 기업 정보 등
접근 기록주체의 과거 정보 접근 이력이해 상충 여부 판단

만리장성 모델 적용시 고려사항

구분내용비고
정보 분류이해 상충 관계의 명확한 정의모호할 경우 오류 발생 가능
유연성새로운 정보 유형 발생, 권한 변경 시 모델 수정지속적인 업데이트

대칭 암호화, 비대칭 암호화

· One min read

대칭 암호화와 비대칭 암호화의 개념

대칭 암호화와 비대칭 암호화의 구성도, 구성요소

대칭 암호화의 구성도, 구성요소

비대칭 암호화의 구성도, 구성요소

  • 비대칭 암호화는 대칭키를 암호화하기 위해 전자봉투로서 사용

대칭 암호화와 비대칭 암호화 비교

구분대칭암호화비대칭암호화

대칭 암호화와 비대칭 암호화 고려사항