검색결과
-
[기획-디지털 ID 표준] ⑮산업단체와 포럼 - 오픈ID(OpenID)디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum, CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.오픈ID(OpenID)는 개인 및 기업의 비영리 국제 표준화 조직으로 OpenID(개방형 표준 및 분산 인증 프로토콜)를 활성화, 홍보, 보호하기 위해 노력하고 있다.오픈ID 코넥트 코어(OpenID Connect Core)는 핵심 OpenID 기능을 정의하고 있다. OpenID 기능은 OAuth 2.0 기반에 구축된 인증과 최종 사용자에 대한 정보를 전달하기 위한 클레임의 사용이다. 추가적인 기술 사양 문서는 검증 가능한 자격 증명 및 검증 가능한 프리젠테이션의 발급을 확장하기 위해 작성됐다. 또한 OpenID Connect 사용에 대한 보안 및 개인 정보 보호 고려 사항에 대해 설명하고 있다.아래는 오픈ID가 발행한 'OpenID Connect Core 1.0 incorporating errata set 1' 목차 내용이다.■ 목차(Table of Contents)1. Introduction1.1. Requirements Notation and Conventions1.2. Terminology1.3. Overview2. ID Token3. Authentication3.1. Authentication using the Authorization Code Flow3.1.1. Authorization Code Flow Steps3.1.2. Authorization Endpoint3.1.2.1. Authentication Request3.1.2.2. Authentication Request Validation3.1.2.3. Authorization Server Authenticates End-User3.1.2.4. Authorization Server Obtains End-User Consent/Authorization3.1.2.5. Successful Authentication Response3.1.2.6. Authentication Error Response3.1.2.7. Authentication Response Validation3.1.3. Token Endpoint3.1.3.1. Token Request3.1.3.2. Token Request Validation3.1.3.3. Successful Token Response3.1.3.4. Token Error Response3.1.3.5. Token Response Validation3.1.3.6. ID Token3.1.3.7. ID Token Validation3.1.3.8. Access Token Validation3.2. Authentication using the Implicit Flow3.2.1. Implicit Flow Steps3.2.2. Authorization Endpoint3.2.2.1. Authentication Request3.2.2.2. Authentication Request Validation3.2.2.3. Authorization Server Authenticates End-User3.2.2.4. Authorization Server Obtains End-User Consent/Authorization3.2.2.5. Successful Authentication Response3.2.2.6. Authentication Error Response3.2.2.7. Redirect URI Fragment Handling3.2.2.8. Authentication Response Validation3.2.2.9. Access Token Validation3.2.2.10. ID Token3.2.2.11. ID Token Validation3.3. Authentication using the Hybrid Flow3.3.1. Hybrid Flow Steps3.3.2. Authorization Endpoint3.3.2.1. Authentication Request3.3.2.2. Authentication Request Validation3.3.2.3. Authorization Server Authenticates End-User3.3.2.4. Authorization Server Obtains End-User Consent/Authorization3.3.2.5. Successful Authentication Response3.3.2.6. Authentication Error Response3.3.2.7. Redirect URI Fragment Handling3.3.2.8. Authentication Response Validation3.3.2.9. Access Token Validation3.3.2.10. Authorization Code Validation3.3.2.11. ID Token3.3.2.12. ID Token Validation3.3.3. Token Endpoint3.3.3.1. Token Request3.3.3.2. Token Request Validation3.3.3.3. Successful Token Response3.3.3.4. Token Error Response3.3.3.5. Token Response Validation3.3.3.6. ID Token3.3.3.7. ID Token Validation3.3.3.8. Access Token3.3.3.9. Access Token Validation4. Initiating Login from a Third Party5. Claims5.1. Standard Claims5.1.1. Address Claim5.1.2. Additional Claims5.2. Claims Languages and Scripts5.3. UserInfo Endpoint5.3.1. UserInfo Request5.3.2. Successful