[ISMS-P] ISMS-P 인증안내서(2023.11월) 참고자료 링크 모음
ISMS-P 인증기준 안내서(2023.11) 수정게시 글에 첨부되어 있는 “ISMS-P 인증기준 안내서(2023.11.23).pdf” 파일의 참고자료 목록과 자료를 다운로드 받을 수 있는 링크 모음입니다. ISMS-P 인증심사원 시험을 준비하고 계시는 분들에게 도움이 되었으면 합니다. 참고 자료 출처 작성일 비고...
Category: IT Base
[정보보안] OWASP Top 10 – 웹 애플리케이션 보안 위험(2021년)
2024년 1회 정보보안실기시험에 OWASP Top 10 항목 중 SSRF(Server-Side Request Forgery)가 출제되었습니다(문제 내용이 정확히 기억나지 않지만). 암호화 오류(Cryptographic Failures)를 포함하여 Top 10 항목 중 2021년에 새롭게 반영된 카테고리에 대해 자세히 알아보겠습니다(예방 방법 및 공격...
[정보보안] 표준 개인정보처리위탁 계약서(양식)
※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항(개인정보 보호법 제26조제1항 및 동법 시행령 제28조제1항) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 개인정보의 기술적·관리적 보호조치에 관한 사항 위탁업무의 목적 및 범위 재위탁...
[Linux] Apache Log4j(Log4Shell) 취약점에 대해
Log4j(Log for Java)란 무엇입니까? Log4j는 Apache에서 유지 관리하는 오픈 소스 로깅 프레임워크입니다. 소프트웨어 내에서 메시지를 기록하는 데 사용되며 시스템의 다른 서비스와 통신하는 기능이 있습니다. 이 통신 기능은 취약점이 존재하는 부분으로, 공격자가 시스템에서 실행될 수...
[Windows] 윈도우즈 취약점 대응: DEP, NBT, DDE
Windows 취약점 대응과 관련하여 다양한 주제가 있지만 정보보안기사 필기시험 및 실기시험 자주 출제되는 3가지 기능(DEP, NBT, DDE)에 대해 알아보겠습니다. 1. 데이터 실행 방지(Data Execution Prevention, DEP) 기능 사용 데이터 실행 방지 기능을 사용하면 메모리의...
[Network] IPsec VPN에 대하여
IPsec은 보편적인 인터넷 보안 표준을 생성하기 위해 고안됐고, 진정한 의미의 “안전한 인터넷 연결”을 처음으로 실현했습니다. 비록 IPsec이 오늘날 가장 보편적으로 사용되는 인터넷 보안 프로토콜은 아니지만, 인터넷 통신 보안에 있어 여전히 핵심적인 역할을 합니다. IPsec은...
[Network] Cisco 장비의 필수 설정 및 취약점 점검 항목
필수 설정 항목 NTP 설정 시간 동기화를 제공하여 로그 기록, 보안, 유지 보수 및 관리 편의성을 향상 Device(config)# ntp server <NTP 서버 IP> 중요한 명령어의 실행 권한 관리 강화: level 15 적용 connect, telnet,...
[정보보호] 개인정보의 안전한 취급을 위한 내부관리계획 수립
“개인정보의 기술적·관리적 보호조치 기준”과 “개인정보의 안전성 확보조치 기준“에는 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 내부관리 계획을 수립ㆍ시행 및 점검토록 되어 있습니다. “개인정보의 기술적·관리적 보호조치 기준”은...
[정보보호] 개인정보 영향평가 개념 및 위험도 산정 방법
“개인정보 영향평가“란 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말하고, 영향평가를 하는 경우에는 다음 사항들을 고려해야 합니다.(개인정보 보호법 제33조). 처리하는 개인정보의 수 개인정보의 제3자 제공...
[정보보호] 접근통제를 위한 망분리 방법
법률상 근거 개인정보의 안전성 확보조치 기준 제6조(접근통제)⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할...
[정보보안] 무선LAN(IEEE802.11) 보안 기술(WEP / WPA / WPA2 / WPA3)
WEP – 최초의 Wi-Fi 보안 프로토콜 WEP는 Wired Equivalent Privacy의 약어이며 1999년 9월에 승인된 최초의 Wi-Fi 보안 프로토콜입니다. 처음에는 유선 네트워크와 동일한 보안 수준을 제공할 것으로 예상되었습니다. WEP의 보조 기능은 무선 네트워크에 대한 무단...
