최근 급변하는 디지털 전환기에서 AI의 진화, 클라우드 서비스 보편화 등 혁신적 기술들은 계속 등장하고 새로운 서비스와 가치를 창출하고 있습니다. 하지만, 악의적인 공격자들은 끊임없이 진화하여 다양한 신기술을 활용한 새로운 공격 방식을 통해 기업을 위협하고 있습니다. 사이버 위협은 기업의 지속 가능성을 위협하는 중대한 리스크이므로 기업은 사이버보안 강화를 경영 전략의 핵심 요소로 고려할 필요가 있으며 기업이 보유한 자산을 지키기 위해 방어 전략 및 체계 역시 진화가 시급한 상황입니다. 이러한 가운데 급부상하고 있는 제로트러스트는 기업의 사이버 위협 대응의 체질 개선을 위해 필수적으로 도입해야 하는 도전 과제라고 할 수 있습니다.

 

2023년 7월 과학기술정보통신부와 한국인터넷진흥원, 한국제로트러스트포럼의 공동 작업으로 ‘제로트러스트 가이드라인 1.0’을 발표했습니다. 가이드라인은 우리 기업들의 디지털 업무 환경 안전 체계를 제로트러스트로 이행하는 긴 여정의 첫 발걸음을 내딛는 과정이었습니다. 실제로 공공·민간의 많은 분야에서 가이드라인이 활용되었고 제로트러스트의 철학을 공유하고 기본적인 이해를 하는 데 도움이 됐다는 평이 주를 이루었습니다. 하지만, 한편으로 가이드라인이 제로트러스트 도입을 고려하는 기업의 입장에서 충분한 수준으로 작성을 한 것일까에 대한 걱정도 일부 있었습니다. 각 분야의 전문가들께서는 가이드라인에 대한 격려의 말씀과 함께 가감 없는 현실적인 조언을 전해주셨습니다. 이러한 다양한 의견은 제로트러스트 정책 방향성을 결정하는 데 많은 도움이 되었습니다.

 

제로트러스트 가이드라인 1.0이 나온 지도 벌써 1년 이상 지났습니다. 그 사이에 글로벌 제로트러스트 정책을 선도하는 미국은 많은 변화가 있었습니다. 연방정부의 각 기관은 대통령 안보 각서에 따라 OMB(관리예산실)에 제로트러스트의 도입과 요구 사항을 충실히 이행하였으며, 주 정부와 지방 행정 기관도 제로트러스트의 도입을 추진하는 등 제로트러스트를 더 이상 이상적인 개념이 아닌 현실에서 구현하기 위한 실체적인 움직임을 보이고 있습니다.

 

우리나라는 2023년 과학기술정보통신부와 한국인터넷진흥원이 국내 제로트러스트 실증 사업을 성공적으로 진행한 바 있으며, 2024년 시범사업을 연이어 추진함으로써 다양한 도입 사례 확보를 통해 제로트러스트 보안 모델 확산을 위해 노력하고 있습니다. 또한 공공, 금융, 군 등에서도 공공 데이터 활용, 혁신적 AI·클라우드 서비스의 도입, 유연한 근무 방식, 개발 환경 개선 등을 위하여 획일적인 보안 체계와 규정을 보완 하는 등 우리 사회 각 분야의 제로트러스트 보안 체계 전환의 공감대는 증가하고 있습니다.

 

2024년 5월 과학기술정보통신부와 한국인터넷진흥원 및 한국제로트러스트포럼 정책·제도분과 소속 산학연관 전문가들은 연구반을 구성하여 보안 담당자들의 어려움을 조금이라도 해소할 수 있는 새로운 가이드라인 발간을 기획했습니다. 연구반에서는 지난 수개월 동안 회의와 토론, 수정을 거쳤으며 그 결과물로 제로트러스트 성숙도 모델을 세부 역량 수준으로 상세히 기술하고, 제로트러스트 도입 과정과 도입 수준 분석 방안을 구체화하는 형태의 가이드라인 2.0이 완성하게 되었습니다.

