검색결과
-
[프랑스] 노르웨이 펙십(Pexip), 펙십인피니티(PexipInfinity) 솔루션이 프랑스의 ANSSI 인증 획득노르웨이 화상회의 솔루션 전문기업 펙십(Pexip)에 따르면 기업 비디오 커뮤니테이션 플랫폼 펙십인피니티(PexipInfinity) 솔루션이 프랑스의 ANSSI 인증을 획득했다.펙십의 글로벌 인증 전략의 일환으로 프랑스 시장에서 기업뿐만 아니라 공공 부분, 국방, 전자상거래, 은행, 인프라 등 민간기업에 이르기까지 비디오 커뮤니케이션 솔루션의 인증 혜택을 받을 수 있도록 하기 위함이다.인증은 ANSSI의 권한 하에 제 3자 평가에 의해 수행되는 규정 준수 분석 및 해킹 테스트를 기반으로 하고 있으며 제품의 강건성을 보증하고 있다. 펙십은 ANSSI 감사를 통과했으며 ANSSI 보안 표준에 따라 CSPN(First Level Security Certification)을 획득했다.인증은 플렉십인피니티가 보안 대상에 정의된 주변의 완전한 통제로부터 혜택을 받고 있으며 8개월에 걸친 절차 후 솔루션에 의해 생선된 데이터 및 어플리케이션이 저장소와 완벽하게 일치한다는 사실을 사용자에게 보증한다는 의미를 갖는다.펙십인피티 솔루션의 ANSSI 인증은 펙십의 ISO 27001 인증 일부분으로써 시장에 출시된 각각의 새로운 주요 버전에 대해 독립적인 조직에서 이미 해킹 테스트를 거쳤다.펙십은 현재 미국에서 ANSSI와 유사한 FIPS 140-2, JITC 인증을 받았다. 스페인에서는 CCN의 LINCE 평가, 독일에서는 BSI의 CC-EAL 2 등의 인증을 심사 중이다.펙십은 1933년 설립된 TANDBERG의 영상 처리 기술 능력과 2010년 CISCO와의 합병을 통해 최신 협업 개념을 정립했다. 2012년 관련 사업 부서가 독립해 펙십(Pexip)이 설립됐다.지난 2012년 설립된 펙십(Pexip)은 2011년 CISCO에서 독립한 Videxio와 2019년 합병해 클라우드 서비스 및 구축형 솔루션을 제공하고 있다.
-
[인도] 인터텍(Intertek), 아큐서트(Intertek Acucert) 연구소가 ISO/IEC 17025:2017 인증 획득인도 글로벌 종합품질보증 제공기업 인터텍(Intertek)에 따르면 인터텍 아큐서트(Intertek Acucert) 연구소가 ISO/IEC 17025:2017 인증을 획득했다. 인터텍 아큐서트는 뭄바이에 있는 사이버 보안 테스트 연구소로 NABL(National Accreditation Board for Testing and Calibration Laboratories)에 의해 ISO/IEC 17025:2017 표준에 따라 인증을 받은 것이다. 인도에서 발행된 최초의 ISO/IEC 17025:2017 인증으로 인터텍 아큐서트가 표준의 엄격한 품질 관리 요구사항을 충족하면서 소프트웨어 및 IT 시스템 테스트에 필요한 전문 지식을 보유하고 있음을 인정하는 것이다. 국내외적으로는 인터텍 아큐서트 업무에 대한 자심감을 고취시키고 고객에게는 복잡하고 도전적인 평가 제공을 통해 핵심 역량과 서비스를 지속적으로 다양화하고 있는 것을 보여줬다. ISO/IEC 17025:2017은 테스트 및 교정 실험실의 역량에 대한 일반적인 요구사항에 관한 표준으로 전 세계에서 교정 및 테스트 활동을 수행하는 실험실에 대한 국제기준이다. 표준에 대한 인증은 실험실 품질 시스템의 구현과 기술적 역량의 입증이 신뢰할 수 있는 테스트 결과로 만들어 낼 수 있게 된다. 인터텍 아큐서트는 인도 정부, 전자정보기술부의 IC3S(Indian Common Criteria Certification Scheme)에 따라 ISO/IEC 17025:2017 CCTL(Common Criteria Test Laboratory) 인증을 받았다. 또한 NCCS(National Centre for Communication Security) 및 DoT(Department of Telecommunications) 산하 WiFi (CPE) 모뎀 ITSAR(Indian Telecom Security Assurance Requirements)을 위한 유망한 TSTL(Telecom security Testing Laboratory) 인증을 받았다. 인터텍은 전 세계 산업 분야에서 선도적인 종합 품질 보증 제공업체로 100개 이상의 국가에 1000개 이상의 실험실과 사무실 네트워크를 갖추고 있다. 인터텍 고객의 운영 및 공급망을 위한 혁신적인 맞춤형 보증, 테스트, 검사 및 인증 솔루션을 제공하고 있다.
