it-stargazer의 등록된 링크
it-stargazer로 등록된 티스토리 포스트 수는 287건입니다.
맛집 - 시청역 유림면 [내부링크]
안녕하세요 IT몽사가 입니다. 50년 전통!!! 시청역에 있는 유명한 전통이 살아 있는 집!!! 서울에 있는 전통이라고 하면 국밥이라고 생각할 수 있으나 요기는 메밀 집입니다. 유림면입니다. 메밀 전문점입니다. 물론 다른 것도 있으나 메밀면은 전문으로 하고 있습니다. 가게 들어가면 이렇게 물이랑 컴을 제공합니다. 자리는 1층 2층 다 있어 부족하지는 않습니다. 하지만 테이블 간격이 넓지 않아서 조금 좁다는 느낌이 있고 사람들이 빠르게 차더라고요 메뉴는 이렇게 메밀전문점으로 메밀국수, 비빔메밀이 가장 유명하다고 합니다. 그리고 판 메밀도 있습니다. 그리고 겨울에는 냄비국수도 많이 팔린다고 하더라고요. 반찬으로 나오는 절임무입니다. 딱 이거만 나옵니다. 다른 반찬은 전혀 나오지 않습니다. 저는 비빔메밀을 주..
맛집 - 안양역 형제들 감자탕 [내부링크]
안녕하세요 IT몽사가 입니다. 배고프면 생각나는 가장 기본적인 음식이죠!! 해장국입니다. 술 먹은 다음날도 그리고 배고픈 저녁에도 소주 한잔 생각나는 날에도 항상 생각나는 음식!! 뼈 해장국입니다. 너무 흔한 음식이라 맛이라고 이야기하기 쉽지 않은데요 요기는 24시간 영업에 맛도 좋고 양도 많은 집입니다!! 안양역 6번 출구에서 나와서 조금 걸어가면 바로 있는데요 중심가에 있는 식당입니다. 생각해보면 안양 1번가 중심가에 감자탕집...ㅎㅎ 조금 웃긴 위치에 있습니다. 하지만 역시 맛있는 집이라 옆에 집들은 바뀌어요 요 집은 그대로 그 위치에 있네요 ㅎㅎ 들어가면 이렇게 벽에 상호 명이 붙어 있는데요 ㅎㅎ 돼지 세 마리가 인상깊에서 찍어봤습니다 ㅎㅎ 감자탕은 먹어보지 않았습니다. 저는 항상 뼈다귀 해장국만..
맛집 - 안양역 호유동 [내부링크]
안녕하세요 IT몽상가입니다. 안양역에서 데이트할 때 맛있게 먹을 수 있는 덮밥집 하나 소개하고자 합니다. 이미 많이 유명한 집입니다. 안양역 덮밥 맛집 검색하면 나오는 호유동입니다. 위치는 안양역 1번가에 있는데요 1번가 중심보다는 조금 벗어난 곳입니다. 호유동 입구가 크지 않습니다. 엄청 작은 가게인 거 같았는데요 실내는 생각보다 크게 되어 있었습니다. 그리고 이런 테이블 말고도 주방에 붙어 있는 곳도 있었는데요 거기에 사람이 있어서 따로 찍지는 못했네요 생각보다 깔끔하고 깨끗하게 잘 정리되어 있는 가게라는 생각이 들었는데요 이제 메뉴를 골라야 하는 시간인데요!! 메뉴판 앞에 이렇게 딱하니 붙어 있으니....ㅎㅎ 역시 가장 유명한 음식은 대창 덮밥이랑 장어덮밥 시켰습니다. 추가적으로 다른 메뉴도 많이 ..
[W-34/상] 4. 로그 관리 4.1 로그의 정기적 검토 및 보고 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "로그의 정기적 검토 및 보고"에 대해서 설명드리도록 하겠습니다. 서버에서 설정 여부를 확인하는 점검항목이 아니라 로그를 주기적으로 검토 및 보고를 진행하고 있는지 인터뷰를 통하여 확인하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 기술적인 진단항목이라고 이야기 하기에는 조금 애매한 항목일 거 같습니다. 서버에 대한 설정을 확인하는 것이 아니고 쌓아놓았던 로그를 활용하여 분석하고 있는가를 확인하는 항목이죠 그렇기에 서버에 접속하여 확인하는 것이 아니라 인터뷰를 통해 확인하는 하는 항목으로 정책에 따라 확인하고 있는지 확인하는 것입니다. 관리적인 측면에서 로그는 주기적으로 검토가 이루어지게 되..
[W-69/중] 3. 패치 관리 3.3 정책에 따른 시스템 로깅 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "정책에 따른 시스템 로깅 설정"에 대해서 설명드리도록 하겠습니다. 로그의 유형을 설정하는 것으로 너무 많은 로그를 쌓는 것도 좋지 않다고는 하는데요 사실 많은 자료가 있으면 있을수록 더욱 정확하게 분석이 가능합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 시선의 차이가 있는 항목입니다. 일단 로그를 너무 많이 쌓으면 시스템에 부담이 되거나 분석해야 할 자료가 너무 방대하여 분석이 어렵다는 의견이 있을 수 있습니다. 하지만 개인적인 생각은 로그의 최대한 많이 쌓는 게 좋다고 생각하는 사람 중 하나입니다. 로그라는 건 결국 서버에서 동작하는 모든 행동을 기록하고 있는 것으로 너무 많이 쌓이면 분명 시스..
[W-33/상] 3. 패치 관리 3.2 백신 프로그램 업데이트 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "백신 프로그램 업데이트"에 대해서 설명드리도록 하겠습니다. 백신 DB 업데이트를 확인하는 항목입니다. 단순 UI 업데이트가 아닌 DB 업데이트를 확인하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. DB 업데이트를 확인하는 항목으로 단순 UI 업데이트는 해당하지 않는 항목입니다. 일단 백신 프로그램 탐지 원리는 패턴을 확인하는 하는 것으로 백신이 가지고 있는 DB에 있는 패터에 일치하는 것들을 확인하여 바이러스를 탐지합니다. 그렇기에 주기적으로 DB 업데이트 진행하지 않는 경우 최신 바이러스에 대한 탐지가 불가능하죠 해당 항목은 이러한 부분을 방지하기 위하여 백신을 주기적으로 패치를 진행하고 ..
[W-68/중] 3. 패치 관리 3.1 최신 HOT FIX 적용 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "최신 HOT FIX 적용"에 대해서 설명드리도록 하겠습니다. 최신 버전 패치 여부를 확인하는 점검 항목이지만 함부로 패치를 진행하는 경우 장애가 발생할 수도 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 최신 버전 패치를 적용하였는지 확인하는 항목이지만 최신 버전으로 무조건 패치하는 경우는 시스템 장애가 발생할 가능성이 높습니다. 그렇기에 최신 패치보다는 안전한 패치를 확인하는 것이 맞습니다. 무조건 최신 버전을 사용하지 않는 이유는 최신 버전에 대한 취약점이 발견되거나 에러가 발생할 가능성이 있기에 안정성이 확보되지 않은 경우는 패치를 진행하지 않는 게 맞습니다. 또한 취약점이 발견되지 않은 ..
[W-68/중] 2. 서비스 관리 2.36 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "예약된 작업에 의심스러운 명령이 등록되어 있는지 점검"에 대해서 설명드리도록 하겠습니다. 예약 서비스는 악의적인 행동하기에 가장 좋은 서비스 중 하나로 사용자가 인지하지 못한 상태에서 실행이 가능합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 프로그램은 이벤트가 발생하면 실행하게 되어 있습니다. 부팅을 하는 과정에서 자동으로 실행되는 프로그램도 있으며, 더블클릭이나, 엔터 등 이벤트가 발생하면 실행되며 이러한 이벤트는 사용자가 대부분 인지할 수 있죠 하지만 예약 서비스는 조금 다른 이야기입니다. 예약 서비스의 경우에는 사용자가 인지하지 못한 상태에서 실행될 수 있죠 그렇기에 이러한 예약 서비스를 이..
맛집 - 시청역 돈수백 [내부링크]
안녕하세요 IT몽상가입니다. 갑자기 쌀쌀해진 요즘 아무리 따뜻하게 입고 다녀도 추울 때가 있죠 이럴 때 생각나는 따뜻한 국밥!!!!! 내장이 들어가 있는 순대국밥 같은 거 못 드시는 분들도 대부분 맛있게 드시는 돼지국밥 추천합니다. 시청역 과 을지로입구역 사이에 있는 돼지국밥집인 돈수백입니다. 위치는 2층에 있고 맨 안쪽으로 들어가면 이렇게 문이 열려 있습니다!!! 요기도 역시 점심에 왔기 때문에 앞에 있는 메뉴판에서 주문하는데요 돼지국밥뿐만 아니라 내장도 들어가 있는 국밥도 있습니다. 저는 내장도 좋고 돼지국밥도 좋지만 일단 가장 메인 메뉴인 돼지국밥을 준문 했습니다. 셋이서 가서 셋다 돈탕반으로!! 아 그리고 주문 시 밥을 따로 달라고 해야 이렇게 나고 아니면 국밥에 말아서 나온다고 하네요!!! 주문..
맛집 - 시청역 테이도우 [내부링크]
안녕하세요 IT몽상가입니다. 최근에 시청역 근처에서 근무하면서 찾은 맛집입니다. 일본식 라멘집으로 밥도 무료로 제공해주고 사리도 1000원으로 저렴한 집이라고 생각해서 추천드립니다. 시청역 10번 출구에서 나와서 쭉 오다 첫 번째 골목으로 들어가면 있는 라멘 맛집입니다!! 데이도우로 2층에 있는 작은 가게라 올라가는 길이 좁고 경사가 심해서 올라가는데 조심해야 합니다 ㅎㅎ 이렇게 좁은 계단을 올라가면 식당이 하나 나오는데요 주 메뉴가 라멘입니다. 메뉴판은 이렇게 구성되어 있으나, 점심에 갔던 곳이라... 첫 번째 메뉴판에서 주문하였는데요 제가 선택한 메뉴는 카라 돈코츠라멘과 라면 사리입니다. 윽 초점이 많이 흔들렸지만 이런 이쁜 병에 물을 줍니다!! ㅎㅎ 그리고 앞서 이야기드린 공깃밥!!!! 요기서 마음..
맛집 - 백운호수 청계누룽지백숙 [내부링크]
안녕하세요 IT몽상가입니다. 여름은 갔지만 겨울이 오기 전에 몸보신을 해야 따뜻한 겨울을 보낼 수 있죠 ㅎㅎㅎ 가을 나들이 갔다가 몸보신할 수 있는 집입니다. 백운 호수 옆에 있는 청계 누룽지백숙입니다. 이 집은 닭백숙과 오리백숙을 같이 팔고 있습니다. 토종닭 누룽지백숙 : 48,000원 오리 누룽지 백숙 : 52,000원 장수 토종닭 누룽지 백숙 : 60,000원 장수 오리 누룽지 백숙 : 52,000원으로 메인 메뉴가 구성되어 있습니다. 장수가 붙은 것은 다양한 약재가 들어 있는 것으로 몸보신을 하시려면 역시 약재가 좀 들어가야죠 ㅎㅎ 주문을 하면 일단 밑반찬인 마늘, 양파 장아찌와 갓김치, 배추김치, 물김치가 나오는데요! 청계 누룽지백숙을 추천하는 이유는 이런 밑반찬이 맛있습니다. 장아찌가 정말 맛..
[W-67/중] 2. 서비스 관리 2.35 원격터미널 접속 타임아웃 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "원격 터미널 접속 타임아웃 설정"에 대해서 설명드리도록 하겠습니다. 원격 접속 후 자리는 비우거나 작업이 완료되었을 때 따로 로그아웃을 하지 않으면 세션이 유지되면서 로그인 상태가 유지될 수 있는데요 이러한 부분은 보안적으로 안전하게 설정하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 원격 접속을 하여 작업을 진행합니다. 원격 접속한 담당자는 잠시 자리를 비우거나 아니면 작업을 완료하고 로그아웃을 따로 하지 않습니다. 이러한 경우 다른 사람이 해당 사용자의 PC에 앉아서 원격 접속을 통해 서버에 악의적이 명령을 내릴 수 있는데요 이러한 부분을 방지하기 위한 설정 중 하나라고 할 수 있습니다..
[W-66/중] 2. 서비스 관리 2.34 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거"에 대해서 설명드리도록 하겠습니다. 윈도우 서버에 DB를 설치하는 경우 기본으로 설치되는 데이터나 드라이브를 삭제하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 윈도우 서버에 DB를 설치하는 경우가 많지 않습니다. 그렇기에 해당 취약점을 점검하는 경우도 많지 않은데요 물론 해당 취약점은 DB를 사용하는 경우에만 점검하지는 않습니다. 이유는 잠시 설치하거나 기본적으로 다른 프로그램과 연동되어 있는 DB를 설치해야 하는 경우가 존재하기 때문이죠 윈도우 서버는 상대적으로 리눅스보다 안전성이 떨어지기에 DB서버로는 잘 운영하지 않습니다. ..
[W-65/중] 2. 서비스 관리 2.33 Telnet 보안 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 기반 정보통신시설 취약점 진단 항목 중 Windows진단항목인 "Telnet 보안 설정"에 대해서 설명드리도록 하겠습니다. 원격 접속에 사용하는 프로토콜로 평문으로 전송되기에 사용하지 않는 원격 접속 프로토콜입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 서버를 관리하는 경우에 원격 접속을 할 수밖에 없는데요 그렇기에 원격 접속에 사용되는 프로토콜을 잘 골라 사용하여야 합니다. 해당 점검항목에서 확인하는 Telnet은 평문으로 전송되기에 해당 프로토콜을 이용하여 원격 접속을 하지 못하도록 해당 서비스를 사용하지 못하게 하여야 하는데요 평문으로 전송되기에 해당 서비스를 이용하는 경우에는 ID와 PW가 노출될 수 있습니다. 노출되는 경우에는 해당 서비스를 이용하여 ..
[W-64/하] 2. 서비스 관리 2.32 HTTP/FTP/SMTP 배너 차단 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "HTTP/FTP/SMTP 배너 차단"에 대해서 설명드리도록 하겠습니다. 배너를 통한 정보 노출을 막기 위한 것으로 기본 배너에 정보가 다수 존재할 수 있기에 그러한 배너를 삭제하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 기본값으로 설정되어 있는 베너에 간혹 정보가 노출되는 경우가 있습니다. 그렇기에 베너에 존재하는 정보를 삭제하도록 하는 것입니다. 베너는 접속하는 경우에 나타나는 것으로 베너에 정보가 노출되어 있는 경우 서버에 접속 시 확인이 가능합니다. 물론 해당 점검 항목은 IIS가 동작하는 경우에 확인할 수 있기에 IIS를 사용하지 않는 경우에는 진단할 필요가 없긴 합니다. 하지만 사용..
[W-63/중] 2. 서비스 관리 2.31 DNS 서비스 구동 점검 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "DNS 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. DNS 서비스는 도메인 명으로 사이트를 찾아 연결해주는 서비스로 일반적으로 각 통신사에 DNS를 사용 하지만 별도로 사용하는 경우도 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. DNS 서비스는 일반적으로 각 통신망에서 제공하는 DNS를 사용합니다. 하지만 기업에 따라 내부 도메인을 사용하는 경우에는 별도로 DNS를 구성하여 사용합니다. 하지만 DNS가 해킹 당하는 경우에는 파급력이 굉장한데요 해당 서비스는 도메인 명으로 사이트로 연결하는 것으로 만약에 DNS에서 도메인명과 사이트 IP주소가 잘못 연결되어 있는 경우 도메인이름으로 원하는 사..
[W-62/중] 2. 서비스 관리 2.30 SNMP Access control 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "SNMP Access control 설정"에 대해서 설명드리도록 하겠습니다. 커뮤니티스트링을 복잡하게 설정하여 접속을 어렵게 할 수 있습니다. 하지만 보안적으로 안전하게 사용하기 위하여 추가적으로 접속을 제한하는 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. SNMP서비스는 취약하나 효율이 좋은 서비스이기에 사용하는 경우가 종종 있다고 말씀드렸는데요 그렇기에 커뮤니티스트링값을 복잡하게 설정하여 조금이나마 안전하게 설정하였는데요 해당 점검항목은 거기에 추가적으로 접속을 받을 수 있는 호스트를 지정하여 접속을 제한하는 설정입니다. 안전하지 않은 서비스라 이용하지 않는 것이 가장 좋습니다. 하지만 필요한..
[W-61/중] 2. 서비스 관리 2.29 SNMP 서비스 커뮤니티스트링의 복잡성 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "SNMP 서비스 커뮤니티스트링의 복잡성 설정"에 대해서 설명드리도록 하겠습니다. SNMP서비스를 사용하지 않는 게 가장 좋으나 혹시 사용하는 경우 조금이나마 안전하게 사용하기 위한 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. SNMP서비스는 안전하지 않습니다. 인증이라는 절차가 존재하지 않기에 사용하지 않는 게 좋은데요 하지만 관제 등에 사용하는 경우가 있습니다. 네트워크를 통해 시스템의 상태를 확인하기 좋은 서비스이기 때문에 종종 사용하는 경우가 존재합니다. 그렇기에 이러한 안전하지 않는 서비스를 그나마 안전하게 사용하기 위한 설정하는 것이 해당 점검 항목입니다. 일단 SNMP는 인증이라는 절차..
[W-60/중] 2. 서비스 관리 2.28 SNMP 서비스 구동 점검 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "SNMP 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. 간혹 관제에서 사용하기는 하지만 인증이 존재하지 않아 보안적으로 문제가 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 관제서비스에서 간혹 사용하는 서비스입니다. 네트워크 망을 관리하기 위한 목적으로 만들어진 서비스로 네트워크에 접속되어 있는 장비들에 대한 정보를 수집하거나 사용 여부를 확인하는 서비스입니다. 물론 유용한 서비스입니다. 하지만 해당 서비스에 치명적인 문제가 있어서 사용하지 않는 것을 권고드리고 있는데요 하지만 꼭 사용하는 경우에는 사용하긴 합니다. 치명적인 문제는 인증이 별도로 존재하지 않습니다. 인증이란 ID/PW를 이용하..
[W-59/중] 2. 서비스 관리 2.27 IIS 웹서비스 정보 숨김 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 웹서비스 정보 숨김"에 대해서 설명드리도록 하겠습니다. 에러 페이지 등에서 노출될 수 있는 웹서비스 정보가 노출되지 않도록 설정하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 정보 노출과 연결되어 있는 설정으로 해당 설정이 잘못되어 있는 경우는 웹 취약점 진단에서 취약점이 발견될 수 있습니다. 그렇기에 웹과 연결되어 있기에 웹 취약점 진단에서 취약점이 발견되는 경우 조치 방법 중 하나일 수 있습니다. 해당 설정이 잘못되어 있는 경우 노출되는 정보는 웹 서버 종류, 사용 OS, 사용자 계정 등이 노출되는 것으로 문제가 될 수 있다고 이야기합니다. 이렇게 노출된 정보를 가지고 다양한 공격이 가..
[W-58/중] 2. 서비스 관리 2.26 터미널 서비스 암호화 수준 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "터미널 서비스 암호화 수준 설정"에 대해서 설명드리도록 하겠습니다. 윈도우에서 기본적으로 제공하는 원격 터미널을 이용하는 경우에 암호화 수준을 설정하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 원격 터미널은 윈도우에서 기본적으로 제공하는 것입니다. 그렇기에 해당 서비스를 이용하는 경우에는 보안설정을 추가적으로 설정하게 되어 있습니다 해당 점검 사항에서 확인 하는 것은 암호화 수준입니다. 원격 터미널 접속 시에 암호화 설정을 하는 것으로 중간 이상으로 설정하여 표준 키 길이를 기반하여 암호화하게 하는 것입니다. 가장 좋은 방법은 해당 서비스를 이용하지 않게 하는 것이 좋습니다. 기반시설인 경우에는..
[W-31/상] 2. 서비스 관리 2.25 최신 서비스팩 적용 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "최신 서비스팩 적용"에 대해서 설명드리도록 하겠습니다. 서비스팩은 최근 버전에서는 사용하지 않습니다. 윈도우 2008 까지만 서비스팩이 존재합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 최신 서비스팩 적용입니다. 현재는 사용하지 않고 있는데요 윈도우 2008까지만 서비스팩이 존재하였으며, 2012에서 현재까지 나와 있는 버전까지는 서비스팩이 존재하지 않습니다. 현시점에서 윈도우 2008은 패치가 더이상 이루어지지 않아 사용하지 않아야 하는데요 그렇기에 해당 취약점 점검도 이루어 지지 않습니다. 대상 운영체제를 사용하지 않는 것이죠 윈도우 2008 서비스 팩 2의 경우 2020-01-14 EOS 되었기에..
[W-30/상] 2. 서비스 관리 2.24 RDS(Remote Data Services)제거 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "RDS(Remote Data Services) 제거"에 대해서 설명드리도록 하겠습니다. 데이터를 관리하는 기능을 가지고 있는 서비로 현재로는 사용하지 않는 서비스입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 현재는 사용하지 않는 서비스입니다. Windows 2003 이하인 버전에서만 사용하는 서비스로 Windows 2012 이상만 사용하여야 하기에 해당 취약점을 점검하는 경우는 없을 거 같습니다. 가이드 자체가 2013년에 만들어진 것으로 아직 해당 취약점 진단 항목을 삭제하고 있지 않습니다. 해당 점검항목은 N/A로 처리하면 됩니다. "RDS(Remote Data Services) 제거"에 대해 알아..
[W-29/상] 2. 서비스 관리 2.23 DNS Zone Transfer 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "DNS Zone Transfer 설정"에 대해서 설명드리도록 하겠습니다. Domain Name System으로 도메인을 이용하기 위한 시스템으로 해당 DNS를 동기화하기 위한 설정 중 하나입니다. 먼저 가이드를 확인해 보도록 하겠습니다. DNS는 Domain Name System으로 naver.com이라는 도메인 주소를 실제 운영 중인 서버에 IP주소 변경해주는 것으로 사용자의 편의성을 확대하기 위하여 숫자로 되어 있는 IP주소가 아닌 도메인을 통하여 사용할 수 있게 해주는 것이죠 일반적으로 각 통신사의 도메인 주소가 기본값으로 설정되어 있고, 추가적으로 구글 DNS 서버를 사용하는 경우도 있습니다. 하지..
[ISMS-P] 2.3.2 외부자 계약 시 보안 : "정보시스템 및 개인정보처리 시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 두 번째 항목인 외부자 계약 시 보안에 대해서 알아보도록 하겠습니다. 외부 서비스를 이용하거나 개발 관련하여 사업을 진행하는 경우 업체와의 계약 시 보안적인 부분을 참고하여 진행하였는지 확인하는 것입니다. 2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 상세점검항목 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에..
[ISMS-P] 2.3.2 외부자 계약 시 보안 : "외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 두 번째 항목인 외부자 계약 시 보안에 대해서 알아보도록 하겠습니다. 외부 서비스를 이용하거나 개발 관련하여 사업을 진행하는 경우 업체와의 계약 시 보안적인 부분을 참고하여 진행하였는지 확인하는 것입니다. 2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 상세점검항목 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에..
[ISMS-P] 2.3.2 외부자 계약 시 보안 : "중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 두 번째 항목인 외부자 계약 시 보안에 대해서 알아보도록 하겠습니다. 외부 서비스를 이용하거나 개발 관련하여 사업을 진행하는 경우 업체와의 계약 시 보안적인 부분을 참고하여 진행하였는지 확인하는 것입니다. 2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 상세점검항목 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? 외부 서비스 이용 및 업무 위탁에..
[CF/상] 15. 크로스사이트 리퀘스트 변조(CSRF) [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "크로스 사이트 리퀘스트 변조(CSRF)"에 대해서 설명드리도록 하겠습니다. 크로스 사이트 스크립트와 거의 동일한 유형이지만 목표의 차이가 있습니다. 하지만 크로스 사이트 스크립트를 조치하는 경우 해당 취약점도 같이 조치됩니다. 먼저 가이드를 확인해 보도록 하겠습니다. 크로스 사이트 스크립트와 거의 동일한 취약점이라고 생각할 수도 있는데요 하지만 목표가 조금 차이가 있습니다. 크로스 사이트 스크립의 경우에는 목표가 사용자 PC가 됩니다. 하지만 크로 사이트 리퀘스트 변조의 경우는 서버가 목표가 될 수 있습니다. 크로스 사이트 스크립트가 조치가 되는 경우 해당 취약점도 같이 조치됩니다. 그렇기에 사실상 취약점 진..
[W-28/상] 2. 서비스 관리 2.22 FTP 접근 제어 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "FTP 접근 제어 설정"에 대해서 설명드리도록 하겠습니다. FTP를 사용하는 경우가 있는데요 그렇기에 FTP를 사용하는 경우 추가적인 보안조치를 통해 최소한의 보안안 유지 하게 하는 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 접근제어 설정입니다. FTP를 사용하는 경우에 사용하는 보안 조치로 접근 할수 있는 IP를 선정하여 해당 IP만 접속할수 있게 하는 것입니다. 취약하기에 사용하지 않아야 하지만 꼭 필요한 경우가 존재하기에 보안 설정을 하는 것이라고 생각하면 됩니다. 특정 IP에서만 FTP를 사용하게 하므로써 데이터가 평문으로 전송되더라도 IP가 맞지 않는 경우에는 접속이 불가능하게 되어 있..
[W-27/상] 2. 서비스 관리 2.21 Anonymous FTP 금지 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "Anonymous FTP 금지"에 대해서 설명드리도록 하겠습니다. FTP 서비스는 안전한 서비스가 아니기에 사용하면 안 된다고 말씀드렸는데요 이러한 안전하지 않은 서비스를 더 안전하지 않게 만드는 설정이기에 금지하고 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 어떠한 서비스 이더라도 익명을 사용자가 사용하게 되는 경우는 안전하지 않은데요 FTP 서비스는 서비스 자체가 평문으로 전송되기에 안전하지 않습니다. 이렇게 안전하지 않는 서비스를 익명으로 사용한다는 것은 더욱더 안전하지 않게 만드는 것으로 사용하지 않게 설정하는 것이 맞습니다. 익명으로 사용하는 경우에는 추적성이 확보되지 않습니다. 추적성이란..
맛집 - 용인 원암정 한식 [내부링크]
안녕하세요 IT몽상가입니다. 주말에 나들이 가고 싶어서 찾았던 곳이 바로 와우정사인데요 갔다가 너무 배고 고파서... 맛집을 찾는데 다들 조금 멀리 있고 브레이크 타임... 대부분 요기 오면 오리고기를 많이 먹는 것 같은데.. 항상 브레크 타임에 걸려서 다른 곳을 찾다 찾은 맛집입니다. 와우정사와 아주 가까운 곳으로 차를 타고는 한 5분입니다!!! 한정식 집으로 원암정 한정식이라고 있습니다. 사실... 찾아가기가 쉽지는 않지만 이렇게 큰 간판이 존재하기에 근처에 가면 바로 보이긴 합니다. 이게 들어오는 입구인데요... 저 길로 차가 들어와야 합니다. 눈으로 보면 매우 좁은 거 같은데 그렇게 좁지는 않더라고요 하지만 차는 한 대씩만 다닐 수 있습니다. ㅎ 자체 주차장은 존재하고요 외관은 이렇게 큰 기화 집..
