-
솔루션
DB 접근제어의 새로운 패러다임 “PETRA5”
신시웨이의 중추적인 역할을 하고 있는 R&D본부 접근제어팀은 6월 14일부터 20일 까지 제주시 영평동에 위치한 제주 R&D 센터에서 강도 높은 “페트라 5” 개발을 진행하였다. 접근제어팀은 지난 2017년 “페트라4.1” 릴리즈와 동시에 15년 동안의 DB 접근제어 노하우를 바탕으로 DB 접근제어의 Paradigm을 바꿀 “페트라5”를 기획하였으며, DB 접근제어의 트렌드 및 고객사 요구 사항, 국/내외 컴플라이언스를 분석하는 과정만 1년 이상 공을 들였다. 현재는 설계 단계를 지나, 기능 구현과 테스트/검증 단계를 거치고 있다.특히 이번 “페트라5”는 품질 관리팀의 철저한 검증을 통하여, 그동안에 고객들의 불만 사항이었던 안정성의 문제를 대폭 개선 하고 있으며, 올해 2020년 하반기 Alpha와 Beta 버전을 각각 출시할 계획이다. 정식 출시 전 Alpha와 Beta 버전을 출시하는 이유는 출시가 늦더라도 고객에게 신뢰를 받을 수 있는 제품을 만들겠다는 접근제어팀의 포부가 담겨 있기도 하다. 과거 많은 기업들은 법규 준수를 위한 단순 로깅 기능만을 사용하였지만, 2011년 개인정보보호법 개정 이후 DBMS 접속을 통제하는 기능까지 확대하여 사용하였다. 그 후 2013년에는 개인 정보 유출 사례가 증가하고 개인정보보호법이 강화되면서 기업과 공공기관들이 DBMS 보안에 대한 인식이 강화되었고, 다양한 환경에서의 DBMS를 통제하도록 요구 사항도 변경되었다. 현재는 단순 DBMS통제와 로깅을 넘어 국/내외 각종 컴플라이언스를 만족해야 하는 것이 업계의 요구 사항이다.또한 행안부, 금감원 등의 감사 사항에도 부합되어야 한다. 인사 연동, 계정 연동, Two-Factor 인증 등의 각종 환경과의 연동도 필요로 한다. 즉 이제는 단순 DBMS 접근 제어가 아닌 인프라를 통합으로 관리할 수 있어야 한다.당연히 Cloud와 On-Premise도 함께 관리할 수 있어야 하며, 편리성과 효율성을 요구하는 것이 현재의 DB 접근제어의 트렌드라 할 수 있다. 이번 “페트라 5”는 이러한 것들을 모두 고려하였다. 지난 6월에 신시웨이에서 진행한 웨비나의 설문조사의 결과만 보더라도 많은 기업들이 법적 요구사항과 컴플라이언스를 중요하게 생각 한다는 것을 알 수 있다.신시웨이 정재훈 대표 이사는 “과거에 말하는 자산이 동산, 부동산과 같은 유형물이 금전적인 자산이었다면, 점차 데이터(Data)가 자산이 되는 비중이 높아지고 있고, 미래에는 유형, 무형의 데이터가 우리가 지켜야할 자산이 될 것이다. 이것이 현재 시장 흐름이다. 우리는 이러한 데이터를 지키기 위한 노력하여야 하며 이러한 노력과 보안 인식은 이제 시작 단계라고 볼 수 있다. 지금도 수없이 많이 데이터가 쌓이고 있으며, 다양한 방식으로 저장하고 있다. DBMS에 저장하는 데이터는 그중 일부분이며, 우리는 하나의 플랫폼에서 이러한 모든 것을 지킬 수 있도록 편리한 소프트웨어를 제공하여야 하며, 앞으로 신시웨이가 나아가야 할 방향”이라고 이야기하였다.또한 접근제어팀 박종한 팀장은 “이제는 보안 관리자가 모든 정책을 정의하고, 생성, 관리하는 시대는 끝났다. 정책은 편리하고 심플하게 관리되어야 하며, 오남용/이상징후 탐지, 실시간 모니터링, API 연동, 우회 접근 탐지 등을 제공해야 한다, 그동안 DB 사용 신청서 또는 DB 계정 신청서에 의해 관리자가 직업 권한을 부여하고 관리하였다면 이제는 DB 사용자가 직접 권한을 요청하고, 관리자는 승인과 탐지의 역할을 수행하여야 한다”라는 것을 강조하였다.“페트라5”는 기본에 더욱더 충실하고, 외적인 부분을 강화하였다. 페트라의 강점중 하나는 국내 최초로 Data Parsing 기반으로 DBMS를 통제 한다는 것이다. 그렇기 때문에 표면적으로 보이는 통제가 아니라 schema, view, table, column, synonym 등을 완벽하게 구분하여 통제하며 이러한 기술은 아직까지도 신시웨이의 페트라가 유일하다.“페트라 5”는 이러한 Parsing 기술을 고도화 하였다.많은 기업들이 DB접근 제어 솔루션을 도입 하고 있지만, 현재 까지도 DBMS에 저장된 개인정보 유출 사고는 국내/외 할 것 없이 내부 인력에 의한 유출 사고가 대부분이다. 사람이 직접적으로 관리하다 보니 아무리 관리를 잘 한다 하더라도 사람에 의한 인적 사고는 언제든 발생할 여지가 있는 셈이다.