수달정보보호

당분간 ISMS-P에 대해 깊게 파고들면서 결함사례에 대한 고찰을 해보고자 한다. 인증기준이 무엇이고, 확인 사항은 어찌 되며, 세부적인 내용은 어떻고, 그에 대한 증거자료는 무엇인지, 이에 대한 학습은 작년에도 한 바가 있는데, 결함사례에 대해서는 슥 보고만 넘어가고 생각해 보며 공부한 적이 없는 것 같다. 이에 따라 결함사례에 대해 제대로 알아보고자 한다. 1.1.1 경영진의 참여 인증기준: 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 결함사례 #1 (개인)정보보호 정책서에 분기별로 현황에 대해 경영진에게 보고하도록 명시하는 것이 철칙이다. 그러나 장기간 그것을 수행하지 않은 경우가 있겠..

1. 데이터베이스 백업 방법 데이터베이스 백업은 만약에 있을 수 있는 장애 및 공격으로부터 데이터 유실을 방지하기 위한 최소한의 활동이다. 선택이 아닌 필수일 것이며, 백업을 한 것이 무용지물이 되지 않도록 망분리를 하는 것도 필수다. 이런 데이터베이스 백업은 전체 백업, 차등 백업, 증분 백업으로 분류하는 것이 일반적이다. 전체 백업은 데이터베이스 전체를 백업받는 것이다. 가장 단순하고 간단한 방법이다. 하지만 매일 전체 백업을 받으려면 얼마나 많은 시간이 필요할까. 파일은 대개 누적이 되는데 말이다. 아무리 1년 전 데이터도 필요할 때가 있을 법인지라, 회사의 자료를 함부로 지우는 사람은 거의 없을 테다. 그런데 시간을 잡아먹으며 컴퓨터 성능을 떨구는 것만 아니라, 그것을 모두 백업하기 위해선 결국 ..

2023년에는 암호화폐 사기, 피싱 공격, 자격 증명 도용, 맬웨어 개발, 랜섬웨어 공격 등 다양한 사이버 범죄 활동을 표적으로 삼은 수많은 작전이 있었다. 이러한 작전들 중 일부는 성공적이었으며, 법 집행 기관은 공격자들의 해킹 전술을 역으로 이용하여 작전에 써먹고 있다. 1. FBI의 갱단 시스템 해킹, 그에 따른 Hive 랜섬웨어 압수 성과 미국 법무부와 유로폴은 2022년 7월에 Hive 랜섬웨어 갱단의 인프라에 비밀리에 침투했다고 발표했으며, 이때부터 그들은 6개월 동안 비밀리에 작전을 모니터링하기 시작했습니다. 그 결과, Hive 랜섬웨어의 토르 결제 및 데이터 유출 사이트는 2023년 1월 FBI에 의해 압수되었다. 2. 네덜란드 경찰의 Exclu 보안 메시지 플랫폼 해킹 네덜란드 경찰은 범..

1. 랜섬웨어의 개념랜섬웨어는 피해자의 데이터, 파일, 장치 또는 시스템을 잠그고 암호화하는 공격이다. 그래서 공격자는 몸값을 받을 때까지 해당 시스템에 접근하거나 사용할 수 없도록 만든다.초창기 랜섬웨어는 피해자가 파일과 시스템에 액세스하는 것을 방지하기 위해 암호화만 사용했다. 그러나 정기적인 백업을 받은 피해자는 데이터를 복원할 수 있었기 때문에 몸값을 지불할 필요가 없었다. 그래서 언제나 백업이라는 것은 여전히 소중하게 여겨지는 것일 테다. 그런데 그것을 가만히 냅둘 공격자가 아니다. 공격자들은 피해자를 협박하여 몸값을 지불하도록 추가 위협을 가하는 사이버 갈취 전술을 통합하기 시작했다. 또한, 공격자들은 조직이 데이터를 복원하는 것을 막기 위해 피해자의 백업을 점점 더 표적으로 삼기 시작했다. ..

1. IDEA(International Data Encryption Algorithm) 암호화의 개념 IDEA는 DES를 대체하기 위해 등장한 것으로, 평문을 읽을 수 없는 형식으로 암호화하도록 설계된 대칭 키 블록 암호 암호화 알고리즘이다. 일반적인 블록 크기인 128 비트를 사용하고, 64비트를 입력으로 사용한다. 즉, 64비트 데이터라고 할 수 있다. IDEA는 6개의 서로 다른 하위 키를 사용하여 동일한 암호화 및 복호화 라운드를 수행하며, 출력 변환을 위해 4개의 키를 사용한다. IDEA는 XOR 연산을 포함한 일련의 수학 연산을 사용하여 평문을 암호문으로 변환한다. 이 암호는 차분 공격, 선형화 공격을 포함한 다양한 유형의 공격에 대해 매우 안전하도록 설계되었다. IDEA의 강점 중 하나는 소..

