검색결과
-
[미국] ISASecure 프로그램, 새로운 ISASecure 인증 제안 발표미국 ISA 보안 컴플라이언스 연구소(ISA Security Compliance Institute, ISCI)는 ISA/IEC 62443 표준 시리즈 기반 산업용 사물인터넷(industrial internet of things, IIoT) 구성요소를 위한 ISASecure 인증 제안을 발표했다.ICSA(IIoT Component Security Assurance) 인증은 ISA 글로벌 보안 동맹(ISA Global Security Alliance, ISAGCA)과 ISCI(ISA Security Compliance Institute)의 공동 연구에서 발표된 권장 사항에서 영감을 받았다.연구에 대한 자세한 내용은 ISASecure 웹 사이트의 학습 센터 섹션에서 확인이 가능하다. 2021년 10월 웹 세미나에서 권장 사항으로 발표됐다.ICSA 연구 내용 및 ISASecure IIOT 인증 체계는 산업계에서 심사한 IIOT 인증 프로그램의 긴급한 필요성을 다루고 있다.2022년 9월 7일 동부표준시 오전 11시에 라이브 웹이나에서 새로운 중요한 인증 제안을 발표할 예정이며 관심 있는 사람은 접근이 가능하다.웹 세미나에서 새로운 ISASecure IIOT 장치 및 게이트웨이 인증 프로그램, ISA/IEC 62443 업계 표준 세트 기반에 대한 개요 등을 제공할 예정이다.ISCI(ISA Security Compliance Institute)는 자동화 제어 시스템의 사이버 보안에 대해 가능한 최고 수준의 보증을 제공하기 위해 2007년 설립됐다.향후 몇 세대에 걸쳐 중요 인프라의 사이버 보안 태세 개선을 위해 국제자동화학회(International Society of Automation, ISA가 설립을 주도했다.2011년부터 ISO/IEC 17065 인증기관 네트워크를 통해 자동화 및 제어시스템에 대한 ISASecure 인증을 실시하고 있다.저명한 ISASecure 후원자는 셰브론(Chevron), 엑손모빌(ExxonMobil), 사우디 아람코(Saudi Aramco), 셸(Shell), 허니웰(Honeywell), 슈나이더 일렉트릭(Schneider Electric), TUV 라인랜드(TUV Rheinland), 요코가와(Yokogawa), YPF, 엑시다(exida), GE 디지털(GE Digital), 시놉시스(Synopsis), CSSC, CSA Group, IPA-Japan 등이 있다.연구소의 목표는 ISASecure 컴플라이언스 프로그램, 교육, 기술 지원, 공급업체의 개발 프로세스 및 사용자의 라이프 사이클 관리 관행에서의 개선을 통한 실현이다.국제자동화협회(International Society of Automation, ISA)는 1945년 자동화를 통해 더 나은 세상을 만들기 위해 설립된 비영리 전문 협회이다.ISA는 자동화 커뮤니티 연결을 통한 운영 우수성의 달성으로 기술 역량을 향상시키는데 목적이 있다. 개인 경력 및 전체 직업 발전을 위해 신뢰할 수 있는 표준 기반 기초 기술 자원을 제공한다.
