2013년 3월 28일 목요일

IBM X-Force 2012 Annual Trend and Risk Report 영문판

안녕하세요. SecurityPlus입니다.

드뎌 IBM X-Force 2012 Annual Trend and Risk Report 영문판이 발표되었습니다.

다운로드를 원하시면 하기 링크를 클릭해 주시기 바랍니다.

[IBM X-Force 2012 Annual Trend and Risk Report 영문판 다운로드]

한글판은 현재 번역 작업 진행 중입니다.

번역이 완료되는 대로 다시 공유드릴께요.

그럼, 안녕히 계세요.

2013년 3월 27일 수요일

IBM 보안 서비스 사이버 보안 인텔리전스 지수


한국IBM, 사이버보안 지수 발표

- 2012년 10월부터 3개월간에 걸친 모니터링 및 컨설팅 데이터 분석
- 금융과 보험 사이버 공격 주 평균 발생률 360만 건 이상, 금융범죄, 산업스파이 등 의도적 공격 빈도수 23%
- 사이버 보안사고 평균 해결비용 33만 달러에 달해 


한국IBM(대표 셜리 위-추이, www.ibm.com/kr)은 효과적 사이버 보안 전략을 위한 <사이버 보안 지수>를 발표했다. 이번 조사는 지난해 10월부터 3개월간 IBM 사이버 보안 인텔리전스 & 대응 팀(IBM Cyber Security Intelligence & Response Team)이 130여개국 3천 7백여 고객사 모니터링과 컨설팅 데이터 분석을 통해 실시했다.

이번 조사결과는 최근 국내에서도 국내 방송사와 금융권 전산망을 순식간에 마비시킨 믿기 힘든 대형 IT보안 사고가 발생하면서, 기업은 물론 국가 기관에 이르기까지 정보보안에 대한 수요와 관심이 첨예한 시기에 발표되어 반응이 뜨겁다.
사이버 보안공격은 전세계적으로 하루 38만건, 연간 1억 3천 7백만건에 육박하고, 이 중 33%인 4천 5백만건이 악성코드 공격으로 가장 많았다. 이어 지속적인 탐색과 스캔 28%, 무단 액세스 15%, 장기간에 걸친 점진적 공격도 12%(APT)를 차지했다.

사이버 보안 공격의 발생률은 산업군에 따라 크게 달라, 의료 및 사회보장 서비스가 주 평균 공격건수 1억건을 넘어 가장 높았고, 운송(980만), 서비스(550만)에 이어 금융과 보험이 360만 건으로 공격 발생률이 높은 산업군으로 꼽혔다.

또한 공격의 동기는 49%의 공격이 우발적 요인이었으나 금융범죄, 산업스파이, 혹은 테러행위나 도용을 위해 의도적으로 공격을 시도한 빈도수가 23%에 달해 이들 공격이 성공했을 경우 기업이나 국가, 개인에게 미치는 피해는 실로 막대할 것으로 우려된다. 그 밖에 고용주나 일자리에 대한 불만이 15%, 사회적 운동 등 이념적 공격이 7%로 뒤를 이었다. 이는 악의적 의도가 없는 내부자 실수에 의한 데이터 유출과 일상적으로 탐지되는 악성 코드 혹은 스팸을 제외한 수치다.

사이버 공격의 경우 외부 공격이 전체 44%를 차지했지만, 악의적 의도를 지닌 내부자 공격 역시 23%로 밝혀져, 내부 보안도 상당히 위험한 것으로 지적됐다. 심지어 전체 공격자의 9%밖에 되지 않는 고의성 없는 의도치 않은 데이터 유출사고가 매주 50.9건으로 집계되어 정보 보안에 대비한 기업과 기관의 인식 전환이 시급한 것으로 파악됐다.

IT보안 사고는 사이버 공격이 성공적으로 표적을 무너뜨린 경우를 말한다. 100만번의 공격 중 실제 공격에 성공하는 횟수는 사실상 1.07건에 불과하다. 그러나 IT보안 사고의 경우 단 한 건의 사고도 그 파장과 피해가 걷잡을 수 없이 커질 수 있어 위험요소가 매우 크다.

실제 한 건의 보안 사고를 해결하기 위한 비상 대응 서비스를 수행하는데 들어가는 비용을 평균치로 살펴보면 더욱 놀랍다. 스팸메일이나 악성코드를 전파하는 악성 봇(Bot)에 감염된 네트워크를 해결하는 비용에만 평균 12만 달러가 소요된다. 이 외에도 네트워크 손상 복구 9만 2천달러, 이메일 손상과 데이터유출 복원 작업에 6만 달러 등 최소 33만 달러 이상의 비용 지출이 발생한다. 여기에 시스템 가동 중단과 직원 업무 중단으로 인한 손실, 나아가 회사 브랜드 가치 실추로 인한 피해까지 감안하면 실로 천문학적인 수치다.

공격 빈도수가 높은 산업군의 보안 사고 발생률은 다른 업종에 비해 낮았다. 공격 빈도수가 높은 반면 보안사고에 대비해 시스템과 교육 등 각종 대비를 비교적 갖춘 덕분인 것으로 해석된다. 금융 및 보험의 경우 공격 100만건당 사고의 수는 0.45회, 의료 및 사회보장 서비스의 경우 0.57회, 그밖에 서비스와 운송 모두 비교적 보안 사고 발생률은 낮았다. 반대로 공격 발생률이 적었던 건설업의 경우 공격 100만 건당 4.49회의 높은 사고 빈도수를 보였고 교육이나 공익산업 이 그 뒤를 이어 각종 사이버 공격에 취약함을 드러냈다.

