티스토리 뷰
IoT 보안 공통 가이드
| 단계 | IoT 공통 보안 원칙 | IoT 공통 보안 가이드 |
| 설계 개발 | 정보보호와 프라이버시를 고려한 IoT 제품,서비스 설계 |
1. IoT 장비 특성을 고려하여 보안 서비스의 경량화 구현 2. IoT 서비스 운영 환경에 적합한 접근권한 관리 및 인증, 종단 간 통신 보안, 데이터 암호화 등의 방안 제공 3. 소프트웨어 기술 보안과 하드웨어 보안 기술의 적용 검토 및 안전성이 검증된 보안 기술 활용 4. IoT 제품 및 서비스에서 수집되는 민감 정보(개인정보 등) 보호를 위해 암호화, 비식별화, 접근관리 등의 방안 제공 5. IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성 보잔 |
| 안전한 SW 및 HW 개발기술 적용 및 검증 | 6. 소스코드 구현단계부터 내재될 수 있는 보안 취약점을 사전에 예방하기 위해 시큐어 코딩 적용 7. IoT 제품 및 서비스 개발에 사용된 다양한 SW에 대해 보안 취약점 점검 수행 및 보안 패치 방안 구현 8. 펌웨어/코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안 기법 적용 |
|
| 배포 설치 구성 |
안전한 초기 보안 설정 방안 제공 | 9. IoT 제품 및 서비스 (재)설치 시 보안 프로토콜들에 기본으로 설정되는 파라케터값이 가장 안전한 설정이 될 수 있도록 'Secure by Defalut' 기본 원칙 준수 |
| 안전한 설치를 위한 보안 프로토콜 준수 및 안전한 파라메터 설정 | 10. 안전성을 보장하는 보안 프로토콜 적용 및 보안 서비스 제공 시 안전한 파라메터 설정 | |
| 운영 관리 폐기 |
IoT 제품, 서비스 취약점 패치 및 업데이트 지속 이행 | 11. IoT 제품 및 서비스의 보안 취약점 발견 시 이에 대한 분석 수행 및 보안 패치 배포 등의 사후조치 방안 마련 12. IoT 제품 및 서비스에 대한 보안 취약점 및 보호조치 사항은 홈페이지, SNS 등을 통해 사용자에게 공개 |
| 안전 운영, 관리를 위한 정보보호 및 프라이버시 관리체계 마련 | 13. 최소한의 개인정보만 수집, 활용될 수 있도록 개인정보보로정책 수립 및 특정 개인을 식별할 수 있는 정보의 생성, 유통을 통제할 수 있는 기술적, 관리적 보호조치 포함 | |
| IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련 | 14. 다양한 유형의 IoT 장치, 유무선 네트워크, 플랫폼 등 다양한 계층에서 발생 가능한 보안 침해사고에 대비하여 침입탐지 및 모니터링 수행 15. 침해사고 발생 이후 원인분석 및 책임 추적성 확보를 위해 로그기록의 주기적 저장, 관리 |
IoT 디바이스 보안 점검 기준
| 방안 | 보안 점검 항목 및 기준 |
| 접근권한 관리 및 인증 | 접근 계정 및 권한 확인 - 유지보수 목적으로 제조사 등에서 접속하는 관리자 계정 사용 중지 - 인증된 클라이언트는 타 클라이언트의 데이터에 접근하지 못하도록 권한 관리 |
| 개인정보 수집 시 개인정보보호 관리체계 수립 후 기술적, 관리적 보호조치 수행 | |
| 수집된 개인(민감)정보의 접근관리, 인증, 저장 및 전송 시 암호화 등 보호조치 필요 | |
| 비밀번호 정책 - 관리자 계정의 모든 디바이스에 공통 비밀번호 사용 금지 - 펌웨어 등 디바이스에 비밀번호 저장 금지 - 특정 횟수 이상 비밀번호가 틀리는 경우 계속 시도하지 못하도록 재시도 딜레이 추가 |
|
| 종단간 통신 보안 및 데이터 암호화 |
알고리즘 및 적정한 키 길이에 따른 안전성 확인 |
| 통신구간 암호화는 전구간 TLS 적용 권장 | |
| Salt, iv 사용으로 암호화 안정성 확보 | |
| 암복호화용 키는 소스코드나 시스템 내부 파일 형태로 저장 금지 | |
| 안전한 키 관리를 위해서는 하드웨어 기반 보안 솔루션 사용 권장 | |
| 보안 적용 기술 방식 확인 |
적용기술의 안전성 확인 - 적용된 보안 기술 목록 및 안전성 검토 결과 요청 - 암호모듈 검증 또는 CC 인증 여부 확인 |
| 하드웨어 보안 기법 적용 - 디버깅용 입출력 포트(UART/JTAG 등) 이용 디바이스 내부 shell 연결 및 실행 기능 - IoT 서비스의 특성상 고도의 보안 요구 시 시큐어 부트, 펌웨어 코드/암호화, 실행 코드 영역 제어 등 하드웨어 보안 기법 적용 필요 |
|
| 시큐어 코딩 및 보안 패치 |
시큐어 코딩 적용 여부 확인 - 소스코드 취약점 제거를 위한 시큐어 코딩 적용 여부 확인 - 패치버전의 시큐어 코딩 적용 여부 확인 |
| 지속적인 보안 취약점 점검 및 패치방안 - 보안 취약점 점검 주기 및 일정 확인 - 안전한 보안 패치 적용 방안 |
➢한국인터넷진흥원, 'IoT 공통 보안 가이드' 2016 자료
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- 함수
- 개발
- 코테
- 코드
- 영어
- 경제신문
- 금리
- 머신러닝
- 경제
- 코딩
- 프로그래머스
- 영어회화
- plot
- 프로그래밍
- 클래스
- 코딩테스트
- python
- R
- 파이썬
- 데이터분석
- 자바
- 스마트워치
- 데이터
- 모듈
- 보안
- SW
- 그래프
- sql
- mysql
- Programming
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함