http://www.keit.re.kr/article.do?psStep=list&bbsCD=itep_data1_bor&shCategoryCD=PD%C0%CC%BD%B4%B8%AE%C6%F7%C6%AE&gbn=04_32

이를 위해 새로운 발주 절차와 규정을 마련하였는데, 좀 더 구체적으로 살펴보면, 우선, 설계와 구현사업자간의 분쟁유발요인(설계서의 하자, 납품지연 책임 등)을 없애고 안정적인 계약이행을 담보하기 위한 ‘소프트웨어용역 계약특수조건’, 요구사항의 명확화와 설계서의 완성도를 높이기 위한 ‘SW사업 개발공정별 표준산출물’, 재작업이나 과업 변경 시 계약금액 조정을 위한 ‘계약금액 조정가이드’ 등을 마련하였으며, 정보화 역량이 부족한 발주기관을 위해 미래부와 조달청의 발주지원 전문가를 전담 배치하여 지원할 예정이다.

미래부와 조달청은 이번 시범사업을 통해 SW사업자간 역할분담, 사업의 효과성 등을 면밀히 검토하고 관련규정 정비 등 SW사업 분할발주 제도를 정착시켜 나갈 계획이다.

송희준 정부3.0 추진위원장은 “SW산업 육성은 창조경제 실현을 위한 핵심 아젠다로서, 미국·일본 등 선진국과 국제기구 등에서 이미 시행되어 검증된 글로벌 표준인 분할발주의 도입으로 우리 SW산업 생태계의 선진화가 이뤄지기를 희망하며 이를 위해 금년부터 정부3.0사업에 분할발주를 도입할 계획이다”라고 밝혔다.

미래부 최재유 차관은 “궁극적으로 분할발주는 ‘SW 중심사회’로 가기 위해 나아가야 할 방향이며, 시범사업의 성공적인 추진을 위해 적극 협력할 것”이라면서, “새로운 발주방식의 도입이 공공SW사업의 체질을 근본적으로 변화시킬 수 있는 돌파구가 되기를 기대한다”고 밝혔다.

김상규 조달청장은 “이번 분할발주 시범사업은 소프트웨어 업계의 숙원인 ‘제값주기’ 실현을 위한 첫 단추를 꿰는 것”이라면서, “눈에 보이지 않는 소프트웨어의 가치가 제대로 인정될 수 있도록 공공SW사업 발주시스템을 혁신하기 위해 가용한 모든 역량을 집중하겠다”고 강조하였다.

초기에는 컴퓨터가 널리 사용되면서 컴퓨터의 디지털 증거를 분석하는 활동이라는 의미로 컴퓨터포렌식이라는 용어를 사용했다. 이어서 단일 컴퓨터 기기를 넘어 사이버 공간의 디지털 증거를 분석한다는 의미로 사이버포렌식이라는 용어를 사용했다. 최근에는 디지털 증거가 남을 수 있는 모든 디지털기기를 대상으로 한다는 의미에서 디지털포렌식이라는 용어가 널리 사용되고 있다.
디지털포렌식의 대상은 데스크탑, 노트북, 라우터, 휴대폰, 네비게이션을 비롯하여 차량용 블랙박스, CCTV, 의학용 전자기기, 스마트 TV, 전자시계, 디지털 도어 등 디지털 흔적이 남을 수 있는 어떤 디지털기기도 포함한다.
 
디지털포렌식은 초기에 사이버범죄를 분석하는데 많이 사용되었지만 최근에는 살인, 강도, 강간, 폭행과 같은 강력범죄를 비롯하여 사기, 명예훼손, 회계부정, 세금포탈, 기업비밀유출 등 거의 모든 사건에 활용되고 있다.

◇디지털포렌식 절차
디지털포렌식은 “디지털기기를 매개체로 하여 발생한 특정 행위의 사실관계를 법정에서 규명하고 증명하기 위한 절차와 방법이다” 라고 정의할 수 있다. 이 문장에서 중요한 단어는 “법정에서”이다.
디지털흔적이 법정에서 디지털 증거로 인정받기 위해서는 증거능력(Admissibility)이 있어야 하는데, 증거능력을 갖추기 위한 많은 요건 중 가장 중요한 것이 초기 수집된 데이터가 법정에 제출될 때까지 변조되지 않아야 한다는 무결성(Integrity)이다. 무결성을 지키기 위해서는 디지털포렌식 절차에 따라 데이터를 수집, 보관, 분석, 제출해야 한다.
 