알몸 영상, 화장실과 욕실 영상을 비롯한 정말이지 민감한 영상이 텔레그램을 통해 유포되었다고 한다. 이 영상들 중에는 가장 최근 29일 연예대상을 시청 중인 가정집의 영상도 있었다고 한다. 그리고 이번에도 유출된 것은 IP 카메라다. IP 카메라의 유출은 사실 어제 오늘 일이 아니다. IP 카메라 유출은 크게 2가지로 구분할 수 있다고 생각한다. 첫째, 중국산 특정 제조사의 IP 카메라에서의 유출 둘째, 다양한 국적 제조사의 IP 카메라에서의 유출 원문 기사에서도 첫째의 경우가 압도적으로 많음을 알리고 있긴 한데, 둘째의 경우도 무시해서는 안된다. 우리 집의 경우도 강아지가 잘 지내는지 확인하기 위해 캠이 하나 설치되어 있고, 누나가 현재 외할머니와 함께 거주하고 있는데, 누나가 집을 비울 경우 외할머니..

1. AES(Advanced Encryption Standard) 암호화 개념 AES는 미국 국립 표준기술 연구소(NIST)가 2001년에 제정한 데이터 암호화 규격이다. DES의 대안으로 등장한 것으로 현재에도 널리 사용되고 있다. AES는 블록암호로, 키 크기는 128/192/256 비트일 수 있고, 각각 128 비트 블록으로 암호화를 진행한다. 그러니까 입출력되는 크기가 128 비트인 것이다. 그리고 라운드의 수는 키 길이에 따라 달라지게 된다. 128 비트 키 - 10 라운드, 192 비트 키 - 12 라운드, 256 비트 키, 14 라운드로 말이다. AES는 DES와 마찬가지로 대칭 키 암호화이므로, 암호화 및 복호화에 동일한 키를 사용한다. 그렇기에 송신자와 수신자는 모두 동일한 비밀 키를 알..

2024년이 코앞이다. 매년 새로운 위협과 기존의 진화된 위협이 찾아오고, 개인과 조직 모두 보안을 강화하기 위한 계획을 수립하는 것이 중요하다. 이를 위해 IT 칼럼니스트 존 에드워즈가 소개한 5가지 능동적 대비에 대해 살펴보고자 한다. 1. 총체적인 사이버 복구 계획 수립 ISG의 수석 보안 컨설턴트, 제이슨 스태딩 曰 "기업들은 '해킹을 당하면 안된다' 고 생각은 하지만, 방어력을 높이려는 실질적인 노력은 하지 않는다." 계획이라는 것이 거창한 것이 아니다. 2023년에 주로 어떤 위협이 있었으며, 그것의 피해와 새로운 기술의 등장에 의해 2024년엔 어떤 위협이 있을지 예상하고, 그것을 대비하는 방법을 세우는 것이다. 새로운 위협이라는 것은 분명 예측하기 힘들 수 있다. 아무리 포브스 선정 어쩌구..

1. 3DES 암호화 개념 3DES의 기반이 되는 DES 알고리즘이 1975년 도입되었고, 1998년에 3DES가 도입되었다. 사실 기반인 DES 자체도 너무 오래되었고 3DES도 수명을 늘리기는 했으나 끝이 보인다. 점점 3DES를 허용하지 않는 곳은 늘어나기만 할 것이다. DES는 대칭 키 블록 암호로, 동일한 키를 사용하여 고정 크기 블록을 동시에 처리해 데이터를 암호화한다. 원래 DES 알고리즘은 56비트의 키 사용을 했는데, 컴퓨팅의 발전에 따라 DES는 보안에 취약해도 너무 너무 취약하다고 입증되며 폐기되기 시작했다. 이것의 수명을 강제로 늘린 것이 각 데이터 블록에 DES 암호화 알고리즘을 3번 적용하여 효과적인 키 길이를 위해 애쓴 3DES가 되겠다. 가장 기초적이지만 파괴적인 공격인 Br..

1. 데이터베이스의 개념 IT 학습을 하다 보면, 온갖 곳에서 데이터베이스라는 용어가 등장한다. 사실 데이터베이스라는 용어 자체는 일반 이용자들에게도 친숙하고, 그것의 줄임말인 DB는 더욱 그렇다. 그렇다면 이 데이터베이스라는 것은 정확히 무엇을 말할까? 데이터베이스는 컴퓨터 시스템에 저장되고, 일반적으로는 데이터베이스 관리 시스템(DBMS)에 의해 제어되는 조직화된 데이터 모음이다. 공동 데이터베이스의 데이터는 테이블로 모델링되어 쿼리 및 처리가 효율적이다. SQL이 일반적으로 데이터 쿼리 및 쓰기에 사용되고 있다. 데이터베이스는 IT의 어디에서나 등장하는 개념인 것처럼, 실제로 우리 삶에서 필수적인 것이라 할 수 있다. 은행, 전철역, 학교, 직장 등 어디서건 우리는 데이터베이스의 상호 작용과 관련된..