수달정보보호

모 정부출연기관 프로젝트를 마쳤다. 작년에도 진단을 진행한 곳이기에 2023년의 자료 및 결과물을 확인할 수 있었다. 그리고 느낀 것은 ISO 27001이건, ISMS-P건, 무엇이건, 결국 중요한 건 나의 능력이라는 점이었다. 예를 들어, 한 항목에 대해 작년과 같은 스크립트 값을 얻었지만, 작년의 담당자는 양호로 판단했고, 나는 그것을 취약으로 판단했다. 가이드라인에는 양호와 취약에 대한 명확한 설명이 되어있으나, 실제 현장은 문서와 다소 차이가 있는 탓에 이런 일이 발생했다고 생각한다. ① A 프로그램을 가이드라인에서는 취약한 프로그램으로 여긴다. 그런데 이 프로그램은 도무지 일반적인 방식으로는 삭제가 되질 않는다. 삭제가 되지 않는 프로그램인 A가 계속 남아있는데, 이것을 취약으로 주어야 할까? ..

1. std:: string의 개념C++는 일련의 문자를 클래스의 객체로 나타내는 방법을 갖고 있다. 이 클래스는 std:: string이라고 불린다. 문자열 클래스는 문자를 바이트의 시퀀스로 저장하고 단일 바이트 문자에 대한 접근을 허용하는 기능을 한다. 문자열(String)과 문자 배열(Character Array)의 차이가 헷갈릴 수 있는데, 이를 정리하면 다음과 같다.StringCharacter Array문자열은 문자 스트림으로 표현되는 개체를 정의하는 클래스다. 문자 배열은 단순히 Null 문자로 종료할 수 있는 문자 배열이다. 문자열의 경우 메모리가 동적으로 할당된다. 더 많은 메모리가 필요할 때 실행 시간에 할당될 수 있다. 그리고 메모리가 미리 할당되지 않으므로 메모리가 낭비되지 않는다. ..

보안 사고의 유형을 분류하는 방법은 다양하다. 그러나 그중 가장 단순한 분류 중 하나가 ① 외부자의 공격으로 인한 사고 ② 내부자의 고의 또는 실수로 인한 사고일 것이다. 보통 70~80%가 ①에 속하고, 20~30%가 ②에 속한다. 무시하기에는 내부에서 발생하는 비율도 만만치 않은 것이다. 그렇기에 각 조직의 보안 담당자는 외부와 내부의 사고 가능성을 모두 고려해야만 한다. 그리고 여기서는 내부자로 인한 사고에 대해 집중한다. 조직원이 사고를 칠, 그러니까 부정적 행동을 하도록 만드는 동기는 무엇일까? 조직원이 불확실성을 느끼기 때문이다. 그리고 보안 컴플라이언스를 지키지 않는 조직원은 조직 중심이 아닌, 개인 중심의 행동을 할 가능성이 커지게 된다. 그렇기에 이 논문에서는 개인적인 행동을 하게 만드는..

1. 고통의 피라미드의 개념 고통의 피라미드는 2013년에 제시된 것이다. 고통의 피라미드는 피라미드의 일부 지표가 다른 지표보다 적들을 더 괴롭힌다는 것을 보여준다. 아래로 갈수록 공격자에겐 점점 수월한 일이 되는 것이다. 이를 통해 각 기업의 보안 담당자는 대응 방식에 대해 고안할 수 있다.2. 고통의 피라미드의 각 지표① 해시 값(Hash Values): 특정 의심스럽거나 악성 파일에 해당하는 SHA1, MD5 또는 기타 유사한 해시다. 해시 값은 특정 악성 코드 샘플이나 침입과 관련된 파일에 대한 고유한 참조를 제공하는 데 자주 사용된다. 공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법⑴ 파일 해시값을 기반으로 악성코드 샘플을 검색한다.⑵ 네트워크를 통해 한 엔드포인트에서 다른 엔드포인트로..

[5주차] 위험 관리를 위한 기타 접근법 및 도구학습목표1. 비용 편익 분석의 요소와 위험 관리에 사용되는 방법을 정의한다.2. 위험 관리에 대한 FAIR, OCTAVE 및 ENISA 접근 방식의 기본 특징을 설명한다.3. 문서 기반 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.4. 컴퓨터화된 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.[5-1] 비용 편익 분석경제적 타당성 조사나 분석으로 알려진 리스크 관리를 위한 비용-편익 분석 접근법은 전통적인 경영자들이 쉽게 이해할 수 있다는 큰 장점을 가지고 있다. 이전 방법론의 위험 중 하나는 정보 기술과 사이버 보안 영역을 벗어난 경영자들이 보안에 대한 위험 관리 접근법의 적용을 완전히 파악하지 못할 수 있다는 것이다. 수년 동안 보안 위..

