[태그:] 정보보호관리체계

taeho의 정보보호관리체계 관련 글입니다.

  • PC에서 USB 사용 흔적 찾는 방법

    카테고리: 운영체제 | 작성일:

    개인의 노트북이나 PC는 물론이고 기업이나 공공기관에서의 USB 저장장치 무단 사용은 (개인)정보유출의 주요 수단으로 악용된다. 때문에 기업이나 공공기관은 내부에서 업무용으로 사용되는 PC나 노트북(서버도 마찬가지)에서의 USB 저장장치 사용을 금지하기도 한다. 하지만 정보보호 관련 내부 지침으로 금지하고 Endpoint DLP 보안솔루션을 적용해도 이런 저런~방법으로 우회해 USB 저장장치를 사용할 수 있는 경우가 꽤 된다. 어떤 경우는 Endpoint DLP를 모든 PC에 설치하고 중앙의 관리서버에서 차단 정책을 적용해도 오류 …

  • 공개서버 보안을 강화하기 위한 보안솔루션 – SecureOS

    카테고리: 정보보호 | 작성일:

      ISMS나 ISO27001 심사와 관련된 업무를 수행하다 보면 서버를 들여다 봐야 하는 일이 종종 발생한다. 솔직히 서버를 들여다 보는 일은 개인적으로 즐겁기도 하지만 안타까움을 느끼게 될 때가 더 많다. 왜냐하면 서버 내의 보안 수준이 생각보다 높지 않기 때문이다. 이는 서버를 운영하는 운영자 혹은 관리자들이 서버 운영체제와 서버에서 구동되는 DBMS나 WAS 등 SW의 관계, 권한 설정등에 대한 이해수준이 높지 않기 때문이거나 이해수준은 높더라도 보안과 연관지어 어떤 위협이 존재하는지 알지 못하는 경우가 많기 때문이 …

  • 칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기

    카테고리: 정보보호 | 작성일:

    정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다.  내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태반일 정도로 거짓(?)이 난무하는 나라가 바로 우리나라 아닌가... 개인적인 것을 떠나 공적인 측면에서 …

  • [ISACA저널-특별기고] 서버 운영체제 접속 시 이중 인증 시스템 구축 사례 분석

    카테고리: 정보보호 | 작성일:

    책장을 정리하다 2015년 ISACA 저널에 기고했던 글이 실린 책을 발견했다. 무언가 글을 써서 어딘가 활자로 인쇄되어 나오는 것이 어떤 느낌인지를 알려주었던 소중한 경험이었다. 당시 올렸던 글의 원문을 이제 3년 넘게 지난 시점에 블로그에 올려 본다. ISACA KOREA 저널 특별기고 서버 운영체제 접속에 대한 이중 인증 시스템 구축 사례 분석 인증이란? 인증이라 함은 다중 사용자 시스템 또는 망운용 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차를 말한다. 그 외에 전송된 메시지의 무결성과 송신자를 검증하는 …

  • 비밀번호의 일방향 암호화를 지키지 않는 솔루션의 위험성

    카테고리: 정보보호 | 작성일:

    오늘... 이메일 한통을 받았다. 발신자는 이스트소프트 였다. 무슨 메일이지?? 라는 생각을 하며 메일을 열어본 순간... 또 개인정보유출에 대한 사과와 비밀번호 변경을 요청하는 메일이었다. 정말 지겹도록 개인정보 유출사고는 끊이지 않는다. 혹시 내 정보도? 라는 생각이 들어 알툴즈 홈페이지를 방문하니 다음과 같은 창이 떴다. 한 때...즐겨 사용했던 알집, 알FTP, 알씨 등을 개발해 일반사용자들에게 무료로 배포해 온국민의 유틸리티에 대한 갈증을 해소해 준 꽤나 괜찮은 회사였다. 하지만 어느날인가 "알패스"라는 매우 위험한 툴을 …

  • [ISMS-P] 개인정보보호를 위한 망분리 관련 법령 분석

    카테고리: 정보보호 | 작성일:

