검색결과
-
[미국] 국제전기기술위원회(IEC)와 국제표준기구(ISO), 최근 사이버보안 표준 IEC 81001-5-1:2021 발표국제전기기술위원회(International Electrotechnical Commission, IEC)와 국제표준기구(International Organization for Standards, ISO)에 따르면 최근 사이버보안 표준을 발표했다.새로운 표준은 건강 소프트웨어 및 건강 IT 사이버보안을 위한 의료 기기 소프트웨어 개발 표준에 관한 것이다. 기기 및 비기기 건강 소프트웨어 관련 기업의 사업에 상당한 영형을 미칠 수 있다.발표된 표준은 IEC 81001-5-1:2021로 일련의 IEC 81001 건강 소프트웨어 표준이 될 것으로 예상된다. 표준의 범위는 건강 관련 사용을 위해 특별히 고안된 하드웨어의 일부인 소프트웨어, 의료 기기로서의 소프트웨어, 기타 건강 관련 용도를 위한 소프트웨어 전용 제품 등 의료 기기 소프트웨어이다.새로운 표준의 가장 중요한 특징은 IEC 62304:2006과 AMD1:2015(Medical device software – software life cycle processes) 표준을 활동 및 결과물의 기초로 사용하고 각 IEC 62304 프로세스 단계에 사이버보안 요구사항을 포함한 것이다.의료기기 제조사들 사이에는 흔한 일이지만 IEC 62304 표준은 회사가 이전에 고려하지 않았을 수 있는 비기기 건강 소프트웨어 회사에 일련의 수명주기활동을 부과할 수 있다.IEC 81001-5-1:2021의 부록 A에 IEC 62304을 따르는 것이 IEC 81001-5-1:2021을 준수하기 위한 요구사항이 아니라고 명시돼 있다.하지만 IEC 81001-5-1의 준수시 IEC 62304 표준과 일치하지 않을 경우 출처를 알 수 없는 소프트웨어, 소프트웨어 아키텍처 설계, 안전 위험 관리, 문제해결, 요구사항 및 아키텍처, 설계에 대한 문서화된 고정된 검토에 관한 요구 사항 등에서 문제의 소지가 있을 수 있다.새로운 표준은 안전위험 관리와 상관관계가 있지만 안전에 영향을 미치는 것 이상의 사이버 보안 취약성과 위협 등 새로운 위험을 고려하고 있다.이 표준은 미국 AAMI(Association for the Advancement of Medical Instrumentation), NIST(National Institute for Standards and Technology), 유럽 MDGC(Medical Device Consortium Group) 등 다양한 출처의 사이버보안 지침과 일치하고 있다.다만 사이버보안 위험을 안전관련 문제로 제한하는 미국 FDA(Food and Drug Administration)의 사이버보안 지침과는 일치하지 않는다. 자세한 내용은 IEC 81001-5-1:2021 표준에서 확인이 가능하다.