UserInfo Response5.3.3. UserInfo Error Response5.3.4. UserInfo Response Validation5.4. Requesting Claims using Scope Values5.5. Requesting Claims using the "claims" Request Parameter5.5.1. Individual Claims Requests5.5.1.1. Requesting the "acr" Claim5.5.2. Languages and Scripts for Individual Claims5.6. Claim Types5.6.1. Normal Claims5.6.2. Aggregated and Distributed Claims5.6.2.1. Example of Aggregated Claims5.6.2.2. Example of Distributed Claims5.7. Claim Stability and Uniqueness6. Passing Request Parameters as JWTs6.1. Passing a Request Object by Value6.1.1. Request using the "request" Request Parameter6.2. Passing a Request Object by Reference6.2.1. URL Referencing the Request Object6.2.2. Request using the "request_uri" Request Parameter6.2.3. Authorization Server Fetches Request Object6.2.4. "request_uri" Rationale6.3. Validating JWT-Based Requests6.3.1. Encrypted Request Object6.3.2. Signed Request Object6.3.3. Request Parameter Assembly and Validation7. Self-Issued OpenID Provider7.1. Self-Issued OpenID Provider Discovery7.2. Self-Issued OpenID Provider Registration7.2.1. Providing Information with the "registration" Request Parameter7.3. Self-Issued OpenID Provider Request7.4. Self-Issued OpenID Provider Response7.5. Self-Issued ID Token Validation8. Subject Identifier Types8.1. Pairwise Identifier Algorithm9. Client Authentication10. Signatures and Encryption10.1. Signing10.1.1. Rotation of Asymmetric Signing Keys10.2. Encryption10.2.1. Rotation of Asymmetric Encryption Keys11. Offline Access12. Using Refresh Tokens12.1. Refresh Request12.2. Successful Refresh Response12.3. Refresh Error Response13. Serializations13.1. Query String Serialization13.2. Form Serialization13.3. JSON Serialization14. String Operations15. Implementation Considerations15.1. Mandatory to Implement Features for All OpenID Providers15.2. Mandatory to Implement Features for Dynamic OpenID Providers15.3. Discovery and Registration15.4. Mandatory to Implement Features for Relying Parties15.5. Implementation Notes15.5.1. Authorization Code Implementation Notes15.5.2. Nonce Implementation Notes15.5.3. Redirect URI Fragment Handling Implementation Notes15.6. Compatibility Notes15.6.1. Pre-Final IETF Specifications15.6.2. Google "iss" Value15.7. Related Specifications and Implementer's Guides16. Security Considerations16.1. Request Disclosure16.2. Server Masquerading16.3. Token Manufacture/Modification16.4. Access Token Disclosure16.5. Server Response Disclosure16.6. Server Response Repudiation16.7. Request Repudiation16.8. Access Token Redirect16.9. Token Reuse16.10. Eavesdropping or Leaking Authorization Codes (Secondary Authenticator Capture)16.11. Token Substitution16.12. Timing Attack16.13. Other Crypto Related Attacks16.14. Signing and Encryption Order16.15. Issuer Identifier16.16. Implicit Flow Threats16.17. TLS Requirements16.18. Lifetimes of Access Tokens and Refresh Tokens16.19. Symmetric Key Entropy16.20. Need for Signed Requests16.21. Need