Jeongchul Kim

정보 보안 실무 10 KISA-ISMS를 기준으로 한 관리 보안 대책 Today’s Hot Issue! 정보 보안 Issue 사항들을 알아볼까요?해킹의 목적과 기법, 공격 대상은 날로 발전하고 다양해지고 있으며 해킹의 이유 또한 변하고 있습니다. 그럼, 해킹의 변화에 대해 잠깐 볼까요? 과거의 해킹은 정보수집, 권한 획득, 권한 상승, 공격 전이의 단계별로 해킹이 진행되었으며, 목적은 실력의 과시를 위함이 컸다. 또한, 서버의 취약점을 이용하는 서버 중심의 해킹입니다 유닉스와 C, Assembly 등의 뛰어난 기술을 보유한 엘리트 해커에 의한 해킹이 주를 이뤘다. 반면 현재의 해킹은 과거에 비해 PC 이용자를 통해 보다 손쉬운 경로로 침입이 가능해졌고, 실례로 7.7 DDoS 테러가 발생했다. 또한, O..

정보 보안 실무 09 KISA-ISMS를 기준으로 한 관리보안 개요 및 대책-2 주요 정보보호 대책1. 정보보호 대책주요 정보보호 대책 정보보호 대책은 총 13개 분야, 총 92개의 통제사항으로 이루어져 있는데요. 이 중 정보보호 정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교육 및 훈련, 인적 보안, 물리적 보안에 대해 살펴보겠습니다. 정보보호 정책은 조직의 정보보호 활동에 대한 기본적 방향과 근거를 제시해 주는 문서로서 간결하며 알기 쉽게 작성하여 배포되어야 합니다. 이를 위한 정보보호 정책 통제 분야에는 정책의 승인 및 공표, 정책의 체계, 정책의 유지 관리가 있습니다. 각 통제분야에 대한 통제항목으로는 정책의 승인 및 공표, 상위 정책과의 연계성 및 정책시행 문서의 수립, 그리고..

정보 보안 실무 09 KISA-ISMS를 기준으로 한 관리보안 개요 및 대책-1 Today’s Hot Issue! 정보 보안 Issue 사항들을 알아볼까요?2015년 이슈로 떠오르는 5대 보안 위협과 이슈들을 각각 살펴 볼까요?우선 안랩이 예상했던 5대 보안 위협입니다. 첫 번째로 모바일/PC에서 강력한 금융 보안위협 등장이 있습니다. 모바일 금융 서비스는 단순 뱅킹에서 모바일 결제 서비스로 그 영역과 규모가 크게 확장되고 있습니다. 이러한 성장을 반영한 악성코드들이 지속적으로 발견되고 있습니다. 두 번째, 공격 대상 별 맞춤 악성코드 유포와 동작 방식의 진화가 있습니다. 과거와는 달리, 특정 목표만을 공략하는타겟형 악성코드의 증가와 그에 걸맞게 유포 및 동작방식도 진화하고 있습니다. 세 번째로, POS..

정보 보안 실무 08 ISMS 정보 보호 관리 체계 도입과 인증 제도의 이해 미래창조과학부는 기업의 정보보호 역량을 강화하기 위해 정보보호 관리체계(ISMS) 의무 인증 대상을 카드사 등 개인정보를 대량으로 보유한 기업으로 확대하는 방안을 추진합니다. 미래부는 개인정보를 대량으로 보유·관리한 기업에도 ISMS 인증 의무를 부여하기 위해 ‘정보통신망법’을 개정했습니다. 미래부 관계자는 "최근 카드사의 개인정보 유출 사태가 터지면서 기업이 보유한 개인정보의 규모도 ISMS 인증 대상을 선정하는 기준으로 고려하기로 했다"며 "개인정보 대량 보유 기업은 카드사가 대표적"이라고 말했습니다. 또한 ”사실상 사회적으로 ‘개인정보’ 가 상당히 중요시되고 있고, 그 유출에 따른 피해가 기하급수적으로 증대되고 있는 시점이..

