공부

1. 비즈니스 영향 분석(Business Impact Analysis)의 개념 비즈니스 영향 분석(BIA)은 재해, 사고 또는 긴급 상황으로 인해 중요한 비즈니스 운영이 중단될 때 발생할 수 있는 잠재적 영향을 확인하고 평가하는 체계적인 프로세스이다. BIA에 대해 공부한 적이 있다면, 조직의 비즈니스 연속성 계획(BCP)에서 BIA가 필수 구성 요소임을 알고 있을 것이다. 여기에는 위협과 취약점을 밝히는 탐색의 과정과 위험을 최소화하기 위한 전략을 개발하기 위한 계획의 과정이 포함된다. 그리하여 총 결과는 조직에 특정한 잠재적 위험을 설명하는 비즈니스 영향 분석 보고서로 나오게 된다. BIA의 기본적인 가정 중 하나는 조직의 모든 구성 요소가 다른 모든 구성 요소의 지속적인 기능에 의존한다는 것이다. ..

1. 리눅스 배포판의 개념 배포판이라고 하는 것은 완전한 Linux 시스템 패키지이다. 다양한 리눅스 배포판을 사용하여 가질 수 있는 거의 모든 컴퓨팅 요구사항을 충족할 수 있다. 대부분의 배포는 비즈니스 사용자와 같은 특정 사용자 그룹에 맞게 사용자 정의되곤 한다. 멀티미디어 매니아, 소프트웨어 개발자 또는 일반 대학 학습자에 이르기까지 말이다. 나도 대학에서 처음으로 리눅스에 대해 학습하고 경험할 때 배포판 설치가 시작점이었다. 각각의 맞춤형 배포판에는 멀티미디어 매니아를 위한 오디오 및 비디오 편집 소프트웨어, 소프트웨어 개발자를 위한 컴파일러 및 통합 개발 환경과 같은 특수 기능을 지원하는 데 필요한 소프트웨어 패키지가 포함되어 있다. 다양한 리눅스 배포판은 일반적으로 세 가지 범주로 나뉜다. ①..

1. DRM의 개념지적 자료에 대한 접근을 제한하고 관리하는 기술을 사용하는 것을 디지털 권한 관리, DRM이라고 한다. DRM은 콘텐츠의 불법 배포 및 변조를 방지하여 저작권자의 권리를 보호한다. 간단히 말해서, DRM은 디지털 자료의 저작권을 보호하는 방법이다. 이것을 위해 독점 소프트웨어뿐만 아니라 저작권이 있는 콘텐츠의 복사 및 사용을 제한하는 기술의 사용이 수반된다. P2P 파일 공유, 토렌트 사이트, 온라인 불법 복제를 통해 디지털 자료가 확장됨에 따라 DRM의 중요성은 계속 커지고 있다. 15~20여년 전에는 당나귀, 푸르나 같은 P2P 파일 공유가 유행이었다면, 10여년 전부터는 토렌트 프로그램이 유행하고 있으며 그것은 현재 진행형이다. 그런데 그 둘의 치명적인 단점은 다운로드 받은 사람의..

1. ISO 27001의 개념 공식적으로 ISO/IEC 27001:2022로 알려진 ISO 27001은 국제 표준화 기구(ISO)에서 만든 정보보안 표준으로 , 정보보안 관리 시스템(ISMS)을 수립, 구현 및 관리하기 위한 프레임워크와 지침을 제공하는 것이다. ISO 27001은 '정보보안 관리 시스템의 구축, 구현, 운영, 모니터링, 검토, 유지 관리 및 개선을 위한 모델을 제공'하기 위해 개발되었다고 정의된다. 물론, 문서화, 관리 책임, 내부 감사, 지속적인 개선, 시정 및 예방 조치에 대한 모든 세부 정보가 포함된다. 조직에서 모든 부서 간의 협력을 요구하는 것은 물론이고 말이다. ISO 27001의 목표는 조직이 중요한 정보 자산을 보호 하고 해당 법률 및 규제 요구사항을 준수하도록 (강제적으..

중국 해커 니옌은 지난 1월 28일에 국토부, 청와대를 공격하라는 공지를 텔레그램에 띄우며 다른 해커들의 참여를 유도하였다. 용산의 사무실이 아닌 청와대를 공격하라고 지시한 것으로 볼 때 해커는 윤 대통령의 사무실 이전을 몰랐던 것으로 보인다. 그리고 1월 29일에는 국내 여러 웹사이트의 해킹 정황을 공유하였고, 그 과정을 본인의 유투브에 공개하기도 했다. 해커가 공개한 IP 개수는 1만 개가 넘는 숫자였고, 이와 관련하여 통신사에서 일부 장애가 발생했다고 한다. 실제로 해커는 유투브를 통해 공격에 사용한 도구와 공격에 성공한 IP 명단을 발표하기도 했다. 해당 동영상에는 취약점이 자세히 써있었다고 하며, 현재는 지워진 상태이다. 개인이 지웠는지, 유투브 측에서 지웠는지는 알 수 없는 상태다. 하지만 이..

