수달정보보호

리전 선택서비스, 데이터 및 애플리케이션에 적합한 리전을 결정할 때 다음 네 가지 비즈니스 요소를 고려해야 한다. ① 데이터 거버넌스 및 법적 요구사항 준수:회사와 위치에 따라 특정 영역에서 데이터를 실행해야 할 수도 있다. 예를 들어 회사의 모든 데이터를 영국 내에 보관해야 하는 경우에는 런던 리전을 선택해야 할 것이다. 모든 회사에 위치 기반 데이터 규정이 있는 것은 아니므로 다른 세 가지 요소에 더 집중해야 할 수도 있다.② 고객과의 접근성: 고객과 가까운 리전을 선택하면 고객에게 콘텐츠를 더 빠르게 제공하는 데 도움이 된다. 예를 들어 본사는 워싱턴 DC에 있고 고객 중 다수가 싱가포르에 거주하고 있다고 가정한다. 인프라를 본사와 가까운 버지니아 북부 리전에서 실행할지, 고객과 가까운 싱가포르 리..

Amazon EC2 온프레미스 리소스를 사용할 경우, 미리 하드웨어를 구매해야 하고, 서버가 배달될 때까지 기다려야 하며, 물리적 데이터 센터에 서버를 설치해야 하고, 필요한 모든 구성을 수행해야 한다. 이에 비해 Amazon EC2 인스턴스를 사용할 경우 AWS 클라우드에서 가상 서버를 사용하여 애플리케이션을 실행할 수 있다. 몇 분이면 Amazon EC2 인스턴스를 프로비저닝하고 시작할 수 있고, 워크로드 실행을 완료했다면 인스턴스 사용을 중지할 수 있다. 인스턴스가 실행 중일 때 사용한 컴퓨팅 시간에 대해서만 비용을 지불하고, 인스턴스가 중지 또는 종료된 상태에서는 비용을 지불하지 않는다. 결국, 필요한 서버 용량에 대해서만 비용을 지불하므로 비용을 절감할 수 있다는 말이 된다. Amazon EC2..

컴퓨팅에서 클라이언트는 사람이 컴퓨터 서버에 요청을 보내기 위해 상호 작용하는 웹 브라우저 또는 데스크톱 애플리케이션일 수 있다. 서버는 일종의 가상 서버인 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 서비스일 수 있다. 클라우드 배포 모델클라우드 전략을 선택하는 기업은 필요한 클라우드 애플리케이션 구성 요소, 선호하는 리소스 관리 도구, 레거시 IT 인프라 요구 사항과 같은 요소를 고려해야 한다. 클라우드 컴퓨팅 배포 모델에는 클라우드 기반, 온프레미스, 하이브리드 등 3가지가 있다. ① 클라우드 기반: 애플리케이션의 모든 부분을 클라우드에서 실행한다. 기존 애플리케이션을 클라우드로 마이그레이션하고, 클라우드에서 새 애플리케이션을 설계 및 빌드한다. 따라서 기업은 완..

CVE는 공개적으로 알려진 컴퓨터 보안 결함에 대한 목록이다. 각각의 CVE는 고유한 CVE ID가 부여되어 특정 보안 결함을 명확하게 식별할 수 있게 한다. 'CVE-발견번호-고유번호'의 형태다. 모든 취약점에 CVE를 주는 건 아니고, 그 중대함이 큰 경우에만 부여한다. CVE는 세계의 IT 전문가들이 컴퓨터 시스템의 보안 결함을 우선순위를 정하여 해결하는 데 도움을 준다.  그렇기에 보안 담당자라면 CVE에 대해 지속적으로 확인하는 것은 필요할 것이다. 물론, 조직에 바로 적용하기는 어렵겠지만 말이다. CVE에는 조건이 있다. 1. 독립적으로 수정 가능해야 한다. 즉, 다른 버그로부터 독립적으로 수정할 수 있는 결함을 말한다.2. 영향을 받는 공급자에 의해 인정되거나 문서화되어야 한다. 실제로 SW..

아이돌 취약점은 주로 접근제어와 관련이 있다. 동일한 권한 수준을 가진 다른 사용자에 엑세스하거나, 공격자가 더 높은 권한을 가진 사용자에 접근하는 취약점에 관한 것이다. 공격자가 uid를 바꿔 다른 사람의 정보를 볼 수 있는 게 전형적인 아이돌 취약점이다. 파라미터가 숫자값일 때 특히 이런 경우가 발생한다. 그렇기에 파라미터가 단순 숫자값인 것을 피해야 할 것이다. 그런데 모든 아이돌 취약점이 동일한 방식으로 찾아낼 수 있는 것이 아니다. 문자열로 아이돌 취약점을 트리거하는 경우도 있다. http 메서드 변경이나 컨텐츠 타입 변경의 방식으로도 가능하다. 혹은 기대하는 값을 변경하는 방법도 있다. 그렇기에 다양한 시나리오가 있다는 점도 간과해서는 안 될 것이다. 다음은 이번 보안기사 시험에도 등장한 XS..

