수달정보보호

Official Practice Question Set: AWS Certified AI Practitioner

Amazon Bedrock GuardrailsAmazon Bedrock Guardrails는 사용 사례 및 책임 있는 AI 정책에 따라 생성 AI 애플리케이션에 구성할 수 있는 보호 기능을 제공한다. 다양한 사용 사례에 맞춰 여러 가드레일을 생성하고, 여러 기반 모델(FM)에 적용하여 일관된 사용자 경험을 제공하고, 생성 AI 애플리케이션 전반에 걸쳐 안전 및 개인정보 보호 제어를 표준화할 수 있다. 또한, 모델 프롬프트와 자연어 응답 모두에 가드레일을 사용할 수도 있다. Amazon Bedrock Guardrails를 다양한 방식으로 활용하여 생성 AI 애플리케이션을 안전하게 보호할 수 있다. 예를 들면 다음과 같다. 챗봇 애플리케이션은 가드레일을 사용하여 유해한 사용자 입력과 유해한 모델 응답을 필터..

인공지능, 머신러닝, 딥러닝, 생성형 AI의 상관관계는 위와 같다. 인공지능(AI)은 전통적으로 인간의 지능을 필요로 하는 작업을 수행할 수 있는 지능형 기계를 만들거나 적어도 모방하는 것을 목표로 하는 광범위한 분야다. 이러한 작업에는 자연어 이해와 시각적 인식부터 의사 결정 및 문제 해결까지 모든 것이 포함될 수 있다. 많은 AI 시스템의 공통점 중 하나는 확률적 결과를 추구한다는 것에 있다. 즉, 본질적으로 높은 수준의 확실성을 가지고 예측이나 결정을 생성하며, 종종 인간 판단의 복잡성을 반영하기도 한다. 이러한 시스템은 지식 작업을 자동화하거나 강화하는 데 사용될 수 있다. 오늘날 AI의 상당 부분은 머신러닝(ML)을 기반으로 구축된다. 머신러닝은 컴퓨터가 데이터를 통해 학습하고 데이터를 기반으로..

AWS에 로그인할 때는 계정의 AWS 루트 사용자에 대한 주요 특성으로 인해 개인이 아닌 그룹이 엑세스할 수 있는 이메일 주소를 사용하는 것이 좋다. 여기서의 주요 특성이란, 루트 사용자가 AWS 계정 내에서 절대적인, 무소불위의 권한을 가진다는 점을 말한다. 이는 IAM 정책이나 경계로도 제한할 수 없다. 이처럼 루트 사용자 계정이 너무나 강력하기 때문에, 이를 개인에게 종속시키지 않고 그룹 이메일로 관리해야 보안 및 운영상의 이점을 얻는다. ① 담당자가 퇴사하거나 부서를 이동해도, 해당 이메일은 계속 존재하며, 팀 전체가 계정 복구 및 긴급 접근을 할 수 있다.② 이메일 접근 권한을 소수의 신뢰받는 관리자 그룹에게만 부여하여, 루트 계정 자격 증명에 대한 접근을 엄격히 통제할 수 있다.③ 루트 계정..

올해 금보원의 판단 기준이 바뀐 것 중에 하나가 SRV-001이다. 윈도우에 해당하는 것으로, 판단 기준은 다음과 같다. ▶ 양호: 보안설정이 적용된 네트워크 모니터링 서비스를 사용하는 경우▶ 취약: 보안설정이 적용되지 않은 네트워크 모니터링 서비스를 사용하는 경우 네크워크 모니터링 서비스의 보안 설정이 미비할 경우 데이터 변조, 도청 및 중간자 공격으로 시스템 정보 및 상태정보가 유출될 가능성이 존재하므로 프로토콜에 따라 알맞은 버전 및 보안설정을 적용하여 사용하고 있는지 여부를 점검하는 것이다. 그리고 이 '보안설정이 적용'에서 구체적으로 요구하는 것이 DCOM 보안 설정 적용 여부다.① 인증 수준인 DCOM Authenticity Level이 '패킷 개인정보' 수준으로 설정되어 있는지② 클라이언트..

출처: https://zdnet.co.kr/view/?no=20250930202043 ISMS-P 인증 개선...현장심사 추가 등 까다로워져롯데카드가 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 획득한지 얼마 지나지 않아 대형 침해사고가 발생하면서 ISMS-P의 실효성에 대한 비판이 나오고 있다. 이에 개인정보보호위원회(개zdnet.co.kr ISMS-P의 실효성에 대한 문제가 끊임없이 제기되고 있다. 심지어 심사원을 '알바생'으로 표기하며, 고작 '알바생'이 문서만 띡 보고 보안 인증마크를 주는 게 맞느냐는.. 매우 파격적인 기사도 심심찮게 보인다. 이는 ISMS-P 인증의 본질적인 의미와 보안의 밖에서 보는 ISMS-P 인증의 의미가 너무도 다르기에 발생하는 문제일 것이다. 나는 ISMS..

