공부

주요정보통신기반시설 정보자산관리지침 개념 추출

정보자산 분류① 서버: 사용자에게 특정 서비스를 제공하기 위한 기능의 운영체제 및 프로그램이 설치되어 있는 장비② 네트워크장비: 서비스 운영 및 제반 업무를 위해 설치된 네트워크 장비③ 보안장비: 서비스 보안 운영을 위한 보안 장비④ DBMS: 업무 및 서비스 운영에 필요한 데이터 관리를 위해 대·내외적으로 사용되고 있는 Database 관리시스템⑤ PC: 업무 수행을 목적으로 정보를 처리하는 단말기⑥ 기타장비: 각종 시스템 및 네트워크 장비의 운영을 지원하기 위한 장비 정보자산 중요도 평가: 기밀성① 상: 자산이 유출되는 경우 업무수행 또는 서비스에 중대한 영향을 미치는 경우로, 관리자, 담당자 또는 담당부서만이 접근 및 열람이 가능한 정보 자산② 중: 자산이 유출되는 경우 업무수행 또는 서비스에 일부..

소프트웨어 보안약점 진단가이드(2021) 개념 추출

소프트웨어 분석·설계단계 진단 절차① 착수단계: 착수 회의 실시② 진단단계: 산출물 접수 → 산출물 검토 → 보안약점 진단 및 개선방안 도출 → 공동리뷰 → 개선방안 확정③ 보고서 작성 및 제출 단계:  보고서 초안 작성 → 공동리뷰 → 보고서 제출④ 종료단계: 종료회의 실시  분석단계 산출물① 요구사항 정의서: 애플리케이션 개발에 필요한 기능, 품질, 기술 등 시스템 관련 요구사항을 도출 하여 발주사와 내용을 합의하고 정리하여 체계적으로 작성한 문서② 요구사항 추적표: 도출된 요구사항을 기반으로 개발 각 단계별로 작성한 산출물들이 일관성 있게 작성되었는지 추적할 수 있도록 작성된 문서③ 유즈케이스 명세서: 유즈케이스 다이어그램에 표현된 각 유즈케이스를 상세하게 설명하는 문서로 액터와 유즈케이스간 상호작..

홈페이지 개인정보 노출방지 안내서(8차) 개념 추출

개인정보 종류① 인적사항: 일반정보(이름, 주민등록번호, 주소, 운전면허번호, 연락처, 성별 등), 가족정보(가족관계, 가족구성원정보 등)② 신체적 정보: 신체정보(얼굴, 음성, 지문, 홍채, 유전자 정보, 키, 몸무게 등), 의료 • 건강 정보(건강상태, 병력기록, 의료기록, 신체장애, 혈액형 등)③ 사회적 정보: 교육정보(출석여부, 학력, 성적, 자격증 및 면허증, 생활기록부 등), 병역정보(병역여부, 제대유형, 군번 및 계급, 주특기, 근무부대 등), 근로정보(직장, 고용주, 근무처, 근로경력, 직무평가기록 등), 법적정보(재판기록, 범죄 및 전과 기록, 과태료 납부내역 등)④ 정신적 정보: 기호 • 성향 정보(대여 목록, 구독정보, 구매내역, 검색내역 등), 내면의 비밀 정보(사상, 신조, 종교,..

소프트웨어 개발보안 가이드(21.12) 개념 추출

소프트웨어 개발 생명주기① 정의단계: 무엇(what)을 처리하는 소프트웨어를 개발할 것인지 정의하는 단계로 타당성 검토단계, 개발계획단계, 요구사항 분석단계로 나눌 수 있다.② 개발단계: 어떻게(How)에 초점을 두고 실제로 소프트웨어를 개발하는 단계이다. 설계단계, 구현단계, 테스트단계로 나눌 수 있다.③ 유지보수단계: 소프트웨어를 직접 운영하며, 변경(Change)에 초점을 두고 여러 환경변화에 따라 소프트웨어를 적응 및 유지시키는 단계이다.  대표적인 개발생명주기 모델① 개발수정 모델: 요구사항, 분석/설계 단계 없이 일단 개발에 들어간 후 만족할 때까지 수정작업을 수행하는 방식② 폭포수 모델: 순차적으로 소프트웨어를 개발하는 전형적인 개발모델로 소프트웨어 개발의 전 과정을 나누어 체계적이고 순차적..

공개SW를 활용한소프트웨어 개발보안 점검가이드(19.06) 개념 추출

Spotbugs Spotbugs는 자바 바이트 코드(byte code)를 분석하여 버그 패턴을 발견하는 정적분석 공개소프트 웨어다. 이는 기존에 존재하던 정적분석 공개소프트웨어인 FindBugs를 계승한 프로젝트다.  Spotbugs에서 탐지 가능한 오류 유형① Bad practice: 클래스 명명규칙, null 처리 실수 등 개발자의 나쁜 습관을 탐지② Correctness: 잘못된 상수, 무의미한 메소드 호출 등 문제의 소지가 있는 코드를 탐지③ Dodgy code: int의 곱셈결과를 long으로 변환하는 등 부정확하거나 오류를 발생시킬 수 있는 코드를 탐지④ Experimental: 메소드에서 생성된 stream이나 리소스가 해제하지 못한 코드를 탐지⑤ Internationalization Def..