for Encrypted Requests17. Privacy Considerations17.1. Personally Identifiable Information17.2. Data Access Monitoring17.3. Correlation17.4. Offline Access18. IANA Considerations18.1. JSON Web Token Claims Registration18.1.1. Registry Contents18.2. OAuth Parameters Registration18.2.1. Registry Contents18.3. OAuth Extensions Error Registration18.3.1. Registry Contents19. References19.1. Normative References19.2. Informative ReferencesAppendix A. Authorization ExamplesA.1. Example using response_type=codeA.2. Example using response_type=id_tokenA.3. Example using response_type=id_token tokenA.4. Example using response_type=code id_tokenA.5. Example using response_type=code tokenA.6. Example using response_type=code id_token tokenA.7. RSA Key Used in ExamplesAppendix B. AcknowledgementsAppendix C. Notices§ Authors' Addresses
-
[특집] ISO/TC 92 기술위원회(Technical Committees) 소개스위스 제네바에 본부를 두고 있는 국제표준화기구(ISO)에서 활동 중인 기술위원회(Technical Committeee, TC)는 TC1~TC323까지 구성돼 있다.기술위원회의 역할은 기술관리부가 승인한 작업범위 내 작업 프로그램 입안, 실행, 국제규격의 작성 등이다. 또한 산하 분과위원회(SC), 작업그룹(WG)을 통해 기타 ISO 기술위원회 또는 국제기관과 연계한다.ISO/IEC 기술작업 지침서 및 기술관리부 결정사항에 따른 ISO 국제규격안 작성·배포, 회원국의 의견 편집 등도 처리한다. 소속 분과위원회 및 작업그룹의 업무조정, 해당 기술위원회의 회의 준비도 담당한다.1947년 최초로 구성된 나사산에 대한 TC1 기술위원회를 시작으로 순환경제를 표준화하기 위한 TC323까지 각 TC 기술위원회의 의장, ISO 회원, 발행 표준 및 개발 표준 등에 대해 살펴볼 예정이다.이미 다룬 기술위원회와 구성 연도를 살펴 보면 △1947년 TC1~TC67 △1948년 TC 69 △1949년 TC 70~72 △1972년 TC68 △1950년 TC74 △1951년 TC76 △1952년 TC77 △1953년 TC79, TC81 △1955년 TC82, TC83 △1956년 TC84, TC85 △1957년 TC86, TC87, TC89 등이다.ISO/TC 92 화재안전(Fire safety)과 관련된 기술위원회는 ISO/TC 91과 마찬가지로 1958년 결성됐다. 사무국은 영국표준협회(British Standards Institution, BSI)에서 맡고 있다.위원회는 이안 헤이(Mr Ian Hay)이가 책임지고 있다. 현재 의장은 안야 호프만-볼링하우스(Mrs Dr.-Ing Anja Hofmann-Böllinghaus)로 임기는 2027년까지다.자매 사무국은 사우디 아라비아 표준국(Saudi Standards, Metrology and Quality Organization, SASO)이며라셰드 빈 다리스(Mr Rashed Bin Daris)가 위원회 책임자다.ISO 기술 프로그램 관리자는 안나 카테리나 로시(Dr Anna Caterina Rossi), ISO 편집 관리자는 앨리슨 리드-자몬드(Ms Alison Reid-Jamond) 등으로 조사됐다. 범위는 다음과 같은 내용에 대한 평가 방법의 표준화다.▷ 생명과 재산에 대한 화재 위험요인과 화재 위험▷ 화재 안전에 대한 설계, 재료, 건축 자재, 제품, 부품 등의 기부▷ 건물 및 구조물뿐 아니라 이러한 재료, 제품, 구성 요소의 성능 및 거동을 결정해 화재 위험 및 화재 위험을 완화하는 방법 등이다.다만 다른 기술 위원회에서 이미 다루는 재료 및 장비는 제외한다. 다른 ISO O및 IEC 위원회에서 다루는 분야도 제외된다.현재 ISO/TC 92 사무국과 관련해 발행된 표준은 161개며 직접적인 책임하에 개발된 표준은 4개다. ISO/TC 92 사무국과 관련해 개발중인 표준은 21개며 직접적인 책임하에 개발 중인 표준은 4개다. 참여하고 있는 회원은 38명, 참관 회원은 31명이다.□ ISO/TC 92 사무국의 직접적인 책임하에 발행된 표준 4개 목록▲ISO 13943:2017 Fire safety — Vocabulary▲ISO/TS 17755-2:2020 Fire safety — Statistical data collection — Part 2: Vocabulary▲ISO/TR 17755:2014 Fire safety — Overview of national fire statistics practices▲ISO/TR 24188:2022 Large outdoor fires and the built environment — Global overview of different approaches to standardization□ ISO/TC 92 사무국의 직접 책임 하에 개발 중인 표준 4개 목록▲ISO/DIS 6021 Firebrand generator▲ISO/PRF 13943 Fire safety — Vocabulary▲ISO/WD TR 17755-1 Fire safety — Statistical data collection — Part 1: Overview of national fire statistics practices▲ISO/AWI TR 24488 Road Tunnel Fire Safety — A general overview of regulatory frameworks and research□ ISO/TC 92 사무국의 소위원회(Subcommittee)의 책임하에 발행 및 개발 중인 표준 현황▲ISO/TC 92/SC 1 Fire initiation and growth ; 발행된 표준 49개, 개발 중인 표준 4개▲ISO/TC 92/SC 2 Fire containment ; 발행된 표준 52개, 개발 중인 표준 5개▲ISO/TC 92/SC 3 Fire threat to people and environment ; 발행된 표준 21개, 개발 중인 표준 6개▲ISO/TC 92/SC 4 Fire safety engineering ; 발행된 표준 35개, 개발 중인 표준 2개