-
[중국] 샤오미(Xiaomi), 보안 및 개인정보 관련 백서 발표중국 글로벌 최고 가전 및 스마트 제조업체인 샤오미(Xiaomi)에 따르면 데이터 보안 활동을 상세히 기술한 연례 투명성 보고서가 포함된 '보안 및 개인정보에 관한 백서'를 발표했다.또한 연례 보안 및 개인정보 보호의 달을 지정해 고객의 데이터 보호에 전념하고 있다. 중국 베이징 샤오미 테크놀로지 파크, 싱가포르 샤오미 테크놀로지 오퍼레이션 센터에서 직원 교육 행사 및 전문가 세미나를 개최했다.3년 연속 엔지니어 등 직원을 대상으로 특별수업을 진행했다. 데이터 보안 및 이용자 개인정보 보호의 중요성에 대해 업계 임원, IT 보안 전문가, 대중과 토론할 수 있는 역량을 제고하기 위함이다.1개월에 걸친 일련의 행사는 샤오미 제품의 신뢰을 향상하기 위한 목적이다. 사용자의 보안과 사생활 보호, 투명성과, 책임성을 강조했다.샤오미는 사이버 보안 전문가, 스마트폰 운영체제 엔지니어, 변호사, 법률 준수 전문가 상호간 협력을 통해 데이터 보안과 사용자 개인 정보 보호를 위해 포괄적인 거버넌스 구조를 구축했다.보안 및 개인 정보 보호 위원회를 주축으로 보안 및 개인 정보 보호 전문가들을 감독한다. 글로벌 비지니스의 장기적이고 지속 가능한 발전의 핵심이라고 판단하기 때문이다.지난 6월 29~30일 양일간 베이징에서 다섯 번째 연례 사물인터넷(Internet of Things, IoT) 보안 정상회담을 개최했다.업계 임원과 전문가들이 모여 데이터 보안 거버넌스 프레임워크와 인터넷 연결 전기 차량의 보안 및 소프트웨어 공급망 보안 위협을 해결하기 위한 국경 간 데이터 전송 등 광범위한 문제를 논의했다.샤오미는 2014년 보안 및 개인 정보 보호 위원회 설립을 시작으로 꾸준하게 보안 활동을 해오고 있다. 2016년에는 중국 기업 최초로 트러스트 아크(TrustArc) 인증을 획득했다.2018년 유럽연합(EU) 준수 평가의 일반 데이터 보호 규정(General Data Protection Regulation, GDPR)을 채택했다. 또한 2019년 ISO./IEC 27001, ISO/IEC 27018 인증을 획득했다.2021년 안드로이드 스마트폰 브랜드 첫 투명성 보고서를 발표하고, 2022년 NIST CSF (National Institute of Standards and Technology, Cybersecurity Framework) 인증을 획득했다.
-
[이스라엘] 파이어블록스, 6월 6일 국제표준화기구(ISO) 인증 받아이스라엘 디지털 자산 및 암호화폐 기술기업인 파이어블록스(Fireblocks)에 따르면 2022년 6월 6일 국제표준화기구(ISO) 인증을 받았다.인증은 보안은ISO 27001, 클라우드는 ISO 27017, 프러이버시는 ISO 27018 등 3개 영역이다. ISO 27001은 자체 클라우드 기반의 플랫폼, 제품, IT 인파라를 개발하고 유지하기 위한 ISMS(information security management system)에 대한 광범위한 감사 결과로 획득했다.클라우드, 프라이버시, 보안에서 인증을 받음으로써 파이어블록스는 3개 영역에서 인증을 받은 유일한 암호화폐 기술기업으로 등극했다.표준을 인증받았으므로 고객들은 안심하고 파이어블록스의 보안과 프라이버시 서비스를 받을 수 있게 됐다. 파이어블록스가 암호화폐 기술 시장에서 주도권을 쥘 수 있는 기반을 구축했다는 평가를 받고 있는 이유다.참고로 파이어블록스는 2022년 1월 US$ 5억5000만달러의 투자를 유치했다. 2021년 7월 시리스 D라운드에서 3억1000만달러를 조달하면서 기업가치를 20억달러로 평가받았다.
