• 2018년 5월부터 25일부터 시행되고있는 EU의 개인정보보호 법령 위반시 과징금 등 행정처분 부과
• EU내 사업장이 없더라도 EU를 대상으로 사업을 하는경우 적용대상이 될수 있음
• 모든 EU 회원국에게 직접적으로 적용

GDPR 제정 목적 및 주요변화

• 디지털 단일시장에 적합한 통일 되고 단순한 프레임 워크

  • 단일 개인정보보호법 적용(One single set of data protection rules)
  • 원스톱샵 메커니즘(One stop shp : 1 interlocuotor and 1 interpretation)

• 권리와 의무 강화

  • 권리(Stronger rights ) ,의무(Clearer obligations), 신뢰(More trust)
  • 정보주체 권리 확대: 동의 요건 강화, 데이터 이동권/잊혀질 권리 등 도입
  • 기업의 책임성 강화: DPO 지정, 개인정보 유출 통지 신고제 등 도입

• 현대화된 개인정보보호 거버넌스 체계 마련

  • 개인정보 감독기구간 협력 강화(예: 공동조사)

  • 법 적용의 일관성을 보장하기 위한 European Data Protection 설립 (2018)

  • 신뢰할 수 있고, 비례적인 제재 부과(Credible and propotionale sanctions)

    (예: 위반의 성격, 기간, 경중 등 11가지 기준 고려)

GDPR 적용 대상 범위

• EU 내에 사업장(estabishment)을 운영하며, 개인정보 처리

• EU 거주자에게 재화나 서비스를 제공

• EU 거주자의 EU 內 행동을 모니터링

• GDPR 정요 대상은 '국적'이 아닌 'EU 거주자'에 해당하는 고려

  • 따라서 EU 국적자의 개인정보가 한국에서 수집 처리 되는 경우, GDPR이 적용되지 않을 수 있지만, 한국의 정보가 EU 역내에서 수집 처리 되면 EU 거주자에 해당되며 GDPR이 적용될 수는 있음.

• '명백히' EU시장을 염두에 두고 있을 떄 적용되며, 단순 접근 가능성은 GDPR 적용의 근거가 되지 않음

  • 기업이 재화나 서비스를 유로화 유통하거나 프랑스어, 독일어 등으로 홈페이지 구성할 경우 명백한 타겟팅의 근거가 되지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제 대상이 되지 될수 있음

기업 입장의 단계별 준비 사항

• GDPR 적용여부, 개선 소요시간 등을 고려 3단계로 나누어 준비

  • 1단계: 개인정보 처리 현황을 점검하여 GDPR 적용 대상인지 확인
  • 2단계: GDPR 적용 대상인 경우 기 배포된 안내서, 가이드라인 등을 참고하여 개인정보보호책임자(DPO) 지정 등 직시 개선 가능한 사항 이행
  • 3단계: GDRP 기준에 적합한 개인정보 처리 방법, 동의 획득 절차 등 내부 지침을 개선하고 영향평가 등에 소요되는 예산, 조직 등 보완

• GDPR 적용 대상인지 여부 판단

  • EU 주민의 개인정보를 처리하는 아래 기업은 GDPR 적용 대상임

  • - EU에 사용장을 운영하는 기업(지점, 판매소, 영업소 등)
    - EU 지역에 사업장은 없지만, 인터넷 홈페이지등을 통해 EU에 거주하는 주민에게 물품,서비스를 제공하는 기업 
    - 예) 현지어로 마켓팅 활동을 하거나 현지 통화로 결제하는 경우

    특히, 아래 기업은 더 강화된 기준을 적용받으므로 특별한 주의를 요함
    - EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등) 또는 아동의 개인정보를 처리하는 기업
    - 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업(CCTV)

• 즉시 개선 가능한 사항 이행

  • 개인정보보호 책임자(DPO, Data protection Officer) 지정

    • - 개인정보보호 관련지식 및 실무경험을 갖춘 자로 책임자 지정
      - 특히, 정보주체에 대하여 정기적이고 체계적인 모니터링을 하거나 건강정보 등 민감한 정보를 처리하는 기업은 반드시 필요

  • 개인정보 처리활동 기록 유지, 관리

    • - GDPR 준수를 입증하기 위해 개인정보 처리활동에 관한 기록 유지 
      - 종업원 수 250명 이상인 기업 또는 건강,유전정보,범죄경력 등 민간 정보를 처리하는 기업의 경우에는 필수적으로 유지 관리해야함.

  • 역내 대리인으로 서면으로 지정(해당되는 경우에 한함)

    • - EU 역내에 사업장이 없는 기업은 EU 역내 대리인 지정 필요
      - 다만, 정부부처 또는 관련 기관경우, 해당 처리가 간헐적 소규모의 개인정보 처리로 민감정보로 처리하지 아니하고 개인의 권리와 자유렝 대한 위험이 낮은 경우 대리인을 지정하지 아니할 수 있음

• 제도, 예산, 조직 등 업무체계 보완

  • 기업 내 개인정보 처리현황 점검 및 내부 업무절차 개선

    • - 보관중인 개인정보의 항목(민감정보 포함 여부 등) 동의 획득 절차, 정보주체 권리보장, 유출시 조치 방법 등 제반사항을 점검하고 GDPR 요구 수준을 충족할 수 있도록 내부 업무 처리 절차 개선

  • 개인정보 영향평가 실시(해당 되는 경우에 한함)

    • - 개인정보 처리 유형에 따라 개인의 권리 자유에 고위험을 초래할 우려가 있는 경우에는 사전에 영향평가를 실시하여 위험을 완화
      - 특히, 개인에게 중대한 영향을 미치는 자동 처리, 대규모 민감정보, 공개장소서의 체계적 모니터링 등의 경우는 반드시 실시해야 함.

  • 개인정보 국외 이전에 대한 적법성 확보(해당되는 경우에 한함)

    • - 표준계약의 체결, 회사의 구속력 있는 기업규칙(BCR)의 승인, 승인된 행동 규약 또는 인증제도, 정보주체의 동의 등을 통한 적법성 확보

• 영국 개인정보 감독 기구에서 권장하는 준비사항

  1. 경영진의 인식 제고

     • 주요 의사 결정권자 등의 인식제고와 예산, 인력 등을 포함한 전사적 대응방안을 준비

  2. 보유하고 있는 정보에 대한 이해

     • 보유하고 있는 개인정보의 종류와 수집 경로, 처리 절차 등을 분석해 이를 문서화하고, 유출 사고 등 비상시에 대비한 대응 절차를 마련

  3. 기업 내부의 개인정보 처리 방침 수립

     • 현재의 개인정보 처리 방침을 검토하여 GDPR 준수에 필요한 내부 관리 지침을 마련 및 보완

  4. 정보주체의 권리에 대한 이해

     • 개인정보 열람권, 삭제요구권, 개인정보 이동권 등 정보주체에게 보장된 권리를 이해하고, 이를 보장할 수 있는 절차 마련 및 임직원 교육 실시

  5. 정보주체의 권리보장 방안 마련

     • 정보주체의 요청을 기한 내에 처리하고 필요한 추가 정보를 제공할 수 있도록 필요한 절차와 계획을 수립

  6. 개인정보 처리의 법적 근거 확보

     • 처리하고 있는 정보의 내용과 유형을 점검하고, GDPR상의 위반사항이 있는지 확인, 필요시 정보주체의 동의를 받는 등 법적근거를 확보해야 함

  7. 동의 획득 절차 수정 및 재획득

     • 동의 획득 절차를 재점검해 수정이 필요한 부분이 있는지 검토하고, GDPR 기준을 충족하지 못한 경우 기존의 동의를 기준에 맞게 재획득

  8. 아동의 동의 획득 방안 강구

     • 정보주체의 연령을 확인하고, 아동의 정보처리 활동에 대해 부모 또는 보호자의 동의를 얻을 수 있는 절차 마련

  9. 개인정보 유출 통지 절차 마련

     • 개인정보 유출 사고를 탐지하고 감독기구, 정보주체 등에 통지 및 조사하는 적합한 절차를 마련

  10. 개인정보 영향평가 도입

      • 영향평가 관련 조항 지침을 숙지하고, 영향평가 의무 수행 요건 및 수행 방법을 조직내에서 공유

  11. DPO(개인정보보호책임자) 임명

      • 전문직 지식과 실무 경험이 있는 전문가를 지정

  12. 관할 감독기구 확인

      • 하나 이상의 EU 국가에서 개인정보 처리 활동을 수행할 경우, 어느 국가의 감독 기구 관할인지 확인 필요

접수

7.3(월) ~ 7.31(월)

서류 전형

8.2(수) ~ 8.4(금)

필기 시험 ◦ 인적성 검사

8.8(화) ~ 8.12(토)

AI 면접

8.16(수)

최종 합격

8.21(일)

교육기간

23.09.01 ~ 24.03.31

웹이란 ?

• 웹은 인터넷의 하위 개념인 World Wide Web(www)을 말하며, 특수한 형식의 문서 HTML이나 이미지 ,동영상 등이 웹 리소스를 인터넷과 하이퍼 텍스트를 통해 서로 연결한 시스템

• 흔히 사람들은 웹사이트를 탐색하는 행위를 일컬어 "인터넷을 한다"는 웹과 인터넷을 동일한 개념으로 혼용하곤 하지만, 사실 인터넷과 웹은 서로 다른 개념.