[정보보호] 정보보호 최고책임자와 개인정보 보호책임자의 역할 및 책임
정보보호 및 개인정보보호에 관한 업무를 총괄하는 책임자의 역할 및 책임, 지정요건에 대해 알아보겠습니다. 정보통신망법의 정보보호 최고책임자 정보통신기반 보호법의 정보보호 책임자 전자금융거래법의 정보보호 최고책임자 개인정보 보호법의 개인정보보호 책임자 1. 정보통신망법의 정보보호 최고책임자 지정 대상: 정보통신서비스제공자정보통신서비스...
[정보보안] 정보보안기사 실기시험 기출문제 경향 분석(2018~2023년)
2024년 정보보안기사 자격 취득에 도전하고 있는데 나름 열심히 했는지 “2024년 정기검정(CBT) 1회차 필기”에 합격했습니다. 부끄럽지 않은 점수로 1회차 필기를 합격해서 다행입니다. 바로 실기시험 준비을 위해 실기시험과 관련된 과거 자료를 찾다가 실기시험 기출문제 경향 분석...
[정보보안] 취약점 관리 및 식별 방법(CVE / CWE / CCE / CVSS)
CVE,CWE,CCE와 CVSS는 정보보안 및 취약점 관리에서 중요한 역할을 하는 용어들입니다. 각 용어의 의미와 연관된 개념에 대해 간단히 설명하겠습니다. CVE (Common Vulnerabilities and Exposures): 공개적으로 알려진 보안 취약점을 식별하고 추적하기 위한 표준 식별자입니다. 이 식별자는...
[Network] 공유기와 스위칭 허브의 차이점
공유기(router 또는 gateway)와 스위칭 허브(switching hub 또는 ethernet switch)는 모두 네트워크에 연결되어 네트워크를 확장하고 연결된 장치 간에 데이터를 송/수신하지만 서로 다른 역할을 수행합니다. 공유기 인터넷에 접속할 수 있도록 연결된 장치들에 IP를 할당해주는 장치입니다. 통신사...
[HTML] 구글 차트를 이용해서 “표준 vs. 실적[통계치]” 표시하기
구글 차트의 “간격 차트 유형“를 활용해서 “표준 vs 실적[최소값, 일사분위수, 중앙값, 삼사분위수, 최대값]”를 출력하는 그래프를 그려보도록 하겠습니다. 공정 관리를 위해 사용하면 좋습니다. 아래 HTML 코드를 저장 후 실행하면 위 이미지와 같이 그래프가 출력됩니다. 한...
[HTML] <table> 태그의 Body영역에서 스크롤바 사용하기
수 백 건의 레코드를 가진 TABLE의 데이터를 보려면 브라우저의 수직 스크롤바를 사용해서 이동해야 했습니다. 그래서 생각해봤죠! 헤더를 고정하고 테이블 바디만 스크롤하면 되지 않을까? 누군가는 반드시 저와 같은 생각을 하고 있을꺼라고. 그래서 구글링을 했습니다. 있었습니다....
[정보보호] 주요정보통신기반시설 기술적 취약점 분석·평가 항목
아래는 주요정보통신기반시설 기술적 취약점 분석·평가 항목은 KISA의 “지식플랫폼 > 법령·가이드라인 > 가이드라인”의 “보안취약점 및 침해사고 대응”에 등록된 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드(2021년3월)의 목차만 정리한 내용입니다. 1. Unix/Linux 서버 취약점 분석/평가 항목 2. 윈도우즈...
[정보보안] 전자 서명과 전자 인증서의 개념과 차이점
전자 서명(Digital Signature, 디지털 서명)이 무엇인지, 전자 인증서(Digital Certificate, 디지털 인증서)를 처음 또는 가끔 접하는 분들이라면 이 두 기술이 무엇인지에 대해 꽤 혼란스러울 것입니다. 둘 다 보안 조치이고 비슷하게 들리므로 많은 사람들이 동의어로 생각할...
[Network] 스위치의 동작 방식 및 포워드 모드
스위치의 동작 방식 Learning 포트에 연결된 PC가 프레임을 보내면 해당 PC[출발지]의 MAC address를 스위치 자신의 MAC address table에 포트 번호와 함께 기록합니다. Cisco 스위치에서 MAC address table을 확인하는 방법(예제) SW1# show mac address-table Mac...