수달정보보호

웹은 크게 위의 개념으로 설명할 수 있다. 사용자 요청을 받는 부분을 프론트 엔드, 요청을 처리하는 부분을 백엔드라고 한다. 프론트 엔드는 사용자에게 보여지는 부분으로써, 웹 리소스인 자원들로 이뤄진다. 웹 리소스에는 폰트, 이미지, 크기, 색상 등이 관련 언어로 작성되어 있다. 우리가 흔히 404 NOT FOUND라는 오류를 접할 수 있는데, 여기서 찾지 못했다는 의미의 NOT FOUND는 정확히는 자원을 찾지 못했다는 의미다. 리소스에는 크게 HTML, CSS, JS가 있다. HTML은 웹 문서의 뼈대를 담당한다. CSS는 웹 문서의 생김새를 담당하는, 시각화 방법을 기재한 시트라 할 수 있다. 글자, 배경, 이미지, 위치, 색상 등을 지정하는 것이다. 마지막으로 자바 스크립트는 웹 문서의 동작 방법..

버그헌팅이란 SW/APP에서 버그를 찾는 활동이다. 예상하지 못한 오류, 오작동 등을 찾는다고 볼 수 있다. 내가 버그 바운티를 할 일은 없겠지만, 보안 담당자가 된다면 버그 헌팅 정도는 할 수 있어야 할 것이다. 취약점을 찾아내 조직 내 보안에 기여해야 하기 때문이다. 시스템이란 것을 처음 구축하면, 구축을 거의 하자마자 공격이 들어오는 것을 확인할 수 있다고 한다. 이는 끊임없이 공격 대상을 찾는 공격자들이 세계적으로 널려 있다는 것을 의미할 것이다. 그렇기에 취약점에 대해 인지하고 있다면, 천천히 해도 되겠지라는 안일한 마인드로 업무에 임해서는 안 될 것이다.  그런데 취약점을 찾는다면, 이것의 리스크를 정량화할 수 있어야 할 것이다. 그래야 우선순위를 고려할 수 있기 때문이다. 취약점 리스크 정량..

오늘 8월 12일부터 22일까지 KISA가 국내 기업 등을 대상으로 사이버 위기 대응 모의훈련과 대국민 보안수칙 홍보를 시작한다. 을지라는 단어를 군대에서만 보다가 오래간만에 보니 괜히 반갑다. 사이버 위기 대응 모의훈련은 118개 기업 26,828명의 임직원이 참여 의사를 밝혔다고 한다. 훈련 내용으로는 ① 해킹 메일 대응 ② DDoS 공격 및 대응 점검 ③ 주요 취약점 공격에 대한 탐지 · 대응 능력 점검으로, 결과에 따라 조치안을 받아볼 수 있다. 너무나 통상적인 훈련이면서, 그러면서도 너무나 필요한 훈련이기도 하다. 컨설팅을 하면서 느낀 게 하나 있는데, 사업 내용에 모의해킹 같은 훈련 및 교육 내용이 있다고 한들, 실질적으로 하기 어렵다는 것이다. 예를 들어, NAVER에서 보낸 것처럼 가장을 ..

1. 정보보안 통제의 구조정보보안 위험은 위협이 정보자산 또는 그룹의 취약성을 악용하여 조직에 피해를 줄 수 있으므로 조직 및 이해 관계자는 정보보안 위험을 관리하는 것이 필요하다. ISO 27002 정보보안 통제에서 사이버보안 통제 속성은 ISO 27002 사이버보안 프레임워크 또는 사이버보안 통제로 표현한다.통제 프레임워크통제 프레임워크 적용 방법정보보안 통제ISO/IEC 27001ISO/IEC 27002▶ ISO/IEC 27001 위험 기반 통제 원칙은 국제표준, 국가표준 등 통제 프레임워크를 권장함▶ Annex A 통제는 정보보안 통제의 포괄적인 통제 목록에 포함되어 있음▶ ISO/IEC 27001 Annex A 통제 프레임워크는 추가적인 통제를 권장함▶ ISO 27002:2022 정보보안, 사이..

★ 제로 트러스트의 개념신뢰할 수 있는 네트워크라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기, 네트워크 트래픽을 신뢰하지 않으며, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미한다. ★ 기존 경계기반 모델의 한계 내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화되는 보안 위협에 한계 노출 ★ 제로 트러스트 기본 철학① 모든 종류의 접근에 대해 신뢰하지 않을 것② 일관되고 중앙집중적인 정책 관리 및 접근제어 결정·실행 필요③ 사용자, 기기에 대한 관리 및 강력한 인증④ 자원 분류 및 관리를 통한 세밀한 접근제어⑤ 논리 경계 생성 및 세션 단위 접..

