-
이벤트한글날 기념 낱말퀴즈 이벤트
한글날은 한글의 독창성과 과학성 등의 우수성을 국/내외로 널리 알리기 위해 매년 10월 9일을 한글날이라 칭하고 기념을 하고 있습니다. 또한 한글날은 법정 공휴일이자 대한민국 5대 구경일로 태극기를 게양 하여야 합니다.올해 2020년은 한글 반포 574주년인데요.처음으로 한글날 기념식을 거행한 것은 한글 반포 480주년 기념일인 1926년 11월 4일 조선어연구회(現 한글학회)와 신민사가 공동 주최하여 첫 기념식을 성대하게 거행하였습니다.지금과 같이 10월 9일이 한글날로 지정된 건 1940년 훈민정음 해례본이 발견되었고, 책이 발간일이 음력 9월 10일로 밝혀졌기 때문에 음력 9월 10일을 그레고리력으로 변환하면 10월 9일 되기 때문입니다※ '그레고리력'이란 1년의 길이를 365.2425일로 정하는 역법 체계로서 윤년을 포함하는 양력을 말한다(천문법 제2조 제4호).※ [참고자료] 위키피디아-한글날(관련 자료 링크)이번 한글 반포 574주년을 기념하여 신시웨이를 사랑하고, 약간의 IT 지식이 있다면 모두가 맞출 수 있는 작은 이벤트를 준비하였습니다. 정답을 맞히신 분들 중 추첨을 통해 10분께 신세계 상품권(1만 원)을 선물로 드립니다. 이벤트 기간2020년 10월 08일 부터 10월 15일 까지 가로 세로 낱말 퀴즈① OOOOOO법은 최근 2020년 2월 4일에 개정되어, 2020년 8월 5일에 시행되었습니다.(힌트)② 신시웨이의 경영 이념은 이 것을 모티브로 하였는데요, 이 것은 과연 무엇일까요?(힌트)③ 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이 것을 하여야 하는데요 이 것은 무엇일까요?(힌트)④ 오라클 출신의 DBMS 전문가가 설립한 DB보안 솔루션 전문 기업의 이름은 무엇일까요?(힌트)⑤ 2015년 Data Artist Group 엑셈은 신시웨이와 손을 잡았는데요 그 이유(OOO 효과)는 무엇일까요? (힌트)⑥ 가상의 컴퓨터를 임대하는 AWS 서비스이며 Elastic Computer Cloud라 말하는 이 것은 무엇일까요(힌트) 참여 대상한글날을 기념하기 위한 가로 세로 낱말 퀴즈는 전세계 누구나 참여가 가능합니다. 참여 방법아래 비밀 댓글로 정답과 함께 이름, 소속, 전화번호, 이메일 주소를 남겨주세요.(입력하신 개인정보는 상품 발송외에는 활용 되지 않습니다) 당첨자 발표2020년 10월 16일신시웨이 블로그 공지 및 개별 문자 발송
-
- 20.10.07
-
IT·보안REST 살펴보기
단순히 하나의 브라우저만 지원하던 예전과 달리, 멀티 플랫폼, 멀티 디바이스 사용이 당연시되는 지금의 서버 프로그램은 여러 웹브라우저뿐만 아니라 아이폰, 안드로이드 등의 어플리케이션과의 통신에도 대응해야 한다. 특정 플랫폼이나 디바이스에 의존적인 서버를 만들지 않기 위해서는 범용적인 사용성을 보장하는 서버 디자인이 필요하다.이를 위해 고안된 것이 REST 이다. REST의 기본 원칙을 성실히 지킨 서비스 디자인을 “RESTful 하다.” 라고 표현하며, 이러한 원칙을 지켜서 설계된 API를 “Rest API”라고 한다.REST는 Representational state transfer의 약자로, 월드와이드웹과 같은 분산 하이퍼미디어 시스템을 위한 소프트웨어 아키텍처 스타일이다. 이는 Hypermedia API의 기본을 충실히 이행하여 만들고자 하는 시스템의 디자인 기준을 명확히 확립하고 범용성을 보장해 준다.REST 구성요소1. 자원(Resource) – URIUnique한 ID를 가진 Server의 Resource에 대해 Client가 요청을 보낸다.2. 행위(Verb) - MethodClient가 Server에 요청을 보내는 방식으로 POST, GET, PUT, DELETE 등이 있다.3. 표현(Representations)Server와 Client간의 데이터 전달 형태로 json, xml, text 등이 있다. 주로 Key-Value를 활용하는 Json이 사용된다.REST를 구성하는 스타일 (제약조건)1. client - server(서버-클라이언트 구조)RestAPI에서 자원을 가지고 있는 쪽이 서버, 자원을 요청하는 쪽이 클라이언트에 해당한다. 