안녕하세요. 화이트햇스쿨 1기 교육생으로 활동 중인 한 늙은이입니다. 생긴지 얼마 안 된 프로그램이다 보니, 정보나 활동 후기가 부족할 텐데 2기나 이후 기수 지원을 고민하고 있는 분들을 위해 해당 시리즈 작성을 결심했습니다. 궁금하거나 모르는 게 있으면 블로그 댓글로 편하게 남겨주세요. 들릴 때마다 답글 달겠습니다. 혹여나 관계자 분들 관점에서 문제가 생기는 부분은 알려주시면 즉각 수정 조치하겠습니다. (1기 이후 절찬리에 2기 바로 모집 중입니다.) 1. 화이트햇스쿨은 어떤 프로그램인가? 화이트햇스쿨(WHS, Whitehat School)은 보안 분야 입문자를 대상으로 구성한 교육 프로그램입니다. 프로그램은 3단계로 구성되어 있습니다. (1단계는 교육, 2단계는 프로젝트, 3단계는 재교육) 초기엔 P..
해당 가이드라인은 정보보호관리체계 인증 혹은 재평가 과정을 수행하는 조직을 위한 위험관리 가이드다. 위험 관리의 전반적인 프로세스와 ISO/IEC 13335-1을 기반으로 한 다양한 위험 분석 방법론에 대한 내용이 포함되어 있다. 자산, 취약성, 위협 평가를 바탕으로 위험을 분석하고, 이에 대한 위험 처리 전략 및 정보보호 계획 수립에 관한 내용을 다루고 있다. 종합적으로, 조직이 효과적으로 위험을 최소화하여 정보보호를 달성하기 위한 체계적인 접근법을 제시하고 있다. 출처 KISA 정보보호관리체계 위험관리 가이드 1. 개요 대상: 정보보호관리체계 인증을 수행하는 조직, 위험을 재평가하는 시점의 조직 가이드 시리즈 (현 가이드는 3에 해당) 2. 위험 관리 개요 위험 관리 자산 위험을 감수할 수 있는 수준..
제로 트러스트 기술의 정의, 기존 보안 아키텍처와의 차이, 그리고 국가별 동향에 대한 종합적인 내용을 다루었다. 제로 트러스트는 모든 상호작용을 믿을 수 없다고 가정하는 보안 아키텍처이다. 이는 전통적인 아키텍처의 결함을 메우려는 시도이지만, 실제 도입을 위해 기술적 한계를 극복할 필요가 있다. 또한, 제로 트러스트 아키텍처를 도입하는 기업들의 현황과 솔루션 개발 동향, 한국과 미국의 정부 차원의 노력을 다루었다. 1. 제로 트러스트 기술 개요 1-1. 제로 트러스트 정의 제로 트러스트란 모든 상호작용을 신뢰할 수 없는 상태를 전제로 한 보안 아키텍처 방식이다. 제로 트러스트 아키텍처는 방화벽 내부에서 시작되는 통신을 무조건 신뢰하는 전통적인 아키텍처와는 대조되며, 일회성 인증에 의존하는 기존 보안 아키..
안녕하세요. 화이트햇스쿨 1기 교육생으로 활동 중인 한 늙은이입니다. 생긴지 얼마 안 된 프로그램이다 보니, 정보나 활동 후기가 부족할 텐데 2기나 이후 기수 지원을 고민하고 있는 분들을 위해 해당 시리즈 작성을 결심했습니다. 궁금하거나 모르는 게 있으면 블로그 댓글로 편하게 남겨주세요. 들릴 때마다 답글 달겠습니다. 혹여나 관계자 분들 관점에서 문제가 생기는 부분은 알려주시면 즉각 수정 조치하겠습니다. (1기 이후 절찬리에 2기 바로 모집 중입니다.) 1. 화이트햇스쿨은 어떤 프로그램인가? 화이트햇스쿨(WHS, Whitehat School)은 보안 분야 입문자를 대상으로 구성한 교육 프로그램입니다. 프로그램은 3단계로 구성되어 있습니다. (1단계는 교육, 2단계는 프로젝트, 3단계는 재교육) 초기엔 P..
