티스토리 블로그 사용자로서 스팸 댓글에 한번쯤 곤혹을 치르지 않는 분이 없을 것입니다. 한꺼번에 수십개에서 수백개까지 올라오는 경우도 있어서난감한 경우가 많았습니다.

티스토리에서 플로그 인 형태로 제공하고 있네요..적용한지 얼마 되지 않은듯 합니다.

이제는 댓글을 위해서는 캡차 같은 방식으로 인위적으로 문자열을 넣어 주어야 하니 스팸 댓글이 많이 줄어 들듯 합니다. 최근에는 댓글도 구글로 번역해서 올리는지 한국말로 아주 교묘하게 올려서 실제 댓글인지 아닌지 구분을 하기 어렵더군요..

댓글 다시는 분들에게는 조금 번거로울수 있으나 운영의 효율성을 위해서 양해 해 주시겠지요 ^^ 최근에는블로그에도 뜸하다보니 댓글 다시는 분도 별로 없으시네요..

앞으로 블로그에 애정과 사랑을 많이 주어야 겠습니다. ^^ 티스토리 사용하시는 분들은 즉시 적용해 보세요. 활성화만 시키면 되닊 그리 어렵지 않겠네요. 블로그를 통하여 자주 찾아 뵙겠습니다. 건승 !!!

며칠전 모 언론에서 한국호스트웨이가 부산에 클라우딩 데이터센터 건립을 검토중이라는 기사가 보도 되었습니다. 최근 부산에 데이터센터 건립에 대한 관심이 많은데요..왜 그럴까요?

원본기사 : http://www.etnews.com/news/computing/informatization/2636243_1475.html 

1. KT-소프트뱅크

이미 작년에 통신사 KT와 일본 소프트뱅크와 합작하여 김해에 데이터센터를 건립하여 운영중에 있습니다. 작년 12월에 개관하였는데요..

KT-소프트뱅크, 김해 글로벌데이터센터 개관

http://www.ittoday.co.kr/news/articleView.html?idxno=23621

2. 부산시와 LG CNS

LG CNS가 오는 12월 완공 예정으로 건축 LG CNS가 오는 12월 완공 예정으로 건축 중인 부산 글로벌 클라우드 데이터센터를 국내 최고 면진 전문가들인 대한건축학회 교수단이 견학했다.

24일 LG CNS(대표 김대훈)는 대한건축학회(회장 서치호)가 부산시 미음지구 LG CNS 부산데이터센터 건축현장을 방문, 시공 중인 면진설비를 견학했다고 밝혔다.

이번 방문에는 대한건축학회 면진기술위원회 소속 김형준 교수(서울시립대 건축공학과)를 비롯해 교수들을 주축으로 한 대한건축학회 면진ㆍ제진기술위원 6명이 참석했다.

부산시와 LG CNC가 부산진행경제자유구역 미음단지에 들어설 글로벌 클라우드 데이터센터 허브 구축을 위한 투자양해각서를 체결했습니다.
'글로벌 클라우드 데이터센터 허브'는 미음단지 안에 3만 8천㎡ 부지에 연면적 13만 3천㎡의 국내 최대 규모로 조성될 예정입니다. 
사업이 완료되면 서버 7만 2천 대를 운영할 수 있는 초대형 데이터센터가 들어서게 돼 IT 산업 전반에 경제적 파급 효과가 클 것으로 기대되고 있습니다.

관련기사 : http://mbn.mk.co.kr/pages/news/newsView.php?category=mbn00009&news_seq_no=1077564 

이와 관련하여 부울경에 있는 관련업계도 분주하게 움직이고 있습니다. 즉, '부산클라우드 포럼' 협의체를 결성하고 세미나등을 열고 있습니다.

"부산을 클라우드 메카로" 200여 기업 참여 클라우드포럼 출범

http://www.etnews.com/news/computing/informatization/2633566_1475.html

3. 한국호스트웨이 부산 클라우드데이터센터 건립 검토

최근 몇일전에는 한국호스트웨이에서 부산에 CDC센터를 건립검토중이라는 보도가 나왔습니다. 

한국호스트웨이, 부산에 1만평 규모 `글로벌 클라우드데이터센터` 설립

http://www.etnews.com/news/computing/informatization/2636243_1475.html 

4. 왜 데이터센터를 부산에 건립하려는 이유는 무엇일까요?