정보 보안 실무 07-2 정보보호 관리체계(ISMS) 인증제도 정보호호 관리체계(ISMS) 인증제도1. ISMS의 의미정보보호 관리체계(ISMS) 인증제도먼저, ISMS의 의미에 대해 살펴보겠습니다. ISMS란 조직에서 비즈니스의 연속성 확보를 위하여 각종 위협으로부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동을 뜻합니다. 관리체계를 갖추지 않은 경우에는 조직이나 문서관리, 정책이 제대로 수립되지 않는 등 부분적 보안, 일회성 관리, 산발적 대응이 될 수 밖에 없습니다. 이에 정보보호 관리체계 수립을 통해 조직의 시설, 장비, 자산, 정책 등 보안수준이 미흡했던 여러 분야의 정보보호 수준을 일정 수준까지 끌어올려 균형적 보안, 지속적 관리, 체계적인 대응이 될 수 있..

정보 보안 실무 07-1 정보보호 관리 체계의 올바른 이해 침해 사고와 정보보호 관리의 필요성1. 사이버 테러에 의한 피해의 증가침해사고와 정보보호 관리의 필요성나날이 발생하고 있는 사이버 공격으로 인해 다양한 피해가 야기되고 있습니다. 이러한 사이버 공격은 그 규모와 방법도 매우 다양합니다. 사이버 공격 기법이 어떻게 발전했는지 살펴보면, 초보 해커들에 의한 일반적인 사이버 공격에서부터 전문적인 해커, 그리고 전략적 정보 전쟁이라 불리는 사이버 테러까지, 사이버 공격 기법은 지능화되고, 복잡화되어 발전하고 있습니다. 자세한 발전 현황에 대해서 살펴보겠습니다.사이버 공격은 단순 호기심에서 금품의 갈취, 사회혼란과 핵티비즘을 위한 공격으로 발전하고 있으며 은밀하게 공격하기 때문에 파급효과와 피해는 더욱 증..

정보 보안 실무 06 정보보호 보호대책 및 보안 전략 수립 정보 보호 전략1. 위험 처리 전략정보보호 전략지난 시간까지 위험을 식별하고 이를 평가하는 방법을 배웠습니다. 이렇게 도출된 위험에 대해 조직은 다양한 방법을 통해 조직에 악영향을 주는 위험을 관리할 수 있습니다. 이를 위험 처리 전략이라 하며, 위험 감소, 위험 수용, 위험 회피, 위험 전가의 네 가지 방법이 있습니다. 식별된 고 위험군 들을 관리하기 위한, 보다 자세한 위 험처리 전략에 대해 살펴보겠습니다.먼저 위험 감소는 위험을 줄일 수 있는 보호대책을 수립하여 적용하는 방법입니다. 바로 각 위험에 맞는 적절한 통제항목을 선택하고 이를 이행하여 DoA 이하로 위험 수치를 감소시키는 것입니다. DoA는 수용 가능한 위험을 말하는데, 앞서 배운..

정보 보안 실무 05 위험 분석 및 평가 위험 분석 수행1. 정보 자산 그룹핑의 필요성위험 분석 수행기관이나 기업 등 다양한 유형의 조직이 존재하지만, 조직 내 보안의 목표는 공통적으로 보유하고 있는 가치 있는 자산일 것입니다. 우리는 앞서 자산을 식별하고 평가하는 방법을 배운 바 있는데요. 바로 조직에서 보유한 지켜야 할 대상이 무엇인지, 즉 보안을 해야 할 목적이 무엇인지 명확하게 하기 위한 단계였습니다. 이후 위험 관리 절차에 따라, 위험을 식별하고, 조치를 위한 정보보호 대책을 선정하게 되는 것입니다. 그런데, 자산을 식별하는 과정에서 무수하게 많은 종류의 자산과 수량이 보호 전략을 수립하는데 큰 난관으로 다가오는데요. 이러한 이러한 애로 사항을 해결하기 위해 우리는 정보 자산을 그룹핑하는 작업을..