실제 보안사고의 잠재적 원인의 80%가 일반 사용자의 실수나 부실한 시스템 관리가 원인이다. 이 가운데 42%가 잘못 구성된 시스템이나 애플리케이션의 문제였고, 31%는 최종 사용자 오류 였으며, 취약한 코드나 이를 이용한 타켓 공격은 12%에 그쳐 IT보안 사고 역시 사전 대비가 중요한 것으로 나타났다.

한국IBM 글로벌 테크놀러지 서비스(Global Technology Services)를 총괄하는 이장석 대표는 "비즈니스의 복잡성과 상호 연결성이 증가하는 IT 주도의 혁신이 가속화되면서, 기업과 기관이 당면하는 사이버 위협도 증가하고 있다"고 말하며, "비즈니스 연속성 확보는 물론이고, 시민의 안전과 자산의 보호라는 측면에서도 IT보안 사고를 예방하고 사후 충격을 완화하기 위한 똑똑한 정책 수립과 대책 마련에 대해 기업과 기관의 경영진을 중심으로 심각하게 검토해야한다"고 강조했다.

이번에 발표된 IBM 사이버 보안 지수(Cyber Intelligence Index) 백서(한글)은 아래 웹사이트에서 다운로드 받을 수 있다.

[IBM 보안 서비스 사이버 보안 인텔리전스 지수 보기 & 다운로드]


2013년 3월 26일 화요일

[채용 공고] IBM, Security Systems Tech Sales - 과장, 차장급

Job IDS_D-0568663Job typeFull-time Regular
Work countryKorea, SouthPosition typeProfessional
Work citySeoulPosted26-Mar-2013
TravelUnknown at this timeJob areaSales
Business groupIBM Sales & DistributionJob categorySales
Business unitSoftware SalesJob roleClient Technical Specialist


Job role skillsetSecurity Sys.Core Portfolio-MAJ
Commissionable/Sales-Incentive jobs onlyYes



Job description
Tech Sales for SWG Security Portfolio
Understand market needs & clients' requirements
Design & Implement Security solution
Handle problem determination

Experience & Skills
- Good Knowledge in Network and Network Security
-Experience in network security infrastructure (HW, SW) solution implementation & operation
: IDS, IPS and ESM
-Prefer to have experience managed security services.
-Good English
-Good Communication & Presentation
-General skills in network configuration and topology design
-General skills in Unix and Shell Script
Required
  • Bachelor's Degree
  • English: Intermediate
  • Korean: Fluent
Preferred
  • English : Fluent 

채용 공고 및 지원 사이트: https://jobs3.netmedia1.com/cp/faces/job_summary?job_id=S_D-0568663&st=7765

2013년 3월 22일 금요일

[eBook] Cloud Services for Dummies

안녕하세요. SecurityPlus입니다.

"Cloud Services for Dummies" 제하의 영문 eBook입니다.

클라우드 서비스 공부하시는 분들께 도움 되길 바랍니다.

[Cloud Services for Dummies 다운로드]

그럼, 안녕히 계세요.

2013년 3월 19일 화요일

Gartner, Magic Quadrant for Endpoint Protection Platforms 2013.1.2

안녕하세요. SecurityPlus입니다.

Gartner, Magic Quadrant for Endpoint Protection Platforms 2013.1.2  입니다.

보고서 바로 보기

그럼, 업무 참고하시기 바랍니다.

안녕히 계세요.

데일리시큐, G-PRIVACY 2013 - 공공기관 개인정보보호 담당자만을 위한 컨퍼런스 개최!

·참석자 등록: 오전 9시30분~10시
시간 행사일정
09:00~09:30
등록확인 및 자료집 배포
09:30~10:00
[KEYNOTE 1] 공공기관 개인정보 법령상담 사례를 통한 개인정보보호책임자의 역할
-김민섭 책임연구원 / 한국인터넷진흥원-
10:00~10:10
환영사
-KISA 정경호 정보보호본부장-
10:10~10:50
[KEYNOTE 2] 2013년 개인정보보호법 주요 정책 소개
-한순기 과장 / 행정안전부 개인정보보호과-
10:50~11:30
[KEYNOTE 3] 최근 판례로 보는 개인정보유출사고 재발방지기능 소개
-최일훈 부사장 / 소만사-
11:30~13:00
점심식사 및 전시회 관람
  Track A
-가야금 A-
Track B
-가야금 B-
13:00~13:40
효과적인 개인정보영향평가 수행 방안
부제 : 효과적인 공공기관 PIA 추진 방안 - 현장 중심의 시사점 및 대응방안

-옥은택 수석컨설턴트 / 싸이버원-
개인정보 오남용 방지를 위한 관리 방안 및 성공구축 사례
-지란지교소프트-
13:40~14:20
사전 영향도 분석 기반의 DB암호화 구축 사례
-김광열 상무 / 신시웨이-
무선 네트워크를 통한 개인정보 유출 방지를 위한 전략 및 사례
-코닉글로리-
14:20~15:00
공공기관 개인정보보호를 위한 위한 DB보안 전략 수립과 성공구축사례 소개
-김범 상무이사 / 웨어밸리-
PC개인정보보호와 DLP(문서,출력물,매체 보안)에 대한 성공구축사례
-김현정·노윤경 연구원 / 컴트루테크놀로지-
15:00~15:20
Coffee Break
15:20~16:00
구축 사례로 보는 효과적인 공공기관 PC 개인정보 보호 대책
-주현주 수석 / 파수닷컴-
개인정보보호를 위한 통합계정권한관리 적용 방안과 해결책
-박정만 팀장 / 엔시큐어-
16:00~16:40
단말 보안과 개인정보보호 Best Practice
- 장준하 차장 / 닉스테크-
공공기관 개인정보보호 담당자가 알아야 할 개인정보보호 추진전략 및 대책
-차건상 이사 / 이글루시큐리티-
16:40~17:20
공공•지자체 개인정보보호를 위한 보안 전략
-이장우 이사 / 안랩-
개인정보 관리 어떻게 해야 하나?
-김정웅 이사 / 에이쓰리시큐리티-
17:20~17:30
경품 추첨 및 폐회
※ 위 프로그램 주제는 참가업체와 발표자 사정에 따라 변경될 수 있습니다.

