수달정보보호

서버의 기술적 취약점 추가 항목 고찰

현재 금융권 프로젝트에서 관리체계 진단, 기술적 취약점 진단을 모두 수행하고 있는데, 참 코에 걸면 코걸이, 귀에 걸면 귀걸이 같은 상황을 자주 겪으며 회의감을 느끼곤 한다. 특히 기술적 진단이 그러한데, 점수에 지나치게 집착하는 현재의 국면에 변화가 오지 않는 한, 진단을 수행할 때마다 회의감을 느끼지 않을까 싶다. 그런데 관리적 진단이건, 기술적 진단이건, 수행을 하다 보면, 어느새 금보원에서 요구하는 기준을 '최소한'의 기준이 아닌, 최대한의 기준으로 받아들이는 경우를 항상 접하게 된다. 고객사 담당자도, 컨설턴트인 우리도 말이다. 하지만 본디 컨설팅은 보안 환경의 변화에 맞춰 한 발자국 더 나아가야 하고, 기술적 취약점 진단에서 조금 더 항목을 만들어 보자는 생각을 하게 되었다. 물론 너무 깊게 ..

KISA에서 금일 고위험산업군 ISMS-P 인증기준 개발 입찰공고글을 게시했다. 사업의 내용은 다음과 같다. 1. 국내외 고위험산업군 보안위협 및 점검기준 조사·비교 분석- 고위험산업군 보안위협 및 침해사고 사례 및 정보보호 관리 인증‧점검제도의 운영 현황 조사 - ISMS-P 인증기준과 국내외 유사 제도별 보안점검기준 및 취약점진단방법 비교 분석 2. 고위험산업군 특화 인증기준 및 세부점검항목 개발 - 기간통신사업자, 데이터시설사업자 대상 특화된 ISMS-P 인증기준 및 세부점검항목 2종 개발 - 고위험산업군 ISMS-P 인증기준 개발 연구반 구성‧운영 3. 고위험산업군 특화 인증기준 및 세부점검항목 안내서 마련 - 안내서 개발 및 기업 담당자 대상 이해관계자 의견수렴 고위험 산업군의 예시는 다음과..

드디어 이제서야 마침내 주정통 취약점 분석·평가 기준 행정예고가 나왔다. 주요 내용은 다음과 같다. 1. 취약점 분석․평가 기준에 클라우드 및 웹서비스 분야 등의 점검항목을 신설하고, 유사․중복 사항을 정비하여 점검항목을 삭제하며, 일부 항목의 중요도 상승에 따라 점검항목의 등급을 상향하여 취약점 분석의 적합성을 제고함 2. 재검토기한의 근거법에 따라 구분된 재검토 시기를 통합함 기존 2021년의 기준은 지나치게 현실과 동떨어져 있었고, 올해 나온 것들을 살펴 보니, 역시나 예상대로 전자금융기반시설 기준을 최대한 따라간 것으로 보인다. 특히 가상화랑 클라우드가 추가된 것은 정말 다행이다. 클라우드 같은 경우, 기존의 5개 항목을 볼 때마다 참 민망하기 짝이 없었다.. 사실상 이대로 확정되는 것이 ..

컨설팅의 장점은 무엇일까? 다양한 환경, 현황, 과제, 위협 등을 경험하는 것이다. 놀라울 만큼 보안 수준이 낮은 곳도 있었고, 최근 개인정보 유출사고가 터진 곳도 있었고, 그저 형식적인 것만을 추구하는 곳도 있었고, 실질적 보안 강화를 위해 노력하는 곳도 있었다. 그런데 문제는 다양한 걸 경험하지만, 그 깊이가 얕다는 데 있다. 왜 얕을까? '당연히 주어진 과제만 수행하니 얕지'라고 생각을 해왔는데, 최근 이 문제에 대해 조금 고민한 결과, 다른 결론을 내렸다. 앞선 말이 틀린 말은 아니다만, 더 본질적인 이유가 있다. 회계 법인 등 일부 조직을 제외한 대다수 컨설턴트의 가장 큰 문제는 정형적인 것에만 몰두한다는 것이다. 우리 회사의 경우 정보보호 전문 서비스 기업이고, 이 전문 서비스 기업들은 매년 ..

1. SDN의 개념소프트웨어 정의 네트워킹(SDN)은 네트워크 성능과 모니터링을 향상시키기 위해 동적으로 프로그래밍 가능한 방식으로 네트워크를 구성할 수 있게 하는 네트워크 관리 방식이다. 이는 컴퓨터 네트워크를 더 쉽게, 더 유연하게 제어할 수 있게 해주는 새로운 관리 방식이다. 기존의 네트워크에서는 라우터나 스위치 같은 하드웨어가 데이터가 어떻게 이동할지를 결정하지만, SDN은 이 결정 권한을 중앙의 소프트웨어 시스템으로 이동시킨다. 이를 위해 제어 영역(control plane)과 데이터 영역(data plane)을 분리하며, 제어 영역은 트래픽의 경로를 결정하고, 데이터 영역은 선택된 목적지로 패킷을 전송한다.2. SDN 아키텍처전통적인 네트워크에서는 각 스위치가 자신의 제어 영역과 데이터 영역을..