개인적으로 분석한 것이라 주관적인 경향이 있음을 양해 부탁드립니다. 그 이유는 우선 약 3가지 정도로 정리를 해 볼수 있을 것입니다. 

• 클라우드 트렌드반영 - 기존에 인터넷데이터 센터 개념에서 최근 클라우드 트렌드를 반영하여 클라우드데이터 센터를 고려 하게 된 것이지요. 이제는 초기 자본이 많이 투입이 되는 고정된 비용보다는 유틸리티 개념으로 사용한 만큼 비용을 지불하겠다는 쪽으로 기술과 서비스가 발전해 가고 있기 때문입니다. 그런 이유로 정부에서도 클라우드에 관련된 정책을 집행하고 최근에는 '클라우드법'이 방통위를 통하여 입법 예고가 되어 있습니다.
• 지리적 여건, 수도권과밀성 탈피 - 지정학적으로 부산은 제2의 도시이며, 인근 해외 허브 역할로서 중국과 일본이 근접해 있습니다. 특히 최근 일본은 자주 발생하는 지진등으로 인하여 인근 지역인 부산에 많은 관심을 가지고 있는 것이 사실입니다. 물론 최근에는 국제적인 이슈때문(독도분쟁)에 어떻게 될지 모르지만 수도권 과밀성을 탈피하여 대전 이남지역으로 위치가 부산이 최적이라 하겠습니다. 
• 지방자치단체의 전폭적인 지지 - 대부분 지방자치단체에 어떠한 사업을 유치하려면 해딩 로컬에 여러가지 혜택이 주어지게 됩니다. 아직 세부적인 사항은 잘 모르지만 제주자치도만 하더라도 포털 다음이 제주도에 있음으로 인하여 고용창출효과가 있기 때문입니다. 여러가지 세제혜택등을 통하여 지자체에서도 유치 노력을 해야합니다. 아마도 LG CNS와 MOU체결에도 여러가지 인센티브들이 있지 않을까 생각이 됩니다.
• 업계의 노력과 시장잠재 가능성 - 무엇보다 시장성이 있지 않으면 아무도 관심을 가지지 않겠지요. 그 클라우드나 데이터센터에 대한 잠재적인 시장성으로 부산을 관심을 가지고 있지 않는가 하는 생각을 해 봅니다.

2013년 정보보안기사 자격증 출제기준이 공개 되었습니다. 한가지 우려스러운 점은 난이도 조절에 실패하게 되면 허수가 발생하게 되고 진정한 국가 안보를 책임질 수 있는 기준 조건이 될 수 없을 것입니다.

기존 국가공인 정보보호전문가(SIS)자격증이 국가기술자격증으로 승격된 만큼 (물론 시험이 치러져 봐야 알겠지만 출제기준상으로 봤을때 대동소이) 그 신뢰성이 무너져서는 안될 것입니다.

  아마도 SIS보다는 그 난이도 부분에 있어서는 조금 낮아지지 않을까 하는 예상이 됩니다. 그 이유로는 과거 SIS시험응시생수가 왜 이렇게 낮은가에 대한 감사에서 많은 지적이 있었기 때문입니다. 너무 어렵게 출제 된다고.

하지만 개인적 관점에서는 자격증은 말 그대로 희귀성이 있을때 그 가치가 있는 것이라 생각이 됩니다. 특히 정보보호에 대한 지식을 평가하는 의미에서는 더욱 그렇습니다. 따라서 기존 SIS 자격증을 취득한 사람은 시험이 어려운 가운데에서도 나름 자부심을 가지고 있었더랬습니다. 

앞으로 내년 정보보안기사 / 산업기사 진행이 된다면 기존 SIS 유 자격자에 대한 문제도 다시 수면위로 떠 오를듯 합니다. 과연 기존 유 자격자들을 그대로 국가기술자격으로 승격해 줄 것인지, 아니면 시험을 일부 면제 해 줄 것인지.,

또는 시험비를 일부 지원 해 줄 것인지등..여러가지 방법들이 있을텐데요.

어려운 시험과 기존 시험의 형평성을 고려해 볼때 , 인원이 그리 많지 않기 때문에 보수교육 이수후에는 그대로 승계하는 방안도 검토 해 보았으면 하는 바램이 듭니다.  보다 자세한 내용들은 국내 최대 보안커뮤니티 보안인닷컴 등에서 논의가 될듯 합니다. 감사합니다. @엔시스.