 

가이드라인 2.0은 제로트러스트의 철학이 기업의 문화에 뿌리를 내릴 수 있도록 최고경영자와 정보보호 최고책임자, 실무자들이 반드시 읽어야 할 항목들을 정의하였으며, 기업의 구성원들이 적극적으로 제로트러스트 이행 과정에서 각자의 역할을 수행할 수 있는 기반을 제공하고자 합니다. 국내 기업들이 전사적으로 제로트러스트를 도입함으로써 위험을 완화하고 보안 수준을 향상한다면, 각 산업 분야에서 더욱 경쟁력을 갖춘 강력한 기업으로 성장하는 밑거름이 될 수 있을 것으로 생각합니다. 앞으로 본 가이드라인 2.0이 기업의 제로트러스트 도입 과정에서 도움이 될 수 있기를 기대하며, 많은 의견과 관심을 부탁드립니다

 

241203_제로트러스트_가이드라인_2.0.pdf
6.79MB

날로 증가하는 사이버 위협에 대응하기 위해서는 디지털 인프라의 근간인 소프트웨어(SW)와 SW 공급망의 신뢰성을 강화해야 합니다. SW를 포함한 디지털 제품에 포함될 수 있는 악성코드와 보안취약점을 악용한 사이버 공격을 사전에 방지하고, 사고 발생 시 신속하게 대응할 수 있는 SW 공급망 보안체계 수립을 위해 범정부적 노력이 필요합니다.

 

본 가이드라인은 국내 정부·공공기관 및 기업 관계자가 SW 공급망 보안 관련 국제동향을 비롯하여 SW 공급망을 위협할 수 있는 악성코드 및 보안취약점 관리 등에 관한 제반 사항을 쉽게 이해하고 활용할 수 있도록 지원하기 위해 마련되었습니다.

 

SW 개발과정에서 공개 SW와 같이 외부에서 개발된 SW의 사용 비중이 높아짐에 따라 SW에 포함된 악성코드 및 보안취약점 관리의 중요성이 커지고 있습니다. 일례로 공개 SW로 널리 활용되고 있는 ‘Log4j(자바 로깅 라이브러리)’의 보안취약점을 악용한 사이버보안 사고는 2021년 국내외에서 큰 피해를 입히며 맹위를 떨쳤던 대표적인 SW 공급망 공격사례입니다.

 

이와 같은 SW 공급망 공격은 대상 범위가 넓고 연쇄적 사고로 이어지며, 즉각 조치하지 못할 경우 수년간 피해가 지속되는 등 파급력이 큰 특징을 나타내고 있습니다. 그러나 SW의 보안취약점을 효과적으로 찾아내고 관리할 수 있다면 사전에 이를 예방할 수 있고, 사고 발생 시에는 타 사용자들에게 사고 상황을 빠르게 전파할 수 있을 뿐만 아니라, 신속하고 효과적인 복구를 지원하는 등 효율적인 대응이 가능합니다.

 

미국, 유럽 등 주요국은 SBOM(SW Bill of Materials)을 활용하여 SW의 신뢰성 확보에서 보안취약점 관리에 이르기까지 SW 공급망 보안 강화가 가능하다고 판단하고, SBOM을 적극 활용하기 위한 제도화를 추진하고 있습니다.

 

미국은 지난 2021년 5월, 연방정부에 SW를 납품할 때 SBOM을 포함한 보안관리 자체증명서 (Self Attestation Form)를 제출하도록 하고 이를 위한 세부 이행계획을 마련 중이며, 유럽연합(EU)도 역내에 공급(유통)되는 디지털 제품의 보안취약점 관리를 주요 내용으로 하는 ‘사이버복원력법 (CRA, Cyber Resilience Act)’ 제정안에 대해 EU 의회(Parliament)와 EU 이사회(Council)가 정치적으로 합의(’23.12월)하였고, 2024년 3월에는 EU 의회에서 제정 법안을 승인하는 등 법제화가 진행 중입니다. 그러나 SW 공급망의 신뢰성 강화를 위해 SBOM 제출을 의무화하는 것은 SW 개발기업은 물론 공급(유통)·수요 기업 등에게도 비용·인력 측면에서 현실적인 부담이 될 수 있습니다.

 

이에 국가정보원·과기정통부·디지털플랫폼정부위원회는 국내에 효과적으로 적용할 수 있는 SW 공급망 보안 강화방안을 마련하기 위해 산·학·연 전문가들과 협력하여 글로벌 동향을 분석·토론하였고, 국내 중소기업들이 제품 및 서비스 개발단계에서부터 SW 보안취약점을 찾아내고 보완할 수 있도록 기업 지원 시설을 보강하는 한편, 국산 SW 제품을 대상으로 SBOM 생성, 보안취약점 분석 및 조치 등에 관한 실증도 진행하였습니다. 금번 가이드라인에는 이와 같은 전문가 논의 결과, 중소기업 지원 경험 및 SBOM 국내 실증결과가 반영되었습니다.