[4주차] ISO 위험 관리 접근법학습목표1. 위험 관리에 대한 ISO 접근 방식을 정의한다.2. ISO 31000 표준과 위험 관리에 사용되는 방법을 설명한다.3. ISO 27000 시리즈와 위험 관리에 대한 적용에 대해 설명한다.[4-1] ISO 위험 관리 정의앞서 언급했듯이 ISO에는 위험 관리를 다루는 두 가지 계열의 간행물이 있다. 시간이 지나면서 이 둘은 서로를 향해 나아갔고, 그 결과 매우 유사한 방법론이 탄생했다. 이 중 첫 번째는 ISO 31000이다. 이는 사이버 보안 위험 관리에 특별히 중점을 두지 않고, 일반적인 위험 관리에 중점을 둔다. 이 중 두 번째는 ISO 27005 표준으로, 현재 우리가 사이버 보안이라고 부르는 보안에 관한 ISO 27000 시리즈의 일부인 것이다. ISO..

[3주차] NIST 위험 관리 프레임워크학습목표1. NIST 위험 관리 프레임워크의 구조와 사용에 대해 논의한다.2. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다.3. 위험 관리를 관리하는 기준을 설명한다.4. NIST 위험 관리 프레임워크 프로세스 및 위험 처리 대한 운영에 대해 논의한다.5. NIST 위험 관리 프레임워크를 설명한다.6. 위험 관리에 대한 NIST 접근 방식을 설명한다.7. 위험 평가를 위한 NIST 리스크 관리 프레임워크 프로세스 및 운영에 대해 논의한다.[3-1] NIST 위험 관리 프레임워크 개요NIST 위험 관리 프레임워크(RMF)는 미국 정부의 컴퓨터 시스템이 정보를 안전하게 저장, 사용 및 전송할 수 있도록 보장하기 위한 노력의 진화다..

[1주차] 주요 위험 관리 표준 및 프레임워크이 과정에서, 우리는 위험 관리 경험과 위험 관리 경험이 거의 없는 조직들이 리스크 관리 노력을 설계하고 구현하는 데 있어 어떻게 국내 및 국제 기관에 지침을 제공하고 싶어하는지에 대해 학습한다. 이 분야에 지침을 제공하는 두 개의 주요한 조직이 있다. NIST라고 자주 불리는 미국 국립 표준 기술 연구소와 ISO로 줄여 불리는 국제 표준 기구다. 이 과정에서는 이 두 조직이 제공하는 리스크 관리 프레임워크와 표준을 검토한 다음, 사용 가능한 다른 접근 방식에 대해 논의하는 것으로 마무리한다.[2주차] 주요 위험 관리 표준 프레임워크: NIST & ISO학습목표1. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다. 2. 위험..

[5주차] 위험 관리 프로세스 실행: 위험 처리학습목표1. 위험 처리의 개념을 설명한다. 2. 조직이 위험을 완화하고 이전하는 방법을 설명한다. 3. 조직이 위험을 피하거나 수용하는 방법을 나열한다. 4. 조직의 위험 관리 프로세스를 지속적으로 개선하는 데 사용되는 프로세스를 정의한다.[5-1] 위험 처리 개요위험 관리 프레임워크의 이 시점에서 위험 관리 프로세스 팀은 자사의 정보 자산에 현재 내재되어 있는 위험 수준을 파악, 분석 및 평가해 왔다. 위험 평가의 일환으로 팀은 이제 위험 선호도의 일환으로 위험 임계값과 비교할 때 과도하다고 간주되는 위험를 처리하는 데 관심을 돌려야 한다. 위험 처리가 시작되면 조직은 현재 허용할 수 없는 수준의 위험를 가진 정보 자산 목록을 갖게 된다. 이제 위험을 더욱..

[4주차] 위험 관리 프로세스 수행학습목표1. 위험 평가에 사용되는 프로세스 단계를 식별한다.2. 위험 가능성과 영향의 개념을 정의한다.3. 정보 자산의 식별, 인벤토리, 가치 평가 및 우선 순위 지정에 사용되는 단계를 설명한다.4. 조직의 위협 환경의 맥락에 대해 논의한다.[4-1] 준비 및 위험 식별: 자산 인벤토리 위험 관리 프로세스 팀이 소집될 때, 처음에는 프레임워크 팀의 대표자들에 의해 또는 거버넌스 그룹에 의해 보고된다. 이 그룹들은 위험 관리 프로세스 팀이 수행할 작업에 대한 경영진 지침을 제공하려고 한다. 그리고 팀의 노력이 위험 관리 정책과 위험 관리 계획에 문서화된 바와 같이 경영진의 의도와 일치하는지 확인하기 위해 노력한다. 그룹은 책임에 대해 보고를 받고 작업에 착수한다. 이때 계..