마케팅팀 박병민 대리는 “INST(National Institute of Standards and Technology)에서 권장하는 가장 기본적인 접근 통제는 Separation of Duty 즉, 직무 분리와 최소 권한(Least Privilege)이 원칙이다. 또한 통제는 예방 > 탐지 > 교정 순으로 정의되고 관리되어야 하며, 무엇보다도 책임 추적성이 확보되어야 한다. 페트라5는 이 모든 것들을 사람에 의해서 관리되는 것이 아니라 소프트웨어에 의해서 철저하게 관리 되기 때문에, 보안 담당자는 승인과 모니터링만으로도 보안을 강화 할 수 있다.”고 덧붙였다.지난 6월 신시웨이에서 진행한 웨비나에서 현재의 고객들이 또는 잠재 고객들이 무엇을 중요하게 여기고 실제로 얼마큼 도입이 되어 있는지에 대한 설문 조사를 진행한 결과 실제로 많은 응답자들이 법령과 컴플라이언스를 가장 중요하게 생각한다고 응답하였다. 이번 “페트라5”는 각종 법령과 컴플라이언스는 물론 『오남용/이상 징후 탐지』, 『통계 데이터 관리』, 『DB 계정 관리』, 『사용자 결재 관리』, 『SQL Tool』, 『데이터 스케줄링』, 『API』, 『웹 기반 UI』 등을 고도화 및 개발하여 3분기에 Alpha 버전을 제공할 예정 이다.
-
- 23.07.31
-
솔루션
미리보는 페트라5 보안 서비스 기능 (Petra 5 보안 서비스)
보안 정책 및 사용자 권한 요청 시스템DB 접근 제어 솔루션을 도입 시, 보안 관리자가 가장 먼저 해야 될 일이 바로 접근제어 규칙을 어떤 식으로 수립 할지 고민하는 것 이다.1) 중앙 집중 식 권한 관리(Petra 4)의 이슈사용자의 권한을 등록할 때에는 등록할 대상자(DB에 접근하는 개발자, 업무 실무자 또는 DBA , DB 사용자 등)의 업무를 파악하고 권한을 등록 해야하는데, 보통 아래의 다음의 절차(그림 ‘중앙 집중 식 권한 관리(AS-IS)의 문제’)를 통한다. 이 과정에서 보안 관리자는 상당히 많은 부분의 시간과 수고를 들여야 하고, 추후에 보안 사고 시, 잘못된 권한 등록으로 인한 책임 소지까지 염두 하지 않을 수 없다. 또한 실무의 예외적인 사용자나 상황에 의해서 정책은 더욱더 복잡해져 유지보수가 힘들고, 유동적인 대처가 어렵다. 중앙 집중식 권한 관리의 문제점권한을 등록할 대상자들의 세부적인 업무(권한) 파악이 어려움잘못된 권한 등록으로 인한 책임 소지 여부 발생DB 접근제어 솔루션의 복잡한 권한 및 기능으로 예외적인 상황에서 유동적으로 대처가 어려움2) 사용자 권한 요청 시스템(Petra 5)보안 관리자는 사용자를 대상하지 않고, 소속 또는 역할에 의한 전사적인 보안 정책을 수립하며 보안 관리자는 부서 또는 각 DB를 관리하는 관리자에게 사용자의 권한 요청을 처리해 줄 수 있는 최적의 선임자(관리자)를 선정 한다사용자는 본인이 속한 소속 또는 역할에 의거 기본적인 보안 정책을 적용 받고, 추가적으로 받을 권한이나 예외적인 상황에서 잠시 필요한 권한 등을 직접 요청한다.권한 오등록 방지 : 사용자가 명확한 사유와 함께 권한을 신청하여 해당 업무의 관리자 또는 선임 담당자가 승인관리 용이 : 권한 부여 체계를 분산 하여 보안 담당자는 각 업무에 대한 권한 부여 보다 보안 업무에 집중편리한 권한 등록 : 요청과 승인으로 정책을 적용 받으며, 예외 권한이 발생 하더라도 중앙에서 복잡한 정책을 세울 필요 없음3) petra5 보안 정책 View개인 정보 탐지보안 관리자는 접근제어 정책을 수립 시, 개인 정보가 포함된 테이블 또는 컬럼에 대해서 접근을 통제 하도록 설정 하여야 한다.1) 무분별한 개인 정보 데이터 분포사내의 여러 서비스와 연관된 수많은 Database에서 어떤 테이블의 어떤 컬럼이 개인 정보를 포함하고 있는지, 찾아내는 건 결코 쉬운 작업이 아니다. 초기에 잘 설계된 개인정보 취급 구조에서도 시간이 지나면 의도치 않은 곳에서 개인 정보 데이터가 저장이 될 수도 있다.그렇다면 보안 관리자는 어떻게 효율적으로 개인정보 데이터에 대한 접근 통제 규칙을 수립 할 수 있을까? 