한국IDC, 국내 보안 소프트웨어 시장 2016년까지 연평균 8.2% 성장 전망

한국IDC(대표: 홍유숙, www.idckorea.com)가 최근 발간한 '한국 보안 소프트웨어 시장 분석 및 전망 보고서, '2012-2016'에 의하면, 2012년 상반기 국내 보안 소프트웨어 시장은 연이은 보안사고 및 법규 제정, 고도화되고 다변화하는 보안위협에 따라 전년 동기 대비 11.4% 증가한 1,192억원대 규모를 형성한 것으로 나타났다. 2012년 연간으로는 전년 대비 10.7% 성장한 2,884억원대 규모가 예상되고 있다.

세부 시장별로는 콘텐츠 보안 및 위협 관리(SCTM, Secure Content & Threat Management) 시장이 안티바이러스외에도 통합PC보안, 엔드포인트단의 데이터 유출방지 수요 증가에 따라9.2%의 성장세를 보이며 625억원대의 규모를 보였다. 또한, 계정 및 접근 관리(IAM, Identity & Access Management) 부문은 금융권의 보안 투자 증가, 인터넷뱅킹 시스템 업그레이드와 모바일뱅킹 확대, 오픈뱅킹, 시스템 접근관리 등이 시장 성장에 기여하며 8% 증가한182억원대의 규모를 보였으며, 기타 보안(Other Security) 시장은DB보안이나 서버OS보안 수요에 따라 24.7%의 높은 성장세를 기록하며238억원대 규모를 형성했다. 이외에도, 보안 및 취약점 관리(SVM, Security & Vulnerability Management) 시장은 보안관제 서비스를 위한 ESM 제품 수요에 따라 6% 성장한 146억원대의 시장 규모를 형성한 것으로 나타났다.

한국IDC의 황성환 연구원은 " 보안 소프트웨어 시장은 보안사고 및 법규 강화에 따른 보안 수요가 이어지며 2013년도에도 타 시점보다 상대적으로 높은 성장세가 나타날 것으로 예상된다" 고 말하고, "2013년 이후에는 시장 수요가 하향 안정화 되며 과거 시장 성장세였던 7% 대의 성장세를 유지해 나갈 것으로 예측된다" 고 언급했다.

이어 황 연구원은 "향후 각종 법적 규제, 신종 보안위협 대응, 보안 인텔리젼스 활용, 통합 보안 솔루션 제공, 모바일 및 클라우드 보안과 같은 이슈들이 시장 수요에 영향을 미칠 것이며 공급업체들의 사업 영역 다각화, 해외 시장 진출 또한 이어질 것으로 예상된다”고 덧붙였다.


출처: http://www.idckorea.com/product/Getdoc.asp?idx=554&field=PressRelease

Privacy on the Go - Recommendations for the Mobile Ecosystem

안녕하세요. SecurityPlus입니다.

'Privacy on the Go - Recommendations for the Mobile Ecosystem' 영문서는 미 캘리포니아주 법무부에서 제작 발표한 가이드라인입니다.

앱 개발자, 플랫폼 제공자, 통신 사업자에 대한 모바일 보안 상의 권고 사항과 미 캘리포니아 주 온라인 개인정보 보호법에 대한 소개 등을 담고 있습니다.

[Privacy on the Go - Recommendations for the Mobile Ecosystem 다운로드]

그럼, 관련 공부에 참고하시기 바랍니다.

안녕히 계세요.

2013년 3월 18일 월요일

[설문] ' 정보보안직업군 ' 개척을 위한 시장조사

정보보안직업군 개척을 위한 시장조사

 안녕하십니까 ? 울산대학교 정보보호동아리 UOU_Unknown 입니다. 현재 Infothe_보안뉴스 ‘권준’ 편집국장님과 합작으로 프로젝트를 진행하게 되었습니다. 아래 설문조사는 현재 ‘ 정보보안 ‘ 직업군에 대한 정보가 일반인들에게 극히 일부만 제공되고 있고, 좀 더 상세하고 실질적으로 도움되는 정보를 학생들과 취업준비생들에게 제공하기 위하여 해당 설문조사를 진행하게 되었습니다.
기획하는 과정에서 여러분들이 더욱 공감할 수 있는 내용을 제공해 드릴 수 있게 하기 위해서 몇 가지 설문조사를 하려고 합니다. 평소 보안 직업군에 대해 궁금했던 사항들을 질문해 주시길 바랍니다.