서버는 API를 제공하며, 클라이언트는 사용자 인증, Context(세션, 로그인 정보) 등을 직접 관리하는 구조로 각각의 역할을 확실히 구분시킴으로써 서로간의 의존성이 줄어들게 된다.2. stateless(무상태성)각각의 요청을 별개의 것으로 인식하고 처리해야 하며,이전 요청이 다음 요청에 연관되어서는 안 된다.그래서 RestAPI는 세션정보나 쿠키 정보를 활용하여 작업을 위한 상태 정보를 저장 및 관리하지 않는다. 이러한 무상태성때문에 RestAPI는 서비스의 자유도가 높으며, 서버에서 불필요한 정보를 관리하지 않으므로 구현이 단순하다. 이러한 무상태성은 서버의 처리방식에 일관성을 부여하고, 서버의 부담을 줄이기 위함입니다.3. cacheable(캐싱가능)RestAPI는 HTTP라는 기존의 웹 표준을 그대로 사용하기 때문에, 웹의 기존 인프라를 그대로 활용할 수 있다. 그러므로 RestAPI에서도 캐싱 기능을 적용할 수 있는데, HTTP 프로토콜 표준에서 사용하는 Last-Modified Tag 또는 E-Tag를 이용하여 캐싱을 구현할 수 있고, 이것은 대량의 요청을 효율적으로 처리할 수 있게 도와준다.4. layered system(계층형 구조)RestAPI의 서버는 다중 계층으로 구성될 수 있으며 보안, 로드 밸런싱, 암호화 등을 위한 계층을 추가하여 구조를 변경할 수 있다. 또한 Proxy, Gateway와 같은 네트워크 기반의 중간 매체를 사용할 수 있게 해준다.5. code-on-demand(optional)서버에서 코드를 client로 보내서 실행할 수 있어야 한다.(ex>javascript)6. uniform interface(일관된 인터페이스)Resource(URI)에 대한 요청을 통일되고, 한정적으로 수행하는 아키텍처 스타일을 의미한다. 이것은 요청을 하는 Client가 플랫폼(Android, IOS, JSP 등) 에 무관하며, 특정 언어나 기술에 종속받지 않는 특징을 의미하고, 이러한 특징 덕분에 RestAPI는 HTTP를 사용하는 모든 플랫폼에서 요청 가능하며,느슨한 결합) 형태를 갖게 되었다.현재(현실)의 REST API 한계점HTTP만 잘 따라도 대체로 REST 제약조건(아키텍쳐 스타일)을 다 만족할 수 있지만, uniform interface 제약조건의 일부를 만족시키지는 못한다.① identification of resources : uri가 리소스로 식별되면 된다.② manipulation of resources through representations : 리소스에 대한 조작 시 http 메세지에 표현을 담아서 전송해서 달성하면 된다.③ self-descriptive messages : 메시지는 스스로를 설명해야 한다.④ hypermedia as the engine of application state(HATEOAS) : 애플리케이션의 상태는 Hyperlink를 이용해 전이되어야한다..위처럼 uniform interface는 4가지 제약조건으로 이루어져 있는데, 오늘날 사용되는 대부분의 RestAPI는 아래 두 가지 ③, ④는 지키지 못하고 있다. REST의 기본 원칙을 성실히 지키지 않은, ‘RESTful 하지 않은’ 오늘날 대부분의 REST API를 어떻게 해야 할지에 대해 고민해볼 필요가 있다. - REST API가 아니지만 REST API라고라고 부른다. (현재 상태) - REST API 구현을 포기하고 HTTP API라고라고 부른다. - REST API를 구현하고 REST API라고라고 부른다.사실 어떻게 부르든 큰 차이는 없을 수 있지만, REST의 지향점에 대한 이해는 가져야 하지 않을까 생각해본다. 위키 피디아(REST) 토스트 밋업(REST API 제대로 알고 사용하기) 망나니 개발자([Server] Restful API란?)글. 기술지원 2팀 | 권선보 차장
-
- 20.10.07
-
IT·보안신입 보안관리자가 꼭 봐야할 암호화 상식