큐넷에서 공개한 출제기준 원본 파일 첨부 합니다.  아래 첨부파일을 클릭하면 다운로드 가능합니다. 

관련 포스팅 :  정보보안기사, 산업기사 응시할때 SIS 유자격자는 필기시험 면제

정보보안기사(2013~2016).hwp

오늘 모 일간지에 인터넷 유형에 대한 5가지 모형이 제시가 공감을 불러 일으키고 있다. 혹시 여러분들은 어떠한 유형에 해당이 되시나요? 혹은 공감가는 유형이 있는지요?

1. 웹서핑형 

말 그대로 의미 없는 웹서핑만 하는 유형을 말한다. 이는 가십거리나 낚시성 제목으로 이리 저리 떠 다니면서 일정한 시간을 허비하게 되는 유형이다.

2, 관계집착형

최근 SNS 유행으로 인하여 자고 일어나면 트위터나 페이스북에 먼저 접속하듯이 가상세계인 사이버세계의 관계형성에 집작하는 부류를 말한다. 아마도 대다수 스마트폰을 사용한다면 카톡등 이에 해당하지 않을까 생각한다. 필자도 카페나 SNS을 사용하기 때문에 아마도 이에 대한 시간 소비가 있음을 인정해 본다.

3. 게임형

게임을 좋아하는 사람이라면 디아블로3 등 다양한 게임을 즐기는 유형으로 롤플레이 게임에 중독되는 유형을 말한다. 게임은 중독성이 강해 한번 빠지게 되면 헤어나지 못하는 일상 생활에도 지장을 줄 정도로 심각한 문제이다. 아이들도 어려서부터 너무 스마트폰만 만지작 거리게 하면 저절도 환경에 노출이 되어 중독으로 보내지는 것이 아닌가 생각해 본다. 어린 자녀를 둔 엄마들은 조심해야 한다.

4. 정보수집형

업무나 학업을 위하여 정보를 수집하는 유형으로 대다수 인터넷 사용 목적이 이 경우에 해당이 된다. 하지만 어찌보면 정보수집은 합리화에 일환이고 자신도 모르게 관계집착형으로 간다든지 아니면 게임형으로 전환될 우려가 있다. 처음에는 정보수집 목적으로 접근을 하지만 결과론적으로는 다른 곳에 위치하고 있는 자신을 발견하면 중독형이라 볼수 있겠다. 정보수집이면 딱 정보수집으로 인터넷 활용이 바람직 하겠다. 

5. 사이버섹스형

사실 이러한 유형에는 별로 공감하고 싶지 않지만 연구결과에 많은 부분을 차지 하고 있는가보다. 

스마트폰과 테블릿PC 그리고 초고속인터넷의 보급으로 인하여 다양한 정보의 홍수속에 빠져 살고 있다. 자칫 너무 많은 시간을 한곳에 할애하다보면 자신도 모르게 중독이 되는 현상이 발생이 된다. 인터넷을 잘 활용하면 득이 되지만 잘못 활용시에는 독이 된다는 사실을 기억을 해야 한다.

특히 어린 자녀를 두고 있는 부모님들은 아이들에게 이러한 자연스러운 인터넷 환경 노출에 대하여 나름대로 컨트롤 할 필요가 있다. 최근 언론 지면을 메우고 있는 성관련 범죄나 사이버 폭력성 게임에 많은 노출이 되다보니 현실과 가상세계를 구분하지 못하는 정신적 질환이 발생이 되어 사회적 문제가 되는 사례가 많다. 인터넷 적당히 하고 중독 가능성이 있으면 자제 할 줄 아는 심적 힐링이 필요하다. 필자도 온라인에서 어려가지 친목 운영 카페등을 운여하다보니 자연스럽게 2번과 같은 중독 증상을 보이는 경우가 있었는데 이때에는 독서를 통하여 마음을 다스리고 힐링을 하고 있다. 책 읽기는 습관이며 자신의 마음을 다스릴수 있는 가장 좋은 수단이다. @엔시스.

1. 정보통신망법 개정 시행 -8월 18일

                                          사진출처: http://www.i-privacy.kr/jsp/user/private/consulting.jsp

개정안 법률을 보면 위 그림에 있는 것이 핵심 내용이다. 관련된 내용에 대하서는 아래 기사를 자세히 읽어 보면 도움이 될 것이다.

http://www.boannews.com/media/view.asp?idx=32538&kind=1 

이제는 가지고 있던 주민등록번호도 2년 이내에 폐기해야 하며, 개인정보 유효기간제로 인하여 3년동안 로그인이 없는 계정은 삭제처리 할 수 있다.  또한 개인정보 100만명 이상 사이트에 대해서는 개인정보 이용내역을 통지해 주어야 한다. 

