Thursday, November 5, 2015

보안관리자와 보안전문가 CSO의 역할과 차이

IT보안영역에서는 수많은 직책과 직무들이 존재한다. 이름만 들었을때, 바로 어떤 일을 할 것인가 유추가 되는 것이 있는반면, 어떤 직책들은 비슷한 어감으로 인해 일과 직무가 어떻게 구분이 되는지 알기가 어렵다. 마침 인터넷을 서핑하던 중 보안관리자와 보안전문가 그리고 CSO의 차이에 대한 좋은 글을 발견했다. 그 글을 토대로 내가 알아낸 것들을 정리해보겠다.

먼저 보안관리자와 보안전문가의 차이에 대해 알아야 할 필요가 있다. 보안전문가란 보안 관련 기술을 깊이 있게 이해하고 실제 업무에 적용이 가능한 사애로 만들 능력이 있는자를 말한다. IT 서비스를 구성하는 시스템, 네트워크, 서비스 등에 대한 지식과 기술을 기본으로 갖추어야 하며 다양한 보안 기술에 대해 능통해야한다.

반면 보안관리자는 보안정책에 대한 집행과 이행, 시스템에 대한 관리 등 다양한 부분을 책임을 지는자를말한다. 보안전문가와 달리 관련 기술을 깊이 있게 알기 보다는 넓은 방면에 대해 다양한 지식을 갖추는 것을 요한다. 즉 전문가는 기술에 대한 전문가이고, 관리자는 관리능력과 책임을 지닌 담당자라고 구분을 하면된다. 둘의 차이는 Generalist냐 Specialist냐에 따라 다를 것이다.

여기서 보안관리자는 또 두가지 유형으로 나눌 수 있다. GSM(General Security Manager)와 SSM(Special Security Manager)이다. GSM같은 경우는 CISA와 CISSP과 같은 자격증을 예로들면 이해하기 쉬울 것이다. 이 자격증 시험의 특징은 깊이 있는 지식보다는 넓고 다양한 방면의 보안지식을 요구한다. 즉 폭넓은 분야에 대해 상대적으로 가벼운 지식이 필요한 분야이며, 물리적인 보안 부분 및 정책적인 보안 부분에 대한 집중도가 높다.
반면 SSM(Special Security Manager)같은 경우 상당 기간의 보안 전문가 수준을 갖추어야 진입할 수 있는 직책이다. 기술 동향에 대한 이해도가 높아야 하며, 그 기술에 실무에 적용이 가능해야 한다.

점점 더 격벽하는 시대와 날로 증가하는 보안에 대한 위협은 현상에 대한 판단능력과 위협에 대한 대응 능력을 가진 SSM의 역할이 중요해질 것이다. 하지만 SSM은 키우기가 어렵고 서비스에 대한 이해도가 높아지기 위해서는 많은 시간이 필요하다.

추가적으로 CSO(Chief Security Officer)와 보안관리자의 차이점은 바로 경영을 보는 눈에 있다. 보안관리자같은 경우는 '보안관리'라는 그 범주 안에서만 판단하고 실행을 한다면, CSO같은 경우 회사 전체의 수익을 생각하며 보안을 고려해야하는 자리이다. 보안을 수익에 기여 할 수 있는 부분을 찾고 큰 위험요소를 전략적으로 선별하여 제거할 수 있는 눈을 가져야 한다. 즉 보안관리자와 CSO의 차이는 회사의 수익과 경영을 고려하는 가, 안하는가를 고려하는 것에 있다.


Wednesday, October 28, 2015

주민번호 수집 법정주의! 개정된 개인정보보호법 내용 中

주민번호 수집 법정주의

재작년(2013) 8월 6일에 공포되고, 작년 8월 7일 부터 시행한 부분입니다.

주민번호의 수집을 원칙적으로 금지하고, 유출이 되었을 경우 과징금 부과 등을 주요 내용으로 개인정보보호법이 개정되었습니다.

이에 의거하여, 작년 8월 7일부터는 법령상에 근거가 없는 경우 불필요한 주민번호 수집은 엄격히 제한을 하고 있습니다.

다만 예외적으로 주민번호 처리를 허용할 때가 있는데 해당 사유는 아래와 같습니다.

1. 법령(법률, 시행령, 시행규칙)에서 구체적으로 주민번호 처리를 요구, 허용한 경우

2. 정보주체 또는 제 3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요한 경우

3. 기타 주민번호 처리가 불가피한 경우로 행정자치부령으로 정하는 경우

위 사유에 해당하지 않는 다면 2016년 8월 6일까지 보유한 주민번호를 파기해야합니다.

또한 주민번호 유출시 '과징금'을 부과하는 제도 또한 신설 되었습니다. (제 34조 2)

주민번호 유출이 발생한 경우로 안전성 확보조치를 하지 않은 경우 최대 5억원 이하의 과징금을 부과, 징수하는 부분입니다.

