해당 가이드라인은 정보보호관리체계 인증 혹은 재평가 과정을 수행하는 조직을 위한 위험관리 가이드다. 위험 관리의 전반적인 프로세스와 ISO/IEC 13335-1을 기반으로 한 다양한 위험 분석 방법론에 대한 내용이 포함되어 있다. 자산, 취약성, 위협 평가를 바탕으로 위험을 분석하고, 이에 대한 위험 처리 전략 및 정보보호 계획 수립에 관한 내용을 다루고 있다. 종합적으로, 조직이 효과적으로 위험을 최소화하여 정보보호를 달성하기 위한 체계적인 접근법을 제시하고 있다. 출처 KISA 정보보호관리체계 위험관리 가이드 1. 개요 대상: 정보보호관리체계 인증을 수행하는 조직, 위험을 재평가하는 시점의 조직 가이드 시리즈 (현 가이드는 3에 해당) 2. 위험 관리 개요 위험 관리 자산 위험을 감수할 수 있는 수준..
OWASP이 2023년에 발표한 Top 10 API 보안 위험 목록에 대한 한글 문서가 존재하지 않아, 필자가 한글로 번역한 글이다. OWASP은 웹 애플리케이션 보안을 증진하는 비영리 단체로, 매년 업데이트되는 Top 10 리포트는 웹 애플리케이션 보안의 주요 현안을 다룬다. 글에서는 불안전한 권한, 인증 결함, 민감한 비즈니스 플로우에 대한 접근 등 총 10가지 API 보안 위험을 소개하고 있다. 원문과 자세한 내용은 OWASP의 웹사이트에서 확인 가능하다. 1. OWASP이란? 웹 애플리케이션 보안 향상에 기여하는 비영리 재단 OWASP Top 10은 매년 업데이트되는 보고서로, 가장 중요한 10가지 위험에 초점을 맞춰 웹 애플리케이션 보안에 대한 보안 문제를 설명 원문 및 상세 내용 확인: htt..
제로 트러스트 기술의 정의, 기존 보안 아키텍처와의 차이, 그리고 국가별 동향에 대한 종합적인 내용을 다루었다. 제로 트러스트는 모든 상호작용을 믿을 수 없다고 가정하는 보안 아키텍처이다. 이는 전통적인 아키텍처의 결함을 메우려는 시도이지만, 실제 도입을 위해 기술적 한계를 극복할 필요가 있다. 또한, 제로 트러스트 아키텍처를 도입하는 기업들의 현황과 솔루션 개발 동향, 한국과 미국의 정부 차원의 노력을 다루었다. 1. 제로 트러스트 기술 개요 1-1. 제로 트러스트 정의 제로 트러스트란 모든 상호작용을 신뢰할 수 없는 상태를 전제로 한 보안 아키텍처 방식이다. 제로 트러스트 아키텍처는 방화벽 내부에서 시작되는 통신을 무조건 신뢰하는 전통적인 아키텍처와는 대조되며, 일회성 인증에 의존하는 기존 보안 아키..
1. 프로젝트 개요 해당 프로젝트는 OT 환경의 보안 위협을 분석하고, 이에 대한 대응책을 분석해 OT 보안을 강화하는 것이 목표이다. OT(Operation Technology)란 산업 제어 시스템을 의미하고, OT 보안은 OT 환경을 보호하는 체계이다. IT 보안은 정보자산에, OT 보안은 운영에 주안점을 두므로 근본적으로 다른 접근법을 사용해 이해하고 분석해야 한다. 이 프로젝트는 OT 보안만의 차별화되는 특성과 위협들을 이해한 후 체계화하고, 보안 체계를 구축하기 위한 컨설팅 방법론을 습득하며, 각종 공격 시나리오 및 대응책에 대한 가이드라인을 산출할 계획이다. 2. 프로젝트 목표 보안 체계 구축을 위한 기본으로, OT 환경에서의 자산 식별 및 평가 방법론을 학습하고 적용한다. OT 환경의 보안 ..