카페 - 용인 사암그레이커피 [내부링크]
안녕하세요 IT몽상가입니다. 주말에 가기 좋은 카페를 찾아 소개해드리고 합니다. 조금 멀리 있긴 한데요 한적하고 생각보다 사람은 많이 않으며, 자리는 많은 곳이더라고요 거기에 커피도 아주 괜찮습니다. 사암 그레이 커피인데요 지도로 보시면 알겠지만 주변에 딱히 없긴 합니다. 그래서 그런지 아주 조용하고 깨끗하게 잘되어 있습니다. 일단 건물이 2개인데요 공간이 매우 넓어서 좋습니다. 건물 옆에는 주차장이 존재하여 주차도 어렵지 않은데요 한 10대 정도 주차가 가능합니다. 영업시간은 역시... 늦은 시간까지는 하지 않은데요 그래서 직장인들은 주말에나 갈 수 있을 거 같네요 안쪽에서 주문을 하고 밖으보면 이렇게 자리가 있습니다. 건물도 통유리가 크게 되어 있어서 데이트 장소로 추천드리죠 그리고 뒷마당에는 야외에..
[ISMS-P] 2.3.1 외부자 현황 관리 : "업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 첫 번째 항목인 외부자 현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 및 개인정보보호에 관련된 외부자의 현황을 파악하고 그에 맞는 보호대책을 마련하는 것입니다. 2.3.1 외부자 현황 관리 업무의 일부(개인정보 취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 상세점검항목 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황..
[ISMS-P] 2.3.1 외부자 현황 관리 : "관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 외부자 보안의 첫 번째 항목인 외부자 현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 및 개인정보보호에 관련된 외부자의 현황을 파악하고 그에 맞는 보호대책을 마련하는 것입니다. 2.3.1 외부자 현황 관리 업무의 일부(개인정보 취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 상세점검항목 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황..
[ISMS-P] 2.2.6 보안 위반 시 조치 : "정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 여섯 번째 항목인 보안 위반 시 조치에 대해서 알아보도록 하겠습니다. 보안 위반하는 경우 징계나 경고 등에 대한 조치가 필요한데요 이러한 부분을 확인하는 점검 항목입니다. 2.2.6 보안 위반 시 조치 임직원 및 관련 외부자가 법령, 규제 및 내부 정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. 상세점검항목 임직원 및 관련 외부자가 법령과 규제 및 내부 정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가? 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가? 두 번째 항목인 "정보보호 및 개..
[ISMS-P] 2.2.6 보안 위반 시 조치 : "임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 여섯 번째 항목인 보안 위반 시 조치에 대해서 알아보도록 하겠습니다. 보안 위반하는 경우 징계나 경고 등에 대한 조치가 필요한데요 이러한 부분을 확인하는 점검 항목입니다. 2.2.6 보안 위반 시 조치 임직원 및 관련 외부자가 법령, 규제 및 내부 정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. 상세점검항목 임직원 및 관련 외부자가 법령과 규제 및 내부 정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가? 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가? 첫 번째 항목인 "임직원 및 관련..
[PR/상] 14. 취약한 패스워드 복구 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "취약한 패스워드 복구"에 대해서 설명드리도록 하겠습니다. 패스워드를 찾는 과정에서 간혹 패스워드가 화면에 노출되거나 처음 입력한 이메일이나 혹은 핸드폰 번호가 아니 새로 입력한 번호로 임시 패스워드가 오는 경우가 있는데 이런 것들을 확인하는 점검 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드는 현재 해시하여 저장하기에 패스워드를 확인할 수 없습니다. 그렇기에 패스워드 찾기를 하는 경우에는 임시 패스워드를 보내주게 되어 있는데요 혹은 기존에 인증한 이메일이나 핸드폰으로 패스워드 변경 페이지 URL을 전달합니다. 하지만 간혹 설계되어 기존의 패스워드가 노출되거나 임시 패스워드가 화면에 노출되는 경..
[W-26/상] 2. 서비스 관리 2.20 FTP 디렉토리 접근권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "FTP 디렉토리 접근권한 설정"에 대해서 설명드리도록 하겠습니다. FTP 서비스를 사용하게 되는 경우에 FTP에서 사용하는 폴더에 대한 권한 관리가 잘못되어 있는 경우 해당 업로드된 파일을 악용할 수 있는데요 이런 것을 방지하기 위하여 권한 설정을 합니다. 먼저 가이드를 확인해 보도록 하겠습니다. FTP 서비스는 평문으로 전송되는 취약점이 존재하기 사용하지 않게 되어 있습니다. 하지만 반드시 사용해야 하는 경우에는 다양한 보안적인 설정을 추가하게 되어 있는데요 일단 secure FTP를 통하여 FTP에 존재하는 기본적인 취약점을 해결하고 그 외 문제가 될 수 있는 파일 권한에 대한 부분을 추가하게 되어 있..
[W-25/상] 2. 서비스 관리 2.19 FTP 서비스 구동 점검 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "FTP 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. 파일을 전송할 때 사용하는 프로토콜로 평문으로 전송되기에 사용하지 못하게 하고 있는데요 해당 점검항목에서는 FTP 사용 여부를 점검하고 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. FTP 서비스는 파일을 전송할 때 사용하는 서비스로 파일은 업로드 또는 다운로드 등에 사용되는 돼요 하지만 해당 서비스는 데이터가 평문으로 전송되는 취약점이 존재합니다. FTP 서비스에서는 2개의 포트는 사용하고 있는데요 먼저 인증에 사용되는 21번 포트와 파일을 전송할 때 사용되는 20번 포트 2가지로 구성되어 있습니다. 평문으로 전송될 때 조금 더 위험하다고..
[IA/상] 13. 불충분한 인증 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "불충분한 인증"에 대해서 설명드리도록 하겠습니다. 개인정보가 노출된 페이지 등 중요 페이지에 접속하는 경우 추가적인 인증절차 여부를 확인하는 취약점입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 가이드상 나와 있는 것은 중요정보 페이지 접근 시 추가 인증 여부를 확인하는 것이라고 나와 있습니다. 사실 조금 애매한 부분인데요 현재 일반적으로 해당 취약점을 잡을 때 개인정보 수정 페이지 등에 접근 시 추가적인 인증 여부를 확인하는 것을 확인하고 있습니다. 사실 불충분한 인가, 불충분한 인증, 프로세스 검증 누락 등 비슷한 취약점이 존재하기 취약점이 발견되더라도 어떠한 취약점으로 잡아야 할지 애매한 경우가 많은데..
[W-24/상] 2. 서비스 관리 2.18 NetBIOS 바인딩 서비스 구동 점검 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "NetBIOS 바인딩 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. 요즘은 주로 공유 프린터에 사용되는 서비스로 근거리 통신만 내에서 컴퓨터 이름 만으로 찾아서 접속 시도가 가능하여 현재는 사용하지 잘 사용하지 않고 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 현재는 주로 공유 프린터에 사용되는 것으로 컴퓨터 이름 만으로 접속 시도가 가능하기에 현재는 거의 사용하지 않고 있습니다. 컴퓨터 이름만으로 접속 시도가 가능하다는 것은 일반적으로 검색되는 근거리 통신에 있는 PC에 접속이 가능하다는 것으로 계정과 PW를 알아내면 접속하여 쉽게 탈취가 가능합니다. 현재는 거의 프린터 공유에만 사용되고 ..
[ISMS-P] 2.2.5 퇴직 및 직무변경 관리 : "조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무 변경 시 지체 없는 정보자산 반납, 접근권한 회수‧조정, 결과 확인 등의 절차를 수립.. [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 퇴직자 관리로 퇴직하는 경우 보안서약서 징구 및 직무 변경에 따른 권한 설정입니다. 2.2.5 퇴직 및 직무 변경 관리 퇴직 및 직무 변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산 반납, 계정 및 접근권한 회수·조정, 결과 확인 등의 절차를 수립·관리하여야 한다. 상세점검항목 퇴직, 직무 변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리 시스템 운영부서 간에 공유되고 있는가? 조직 내 인력(임직원, 임시직원, 외주용역직원 등)..
[ISMS-P] 2.2.5 퇴직 및 직무변경 관리 : "퇴직, 직무 변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리 시스템 운영부서 .. [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 퇴직자 관리로 퇴직하는 경우 보안서약서 징구 및 직무 변경에 따른 권한 설정입니다. 2.2.5 퇴직 및 직무 변경 관리 퇴직 및 직무 변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산 반납, 계정 및 접근권한 회수·조정, 결과 확인 등의 절차를 수립·관리하여야 한다. 상세점검항목 퇴직, 직무 변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리 시스템 운영부서 간에 공유되고 있는가? 조직 내 인력(임직원, 임시직원, 외주용역직원 등)..
[W-23/상] 2. 서비스 관리 2.17 IIS WebDAV 비활성화 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS WebDAV 비활성화"에 대해서 설명드리도록 하겠습니다. 웹을 통해 원격으로 개발하는 데 사용되는 서비스입니다. 현재는 다수의 인증 우회 취약점이 발견되어 사용하지 않아야 하기에 사용 여부를 점검합니다. 먼저 가이드를 확인해 보도록 하겠습니다. WebDAV는 웹 서비스를 통해 서버에 있는 파일을 접근하여 수정하고나 다운로드 등 개발에 필요한 다양한 기능을 제공하고 있습니다. 그러기에 다수의 개발자가 원격으로 개발을 하는 경우 사용하는 서비스인데요 하지만 해당 서비스에는 다수의 인증 우회 취약점이 발견되었으며 인증 우회의 통해 불법적인 접근이 가능하기에 사용하지 않게 하는 게 해야 합니다. 해당 서비..
[BF/상] 12. 약한 문자열 강도 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "약한 문자열 강도"에 대해서 설명드리도록 하겠습니다. 계정을 탈취하기 위해 가장 많이 사용하는 공격은 무차별 대입 공격 또는 사전 대입 공격으로 계정과 비밀번호가 맞을 때까지 계속 시도하는 것입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 계정을 탈취하기 위해서 사용하는 공격 방법으로 가장 대표적인 것은 무차별 대입 공격 그리고 사전 대입 공격이 있는데요 무차별 대입 공격을 경우 말 그래도 무차별로 임의의 값을 넣어 계정을 탈취 시도하는 것을 이야기합니다. 사전 대입 공격은 가장 많이 사용하는 패스워드 등을 먼저 시도하는 것인데요 이런 공격을 통해 계정을 탈취 시도하는 것이 약한 문자열 강도인데요 하지만 이..
[XS/상] 11. 크로스사이트 스크립팅 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "크로스 사이트 스크립팅"에 대해서 설명드리도록 하겠습니다. 가장 많이 발생되고 가장 많은 유형의 공격이 존재하며 가장 다양한 파급력을 가지고 있는 취약점으로 웹에서 입력한 값이 스크립트 언어로 입력되어 실행되는 취약점을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. XSS라고도 이야기하는 취약점으로 사용자가 입력한 값이 스크립트 언어로 인식되어 실행되는 것으로 스크립트 언어는 웹을 개발하는 언어이기에 다양한 공격이 가능하게 됩니다. 가장 대표적인 것으로 세션을 탈취하거나 아니면 악의적인 사이트로 접속하게 하거나 하는데요 간혹 인터넷을 통해 커뮤니티나 규모가 크지 않은 사이트에 접속하는 경우 이상한 사..
[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "교육 시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..
[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..
[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..
[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시.. [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..
[ISMS-P] 2.2.4 인식제고 및 교육훈련 : "정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 네 번째 항목인 인식 제고 및 교육훈련에 대해서 알아보도록 하겠습니다. 정보보호 인식 제고 및 교육을 위한 항목으로 일정 시간 이상 보안교육을 이수하여야 하여야 합니다. 이러한 의무 교육 이수 여부를 확인하는 항목입니다. 2.2.4 인식 제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의..
[W-22/상] 2. 서비스 관리 2.16 IIS Exec 명령어 쉘 호출 진단 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS Exec 명령어 쉘 호출 진단"에 대해서 설명드리도록 하겠습니다. # exec 명령을 통해서 서버에 명령어를 실행시켜 파일을 실행하거나 악의적인 행동을 하는 것을 차단하고자 사용하지 못하게 하는 것인데요 하지만 해당 명령어는 IIS 5.0 이하에서만 가능한 것으로 현시점에서는 진단하는 경우가 없는 취약점 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS 5.0 이하에서만 발생하는 취약점으로 현시점에서는 해당 점검항목을 점검할 일은 없긴 합니다. 하지만 해당 점검항목이 있는 이유는 왜 진단해야 하는지 알고 있어야 할거 같네요 #exec 명령어가 가능한 경우 웹 환경에서 해당 명령어를 통해서..
[W-21/상] 2. 서비스 관리 2.15 IIS 미사용 스크립트 매핑 제거 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 미사용 스크립트 매핑 제거"에 대해서 설명드리도록 하겠습니다. 파일이 실행되는 과정은 먼저 확장자를 보고 해당 파일이 실행될 수 있는 프로그램을 실행 후 해당 프로그램에서 파일을 불러오게 되어 있습니다. 그렇기에 확장자와 프로그램을 매핑을 시켜 관리하는데요 해당 점검 항목은 불필요한 확장자를 가지고 있는 파일에 대하여 실행을 방지하기 위하여 매핑을 제거하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 파일이 실행되는 과정은 확장을 확인하고 해당 확장에 매핑되어 있는 프로그램을 찾아 실행하는 돼요 하지만 프로그램을 찾을 때 해당 프로그램이 없는 경우에 흔히 볼 수 있는 연결 프로그램 창이 나..
[W-20/상] 2. 서비스 관리 2.14 IIS 데이터 파일 ACL 적용 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 데이터 파일 ACL 적용"에 대해서 설명드리도록 하겠습니다. 웹 서비스 운영 중에 웹에서 접근하여 사용하는 파일과 그렇지 않은 파일이 존재합니다. 화면을 구성하는 파일을 경우는 당연히 웹에서 읽어서 사용하여야 하나 서버에서 처리하는 경우에는 웹에서 읽거나 사용할 필요가 없는데요 이러한 파일에 접근제어(ACL)를 적용 여부를 확인하는 점검항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 데이터 파일에 대한 ACL 적용 여부 점검항목으로 데이터 파일이란 결국 웹 서비스 운영 시에 화면을 표현하는 파일이 아니 내부에서 처리하는 파일을 이야기합니다. 데이터 파일뿐만 아니라 보안에서 추구하는 최소한을 권..
[ISMS-P] 2.2.3 보안 서약 : "정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요시 쉽게 찾아볼 수 있도록 관리하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..
[ISMS-P] 2.2.3 보안 서약 : "임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..
[ISMS-P] 2.2.3 보안 서약 : "임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 .. [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..
[ISMS-P] 2.2.3 보안 서약 : "신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 세 번째 항목인 보안 서약에 대해서 알아보도록 하겠습니다. 회사에 입사하는 경우 해당 인력에 대하여 보안서약서를 작성하여 책임을 부여하도록 하는 점검 항목입니다. 2.2.3 보안설정 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 상세점검항목 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가? 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 ..
[W-19/상] 2. 서비스 관리 2.13 IIS 가상 디렉토리 삭제 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 가상 디렉토리 삭제"에 대해서 설명드리도록 하겠습니다. NT와 2000에서 사용했는 가상 디렉토리는 2003 이상부터는 사용하지 않는 것으로 취약점이 발견되어 사용하지 않고 있습니다. 혹시 NT나 2000을 사용하는 경우 점검 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 점검할 일이 없는 점검 항목입니다. 일단 NT나 2000을 사용하는 것을 볼 수가 없습니다. 보안 패치가 진행되지 않으며, 서비스가 중지되어 있는 버전이기에 사용하는 거 자체가 취약입니다. 그렇기에 해당 점검 항목은 진단하는 경우는 없을 거 같긴 합니다. 해당 점검항목은 가상 디렉터리를 이용하여 IIS를 운영하는 것으로 해..
[W-18/상] 2. 서비스 관리 2.12 IIS DB 연결 취약점 점검 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS DB 연결 취약점 점검"에 대해서 설명드리도록 하겠습니다. 웹 서비스 운영시 다양한 데이터를 DB에 저장하게 사용합니다. 그렇기에 IIS와 DB를 연결하여 자료를 전달받고 전달해야 하는데요 이때 연결 시 사용하는 정보가 들어 있는 파일 관리에 대한 점검 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 웹 서비스를 운영하는 데 사용되는 데이터를 보관하는 DB는 IIS서비스와 연결되어 있어야 하는데요 DB와 연결하는 경우 인증이 필요하고 인증에 사용되는 정보를 파일 형태로 관리하고 있습니다. 그렇기에 해당 파일을 관리하는 것이 해당 점검 항목입니다. 해당 파일이 탈취되거나 하는 경우 DB에 연결되..
[W-17/상] 2. 서비스 관리 2.11 IIS 파일 업로드 및 다운로드 제한 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 파일 업로드 및 다운로드 제한"에 대해서 설명드리도록 하겠습니다. 웹 서비스에서 파일을 업로드하거나 다운로드하는 경우가 다수 존재할 수밖에 없는데요 이런 업로드나 다운로드의 경우 용량에 대한 제한이 없는 경우 너무 큰 파일을 업로드하거나 너무 큰 파일은 다운로드 함으로써 장애가 발생할 수 있기에 용량에 대하여 제한하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 업로드 취약점과 다운로드 취약점은 웹 취약점 진단에서는 가장 위험도가 높은 취약점 중 하나입니다. 하지만 서버 진단에서 확인하는 것은 업로드와 다운로드에 대한 차단이 아니라 업로드와 다운로드 시 용량 관리에 대한 점검항목이라 조금 ..
[W-16/상] 2. 서비스 관리 2.10 IIS 링크 사용금지 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 링크 사용금지"에 대해서 설명드리도록 하겠습니다. IIS 링크를 사용하는 경우 서버에 존재하는 파일을 바로가기와 동일한 기능으로 링크를 사용할 수 있기에 해당 기능을 사용하지 못하게 하는 항목 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS링크 사용이 가능한 경우 바로가기와 똑같은 기능이기에 서버에 존재하는 파일을 링크하여 실행할 수 있게 됩니다. 그렇게 되는 경우 웹 서비스를 통하여 서버에 실행파일을 실행시키으로써 악의적인 프로그램을 실행할 수 있습니다. 웹 서비스를 통해 서버에 존재하는 파일을 실행하는 권한이 부여받는 경우에는 악의적인 프로그램뿐만 아니라 Windows 기본 프로그램..
[W-15/상] 2. 서비스 관리 2.9 웹 프로세스 권한 제한 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "웹 프로세스 권한 제한"에 대해서 설명드리도록 하겠습니다. 웹 서비스에 발생된 취약점을 이용하여 서버에 대한 공격 시도 시 권한이 낮은 경우 추가적이 공격이 어려울 수 있기에 해당 권한을 최소한으로 제한하는 항목을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 웹 서비스에 발견된 취약점을 이용하여 추가적으로 서버에 대한 공격이 발생할 수 있습니다. 이렇게 웹 취약점을 통해 서버에 대한 공격을 하는 경우 권한이 많지 않은 경우 추가적으로 권한을 상승시키기 위한 악의적인 행동이 필요합니다. 하지만 웹 서비스를 운영하는 계정의 권한이 높은 경우에는 권한을 상승시킬 필요가 없기에 바로 내부 서버에 대한 ..
[W-14/상] 2. 서비스 관리 2.8 IIS 불필요한 파일 제거 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 불필요한 파일 제거"에 대해서 설명드리도록 하겠습니다. IIS는 현재 Windows 설치 시 기본적으로 설치가 되기에 사용 설명서나 도움말은 Windows 도움말에 같이 존재합니다. 또한 기본 페이지도 별도로 존재하지 않는데요 하지만 오래된 Windows버전의 경우 기본으로 설치되어 있지 않기에 별도 설치기 필요하고 별도 설치 시 설치되는 불필요 파일을 제거하는 것을 이야기하는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS에서 불필요 파일이라고 하면 기본 샘플 파일이나 도움말 파일 정도가 될 거 같습니다. 프로그램을 설치하는 경우에 대부분의 사용설명서나 도움말 또는 샘플 파일을 제공하..
[W-13/상] 2. 서비스 관리 2.7 IIS 상위 디렉토리 접근 금지 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 상위 디렉토리 접근 금지"에 대해서 설명드리도록 하겠습니다. 웹 서비스에서 사용하는 폴더뿐만 아니라 Windows에서 관리하는 상위 폴더에 대하여 접근하지 못하도록 하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. "../"는 일반적으로 상위 폴더 접근에 사용하는 문자열입니다. 이러한 문자열을 이용하여 웹 서비스에서 관리하는 폴더뿐만 아니라 그 상위 폴더인 Windows에서 관리하는 설정 파일이나 인증에 관련된 파일 등에 대하여 접근을 할 수 없게 제한하여야 하는데요 이러한 제한 설정을 점검하는 것이 "IIS 상위 디렉터리 접근 금지"입니다. "../"등을 이용하여 웹 서비스를 통..
[W-12/상] 2. 서비스 관리 2.6 IIS CGI 실행 제한 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS CGI 실행 제한"에 대해서 설명드리도록 하겠습니다. 웹서비스를 통해 서버에서 스크립트 파일을 실행하는 경우 악의적인 스크립트를 통해 서비스 장애를 발생시킬 수 있기에 사용하지 못하게 하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. CGI는 웹서비스를 통해서 서버에 있는 스크립트를 실행시킬 수 있는 설정으로 악의적은 사용자가 업로드 취약점을 통해 악의적인 스크립트를 업로드하여 해당 스크립트를 실행하는 경우 서버의 장애 또는 침해 사고가 발생할 수 있기에 사용하지 않는 것을 권고하고 있습니다. 웹 서비스를 통하여 서버에 직접적으로 실행 등 명령을 내릴 수 있는 것 자체가 문제가 될..
[ISMS-P] 2.2.2 직무 분리 : "직무분리가 어려운 경우 직무자 간 상호 검토, 상위 관리자 정기 모니터링 및 변경사항 승인, 책임 추적성 확보 방안 등의 보완 통제를 마련하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 두 번째 항목인 직무 분리에 대해서 알아보도록 하겠습니다. 보안은 감사 성격이 있는 직무입니다. 그렇기에 잘 운영하는지 보안적인 부분을 잘 지키고 있는지 확인하여야 하기에 직무를 분리하여야 합니다. 2.2.2 직무 분리 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. 상세점검항목 권한 오‧남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가? 직무분리가 어려운 경우 직무자 간 상호 검토, 상위 관리자 정기 모니터링 및 변경사항..
[ISMS-P] 2.2.2 직무 분리 : "권한 오‧남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 두 번째 항목인 직무 분리에 대해서 알아보도록 하겠습니다. 보안은 감사 성격이 있는 직무입니다. 그렇기에 잘 운영하는지 보안적인 부분을 잘 지키고 있는지 확인하여야 하기에 직무를 분리하여야 합니다. 2.2.2 직무 분리 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. 상세점검항목 권한 오‧남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가? 직무분리가 어려운 경우 직무자 간 상호 검토, 상위 관리자 정기 모니터링 및 변경사항..
[W-11/상] 2. 서비스 관리 2.5 디렉토리 리스팅 제거 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "디렉터리 리스팅 제거"에 대해서 설명드리도록 하겠습니다. Windows에서 웹 서비스를 운영하는 경우에 웹에서 발생할 수 있는 디렉터리 리스팅 취약점을 사전에 차단하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 디렉터리 리스팅 취약점은 웹에서 서버에 존재하는 디렉토리가 노출되는 취약점으로 웹서비스와 상관없는 디렉토리까지 접속이 가능하며, 또한 불필요한 내용까지 노출되는 취약점으로 해당 취약점이 발견 시 서버의 종류와 형태 그리고 취약한 부분까지 정보가 모두 노출될 수 있는 취약점입니다. 이러한 취약점을 사전에 차단하고자 IIS서비스 디렉토리 리스팅 제거하여 서비스를 운영하는 것을 점검합..
[W-10/상] 2. 서비스 관리 2.4 IIS 서비스 구동 점검 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "IIS 서비스 구동 점검"에 대해서 설명드리도록 하겠습니다. UNIX에서 점검하는 웹 서비스 점검과 비슷한 항목으로 Windows에서 기본으로 제공하는 웹서비스를 사용 여부를 점검하는 항목을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. IIS는 Windows에서 제공하는 웹 서비스로 웹 서비스를 제공하지 않는 서버의 경우 사용하지 않는 것으로 불필요한 서비스 제공 시 문제가 될 수 있습니다. 웹 서비스는 사실 서비스 자체가 취약점 한 서비스입니다. 그렇기에 웹서비스를 제공하는 경우 다양한 보안장비를 이용하여 보호하고 있죠 그렇기에 웹 서비스를 꼭 필요한 경우가 아니라면 사용하지 않는 것이 좋습니..
[W-09/상] 2. 서비스 관리 2.3 불필요한 서비스 제거 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "불필요한 서비스 제거"에 대해서 설명드리도록 하겠습니다. Windows설치 시 기본값을 설치되는 각종 서비스 등에 대하여 불필요시 서비스를 제거하는 것으로 취약한 서비스 실행 및 과도하게 리소스를 이용하는 서비스에 대한 점검을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 불필요한 서비스란 사용하지 않는 서비스나 Windows 설치 시 기본적으로 설치되어 운영되는 서비스 등을 이야기합니다. 해당 항목에서 중요한 부분은 불필요한 서비스 판단 여부입니다. 가이드에서 기본적으로 불필요 서비스라고 명시되어 있는 부분이 있는데요 하지만 해당 서비스가 모두 불필요한 서비스가 아닐 수도 있기에 확인이 필요합니..
[W-08/상] 2. 서비스 관리 2.2 하드디스크 기본 공유 제거 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "하드디스크 기본 공유 제거"에 대해서 설명드리도록 하겠습니다. 공유폴더 사용 시 기본 공유가 지정되어 있는 C$, D$ 등 숨겨져 있는 공유폴더는 제거하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 공유폴더 사용기 기본으로 공유되는 폴더가 있습니다. 물론 해당 폴더는 숨겨져 있는 폴더로 일반적으로 노출되지는 않지만 분명 공유되어 있는 폴더이기에 제거하는 게 맞는데요 이런 부분을 점검하는 것이 이번 점검 항목입니다. 기본적으로 설정되어 있는 폴더는 C$, D$, E$ 등 하드웨어가 기본으로 설정되어 있기에 해당 하드디스크에 대한 기본 공유를 제거해야 하는데요 하드웨어라 하지만 결국 폴더라고..
[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : "업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립‧이행하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..
[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..
[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..
[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 인적 보안의 첫 번째 항목인 직무자 지정 및 관리에 대해서 알아보도록 하겠습니다. 개인정보나 주요 시스템을 관리하고 접속하는 직원들에 대하여 주요 직무자로 지정하여 관리하는 항목입니다. 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 상세점검항목 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? 업무상 개인정보..
[CS/상] 10. 악성 콘텐츠 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "악성 콘텐츠"에 대해서 설명드리도록 하겠습니다. 악의적인 콘테츠 삽입하거나 실행하는 하는 것으로 사실 단독으로 취약점이 발견되는 경우는 없습니다. 크로스 사이트 스크립트 취약점이 발견되는 경우에 해당 취약적을 이용하여 악성 콘텐츠를 삽입하게 되는데요 먼저 가이드를 확인해 보도록 하겠습니다. 일단 단독으로 발견되는 취약점은 아닙니다. 그렇기에 악성 콘테츠라는 취약점을 잡는 경우도 거의 없다고 보면 될 거 같습니다. 이유는 해당 취약점이 발견되기 위해서는 악의적은 콘테츠를 삽입을 하여야 하는데 삽입하는 방법이 정상적은 삽입이 어렵습니다. 그렇기에 크로스 사이트 스크립트라는 취약점을 이용하여 삽입하게 되는데요 그렇..