"암호화란 무엇인가""대칭키 및 비대칭키 빠르게 알고 가자" 암호화(Encryption)IT 관련 업무를 하고 있다면 암호화(Encryption)라는 말을 수 없이 들었거나 앞으로 수 없이 들어야할 말이다. 암호화(Encryption)는 정보를 보호하기 위한 학문인 암호학(Cryptology)의 일부분으로 암호화(Encryption)는 비밀을 보장하기 위해 특정 알고리즘으로 평문(Plaintext)를 암호문(Ciphertext)으로 변환하는 것을 말한다. 반대로 복호화(Decryption)는 암호문(Ciphertext)을 평문(Plaintext)으로 변환하는 것을 말한다. 그렇다면 암호학(Cryptology)에서 말하는 암호화는 무엇을 목표로 하고 무엇을 제공(기능) 하고 있을까?궁극적인 목표는 보안 강화 일 것이며, 암호학(Cryptology)에서는 기밀성(Confidentiality), 무결성(Integrity), 인증(Authentication), 부인방지(Non-repudiation)의 기능을 제공 한다.기밀성(Confidentiality)인가 되지 않은 자는 정보를 확인 하지 못하도록 하며, 정보가 유출 되더라도 평문으로 해독 할 수 없고, 변조 또는 위조 하지 못하도록 기밀을 유지대칭키 / 비대칭키 암호화무결성(Integrity)전자 서명인증(Authentication)전자 서명대칭키 암호화(Symmetric-key Cryptography)암호화 할 때 사용하는 키와 복호화할 때 사용하는 키가 동일한 암 · 복호화 방식을 말하며, 쉽게 말해 사전에 공유된 키에 대해서만 암호화와 복호화가 가능한 암호화 방식을 이야기한다. 대칭키 암호화는 블록과 스트림 방식으로 나뉘며 블록 암호화 방식은 혼돈(confusion)과 확산(diffusion)을 이용하여 평문을 블록 단위로 나누어 암호문을 생성한다. 혼돈은 치환(substation, S-box)을 통해 생성되고, 확산은 순열(permutation, P-box)에 의해 얻게 되는데, 순열(전치)과 치환 그리고 다른 구성 요소들을 결합하여 암호화하는 것을 합성 암호화(Product Cipher)라고 한다. 합성 암호화의 반복적인 사용을 라운드(Round) 또는 회전수라 이야기하며 이러한 라운드 수는 블록의 길이, 키의 길이와 같이 암호화 강도를 결정짓는 중요한 요소이다.확산암호문과 평문 사이의 관계를 숨기는 성질로 평문의 통계적 성질을 암호문 전반에 퍼뜨려 숨기는 것을 말한다. (전치형 암호화 / 블록 암호화에 사용)라운드합성 암호화(Product Cipher)의 반복 횟수대칭키 암호화(Symmetric-key Cryptography) 특징비대칭키에 비해 키 길이가 짧고 알고리즘이 비교적 단순 하기 때문에 암 · 복호화 속도가 빠르다.키 길이가 길수록 Key Space가 길기 때문에 brute-force attack(무차별공격)에 안전 하다암 · 복호화 키가 같기 때문에 키가 오픈 될 확률이 비대칭키에 비해 높으며, 키를 자주 변경해 주어야 한다.키 분배가 어렵고 관리할 키가 많다.기밀성을 제공하며, 전자서명이 불가능 하고 부인 방지 기능이 없다.* 무차별 공격 : 특정한 암호를 풀기 위해 가능한 모든 값을 대입 블록 암호화와 스트림 암호화의 특징스트림 암호화평문에 연속 되는Key Stream을 적용하여 1bit씩 암호화XOR 연산H/W 구현에 적합(무선 암호화에 많이 사용)암/복호화 속도가 빠르다블록 암호화에 비해 안정성이 떨어진다.비대칭키 암호화(Asymmetric key Cryptography)비대칭키 암호화는 대칭키 암호화와 달리 암호화 할 때의 키와 복호화 할 때의 키가 서로 다른 암호화 방식을 이야기 한다. 즉, 개인키로 암호화를 하면 공개키로 복호화를 해야 하고, 반대로 공개키로 암호화하면 개인키로 복호화를 해야 한다. 비대칭키 암호화는 공개키 암호화라고도 한다. 비대칭키 암호화는 대칭키 암호화의 키 관리와 키 배포 방식에 대한 단점을 보완하기 위한 암호화 방식이다.그러나 키의 길이가 길어 암호화 속도가 느리기 때문에 현실적으로 비대칭키를 이용하여 데이터를 암호화하는 것은 어려운 일이다. 그렇기 때문에 대칭키를 이용하여 데이터를 암호화 하고 비대칭키 암호화 방식을 이용하여 키를 배포하는 방식을 많이 사용 하며, 전자 서명, 인증, 부인방지의 기능으로도 사용 된다.공개키 (Public key)CA(Certification Authority) 등에 공개되어 있어 누구나 사용 가능한 키개인키 (Private key)개인이 소유하고 관리하고 있는 키로 비밀키(Secret Key)라고도 함* 대칭키가 비대칭키보다 빠른이유는 대칭키는 128 ~ 256bit 비대칭키는 1024 ~ 2048bit로 키 길이가 짧고 알고리즘이 비교적 단순하기 때문이다.
