[정보보안] 파밍(Pharming) 공격에 관하여
파밍(Pharming) 공격은 사용자들이 방문하려는 웹사이트의 트래픽을 가짜 웹사이트로 유도하여 민감한 정보를 탈취하는 사이버 공격의 일종입니다. 이는 주로 DNS(Domain Name System) 캐시를 조작하거나 악성 코드에 의해 발생합니다. 파밍 공격은 피싱(Phishing)과 비슷하지만, 사용자에게 악성 링크를 클릭하도록...
Category: IT Base
[정보보안] 스피어 피싱(Spear Phishing)에 관하여
스피어 피싱(Spear Phishing)은 특정 개인이나 조직을 목표로 한 맞춤형 피싱 공격입니다. 일반적인 피싱 공격이 불특정 다수를 대상으로 대량으로 발송되는 것과 달리, 스피어피싱은 특정한 표적에 대한 사전 조사를 통해 그들의 개인적 정보를 이용하여 신뢰성을 높이고...
[정보보안] 제로 트러스트 보안 모델(Zero Trust Security Model)에 관하여
아래 내용은 KISA의 제로트러스트 가이드라인 1.0에서 요약/발췌한 내용입니다. Forrester Research의 수석 애널리스트인 John Kindervag(존 킨더백)은 2010년 처음으로 제로트러스트의 개념을 소개하였습니다. 그러나 이는 기존에 없던 완전히 새로운 개념이 아니라, 기존 경계 기반 보안 모델(Perimeter Security...
[정보보안] SBOM(Software Bill Of Materials)에 관하여
HBOM(Software Bill of Materials)에 대한 설명을 함께 보시면 좋습니다. 소프트웨어 자재명세서(Software Bill of Materials, SBOM)은 소프트웨어(SW) 구성요소를 서술하는 일종의 메타 데이터로 SW 전체의 구성요소, 라이선스, 버전, 종속성 등을 목록화한 문서입니다. SBOM은 소프트웨어의 투명성과 보안성을...
[정보보안] SW 공급망 침해 사례 및 공격 유형
KISA 보호나라&KrCERT/CC 사이트에 등록된 “SW 공급망 보안 가이드라인 1.0“의 내용을 발췌하였습니다. SW 공급망 침해 사례 미국은 솔라윈즈(Solarwinds) 등 대규모 SW 공급망 공격을 경험하면서 2021년 5월 ‘국가 사이버보안의 개선에 관한 대통령의 행정명령(EO 14028)’을 발표하였다. 이는...
[ISMS-P] ISMS-P 인증심사원이 알아야 할 법률 지식 목록
지난 글에서는 “ISMS-P 인증안내서 참고자료 다운로드 링크(2023.11월)“를 모았었는데, 이번 글에서 주요 법률, 고시, 기준, 지침 등의 목록을 정리해 봅니다. 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 지속적으로 파악하고, 제·개정이 이루어질 경우 조직에...
[ISMS-P] ISMS-P 인증안내서(2023.11월) 참고자료 링크 모음
ISMS-P 인증기준 안내서(2023.11) 수정게시 글에 첨부되어 있는 “ISMS-P 인증기준 안내서(2023.11.23).pdf” 파일의 참고자료 목록과 자료를 다운로드 받을 수 있는 링크 모음입니다. ISMS-P 인증심사원 시험을 준비하고 계시는 분들에게 도움이 되었으면 합니다. 참고 자료 출처 작성일 비고...
[정보보안] OWASP Top 10 – 웹 애플리케이션 보안 위험(2021년)
2024년 1회 정보보안실기시험에 OWASP Top 10 항목 중 SSRF(Server-Side Request Forgery)가 출제되었습니다(문제 내용이 정확히 기억나지 않지만). 암호화 오류(Cryptographic Failures)를 포함하여 Top 10 항목 중 2021년에 새롭게 반영된 카테고리에 대해 자세히 알아보겠습니다(예방 방법 및 공격...
[정보보안] 표준 개인정보처리위탁 계약서(양식)
※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항(개인정보 보호법 제26조제1항 및 동법 시행령 제28조제1항) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 개인정보의 기술적·관리적 보호조치에 관한 사항 위탁업무의 목적 및 범위 재위탁...
[Linux] Apache Log4j(Log4Shell) 취약점에 대해
Log4j(Log for Java)란 무엇입니까? Log4j는 Apache에서 유지 관리하는 오픈 소스 로깅 프레임워크입니다. 소프트웨어 내에서 메시지를 기록하는 데 사용되며 시스템의 다른 서비스와 통신하는 기능이 있습니다. 이 통신 기능은 취약점이 존재하는 부분으로, 공격자가 시스템에서 실행될 수...