조직마다 개발을 할 때 애용하는 프레임워크가 있기 마련이다. 그런데 그런 프레임워크들에 대해서 취약점 진단을 할 때는 어떻게 해야 하는지 다소 어려움을 맞이하게 된다. 전자금융 체크리스트로 억지로 끼워 맞추면, WEB/WAS 항목을 적용할 수는 있겠으나, 실무와는 괴리감이 크다. 현재의 고객사는 Spring Boot를 애용하고 있고, 그래서 무언가 새로운 진단 항목을 만드는 것이 좋겠다는 생각이 들어 체크리스트를 만들어 보게 되었다. 개인적으로 새로운 기준을 들이밀 때 가장 중요한 것 중 하나는 담당자의 저항에 관한 것이다. '귀찮지만, 이 정도는 할 수 있지'라는 수준을 어림짐작하여 맞춰야 한다는 점이다. 너무 많은 진단 항목을 들이밀면 거부감이 커질 수밖에 없고, 보안이라는 것에 대해 반감만 커질 수..

현재 들어와 있는 고객사에서는 매달 정보보호의 날을 지정하여 임직원들의 정보보호 퀴즈를 독려하고 있다. 정답을 맞춘 사람 중 n명을 선정하여 소정의 상품을 전달하며 말이다. 7월, 8월, 9월까지 3번의 정보보호 퀴즈를 참여하며 개선사항에 대해 생각했는데, 문제와 개선점은 다음과 같다. 문제점1. 노션과 같이 모두가 공유 가능한 플랫폼에 정답을 '댓글'로 달게 함으로써, 임직원들이 문제를 제대로 보지도 않고 답을 다는 상황이 발생한다. 특히 이번 9월의 퀴즈를 보며 그걸 확신하게 되었다. 왜냐하면, 퀴즈 중 하나가 답이 분명 1번인데, 댓글에는 모두 3번이라고 도배되었기 때문이다. 이유는 첫번째 댓글을 단 사람이 3번이라고 적었기 때문이다. 아마 예측컨대, 초반에 퀴즈를 풀어 댓글을 다는 사람들 중 상당..

현재 금융권 프로젝트에서 관리체계 진단, 기술적 취약점 진단을 모두 수행하고 있는데, 참 코에 걸면 코걸이, 귀에 걸면 귀걸이 같은 상황을 자주 겪으며 회의감을 느끼곤 한다. 특히 기술적 진단이 그러한데, 점수에 지나치게 집착하는 현재의 국면에 변화가 오지 않는 한, 진단을 수행할 때마다 회의감을 느끼지 않을까 싶다. 그런데 관리적 진단이건, 기술적 진단이건, 수행을 하다 보면, 어느새 금보원에서 요구하는 기준을 '최소한'의 기준이 아닌, 최대한의 기준으로 받아들이는 경우를 항상 접하게 된다. 고객사 담당자도, 컨설턴트인 우리도 말이다. 하지만 본디 컨설팅은 보안 환경의 변화에 맞춰 한 발자국 더 나아가야 하고, 기술적 취약점 진단에서 조금 더 항목을 만들어 보자는 생각을 하게 되었다. 물론 너무 깊게 ..

KISA에서 금일 고위험산업군 ISMS-P 인증기준 개발 입찰공고글을 게시했다. 사업의 내용은 다음과 같다. 1. 국내외 고위험산업군 보안위협 및 점검기준 조사·비교 분석- 고위험산업군 보안위협 및 침해사고 사례 및 정보보호 관리 인증‧점검제도의 운영 현황 조사 - ISMS-P 인증기준과 국내외 유사 제도별 보안점검기준 및 취약점진단방법 비교 분석 2. 고위험산업군 특화 인증기준 및 세부점검항목 개발 - 기간통신사업자, 데이터시설사업자 대상 특화된 ISMS-P 인증기준 및 세부점검항목 2종 개발 - 고위험산업군 ISMS-P 인증기준 개발 연구반 구성‧운영 3. 고위험산업군 특화 인증기준 및 세부점검항목 안내서 마련 - 안내서 개발 및 기업 담당자 대상 이해관계자 의견수렴 고위험 산업군의 예시는 다음과..

드디어 이제서야 마침내 주정통 취약점 분석·평가 기준 행정예고가 나왔다. 주요 내용은 다음과 같다. 1. 취약점 분석․평가 기준에 클라우드 및 웹서비스 분야 등의 점검항목을 신설하고, 유사․중복 사항을 정비하여 점검항목을 삭제하며, 일부 항목의 중요도 상승에 따라 점검항목의 등급을 상향하여 취약점 분석의 적합성을 제고함 2. 재검토기한의 근거법에 따라 구분된 재검토 시기를 통합함 기존 2021년의 기준은 지나치게 현실과 동떨어져 있었고, 올해 나온 것들을 살펴 보니, 역시나 예상대로 전자금융기반시설 기준을 최대한 따라간 것으로 보인다. 특히 가상화랑 클라우드가 추가된 것은 정말 다행이다. 클라우드 같은 경우, 기존의 5개 항목을 볼 때마다 참 민망하기 짝이 없었다.. 사실상 이대로 확정되는 것이 ..