-
[미국] 사이버레스(CyberRes), 7월 20일 사이버 리질리언스 제품이 ISO 27001.2013 인증받아미국 보안서비스업체인 사이버레스(CyberRes)에 따르면 2022년 7월 20일 사이버 리질리언스 제품이 ISO 27001.2013 인증을 받았다.ISO 27001.2013은 정보보안관리시스템(ISMS) 카테고리에 포함되는 인증이다. 사이버 리질리언스 제품은 SaaS(software-as-a-service)을 통해 제공된다.인증을 받기 위해 고객 데이터와 고객 프라이버시를 포함하고 있는 정보보안관리시스템을 위한 SaaS 제공을 실행, 유지 그리고 지속적으로 개선했다.또한 ISO 27001.2013 인증을 받았다는 것은 그동안 사이버레스가 사이버 보안 시장에서 신뢰성이 가장 높은 리더였다는 것을 입증한다.사이버베스는 고객의 지식재산, 기타 데이터와 같은 가장 가치 있는 자산을 어떻게 보호할 것인지에 대한 연구를 지속적으로 해왔다. 최고 수준의 전문가를 투입해 프로그램을 개발하고 있다.이번 ISO 27001:2013 ISMS 인증은 △Security Operations △ArcSight Intelligence △ArcSight Intelligence for CrowdStrike △ArcSight Recon Galaxy Public △Galaxy Threat Acceleration Program Basic △Galaxy Threat Acceleration Program Plus △Identity and Access Management △NetIQ Advanced Authentication △NetIQ Identity Governance △Data Security △Voltage File Analysis Suite △Voltage Secure Mail △Application Security △Fortify on Demand △Fortify Hosted 등의 제품을 포함한다.
-
[스위스] 국제표준화기구(ISO), 2022년 말 ISO 27001 새로운 표준 발표 계획스위스 제네바에 본부를 두고 있는 국제표준화기구(International Standards Organization, ISO)에 따르면 2022년 말까지 ISO/ICE 27001 표준의 새로운 버전을 발표할 계획이다.ISO/IEC 27001 표준은 지구상에서 가장 높이 평가되는 정보 보안 표준 중 하나이다. 하지만 거의 10년 동안 업데이트되지 않았다.정보 보안 경영 시스템(information security management system, ISMS)의 구축, 구현, 유지, 지속적인 개선을 위한 요구사항을 제공하도록 설계된 완전한 위험 기반 표준으로 정식 명칭은 ISO/IEC 27001:2013이다.2013년 발표된 이후 개정이 전혀 이뤄 지지 않았다. 코로나19 팬데믹 영향으로 새로운 표준 발표가 다소 지연되어 왔으나 본격적으로 정보 보안 관련 표준이 업데이트된다.ISO 27001:2013 전반부에서 인증을 위해 요구되는 주요 요소인 조항 4~10은 2022 버전에서는 바뀌지 않을 것으로 예상된다.하지만 2월 ISO는 ISO 27002:2013 초기 버전을 대체하는 ISO 27002:2022를 발표했다. ISO 27002는 기본적으로 ISO 27001에 있는 모든 부속서 A 통제를 반영하고 있으며 각 통제에 대한 상세한 구현 지침을 제공한다.ISO/IEC 27001의 새 버전이 출시되면 부속서 A 통제가 새로운 ISO 27002:2022의 통제와 일치할 것으로 예상된다. 따라서 ISO/IEC 27002:2022 표준을 유용한 지침으로 사용할 수 있다.ISO 27001 인증을 위해 완전히 충족돼야 하는 ISO/IEC 27001 문서의 전반부에 있는 조항과는 달리 ISO 27002 통제는 요구하고 있지 않다. 하지만 조직에 의해 사용되도록 설계된 일반 정보 보안 통제의 참조 세트로는 필요하다.현재 사용되고 있는 ISO 27001:2013 버전은 전 세계적으로 168개 국가에서 사용되고 있다. 2013 버전의 2022년 업데이트 버전에서는 병합을 통해 통제 수가 114개에서 93개로 감소했.기존 14부분은 4개 부분으로 배치됐다. 또한 11개의 새로운 통제가 추가됐다. A.5.7 Threat intelligence(위협 정보), A.5.23 Information Security for Use of Cloud Services(클라우드 서비스 사용을 위한 정보 보안), A.5.30 ICT Readiness for Business Continuity(비지니스 연속성을 위한 ICT 준비태세), A.7.4 Physical Security Monitoring(물리적 보안 모니터링) 등이다.A.8.9 Configuration Management(구성 관리), A.8.10 Information Deletion(정보 삭제), A.8.11 Data Masking(데이터 마스킹), A.8.12 Data Leakage Prevention(데이터 유출 방지), A.8.16 Monitoring Activities(모니터링 활동), A.8.23 Web Filtering(웹 필터링), A.8.28 Secure Coding(보안 코딩) 등이 포함된다.
