수달정보보호

2024 사이버 보안 위협 전망① 피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격② 생성형 AI를 악용한 사이버 범죄 가능성 증가③ OT/ICS 및 IoT 환경의 보안 위협 증가④ 정치·사회적 이슈를 악용하는 사이버 위협 고조 국내외 SW 공급망 침해사고의 피해 규모Solarwinds(2020): 러시아 기반 해킹 그룹의 공격으로 IT SW 공급사의 SW 개발환경 및 배포 시스템이 해킹되어 18,000개 이상의 기관이 피해를 입음Codecov(2021): 컨테이너 이미지 보안취약점을 악용해 소스코드 검증을 위한 배포 환경의 인증 정보가 유출, 전 세계 2만 9천여 개 고객사에 영향을 끼침Colonial Pipeline(2021): 송유관 관리사의 IT 시스템이 랜섬웨어에 감염되어 미국 남동부..

제안서의 내용은 길고, 뻔하다. 보통의 기업들은 이전에 써오던 양식을 복사&붙여넣기 하기 마련이고, 그 안에서 최신화 및 갈아끼우기만 할 뿐이다. 그렇다면 이 뻔한 제안서를 잘 쓰기 위해서는 어떻게 해야 할까? 이것에 대한 고찰을 해보고자 한다. 핵심은 심사위원이 이해하는 선에서 내 자랑을 잘 해야 한다는 점이다. ① 경험 강조우선, PM을 비롯한 각 인원들이 얼마나 많은 경험을 갖고 있는지 어필하는 것이 필요할 것이다. 그리고 거기서 더 핵심적으로 봐야하는 것은 대상이 어느 기업이냐는 것이다. 대기업인지, 중소기업인지, 국가행정조직인지, 정출연인지 등등 말이다. 그리고 만약 대상이 국가행정조직이라면, 경험을 강조할 때 다른 국가행정조직에 대한 경험이 많음을 강조하는 것이 좋을 것이다. 그리고 또 대상에..

1. 문자열 함수의 개념문자열은 말 그대로 문자의 배열이다. C++에서 문자의 열은 문자 배열에 저장된다. C++는 문자열을 나타내는 데 사용되는 std::string 클래스를 포함하는데, 이것은 C++에서 가장 기본적인 데이터 유형 중 하나이며, 수많은 내장 함수 세트와 함께 제공된다. 이 글에서는 문자열 계산의 함수를 살펴볼 것이다. 문자열의 선언 및 초기화:std::string company = "Gutilog!"; 2. C+에서 일반적으로 사용되는 문자열 함수std::string 클래스는 몇 가지 일반적인 문자열 연산을 제공하는 함수를 포함한다. 아래는 C++에서 가장 일반적으로 사용되는 함수 중 일부를 기술한 것이다.카테고리함수 및 연산자내용문자열 길이length() / size()문자열의 길이..

개인적으로 MZ 세대라는 말 자체를 정말 싫어하지만, 논문 제목이 이러하니.. 어쩔 수가 없다. 이번 논문을 통해 상대적으로 젊은 직원들을 대상으로 하는 보안 교육에 대해서 고민해볼 수 있을 것이다. 젊은 세대의 컨텐츠라고 한다면 가장 먼저 떠오르는 단어는 개인적으로 Short다. 이른바 숏츠, 릴스, 틱톡 같은 것들이 유행하고 있으며, 굳이 그런 아주 짧은 영상이 아니더라도, 갈수록 젊은 사람들은 30분 보다는 20분, 20분 보다는 10분의 영상을 더 선호한다. 나는 개인적으로 유투브를 선호하는데, 확실히 10분 정도의 길이가 가장 대중적이지 않나 싶다. 왜냐하면, 길수록 따분하기 때문이다. 점점 사람들이 짧은 영상에 길들여지고 있다고 할 수 있다. 그리고 102030 세대가 그간 자의가 아닌 타의로..

실무에서의 환경 변화를 정책이 매번 바로바로 따라잡기란 요원한 일이다. 그렇기에 우리는 정책, 법안, 프레임워크에 지나치게 맹신을 해서는 안 되는 것이다. 그런데 단순히 변화를 따라잡지 못한다고 해서 그런 정책들을 맹신하면 안 된다고 하는 것은 아니다. ISMS-P가 2024.6.20에 새로 갱신되었다고 해서, 그것이 24년 6월의 실무적 환경을 모두 반영하는 것은 결코 아니기 때문이다. 결국 정책은 사람이 만드는 일이고, 구멍이 생길 수밖에 없다. 같은 이유에서 ISO 27001, GDPR도 마찬가지다.  그리고 여기서는 ISMS-P를 더욱 효과적으로 적용할 수 있는 방안에 대해 논의하도록 한다. 실무가 100이라고 했을 때, 기존의 ISMS-P가 50의 도움을 준다고 하면, 이를 60-70으로 올리는..