-
- 20.09.21
-
IT·보안쿠버네티스 기본 개념
최근 컨테이너 가상화 기술이 발달하면서 DB보안 또한 컨테이너 기술에 맞는 환경 구축을 요구하는 고객사자 점차 증가하고 있고, 최근 고객사 환경이 AKS(Azure Kubernetes Service) 기반 Docker Container에 Weblogic이 설치된 MS Azure Cloud 환경에서 DB 접근 제어 솔루션을 gateway 방식으로 접속하여 DB에 접속하는 방식으로 구성해야 한다는 요구사항이 있었습니다.해당 요구사항의 출발점은 WAS가 여러 곳에서 DB로 접속되는 포인트를 Gateway를 통하여 하나의 IP에서 DB로 접속해야 된다는 요구사항이었고 WAS의 가용성을 최대한 보장하라는 것이었습니다. 위 요구사항을 충족하기 위해서 다음과 같은 시스템 구성을 했습니다.그림에서 보는 바와 같이 App1-App4가 Container 위에 올라간 WAS Service라고 보시면 되고 해당 WAS Service들은 AKS(Azure Kubernetes Service)에 의해 컨트롤 되는 환경입니다. 따라서 위와 같은 환경에서의 효과적인 DB 보안 구축 방법을 알아보기에 앞서 쿠버네티스 개념을 먼저 알아보도록 하겠습니다.현대 산업 사회는 과거보다 수많은 데이터를 저장하는 데이터 사회입니다. 그러므로 많은 데이터를 저장하기 위해서는 저장 공간과 다양한 프로세스들을 구동할 수 있는 자원을 필요로 합니다. 과거에는 물리적인 서버를 증설하였다면 현대 사회에는 자원을 유동적으로 혹은 효율적으로 사용해야 합니다. 즉 관리는 효율적이면서 자원에 대한 비용은 효과적이어야 합니다. 따라서 서버 자원을 효율적으로 쓰기 위해서는 가상화 기술에 대해 관심을 가질 수밖에 없는데, 쿠버네티스를 좀 더 잘 이해하려면 가상화 기술들에 대한 역사를 알 필요가 있습니다.가상화 기술의 히스토리를 크게 4분류로 나눠본다면 아래의 단계로 나눠볼 수 있습니다.1. 리눅스의 자원 격리 기술2. VM의 가상화 기술3. Container의 가상화 기술4. Container를 관리하는 오케스트레이터 기술1. 리눅스의 자원 격리 기술리눅스의 자원 격리 기술은 현재 컨테이너로 서비스를 가상화하여 배포하는 형태인 Container 기술의 시초라고 볼 수 있습니다. 하지만 최초 리눅스에서 프로세스들이 독립적인 환경에서 동작하도록 하는 자원 격리 기술은 사용자들이 사용하기 어려워 잘 활용되지 못하였습니다.2. VM의 가상화 기술최초 자원 격리 기술 이후 VM 가상화가 나오게 되고 VM 가상화에서는 단일 물리 서버에 여러 대의 가상 시스템을 실행할 수 있게 하였습니다. 따라서 물리 서버에서 자원을 활용하던 것보다 효율적으로 활용할 수 있게 되었고 하드웨어의 비용을 절감할 수 있었습니다. 하지만 VM 가상화는 OS를 띄워야만 한다는 단점이 있어 작은 서비스를 제공하기 위해서도 OS를 띄워야 하여 효율이 낮다는 단점을 가지고 있었습니다.3. Container의 가상화 기술VM의 가상화 기술이 나온 후 dotCloud(현 docker)사에서 예전 리눅스의 자원 격리기술을 컨테이너라는 개념으로 사용자들이 사용하기 쉽게 만들게 되었습니다. 즉 서비스를 가상화시켜 배포를 할 수 있도록 만든 것이었습니다. VM에 비해 강점으로 컨테이너 기술은 VM처럼 각 서비스별로 OS를 띄워야 하는 것이 아니라 OS를 공유하는 개념으로 서비스마다 OS를 띄우지 않아도 된다는 장점이 있어 자동화 시에 빠르고 자원효율이 매우 높았습니다. 그리고 컨테이너 또한 VM과 마찬가지로 자체 파일 시스템, CPU, 메모리, 프로세스 공간 등이 있지만, 기존 인프라와의 종속성을 끊었기 때문에 클라우드나 OS 배포본에 모두 이식할 수 있다는 장점이 있었습니다. 따라서 컨테이너를 통한 서비스의 제공이 인기를 끌게 되었습니다. 4. Container를 관리하는 오케스트레이터 기술컨테이너 기술은 서비스를 가상화시켜 배포는 해주지만 운영할 때 그것 자체를 일일이 배포하고 운영하는 역할은 해주지 않습니다. 따라서 배포된 컨테이너들이 정상적으로 동작하는지 관리해주는 기술이 필요하게 되는데 이것을 ‘오케스트레이터’ 라는 솔루션으로 부르게 됩니다. 쿠버네티스는 이 오케스트레이터 중의 하나입니다. 오케스트레이터는 도커, 아마존, 쿠버네티스 등 여러 오케스트레이터가 있지만 쿠버네티스가 가장 인기가 있는 이유는 구글에서 쿠버네티스를 개발할 때 구글을 제외하고도 여러 기업이 쿠버네티스 개발에 참여하여 각 기업의 시스템 운영에 관한 기술들이 쿠버네티스에 들어가게 되었고, 이로 인해 타 오케스트레이터 보다 더 기술력 있는 오케스트레이터를 제공하여 사용자들에게 높은 기대와 평가를 받았기 때문입니다. 가상화 기술의 히스토리를 알았으니 쿠버네티스를 이해하고 쿠버네티스의 기능에 대해서 알아보고자 합니다. 