페트라 5에서는 다음과 같은 기능을 제공함으로써 개인정보 데이터를 손 쉽게 관리할 수 있다.2) 데이터 스캔 및 스케쥴 기능Petra5에서는 찾고자 하는 데이터 패턴을 등록 후, 데이터를 스캔하여 Database에서 분포된 개인정보 데이터를 포함한, 테이블 및 컬럼의 현황을 탐지 할 수 있으며 주기적으로 데이터 스캔 기능을 일 / 주 / 월 단위로 설정하여 새로 추가가 된 Table에 한해서도 데이터 스캔 기능을 수행 할 수 있다.Petra5 개인 정보 탐지 – 탐지 현황3) 개인 정보 탐지 및 분류Petra5에서는 탐지된 데이터를 확인하고 해당 대상을 통제 대상으로 분류 할 수 있는 인터페이스를 제공하여 보안관리자가 보다 쉽고 효율적이게 정책을 수립하는데 도움을 줄 수 있다.Petra5 개인정보 탐지 – 데이터 분류오남용/이상 징후 탐지접근 제어 정책을 수립하는 것은 사전에 보안 위반 행위를 막기 위함에 있다. 그렇다면, 다음과 같은 상황에서 보안 관리자는 어떤 조치를 취해야 할까?예시) 개발자 ‘박모씨’는 매월 말 데이터 이관 작업으로 인해 인사 DB의 접근하여 한달치의 데이터를 EXPORT 할 수 있습니다. 따라서 개발자 ‘박모씨’는 인사 DB에 대한 데이터 조회 권한이 있습니다. 그런데 월 말이 아닌 월 초, 주말 새벽에 인사 DB의 대량의 데이터를 Export 하였습니다.개발자 ‘박모씨’는 인사 DB에 대한 정당한 권한을 부여 받았다. 허나, 평소와 다른 행동 패턴으로 데이터에 접근한다면, 보안 관리자는 ‘박모씨’의 행동이 정당한 행동인지 아닌지 의심을 해야 할 것이다.1) 통계 데이터 수집사용자의 DB 접근 이력, 쿼리 수행 이력을 조회하여 해당 사용자의 통계 데이터를 추출하고 행동 패턴을 분석 한다.Petra5 오남용 / 이상 징후 탐지 – 통계2) 이상 징후 탐지 및 소명 시스템Petra5는 보안 관리자에게 이상 징후를 6하 원칙에 근거하여 탐지 현황을 보여 줄 수 있다. 또한 탐지된 현황을 사용자에게 소명을 요청하여 해당 작업에 대한 근거를 기록 할 수 있다.더 나아가, 소명을 하지 않는 사용자나 부적절한 행위임을 판단 하였을 때에는, 보안관리자는 즉시 사용자의 권한을 말소 시킬 수 있어야 하며 어떤식으로 기존에 권한이 누구에 의해 부여되었는지 추적하여 보안 정책에서 보안할 사항을 도출 가능 하다.Petra5 오남용 / 이상 징후 탐지 – 탐지Petra5 SQL 수행 차단 – 소명
-
- 23.07.31
-
솔루션
신시웨이 ‘PetraCrypto V1.0’ 암호모듈검증(K-CMVP) 인증 획득
2021년 12월 31일 신축년 마지막 날 신시웨이의 암호모듈 ‘PetraCrypto V1.0’이 암호화모듈검증(K-CMVP)에서 보안수준 1을 획득하였다는 기쁜 소식이 전해졌습니다.암호모듈검증(K-CMVP)는 「전자정부법」 제56조, 「전자정부법 시행령」 제69조, 「암호모듈 시험 및 검증지침」에 따라 행정기관등 국가/공공기관 정보통신망에서의 중요 정보를 보호하기 위해 사용되는 암호 모듈의 안전성과 구현 적합성을 검증하는 제도로 검증 기준 만족 여부에 따라 보안 수준 1부터 4까지의 등급을 부여하고 있습니다. 암호모듈은 비밀이 아닌 업무자료를 보호하는 목적으로 정보의 유출, 위·변조, 훼손 등을 방지하기 위한 기밀성·무결성·인증·부인방지 등의 기능을 제공하며, KS X ISO/IEC 19790:2015 및 KS X ISO/IEC 24759:2015의 국제 표준을 기반으로 하여 시험·검증하게 됩니다. ‘PetraCryto V1.0’은 블록 암호화 ARIA(128,192,256 bit | 운영모드:CBC, CFB128bit, OFB), SEED(128bit | 운영모드:CBC, CFB128bit, OFB), LEA(128, 192, 256bit | 운영모드:CBC, CFB128bit, OFB)와 해시 함수 SHA-2(SHA-256,384,512 bit), 메시지 인증 코드 HMAC(SHA-256 bit), 난수 발생 시 Hash_DRBG의 알고리즘을 검증받았으며 KS X ISO/IEC 24759:2015의 11개 보안 영역 중 암호모듈에 해당하는 9개의 영역 모두 보안 수준 1을 만족하였습니다.또한, 이미 알려진 취약성에 대한 검사를 모두 수행하였으며 strcpy, strcat 사용을 배제하고 strncpy, strncpy 함수를 사용하여 버퍼 오버플로우가 발생하지 않도록 안정성을 높였습니다. 그리고 입력 파라미터에 대해 NULL 검사와 입력 길이 검사를 수행하여, 실패 시 암호 서비스를 수행하지 않고 오류 코드만을 반환할 수 있도록 입력 인자에 대한 형식 검증을 수행합니다.이번 암호모듈검증으로 신시웨이의 기술력을 다시 한번 확인할 수 있었으며, 2024년도에는 ‘PetraCipher’에 ‘PetraCryto’ 모듈을 탑재한 제품을 출시할 계획입니다.