[ISMS-P] 2.1.3 정보자산 관리 : 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 세 번째 항목인 정보자산 관리에 대해서 알아보도록 하겠습니다. 보호해야 하는 자산에 대한 정보가 정의되어 있고 관리하고 있는지 확인하는 항목입니다. 2.1.2 조직의 유지관리 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다. 상세점검항목 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가? 두 번째 항목인 "식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?"에 대하여 알아보도록 ..
[ISMS-P] 2.1.3 정보자산 관리 : 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 세 번째 항목인 정보자산 관리에 대해서 알아보도록 하겠습니다. 보호해야 하는 자산에 대한 정보가 정의되어 있고 관리하고 있는지 확인하는 항목입니다. 2.1.2 조직의 유지관리 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다. 상세점검항목 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가? 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가? 첫 번째 항목인 "정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 ..
[W-07/상] 2. 서비스 관리 2.1 공유 권한 및 사용자 그룹 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "공유 권한 및 사용자 그룹 설정"에 대해서 설명드리도록 하겠습니다. 공유폴더에 관련된 내용으로 기본적으로 공유되어 있는 폴더를 제외한 폴더가 존재하거나 또는 아무나 접속할 수 있게 되어 있는 확인하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 공유폴더관리에 대한 점검항목으로 Windows에서 사용하는 공유폴더 관리 부분으로 기본적으로 공유되어 있는 기본 공유폴더를 제외한 별도의 공유폴더가 존재하거나 아무나 접근할 수 있는 Everyoune 그룹에 공유되어 있는지 확인하는 것으로 공유 폴더 관련된 부분은 랜섬웨어가 처음 유포되었을 때 공유폴더 취약점을 이용하여 회사 전체에 유포되었는데요 해..
[ISMS-P] 2.1.2 조직의 유지관리 : 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립‧이행하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 두 번째 항목인 조직의 유지관리에 대해서 알아보도록 하겠습니다. 조직을 구성하고 해당 조직을 관리하는 항목입니다. 2.1.2 조직의 유지관리 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원..
[ISMS-P] 2.1.2 조직의 유지관리 : "정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 두 번째 항목인 조직의 유지관리에 대해서 알아보도록 하겠습니다. 조직을 구성하고 해당 조직을 관리하는 항목입니다. 2.1.2 조직의 유지관리 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원..
[ISMS-P] 2.1.2 조직의 유지관리 : "정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 두 번째 항목인 조직의 유지관리에 대해서 알아보도록 하겠습니다. 조직을 구성하고 해당 조직을 관리하는 항목입니다. 2.1.2 조직의 유지관리 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원..
[W-57/중] 1. 계정관리 1.18 원격터미널 접속 가능한 사용자 그룹 제한 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "원격 터미널 접속 가능한 사용자 그룹 제한"에 대해서 설명드리도록 하겠습니다. 원격 터미널 접속은 원격 접속이랑 동일한 이야기입니다. Windows에서는 원격 접속 기능이 기본적으로 탑재되어 있는데요 해당 기능을 사용하여 접속할 수 있는 그룹을 제한하여 관리하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Windows는 기본적으로 원 격적 속 프로그램이 탑재되어 있습니다. 그렇기에 원격 접속을 하기에 별도의 프로그램을 설치하는 거 설정할 필요가 없는데요 이처럼 기본적으로 설치되어 있는 원격 접속 프로그램이 있기에 많이 사용하게 됩니다. 서버를 관리하게 되는 경우는 원격 접속을 하지 않을 ..
[W-56/중] 1. 계정관리 1.17 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한"에 대해서 설명드리도록 하겠습니다. 계정의 생성하여 콘솔에서 로그인하는 경우에 암호가 없이 로그인하는 것을 방지하는 것으로 결국 암호가 없는 계정을 생성하지 못하게 하는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 콘솔에서는 로그인하는 계정의 경우에 빈 암호를 사용하지 못하게 하는 것으로 결국 계정을 생성하는 경우에 빈 암호로 계정을 생성하지 못하게 하는 설정입니다. 콘솔에 로그인하는 경우는 서비스 계정인 아닌 관리자 계정인 경우가 다수입니다. 서비스 계정을 경우에는 로그인 자체를 못하게 막혀 있기에 콘솔에서 로그인하는 경우는 서비스를 관리..
[W-55/중] 1. 계정관리 1.16 최근 암호 기억 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "최근 암호 기억"에 대해서 설명드리도록 하겠습니다. 계정 보호에 관련된 점검 항목입니다. 앞서 패스워드 설정 시 복잡도나 최소 사용시간 그리고 최대 사용시간, 계정 잠금까지 했는데요 이번 항목은 패스워드 변경 시 기존의 패스워드 사용하지 못하게 하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 최근 암호 기억은 패스워드 변경 시 기존의 패스워드로 다시 원복 하지 못하게 하는 것을 이야기하는데요 웹에서도 기존의 사용했던 패스워드 입니다라고 문구가 나오면서 다른 패스워드 설정하게 하는 것과 동일합니다. 가이드에서 권고하는 패스워드 기억은 4개로 90일마다 패스워드를 변경하게 설정하였기에 1년..
[W-54/중] 1. 계정관리 1.15 익명 SID/이름 변환 허용 해제 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "익명 SID/이름 변환 허용 해제"에 대해서 설명드리도록 하겠습니다. Windows에서도 UNIX에서 이야기하는 SID라는 게 존재하는데 물론 보편적으로 유출되어 있지 않습니다. 하지만 기본 계정을 경우 SID가 노출되어 있는데요 그중 가장 중요한 계정인 Administrator을 경우는 쉽게 SID 찾기가 쉽습니다. 이렇게 쉽게 노출된 SID를 이용하여 로그인되지 않게 하는 걸 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Windows에서도 UNIX에서 비슷하게 SID라는 것이 존재합니다. 사실 Windows에서 SID가 쉽게 노출되지는 않습니다. 하지만 기본 계정을 경우에는 인터넷에서 쉽게 ..
[W-53/중] 1. 계정관리 1.14 로컬 로그온 허용 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "로컬 로그온 허용"에 대해서 설명드리도록 하겠습니다. 로컬 로그인은 ID와 PW를 입력하여 원격 또는 서버에 직접 접속하는 것을 이야기하는데요 계정 중에는 로그인이 필요 없는 서비스 계정이 존재하기에 해당 점검항목은 그러한 계정에 대하여 로그온을 허용하지 않는 것을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 로컬 로그온은 원격 또는 서버에 직접 로그인하는 것을 이야기하는데요 계정 중에는 서비스 운영에만 필요한 계정이 존재합니다. 그렇기에 그러한 계정은 로그온이 필요 없는 계정입니다. 해당 서비스의 설정은 꼭 해당 계정을 로그인하여 설정할 필요가 없기에 로그인이 필요 없습니다. 가장 대표적인 계..
[W-52/중] 1. 계정관리 1.13 마지막 사용자 이름 표시 안 함 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "마지막 사용자 이름 표시 안 함"에 대해서 설명드리도록 하겠습니다. Windows에서는 GUI방식이이기에 로그 아웃을 하고 로그인하는 경우 웹에서 로그인하는 것처럼 ID와 PW입력창이 나오는데 해당 항목은 그 화면에서 기존의 사용자의 아이디가 먼저 입력되어 있지 않게 하는 것을 말합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Windows에서는 로그인하는 과정에서 웹처럼 ID와 PW를 입력하여 로그인하게 되어 있습니다. 마지막 사용자 이름 표시 안 함은 Windows에서 로그아웃을 하고 로그인 창이 나오는 경우 기존의 사용자의 ID가 그대로 입력되어 있는 경우가 있는데 이렇게 기존의 사용자의 ID가 남..
[W-51/중] 1. 계정관리 1.12 패스워드 최소 사용 기간 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 최소 사용 기간"에 대해서 설명드리도록 하겠습니다. 패스워드를 변경했을 때 최소로 사용하는 것을 이야기하는 것으로 기존 패스워드로 다시 변경하는 등의 행위를 방지하기 위해서입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드 최소 사용 기간 설정은 패스워드를 변경하고 최소 사용 기간을 채우지 않는 경우 패스워드를 변경하지 못하게 하는 설정입니다. 패스워드를 변경하고 최소 하루 정도는 사용하여야만 다른 패스워드로 변경하게 하는 것으로 사실 사람의 심리를 이용한 것도 일부분 있습니다. 패스워드를 변경하고 바로 또 기존 패스워드로 원복 하는 경우가 있을 수 있기에 해당 설정으로 통해 패스워드를 변..
[W-50/중] 1. 계정관리 1.11 패스워드 최대 사용 기간 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 최소 암호 길이"에 대해서 설명드리도록 하겠습니다. 패스워드 생성 시 복잡하게 설정하여도 길이가 충분하지 않은 경우에는 무차별 대입 공격이나 사전 대입 공격에 취약할 수 있습니다. 그렇기에 강제로 패스워드 길이을 제한하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드 최대 사용기간은 패스워드를 사용할 수 있는 기간을 이야기하는데요 결국 패스워드를 변경하고 90일 동안 사용하면 변경해야 한다는 것입니다. 90일이라는 날짜는 다양한 이유가 있으나, 해쉬된 패스워드 값이 노출되는 경우 레인보우 테이블을 생성하는 데 걸리는 시간인 약 90일 정도이기에 해쉬값이 노출돼도 레인보우 ..
[W-49/중] 1. 계정관리 1.10 패스워드 최소 암호 길이 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 최소 암호 길이"에 대해서 설명드리도록 하겠습니다. 패스워드 생성 시 복잡하게 설정하여도 길이가 충분하지 않은 경우에는 무차별 대입 공격이나 사전 대입 공격에 취약할 수 있습니다. 그렇기에 강제로 패스워드 길이을 제한하는 설정을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드는 안전하게 관리하여야 하며, 쉽에 유추할 수 없게 설정하여야 합니다. 그렇기에 앞서 패스워드 복잡도 설정을 강제하게 하였는데요 해당 항목은 패스워드의 최소 길이를 설정하는 것으로 최소 길이을 충족시키지 못하는 경우는 패스워드를 사용하지 못하도록 하는 것을 강제하는 것입니다. 최소 길이 설정값은 8로 설정하게 ..
[W-48/중] 1. 계정관리 1.9 패스워드 복잡성 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "패스워드 복잡성 설정"에 대해서 설명드리도록 하겠습니다. 인증에 사용되는 패스워드는 탈취하기 위해 여러 가지 방법을 사용하는데요 그중 무차별 대입 공격이나 사전 대입 공격의 경우 패스워드 설정 시 특수문자나 숫자, 문자 등 복잡하게 설정하지 않으면 공격에 쉽게 탈취당할 수 있습니다. 그렇기에 패스워드 생성 시 특수문자, 숫자, 문자 등 포함하여 생성하여야 하기에 설정을 확인합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 패스워드는 인증에 사용되는 중요한 정보입니다. 아이디도 함께 사용되지만 아이디는 사실 노출되는 곳이 많이 있기에 보호하기가 쉽지 않죠 하지만 패스워드의 경우는 노출되는 것 자체가 문제가 ..
[ISMS-P] 2.1.1 정책의 유지관리 : "정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 내역에 대하여 이력 관리를 하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..
[ISMS-P] 2.1.1 정책의 유지관리 : "정보보호 및 개인정보보호 관련 정책 및 시행문서의 제‧개정 시 이해 관계자의 검토를 받고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..
[ISMS-P] 2.1.1 정책의 유지관리 : "조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제‧개정하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..
[ISMS-P] 2.1.1 정책의 유지관리 : "정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 정책, 조직, 자산 관리에 첫 번째 항목인 정책의 유지관리에 대해서 알아보도록 하겠습니다. 보호대책 요구사항 항목으로 정책의 잘 유지하고 있는지 하는 것입니다. 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력 관리하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립‧이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문..
[W-47/중] 1. 계정관리 1.8 계정 잠금 기간 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "계정 잠금 기간 설정"에 대해서 설명드리도록 하겠습니다. 정보보안에서 계정을 보호하는 것은 필수입니다. 그런 계정을 공격하는 방법 중 무차별 대입 공격 같은 지속적으로 계정을 탈취하기 위해 공격하는 것이 있는데요 그것을 방어하기 위하 설정인 계정 잠금 기간 설정입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 계정 잠금 기간 설정입니다. 앞서 이야기드린 것처럼 계정을 보호하기 위한 설정으로 계정 탈취를 목적으로 사용하는 공격 방법 중 무차별 대입 공격을 방어하는 위한 수단 중 하나입니다. 일단 무차별 대입 공격은 패스워드를 무차별 적으로 입력하여 패스워드를 유추하는 것으로 지속적으로 패스워드를 입력하게 됩..
[ISMS-P] 1.4.3 관리체계 개선 : "재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 세 번째 항목인 관리체계 개선에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.3 관리체계 개선 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가? 재발방지 및 개선 결과의 정확성 및 효과성 여부..
[ISMS-P] 1.4.3 관리체계 개선 : "법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 세 번째 항목인 관리체계 개선에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.3 관리체계 개선 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 법적 요구사항 준수 검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가? 재발방지 및 개선 결과의 정확성 및 효과성 여부..
[ISMS-P] 1.4.2 관리체계 점검 : 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 두 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.2 관리체계 점검 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 상세점검항목 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는..
[ISMS-P] 1.4.2 관리체계 점검 : "법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 .. [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 두 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 정보보호관리체계를 점검하는 것으로 관리체계를 잘 관리하고 있는가를 확인하는 것입니다. 1.4.2 관리체계 점검 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 상세점검항목 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는..
[ISMS-P] 1.4.1 법적 요구사항 준수 검토 : "법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 첫 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 개인정보보호법이나 정보통신망법은 보안에서 꼭 지쳐야 하는 법으로 법적 요구사항을 지키고 있는지 확인하는 항목입니다. 1.4.1 법적 요구사항 준수 검토 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 상세점검항목 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가? 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하고 있는가? 두 번째 항목인 "법적 요구사..
[ISMS-P] 1.4.1 법적 요구사항 준수 검토 : "조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 점검 및 개선에 첫 번째 항목인 법적 요구사항 준수 검토에 대해서 알아보도록 하겠습니다. 개인정보보호법이나 정보통신망법은 보안에서 꼭 지쳐야 하는 법으로 법적 요구사항을 지키고 있는지 확인하는 항목입니다. 1.4.1 법적 요구사항 준수 검토 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 상세점검항목 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가? 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하고 있는가? 첫 번째 항목인 "조직이 준수..
[W-46/중] 1. 계정관리 1.7 Everyone 사용 권한을 익명 사용자에 적용 해제 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "Everyone 사용 권한을 익명 사용자에 적용 해제"에 대해서 설명드리도록 하겠습니다. 익명의 사용자가 기본 값으로 Everyone사용 권한을 받는 경우에는 해당 권한을 가지고 DoS 공격 등 할 수 있기에 권한을 회수해야 합니다. 먼저 가이드를 확인해 보도록 하겠습니다. Everyone 사용 권한을 익명 사용자에게 부여하는 경우에는 Everyone 권한이 부여되어 있는 파일이나 실행 권한을 가지고 리소스에 접근하여 DoS 공격에 사용될 수 있기에 권한을 회수해야 하는데요 사실 윈도우 서버에서는 다수의 사용자를 기반하여 개발되었지만 실제로는 그런 경우가 많지 않기에 해당 옵션이 오픈되어 있다고 하더라도 ..
[IL/상] 9. 정보 노출 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "정보 노출"에 대해서 설명드리도록 하겠습니다. 웹 서비스를 이용하는데 불필요한 정보가 사용자에게 노출되는 경우 취약이라고 봐야 하는데요 다양한 정보 노출이 발생하기에 노출된 정보가 정보 노출 여부 확인이 가장 어려울 수 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다. 정보 노출 취약점은 정말 다양한 정보가 다양한 곳에서 노출될 수 있기에 해당 정보가 취약점인지 인지하는 거 자체부터가 어려울 수 있습니다. 먼저 가장 기본이 되는 것은 사용자가 서비스를 사용하는데 불필요한 정보가 노출되는 경우에는 모두 취약점이라고 봐야 하는데요 가장 대표적인 것은 오류 페이지입니다. 일단 403, 404 오류 페이지의 경우 ..
[ISMS-P] 1.3.3 운영현황 관리 : "경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 세 번째 항목인 운영현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 운영 체제 관리 항목이라고 생각하면 됩니다. 1.3.3 운영현황 관리 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영 활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리하여야 한다. 상세점검항목 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가? 경영진은 주기적으로 관리체계 운영 활동의 효과성을 확인하고 이를 관리하고 있는가? 두 번째 항목인 "경영진은 주기적..
[ISMS-P] 1.3.3 운영현황 관리 : "관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가? [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 세 번째 항목인 운영현황 관리에 대해서 알아보도록 하겠습니다. 정보보호 운영 체제 관리 항목이라고 생각하면 됩니다. 1.3.3 운영현황 관리 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영 활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리하여야 한다. 상세점검항목 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가? 경영진은 주기적으로 관리체계 운영 활동의 효과성을 확인하고 이를 관리하고 있는가? 첫 번째 항목인 "관리체계 운영을..
[ISMS-P] 1.3.2 보호대책 공유 : "구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 두 번째 항목인 보호대책 공유에 대해서 알아보도록 하겠습니다. 보호대책을 선정하고 구현한 내용을 전체 임직원이 공유할 수 있도록 하는 것입니다. 1.3.2 보호대책 공유 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. 상세점검항목 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가? 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가? 두 번째 항목인 "구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?..
[ISMS-P] 1.3.2 보호대책 공유 : "구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 두 번째 항목인 보호대책 공유에 대해서 알아보도록 하겠습니다. 보호대책을 선정하고 구현한 내용을 전체 임직원이 공유할 수 있도록 하는 것입니다. 1.3.2 보호대책 공유 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. 상세점검항목 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가? 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가? 첫 번째 항목인 "구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?"에 대하여 알아..
[W-06/상] 1. 계정관리 1.6 관리자 그룹에 최소한의 사용자 포함 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "관리자 그룹에 최소한의 사용자 포함"에 대해서 설명드리도록 하겠습니다. Windows에도 UNIX처럼 그룹이 존재합니다. 물론 잘 사용하지는 않지만 존재하기에 관리자 그룹은 관리가 필요합니다. 먼저 가이드를 확인해 보도록 하겠습니다. UNIX에서는 그룹을 이용하여 권한을 관리한다고 말씀드렸는데요 하지만 Windows에서 사실 그룹을 이용하여 권한을 관리하는 경우는 거의 없습니다. 또한 Windows에서는 다중 사용자의 지원 하지만 가능하면 독립적인 공간을 지원하기에 그룹을 이용한 권한 분리는 별도로 하지는 않습니다. 그렇지만 관리자 그룹의 경우는 UNIX와 동일하게 그룹을 통해 권한을 부여할 수 있기에 관..
[ISMS-P] 1.3.1 보호대책 구현 : "관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 첫 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 이미 선정한 보호대책을 실행하는 항목입니다. 1.3.1 보호대책 구현 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가? 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영 명세서를 구체적으로 작성하고 있는가? 두 번째 항목인 "관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하..
[ISMS-P] 1.3.1 보호대책 구현 : "이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 관리체계 운영에 첫 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 이미 선정한 보호대책을 실행하는 항목입니다. 1.3.1 보호대책 구현 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 상세점검항목 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가? 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영 명세서를 구체적으로 작성하고 있는가? 첫 번째 항목인 "이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이..
[DI/상] 8.디렉터리 인덱싱 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "디렉터리 인덱싱"에 대해서 설명드리도록 하겠습니다. 서버에서 설정을 잘못하는 경우 발생할 수 있는 취약점입니다. 말 그래도 서버에 있는 디렉터리가 노출되는 취약점인데요 먼저 가이드를 확인해 보도록 하겠습니다. 서버 취약점 진단 항목에서 점검을 하여 설정하는 경우 발생하지 않는 취약점입니다. 사실 거의 발생할 가능성이 없는데요 일단 최근 웹은 기본값이 디렉터리 인덱싱을 차단하게 되어 있기에 강제로 변경하지 않는다면 해당 취약점이 발견될 수가 없습니다. 또한 디렉터리 인덱싱을 할 수 있도록 설정할 이유가 없습니다. 서버에 있는 디렉터리는 보고 싶다고 하면 개발하면 되기에 해당 설정을 오픈하여 사용하지 않죠 해당 ..
[XI/상] 7.XPath 인젝션 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "XPath 인젝션"에 대해서 설명드리도록 하겠습니다. XPath 인젝션은 XML를 사용하는 경우 발생할 수 있는 취약점으로 현재도 XML이 없는 홈페이지는 사실 존재하지는 않습니다. 먼저 가이드를 확인해 보도록 하겠습니다. XML이 없는 홈페이지는 사실 존재하지는 않습니다. 거의 모든 홈페이지는 XML로 구성되어 있는 문서는 존재하는데요 일단 홈페이지의 레이아웃 설정하는데 많이 사용됩니다. 그렇기에 XML로 구성되어 있는 문서를 직접 접하는 경우는 거의 없는데요 앞단에서 돌아가는 언어가 아니고 사실 뒷단에서 돌아가는 언어이기에 직접 접하는 경우는 많지 않으나 오래된 홈페이지의 경우에는 XML언어로 구성되어 있..
[SS/상] 6.SSI 인젝션 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "SSI 인젝션"에 대해서 설명드리도록 하겠습니다. 인젝션 진단 항목 중 하나로 사실 취약점을 찾을 수 없는 항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 인젝션 항목 중 하나로 사실 해당 취약점을 찾는 경우는 없을 거라고 생각합니다. 일단 해당 취약점을 진단하는 방법은 다른 인젝션 취약점과 동일하고 해당 취약점이 발견되지 않는 이유는 SSI 사용하지 않기 때문이죠 사실 현재 해당 언어로 작성되어 있는 홈페이지도 존재하지 않고 해당 언어를 사용하는 경우도 없습니다. 그렇기에 해당 취약점 항목으로 찾는 경우는 없다고 보면 될 거 같습니다. 그리고 앞서 말씀드린 것처럼 해당 취약점을 진단하는 방법은 다른 인..
[W-05/상] 1. 계정관리 1.5 해독 가능한 암호화를 사용하여 암호 저장 해제 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "해독 가능한 암호화를 사용하여 암호 저장 해제"에 대해서 설명드리도록 하겠습니다. 서버의 계정에 대한 패스워드는 암호화되어 관리되어하는데요 이때 암호는 복호화되지 않는 암호를 사용하는 게 일반적입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 각 계정의 암호는 관리자도 복호화할 수 없도록 암호화하여 관리하여야 합니다. 하지만 Windows에서는 복화화 할 수 있게 저장하는 옵션이 존재하는데요 그런 이유는 Windows자체가 일단 다중 사용자의 기반으로 되어 있기에 관리자가 계정의 관리하기 위한 옵션이 존재한다고 생각하면 됩니다. 하지만 보안적이 이슈가 많이 발생함에 따라 해당 기능을 사용하는 경우 취약하다..
[W-04/상] 1. 계정관리 1.4 계정 잠금 임계값 설정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "계정 잠금 임계값 설정"에 대해서 설명드리도록 하겠습니다. 계정을 탈취하기 위한 가장 대표적인 공격은 무차별 대입 공격인 BF공격으로 해당 공격은 차단하기 위한 설정 여부를 확인하는 점검항목입니다. 먼저 가이드를 확인해 보도록 하겠습니다. 계정 정보가 노출되는 경우 해당 계정 정보를 이용한 대표적인 공격은 BF공격인 무차별 대입 공격인데요. 사실 해당 공격을 통해 로그인되는 것은 시간문제입니다. 이러한 공격을 효율적으로 차단하기 위한 방법이 바로 임계값 설정입니다. 임계값을 설정하여 패스워드가 일정 횟수 이상 틀렸을 경우에는 해당 계정에 대한 로그인을 차단하여 무차별 대입 공격에 대하여 방어하는 방법입니다..
[SI/상] 5.SQL 인젝션 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "SQL 인젝션"에 대해서 설명드리도록 하겠습니다. 전 세계에서 가장 많이 시도되고 가장 위협적인 취약점인 SQL 인젝션인데요. OWASP에서 항상 SQL 인젝션은 상위에 존재합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 웹 취약점이다 하면 가장 먼저 이야기 나오는 것이 SQL인 젠션입니다. 가장 많이 시도되고 가장 파급력이 큰 취약점 이죠 OWASP TOP10에서도 항상 상위에 존재하는 취약점입니다. 그리고 국정원 8대 취약점에서도 소스코드 진단에서도 대부분의 보안 관련 서적에서 SQL 인젝션을 다루지 않는 곳은 없고 대부분 앞부분에서 중요하게 다루고 있는 것이 바로 SQL 인젝션이죠 그 이유는 간단합니다..
[OC/상] 4.운영체제 명령 실행 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "운영체제 명령 실행"에 대해서 설명드리도록 하겠습니다. 운영체제란 경우 웹서비스가 동작하고 있는 서버의 운영체제를 이야기하는 것으로 결국 웹을 통하여 서버에게 명령을 내리는 것인데요 먼저 가이드를 확인해 보도록 하겠습니다. 웹을 통하여 운영체제에 명령어를 실행시키는 취약점으로 웹에서 직접 서버에 명령을 내릴 수 있는 권한과 취약한 소스가 존재하여야만 가능한 취약점입니다. 소스코드 진단 항목에서 해당 점검 항목이 존재합니다. 하지만 조치 방법은 아주 간단한데요. 서버에 명령을 내릴 수 있는 소스를 작성하지 말라는 것으로 웹을 통하여 서버에 직접 명령을 내릴 필요가 없기에 서버에 명령어를 내릴 수 있는 것을 개발..
[ISMS-P] 1.2.4 보호대책 선정 : "보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 네 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 점검을 통해 도출된 취약점을 조치계획인 보호대책을 선정하는 항목입니다. 1.2.4 보호대책 선정 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. 상세점검항목 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보..
[ISMS-P] 1.2.4 보호대책 선정 : "식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 네 번째 항목인 보호대책 선정에 대해서 알아보도록 하겠습니다. 점검을 통해 도출된 취약점을 조치계획인 보호대책을 선정하는 항목입니다. 1.2.4 보호대책 선정 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. 상세점검항목 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보..
[W-03/상] 1. 계정관리 1.3 불필요한 계정 제거 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 Windows점검항목으로 계정을 관리하는 것인데요 유닉스와 다르게 계정이 많지 않기에 점검하는 건 그리 어렵지는 않지만 그럼에도 점검하는 항목으로 "불필요한 계정 제거"에 대하여 알아보도록 하겠습니다. Windows의 경우는 UNIX와는 다르게 계정이 많이 존재하지 않습니다. 그렇기에 다수의 계정이 존재하는 경우가 많지 않기에 혹시 계정을 생성하고 관리하는 게 UNIX보다는 수월할 수 있습니다. 일단 가이드를 보도록 하겠습니다. Windows의 경우 앞서 이야기한 것처럼 기본 계정이 많지 않습니다. 그렇기에 계정을 새로 생성하는 경우 확인하기가 편한데요 일단 기본 계정이라고 이야기할 수 있는 거 2개뿐이며, 추가적으로 계정을..
[LI/상] 3.LDAP 인젝션 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "LDAP 인젝션"에 대해서 설명드리도록 하겠습니다. LDAP은 트리구조를 가지고 있는 자료를 검색하거나 관리하는 사용되는 프로토콜을 이야기합니다. 일종을 DB구조로 볼 수도 있을 거 같네요 먼저 가이드를 확인해 보도록 하겠습니다. LDAP자체가 DB는 아닙니다. 프로토콜이죠 LDAP은 트리구조의 데이터를 검색하거나 관리하는데 유용한 프로토콜로 조직도나 연락처 또는 네트워크 구조 등을 관리하는데 많이 사용되곤 합니다. 하지만 가장 많이 사용되는 부분은 결국 조직도나 연락처 관리이죠 트리구조로 되어 있기에 매우 관리하기 편하고 검색하는 것도 매우 빠른 편입니다. 그렇기에 많이 사용하는 경우도 있었는데요 하지만 개..