쿠버네티스를 이해하기 위해서는 가장 크게 마스터와 노드의 관계, 그리고 기본 오브젝트들(POD, Volume, Service, Namespace, Controller)을 이해해야 합니다. 쿠버네티스의 기본 오브젝트들과 Master-Node 구조를 살펴본 후 쿠버네티스의 기능에 대해 살펴보겠습니다.* Default ObjectsPOD쿠버네티스에서 가장 기본적인 배포 단위이고 컨테이너를 포함하는 단위로 2가지의 특징이 있음- POD 내의 컨테이너는 IP와 PORT를 공유- POD 내의 배포된 컨테이너간에는 디스크 볼륨을 공유VolumnPOD가 기동할 때 디폴트로 컨테이너에 생성되는 디스크는 내용이 유실되는 반면 영구적으로 파일을 저장하여 관리하는 스토리지가 있는데 이것을 Volumn이라고 함Service여러 개의 POD를 서비스하게 도와주고, 로드밸런서를 통해 부하를 분산시키는 역할Namespace쿠버네티스 클러스터 내의 논리적인 분리 단위Controller기본 오브젝트들을 생성하고 이를 관리해주는 역할을 함쿠버네티스는 Master– Node의 관계로서 클러스터라는 개념으로 이루어져 있고, 마스터와 노드를 설명하자면 다음과 같습니다.# Master클러스터 전체를 관리하는 컨트롤러로서 전반적인 결정을 수행하고 클러스터 이벤트를 감지하고 반응함. 대표적으로 kube-apiserver, etcd, kube-scheduler, controller-manager 등으로 구성되어 있음kube-apiserverPOD, 서비스, 복제 컨트롤러 등을 포함하는 api 개체에 대한 데이터를 검증하고 구성etcd클러스터 데이터를 담는 쿠버네티스의 저장소kube-scheduler노드가 배정되지 않은 POD를 감지하고 적절한 노드를 선택, 할당controller-manager컨트롤러를 구동하게 해주는 역할# Node컨테이너가 배포되는 가상머신이나 물리적인 서버머신. 대표적으로 kubelet, kube-proxy, 컨테이너 런타임, DNS 등이 있음kubelet각 노드에서 실행되는 에이전트로 POD에서 컨테이너가 정상적으로 동작하도록 관리kube-proxy네트워크 트래픽을 적절한 컨테이너로 라우팅container runtime컨테이너 실행을 담당하는 소프트웨어DNS쿠버네티스 서비스를 위해 DNS 레코드를 제공 해주는 DNS 서비스마지막으로는 쿠버네티스가 제공하는 기능에 대해서 살펴보겠습니다.자동화된 빈 패킹가용성을 그대로 유지한 채 자원 요구사항과 제약 조건에 따라 컨테이너를 자동으로 배치 자동화된 복구오류가 발생한 컨테이너를 재시작 혹은 컨테이너를 교체하고, 사용자 정의 상태 체크에 응답하지 않는 컨테이너를 제거하며 서비스를 제공할 준비가 될 때까지 클라이언트에 해당 컨테이너를 알리지 않음 서비스 디스커버리와 로드 밸런싱쿠버네티스는 POD에게 고유한 IP주소와 DNS 명을 부여할 수 있고, 네트워크 트래픽을 로드밸런싱하고 배포하여서 배포가 안정적으로 이루어질 수 있음Secret과 구성 관리암호나 Oauth 토큰 및 SSH 키 등과 같은 중요 정보를 저장하고 관리하고 컨테이너 이미지를 재구성하지 않고, 애플리케이션 구성을 배포 및 업데이트 스토리지 오케스트레이션로컬 스토리지, 퍼블릭 클라우드 공급자 등 원하는 스토리지 시스템을 자동으로 마운트 자동화된 롤아웃과 롤백애플리케이션 또는 애플리케이션의 설정 변경시 점진적으로 롤아웃을 하고 문제 발생시 변경 사항을 롤백위와 같이 쿠버네티스는 다양한 기술을 기반으로 컨테이너화된 서비스를 자동으로 배포, 스케일링 및 관리해주는 오픈소스 시스템입니다. 그리고 쿠버네티스는 PaaS 시스템에서 제공하는 배포, 스케일링, 로드 밸런싱과 같은 기능들을 제공하지만, PaaS 시스템과 다르게 이런 기본 솔루션이 선택적이며 추가나 제거가 쉽다는 특징이 있어 사용자의 선택권과 유연성을 지켜줍니다.최근 쿠버네티스가 서비스 배포 운영의 표준으로 자리 잡아 가고 있고 쿠버네티스의 기술을 바탕으로 많은 기업들이 클라우드 서비스를 제공하고 있기 때문에 많은 오케스트레이터 중에서도 쿠버네티스의 중요성은 높아져 있는 상황입니다.참고 자료1. Kubernetes hompage2. 조대협의 블로그(쿠버네티스#2 - 개념이해)글. 기술지원1팀 최진우 사원
-
- 20.09.04
-
IT·보안KISA Apache Tomcat 취약점 보안 업데이트 권고