 

본 가이드라인을 통해 SW 공급망 보안에 대한 사회적 인식이 새롭게 정립될 수 있기를 바랍니다. 정부는 앞으로도 해외사례 및 제도들을 모니터링하고, 주요 국가들과 협력을 강화하면서 가이드라인을 지속적으로 보완하고 발전시켜 나갈 계획입니다

 

 

 

(전체본)SW_공급망_보안_가이드라인.pdf
13.60MB
(요약본)SW_공급망_보안_가이드라인.pdf
3.14MB

 

국가공공기관_민간클라우드_컴퓨팅서비스_도입_가능목록(24.10.24기준).pdf
0.12MB

전자정부 성과관리 지침(행정안전부고시 제2023-20호) 개정(’23.4.4.)에 따라 전자정부 성과관리 업무 매뉴얼을 개정

 

본 매뉴얼은 전자정부 성과관리 지침과 연계하여 개요, 예비검토, 사전협의, 정보시스템 운영 성과관리 4개 파트로 구성

 

사전협의 제도 및 정보시스템 운영 성과관리 업무 추진 시 참고

 

★2023년_전자정부_성과관리_업무매뉴얼.pdf
10.62MB

한국인터넷진흥원(KISA)에서 배포한 랜섬웨어 대응 가이드라인 개정판 입니다.

 

[참고자료] 랜섬웨어 대응 가이드라인.pdf
5.20MB

제로트러스트가이드라인 1.0 전체본 (230714).pdf
4.90MB
제로트러스트가이드라인 1.0 요약서 (230801).pdf
9.31MB

ISMS-P 인증기준 안내서 입니다.

 

22년, 23년 연속으로 시험을 봤지만... 어렵습니다. 

 

ISMS-P 인증기준 안내서(2022.4.22).pdf
10.41MB

'IT > IT자격증' 카테고리의 다른 글

개인정보보호사(PIP) 시험 후기  (1) 2017.10.27

하도 개인정보..개인정보.. 말이 많아서 시험 한번 봤다.

 

 

 

2015년도에 정보보안산업기사를 취득했지만(정보보안기사는 탈락 포기) 사람들 인식이 정보처리기사 같은 존재인지.. 별로 취급을 안해준다.

 

정보보안기사는 시험 범위가 너무 광범위해서 그런가.. 내가 실력이 없어서 그런가 모르겠음..(실력이 없는거 일수도..)

 

아무튼 요즘 하도 말많은 개인정보때문에 그냥 한번 시험본 개인정보보호사 후기 써본다.

 

<특징>

 

1. 사단법인 벤처기업협회라는 곳에서 주관함 - 민간자격증

2. 온라인접수 온라인시험

3. 4과목 객관식

4. 과목마다 20문제 제한시간 30분

  - 시험과목 : 개인정보보호개론, 위치정보보호법, 정보통신망법, 개인정보보호법 4개

5. 시험접수비용 8만원(기사자격증있거나 기타 할인율 20%받아서 64000원에 접수함)

6. 시험점수하면 개인정보보호 총서라는 PIP자격시험대비 교제를 다운받을수 있음(463쪽)

7. 하루(24시간)동안 시험을 볼수 있음. 

8. 과목별로 따로따로 시험을 볼수 있음. 10시에 한과목, 12시에한과목 4시에 한과목 이런식으로 볼수있음

9. 과락 40점 있음. 평균 60점 이상 합격

 

자격증 취득후 2년후에 보수교육을 받아야 자격증이 계속 유지됨.. 보수교육 3만원.. 

 

<후기>

 

1. 온라인 시험이라서 교제 찿아보면서 시험 칠려고 별로 공부안함

2. 교제 출력해서 1번 읽어봄(관련 법률이 많아서 세세하게 보지 않았음)

3. 은근히 볼 내용이 많음

4. 화요일에 시험치고 금요일 오후 3시에 결과 나옴

5. 개인정보보호개론은 시간이 남았는데 나머지 3과목은 시간이 모자람

   - PDF파일에서 찿아가면서 시험 볼려고 하면 위치정보, 정보통신망법, 개인정보법 3개는 시간이 모자를수 있음

 

 

 

개인정보보호사 40회 결과 발표가 오늘이라서 확인해봄

 

일단 합격함. 시험치고 이거 쉽지 않은데 라고 생각했음. 합격했으니 다행임

 

제점수는요.... 평균 72 나옴... 예상한데로 개인정보보호개론은 다 맞춤.. 하지만 나머지 3과목은 고만고만함

 

<결론>

 

1. 시험 보실려고 하시면 개인정보보호개론에서 점수를 좀 올려서 받아야함. 

