다물8

SW 개발단계부터 보안약점 제거(시큐어코딩) 의무화
- 정보시스템 구축·운영 지침 개정안 행정예고 -

행정안전부는 사이버공격의 주요 원인인 소프트웨어 보안약점을 개발단계부터 제거하기 위해, ‘소프트웨어 개발보안(시큐어코딩)’을 의무화하는 「정보시스템 구축·운영 지침」개정안을 마련하여 행정예고 한다고 밝혔다.

금번 개정안은 행정기관 및 공공기관이 정보화사업을 추진함에 있어 소프트웨어 개발보안을 적용·점검하기 위한 기준과 절차 등을 규정한 것으로 주요 내용은 다음과 같다.

우선, 금년 12월부터(본 지침 고시후 6개월 경과한 날부터) 행정기관 등에서 추진하는 개발비 40억원 이상 정보화사업에 소프트웨어 개발보안 적용을 의무화하고,

단계적으로 의무 대상을 확대하여 ‘15년에는 감리대상 전 정보화사업에 소프트웨어 개발보안을 적용한다.

다만, 상용소프트웨어는 소프트웨어 개발보안 적용대상에서 제외된다.
소프트웨어 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개이다.

감리법인은 정보시스템 감리시 검사항목에 보안약점 제거여부를 반드시 포함하여야 한다.

감리법인은 효과적인 보안약점 진단을 위해 진단도구를 사용할 경우 국정원장이 인증한 보안약점 진단도구를 사용하여야 한다.(‘14.1월부터 적용)

또한 감리법인은 개발보안분야 감리시 전문성 제고를 위해 행정안전부장관이 자격을 부여한 개발보안 진단원을 우선적으로 배치할 수 있다.

진단원이 되기 위해서는 소프트웨어 개발경력 6년이상 또는 소프트웨어 보안약점 진단경력 3년이상인 자로서 진단원 양성교육 40시간을 이수하여야 한다.

장광수 행정안전부 정보화전략실장은 “사이버공격에 효과적으로 대응하기 위해서는 인프라 투자도 필요하지만 소프트웨어 개발단계부터 근본원인(소프트웨어 보안약점)을 제거하는 것이 매우 중요하다”고 강조하면서,

“지난 4월말 선정된 소프트웨어 개발보안 연구센터(고려대)를 통해 새로운 보안약점을 지속 발굴하는 등 지속적으로 개발보안을 강화해 나갈 예정”이라고 밝혔다.

* 자세한 내용은 첨부된 자료를 참고하시기 바랍니다.

* 담당자 : 정보보호정책과 사무관 김성록 02-2100-3639

정보시스템 소프트웨어 개발보안가이드 안내

==> 첨부파일이 사이즈가 커서(5M이상) 경로를 링크합니다.

http://www.mest.go.kr/web/1118/ko/board/view.do?bbsId=157&boardSeq=23844&mode=view

각급기관의 안전한 소프트웨어를 개발하여 사이버위협으로 부터 예방.대응코자, 정보시스템 개발 시
보안성을 고려하야 취약점을 사전에 제거하기 위한 "정보시스템 소프트웨어 개발보안 가이드"를 보급
하오니 적극 활용하시기 바랍니다.

붙임 : 1. 정보시스템 소프트웨어 개발보안 가이드 1부
2. 언어별 시큐어 코딩 가이드(JAVA, C, Android-JAVA) 각1부

첨부파일 본문. 정보시스템 소프트웨어 개발보안 가이드.pdf (5.154MB)

http://www.mest.go.kr/web/1118/ko/board/download.do?boardSeq=46189

붙임1. JAVA 시큐어 코딩 가이드.pdf (3.066MB)
http://www.mest.go.kr/web/1118/ko/board/download.do?boardSeq=46190

붙임2. C 시큐어 코딩 가이드.pdf (2.632MB)

http://www.mest.go.kr/web/1118/ko/board/download.do?boardSeq=46191

붙임3. Android-JAVA 시큐어 코딩가이드.pdf (2.171MB)

http://www.mest.go.kr/web/1118/ko/board/download.do?boardSeq=46192

SW기술자의 등급 및 인정 범위 표

http://career.sw.or.kr/hrdict/front/guide/renew/sub1-4_popup.jsp

소프트웨어기술자 신고제도 안내 사이트 : 신고,신청

http://career.sw.or.kr/

유무선 번호이동성 표준화 전망

1332987765_유무선번호이동표준화전망.pdf

1332987765_유무선번호이동표준화전망.pdf

ICT Standard Weekly

기술표준이슈

[정보기술] 유무선 번호이동성 표준화 전망

번호이동성은 전기통신 서비스가입자가 통신사업자, 서비스 제공위치, 서비스 종류를 변경하더라도 기존의 번호를 유지케 하는 기능으로서, 대부분의 국가에서는 사업자이동성을 번호이동성으로 보고 있다. 즉, 유무선가입자가 자신의 번호를 바꾸지 않고도 통신사업자를 자유롭게 변경할 수 있는 서비스를 말한다.