[ISMS-P] 1.2.3 위험 평가 : "위험식별 및 평가 결과를 경영진에게 보고하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..
[ISMS-P] 1.2.3 위험 평가 : "조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..
[ISMS-P] 1.2.3 위험 평가 : "위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..
[ISMS-P] 1.2.3 위험 평가 : "위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..
[ISMS-P] 1.2.3 위험 평가 : "조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.3 위험 평가 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 상세점검항목 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 ..
[W-02/상] 1. 계정관리 1.2 Guest 계정 비활성화 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 Windows점검항목으로 기본 계정에 대한 부분입니다. 기본 계정을 사용하는 경우 해당 계정을 이용한 공격이 이루어질 수 있기에 확인해야 하는 것으로 "Guest 계정 비활성화"에 대하여 알아보도록 하겠습니다. Windows는 다중 사용자를 생각하고 설계된 OS로 Windows를 설치하는 경우 기본 계정으로 서버 역할을 할 Administrator와 해당 서버에 접속할 Guest로 구성되어 있습니다. Administrator의 경우는 꼭 필요한 계정이기에 해당 계정은 첫 번째 항목에서 계정을 변경하여 사용하는데요 Guest의 경우는 꼭 필요하지는 않습니다. 일단 가이드를 보도록 하겠습니다. Guest계정은 Windows의 기..
[FS/상] 2.포맷 스트링 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "포맷 스트링"에 대해서 설명드리도록 하겠습니다. C언어의 경우 변수에 유형을 지정하여 값을 입력받게 되어 있는데요. 변수 유형과 입력받은 값에 유형이 다른 경우 오류가 발생됩니다. 이러한 오류가 발생되는 것을 포맷 스트링이라고 이야기하는데요 먼저 가이드를 확인해 보도록 하겠습니다. C언어로 구성된 시스템에서 발생하는 취약점입니다. 그렇기에 사실 웹에서 해당 취약점이 발견될 가능성이 매우 낮은데요. C언어 자체가 웹에 적합한 언어가 아니기에 C언어로 구성되는 홈페이지는 존재하지 않습니다. 물론 홈페이지 뒷단에 서버에서는 C언어를 통해 구성하는 경우도 있을 수 있습니다. 하지만 해당 취약점에서 발생할 수 있는 오..
[W-01/상] 1. 계정관리 1.1 Administrator 계정 이름 변경 또는 보안성 강화 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 Windows점검항목으로 유닉스와 다른 게 윈도우의 경우 계정을 변경할 수 있기에 변경하여 사용하는 것으로 "Administrator 계정 이름 변경 또는 보안성 강화"에 대하여 알아보도록 하겠습니다. Administrator 계정을 경우 윈도우의 기본 계정으로 최고 관리가 계정입니다. UNIX에서 이야기하는 root와 같은 권한의 계정이지만 UNIX와 다르게 Winodows에서는 이름 변경이 가능하기에 변경하여 사용하는지 점검하고 있습니다. 일단 가이드를 보도록 하겠습니다. 해당 점검항목은 사실 Administrator계정을 삭제하거나 잠가놓을 수 없기에 계정의 이름을 변경하여 관리하는 것을 이야기합니다. 뒤에 있는 또는 ..
[주요통신기반시설]시스템(Windows) 취약점 점검 항목 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 점검 항목 중 시스템 취약점 점검 항목에 대해서 이야기하도록 하겠습니다. 앞서 UNIX점검 항목에 대하여 알아봤는데요 이번에는 같은 시스템 진단 항목 중 Windows에 대해서 알아보도록 하겠습니다. 총 82개 항목으로 구성되어 있으며, 중분류는 6가지 분류입니다. 윈도우의 경우 사실 많이 사용하기에 취약점 진단이나 보안 설정하는 경우 쉽게 할 수 있을 거라 생각 하지만 사실 직관적인 UNIX에 다른 게 보안 관련 설정값이 많은 곳에 나누워져 있어 확인해야 하는 부분이 UNIX보다 많으며, 많이 복잡하게 구성되어 있기에 보안적으로 사실 윈도우 보다는 UNIX가 더 설정하고 관리하기 쉽다고 생각합니다. 또한 윈도우는 버전에 따라 다양하 설정값이..
[BO/상] 1.버퍼 오버플로우 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "버퍼 오버플로우"에 대해서 설명드리도록 하겠습니다. 웹 점검항목 첫 번째로 버퍼 오버 블로우는 사실 웹 취약점이라기보다는 서버 취약점에 가까운 취약점이라고 생각합니다. 먼저 가이드를 확인해 보도록 하겠습니다. 버퍼 오버플로우라는 취약점은 사실 웹에서 발생하는 취약점이라기보다는 서버에서 나오는 취약점이라고 볼 수 있습니다. 일단 버퍼 오버플로우는 말 그대로 버퍼가 넘쳐서 발생하는 취약점이라고 생각하면 됩니다. 그렇다면 버퍼는 무엇인가가 중요한데요 버퍼는 일단 저장 장소라고 보시면 될 거 같습니다. 임시 저장 장소입니다. 일단 사용자가 값을 입력하는 경우 처리의 위하여 임시저장장소에 넣어 놓고 해당 입력값을 처리..
[U-72/하] 5. 로그 관리 5.2 정책에 따른 시스템 로깅 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 로그는 기록이 남으나 해당 기록이 유용하지 않는 경우 있긴 한데요 이러한 부분을 확인하기 점검항목으로 "정책에 따른 시스템 로깅 설정"에 대하여 알아보도록 하겠습니다. 앞서 이야기드린 것처럼 보안에서 로그란 아주 중요한 자료입니다. 이러한 자료를 어떠한 종류를 쌓을 것인가를 설정하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 로그는 아주 중요한 자료라고 이야기했었는데요 해당 항목은 그렇게 중요한 로그를 어떠한 것을 쌓을 것인가를 설정하는 것으로 기본적인 설정과 회사에서 정책적으로 정해 놓은 것을 확인하여 해당 정책에 ..
[U-43/상] 5. 로그 관리 5.1 로그의 정기적 검토 및 보고 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안적으로 가장 중요한 파일 중 하나로 시스템이 동작하는 사용되는 모든 기록이 남겨져 있기에 관리가 필요한데요 이러한 부분을 점검하는 항목으로 "로그의 정기적 검토 및 보고"에 대하여 알아보도록 하겠습니다. 보안에서 로그란 중요한 자료 중 하나입니다. 보안사고 및 시스템 장애 시 가장 먼저 확인하는 것이 로그입니다. 일단 가이드를 보도록 하겠습니다. 보안에서 로그란 침해사고뿐만 아니라 시스템 장애가 발생하는 경우에도 가장 먼저 확인하는 정보입니다. 로그에는 서버가 운영하는 동안 발생하는 이벤트 접속자의 정보 로그인 정보 등 ..
[U-42/상] 4. 패치 관리 4.1 최신 보안패치 및 벤더 권고사항 적용 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 제로데이 취약점이 항상 발생합니다. 그렇기에 취약점이 발견될 경우 보안패치가 나오는데요 이처럼 보안 패치가 주기적으로 하고 있은지 점검 항목으로 "최신 보안패치 및 벤더 권고사항 적용"에 대하여 알아보도록 하겠습니다. 보안적 이슈가 발생 시 보안 패치를 적용하여 안전하게 관리가 필요합니다. 일단 가이드를 보도록 하겠습니다. 최신 보안 패치 적용입니다. 최신 패치가 아니죠 보안적으로 이슈가 발생한 경우 해당 보안 취약점을 막기 위해 보안 패치를 적용하라는 점검항목입니다. 간혹 해당 항목을 무조건 최신 버전을 사용해야 하나 아니..
[U-71/중] 3. 서비스 관리 3.35 Apache 웹 서비스 정보 숨 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹서비스를 사용하는 경우 확인하는 것으로 추가적으로 Apache를 사용하는 경우 점검 항목으로 "Apache 웹 서비스 정보 숨김"에 대하여 알아보도록 하겠습니다. 웹 서비스를 운영하는 경우 헤더나 오류 페이지 웹 서비스의 버전 등 정보가 노출되지 않도록 설정해야 합니다. 일단 가이드를 보도록 하겠습니다. 웹 페이지에서 오류가 발생하는 경우에 해당 오류 페이지에 서버의 정보가 노출되는데요 해당 정보를 통해 서버의 취약점이나 버전 취약 점등을 이용한 공격이 가능합니다. 또한 해당 점검항목은 웹 취약점 진단에서도 확인하는 항목으..
[U-70/중] 3. 서비스 관리 3.34 expn, vrfy 명령어 제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스를 사용하는 경우 사용하는 명령어로 해당 명령어의 경우 악용하는 경우 보안적인 위협이 존재할 수 있기에 제한 해여야 하는 항목으로 "expn, vrfy 명령어 제한"에 대하여 알아보도록 하겠습니다. SMTP서비스인 메일 서비스를 사용하는 경우 expn, vrfy 명령어를 사용하지 못하도록 하는 것을 점검합니다. 일단 가이드를 보도록 하겠습니다. SMTP서비스란 결국 메일 서비스를 이야기하는데요 메일 서비스를 운영하는 경우 expn, vrfy 명령어에 대한 사용을 금지하는 것을 확인하는 게 바로 이번 점검항목입니다...
[U-69/중] 3. 서비스 관리 3.33 NFS 설정파일 접근권한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 네트워크를 통해 하드디스크를 공유하는 것으로 유용하게 사용할 수 있는 서비스이긴 하지만 보안적으로 취약점이 존재하기에 보안설정을 추가하는 항목으로 "NFS 설정 파일 접근권한"에 대하여 알아보도록 하겠습니다. NFS서비스는 네트워크를 통해 마운트 한 파일 시스템을 로컬 시스템처럼 사용하는 서비스로 취약하기에 꼭 필요하지 않은 경우 사용하면 안 됩니다. 해당 점검항목은 혹시 사용하는 경우 NFS 설정 파일 접근권한 설정에 대한 부분입니다. 일단 가이드를 보도록 하겠습니다. NFS 서비스에 대해서는 앞서 설명드린 [U-24] 3..
[U-68/하] 3. 서비스 관리 3.32 로그온 시 경고 메시지 제공 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 심리적인 부분을 확인하는 것으로 불법으로 접속하는 경우 경고 메시지를 확인하여 나가는 경우가 있다고 하는데요 그렇기에 경고 메시지를 작성하는 항목으로 "로그온 시 경고 메시지 제공"에 대하여 알아보도록 하겠습니다. 사용자가 로그인하는 경우 나타나는 메시지에 불법적인 접속에 대한 경고하는 메시지를 포함하도록 하는 것이 이야기합니다. 일단 가이드를 보도록 하겠습니다. 서버에 로그인하는 경우 로그인 화면에 안내 메시지가 노출되게 되어 있는데요 해당 메시에 불법적인 접속에 대한 경고 메시지를 등록하여 불법적인 접근 시 해당 경고 메..
[U-67/중] 3. 서비스 관리 3.31 SNMP 서비스 Community String의 복잡성 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 취약한 서비스이기에 사용하지 않아야 하지만 꼭 필요한 경우가 존재하기에 이런 경우에 보안적으로 보안하기 위한 항목으로 "SNMP 서비스 Community String 복잡성 설정"에 대하여 알아보도록 하겠습니다. SNMP서비스는 인증이란 별도의 절차가 없습니다. 여기서 이야기하는 인증은 ID/PW인데요 그렇기에 Community String의 복잡하게 설정하여야 합니다. 일단 가이드를 보도록 하겠습니다. Community String는 SNMP서비스를 접근하기 위한 값으로 해당 값만 알고 있으면 snmp서비스를 이용할 수 있..
[U-66/중] 3. 서비스 관리 3.30 SNMP 서비스 구동 점검 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 관제에서 간혹 사용하는 서비스로 인증이란 절차가 존재하지 않고 snmp 이름만 존재한다면 접속이 가능하기에 불필요한 경우 서비스 구동을 하지 않게 하는 항목으로 "SNMP 서비스 구동 점검"에 대하여 알아보도록 하겠습니다. SNMP서비스는 네트워크상에 각 호스트에 정보를 수집하는 서비스로 관제 및 서비스 확인을 위해서 사용하는 서비스입니다. 일단 가이드를 보도록 하겠습니다. SNMP서비스는 네트워크를 통해서 네트워크에 연결되어 있는 호스트의 상태 및 정보를 수집하는 서비스로 관제 및 시스템 운영정보 등을 확인하기 위하여 사용..
[U-65/중] 3. 서비스 관리 3.29 at 서비스 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 일회성 예약 서비스로 주기적이기보다는 단발적으로 설정하는 항목으로 "at 서비스 권한 설정"에 대하여 알아보도록 하겠습니다. at 서비스는 주기적인 예약 서비스인 cron과 다르게 일회성 예약 서비스를 이야기합니다. 일단 가이드를 보도록 하겠습니다. at서비스는 일회성 작업 예약으로 cron처럼 주기적인 예약 서비스가 아닌 일회성 서비스로 한번 사용하고 해당 스케줄이 삭제되는 것으로 주기적인 작업을 예약하는 cron과는 차이가 있습니다. 하지만 at서비스는 예약 서비스로써 사용자가 이벤트를 발생하지 않는 경우에도 자동으로 돌..
[U-64/중] 3. 서비스 관리 3.28 ftpusers 파일 설정(FTP 서비스 root 계정 접근제한) [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. ftp에 접속 가능한 사용자의 명단을 관리하는 파일로 해당 파일에 설정에 따라 접속 가능 여부를 설정할 수 있는 항목으로 "ftpusers 파일 설정(FTP 서비스 root 계정 접근 제한)"에 대하여 알아보도록 하겠습니다. ftpusers파일은 ftp 서비스를 사용 가능한 사용자의 명단이 들어가 있다고 이야기드렸는데요 해당 점검항목은 ftpusers파일에 작성되어 있는 계정 중 root가 있는지를 확인하는 것입니다. 일단 가이드를 보도록 하겠습니다. ftp서비스 취약한 서비스로 사용하지 않는 게 맞다고 이야기드렸습니다. 하..
[U-63/하] 3. 서비스 관리 3.27 ftpusers 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 취약한 서비스인 ftp접속 가능한 계정을 관리하는 파일을 관리하는 항목으로 "ftpusers 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. ftp를 설치하게 되면 ftpusers파일이 생성되게 되어 있는데요 해당 파일은 ftp사용 가능한 사용자의 명단을 관리하는 파일이기에 아무나 열람 못하게 하기 위하여 파일 소유자 및 권한 설정을 잘하여야 합니다. 일단 가이드를 보도록 하겠습니다. ftpusers파일은 ftp를 사용할 수 있는 사용자의 명단을 관리하는 파일로 접속 가능한 사용자의 계정을 저장하고 있습니다. 해..
[U-62/중] 3. 서비스 관리 3.26 ftp 계정 shell제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. ftp계정을 경우는 서비스를 동작하는 데 사용되기에 직접 명령어를 사용할 필요가 없기에 사용하지 못하게 하는 항목으로 "ftp 계정 shell제한"에 대하여 알아보도록 하겠습니다. UNIX의 경우 운영하고 하는 서비스를 설치하는 경우 해당 서비스에 대한 계정이 생성되게 되어 있는데요 ftp서비스를 사용하고자 하면 해당 ftp를 설치하여야 하고 그렇기에 ftp계정이 자동으로 생성되게 되어 있습니다. 그 계정에 대한 설정에 대한 점검입니다. 일단 가이드를 보도록 하겠습니다. ftp 계정 shell 제한은 ftp를 설치하는 경우 ..
[U-61/하] 3. 서비스 관리 3.25 ftp 서비스 확인 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 파일 전송을 점검하는 항목으로 평문 전송이 되기에 취약하여 사용하지 않는 것을 권고하고 있는 항목으로 "ftp 서비스 확인"에 대하여 알아보도록 하겠습니다. 파일 전송에 사용되는 프로토콜로 기존에 많이 사용하였으나 데이터 전송 시 평문으로 전송되어 보안적으로 안전하지 않아 잘 사용하지 않는 서비스입니다. 일단 가이드를 보도록 하겠습니다. 파일을 전송하는데 가장 대표적으로 사용되는 프로토콜로 기존에는 많이 사용하고 있었으나 데이터 전송 시 평문으로 전송되기에 사용하는 경우 데이터 탈취가 가능하며, 단순 파일 전송뿐만 아니라 연..
[U-60/중] 3. 서비스 관리 3.24 ssh 원격접속 허용 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 원격 접속에 사용하는 서비스로 해당 서비스의 경우 원격으로 접속 시 암호 접속을 하기에 안전할 수 있으나 접속자에 대한 점검 항목으로 "ssh 원격 접속 허용"에 대하여 알아보도록 하겠습니다. 외부에서 서버에 원격으로 접속하는 경우 Telnet은 취약한 서비스이기에 ssh을 사용하고 있고 안전하게 사용하는가는 보는 항목입니다. 일단 가이드를 보도록 하겠습니다. 먼저 원격 접속 서비스를 확인하여야 합니다. 원격 접속 서비스는 대표적으로 Telnet과 ssh가 있는데요 해당 서비스 중 Telnet의 경우 원격 접속 시 평문으로 ..
[U-41/상] 3. 서비스 관리 3.23 웹 서비스 영역의 분리 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹 서비스를 운영하는 경우 따른 영역이 분리되어 있지 않는 경우는 웹 서비스를 통해 해킹사고가 발생되는 경우 파급력이 높은데요 이러한 부분을 보안하기 위한 항목으로 "웹 서비스 영역의 분리"에 대하여 알아보도록 하겠습니다. 웹 서비스는 접근성이 아주 뛰어나고 누구나 쉽게 접속할 수 있기에 보안적이 위협이 높습니다. 그렇기에 웹 서비스가 운영되는 영역을 별도로 구성하여 운영하여야 하기에 해당 항목으로 점검합니다. 일단 가이드를 보도록 하겠습니다. 웹 이란 환경은 모두가 쉽게 접속할 수 있는 환경이기에 취약하다고 볼 수 있습니다..
[U-40/상] 3. 서비스 관리 3.22 웹서비스 파일 업로드 및 다운로드 제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹을 통한 웹쉘을 올리거나 중요 파일을 다운로드하는 등 보안적이 부분과 DDoS 공격에도 사용 가능한 항목으로 "웹 서비스 파일 업로드 및 다운로드 제한"에 대하여 알아보도록 하겠습니다. 웹을 통해서 파일을 업로드하거나 다운로드하는 경우 용량에 대한 제한을 두어 서버 자원에 대한 고갈을 차단하고자 하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 웹 서비스를 통한 파일 업로드 및 다운로드 제한은 웹 취약점 진단과는 조금 다를 수 있으나 해당 항목에 대한 설정으로 인해 파일 업로드나 다운로드를 통한 일부 공격을 차단할 수..
[U-39/상] 3. 서비스 관리 3.21 웹 서비스 링크 사용금지 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹을 통해 서버에 있는 파일을 실행하게 하는 것으로 이러한 부분을 없애기 위한 항목으로 "웹 서비스 링크 사용금지"에 대하여 알아보도록 하겠습니다. 윈도우에서 이야기하는 바로가기와 비슷한 형태로 웹상에서 서버에 있는 파일에 대한 바로가기 링크가 생성하는 것으로 사용 시 보안적 취약점이 다수 있습니다. 일단 가이드를 보도록 하겠습니다. 심볼링크는 윈도우에 바로기가 와 비슷한 기능을 가지고 있어 서버에 있는 파일을 직접 가리킬 수 있기에 웹 환경에서 서버에 존재하는 파일을 링크하여 사용하는 것으로 보안적으로 매우 위험한 기능입니..
[U-38/상] 3. 서비스 관리 3.20 웹서비스 불필요한 파일 제거 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹 서비스를 운영하기 위해서 설치가 필요한대요 설치하는 경우 임시파일이 생성되는데요 이러한 파일을 삭제하는 항목으로 "웹서비스 웹 프로세스 권한 제한"에 대하여 알아보도록 하겠습니다. 웹 서비스를 동작하기 위해서는 UNIX 서버에 별도로 설치를 하게 되어 있는데 설치 시 기본 페이지나 설정 설명서 등이 같이 설치되기에 해당 파일 삭제 여부를 확인하는 점검 항목입니다. 일단 가이드를 보도록 하겠습니다. UNIX는 운영체제만 설치하는 경우 웹 서비스는 설치가 되지 않습니다. UNIX자체에는 기본값으로 웹 서비스가 설치되어 있지 ..
[U-37/상] 3. 서비스 관리 3.19 웹서비스 상위 디렉토리 접근 금지 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹을 통하여 해킹사고가 발생하는 경우 파급력을 줄이기 위하여 설정하는 항목으로 "웹서비스 웹 프로세스 권한 제한"에 대하여 알아보도록 하겠습니다. 웹서비스 운영시 취약점 등을 통해 서버에 대한 디렉토리 구조를 파악하기 위해 웹 디렉토리 이상의 디렉토리 접근을 시도할 때 해당 접근을 차단하는 설입니다. 일단 가이드를 보도록 하겠습니다. 웹서비스 운영시 서버의 디렉토리는 일반적으로 URL에 타나 납니다. 물론 잘 설정하거나 하는 경우에는 디렉토리 구조가 파악이 안 되는 경우가 있는데요 웹서비스가 운영되고 있는 디렉토리가 노출되는..
[U-36/상] 3. 서비스 관리 3.18 웹서비스 웹 프로세스 권한 제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹서비스를 이용하는 경우 웹 프로세스가 동작하는 사용자의 권한이 중요한데요 이러한 부분을 확인하는 항목으로 "웹서비스 웹 프로세스 권한 제한"에 대하여 알아보도록 하겠습니다. 서버에서 웹 프로세스를 실행하는 경우 실행하는 주체가 어떠한 계정으로 실행하는 것을 이야기합니다. 일단 가이드를 보도록 하겠습니다. 제목을 제외한 내용은 결국 Apache 점검항목인데요 일단 웹 프로세스를 동작하는 실행자가 어떠한 계정으로 실행하는가는 봐야 합니다. 웹 프로세스는 웹 서비스로 사용자들이 접근하는 홈페이지를 이야기할 수 있는데요 이때 홈페..
[U-35/상] 3. 서비스 관리 3.17 웹서비스 디렉토리 리스팅 제거 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 웹에서도 발견되는 취약점으로 서버에서 설정이 잘못되었을 경우 웹 취약점으로도 이어지는 항목으로 "웹서비스 디렉토리 리스팅 제거"에 대하여 알아보도록 하겠습니다. 웹에서 서버에 있는 디렉토리 정보가 노출될 수 있기에 해당 옵션을 제거하여 서버에 있는 디렉토리가 웹에서 노출되지 않도록 설정하는 점검 항목입니다. 일단 가이드를 보도록 하겠습니다. 웹 서비스와 연관되어 있는 점검항목으로 해당 설정이 되어 있지 않는 경우 웹 서비스를 통해서 서버에 있는 디렉토리를 확인할 수 있기에 해당 디렉토리가 노출되는 것이 이용하여 서버의 종류나..
[U-34/상] 3. 서비스 관리 3.16 DNS Zone Transfer 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. DNS 서버를 최신화하여 관리하기 위한 항목으로 "DNS Zone Transfer 설정"에 대하여 알아보도록 하겠습니다. DNS에 있는 데이터는 다름 DNS와 연동하여 동기화되어야 하기에 Zone Transfer 설정은 동기화되어야 하기에 Zone정보를 동기화하기 위해 사용합니다. 일단 가이드를 보도록 하겠습니다. DNS는 다른 DNS와 연동하여 정보를 동기화하여야 하기에 Zone를 구성하게 되는 돼요 그렇기에 Zone에 접속 가능 사용자를 지정하여 관리하고 있는지를 점검하는 항목입니다. DNS는 앞서 설명드린 "[U-33]..
[U-33/상] 3. 서비스 관리 3.15 DNS 보안 버전 패치 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 도메인 네임 서비스 버전 취약점 확인으로 해당 서비스를 사용하지 않는 경우 점검하지 않는 항목으로 "DNS 보안 버전 패치"에 대하여 알아보도록 하겠습니다. DNS는 각 통신망(KT, LG, SK)에서 제공하는 것을 사용하거나, 구글 DNS를 세팅하여 사용하는데요 하지만 내부망 시스템을 사용하는 경우 직접 DNS를 구성하여 사용하는 경우도 있습니다. 이런 경우 안전한 버전 사용 여부를 점검하는 항목입니다. 일단 가이드를 보도록 하겠습니다. DNS는 Domain Name System으로 naver.com이라는 도메인 주소를 실..
[U-32/상] 3. 서비스 관리 3.14 일반사용자의 Sendmail 실행방지 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스 자체는 보안적으로 일반 사용자가 사용하지 못하게 하는 항목으로 "일반 사용자의 Sendmail 실행 방지"에 대하여 알아보도록 하겠습니다. 일반 사용자에 Sendmail 권한을 부여하는 경우 메일 큐에 있는 메일을 drop 시킬 수 있기에 메일 시스템 오류가 발생할 수 있기에 실행 방지 여부를 확인하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 메일 서비스를 사용하는 경우에 일반 사용자에게 권한을 부여할 할 경우 메일 큐를 강제로 drop 시킬 수 있어 메일 서비스에 오류를 발생시킬 수 있는데요 여기서 이..
[U-31/상] 3. 서비스 관리 3.13 스팸 메일 릴레이 제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스를 사용하는 경우 발견될 수 있는 취약점으로 메일 서비스를 사용하지 않는 경우는 점검할 필요가 없는 항목으로 "스팸 메일 릴레이 제한"에 대하여 알아보도록 하겠습니다. 스팸 메일 릴레이 제한은 메일 서비스를 통해 메일을 전달하게 하는 것으로 메일 발송지를 숨길수 있기에 다수의 스팸메일 발송에 악용될 수 있습니다. 일단 가이드를 보도록 하겠습니다. 메일 릴레이 제한이라는 취약점은 메일 서비스를 운영하는 경우 릴레이가 제안되지 않는 경우 스팸메일 발송 시 릴레이가 가능한 메일 서비스를 이용하여 발송지를 숨길수 있는 것..
[U-30/상] 3. 서비스 관리 3.12 Sendmail 버전 점검 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 메일 서비스를 점검하는 것으로 취약점이 존재하는 버전의 사용하지 못하도록 하는 것으로 "Sendmail 버전 점검"에 대하여 알아보도록 하겠습니다. 취약점이 발표된 서비스에 대하여 비활성화 여부를 확인하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. Sendmail 버전 확인은 서버에서 메일 서비스를 운영하는 경우 낮은 버전의 Sendmail를 사용하는 경우 취약점이 존재하기에 상위 버전으로 설치하여 사용하는지 확인하는 버전입니다. 낮은 버전의 경우 버퍼오버플로우 취약점이 존재하기에 사용하지 않는 것이 좋으며 추가적인 ..
[U-29/상] 3. 서비스 관리 3.11 tftp, talk 서비스 비활성화 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 사용하지 않는 서비스라고 생각하면 될 거 같습니다. 보안적으로 문제가 다수 존재하는 항목으로 "tftp, talk 서비스 비활성화"에 대하여 알아보도록 하겠습니다. 취약점이 발표된 서비스에 대하여 비활성화 여부를 확인하는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. 해당 점검항목은 취약점이 발견된 서비스인 tftp, talk, ntalk 등 서비스가 비활성화되어 있는지를 확인하는 점검 항목입니다. 기존의 취약점이 발견된 지 오래된 서비스 등으로 대부분에 시스템에서 현재는 해당 서비스를 사용하지 않고 있으며, 해당 서비스..