-
- 23.07.31
-
솔루션
신시웨이, 기술 특허 2건 등록 최종 결정
지난 2020년, 출원한 ‘업무 수행에 따른 성과 지표 산출을 위한 서비스 제공 시스템’과 ‘데이터베이스에 저장된 데이터에 대한 접근 제어를 위한 서비스 제공 시스템 및 방법’이 5월 25일 최종 특허 등록이 결정되었으며, 이번 특허 등록으로 신시웨이는 11개의 특허를 보유하게 되었습니다.‘업무 수행에 따른 성과 지표 산출을 위한 서비스 제공 시스템(출원번호 10-2020-0154630)’은 근로자가 업무를 수행함에 있어 업무의 성과 지표를 산출하기 위한 시스템으로 ‘업무 난이도’, ‘활동 비용’, ‘지출 비용’, ‘프로젝트 산출물’ 등의 기초 정보를 통해 프로젝트(업무)의 기여도, 완료 성과에 따른 성과 지수를 산출하여 업무 평가에 필요한 정보를 제공하는 서비스입니다.프로젝트별로 산출된 객관적이고 정확한 성과 지표를 근거로 하여 회사의 우수한 부분과 미비한 부분을 명확하게 파악하여, 우수한 부분은 지속적으로 발전될 수 있도록 지향하며, 미비한 부분은 개선하고자 하는데 활용될 수 있도록 하여 회사 운영 및 업무 효율성을 크게 향상하는 효과 기대할 수 있습니다.‘데이터베이스에 저장된 데이터에 대한 접근 제어를 위한 서비스 제공 시스템 및 방법(출원번호 10-2020-0154627)’은 조회 권한을 정상적으로 갖고 있는 사용자라도 로컬 접근 권한이 부여되지 않았다면 개인정보 또는 민감정보 등의 데이터 복사 및 다운로드를 못 하도록 하여 데이터 유출 방지의 보안성을 높일 수 있습니다.신시웨이에서는 직무 발명을 장려하고 연구 및 개발 의욕을 향상하고 지식재산권을 합리적으로 관리, 운영하여 회사발전에 기여할 수 있도록 직무발명 보상 제도를 운영하고 있습니다.직무발명에 대한 권리를 회사로 승계할 시 발명진흥법 제15조 제1항의 규정에 따라 발명자에게 국내 100만원, 해외 200만원의 출원 보상금(직무발명이 출원되었을 때 지급하는 보상금)을 지급하고, 출원 후 등록 결정이 확정되면 국내 200만원, 해외 400만원의 등록보상금(직무발명이 등록되었을 때 지급하는 보상금)을 지급하고 있습니다. 따라서 국내에서 특허가 등록 결정되었다면, 출원 100만원, 등록 200만원 총 300만원의 보상금을 지급 받게 됩니다.
-
- 23.07.31
-
IT·보안
정보보호의 달 맞이 보안 수칙
정보보호의 날매년 7월 둘째 주 수요일은 사이버 공격을 예방하고 정보보호의 중요성을 알리는 ‘정보보호의 날’입니다. 정보보호의 날은 사이버 위협 예방과 국민들의 정보보호 생활화를 위해 지정한 법정기념일이지만 공휴일은 아닙니다. 정보보호의 날은 2009년 7월 7일 발생한 디도스(DDoS) 대란을 계기로 지정되었습니다. 디도스(DDoS)공격으로 사람들의 개인정보를 비롯한 많은 정보들이 공격당했고, 우리나라의 네트워크가 마비되는 사건이 발생하였습니다. 이후에도 지속적인 사이버상의 범죄로 인해 정부기관과 국가 주요 시설, 민간기업 등이 큰 피해를 입으면서 사이버 보안의 중요도가 높아졌습니다. 따라서 정부부처가 공동으로 사이버 공격을 예방하고 국민의 정보보호 문화와 인식을 생활화하기 위한 목적으로 정보보호의 날을 제정하였습니다. 개인정보보호 실천 수칙 KISA. 비밀번호는 타인이 쉽게 유추하지 못하도록 설정하기, , , 38. 개인정보 동의 시 동의 내용을 꼼꼼히 확인하고 체크하기, 3.SNS, 사진이나 동영상을 업로드 할 때 이름이나 주소연락처 등 개인정보가 노출되지 않았는지 한번 더 확인해보아야 합니다4. , SNS, 2다른 기기에서 로그인 시 한번 더 본인확인을 하도록 설정하면 안전합니다5. , 택배 송장카드영수증에 남아있는 주소연락처카드 정보 등이 범죄에 악용되지 않도록 주의해야 합니다 신시웨이의 DB보안 솔루션 Petra Petra Cipher DB. 는 개인정보 보호법 및 개인정보의 안전성 확보조치 기준 등 개인정보 보호 관련 법규를 준수하는 신시웨이의 접근제어 솔루션입니다사용자 사용자 명 등 다양한 속성 기반의 접근권한 통제로 중요 정보에 대한 불법적인 유출 및 변경을 차단합니다이외에도 실시간 모니터링다양한 보고서계정별 권한분리 등 다양한 기능을 제공하고 있습니다Petra CipherCCDB , . , , .데이터의 중요성이 강조되고그만큼 보안은 더욱 중요해지고 있습니다신시웨이의 솔루션을 통해 기업의 중요 보안을 강화할 수 있습니다출처 및 참고자료 개인정보보호위원회