2020년 5월 20일 Apache Tomcat에서 세션 지속성을 통한 원격 코드 실행 취약점(CVE-2020-9484)에 대한 업데이트 버전(Apache Tomcat 10.0.0-M5)을 릴리즈 하였으며, 업데이트 권고는 10.0.0-M1 ~ 10.0.0-M4, 9.0.0.M1 ~ 9.0.34, 8.5.0 ~ 8.5.54 및 7.0.0 ~ 7.0.103 버전 입니다.Apache Tomcat에서는 아래의 4가지 조건이 모두 성립 되어야 취약점에 영향을 받는다고 발표 하였습니다.1. 톰캣 서버의 PersistenceManager가 Filestore를 사용하도록 설정된 경우2. PersistenceManager의 sessionAttributeValueClassNameFilter 항목이 “null”로 설정되거나 공격자가 제공한 객체의 검증이 미흡한 경우3. 공격자가 톰캣 서버의 컨텐츠와 파일의 이름을 설정할 수 있는 경우4. 공격자가 FileStore에서 사용되는 저장 위치와 제어할 수 있는 파일의 상대 경로를 알고 있는 경우따라서 2020년 5월 26일 KISA(한국인터넷진흥원)에서는 취약점 버전을 사용중인 서버의 담당자는 제조사 홈페이지를 참고하여 최신 버전으로 업데이트 할 것을 권고 하였습니다.출처 및 참고자료Tomcat(원문사이트)KISA Apache Tomcat 취약점 보안 업데이트 권고
-
- 20.08.31
-
IT·보안DELL iDRAC9 보안 업데이트 권고
2020년 7월 Positive Technologies의 Georgy Kiguradze 및 Mark Ermolov는 DELL사에서 제공하는 자사 서버 제품군을 종합적으로 관리하기 위한 통합 관리 플랫폼인 iDRAC9에서 경로 값에 대한 검증이 미흡하여 경로 탐색으로 발생하는 정보노출 취약점을 발견 하였습니다.해당 취약점은 NIST(미국 국립표준기술연구소)의 NVD(National Vulnerability Database)에 게시되었으며, 식별번호 CVE-2020-5366이 할당되었습니다.해당 취약점에 대하여 DELL사는 심각도를 높음으로 분류하고, iDRAC9에 대한 펌웨어 업데이트를 배포하였으며 빠른 업데이트를 권장하였고 KISA에서는 2020년 7월 29일 해당 취약점에 대한 보안 업데이트를 권고하였으며, 영향을 받는 구체적인 버전은 iDRAC9의 펌웨어 버전 4.20.20.20미만의 전 버전이며 해결된 펌웨어 버전은 4.20.20.20이라고 공지 하였습니다.현재 DELL사에서 판매되는 대부분의 서버 제품 군의 경우 iDRAC9을 사용하고 있으므로, 서버 관리 담당자는 현재 DELL 서버가 iDRAC9을 사용 중인지, 사용 중이라면 펌웨어 버전을 확인하여 영향을 받는 버전일 경우 제조사 홈페이지를 통하여 최신 버전의 펌웨어로 업데이트할 것을 권장 합니다.출처KISA 보안 업데이트 권고DELL 취약점 정보DELL 릴리즈 노트
-
- 20.08.31
-
IT·보안2019 개인정보 보호 상담 사례집 발간
2020년 7월 31일 행정안전부와 한국인터넷진흥원(이하 KISA)은 국민의 개인정보 보호 인식 제고를 위해 개인정보침해 신고센터에 접수된 개인정보 침해 상담·신고 주요 사례를 소개하는 ‘2019년 개인정보 보호 상담 사례집’을 발간하였습니다.KISA는 2019년도 개인정보침해 신고센터에 접수된 개인정보 침해 신고 및 상담 접수 건수는 159,255건으로 전년도 164,497건에 비해 3.2%로 감소 하였고, 2019년 개인정보 침해 신고·상담 접수 유형을 살펴보면 주민등록번호 등 타인 정보의 훼손·침해·도용이 134,000여건(약 84%)이고, 신용정보 관련 문의 등 정보통신망법 적용 대상 외 관련건이 8,700여건(약 5.5%)으로 두 유형이 전체 89.5%를 차지하며 2018년과 마찬가지로 가장 큰 비중을 차지하였다고 밝혔습니다.KISA 2019 개인정보 보호 상담 사례집 개인정보 침해 신고 및 상담 세부 내용중 주민등록번호 처리 및 관리와 관련한 신고·상담이 꾸준하게 제기되고 있으며 개인정보보호법은 법률 또는 대통령령에서 구체적으로 처리를 요구하거나 허용하는 경우에 주민등록번호를 처리할 수 있고, 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손 되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다고 규정하고 있으나 홈페이지 주민등록번호 노출, 홈페이지 고충 처리 시 주민등록번호 수집 등으로 향후 개인정보처리자가 주민등록번호 처리 시 처리 근거 여부나 암호화 조치에 대한 인식 제고가 더욱 필요한 것으로 보인다라고 밝혔습니다.DB암호화, DB접근제어 등 데이터베이스 보안 관련된 사례로는 임시 개인정보취급자의 사용자 계정 관리(3-6) 항목으로 신시웨이 고객사에게도 다수 발생하는 사례중 하나 입니다.개인정보처리시스템에 접근하는 사용자는 1인 1계정을 사용하여 계정이 공유 되지 않도록 각별히 주의 하여야 하며 인사 이동, 퇴직, 휴직등으로 사용자가 더 이상 개인정보를 처리 하지 아니하면 DB 접근제어 페트라를 통해 해당 해당 계정이 더 이상 개인정보처리 시스템에 접근 하지 못하도록 하여야 하고, 개인정보취급자에게는 페트라를 통하여 최소의 권한만 부여 하여야 합니다.출처행정안전부·한국인터넷진흥원 「2019년 개인정보 보호 상담 사례집」