-
[미국] 국가표준학회(ANSI), 국가 표준이 국제 표준으로 채택되도록 노력미국 국가표준학회(American National Standards Institute, ANSI)는 국내에서 표준의 제정을 활성화시키는 활동 외에도 미국의 표준이 국제적으로 활용될 수 있도록 촉진하는 임무를 수행한다.또한 미국의 정책과 기술적 위치를 국제 및 지역 표준기구에 홍보하는 것도 중요한 역할이다. 표준을 도입하는 것이 적절하다고 판단되는 영역에서 국가 표준을 국제 표준에 적용하도록 권장한다. ANSI는 국가위원회(U.S. National Committee, USNC)를 통해 국제표준기구(ISO)와 국제전기표준위원회(International Electrotechnical Commission, IEC)에서 미국을 대표한다. 특히 ANSI는 국제표준기구의 창립 멤버다.또한 ANSI는 ISO와 IEC의 전체 기술 프로그램에 참여한다. 다수의 핵심 위원회와 하위 그룹의 활동도 적극적으로 개입하고 있다.많은 경우, 미국의 표준은 ANSI와 USNC 중 하나를 통해 ISO와 IEC에 직접 전달된다. ISO와 IEC는 미국이 표준을 접수한 후 전체 혹은 일부는 국제표준으로 수용한다. 미국 표준 중에서 ISO와 IEC의 표준으로 채택된 비율은 1986년 0.2%에서 2012년 5월 15.5%로 상승했다. ANSI는 9개의 표준 패널을 관리하고 있다.9개 표준 패널은 △ANSI HDSSC( Homeland Defense and Security Standardization Collaborative) △ANSI-NSP(ANSI Nanotechnology Standards Panel) △IDSP(ID Theft Prevention and ID Management Standards Panel) △ ANSI EESCC(Energy Efficiency Standardization Coordination Collaborative) △NESCC(Nuclear Energy Standards Coordination Collaborative) △EVSP(Electric Vehicles Standards Panel) △ANSI-NAM Network on Chemical Regulation △ANSI Biofuels Standards Coordination Panel △HITSP(Healthcare Information Technology Standards Panel) 등이다. 각각의 패널은 유관 분야에 관련된 자발적인 표준을 판별, 조정, 그리고 조화시키기 위해 노력한다. 표준 제정 과정에서 패널의 역할이 중요한 셈이다. 2009년 ANSI와 국가표준기술학회(National Institute of Standards and Technology, NIST)는 원자력 에너지 표준 조정 협의체(Nuclear Energy Standards Coordination Collaborative, NESCC)을 형성했다.참고로 NESCC는 원자력 산업에서 표준에 대한 현재의 필요성을 판별 및 대응하기 위한 공동 협의체다. 미국 정부는 청정에너지 산업으로 각광받고 있는 원자력 에너지 산업을 표준화해 원자력 사업을 성장시킬 계획에다.
-
[미국] 캡시쿰 그룹, ISO 27001:2013 인증 제공 업체 획득미국 디지털 포렌식 및 사이버 보안 전문 기업 캡시쿰 그룹(Capsicum Group)은 ISO 27001:2013 인증 제공 업체가 됐다.캡시쿰의 정보보안관리시스템(Information Security Management System, ISMS)은 국제표준화기구(ISO)로부터 제 3자 인증을 받은 것이다.캡시쿰은 정보보안, 개인정보 보호, 비밀성을 중요하게 생각하고 있는 기업이다. e디스커버리(eDiscovery), 디지털 포렌식, 사이버 보안 관련 최상급 서비스를 제공하고 있다.무단 액세스 또는 손상으로부터 보호하는 보안 조치, 대응 조치 등의 구현하며 IT 및 보안직원의 근면 성실, 지식 보유, 엄격한 문서화 등 증거 기반 감사 프로세스를 통해 인증을 받았다.이번 인증에 따라 고객은 시스템 정보의 비밀성, 무결성 및 가용성에 영향을 미칠 수 있는 위험에 대해 지속적이고 체계적인 관리를 기대할 수 있게 됐다.캡시쿰은 20년 이상 e디스커버리 서비스, 디지털 포렌식, 데이터 복구, 컴퓨터 조사, 개인정보 보호 및 보안, 취약성 평가, 침투 테스트, 기술 제공, 규정 준수, 사이버 범죄, 사고 대응 등 보안 인프라 내에서 포괄적인 지원을 제공해 왔다.특히 컨설턴트 및 e디스커버리 분석가는 컴퓨터 해킹, 데이터 침해 조사, 지식재산권 도용, 글로벌 파산, 고용법, 화이트칼라 형사 변호 및 기업 내부 조사와 같은 사건에 참여하는 공인 전문가다.참고로 캡시쿰은 펜실베니아주 필라델피아에 본사가 있으며 뉴욕, 플로리다, 텍사스 및 캘리포니아에 사무실을 두고 있다.