SW 공급망 보안 가이드라인 1.0(24.05) 개념 추출

2024 사이버 보안 위협 전망① 피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격② 생성형 AI를 악용한 사이버 범죄 가능성 증가③ OT/ICS 및 IoT 환경의 보안 위협 증가④ 정치·사회적 이슈를 악용하는 사이버 위협 고조 국내외 SW 공급망 침해사고의 피해 규모Solarwinds(2020): 러시아 기반 해킹 그룹의 공격으로 IT SW 공급사의 SW 개발환경 및 배포 시스템이 해킹되어 18,000개 이상의 기관이 피해를 입음Codecov(2021): 컨테이너 이미지 보안취약점을 악용해 소스코드 검증을 위한 배포 환경의 인증 정보가 유출, 전 세계 2만 9천여 개 고객사에 영향을 끼침Colonial Pipeline(2021): 송유관 관리사의 IT 시스템이 랜섬웨어에 감염되어 미국 남동부..

제안서의 내용은 길고, 뻔하다. 보통의 기업들은 이전에 써오던 양식을 복사&붙여넣기 하기 마련이고, 그 안에서 최신화 및 갈아끼우기만 할 뿐이다. 그렇다면 이 뻔한 제안서를 잘 쓰기 위해서는 어떻게 해야 할까? 이것에 대한 고찰을 해보고자 한다. 핵심은 심사위원이 이해하는 선에서 내 자랑을 잘 해야 한다는 점이다. ① 경험 강조우선, PM을 비롯한 각 인원들이 얼마나 많은 경험을 갖고 있는지 어필하는 것이 필요할 것이다. 그리고 거기서 더 핵심적으로 봐야하는 것은 대상이 어느 기업이냐는 것이다. 대기업인지, 중소기업인지, 국가행정조직인지, 정출연인지 등등 말이다. 그리고 만약 대상이 국가행정조직이라면, 경험을 강조할 때 다른 국가행정조직에 대한 경험이 많음을 강조하는 것이 좋을 것이다. 그리고 또 대상에..

1. 문자열 함수의 개념문자열은 말 그대로 문자의 배열이다. C++에서 문자의 열은 문자 배열에 저장된다. C++는 문자열을 나타내는 데 사용되는 std::string 클래스를 포함하는데, 이것은 C++에서 가장 기본적인 데이터 유형 중 하나이며, 수많은 내장 함수 세트와 함께 제공된다. 이 글에서는 문자열 계산의 함수를 살펴볼 것이다. 문자열의 선언 및 초기화:std::string company = "Gutilog!"; 2. C+에서 일반적으로 사용되는 문자열 함수std::string 클래스는 몇 가지 일반적인 문자열 연산을 제공하는 함수를 포함한다. 아래는 C++에서 가장 일반적으로 사용되는 함수 중 일부를 기술한 것이다.카테고리함수 및 연산자내용문자열 길이length() / size()문자열의 길이..

개인적으로 MZ 세대라는 말 자체를 정말 싫어하지만, 논문 제목이 이러하니.. 어쩔 수가 없다. 이번 논문을 통해 상대적으로 젊은 직원들을 대상으로 하는 보안 교육에 대해서 고민해볼 수 있을 것이다. 젊은 세대의 컨텐츠라고 한다면 가장 먼저 떠오르는 단어는 개인적으로 Short다. 이른바 숏츠, 릴스, 틱톡 같은 것들이 유행하고 있으며, 굳이 그런 아주 짧은 영상이 아니더라도, 갈수록 젊은 사람들은 30분 보다는 20분, 20분 보다는 10분의 영상을 더 선호한다. 나는 개인적으로 유투브를 선호하는데, 확실히 10분 정도의 길이가 가장 대중적이지 않나 싶다. 왜냐하면, 길수록 따분하기 때문이다. 점점 사람들이 짧은 영상에 길들여지고 있다고 할 수 있다. 그리고 102030 세대가 그간 자의가 아닌 타의로..

실무에서의 환경 변화를 정책이 매번 바로바로 따라잡기란 요원한 일이다. 그렇기에 우리는 정책, 법안, 프레임워크에 지나치게 맹신을 해서는 안 되는 것이다. 그런데 단순히 변화를 따라잡지 못한다고 해서 그런 정책들을 맹신하면 안 된다고 하는 것은 아니다. ISMS-P가 2024.6.20에 새로 갱신되었다고 해서, 그것이 24년 6월의 실무적 환경을 모두 반영하는 것은 결코 아니기 때문이다. 결국 정책은 사람이 만드는 일이고, 구멍이 생길 수밖에 없다. 같은 이유에서 ISO 27001, GDPR도 마찬가지다.  그리고 여기서는 ISMS-P를 더욱 효과적으로 적용할 수 있는 방안에 대해 논의하도록 한다. 실무가 100이라고 했을 때, 기존의 ISMS-P가 50의 도움을 준다고 하면, 이를 60-70으로 올리는..