-
- 23.07.18
-
IT·보안
보안과 데이터 활용을 동시에, 동형암호
데이터경제시대라 불릴 만큼 데이터의 활용이 중요해지는 요즘, 가명정보의 활용과 보안에 대한관심이 높아지고 있습니다. 2020년 데이터3법 개정과 함께 가명정보의 개념이 새롭게 정리되면서 정부에서는 통계학적·연구적·공익적 등을 목적으로 가명정보를 결합하여 활용하도록 하고 있습니다. 그러나 가명정보를 효율적으로 사용하기 위해서는 데이터의 결합을 필요로 합니다. 이때 정보유출 발생가능성이 높아지는데 이때 필요한 암호화 방법이 4세대 암호화 기법 동형암호입니다.출처: 과학기술정보통신부 보도자료 「안전한 데이터 활용을 위한 동형암호 기술 실증」동형암호는 암호화된 데이터의 복호화 없이 암호문의 연산이 가능하기 때문에 데이터를 처리하는 중간과정에서 복호화하지 않아도 되어 데이터 유출 위험이 감소한다는 장점이 있습니다. 반면 동형암호를 통해 암호화된 데이터는 수십배 이상 크기가 증가하여 저장공간을 많이 차지하며, 암·복호화 속도가 기존 알고리즘에 비해 저하됩니다. 또한 연산 종류에 따른 속도의 차이가 크다는 한계가 있습니다.동형암호의 종류'동형암호는 다음과 같이 지원하는 연산을 기준으로 나뉩니다. 완전동형암호를 통해 머신러닝, 딥러닝 등의 데이터 분석을 동형암호화된 채 수행할 수 있기 때문에 최근에는 완전동형암호가 주목을 끌고 있습니다.4차산업혁명 시대에서는 데이터가 중요한 자원 중 하나입니다. 데이터기반 산업이 증가하면서 기업내에서의 방대한 양의 데이터 수집이 증가하고, 데이터3법의 개정으로 인해 기업에서는 개인정보 등의 민감한 데이터를 수집·분석하여 활용하는 사례가 증가하고 있습니다. 이러한 과정에서 민감한 정보가 노출될 가능성이 있으며, 특히 많은 양의 데이터를 복호화할 경우 기술적, 비용적으로 큰 부담이 될 수 있습니다.동형암호화 활용 사례경기도에서는 ‘코로나 동선 안심이’앱에 동형암호를 적용하였습니다. 동형암호화 기술을 통해 개인정보의 유출 없이 2주간의 동선이 확진자의 공개동선과 10분이상 겹쳤을 경우 알림을 받을 수 있었습니다. 와이파이 접근정보, GPS접근 정보 등 위치정보가 저장된 앱을 사용하고 위치 확인을 위해 위치정보를 동형암호화하여 전송하면 암호화된 상태에서 확진자와의 동선을 비교해준 후 결과값을 다시 사용자의 앱으로 보내면 암호키를 보유한 사용자가 데이터를 복호화하여 확인할 수 있습니다.2018년 11월 한국스마트인증에서는 완전동형암호와 홍채인식을 접목한 생체정보 활용 인증기술‘동형홍채인증’을 세계최초로 발표하기도 했습니다. 생체정보 입력 시 동형암호 기술을 이용해 데이터를 암호화한 후 입력하면, 암호화 상태에서 원본 데이터와 비교해 인증을 진행함으로써 데이터 유출을 방지할 수 있습니다. 생체인식에 동형암호를 접목하여 출입통제에 사용하는 생체정보를 유출위험없이 안전하게 처리할 수 있었습니다.신한금융지주는 스타트업 기업 크립토랩과 함께 보험계약 데이터와 대출고객 데이터를 동형암호로 결합하였습니다. 이번 기술 검증을 통해 신한금융은 고객의 민감 정보를 안전한 환경에서 수집·이용할 수 있게 되었습니다. 세계적인 기업 마이크로소프트는 비밀번호 유출조회 서비스 Password Monitor를 Edge사용자를 대상으로 제공하였습니다. 동형암호 기술을 기반으로 한 이 서비스는 사용자의 사용자의 비밀번호에 대한 접근 없이 비밀번호 점검 서비스를 제공합니다.출처 및 참고자료Gartner, 3 Themes Surface in the 2021 Hype Cycle for Emerging Technologies
-
- 23.07.17
-
IT·보안
2023년 국내 클라우드 컴퓨팅 도입 현황 조사 및 전망
