DevSecOps의 정의 DevSecOps는 개발(Development), 보안(Security), 운영(Operations)의 단어를 합친 용어로서, 소프트웨어 개발과정에 보안을 통합하여 자동화하고, 조직 내에서 지속적인 보안 업데이트와 협력을 강조하는 접근 방식을 의미한다. 기존의 개발과 운영만을 강조하는 DevOps 철학에 보안 요소를 추가하여, 소프트웨어의 생명 주기 전반에 걸쳐 보안적인 측면을 고려하는 것이다. 이는 보안을 시스템 설계 초기 단계부터 도입하고, 개발과정과 운영 중에도 지속적인 보안 검증과 개선을 통해 보다 안전하고 신뢰성 있는 소프트웨어를 제공하는 것을 목표로 한다. DevSecOps 실행을 위한 4대 영역과 필요 요소 DevSecOps 실행을 위한 4대 영역을 우선 알아보자. ..
MITRE ATT&CK이란? 지금 이순간에 어디가 에서는 해킹 시도가 계속되고 있다. 웹해킹, 디도스, 랜섬웨어 등 해킹 공격은 갈수록 지능화, 고도화 되어가고 있다. 미국 연방정부의 지원을 받으며 국가안보관련 업무를 수행하던 비영리 연구개발 단체인 MITRE는 국가간에도 해킹 공격의 영향력이 커지고 피해가 늘어나면서 자연스럽게 해당 부분에 대한 연구를 시작하게 되었는데 그렇게 만들어진 것이 ATT&CK Framework이다. MITRE ATT&CK®는 실제 해킹을 관찰한 내용을 기반으로 해커의 전술과 기술에 대하여 전 세계적으로 접근 가능한 지식 기반으로, ATT&CK 지식 기반은 민간 부문, 정부, 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발을 위한 기초로 사용된다. AT..
⑴ Self-Sovereign Identity (자기주권적 신원증명)의 정의. 개인이 웹에서 웹사이트, 서비스 및 애플리케이션에 자신이 누구인증 증명하는데 사용하는 정보를 주체적으로 제어할 수 있도록 하는 ID관리 모델 및 구현기술을 말한다.Self-Sovereign Identity를 통해 사용자는 능률적이고 안전한 방식으로 서비스에 접속하면서도 신원과 관련된 정보를 스스로 제어할 수 있다 블록체인 기술에 기반을 두고 있으며, 대표적으로 Hyperledger산하의 Indy 프로젝트를 비롯해 Microsoft가 주도하는 DIF(Decentralized Identity Foundation), W3C의 Decentralized Identity Standards, Sovrin, Civic 등 여러 Self-So..
⑴ Zero Knowledge Proof(ZKP, 영 지식 증명) 이란? 자신이 알고 있는 지식을 공개하지 않으면서, 그 지식을 알고 있다는 사실을 상대방에게 증명하는 메시지 교환 기술로 블록체인의 거래 익명성 보장에 활용되는 기술이다. 어떤 문장이 True라는 것을 증명하려는 측을 증명자(Prover)라고 하고, 증명 과정에 참여하여 증명자와 정보를 주고 받는 측을 검증자(Verifier)라고 한다. Zero Knowledge Proof에 참여하는 당사자들이 상대방을 속이려는 목적으로 포로토콜을 임의로 변경하는 경우, 당사자들이 부정직하다 또는 정직하지 않다(Dishonest, Cheating)라고 한다. 그 외의 경우에는 정직하다고 한다. ⑵ Zero Knowledge Proof의 원리 (일리바바 동..
⑴ DDoS공격이란? DDoS(Distributed Denial of Service)공격은 광범위하게 분산된 좀비PC(해커에 이미 장악되어 원격에서 조정될 수 있게 된 PC 또는 서버류) 또는 봇(Bot)을 이용해 특정 IT인프라 또는 서비스를 대상으로 대량의 네트워크 트래픽을 발생시켜 장애를 일으키는 해킹공격의 하나이다. ⑵ DDoS공격과 Dos공격의 차이점 대량의 악의적인 트래픽을 발생시켜 IT인프라 또는 서비스의 장애를 유발시키는 것이 목적인 점에서는 동일하나, 단일 호스트 또는 시스템에서 공격을 발생시키느냐(DoS), 분산된 여러 호스트에서 공격을 발생시키느냐(DDoS)의 차이점이 있다. DoS DDoS 단일 호스트에서 공격 발생(1 : 1 공격) 공격자가 단일이기 때문에 탐지하고 차단하는 것이 ..
“모니터링”이란 특정 대상의 현재 상황이나 현재 상태의 변화 등을 주기적으로 관찰하여, 이상유무를 판단하는 과정이다. 방화벽이 해커의 침입을 막는 일정의 대문이라면, 모니터링은 내부의 CCTV로 비유할 수 있다. 이러한 모니터링을 실시하기 위해서는 관리자의 부지런한 관리와 더불어 여러가지 모니터링 도구들이 사용된다. 즉, 모니터링은 이상 상황을 식별해 내기 위한 절차와 모니터링 도구, 모니터링 기법등이 필요하다. 일반적인 모니터링 기법은 다음과 같다 1. 침입탐지 “침입”이란 컴퓨터가 사용하는 자원의 무결성, 기밀성, 가용성을 저해하는 일련의 행위로서 컴퓨터 시스템의 보안정책을 파괴하는 모든 행위를 말하며, 계회적이거나 우연하게 IT 관련 시스템으로부터 불법적 권한을회득하거나 접근하는 행위를 포함한다. ..
1. 위험 요소 재해나 사고로 인한 업무 중단에 대비하여 핵심 비즈니스 기능을 지속적으로 유지할 수 있도록 하는 전사적인 정책, 프로세스 및 시스템에 대하여 알아보자자. 우선 우리가 살고 있는 실시계의 위험 요소들은 크게 일반 재해, 시스템 장애, 사고 및 과실의 세가지로 나눌 수 있다 구분 내용 일반 재해 일반재해 중 자연재해는 그 발생빈도가 다른 부분에 비해 덜어지는 것이 사실이지만, 한 번 발생하게 되면 그로 인한 영향력은 상당히 크고 광범위한 문제를 야기할 수 있다 시스템 장애 시스템 장애에 대한 부분은 대배분의 기업체에서 많은 투자 및 대응책을 준비하고 있으므로 세 가지 요소 중에서 가장 위험도가 낮지만, 실제 운영환경에서의 발생빈도는 가장 높은 편이다. 사고/과실 인적 자원에 의해 발생하는 사..
1. ISMS-P란? ⑴ 정의 ①ISMS-P 즉, 정보보호 및 개인정보보호 관리체계 인증이란 기업, 기관의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(KISA) 또는 인증기관이 증명하는 제도이다 ② "정보통신망 이용촉진 및 정보보호 등에 관한 법률"에 따라 인증을 의무적으로 취득해야 하는 "의무대상자"와 자발적으로 취득할 수 있는 "자율신청자"로 구분된다. ⑵ 법적 근거 ① "정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제 47조2 ② "정보통신망 이용촉진 및 정보보호 등에 관한 법률" 시행령 제47조~제54조 ③ "정보통신망 이용촉진 및 정보보호 등에 관한 법률" 시행규칙 제3조에 따른 정보보호 관리체계 인증, ④ "개인정보보호법" 제32조2 ⑤"개인..