수달정보보호

KISA에서 금일 고위험산업군 ISMS-P 인증기준 개발 입찰공고글을 게시했다. 사업의 내용은 다음과 같다. 1. 국내외 고위험산업군 보안위협 및 점검기준 조사·비교 분석- 고위험산업군 보안위협 및 침해사고 사례 및 정보보호 관리 인증‧점검제도의 운영 현황 조사 - ISMS-P 인증기준과 국내외 유사 제도별 보안점검기준 및 취약점진단방법 비교 분석 2. 고위험산업군 특화 인증기준 및 세부점검항목 개발 - 기간통신사업자, 데이터시설사업자 대상 특화된 ISMS-P 인증기준 및 세부점검항목 2종 개발 - 고위험산업군 ISMS-P 인증기준 개발 연구반 구성‧운영 3. 고위험산업군 특화 인증기준 및 세부점검항목 안내서 마련 - 안내서 개발 및 기업 담당자 대상 이해관계자 의견수렴 고위험 산업군의 예시는 다음과..

드디어 이제서야 마침내 주정통 취약점 분석·평가 기준 행정예고가 나왔다. 주요 내용은 다음과 같다. 1. 취약점 분석․평가 기준에 클라우드 및 웹서비스 분야 등의 점검항목을 신설하고, 유사․중복 사항을 정비하여 점검항목을 삭제하며, 일부 항목의 중요도 상승에 따라 점검항목의 등급을 상향하여 취약점 분석의 적합성을 제고함 2. 재검토기한의 근거법에 따라 구분된 재검토 시기를 통합함 기존 2021년의 기준은 지나치게 현실과 동떨어져 있었고, 올해 나온 것들을 살펴 보니, 역시나 예상대로 전자금융기반시설 기준을 최대한 따라간 것으로 보인다. 특히 가상화랑 클라우드가 추가된 것은 정말 다행이다. 클라우드 같은 경우, 기존의 5개 항목을 볼 때마다 참 민망하기 짝이 없었다.. 사실상 이대로 확정되는 것이 ..

컨설팅의 장점은 무엇일까? 다양한 환경, 현황, 과제, 위협 등을 경험하는 것이다. 놀라울 만큼 보안 수준이 낮은 곳도 있었고, 최근 개인정보 유출사고가 터진 곳도 있었고, 그저 형식적인 것만을 추구하는 곳도 있었고, 실질적 보안 강화를 위해 노력하는 곳도 있었다. 그런데 문제는 다양한 걸 경험하지만, 그 깊이가 얕다는 데 있다. 왜 얕을까? '당연히 주어진 과제만 수행하니 얕지'라고 생각을 해왔는데, 최근 이 문제에 대해 조금 고민한 결과, 다른 결론을 내렸다. 앞선 말이 틀린 말은 아니다만, 더 본질적인 이유가 있다. 회계 법인 등 일부 조직을 제외한 대다수 컨설턴트의 가장 큰 문제는 정형적인 것에만 몰두한다는 것이다. 우리 회사의 경우 정보보호 전문 서비스 기업이고, 이 전문 서비스 기업들은 매년 ..

1. SDN의 개념소프트웨어 정의 네트워킹(SDN)은 네트워크 성능과 모니터링을 향상시키기 위해 동적으로 프로그래밍 가능한 방식으로 네트워크를 구성할 수 있게 하는 네트워크 관리 방식이다. 이는 컴퓨터 네트워크를 더 쉽게, 더 유연하게 제어할 수 있게 해주는 새로운 관리 방식이다. 기존의 네트워크에서는 라우터나 스위치 같은 하드웨어가 데이터가 어떻게 이동할지를 결정하지만, SDN은 이 결정 권한을 중앙의 소프트웨어 시스템으로 이동시킨다. 이를 위해 제어 영역(control plane)과 데이터 영역(data plane)을 분리하며, 제어 영역은 트래픽의 경로를 결정하고, 데이터 영역은 선택된 목적지로 패킷을 전송한다.2. SDN 아키텍처전통적인 네트워크에서는 각 스위치가 자신의 제어 영역과 데이터 영역을..