클라우드는 이제 신기술로 분류하기 어려울 만큼 대중적인 IT인프라로 자리잡았습니다. 세계 최대의 테크놀로지 미디어, 데이터, 마케팅 서비스 기업 IDG KOREA에서는 2023년 국내 클라우드 컴퓨팅 도입 현황 조사 및 전망에 대한 보고서를 발표하였습니다.해당 설문조사는 2023년 2월 14일부터 2023년 3월 7일까지 총 555명의 국내 기업 IT전문가가 참여하였습니다. 응답자의 소속 업종은 소프트웨어/플랫폼 등의 IT솔루션이 29.2%로 가장 많았고, 제조업이 16.4%, IT SI업종이 11.4$를 차지하였습니다.국내 클라우드 컴퓨팅의 현실 국내 기업의 클라우드 도입은 코로나19펜데믹 시기에 빠르게 증가한 후 잠시 둔화된 것으로 보입니다. 거의 대부분 업무를 클라우드에 활용한다는 응답은 지난해보다 1%p미만으로 줄었지만, 미션 크리티컬 업무를 제외한 모든 업무 또는 일부 업무에 클라우드를 활용하겠다는 응답은 1~2%p내외로 증가하였습니다.클라우드 컴퓨팅의 사용 용도는 개발 및 테스트의 용도가 꾸준히 높은 응답을 유지하였습니다. 한창 상승세였던 빅데이터, 분석, BI는 2018년이후로 지속적으로 상승하였으나 2022년에 크게 감소하였습니다. ‘유연하고 탄력적인 IT자원 활용’ 항목이 2018년부터 5년간 가장 높은 클라우드에 대한 기대효과로 나타냈습니다. 실제로 클라우드는 물리적인 환경에 비해 언제 어디서나 활용이 가능하여 유연하고 탄력적이라는 장점이 있습니다. 비용 절감에 대한 기대효과는 2018년에는 두번째로 높았으나 이후로는 계속해서 감소하는 추세를 보였습니다. 멀티클라우드에 대한 인식 멀티 클라우드란 2개 이상의 퍼블릭 또는 프라이빗 클라우드를 이용하여 하나의 서비스를 운영하는 것을 말합니다. 멀티클라우드를 통해 업체 종속성을 방지하고 단일클라우드의 취약점을 보완할 수 있습니다. 응답자의 40%이상이 각각 비용 최적화, 위험 완화, 업체 종속 방지 등을 이유로 멀티클라우드를 지향한다고 답하였습니다. 그러나 멀티클라우드는 장점만큼이나 실제 도입 및 활용 과정이 쉽지 않은 것으로 알려져 있습니다. 여러 곳의 클라우드 서비스를 사용하는 것이 관리나 보안 측면에서는 쉽지 않기 때문입니다. 응답자 중 62.9%가 멀티 클라우드 도입 시 자원 및 비용의 통합관리를 어려움으로 선정하였습니다. 또한 36.3%가 보안을 어려움으로 선정하며, 클라우드의 보안환경 구축이 필요하다는 것을 알 수 있습니다.클라우드 비용 지출 사용한만큼만 지불하는 것이 클라우드의 모토이자 장점이지만, 클라우드 도입이 자원의 효율적인 활용을 보장하지는 않습니다. 즉, 클라우드 자원이라도 방만하게 사용한다면 자원과 예산은 낭비됩니다. 최근 클라우드 활용도가 높은 기업을 중심으로 비용 최적화에 대한 관심이 커지고 있기도 합니다. 클라우드 비용 최적화에 관한 설문에서는 클라우드를 활용하는 기업 중 절반에 가까운 47.1%가 클라우드 비용을 계획대로 지출한다고 답하였습니다. 그러나 계획보다 약간 혹은 훨씬 많이 지출한다는 응답이 35.7%로 계획보다 약간 혹은 훨씬 적게 지출한다는 응답 17.2%보다 2배 이상 많았습니다. 적지 않은 기업의 클라우드 비용이 예상대로 지출되지 않는다는 것을 알 수 있습니다.클라우드의 도입 및 활용 과정의 어려움을 묻는 설문 결과에 따르면, 클라우드 전문 인력 확보는 여전히 많은 기업이 안고 있는 과제입니다. 클라우드 보안 기술 및 인력 부족은 지난 해 조사보다 증가한 42.6%로 1위를 차지하였습니다. 또한 클라우드 관리 기술 및 인력 부족(28.7%), 클라우드 개발 기술 및 인력 부족(20%)도 높은 응답률을 기록하였습니다.클라우드 비용 통제는 42%로 지난해보다 8%증가하며 2위를 기록하였습니다. 이전보다 많은 기업들이 클라우드 비용 통제를 고민하고 있는 것으로 추정할 수 있습니다. 거버넌스/컴플라이언스 또한 24.2%로 이전보다 응답률이 높아졌는데, 클라우드를 기업의 핵심 IT인프라로 이용하기 위해서는 더 엄격한 관리와 통제가 필요하기 때문입니다. 국내 클라우드 컴퓨팅에 대한 전망 이번 보고서 결과에 따르면, 국내 클라우드 컴퓨팅은 꾸준한 성장과 함께 지속적으로 새로운 과제를 만들어내고 있습니다. 관리 편이, 사용량 및 장소의 유연성 등 다양하고 편리한 클라우드의 장점으로 대기업은 물론 중소기업까지도 클라우드의 이용은 확대될 것으로 보입니다. 그러나 클라우드 컴퓨팅에 대한 수요가 늘어나는 만큼 보안노출 등의 사고가 발생하지 않도록 엄격한 관리 또한 필요할 것입니다.출처 및 참고자료IDG Korea, 2023년 국내 클라우드 컴퓨팅 도입 현황 조사 및 전망