    ●●● 2026.2.25 추가 ●●●개인정보 보호법과 정모통신망법의 중복되는 법령과 고시가 개인정보 보호법으로 이관되어 통합되었고 이후 망분리 관련 고시의 기준도 개정되었습니다. 다음 글에서 상세하게 다루고 있으니 참고하시기 바랍니다. https://blogger.pe.kr/pipa-internet-network-blocking-measures-1273/ 개인정보를 취급하는 많은 기업과 공공기관들은 항상 망분리 이슈에 시달리게 됩니다. 하지만 망분리를 누가 왜 해야하는지를 정확하게 이해하고 있는 기업이나 공공기관도 있는 반면 정확 …

  • [ISMS/PIMS] 정보통신서비스 이용자와 사용자 계정의 비밀번호 관련 법령

    카테고리: 정보보호 | 작성일:

    정보통신망 이용촉직 및 정보보호 등에 관한 법률(이하 정통망법)과 개인정보 보호법에서는 정보통신서비스의 이용자와 사용자가 안전한 비밀번호를 설정하고 서비스에 로그온 할 수 있도록 법률로서 서비스 제공자에게 의무하화고 있습니다. 하지만 아직도 이에 대한 인식은 많이 부족한 편입니다. 실제로 여러 웹서비스에 구현되어 있는 계정의 비밀번호 관련 기능을 살펴보면 의무적으로 제공되어야 할 기능이 제대로 구현되어 있지 않은 경우가 많습니다. 정보통신망법에 명시된 비밀번호 관련 규정 사실 정보통신망법에는 이용자와 사용자의 비밀번호에 대한 직접적 …

  • [ISMS인증심사] 심사원(보)에서 “보”를 떼다.

    카테고리: 나의 일 | 작성일:

    ISMS인증제도와 ISMS인증심사원 ISMS인증제도는 기업 스스로 체계적인 정보보호 활동을 위한 관리체계가 수립되어 있는지, 그리고 관리체계가 수립되어 있다면 법적 요구사항 및 ISMS인증제도 자체의 기준을 충족하는지를 평가하고 수립되어 있는 정책, 지침에 따라 지속적인 정보보호활동을 하고 있는지를 평가하고 인증해주는 제도다. 그리고 ISMS인증심사원은 인증기준에 맞춰 정보보호관리체계를 운용하고 있는지 실사 및 평가를 수행하는 인력이다. ISMS인증심사원은 2013년 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 이하 시 …

  • 제8회 병원 의료정보화 발전 포럼 참가

    카테고리: 나의 일 | 작성일:

    2년 전... 전자정부 정보보호 솔루션페어 참가 이후 행사 참여는 일절 없었는데 2년 만에 작지만 포럼에 참가하게 되었다. 내가 하는 "서버보안" 일이 보안업계에서도 그다지 겉으로 드러나지 않는 분야이기에 세미나나 포럼 등 참가할 일이 사실 거의 없다. 서버보안은 많은 사람들이 그저 "운영체제의 보안 설정 잘해주면 되는거 아냐?"라고 생각하기 일쑤다. 하지만 운영체제의 보안설정이라는 것이 운영체제가 갖고 있는 근본적인 취약성을 제거해주지는 못할 뿐더러 "내부통제" 측면에서 봤을 때는 사실상 "보안 설정을 하나 안하나" 별반 차이없는 …

  • 웹서버까지 공격하는 랜섬웨어 – RedCastle로 방어한다.

    카테고리: 정보보호 | 작성일:

    2015년 봄... 인터넷을 뜨겁게 달구던 클리앙 랜섬웨어 유포사고는 랜섬웨어를 사용자들의 PC에 감염시키기 위해 웹서버를 "이용"했을 뿐이다. (사고 관련 포스트 보러가기) 그래서 사실 웹서버에는 별다른 피해가 발생하지 않는다. 이렇게 서버에 별다른 피해를 끼치지 않기에 웹서버를 이용한 악성코드 유포사고로 피해를 보는 것은 일반 사용자들 뿐이다. 서버를 운영하는 기업들이나 공공기관은 별다른 피해를 입지 않고 "욕만 한번" 먹고 그냥 넘어가기 일쑤다. 하지만 최근 랜섬웨어가 일반 사용자들의 PC 뿐만아니라 서버까지도 공격한다는 소식 …