-
[미국] 미국표준기술연구소(NIST), 국제표준 개발에 중국 정부의 정책과 영향력에 우려 표명미국표준기술연구소(National Institute of Standards and Technology, NIST)는 신흥 기술에 관한 국제 표준 개발에 중국 정부(People’s Republic of China, PRC)의 정책과 영향력에 우려를 표명했다.미국 상공회소는 미국 기업이 공정하게 경쟁하고 승리할 수 있는 개방적이고 경쟁적인 시장을 지원하는 표준 정책을 발전시키기 위해 노력해왔다.민간 부문이 주도해 글로벌 표준을 개발하는 것이 기술 솔루션과 미국의 정책 목표를 달성하는데 일반적이고 기술적으로 건전한 접근 방식을 촉진하는 가장 좋은 방법이라고 믿고 있기 때문이다.표준은 자발적이고 개방적이며 투명하고 세계적으로 인정 받고 합의에 기반해 기술 중립적이어야 한다. 미국 정부 역시 국제표준화에 대한 이러한 접근 방식을 옹호한다.국제표준개발기구(Standards Development Organizations, SDOs)의 미국 공공 및 민간 부문 참여에 대해 강력하게 지원하는 이유다.하지만 중국 정부는 국가가 표준제정을 주도하고 있다. 특정 표준을 지원하는 방식은 새로운 신흥 디지털 기술의 발전을 방해할 수 있다. 또한 시장 성장을 늦추고 글로벌 인프라, 제품, 서비스를 개선하기 위한 공동의 노력을 방해한다. 따라서 NIST는 신흥 기술에 중점을 둔 국제 SDO에 대한 PRC의 국가 주도 간섭을 이해하고 완화하기 위해 노력하고 있다. 따라서 다음과 같은 과제에 집중할 것을 권장하고 있다.▶ 적법 절차, 강력한 지적 재산(IP) 보호 및 표준화 기관의 투명성 보장▶ SDO에 대한 국가 주도의 간섭에 관한 우려 사항을 해결하기 위해 민간 이해 관계자와 전용 대화를 수립하기 위한 노력의 강화▶ 중요한 표준 설정 기관 및 프로세스에 대한 미국 산업의 참여 및 역량 강화▶ 표준 관련 문제에 대한 외교적 참여로 민간 부문 피드백을 통합하고 같은 생각을 가진 동맹국의 소규모 그룹과 표준 조정 메커니즘을 시작▶ 인터넷 정책에 대한 다중 이해관계자 접근 방식을 유지▶ 산업보안국(Bureau of Industry and Security, BIS) 기업 목록과 관련된 수출 통제 규제에서 표준 활동의 면제를 명확하게 정의 등이다.