[U-28/상] 3. 서비스 관리 3.10 NIS, NIS+ 점검 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 다수의 시스템을 관리하기 위한 편리한 서비스로 관리 서버가 문제가 생기는 경우 치명적일 수도 있는 항목으로 "NIS, NIS+ 점검"에 대하여 알아보도록 하겠습니다. 시스템의 설정 파일을 중앙에서 생성하여 교체하므로 동일한 세팅을 유지하기 위한 서비스로 NIS서비스의 경우 취약점이 있기에 꼭 필요시 NIS+를 사용해야 하는 항목입니다. 일단 가이드를 보도록 하겠습니다. 시스템 관리 차원에서 주로 사용하는 서비스로 중앙에서 다수의 시스템을 동일한 기준으로 관리하기 위한 서비스입니다. 주로 PW 정책이나 시스템 보안 정책 등을 ..
[U-27/상] 3. 서비스 관리 3.9 RPC 서비스 확인 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안적인 위협이 존재하는 서비스로 해당 취약점을 이용한 DoS, 오버플로우 등 공격에 사용되어 사용하지 못하게 하는 것으로 "RPC 서비스 확인"에 대하여 알아보도록 하겠습니다. RPC 서비스는 원격으로 함수나 프로시저를 실행할 수 있기에 보안적으로 안전하지 않은 서비스입니다. 일단 가이드를 보도록 하겠습니다. RPC 서비스는 보안적으로 안전하지 않은 서비스로 해당 서비스의 사용하는 경우 버퍼오버플로우나, DoS, 원격 실행 등 보안적이 취약점을 많이 가지고 있는 서비스입니다. 보안적인 취약점이 다수 존재하는 서비스로 반드시..
[U-26/상] 3. 서비스 관리 3.8 automountd 제거 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 취약하지는 않지만 해당 서비스를 통해 취약점이 추가로 발생 항수 있는 항목으로 "automountd 제거"에 대하여 알아보도록 하겠습니다. automountd 자체가 취약하기보다는 해당 서비스를 활성화하는 경우 RPC를 이용할 수 있는 취약점이 존재하기에 사용하면 안 됩니다. 일단 가이드를 보도록 하겠습니다. automountd 서비스는 클라이언트에서 자동으로 서버에 마운트 시키고 일정 시간 사용하지 않는 경우 unmount 시키는 기능으로 자동으로 마운트 하여 사용하다가 사용을 안 하는 경우 안전하게 해제할 수 있는 유용한..
[U-25/상] 3. 서비스 관리 3.7 NFS 접근 통제 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안적으로 취약한 서비스입니다. 그래서 사용하지 않는 것을 권고드리고 있는데요 하지만 꼭 필요한 경우 추가적인 보안조치를 확인하는 항목으로 "NFS 접근 통제"에 대하여 알아보도록 하겠습니다. NFS서비스를 꼭 사용하는 경우에는 보안 설정을 확인하는 항목입니다. 일단 가이드를 보도록 하겠습니다. 앞서 확인한 부분은 NFS서비스 사용 여부에 대하여 확인하였습니다. 이번 확인할 항목은 해당 서비스를 반드시 사용해야 하는 경우 보안설정을 어떻게 해야 하는지 하는 부분입니다. NFS서비스는 파일공유에 유용하기에 사용하고자 하는 경우..
[U-24/상] 3. 서비스 관리 3.6 NFS 서비스 비활성화 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 하드디스크 용량이 부족하거나 추가하는 경우 사용하던 서비스로 현재는 다수의 취약점이 존재하기에 관리가 필요한 항목으로 "NFS 서비스 비활성화"에 대하여 알아보도록 하겠습니다. NFS 서비스는 네트워크 파일 시스템으로 네트워크에 연결되어 있는 파일 시스템을 로컬 시스템처럼 이용할 수 있게 하는 서비스입니다. 일단 가이드를 보도록 하겠습니다. 네트워크에 연결되어 있는 서버에 파일을 공유하기 위하여 하나의 서버에 공유폴더 개념을 폴더 및 하드디스크를 설치하고 해당 서버에 접속하여 파일 등을 공유하여 사용할 때 마치 로컬 하드디스..
[U-23/상] 3. 서비스 관리 3.5 DoS 공격에 취약한 서비스 비활성화 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 많이 유용한 서비스입니다. 최근에 가장 많이 발생하는 공격이라고도 할 수 있는데요 물론 전용 장비도 존재하고 방화벽에서 존재하지만 서버에서도 추가적으로 방어가 가능하기에 설정하는 항목으로 "DoS 공격에 취약한 서비스 비활성화"에 대하여 알아보도록 하겠습니다. DoS, DDoS 공격은 현재도 다수 발생하고 있는 공격의 유형으로 DDoS 방어 장비가 별도로 존재하기도 합니다. 일단 가이드를 보도록 하겠습니다. DoS, DDoS 공격은 아직도 많이 발생하고 있는 공격으로 예전에는 짧은 시간에 다수의 존비 PC를 이용한 한 번에 ..
[U-22/상] 3. 서비스 관리 3.4 crond 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 많이 유용한 서비스입니다. 유용하다는 것은 그만큼 많이 사용하는데요 하지만 잘 관리되지 않으면 치명적일 수 있기에 이러한 부분은 관리하는 항목으로 "crond 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. cornd 서비스는 예약 서비스로 사용자가 작성해놓은 경우 별도의 실행 절차 없이 자동으로 실행되는 서비스입니다. 일단 가이드를 보도록 하겠습니다. crond 서비스는 예약 서비스로 주기적으로 실행하여야 하는 파일 등이 존재하는 경우 효율적으로 관리하기 아주 좋은 서비스입니다. 또한 해당 서비스를 이용하여 시..
[U-21/상] 3. 서비스 관리 3.3 r 계열 서비스 비활성화 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 현재는 사용하지 않는 서비스로 보안적인 치명적인 취약점이 발견된 항목으로 "r 계열 서비스 비활성화"에 대하여 알아보도록 하겠습니다. r계열 서비스는 관리 편의성의 위해 인증절차를 우회하여 로그인하거나 파일 실행 등 가능하게 하는 서비스로 현재는 사용하지 않는 서비스입니다. 일단 가이드를 보도록 하겠습니다. r 계열 서비스 비활성화 항목은 앞서 한번 언급한 적이 있습니다. "$HOME/.rhosts, hosts.equiv 사용 금지"에서 이야기했었습니다. r 계열 서비스는 인증 절차를 진행하지고 않고 로그인이나 sh프로그램 ..
[U-20/상] 3. 서비스 관리 3.2 Anonymous FTP 비활성화 [내부링크]
https://youtu.be/xpGA_VlRssg 안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 파일 전송하는 프로토콜로 파일을 업로드하거나 다운로드하는데 많이 사용하지만 보안적인 취약점이 존재합니다. 해당 프로토콜 관리하는 항목으로 "Anonymous FTP 비활성화"에 대하여 알아보도록 하겠습니다. FTP 서비스는 파일 전송 프로토콜로 파일은 전송할 때 사용합니다. 낮은 수준의 인증을 통해 FTP 서비스를 할 수 있게 하는 옵션입니다. 일단 가이드를 보도록 하겠습니다. 먼저 FTP 서비스에 대해서 이야기하도록 하겠습니다. 물론 추후 점검하게 되는 항목에서 FTP 서..
[U-19/상] 3. 서비스 관리 3.1 Finger 서비스 비활성화 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 사용자의 정보를 확인하는 건 관리적인 차원에서는 중요한 항목입니다. 하지만 사용자의 확인하는 것은 중요하지만 그만큼 위험할 수 있는데요 이런 부분을 확인하는 것으로 "Finger 서비스 비활성화"에 대하여 알아보도록 하겠습니다. who와 다르게 본인뿐만 아니라 다른 사용자의 정보도 확인할 수 있는 명령어도 불필요한 주요 정보가 노출될 수 있는 서비스입니다. 일단 가이드를 보도록 하겠습니다. 세 번째 중분류 서비스 관리에 첫 번째 항목인 "Finger 서비스 비활성화"입니다. 사용자를 확인하는 서비스로 현재 사용자 본인을 확인..
[U-59/하] 2. 파일 및 디렉토리 관리 2.20 숨겨진 파일 및 디렉토리 검색 및 제거 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 해당 점검항목을 확인하는 것은 바로 관리자입니다. 이러한 관리자가 볼 수 없는 숨겨진 파일은 이상한 대요 이렇게 이상한 파일을 확인하는 것으로 "숨겨진 파일 및 디렉토리 검색 및 제거"에 대하여 알아보도록 하겠습니다. 숨겨져 있는 파일아나 폴더는 일단 무엇 가는 숨기는 목적으로 생성되었습니다. 하지만 해당 항목을 점검하는 당사자는 바로 관리자이죠 이런 관리자가 볼 수 없는 파일이나 폴더는 확인이 필요합니다. 일단 가이드를 보도록 하겠습니다. 숨겨진 파일 및 디렉토리 입니다. 해당 항목을 점검하기 전에 먼저 자신의 위치를 먼저..
[U-58/중] 2. 파일 및 디렉토리 관리 2.19 홈디렉토리로 지정한 디렉토리의 존재 관리 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 계정 생성과 계정 이름으로 생성된 폴더는 쌍으로 가는 것입니다. 계정에 맞는 폴더가 존재하지 않는 계정은 임의로 생성되었기에 문제가 될 수 있기에 확인하는 항목으로 "홈디렉토리로 지정한 디렉토리의 존재 관리"에 대하여 알아보도록 하겠습니다. 계정은 존재하나 폴더가 존재하지 않는 경우 문제가 될 수 있는데요 이유는 계정이 생성되는 폴더가 바로 생성되기에 매핑되게 되어 있습니다. 일단 가이드를 보도록 하겠습니다. 앞선 점검항목에서 홈디렉토리에 대한 소유자 및 권한을 확인하였습니다. 해당 항목은 조금 더 근본적으로 접근하여 홈디렉..
[U-57/중] 2. 파일 및 디렉토리 관리 2.18 홈디렉토리 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 계정의 생성하면 해당 계정 만의 폴더가 생성되는데요 이러한 폴더에 대한 권한을 확인하고 관리하는 항목으로 "홈디렉토리 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 타인의 폴더에 글을 작성하거나 수정하는 등 권한이 부여되는 경우에 보안적인 문제가 될 수 있는데요 이러한 부분을 관리하는 항목이라고 할 수 있습니다. 일단 가이드를 보도록 하겠습니다. UNIX는 다수사용자 지원을 기반으로 설계한 운영체제로 각 사용자마다 자기만을 공간을 구성하고 있으며, 추가적으로 해당 공간은 다른 사용자의 간섭을 최소화하고 가자 권한을 ..
[U-56/중] 2. 파일 및 디렉토리 관리 2.17 UMASK 설정 관리 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 파일 생성 시 아무나 접속하여 수정이 가능하면 문제가 될 수 있는데요 이런 부분을 원천적으로 파일 생성 시 아무나 수정하지 않게 하는 것으로 "UMASK 설정 관리"에 대하여 알아보도록 하겠습니다. world writable 파일 점검에서 확인하는 것처럼 일반 사용자가 다른 사용자의 파일을 수정하지 못하게 하여야 하는데요 이러한 부분은 파일 생성시 미리 설정하게 하는데요 일단 가이드를 보도록 하겠습니다. 해당 설정이 되어 있지 않는 경우에는 "world writable 파일 점검"해당 점검항목에 취약한 파일이 다수 생성될 수..
[U-55/하] 2. 파일 및 디렉토리 관리 2.15 hosts.lpd 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 프린트를 사용하는 경우 접속 가능한 사용자의 정보를 보관해야 하는 파일이 필요한데요 해당 파일의 설정을 확인하는 것으로 "hosts.lpd 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 프린트를 사용하는 경우 접속 가능한 사용자의 정보를 보관하고 관리하여야 하는데요 해당 정보를 보관하고 관리하는 파일에 대한 설정을 점검합니다. 일단 가이드를 보도록 하겠습니다. UNIX에서 로컬 프리트 서비스를 사용할 수 있는 허가된 호스트(사용자) 정보를 담고 있는 파일로 UNIX에서 프린트를 사용하는 경우가 거의 없기에 해당..
[U-18/상] 2. 파일 및 디렉토리 관리 2.14 접속 IP 및 포트 제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보편적으로 방화벽 같은 네트워크 보안장비를 이용하여 관리하는데요 하지만 서버에서도 관리가 가하기에 서버에도 설정하는 것으로 "접속 IP 및 포트 제한"에 대하여 알아보도록 하겠습니다. 보안에서 가장 중요한 부분 중 하나는 악의적인 접근을 차단하는 것에 있는데요 최근에는 방화벽을 이용하여 관리를 하고 있는데요 하지만 역시 서버에서도 설정이 가능합니다. 일단 가이드를 보도록 하겠습니다. 접속 IP와 포트는 현재 대부분은 방화벽에서 설정하여 관리하고 있습니다. 방화벽에서 오픈되어 있지 않는 IP의 경우 내부에 들어올 수 있으며 더..
[U-17/상] 2. 파일 및 디렉토리 관리 2.13 $HOME/.rhosts, hosts.equiv 사용 금지 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 원격 접속 설정을 관리하는 파일로 해당 파일을 아무나 쉽게 변경이 가능하다면 원격 접속 문제가 발생할 수 있기에 미리 확인하는 것으로 "$HOME/.rhosts, hosts.equiv 사용 금지"에 대하여 알아보도록 하겠습니다. 원격 접속 설정을 관리하는 파일로 아무나 쉽게 접근하여 파일을 변경하는 경우 보안적으로 치명적인 문제가 될 수 있기에 아무나 접속하지 못하도록 하여야 하는데요 일단 가이드를 보도록 하겠습니다. 원격으로 인없이 사용하는 명령어를 'r' command라고 이야기를 합니다. 다수의 시스템을 편하게 관리하기..
[U-16/상] 2. 파일 및 디렉토리 관리 2.12 /dev에 존재하지 않는 device 파일 점검 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 해킹사고에 많이 사용되던 폴더로 관리적인 측면에서 문제가 될 수 있기에 먼저 확인하는 것으로 "/dev에 존재하지 않는 device 파일 점검"에 대하여 알아보도록 하겠습니다. 해당 폴더에는 자체적인 취약점은 존재하지는 않습니다. 하지만 해당 폴더는 악의적인 파일이 자주 숨어 있는 곳으로 주기적인 점검이 필요한 폴더라고 보시면 됩니다. 일단 가이드를 보도록 하겠습니다. 해당 점검 항목은 /dev 논리적인 드라이브가 존재하는 폴더에 사용하지 않는 드라이브가 존재하는 경우 시스템 오류가 발생하여 시스템 장애를 발생시킬 수 있으며..
[U-15/상] 2. 파일 및 디렉토리 관리 2.11 world writable 파일 점검 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 거의 모든 시스템에 취약점이 존재하는 것으로 관리적인 측면이 높은 것으로 "world writable 파일 점검"에 대하여 알아보도록 하겠습니다. 다중 사용자가 접속하게 되어 있는 유닉스의 경우는 본인이 작성한 파일이 다른 사람으로 인해 파일이 수정되는 경우 문제가 될 수 있기에 해당 점검항목은 이러한 파일이 존재하는지 여부를 확인합니다. 일단 가이드를 보도록 하겠습니다. world writable 파일 점검은 일반 사용자(게스트)가 본인의 소유하지 않은 파일에 대한 수정 권한 여부를 확인하는 것으로 주요 파일이 아닌 경우에..
[U-14/상] 2. 파일 및 디렉토리 관리 2.10 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 다중사용자를 기반으로 개발된 운영체제로 각 계정마다 폴더가 생성되고 관리하는데요 이런한 부분을 확인하는 "사용자, 시스템 시작 파일 및 환경 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 각 사용자의 개인 폴더에 대한 권한 설정으로 다른 사용자의 폴더에 접근하여 글을 수정하고 생성하지 못하게 하는 설정으로 개인을 공간을 보호하고 있는가를 점검하는 항목 입니다. 일단 가이드를 보도록 하겠습니다. 사실 해당 점검 항목에 가장 중요한 것은 환경변수 파일입니다. 저번에도 한번 설명드린 것처럼 UNIX는 모든 설정 및 ..
[U-13/상] 2. 파일 및 디렉토리 관리 2.9 SUID, SGID, 설정 파일점검 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 보안에서 권한은 매우 민감한 것으로 일시적으로라도 권한을 상승할 수 있는 파일에 대한 점검으로 "SUID, SGID, 설정 파일 점검"에 대하여 알아보도록 하겠습니다. 권한이 상승할 수 있는 파일로 SUID, SGID 해당 권한을 가지고 있는 경우 파일을 실행함으로써 권한상승이 발생하여 보안적으로 문제가 될 수 있습니다. 일단 가이드를 보도록 하겠습니다. SUID란, 설정된 파일 실행 시, 특정 작업을 수행을 위하여 일시적으로 파일 소유자의 권한을 얻게 됨. 요기서 중요한 것은 파일 소유자의 권한을 얻게 되는 것인데요 특정 ..
[U-12/상] 2. 파일 및 디렉토리 관리 2.8 /etc/services 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 서비스 포트를 제한하거나 설정하는 항목으로 "/etc/services 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 포트란 결국 서비스를 받기 위해 찾아가는 것으로 예을 들어 웹은 80, FTP 20,21 처럼 해당 서비스를 접속하기 위해서는 포트가 필요합니다. 이러한 포트에 대한 설정하는 파일에 대해 소유자 및 권한 설정하는 항목 입니다. 일단 가이드를 보도록 하겠습니다. 서비스 포트 설정하는 파일 권한에 대한 점검 항목입니다. 서비스 포트란 간단하게 설명하자면 대형 백화점에 코너라고 생각하면 될 거 같습니다..
[U-11/상] 2. 파일 및 디렉토리 관리 2.7 /etc/syslog.conf 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. log는 보안적으로도 시스템 운영에도 매우 중요한 파일인데요 이러한 파일을 관리하는 파일을 설정하는 항목으로 "/etc/syslog.conf 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. log는 보안적으로 아주 중요한데요 그렇기에 매우 중요하게 관리하여야 합니다. 이렇게 중요한 파일은 생성부터 관리까지 설정할 수 있는 파일에 대한 점검입니다. 일단 가이드를 보도록 하겠습니다. /etc/ 폴더가 또 나옵니다. 파일 및 디렉토리 관리에서는 거의 모두 /etc/ 폴더와 연과 되어 있는데요 이번에 이야기하는 sysl..
[U-10/상] 2. 파일 및 디렉토리 관리 2.6 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 슈퍼 데몬 서비스는 취약점이 존재하며 또한 메모리 점유가 많이 발생되기에 사용하지 않는 경우 서비스 중지하도록 하는 항목으로 "/etc/(x)inetd.conf 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. 슈퍼데몬의 경우 현재는 많이 사용하지 않는 서비스로 메모리 점유 등을 문제가 발생되어 시스템 가용성을 저해하기에 사용하지 않고 있습니다. 하지만 꼭 필요한 경우 사용할 수도 있으나, 이유가 반드시 존재하여야 합니다. 일단 가이드를 보도록 하겠습니다. 슈퍼데몬 설정 파일인데요 결국 메모리 관리를 위해서 사용하..
[U-06/상] 2. 파일 및 디렉토리 관리 2.2 파일 및 디렉터리 소유자 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 관리적인 측면이 다수 존재하는 점검항목으로 "파일 및 디렉터리 소유자 설정"에 대하여 알아보도록 하겠습니다. 보안적인 측면보다는 관리적인 측면이 많이 점검항목으로 많은 시스템이 취약하다고 나올 수 있습니다. 시스템을 오래 사용하면 할수록 더욱 문제가 될 수 있는 점검항목입니다. 일단 가이드를 보도록 하겠습니다. UNIX는 파일을 생성하는 경우 소유자가 설정되게 되어 있습니다. 정상적인 방법으로는 소유지가 없는 파일이 존재할 수 없게 되어 있죠 해당 항목은 소유자가 존재하지 않은 파일이 있는지 또는 디렉터리가 있는지 확인하는 ..
[U-09/상] 2. 파일 및 디렉토리 관리 2.5 /etc/hosts 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 가장 높은 비율로 위험 수용을 하는 항목으로 설정하는 경우 오류가 발생할 가능성이 가낭 높은 항목으로 "/etc/hosts 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. hosts 파일은 dns서비스와 같은 기능을 하는 것으로 우선순위는 hosts 파일이 우선입니다. 그렇기에 hosts 파일이 잘못되는 경우 의도하지 않은 사이트로 접속할 수 있기에 권한 부여가 중요한데요 하지만 설정하는 경우 오류가 발생하기에 대부분 위험수용으로 처리하고 있습니다. 일단 가이드를 보도록 하겠습니다. hosts 파일 설정입니다. ..
[U-08/상] 2. 파일 및 디렉토리 관리 2.4 /etc/shadow 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. passwd파일은 계정 정보를 가지고 있는 파일이라면 shadow파일은 계정의 패스워드를 가지고 있는 파일로 해당 파일은 권한을 확인하는 "/etc/shadow 파일 소유자 및 권한 설정"에 대하여 이야기하도록 하겠습니다. shadow파일 또한 앞서 설명드린 [U-04/상]1. 계정관리 1.4 패스워드 파일 보호에서 간단하게 설명드렸었습니다. 패스워드를 가지고 있는 파일로 passwd를 도와주는 파일이라고 할 수 있습니다. 하지만 해당 파일은 패스워드를 보유하고 있기에 paaswd와 다르게 root만 확인할 수 있도록 해야 ..
[U-07/상] 2. 파일 및 디렉토리 관리 2.3 /etc/passwd 파일 소유자 및 권한 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 계정관리에서 가장 중요시 보는 passwd파일에 대한 권한 설정에 관한 점검항목으로 "/etc/passwd 파일 소유자 및 권한 설정"에 대하여 알아보도록 하겠습니다. passwd파일은 앞서 설명드린 [U-04/상]1. 계정관리 1.4 패스워드 파일 보호에서 간단하게 설명드렸었습니다. 해당 파일은 로그인에서 사용되는 파일이라 중요한 파일이지만 일반 사용자도 일단 열람까지는 가능하게 설정해야 하는데요. 일단 가이드를 보도록 하겠습니다. 먼저 파일 및 디렉터리 관리에서 가장 많이 언급되는 폴더 /etc에 대해서 이야기해보도록 하..
[U-05/상] 2. 파일 및 디렉토리 관리 2.1 root홈, 패스 디렉터리 권한 및 패스 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 UNIX에만 존재하는 중분류로 파일 및 디렉터리 관리는 UNIX운영체제의 특징이라고 할 수 있습니다. 이번 점검 항목은 환경변수 설정에 관한 내용인 "root홈, 패스 디렉터리 권한 및 패스 설정"에 대하여 이야기하도록 하겠습니다. 점검항목과 내용의 파이가 조금 있는데요 패스 설정이 해당 점검 항목에 중점입니다. 환경 변수 설정이라고 이야기할 수 있는데요 잘못되어 있는 경우에 사용자나 관리자가 의도하지 않은 파일이 실행되므로 문제가 될 수 있기에 중요한 항목이라고 할 수 있습니다. 일단 가이드를 보도록 하겠습니다. 환경 변수 설정에 대한 취약점 점검 항목이라고 보시면 되는데요 환경변수란? 프로세스가 컴퓨터에서 동작하는 방식에..
[ISMS-P] 1.2.2 현황 및 흐름분석 : "서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.2 현황 및 흐름 분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 상세점검항목 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도..
[ISMS-P] 1.2.2 현황 및 흐름분석 : "관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도 등으로 문서화하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.2 현황 및 흐름 분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 상세점검항목 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도..
[ISMS-P] 1.2.2 현황 및 흐름분석 : "관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 두 번째 항목인 현황 및 흐름 분석에 대해서 알아보도록 하겠습니다. 정보보안은 기업에 전반적인 절차사 프로세스를 확인해야 하는데요 이러한 부분을 파악하고 있는지 확인하는 항목이 바로 현황 및 흐름 분석입니다. 1.2.2 현황 및 흐름 분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 상세점검항목 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도..
[ISMS-P] 1.2.1 정보자산 식별 : "정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 첫 번째 항목인 정보자산 식별에 대해서 알아보도록 하겠습니다. 관리체계 점검에 첫 번째 중분류에서는 정보보호 및 개인정보보를 위해 관리적인 측면이나 정책적인 부분을 봤다면 두 번째 중분류에서 실재 업무에 필요한 부분을 확인하는데요 그 부분에 첫 번째는 보호하고자 하는 자산에 식별입니다. 1.2.1 정보자산 식별 조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 상세점검항목 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는..
[ISMS-P] 1.2.1 정보자산 식별 : "식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 첫 번째 항목인 정보자산 식별에 대해서 알아보도록 하겠습니다. 관리체계 점검에 첫 번째 중분류에서는 정보보호 및 개인정보보를 위해 관리적인 측면이나 정책적인 부분을 봤다면 두 번째 중분류에서 실재 업무에 필요한 부분을 확인하는데요 그 부분에 첫 번째는 보호하고자 하는 자산에 식별입니다. 1.2.1 정보자산 식별 조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 상세점검항목 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는..
[ISMS-P] 1.2.1 정보자산 식별 : "정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 위험관리에 첫 번째 항목인 정보자산 식별에 대해서 알아보도록 하겠습니다. 관리체계 점검에 첫 번째 중분류에서는 정보보호 및 개인정보보를 위해 관리적인 측면이나 정책적인 부분을 봤다면 두 번째 중분류에서 실재 업무에 필요한 부분을 확인하는데요 그 부분에 첫 번째는 보호하고자 하는 자산에 식별입니다. 1.2.1 정보자산 식별 조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 상세점검항목 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는..
[U-54/하] 1. 계정관리 1.15 Session Timeout 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목에서 거의 모든 대상에서 점검하는 항목으로 로그인 후 일정 시간 이상 이벤트가 발생하지 않는다면 로그아웃되게 설정하는 항목으로 "Session Timeout 설정"에 대하여 이야기하도록 하겠습니다. 한번 로그인하면 계속 로그인이 유지되는 것이 아니라 일정 시간 이상 이벤트가 발생하지 않는 경우 로그아웃하게 하여야 하는데요 이렇게 강제로 로그아웃 하게 설정하는 항목입니다. 일단 가이드를 보도록 하겠습니다. 로그인 이후 로그인 유지 시간을 이야기하는 것으로 Session Timeout 설정이 되어 있지 않은 경우는 한번 로그인하면 계정 해당 로그인이 유지됩니다. 물론 로그아웃을 하면 되지만 대부분을 사용자는 로그아웃을 하는 경우가 없..
[U-53/하] 1. 계정관리 1.14 사용자 shell 점검 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 첫 번째 하 항목으로 항목 비중에 비해 중요도가 낮은 거 같은데요 명령어의 집합으로 해당 권한이 있는 경우 명령어를 사용할 수 있기에 불필요 한 사용자의 권한을 분리하는 것으로 "사용자 shell 점검"에 대하여 알아보도록 하겠습니다. shell은 명령어의 집합? 아니면 컴파일러라고 할 수 있는데요 그렇기에 shell 권한을 가지고 있는 경우 명령어를 실행할 수 있기에 명령어를 사용할 필요 없는 계정은 해당 권한을 회수하여야 하는데요 일단 가이드를 보도록 하겠습니다. 앞서 설명드린 것처럼 shell라는 것은 사용자가 입력하는 명령어를 시스템에 전달하여 실행하는 중계 역할을 하는 것으로 사용자가 직접 명령을 내릴 필요 없는 계..