-
[미국] 미국표준기술연구소(NIST), 국제표준 개발에 중국 정부의 정책과 영향력에 우려 표명미국표준기술연구소(National Institute of Standards and Technology, NIST)는 신흥 기술에 관한 국제 표준 개발에 중국 정부(People’s Republic of China, PRC)의 정책과 영향력에 우려를 표명했다.미국 상공회소는 미국 기업이 공정하게 경쟁하고 승리할 수 있는 개방적이고 경쟁적인 시장을 지원하는 표준 정책을 발전시키기 위해 노력해왔다.민간 부문이 주도해 글로벌 표준을 개발하는 것이 기술 솔루션과 미국의 정책 목표를 달성하는데 일반적이고 기술적으로 건전한 접근 방식을 촉진하는 가장 좋은 방법이라고 믿고 있기 때문이다.표준은 자발적이고 개방적이며 투명하고 세계적으로 인정 받고 합의에 기반해 기술 중립적이어야 한다. 미국 정부 역시 국제표준화에 대한 이러한 접근 방식을 옹호한다.국제표준개발기구(Standards Development Organizations, SDOs)의 미국 공공 및 민간 부문 참여에 대해 강력하게 지원하는 이유다.하지만 중국 정부는 국가가 표준제정을 주도하고 있다. 특정 표준을 지원하는 방식은 새로운 신흥 디지털 기술의 발전을 방해할 수 있다. 또한 시장 성장을 늦추고 글로벌 인프라, 제품, 서비스를 개선하기 위한 공동의 노력을 방해한다. 따라서 NIST는 신흥 기술에 중점을 둔 국제 SDO에 대한 PRC의 국가 주도 간섭을 이해하고 완화하기 위해 노력하고 있다. 따라서 다음과 같은 과제에 집중할 것을 권장하고 있다.▶ 적법 절차, 강력한 지적 재산(IP) 보호 및 표준화 기관의 투명성 보장▶ SDO에 대한 국가 주도의 간섭에 관한 우려 사항을 해결하기 위해 민간 이해 관계자와 전용 대화를 수립하기 위한 노력의 강화▶ 중요한 표준 설정 기관 및 프로세스에 대한 미국 산업의 참여 및 역량 강화▶ 표준 관련 문제에 대한 외교적 참여로 민간 부문 피드백을 통합하고 같은 생각을 가진 동맹국의 소규모 그룹과 표준 조정 메커니즘을 시작▶ 인터넷 정책에 대한 다중 이해관계자 접근 방식을 유지▶ 산업보안국(Bureau of Industry and Security, BIS) 기업 목록과 관련된 수출 통제 규제에서 표준 활동의 면제를 명확하게 정의 등이다.
-
[미국] 루멘복스, ISO 27001 인증 획득미국 음성 생체 인식 제공업체인 루멘복스(LumenVox)에 따르면 데이터 보안에 대한 신뢰성을 나타내는 ISO 27001 인증을 받았다. 인증을 획득하기 위해 외부 ISO 27001 조사자로부터 8개월 동안 평가를 받았다.ISO 27001 표준의 14개 도메인 및 114개 컨트롤에 대한 보안 제어가 대상이다. ISO 27001은 정보 보안 관리, 재무 정보 또는 지적 재산과 같은 보유 자산의 보안을 유지하도록 관리하는 표준이다.루멘복스는 ISO 27001 인증을 획득함으로써 업계에서 널리 인정되는 보안 관리 및 규정 준수 파라미터를 충족하고 지속적인 보안 개선에 전념할 수 있을 것으로 평가된다.특히 루멘복스는 기업 고객 기반을 지속적으로 성장시키고 국제적으로 확장하고 있기 때문에 이번 ISO 27001 인증 획득을 통해 고객의 신뢰를 더욱 향상시킬 수 있을 것으로 전망된다.참고로 ISO/IEC 27000:2018은 정보 보안 관리 시스템(ISMS)에 관한 표준으로서 ISMS 표준 제품군에서 일반적으로 사용되는 용어와 정의를 제공한다.ISO/IEC 27000:2018는 모든 유형 및 규모의 조직(예 : 영리기업, 정부기관, 비영리 조직)에 적용된다. ISO/IEC 27000:2018에 제공된 용어 및 정의는 다음과 같다.- ISMS 표준군에서 일반적으로 사용되는 용어 및 정의를 제공한다.- ISMS 표준군 내에서 적용되는 모든 용어와 정의를 다루지는 않는다.- 새로운 사용 용어를 정의할 때 ISMS 표준군을 제한하지 않는다.