개인정보 처리방침에 많은 변화가 찾아왔다. 또한, 최근 발간된 개인정보 처리 통합안내서와 그에 대한 설명회의 내용을 따져보건대, 개처방에는 앞으로도 큰 변화가 요구될 것이다. 개처방의 2025년 주요 개정사항은 다음과 같다. 1. 수집하는 개인정보의 항목 세분화기존에는 수집하는 개인정보의 항목을 크게 2가지로 구분했다. '필수'와 '선택' 항목으로 말이다. 사실 이것도 지키지 않는 기업이 다수였는데, 이제 더욱 세분화가 된다. 대분류가 2가지로 되는데, ① 동의없이 처리하는 항목 ② 동의를 받아 처리하는 항목으로 나뉘고, 그 안에서 이제 ②-1. 필수 동의 항목 ②-2. 선택 동의 항목으로 나뉘는 것이다. 동의 없이 처리를 하는 경우는 개보위가 추진하는 핵심 방향성이며, 그것에 힘을 실어주기 위한 내용..

올해 첫 기반시설 보호대책 작성을 시작했다. 아직 날짜가 임박한 것도 아닌데 벌써 시작하게 되었다. 그리고 올해 보호대책을 보니 앞으로 시장에 큰 변화가 있을 것으로 보인다. 여러 변화가 있었지만, 이번에는 정부의 중점과제가 7가지로 늘어났다. 사실 최근의 여러 보안 사고 및 이슈를 고려한다면 이는 당연한 일일 것이다. 그중에서도 주목할 만한 것으로는 모의해킹을 기존 연 1회 실시하는 것에서 연 2회 실시로 강화했다는 점이다. 이에 따라 앞으로 모의해킹 인력의 수요가 늘어날 것으로 보인다. 물론 공공에서의 예산은 똑같겠지만 말이다. 특히 이번 SK 사태 이후로 금감원 발표 내용에 따라 모의해킹의 방향성이 바뀔 수도 있을 것으로 보이는데, 물론 모의해킹 횟수를 늘리는 것도 조금은 보안에 도움이 될지도 모른..

기업의 보안담당자들에게 가장 까다로운 업무를 골라보라고 한다면, 반드시 언급될 것 중 하나가 자산을 조사하는 일일 것이다. 어느 조직이건, 그 규모가 커질수록 자산을 관리한다는 건 난이도가 기하급수로 증가하는 일이다. 어느 조직도 자산을 구매하거나 폐기하거나, 변경을 할 때 반드시 보안담당자를 거치도록 하지는 않는 탓도 있을 것이고, 이유는 다양하다. 그러다 보니, 사업에 투입되어 진단을 수행하다 보면, 자산이 실시간으로 늘어나는 것을 보는 경우가 허다하다. 그런데 그걸 컨설턴트 입장에서 다 수용할 수는 없다. 기술진단 인력만 있다고 가정하더라도, 그 인원이 기술 진단만 하다 끝나는 것은 아니기 때문이다. 예외·통제사항도 구성해야 할 것이고, 담당자 인터뷰 일정도 끝내야 하고, 진단 결과 보고서도 써야 ..

물론 유료 버전의 Chat GPT나 Google Gemini도 상당히 자주 거짓말을 하긴 하지만, 그렇다 하더라도 생성형 AI를 쓰지 않는 것은 이미 상상할 수가 없다. 이미 생성형 AI는 우리의 '업무'와 특히나 긴밀한 관련을 맺고 있고, 그렇기에 이를 잘 쓰는 것이 중요하다. 보안 담당자 입장에서의 '잘'이란, 개인정보는 물론이고, 회사의 기밀을 생성형 AI에 입력하지 않도록 하는 것이다. 이를 위해 몇몇 대기업은 조직 내에서만 쓸 수 있는 그 조직만의 AI를 만든다고 하는데, 그건 대기업 중에서도 굴지의 기업이나 가능한 일이다. 그럼 그렇게 할 수 없는 기업에서 할 수 있는 방안은 무엇이 있을까? 1. 키워드를 통한 차단(DLP, 확장 모듈, 로깅 등 활용) 여기서의 핵심은 키워드를 사전에 정하고 ..

1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점)이곳의 개인정보 처리방침에는 총 14가지 항목이 존재한다. 1. 개인정보처리방침의 정의2. 개인정보의 처리 목적 3. 처리하는 개인정보의 항목 4. 만 14세 미만 아동의 개인정보 처리에 관한 사항 5. 개인정보의 처리 및 보유기간 6. 개인정보의 파기 절차 및 방법에 관한 사항 7. 개인정보의 제3자 제공에 관한 사항 8. 개인정보 처리업무의 위탁에 관한 사항 9. 개인정보의 안전성 확보조치에 관한 사항 10. 자동 수집 장치의 설치·운영 및 거부에 관한 사항 11. 이용자와 법정대리인의 권리·의무 및 행사방법에 관한 사항 12. 개인정보보호 책임자, 개인정보 업무 담당부서 및 고충..