전통적인 아날로그 증거는 증거를 획득, 보관, 분석, 제출하는 과정에서 변조될 가능성이 크지 않지만, 디지털기기에 남아있는 디지털 증거는 단순히 “0”과 “1”이라는 비트로 존재하고, 저장매체에 따라 자기장, 전기적 방식 등으로 기록되어 있어 증거를 획득, 보관, 분석, 제출하는 과정에서 손쉽게 수정될 수 있다.
 
그렇다면 수집한 데이터가 디지털 증거가 되기 위해 반드시 지켜져야 할 디지털포렌식 절차에 대해 간단히 살펴보자.
 
디지털포렌식 절차는 크게 사전 준비, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성, 이렇게 6단계로 나눌 수 있다. 각 단계에서 무결성을 유지하기 위해 다양한 디지털포렌식 기술이 사용되지만 간단히 각 단계의 역할만 살펴보도록 하자.

사전 준비 단계는 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동이다.

증거 수집 단계는 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 한다. 포장 및 이송 단계는 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않도록 해야 한다.
 
조사 분석 단계는 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용된다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭하기도 한다. 정밀 검토 단계는 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계이다. 보고서 작성 단계는 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계이다.
 
디지털포렌식과 관련한 많은 기관에서 6단계의 기본 절차를 바탕으로 해당 기관에 맞게 재구성한 절차를 사용하고 있다.
 
◇최근의 디지털포렌식 흐름
최근의 흐름을 살펴보면 디지털포렌식을 법률과 항상 연관시키기에는 사용되는 범위가 너무 넓다. 법정에 제출할 목적은 아니지만 디지털포렌식 기술을 사용하는 다양한 분야에서 해당 용어를 사용하고 있기 때문이다.
 
대표적으로 침해 사고의 원인과 영향을 분석하는 침해사고 포렌식, 악성코드의 흔적을 분석하는 악성코드 포렌식, 디지털 데이터의 저작권과 관련한 저작권 포렌식, 기업의 내부 감사를 위한 감사 포렌식, 회계 데이터의 은닉과 조작을 판단하기 위한 회계 포렌식 등이 있다. 이런 분야는 법률과 직접적인 연관은 없지만 특정 행위 결과의 사실관계를 규명한다는 점에서 모두 동일하다. 그렇다면 디지털포렌식을 다음과 같이 재정의해 볼수도 있지 않을까?
 
“디지털기기를 매개체로 하여 발생한 특정 행위의 사실관계를 규명하고 증명하기 위한 절차와 방법이다.”
그렇지만 디지털포렌식을 법률과 분리해서 생각하는 문제는 많은 이견이 있다. 새로운 분야를 디지털포렌식 범주에 포함할 것인지, 디지털포렌식의 파생 분야로 볼 것인지 말이다.
 
2006년 말, 미국의 민사소송규칙에 디지털 증거를 대상으로 하는 전자증거개시(e-Discovery) 제도가 포함되면서 IT 분야 뿐만아니라 미국과 사업적 관계를 맺고 있는 국내의 많은 기업에서 디지털포렌식에 관심을 가지고 있다. 그리고 법률 서비스를 제외한 디지털포렌식 기술을 사용한 사업 모델이 민간 기업에서도 활발히 추진되고 있다.
 
