I can do it!!

He can do! She can do! why cannot me? i can do it!

개발 53

[국제/국내 인증기관] ISO27001과 ISMS(ISMS-P) 비교

해당 내용은 FastCampus의 보안강의를 수강한 후 작성된 내용입니다. 인증제도란? 인증이란 기업이 주요 정보자산을 보호하기 위해 수립 관리 운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증을 부여하는 제도이다. 이러한 정보보호 관리 체계 인증을 통해 기업들은 본인의 보안성을 증명하고 홍보할 수 있다. 이러한 인증에 대한 자세한 기대효과를 KISA에서는 ISMS를 참고하여 아래와 같이 정리하고 있다. 기대효과 - 정보보호 위험 관리를 통한 비즈니스 안전성 제고 - 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보 - 침해사고, 집단소송 등에 따른 사회 경제적 피해 최소화 - 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상 - IT관련 정부과제 입찰시 인센티브 일부 부여 인증은 국제인..

개발/보안 2021.01.18

[2021 보안 위협 전망 보고서]SK인포섹 EQST 연간 보고서 REVIEW

오늘은 주말동안 본 EQST 연간 보고서의 내용을 정리한 파일을 공유해볼까 한다. http://www.skinfosec.com/newsRoom/eqstInsight/eqstInsightList.do SK infosec www.skinfosec.com 아래 링크에 EQST Annual Report를 다운받아 확인할 수 있다. 그밖에도 달마다 EQST insight를 발행하고 있어 월간 보안 이슈를 확인할 수 있다. EQST는 2020년에 발생한 보안이슈를 위 5가지로 정리했다. 이 중 다크웹 거래의 활성화, 공급망을 이용한 APT 공격 증가, 랜섬웨어 고도화는 실제로 2020년 EQST가 예측한 항목으로, 일치하는 것을 확인할 수 있다. 개인적으로 위 다섯가지 항목 중 크리덴셜 스터핑 공격에 대해서 주목하..

개발/보안 2021.01.12

[개인정보보호] 개인정보 개념 및 중요성

학습목표 인터넷 보안과 개인정보의 관련성에 대해서 이해할 수 있다 개인정보의 개념에 대해서 이해할 수 있다 개인정보의 중요성에 대해서 이해할 수 있다 개인정보란? 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함함)를 말하며, ... 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 정보주체(혹은 본인, 당사자)에게 피해를 미칠 수 있는 개인관련 정보를 말함 "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게..

개발/보안 2021.01.12

OWASP TOP10 - 2017

OWASP TOP10-2017 OWASP(Open Web Application Security Project)는 국제 웹 보안 표준기구로 3년 주기로 보안상 크게 위협이 되는 10가지 이슈를 발표합니다. A1. 인젝션 : SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써 서버로 보내질 때 발생하며, 공격자의 악의적인 데이터는 예기치 않은 명령을 실행하거나 올바른 권한 없이 데이터에 접근하도록 할 수 있음 즉, 비정상적인 명령어, 쿼리 등을 보내 시스템이 접근할 수 있는 취약점으로 대표적으로 SQL Injection이 있다. * SQL Injection) - 로그인 화면 등 입력 필드에서 SQL 쿼리문을 만들기 위한 값을 받을 때 해당 값을 조작하는 ..

개발/보안 2021.01.10

방화벽과 웹 방화벽

방화벽 1. 방화벽이란? 1) 방화벽의 개념 및 목적 외부 인터넷에서 내부 네트워크로의 접근 통제하는 기능을 수행 => 두개의 네트워크 사이에서 접근통제 정책을 구현케 하는 시스템 또는 시스템 그룹 궁극적으로 신뢰할 수 없는 네트워크로부터 신뢰할 수 있는 네트워크를 보호하는 것이 목표이다. 방화벽 시스템을 디자인하고 설계할 때 보안정책을 따른다. 이때 보완정책은 아래의 point을 고려하여 디자인해야한다. 보안정책 point 1> top down 이다 2> white list/ black list를 기준으로 한다 3> 환경에 맞춰 적절한 방법으로 정책을 수립해야한다 * White list : 안전하다고 증명된 것만을 정책적으로 허용하고 나머지는 차단함으로써 내부 네트워크를 안전하게 유지시키는 방식 * B..

개발/보안 2021.01.07

네트워크 보안 개념

네트워크 보안 개념 1. 데이터 보호 및 암호화 네트워크 보안이란 말 그대로 네트워크 사회에서 발생되는 데이터(정보)를 보호하는 것을 주 목적으로 합니다. 여기서 데이터를 보호하기 위해서는 "Data in rest"와 "Data in transit"에 대해 알아야 합니다. 1) Data at rest 데이터의 저장에 관련된 내용입니다. 이때의 데이터는 드라이브, 플래시 드라이브에 저장된 데이터 또다른 장치에 보관/ 저장된 데이터로 Data in Transit과 구분해야합니다. 즉 모든 장치 또는 네트워크에 저장된 비활성 데이터를 보호하는 것을 목표로 합니다. Data in Transit보다 덜 취약하지만 종종 공격자는 이것들이 더 가치있는 표적이라고 생각합니다. 해당 데이터 역시 암호화를 사용하는데 민감..