[U-52/중] 1. 계정관리 1.13 동일한 UID 금지 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 계정에 관한 부분으로 유닉스의 경우 UID값으로 계정을 관리하는데요 그러한 UID를 확인하는 점검항목으로 "동일한 UID 금지"에 대하여 알아보도록 하겠습니다. UID는 시스템에 인지하는 계정으로 사용자가 알고 있는 계정과 시스템에서 인지하는 계정은 다른데요 그렇기에 UID가 같은 경우 사용자는 다른 계정으로 인지하지만 시스템은 같은 계정으로 인지 합니다. 일단 가이드를 보도록 하겠습니다. UID는 시스템이 계정을 인식하는 값 입니다. UID기준으로 권한을 부여하고 있기에 동일한 UID는 동일한 권한을 가지고 있는 동일한 계정이 될 수 있는 것이죠. 사용자가 인식하는 계정은 2개 일수 있으나 시스템은 결국 하나의 계정으로 인..
[U-51/중] 1. 계정관리 1.12 계정이 존재하지 않는 GID금지 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 관리적인 측면으로 유닉스에서는 계정을 생성하는 경우 그룹도 같이 생성되는데요 정상적으로 계정을 삭제하는 경우에는 그룹도 같이 삭제됩니다. 그런데 계정이 존재하지 않은데 그룹만 존재한다는 것은 문제가 될 수 있는데요 이러한 부분을 점검하는 것으로 "계정이 존재하지 않는 GID금지"에 대하여 알아보도록 하겠습니다. GID는 그룹ID로 그룹명을 이야기하는 것으로 유닉스에서 계정이 생성되는 경우 그룹도 같은 이름으로 생성됩니다. 물론 정상적인 방법으로 계정을 삭제하게 되면 같이 삭제되는데요 그렇지 않은 경우는 문제가 될 수 있습니다. 일단 가이드를 보도록 하겠습니다. GID는 가이드에서는 다수의 사용자 특정 개체를 공유할 수 있게 ..
[U-50/중] 1. 계정관리 1.11 관리자 그룹에 최소한의 계정 포함 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 관리적인 측면으로 관리자 계정은 최소한으로 생성하여 이용해야 하는데요 관리자 그룹 또한 최소한으로 리하는 항목으로 "관리자 그룹에 최소한의 계정 포함"에 대하여 알아보도록 하겠습니다. 관리자 그룹은 관리자 계정과 비슷한 권한을 가지고 있는 것으로 관리자 그룹의 경우 강력한 권한을 가지고 있기에 관리자 그룹은 최소한으로 관리가 필요합니다. 일단 가이드를 보도록 하겠습니다. 먼저 그룹에 대하여 이야기 하자며, 그룹은 대부분 계정을 생성할 때 동일한 이름으로 생성되게 되어 있습니다. 그룹은 앞서 이야기한 것처럼 권한을 관리하기 위해서 그룹을 이용하는 경우가 많이 있는데요 이번 점검항목에서 확인하는 것은 관리자 그룹입니다. 관리자 ..
[U-49/중] 1. 계정관리 1.10 불필요한 계정 제거 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 관리적인 측면으로 계정에 대한 관리로 불필요한 경우 사용하지 못하게 하는 항목으로 "불필요한 계정 제거"에 대하여 알아보도록 하겠습니다. 계정 관리 차원으로 더 이상 사용하지 않는 계정이나 불필요하게 생성되어 있는 계정 그리고 혹시 악의 적인 계정에 대하여 점검하여 삭제하는 것입니다. 일단 가이드를 보도록 하겠습니다. 판단기준이 불필요한 계정 존재 여부입니다. 그렇다면 불필요 계정에 대한 기준이 어떻게 되면 어떻게 확인하는지가 가장 중요합니다. UNIX에서는 계정을 UID로 구분하고 있습니다. 앞서 확인했던 부분에서 UID는 시스템이 확인하는 계정 정보라고 이야기했었는데요 UNIX를 새로 설치하면 수많은 계정이 생성됩니다. ..
[U-48/중] 1. 계정관리 1.9 패스워드 최소 사용기간 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 패스워드 관련 내용으로 패스워드 변경 후 바로 변경하지 못하게 하는 것으로 "패스워드 최소 사용기간 설정"에 대하여 알아보도록 하겠습니다. 패스워드가 변경 뒤 다시 똑같이 변경하지 못하도록 하는것으로 최소 1일 이상으로 설정하게 되어 있는데요 일단 가이드를 보도록 하겠습니다. 최대 사용 기간 설정은 패스워드 사용 기간 제한을 하기 위해서 설정하는 것으로 보면 되는데 왜 최소 사용기간 설정이 필요 할까 싶어 하는 사람도 있습니다. 가이드에서 이야기 하듯이 기존에 사용하는 패스워드를 똑같이 제 사용하는 것을 방지 하기 위해서 입니다. 그런데 최근는 기존의 패스워드를 기억하고 있다가 똑같이 변경하는 경우 사용 못하게 하는 설정도 ..
[U-47/중] 1. 계정관리 1.8 패스워드 최대 사용기간 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 점검 항목 중 패스워드 관련 내용으로 패스워드를 최대 사용기간을 지정하는 것으로 "패스워드 최대 사용기간 설정"에 대하여 알아보도록 하겠습니다. 패스워드 변경주기를 지정하는 항목이라고 할 수 있는데요 최대 사용기간 지정에 대한 부분은 최근에 조금 변화가 있긴 한데요 하지만 서버에 대한 부분은 아직 그대로 유지되고 있는 거 같습니다. 일단 가이드를 보도록 하겠습니다. 90일(12주)로 설정하라고 나와 있습니다. 90일은 1년에 패스워드를 4번 변경하라고 하는 것입니다. 연 4회 패스워드를 강제로 변경할 수 있도록 시스템 상으로 설정해야 한다는 이야기로 정책적으로도 같이 지정하고 있는 항목 이죠 해당 항목이 최근에 조금 이슈가 있는 이유는 취..
자주쓰는 엑셀 함수(문자열 함수, 카운트 함수) [내부링크]
안녕하세요 IT몽상가 입니다. 오늘은 자주 쓰는 엑셀 함수에 대해서 정리해드리도록 하겠습니다. 엑셀은 회사 업무에 많이 사용하게 되는데요 저도 업무 하다 보면 엑셀 할수가 기억나지 않는데 인터넷에 검색하면 너무 많은 함수가 나와서 찾기 좀 복잡했습니다. 그래서 이번에 자주 쓰는 함수에 대해서 정리해 드리도록 하겠습니다. 1. MID - 중간에 있는 문자 가지고 오기 예) =MID(문자열,가지고올 글자 시작 번호,글자 수) 2. LEFT - 왼쪽부터 문자 가지고 오기 예) =LEFT(문자열,글자 수) 3. RIGHT - 오른쪽부터 문자 가지고 오기 예) =RIGHT(문자열,글자 수) 4. COUNT - 범위에 있는 셀 중 숫자가 있는 셀의 갯수 예) =COUNT(범위:범위) 5. COUNTA - 범위에 있..
[ISMS-P]1.1.6 자원 할당 : "연도별 정보보호 및 개인정보보호 업무 세부 추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 여섯 번째 항목인 자원 할당에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 자원 할당으로 정보보보호 및 개인정보보호 활동을 할 수 있도록 전문성을 갖춘 인력과 예산 및 자원을 충분히 할당하고 있는지 점검하는 항목입니다. 1.1.6 자원 할당 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. 상세점검항목 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가? 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 ..
[ISMS-P]1.1.6 자원 할당 : "정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 여섯 번째 항목인 자원 할당에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 자원 할당으로 정보보보호 및 개인정보보호 활동을 할 수 있도록 전문성을 갖춘 인력과 예산 및 자원을 충분히 할당하고 있는지 점검하는 항목입니다. 1.1.6 자원 할당 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. 상세점검항목 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가? 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 ..
[ISMS-P]1.1.6 자원 할당 : "정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 여섯 번째 항목인 자원 할당에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 자원 할당으로 정보보보호 및 개인정보보호 활동을 할 수 있도록 전문성을 갖춘 인력과 예산 및 자원을 충분히 할당하고 있는지 점검하는 항목입니다. 1.1.6 자원 할당 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. 상세점검항목 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가? 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 ..
[ISMS-P]1.1.5 정책 수립 : "정보보호 및 개인정보보호 정책∙시행문서의 최신 본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는 [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 다섯 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 정책 수립으로 정보보안 기본이 되는 정책에 대한 부분입니다. 정보보호 및 개인정보보호에 기초가 되는 것으로 법에서 요구하는 정책과 ISMS-P에서 요구하는 내용이 모두 포함되어 있는지 그리고 해당 정책이 경영진의 승인을 받고 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하고 있는지 점검하는 항목입니다. 1.1.5 정책 수립 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및..
[ISMS-P]1.1.5 정책 수립 : "정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 다섯 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 정책 수립으로 정보보안 기본이 되는 정책에 대한 부분입니다. 정보보호 및 개인정보보호에 기초가 되는 것으로 법에서 요구하는 정책과 ISMS-P에서 요구하는 내용이 모두 포함되어 있는지 그리고 해당 정책이 경영진의 승인을 받고 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하고 있는지 점검하는 항목입니다. 1.1.5 정책 수립 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및..
[ISMS-P]1.1.5 정책 수립 : "정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 다섯 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 정책 수립으로 정보보안 기본이 되는 정책에 대한 부분입니다. 정보보호 및 개인정보보호에 기초가 되는 것으로 법에서 요구하는 정책과 ISMS-P에서 요구하는 내용이 모두 포함되어 있는지 그리고 해당 정책이 경영진의 승인을 받고 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하고 있는지 점검하는 항목입니다. 1.1.5 정책 수립 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및..
[ISMS-P]1.1.5 정책 수립 : "조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하 [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 점검 항목 중 다섯 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 정책 수립으로 정보보안 기본이 되는 정책에 대한 부분입니다. 정보보호 및 개인정보보호에 기초가 되는 것으로 법에서 요구하는 정책과 ISMS-P에서 요구하는 내용이 모두 포함되어 있는지 그리고 해당 정책이 경영진의 승인을 받고 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하고 있는지 점검하는 항목입니다. 1.1.5 정책 수립 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및..
[ISMS-P]1.1.4 범위 설정 : "정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록 [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증 점검 항목 중 네 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 범위 설정으로 심사 범위를 잘 지정하고 있는지 점검하는 것입니다. 심사 범위란 결국 보호해야 하는 범위이기도 한대요 그렇다면 사실 모든 부분을 보호해야 하지 않을까 싶지만 실재 개인정보나 대외급을 자료는 다루지 않는 부서도 존재하기에 그런 부서를 제외하거나, 다양한 비즈니스를 제공하는 업체의 경우 그중 하나의 비즈니스에 대하여 인증심사가 진행된다면 해당 비즈니스와 연관되어 있는 부분만 범위로 선정하면 됩니다. 1.1.4 범위 설정 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된..
페가수스 스캔들 [내부링크]
안녕하세요 IT몽상가입니다. '터질 게 터진 ‘페가수스 스캔들’, 전 세계의 분노를 사기에 이르러' 기사에 대해서 이야기해보도록 하겠습니다. 페가수스란 각종 앱과 장비로부터 민감한 정보를 수집하는 스파이워어라고 하고 있습니다. 민감정보에 범위는 상상 이상입니다. 텔레그램이나 시그널 같은 종단 간 암호화가 되어 있는 앱도 주고받는 메시지들을 읽어 올 수 있다고 합니다. 그런데 해당 스파이 웨어가 뭐가 문제인가 하면 이걸 만든 NSO그룹은 직접 사용하고 있지는 않다고 합니다. 쓰지도 않는 걸 만든 이유가 없겠죠 정부기관들을 상대로 비밀리에 판매했다고 합니다. 5만 대가 넘는 장비가 감시 대상이 되었다고 하는데요 NSO그룹의 해명 중 중점이 되는 건 우리가 만들었지만 우리는 직접 운영하지 않았다 가 주입니다...
개인정보는 어떻게 유출될까? [내부링크]
안녕하세요 IT몽상가입니다. 오늘의 보안뉴스는 개인정보는 어떻게 유출될까? 기사입니다. 기사 원본 항상 최하단에 있습니다. 개인정보 유출 사고는 생각보다 자주 발생하는데요 이미 예전부터 빗썸, kt, 카드사 등 수많은 개인정보 유출 사고가 발생하였습니다. 주목해야 하는 부분은 개인정보 유출이냐 노출이냐 를 확인해봐야 하는데요 노출은 의도하지 않았으나 개인정보가 포털사이트나 검색엔진을 통하여 개인정보가 노출되는 것인데요 이런 부분은 개발자나 운영자들의 실수라고 할 수 있습니다. 유출은 개발 및 운영 중의 실수가 아닌 누군가의 의도로 인하여 개인정보가 외부로 유출되는 것을 말합니다. 노출은 실수라 할 수 있으나 유출은 악의적인 의도가 바탕에 있다는 것이죠 해당 기사를 보면 사실 해킹으로 인한 개인정보 유출보..
레빌 랜섬웨어의 카세야 사태 [내부링크]
안녕하세요 IT몽상가입니다. 랜섬웨어 지긋지긋합니다. 이번에 또 엄청 큰 사고를 쳤는데요 주말 미국에서는 카세야 사태, 레빌 랜 셈웨어 때문에 정신이 없다고 합니다. 심지어 7천만 달러(약 790억 원)!!! 엄청난 금액을 요구하고 있습니다. 그렇다면 도대체 랜섬웨어가 어떤 것이고 어떠한 원리로 작동하며, 왜 랜섬웨어 사고는 계속 발생하는지 알아보도록 하겠습니다. 랜섬웨어가 우리나라에서 큰 사건 중 처음을 장식한 사건은 나야 나(웹 호스팅) 랜섬웨어 감연 사건입니다. 당시 피해규모는 서버 및 백업 서버 153대로 엄청난 규모였는데요 이때는 사실 랜섬웨어의 무서움은 전파성이었습니다. 한대가 감염되었을 경우 감염 PC와 연결되어 있는 다른 PC에 전파되어 엄청난 피해를 입히곤 했습니다. 그래서 처음에는 랜섬..
정보보안담당자 후기 [내부링크]
안녕하세요 IT몽상가 입니다. 오늘은 정보보안 담당자 업무를 하면서 어려웠던 부분과 좋았던 부분에 대한 경험 후기 말씀드리도록 하겠습니다. 정보보안 담당자 입사 후 가장 중요한 업무는 ISMS 인증 심사 준비였습니다. 입사날짜는 7월 그리고 ISMS인증서 유효기간은 2023년 5월이었는데요 이런 경우 ISMS 갱신 심사 진행 예정일은 인증서 갱신 날에서 역으로 90일 이전에 심사가 완료되어야 합니다. 이유는 인증심사 결함사항 조치 일정 때문인데요 ISMS 인증심사 결함 조치 일정은 30일로 인증심사 대상 업체가 요청 시 최대 60일 연장 가능하여 총 90일 동안 인증심사 결함 조치가 가능합니다. 10월에 인증 신청서 작성 시 ISMS 인증 심사 관련 서류가 모두 작성되어야 합니다. 일반적으로 취약점 진단..
[보안]2021년 상반기 사이버위협 동향 보고서-KISA(솔라윈즈 SUNBURST보안 해킹(공급망 공격)) [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 2021년 상반기 사이버 위협 동향 보고서 중 상세분석 2 솔라윈즈 SUNBURST 보안 해킹을 살펴보기로 하겠습니다. 먼저 공급망 이란 서비스 제공을 위하여 연결되어 있는 연관 기업과 자료 등을 주고받거나 시스템상 연결되어 있는 것을 공급망이라고 합니다. 전용선과 비슷하죠 관련 있는 시스템이나 업체들만 연결하여 사용하기에 민감정보나 주요 정보가 많이 있습니다. 솔라윈즈의 경우 미국의 주요 기관에 사용되는 소프트웨어로 많은 공공기관이 사용하고 있었기에 파급력이나 피해가 크다고 볼 수 있으며, 믿고 쓰던 소프트웨어 악성코드가 존재하기 많이 기업이 놀랐습니다. 해당 악성코드의 동작 방식을 살펴보면 •C2 서버에 접근하기 전에 SUNBURST는 분석 도구가 없는지 확인하기 ..
[보안]2021년 상반기 사이버위협 동향 보고서-KISA(안랩, 클롭 랜섬웨어 분석) [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 2021년 상반기 사이버 위협 동향 보고서 중 상세분석 1 안랩, 클롭 랜섬웨어 분석을 살펴보기로 하겠습니다. 안랩은 2019년에 국내에서 클롭 랜섬웨어에 의한 피해가 크다고 보고 클롭에 대한 분석 보고서를 공개했는데요. 해당 클롭 랜섬웨어는 바로 2020년 하반기 이랜드를 공격한 랜섬웨어 있습니다. 안랩 발표 보고서를 보면 2019년 369개 기업, 13,497개 시스템(PC 및 서버)이 피해를 본 것으로 파악되었다고 합니다. 이미 2019년에 악명을 떨치던 랜섬웨어라는 것이죠 물로 해당 랜섬웨어는 변조되어 많이 사용되는데요 2019년 2월에 크롭의 변종이 급증하고, 이후에도 꾸준히 변종이 발견되는 것을 확인할 수 있습니다. 이랜드그룹 공격에 사용된 클롭의 특징은 랜..
주요정보통신기반시설 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 정보통신 기반시설에 대해서 알아보도록 하겠습니다. 주요정보통신 기반시설이란 국가안보 및 경제 사회에 미치는 영향 등을 고려하여 정부 및 공공기관에서 관리해야 하는 주요 정보시스템 또는 정보통 신방을 말한다. 네이버 지식 백과에서 나오는 내용입니다. 풀어말하자면 침해사고 및 해킹으로 인하여 해당 정보통신이 마비될 경우 국가안보 및 경제 사회에 미치는 영향은 높은 시설로 국민건강보험공단, 교육청, 시청, 도청, 도로교통 공단 등 민간서비스는 주로 하는 공공기관을 말합니다. 2022 국가정보보호 백서를 확인했을 때 2021년 기준 공공 277개 민간 147개로 총 424개 기관이 주요 정보통신 기반시설로 지정되어 있습니다. 국가정보보호 백서에서 나온 것처럼 정보통신 기..
정보보안담당자 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 보안 직업 중 마지막 정보보안 담당자에 대해서 이야기하겠습니다. 보안을 공부하고 보안 직업을 가지고 있을 때 거의 모든 사람이 꿈꾸는 CISO에 가장 근접한 직업이라고 할 수 있죠! CISO란 정보보안 최고책임자로 한 기업의 정보 보하는 총괄하는 하는 사람으로 임원급에 준하는 권한을 가지고 있습니다. 특정 기준 이상이 회사는 반드시 임원을 선정해야 하며 최근 법이 더 강화되어 회사 규모가 큰 경우 겸직 또한 금지됩니다. 그래서 규모가 있는 회사의 경우 CISO는 임원에 정보보안 관련 업무를 제외한 다른 업무를 할 수 없습니다. 정보보안 업무를 전담으로 하는 임원이 생기게 되는 것이죠 정보보안담당자에 입장에서 환영할 만한 일입니다. 정보보안 담당자는 법 위반 사항이나 시..
보안관제에 대하여 [내부링크]
안녕하세요 IT몽상가입니다. 지금까지 보안 관련 직업 그리고 지정 업체에 대해서 알아봤는데요 그렇다면 각 직업의 특성이나 향후 진로들에 대해서 알아보도록 하겠습니다. 오늘은 직업 첫 번째 편!! 보안관제에 대해서 알아보도록 하겠습니다. 보안관제란? 「국가 전산망 보안관제 지침」에서는 정보통신망을 대상으로 수행되는 사이버 공격정보를 탐지, 분석, 대응하는 일련의 활동이라 정의하고 있으며, 보안관제 수행 3원칙으로는 「국가 정보보안 기본지침」,「국가 사이버안전 관리규정」에 무중단의 원칙, 전문성의 원칙, 정보공유의 원칙으로 명시되어 있습니다. 보안관 제라는 것은 정보통신망을 이용한 공격을 탐지하고 분석하고 대응하는 것으로 사실 아주 높은 수준의 기술력을 가지고 있어야 하는 분야로 외국에서는 가장 경력이 많거..
정보보호 전문 서비스 기업 [내부링크]
안녕하세요 IT몽상가입니다. 정보보호 전문 서비스 기업에 대해서 알아보겠는데요 이전 글에서 말씀드렸던 보안관제 전문 기업처럼 국가기반시설이라는 국가운영에 반드시 필요한 공공기관에 대하여 보안 컨설팅할 수 있는 기업을 정보보안 전문 서비스 기업(이하 지정업체)이라고 합니다. 지정업체 역시 특정 기준을 충족하면 한국인터넷진흥원(KISA)의 심사를 거처 지정하게 되어 있는데요 국가기반시설의 경우 반드시 연 1회 이상 컨설팅을 받고 보호대 책서를 작성하여 상위 공공기관에게 제출하게 되어 있어 보안컨설팅 기업 매출에 상단 부분을 차지하고 있습니다. 컨설턴트를 목표로 공부하여 취업을 한다면 먼저 지정업체에 도전하여야 합니다. 그럼 우리가 도전할 지정업체가 어떤 곳이 있는지 알아보겠습니다. 매년 주요 정보통신 기반시..
[U-46/중] 1. 계정관리 1.7 패스워드 최소 길이 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 항목에서 패스워드 확인하는 것들이 참 많은데 이제 다시 패스워드 관리 항목으로 "패스워드 최소 길이 설정"에 대하여 알아보도록 하겠습니다. 패스워드는 인증에 사용되는 것으로 매우 중요한 정보입니다. 하지만 패스워드 생성은 사용자가 하기에 강제하지 않으면 편하게 만들게 되어 있기에 강제성을 두기 위한 설정으로 패스워드 최소 길이 설정입니다. 일단 가이드를 보도록 하겠습니다. 패스워드의 가장 짧은 길이 제한을 하는 것이죠 정책적인 부분에서도 패스워드 길이에 대한 부분을 관리하고 있으나 그것은 정책적인 부분이고 해당 항목은 강제적이죠 해당 길이가 충족하지 않으면 패스워드 생성이 불가능하게 만드는 것입니다. 패스워드는 인증에 사용 되고 있으며, ..
[U-45/중] 1. 계정관리 1.6 root 계정 su 제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 항목에서 root에 대한 원격 접속을 차단하고 있는데요 해당 항목은 원격 접속 후 root로 스위칭할 수 있는 명령어를 확인하는 항목으로 "root 계정 su 제한"에 대하여 알아보도록 하겠습니다. root에 대한 원격 접속은 차단되어 있습니다. 하지만 원격 접속하여 관리해야 하는 경우가 있는데요 이럴때 사용하는 명령어가 "su" 명령어인데요 "su"는 계정을 스위칭하는 명령어로 다른 계정으로 변경할 때 사용하는 것인데요 해당 명령어는 앞서 이야기드린 것처럼 원격으로 root로 접속하기 위해 사용되는 명령어로 사용자 관리가 중요합니다. 일단 가이드를 보도록 하겠습니다. SU명령어 사용을 허용하는 사용자를 지정하고 그룹이 설정되어 있는지 점..
[U-44/중] 1. 계정관리 1.5 root 이외의 UID가 ‘0’ 금지 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 항목에서 유닉스에서 UID를 이용하여 권한 및 계정관리가 이루어지기에 UID 관리하는 점검항목으로 "root 이외의 UID가 ‘0’ 금지"에 대하여 알아보도록 하겠습니다. 유닉스에서는 계정을 인식하는 방법으로 UID를 이용합니다. 그렇기에 UID가 동일한 경우 동일한 계정으로 인식하는데요 그중에 조금 특별한 UID인 '0'값은 관리자인 root를 지칭하는 것으로 아무나 사용 못하게 해야 합니다. 일단 가이드를 보도록 하겠습니다. UNIX에서 "/etc/passwd" 파일은 매우 중요한 파일입니다. 해당 파일에서 확인할 수 있는 정보가 다수 존재하기에 매우 중요한 파일이라고 할 수 있습니다. "/etc/passwd"파일에서 UID값을 확인합..
[U-04/상]1. 계정관리 1.4 패스워드 파일 보호 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 항목에서 유닉스에서 로그인시 접근하는 파일를 관련되 점검항목으로 "패스워드 파일 보호"에 대하여 알아보도록 하겠습니다. 유닉스 시스템의 특징이라고 할 수 있는데요 CUI방식에 로그인 과정에서 파일을 확인하여 로그인이 진행되어야 하기에 계정과 패스워드가 파일 형태로 존재하며, 해당 파일은 로그인에 사용되기에 누구나 확인할 수 있어야 하는데요 그렇기에 보안적으로 위험하기에 위험을 방지하기에 패스워드 파일을 따로 관리합니다. 일단 가이드를 보도록 하겠습니다. 패스워드 파일 보호 항목에서 처음로 etc폴더가 등장합니다. 해당 폴더는 유닉스 보안에서 가장 중요하다고 할 수 있는 폴더인데요 유닉서 환경설정에 사용되는 파일이 모여 있는 폴더이기에 침해..
[자격증 추천]정보보안기사(2022년 업데이트) [내부링크]
안녕하세요 IT몽상가입니다. 정보보안 기사에 대해서 말씀드리겠습니다. 정보보안 기사는 2013년 민간 공인으로 운영되던 정보보안 자격시험인 SIS(Specialist for Information Security)가 ‘정보보안 기사, 정보보안산업기사’ 등의 국가 기술자격제도로 승격되었습니다. 기존 민간자격증이 국가공인자격증이 되어 한국인터넷 진흥원에서 해당 자격증에 대한 시험을 주관하고 관리하고 있었으나, 올해부터는 KCA에서 시험을 주관하고 있으며, 2021년 제 17회 최종합격률이 0.96%(20명), 제 18회에는 2.99(56명) 합격률이 많이 낮습니다. 특히 난이도가 높은건 바로 실기로 최근 실기 시험 후기를 찾아보시면 ISMS-P 시험 수준이나 너무 난이도가 높다고 하시는 분이 많이 있습니다. ..
[U-03/상] 1. 계정관리 1.3 계정 잠금 임계값 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 항목에서 패스워드 관리 중 로그인 시도 제한을 할 수 있는 설정인 "계정 잠금 임계값 설정"에 대하여 알아보도록 하겠습니다. 계정 잠금 인계값 설정은 패스워드 입력 시 특정 횟수 이상 틀렸을 경우 더 이상 로그인 시도를 하지 못하도록 차단하는 설정입니다. 일단 가이드를 보도록 하겠습니다. 계정 잠금 임계값 설정은 패스워드가 틀렸을 경우 잠금하여 더 이상 로그인 시도를 못하는 게 하는 것으로 설정을 잠금을 하지 않는 경우 공격도 가능합니다. 그렇기에 패스워드 복잡성 설정과 그전에 말씀드린 root 원격 접속 차단까지 함께 봐야 하는 부분입니다. 먼저 왜 root 원격 접속 항목을 같이 봐야 하는가 인데요 이 부분에 있어서는 원격 접속하는 방..