주최 – Infothe_보안뉴스, 울산대학교 정보보호동아리 UOU_Unknown
상세직업군 범위_ 보안컨설팅, 모의해킹, 보안관제, 침해대응, 보안관리, 보안 솔루션, 심사원, 인증 심사원, 보안 개발자, 악성코드 분석, 데이터베이스 보안, 사이버 수사대, 정부기관 보안팀

공통 질문 _
1) 해당 직업군에서는 어떤 일을 하나요 ?
2) 해당 직업군에 취직하기 위해서는 실질적으로 어떠한 지식을 공부하는게 도움이 되나요 ?
3) 해당 직업군의 업무 환경은 어떠한가요 ?
이외에 또 다른 질문사항이 있으시다면 댓글로 달아주시기 바랍니다.
[ 기본적인 질문도 괜찮으며, 특정 기업에 대해서 말씀해주셔도 됩니다. Ex. 악성코드분석 – 업무환경은 어떠한가요 ? ]

설문 참여

한국CISSP협회, 제26회 정보보호리더십(서울) 세미나 안내

안녕하세요.
제26회 정보보호리더십(서울) 세미나에 회원여러분을 초대합니다.

이번 세미나에서는
“위기의 인터넷”과 “Network Security의 새로운 페러다임”이라는 두 가지 주제발표를
전문가로부터 들어보고 함께 생각하는 시간으로 준비했습니다.
오랜만에 발표되는 네트워크 관련 발표에 많은 관심과 참여를 부탁드리며,
특히, 마지막 세션에는 참석자들과 퀴즈를 풀며, 자신도 알리고, 상품도 받고, 보안지식도 쌓는
“일석삼조 퀴즈 이벤트”를 마련했습니다.

그 동안 쌓아온 지식도 맘껏 뽐내시고 CISSP가 함께 하는 시간을 즐기시길 바랍니다.

일 시 : 2013년 03월 27일 (수) 19:00 ~ 22:00
장 소 : 한국과학기술회관 국제회의장 대회의실 (약도)
           * 주차안내 : 2시간 무료 이후 10분당 500원
참기비 : 무료
사전등록 : 03/18(월) ~ 03/26(화), 협회 사이트를 통한 온라인 등록.
           * 신청인원을 감안하여 조기마감 될 수 있음.
혜 택 : 5 CPE 부여 (참석여부 확인 후 (ISC)2에 통보하여 자동입력)
문 의 : pr@cisspkorea.or.kr
                                                   ☞ 세미나 사전등록

==== Agenda ====

18:30 ~ 19:00 : 참석확인 및 현장등록

19:00 ~ 19:10 : 인사말 및 세미나 진행 안내

19:10 ~ 19:45 : [위기의 인터넷]
                        - 전상훈 이사 / ㈜빛스캔

19:45 ~ 20:15 : [Network Security의 새로운 페러다임]
                        - 김영표 차장 / 팔로알토네트워크

20:15 ~ 20:30 : 휴 식 ( 퀴즈이벤트 준비)

20:30 ~ 21:40 : ‘일석삼조’ 퀴즈 이벤트

21:40 ~ 22:00 : 이벤트 시상

ISO/IEC 27000:2012 Information technology — Security techniques — Information security management systems - Overview and vocabulary

ISO/IEC 27000:2012  Information technology — Security techniques — Information security management systems - Overview and vocabulary

국제 정보보호 관리체계 표준인 ISO27000 시리즈의 개요에 해당되는 ISO/IEC 27000:2012 영문 버젼입니다. 

정보보호 관리체계에 대한 개요와 전체 ISO27000 시리즈의 표준 간의 관계와 ISO/IEC 27000 시리즈에서 나오는 주요 용어들에 대한 정의를 다루고 있습니다. 

[ISO/IEC 27000:2012  Information technology — Security techniques — Information security management systems - Overview and vocabulary 다운로드]

국제 정보보호 관리체계 표준인 ISO27000 시리즈를 공부하고자 하시는 분들께 도움되시기 바랍니다. 

그럼, 안녕히 계세요.  

KIISC, AsiaJCIS 2013_CFP

1. 날 짜 : 2013년 7월 25- 26일
2. 장 소 : 한국과학기술회관
3. 일 정 : Submission Deadline : April 10, 2013
            
Acceptance Notice : May 22, 2013 
             
Camera Ready Due : June 5, 2013
            
Conference Data : July 25-26, 2013


TTAK.KO-10.0593. 국가최상위도메인 보안강화를 위한 DNS 보안 위임레코드 등록 EPP(Extensible Provisioning Protocol)

표준번호 : TTAK.KO-10.0593

국문 : 국가최상위도메인 보안강화를 위한 DNS 보안 위임레코드 등록 EPP(Extensible Provisioning Protocol)
영문 : EPP for DNS Security Delegation Record of ccTLD Registration

본 표준은 국가 도메인(ccTLD, country code Top Level Domain) 의 DNSSEC 적용을 위해 필요한 정보를 통신하기 위한 확장성 권한 설정 프로토콜(EPP) 통신 형식을 정의한다.

[TTAK.KO-10.0593 표준 다운로드]

새로운 진용으로 출발하는 ITU-T 연구반 17의 정보보호 국제 표준화

국제전기통신연합 전기통신부문에서 정보보호에 대한 표준화를 담당하고 있는 연구반 17은 이번 연구회기(2013-2016)를 위한 새로운 진용을 UAE 두바이에서 지난 11 20일에서 29일까지 열린 국제전기통신연합 세계표준화총회 회의에서 확정한 바 있다. 또한, 2013 4월 스위스 제네바에서 열릴 첫 번째 연구반 17회의에서는 이를 위한 작업반 의장을 선정하고, 지능형 교통시스템과 클라우드 컴퓨팅 보안 등의 신규 보안 이슈에 대한 국제 표준화 추진 방법과 연구반의 역할에 대한 논의를 심도 깊게 수행할 것으로 예측되고 있다. 본 고에서는 정보보호관련 국제표준 추진 방향을 확정한 세계표준화총회의 주요 이슈에 대한 논쟁 사항과 합의 사항을 중심으로 기술하며, 세계표준총회 이후 이뤄진 사후 조치 활동을 중심으로 설명한다.