현재 디지털포렌식이 사회적으로 다양한 관심을 받고 있는 만큼 관련 학계나 기관에서는 용어의 정의와 범위를 명확히 할 필요가 있다. 그렇지 않다면 현재 디지털포렌식이라는 새로운 용어가 지니는 이미지가 변질되어 버릴 수도 있기 때문이다.

http://blog.naver.com/sayno9

정보보호 뉴스클리핑

2015년 5월 7일 목요일

크라우드 시큐리티 바람 분다

사이버시큐리티 시장에 집단지성을 활용해 보안성을 높이는 ‘크라우드 시큐리티(Crowd Security)’ 바람이 거세다.5일 관련 학계는 적은 비용으로 보안성을 높이는 방법으로 크라우드 시큐리티를 주목했다. 국내 제품과 서비스에 크라우드 시큐리티 활용이 시급하다.대표적인 크라우드 시큐리티 사례는 버그바운티(Bug Bounty)다. (하략)

융합형 CC인증 실효성 논란 거세다

미래창조과학부가 정보보호산업 육성을 위해 야심차게 추진하는 융합형 공통평가기준(CC)인증제도가 시행 전부터 실효성 논란에 휩싸였다.융합형 CC인증제도가 기존 국내용 CC제도 태생을 제대로 이해하지 못한 정책이라는 비판이 일고 있다. 국내용 CC인증은 융합형 제도가 시행돼도 국제용 CC인증 난이도가 매우 높다는 점에서 국제인증 획득 희망기업이 더 늘어날 여지도 크지 않다는 지적이다.(하략)

악성 파일로 둔갑한 화면보호기 확장자 파일 주의

대다수 PC 사용자에게 SCR 확장자는 생소하다. SCR(Screensaver)은 화면보호기의 확장자이다. 일반 사용자들이 생각하는 화면보호기는 일정 시간 동안 키보드나 마우스에서 입력이 없으면 PC 모니터에 여러 화면을 나타내는 기능을 하지만, SCR 확장자도 악성 파일로 사용할 수 있다는 점에서 주의가 필요하다.(하략)

해커와 보안사고에 대응하기 위한 새로운 3원칙

정보를 주고받는 것 자체보다 활용 가능한 정보를 주고받아야 예방, 감지, 대응의 3원칙은 이제 격리, 식별, 통제권 회복으로 [보안뉴스 문가용] 사건 대응의 방법이 변해야 할 때다. 기존에 우리가 알고 있던 사건 대응의 3원칙인 ‘예방, 감지, 대응’은 이제 통하지 않는다. (하략)

◆700MHz 정책소위 개최=연기된 주파수정책소위원회가 이번 주 다시 열릴 예정이다. 미래창조과학부와 방송통신위원회는 정부안을 정책소위 위원들에게 사전 설명해놓은 상태다. 정부는 방송과 통신 모두 700MHz 주파수를 나눠쓸 수 있는 방안을 제시했다. 방송에는 4개 채널(24MHz폭)을 제공하는 방식이다. 하지만 여전히 지상파 방송사들과 소위 위원들은 9개 채널을 제공해야 하는 만큼, 통신에 할당한 주파수는 없다는 입장을 고수하고 있는 것으로 전해졌다. 이번 주 열리는 정책소위에서 위원들이 정부안에 대해 어떠한 입장을 밝힐지에 통신방송 업계의 관심이 집중될 전망이다.

◆3D시스템즈, 3D프린터‧3D스캐너 발표=3D시스템즈는 7일 신형 3D 프린터와 3D 스캐너를 발표한다. 70 마이크론의 정밀 출력 기능과 2컬러, 2가지 복합 재료의 사용이 가능한 듀얼노즐 등을 갖추고 있다. 여기에 와이파이를 통한 스마트 기기와의 연동도 고려됐다. 이날 행사에는 3D 스캐너 아이센스, 3D 디자인 펜 터치3D도 소개될 예정이다.

◆한국은행 2015년 IT 보안취약점 분석·평가=한국은행이 정보시스템 및 IT인프라에 잠재되어 있는 보안취약점을 분석･평가하고 사이버위협에 의한 침해사고를 예방하고 정보시스템의 안정성을 확보하기 위한 IT 보안취약점 분석·평가에 나선다. 이를 통해 주요정보통신기반시설인 ‘한은금융망’에 대한 보안취약점 분석･평가 및 보호대책을 수립한다는 계획이다.