번호이동성 서비스 구현방식
번호이동성 서비스 제공에 관련된 기본용어로는 발신망(Originating Network), 원착신망(Donor Network), 최종착신망(Recipient Network)이 있다. 발신망은 발신가입자가 속한 통신사업자망을 의미하며, 원 착신망은 착신가입자가 번호 이동전 가입했던 통신사업자망을 의미하고, 최종 착신망은 착신가입자가 번호이동한 최종 통신사업자망을 의미한다.
번호이동성 서비스는 시내전화번호이동성(LNP, Local Number Portability)과 이동전화번호이동성(MNP, Mobile Number Portability)으로 분류된다.
LNP의 대표적인 구현방식으로는 Onward Routing 방식, Drop Back 방식, QoR(Query on Release) 방식과 ACQ(All Call Query) 방식이 있다.
Onward Routing 방식은 착신전환(RCF, Remote Call Forwarding) 방식과 유사하게 원 착신망을 경유하여 통화가 이루어지는 방식이며, Drop Back 방식은 원 착신망으로 호가 진행되었다가 착신가입자가 번호이동 가입자인 경우 원 착신망이 최종 착신망 정보를 실어 호를 발신망으로 Drop Back시키면, 발신망이 최종 착신망으로 호를 연결하는 방식이다.
QoR 방식은 원 착신망으로 호가 진행되었다가 착신이 번호이동 가입자인 경우 “번호이동되었음” 정보를 발신망으로 반송하고 호를 해제(Release)하면, 그 정보를 수신한 발신망이 번호이동 가입자 DB로 질의하여 최종 착신망으로 호를 연결하는 방식이다. ACQ 방식은 모든 호에 대하여 번호이동 가입자 DB로 먼저 질의한 후 바로 최종 착신망으로 호를 연결하는 방식이다.

<시내전화 번호이동성(LNP) 구현방식 비교>

국제표준에서 소개하는 대표적인 MNP 구현방식으로는 QoHR(Query on HLR Release) 방식, TQoD(Terminating call Query on Digit analysis) 방식과 OQoD(Originating call Query on Digit analysis) 방식이 있으며, 모두 지능망 방식으로 단일번호를 사용한다.
QoHR 방식은 호가 원 착신망으로 루팅되면, 원 착신망이 HLR을 조회한 후 번호이동된 가입자인 경우에 한하여 번호이동 가입자 DB를 조회하고 최종 착신망으로 호를 연결하는 방식이다.
TQoD 방식은 호가 원 착신망으로 루팅되면, 원 착신망이 모든 착신호에 대하여 번호이동 가입자 DB를 먼저 조회하여 번호이동된 가입자인 경우 최종 착신망으로 호를 연결한다.
OQoD 방식은 LNP의 ACQ 방식과 동일한 방식이므로 별도 설명하지 않는다.

<이동전화 번호이동성(MNP) 구현방식 비교>

표준화 관련 이슈
번호이동 가입자 DB 구축방식에는 사업자 내 DB만 두는 방식과 사업자 내 DB와 전체 공동 DB를 두는 두 방식이 있는데, 전자의 경우 사업자간 DB 일치성의 어려움을 고려하여 국내 번호이동 가입자 DB 구축방식은 후자의 방식을 선택하였다.
번호이동성 서비스 구현방식으로는 LNP의 경우 QoR 방식으로 선정하였으며, MNP의 경우 초기 구축은 QoR 방식으로 결정하였으나, 번호이동 가입자가 증가되어 트래픽 측면에서 ACQ 방식이 망 부하상 유리하다고 판단되는 시점에 각 사업자 자율적으로 ACQ 방식으로 전환가능하도록 하였다.
국내 번호이동성 구현방식으로 선정된 QoR 방식의 호처리 절차는 아래 (그림)과 같으며, 주요 표준화 추진 규격으로는 다음과 같은 것이 있다.