• 인터넷이란 TCP/IP 프로토콜을 통해 연결되어 있는 대규모 글로벌 네트워크. 인터넷과 하이퍼 텍스트는 웹이 생기기 이전부터 이미 존재했었으나 그 누구도 이 기술을 이용해 문서와 문서를 연결하는 방법을 생각하지 못했고, 1989년경 팀 버너스 리(Tim Berners Lee)는 과학자들이 데이터를 보다 쉬운 방법으로 공유할 수 있도록 웹을 발명.

• 웹의 탄생과 발전으로 인해 세상의 모든사람이 서로 연결되고, 정보를 공유, 소통할 수 있게 되었습니다.

웹 리소스란 ?

웹을 통해 요청되는 대상을 웹 리소스(Web Resource)라고 하며 웹에서 사용되는 모든 컨텐츠. 웹 리소스에는 HTML, CSS , JAVASCRIPT, 텍스트, 이미지 등이 있다.

웹 리소스 식별하기

웹 리소스는 URI를 통해 식별

• URI(Uniform Resource Identifier)는 통합 리소스 식별자이며, 앞서 말했듯 URI란 인터넷상에 있는 웹 리소스를 고유하게 식별할 수 있는 식별자.

  • URI, URL은 보통 의미의 구분 없이 사용되곤 하지만 두용어에는 약간의 차이가 있다. URL(Unifrom Resource Locator)은 인터넷상의 리소스의 위치를 나타냄, URL에서의 리소스는 하나의 파일을 의미하며, 바꿔 말하면 웹 상에서 접근할 수 있는 문서, 이미지, 동영상 등의 파일의 위치를 말함.

• 사용자 프로필사진 을 볼수 있는 아래와 같은 형식은 URL이며 동시에 URI도 될수 있다.

  https://www.bugbountyclub/profile/myphoto.jpg 

• PHP로 구성된 블로그 특정

  https://www.bugbountyclub.com/blog.php?category_no=1&article_no=1 

  위 형식은 URL과 URI가 다른 의미로 사용.

  여기서 URL은 https://www.bugbountyclub.com/blog.php라는 PHP 파일까지, 그리고 blog.php 파일을 통해 백엔드 데이터 저장소에 저장된 특정한 게시글을 식별하기 위해 사용된 category_no=1&article_no=1 이 부분을 쿼리스트링이라고함. 까지를 통틀어 URI라고 한다.

  

  • 즉 URL은 URI에 속하는 형태 중 하나로 URI가 더 큰 개념이라고 할 수 있다.

    이와 같이 URL과 URI의 의미는 약간의 차이가 있다. 반드시 구분해서 사용할 자리가 아니라면 그냥 URL 을 사용해도 무방

URI구조는 어떻게 생겼을까?

웹을 통해 리소스를 식별하고 요청하기 위해서는 URI가 사용된다는 것을 알았습니다. 따라서 URI의 구조가 어떻게 생겼는지 이해하고 있어야한다.

URI는 일반적으로 아래의 형태에 따라 선택적으로 사용

Scheme://Username:Password@Host:Port/Path?Query#Fragment

각 구성요소에 대한 의미는 다음과 같다.

• Scheme: 어떤 프로토콜을 사용하여 리소스를 요청할지를 의미. 웹인 경우 http, https를 사용하며, ftp, file 등을 프로토콜을 사용하기도 한다.
• Username: 요청하는 리소스가 인증이 요구되는 경우 리소스에 접근하기 위한 사용자 이름을 의미
• Password: 요청하는 리소스가 인증이 요구되는 리소스인 경우 리소스에 접근하기 위한 사용자 패스워드를 의미.
• Host: 클라이언트가 리소스를 요청할 대상 컴퓨터(서버).
• Port: 웹 서버의 특정 서비스에 접근하기 위한 포트번호를 의미, 웹은 80, 443 포트 사용
• Path: 호스트상의 리소스의 경로를 의미.
• Query: GET요청에서 데이터를 웹 서버로 전달할 때 사용.
• Fragment: 하나의 HTML페이지 내에서 특정 요소로 스크롤을 이동하기 위해 사용.

위의 형식에 다라 URI를 구분한 예시 , 연보라색 음영처리 부분을 구분자로 하여 각각의 파트가 구분되고 해석.

웹의 동작 방식과 구성 요소

사용자가 웹사이트를 방문 하는 상황을 그림으로 살펴 보자.

사용자가 웹 브라우저의 주소표시줄에 URL을 입력 후 이동하게 되면 위의 그림에는 표현되지 않았지만 웹브라우저는 제일 먼저 DNS 서버로부터 입력된 웹 주소의 IP주소를 알아냅니다. 그리고 웹브라우저는 HTTP를 통해 웹 서버에 웹 사이트의 사본을 요청하게 되고, 요청을 받은 웹 서버는 구동 중인 웹 애플리케이션에서 요청에 해당되는 웹 페이저를 찾아 웹 브라우저에게 응답으로 보내고, 응답을 받은 웹 브라우저는 웹페이지를 브라우저에 표시하게 된다.

• 웹을 구성하는 5가지 구성요소

  • 웹 클라이언트(Web Client): 요청을 하는 주체, 즉 사용자

  • 웹 브라우저(Web Browser): 사용자가 웹 서버에 요청을 보내기 위해 사용한 소프트웨어

  • HTTP(Hyper Text Transper Protocol): 웹을 통한 정보 전송을 위한 통신프로토콜(규약)

  • 웹 서버(Web Sever): 웹 브라우저의 요청에 해당되는 웹 페이지를 제공하는 주체.

  • 웹 애플리케이션(Web Application): 웹 브라우저를 통해 접근할 수 있는 응용 프로그램.

웹 클라이언트

웹 브라우저를 이용하여 요청을 하는 사용자 자체를 의미

웹 브라우저

웹 브라우저는 웹상의 정보에 접근하기 위한 소프트웨어, 사용자가 특정 웹사이트의 웹 페이지를 요청하면 웹 브라우저는 웹 서버로부터 필요한 컨텐츠를 받아서 사용자의 디바이스에 표시.

즉, 웹사이트를 방문하여 문서를 검색하고, 웹사이트의 다양한 기능을 사용하기 위해서 사용되는 일종의 응용 프로그램.

웹 브라우저 종료로는 구글의 크롬, 애플의 사파리, 마이크로소프트의 엣지, 오페라 등이 있으며, 이 중에서 현재 전 세계적으로 시장 점유율이 높은 웹 브라우저는 크롬.

HTTP (Hyper Text Transfer Protocol)

HTTP는 웹에서 HTML 문서를 주고 받기 위한 OSI 7 Layer상의 7계층(Application Layer)에 속하는 통신 프로토콜로, 웹의 핵심이 되는 통신 프로토콜이다. HTTP는 전통적인 클라이언트/서버 모델을 따르며, 메시지 기반의 요청과 응답을 통해 정보를 교환. 또한, HTTP는 비상태정(Stateless), 비연결성(Conetcionless)이라는 특징을 가지는데 다시 말해서 클라이언트의 요청에 서버가 응답을 보낸 후 연결을 유지하지 않고 종료시키며, 어떤 상태도 저장하지 않는다는 것을 말함.

이러 특징으로 인해 웹 애플리케이션에서는 사용자 추적을 위해 세션과 쿠키라는 것을 사용하게 된다.

HTTTP 2.0이란 ?

HTTP 2.0은 HTTP 1.1의 제약사항을 개선한 새로운 버전. 하나의 커넥션에 요청과 응답을 한번씩 주고 받는 HTTP 1.1 과 달리 하나의 커넥션에 여러 개의 요청과 응답을 병렬 처리할 수 있는 장점이 있다.

그 밖에 헤더 압축을 통해 HTTP 1.1에서 발생되는 연속된 요청에 존재하는 중복 헤더값을 제거함으로써 불필요한 부하를 줄일수 있다.

HTTP 요청

일반적인 HTTP 요청은 다음과 같이 요청 라인, 쵸헝 헤더, 빈 줄, 메시지 바디, 이렇게 종 네가지로 나뉘어 진다.

• 요청라인: 요청라인은 최상위에 있는 줄이며, 아래 형식과 같이 공백문자로 구분된 요청 메소드(Request Method), 요청 URI(Request-URI), HTTP 버전(HTTP- Version)으로 구성.

1) 전통적인 컨설팅 방법론

1. Lewin 모델

조직의 모든 수준의 변화 즉 개인, 집단 및 조직 등 여러 수준의 태도변화에 전반저긍로 적용될 수 있는 이론을 제시한다.

조직의 변화과정을 개인의 태도변화 과정과 동일한 방식으로 설명하면서 조직에서의 모든 수준의 변화, 즉 개인 • 집단 및 조직의 태도변화는 해빙(Unfreezing), 변화(Moving), 재동결(Re-freezing) 등 세 가지 단계를 거치며 이루어진다고 본다.

해빙(Unfreezing) -> 변화(Moving) -> 재동결(Re-freezing)

해빙(Unfreezing)

• 동기유발
• 문제도출
• 문제분석
• 대안도출
• 대안평가
• 실행계획수립

변화의 필요성을 인식시키고 동시에 변화가 원만히 진행되도록 준비하는 과정으로, 이 단계의 목적은 변화에 대한 동기를 유발시키고, 개인 및 집단으로 하여금 변화를 위한 준비를 하는 것이다. 변화에 대한 보너스, 특별수당 등으로 저항을 줄이면서 기존의 것에 대한 가치관과 태도를 전환시킨다.