주요 이슈 및 논쟁사항
지난 11월에 개최된 표준화총회에서는 이번 연구회기(2013-2016)에서 정보보호 표준화를 추진하기 위한 연구반 17(정보보호) 12개의 연구과제(Question)를 확정했고, 연구반 17과 관련된 주요 보안 관련 결의의 수정안을 마련했으며, 클라우드 컴퓨팅 보안 관련 작업 할당 등의 주요 이슈가 다뤄졌다.
먼저 다음 연구회기를 위한 연구반 17의 의장단이 선정되었으며, 의장으로는 러시아의 Arcadiy Kremer가 부의장으로 한국(염흥열), 일본, 중국, 브라질, 터키, 우간다, 수단, UAE, 멕시코 등의 9명의 부의장이 임명되었다. 이번 총회에서 승인된 연구반 17의 연구과제는 통신망/ICT 보안 조정활동(연구과제 A/17), 보안 구조 및 프레임워크(연구과제 B/17), 통신부문 정보보호관리체계(연구과제 C/17), 사이버보안(연구과제 D/17), 스팸 기술적 대응(연구과제 E/17), 유비쿼터스 통신서비스 보안(연구과제 F/17), 안전한 응용 서비스(연구과제 G/17), 클라우드 컴퓨팅 보안(연구과제 H/17), 텔리바이오메트릭(연구과제 I/17), 아이덴티티 관리 구조 및 메카니즘(연구과제 J/17), 안전한 응용을 지원하기 위한 일반 기술(연구과제 R/17), 그리고 소프트웨어 및 시험을 위한 공식 언어(연구과제 S/17) 등이며, 이를 통해 이번 연구회기 동안 클라우드 컴퓨팅 보안, 사이버보안, 스마트폰 보안, 스마트 그리드 보안, 지능형 교통시스템 보안, 아이덴티티 관리 및 프라이버시 기술, 공개키기반구조, ASN.1 언어에 대한 국제 표준을 개발할 것으로 예상된다. 또한, 세계표준총회 이후 12개의 연구과제를 5개의 작업반(working party) 으로 그룹핑하기로 의장단 회의를 통해 확정해 최종 4월 회의에서 승인할 예정이다. 필자는 클라우드 컴퓨팅 보안과 아이덴티티 관리 및 프라이버시를 책임지는 연구과제로 구성되는 작업반 3의 의장으로 추대되고 있다.
세계표준총회에서는 연구반 17의 이번 연구회기 주요 추진 방향을 결정할 결의 50(사이버보안), 결의 52(스팸의 기술적 대응), 그리고 결의 58(개도국 컴퓨터 침해사고 대응조직 신설 장려) 등 정보보호 관련 결의에 대한 수정안이 마련되었다. 결의 50(사이버 보안)의 수정안 마련을 위해, 미주(CITEL)지역, 유럽(CEPT)지역, 러시아, 한국, 아랍 지역으로부터의 제출된 기고서를 바탕으로 논의가 수행되었다. 러시아(UAE, 수단, 이란 지지)는 지난 연구기간(2009-2012) 동안 러시아 주도로 채택된 ITU-T X-시리즈 권고의 부속서(Supplement) 15에서 언급된 개도국을 위한 국가 사이버보안 센터에 관한 사항을 결의 50의 인식(noting) 항목에 넣자고 제안했으나, 미국, 영국, 캐나다 등 많은 회원국들이 특정 부속서 15(Supplement 15)만을 결의에서 언급하는 것은 부적절하다고 지적해모든 X-시리즈 권고와 부속서를 포함해 작업이 연구반 17에서 완료되었고, 국가 IP 기반 공공네트워크 사이버보안 센터가 이에 속한다라는 것을 문구를 인식(noting) 항목에 넣기로 합의했다. 또한, 한국(염흥열) 제안으로, 클라우드 컴퓨팅 보안, 스마트 그리드, 지능형 교통 시스템 등을 위한 신규 보안 이슈에 대한 국제표준을 개발할 것을 결의(resolve) 항목에 포함시키기로 했고, 글로벌 정보통신 환경에서 사이버 침해 사고를 협력적으로 대응하기 위한 국가적, 역내, 국가 간에 조정된 활동이 필요하다는 문구를 고려(considering) 항목에 포함하기로 했으며, 이를 위해 ITU-T가 역할을 해야 한다는 것과 컴퓨터 침해대응조직 간 사이버 정보교환을 촉진하게 하는 권고 X.1500를 활용해야 한다는 제안을 추가 고려(further considering) 항목의 추가하기로 합의했다.
또한, 결의 52(스팸의 기술적 대응)의 수정안이 마련되었고, 브라질로부터 스팸의 정의에 관한 제안의 경우스팸은 다양한 정의가 존재한다라는 문구를 넣기로 합의되었고, 아랍연합은 스팸 통계에 대한 질의서를 회원국에 보내 이 결과를 회원국에 공개해야 한다고 제안했으며, “스팸의 통계와 유형, 근원지를 알기 위해 ITU에 설문지를 작성해 보내는 것을 요청하도록 합의했다. 한국은 ad hoc 회의에 참여해 스팸의 종류가 이메일, SMS 스팸, 그리고 멀티미디어 스팸이 있음을 고려해 설문 항목에 이를 고려해야 한다고 요청해 반영되었다.
결의 58(개도국 컴퓨터 침해사고 대응팀(CIRT) 설치 장려)의 수정안이 마련되었으며, 브라질은 기고서에서 연구반 17에서 ITU-T X-시리즈 부속서 15에서 언급된국가 사이버보안센터의 설립을 지원하는 문구를 인식(noting) 항목에 포함할 것을 제안했으나, 미국, 영국 등이 부속서 15 만을 인용하는 것에 반대해서개도국을 위한 국가 CERT 영역에서 연구반 17의 작업이라는 문구를 넣는 것으로 합의했다.
또한, 미국은 클라우드 컴퓨팅 보안 관련 연구 작업을 연구반 13과 연구반 17 간에 일반 보안 이슈와 클라우드 컴퓨팅 특정 이슈로 각각 구분해서 표준화를 추진해야 한다고 제안했고, 러시아는 모든 클라우드 보안 관련 표준화 작업은 연구반 17에서 개발되어야 한다고 주장했다. 오랜 토의 후, 두 연구반 간에 역할은 다음 전기통신자문회의까지 결정이 미뤄졌으며, 이를 위한 합의는 다음과 같다: 클라우드 컴퓨팅 보안 관련 작업은 연구반 17과 연구반 13이 협력해 적절한 작업 영역을 찾아야 하며, 두 연구반은 결과를 2013 6월 전기통신표준자문반(TSAG) 회의에 보고해야 하며, 이를 위해 두 연구반은 2013 2월 연구반 13 회의와 4월 연구반 17 회의를 이용해 방안 마련을 협력해야 하며, 2013 6월 전기통신자문반 회의는 합의로 두 연구반 간의 최종 역할을 결정해야 한다고 합의했다. 또한, 전기통신표준자문반이 합의로 이를 결정하기 전까지는 두 연구과제가 기존 연구과제 텍스트을 기반으로 작업을 수행해야 한다고 합의했다. 세계표준총회 이후, 연구반 17에서는 이를 위한 태스크포스를 구성해서 연구반 13과의 연구협력 방안을 모색하고 있고, 연구반 13도 지난 2월 연구반 13 회의에서 연구반 17의 연구과제 8과 협력 회의를 통해 협력 방안을 이번 2월 연구반 13회의에서 모색하고 있다.
SG 17 리드 연구반 이름과 관련해, 미국은 리드 연구반 이름으로통신 보안에 대한 리드 연구반을 주장했고, 한국을 포함한 많은 국가들이 단순히보안에 대한 리드 연구반을 주장해보안에 대한 리드 연구반으로 최종적으로 합의했다. 한편, 일부 국가는 리드 연구반 이름에 ‘ICT(Information and communication technology)’를 넣는 것은 국제전기통신연합 이사회 용어 정의 작업반에서 ICT 라는 용어가 정의되고 있으므로 이의 리드 연구반 이름에 삽입하는 것에 반대한 바 있다.