또한 65조 3항에 대표(CEO) 등에 대한 징계권고가 마련되었는데, 법규 위반에 따른 행정자치부장관의 징계 권고 대상에 대표(CEO) 및 책임 있는 임원이 포함이 됩니다.

Tuesday, October 27, 2015

[보안뉴스 스크랩] 기업이 가장 원하는 정보보호 솔루션, MDM/MAM

[보안뉴스 스크랩] 기업이 가장 원하는 정보보호 솔루션, MDM/MAM


모바일 기기 확산으로 시작된 BYOD(Bring Your Own Device)개념이 확산되면서 생산성의 향상되는 효과를 가져왔다. 한편 자신의 기기로 회사 업무를 하므로 그에 따른 정보 유출 사고가 발생하기 시작했다. 그렇다고 강하게 제재를 하지나 개인 프라이버시 침해문제에 맞딱드리게 된다.

보안뉴스가 '가장 도입이 시급한 정보보호 솔루션은?'이라는 설문조사에서 가장 많은 비중을 차지한 것은 모바일 보안 솔루션인 MDM/MAM였다.

MDM(Mobile Device management)이란?
개인 소유의 모바일을 원격으로 제어하는 솔루션. 주로 기업에서 지급된 기기에서 사용하며, 해당 솔루션이 설치되면 회사에 들어오면 자동으로 카메라를 끄거나, 외부장치 연결을 차단 그리고 네트워크 모니터링 기능을 실행시킨다. 최근에는 업무영역과 개인영역의 데이터 이동을 막는 솔루션도 출시되었다.

MAM(Mobile Application Management)란?
모바일에 설치된 특정 앱을 관리하는 솔루션

MDM 그리고 MAM의 뒤를 잇는 솔루션은 APT 보안 솔루션.보통 이메일의 첨부 파일을 통한 공격이 많아, 이메일 보안 솔루션 또한 인기가 높다.

그 뒤로 개인정보보호 솔루션, DRM, DB보안솔루션 등이 자리를 차지했다.

하지만 솔루션에 대한 지나친 맹신보다는 직원 개개인의 보안의식 또한 고취되어야 할 것이다.

출처 : http://www.boannews.com/media/view.asp?idx=4834611

Friday, October 23, 2015

스미싱 예방을 위한 8가지 수칙 및 신고방법

스미싱 예방을 위한 8가지 수칙 및 신고방법

요즘 스미싱 방법이 점점 더 교묘해지고 있다. '나는 아니겠지'라는 생각으로 안일하게 대처하지 말고, 스미싱 예방을 위해 조금의 시간과 주의를 투자하자. 모든 사고에서 가장 효과적인 방법은 '예방'이다. 지금부터 스미싱 예방을 위한 8가지 수칙과 피해 시 신고 방법에 대해 포스팅하겠다.

1. 문자메시지에 포함된 인터넷주소 URL을 클릭하지 않도록 각별히 주의한다. 



스미싱 문자는 위와 같이 일반적인 메시지인 척 가장을 하고 클릭을 유도한다. 현재 당신이 만약 취업준비생이고 해당 기업에 원서를 넣은 상황이라면, 의심 없이 클릭을 할 것이다. 특히나 요즘은 사회공학적인 방법(특정인에 대한 주변 조사를 통해 접근 방식을 조사)을 통해 더욱 정교한 방법으로 스미싱이 이루어지고 있으니 조심해야한다.

2. 스마트폰 보안설정에서 '알 수 없는 출처의 앱설치 허용'을 해제한다.



당신의 스마트폰 보안 강화를 위해 환경설정>보안>디바이스 관리>알 수 없는 출처에 V체크를 해제하여 알 수 없는 출처의 앱 설치를 제한한다. 이렇게 하면 인증되지 않은 곳에서 유포된 악성 파일 실행을 막아준다. 대부분의 악성앱은 출처가 없으므로, 이렇게 설정을 바꿔추면 효과적으로 스미싱을 차단할 수 있다.

3. 백신프로그램을 설치하고, 항상 최신 버전으로 실시간으로 감시상태를 유지한다.


모바일용 백신을 설치한다. 그리고 실시간 감시 기능을 켜두어 스미싱을 방지한다. 무엇보다 중요한 것은 백신을 항상 최신으로 업그레이드해야한다는 것이다. 해킹 기술은 날로 진화하고 있으므로, 그에 따라 백신 또한 업데이트를 해주어야 한다.

4. 통신사 고객센터(114)로 전화해 소액결제 금액을 제한 및 차단한다. 

휴대폰으로 '114'번을 누르면 바로 통신사 고객센터에 연결 할 수 있다. 고객센터에서는 소액결제 금액을 차단하거나, 금액을 제한할 수 있다. 이렇게 해두면 스미싱을 통해 악성 소액결제행위를 막거나, 피해를 줄일 수 있다.