-
[미국] 사이버포트, ISO 27002:2022 표준의 재구성 공개미국 사이버 보안 서비스 제공업체인 사이버포트 그룹(Cyberfort Group)에 따르면 2022년 2월 ISO 27002:2022 표준이 새로 재구성되어 공개됐다.표준을 최신 상태로 유지하기 위한 목적이다. ISO 27001은 정보 보안을 관리하는 시스템에 대한 표준으로서 정보 보안 관리 시스템에 대한 요구사항을 정의해 조직이 정보 자산을 보호할 수 있도록 지원한다.ISO 27002는 ISO 27001에 나열된 제어를 구현하는 방법에 대한 표준이다. IS 27002는 2013년 114개의 제어 표준이 존재했지만 2022년 93개로 축소됐다.ISO 27002:2022의 새로운 표준은 코로나 전염벙(Pandemic)과 하이브리드 작업 모델(hybrid work model)의 영향을 받지는 않았다. 새로운 표준을 구현하는 데에 몇년이 걸리기 때문이다.ISO 27002:2022의 제어기능 중 하나가 필요성이 증가하고 있는 클라우드 서비스와 관련돼 있다. ISO 27002:2022의 기본 구성에 대한 요약은 아래와 같다.ISO/IEC 27002:2022는 구현 지침을 포함한 일반 정보 보안 제어의 참조 세트를 제공한다. 다음 조직에서 사용하도록 설계됐다.a) ISO/IEC27001에 기반한 정보보안관리시스템(ISMS)의 맥락 내b) 국제적으로 인정된 모범 사례를 기반으로 정보보안 통제 구현c) 조직별 정보보안 관리 지침 개발
-
KTR, 시험성적서에 블록체인 보안기술 도입KTR(한국화학융합시험연구원, 원장 김현철)이 KTNET(한국무역정보통신)과 손잡고 시험성적서 위변조를 근본적으로 차단할 수 있는 기술을 도입한다. KTR 김현철 원장과 KTNET 차영환 대표는 29일, KTR 과천 본원에서 블록체인 기술을 도입해 보완이 강화된 디지털 시험성적서를 발급할 수 있도록 하는 내용의 업무협약을 체결했다. *블록체인 : 블록에 데이터를 담아 체인 형태로 연결, 수많은 컴퓨터에 동시에 이를 복제해 저장하는 분산형 데이터 저장 기술로 데이터 위조나 변조를 할 수 없도록 돼 있다. 이에 따라 KTR은 KTNET과 디지털 문서 유통 플랫폼을 구축해 내년 3월부터 디지털 시험성적서를 발급한다. KTR은 현재까지 원본 성적서에 위변조 방지를 위해 특수종이와 복사방지를 위한 홀로그램, 그리고 QR코드를 활용한 위변조 확인 등 종이 성적서 기반의 위변조 확인시스템을 운영해 왔다. KTR의 디지털 성적서 발행에 따라 고객들은 원본 성적서를 받기까지 소요되는 시간을 줄이고 종이 성적서 발행 비용을 절감할 수 있게 됐다. 무엇보다 블록체인 기술을 이용한 보안시스템으로 위변조를 원천 차단하게 돼 성적서 진위여부 확인 등의 노력을 줄일 수 있다. KTR을 통해 발급받은 디지털 성적서는 KTNET과 구축한 전자문서 지갑에 실시간으로 저장되고, 증명서 확인이 필요한 기관 또는 기업에 디지털 형태로 제출하는 것이 가능해진다. 물론 디지털 성적서와 함께 기존 실물 성적서 발급도 가능하다. KTR 김현철 원장은 “KTR과 협약을 맺고 있는 해외 기관과의 디지털 성적서 상호인정도 추진할 계획”이라며, “이번 성적서 디지털화를 시작으로 AI와 빅데이터 등을 접목해 시험인증 산업의 디지털화를 선도할 계획”이라고 밝혔다.
-
[오스트레일리아] 코인스팟(CoinSpot), 보안시스템에 대해 ISO 인증 획득오스트레일리아 최고 암호화폐 거래소인 코인스팟(CoinSpot)에 따르면 보안시스템에 대해 ISO(International Organization for Standardization) 인증을 획득했다.코인스팟은 국제적으로 공인된 ISO/IEC27001 표준을 충족하기 위해 오스트레일리아 및 뉴질랜드 인증기관의 공인 공동 인증시스템인 SCI Qual International로부터 외부 감사를 받았다.SCI Qual는 거래소의 정보보안 관리 절차 및 사례에 대한 조사를 통해 감사 업무를 수행했다. 코인스팟 플랫폼은 ISO 정보보안 인증을 받은 오스트레일리아 최초의 암호화폐 거래소이다.또한 지적재산권뿐만 아니라 종업원, 공급업자, 고객과 과련된 정보 및 디지털 자산 보관 관리에 대한 감사 업무도 진행한다.SCI Qual이 제시한 정책은 조직의 정보 관리 시스템의 파괴, 변조, 폐쇄뿐만 아니라 해킹 등의 무단 접근을 차단함으로서 보안을 강화하는 것이다.업계의 과거 역사가 입증하듯이 거래소에서 자산을 보관하는데에는 위험이 상존하고 있다. ISO 인증은 고객을 보호하기 위한 코인스팟의 지속적인 노력을 입증한다.코인스팟은 2022년 3월 기준 최대 100만명의 사용자 기반을 가지고 있는 암호화폐 거래소이다. 350개 이상의 암호화폐를 구매, 판매와 교환할 수 있다.
