CSAP153 (CSAP) 까칠 또는 타협, 양보 앞서 까칠한 담당자를 지양해야 한다고 이야기를 했습니다. 그렇다면 까칠이라는 것은 어떤 것을 말할까요 외부심사를 나간 적이 있었는데 신청기관으로부터 컴플레인이 있었는데 다른 위원님이 너무 취조하는 느낌으로 인터뷰를 한다는 것이었습니다. "신분증을 받는 목적이 무엇인가요", "왜 안내판 등은 없나요" 등등의 질문에 심사 대응 담당자의 표정에서 매우 당황해 함을 느낄 수 있었습니다. 마찬가지로 정보보호 담당자가 현업 담당자에게도 유사한 형태로 대화를 하는 경우가 간혹 있습니다. 신청 부서에서 검토 요청을 하면 정보보호 부서에서는 "~그렇게 하면 안돼요.", "~법률/정책 위반입니다."라는 형태로 먼저 부정적인 답변을 하는 경우가 많습니다. 이런 형태의 대화가 되는 이유는 대화의 초점이 법률, 정책 준수 여부.. 2021. 3. 29. (CSAP) 리히비 최소량의 법칙 & 하인리히의 법칙 정보보호와 관련된 중요한 법칙을 소개하고자 합니다. 1) 리히비 최소량의 법칙 독일 화학자 유스투스 폰 리비히가 1843년 주장한 이론으로 모든 동식물은 최소량의 법칙에 따라 성장한다는 이론입니다. 내용은 "어떤 영향소가 최소량 이하인 경우 다른 영양소를 많이 주더라도 결국 가장 최소량의 영향소가 식물의 발육에 영향을 미친다"는 것입니다. 리히비의 법칙을 설명할 때 그림처럼 나무통을 가지고 설명하는데 나무통을 구성하는 여러 나무 조각 중에서 가장 작은 나무 조각이 나무통에 담을 수 있는 전체 물의 양을 결정하게 됩니다. 정보보호 분야에서도 마찬가지입니다. 정보보호 분야는 관리, 물리, 기술적 각 분야로 이뤄져 있으며 각 분야는 다시 세부분야로 구성되어 있습니다. 이 각 분야들은 정보자산을 보호하기 위해 .. 2021. 3. 29. (CSAP) 고집불통 정보보호 담당 1. 커뮤니케이션의 중요 일반적으로 조직 내에서 정보보호 담당자에 대한 인식이 좋은 편이 아닙니다. 다양한 매체에서 정보보호 담당자에 대한 인식 설문조사 등을 수행한 결과 다음과 같이 1) 독단적이고 권위적이다. 2) 커뮤니케이션이 잘되지 않는다. 3) 까칠하다. 4) 깐깐하다. 등의 의견이 대부분입니다. 이처럼 고집 세고, 대화가 잘되지 않는다는 인식이 많고, 개발 및 인프라 운영부서 등과는 거의 앙숙에 가까운 관계가 형성되어 있는 경우가 대부분이죠. 이렇게 된 이유는 1) 대부분 정책, 지침, 가이드, 법률 등을 기반으로 한 Negative 활동과 2) ISMS 등 다양한 인증을 지원하면서 발생되는 이슈에 대한 지원 업무특성(부적합 보고서)과 대화방식이 주 원인인 듯합니다. 정보보호 담당자와 인프라 .. 2021. 3. 28. (CSAP) 20년도 정보보호 실태조사 결과 요약정리 * 20년도 정보보호 실태조사 결과 요약 1) 정보보호의 중요성에 대한 인식 개선 (4.5% 증가) 1-1) 개인정보 수집률 (12.1% 증가), 이용률 (11.5%) 2) 정보보호 정책 수립률 증가 (0.5% 증가) - 10~49인 50.9% - 1~4인 11.9% 어려움을 느끼고 있음 3) 정보보호 조직 보유율 (1.1% 증가) - 50~249인 이하 58.2% - 10~49인 28.9% - 1~4인 6.3% 4) 정보보호 교육 실시율 (6.6% 증가) - 5인 이상 규모의 경우 50% 실시 5) 정보보호 예산 편성률 (29.5% 증가) 6) 정보보호 제품 이용률 (6.2% 증가) - 네트워크 및 단말기 보안이 각각 90.0% 이상 이용 7) 정보보호 서비스 이용률 (27.0% 증가) - 인증서, 유.. 2021. 3. 28. (CSAP) 보안사고 정말 없었다? 믿어져? 1. 사고의 정의 2. 사고가 정말 없었나 3. 중소기업은 안전하다? 컨설팅이나 심사를 나가서 정보보호와 관련된 사고 대응과 관련된 인터뷰를 진행해 보면 지금까지 침해사고가 없었고 관련된 모니터링, 분석 및 대응 등의 증적이 전혀 없는 경우가 있습니다. 1. 이 경우 먼저 사고의 정의가 적절하지 않아 발생할 수 있습니다. 