변화(Moving)

• 수행팀 구성
• 변화실시
• 계획관찰 및 통제
• 변화결과분석

개개인이 변화에 대한 동기가 부여되며 새로운 행동을 받아들일 준비가 갖추어진다.

'변화로의 전환(Chagne Conversion)'이라고 불리는 이 단계에서는 조직구성원으로 하여금 만족감과 자아실현의 욕구충족을 경함하게 함으로써 새로운 제도와 가치관에 대한 수용(Compliance)을 유도하고 이를 동일화(Identification) • 내면화(Internalization) 시켜 나가는 단계이다.

재동결(Re-freezing)

• 변화결과 제도화
• 지속적 개선체계 구축

앞 단계에서 새롭게 형성된 가치관과 태도 등을 계속적으로 반복하고 강화함으로써 영구적인 행동패턴으로 고착시키는 과정으로 이 단계에서 중요한 것은 앞단계에서 일으킨 변화가 종전의 상태로 되돌아가지 않도록 노력이 계속되고 환경이 조성되는 것이다.

변화된 부서나 개인에게 그에 응당한 보상을 해주는 것은 변화된 상태를 안정화(Stabiliztion)시키고 시간이 지남에 따라 효과가 소멸되는 것을 예방하는 좋은 방법이다.

Lewin의 이론은 변화이행 연구의 시초로 이후 많은 학자들이 Lewin의 이론을 기반으로 하여 변화이행에서의 다단계 모델을 제시하기 시작.

2. Kolb & Frohman 모델

조직의 변화과정을 7단계로 파악하고,

1. 보안 컨설팅 정의

보안 컨설팅은 소프트웨어, 컴퓨터 시스템 및 네트워크의 취약성을 평가한 다음 해당 조직의 요구에 맞는 최상의 보안 솔루션을 설계하고 구현하는 것.

전문 보안 지식을 바탕으로 다양한 사이버 위협에서 기업 자산을 보호하는 서비스이다.

컨설턴트들이 공격자와 피해자의 역할을 모두 수행하며 취약성을 찾아 잠재적으로 악용하도록 요청받는다. 컨설턴트들은 현재 기업의 정보보호수준을 기업 전체를 대상으로 평가하고 그 다음에 그 기업에 맞는 정보보호 계획을 수립하는 절차를 수행한다. 보안 컨설팅은 해당 기업의 보안 수준 평가와 계획수립에 도움을 준다.

2001년 7월 1일 부터 시행된 정보통신기반보호법의 제정과 함께 국내 정보보안 컨설팅 시장이 활성화 되기 시작했다.

모의해킹과 같은 기술적 보안진단에 초점이 되어 해킹 위협으로부터 주용 정보자산을 보호하고자 시작된 정보보안 컨설팅이 이제는 해킹 위협으로부터 주요 정보자산을 보호하고자 시작되던 정보보안 컨설팅이 이제는 정보통신기반 보호법, 개인정보보호법, SOX, BAZEL-II와 같은 Compliance 측면에서 기업의 법/제도적 준수를 위한 체계수립 컨설팅에서부터 ISO27001, KISA/ISMS와 같은 국내외 정보보호관리체계인증을 준비하고 획득하기 위한 컨설팅으로 폭이 넓어짐.

보안은 기업의 자산, 인적자원, 정보 등이 어떤 의도되거나 인위적으로 조작된 불안전성이나 위험으로부터 상대적으로 예상가능한 안전한 상태나 상황을 유지하는 활동으로 정의된다.

컨설팅은 조직의 목적을 달성하는데 있어서 경영 • 업무상의 문제점을 해결하고 새로운 기회를 발견 • 포착하고, 학습을 촉진하며, 변화를 실현하는 관리자와 조직을 지원하는 독립적 자문서비스를 말한다. 그러므로 보안 컨설팅은 보안업무 추친을 지원하는 자문서비스 활동이라고 말할 수 있다.

목적

보안 컨설팅의 목적은 크게 네 가지로 상정할 수 있다. 조직의 목표 달성, 경영상의 문제 해결, 변화의 실행 및 학습의 증대 등이 있다.

먼저, 조직의 목표를 달성하는데 있어 전산시스템과 네트워크 등의 정보기술 자산과 조직에 일어날 수 있는 위험과 취약점을 분석하고 이에 대한 대책을 수립함으로써 관리자와 조직이 그 대책을 실현할 수 있도록 지원할 수 있으며, 궁극적으로 고객의 가치를 증진시키는데 기여할 수 있다.

둘째, 경영자 등 의사결정권자가 보안과 관련하여 당면한 문제를 올바르게 해결할 수 있도록 지원할 수 있다. 문제는 반드시 이루어져야할 바람직한 상태와 현재 상태와의 차이를 의미하며 보안컨설팅은 보안 경영의 다양한 분야에 관련된 문제들을 확인하고 이를 해결하기 위한 전문적인 도움을 제공하는 것.

셋째, 현재의 치열한 시장환경 속에서 기업이 성장 • 발전하기 위해서는 컨설팅 결과를 구현하는 과정이나 컨설팅 결과를 정리해 나가는 단계에서 구성원과 조직의 성공적인 변화를 관리하고 우도할 필요가 있다. 보안 컨설팅은 고객 조직으로 하여금 변화를 이해시키고 변화와 함께 생활하며 생존을 위해 지속적인 변화를 성공적으로 수행할 수 있도록 지원하는 것이다.

마지막으로 고객 조직과 임직원들이 그들 스스로를 위해 자신이 조직을 더욱 잘 운영해 나갈 수 있도록 교육 시킬 수 있다.

내용

① 기능

사이버 공격은 정부 데이터베이스, 금융 기관 네트워크 또는 개인용 컴퓨터를 겨냥하든 관계없이 매년 막대한 시간과 비용 손실을 초래한다.

예를 들어 해커가 신용카드 회사의 네트워크에 침입하면 몇 분 만에 수백만 달러의 손실이 발생할수 있다. 민감한 군사 정보는 잘못된 손에 있을 때 매우 위험할 수 있다.

아주 작은 기업이라도 고객의 데이터를 안전하게 유지하여 브랜드를 보호해야 한다. IT 보안 컨설팅은 소프트웨어, 컴퓨터 시스템 및 네트워크의 취약성을 평가한 다음 조직의 요구에 맞는 최상의 보안솔루션을 설계하고 구현해준다.

IoT

Cloud

Bigdata

Mobile

기본적으로 사물인터넷(IoT) 센서가 수집한 데이터를 클라우드(Cloud)에 저장하고 빅데이터(Big Data) 분석 기술로 이를 분석해서, 적절한 서비스를 모바일 기기 서비스 형태로 제공함으로써 관련 산업을 활성화하는 것입니다.

1. 5G, 네트워크, 유선,무선으로 연결된 사물들로부터 데이터 수집
2. 수집된 데이터를 클라우드 스토리지에 분산 저장
3. 분산 저장된 클라우드 서버의 데이터를 빅데이터 분석 기술로 분석
4. 분석된 결과는 모바일 사용자 기기에 의해서 소비되고 이를 기반으로 사용자 서비스 제공

핵심 기술

PaaS 기반 IoT 클라우드 기술

• IoT 포털 클라우드 서비스
• 멀티테넌트 IoT 리소스 관리
• 사용자 인증/관리

IoT 모바일

• 사물 DIT 매시업
• 위치기반 상황인식
• 이동성 지원

실시간 IoT 빅데이터 관리 기술

• 인메모리 기반 IoT 빅데이터 실시간 저장 / 분석 기술
• 사물 빅데이터 실시간 수집/처리 기술
• 실시간 IoT 이벤트 감지/분석 기술

IoT 공통 플랫폼 기술

• IoT 디바이스 관리
• Addressing/ID관리
• Global 자원 Discovery

1. IoT(Internet of Things)

IoT는 사물인터넷을 의미하며, 인터넷에 연결된 다양한 장치들이 서로 통신하고 데이터를 교환할 수 있는 기술. IoT는 센서, 액추에이터, 통신 네트워크, 클라우드 컴퓨팅 등을 포함. IoT 기술은 우리 주변의 다양한 장치들을 스마트하게 만들어 일상 생활에서 편의성과 효율성을 증대시키는 데 활용.

IoT 보안

IoT 기기는 다양한 통신 프로토콜을 사용하여 데이터를 전송하므로, 이러한 통신에 대한 보안이 중요. IoT 보안은 기기의 인증과 권한 관리, 데이터 암호화, 네트워크 보안 등을 포함. 또한, 제조사와 소비자 간의 업데이트 및 패치관리, IoT 기기의 물리적 보호 등도 고려되어야 함.

2. Cloud Computing

클라우드 컴퓨팅은 인터넷을 통해 컴퓨터 자원(서버, 스토리지, 소프트웨어 등)에 접근하여 필요한 서비스를 제공하는 모델. 사용자는 자체적으로 컴퓨터 자원을 소유 • 운영하지 않아도 원격으로 필요한 자원을 사용할 수 있다. 클라우드 컴퓨팅은 확장성, 유연성, 비용절감 등의 장점을 제공하며, 데이터 저장, 애플리케이션 실행, 인공지능 등 다양한 분야에서 활용.

클라우드 보안

클라우드 컴퓨팅 환경에서는 데이터와 서비스가 클라우드 서비스 제공업체의 인프라와 네트워크를 통해 처리되므로, 데이터의 기밀성, 무결성, 가용성 등이 중요하다. 클라우드 보안은 데이터 암호화, 접근제어, 네트워크 보안, 데이터 백업 및 복원, 서비스 제공자의 보안 정책 등을 포함. 또한 클라우드 공급자와의 계약 및 서비스 수준 협약(SLA)도 중요한 요소.