-
[미국] 페르소나, 정보보안 관리 시스템(ISMS)에 대한 국제 표준 ISO 27001 인증 획득미국 보안 솔루션 제공업체인 페르소나(Persona)에 따르면 정보보안 관리 시스템(ISMS)에 대한 국제 표준인 ISO 27001 인증을 획득했다.페르소나는 2018년 샌프란시스코에서 설립됐으며 200개 이상의 국가에서 20개 언어로 보안 솔루션을 제공하고 있다. ISO 27001 인증은 국제 표준화 기구(ISO)에서 정한 국제 표준에 대한 페르소나의 엄격한 준수를 보여주는 지표이다.이번 표준 인증은 고객과 직원을 위한 최고 수준의 보안 표준을 유지하기 위한 페르소나의 노력과 투자에 대한 검증 결과로 평가될 수 있다. 페르소나의 엄격한 보안 프로세스 및 관행을 증명해 주기 때문이다.특히 ISO 27001 인증은 페르소나의 보안 프로세스가 진화하는 규정을 준수하도록 보장하는 프로세스의 일부에 해당된다. 즉 페르소나는 ISO 27001 인증 외에도 또 다른 미국 보안 표준인 SOC 2 Type II를 준수한다.참고로 ISO/IEC 27001:2013은 조직의 맥락 내에서 정보 보안 관리 시스템을 구축, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항을 지정한다. 또한 정보 보안 위험의 평가 및 처리에 대한 요구 사항도 포함된다.
-
[미국] 날라샤 솔루션(Nalashaa Solutions), ISO 27001:2013 및 ISO 9001:2015 인증 획득미국의 21세기 디지털 IT 서비스 기업 날라샤 솔루션(Nalashaa Solutions)는 2022년 9월23일 ISO 27001:2013 및 ISO 9001:2015 인증을 획득했다고 밝혔다.날라샤는 2012년 설립해 10년간 꾸준히 다양한 산업 분야에 기업의 어플리케이션 설계, 개발, 제공 등 업계 전문기업으로 성장했다. 고객이 규정을 준수하고 자동화를 통해 사람의 노력을 최소화할 수 있도록 지원해 왔다.전자건강기록(Electronic Health Record, EHR) 소프트웨어 개발 회사의 의료 상호 운용성 향상, 수많은 고객을 위한 영향력 있는 소프트웨어 솔루션 개발 등을 주도해 왔다.또한 소프트웨어 어플리케이션의 투명성, 정교한 워크플로어 제작의 경이적 실적으로 고객으로부터 좋은 평가를 받았다. 따라서 ISO 27001 인증 지침 준수를 확인하기 위해 인증기관의 독립적인 감사를 받았다.결과적으로 정보 보안 경영 시스템(ISMS) 프로토콜에 대한 회사의 약속을 입증해 인증을 획득했다. 이로써 소프트웨어를 함에 있어 ISMS 표준 및 지침을 엄격히 준수하고 있음을 보증받게 됐다.ISO 9001:2015 인증은 국제적으로 인정을 받는 품질 관리 시스템(QMS)을 준수해 고품질의 지속 가능한 소프트웨어를 고객에게 제공하고 있는지 감사한다.날라샤는 뉴저지 기반 소프트웨어 개발업체로 ISO 9001:2015 인증 획득으로 품질 소프트웨어 개발 프로토콜 및 모범 사례에 대한 충실도를 향상시켰다.소프트웨어 제품 및 서비스의 설계, 개발을 위한 소프트웨어 개발회사의 품질 중심 경영에 대한 고객의 믿음에 보답할 수 있는 계기가 됐다.
