비즈니스

기업 비즈니스, 보안, 네트워크, 기업용 소프트웨어

arrow_downward최신기사

ETRI

SDN 보안성 검증 시대 열렸다…아토리서치, 1호 시험성적서 발급

소프트웨어정의네트워킹(SDN) 장비를 정부·공공기관이 도입할 때 보안기능 시험·검증이 의무화됐다. 국가정보원 사이버안전센터는 2개월 전 이같은 방침을 정하고, 과학기술정보통신부를 통해 각급 정부공공기관에 SDN 장비 보안규격을 배포한 것으로 확인됐다. SDN 네트워크 장비와 컨트롤러가 모두 대상으로, 9월1일부터 의무화됐다. 이에 따라 중앙행정기관, 광역시도, 광역시도 교육청, 주요 정보통신기반시설 관리 기관 등은 L3 이상 네트워크 장비와 정보보호 제품과 마찬가지로 보안적합성 검증 또는 이에 준하는 보안기능 시험성적서를 필수로 받아야 한다. 국정원은 지난해 말 공인 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 국가·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않도록 허용하는 제도를 시행했다. 국내 SDN 기업인 아토리서치는 SDN 컨트롤러인 ‘오벨 패브릭(OBelle Fabric) 3.0’을 클라우드 서비스에 도입한 코스콤을 통해...

CC

‘암호모듈 검증’ 시험기관 민간 확대 보류…KISA만 추가

암호모듈 검증 시험기관이 늘어난다. 정보보호(보안)제품에 탑재되는 암호모듈 검증 수요가 크게 늘고 있지만 국가보안기술연구소가 단독으로 시험기관을 맡고 있어 최근 적체현상이 심화되고 있다.  이를 해결하기 위해 마련한 방안이다. 3월21일 관련업계에 따르면, 앞으로 한국인터넷진흥원(KISA)이 새로운 암호모듈 시험기관 역할을 수행하기 위해 준비에 들어갔다. 전자정부법 시행령에 따라 국가·공공기관에 도입되는 정보보호시스템 가운데 암호화가 주 기능인 제품에는 의무적으로 검증필 암호모듈을 탑재해야 한다. 국가정보원은 기준에 따라 제품에 탑재되는 암호모듈의 안전성과 신뢰성, 상호운영성 등 구현 적합성을 검증하는 제도를 운영하고 있다. 지난해 국정원은 민간 공통평가기준(CC) 시험기관도 암호모듈 검증 시험을 담당할 수 있도록 확대하는 방안을 추진하기도 했다. 가중되고 있는 시험 적체 현상을 해소하기 위해 추진한 방안이다. 그러나 최근 이같은 방침을 사실상...

CC

네트워크·정보보호제품 ‘시험성적서’ 발급제도 시행

네트워크 장비와 정보보호 제품의 보안기능을 평가해 ‘시험성적서’를 발급하는 제도가 시행된다. 공통평가기준(CC) 평가기관 등 공인된 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 국가·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않아도 된다. 국내용 공통평가기준(CC) 인증을 받은 정보보호 제품을 도입할 경우 보안적합성 검증이 생략되는 절차와 유사하다. 국가정보원은 스위치·라우터 등 L3 이상 네트워크 장비를 대상으로 시행해온 이 제도를 정보보호 제품으로도 확대 시행한다. 국정원이 모든 국가·공공기관을 대상으로 보안적합성 검증을 직접 시행해왔던 기존 방침도 최근 완화했다. 올해 7월부터는 네트워크 장비뿐 아니라 정보보호 제품을 도입하는 기관 가운데 중앙 행정기관과 소속기관, 광역시도와 광역시도 교육청, 주요 정보통신 기반시설 이외의 기관은 국정원 직접 검증 대상기관에서 제외됐다. 산하기관과 기초지자체,...

5163

국정원, 국회서 “스파이웨어 사용했다” 시인

국가정보원(국정원)이 7월13일 국회에서 최근 논란이 된 스파이웨어 ‘리모트 컨트롤 시스템(RCS)’을 실제 사용한 적이 있다고 시인했다. 국회 정보위원회(정보위) 관계자는 13일 저녁 <블로터>와의 통화에서 “오늘 국정원에서 국회의원실을 돌며 최근 논란이 된 스파이웨어 관련해 설명했다”라며 “국정원에서 해당 스파이웨어를 실제 사용했다고 시인했다”라고 밝혔다. 국정원 “쓰긴 썼지만…” RCS는 이탈리아 업체 ‘해킹팀’이 개발한 소프트웨어로 사용자의 PC나 스마트폰에 사용자 모르게 침투해 사용자가 기기로 어떤 행위를 하는지 감시할 수 있는 스파이웨어다. ‘윈도우’ 운영체제(OS) 기반 PC는 물론, 애플의 맥, 구글의 안드로이드 스마트폰, 애플 ‘아이폰’ 등도 모두 감시 대상이 될 수 있는 것으로 알려졌다. 지난 7월8일 RCS를 개발한 해킹팀이 역으로 해킹을 당하며 해킹팀의 사업 관련 자료가 대량으로 유출되는 과정에서 세상...