Big Data

빅데이터는 기존 데이터 관리 및 분석 도구로 처리하기 어려운 대량의 데이터를 의미.

이러한 데이터는 다양한 소스에서 생성되며, 고속 및 고용량 저장 시스템, 데이터 분석 기술, 데이터 시각화 도구 등을 활용하여 가치를 추출하고 의사 결정을 지원. 빅데이터는 비즈니스, 과학, 의료 마케팅 등 다양한 분야에서 사용되며, 예측 분석, 패턴 인식, 사용자 행동 분석 등에 활용.

빅데이터 보안

빅데이터는 대량의 데이터를 다루기에 데이터의 기밀성, 무결성, 가용성을 보장해야한다. 빅데이터 보안은 데이터 암호화, 데이터 접근 제어, 데이터 마스킹, 데이터 분석 시 시스템의 보안등을 포함한다. 또한, 데이터 수집, 저장, 전송 공유 등의 단계에서의 보안 조치가 필요

모바일(Mobile)

휴대용 장치(스마트폰, 태블릿 등)을 통해 통신, 컴퓨팅, 인터넷 등을 이용하는 기술을 의미

모바일 애플리케이션, 모바일 웹, 모바일 결제 등의 기술을 통해 사용자는 언제 어디서나 정보에 접근하고 서비스를 이용할 수 있습니다. 모바일 기술은 커뮤니케이션, 엔터테이먼트, 전자상거래 등 다양한 분야에서 혁신과 편의성을 제공

모바일 보안

스마트폰, 태블릿 등 모바일 기기에서 저장된 데이터와 애플리케이션의 보안을 의미

이는 데이터 암호화, 장치의 안전한 로그인 및 인증, 악성 소프트웨어 및 앱의 탐지와 차단, 원격 데이터 손실 및 도난에 대한 보호 등을 포함한다. 또한, BYOD(Bring your Own Device)환경에서 조직의 데이터와 네트워크 보호를 위한 정책과 제어도 중요한 요소

01. 과학기술의 발전과 기술영향평가

⋯ 과학기술 발전, 속도와 방향 모두 중요한 이유

⋯ 세탁기는 주부를 빨래로부터 해방시켰을까?

이 물음에 대해 미국 펜실베이나대학의 기술사학자 루스 슈워츠 코완 교수는 그렇지 않다고 답한다. 코완 교수는 1985년에 발표한 자신의 책에서 19세기 말부터 미국 가정에 도입된 세탁기와 청소기 등 가전제품은 주부들의 가사노동을 오히려 늘렸다고 주장했다. 세탁기 덕에 1회 세탁 시 힘이 훨씬 덜 들게 된 것은 사실이지만, 조금만 더러워져도 못 견디는 청결에 대한 요구가 생겨 더 자주 빨래를 하게 되었다는 것이다. 가전제품 도입으로 그전까지는 남성이 했던 가소 노동도 대두분 주부 몫으로 돌려지게 되었고, 이는 주부들의 가사 노동 시간을 증가하게 하였다고 한다.

과학기술이 개발 시에는 전혀 예상치 못했던 영향을 미친 사례는 이외에도 많다.

18세기 산업혁명이후 사람들은 과학기술이 인류의 문제들을 마법처럼 해결해주리라 장밋빛 낙관주의에 물들어 있었다. 그러나 두 차례의 세계대전을 치르면서 과학기술이 무서운 파괴의 동력으로도 쓰일 수 있음을 깨달았다. 특히 과학자들은 2차 세계대전 말 히로시마에 투하된 원자폭탄의 버섯구름을 보며 깊은 회의감에 빠졌다.

결국 어떠한 과학기술도 선이나 악이 아니며, 과학기술의 발전에는 기회와 위험이 동시에 존재한다는인식이 퍼져나갔다. 과학기술은 인류 공통의 자산이며, 위험이 발생할 경우 공동체 누구에게나 영향을미칠 수 있으므로 과학기술이 책임감 있게 사용되어야 한다는데 의견이 모아졌다. 이에 따라 과학기술이 미치게 될 영향을 민주적으로 평가하여, 발생할지도 모르는 위험에 대해 선제적으로 대응하고자하는 움직임이 나타났다. 그 움직임이 바로 *기술영향 평가 *다.

⋯ 기술영향평가의 시작과 발전

• 기술영향평가에 대한 개념이 최초로 논의된 것은 한창 환경파괴에 대한 경각심이 일어나던 1960년대부터지만, 최초로 실행된 것은 1970년대 미국에서였다. 과학기술의 발달이 사회에 미치는 영향을미리 예측하고 대응함으로써 긍정적인 효과는 극대화하고 부정적인 영향은 최소화하자는 목적이었다.

  
  

  이를 통해 과학기술의 바람직한 변화와 발전의 방향을 모색하자는 것이다. 미국은 1974년 OTA(Office of Technology Assessment)를 두고 전문가 중심의 기술 영향평가를 시행했다. 1955년 OTA가 폐지된 후 현재는 GAO(Govermment Accountability Office)에서 맡아 계속 시행하고 있다.

  미국의 기술영향평가는 기본적으로 전문가들이 모여 해당 과학기술의 발전이 가져올 수 있는 경제적 • 사회적 • 환경적 영향을 평가하여 정책 결정자들에게 정보를 제공하기 위해 실시된다. 새로운 과학기술이 가져올 득과 실을 분석하고 필요에 따라 대안을 제시하기도 한다.

⋯ 대한민국 기술영향평가의 체계와 현재

우리나라는 2001년 과학기술기본법을 제정하고 이에 따라 2003년부터 기술영향평가를 실시

2002년에는 연구범위, 운영 방안 등 기획연구를 진행하였고 2003년부터 기술영향평가를 수행 2021년까지 총 22건의 기술을 평가하였다.

우리나라 기술영향평가는 과학기술정보통신부 산하 한국과학기술기획평가원(KISTEP)이 수행을 맡고있다.

평가 방법은 전문가 중심과 시민 참여형을 절충한 방식이다.

대상기술 분야 및 사회과학 전문가로 구성된 기술영향평가위원회와 일반 시민으로 구성된 시민포럼을 함께 운영한다.

⋯ 자율주행기술이란 무엇인가

⋯ 자율주행 기술의 정의와 평가 범위

⋯ 운전자 없이도 주행하는 꿈의 자동차

'레벨 4 이상 자율주행'은 운전자 승객의 조작 없이 운행할 수 있도록 설계된 영역

자동차 스스로 주행환경 모니터링 및 돌발상황 대응이 가능한 자율주행 기술을 말한다.

여기서의 레벨은 미국자동차공학회(SAL: Society of Auotmotive Engineers)가 제시한 자율주행 기술 수준 단계를 말하는 것이다. 레벨이 올라갈수록 사람 대신 시스템이 차량을 조작하는 비율이 높아진다.

가령 사람이 어떠한 시스템의 도움도 받지 않고 핸들이나 브레이크, 가속페달들을 조작며 운행하는 자동차는 레벨 0이다.

자율주행 기술 1~2단계에서도 운전은 운전자가 하지만, 차량시스템이 일정 기능을 돕는다.

주행중 차선을 벗어나려 하려하면 자동차 스스로 방향을 바로잡거나 앞차와의 거리가 지나치게 가까워지려고 하면 스스로 속도를 조졸해 안전거리를 유지해준다. 예를 들어 운전자가 엑셀에서 발을 떼도 일정한 속도를 유지하며 주행하는 '크루즈' 기능도 이 단계에 속하는 기술이다.

조향이나 속도 중 한 가지를 시스템이 조절하면 1단계, 두가지 모두 조절하면 2단계이다.

레벨 3부터는 자동차가 운전의 권한을 상당히 넘겨받는다. 운전자는 심지어 자율운행이 가능한 특정 구간에서는 핸들에서 손을 떼도 된다. 하지만 돌발상황이 생기면 운전자가 핸들을 잡고 제어권을넘겨 받아야한다.

레벨 4와 레벨 5에 이르면 인간의 조작이 필요 없어진다. 레벨4와 레벨 5의 차이는 완전 자율주행이 특정 구간에서만 가능한가, 아니면 언제 어디서나 조건 없이 가능한가다. 래밸 4를 제한 조건에서의 완전주행, 레벨 5는 무제한 조건에서의 완전자율주행이라고 부른다.

스마트카

자율주행차와 비슷한 뜻으로 쓰이는 말에는 스마트카 가 있다. 스마트카는 초기 커넥티드카의 의미를 포함하여 자동차와 IT기술의 융합을 목표로 등장한 개념이었다. IT기술이 발달한 현재에는 자율주행 기능까지 포함한 광범위한 개념으로 발전했다. 커넥티드카는 자동차와 자동차, 자동차와 모든 인프라간의 양방향 통신망을 구축하는 초연결을 목표로 하는 개념이다. '무인 자동차'도 자율주행차와 비슷한 개념이다.

⋯ 자율주행의 핵심 기술

자율주행이 가능해지려면 자동차가 인간 운전자처럼 상황을 인식할 수 있도록 다양한 센서와 고성능 카메라가 필요하다.

이를 바탕으로 인지된 영상을 통해 상황을 판단하고 대응하는 기술또한 요구된다.