-
[미국] 사이버포트, ISO 27002:2022 표준의 재구성 공개미국 사이버 보안 서비스 제공업체인 사이버포트 그룹(Cyberfort Group)에 따르면 2022년 2월 ISO 27002:2022 표준이 새로 재구성되어 공개됐다.표준을 최신 상태로 유지하기 위한 목적이다. ISO 27001은 정보 보안을 관리하는 시스템에 대한 표준으로서 정보 보안 관리 시스템에 대한 요구사항을 정의해 조직이 정보 자산을 보호할 수 있도록 지원한다.ISO 27002는 ISO 27001에 나열된 제어를 구현하는 방법에 대한 표준이다. IS 27002는 2013년 114개의 제어 표준이 존재했지만 2022년 93개로 축소됐다.ISO 27002:2022의 새로운 표준은 코로나 전염벙(Pandemic)과 하이브리드 작업 모델(hybrid work model)의 영향을 받지는 않았다. 새로운 표준을 구현하는 데에 몇년이 걸리기 때문이다.ISO 27002:2022의 제어기능 중 하나가 필요성이 증가하고 있는 클라우드 서비스와 관련돼 있다. ISO 27002:2022의 기본 구성에 대한 요약은 아래와 같다.ISO/IEC 27002:2022는 구현 지침을 포함한 일반 정보 보안 제어의 참조 세트를 제공한다. 다음 조직에서 사용하도록 설계됐다.a) ISO/IEC27001에 기반한 정보보안관리시스템(ISMS)의 맥락 내b) 국제적으로 인정된 모범 사례를 기반으로 정보보안 통제 구현c) 조직별 정보보안 관리 지침 개발
-
[미국] 이펙츄얼, 품질 관리 국제 표준 ISO 9001:2015 인증 획득미국 클라우드 서비스 업체인 이펙츄얼(Effectual)는 최근 품질 관리 국제 표준 ISO 9001:2015 인증을 획득했다고 밝혔다. 이펙츄얼의 공공부문(Effectual Public Sector Inc.)은 연방(Federal), 주(State), 지방(Local), 교육 및 비영리 조직에 IT 현대화 솔류션을 제공한다.ISO 9001:2015는 국제 표준화 기구(ISO)에서 발행된 세계적으로 인정받는 품질 관리 표준이다. 특히 기업이 글로벌 비즈니스 전략에 부합하는 품질 관리 시스템을 개발하도록 안내한다.ISO 9001 표준은 커뮤니케이션, 운영 효율성, 고객 중심 및 직원 참여를 개선하기 위한 모든 조직 프로세스에서 증거 기반 의사 결정 및 책임에 중점을 두고 있다.특히 고객이 고품질 제품과 서비스를 지속적으로 지원 받을수 있도록 조직이 효과적인 품질 관리를 달성하는 데 필요한 구조, 책임 및 절차를 문서화하고 검토하는 프로세스 지향적인 접근 방식을 제공한다.이와 같은 ISO 9001 인증 획득은 디지털 혁신을 위한 파트너로서 고객의 신뢰를 더욱 강화할 수 있을 것으로 분석된다. 최고 수준의 품질 및 규정 준수를 달성하고 유지하기 위한 지속적인 노력의 일부로 평가되기 때문이다.이펙츄얼은 자격 증명, 인증 및 계약 수단을 통해 확장성이 뛰어난 환경을 설계, 구축, 보호 및 관리할 수 있는 입증된 능력을 보유하고 있다. 이를 통해 혁신적인 클라우드 솔루션을 성공적으로 제공하고 새로운 도구를 구현하고 있다.참고로 이펙츄럴은 AWS MSP(Managed Services Provider) 지정, AWS 마이그레이션 컨설팅 컴피턴시(Migration Consulting Competency), AWS DevOps 컨설팅 컴피턴시(Consulting Competency), AWS 모바일 컨설팅 컴피턴시, AWS SaaS 컨설팅 컴피턴시, AWS 정부 컨설팅 컴피턴시 및 AWS 비영리 컨설팅 컴피턴시 지정을 획득했다.또한 AWS Well-Architected 파트너 프로그램, AWS 공공 부문 파트너 프로그램(Public Sector Partner Programs), AWS GovCloud(미국) 및 AWS 프로그램 운영 권한의 회원이며 CSA(Cloud Security Alliance) 및 PCI SSC(Security Standards Council) 회원이다.