-
[방글라데시] 정부, 전자정부조달(e-GP)의 정보보호관리시스템(ISMS) ISO 인증 획득방글라데시 정부에 따르면 전자정부조달(electronic government procurement, e-GP)의 정보보호관리시스템(Information security management system, ISMS) ISO 인증을 획득했다.e-GP용 정보보안관리시스템이 e-GP IT 운영 및 데이터센터의 범위 내에서 ISO/IEC 27001: 2013의 요구사항 준수 여부에 관한 인증이다. e-GP 시스템은 방글라데시 조달의 개혁 및 정부 서비스 디지털화의 이정표가 됐다.총리 셰이크 하시나(Sheikh Hasina)가 지난 2011년 6월 2일 e-GP 포털을 개설했다. 기획부 IMED의 CPTU(Central Procurement Technical Unit)는 2011년 8월 공공 조달을 디지털화하기 위해 e-GP를 도입했다.또한 e-GP 가이드라인은 2006년 공공조달법 섹션 65에 따라 방글라데시 정부의 승인을 받았다. 승인 지침에 따라 e-GP 시스템은 2단계에 걸쳐 도입 및 구현했다.1단계에서는 전자입찰이 CPTU 및 4개 부처 산하 16개의 다른 조달 부서에 시범적으로 도입됐다. 현재는 지방의 모든 조달 부서로 확장됐다. 4개 부처는 방글라데시 수자원 개발 위원회(BWDB), 지방정부 시설관리부(LGED), 도로 및 고속도로국(RHD), 지방 전기 위원회(REB) 등이다.2단계에서는 전자계약관리시스템(e-Contract Management System, e-CMS)을 개발 및 도입해고 현재 시행 중이다. e-CMS는 작업 계획서 작성 및 제출 등을 위한 플랫폼으로 이정표의 정의, 진행 상황 추적 및 모니터링, 보고서 생성, 품질검사 수행, 실행 청구서 생성, 공급업체 평가, 완료 인증서 생성 및 발급 등의 업무를 수행할 수 있다.2022년 2월 6일 기준 e-GP 시스템에 등록된 입찰자는 기업 9만5696개에 달한다. 이들 기업은 약 550만건 이상의 입찰에 참여했다.조달기관과 입찰자 모두 e-GP를 통해 각자의 조달 처리를 수행할 수 있어 시간과 비용, 환경을 절약할 수 있는 장점을 갖고 있다.ISO/IEC 27001는 조직이 정보 자산을 보다 안전하게 유지할 수 있도록 돕는 국제표준이다. 이러한 표준의 인증은 조직이 고객의 정보를 안전하게 관리하고 있다는 것을 확인해준다.
