검색결과
-
[스위스] 국제표준화기구(ISO), 정보 보안 및 사이버 보안, 프라이버시 보호 등 ISO/IEC 27400:2022 표준 발표스위스 제네바에 본부를 둔 국제표준화기구(International Organization for Standardization, ISO)에 따르면 국제전기표준회의(International Electronical Commission, IEC)와 공동으로 정보 보안 및 사이버 보안, 프라이버시 보호 등에 관한 ISO/IEC 27400:2022 표준을 발표했다.ISO/IEC 27400:2022 표준은 사이버보안-사물인터넷(IoT) 보안 및 개인정보 보호-지침 등에 관한 표준이다. IoT 보안 및 개인 정보 보호를 위한 위험, 원칙, 통제에 대한 지침을 제공한다.네트워크 연결 시 보안이 취약한 장치는 조직 전체에 위험을 초래한다. 취약한 암호 인증에서 버그가 넘쳐나는 취약한 소프트웨어까지 보안에 대한 우려는 매우 다양하다.따라서 ISO/IEC 27400:2022는 조직이 네트워크 전체에 연결된 모든 장치의 보안 문제를 해결하는데 도움이 된다.ISO/IEC 27400은 IoT 시스템이 고도로 분산돼 있고 다수의 다양한 실체를 수반하기 때문에 정보 보안을 위한 특별한 과제를 제시하고 있다.표준 문서의 보안 및 개인 정보 보호 통제는 IoT 시스템 환경의 이해 당사자를 위해 개발됐다. IoT 시스템 수명 주기 동안 각 IoT 이해 당사자에 의해 활용된다.개인정보보호 또는 개인 식별 가능 정보(personally identifiable information, PII) 보호는 일부 유형의 IoT 시스템의 중요한 관심사항이다.IoT 시스템이 PII를 취득하거나 사용하는 경우는 일반적으로 PII의 취득, 저장, 처리에 적용되는 법률과 규정이 있다.참고로 IoT는 '다른 디바이스와 시스템과 연결되거나 데이터를 교환하는 센서, 소프트웨어, 기타 기술과 같이 연결된 물리적 객채'로 정의된다. 통신을 위해 인터넷이나 기타 통신 네트워크를 활용한다.
-
[스위스] 국제표준화기구(ISO), ISO/IEC 27036 정보보안 및 사이버 보안, 개인정보보호 등 표준 개발스위스 제네바에 본부를 둔 국제표준화기구(ISO)에 따르면 ISO/IEC 27036 표준은 정보 보안 및 사이버 보안, 개인 정보 보호와 관련이 있는 IEC와 ISO 기술위원회에 의해 개발됐다.기업이 중요한 데이터를 저장하기 위해 클라우드 회사를 포함한 제품 및 서비스 구입 시 타사 공급업체에 의존하게 된다.따라서 ISO/IEC 27036은 사이버 보안의 관점에서 구매자와 공급업체 모두에게 위험을 초래할 수 있다고 지적한다. 조직 스스로 공급망 공격의 결과로부터 보호해야 된다.합의 기반 국제 표준은 최고의 사례를 근거로 하고 있다. 전 세계 전문가들의 통찰력은 신뢰할 수 있는 지침과 조언을 제공한다.이러한 과정을 통해 개발된 국제 표준은 공급망 전체에 걸쳐 조직들의 위험을 관리해야 되며 공급자와 취득자의 관계를 정의하고, 구현, 운영, 모니터링, 검토, 유지, 개선하기 위한 정보 보안 요구사항을 식별한다.ISO/IEC 27036:2022 표준은 ISO/IEC 27036-1, ISO/IEC 27036-2, ISO/IEC 27036-3, ISO/IEC 27036-4 등 4개의 파트로 구성돼 있다.첫째, ISO/IEC 27036-1은 사이버보안 - 공급업체 관계 - Part 1 : 개요 및 개념에 관한 표준이다. 둘째, ISO/IEC 27036-2는 사이버보안 - 공급업체 관계 - Part 2 : 요구사항에 관한 표준이다.셋째, ISO/IEC 27036-3은 정보기술 - 보안기술 - 공급업체 관계를 위한 정보보안 - Part 3 : 정보통신 기술 공급망 보안 지침에 관한 표준이다.넷째, ISO/IEC 27036-4는 정보기술 - 보안기술 - 공급업체 관계를 위한 정보보안 - Part 4 : 클라우드 서비스 보안 지침에 관한 표준이다.이중 파트 2 요구사항은 공급망 및 클라우드 서비스 보안을 포함한 공급업체 관계에 대한 포괄적인 지침을 함께 제공하고 있다.