◆국민은행 중소기업 대상 ERP 개발=국민은행이 중소기업 등 거래 기업을 대상으로 한 ‘KB 다이렉트(Direct) ERP’ 개발에 나선다. 국민은행의 기업자산관리시스템과 기업의 ERP 연계를 꾀하는 사업으로 금융조회, 즉시이체 서비스, 대량(급여)이체, 공과금 서비스 등의 구축을 추진하며 은행과 ERP간 표준 통신모델 개발은 물론 기업 인터넷뱅킹 내 신규 메뉴 및 상품 홍보페이지 개발 등 기업 특화 서비스 개발에 나선다.

◆SKT, SKB 100% 자회사 추진 마무리 단계=SK브로드밴드 임시주주총회가 오는 6일 오전 9시 SK브로드밴드 동작사옥에서 열린다. 이번 임시주총은 SK브로드밴드가 SK텔레콤의 100% 자회사가 되는 것을 결의하기 위한 것이다. 안건은 ▲주식교환계약 승인의 건 ▲자진 상장폐지 승인의 건 등 2개다. SK텔레콤은 SK브로드밴드 주주에게 자사주를 주는 형태로 SK브로드밴드의 100% 자회사화를 추진 중이다. 100% 자회사가 되면 SK브로드밴드는 상장을 폐지한다. SK텔레콤과 SK브로드밴드 주식교환비율은 SK브로드밴드 1주당 SK텔레콤 0.0168936주다. 이를 원치 않은 SK브로드밴드 주주는 주식매수청구권을 행사하면 된다. 주식매수예정가는 주당 4645원이다. 행사기간은 오는 26일까지다.

◆마이크로칩, 디지털 전력용 신제품 출시=마이크로칩은 7일 기자회견을 갖고 컴퓨터 및 통신, 산업, 자동차 등 디지털 전력 제품에 사용 가능한 신제품인 dsPIC33EP GS 제품군을 소개한다. 이번 행사에는 마이크로칩의 MCU16 부문의 톰 스포러 마케팅 매니저가 참석해 발표를 진행할 예정이다.

ITSM의 성숙화 단계별 문제점과 해결 방안“ISO/IEC 20000 인증 획득이 ITSM의 완성 아니다”

[알아봅시다] 차량용 기능안전규격 ISO 26262

자동차 전장ㆍSW 오류방지 안전 인증 

강동식 기자 dskang@dt.co.kr | 입력: 2010-09-05 22:38
[2010년 09월 06일자 18면 기사]

제품 개발∼폐기 전 단계 적용
자체개발 프로세스 구축 필요

최근 지식경제부가 사업공고를 낸 7개 월드 베이스 소프트웨어(WBS) 프로젝트 중 하나로 AUTOSAR 기반의 전자제어장치 상용화 개발사업이 포함됐습니다. 이 사업과제 중 하나가 차량 안전성 및 신뢰성 확보를 위한 ISO 26262 인증을 추진하는 것입니다. ISO 26262는 또 최근 자동차 제조기업과 관련 소프트웨어(SW) 기업들의 주된 관심사가 되고 있다고 합니다.

최근 출시되는 자동차에는 안전거리 감지, 주행 중 졸음방지 기능, 텔레매틱스 등 운전자의 안전성을 높이고 사용의 편의를 돕기 위한 신기술이 많이 탑재돼 있습니다. 이처럼 다양하고 복잡한 기능은 차량에 내장되는 전자장치와 임베디드 SW에 의해 구현되는데, 그 비중은 날로 늘어가고 있는 추세입니다.

늘어나는 전자장치와 SW의 비중은 차량 이용자에게 더 높은 안전성과 사용의 편의성을 제공하는 한편, 전자장치의 오류로 인한 사고 역시 이에 증가하는 추세입니다.

이에 자동차 업체들은 SW 개발의 복잡성과 다양성을 극복하기 위해 자동차 SW 표준화 단체인 AUTOSAR를 설립해 표준화 활동을 진행하고 있습니다. 또 자동차에 채택되는 기능의 안전을 확보하기 위해 ISO 26262 기능안전규격을 2011년 6월부터 적용해야 합니다.

ISO 26262는 자동차에 탑재되는 SW의 오류로 인한 사고를 미연에 방지하기 위해 제정한 기능안전규격입니다. AUTOSAR가 자동차 SW의 효율적인 개발을 위한 움직임이라면 ISO 26262는 자동차 SW의 안전을 확보하기 위한 규격입니다.