OWASP이 2023년에 발표한 Top 10 API 보안 위험 목록에 대한 한글 문서가 존재하지 않아, 필자가 한글로 번역한 글이다. OWASP은 웹 애플리케이션 보안을 증진하는 비영리 단체로, 매년 업데이트되는 Top 10 리포트는 웹 애플리케이션 보안의 주요 현안을 다룬다. 글에서는 불안전한 권한, 인증 결함, 민감한 비즈니스 플로우에 대한 접근 등 총 10가지 API 보안 위험을 소개하고 있다. 원문과 자세한 내용은 OWASP의 웹사이트에서 확인 가능하다. 1. OWASP이란? 웹 애플리케이션 보안 향상에 기여하는 비영리 재단 OWASP Top 10은 매년 업데이트되는 보고서로, 가장 중요한 10가지 위험에 초점을 맞춰 웹 애플리케이션 보안에 대한 보안 문제를 설명 원문 및 상세 내용 확인: htt..
1. 문제 설명 2. 문제 풀이 1. 먼저 문제 파일의 압축을 푼다. 2. rot128.py의 코드를 확인한다. encfile이 어떻게 암호화됐는지 살펴보기 위해 rot128.py 코드를 확인해야 한다. 코드에 hex_list라는 게 먼저 나오는데, 이게 어떤 것인지 살펴봤다. 0부터 1씩 증가하는 hex 리스트인 것을 볼 수 있다. plain_list는 평문이 hex로 파싱된 list이다. 그리고 저 flag.png가 우리가 복호화해야 할 평문의 원본이다. 아래 코드에서 암호문이 카이사르 암호라는 걸 알 수 있다. 카이사르 암호는 간단한 치환암호 중 하나다. 평문의 각 단위를 일정한 거리만큼 밀어서 다른 문자로 치환하는 방식이다. 왜 카이사르 암호냐면, hex로 파싱된 평문을 순회하면서 hex_list..
1. 요약 약 3주 동안 인강을 듣고, 1주일 동안 기출 모의고사를 풀었다. 결과적으로 토익은 응시 한 번만에 915점이 나왔다. 900점 이상의 점수를 받기 위해선 총 200개 문제 중 약 15~20개를 틀리면 되는 것으로 알려져 있다. 토익 고득점을 위해서는 기본 영어 실력도 물론 있어야 하지만, 문제를 전략적으로 푸는 방법을 체득하는 게 더 중요하다. 또한 마인드 컨트롤도 매우 중요하다. 토익 난이도는 계속해서 높아지고 있는데, 중요한 건 나만 어려운 것이 아니란 것과 토익이 상대평가라는 것이다. 그리고 한 번에 점수가 잘 안 나올 수 있다. 한 번에 점수가 잘 나오는 건 운도 작용한다고 생각한다. 보통 3번은 본다고 생각하고 일정을 넉넉하게 잡는 게 중요하다. 2. 공부법 2-1. 인강 토익 공부..
제로 트러스트 기술의 정의, 기존 보안 아키텍처와의 차이, 그리고 국가별 동향에 대한 종합적인 내용을 다루었다. 제로 트러스트는 모든 상호작용을 믿을 수 없다고 가정하는 보안 아키텍처이다. 이는 전통적인 아키텍처의 결함을 메우려는 시도이지만, 실제 도입을 위해 기술적 한계를 극복할 필요가 있다. 또한, 제로 트러스트 아키텍처를 도입하는 기업들의 현황과 솔루션 개발 동향, 한국과 미국의 정부 차원의 노력을 다루었다. 1. 제로 트러스트 기술 개요 1-1. 제로 트러스트 정의 제로 트러스트란 모든 상호작용을 신뢰할 수 없는 상태를 전제로 한 보안 아키텍처 방식이다. 제로 트러스트 아키텍처는 방화벽 내부에서 시작되는 통신을 무조건 신뢰하는 전통적인 아키텍처와는 대조되며, 일회성 인증에 의존하는 기존 보안 아키..