5. 스마트폰 등 정보 저장장치에 보안카드나 비밀번호 등 중요정보를 사진으로 찍어 저장하지 않고, 보안카드번호를 요구하는 경우 입력하지 않도록 주의해야 한다. 

주로 편의를 위해 스마트폰이나 컴퓨터에 보안카드 스크린샷 또는 비밀번호를 저장하는 일이 많다. 이런 행위는 나중에 데이터가 유출되었을때 심각한 금전적 피해를 유발 시킬 수 있다. 그로므로 민감한 정보는 스마트기기나 PC에 저장하지 말자.
또한 어떠한 금융서비스도 모든 보안카드번호를 요구하지 않는다. 만약 보안카드 전체를 입력하라는 지시가 있다면 100% 사기라고 봐도 된다.

6. 공인인증서 PC지정 등 전자금융사기 예방서비스에 가입한다. 


공인인증서 PC를 지정하면 지정된 단말기에서만 공인인증서를 (재)발급 및 타행 공인인증서를 자유롭게 등록할 수 있다. 즉 해커가 나의 정보를 탈취해 공인인증서를 만들 여건을 마련하여도, 지정된 PC가 아니므로 공인인증서를 만들 수가 없다.
또한 전자금융사기 예방서비스에 가입하는 것도 하나의 방법이다. 구글에 전자금융사기 예방서비스를 검색하면 다양한 상품들을 만날 수 있다. 이 서비스는 개인 정보를 불법으로 취득하여 고객 명의의 공인인증서를 재발급 받아 예금을 인출해가는 전자금융사기 피해를 예방하기 위해 본인확인 절차를 강화한다. 


7. 문자 클릭 시험 후의 악성앱을 삭제한다. 





삭제 방법은 스마트폰 내 다운로드 앱을 실행하고 문자 클릭 시점 이후 설치된 앱을 확인한다. 그리고 환경 설정으로 들어가 어플리케이션 관리에 들어가 해당 악성앱을 삭제하면 된다. (위 그림은 구글 드라이브를 예시로 들어서 설명한 것입니다.)

8. 스미싱 피해를 당하면 KISA나 금융감독원, 사이버 안전국으로 신고하라




스미싱 피해를 당하면 즉시 신고를 해야한다. 문의 및 피해신고는 한국인터넷진흥원(118), 금융감독원(1332), 경찰청 사이버안전국(112) 중 하나로 하면 된다.


날이 갈수록 스미싱기술이 증가하고 있다. 이런 공격에 대비하기 위해서는 무조건 예방을 하는 것이다. 위에서 소개한 스미싱 예방을 위한 8가지 수칙과 신고방법은 보안뉴스 를 토대로 사례를 덧붙혀 작성한 것이다. 위 수칙을 잘 지켜서 외부의 공격으로부터 소중한 자산을 지키길 바란다.


[보안뉴스 스크랩] 구글 검색을 통한 개인정보 유출


[보안뉴스 스크랩] 구글 검색을 통한 개인정보 유출

구글 검색을 통해 개인정보가 고스란히 유출되는 문제가 아직까지 해결되지 않고 있다. 최근에 '수상레저 안전법 위반자 명단'의 파일에 주민번호 정보와 면허번호, 주소정보 등이 노출되어 있었다. 또한 LG디스플레이 서류 전형 합격자 명단이 전달과정에서 유출이 되었다.

이를 막기 위해 막연히 검색을 하거나 노출을 통제하는 것은 한계가 있다. 내부에서 유출 포인트를 파악하고 통제하는 것이 중요하며, 웹 취약점에 대한 내부 관리를 해야한다. 또한 서버 파일과 DB권한 설정에 유의하고 무엇보다 개인정보보호에 대한 인식이 강화되어야 한다.

출처 : http://www.boannews.com/media/view.asp?idx=48248&skind=O

Tuesday, October 20, 2015

OWASP Top 10 웹 어플리케이션 10대 취약점 (2013년 발표자료)

OWASP(The Open Web Application Security Project) Top 10

보안분야에서 일하려면 꼭 알아야 하는 부분 중 하나이다. 특히 기업 면접 시에 단골로 등장한다. 대부분의 웹 취약점은 OWASP에서 발표한 웹어플리케이션 10대 취약점에서 나오므로 꼭 숙지해야할 내용이다.



웹 어플리케이션 10대 취약점

1. Injection
대표적으로 SQL, OS, LDAP 인젝션 취약점이 있다. 이는 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다. 
이를 막기 위해서는 유입되는 데이터를 적절하게 필터링해야할 필요성이 있다. 