1. 제로 트러스트 보안의 개념 사이버 보안 시대에는 위치나 액세스 수준에 관계없이 조직 네트워크 외부 또는 내부의 사용자나 장치를 자동으로 신뢰해서는 안 된다. 이는 우리 사회에서 타인을 100% 믿어서는 안 된다는 말과 결국 같다고 할 수 있을 것이다. 이 새로운 정보 보안 개념을 제로 트러스트 보안이라고 한다. 제로 트러스트 보안은 사용자의 행동과 활동을 면밀히 모니터링하여 잠재적인 보안 위협을 찾아 수정하고 각 요청에 대한 액세스를 동적으로 할당한다. 또한, 리소스나 애플리케이션에 대한 액세스 권한을 부여하기 전에 모든 사용자와 장치를 검증하고 승인하는 작업을 거친다. 소위 말해, 끊임없이 의심하는 것이 제로 트러스트의 핵심인 것이다. 1.1 제로 트러스트 보안의 기본 원칙 제로 트러스트 보안 모..

1. 사이버 보안의 개념 사이버 보안이라는 말 자체는 낯설지는 않을 것이다. 다만, 사이버 보안이 그래서 뭔데? 라고 하면 막상 명확하게 떠올리기는 힘들다. 말 그대로 사이버에서의 보안? 사이버 보안은 네트워크, 장치, 프로그램 및 데이터를 공격, 도난, 손상, 수정 또는 무단 액세스로부터 보호하기 위해 설계된 기술, 프로세스 등으로 정의할 수 있다. 사이버 보안은 또한 정보보안 (INFOESC), 정보보증 (IA) 또는 시스템 보안으로도 알려져 있다. 2. 사이버 보안의 중요성 사이버 보안이 중요한 이유는 정부, 기업을 비롯한 여러 조직이 수많은 양의 데이터를 수집하고, 처리하며, 저장하는데, 이 과정에서 개인 정보 유출은 엄청난 재앙을 초래할 수 있기 때문이다. 인터넷의 전신인 ARPANET이 등장할..

1. IoT 보안인증제도의 개념 IoT 제품이 정보보호 인증기준에 적합함을 시험하여 인증서를 발급하는 제도로, 해당 제도 운영을 통해 자국민의 안전과 산업경쟁력 강화를 꾀하고 있다. 그런데 IoT는 여전히 일반 대중들에게는 낯선 단어일 것이다. 그럼 한국말로 풀어보면 어떨까. 사물 인터넷. 이것도 여전히 낯선 말이지 않을까 싶다. 그럼 IoT에 속하는 예시들을 알려주면 이해가 편할 것 같다. 월패드, 도어락, 비상호출 스위치, 화재 감지기, 홈 CCTV, 자동 차단 콘센트, 센서, 자동 수도 검침 기기 등 집 안에 있는 스마트해 보이는 친구들이 IoT에 포함되는 것들이라 생각하면 조금 이해가 수월할 것이라 생각한다. 2. IoT 보안인증제도 인증 인증대상은 IoT 제품 및 제품과 연동되는 모바일 앱으로,..

1. 클라우드의 개념과 종류 클라우드 컴퓨팅은 광범위한 네트워크 액세스를 통해 리소스 공유 풀을 사용할 수 있는 인터넷 기반 컴퓨팅이다. 이러한 리소스는 최소한의 관리 노력과 서비스 제공업체 상호 작용을 통해 프로비저닝하거나 해제할 수 있습다. 클라우드는 공공 클라우드, 사설 클라우드, 하이브리드 클라우드가 있다. 여기까지는 일반 사람들도 많이 들어봤을 개념이다. 그런데 여기에 추가로 커뮤니티 클라우드와 멀티 클라우드가 존재한다. 2. 공용 클라우드 공용 클라우드는 인터넷을 통해 대중에게 클라우드 서비스를 제공하는 제3자에 의해 관리되며, 이러한 서비스는 종량제 청구 모델로 제공된다. 공용 클라우드는 IT 인프라 비용을 최소화하기 위한 솔루션을 제공하고, 로컬 인프라의 최대 부하를 처리하기 위한 좋은 옵..

지난해 국내 공공기관이 하루 평균 162만 건의 공격을 받은 것으로 드러났다. 이는 2022년의 119만 건에 비하면 36%가 증가한 것이다. 그렇다면 공격의 주체는 누구일까? 누구나 쉽게 예상할 수 있듯, 북한이 80%로 압도적인 1위이다. 그 뒤를 중국, 러시아 등이 차지했다. 개인적으로 북한에 대해서는 특히나 인터넷 여론에 비해 더 나쁘게 생각해야 하고, 실제 국민 반응도 그럴 것이라 생각하는 이유가 이것이다. 사이버 공격을 밥먹듯 하는 나라가 북한이고, 그중에는 디도스 같은 공격도 있겠다만, 여론 공작도 분명 상당수가 있을 것이다. 그리고 포탈 사이트와 친근한 상당수의 국민들은 이러한 사실에 대해 정확히는 모르더라도, 어렴풋이는 인지하고 있을 것이다. 특히나 여기가 중국인가? 북한인가? 싶은 수준..