-
- 23.07.11
-
이벤트
신시웨이 홈페이지 리뉴얼 QUIZ
*정답*④ 실시간 권한 현황 조회 *당첨자*강*원(3727) 강*현(5365) 문*현(3463) 박*빈(0507)이*서(2464) 주*수(2579) 황*원(5328)
-
- 23.07.04
-
IT·보안
내 개인정보도 혹시? 크리덴셜 스터핑
인터넷 포털사이트, SNS 등 다양한 서비스를 이용하기 위해서는 아이디와 비밀번호를 통해 가입해야 합니다. 가입 시 혹시 동일한 비밀번호를 사용하여 가입하시나요? 같은 비밀번호를 반복하여 사용할 경우 해킹의 위험에 노출될 수 있습니다. 크리덴셜 스터핑(credential stuffing)이란?크리덴셜 스터핑(credential stuffing)은 여러가지 경로로 수집한 사용자들의 로그인 정보(Credential)를 다른 사이트에 무작위로 대입(Stuffing)하는 공격 방식입니다. 즉, 대량의 아이디와 비밀번호를 무차별적으로 여러사이트에 자동화 대입하여 로그인을 시도합니다. 대부분의 사용자들은 동일한 비밀번호를 여러 서비스에서 재사용하기 때문에 다른 사이트에서 유출된 정보를 이용한 2차, 3차 공격이 가능합니다. 크리덴셜 스터핑 방식은?크리덴셜 스터핑 공격은 성공 확률이 0.1~0.2%로 다른 해킹 공격에 비해 성공확률이 높은 편입니다. 과거에는 개인정보를 무작위로 대입해가며 로그인 시도를 했으나, 이제는 실제 개인정보를 획득하여 대입하기 때문에 성공확률이 더욱 높습니다. 주로 다크웹 등에서 획득한 정보 혹은 이전의 데이터 사고를 통해 유·노출된 사용자 계정 정보를 활용하여 공격합니다. 따라서 한 개의 사이트가 해킹을 당한다면 해킹당한 사이트와 동일한 로그인 정보를 사용하는 곳들은 잠재적 위협에 노출될 수 있습니다. 해커들은 이렇게 불법으로 탈취한 계정 정보를 판매하거나, 금융, 핀테크, 암호화폐 등을 탈취하는 등 2차 피해를 발생시킵니다. 크리덴셜 스터핑 사례글로벌 테크놀로지 기업 아카마이 보고서에 따르면 2020년 한 해동안 전 세계 금융업계를 대상으로 총 41억건의 보안 공격이 발생했으며, 그 중 83%인 34억건이 크리덴셜스터핑 공격이였습니다. 실제로 우리나라에서는 지난 2020년, 유명 배우를 비롯한 연예인들의 개인 스마트폰 및 SNS가 해킹되는 사건이 있었습니다. 해킹 방식은 크리덴셜 스터핑 방식을 통해 해킹된 것으로 드러났습니다. 해커가 유명 연예인들의 개인정보를 입수하여 클라우드 계정에 접근 한 후 개인정보를 유출한 것입니다. 이외에도 대형 마트, 교육 및 공공 등 분야를 가리지 않고 크리덴셜 스터핑을 통한 개인정보 유출 사고가 발생하고 있습니다. 특히 공격자들은 국내 유명 포털 로그인 페이지로 위장하는 등 다양한 형태로 사용자의 개인정보를 수집하기도 합니다. 예방하는 방법크리덴셜 스터핑 공격을 방지하기 위해서는 사용자들이 각 서비스마다 다른 비밀번호를 사용하는 것이 좋습니다. 만약 비밀번호를 모두 다르게 설정하는 것이 어렵다면, 최소한 2단계 인증을 설정해야 합니다.2단계 인증이란 비밀번호 이외에 또다른 정보를 입력한 후 로그인하는 방식으로, 예를 들면 SMS로 전송되는 인증코드 입력 등이 있습니다. 계정 정보가 유출되더라도 인증코드 등을 통해 추가정보를 확인해야 하기 때문에 계정에 접근하기 쉽지 않습니다.크리덴셜 스터핑을 예방하기 위해 서비스 제공업체들은 비밀번호 재사용을 방지하기 위해 비밀번호 정책을 강화하고, 2차 인증 방법을 도입하여 보안을 강화해야 합니다.또한 개인정보의 기술적·관리적 보호조치기준 제4조 5항에서는 개인정보를 처리하는 기업의 비인가 접근 탐지를 규정하고 있습니다.개인정보의 기술적·관리적 보호조치기준 제4조(접근통제)⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 이처럼 크리덴셜 스터핑은 점점 악명높은 방식으로 사용자들의 계정을 탈취하고, 악용하고 있습니다. 편리한 서비스를 이용하기 위해 우리의 계정정보를 제공하는 만큼 개인정보를 보호하기 위해 더욱 노력을 기울여야 할 텐데요. 개인정보 유·노출 피해를 줄이면서도 안전한 서비스 이용을 위해 사용자뿐만 아니라 서비스 제공업체, 기업들의 노력이 더해져야 할 것입니다.