★ IoT 공통 보안 7대 원칙① 정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계② 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증③ 안전한 초기 보안 설정 방안 제공④ 보안 프로토콜 준수 및 안전한 파라미터 설정⑤ IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행⑥ 안전한 운영·관리를 위한 정보보호 및 프라이버시 관리체계 마련 ⑦ IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련 ★ IoT 주요 환경 분류① 웨어러블 컴퓨팅: 웨어러블 디바이스 및 다양한 센서 장비들로부터 정보 취득 환경② 사용자 맞춤 환경: 건강 및 수면 등의 일상생활과 관련된 습관 정보 취득 환경③ 가정 자동화: 가정의 일상생활 및 안전사고와 관련된 정보 취득 환경 ★ 개인정보 비식별화 조치 방법 ..

국정원이 사이버 안보를 위해 추진하는 정책 4가지에 대해 알아보도록 한다. 1. 국가망 보안 정책국가망 보안 정책에 변화가 필요하다는 목소리는 지속적으로 존재했다. AI, 빅데이터를 비롯한 신기술이 도입되면서 공공데이터의 할용 필요성이 증가했기 때문이다. 이에 국정원은 업무 중요도에 따른 보안체계를 차등 적용하는 '다층 보안체계'를 목표로 개선할 방침이라고 한다. 업무의 중요도에 따라 기밀성(C), 민감성(S), 공개성(O) 등급으로 분류가 될 것이라고 한다. 기밀성은 안보·국방·외교·수사 등의 기밀정보, 국민생활, 생명·안전과 직결된 정보이고, 민감성은 민감정보 등으로 해킹 차단 대책을 강구해야 할 정보이며, 공개성은 비식별화된 민감정보·행정정보 및 기타 공개정보 등의 기준으로 분류할 것이라고 한다. ..

1. 사이버보안 트랜스포메이션의 개요전 세계적으로 사이버 공격의 빈도와 심각성이 증가하고 있으며, 향후 10년 동안 가장 우려되는 10대 글로벌 위험 중 하나로 2030년까지 약 519조의 지출이 예상된다는 것은 사이버 보안의 중요성을 인식할 수 있게 해 준다. 사이버 공격 방어의 목표에서 데이터 중심 보안의 관리는 데이터가 있는 위치나 공유 대상에 관계없이 정보 보호를 강화하는 것으로, 데이터의 속성, 등급, 보호 요구사항에 대한 메커니즘이 필요하다. 사이버 보안 트랜스포메이션은 디지털 전환 시대에 사이버 위협의 조직 및 국가를 보호하는 핵심 가치이며 이에 따라 ISO/IEC 27002 개정은 사이버보안 트랜스포메이션의 가치 있는 변곡점이라 할 수 있다. 그 변곡점의 배경으로는 AI, 빅데이터, 블록체..

사이버 공격자들이 취약점의 개념 증명용 익스플로잇이 공개된 후 이를 무기로 전환시키는 데 걸리는 시간이 빠르면 22분에 불과하다고 한다. CVE를 부여하고 따로 관리하는 취약점들이 사실상 공개가 되자마자 공격에 활용될 수 있다는 것이다. 즉, 이 상징적인 시간 22분만에 각 기업의 담당자들이 방어를 실시하지 않으면, 이는 실질적인 제로데이 공격이 되는 것이다. 아래의 취약점들이 특히 공격자들 사이에서 인기가 높았는데, 물론 이것에만 집중해서는 안 된다.  1) CVE-2023-50164 : 아파치(Apache) 소프트웨어 2) CVE-2022-33891 : 아파치 소프트웨어 3) CVE-2023-29298 : 콜드퓨전(Coldfusion) 4) CVE-2023-38203 : 콜드퓨전 5) CVE-2023..

차세대 이동통신인 6G는 5세대 이동통신인 5G의 다음 기술로, 2029, 2030년 즈음에 상용화될 것으로 예상되는 기술이다. 6G는 ① 위성 통신 시스템 도입 ② 1테라비트급 전송속도 ③ 더욱 짧아진 레이턴시 ④ 더욱 넓어진 서비스 거리 ⑤ 높은 신뢰성의 특징을 지닐 것으로 보인다.  그리고 언제나 신기술이 등장하면 그에 따른 위협, 위험도 찾아오기 마련이다. 순천향대학교 염흥열 교수는 국제 정보보호 컨퍼런스를 통해 6G AI/ML 위협 및 공격 유형 7가지로 ① API 기반 공격 ② 포이즈닝 공격 ③ 모델 회피 공격 ④ 물리 계층 공격 ⑤ 모델 인버전 공격 ⑥ AI 미들웨어 공격 ⑦ 모델 도난 공격을 선정했다. 그리고 이 7가지를 방어하기 위한 보안 이슈로는 가시성, 윤리성, 윤리적/법적 제도 확보..