2. Broken Authentication and Session Management
인증 및 세션 관리와 연관된 애플리케이션 기능이 올바르게 구현되지 않는다면, 공격자로 하여금 다른 사용자의 신분으로 가장할 수 있도록 하는 패스워드, 키, 세션 토큰 체계를 위태롭게 하거나 구현된 다른 결함들을 악용할 수 있도록 허용하게 된다.
이와 관련된 예로는 아래 링크를 참조


3. Cross-Site-Scripting(XSS - 크로스사이트 스크립팅)
피해자의 웹페이지에 스크립트를 실행하여 사용자 세션 탈취 또는 웹 변조 피싱 파밍 사이트로 유도 등과 같은 악의적인 행동을 할 수가 있다. 이를 막기 위해서는 웹페이지에 올라오는 스크립트문을 적절하게 변형 및 필터링을 해야한다. 

4. Insecure Direct Object References (취약한 직접 객체 참조)
직접 객체 참조는 파일, 디렉터리, 데이터베이스 키와 같이 내부적으로 구현된 객체에 대해 개발자가 참조를 노출할 때 발생한다. 만약 접근 통제에 의한 확인이나 다른 보호가 없다면, 공격자는 이 참조를 권한 없는 데이터에 접근하기 위해 조작할 수 있다.

5. Security Misconfiguration (보안 설정 오류)
훌륭한 보안은 애플리케이션, 프레임워크, 애플리케이션 서버, 웹 서버, 데이터베이스 서버 및 플랫폼에 대해 보안 설정이 정의되고 적용되어 있다. 기본으로 제공되는 값은 종종 안전하지 않기 때문에 보안 설정은 정의, 구현 및 유지되어야 한다. 또한 소프트웨어는 최신의 상태로 유지해야 한다.

6. Sensitive Data Exposure (민감 데이터 노출)
신용카드 및 고객 개인정보등과같이 민감한 정보가 웹에 그대로 노출되는 경우

7. Missing Function level access control(기능 수준의 접근 통제 누락)
공격자는 URL이나 파라미터를 변조해서 인증된 사용자가 된다. 익명의 사용자는 숨겨놓은 기능에 접근하지 못하도록 해야 한다.

8. Cross-Site Request Forgery(크로스 사이트 요청 변조)
XSS의 한 부분으로 볼 수 있다. 로그인된 사용자의 세션 쿠키와 다른 인증 정보를 가지고 위조된 HTTP 요청을보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다. 대표적인 예로 공격자가 의도해 놓은 비밀번호변경페이지로 이동시켜 공격자가 원하는 번호로 변경을 하는 것이다. 이를 막기 위해서, 현재 비밀번호입력 요구 및 추가적인 조치를 한다.

9. Using components with known vulnerablities (알려진 취약점이 있는 컴포넌트 사용)
취약한 컴포넌트를 악용하여 공격하는 경우 심각한 데이터 손실이 발생하거나 서버가 장악된다. 알려진 취약점이 있는 컴포넌트를 사용하는 애플리케이션은 애플리케이션 방어 체계를 손상하거나, 공격 가능한 범위를 활성화하는 등의 영향을 미친다.


10. Unvalidated Redirects and Forwards (검증되지 않은 리다이렉트 및 포워드)
웹 애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트 하거나 포워드하고, 대상 페이지를 결정하기 위해 신뢰할 수 없는 데이터를 사용한다. 적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성코드 사이트로 리다이렉트 하거나 승인되지 않은 페이지에 접근하도록 전달할 수 있다.

[출처 : 위키 및 안랩]

정보보안의 3요소 (CIA,기밀성,무결성,가용성)에 대하여...


정보보안에서 중요한 3대 요소는 줄여서 흔히 CIA라고 불린다.

즉 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)로 꼽힌다.

각 요소들에 대해 설명하고, 어떻게 보안을 뒷받침하는 3대 요소가 되는 지 설명하겠다.

기밀성
말그대로, 데이터의 기밀을 유지하는 성질을 말한다. 즉 합법적으로 허가된 사용자만 그 데이터를 볼 수 있어야 하고, 데이터 전송시 그 데이터를 까볼 수 없어야 한다. 까보더라도, 그 내용을 알지 못하게 암호화를 해야한다.

무결성
무결성이란 데이터의 '무결'함. 즉 해당 데이터가 신뢰할 만한 데이터인지를 나타내는 척도이다. 이를 위해서 인가된 사용자만이 해당 데이터를 변경할 수 있어야한다. 또한 원본데이터에서 변경이 되지 않음을 증명하기 위해 해쉬함수를 사용하여, 해당 데이터의 변조 여부를 알 수 있어야한다. 

가용성
가용성이란 정보서비스가 제대로 작동되어, 정보에 대한 접근과 사용이 적절하게 보장되는 상태를 의미한다.

위 정보보안의 3대 요소는 정보서비스를 안전하게 사용할 수 있는 필수적인 요소이다.