-
[미국] 국제표준화기구(ISO), 3월 업데이트 및 승인된 ISO 27002 신규 표준 발행 예정국제표준화기구(International Organization for Standardization, ISO)에 따르면 2022년 3월 ISO 27002 표준의 업데이트 및 승인으로 새 버전이 발행될 예정이다.업데이트 된 표준은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 이다.11개의 새로운 컨트롤이 추가됐는데, 세부 구성을 살펴보면 조직적 통제 분야 3개, 물리적 통제 분야 1개, 기술적 통제 분야 7개 등이다.조직적 통제 부분은 클라우스 서비스 사용을 위한 정보 보안, 비지니스 연속성을 위한 ICT 준비, 위협 인텔리전스(Threat Intelligence) 등이다.물리적 통제 부분은 물리적 보안 모니터링(Physical security monitoring)이며 기술적 통제 부분은 구성관리, 정보 삭제, 데이터 마스킹, 데이터 유출 장치, 모니터링 활동, 웹 필터링, 보안 코딩 등으로 구성됐다.기존 대부분의 컨트롤들은 수정됐다. 약 절반이 실제로 분리할 수 없거나 밀접하게 관련된 다른 컨트롤과 합해졌다.현재 24개의 컨트롤로 병합됐으며 ISO/IEC 27002 새 버전의 표준은 기존 114개에서 24개의 컨트롤로 바뀌었다. 발표 이후 2년의 전환 기간을 갖게 된다.특히 조직적 통제 부분의 위협 인텔리전스(Threat Intelligence)는 최근 몇 년간 관심이 증가하고 있으며 전 세계 보안팀에서 채택이 늘어가는 추세다.보안팀이 인텔리전스를 활용하게 되면 더 많은 정보를 얻게 되어 빠른 결정과 위협에 대한 안정적 식별 및 조치를 취할 수 있기 때문이다.ISO/IEC 27002 표준의 위협 인텔리전스 통제는 조직이 적절한 완화 조치를 취할 수 있도록 조직에 영향을 미치는 위협 환경에 대한 인식을 제공한다. 정보 보안 위협과 관련된 정보를 수집하고 분석하는데 도움이 되도록 구현한다.이러한 통제 추가는 위협 인텔리전스의 필요성을 표준화할뿐만 아니라 여러 다른 통제를 알리고 구현하는데 도움이 되기 때문에 매우 중요하다.위협 인텔리전스를 사용해 획득한 컨텍스트와 통찰력은 클라우드 보안 전략에 정보를 제공하고 공급망 파트너들에게 영향을 미치는 취약성을 식별하거나 물리적, 환경적 위협을 감지 및 모니터링하는데 도움이 될 수 있다.위협 인텔리전스를 적절히 활용하기 위해 국제표준화 기구는 조직이 전략, 전술, 운영 등의 3가지 인텔리전스 계층 모두를 고려할 것을 권장하고 있다. 3가지 인텔리전스 계층은 전략적 위협 인텔리전스, 전술적 위협 인텔리전스, 운영 위협 인텔리전스 등이다.첫째, 전략적 위협 인텔리전스는 변화하는 위협 환경에 대한 공격자 유형이나 공격 유형 등 상위 수준의 정보 교환을 말한다.이것은 전반적인 사이버 및 물리적 위협 환경, 사이버 위협과 물리적 위협의 융합, 업계 및 동료들에게 영향을 끼치는 위협과 추세, 특정 조직에 대한 관련 위협 등을 이해함으로써 결정 우위를 확보하는 장점이 있다.인텔리전스가 제공하는 전략적 우선 순위를 기반으로 보안 아키텍처와 예산 결정을 내릴 수 있는 능력을 갖게 된다는 유리한 점도 있다.조직의 보안 전략 및 목표에 부합하는 PIR(Priority Intelligence Requirements)의 생성 및 추적, 의사 결정자가 위험을 이해하고 우선 순위를 지정해 더 나은 정보에 근거한 결정을 내리는데 도움이 되는 완성된 인텔리전스 및 임시 맞춤형 보고, 조직이 인식해야 하는 새로운 위협, TTP, 위협 그룹의 식별과 같은 장점도 갖게 된다.구체적으로 전술적 위협 인텔리전스, 운영 위협 인텔리전스뿐만 아니라 나머지 10개 통제에 대한 상세 내용은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 표준을 참조하면 된다.