-
[벨기에] 유럽연합(EU), 암호화폐 이체를 전통적인 은행 이체와 같은 돈 세탁 규칙을 적용유럽연합(European Union, EU)에 따르면 암호화폐(cryptocurrency) 이체를 전통적인 은행 이체와 같은 돈세탁 규칙을 적용하는 원칙에 합의했다.2022년 6월 27일 EU 협상단은 27국을 대상으로 포괄적인 암호 규제안인 암호자산 시장(Markets in Crypto Assets, MiCA)에 대해 최종 세부 사항을 결정했다.협상단은 비트코인 등 암호화폐 거래 추적에 관한 첫 번째 규칙의 잠정 합의서에 서명했다. 암호화폐 자산의 소유권이 바뀔 때, 출처와 수혜자 모두의 정보가 양측에 저장돼야 된다.규칙에는 시장 조작, 자금 세탁, 테러 자금 조달 및 기타 범죄 행위를 방지하기 위한 조치가 포함돼 있다. 암호화폐 기업은 자금 세탁이나 테러 자금 조달과 같은 범죄 활동을 수사하는 당국에 관련 정보를 제공해야 된다.EU 소속 기관들은 암호화폐 추적 규칙을 최종 승인하기 전에 필요한 기술적 세부 사항을 검토하고 있다. 최종 승인을 거쳐 2024년 발효가 예상된다.EU가 트렌드를 결정해 사실상 글로벌 표준이 된 데이터 개인정보보호정책처럼 암호화폐 규제 역시 세계적으로 영향력이 클 것으로 예상된다.이번에 합의한 EU의 암호화폐 규정은 사실상 세계 최초의 포괄적인 암호화폐 규제다. EU가 어떻게 대처해 나갈것인지 면밀히 검토할 국가가 많을 것으로 예측된다.특히 자체 규칙을 처음부터 제정할 여력이 없는 국가는 EU가 채택하고 있는 규칙 몇가지 세부 사항을 바꿔 유사하게 채택할 것으로 전망되기 때문이다.EU의 규칙은 금융 안정성 유지를 목표로 하고 있으나 최근 암호화폐 관련 정책 충돌로 감독당국의 우려가 커지고 있다.2022년 5월 스테이블코인 테라USD가 붕괴되면서 약 US$ 400억달러로 추정되는 투자금이 사라졌다. 이러한 붕괴가 규제에 대한 요구를 폭발시켰으며 주요 국가는 대처 방안을 고려하기 시작했다.미국 조 바이든 대통령은 2022년 3월 암호화폐에 대한 정부 감독에 대한 행정명령을 통해 금융 안정성과 국가 안보에 미치는 영향을 연구하라고 명령했다. 동년 5월 캘리포니아주가 연방정부와 함께 암호화폐에 폭넓게 대응하는 방법을 공식적으로 검토하기 시작했다.독일 등 몇몇 유럽 국가들은 기본적인 암호 규정을 이미 보유하고 있다. 영국은 일부 암호화폐 규제 계획을 공개했다.향후 EU의 최종 목표는 한 국가에 기반을 둔 암호화폐 회사가 다른 회원국에서 서비스를 제공할 수 있도록 블록 전체에 규칙을 적용하는 것이다.