-
[홍콩] 사우스차이나모닝포스트(SCMP), 중국 텐센트(Tencen) NFT 관련 표준 기술 및 보안 프레임워크 생성 프로젝트 주도홍콩 사우스차이나모닝포스트(South China Morning Post, SCMP)에 따르면 중국의 엔터테인먼트 대기업 텐센트(Tencen)가 NFT(Non-Fungible Token) 관련 표준 기술 및 보안 프레임워크 생성을 탐구하는 프로젝트를 주도하도록 승인받았다.이 프로젝트는 'DLT 기반 디지털 컬렉션 서비스를 위한 기술 프레임워크(technical framework for DLT-based digital collection services)'로 중국의 알리바바의 자회사 핀테크 기업 앤트그룹(Ant Group)이 참여한다.중국 정보통신기술아카데미(Chinese Academy of Information and Communications Technology, CAICT), 베이징우편통신대(Beijing University of Posts and Telecommunications), 저장연구소(Zhejiang Lab) 등을 포함해 다수의 기업들이 참여할 예정이다.또한 프로젝트는 2022년말까지 초기 초안을 완료할 예정이다. 정보통신기술을 위한 유엔(UN) 기구 국제전기통신연합(International Telecommunication Union, ITU)으로부터 승인을 받았다.이번 국제표준의 목표는 블록체인 기반 디지털 수집품에 대한 기술 아키텍처, 기술 흐름, 기능 요구사항, 보안 요구 사항 등을 구체화하기 위함이다.디지털 수입품에 대한 기술 프레임워크를 형성하는 전 세계적 합의와 공통된 이해를 이끌어 낼 수 있을 것으로 보고 있다.중국 정부는 NFT 생태계에서 일반적으로 사용되는 이더리움과 같은 공용 네트워크를 권장하지 않고 있다. BSN-DDC에서 사용할 수 있는 10개의 공개 및 허가된 블록체인을 만들었다.BSN(Blockchain-Based Service Network)은 중국 정부가 승인한 블록체인 인프라 프로젝트로 NFT(Non-Fungible Token) 플랫폼을 출시했다.BSN-DDC(BSN-Distributed Digital Certificate) 네트워크는 중국 정부의 규정을 준수하는 NFT를 만드는 구조로 DDC는 NFT와 동일하다. 하지만 인증 용도를 강조하기 위해 명칭을 변경했다.BSN-DDC은 블록체인 서비스 네트워크를 기반으로 하고 있다. 개발자들이 저렴한 비용으로 분산 어플리케이션을 구축 및 배포할 수 있도록 개발한 플랫폼이다.따라서 텐센트(Tencen)의 NFT(Non-Fungible Token) 관련 표준 개발 프로젝트는 미국과 유럽 및 글로벌에서 현재 통용되고 있는 이더리움이 아닌 중국 정부가 자체적으로 개발한 DDC를 기반할 가능성이 매우 높다.2022년 2월 초 유럽연합 집행위원회의가 발표한 전략에서 중국의 표준화 영향력에 대한 우려가 현실로 다가오고 있다. 향후 중국은 글로벌 표준화 작업에 적극 개입하고 타 국가 및 제품들은 중국의 영향력에 놓일 것으로 판단된다.
-
[미국] 국제표준화기구(ISO), 3월 업데이트 및 승인된 ISO 27002 신규 표준 발행 예정국제표준화기구(International Organization for Standardization, ISO)에 따르면 2022년 3월 ISO 27002 표준의 업데이트 및 승인으로 새 버전이 발행될 예정이다.업데이트 된 표준은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 이다.11개의 새로운 컨트롤이 추가됐는데, 세부 구성을 살펴보면 조직적 통제 분야 3개, 물리적 통제 분야 1개, 기술적 통제 분야 7개 등이다.