이처럼 자율주행차의 시스템은 *인지, 판단, 제어 * 3단계를 거쳐 동작한다.

이를 수행할 수 있는 기술이 핵심 기술이다. 자율주행차량의 성능을 향상시키고 차량에 필요한 정보를 감지 • 분석 • 관리하여 차량에 송신하는 인프라 기술 또한 필수적이다.

기능별로는 크게 다섯가지 영역으로 구분된다. 환경인식, 위치인식 및 맵핑, 판단, 제어, HCI(Human Computer Interacion) 등이다.

환경 인식 기술 영역에는 레이더, 카메라 등의 센서 기술이 포함된다. 주행 중 맞닥뜨릴 수 있는 정적장애물(가로등,전봇대 등)이나 동적 장애물(차량, 보행자 등)은 물론 도로표식(차선,정지선, 횡단보도 등)과 신호를 인식하는 기술이다. 일반적으로 인공지능 및 디지털 트윈 기술을 활용하여 공간정보를 인지하는 기술까지 포괄한다.

위치 인식 기술은 GPS나 INS, 인코더 등을 이용해 자율주행차의 절대적인 위치 및 상대적인 위치를 추적하는 기술이다.

목적지까지 이동하는 최적의 경로를 찾고, 장애물이 출현했을 때 회피 경로를 탐색하는 기술은 판단 기술에 속한다. 언제 차선을 유지하거나 변경해야 할지, 언제 좌회전이나 우회전 또는 유턴을 할지, 앞선 차를 추월해야 할지 등을 결정하는 기술이다.

*INS(Inertial Navigation System, 관성항법장치): 장거리 로켓이나 비행기의 유도에 쓰이는 시스템으로, 초기 위치 정보로부터 가속도를 측정하여 적분을 함으로써 항체의 속도와 위치를 추정하는 원리로 움직임

판단에 따라 차체를 제어할 수 있는 기능도 자율주행의 필수 기술이다.

자율주행차는 운전자가 사전에 지정한 경로대로 조향, 속도, 기어 등을 제어하는 돌발적인 상황이 나타나도 대처할 수 있도록 책추에이터를 제어할 수 있어야한다.

핵심기술인 HCI는 HVI(Human-Vehicle Interface)를 통해 운전자에게 정보를 제공하는 인공지능 기술이다.

자율주행차량은 주행 중에 V2X(Vehicle to Everything) 통신을 통해 인프라 및 주변 차량, 보행자에게 주행정보 및 위치 정보를 교환하는 기술을 갖추어야 한다.

이번 기술영향평가에서는 레벨 4 이상 자율주행을 가능케 하는 하드웨어기술과 소프트웨어 기술은 물론 자율주행 지원 인프라 기술까지 다뤘다. 하드웨어 기술은 자율운행 정보수집을 위한 센서나 부품, 차량 동작과 제어를 위한 기술, 차량 • 외관 등을 포함한다. 소프트웨어 기술은 자율주행 시 인지•판단•제어에 관계하는 인공지능 기술, 자율주행 자동차의 경로 설정과 운행 정보를 공유하기 위한 데이터 기반 관제 시스템, 탑승자 편의를 위해 음성이나 행동을 인식하는 소프트웨 등이다.

자율주행차량이 안전하게 달릴 수 있도록 지원하는 인프라 기술은 V2X, 위성측위시스템, 차량통합 보안 등이다. 스마트 도로나 노변센서, 정밀도로지도 기술도 여기에 속한다.

*엑추에이터: 동력을 이용하여 기계를 동작시키는 구동장치

*V2X(Vehicle to Everything): 자율주행차가 운행하기 위해 유무선 통신망을 통해 다른 차량이나 교통망, 보행자와 정보를 교환하는 기술.

왜 지금 레벨 4 이상 자율주행 기술에 대해 이야기 해야 할까 ¿

고령화와 안전한 편리한 차에 대한 기대

2021년 기준 우리나라 65세 이상 고령 인구는 853만7천명으로 2030년 1,298만 명까지 지속적으로 증가할 전망이다. 고령 운전자에 의한 교통사고도 2016년 8만 6,304건에서 2020년 11만 4,795건으로 증가했다. 자율주행차량이 상용화되면 고령 운전자에 대한 논란은 사라질 수 도 있다.

더욱 안전하고 편리한 차에 대한 운전자들의 요구도 점차 커지고 있어서 자율주행차에 대한 기대가 커지고 연구 개발이 촉진될 수 밖에 없는 상황

이에 따라 자율주행차 구현을 위해 필수적인 여러 기술도 빠른 속도로 개발되고 있다.

완성차 회사는 물론 빅테크 기업, 스타트업들이 자율주행차에 투자하면서 각종 센서 기술과 AI기술, 5G와 같은 통신 기술도 극격히 발달하고 있다. 자율주행 기술 중 차선유지, 긴급제동, 속도 유지 등 일부 기술은 이미 첨단운전자지원시스템(ADAS: Advanced Driver Assistance System)이라는 이름으로 사용화 되어 쓰이고 있다.

우리 정부는 2027년까지 세계에서 가장 먼저 완전 자율주행을 사용화한다는 목표로 관련 예산을 크게 늘리는 등 최선의 노력을 다하고 있다.

자율주행 기술의 역사

스스로 달리는 차를 꿈꾸다

1926년 미국 뉴욕 브로드웨이에는 운전석에 사람이 없는 자동차가 길거리를 돌아다녔다.

사람들은 '유령자동차'라고 혼비백산했지만 사실 그것은 전기기술자 프랜시스 후디나가 전파 송신기를 설치한 차량으로, 뒤따라가는 차에서 무선 신호를 보내서 운전을 한 것이었다. '아메리칸원더 '라고 이름 붙여진 이 시연은 자율운행차라기보다는 아이들의 RC카 장난감을 크게 만들어 보여준 쇼와 같은것이다.

1930년대에는 드디어 오늘날과 유사한 콘셉트의 자율주행차를 상상한 사람이 나타났다. 미국의 산업디자이너 노먼 벨 게디스였다.

그는 1939년 뉴욕 세계 박람회에서 자동차 회사 제너럴 모터스(GM)의 전시관을 디자인하면서 퓨러라마라는 미래 도시 모형을 공개했다. 퓨처라마는 관람자가 움직이는 의자를 타고 근미래인 1960년대를 표현한 모형도시를 관람하도록 되어 있었다. 퓨처라마 속 미래 자동차는 전자기장으로 유도되는 도로 위를 무인으로 달렸다. 일종의 자동차 고속도로를 구상한 것이다. 이처럼 초기 자율주행차에 대한 아이디어는 자동차보다는 도로에 초점이 맞춰졌다.

1953년 RCA 연구소가 게디의 아이디어를 현실화했다. RCA 연구소는 실험실 바닥에 놓인 전서을 따라 달리고 제어되는 자동차 시스템을 만들었고 4년뒤에는 네브라스카주에 있는 실제 고속도로에서 성공적으로 시연했다. 도로 속엔 전자기선 회로가 매설되어 있었다. 1958년 RCA는 GM과 도로에 박힌 전자기선을 따라 움직이는 자석달린 자동차를 개발하기도 했다.

도로를 개량해 무인으로 달리는 자동차를 만들려는 실험은 1960년대에도 계속되었다. 자동차 회사 쉐보레와 시트로엥이 도로에 깔린 전자기선을 따라 달리는 자동차를 만들었다. 미국 오하이오주립대학에서는 도로 시스템과 전자 신호를 주고받으며 무인으로 달리는 자동차를 개발했다. 미국 도로국은 오하이오주와 메사추세츠주, 뉴욕주, 캘리포니아주에서 전자제어 고속도를 건설할 계획을 세우기도 했다.

하지만 모든 도로에 전자기선을 매설하거나 전자제어 시스템을 구축하는 일은 생각보다 만만치 않았다. 도로 인프라를 개선하는 방법이 비용등 현실적인 문제에 부딪치자 사람들은 다른 방법은 찾기 시작했다. 드디어 센서를 이용해 주행환경을 인지하고 컴퓨터로 판단을 내려 자동차를 제어하는, 현대적인 의미에서의 자율주행 자동차 연구가 시작된 것이다.

컴퓨터의 발달과 함께 급진전

1980년대가 되자 비로소 도로를 개량하기보다 자동차를 개량하자는 움직임이 본격적으로 나타났다. 컴퓨터 기술이 발달하면서 마이크로프로세서의 크기가 작아지고 강력해지자 자동차에 컴퓨터 지능을 탑재할 수 있게 되었던 덕이다.

1980년대 초 독일뮌헨연방대학의 에르스트 딕만 교수는 메르세데스 벤츠의 밴에 카메라와 센서를 달아 인식한 이미지를 바탕으로 컴퓨터로 운전대와 스로틀, 브레이크를 제어하는데 성고했다. 딕만 교수는 차에 '바모스'라는 이름을 붙여 통제된 도시의 도로에서 교통신호를 지키면서 스스로 달리도록 했다. 바모스는 1986년에는 평균 시속63Km, 1987년에는 시속 96Km로 주행할 수 있었다. 딕만 교수는 이후 유렵의회가 막대한 자금을 지원하는 미래 자동차 연구 프로젝트인, 유럽첨단기술공동연구계획(EUREKA)의 프로메테우스 프로젝트를 이끌었다.

딕만 교수는 프로메테우스 프로젝트를 통해서도 높은 성과를 거두었다.