-
- 20.08.31
-
신시스토리신시웨이 상반기 매출 지난해 같은 기간보다 52% 성장
“신시웨이 최근 카카오페이(증권), 나이스평가정보, SK증권 등 금융권 레퍼런스 확장”“현대카드, 현대캐피탈, 현대커머셜 사이트 라이선스 계약 체결”신시웨이의 모회사 엑셈은 8월 14일 연결재무제표(지배기업과 종속기업의 자산과 부채, 자본, 이익 등을 합쳐 하나로 작성한 재무제표) 기준 상반기 매출액이 전년 동기 대비 12% 성장한 150억 원을 기록 했다고 공시 하였습니다.엑셈의 주요종속회사인 신시웨이는 지속적으로 증가하는 DB보안 이슈 및 수요 증가에 따라 지난해 카카오(kakao) DB 접근제어 구축을 시작으로 올해 상반기 카카오페이(증권), 카카오모빌리티 구축을 완료 하였고, 최근 나이스홀딩스(DB접근제어), 나이스평가정보(DB접근제어, 소명결재), SK 증권(DB접근제어, 소명결재) 등을 구축 완료하는 등 금융 업계의 레퍼런스를 확장해 나가고 있습니다.특히 올해 상반기 매출액이 지난해 같은 기간보다 52% 성장하는 등 유의미한 성과를 달성 하고 있으며 현대카드, 현대캐피탈, 현대커머셜과 사이트 라이선스 계약을 체결 하여 지속적인 실적 개선이 기대되는 상황 입니다.출처 : 엑셈 보도자료
-
- 20.08.31
-
신시스토리2020’ 8’ 신시웨이 생일파티에 초대 합니다
2020년 08월 03일 16시 신시웨이 본사 라운지에서는 8월 생일자들을 축하하는 자리를 마련 하였습니다.8월 생일자는 R&D 이남균 전무 / 영업 1팀 조동길 차장 / 기술지원 1팀 강아현 사원 / 기술지원 2팀 배윤 사원 입니다.생일자분들 모두 축하드리며 경영지원팀에서 소정의 상품권을 지급해드릴 예정입니다.
-
- 20.08.31
-
신시스토리Pre-Sales Seminar(First Session. ISMS-P)
신시웨이 프리세일즈팀은 6월 30일과 7월 14일 각각 2회에 걸쳐 ISMS-P 정보보호 및 개인정보보호 관리체계인증, 클라우드 보안 시장 동향이라는 주제로 내부 세미나를 개최하였습니다. 이번 세미나의 주된 목표는 ISMS-P 인증심사의 전반적인 내용을 소개하고, 더 나아가 페트라(DB 접근제어)에서 보완해야 할 부분을 토의하고 개선 및 발전시키기 위한 자리였습니다. 클라우드 보안 시장 또한 우리가 앞으로 나아가야 할 길이며, 세계 시장의 흐름에 맞추어 어떻게 대응해야 하는지에 대한 토의가 있었습니다.세미나의 첫 번째 세션을 맡은 프리세일즈팀 김지현 과장은 발표에 앞서 “DB 보안의 전문가로서 ISMS-P 인증 심사 준비 시 고객에게 DB보안(접근제어, 암호화) 분야를 올바르게 컨설팅을 하기 위해서는 기술적 관리적 보호조치와 안전성 확보 조치에 관한 내용을 먼저 이해하여야 하고, 기본적으로 정보보호 대책(관리적, 기술적 통제)에 대해서도 알고 있어야 한다.”라는 것을 강조하고 발표를 시작하였습니다.ISMS 인증 제도정보보호 관리체계(Information Security Management System) 인증기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증을 부여하는 제도2013년 2월 18일부터 의무화ISMS 인증 제도가 생기기 전에는 정보보호경영시스템(ISO 27001) 국제표준이 있었지만, 필수적으로 받아야 할 인증 제도가 아니었기 때문에 일부 기업들은 선택적으로 인증을 받아왔습니다. 이에 2001년 7월 KISA에서 국내 실정을 반영한 ISMS 인증제도를 도입하였습니다. 그 후 2002년 5월 인증기준 고시를 제정하고 2012년 2월에는 정보통신망법을 개정하였으며, 2013년도 2월부터는 정보보호 관리체계 인증을 의무적으로 받아야할 대상을 지정하여 인증을 취득하고 관리하게 되었습니다.이렇게 ISO 27001을 기반으로 만들어진 ISMS는 국제 표준을 모두 포함하고 있고, 국내 상황에 맞게 암호화, 전자 거래 등의 보안 요건을 강화한 인증 제도입니다. 통상적으로 글로벌 비즈니스 활동을 하는 기업들은 ISO 27001 인증을 받고 있으며, 국내에서만 활동하는 기업은 ISMS 인증을 받고 있습니다.PIMS 인증 제도개인정보보호 관리체계(PIMS, Personal Information Management System) 인증한국인터넷진흥원(KISA)에서 심사하는 제도로서, 기업이 개인정보보호 활동을 수행하는데 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도PIMS 인증대상은 업무를 목적으로 개인정보를 처리(취급)하는 공공기관, 민간기업, 법인, 단체 및 개인 등 모든 공공기관 및 및간 개인정보처리(취급)자이다.