-
[미국] SANS 연구소, 최근 몇 년 동안 CTI 프로그램을 시작한 조직 증가세계 최대 사이버 보안 연구 및 교육기관 SANS 연구소(SANS Institute)에 따르면 최근 몇 년 동안 CTI 프로그램을 시작한 조직이 증가하고 있는 것으로 드러났다. '2021 산스 사이버 위협 인텔리전스(2021 SANS Cyber Threat Intelligence, CTI) 결과에서 위협 인텔리전스에 대한 관심 증가와 전 세계 보안팀의 CTI 채택이 늘어났다.인텔리전스를 활용하면 보안팀이 더 많은 정보를 얻고 더 빨리 결정을 내리고 위협을 더 안정적으로 식별해 조치를 취할 수 있기 때문이다.위협 인텔리전스는 조직이 사후 대응에서 사전 예방으로 전환하는 주요 동인이다. 따라서 CISO에서 정보분석가에 이르기까지 전체 보안 전략에 정보를 제공하는데 도움이 된다.사이버 인텔리전스를 수행할 때 가장 중요한 자산 중 하나인 사이버 생태계를 파괴하려는 위협 및 위협 행위자에 관한 정보를 찾아 수집, 비교, 분석, 배포하고 있다.사이버인텔리전스를 통해 자신과 적에 대해 더 잘 알게 되고 그 지식을 바탕으로 위험을 잘 이해하고 위협으로 부터 보호 및 기회를 포착해 사전 조치를 취할 수 있게 된다. 이러한 추세에 따라 ISO 27002 표준에 위협 인텔리전스가 추가되어 개정됨에 따라 2022년 3월 발효될 예정이다.참고로 위키피디아에서는 위협 인텔리전스를 어플리케이션 및 시스템에 위협이 되는 정보를 계획, 수집, 처리, 분석, 배포하는 '주기적 관행'으로 정의하고 있다. 실시간으로 정보를 수집해 컴퓨터, 어플리케이션 또는 네트워크에 대한 위협을 식별하기 위해 위협 환경을 보여주는 것이다
-
[미국] 국제표준화기구(ISO), 3월 업데이트 및 승인된 ISO 27002 신규 표준 발행 예정국제표준화기구(International Organization for Standardization, ISO)에 따르면 2022년 3월 ISO 27002 표준의 업데이트 및 승인으로 새 버전이 발행될 예정이다.업데이트 된 표준은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 이다.11개의 새로운 컨트롤이 추가됐는데, 세부 구성을 살펴보면 조직적 통제 분야 3개, 물리적 통제 분야 1개, 기술적 통제 분야 7개 등이다.조직적 통제 부분은 클라우스 서비스 사용을 위한 정보 보안, 비지니스 연속성을 위한 ICT 준비, 위협 인텔리전스(Threat Intelligence) 등이다.물리적 통제 부분은 물리적 보안 모니터링(Physical security monitoring)이며 기술적 통제 부분은 구성관리, 정보 삭제, 데이터 마스킹, 데이터 유출 장치, 모니터링 활동, 웹 필터링, 보안 코딩 등으로 구성됐다.기존 대부분의 컨트롤들은 수정됐다. 약 절반이 실제로 분리할 수 없거나 밀접하게 관련된 다른 컨트롤과 합해졌다.현재 24개의 컨트롤로 병합됐으며 ISO/IEC 27002 새 버전의 표준은 기존 114개에서 24개의 컨트롤로 바뀌었다. 발표 이후 2년의 전환 기간을 갖게 된다.특히 조직적 통제 부분의 위협 인텔리전스(Threat Intelligence)는 최근 몇 년간 관심이 증가하고 있으며 전 세계 보안팀에서 채택이 늘어가는 추세다.보안팀이 인텔리전스를 활용하게 되면 더 많은 정보를 얻게 되어 빠른 결정과 위협에 대한 안정적 식별 및 조치를 취할 수 있기 때문이다.ISO/IEC 27002 표준의 위협 인텔리전스 통제는 조직이 적절한 완화 조치를 취할 수 있도록 조직에 영향을 미치는 위협 환경에 대한 인식을 제공한다. 