정보보안 컨설턴트(보안 컨설턴트) 란? [내부링크]
안녕하세요 IT몽상가입니다. 정보보안 컨설턴트란 기업의 보안 리스크를 해결하고자 기업 내에 있는 취약점이나 위법사항 등을 찾아내고 해결 방안을 제시하는 컨설팅 업무를 진행하는 인력을 말합니다. 쉽게 말하자 웹 취약점 진단, 시스템 취약점 진단, 모바일 취약점 진단, 관리적 물리적 진단 등 보안과 관련되어 있는 모든 시스템 및 지침, 시설 등에 대하여 보안 취약점을 찾아내고 해결방안을 제시함으로써 보안 리스크를 해결해주는 것을 말하죠 보안 컨설턴트는 회사에 상주하여 업무를 보는 것이 아니라 컨설팅을 요구하는 기업에 찾아가 해당 기업의 보안적 취약점을 찾아내고 해결방안을 제시하는 업무가 주 업무인데요 다른 기업에 찾아가 업무를 진행하기에 "을"이라고 할 수 있죠 사실 눈치도 봐야 하고 분명 도와 주로 왔고 ..
[U-02/상]1. 계정관리 1.2. 패스워드 복잡성 설정 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 항목에서 패스워드 관리 항목이 다수 존재하는데 그중 가장 먼저 나오는 항목인 "패스워드 복잡성 설정"에 대하여 이야기해보고자 합니다. 패스워드 복잡도 설정은 패스워드에 기본이 되는 것으로 패스워드 탈취하는 공격 중 가장 기본이 되는 무차별 대입 공격을 대비한 설정이라고 할 수 있습니다. 일단 가이드를 보도록 하겠습니다. 패스워드 복잡성 설정은 우리가 평상시에 사용하는 패스워드와 동일하다고 보고 진단하면 됩니다. 문자+숫자+특수문자에 사실 공백과 문자에는 대소문자 구분까지 있는 게 맞습니다. 또한 길이는 가이드 상 8자리로 되어 있으나 현재 대부분의 시스템의 패스워드 길이 권장은 9자리입니다. 그래서 대부분 금융권이나 주요 통신 기반시설 점..
ISMS-P 인증 심사 [내부링크]
https://youtu.be/964KdAkeI7U 안녕하세요 IT몽상가입니다. ISMS에 이어 오늘은 ISMS-P에 대해서 알아보도록 하겠습니다. 정보보호 및 개인정보보호 관리체계 인증이라고 하는데요 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도입니다. 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조 개인정보보호법 제32조의 2 개인정보보호법 시행령 제34조의 2~제34조의 8 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 ISMS와 가장 큰 차이는 역시 개인정보 관련 조항입니다. 해당 항목..
ISMS인증 심사 [내부링크]
안녕하세요 IT몽사가 입니다. ISMS에 대해서 알아보도록 하겠습니다. ISMS가 PIMS와 합쳐져서 ISMS-P라는 인증이 되었는데요 아직 까지 ISMS 인증 심사가 진행되기에 따로 다루기로 하겠습니다. 먼저 ISMS(Information Security Management System)를 흔히 정보 보안 경영시스템이라고 해석한다. BSI에서는 기업이 민감한 정보를 안전하게 보존하도록 관리할 수 있는 체계적 경영시스템이라고 정의하고 있죠 국내에서 2002년부터 한국인터넷 진흥원에서 ISMS 인증을 진행해 왔으며 2013년 민간기업 중 필수 인증 대상을 지정하여 기업의 정보보안 수준을 향상하려 노력하고 있습니다. ISO 27001에서는 PDCA 모델을 통해서 ISMS를 발전시켜 나갈 수 있다고 말하고 있..
IT 보안? [내부링크]
안녕하세요 IT몽상가입니다. IT 보안이란? - IT 기반으로 제공되는 서비스에 대해서 보안의 3대 요소(무결성, 가용성, 기밀성)를 보장하는 것입니다. 그러면 여기서 말하는 보안의 3대 요소에 대해서 이야기해 보겠습니다. 무결성 이란? 서비스에서 사용되고 있는 데이터를 권한이 없는 사용자가 변조하지 못하게 하는 것으로 권한이 없는 사용자에 의해 데이터를 변조되는 경우 이것을 무결성이 침해되었다고 할 수 있습니다. 홈페이지 메인화면 및 메뉴의 이름 등이 변경되거나 공지사항이나 타인의 글을 수정하는 것을 방지하기 위하여 2차 인증이나 권한 확인 등을 통하여 무결성을 확보하고 있습니다. 가용성 이란? 서비스를 효율적이고 안정적으로 제공하는 것으로 보편적으로 알고 있는 보안과는 거리가 있을 수 있습니다. ..
개발 언어 추천 [내부링크]
안녕하세요 IT몽사가 입니다. IT인력에 대한 몸값이 많이 오르고 있는데요 특히 프로그래머에 대한 몸값이 많이 올랐습니다. 그래서 오늘은 프로그밍 언어 선택에 대해서 이야기해보도록 하겠습니다. 사실 프로그래밍 언어 선택은 사람마다 생각이 많은 차이가 있습니다. 해당 글은 정말 개인적인 생각으로 작성하도록 하겠습니다. 프로그래밍 언어 선택에 가장 중요한 거 언어를 배우고 해당 언어가 얼마나 많이 사용되는지가 중요한대요 그런 가장 많이 사용 중인 언어를 찾아보도록 하겠습니다. 요즘 가장 핫한 언는 Python이죠 많은 학원이나 학교에서 해당 언어를 가르치고 있습니다. 하지만 제가 추천 하는 없어서 Python은 아닙니다. 아주 좋은 언어고 추가적으로 발전 가능성이나 활용도가 높아질 가능성은 있으나, 처음 언..
패스워드 정책 및 관리 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 IT 기본 지식에 대해서 이야기해보겠는데요 오늘의 주제는 PASSWORD입니다!!!!! 누구나 어디서나 다양한 길이와 다양한 정책에 따라 패스워드를 제작하여 사용하고 있는데요 패스워드 생성 규칙 및 안전하게 관리하는 방법과 작년에 있던 패스워드 관련 사고까지 이야기해보도록 하겠습니다. 먼저 패스워드를 사용하는 이유에 대해서 생각해보도록 하겠습니다. 패스워드를 목적은 비밀스러운 정보는 숨기거나 인증을 위해 아이디와 같이 사용합니다. 우리가 가장 많이 사용하는 것은 인증에 사용하는데요 아이디와 같이 사용함으로써 본인을 인증합니다. 물론 중요한 사항에서는 추가 인증 절차가 존재 하나 거의 모든 인증에 기본은 패스워드입니다. 패스워드 생성 규칙..
보안관제 전문기업 [내부링크]
https://youtu.be/devqnPYbHd0 안녕하세요 IT몽상가입니다. 오늘은 보안 관련 직업 중 보안관제와 보안컨설팅에 관하여 취업할 기업 선정 시 도움이 될 정보를 안내드리겠습니다. 보안관련 직업은 법과 연관되어 있다고 말씀드렸는데요 보안관제와 보안컨설팅은 공공기관에 대한 관제 및 컨설팅을 진행하기에 국가에서 몇몇 기업을 지정하게 되어 있습니다. 내가 보안 관련 직업 중 관제나 컨설팅을 선택 시 국가가 지정한 업체에 입사하는 것이 더 좋겠죠 그러면 국가 지정한 관제 업체와 컨설팅 업체에 대해서 알아보도록 하겠습니다. 먼저 보안관제 전문 기업에 대해서 알아보겠는데요 국가에서 운영 중인 공공기관에 각종 인터넷 대민 서비스에 대하여 보안관제 사업에 대해 입찰 및 수주하여 관제서비스를 제공할 수 있..
정보보안 인력 등급 [내부링크]
안녕하세요 IT몽상가입니다. IT보안 관련 직종은 공공기관이나 다른 회사에 제안하여 사업을 수주하는데 인력에 대한 프로필이 들어가고 그 인력에 대한 등급이 존재합니다. 또한 보안 전문기업(보안관제 전문기업, 정보보호 전문 서비스 기업)은 등급기준에 따라 인력의 등급을 한국인터넷진흥원에 등록하게 되어 있습니다. 해당 등급은 국가가 지정한 등급으로 모든 보안 전문기업에 적용되며, 이직하거나 사업에 제안할 때 중요한 부분이기에 확인하고 관리가 필요하죠 그럼 해당 등급을 기준에 대해서 이야기해보도록 하겠습니다. 이처럼 초급, 중급, 고급, 특급으로 총 4단계로 나누어져 있습니다. 먼저 초급 기준을 확인하며, 4년제 대학 졸업 (학사학위 취득) 2년제 대학 졸업 + 경력 2년 (전문학사 학위 취득) 기사 자격증 ..
정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 점검항목 [내부링크]
안녕하세요 IT몽상가입니다. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 점검항목에 대하여 알아보도록 하겠습니다. ISMS-P는 ISMS항목과 P(개인정보보호) 항목으로 나누어져 있습니다. 법적으로 필수적으로 획득해야 하는 인증은 ISMS입니다. 간혹 ISMS-P로 모두 해야 한다고 생각하시는 분들이 있는데 법적으로는 아직 ISMS-P는 필수 항목이 아니죠 점검 항목은 ISMS 인증 점검 항목은 관리체계 수립 및 운영(16개)/세부항목(42)으로 구성되어 있습니다. 관리체계 수립 및 운영 항목은 대부분 정책적인 지침이나 관리자 지정 등 정보보호 관리체계 운영시 필요한 기본적이 지침과 담당자 지정이라고 보시면 됩니다. 다음은 보호대책 요구사항으로 실제 관리체계 수립 및 운영이 잘되고 있는지 확인하..
웹(Web) 취약점 점검 항목 [내부링크]
안녕하세요 IT몽상가입니다. 주요 통신 기반시설 취약점 점검 항목 중 시스템 취약점 점검 항목에 대해서 이야기하도록 하겠습니다. 해킹을 이야기하는 경우 웹을 통한 해킹을 가장 먼저 떠오릅니다. 이 처럼 비전공자나 보안을 공부를 시작하는 사람들이 가장 좋아하고 재미있어하는 부분입니다. 일단 진단 항목을 보고 오도록 하겠습니다. 웹 취약점 항목은 모두 상으로 표시되어 있습니다. 또한 번호도 따로 존재하지 않습니다. 앞서 이야기한 [IT기본]모의해킹에서 보는 웹 서비스 해당 글을 보신 분이라면 웹이란 환경이 얼마나 취약한 환견에서 돌아가고 있는지 알고 계실 거라 생각합니다. 그렇기에 항목의 중요도는 모두 상으로 빠르게 조치해야 하는 항목들입니다. 그리고 번호가 따로 없는 이유는 모든 점검항목을 확인하긴 하지만..
[ISMS-P]1.1.4 범위 설정 : "전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증 점검 항목 중 네 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. 이번 ISMS-P 인증 점검 항목은 범위 설정으로 심사 범위를 잘 지정하고 있는지 점검하는 것입니다. 심사 범위란 결국 보호해야 하는 범위이기도 한대요 그렇다면 사실 모든 부분을 보호해야 하지 않을까 싶지만 실재 개인정보나 대외급을 자료는 다루지 않는 부서도 존재하기에 그런 부서를 제외하거나, 다양한 비즈니스를 제공하는 업체의 경우 그중 하나의 비즈니스에 대하여 인증심사가 진행된다면 해당 비즈니스와 연관되어 있는 부분만 범위로 선정하면 됩니다. 1.1.4 범위 설정 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된..
[ISMS-P]1.1.3 조직구성 : "전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증 점검 항목 중 세 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. ISMS-P 인증 점검 항목의 세 번째 항목은 조직 구성으로 정보보안 및 개인정보보호를 위하여 어떠한 조직을 구성하였는가를 보는데요 앞서 확인했던 경영진 참여와 최고책임자 지정과는 조금 다른 건 강제성이 존재하지는 않다는 거입니다. 경영진 참여와 최고책임자 지정은 법적으로 조건이 존재하나 조직 구성은 그런 부분은 존재하지 않습니다. 1.1.3 조직 구성 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정..
[ISMS-P]1.1.3 조직구성 : "조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련 사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증 점검 항목 중 세 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. ISMS-P 인증 점검 항목의 세 번째 항목은 조직 구성으로 정보보안 및 개인정보보호를 위하여 어떠한 조직을 구성하였는가를 보는데요 앞서 확인했던 경영진 참여와 최고책임자 지정과는 조금 다른 건 강제성이 존재하지는 않다는 거입니다. 경영진 참여와 최고책임자 지정은 법적으로 조건이 존재하나 조직 구성은 그런 부분은 존재하지 않습니다. 1.1.3 조직 구성 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정..
[ISMS-P]1.1.3 조직구성 : " 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성.. [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증 점검 항목 중 세 번째 항목인 조직 구성에 대해서 알아보도록 하겠습니다. ISMS-P 인증 점검 항목의 세 번째 항목은 조직구성으로 정보보안 및 개인정보보호를 위하여 어떠한 조직을 구성하였는가를 보는데요 앞서 확인했던 경영진 참여와 최고책임자 지정과는 조금 다른 건 강제성이 존재하지는 않다는 거입니다. 경영진 참여와 최고책임자 지정은 법적으로 조건이 존재하나 조직 구성은 그런 부분은 존재하지 않습니다. 1.1.3 조직구성 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보..
[ISMS-P]1.1.2 최고책임자의 지정 : 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 지원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있.. [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증 점검 항목 중 두 번째 항목인 최고책임자의 지정에 대해서 알아보도록 하겠습니다. ISMS-P 인증 점검 항목의 두 번째 항목으로 최고책임자 지정 으로 앞서 점검항 경영진 참여와 비슷한 맥락이고 보면 될거 같은데요 정보보호 및 개인정보보호 업무는 수익을 발생하는 업무가 아니면서도 업무를 복잡하고 어렵게 하는 경향이 있기에 정보보호 관련 업무에 대한 반발감이 높은 평입니다. 그렇기에 정보보호 및 개인정보보호 최고책임자가 누구인가가 중요한데요 해당 항목에서 이러한 부분을 점검하고 있습니다. 1.1.2 최고책임자 지정 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·..
[ISMS-P] 1.1.2 최고책임자의 지정 : "최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 점검 항목 중 두 번째 항목인 최고책임자의 지정에 대해서 알아보도록 하겠습니다. ISMS-P 인증 점검 항목의 두 번째 항목으로 최고책임자 지정 으로 앞서 점검항 경영진 참여와 비슷한 맥락이고 보면 될거 같은데요 정보보호 및 개인정보보호 업무는 수익을 발생하는 업무가 아니면서도 업무를 복잡하고 어렵게 하는 경향이 있기에 정보보호 관련 업무에 대한 반발감이 높은 평입니다. 그렇기에 정보보호 및 개인정보보호 최고책임자가 누구인가가 중요한데요 해당 항목에서 이러한 부분을 점검하고 있습니다. 1.1.2 최고책임자 지정 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산..
정보보안 관련 직업은? [내부링크]
안녕하세요 IT몽상가입니다. 정보보안 관련 직업은 항상 유망직종으로 구분되어 있는데요 그렇다면 구체적으로 정보보안을 공부해서 취업할 수 있는 직업은 어떠한 것들이 있는지 확인해 보도록 하겠습니다. 일단 정보보안이란 직업은 수익을 발생시키는 일은 아닙니다. 경영을 잘하면 비용을 줄여서 수익이 증대되고 마케팅을 잘하면 매출이 오르고 디자인이 이쁘면 많이 팔리고 하는 것과는 다른다는 것이죠 보안 수준이 높은 기업이라고 매출이 증가하는 일을 없습니다. 그렇기에 보안 관련 부서는 힘을 가지고 있는 않은 경우가 많이 있습니다. 하지만 아이러니하게요 보안은 기업에 전체적인 프로세스와 업무를 다 확인하고 감시하고 점검해야 하기에 권한이 필요한데요 그렇기에 법적으로 보안 관련 부분은 반드시 지키게 되어 있으며, 정보보호..
[자격증 추천]CPPG 개인정보 관리사 [내부링크]
안녕하세요 IT몽상가입니다. 정보보안 쪽으로 취업을 희망하는 사람들에게 가장 먼저 추천드리는 자격증입니다. 일단 전문적인 자격증입니다. 개인정보보호 관련 전문 자격증으로 국가공인 자격증이 없기에 유일한 자격증이라고 할 수 있죠 그리고 해당 자격증을 소지하는 경우 개인정보보호 관련 경력 1년을 인정받을 수 있기에 추후 심사위원 자격심사 시험에 경력을 보충할 수 있습니다. 또한 다른 자격증과 다르게 한번의 시험으로 취득이 가능합니다. 필기와 실시가 별도로 존재하지 않죠 그렇기에 가장 먼저 추천 드리며, 자격증 시험에 응시하기 위한 조건이 따로 없기에 누구나 응시 가능합니다. 이러한 다양한 장점이 존재하는 자격증은 CPPG 자격증입니다! 단점이라고 하며 시험이 난이도가 점점 올라가고 있고 또한 응시료가 만만치..
[자격증 추천]정보처리기사 [내부링크]
안녕하세요 IT몽상가입니다. 취업 관련 강연을 하거나 모교에 가서 후배들과 이야기하는 경우 가장 많이 질문 나오는 것이 자격증을 추천해달라고 요청합니다. 그때마다 가장 기본으로 말씀드리는 자격증인데요 추천드리는 자격증은 IT계열 또는 정보보안뿐만 아니라 공무원 등 다양한 곳에서 이정하고 가산점을 주는 자격증입니다. 하지만 그렇다고 취득 난이도가 매우 높은 편은 아니기에 가장 먼저 추천드리는 자격증인데요 해당 자격증은 바로 정보처리 기사 자격증입니다! 정보처리 기사의 경우 구인광고 및 취업 시 가장 인기 있는 자격증 순위에 9위에 위치하고 있는 자격증입니다. IT계열 자격증 중에는 가장 높은 위치를 차지하고 있는 자격증이죠 그렇기에 IT계열로 취업을 희망하는 사람들에게 가장 먼저 추천하는 자격증 중 하나입..
카페 - 백운호수 백운커피 [내부링크]
안녕하세요 IT몽상가입니다. 주말에 집에 있다가 어디 나가볼까 생각할 때 공원은 힘들고 백화점은 사람이 너무 많고 편하게 쉬면서 놀러 왔다고 생각이 들 수 있는 곳은 카페뿐이라고 생각하는데요 가까운 곳에 나무도 많고 주차도 편하면서 커피도 맛있는 그런 곳이 있어서 추천드리고자 합니다. 백운호수 들어가는 길목에 있는 집입니다. 백운호수라고 하기에는 조금 걸리는 있는데요 그래도 카페 이름이 백운커피 입니다 ㅎㅎ 일단 입구가 도로가에 갑자기 있습니다! 들어가는 길이 사거리에 백운호수로 들어가는 길 가자 마자 있어서요 긴장하고 운전해야 합니다!(차가 없으면 일단 가기가 쉽지 않아요 ㅎㅎ) 영업시간은 평일(월요일 휴무) 11:00 ~ 16:50 / 주말 11:00 ~ 18:50입니다. 늦은 시간까지 영업하지는 않..
맛집 - 종로3가 참골뱅이와 노가리 [내부링크]
안녕하세요 IT몽상가입니다. 코로나19 때문에 사람들도 잘 못 만나고 회식도 못하고 사람이 그리웠었는데요 최근에는 조금 코로나19 제제가 완화되면서 사람들을 종종 만나고 있는데요 이번에 추천하는 맛집은 사실 2차로 가기에 정말 좋은 집입니다!! 노가리 맛집입니다!! 반건조 노가리로 처음 먹었을 때는 신세계였습니다. 사실 자주 갔던 집인데 상호를 잘 몰랐는데요 블로그 작성하면 찾아보게 됐습니다. ㅎㅎ 상호를 잘 몰랐던 이유는 일단 식당을 찾아가기가 쉽지 않습니다. 종로3가역 5번 입구에 나와서 길 건너가면 2층에 식당이 있는데요!! 입구가 구석으로 들어가서 심지어 2번째 집입니다 ㅎㅎ 골먹으로 들어가면 첫 번째 입구가 나오는데요 거기는 호프 집입니다. 두 번째 나오는 집은 계단이 바로 보이는데요 거기가 바..
계속되는 VPN를 통한 보안 사고 [내부링크]
안녕하세요 IT몽상가입니다. 요즘 계속되어 VPN를 통한 보안 사고가 다수 발생하고 있습니다. 처음에서 한국 원자력공사에서 대우조선 그리고 KAI(한국 항곡 우주산업)까지 북한의 소행으로 보이는 공격이 지속적으로 발생하고 있는데요 일각에서 현재 발생한 사고는 빙산의 일각이라고 말하고 있습니다. 제 개인적인 생각도 이제 시작되었다고 생각합니다. 그러면 VPN은 무엇인지? 그리고 VPN취약점은 무엇인가? 또한 왜 갑자기 VPN해킹 사고가 많이 발생하는지에 대해서 이야기해보도록 하겠습니다. 첫 번째 VPN이란? Virtual Private Network라는 가상 사설망이라고 불려집니다. VPN은 주로 내부망(인트라넷, 내부 시스템)에 원격으로 접속 시 안전하게 접속하는 방법으로 일반 사용자의 PC에서도 VPN..
주요기반정보통신시설 점검항목 - 점검항목 [내부링크]
안녕하세요 IT몽상가입니다. 정보보안업무 및 보안 취약점 점검 시 기준이 있어야 하는데요 우리나라에서는 주요기반정보통신시설에 대하여 점검을 위하여 취약점 진단 항목을 지정하고 있습니다. 다만 기술적 취약점 항목에 대해서 주요 기반 정보통신시설 기술적 취약점 분석·평가 방법 상세 가이드를 제작하여 안내 하고 있는데요 이렇게 유닉스 부터 클라우드까지 기술적 취약점 진단을 위하여 가이드를 제공하고 있습니다. 주로 진단하는 대상은 서버(유닉스, 윈도우), 보안장비, 네트워크 장비, PC, 데이터베이스, Web를 진단하고 있으며, 최근에 클라우드 항목에 대한 진단이 종종 이루어지고 있습니다. 그러면 주로 진단하는 대상에 대하여 간단히 설명드리도록 하겠습니다. 서버(UNIX 72개, Windows 82개) : UN..
[U-01/상]1. 계정관리 1.1. root 계정 원격접속 제한 [내부링크]
안녕하세요 IT몽상가입니다. 주요 정보통신 기반시설 기술적 취약점 항목 중 가장 먼저 나오는 점검항목인 "root 계정 원격 접속 제한"에 대하여 이야기해보고자 합니다. root 계정 원격 접속 제한 점검하는 이유는 너무나 잘 알려져 있는 계정으로 누구나 쉽게 계정 정보를 알 수 있으며, 그리고 또한 해당 계정이 권한이 너무나 강하기에 원격으로 접속을 차단하고 있습니다. 일단 가이드를 보도록 하겠습니다. 점검 내용은 "시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용되어 있는지 점검"입니다. 우선 원격 접속은 외부에서 해당 서버에 접속하기 위한 방법으로 접속하고 하는 서버의 주소와 포트 정보를 알고 있습니다. 별도 차단 정책이 없는 경우 계정 및 패스워드를 입력할 수 있도록 화면이 나타납..
UNIX 취약점 점검 항목 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 주요 정보통신 기반시설 기술적 취약점 분석·평가 방법 상세 가이드의 점검항목 중 서버 취약점 진단 항목에 포함되어 있는 UNIX 점검 항목에 대해서 알아보도록 하겠습니다. 점검 항목은 총 72개로 되어 있으며, 5가지 중분류로 분류하고 점검하고 있습니다. 점검 가이드를 보면 상, 중, 하로 구분되어 관리하고 있는데요 상의 경우는 필수로 점검해야 되는 항목이며, 중이나 하는 선택 사항입니다. 하지만 대부분의 기관은 모두 점검하고 있으며, 그렇기에 필수인지 선택이지 알지 못하는 분들이 많이 있습니다. 각 중분류에 대해서 이야기해보도록 하겠습니다. 계정 관리 : 계정보안에 사용되는 항목으로 패스워드 설정이나 불필요 계정 삭제 등 전반적인 계정관리 부분이 포함되어 있으며, 다..
[ISMS-P] 1.1.1 경영진참여 : "경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립∙이행하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 점검 항목 중 첫 번째 항목인 경영진 참여에 대해서 알아보도록 하겠습니다. ISMS-P 인증 점검 항목의 첫 번째 항목으로 경영진 참여인 이유는 정보보안에서 가장 중요시하는 것이 바로 경영진의 참여이기 때문입니다. 그렇기에 해당 점검 항목에서는 정보보호 및 개인정보보호에 대하여 경영진의 참여 여부를 주로 점검하는 거라고 생각하면 됩니다. 1.1.1 경영진 참여 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관리체계의 수립 및 운영 활동 전반에 경영진의 참여가 이루어질 수 있..
맛집 - 시청역 청송옥(장터국밥) [내부링크]
안녕하세요 IT몽상가입니다. 요즘은 시청역에서 근무하고 있는데요 시청역에는 오래된 맛집이 많이 있습니다!!! 하지만 시청역에 근무 했던 사람들이 이야기 하는 맛집은 장터국밥인데요 사람들이 장터국밥 장터국밥 하니 정확한 상호명을 모르고 있었습니다 ㅎㅎㅎ 정확한 상호명은 청송옥 입니다. 인터넷으로 장터국밥을 찾으면 잘 안나와요 ㅎㅎㅎ 일단 간판 부터 오래된 느낌이 드는데요!!! 사실 가서 간판을 찍어오지 못해서....ㅎㅎㅎㅎㅎ 인터넷에서 구했습니다ㅎㅎ 영업시간은 평일(토요일) 10:00 ~ 22:00 / 일요일 휴무 입니다. 메뉴판 입니다!!! 맨날 장터국밥만 먹다보니 들어가면 장터국밥 몇개요 라고 외쳐 봤지 메뉴판을 본적은 거의 없네요 ㅎㅎ 가장 메인이 되는 메뉴는 역시 장터국밥이고요 그외 사람들이 자주 ..
해시함수 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 해시에 대해서 이야기해보도록 하겠습니다. 해시를 가지고 암호라고 이야기하는 분들이 많은데 사실 해시는 암호라고 말할 수 없습니다. 암호란 암호화와 복호화가 있어야 하는데 해시는 복호화가 불가능하죠 그렇기에 해시는 암호가 아닙니다. 그렇기에 해시했다고 하지 해시 암호 했다고 이야기하지 않죠 그럼 해시에 기준을 먼저 확인해 보도록 하겠습니다. 위에 있는 기준은 해시를 이용하여 메시지 인증 또는 키 유도, 난수 생성에 사용하는 경우에 기준이라고 보면 될 거 같습니다. 메시지 인증이나 키 유도 그리고 난수 생성을 경우 추후 가공이 이루어지기에 SHA-1도 사용이 가능하다고 할 수 있습니다. 메시지 인증 코드는 무결성을 확보하기 위해서 사용되며, 키 유도 함수는 대칭키 암호나 ..
공개키(비 대칭키) 암호 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 공개키 암호에 대해서 이야기하고자 합니다. 앞서 대칭키 암호에 대해서 알아봤는데요 대칭키 암호는 국내 표준과 해외 표준이 조금 차이가 있었습니다. 그리고 대칭키는 암호화 키 복호화 키 하나를 가지고 사용하였는데요 공개키 암호 암호는 암호화 키와 복호화 키가 다른 암호로 전자서명이나 키 공유에 사용되는 암호입니다. 거기에 하나 더 악의적으로 사용하는 경우에는 유명한 랜섬웨어에서 사용하고 있습니다. 먼저 표준에 대해서 알아보도록 하겠습니다. 공개키 암호는 키 생성에 따라 인수분해 문제, 이산대수 문제, 타원곡선 암호 등이 있는데요 이중에 가장 많이 사용하는 것은 인수분해 문제를 기반으로 사용하는 RSA입니다. RAS는 인수분해 문제를 기반으로 사용하여 소수를 키로 사용하고..