향후 추진 전망
지난 세계표준화총회에서는 정보보호 표준화를 위한 다음 연구회기의 주요 추진 방향이 결정되었고, 연구반 17과 연구반 13 간의 클라우드 컴퓨팅 보안 관련 역할의 할당에 대한 이슈를 다뤘으며, 세계표준총회 이후 연구반 17과 연구반 13 간의 협력 회의를 통해 역할 분배 방안이 마련되어 6월 전기통신연합 통신부문 통신자문그룹에서 최종 역할이 확정될 것으로 기대된다.

출처: http://www.tta.or.kr/data/weekly_view.jsp?news_id=3938

2013년 3월 15일 금요일

[채용 공고] IBM GTS SD Security Specialist

OWASP 코리아 챕터 제2기 운영진 모집 안내(3월 29일까지)

안녕하십니까?

한국 OWASP 챕터에서는 다음과 같이 제2기 운영진을 모집합니다. 관심있는 분들의 많은 참여를 바랍니다. 지원은 첨부문서 참조 바랍니다.

감사합니다.

한국OWASP 챕터
---------------------------------------------------------------------------------------
< OWASP 코리아 챕터 운영진 공모 안내 >

1. 공모포지션: 아래 각 분과에 대한 이사 1명과 팀장 1명 (총14명)
  o 프로젝트 분과: OWASP프로젝트 주관(도구개발, 문서개발), 관리 및 OWASP 프로젝트 결과물 보급
  o 회원 분과: 회원 관리 및 확대, 관리를 위한 정책, 절차, 전략 수립
  o 교육 분과: 교육 서비스 기획, OWASP 교육을 산업계, 정부, 학계에 교육 서비스 제공
  o 컨퍼런스 분과: 국내외 컨퍼런스 장소, 시기, 발표자, 주제 등 컨퍼런스 기획, 주관
  o 챕터 분과: 챕터조직 전체 관리(자금 관리, 회의 일정 관리, 챕터 마케팅, 챕터 설립/관리 등)
  o 산업분과: 산업계에 소프트웨어 보안 베스트 프랙티스를 활용하도록 인식확산, 진흥 및 다른 기관과의 제휴
  o 홍보 분과: OWASP 커뮤니티 간 연락/관계 구축, OWASP 기구, 행사, 프로젝트 홍보, 뉴스레터 발송, SNS 활동

2. 직책 역할
  o 이사 직: 이사는 각 분과 및 업무대해서 책임을 지고, OWASP 한국 챕터 이사회 멤버임
  o 팀장 직: 분과 이사를 지원하며 각 분과의 업무를 진행함