개발/보안 2021.01.07

[FastCampus] 네트워크 개론_데이터 링크 계층과 스위치

해당 글의 내용은 FASTCAMPUS의 네트워크 개론 강의를 수강 및 정리한 내용입니다. 데이터 링크 계층의 역할과 기능 1. 데이터 링크 계층이란? 역할> : OSI 7 Layer의 2계층으로 인접한 네트워크 노드끼리 데이터를 전송하는 기능과 절차를 제공 : 물리계층에서 발생할 수 있는 오류를 감지하고 수정 : 대표적인 프로토콜로 이더넷이 있으며 장비로는 스위치가 있음 구성> - 2개의 부 계층으로 구성 ① MAC(Media Access Control) : 물리적인 부분으로 매체간의 연결방식을 제어하고 1계층과 연결 ② LLC(Logical Link Control) : 논리적인 부분으로 Frame을 만들고 3계층과 연결 => 데이터 링크 계층은 LLC와 MAC으로 구성되어 있고 Frame 단위로 통신한..

개발/보안 2021.01.04

[FastCampus] 네트워크 개론_물리계층

해당 글의 내용은 FASTCAMPUS의 네트워크 개론 강의를 수강 및 정리한 내용입니다. 물리계층의 역할과 기능 1. 물리계층이란? 역할> OSI 7 Layer 1 계층으로 하드웨어 표현 네트워크 장치의 전기적, 기계적 속성 및 전송하는 수단을 정의 상위 계층인 데이터 링크 계층의 프레임을 신호로 인코딩하여 네트워크 장치로 전송 통신 장치와 커넥터, 인코딩, 송수신을 담당하는 회로 등의 요소가 있다. 2. Signaling의 종류 ① 전기 : Copper 케이블을 사용하며 전화선, UTP, 동축케이블 등이 이에 속함 ② 광(빛 / 레이저) : Optical Fiber 케이블이 이에 속하며 빛의 패턴을 신호로 사용 => IEEE 802.3 : 광, 빛이 여기에 속함 ③ 전파 : 무선이 이에 속하며 마이크로..

개발/보안 2020.12.31

[FastCampus] 네트워크 개론_네트워크 소개

해당 글의 내용은 FASTCAMPUS의 네트워크 개론 강의를 수강 및 정리한 내용입니다. 네트워크 : IT 인프라의 근간이 되는 영역 영역 > 다양한 기술 > IT에서 꼭 마주치는 기술 네트워크의 정의 및 역사 1. 네트워크란? : 분산되어 있는 컴퓨터들이 자원을 공유할 수 있게 통신망으로 연결한 것 2. 네트워크의 중요성 3차 산업혁명, 4차 산업혁명 Network 연결에서 동작하는 서비스 * 클라우드 자체가 가상 Network이다! 3. 네트워크의 역사 4. 네트워크 형태 ★ (1) LAN(Local Area Network) : 근거리 통신망 (논리적) : 사무실 또는 학교 등의 가까운 지역을 한데 묶은 네트워크 (2) WAN(Wide Area Network) : 장거리 통신망 (논리적) : 각각 떨..

개발/보안 2020.12.31

[개인정보보호 포털] (신)개인정보보호법 이해하기 (4강)

4. 정보주체 권리 보장과 개인정보 유출 및 대응 학습 목표 정보주체의 권리보장제도 및 권리행사를 위한 방법과 절차를 이해할 수 있다. 개인정보 유출과 대응을 위한 통지 및 신고 절차를 이해할 수 있다. 학습 내용 정보주체 권리 및 권리행사 방법과 절차 개인정보 유출 및 대응방안 정보주체 권리 및 권리행사 방법과 절차 1> 정보주체의 권리 따라서 정보주체는 자신의 개인정보를 보호받아야 할 권리로 인식하고 스스로를 보호하기 위하여 법률에 근거하여 해결방법 강구 개인정보처리자는 정보주체의 권리를 침해하지 않기 위해 법률을 숙지 - 정보주체의 권리 ① 개인정보 열람 요구권 ② 개인정보 정정 및 삭제 요구권 ③ 개인정보 처리정지 요구권 cf) 법령 등 정당한 사유가 있는 경우 권리 요구에 대한 제한 및 거절 가..

개발/보안 2020.12.30