(그림) QoR 방식의 호처리 절차

• 번호이동성 구현을 위한 데이터베이스 규격서 : 번호이동 가입자 DB(사업자 내 DB와 공동 DB)에 필요한 데이터 및 데이터베이스에 관한 사항을 규정하고 있다.
• 번호이동성을 위한 관리접속 규격서 : 공동 DB(Master DB)와 이 시스템에 접속하는 사업자 DB(Local DB)간의 관리접속에 관한 사항을 규정하고 있다.
• 번호이동성을 위한 SSP와 SCP간 접속규격 : 지능망 교환기(SSP, Service Switching Point)와 서비스 제어시스템(SCP, Service Control Point)간에 요구되는 프로토콜을 규정하는 표준이다. 시내전화 사업자를 위한 INAP(Intelligent Network Application Part) 프로토콜과 FP-ASE(Free Phone – Application Service Element) 프로토콜 보완사항, CDMA 이동사업자를 위한 MAP(Mobile Application Part) 프로토콜 보완사항, GSM 이동사업자를 위한 CAP(CAMEL Application Part) 프로토콜 보완사항을 규정하고 있다.
• 번호이동성을 위한 망 기능규격 : 번호이동성 능력을 제공하기 위한 망 기능, 시스템 기능을 정의하고 이들 기능간에 주고받는 정보와 정보흐름을 규정하고 있다.
• 번호이동성을 위한 ISUP 규격 : 번호이동성 능력을 제공하기 위한 교환기 간에 요구되는 프로토콜을 규정하는 표준으로 기존의 ISUP(ISDN User Part) 프로토콜 규격에 추가나 변경을 요하는 사항을 기술한다.
  

현 표준화 진행정도 및 서비스 추진계획
번호이동성 서비스 구축을 위한 표준화 진행은 LNP의 경우 2001년 초부터 규격화를 시작하여 2001년 12월 TTA표준으로 상정되었으며, 2002년 7월 현재 보완이 완료된 상태이다.
MNP의 경우에도 2002년1월부터 표준화가 시작되어 현재 거의 완료된 상태이다.
시내전화 번호이동성 서비스는 2003년 상반기에 시작하는 것으로 추진하였으나 한국통신의 반전자 교환기 및 No.7 기능이 미약한 전전자 교환기의 교체비용으로 1조 이상의 투자가 소요되는 점으로 인하여 서비스 제공시점이 지연되고 있다.
이동전화번호 이동성 서비스는 복수의 IMT-2000 사업자가 서비스를 개시한 이후 6개월 이내(2003년 하반기 또는 2004년 상반기 예상)에 3G번호에 대하여 번호이동성 서비스를 제공하는 것으로 추진되고 있다.
번호이동성을 보면 각 국의 통신환경에 따라 구축방식과 운영방식이 다르다는 것을 알 수 있으며, 구축시점에 있어서는 신규 통신사업자의 시장진입이 용이하도록 신규사업자가 사업을 시작하는 시점에 번호이동성 서비스를 제공하는 경우가 많았으나 국내의 경우 이와 같은 서비스 제공시점을 놓쳤다고 볼 수 있다.
번호이동성 서비스는 사업자들간의 경쟁을 심화시키는 요소이므로 사업자들의 첨예한 이해관계에 따라 서비스 제공범위 및 제공시기에 대한 사업자들의 의견은 일치되기가 어렵다. 따라서, 번호이동성 서비스를 가능하게 하기 위해서는 고객의 편리성, 구축비용 최소화, 비용회수 방안, 과당경쟁으로 인한 후발 사업자의 생존성 등을 고려한 정책적 추진이 필요할 것으로 보인다.

국내 표준화 활동에의 제언
현재 국내 번호이동성 규격으로는 해외사례와 동일하게 음성호와 착신과금(080) 및 문자메시지 서비스까지는 표준화를 추진하였으나, 향후 서비스될 영상전화 및 MMS(Multi media Messaging Service) 서비스에 대한 표준은 아직 정의되어 있지 않다.
이들 차세대 서비스에 대한 번호이동성 표준은 우리나라가 선두주자로 부상할 수 있어야 할 것이다.

임종익 (LG텔레콤 기술연구소 Core망개발팀, jilim@lgtel.co.kr)

1331275090_엑셀자동문자완성일부해제하기.xlsx

1331275090_엑셀자동문자완성일부해제하기.xlsx

엑셀에서 (주) ==> ㈜ 등으로 자동 변환 되는것을

막아주는 방법입니다.

PMP PMBOK 4Editon_1/11

1331093568_PMBOK_fourthedition_Korea.vol1.aexe

확장자를 .aexe에서 .exe로 변경하고

11개 파일을 한군데 모아놓고 실행하면 풀릴것입니다.

1331037056_PMBOK_fourthedition_Korea.vol2.egg

PMP PMBOK 4Editon_2/11