벤츠 500SEL을 개조한 벰프와 비타2로 1994년 파리 샤를 드골공항 근처 3차선 도로 1,000Km를 시속 130Km로 주파하고, 주행 중의 차선 변경과 차간 거리 유지는 차량 시스템이 맡았다. 독일 아우토반에서는 9Km마다 운전자가 개입을 하는 조건으로 시속175Km로, 95% 자율주행을 했다고 발표해 세계를 놀라게 했다.

*유레카 프로메테우스 프로젝트: 유럽의회가 막대한 자금 7억4,900만 유로를 지원해 진행한 미래자동차 연구프로젝트, 1987년부터 1995년까지 계속되었으며 유럽의 주요 국가와 주요 자동차 브랜드가 대거 참여한 사상 최대의 프로젝트

1993년에는 우리나라 고려대 한민홍 교수도 자율주행차를 연구하기 시작했다.

한 교수는 아시아자동차의 록스타 기종을 이용해 자율주행차를 만들었다. 1995년에는 다른 차량을 이용해 서울에서 부산까지 경부고속도를 달렸다. 1998년에는 마티즈를 개량한 KAV-5를 선보였고 2000년 고려대 교내 벤처로 '첨단차'를 설립하는 등 자율운행 기술 연구개발을 지속하고있다.

위대한 도약, 그랜드 챌린지

미국 국방고등연구계획국은 2000년대에 자율운행 기술발전을 위한 도약의 발판을 마련한다. 세계 최초의 장거리 무인자율주행 자동차 대회인 '다르파 그랜드 챌린지'를 개최한것이다.

2004년 3월 열린 첫 대회의 미션은 모하비 사막지역에서 240Km 코스를 10시간 이내에 완주하는 것이었다. 하지만 상금 100만 달러의 주인공은 나오지 않았다. 아무도 시간 내 완주를 하지 못했기 때문이다 가장 멀리 간 차가 겨우 12km를 나아갔다.

2005년에 열린 두 번째 대회의 상품은 두 배로 올랐다. 이 대회에 출전한 23개 팀 중 5개의 팀이 완주를 했다. 우승자는 6시간 54분의 기록을 세운 스탠리 팀이었다. 스탠리는 스탠포드 대학과 폭스바겐 등의 연합팀이었다.

https://www.kistep.re.kr/board.es?mid=a10305080000&bid=0002&act=view&list_no=42607&tag=&nPage=1

1. 알라딘 전자책 해킹 사고

2. Google이 만든 최상위 도메인 이름

• 도메인 이름, Zip, mov이다. -> 파일 확장자와 똑같다는 걸 이용했을 때 피싱공격 가능할 듯

3. 피싱 공격 계정 정보 탈취 피해

• 최근 대규모로 유포 되고있는 네이버 전자문서를 가장한 피싱 메일

• 여름 휴가 시즌이 다가오면서 ''여행''을 테마로 삼은 피싱 공격이 증가

• 국가안보통일원 사칭 해킹 메일 유포... 북한 해커 조직 소행 추정

보안 단어 정리

1. 가로채기(Interception)

   보안공격의 하나로 인가받지 않은자들의 불법적인 접근에 의한 신뢰성에 대한 공격

2. 가상 사설망(VPN [ Virtual Private Network ])

   공중 데이터 통신망을 사용자가 마치 자신이 구축한 개인 통신 망과 같이 직접 운용, 관리할 수 있게 한 네트워크 아키텍처. 이같은 특징으로 사용자들은 공중 통신망을 회사의 전용회선처럼 이용할 수 있게 된다.

3. 가상회선(Virtual Circuit)

   네트워크 내의 지점들 간에 불연속적으로 보이는 회선이나 경로를 뜻한다. 그러나 물리적 경로는 실제로 관리되는 회선 자원들을 모아두었다가 특정 회선들의 트래픽 요건을 맞추기 위해 필요만큼할당.

4. 가용성(Availability)

   정보보안 네 가지 기본 요구 사항 중 하나인 가용성은 인가를 받은 사용자가 정보나 서비스를 요구할 경우, 정보시스템에 대한 사용 가능 여부에 대한 요구 사항. 가용성의 유지는 보안 시스템의 주요 기능 중 하나이다.

   정보 자원의 가용성에 대한 공격을 서비스 거부 공격(Dos).

5. 감사(Audit)

   제어 확립, 정책 및 운영 절차를 준수하고 제어, 정책 또는 절차에 있어서 실질적 변경 사항을 제안하기 위한 기록 및 활동에 대해 독립적으로 조사하는 행위

   1. 한 대 이상 컴퓨터에 설치된 모든 소프트웨어 및 하드웨어에 대한 목록 작성 과정을 말한다. 일단 감사가 수행되면 허가 받지 않은 소프트웨어, 하드웨어 구성 요소 누락 등을 확인하기 위해 데이터를 분석할수 있다.
   2. 모든 보안 관련 사건에 대한 목록 작성 과정을 말한다. 이 과정에는 사건을 일으킨 사용자도 포함

6. 감사 추적(Audit Trail)

   컴퓨터 보안 시스템에서 시스템 자원 사용에 대해 시간 순서에 따라 기록된 사용내역을 말한다. 이 기록에는 사용자 로그인, 파일 접근, 기타 다양한 활동 내역, 그리고 실질적 또는 시도된 보안 위반 사항이 합법적으로 그리고 허가를 받지 않고 발생했는지 여부가 포함된다.

   감사 추적은 사용자 행위를 추적하여 보안 사건들이 특정 개인의 행위와 관련되었는지는 밝힐수 있는 자료가 되므로, 안전한 시스템을 위해 필요한 책임 추적성의 기초 요구사항이다.

7. 강제적 접근 제어(MAC [ Mandatory Access Control ] )

   비밀성을 갖는 객체에 대하여 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제어하는 방법으로 관리자만이 정보자원의 분류를 설정하고 변경가능.

8. 개방 보안 (Open Security)

   시스템이 작동하기 전에 또는 작동하는 중에 악성 논리의 도입에 대해 응용 프로그램 및 장비를 보호하도록 충분히 보장하지 못하는 환경.

10. 개방 시스템 상호연결 표준(OSI Standard[ Open Sysyems Interconnection Standard ])

    개방 시스템 상호연결 표준의 약어로 통신 프로토콜의 일반적 참조 모델

하트블리드 취약점은 통신구간 암호화를 위한 사용하는 OpenSSL 라이브러리의 하트비트 확장 모듈의 버그로 인하여 발생한 취약점으로 서버에 저장된 메모리 데이터가 노출되는 취약점.

하트비트 요청 메시지 처리 시 데이터길이 검증을 하지 않아, 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 탈취 할 수있음. SSL / TLS 서버 개인키, 세션키, 쿠키 및 개인정보(ID,PW,이메일 주소)등이 노출 될수 있음.

• 하트비트(HeartBeat) 확장 모듈

  • OpenSSL 1.0에 추가된 기능
  • SSL / TLS 프로토콜에서 매번 연결을 재협상 하지 않아도 상호간의 연결지속신호를 주고 받으면서 연결을지속해주는 기능클리언트가 하트비트를 요청하면서 Payload와 Payload 길이를 보내면, 서버측에서 하트비트 응답에 내용을 길이만큼 복사하여 되돌여주면서 연결을 확인함.

• OpenSSL

  • 키를 이용해서 암호화 통신을 함.
  • 공격자가 키를 얻을 수 있고, 암호화되지 않는 상태로 읽을수 있다. 또한 다른 사람 행세를 하며 서버에 침임 가능

• 탐지

  • 하트블리드 공격시 하트비트 응답 패킷이 요청보다 비정상적으로 크게 나간다.
  • 하트블리드 공격시 SSL 포트로 | 18 03 ?? |패턴의 데이터가 전송된다.

• 대응

  • OpenSSL의 버전 1.01g 이상으로 업그레이드
  • 서버측 SSL 비밀키가 유출되었을 가능성이 있으므로 SSL 서버 인증서 재발급 한다.
  • 시스템 이용자들의 비밀번호 유출되었을 가능성이 있으므로 변경을 안내한다.

• 23.05.26 BoB 12기 서류 제출완료

• BoB 12기 면접 준비 중

• BoB 12기 필기 완료

작년 11기 기준

05.06 ~ 06.03 서류 평가 제출기간

06.07 서류 합격자 발표

-> 합격자 기준

06.11 필기

06.18 면접

06.22 최종 합격자 발표

07.01 ~ 03.31 교육기간

‣ 서류 평가

‣ 자기소개

‣ 본인이 이룬 가장 큰 성과

‣ 지원동기

‣ 합격 후 포부

‣ 관심 분야

‣ BOB 학습 계획

‣ 진로 계획

‣ 창업 계획(선택)

‣ 필기 시험

50분동안 100문제 수준 ‣ 정보처리기사 수준

면접

‣ 개인발표 및 질의 응답 3인 1조 30분간 진행

‣개인 발표는 인당 3분내외 구두 발표

‣ 발표주제: 자신의 공부, 연구 등의 경험한 내용 or BOB에서 하고싶은 프로젝트 or BOB 학업 계획

일단 서류 개같이 합격

필기 면접 준비 잘해서 개같이 붙자

필기 일정, 유형

일정

면접 일정

개같이 탈락 !!