보안 담당자들의 관심사는 언제나 핵심적인 것 하나가 있다. 무언가의 합격을 위한 보안, 인증을 위한 인증에서 벗어나, 실질적인 보안 강화를 꿈꾸는 것이다. A인증에서 100점으로 합격하고 사고 1번 발생하는 것보다는 A인증에서 80점을 받는다 해도 사고가 발생하지 않는 것이 좋은 건 당연지사다. 사실 많은 담당자들은 진단을 맡겼을 때 점수가 너무 높은 걸 꺼리기도 한다. 아무튼 각설하고, 담당자들은 사건사고를 0으로 줄이기 위한, 실제 환경에서 적용 가능한 방안을 원하는데, 그렇다면 담당자가 알아야 할 것 4가지는 무엇이 있을까?1. 제로트러스트몇 년 전부터 꾸준히 어디서나 들을 수 있는 용어고, 앞으로도 계속 들어야 할 용어다. 대한민국 주도로 제로트러스트가 25년~28년 동안 연구될 예정이며, 연구를..

1. 문자열 배열의 개념C++에서 문자열은 일반적으로 NULL 문자 '\0'으로 끝나는 문자의 배열이다. 문자열은 문자의 1차원 배열이고 문자열의 배열은 각 행이 일부 문자열을 포함하는 문자의 2차원 배열이다. C++에서 문자열 배열을 만드는 방법으로는 5가지가 있다.① 포인터 사용 ② 2D 배열 사용 ③ 문자열 클래스 사용 ④ 벡터 클래스 사용 ⑤ 배열 클래스 사용2. 포인터 사용포인터는 주소를 상징적으로 나타내는 것이다. 간단히 말해서 포인터는 변수의 주소를 저장하는 것이다. 이 방법에서 문자열 리터럴의 배열은 각 포인터가 특정 문자열을 가리키는 포인터의 배열로 만들어진다. 예시:// C++ program to demonstrate  // array of strings using // pointers..

모 정부출연기관 프로젝트를 마쳤다. 작년에도 진단을 진행한 곳이기에 2023년의 자료 및 결과물을 확인할 수 있었다. 그리고 느낀 것은 ISO 27001이건, ISMS-P건, 무엇이건, 결국 중요한 건 나의 능력이라는 점이었다. 예를 들어, 한 항목에 대해 작년과 같은 스크립트 값을 얻었지만, 작년의 담당자는 양호로 판단했고, 나는 그것을 취약으로 판단했다. 가이드라인에는 양호와 취약에 대한 명확한 설명이 되어있으나, 실제 현장은 문서와 다소 차이가 있는 탓에 이런 일이 발생했다고 생각한다. ① A 프로그램을 가이드라인에서는 취약한 프로그램으로 여긴다. 그런데 이 프로그램은 도무지 일반적인 방식으로는 삭제가 되질 않는다. 삭제가 되지 않는 프로그램인 A가 계속 남아있는데, 이것을 취약으로 주어야 할까? ..

1. std:: string의 개념C++는 일련의 문자를 클래스의 객체로 나타내는 방법을 갖고 있다. 이 클래스는 std:: string이라고 불린다. 문자열 클래스는 문자를 바이트의 시퀀스로 저장하고 단일 바이트 문자에 대한 접근을 허용하는 기능을 한다. 문자열(String)과 문자 배열(Character Array)의 차이가 헷갈릴 수 있는데, 이를 정리하면 다음과 같다.StringCharacter Array문자열은 문자 스트림으로 표현되는 개체를 정의하는 클래스다. 문자 배열은 단순히 Null 문자로 종료할 수 있는 문자 배열이다. 문자열의 경우 메모리가 동적으로 할당된다. 더 많은 메모리가 필요할 때 실행 시간에 할당될 수 있다. 그리고 메모리가 미리 할당되지 않으므로 메모리가 낭비되지 않는다. ..

보안 사고의 유형을 분류하는 방법은 다양하다. 그러나 그중 가장 단순한 분류 중 하나가 ① 외부자의 공격으로 인한 사고 ② 내부자의 고의 또는 실수로 인한 사고일 것이다. 보통 70~80%가 ①에 속하고, 20~30%가 ②에 속한다. 무시하기에는 내부에서 발생하는 비율도 만만치 않은 것이다. 그렇기에 각 조직의 보안 담당자는 외부와 내부의 사고 가능성을 모두 고려해야만 한다. 그리고 여기서는 내부자로 인한 사고에 대해 집중한다. 조직원이 사고를 칠, 그러니까 부정적 행동을 하도록 만드는 동기는 무엇일까? 조직원이 불확실성을 느끼기 때문이다. 그리고 보안 컴플라이언스를 지키지 않는 조직원은 조직 중심이 아닌, 개인 중심의 행동을 할 가능성이 커지게 된다. 그렇기에 이 논문에서는 개인적인 행동을 하게 만드는..