조직적 통제 부분은 클라우스 서비스 사용을 위한 정보 보안, 비지니스 연속성을 위한 ICT 준비, 위협 인텔리전스(Threat Intelligence) 등이다.물리적 통제 부분은 물리적 보안 모니터링(Physical security monitoring)이며 기술적 통제 부분은 구성관리, 정보 삭제, 데이터 마스킹, 데이터 유출 장치, 모니터링 활동, 웹 필터링, 보안 코딩 등으로 구성됐다.기존 대부분의 컨트롤들은 수정됐다. 약 절반이 실제로 분리할 수 없거나 밀접하게 관련된 다른 컨트롤과 합해졌다.현재 24개의 컨트롤로 병합됐으며 ISO/IEC 27002 새 버전의 표준은 기존 114개에서 24개의 컨트롤로 바뀌었다. 발표 이후 2년의 전환 기간을 갖게 된다.특히 조직적 통제 부분의 위협 인텔리전스(Threat Intelligence)는 최근 몇 년간 관심이 증가하고 있으며 전 세계 보안팀에서 채택이 늘어가는 추세다.보안팀이 인텔리전스를 활용하게 되면 더 많은 정보를 얻게 되어 빠른 결정과 위협에 대한 안정적 식별 및 조치를 취할 수 있기 때문이다.ISO/IEC 27002 표준의 위협 인텔리전스 통제는 조직이 적절한 완화 조치를 취할 수 있도록 조직에 영향을 미치는 위협 환경에 대한 인식을 제공한다. 정보 보안 위협과 관련된 정보를 수집하고 분석하는데 도움이 되도록 구현한다.이러한 통제 추가는 위협 인텔리전스의 필요성을 표준화할뿐만 아니라 여러 다른 통제를 알리고 구현하는데 도움이 되기 때문에 매우 중요하다.위협 인텔리전스를 사용해 획득한 컨텍스트와 통찰력은 클라우드 보안 전략에 정보를 제공하고 공급망 파트너들에게 영향을 미치는 취약성을 식별하거나 물리적, 환경적 위협을 감지 및 모니터링하는데 도움이 될 수 있다.위협 인텔리전스를 적절히 활용하기 위해 국제표준화 기구는 조직이 전략, 전술, 운영 등의 3가지 인텔리전스 계층 모두를 고려할 것을 권장하고 있다. 3가지 인텔리전스 계층은 전략적 위협 인텔리전스, 전술적 위협 인텔리전스, 운영 위협 인텔리전스 등이다.첫째, 전략적 위협 인텔리전스는 변화하는 위협 환경에 대한 공격자 유형이나 공격 유형 등 상위 수준의 정보 교환을 말한다.이것은 전반적인 사이버 및 물리적 위협 환경, 사이버 위협과 물리적 위협의 융합, 업계 및 동료들에게 영향을 끼치는 위협과 추세, 특정 조직에 대한 관련 위협 등을 이해함으로써 결정 우위를 확보하는 장점이 있다.인텔리전스가 제공하는 전략적 우선 순위를 기반으로 보안 아키텍처와 예산 결정을 내릴 수 있는 능력을 갖게 된다는 유리한 점도 있다.조직의 보안 전략 및 목표에 부합하는 PIR(Priority Intelligence Requirements)의 생성 및 추적, 의사 결정자가 위험을 이해하고 우선 순위를 지정해 더 나은 정보에 근거한 결정을 내리는데 도움이 되는 완성된 인텔리전스 및 임시 맞춤형 보고, 조직이 인식해야 하는 새로운 위협, TTP, 위협 그룹의 식별과 같은 장점도 갖게 된다.구체적으로 전술적 위협 인텔리전스, 운영 위협 인텔리전스뿐만 아니라 나머지 10개 통제에 대한 상세 내용은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 표준을 참조하면 된다.
-
[미국] 국제표준화기구(ISO), 3월 업데이트 및 승인된 ISO 27002 신규 표준 발행 예정국제표준화기구(International Organization for Standardization, ISO)에 따르면 2022년 3월 ISO 27002 표준의 업데이트 및 승인으로 새 버전이 발행될 예정이다.업데이트 된 표준은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 이다.11개의 새로운 컨트롤이 추가됐는데, 세부 구성을 살펴보면 조직적 통제 분야 3개, 물리적 통제 분야 1개, 기술적 통제 분야 7개 등이다.