-
[프랑스] 유럽전기통신표준화기구(ETSI), 지난 1월 말 PKI Consortium과 양해각서(MOU) 체결프랑스 유럽전기통신표준화기구(European Telecommunication Standards Institute, ETSI)에 따르면 2022년 1월 말 PKI Consortium(Public Key Infrastructure Consortium)과 양해각서(MOU)를 체결했다.양 조직 간의 긴밀한 관계를 더욱 발전시켜 관계를 정립하고 강화하기 위한 목적이다. ETSI 기술위원회와 PKI는 전자서명 및 인프라와 관련해 긴밀히 협력해 나가기로 합의했다.PKI 컨소시엄은 산업 또는 사용 사례별 정책, 절차, 모범 사례, 표준, 도구를 개선·생성·협력하기 위해 노력하는 주요 조직으로 구성됐다.이러한 조직은 일반적인 인터넷 보안뿐만 아니라 PKI(Public Key Infrastructure, PKI를 사용하는 모든 사물과 모든 사람을 위한 자산 및 커뮤니케이션에 대한 신뢰를 향상시키게 된다.PKI는 가장 최신의 보안 시스템을 위한 기반을 정의하고 기밀성, 무결성, 신뢰성, 부인 방지 등을 제공한다. 일반적으로 허용된 비대칭 기술인 공개 키 암호화에 의존을 통해 기업이 안전하지 않는 미디어를 사용해 안전하게 통신하도록 한다.또한 기업이 데이터를 서명자에게 안정적으로 연결하고 서명 생성 시 데이터의 존재에 대한 보증을 증명해 데이터의 무결성을 보증하게 된다. 2013년 처음 설립됐을 때는 CASC(Certificate Authority Security Council) 또는 CA Security Council이라 불리었다.최초 목적은 연구를 수행하고 인터넷 보안 표준을 홍보하며 인터넷 보안 문제에 대한 대중을 교육하기 위한 다중 공급업체 산업 옹호 그룹이었다.2021년 CASC(Certificate Authority Security Council)는 PKI 컨소시엄(Public Key Infrastructure Consortium)으로 변경됐다.PKI 회원 자격은 현재 공개적으로 신뢰할 수 있는 인증기관이지만 규제기관, 감독기관, 기타 이해 당사자와 같은 비CA 회원에게도 개방될 예정이다.
-
[방글라데시] 유씨비, 자산 보안 관리 국제표준 ISO/IEC 27001 인증 획득방글라데시 상업은행인 유씨비(UCB)에 따르면 자산 보안 관리 국제표준 ISO/IEC 27001 인증을 획득했다다. ISO/IEC 27001은 정보 보안 관리 시스템(ISMS)에 대한 요구 사항을 제공한다.또한 ISO/IEC 27000 제품군에는 12개 이상의 표준이 포함된다. ISO 27001을 통해 조직은 재무 정보, 지적 재산, 직원 세부 정보 또는 제3자가 위탁한 정보와 같은 자산의 보안을 관리할 수 있다.아리프 쿼아드리(Arif Quadri)가 CEO 및 전무 이사(Managing Director)를 맡고 있다. UCB는 유씨비 핀테크컴퍼니(UCB Fintech Company)를 설립해 유페이(Upay) 디지털 금융 서비스를 제공하고 있다. 유페이를 사용하면 다른 유페이 사용자에게도 현금을 송금할 수 있다.참고로 UCB는 1983년 6월 26일에 설립됐으며 외국 은행이 아닌 방글라데시 최대 민간 부문 상업은행 중 하나이다. UCB는 다카 증권 거래소(Dhaka's stock exchange)와 치타공 증권 거래소(Chittagong Stock Exchange)에 상장돼 있다.