-
정보보호 소프트웨어(SW) 조달단가계약 쉬워진다조달청(청장 이종욱)은 그동안 CC인증*을 받은 정보보호 SW에 대해서만 단가계약을 체결하던 것을 소프트웨어 품질인증(이하 GS인증)을 받은 정보보호 SW도 단가계약을 체결하도록 관련 규정**을 개정하고 12월 27일부터 시행에 들어간다. * CC(Common Criteria)인증 : 정보기술 보안평가를 위한 공통평가 기준 ** 상용소프트웨어 제3자단가계약 업무처리기준, 상용소프트웨어 제3자단가계약추가특수조건 이번 제도개선은 보안적합성 검증체계* 개편으로 공공부문의 정보보호 SW 도입요건이 완화**됨에 따라 정보보호SW 개발 촉진과 공공조달시장 판로 확대를 위해 이루어졌다. * 국가기관, 지자체, 학교, 공공기관 등이 도입하는 IT보안제품의 안정성 검증 제도 ** CC인증 요구 → 도입기관 및 제품 유형별로 완화된 보안인증 요구(CC인증 외에 보안기능확인서, 성능평가서, 암호모듈확인서, 신속확인서 허용) 주요 내용을 살펴보면 다음과 같다. 먼저 기존에는 CC인증을 받은 정보보호 SW만 단가계약 신청이 가능했지만 CC인증이 없어도 GS인증만 받으면 단가계약 신청이 가능하게 되었다. 다만, 바뀐 보안적합성 검증체계에 따라 SW 도입기관과 제품 유형별로 받아야 하는 보안인증 요건은 충족해야 한다. 계약기간은 연장기간을 포함하여 최대 6년이며, 보안기능확인서 등 계약 및 납품에 필요한 보안인증의 유효기간 중 가장 먼저 도래하는 만료일지 까지만 계약할 수 있다. 최근 정보보안의 중요성이 높아지고 있는 가운데 이번 계약제품 확대에 따라 구매기관과 납품기업이 반드시 준수해야 할 사항이 있어 주의를 요한다. 구매기관과 생산기업은 납품요구 또는 납품 전에 해당 제품이 도입기관 및 제품 유형별 도입요건을 충족하는지 반드시 확인해야 한다. 조달청은 구매기관과 생산기업의 업무편의를 위해 도입기관 및 제품 유형별 도입요건을 상세히 안내하고, 필요사항을 확인·입력해야 구매절차를 진행할 수 있도록 구매 플랫폼인 디지털서비스몰* 기능을 개선할 예정이다. * 조달청이 운영하는 상용SW, 디지털서비스 등 SW·ICT 제품·서비스 전용 구매 플랫폼(온라인 쇼핑몰) 백승보 신기술서비스국장은 “이번 제도개선으로 그동안 CC인증을 획득하지 못해 공공시장에 진입하지 못했던 정보보호 SW 개발·생산 중소기업의 공공조달시장 진입이 활발해질 것으로 기대한다.”며, “앞으로도 상용SW 공공조달과 관련된 규제를 지속적으로 개선해서 공공조달을 통한 SW 산업발전과 기업 성장을 적극 지원하겠다.” 고 말했다. 이번에 개정된 규정 전문은 조달청 누리집과 나라장터, 디지털서비스몰 등에서 확인할 수 있다.
-
[캐나다] 솔트 엣지(Salt Edge), 5월 ISO/IEC 27001:2013 인증받아▲솔트 엣지(Salt Edge) [출처=홈페이지] 캐나다 핀테크 업체인 솔트 엣지(Salt Edge)에 따르면 2022년 5월 ISO/IEC 27001:2013 인증을 받았다. ISO/IEC 27001:2013 표준은 위협으로부터 데이터를 보호하는 정보보호경영시스템 관련 표준이다.특히 ISO/IEC 27001:2013 표준은 정보보안을 관리하기 위해 높은 요건을 제정한 잘 알려진 국제 표준 중 하나다. 정보보안 관점에서 기업이 노출될 수 있는 위험을 평가한다.또한 기업이 자체적으로 관리하고 있는 데이터를 보호하는데 있어서 효율성을 지속적으로 증가시키는데 목적이 있다. 솔트 엣지는 2018년 ISO 27001 인증을 받았다.따라서 솔트 엣지의 고객과 최종 사용자는 자신들의 데이터를 충분하게 보호받는다는 것을 보장받게 된다. 잠재적 위험은 충분하게 완화된다.데이터를 안전하게 관리하는 것이 회사의 주요 미션이기 때문에 정보보안은 솔트 엣지의 핵심이다. 매 3년 마다 새롭게 재인증을 받고 있으며 정책, 실행, 절차에 대해서는 매년 감사를 받는다.참고로 ISO/IEC 27001:2013은 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증이다. 정보보호정책, 물리적 보안, 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의 엄격한 심사와 검증을 통과해야 인증을 받을 수 있다.