3. 지원자격:
  o OWASP 회원(필수) ※ 회원이 아니신 분은 먼저 회원으로 가입하시기 바랍니다. 회원은 owasp.org에서 글로벌 회원으로 가입이 가능합니다. 국내회원은 별도 문의 바랍니다.
  o 이사직은 관련 업무경력 10년 이상이며, 팀장직은 관련 업무경력 5년 이상입니다.
  o 각 공모직에 대해서 소프트웨어 개발, 웹, 정보보호뿐만 아니라, 디자인, 마케팅, 법무, 회계 등 모든 분야의 경력자가 지원 가능합니다. 또한 능력있는 여성분들의 많은 지원을 바랍니다.
  o 활동사항: 월1회 챕터 회의 참가 및 각종 챕터 내부 및 외부 업무에 참여
  o 활동이점: 회사의 가치를 높힐 수 있으며, 개인에게는 다양한 경험을 가질 수 있습니다. 또한 국내외에서 OWASP 코리아를 대표하여 회의 참석, 기술 발표 등의 활동을 할 수 있습니다.
  o임기: 2013년 4월 10일 ~ 2015년 4월 9일 (만2년)
  o 보수: 보수는 없으며 자원봉사직으로 활동합니다.
  o 연락 및 제출 처: 다음 페이지 지원양식을 작성하셔서 yune.sung@owasp.org , chmrjsm@gmail.com 로 제출 바랍니다.
  o 제출마감일: 2013년 3월 29일, 18시까지
  o 결과발표: 개별 인터뷰 또는 전체 미팅 등을 통해서 결정되며 결과는 개별적으로 통보됩니다.

붙임. 2기 운영지 모집 안내 및 지원양식 다운로드

https://www.asuswebstorage.com/navigate/s/BF7E43777BC4449C9D3A792A965D8A1DY

사물인터넷(IoT), 개인정보보호 이슈가 주요 걸림돌

국제전기전자기술자협회(IEEE)1,200명 이상의 페이스북 회원 중 통신 분야
      기술직 종사자들을 대상으로 사물인터넷(Internet of Things, IoT)의 주요
      이슈에 관한 설문 조사 결과를 발표(2013.2.26.)
  - 커넥티드 디바이스는 업무 목적의 활용이 가장 보편적이며, 개인정보보호 이슈
       해결이 시장 확대의 주요 관건



주요 내용

커넥티드 디바이스(Connected Device)에 관한 정의

o 커넥티드 디바이스는 인터넷과 직접 연결된 기기뿐만 아니라 매개체를 통한
     간접 연결 기기까지 포함하는 것으로 일반적으로 인식
  - 스마트폰이나 노트북과 같은 직접적인 인터넷 접속 기기 이외에도 블루투스를
       통해 휴대폰에 연결되는 손목시계와 같이 간접적인 인터넷 연결 디바이스도
       포함해야 한다는 응답자가 70%로 압도적인 비율

커넥티드 디바이스는 놀이보다는 업무용

o 65%의 응답자들이 업무 생산성 개선에 커넥티드 디바이스를 활용하는데 가장 큰
     관심
  - 이외, 가정(14%), 통근(12%), 건강(9%) 등의 목적으로 커넥티드 디바이스를
       활용하는 것에는 상대적으로 낮은 관심도

IoT 확산, 보안성 확보가 가장 큰 이슈

o 위치 및 건강 등의 개인정보를 모니터링하는 커넥티드 디바이스 활용에 대한
     의견으로는 전혀 문제 되지 않거나 별 문제 없다는 응답이 83%

o 한편, 디바이스와 데이터가 보다 밀접하게 연계됨에 따라 개인정보 보호 필요성
     증대

o IoT 기술 개발 초기 단계에서 개인정보 및 데이터는 손쉬운 해킹의 타깃
  - 특히 의료 등 민감한 개인 정보를 다루는 분야일수록 프라이버시 이슈가 IoT
       보급에 핵심적인 사안
  - 이와 관련, 커넥티드 디바이스의 광범위한 채택에 가장 큰 걸림돌로는 개인정보
       보호(46%), 데이터 보안(39%), 배터리 활용(15%) 순으로 응답
 
< 커넥티드 디바이스 개인 보유 현황 >
컴퓨터·스마트폰 외 소유 커넥티드 디바이스 수
보유율
02
61%
35
30%
69
5%
10개 이상
4%


ㆍ출처URL : http://www.ieee.org/about/news/2013/26_february_2_2013.html
ㆍ참고자료 : TechJournal, 2013.3.1., IEEE, 2013.2.26.

* 한글 번역 출처: https://www.itglobal.or.kr//m_board/m_board_view.asp?seq=3574&root_code=30002&c_type=s&board_idx=2&gotopage=1&key_value=&key_ty

Adobe Flash Player 취약점 보안 업데이트 권고

□ 개요
   o Adobe社는 Adobe Flash Player에 영향을 주는 코드실행 취약점을 해결한 보안 업데이트를 발표[1]
   o 낮은 버전의 Adobe Flash Player 사용으로 악성코드 감염 등의 사고가 발생할 수 있으므로 해결방안에 따라
      최신버전으로 업데이트 권고


□ 설명
   o Adobe社는 Adobe Flash Player의 4개 취약점을 해결한 보안 업데이트를 발표[1]
     - 코드실행으로 이어질 수 있는 정수형 오버플로우 취약점 (CVE-2013-0646)
     - 코드실행으로 이어질 수 있는 “use-after-free” 취약점 (CVE-2013-0650)
     - 코드실행으로 이어질 수 있는 메모리 손상 취약점 (CVE-2013-1371)
     - 코드실행으로 이어질 수 있는 힙오버플로우 취약점 (CVE-2013-1375)