일반적으로 "침해사고"란 “해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태”의미합니다. 즉 주로 공격자에 의해 해킹, 악성코드 감염, 시스템 파괴, 경유지 공격, 위변조 등 피해가 발생한 사고를 의미하는데 이는 정보보호와 관련된 사고의 일부만을 의미하고 있습니다. 반면.. 2021. 3. 27. (CSAP) 문서 중앙화 1. 최근 추세 최근 창궐하고 있는 랜섬웨어로 인해 문서중앙화 솔루션 업체들이 반사이익을 누리는 것으로 나타났다. 랜섬웨어는 해커가 컴퓨터 내 악성파일을 감염시켜 문서나 사진 파일을 암호화해 돈을 요구하는 사이버 범죄다. 문서중앙화 솔루션은 문서를 한곳에 모아 접근, 수정 권한을 제한하는 역할을 하기 때문에 랜섬웨어 피해를 막을 수 있다. 13일 업계에 따르면 랜섬웨어 피해를 당하거나, 예방을 위해 관련 솔루션에 대한 문의가 증가하면서, 국내 문서중앙화 솔루션 업체들이 랜섬웨어로 수혜를 입고 있는 것으로 나타났다. 2. 정의 문서중앙화 솔루션은 사내에서 작성되는 문서를 개인PC가 아닌 중앙 문서관리 서버에 저장하고 관리하는 솔루션이다. 문서 사용과 수정에 권한이 필요하기 때문에 랜섬웨어 등 악성코드 접근.. 2021. 3. 27. (ISMS-P) DB 접근 제어 솔루션 1. 개요 - DB 서버는 조직에 필요한 정보를 저장하는 서버로서 DBMS라는 관리 시스템에 의해 관리되며 인증과정을 거쳐 로그인한 후에 SQL이라는 질의어를 통해서만 해당 정보에 정상적으로 접근 가능 - 일반적으로 DB는 DMZ 구간이 아닌 조직의 가장 내부에 위치하고 있으며 DBMS 자체의 보안 기능과 타 솔루션이 접근 제어를 통해 제어 - 해킹보다는 DB에 접근 권한을 가진 사용자가 권한을 남용하여 정보를 유출하거나 변조하는 위협이 더 클 수 있음 2. DB 접근 제어 필요성 가. 세분화된 사용자 식별 - DBMS에서 수행하는 통제는 DBMS 내부의 계정 단위로 구성 - 많은 조직에서 하나 혹은 소수의 계정에 필요한 모든 테이블을 생성한 후에, 다수의 내부 사용자가 동일 계정을 이용하여 DB에 접근.. 2021. 3. 27. (ISMS-P) DB 암호화 솔루션 1. 개요 - 개인 정보의 유출 사고 등 악의적인 공격에 대응 필요 - DB 보안을 위해 법률 강화 - 외부 유협 외에도 내부자에 의한 유출 사고 방비 - DB 보안을 위한 요구사항은 DB암화, 암호키 관리 2. 암호화 요건 - 민감한 정보의 보안 레벨과 암호화 요구 사항 평가 - 요구사항에 따라 DBMS 자체 또는 외부 솔루션에 의한 암호화 수행 - 암호화, 복호화 키 관리 랜덤키에 의해 암호화된 데이터는 복호화가 어려워짐 - 데이터의 중요성에 따라 암호화 알고리즘, 키 사이즈 선택 어떤 데이터를 암호화할 것인가를 결정하고 데이터 사이즈 증감을 예측한다면 효율적인 암호화된 DB 완성 가능 - 인덱스 암호화 시 주의 필요 대용량 DB에서 인덱스를 가진 컬럼이 암호화되면 인덱스를 활용할 수 없기 때문에 특.. 2021. 3. 27. (CSAP) 물리적 보호구역 지정 클라우드 서비스 보안 운영 명세서 '8.1.1. 물리적 보호구역 지정'에서 - 접견구역 : 외부인이 별다른 출입증 없이 출입이 가능한 구역 (예 : 접견장소 등) - 제한구역 : 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소 (예 : 부서별 사무실 등) - 통제구역 : 제한구역의 통제항목을 모두 포함하고 출입 자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳 (예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등) 에 대한 부가 설명 간혹 받게되는 질문이 접견 구역은 이해가 되는데 제한구역과 통제구역의 통제 차이가 무엇입니까라는 질문입니다. 아래의 그림처럼 통제구역은 제한구역보다 더 중요한.. 2021. 3. 27. 이전 1 ··· 6 7 8 9 다음