-
- 23.07.04
-
신시스토리
신시웨이 2023년 상반기 결산
검은토끼의 해 계묘년이 밝은지 어느덧 절반이 지났습니다. 2023년의 상반기가 지나가고, 무더운 여름과 함께 하반기를 맞이할 준비를 하고 있습니다. 2023년 상반기 신시웨이에서는 어떤 일들이 있었을까요? 상반기 핵심 사건들을 간략하게 소개해드리겠습니다.공채3기 입사2023년 1월, 계묘년의 시작과 함께 신시웨이에는 9명의 신입사원들이 공채3기로 입사하였습니다. 신시웨이에서는 신입사원들의 직무 및 제품에 대한 원활한 이해를 위해 입사 후 약 3개월간 인재교육팀에서 기초 소양 교육을 진행하고 있습니다. 이번 공채3기 또한 3개월간의 직무 교육을 마친 후 기술지원본부 및 R&D본부로 배치되었습니다. 공채3기의 앞으로도 활기차고 열정 넘치는 회사생활을 기대합니다.2023 KICK OFF 진행올해 상반기에는 길었던 코로나에 대한 엔데믹과 함께 우리의 일상을 되찾아가는 시기였습니다. 따라서 2023년 1월, 그동안 잠시 중단되었던 임직원 모두가 전체를 대상으로 KICK OFF가 개최되었습니다. KICK OFF 행사에서는 장기근속 포상 수여식, 법인차량 승계 추첨, 서바이벌 퀴즈 프로그램 등 다양한 행사가 이어졌습니다. 3년만에 모든 임직원이 한자리에 모인 뜻깊은 자리였으며, KICK OFF를 통해 2023년을 더욱 힘차게 시작할 수 있었습니다.SaaS기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법 PCT출원2022년 9월 특허출원했던 ‘SaaS기반 DB접근제어 게이트웨이 서비스 시스템 및 방법’이 2023년 2월 PCT 국제특허에 출원하였습니다. PCT 국제출원이란 특허협력조약 ‘Patent Cooperation Treaty’의 약자로 특허협력조약 회원국 간 하나의 PCT출원서로 다수 국가에 동시 출원할 수 있는 제도입니다. 이번 PCT 국제 출원을 통해 신시웨이의 기술력을 해외시장에 진출할 수 있는 발판을 마련하였습니다.SaaS전환 참여 기업 우수 표창 수상2월 8일 한국소프트웨어 기술진흥협회(KOSTA)에서 주관하는 소프트웨어 기업의 SaaS 전환 및 활용 교육에서 교육 참여 우수 기업표창을 수상하였습니다. 한국 소프트웨어 기술진흥협회에서 진행한 SaaS 전환 및 활용 교육은 지난해 6월부터 12월까지 6개월간 진행되었으며, 신시웨이의 기술직렬 직원들이 참여하였습니다. 신시웨이는 클라우드 환경의 통합 데이터 보안 소프트웨어 개발을 목표로 SaaS전환에 필요한 역량 교육과 연구, 개발에 적극적으로 투자하고 있습니다. 특히 클라우드 개발조직 신설 및 사업팀을 신설하기도 했습니다. 또한 클라우드 보안 시장이 점차 확대되는 만큼 신시웨이는 클라우드 비즈니스 확대를 적극적으로 추진할 계획입니다.임직원 생일파티 재진행코로나로 인해 잠시 중단되었던 임직원 생일파티도 4월부터 다시 개최되었습니다. 해당 달에 생일을 맞이한 직원은 상품권 지급과 함께 본사 라운지에서 생일파티가 개최됩니다. 사무실에서 업무중인 전 직원들이 모여서 치킨, 피자, 케이크 등 파티음식을 먹으며 담소를 나눌 수 있는 시간인데요. 그동안 얼굴만 보고 지나쳤던, 이야기 할 기회가 없었던 직원들과 이야기 할 수 있는 훈훈한 시간이기도 합니다.비정형 암호화 솔루션 Petra File Cipher V3.2 GS인증 1등급 획득지난 5월 4일, 신시웨이의 비정형 암호화 솔루션 Petra File Cipher V3.2가 한국정보통신기술협회(TTA)로부터 GS인증 최고 등급인 1등급을 획득하였습니다. GS(Good Software)인증은 소프트웨어 제품의 품질을 인증하는 제도로, Petra File Cipher의 GS인증 1등급 획득으로 신시웨이 보안제품의 우수한 기술력과 보안성을 인정받았습니다.
-
- 23.07.03