웹은 크게 위의 개념으로 설명할 수 있다. 사용자 요청을 받는 부분을 프론트 엔드, 요청을 처리하는 부분을 백엔드라고 한다. 프론트 엔드는 사용자에게 보여지는 부분으로써, 웹 리소스인 자원들로 이뤄진다. 웹 리소스에는 폰트, 이미지, 크기, 색상 등이 관련 언어로 작성되어 있다. 우리가 흔히 404 NOT FOUND라는 오류를 접할 수 있는데, 여기서 찾지 못했다는 의미의 NOT FOUND는 정확히는 자원을 찾지 못했다는 의미다. 리소스에는 크게 HTML, CSS, JS가 있다. HTML은 웹 문서의 뼈대를 담당한다. CSS는 웹 문서의 생김새를 담당하는, 시각화 방법을 기재한 시트라 할 수 있다. 글자, 배경, 이미지, 위치, 색상 등을 지정하는 것이다. 마지막으로 자바 스크립트는 웹 문서의 동작 방법..

버그헌팅이란 SW/APP에서 버그를 찾는 활동이다. 예상하지 못한 오류, 오작동 등을 찾는다고 볼 수 있다. 내가 버그 바운티를 할 일은 없겠지만, 보안 담당자가 된다면 버그 헌팅 정도는 할 수 있어야 할 것이다. 취약점을 찾아내 조직 내 보안에 기여해야 하기 때문이다. 시스템이란 것을 처음 구축하면, 구축을 거의 하자마자 공격이 들어오는 것을 확인할 수 있다고 한다. 이는 끊임없이 공격 대상을 찾는 공격자들이 세계적으로 널려 있다는 것을 의미할 것이다. 그렇기에 취약점에 대해 인지하고 있다면, 천천히 해도 되겠지라는 안일한 마인드로 업무에 임해서는 안 될 것이다.  그런데 취약점을 찾는다면, 이것의 리스크를 정량화할 수 있어야 할 것이다. 그래야 우선순위를 고려할 수 있기 때문이다. 취약점 리스크 정량..

[5주차] 위험 관리를 위한 기타 접근법 및 도구학습목표1. 비용 편익 분석의 요소와 위험 관리에 사용되는 방법을 정의한다.2. 위험 관리에 대한 FAIR, OCTAVE 및 ENISA 접근 방식의 기본 특징을 설명한다.3. 문서 기반 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.4. 컴퓨터화된 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.[5-1] 비용 편익 분석경제적 타당성 조사나 분석으로 알려진 리스크 관리를 위한 비용-편익 분석 접근법은 전통적인 경영자들이 쉽게 이해할 수 있다는 큰 장점을 가지고 있다. 이전 방법론의 위험 중 하나는 정보 기술과 사이버 보안 영역을 벗어난 경영자들이 보안에 대한 위험 관리 접근법의 적용을 완전히 파악하지 못할 수 있다는 것이다. 수년 동안 보안 위..

[4주차] ISO 위험 관리 접근법학습목표1. 위험 관리에 대한 ISO 접근 방식을 정의한다.2. ISO 31000 표준과 위험 관리에 사용되는 방법을 설명한다.3. ISO 27000 시리즈와 위험 관리에 대한 적용에 대해 설명한다.[4-1] ISO 위험 관리 정의앞서 언급했듯이 ISO에는 위험 관리를 다루는 두 가지 계열의 간행물이 있다. 시간이 지나면서 이 둘은 서로를 향해 나아갔고, 그 결과 매우 유사한 방법론이 탄생했다. 이 중 첫 번째는 ISO 31000이다. 이는 사이버 보안 위험 관리에 특별히 중점을 두지 않고, 일반적인 위험 관리에 중점을 둔다. 이 중 두 번째는 ISO 27005 표준으로, 현재 우리가 사이버 보안이라고 부르는 보안에 관한 ISO 27000 시리즈의 일부인 것이다. ISO..

[3주차] NIST 위험 관리 프레임워크학습목표1. NIST 위험 관리 프레임워크의 구조와 사용에 대해 논의한다.2. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다.3. 위험 관리를 관리하는 기준을 설명한다.4. NIST 위험 관리 프레임워크 프로세스 및 위험 처리 대한 운영에 대해 논의한다.5. NIST 위험 관리 프레임워크를 설명한다.6. 위험 관리에 대한 NIST 접근 방식을 설명한다.7. 위험 평가를 위한 NIST 리스크 관리 프레임워크 프로세스 및 운영에 대해 논의한다.[3-1] NIST 위험 관리 프레임워크 개요NIST 위험 관리 프레임워크(RMF)는 미국 정부의 컴퓨터 시스템이 정보를 안전하게 저장, 사용 및 전송할 수 있도록 보장하기 위한 노력의 진화다..