정보 보안 위협과 관련된 정보를 수집하고 분석하는데 도움이 되도록 구현한다.이러한 통제 추가는 위협 인텔리전스의 필요성을 표준화할뿐만 아니라 여러 다른 통제를 알리고 구현하는데 도움이 되기 때문에 매우 중요하다.위협 인텔리전스를 사용해 획득한 컨텍스트와 통찰력은 클라우드 보안 전략에 정보를 제공하고 공급망 파트너들에게 영향을 미치는 취약성을 식별하거나 물리적, 환경적 위협을 감지 및 모니터링하는데 도움이 될 수 있다.위협 인텔리전스를 적절히 활용하기 위해 국제표준화 기구는 조직이 전략, 전술, 운영 등의 3가지 인텔리전스 계층 모두를 고려할 것을 권장하고 있다. 3가지 인텔리전스 계층은 전략적 위협 인텔리전스, 전술적 위협 인텔리전스, 운영 위협 인텔리전스 등이다.첫째, 전략적 위협 인텔리전스는 변화하는 위협 환경에 대한 공격자 유형이나 공격 유형 등 상위 수준의 정보 교환을 말한다.이것은 전반적인 사이버 및 물리적 위협 환경, 사이버 위협과 물리적 위협의 융합, 업계 및 동료들에게 영향을 끼치는 위협과 추세, 특정 조직에 대한 관련 위협 등을 이해함으로써 결정 우위를 확보하는 장점이 있다.인텔리전스가 제공하는 전략적 우선 순위를 기반으로 보안 아키텍처와 예산 결정을 내릴 수 있는 능력을 갖게 된다는 유리한 점도 있다.조직의 보안 전략 및 목표에 부합하는 PIR(Priority Intelligence Requirements)의 생성 및 추적, 의사 결정자가 위험을 이해하고 우선 순위를 지정해 더 나은 정보에 근거한 결정을 내리는데 도움이 되는 완성된 인텔리전스 및 임시 맞춤형 보고, 조직이 인식해야 하는 새로운 위협, TTP, 위협 그룹의 식별과 같은 장점도 갖게 된다.구체적으로 전술적 위협 인텔리전스, 운영 위협 인텔리전스뿐만 아니라 나머지 10개 통제에 대한 상세 내용은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 표준을 참조하면 된다.
-
[미국] SANS 연구소, 최근 몇 년 동안 CTI 프로그램을 시작한 조직 증가세계 최대 사이버 보안 연구 및 교육기관 SANS 연구소(SANS Institute)에 따르면 최근 몇 년 동안 CTI 프로그램을 시작한 조직이 증가하고 있는 것으로 드러났다.'2021 산스 사이버 위협 인텔리전스(2021 SANS Cyber Threat Intelligence, CTI) 결과에서 위협 인텔리전스에 대한 관심 증가와 전 세계 보안팀의 CTI 채택이 늘어났다.인텔리전스를 활용하면 보안팀이 더 많은 정보를 얻고 더 빨리 결정을 내리고 위협을 더 안정적으로 식별해 조치를 취할 수 있기 때문이다.위협 인텔리전스는 조직이 사후 대응에서 사전 예방으로 전환하는 주요 동인이다. 따라서 CISO에서 정보분석가에 이르기까지 전체 보안 전략에 정보를 제공하는데 도움이 된다.사이버 인텔리전스를 수행할 때 가장 중요한 자산 중 하나인 사이버 생태계를 파괴하려는 위협 및 위협 행위자에 관한 정보를 찾아 수집, 비교, 분석, 배포하고 있다.사이버인텔리전스를 통해 자신과 적에 대해 더 잘 알게 되고 그 지식을 바탕으로 위험을 잘 이해하고 위협으로 부터 보호 및 기회를 포착해 사전 조치를 취할 수 있게 된다. 이러한 추세에 따라 ISO 27002 표준에 위협 인텔리전스가 추가되어 개정됨에 따라 2022년 3월 발효될 예정이다.참고로 위키피디아에서는 위협 인텔리전스를 어플리케이션 및 시스템에 위협이 되는 정보를 계획, 수집, 처리, 분석, 배포하는 '주기적 관행'으로 정의하고 있다.실시간으로 정보를 수집해 컴퓨터, 어플리케이션 또는 네트워크에 대한 위협을 식별하기 위해 위협 환경을 보여주는 것이다.