그 다음 정보보호 사전점검 정보보호 최고 책임자를 지정하여 보안 담당자에게만 책임을 묻던 것을 책임자 지정으로 부담을 함께 지게 되었다. 조금은 업무에 탄력을 받을 듯 하다.

또한 , 안전진단 폐지로 정보보호관리체계가 안전진단 의무 업체는 isms 인증심사를 받아야만 한다. (2013.2.18일부터)..

주민등록번호 수집과 불가에 대한 기사내용입니다.

http://www.dailysecu.com/news_view.php?article_id=2759  참고 하세요.

이러한 변화점을 직시하고 각 관련된 업무를 하는 담당자분들은 피해가 없길 바란다. 아마도 일부 호스팅 하거나 영세 업체등에서는 과연 얼마나 알고 있을지 의문시 된다.

정부에서 대대적인 홍보와 교육,.그리고 인식제고를 해 주면 좋겠다라는 생각이 드네요...아무튼 이 블로그 포스팅을 보는 분들은 참고 하여 주민등록번호 수집 원칙적 금지에 대한 내용을 숙지 하면 좋겠군요...즐거운 주말 보내세요.

다시 한번 강조합니다. 이젠 주민등록번호 원칙적 수집금지입니다.   

안녕하세요., 엔시스입니다. 최근 개인정보보호에 대하여 다양한 연구를 하다보니 법,제도에서부터 기술적인 부분까지 공부하게 됩니다. 그래서 더욱 이 분야가 어렵고 포괄적이지 않은가 하는 생각을 해 봅니다.

1. 리눅스 시스템의 비밀번호 방식은 MD5 해쉬함수

작년에 모 포털사 개인정보 유출시 3500만건인데 비밀번호가 유출이 되었는데 암호화 부문이 관건이었습니다. 현재는 소송에서 1심에서 승소판결을 구미에 변호사분 한분이 이끌어 냈으며, 2심이 진행되고 있습니다. 이때 핵심은 비밀번호 암호화 방식일 것입니다. MD5는 과연 안전한가?

우리가 기본적으로 리눅스 시스템을 설치하게 되면 MD5로 된 알고리즘으로 비밀번호가 저장이 됩니다. 

                                        [그림 -1] 리눅스에서 사용하고 있는 알고리즘 알아보기

위 [그림-1]에서와 같이 패스워드 알고리즘은 MD5로 나타내고 있습니다. 하지만 MD5는 암호 알고리즘이기 보다는 해쉬함수입니다. 

그럼 해쉬함수가 무엇인지 알아 볼까요?

하지만 MD5는 컴퓨팅 파워의 증가로 인하여  꺠어진다는 것이 증명이 되었습니다. 위험하다는 것이죠. 

만약, 기본값인 MD5로 개인정보인 비밀번호를 그대로 놔 두었고 그것이 유출되었다면 과연 안전할까요? 아마도 크랙하면 충분히 비밀번호를 크랙 할 수있을 것입니다. 

2. MD5보다 더 강력한 SHA-512로 변경하려면 

그럼 기본값이 MD5를 간단하게 조금 강력한 SHA-512로 변경 할 수있을까요? 네..가능하기 떄문에 포스팅 하는 것이겠지요.

                                     [그림-2] SHA-512 함수로 변경 하는 방법

간단한 명령어 몇줄이면 변경 할수 있는 방법이 있습니다. 위 그림-2 의 방법대로 명령어를 치면 됩니다. 그리고나서 다시한번 패스워드 알고리즘을 살펴 보면 변경 된 것을 알수 있습니다. 가장 합리적인 방법으로 개인정보를 수집하는 방법은 타인의 아이디와 패스워드를 힉득하여 로그인 절차를 거쳐서 개인정보를 수집하는 것이겠지요.