이번꺼 까지 면접에서 3번떨어졌네 아직 많이 부족한거같다 더 노력해서 내년에 지원하자

*자율주행 4단계 시대가 임박한 가운데, 자율주행차 사고 발생시 손해배상 책임을 더는 운전자에게 지울수 없다는 주장이 제기된다. 또 원인 불명의 사고 발생시에는 정부가 기금으로 해결해야한다는 의견도 나오는 등 제도 개선논의 활발 * 27일 자동차손해배상진흥원에 따르면 자율주행 4단계 시대가 도래하면서 손해배생 책임 소재를 두고 논의가 활발

책임 누가 져야하나 소유자 VS 제작사, 현행법은 소유자

최근 자율주행차 사고 책임이 화두가 된 이유는 기술이 고도화되면서 운전자가 차량의 제어권을 내어줬기 때문이다. 3단계와 달리 4단계의 자율주행차는 위기 발생시에도 운전자에게 제어권을 넘겨주지 않는다.

기존과 유사하게 자량의 소유자가 책임을 져야한다는 측에서는 
소유자가 운행에 따른 이익을 얻기 때문에 1차적 배상책임과 보험 가입의무를 져야 한다고 주장한다. 
다만 과실 없이도 책임만 따른다는점에서 원칙에 어긋난다는 약점이 있다.

VS

제작사와 자율주행시스템 운영자에 배상책임이 있다는 주장도 제기된다. 
4단계 이상의 자율주행차에서는 운전자가 운행에 관여하지 않으므로 
제작사 등이 기존보다 높은 수준의 책임과 의무를 가져야 한다는 것이다. 

현행법상으로는 자율주행 시 사고가 발생하면 자율주행차 보유자가 1차적인 책임을 부담해야 한다. 현행의 운전자 책임 원칙이 자율주행차에도 그대로 적용되는것이다.

다만 2020년 개정된 자동차손해배상 보장법에서는 자율주행자의 정의가 신설되고 자율주행차 사고 발생시 자율주행차의 결함으로 인한 경우 손해를 배생한 보험사가 책임자에게 구상할 수 있도록 했디.

업체 관계자는 "우리나라의 자율주행차 관련 입법은 기존 운행자를 대체하는 주체나 무인 자동차 등에 대한 구체적인 규정이 없다는 점에서 운전자와 제작사 등이 책임을 분담하는 3단계 수준의 자율주행 단계에 머물러 있다."며 해외 주요국에서도 기존 운행자 또는 보유자 책임이 여전히 고수되고 있지만 무인 자동차 등에 대해선 변화가 이뤄지고 있다.

원인 모를 사고는 책임 누가, 공동 부담 검토

책임소재 문제가 더 복잡한 이유는 보유자 또는 제작사 책임이 명확한 경우도 있지만, 자연재해, 해킹등과 같이 어디에 책임이 있는지 불분명한 사고 발생할 가능성이 있기 때문이다.

급발진 의심 사고와 관련해 입증책임에 대한 사회적 논의가 이뤄지고 있듯, 자율주행차가 상용화되면 다양한 원인으로 사고가 발생할 확률이 높으므로 관련 제도가 정비될 필요성이 있다는 것이다.

보험업계 관계자에 따르면 "자율 주행차 원인불명 사고에 대해서는 관련자들이 공동으로 책임을 지는 방법을 검토해 볼 필요가 있다."며 자율주행차 보유자는 자동차 보험료에서 일부를 부담하고 자율주행차 제작사도 일정 금앨을 부담하여 기금을 만들고 그 기금을 통해서 원인불명 사고 등을 보상처리 하는 방안이 합리적이라고 전했다.

이어 자율주행차 원인 불명 사고 처리를 위한 기금의 운영방식은 현재 무보험, 뺑소니등 자동차 사고피해자들 정부에서 보상해주는 자동차손해배상 보장사업과 유사하게 확대 응용하는 방안이 실효성이 높을것 이라고 제시

현재 정부 보상사업은 인적 피해에 대해서만 보상하고있어 대물사고에 대해서 까지 범위를 확대하는 방안에 대핸 검토가 요구되는 상황

​

• ECU(Electronic Control Unit) - 자동차 전자제어기로 인체의 두뇌에 해당, 자동차 ECU는 컴퓨터 CPU를 포함하면서 물리적 제어 영역으로 확장된 개념, 인지(센서) -> 산술 -> 명령(ECU) -> 실행(액츄에이터) 흐름으로 모터와 유입장치 ,점화장치, 표시장치 등 자동차를 작동하는 기능에 특화된 것이다.

  • ECU 주요 구성은 = 입력장치, 저장장치, 정보처리장치, 출력장치. 주행 중 데이터는 주로 휘발성 데이터(RAM)에 저장하고, 데이터 처리를 위한 운용체계는 비휘발성 메모리(ROM)에 저장
  • 알고리즘에 따른 연산처리를 위해 고성능 정보처리장치가 적용되고, 오작동등의 상황을 가정해 백업 장치가 추가되기도 함.
  • 차량 한대에 약 60 ~ 100여개의 ECU 적용,

Attack Surfaces - 공격 면

- 차량에는 종종 통신을 위해 노출된 단일 ECU가 있으며, Bluetooth, WI-FI, GSM, LTE, GPS 및 기타 안테나와 서비스, 외부에서 엑세스 할 수 있는 표면을 공격

​

⦁ 물리적 엑세스

⦁ 근거리 무선 공격

⦁ 장거리 무선 공격

자동차 사이버보안 가이드라인

- 자동차기준 조화 포럼에서 자동차 사이버보안을 담당하는 ‘사이버보안 전문가 기술그룹(CS/OTA Informal Working Group on Cyber Security&OTA)’을 운영하고 있다.

2020년 6월, 사이버보안 관련해 최초의 국제기준인 UN Regulation No.155 사이버 보안 관리 시스템을 채택하고, 2021년 1월 발효, 글로벌 기준에 부응하기 위해 국토교통부도 2020년 12월에 자동차 사이버 보안가이드라인 공개, 자동차 관리법 개정 및 하위 법령 재정을 통해 안전기준을 시행한다는 방침

​

- LG전자는 2021년 9월에 이스라엘에 자동차 사이보안 기업 ‘사이벨럼’ 인수

​

= 자동차기준 조화포럼 - 사이버 보안전문가 기술 그룹 운영

= UN Regulation No.155 사이버 보안 관리 시스템(2021.1~)

= 자동차 사이버 보안 가이드라인 공개(2020.12~), 국토교통부

⦁ 자동차 관리법 개정 및 하위 법령 개정 > 안전 기준 시행

= 부품 선정시 보안 기준 요구

⦁ LG 전자 - 사이벨럼 인수, 사업 확장

⦁ LG 전자 & LG 마그나 이파워트레인 사업장, 그로벌 정보보안 인증 획득(TISAX)

⦁ 정보보안 체계, 협력 업체 보안체계, 데이터 보호 체계, 시제품 보호 체계

지능형 교통 시스템(C-ITS) 보안

- 차량이 주행하면서 도로 인프라 및 다른 차량과 서로 통신하며, 다양한 교통정보와 서비스를 교환,공유할 수 있는 융합시스템, 기존 지능형교통체계(ITS)의 토대 위에서 차량과 도로가 서로 협력한다는 의미를 더해 C-ITS라는 개념 자리 잡힘

​

- C-ITS는 차량과 도로 인프라(V2I), 차량 상호 간(V2V), 차량과 사람(V2P)의 양방향 통신을 구현한다. C-ITS를 적용하면 자량의 위치정보는 물론 주행상태까지 알 수 있고, V2V통신을 통해 도로 위의 각종 위험정보를 공휴나느 것도 가능, 이를 통해 차량의 급정지와 추돌 및 충돌, 도로공사 등 위험상황에 능동적 대처, 각종 교통사고 예방

- 국토교통부는 지능형교통체계 기본 계획 2030에 C-ITS등 디지털 도로 인프라 구축에 내용 구체화

- 2027년 완전자율 주행(Lv4) 상용화에 대비해 전국 주요 도로에 C-ITS 통신 인프라 구축키로 했다. 차량과 인프라, 센터 사이의 신뢰성 있는 정보교환과 해킹방지를 위해 V2X 보안인증체계를 갖추고, 고속도로 안전 시설의 효울적 관리를 위한 IoT 통신도 구축 예정

SDV(Software Defined Vehicle) - 소프트웨어로 정의되는 자동차, 소프트웨어로 하드웨어를 제어하고 관리하는 자동차

​

⦁ OTA - 원격으로 차량 내 소프트웨어를 업데이트, 한번 장착되면 변경되지 않는 환경에서 외부로부터 업데이트를 통해 차량을 운행하는 SW가 변경 가능

OTA -> 무선 인터넷, 클라우드 등과 연계 : 보안 이슈 발생 가능성 높음

AFW(Application Firewall, 어플리케이션 방화벽) - 자동차 통신 프로토콜에 최적화된 어플리케이션 방화벽. 차량외부에서 유입되는 악성 통신뿐 아니라 차량 내부에서 발생하는 비정상적 통신 내용까지 모두 분석하고 대응,

⦁Firewall + IDS = AFW

V2X(Vehicle to Anything-infra / Vehicle / Device, 자동차-사물 통신)

- 차량과 차량 V2V ,차량과 인프라 V2I, 차량과 단말기 V2D 간의 통신을 총칭하는 용어

V2X는 차량과 차량 소유자와 관련된 모든 민감한 정보를 총망라하는 통신 V2X 기술의 핵 심은 사용자 인증과 데이터 암호화 시스템이다. 국ㅈ[표준규격 준수 핵심

​

⦁ V2X 통신 보안 표준 규격으로는 IEEE1609.2 그리고 CAMP VSC3 등이 있다.