-
[미국] PRI Registrar, 표준협회(ANAB)로부터 ISO 17021와 ISO 27006 인증 요건 통과미국 비영리 시험인증기관인 PRI(Performance Review Institute) Registrar에 따르면 2022년 6월 ISO 17021와 ISO 27006 인증을 위한 엄중한 요건을 통과했다. 해당 인증은 미국 표준협회(ANAB)로부터 받았다.정보보호경영시스템(ISMS) ISO/IEC 27001:2013 표준은 정보보호경영시스템에 관한 국제적으로 잘 알려진 표준이다. ISO 27001은 조직 내부에서 정보보호경영시스템을 구축, 이행, 유지, 지속적인 개선을 위한 요건을 정의한다. 조직의 필요성에 대한 정보보호의 측정과 처리에 관한 요건을 모두 포함한다.현재 사이버범죄가 기승을 부리면서 데이터 침해는 조직의 연속성에 대한 심각한 위험이다. 기술은 지속적으로 변하고 있으므로 정보보호시스템의 수용은 안전하고 확신에 찬 방식으로 새로운 기술을 사용하도록 돕는다.정보보호경영시스템 인증을 받았다는 것은 다양한 이해관계자에게 기업이 세계 최고 수준의 위험 기반 데이터보호경영시스템을 운용할 수 있다는 것을 보여준다.PRI(Performance Review Institute)는 ISO 27017와 ISO 27018이라는 2가지 관련 인증 서비스를 제공한다. 전자는 정보보호위험에 관한 완벽한 통제를 구축하는 클라우드 기반의 정보를 위한 실행의 국제 코드이다.클라우드 서비스 제공자로서는 ISO 27001 인증을 이미 받았다. ISO 27017는 고객의 정보 안전을 확신하는데 도움을 주는 보조 표준이다.ISO 27018은 개인적으로 인증가능한 정보(PII)을 관리하는데 사용된다. PII의 심각한 볼륨을 처리하는 클러우스 서비스 제공자는 ISO 27018 인증을 받거나 ISO 27001 및 ISO 27017의 결합에 의해 인증을 받는다.참고로 PRI(Performance Review Institute)는 1990년 설립된 비영리 무역협회이다. 안전과 품질에 목표를 둔 산업에서 활동하는 이해관계자와 협력해 프로세스와 제품 품질을 개선하는데 초점을 둔 산업 관리 프로세스 인증 프로그램을 관리한다.
-
[영국] AGSL(Asset Guardian Solutions Ltd), 5월 ISO/IEC 27001 인증 획득영국 소프트웨어 개발업체인 AGSL(Asset Guardian Solutions Ltd)에 따르면 2022년 6월 ISO/IEC 27001 인증을 획득했다. ISO/IEC 27001는 정보보호 관리체계에 대한 인증이다.ISO/IEC 27001 프레임워크는 AGSL는 기업의 정보자산의 비밀성, 통합, 가용성 등을 보호하기 위한 우호적인 접근을 가능케 한다. 국제표준화기구(ISO)와 국제전기표준회의(IEC)에 의해 관리되는 표준이다.정보보호 관리에 관한 표준을 획득했다는 것은 AGSL이 사이버보안 공격, 데이터 유출, 데이터 절도 등과 같은 정보 위험을 관리하는 정책, 절차, 프로세스, 시스템을 구현하고 있다는 의미이다.AGSL은 파트너, 고객에 속한 정보가 매우 중요하다고 인식하고 있다. 따라서 정보의 안전한 관리는 비지니스 업무의 최우선 업무에 속한다.2004년 설립된 AGSL은 기업의 운영과 생산 프로세스를 통제하는데 사용되는 프로세스 통제 시스템 소프트웨어의 통합을 보호하는 소프트웨어를 개발하고 있다.2022년 6월 현재 오일 & 가스, 전력회사, 발전소, 석유화학, 제약, 운송, 식음료 산업 등에 사업을 영위하는 다양한 기업을 대상으로 서비스하고 있다.
-
[중국] 알리바바, 메타버스 표준 포럼(Metaverse Standards Forum) 창림 멤버로 참여중국 전자상거래 대기업 알리바바 그룹 홀딩(Alibaba Group Holding)에 따르면 세계 최초 국제 메타버스 표준 기구의 창립 멤버가 되었다. 메타버스 표준 포럼(Metaverse Standards Forum)은 지난 6월 21일 37개 펀딩 멤버들이 참여해 설립됐다.국제표준 제정 기관인 크로노스 그룹(Khronos Group)이 의장을 맡아 2022년 7월 첫 회의가 개최될 예정이다. 메타버스 표준 포럼은 개방형 메타버스 개발을 위한 표준 제정이 목표다.참여 회원은 중국의 알리바바 그룹 홀딩, 통신장비 대기업 화웨이 테크놀로지, 메타, 마이크로소프트, 엔비디아, 퀄컴 테크놀로지스, 어도비, 엔비디아, ASWF 등 세계적인 기술 대기업이 참여하고 있다.포럼의 활동은 회원들의 요구 및 이해관계에 따라 결정되며 포럼의 활동 및 프로젝트 영역은 다음과 같다. 우선 대화형 3D 자산 및 사실적인 렌더링, AV, VR, XR을 포함한 휴먼 인터페이스 및 상호 작용 패러다임, 사용자가 만든 콘텐츠 등이 포함된다.또한 아바타, ID 관리 및 개인정보보호, 금융거래, 사물인터넷(IoT) 및 디지털 트윈, 지리공간 시스템 등을 망라한다. 이외에도 다양한 기술 영역이 포함될 수 있다.