   - 나머지 3과목에서 아리까리한 문제가 좀 나옴. PDF 찿아서 할려고 해도 시간 모자람

2. 다운받은 교제를 과목별로 PDF파일 4개로 분할해서 시험 볼때 참고하면 도움이 될듯

3. 시험전까지 교제 한번 보고 시험일날 과목별로 썸머리하고 시험 치고, 썸머리하고 시험치고 하면 무난하게 합격할듯

4. 교제 달라고 하지마세요. 저작권때문에 못드림.

 

 

 

 

 

'IT > IT자격증' 카테고리의 다른 글

ISMS-P 인증기준 안내서 (2022.04)  (0) 2023.08.07

아이폰5s로 4년을 버티다가 드디어 기변을 하게됨..


아이폰X를 살려고 마음먹었지만.. 가격이 너무 비싸기도 하고 출시가 10월 말이라서


아이폰8을 직구하기로 결심하고 9월 15일 주문..


배송대행지에 9월 22일에 도착했지만.. 몰테일의 느린 일처리로.. 배송이 조금 딜레이

9월 29일 금요일에 배송받아서 다행임..


우선 개봉사진 몇장.

 

 

몰테일에서 배송할때 이렇게 포장되어서 옴.

 

 

4년만에 사는 아이폰이라 설레임.. 박스를 까봄

 

 

오잉.. 보통 처음에 아이폰화면이 보여야하는데 종이쪼가리가 들어있음.

 

 

종이쪼가리를 빼니.. 아이폰8이 보임.

 

 

미국 t모바일 판이라서 충전기가 11자 형태임..


아이폰5s에서 8로 바로 넘어오니 참.. 적응안됨. 화면도 한손조작이 안되고..

 

하지만 카메라와 화면은 넘사벽.. 애기들 사진찍기 좋음.. 플러스모델로 인물사진을 찍으면 좋겠지만 이번 모델에 무선충전기능이 들어가 뒷면이 유리로되서 너무 무거움..

 

그래서 제일 싼 아이폰8 64기가 구매.. 미국판이라서 카메라 무음은 덤

 

총구매비용 약 89만원 정도

 

추석때 사진 아이폰8로 찍은 사진한장

 

 

 



개발용으로 썼던 2012 맥북에서 13인치에 심폐소생술을 해줄려고 아마존에서 주문받았던 pny storeEDGE 128G SD 메모리에 대해서 짧게 적어봅니다.(SSD 128G는 너무 작습니다 ㅠㅠ)


아마존에서 80불에 판매되고있구요.. 배송비해도 85불이면 구입할수 있습니다.


http://www.amazon.com/gp/product/B00DC9U2Q8/ref=oh_details_o00_s00_i00?ie=UTF8&psc=1


2012 맥북에어 꼽으면 약간(2-3미리?) 튀어나오지만 쓸만하게 쏙들어갑니다.


생긴건 이렇게 생겼구요


일반적인 SD 카드보다 짧아서 맥북에 잘 어울립니다.







이렇게 포장이 되어서 오구요... 뜯기가 힘들어서 가위질해서 잘랐습니다.


기쁜마음에 맥북에어에 꼽아서 속도 테스트 해봤습니다만....




결론은.... 


맥북에어에서는 사용할 물건이 못됩니다. ㅠ.ㅠ


다른 분들이 사용할때는 전송속도가 최소 60메가에서 최대 90메가 까지 나온다고 했는데.


맥북에어 에서는 20-30메가 밖에 속도가 안나옵니다. 제가 가지고 있는 모델이 2012년식이고


SD카드는 SDXC지원도 되고 USB3.0도 지원되지만.. 속도가 안나옵니다.


포멧을 저널링, FAT, FAT32, EXFAT 전부 다 해봤지만.... 20-30메가 밖에 속도가 안나옵니다.


맥북에어의 SD슬롯 자체가 맥북프로보다 성능이 떨어진다고 생각할수 밖에 없습니다. ㅠ.ㅠ


맥북프로를 사용하시는 분에게는 좋은 대안이될수 있겠지만.. 에어는... 크게 도움이 안되는듯.


받은지 하루만에 중고로 다시 판매 


아무튼 에어 사용자분들은 구매하실때 속도를 고려해보셔야 할듯 하네요.




+ Recent posts