조직적 통제 부분은 클라우스 서비스 사용을 위한 정보 보안, 비지니스 연속성을 위한 ICT 준비, 위협 인텔리전스(Threat Intelligence) 등이다.물리적 통제 부분은 물리적 보안 모니터링(Physical security monitoring)이며 기술적 통제 부분은 구성관리, 정보 삭제, 데이터 마스킹, 데이터 유출 장치, 모니터링 활동, 웹 필터링, 보안 코딩 등으로 구성됐다.기존 대부분의 컨트롤들은 수정됐다. 약 절반이 실제로 분리할 수 없거나 밀접하게 관련된 다른 컨트롤과 합해졌다.현재 24개의 컨트롤로 병합됐으며 ISO/IEC 27002 새 버전의 표준은 기존 114개에서 24개의 컨트롤로 바뀌었다. 발표 이후 2년의 전환 기간을 갖게 된다.특히 조직적 통제 부분의 위협 인텔리전스(Threat Intelligence)는 최근 몇 년간 관심이 증가하고 있으며 전 세계 보안팀에서 채택이 늘어가는 추세다.보안팀이 인텔리전스를 활용하게 되면 더 많은 정보를 얻게 되어 빠른 결정과 위협에 대한 안정적 식별 및 조치를 취할 수 있기 때문이다.ISO/IEC 27002 표준의 위협 인텔리전스 통제는 조직이 적절한 완화 조치를 취할 수 있도록 조직에 영향을 미치는 위협 환경에 대한 인식을 제공한다. 정보 보안 위협과 관련된 정보를 수집하고 분석하는데 도움이 되도록 구현한다.이러한 통제 추가는 위협 인텔리전스의 필요성을 표준화할뿐만 아니라 여러 다른 통제를 알리고 구현하는데 도움이 되기 때문에 매우 중요하다.위협 인텔리전스를 사용해 획득한 컨텍스트와 통찰력은 클라우드 보안 전략에 정보를 제공하고 공급망 파트너들에게 영향을 미치는 취약성을 식별하거나 물리적, 환경적 위협을 감지 및 모니터링하는데 도움이 될 수 있다.위협 인텔리전스를 적절히 활용하기 위해 국제표준화 기구는 조직이 전략, 전술, 운영 등의 3가지 인텔리전스 계층 모두를 고려할 것을 권장하고 있다. 3가지 인텔리전스 계층은 전략적 위협 인텔리전스, 전술적 위협 인텔리전스, 운영 위협 인텔리전스 등이다.첫째, 전략적 위협 인텔리전스는 변화하는 위협 환경에 대한 공격자 유형이나 공격 유형 등 상위 수준의 정보 교환을 말한다.이것은 전반적인 사이버 및 물리적 위협 환경, 사이버 위협과 물리적 위협의 융합, 업계 및 동료들에게 영향을 끼치는 위협과 추세, 특정 조직에 대한 관련 위협 등을 이해함으로써 결정 우위를 확보하는 장점이 있다.인텔리전스가 제공하는 전략적 우선 순위를 기반으로 보안 아키텍처와 예산 결정을 내릴 수 있는 능력을 갖게 된다는 유리한 점도 있다.조직의 보안 전략 및 목표에 부합하는 PIR(Priority Intelligence Requirements)의 생성 및 추적, 의사 결정자가 위험을 이해하고 우선 순위를 지정해 더 나은 정보에 근거한 결정을 내리는데 도움이 되는 완성된 인텔리전스 및 임시 맞춤형 보고, 조직이 인식해야 하는 새로운 위협, TTP, 위협 그룹의 식별과 같은 장점도 갖게 된다.구체적으로 전술적 위협 인텔리전스, 운영 위협 인텔리전스뿐만 아니라 나머지 10개 통제에 대한 상세 내용은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 표준을 참조하면 된다.
-