총 3개 분야 86개의 심사 항목 (개인정보보호 관리과정, 생명주기 및 권리보장, 개인정보 보호조치)필수는 아닌 자율 인증제도이며, 대외 신뢰도를 위한 마케팅 측면 및 과징금 감면 혜택PIMS 인증은 개인정보보호에 대한 기술적, 물리적, 관리적 조치가 잘 이루어져 있는지를 점검하는 인증 제도로, 필수는 아니지만 개인정보보호 중요성이 강조 되고 있다 보니 인증을 취득하면 대외적 인지도 및 마케팅 측면에서 활용되기도 합니다. 또한 PIMS 인증을 받을 시에는 개인정보 유출 사고가 발생하더라도 일정 부분의 노력을 인정하여 과징금을 감면해주는 혜택을 부여하고 있습니다. 하지만 ISMS 인증제도와 중복되는 항목이 많고, 취득에 소요되는 비용 등 기업과 기관의 부담이 크다는 문제점이 있었습니다.ISMS-P 인증 제도정보보호 및 개인정보보호 관리체계(Personal information & Information Security Management System) 인증2018년도 말, 정보와 개인정보를 단일제도에서 체계적으로 관리할 수 있도록 ISMS + PIMS 인증제도 통합중복 운영에 따른 기업·기관의 부담 해소 및 행정비용을 절감하고 고도화·융합화되는 사이버 공격에 효과적으로 대응할 수 있는 환경을 마련하자는 취지에서 ISMS-P 인증 제도 출범최근에 조직의 정보보호 수준을 판단하는 기본적인 척도로서 인증의 보유 여부가 중요한 판단기준으로 자리 잡고 있음관련 법률의 가장 기본은 정보통신망법과 개인정보보호법을 기반으로 하고있으며 가장 핵심은 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시'이다.현대 사회에서 정보보안과 개인정보보호의 관계는 떼려야 뗄 수 없는 관계 입니다. 이렇듯 ISMS와 PIMS 인증 간에는 중복되는 내용이 적지 않게 있었으며, 개인정보주기관리 항목을 담은 PIMS 인증은 앞서 말했듯이 의무 규정은 아니지만, 개인정보보호 관련 법령 위반으로 인한 과징금 부과시 경감 혜택을 받을 수 있기 때문에 대부분 기업들은 인증을 유지 할 수밖에 없었습니다. 또한 ISMS 인증 준비 및 관리에 소요되는 큰 비용과 직원들의 업무 부담은 결국 기업들의 부담으로 이어졌고, 이러한 문제점들이 끊임없이 제가되고 있었습니다.결국, 이러한 문제점들이 국정감사에까지 오르면서 2018년 개선된 인증 제도가 ISMS-P 입니다. ISMS-P 인증제도는 ISMS와 PIMS 인증을 통합하여 리소스를 절감 하고, 법령 개정에 따른 요구사항을 신설하고 최신 기술 및 이슈에 관한 기준을 강화하였습니다. 현재는 ISMS-P 인증의 보유 여부가 조직의 정보보호 수준을 판단하는 중요한 기준으로 자리 잡고 있습니다.인증별 주관 부서(과학기술정보통신부, 행정안전부, 방송통신위원회)가 다르다 보니 법, 제도 개선 및 정책을 결정하고 인증 및 심사 기관을 지정하는 정책협의회를 신설하고 ISMS-P 인증을 주관하게 되었으며, 실질적인 일은 KISA(한국인터넷진흥원)가 인증기관 및 심사기관으로 있습니다. 또한 2019년 7월부터는 금융보안원이 인증기관으로 지정되면서 인증심사 절차가 좀 더 수월해졌습니다.ISMS-P 인증 심사에서 DB보안에 관련된 인증 항목은(로그 서버, 게이트웨이 서버, 키 서버등 DB 보안에서 사용되는 서버 관련 항목 일부 포함) 102개 인증 기준 중 [2.5 인증 및 권한 관리], [2.6 접근 통제], [2.7 암호화 적용], [2.9 시스템 및 서비스 운영 관리], [2.10 시스템 및 서비스 보안 관리], [3. 개인정보 보유 및 이용 시 보호조치] 영역의 15개 항목이 직접, 간접적으로 심사 기준에 해당하며, 각 항목의 단위를 세분화시 110개 기능 항목에 해당 됩니다.세미나에 참석한 신시웨이 직원들의 64.7%는 ISMS-P에 대한 전반적인 설명을 들을 수 있어서 좋았다는 의견을 보였습니다. 현재에도 DB접근제어 솔루션 “페트라”와 DB 암호화 솔루션 “페트라 사이퍼”는 PIMS, ISMS, ISMS-P에 대한 인증 항목을 모두 만족 하고 있지만 이번 세미나를 시작으로 하여 세미나의 범위와 질을 높이고, 고객들이 컴플라이언스을 좀 더 쉽게 대응 할 수 있는 효과적인 방안이 마련 되었으면 좋겠다는 의견이 많이 있었습니다.신시웨이는 DB보안 시장을 선도하는 ‘데이터베이스 보안 전문 기업으로 방송통신위원회, 금융감독원, 행정안전부등 다수의 감사 대응 능력과 인증 심사 지원 경험이 풍부한 엔지니어들이 업무를 하고 있으며’ 지속적인 세미나를 통하여 컴플라이언스(compliance) 대응에 대한 업무 능력을 향상 시키기 위해 노력 하고 있습니다. 2020년 출시 예정인 페트라5는 보다 쉬운 컴플라이언스 관리를 제공할 계획 입니다.
-
- 20.08.31
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.