-
[스리랑카] DOK Solutions Lanka, 5월 ISO 27001 인증 획득스리랑카 기록관리 및 비지니스 아웃소싱 서비스 제공업체인 DOK Solutions Lanka에 따르면 2022년 5월 ISO 27001 인증을 획득했다.ISO 27001 인증을 받았다는 것은 고객의 데이터 및 정보를 관리하는 기업이 최적의 지원 툴을 확보하고 있다는 의미이다. ISO 27001은 정보보호관리시스템 관련 인증 표준이다.현재 DOK Solutions Lanka는 글로벌 고객들에게 DOK 솔루션을 서비스하고 있다. 이러한 솔루션이 다른 경쟁업체에 비해 안전하다는 의미이다.위험 평가, 정책, 통제를 실행함으로써 정보 자산과 민간한 데이터의 개선, 개발, 보호 등을 지속적으로 신천하고 있다. 고객의 정보가 다양한 위험에 노출되는 것을 예방함으로써 새로운 사업기회를 창출하도록 돕는다.이번 ISO 27001 인증을 받은 것은 사업을 시작한지 11년만이다. 특히 B2B 서비스에서 고객이 자신들의 기로게 접근하는 것을 쉽게 해야 할뿐만 아니라 어떠한 정보보호 위반도 예방해야 한다.2010년 설립된 DOK Solutions Lanka는 스리랑카에 위치한 공공기관과 민간기업을 대상으로 물리적 아카이빙, 문서 스캔, 디지털 아카이빙, 데이터 수집, 정책관리, 업무 프로세스 아웃소싱 등의 서비스를 제공한다.현재 3개의 예술문서 아카이빙 창고와 문서 디지털화와 데이터 입력 센타도 운영 중이다. 지난 10녀 ㄴ동안 매년 매출액이 21% 이상 성장하고 있으며 다양한 서비스 영역을 확대했다.주요 고객은 은행, 보험회사, 금융회사, 민간 병원, 교육기관, 제조업체, 유통업체 등을 포함해 대부분의 산업을 망라한다. 주소는 752 Bellatrix Building Orion city Dr, Dr Danister De Silva Mawatha, 00900, Sri Lanka이다.
-
[바레인] 베네피트(BENEFIT), 5월 ISO 27001 인증 획득▲베네피트(BENEFIT) 임직원 사진 [출처=홈페이지] 바레인 핀테크 업체인 베네피트(BENEFIT)에 따르면 2022년 5월 ISO 27001 인증을 획득했다. ISO 27001은 국제표준 정보보호 인증이다.ISO 27001를 인증받았다는 것은 모든 정보자산을 완벽하게 보호할 수 있는 시스템을 구축했다는 의미를 갖는다. 정보자산은 재무정보, 지식재산, 직원 개인정보, 제3자로부터 위탁을 받은 정보 등을 포함한다. 또한 ISO 27001 표준은 정보보호관리시스템(ISMS)이 보안영역에서 최상의 업무 처리 방안이라는 점은 명확하게 해준다. 베네피트는 회사의 모든 업무에 예외없이 ISO 27001 표준을 적용할 방침이다.현재 핀테그 산업 자체가 사이버 위협에 대해 민감하게 반응하고 있는 상황에서 정보보호 인증을 받은 것은 사업 전개에 유리할 것으로 판단된다.참고로 베네피트는 1997년 설립됐으며 바레인 중앙은행(CBB)로부터 면허를 받았다. 바레인과 주변 국가의 다양한 산업 영역에서 혁신적인 지불 능력, 정보관리솔루션, 비지니스 아웃소싱 서비스 등을 제공한다.이러한 사업을 영위함에 있어서 은행의 현금자동입출금기(ATM), 판매시점관리(POS) 등의 운영 업무와도 밀접하게 연관된다. 베네피트는 CBB가 규제하고 있는 바레인 은행들이 소유하고 있는 업체다.