□ 해당 시스템
   o 영향 받는 소프트웨어

프로그램동작환경영향받는 버전
Flash Player윈도우, Mac11.6.602.171 및 이전 버전
Flash Player리눅스11.2.202.273 및 이전 버전
Flash Player안드로이드 4.x11.1.115.47 및 이전 버전
Flash Player안드로이드 3.x, 2.x 11.1.111.43 및 이전 버전
Flash Player구글 크롬브라우저11.6.602.171 및 이전 버전
Flash Player윈도우8 - 인터넷익스플로러10 11.6.602.171 및 이전 버전
AIR윈도우, Mac3.6.0.597 및 이전버전
AIR안드로이드3.6.0.597 및 이전버전

□ 해결방안
   o 윈도우, Mac, 리눅스 환경의 Adobe Flash Player 사용자
     - Adobe Flash Player Download Center(
http://get.adobe.com/kr/flashplayer/)에 방문하여
       Adobe Flash Player 최신 버전을 설치하거나, 자동 업데이트를 이용하여 업그레이드
   o 윈도우8 버전에서 동작하는 인터넷익스플로러10 버전 사용자
     - 윈도우 자동업데이트 적용
   o 안드로이드 환경의 Adobe Flash Player 사용자
     - Adobe Flash Player가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속
       → 메뉴 선택 → 내 애플리케이션 선택 → Adobe Flash Player 안드로이드 최신 버전으로 업데이트 하거나
       자동업데이트를 허용하여 업그레이드
   o 구글 크롬브라우저 사용자
     - 크롬브라우저 자동업데이트 적용
   o 윈도우, Mac 환경의 Adobe AIR 사용자
     - Adobe AIR Download Center(
http://get.adobe.com/kr/air/)에 방문하여 Adobe AIR 최신 버전을 설치하거나,
        자동 업데이트를 이용하여 업그레이드
   o Adobe AIR SDK 사용자
     - (
http://www.adobe.com/devnet/air/air-sdk-download.html)에 방문하여 Adobe AIR SDK 최신 버전을 설치
   o 안드로이드 환경의 Adobe AIR 사용자
     - Adobe AIR가 설치된 안드로이드 폰에서 ‘구글 플레이 스토어’ 접속
        → 메뉴 선택 → 내 애플리케이션 선택 → Adobe AIR 안드로이드 최신 버전으로 업데이트 하거나
        자동업데이트를 허용하여 업그레이드


□ 용어 정리
   o Adobe Flash Player : Adobe社에서 개발한 소프트웨어로 웹상에서 멀티미디어 컨텐츠 및 응용 프로그램을
      볼 수 있는 프로그램
   o Adobe AIR(Adobe Integrated Runtime): HTML, JavaScript, Adobe Flash 및 ActionScript를 사용하여
      브라우저의 제약 없이 독립 실행형 모바일 및 데스크탑 웹 애플리케이션을 구축하거나 사용할 수 있는
      환경을 제공하는 도구
   o Use After Free 취약점 : 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 불구하고
      이를 계속 참조(사용)하여 발생하는 취약점


□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1]
http://www.adobe.com/support/security/bulletins/apsb13-09.html

출처: http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=2014

2013년 3월 14일 목요일

OWASP AppSec APAC 2013 컨퍼런스 발표자료 공유

안녕하세요. SecurityPlus입니다.

OWASP AppSec APAC 2013 컨퍼런스 발표자료가올라왔네요.

발표자료를 보길 원하시면, 하기 링크를 클릭해 주시기 바랍니다.

[OWASP AppSec APAC 2013 컨퍼런스 발표자료 보기]

그럼, 공부에 도움 되길 바랍니다.

안녕히 계세요. 

2013년 3월 12일 화요일

(ISC)2 CISSP 한국어 CBT 시험 시작 안내

(ISC)² Certified Information Systems Security Professional (CISSP) 한국어 CBT(Computer Based Testing) 시험을 한국 피어슨 프로페셔널 센터에서 지정된 시험 날짜들을 통해 시작할 있게 점을 알려 드리게 되어 매우 기쁘게 생각하고 있습니다. CISSP 한국어 CBT 시험은 2013 326일이 예정이며, 시험 등록은 20133 14, 목요일부터 시작될 예정입니다주위의 동료, 친구 그리고 지인들 CISSP 한국어 CBT시험 관심이 있는 분들과 소식을 함께 주십시오.

한국은 아시아-태평양 지역 최대 CISSP수를 보유하고 있으며, CISSP 한국어 CBT 시험의 시작과 더불어 보다 많은 국내 전문가들이 국제적인 인증의 지표인 CISSP 거듭날 있을 것입니다. 뿐만 아니라, 저희 (ISC)² (ISC)² 한국 협회(http://www.cisspkorea.or.kr/cissp/) 협력하여 국내 기존 회원님들께 특화된 서비스와 보다 다양한 CPE 활동 기회를 드리고자 노력하고 있습니다. (ISC)² 주관하는 모든 자격증 시험은 전세계 지정된 피어슨 테스트 센터를 통해 CBT 형태로 응시할 있습니다.

자격증 혜택 또는 자격증 취득 절차에 대한 보다 자세한 사항은 https://www.isc2.org/credentials/default.aspx 에서 확인하실 있으며, 지원자들은 원하시는 모든 (ISC)² 자격 시험에  응시 등록을 하실 있습니다. 시험 등록을 위해서는, 모든 지원자들은 반드시 http://www.pearsonvue.com/isc2/ 또는 https://www2.pearsonvue.com/testtaker/signin/SignInPage/ISC2 통해 온라인 접수하거나, 피어슨 고객센터(한국) 0807-600-880 전화해서 등록하실 있습니다.