NSA

법 허점 악용한 수사기관 도·감청 활개

허술한 통신비밀보호법(통비법)이 수사기관의 무분별한 감시활동을 방조한다는 지적이 나왔다. 정보통신 사회를 감시하는 세계 시민단체 모임 ‘진보통신연합(APC)’은 9월4일 인터넷거버넌스포럼에서 발표한 ‘2014년 세계정보사회감시 보고서(Global Information Society Watch 2014)’에서 한국의 허술한 감시 규제 체계가 인권 침해를 야기한다고 비판했다. 보고서 가운데 한국 부분은 진보네트워크 장여경 활동가가 작성했다. 국내 수사기관, 지난해 고객정보 957만건 가져가 지난 2013년 KT·SK브로드밴드·LG유플러스 같은 인터넷 서비스 제공 회사(ISP)는 수사기관에 고객 개인정보 957만4659건을 넘겼다. 겹치는 것이 없다고 치면 전체 인구의 5분의1에 달하는 수치다. 장여경 활동가는 이렇게 대규모로 개인정보를 가져가는 것은 국민을 '예비 범죄자'로 여기는 인권침해 행위라고 주장했다. 수사기관이 957만건이 넘는 개인정보를 넘겨받을 수 있던 이유는 무엇일까. 장여경 활동가는 수사기관의 도·감청 활동에 제동을 걸어야 할...

N드라이브

초중고교 클라우드 이용, 교육청 따라 '오락가락'

# 상황1. 대전 소재 한 학교 교실 안. 수업 준비를 위해 노트북을 켠 ㄱ선생님이 갑자기 한숨을 내쉬었다. 수업자료를 저장한 USB 메모리를 집에 두고 온 탓이다. N드라이브를 이용하면 편하련만, 학교에서는 N드라이브를 사용할 수 없다. 대전시교육청은 원하는 학교가 공문을 보내면 클라우드 서비스를 사용할 수 있게 해준다고 설명했지만, ㄱ선생님은 까다로운 신청 절차에 사용을 포기한지 오래다. # 상황2. 인천에서 근무중인 ㄴ선생님은 교육청에서 내려온 공문을 받고 분통을 터뜨렸다. 평소 구글 문서도구를 활용해 수업을 진행했는데, 교육청이 이같은 클라우드 스토리지 서비스를 사용하지 말라고 지침을 내렸기 때문이다. 다행히 ㄴ선생님은 잘 알려지지 않은 '프레지'라는 클라우드 프리젠테이션 서비스를 선택해 수업을 계속하고 있다. # 상황3. 부산에서 교편을 잡고 있는 ㄷ선생님은 드롭박스를...

교육과학기술부

'국립대 클라우드 금지', 오해와 실수 사이

“클라우드 서비스 차단은 애초에 생각하지도 않았습니다. 어디서부터 이야기가 잘못 흘러갔는지 모르겠어요.” 장상훈 서울대학교 정보화본부 정보보안팀 팀장은 최근 불거진 ‘서울대 클라우드 서비스 이용 자제 알림 공문’과 관련해 언론이 사실을 제대로 전했으면 좋겠다고 하소연했다. 장 팀장은 서울대는 클라우드 서비스를 차단하지 않았고, 차단 방법에 대한 어떤 논의도 아직까지 이뤄지지 않았다고 강조했다. 이번 사건의 불씨로 지목된 국가정보원과 교육과학기술부도 억울함을 호소하긴 마찬가지다. 이들은 이번 ‘클라우드 서비스 차단’ 논란에 대해 클라우드 서비스를 원천봉쇄하겠다는 뜻으로 받아들인 누리꾼들이 많은데, 이는 사실과 다르다고 주장했다. 정병호 교과부 교육정보화과 팀장은 “해당 공문 내용은 클라우드 보안 안정성이 검증되지 않았기 때문에 내려온 공문"이라며 "행정자료 유출에 대비, 보안을 강화하자는 내용이었다”라고 설명했다. 그는 “결코 학내...