[싱가포르] 베리파이바스프(VerifyVASP), 한국 가상 자산 서비스 제공자(VASP) 등록 절차를 완료한 14개 사업자가 TRWG 출범▲ 베리파이바스프(VerifyVASP Pte Ltd) 홈페이지 싱가포르 베리파이바스프(VerifyVASP Pte Ltd)에 따르면 한국에서 가상 자산 서비스 제공자(virtual asset service provider, VASP) 등록 절차를 완료한 14개 사업자가 연합해 TRWG(Travel Rule Working Group)을 출범 시켰다.TRWG는 2022년 3월말까지 여행 규정 요구사항을 충족시키기 위해 종단간 암호화 메시징 프로토콜을 활용할 계획이다.한국에서 '특정 금융거래의 보고 및 이용에 관한 법률(Act on Reporting and Using Specified Financial Transaction Information)'에 따라 여행 규정을 준수해야 하는 기한이 3월 말이기 때문이다.TRWG는 2월 중순까지 필요한 모든 통합 및 테스트를 완료한 후 한달 간 시범서비스를 거쳐 3월말 이전에 규제 요구 사항을 완전히 준수하는 안정적 운영을 시작할 예정이다.한국에서 VerifyVASP 서비스를 시작한 배경은 2021년 정부가 국제자금세탁방지기구(FATA)의 권고를 받아들여 특금법 개정안에 가상자산사업자(VASP)가 지켜야 할 의무 중 하나로 트래블룰을 명시한 것이다.트래블룰은 금융시스템에서 자금의 송수신 시 중개자가 송금인 A와 수신인 B의 신원 정보 모두를 갖고 있어야 한다는 것으로 '자금이동 규칙'이라고도 불린다.전 세계 은행들은 오래 전부터 표준화된 트래블룰을 마련해 공통 시스템 하에서 관련 업무를 수행해왔다. 불법 자금 세탁 방지 및 용이한 추적을 목적으로 한다.FATF는 각국이 취해야 되는 사법제도, 금융시스템 및 규제, 국제 협력 등 포괄적인 분야에 대한 가이드라인을 제시해 자금세탁 및 테러 자금 조달에 대처하도록 권고하고 있다. 지난 2021년 10월 28일 업데이트된 FATF의 개정안 지침을 살펴보면 6가지 핵심 영역에 중점을 두고 있다.세부 내역은 ▶가상 자산 및 VASP의 정의에 대한 설명 ▶FATF 표준이 스테이블코인에 어떻게 적용되는지에 대한 지침 ▶P2P 거래에 대한 자금 세탁 및 자금 조달 위험을 해결하기 위해 국가에서 사용할 수 있는 위험 및 도구에 대한 추가 지침 등이다.또한 ▶VASP의 라이선스 및 등록에 대한 업데이트 된 지침 ▶여행 규칙의 이행에 대한 공공 및 민간 부문에 대한 추가 지침 ▶VASP 감독관 간의 정보 공유 및 협력 원칙 등을 포함한다.한국의 연도별 FATF 대응 현황을 살펴보면 2018년 1월 가상 통화 관련 자금세탁방지 가이드라인 제정 및 시행을 통해 실명 확인 입출금 서비스를 개시했다.2020년 3월 24일 특정금융정보법 개정 가상자산사업자 개념을 도입했다. 2021년 2월에는 감독규정 일부 개정규정안 입법을 예고했다.2021년 3월에는 특정금융정보법을 시행해 6개월 간 유예기간 및 9월까지 신고하도록 했다. 동월 FATF 권고안 개정 초안을 발표했다.2021년 5월에는 가상자산업법안을 발의했다. 2021년 6월 FATF, 암호화폐 트레블룰 수정안을 발표하고 동년 10월 최종안을 발표했다. 2022년 3월 25일 트레블 룰이 적용된다.베리파이바스프(VerifyVASP Pte Ltd)는 VASP가 여행 규정 또는 가치 이전(Value Transfer) 요구사항을 준수하도록 지원하는 싱가포르 기반 B2B 서비스 기업이다. 2021년 12월 블록체인 데이터 플랫폼 기업 체인어날리시스(Chainalysis)로부터 전략적 투자를 이끌어냈다.Chainalysis는 60개국 이상에서 정부 기관, 거래소, 금융 기관, 보험, 사이버 보안 기업 등에서 데이터, 소프트웨어, 서비스 등을 제공하고 있다. 또한 여행 규칙 정보 전송을 위한 국제 메시징 표준 InterVASP Messaging Standard(IVMS101)를 채택했다.참고로 가치 이전(Value Transfer)이란 가치를 암호화폐(cryptocurrency)로 이전시키는 것을 말한다. 채팅 횟수, 전화 횟수, 운전 거리, 게임 시간, 버린 쓰레기 양, 청소기 사용 시간, 택배 횟수 등 행위, 거리, 시간, 양 등 모든 것들을 암호화폐로 이전시킬 수 있다.