대칭키 암호 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 암호 알고리즘 중 대칭키 암호에 대하여 이야기해보려고 합니다. 먼저 대칭키 암호에 대해 이야기해보겠는데요 대칭키 암호는 암호화와 복호화가 동일한 암호키를 가지고 암호화하는 것으로 하나의 키를 이용하여 암복화를 하는 것이라고 생각하면 될 거 같습니다. 요기서 하나 더 확인해야 하는 것은 대부분의 대칭키 암호는 블록 암호라고도 이야기합니다. 블록 암호는 암호화하고자 하는 데이터를 블록단위로 잘라서 암호화하는 것으로 대량의 데이터를 블록 단위로 쪼개여 암호 하는 것입니다. 그러며 국내외 대칭키 암호 기준을 보도록 하겠습니다. 기준을 보자면 먼저 보안강도를 확인하여야 하는데요 보안 강도는 안전한 암호 알고리즘을 기준이 되는 것으로 최소 112비트 이상을 사용하여야 하며, 가능..
암호 알고리즘 기준 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 암호에 대하여 알아보겠습니다. 먼저 국내 및 해외에서 사용하는 암호들의 종류와 기준을 한번 알아보도록 하겠습니다. 일단 현재 사용하고 분류 기준이 되는 암호는 암·복호화 키가 동일한 대칭키 암호, 해쉬, 암·복호화 키가 서로 다른 공개키 암호 대표 적으로 이렇게 분류하고 있습니다. 물론 각 암호 별 기준이 많이 존재 하지만 대표적으로 이 총 3가지 암호를 기본으로 암호가 이루어진다고 생각하면 될 거 같습니다. 그럼 암호를 기준은 어떠한가 이야기해보자며 전 세계적으로 기준으로 되는 것은 미국의 기준(NIST)입니다. 그 외 세계 기준이라고 이야기할 수 있는 것은 ISO/IEC 기준이 되겠는데요 위에 있는 표를 확인 시 볼 수 있는 것은 가장 대표적이 대칭키 암호의 기준입..
모의해킹에서 보는 웹 서비스 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 웹 취약점 진단 및 웹 모의해킹에 대한 포스팅을 진행하기 전에 웹이란 무엇이고 어떻게 동작하며, 그렇다면 어떠한 부분을 해킹을 시도해야 하는지에 대해서 이야기하도록 하겠습니다. 우선 웹이 동작하는 네트워크, 통신, 인터넷에 대해서 이야기해보겠는데요 인터넷이란 전 세계가 모두 사용하는 것으로 통신만 가능하다면 누구나 쉽게 접할 수 있습니다. 이러한 쉽게 접할 수 있는 인터넷에서 주로 사용하고 접속하는 것이 웹인데요 이렇게 접근성이 쉽기에 일단 웹이란 공간은 보안적으로 다수의 문제가 발생할 수밖에 없습니다. 또한 인터넷이란 것 자체가 일단 보안적인 부분을 생각하고 구성한 서비스가 아니기에 인터넷 자체는 보안적으로 취약합니다. 통신이란 거 자체가 브로드캐스팅 기반이기에 모든..
자주쓰는 엑셀 함수(날짜 함수, 조건 함수) [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 자주 쓰는 엑셀 함수에 대해서 정리해드리도록 하겠습니다. 엑셀은 회사 업무에 많이 사용하게 되는데요 저도 업무 하다 보면 엑셀 할 수가 기억나지 않는데 인터넷에 검색하면 너무 많은 함수가 나와서 찾기 좀 복잡했습니다. 그래서 이번에 자주 쓰는 함수에 대해서 정리해 드리도록 하겠습니다. 1. DATE - 날짜 표현하는 함수 예) =DATE(년셀,월셀,일셀), =DATE(년,월,일) 2. TODAY - 금일 컴퓨터 시간 가져오기 예) =TODAY() 3. TIMS - 시간 표시 예) =TIMS(시셀,분셀,초셀), =TIMS(시,분,초) 4. IF - 조건에 따라 결과 값을 구할때 사용하는 함수 예) =IF(조건식,참,거짓) 5. AND - 다수의 조건이 모두 참일때 참인 ..
자주쓰는 엑셀 함수(숫자 함수) [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 자주 쓰는 엑셀 함수에 대해서 정리해드리도록 하겠습니다. 엑셀은 회사 업무에 많이 사용하게 되는데요 저도 업무 하다 보면 엑셀 할 수가 기억나지 않는데 인터넷에 검색하면 너무 많은 함수가 나와서 찾기 좀 복잡했습니다. 그래서 이번에 자주 쓰는 함수에 대해서 정리해 드리도록 하겠습니다. 1. SUM - 가장 간단하고 많이 쓰는 함수로 범위 또는 숫자의 합계를 구하는 함수 예) =sum(시작:끝셀), =sum(숫자,숫자,숫자,....) 2. ROUND - 소수점 반올림 함수 예) =round(반올림할 숫자가 포함된 셀,반올림 표시자리), =round(반올림할 숫자,반올림 표시자리) 3. ROUNDDOWN - 소수점 내림 함수 예) =rounddown(내림할 숫자가 포함된 ..
내 IP주소 확인하기 [내부링크]
안녕하세요 IT몽상가입니다. 이번에 포스팅할 내용은 내 IP주소 확인하기입니다. 일반적으로 집에서 PC를 사용하는 경우 내 IP가 무엇인지 확인할 필요가 없는데요 하지만 회사에서 PC를 사용하는 경우 IP주소를 알려달라 아니여 IP주소를 변경해야 한다라고 하는 경우가 종종 있습니다. 그래서 오늘은 IP주소 확인하는 방법 및 IP주소의 종류 그리고 변경 방법까지 알아보도록 하겠습니다. 먼저 IP주소의 종류입니다. IP주소는 내부 IP와 외부 IP로 구분할 수 있는데요 내부 IP의 경우 생각보다 쉽게 확인할 수 있습니다. 네이버나 구글 같은 포털 사이트에서 내 IP주소를 검색하면 됩니다. 이 처럼 네이버 검색을 하면 쉽게 외부(공인) IP 확인할 수 있습니다. 외부 IP를 사실 확인하는 경우가 많지 않습니다..
카카오톡 친구 삭제 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 카카오톡 친구 삭제에 대해서 알아보도록 하겠습니다. 카카오톡은 거의 모든 사람이 사용하고 있는데요 그렇기에 카톡 친구 관리가 쉽지 않습니니다. 특히 회사 업무를 하다 보면 잠시 같이 일하는 협력업체에 대한 전화번호를 등록하는 경우 카카오톡 친구 연동이 되어 카톡에 나타나게 되는 경우가 있습니다. 이런 경우 핸드폰 번호 저장 시 앞에 #를 붙여서 등록하는 경우 카톡 친구 등록이 되지 않습니다. 이렇게 관리하셔도 되는데요 하지만 카톡으로 소통해야 하는 경우 이것도 쉽지 않습니다. 그렇다고 계속 연락해야 하는 사이가 아닌 경우는 카톡에 계속 나타나고 프로필 사진을 변경하거나 하면 상단에 나타가게 되죠 그래서 오늘은 카톡 친구 삭제하는 방법에 대해서 포스팅하도록 하겠습니다. ..
맛집 - 산본역 국민초밥 [내부링크]
안녕하세요 IT몽상가입니다. 초밥집을 소개드리고자 하는데요 주로 배달 시켜 먹던 곳이라 직접 가서 먹어본 거 처음이었는데요 산본역에 있는 식당인데요 사실 찾아 가는 게 쉽지 않았습니다. 건물 밖에서는 간판만 보일뿐 가게가 보이지 않습니다. 건물을 보고 찾아서 건물 안쪽으로 들어가야 입구를 찾을 수 있습니다! 건물에 들어가면 작은 간판과 계단 바로 옆에 입구가 있습니다! 영업시간은 평일(토요일/ 브레이트 타임 14:30 ~ 16:30) 10:30 ~ 21:30 / 일요일만 휴무입니다. 메뉴는 점심특선 8,900원 메뉴는 다른 초밥집과 거의 동일한데요 점심 특선이 존재합니다!! 하지만 제가 점심특선은 안 먹어봐서....ㅎㅎ 뭐라 할 수가 없네요 제가 주로 먹는 메뉴는 연어롤 - 강추!!입니다!!! 악......
맛집 - 충남서산 옛날 우렁이 식당 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 서울이나 경기도가 아니 조금 멀리 가보도록 하겠습니다!!! 충남 서산으로 가보겠습니다!! 해미가 가까운 곳으로 해미읍성이나 태안으로 놀러갈때 지나가야 하는 곳입니다!! 그렇기에 주말에 바람쐬로 나갈때 조금 멀리 가고 싶다 서울이나 경기도는 싫다 하면 그나마 부담 없이 갈수 있는 곳이죠 그런 서산에 있는 맛집중에 TV에도 나왔던 곳으로 우렁이 쌈밥집입니다! 도로가에 갑자기 있는 곳인데요ㅎㅎㅎ 큰도로 옆에 있는데도 장사는 잘됩니다. 그리고 역시 주차자리는 넉넉하죠! 간판에서 나오는 포스라고 할까요?? 세월이 느껴지는 간판 입니다 ㅎㅎ 입구에는 이렇게 방송에 나온것을 캡쳐해서 홍보하고 있네요 ㅎㅎ 영업시간은 평일 06:30 ~ 20:30(브레이크타임 15:00~16:00) ..
맛집 - 안양역 고인돌김치떡삼겹 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 멀리 가지 않고 저녁에 소주 한잔 먹을만한 곳을 추천드리고자 하는데요 소주 하면 생각나는 메뉴는 바로 삼겹살입니다. 일반적인 삼겹이라고 하면 이렇게 블로그 쓰지도 않겠죠!!! 오늘의 삼겹살은 맛있는 김치와 떡에 싸먹는 삼겹살인 고인돌 김치 떡삼겹입니다!!!! 안양역에 바로 앞에 위치하고 있는데요 안양역 지하상가를 통해서 바로 앞까지 올 수 있습니다. 비 오는 날이나 추운 날 그리고 더울 날 역시 지하상가를 통해 올 수 있기에 편하게 찾아갈 수 있죠!! ㅎㅎ 이렇게 지하상가 4번 출구로 나오면 바로 위치하고 있습니다!!! 영업시간은 평일 12:00 ~ 새벽 01:00 / 주말 11:00 ~ 새벽 01:00까지로 쉬는 날 없이 운영되고 있습니다. 메뉴는 삼겹살(180g) ..
맛집 - 백운호수 전복명가 [내부링크]
안녕하세요 IT몽상가입니다. 서울 근교에 있는 나들이 장소 백운호수에 있는 맛집 하나 소개 하고자 합니다!! 백운호수 근처에는 식당도 많고 맛집도 많고 하죠 오늘 소개해드릴 맛집은 전복명가 입니다!! ㅎㅎㅎ 더운 여름은 지났지만 더위에 지친 몸을 보신하기 위해서 선택한 메뉴 입니다 ㅎㅎ 백운호수와는 조금 걸이는 있지만 차로는 멀지 않아요 슝 하면 도착 합니다 ㅎㅎ 일단 건물이 아주 커요!! 조금 떨어져 있기에 이렇게 크게 만들수 있지 않았나 싶네요 ㅎㅎ 주장 걱정도 없습니다!! 반대편은 그냥 농가입니다 ㅎㅎㅎ 조금 떨어져 있는게 느껴집니다 ㅎㅎ 역시 전복이기에 가격대가 조금 있습니다. 저희는 전복 정식으로 주문하지 않고 따로 따로 주문 했는데요 전복죽, 전복해물뚝배기, 전복물회 이렇게 주문해봤습니다. 전..
카페 - 천계산 청이당 [내부링크]
안녕하세요 IT몽상가입니다. 주말에 할 일 없을 때 어디 가지 하다 보면 가장 먼저 떠오르는 곳이 이쁜 카페인데요 그래서 오늘은 이쁜 게 잘 꾸며져 있는 카페 하나 소개해드리고자 합니다. 청계산에 위치한 카페입니다!! 사실 서울에서 멀지도 않고 해서 가끔 가는 곳인데요 청이당 하면 천계산에서는 유명한 카페입니다 ㅎㅎ 안쪽에서 찍은 사진이데요 주차하는 공간은 있지만 그렇게 넓지는 않아요 들어가면 이처럼 넓은 공간에 가운데에 나무가 하나 있는데요 오래된 한옥처럼 이쁘게 잘되어 있습니다. 그래서 그런지 여성분들이 아주 많이 있었는데요 가운데 나무를 중심으로 사방에 룸 형태의 공간이 존재합니다. 조금 아쉬운 거 룸 형태의 공간이 넓지 않아 앉아서 이야기할만한 공간이 그렇게 많지는 않아요 메뉴는 제주 아일랜드 7..
맛집 - 문래역 개성손만두요리전문점 양평점 [내부링크]
안녕하세요 IT몽상가입니다. 찬바람이 불어오는 요즘 같은 날씨에 따듯한 국물이 생각 날때가 있는데요!! (사실 한여름에 가서 먹었습니다 ㅎㅎㅎ) 이럴때 추천 드리고 싶은 만두전골 맛집 소개 하도록 하겠습니다. 컨설팅 업무를 하다 보면 요기저기 많이 돌아다니게 되서요 이번 맛집은 GS리테일 근처에 있는 맛집입니다. 사실 문래역에서 조금 걸이가 있어요 하지만 그나마 가장 가까운 역이라 ㅎㅎㅎ 지도를 보시면 GS강서타워 근처 있는데요 GS리데일이라고 하면 강남에 있는 건물을 생각하시는 분들이 많은데요 문래역에도 있습니다 ㅎㅎㅎ 메뉴는 만두전골 10,000원 - 강추!!! 손만두 8,000원 냉메밀/비빔메밀 8,000원 메밀콩국수 8,000원 등등 ㅎㅎ 이렇게 되어 있지만 사실 요기 오면 바로 만두전골이죠 ㅎㅎ..
맛집 - 청계산 미트빌리지 [내부링크]
안녕하세요 IT몽상가입니다. 날씨도 좋은 요즘 꼭 단풍도 들 거 같고 해서 청계산에 있는 맛집 하나 소개해드리고자 합니다. 요기는 사실 산에 있어서 추천 한다기 보다는 캠핑 느낌이 드는 식당이라서 추천드립니다. 캠핑의 꽃은 역시 저녁에 바비큐 파티인데 캠핑을 갈 수 없다며 기분이라도 내고 싶다 하면 요기를 추천합니다. 시내에 있는 식당이 아니기에 역시 횡 하지만 그만큼 토지가 넓어서 주차는 걱정이 없습니다! 일단 실내공간입니다! 일반 식당처럼 테이블도 있고 하죠 그리고 고기를 직접 보고 고를 수 있어요!! 다음은 캠핑 느낌을 받을 수 있는 실외입니다!! 사람이 많이와도 자리가 넉넉하기에 기다리는 일은 없다고 하네요 이렇게 포장도 가능합니다. 사실 바비큐를 먹기 위해서 왔는데요 양이 많이 않으면 바비큐는 ..
맛집 - 여의도 오늘의 즉떡 2호점 [내부링크]
안녕하세요 IT몽상가입니다. 여의도 공원 나들이 갔을 때 들릴만한 맛집 하나 소개하고자 합니다. 여의도 공원 주변에는 현대백화점도 있고 해서 먹을 만한 곳이 많이 있는데요 하지만 사실.... 현대 백화점은 많이 비싸서..... 또르르르르....... 이번에 소개하는 맛집은 즉석 떡볶이 맛집으로 사실 왕김말이 튀김이 맛있습니다!!! ㅎㅎㅎ 여의도 공원 옆에 붙어 있지만 위치가 지하라 모르시는 분들이 많이 있습니다. 숨어있는 맛집이죠!!! 참고로 영업시간은 평일 11시 ~ 8시(3시~4시 브레이크 타임) / 토요일 휴무, 일요일 공휴일 11시 ~7시입니다! 특히 하게 일요일은 영업하고 토요일은 휴무....ㅎㅎ 옆에 교회가 있어서 그런 듯해요 사실 여의도 근처는 토요일 쉬는 곳이 많이 일요일은 장사 많이 합니..
[개인정보보호위원회]개인정보보호 법규 위반 16개 지자체 제재 [내부링크]
안녕하세요 IT몽상가입니다. 2022년 9월 14일(수) 개인정보보호위원회 제15회 전체 회의에서 서울 관안구 등 16개 지자체에 5,10만 원의 과태료 부과 및 시정 명령 조치를 의결하였는데요 법령에 따라 개인정보를 수집·이용하는 공공기관의 경우 개인정보보호 의무를 철저하게 준수할 필요가 있다는 점을 고려하여 출범 이후 공공기관에 대해 과태료 부과 등 엄격하게 조치를 취하고 있는데요 20개 지자체를 점검한 결과 16개 지자체에서 개인정보 보호법 내 안전조치 의무(개인정보보호법 제29조)를 위반하였습니다. 이번 점검은 무분별한 계정 공유, 과도한 권한 부여 등 개인정보 남용이 일어나지 않도록 개인정보 처리 시스템의 접근권한 관리, 접근통제 부분을 중점으로 점검하였습니다. 점검을 통하여 개인정보 취급시 각..
[개인정보보호위원회]개인정보보호 법규 위반 5개 사업자 제재 [내부링크]
안녕하세요 IT몽상가입니다. 2022년 9월 14일(수) 개인정보보호위원회 제15회 전체 회의에서 5개 사업자에 대하여 1,210만 원의 과징금과 5,340만 원의 과태료 부과 및 시정 명령 조치를 의결하였는데요 개인정보 위는 이번 처분과 관련하여 개인정보 유출신고 및 침해신고로 사실조자에 착수하였으며, 개인정보 처리자가 안전조치 의무 위반, 개인정보 미파기 등 개인정보 관리를 소홀히 한 사실을 확인하였습니다. 해당 사항의 위반하여 과징금과 과태료를 받은 기업과 위반 사항에 대하여 이야기해보도록 하겠습니다. 먼저 (주)에이전트 소프트(문서 공유 웹사이트)는 안전조치(접근통제), 개인정보 유출 통지, 개인정보 파기 등을 위반하여 과징금 1,210만 원, 과태료 1,020만 원을 부가하였는데요 (주)에지 전..
[개인정보보호위원회]구글과 메타의 개인정보 불법 수집 제재 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 개인정보보호 보호 위원회 회의 결과 구글과 메타의 개인정보 불법 수집 제재에 관하여 이야기 하도록 하겠습니다. 동의 없이 타사 행태정보를 수집 이용한 행위에 대한 시정 조치 이며 온라인 맞춤형 광고 플랫폼의 형태정보 수집 이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금 입니다. 과징금의 총액은 약 1000억원으로 구글에 692억원, 메타(페이스북, 인스타)에 308억원으로 앞서 말씀드린거 처럼 최대 금액인데요 위반사항에 대한 부분은 상세히 설명 해주었습니다. 먼저 이용자가 특정 기기에 플랫폼에 로그인하는 경우, 해당기기에 이용자를 식별할 수 있는 값(쿠키 또는 토큰)을 생성하고 행태정보 수집 도구가 설치된 사업자의 웹또는 앱 사용시..
재미 - MBTI 성격유형별 팩트폭행 모음 [내부링크]
안녕하세요 IT몽상가입니다. MBTI 유형형 팩트 폭행 모음인데요 개인적으로 너무 재미있어서 공유합니다. - INTJ : 용의주도한 전략가형 * 고집 셈, 융통성 부족, 자기 관심 분야 외 신경 쓰지 않음 * 자신의 능력에 대해 자신감이 있으며 높이 평가함 * 독립적인 성향이 강하고 감정에 휘둘리는 거 싫어함 * 타인에게 잘 보이고 싶은 요구가 없음(상대방은 다가가기 어려움) * 친구 고민 상담 잘 못 들어줌(공감을 잘 못함) * 인사들의 관심사에서 동떨어져 있음 * 학교, 회사 등 조직생활에 적응하기 어려움 * 혼자서 모든 것을 해결하려는 의지가 강함(조별 과제 혼자 함) * 목표 지향적임 목표를 달성하면 큰 행복감을 느낌 * 무신경하다는 소리 들음 근데 좋아하는 것에는 과몰입함 * 효율성이 떨어지는 ..
재미 - MBTI 유형별 추천 직업 [내부링크]
안녕하세요 IT몽상가입니다. 요즘 MBTI에 빠져서 이것저것 찾아봅니다. 그래서 오늘은 그냥 재미로 보는 MBTI 유형별 추천 직업에 대하여 알아보도록 하겠습니다. - INTJ : 과학자형 * 통찰력이 강하며 철두철미한 계획을 세우는 용의주도한 전략가들입니다. * 호기심이 많고 독립적이며 결단력 있어서 복잡한 문제도 체계적이고 논리적으로 척척 해결해냅니다. > 추천 직업 : 건축가, 컴퓨터 프로그래머, 투자상담사, 보안전문가 등 - INTP : 아이디어 뱅크형 * 지적호기심이 높은 이들은 끊임없이 새로운 지식에 목마른 논리적인 사색가들입니다. * 평범한을 거부하는 이들에겐 창의적인 일을 어울려요 * 한 가지에 깊이 몰두할 수 있는 일도 좋답니다. > 신제품개발자, 사진작가, 1인 크리에이터, 철학자 등 ..
[보안뉴스]안전조치 의무 위반 등에 따른 개인정보 유출로 공공기관 과태료 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 개인정보보호 위원회의 8월 10일(수) 제13회 전체회의 개최 결과에 대해서 이야기해보도록 하겠습니다. 개인정보보호 위원회는 8월 10일(수) 요일 전체회의를 통하여 개인정보보호 안전조치 의무 위반 등에 따라 개인정보 유출로 공공기관에 대하여 과태료는 부과하였는데요 국민대학교 등 7개 공공기관에 2,160만 원의 과태료 부과와 시정 권고 조치를 의결하였습니다. 개인정보보호 위원회는 개인정보 유출신고 및 침해신고 등에 따라 사실조사에 착하였고 유출 사건(3건)의 원인으로 해킹 1건, 업무상 과실 등이 2건으로 확인하였으며, 그 외 개인정보 수집 등의 및 열람 위반, 개인정보 보호조치 위반 등의 사실을 확인하였습니다. 국민대학교의 경우 데이터베이스 이관 작업시 업무상 과실..
[보안뉴스]온라인 쇼핑몰 '발란' 고객 개인정보 유출로 과징금 5억 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 개인정보보호 위원회의 8월 10일(수) 제13회 전체회의 개최 결과에 대해서 이야기해보도록 하겠습니다. 개인정보보호 위원회는 8월 10일(수)요일 전체회의를 통하여 개인정보 보호법을 위반한 발란에게 총 5억 1,259만 원의 과징금을 부과하기로 결정하였는데요 발란은 해커의 공격으로 3월과 4월 두차례에 걸쳐 약 162만 건의 고객 이름, 주소, 핸드폰 번호 등 개인정보가 유출되었으며, 소셜 로그인 기능 오류로 이용자 식별정보가 중복됨에 따라 다른 이용자에게 개인정보가 노출되는 사고까지 발생하였습니다. 그에 따라 개인정보보호 위원회는 조사하였고 조사결과 발란은 사용하지 않는 관리자 계정을 삭제하고 않았으며. 개인정보처리 시스템에 접근하는 사용자의 IP 접근 제한 설정을 ..
[보안뉴스] 통계로 보는 2022년 상반기 보안위협 동향 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 안랩에서 발표한 2022년 상반기 보안 위협 동향에 대해서 이야기해보도록 하겠습니다. 일단 악성코드에서 1위를 차지한 것은 인터스 틸러 사용자의 접속 정보는 사용자의 컴퓨터에서 발생하는 각종 정보를 수집하여 전달하는 악성코드로 가장 일반적인 악성코드 일수 있습니다. 특별한 기능이 존재하는 악성코드라기보다는 사용자의 정보를 수집하는 거에 집중되어 있죠 2위를 차지한 것은 백도어로 말 그대로 백도어 뒷문입니다. 원격으로 해당 서버나 사용자의 PC에 접속할 수 있게 하는 악성코드입니다. 3위는 뱅킹으로 목적을 가지고 공격을 시도하는 악성코드로 금융정보를 목표로 사용되죠 다은은 공격 유형별 순위입니다. 1위는 웹 기반 공격으로 가장 많이 발생하였습니다. 이유는 가장 접근이 용..
[보안뉴스] 트위터 해킹 사실 인정 540만개 계정 유출 인정 [내부링크]
안녕하세요 IT몽상가입니다. 오늘은 최근 발생한 보안사고 중 전 세계적으로 유명한 트위터에서 발생한 보안사고에 대하여 이야기하도록 하겠습니다. 결론부터 이야기하자면 트위터가 해킹당해 계정 정보 540만 개가 유출된 것인데요 계정 유출은 2022년 7월 21일 한 해킹 포럼에 "유명인과 기업, 랜덤 ID를 포함한 계정에 연결된 이메일, 연락처 등 548만 5,636개 정보를 판매한다"라는 게시물로 시작되었고 해당 정보는 결국 3만 달러(한화 약 3,900만 원)에 판매되면서 해당 정보에 대한 사실여부가 중요시되었습니다. 해당 정보를 확인한 트위터는 "해당 정보가 사실이다." 유출된 정보라고 인정하게 되었습니다. 그러면서 트위터에서는 해당 정보가 유출된 경위를 설명하였습니다. 2021년 6월 코드 업데이트로..
[ISMS-P] 1.1.1 경영진참여 : "정보보호 및 개인정보보호 관리체계의 수립 및 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?" [내부링크]
안녕하세요 IT몽상가입니다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 점검 항목 중 첫 번째 항목인 경영진 참여에 대해서 알아보도록 하겠습니다. ISMS-P 인증 점검 항목의 첫 번째 항목으로 경영진 참여인 이유는 정보보안에서 가장 중요시하는 것이 바로 경영진의 참여이기 때문입니다. 그렇기에 해당 점검 항목에서는 정보보호 및 개인정보보호에 대하여 경영진의 참여 여부를 주로 점검하는 거라고 생각하면 됩니다. 1.1.1 경영진 참여 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 상세점검항목 정보보호 및 개인정보보호 관리체계의 수립 및 운영 활동 전반에 경영진의 참여가 이루어질 수 있..
맛집 - 여의도 팔당반점 [내부링크]
안녕하세요 IT몽상가입니다. 직장인들의 고민 중 하나가 바로 점심인데요 이럴 때 가장 먼저 생각나는 음식이 바로 중국집입니다. 바로 여의도에서 근무한다면 한 번쯤 가봤을만한 맛집 소개해드리겠습니다! 팔당반점 서여의도점 : 네이버 방문자리뷰 368 · 블로그리뷰 36 m.place.naver.com 여의도에 팔당 반점이 몇 군데 있긴 한데요 제가 자주 가던 곳은 서여의도점입니다. 지하에 위치하고 있으며, 점심기간에 사람이 많이 있기에 미리 가지 않으면 줄 서있어야 합니다!! 하지만!!! 당일 예약도 가능하기에 오늘은 중국집이다 하면 아침에 예약해도 가능합니다!! 저는 주로 11시 30분까지 갔지만 거의 항상 줄 서서 먹었습니다 ㅎㅎ 메뉴는 일반적으로 중국집에 판매하는 음식은 모두 있습니다. 하지만 가격대..
계속되는 VPN를 통한 보안 사고 [내부링크]
계속되는 VPN를 통한 보안사고 안녕하세요 IT몽상가입니다. 요즘 계속되어 VPN를 통한 보안 사고가 다수 발생하고 있습니다. 처음에서 한국 원자력공사에서 대우조선 그리고 KAI(한국 항곡 우주산업)까지 북한의..
네이버 블로그
티스토리
커뮤니티