ISO 26262는 기존 차량용 SW의 품질 관리 기준인 IEC 61508 표준이 일반 전기전자 장치의 안전에 관한 포괄적 규격이라는 한계를 보완하기 위해 만들어졌습니다. ISO 26262에서는 재난상황에 노출 가능성(probability of exposure), 위험의 잠재적 심각도(potential severity), 통제 가능성(controllability)에 따라 차량 안전성보전등급을 결정합니다.

이것은 자동차 제품의 특성을 반영한 것으로 ISO 26262의 차량 안전성 보전 등급인 ASIL은 최저 등급인 ASIL A부터 최고 등급인 ASIL D까지 4개 등급으로, ASIL이 높다는 것은 그 개발 대상의 오류로 인해 사고가 날 경우 상대적으로 피해가 클 수 있고, 그 위험을 줄이기 위해 높은 수준의 안전 메커니즘이 필요하므로 안전에 대한 요구사항이 강력해지는 것입니다. 유럽의 안전성에 관한 선행연구개발(EASIS) 보고서에 의하면, CMMI 레벨4 정도의 조직이 ASIL C 정도를 만족할 수 있다고 하니 ISO 26262 기준요건의 충족이 쉽지 않다는 것을 알 수 있습니다.

자동차 업계에서는 ISO 26262가 향후 전통적인 형식승인을 대체하는 새로운 차량 안전 관리 규정으로 공식 대두될 것으로 보고 있습니다. 차량용 전자장치의 기능이 복잡해지고 분산처리가 요구되면서 SW 기능도 복잡해졌고, 수십, 수백만 라인에 이르는 전장 SW를 코드 수준에서 검증하는 것만으로 자동차의 안정성과 신뢰성을 보장할 수 없기 때문입니다.

BMW, GM, 보쉬 등의 글로벌 자동차 메이커 및 부품 공급업체들은 이미 ISO 26262를 자체 개발 프로세스 내에 적용하고 있으며, 국내 자동차 업체와 부품 공급업체 역시 도입을 서두르고 있습니다.

ISO 26262는 차량의 개발 초기에서부터 생산, 폐기에 이르는 전체 생명주기에 걸친 방대한 안전 관련 요구사항을 제시하기 때문에 개발조직의 내부 상황을 고려해 요구사항들을 효율적으로 구현해야 하는데, 이것은 성숙된 개발 프로세스 역량이 요구되기 때문입니다. 이에 따라 자동화 테스트 도구 시장, SW 컨설팅 등 SW의 품질을 관리하는 다양한 영역의 시장이 성장할 것으로 예상됩니다.

SW 테스팅 툴을 공급하고 있는 MDS테크놀로지 관계자는 "ISO 26262의 파트6(SW 개발)에 명시된 정적 분석과 동적 분석의 요건들 때문에 최근 테스트 도구에 대한 기술자문과 컨설팅 문의가 많이 늘었다"며 "ISO 26262 파트6에 잘 대비할 수 있도록 지원해 안전성과 신뢰성을 높이는데 기여할 것"이라고 말했습니다.

ISO 26262 기능안전규격의 도입은 자동차 SW의 개발 패러다임에 큰 영향을 끼칠 것으로 예상됩니다. 기능이 다양하고 복잡해지면서도 짧아지는 개발주기를 가진 자동차 산업의 특성으로 인해 불완전한 테스트를 마치고 시장에 출시돼 일어난 많은 리콜 사태와 안전사고가 발생한 경험을 교훈 삼아 개발 초기단계 또는 요구사항 분석 과정부터 완성까지 제품의 라이프사이클 전 단계에서 안정성과 신뢰성을 높일 수 있는 개발 프로세스를 구축해야만 이 표준을 충족시킬 수 있기 때문입니다.

향후 국내 자동차 부품업체들이 해외 자동차 업체에 부품을 수출하려면 ISO 26262 규격을 준수해 부품을 개발해야 합니다. 이는 단기적으로 신흥 자동차 제조업체들에게는 장벽으로 작용할 것으로 보입니다. ISO 26262 규격의 표준화는 이제 1년이 채 남지 않았습니다. 우리나라 자동차 생산업체와 부품업체 역시 사전에 준비하고 대응방안을 마련해야만 글로벌 자동차 경쟁에서 뒤쳐지지 않을 수 있습니다.