-
[미국] 국제표준화기구(ISO), 6월 출시 자동차 모델에 새로운 표준 ISO/SAE 21434 적용국제표준화기구(ISO)에 따르면 2022년 6월 유럽, 일본, 한국에서 출시되는 자동차 모델에 대해 새로운 표준 ISO/SAE 21434를 준수하는 증명을 해야 된다.지난 2021년 8월에 발표된 'ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering' 신규 표준에 따라 초기 장비 제조업체 및 공급업자는 하드웨어 및 소프트웨어 개발 프로세스 모두를 충족해야 된다.향후 전자제어장치(electronic control units, ECU)를 포함한 전체 자동차 공급망은 포괄적인 보안 검증을 포함한 투명하고 잘 문서화된 프로세스가 포함될 것으로 기대된다.제어 및 요구사항을 명확하게 정의하고 확인하는 작업뿐만 아니라 사이버 보안이 공급망의 모든 수준에서 철저하게 관리되고 고려되고 있음을 증명해야 된다.낮은 사양은 부정확하거나 오해의 소지가 있거나 검증할 수 없는 보안 요구사항이 발생된다. 모든 항목, 사이버 보안 목표, 개념 들은 이해관계자들을 위해 문서화되고 이해시켜야 한다.여기에는 자산 자체, 상호작용, 자산의 보안 목표를 보존하기 위한 장치의 사용 환경의 모든 설계 기능이나 품질이 포함돼야 한다.또한 위험을 완화하기 위해 사용하려는 제어 및 보안 요구 사항들은 철저한 위협 분석과 위험 평가 실습을 통해 이뤄져야 한다.평균적으로 자동차에는 150개에 달하는 전자제어장치(ECU)가 있으며 최종 설계에서 사이버 공격이나 잠재적 취약성이 증가하고 있다.업계는 자동차 수직적 하드웨어 기반 플랫폼에서 수평적 소프트웨어 기반 플랫폼으로 이동함에 따라 제조업체와 공급업자가 구성요소 및 설계에 강력한 사이버보안 및 데이터 개인정보 보호 제어 기능을 포함하도록 하는 것이 중요하다.2021년에는 많은 제조업체들이 영향을 받은 반도체 부족 현상은 기업의 공급망을 검토하고 칩 개발을 내부에서 수행하는 것을 고려하게 됐다. 기업 스스로 하드웨어 및 소프트웨어 사이버 보안 위험 완화에 더 많은 책임을 져야 한다는 것을 의미한다.ISO/SAE 21434:2021 Road vehicles 표준의 적용 범위는 ▶도로용 자동차 ▶전기전자 시스템, 하드웨어, 소트트웨어 부품 및 인터페이스 ▶외부장비나 네트워크와의 연결되는 시스템 등이다.주요 원칙을 살펴 보면 ▶Road vehicles에만 적용 ▶합리적 절차에 따른 안전한 자동차 시스템 개발 ▶제조사와 부품사 간 상당한 배려(Due diligence) ▶자동차의 사이버 보안 엔지니어링에 중점 ▶사이버보안의 최신 기술에 기반 등이다.또한 ▶위험 정도에 따른 우선 순위 결정 및 사이버보안 요구사항에 대한 위험 요소를 분석해 위험에 근거한 접근법 ▶사이버보안 경영시스템 구축 ▶설계 및 개발, 생산, 운행, 정비, 유지보수 및 폐차 등 자동차 전체 수명주기에 따른 사이버보안 활동과 프로세스 등도 포함된다.
-
[미국] AEF, 3월 9일 ~ 11일 까지 연례 북미 2022 플러그페스트(Plugfest) 개최미국 AEF(Agricultural Industry Electronics Foundation)에 따르면 2022년 3월 9일 ~ 11일까지 뉴올리언스 커모디티 클래식(Commodity Classic) 기간 연례 북미' 2022 플러그페스트(Plugfest)'가 개최될 예정이다. 플러그페스트(Plugfest)는 전 세계 농업 장비 소프트웨어 엔지니어들에게 ISOBUS 제품의 호환성을 테스트하고 경쟁을 제쳐두고 농산업 이익을 위해 협력할 수 있는 기회를 제공해 줄 것이다.ISOBUS는 서로 다른 제조업체들의 농업 장비들의 통신 시스템을 표준화하기 위한 통신 프로토콜이다. 하지만 복잡성으로 인해 ISO 11783 표준이 제조업체마다 약간씩 다르게 해석됐다.따라서 AEF Plugfests는 지난 2001년부터 엔지니어들이 개발 중인 제품을 테스트하고 트렉터, 도구 및 구성요소 등 제조사들이 호환가능한 방식으로 표준을 해석하고 있는지 도움을 주고 있다.'2022 플러그페스트( Plugfest)'에서 엔지니어들은 서로의 ISOBUS 제품을 연결해 제품간 통신이 가능한지 확인할 수 있다. 