IEEE1609.2는 자동차 환경에서의 무선통신 표준인 WAVE(Wireless Access in Vehicular Environments) 관련 표준으로서, 차량이 다른 차량이나 외부 시스템과의 무선통신 시 준수해야 할 보안규격,

CAMP VSC3(Crash Avoidance Metrics Environments)는 자동차회사와 관련 기관들이 참여해 구성한 컨소시엄 CAMP에서 만든 보안규격으로서 세계 유수의 자동차 회사들이 참여

인증과 암호화 관련해서도 CAMP VSC3 규격은 후술할 KMS와 PKI 사용을 엄격히 규정

KMS(Key Managemement System, 암호화 키 관리 시스템)

⦁ KMS는 인증서를 포함한 암복호화 키의 생성과 폐기 등 키의 생애 주기별 관리 및 안전한 보관을 위한 시스템, 외부통신 뿐 아니라 차량 내부 ECU통신을 위한 키 관리 및 안전한 저장, 접근제어 및 권한 관리를 통한 키 오남용 및 도용방지 등의 기능을 맡아 자동차 통신 체계 전체를 안전하게 유지

PKI(Public Key Infrastructure, 공개 키 인프라 )

⦁ 하나의 자동차는 물건이지만 여러 자동차가 모이면 교통의 요소, 즉 공공물의 일부가 된다.

PKI는 자동차가 자동차 한대로 그치지 않고 국가 인프라의 일부로서 작용하기에 필요한 시스템이다.

차량용 인증서를 생성하고 운영하고 관리하며, 교통관리 시스템은 PKI를 통해 각 자동차의 존재를 공적 으로 인식한다

이는 사생활 침해와는 무관하고 또 무관해야만 한다. 그러기 위해서 PKI에는 운전자의 프라이버스를 보호하기 위한 익명화 기술을 포함, 차량용 PKI 시스템 또한 다른 여타 기술과 마찬가지로 국제 표준을 엄격히 준수하는지 여부를 보고 판단하면 되는데, IEEE1609.2 표준에 따르는지 확인.

차량용 시스템이기에 개발시 고도의 경량화 공정이 적용되는데 혹시 그에 따른 시스템 성능이나 효율 문제는 없는지 확인

ITS(Inteligent Transportation System, 지능형 교통 시스템)

⦁ ITS는 주행 중인 차량이 교통하며, 주변 교통 상활을 파악하고 앞 차량 급정거나 도로 낙하물등 위험 정보를 실시간으로 확인함으로써 교통사고를 예방하는등, PKI와 더불어 공적 개념의 인프라 기술이다.

⦁ 국가차원의 아주 거대한 시스템이기에 자동차 관련 거의 모든 기술이 총동원, 가장 중요한것은 신뢰성이다. ITS 채계가 무너진다는것은 자연재해 수준의 아주 심각한 문제이다.

ITS 기술 핵심은 CA(Certificate Authority, 인증기관) , RA (Registration Authority, 등록기관), LA(Linkage Authority, 익명화 기관) 등 주로 서버 기술이고, 이러한 기술들이 앞서 이야기한 PKI체계와 어우러져 전체 ITS의 중심을 이룬다.

자동차 물리보안

⦁ 위 기술들은 모두 ICT 기술이다. 가장 큰 위험은 자동차 자체다. 이런저런 수법들보다 자동차를 직접 조작해 버리는게 가장 간편한 해킹 방법이기 때문이다.

위험은 지금 시중에도 판매되는 대부분의 자동차에 대해서도 해당하는 문제다. 대부분의 자량에는 자량정보 수집장치, OBD(On-Borad Diagnostics) 단자가 설치되어 있다.

문제는 OBD를 통해 쉽게 자동차 관련 정보를 수집 할 수 있고, 나아가 자동차가 오작동하도록 조작할 수 있다는 점.

OBD는 차량내부에 있어서 차주외에는 쉽게 접근할 수 없다고 가정하기 때문에 차문 개폐장치 외에는 따로 특별한 보안 조치가 없다. 더큰 문제는 이렇듯. OBD가 부실하게 관리되고 있음에도 불고하고 OBD에 연결되는 기기의 수가 점차 늘고 있다는 사실이다.

곧 실용될 자율주행자동차 관련 장치 또한 OBD에 연결될 것이다. 해커 입장에서 보면 무선통신을 이용하는 해킹보다 OBD를 직접 노리는 해킹이 더 효율적이다.

1. 프로세스와 스레드 차이(운영체제)

• 프로세스 : 운영체제로부터 자원을 할당받아 실행
• 스레드 : 프로세스로부터 자원을 할당받아 실행
• 하나의 프로세스 안에 여러 스레드 생성 가능
• 각 스레드는 개별 스택을 가지고, 프로세스의 전역 메모리 공간을 공유하며 프로그램을 실행
• 보통 프로세스는 코드 / 데이터 / 스택 / 힙 / 메모리 영역을 기반으로 실행
• 스레드는 프로세스 안에서 개별적인 스택을 가지고 코드 / 데이터 / 힙영역을 공유하며 실행

2. 스크립트 언어와 컴파일러 언어의 차이

• 인터프리터 언어 : 코드가 실행되는 단계인 런타임에 문 단위 한 줄씩 중간 코드 바이트코드로 변환 후 실행

  -인터프리트 과정이 반복 수행

  • 인터프리트 단계와 실행 단계가 분리 되어있지 않다.
  • 한줄 씩 바이트코드로 변환하고 즉시 실행
  • 실행파일을 생성 하지않는다.

• 컴파일러 언어 : 코드가 실행되기 전 단계인 컴파일 타임에 소스코드 전체를 한번에 머신코드로 변환후 실행

  -실행 파일을 생성한다

  • 최적화 작업을 진행하고 실행파일을 생성하기때문에 코드 실행 속도가 인터프리터 보다 빠르다.
  • 실행에 아펏 컴파일은 단 한번만 수행된다.

• 자바스크립트는 일반적으로 인터프리터 언어로 구분하지만, 인터프리터와 컴파일러의 장점을 결합해 비교적 처리 속도가 느린 인터프리터의 단점을 해결

• 파이썬 > 인터프리터 언어

3. 동기와 비동기의 장단점

• 동기 : 구성이 단순하고 순서대로 실행 가능해서 예측이 가능하다.
• 비동기 : 동시에 여러일을 수행할 수 있음.

4. 데이터베이스에서 인덱스를 사용하는 이유와 장단점

• 인덱스는 데이터를 논리적으로 정렬해서 검색과 정렬 속도를 높이기 위해 사용
• 데이터 삽입, 변경이 수시로 일어나면 매번 인덱스를 변경해야하므로 성능 저하를 막기 위한 고려가 필요하다.
• 그래서 리액트에서 Key는 인덱스로 지정하면 안되는 경우가 더 많다(주로 유일한 값을 Key에 지정) -> 인덱스는 변화가 발생할 경우가 많기에

5, Redis와 MongoDB 차이

• 둘다 No SQL 방식 사용
• 몽고 DB가 Document 형식으로 데이터를 저장하는데, 반해 Redis는 Key:value 형식으로 데이터를 저장함.
• Redis는 인메모리 DB로 데이터를 메모리에 저장하고 관리하기 때문에 성능이 좋지만, 데이터를 유한하게 저장하기 때문에 키쉬등과 같이 데이터의 저장기한이 있고, 빠른성능이 필요한 기능에 사용됨.
• 몽고 DB는 MySQL처럼 서버 - 클라이언트 방식으로 설치해서 사용.
• MySQL과 같은 SQL방식이 아니므로 가변적 데이터 구조를 다루는데 유용

TCP, UDP 차이와 장단점

• UDP : 비연결형 프로토콜로 흐름제어, 오류제어를 하지 않음
• TCP : 연결형 프로토콜로 흐름제어, 오류제어를 함
• UDP는 TCP처럼 종단간 연결 설정 및 오류제어를 하지 않아 송수신에 적은 데이터를 필요
• TCP는 UDP보다 데이터 송수신에 신뢰성을 가짐

오버라이딩 VS 오버로딩

• 오버라이딩 : 상위클래스에 존재하는 매서드를 하위 클래스에 맞게 재정의 하는 것 매서드 이름 및 파라미터 수가 동일
• 오버 로딩 : 두 매서드가 같은 이름을 가지고 있으나 파라미터 수나 자료형이 다른 경우

자료 구조 & 알고리즘

해쉬 테이블

• Key : Value로 저장하는 데이터구조

• 키를 통해 바로 데이터를 받아올 수 있어 속도가 획기적으로 빨라짐

• 해쉬 : 임의 값을 고정길이로 변환하는 것

• 해쉬 테이블 : 키 값의 연산에 의해 직접 접근이 가능한 데이터 구조

• 해쉬 값 / 해쉬 주소 : 키를 해싱 함수로 연산해서 해쉬 값을 알아내고 이를 기반으로 해쉬 테이블에서 해당 키에 대한 데이터 위치를 일관섬있게 찾을 수 있음

• 슬롯 : 한 개의 데이터를 저장할 수 있는 공간

• 저장할 데이터에 대해 키를 추출할 수 있는 별도 함수도 존재할 수 있음

• 출처 https://velog.io/@joy37/%EC%9E%90%EB%A3%8C%EA%B5%AC%EC%A1%B0-CS-%EC%A7%80%EC%8B%9D-%EC%A0%95%EB%A6%AC