강동식기자 dskang@

도움자료=MDS테크놀로지

“마케팅의 온라인과 오프라인 영역이 빠르게 허물어져 가고 있다. 고객과의 접점을 다면화시킬 수 있는 새로운 방식의 마케팅을 비콘을 통해 할 수 있다. O2O(Online to Offline)를 이용한 마케팅 방법이 다양하게 나올 것이다.”

이근수 커넥티드8 대표는 16일 열리는 O2O와 비콘 활용사례 세미나에 앞서 가진 인터뷰에서 “핀테크로 촉발된 비금융권(온라인 회사)과 금융권(오프라인 회사)의 경쟁이 시작됐고, 유통에서도 옴니채널을 표방하며 비콘을 도입하기 시작했다”고 말했다.

이 대표는 온라인과 오프라인간의 영역 싸움이 본격적으로 벌어지고 있어, 마케팅의 온오프라인 영역 구분도 빠르게 허물어져가고 있다고 말했다. 이어 비콘이 고객과의 접점을 다면화시킬 수 있는 새로운 방식의 마케팅을 많이 만들어낼 것이라고 덧붙였다.

이근수 대표는 “O2O 활성화 측면에서 비콘이 많이 거론되는 이유는 비콘이 현재 온라인과 오프라인을 연결하는 장치 중에 가장 간단하고 유지비용이 적기 때문”이라면서 “초기 비용 부담도 적으면서 설치 및 철거가 쉽고 NFC나 RFID에 비해 사용성도 편리하다”고 강조했다. 정밀성을 요구하는 생산 공정이 아니라면, 적어도 마케팅 용도로서는 최적의 장치라는 것이다.

이 대표는 “O2O 서비스가 사람들에게 실질적으로 접근하지 못하고 있다고 현실을 진단”하면서 “그러나 생활 속에서 아주 작은 아이디어로 발전될 가능성이 높다”고 전망했다. 여기에서 비콘이 중요해진다는 것. 자전거에 부착된 속도계를 비콘과 연계하면 속도이력, 운동량, 거리 등을 애플리케이션에 자동으로 저장할 수 있고 도난시에는 휴대폰으로도 경보를 올리게 하는 서비스가 대표적인 사례다.

이 대표는 비콘 관련 비즈니스를 하기 위해서는 현재 진행하고 있는 서비스들이 사용자가 실질적으로 느끼고 있는지 검토해볼 필요가 있다고 조언했다. 위치기반 쿠폰 전송, 선주문 자가결제, 공공장소 비콘 설치, 매니지드비콘(네트워크비콘) 등 많은 서비스가 있지만 과연 소비자가 만족하느냐의 문제가 남아 있다는 것이다.

현재는 대기업이 선점을 위해 서로 자본 경쟁까지 보이고 있는데, 정작 서비스를 체험하는 사용자들은 실용성을 잘 못 느끼고 있는 것 같다는 것. 실제로 블루투스를 켜고 다니는 사용자가 많지 않다는 것도 장애물 중 하나라는 것이다.

이 대표는 “사용자가 블루투스를 자발적으로 켜고 서비스를 유연하게 받아 들이게끔 유도할 수 있는 창의적인 아이템이 필요하다”면서 “기업의 마케팅보다 정작 사용자가 원하는 작은 부분에 집중하다 보면, 의외로 문제 해결이 쉬워지는 경우가 많다”고 말했다.

한편 이근수 대표는 오는 16일 O2O와 비콘 사례 세미나에서 국내 신용카드사에서 직접 비콘을 적용한 O2O 테스트 결과를 소개할 예정이다. 실제 서비스를 진행하면서 어떤 결과를 얻었는지, 무엇을 시사하는지에 대한 정보를 공유할 계획이다. O2O와 비콘 사례 등이 함께 소개되는 이번 세미나에 대한 더 자세한 정보는 행사 웹사이트(http://conference.etnews.com/o2o)를 통해 확인할 수 있다.