이벤트 후 모든 참석자들은 자신들의 제품 개선 방법에 대한 새로운 데이터와 깊은 이해를 가질 것으로 예상된다.ISOBUS 제품을 개발하는 사람 누구나 자신의 제품이 시중에 나와 있는 대부분의 ISOBUS 제품과의 호환성되는지 확인할 수 있는 좋은 기회이다.AEF와 AEM(Association of Equipment Manufacturers)의 파트너십은 Plugfest가 진보적인 커모디티 클래식 농업 무역 박람회와 함께 개최되는 기회를 촉진했다.또한 트렉트를 판매하는 딜러, 농부, 제조업체들이 농산업에 영향을 끼치는 핵심 기술 문제를 해결하기 위해 협력할 수 있는 기회를 제공한다.기업의 비밀을 공유하는 것이 아니라 경쟁사 장비의 일부가 현장에서 함께 연결될 때 고객이 진정으로 원하는 것을 제공할 수 있도록 하기 위해 공통 언어, 공통 표준, 공통 소프트웨어에 대해 동의하는 것이다.플러그페스트(Plugfest)는 ISO 11783 표준에 정의된 프로토콜을 테스트하기 위해 미국과 유럽에서 격년으로 개최되는 행사로 수맥명의 참석자와 방문자들에 인기를 끌고 있다.AEF 회원사들은 AGCO, Case IH, CLAAS, John Deere, New Holland, SAME DEUTZ-FAHR 등을 포함해 일반적으로 플러그페스트에 참석하고 있다.농업 및 임업을 위한 트랙터 및 기계로 알려진 ISO 1173-직렬 제어 및 통신 데이터 네트워크는 일명 ISO Bus 또는 ISOBUS라고 한다.SAE J1939 프로토콜을 기반으로 하는 농산업을 위한 통신 프로토콜로 VDMA내 ISOBUS 그룹에서 관리하고 있다.ISO 11783 표준은 다음과 같이 14개 부분으로 구성돼 있다. ▶ISO 11783-1: General standard for mobile data communication ▶ISO 11783-2: Physical layer ▶ISO 11783-3: Data link layer ▶ISO 11783-4: Network layer ▶ISO 11783-5: Network management ▶ISO 11783-6: Virtual terminal ▶ISO 11783-7: Implement messages application layer ▶ISO 11783-8: Power train messages ▶ISO 11783-9: Tractor ECU ▶ISO 11783-10: Task controller and management information system data interchange ▶ISO 11783-11: Mobile data element dictionary ▶ISO 11783-12: Diagnostics services ▶ISO 11783-13: File server ▶ISO 11783-14: Sequence control 등이다.
-
[미국] 줌, Zoom Meeting Client 버전 5.6.6 국제 표준 인증 획득미국 화상회의 개발업체 줌(Zoom Video Communications, Inc.)에 따르면 Zoom Meeting Client 버전 5.6.6이 세계에서 가장 까다로운 보안 및 보증 평가 절차를 거쳐 국제 표준 인증을 획득했다.독일연방정보보호청(German Federal Office for Information Security)으로부터 Common Criteria Evaluation Assurance Level 2 (v3.1 rev. 5)를 획득한 최초의 비디오 커뮤니케이션 클라이언트이다.이 인증은 영국, 미국, 캐나다, 독일 등을 포함해 전 세계 25개국 이상에서 IT 제품 보안에 대한 최고 기준점이 되고 있다. 고객의 보안 우려를 불식시키기 위해 최초의 비디오 커뮤니케이션 클라이언트로서 인증을 받은 것이다.보안과 개인정보보호는 줌이 할 수 있는 모든 일의 초석으로 사용자를 위해 보안 기능을 지속적으로 혁신하고 있다. 또한 소프트웨어를 지속적으로 업데이트해 고객들이 모든 최신 보안 기능에 접근하도록 배려한다.독일연방정보보호청은 윈도우, macOS, iOS, 안드로이드 용 줌의 5.6.6버전을 인증했다. 최고 표준에 대한 사양을 충족하고 엄격한 테스트를 거쳤다.