따라서 , 리눅스에서 제공하는 기본적인 패스워드 알고리즘 방법으로는 안전하다 할수없으므로 관리자는 조금 더 신경을 기울여 위와 같은 작업을 해 주면 혹시나 모를 비밀번호 유출에도 안전하게 대처하는 방법이 될 것입니다. 개인정보보호하니까 무조건 솔루션 도입만 생각하기 보다는 우선 처리할 수 있는 다양한 계층적 방어막을 사용하는 것이 바람직한 보안이라 할 것입니다.  이중 삼중으로 철처한 보안을 하는 것이지요. 이는 추후 개인정보 유출시 개인정보처리자의 입증책임에도 관련이 될 것입니다.

3. 일반 계정 사용자는 어떻게 적용시킬까?

시스템 전반적인 것은 MD5 -> SHA-512로 변경을 해 놓았지만 현재 각 일반 유저들이 사용하는 패스워드는 여전히 MD5 형태로 저장이 되어 있습니다. 이러한 일반 사용자들 비밀번호를 사용자가 변경 하도록 유도를 하여야 합니다. 다음은 그 방법입니다. 

                              [그림 -3] 일반사용자에게 강제적인 비밀번호변경 하게 하는 방법

위 그림-3과 같이 명령어 한줄이면 아래 그림-4와 같이 다음 로그인 접속시에 강제적으로 패스워드를 변경하게끔 할수있습니다.  유용한 방법이겠지요..다만 계정 마다 일일이 명령을 내려 주어야 해서 수많은 계정을 관리할때에는 수작업이 필요하겠습니다. 아니면 스크립트를 만들어서 사용하면 조금 더 편리하게 작업 할 수있겠지요.

                    [그림-4] 일바 사용자 계정으로 로그인시 강제적인 패스워드 변경메세지

결론 

개인정보를 보호하는 연구를 지속적으로 하면서 운영체제와 시스템에서 하나씩 방법을 찾아 차곡차곡 쌓아간다면 굳이 많은 비용을 들이지 않더라도 보호조치가 되지 않을까 생각해 봅니다. 위 포스팅은 그 일부분에 지나지 않겠지만 우리가 모르는 또 다른 방법이 존재 한다면 그것을 연구하고 조직과 기업에 적용하여 고객의 정보를 안전하게 보호하는 것이 사회적책임을 다하는 길이라 생각이 듭니다. 중소기업이라고 무조건 우리는 돈도 없고 인력도 없고 안되는 방법만 부정적인 생각만 하는 것이 아닌 될수 있는 방법을 생각해 보면 하나두개씩 나오게 마련이겠지요. 혹자는 이런거 하나가지고 호들갑이냐고 이야기 하겠지만 아는 만큼 보인다라는 말이 있습니다. 지식은 쌓이고 쌓여서 바로 커다란 통찰력을 가져 오는 것이지요. 기술적 보호조치에서 돈 안들이고 할 수있는 방법이 있으면 찾아서 해야 하지 않을까요?  이상 엔시스였습니다. @엔시스.

2012-08-11 10:59

참고 사이트

http://www.cyberciti.biz/faq/rhel-centos-fedora-linux-upgrading-password-hashing/ 

보안인닷컴에서 작년 6월부터 e-매거진을 발행하고 있습니다. 보안에 관련된 여러가지 지식과 인터뷰를 통한 정보를 공유하고 있는데요..이번 14호도 많은 노력을 기울였습니다. 한분 한분 인터뷰 하면서 많은 것을 느끼게 됩니다.

읽어 보시고 좋은 아이디어나 제안 있으면 언제든지 boanin@naver.com 이나 magazine@boanin.com 으로 보내주시면 검토하여 적용토록 하겠습니다. 늘 참여해 주시고 읽어 주시는 분들께 감사드립니다. ^^

아래 첨부파일을 클릭하시면 다운로드 받으실 수 있습니다.

                                                   보안인 e-매거진14호_2012-08_V_1.2.pdf

정보통신망법 하위 고시 제,개정(안)이 행정예고 되었습니다. 관련 업무를 하시는 분들은 한번쯤 살펴 보실 필요가 있겠네요..

핵심적인 내용중에 몇가지입니다.

• 안전진단제도 폐지

• 안전진단의무업체 정보보호관리체계(ISMS) 인증 의무화

• 사전 정보보호제도

• ISMS인증심사원 -> 인증심사원, 선임심사원, 수석심사원으로 명칭변경

자세한 내용은  아래 고시안을 참고 하시면 됩니다.

정보통신망법_하위고시_제개정안.zip

정보통신망법_하위고시_제개정안_행정예고.zip