-
[프랑스] 유럽전기통신표준화기구(ETSI), 지난 1월 말 PKI Consortium과 양해각서(MOU) 체결프랑스 유럽전기통신표준화기구(European Telecommunication Standards Institute, ETSI)에 따르면 2022년 1월 말 PKI Consortium(Public Key Infrastructure Consortium)과 양해각서(MOU)를 체결했다.양 조직 간의 긴밀한 관계를 더욱 발전시켜 관계를 정립하고 강화하기 위한 목적이다. ETSI 기술위원회와 PKI는 전자서명 및 인프라와 관련해 긴밀히 협력해 나가기로 합의했다.PKI 컨소시엄은 산업 또는 사용 사례별 정책, 절차, 모범 사례, 표준, 도구를 개선·생성·협력하기 위해 노력하는 주요 조직으로 구성됐다.이러한 조직은 일반적인 인터넷 보안뿐만 아니라 PKI(Public Key Infrastructure, PKI를 사용하는 모든 사물과 모든 사람을 위한 자산 및 커뮤니케이션에 대한 신뢰를 향상시키게 된다.PKI는 가장 최신의 보안 시스템을 위한 기반을 정의하고 기밀성, 무결성, 신뢰성, 부인 방지 등을 제공한다. 일반적으로 허용된 비대칭 기술인 공개 키 암호화에 의존을 통해 기업이 안전하지 않는 미디어를 사용해 안전하게 통신하도록 한다.또한 기업이 데이터를 서명자에게 안정적으로 연결하고 서명 생성 시 데이터의 존재에 대한 보증을 증명해 데이터의 무결성을 보증하게 된다. 2013년 처음 설립됐을 때는 CASC(Certificate Authority Security Council) 또는 CA Security Council이라 불리었다.최초 목적은 연구를 수행하고 인터넷 보안 표준을 홍보하며 인터넷 보안 문제에 대한 대중을 교육하기 위한 다중 공급업체 산업 옹호 그룹이었다.2021년 CASC(Certificate Authority Security Council)는 PKI 컨소시엄(Public Key Infrastructure Consortium)으로 변경됐다.PKI 회원 자격은 현재 공개적으로 신뢰할 수 있는 인증기관이지만 규제기관, 감독기관, 기타 이해 당사자와 같은 비CA 회원에게도 개방될 예정이다.
-
[프랑스] 노르웨이 펙십(Pexip), 펙십인피니티(PexipInfinity) 솔루션이 프랑스의 ANSSI 인증 획득노르웨이 화상회의 솔루션 전문기업 펙십(Pexip)에 따르면 기업 비디오 커뮤니테이션 플랫폼 펙십인피니티(PexipInfinity) 솔루션이 프랑스의 ANSSI 인증을 획득했다.펙십의 글로벌 인증 전략의 일환으로 프랑스 시장에서 기업뿐만 아니라 공공 부분, 국방, 전자상거래, 은행, 인프라 등 민간기업에 이르기까지 비디오 커뮤니케이션 솔루션의 인증 혜택을 받을 수 있도록 하기 위함이다.인증은 ANSSI의 권한 하에 제 3자 평가에 의해 수행되는 규정 준수 분석 및 해킹 테스트를 기반으로 하고 있으며 제품의 강건성을 보증하고 있다. 펙십은 ANSSI 감사를 통과했으며 ANSSI 보안 표준에 따라 CSPN(First Level Security Certification)을 획득했다.인증은 플렉십인피니티가 보안 대상에 정의된 주변의 완전한 통제로부터 혜택을 받고 있으며 8개월에 걸친 절차 후 솔루션에 의해 생선된 데이터 및 어플리케이션이 저장소와 완벽하게 일치한다는 사실을 사용자에게 보증한다는 의미를 갖는다.펙십인피티 솔루션의 ANSSI 인증은 펙십의 ISO 27001 인증 일부분으로써 시장에 출시된 각각의 새로운 주요 버전에 대해 독립적인 조직에서 이미 해킹 테스트를 거쳤다.펙십은 현재 미국에서 ANSSI와 유사한 FIPS 140-2, JITC 인증을 받았다. 스페인에서는 CCN의 LINCE 평가, 독일에서는 BSI의 CC-EAL 2 등의 인증을 심사 중이다.펙십은 1933년 설립된 TANDBERG의 영상 처리 기술 능력과 2010년 CISCO와의 합병을 통해 최신 협업 개념을 정립했다. 2012년 관련 사업 부서가 독립해 펙십(Pexip)이 설립됐다.지난 2012년 설립된 펙십(Pexip)은 2011년 CISCO에서 독립한 Videxio와 2019년 합병해 클라우드 서비스 및 구축형 솔루션을 제공하고 있다.