전체 글85 [보안 업무] 보안 담당자 업무 관련_출장2 이전 글에서는 출장 가기 전에 준비한 사항에 대해서 일부 작성했는데 그것에 이어서 작성을 해보겠습니다. 4) 국가(업무) 문화 가기 전에 방글라데시가 어떤 나라인지 조사하기 시작했습니다. 아무래도 치안이 좋지 못하고 사람들이 사는 환경은 우리나라 70~80년대와 비슷한다고 들었기에 조금이라도 조사해보고 가기 위해서 찾아보았습니다. 현지에서 이 말에 대해서 많이 느꼈습니다. 우선 근래에 갔다고 직원에게 방글라데시 직원들과 일했을 때의 느낌 및 협조 등에 대해서 문의했습니다. 우선 문의했을 때부터 혀를 찼습니다. 너무 힘들었다고 왜 힘들었는지에 대해서는 아래와 같이 요약해보았습니다.(아래 내용은 호불호가 있을 테니 그냥 들은 것에 대해서만 적었으니 오해는 하지 않으셨으면 좋겠습니다.) - 업무 진행이 느리다.. 2021. 8. 22. [보안 업무] 보안 담당자 업무 관련_출장 현재는 이직을 해서 해외 출장을 갈 일이 없지만 전 직장에서는 일 년에 한 번씩 해외 출장을 가야 하는 일이 있었습니다. 거의 1년의 12개월 중 1개월은 해외에서 지냈었습니다. 영어도 못하는 영알못이 운이 좋다고 해야 할지 그때는 출장 준비가 많이 힘들고 맨땅에 헤딩하는 기분이었지만 저에게는 아주 좋은 경험이 되었으며, 흔지 않은 경험을 했다고 생각합니다. 그래서 오늘부터 해외 출장 및 준비하면서 생겼던 일에 대해서 적어볼까 합니다. 제가 출장으로 방문한 나라는 이름도 많이 들어보지 못한 방글라데시와 개인적으로 가깝지만 그다지 가고 싶지 않은 중국이었습니다. 우선 방글라데시 내용을 작성하고 나면 중국과 관련된 내용에 대해서 작성해 보겠습니다. 우선 방글라데시 출장과 관련된 이야기를 작성해 볼까 합니다... 2021. 8. 22. 패스워드(암호) 관리 정책에 대해서 패스워드(암호) 관리 정책에 대해서 보안 담당자로 근무하면서 임직원들에게 가장 많이 컴플레인을 듣고 지원 요청을 받는 사항 중 하나가 패스워드 잠김 또는 패스워드 분실 건이었습니다. 이유는 간단했습니다. 임직원 한 명이 기억하고 있어야 하는 계정 정보가 최소 2개 이상이며, 변경 주기도 90일(3개월)에 한 번씩, 거기에 과거에 사용하였던 패스워드는 사용하지 못하도록 정책이 되어 있으니 처음 한두 번은 괜찮지만 이게 누적이 되다 보면 잊어버리거나 분실하거나 하는 이슈가 하나둘씩 생겼기 때문입니다. 임직원 나름 패스워드 분실의 예방차원으로 노트나 포스트잇 등에 작성하여 어딘가 부착해 두기도 합니다. 하지만 그렇게 되면 사내 보안 정책에 걸려 나중에 인사상 불이익이 발생하기 때문에 임직원들의 원성을 듣는 걷.. 2021. 8. 22. 통신보안인증- GSMA SAS 인증 인증 심사 지원 배경 SAS(Security Accreditation Scheme) 인증은 우리가 흔히 핸드폰에 사용하는 SIM, USIM 칩과 관련된 인증으로 GSM 제품을 생산 하는데 필요한 보안 수준을 평가하는 인증입니다. 위에서 언급한 핸드폰 즉 모바일 장치에서 사용하는 SIM의 프로그램과 데이터의 무결성을 보호하기 위해서 제조 및 관리에 사용되는 공급자(제조사) 환경과 프로세스 상의 보안을 평가하는 인증입니다. 지사에서 해당 인증을 진행하는 사유는 당시 큰 고객사 중 한 곳에서 해당 인증을 요구하였고 회사 차원에서도 그 고객뿐 아니라 해외 고객도 유치하자는 차원에서 진행을 하기로 했던 것입니다. 당시 해당 인증 획득 프로젝트에 투입이 된 것은 입사하고 얼마되지 않아서 입니다. 인증을 진행하는데 .. 2021. 8. 22. 정보보안 인증 - PCI DSS(카드 데이터) 해당 인증은 Visa, Master, American Explress, Discover, JCB의 카드 브랜드에서 자신들의 카드 데이터를 이용하는 것에 대한 별도의 만든 정보보안 표준으로 만든 인증으로 국내에서는 거의 수요가 없다가 2014(?)년도 경에 VISA와 몇 개의 카드사에서 자신들의 카드를 유통하기 위해서는 반드시 해당 인증을 받으라는 이야기가 나오고 있어서 국내 카드 및 PG, VAN 사 등에서 진행한 것으로 알고 있습니다. 당신에는 보안에 대해서 조금 신경쓰는 몇몇 PG 사만 받고 있었던 것으로 기억하고 당시 재직하던 회사에서 해당 인증을 준비하는데 관련되어서 국내에서 컨설팅 및 인증을 진행하는 곳이 BBSec이라는 곳에서만 했던 것으로 기억합니다. 현재는 조금씩 관련 업체가 늘어난 것으로.. 2021. 8. 22. 정보보안 관련 인증-ISO27001:2013 정보보안과 관련된 인증과 관련된 내용에 대해서 정리해 볼까 합니다. 개인적으로 직접 진행한 인증도 있고 관련 부서와의 협조로 진행한 것도 있고, 관련된 내용만 공부한 것도 있습니다. 우선 개인적으로 직접 진행한 인증에 대해서 간략히 정리해 볼까 합니다. 국제 정보보안관리체계 인증(ISO 27001:2013) - 해당 인증은 2005 버전에서는 총 11개의 영역에서 133개의 통제항목을 만족해야 했으나 2013 버전으로 변경되면서 총 14개의 영역의 114개의 통제항목을 만족해야 하는 인증입니다. 국제 표준 인증으로 ISO 에서 제정하여 진행하는 인증으로 국내 인증업체도 있으며 국제적으로 유명한 인증업체도 있습니다. ISO 인증은 필수적인 인증은 아니지만 해당 14개의 영역이 기업에서 기본적으로 지켜야 할.. 2021. 8. 22. [개인 시선] 일상적인 보안 활동_업무중 약 10년이라는 기간 동안 보안업무를 하면서 느낀 점을 적어볼까 합니다. 지금은 인식이 조금씩 바뀌고 있지만, 보안에서 가장 필요하지만 가장 인정하지 않는 보안 관제부터 보안 SI, 그리고 한 기업의 보안 담당자가 되기까지 짧다면 짧고 길다면 긴 시간 동안 보안 업무를 하고 있습니다. 저는 누구나 가길 원하는 대기업의 담당자가 된 적은 없습니다. 대기업이라고는 첫 번째 보안 관제를 하면서 대기업 임직원들이 일하는 모습을 본것 이외에는... 보안 SI를 하면서 금융, 일반 제조, 공기업 등을 다니면서 해당 기업의 담당자들과 또 일반 임직원들과 업무 수행하면서 느낀 점은 이 사람들도 나와 크게 다르지 않다는 것, 담당 업무의 내용도 크게 다르지 않다는 것을 알게 되었습니다. 즉 기업의 크기가 다를 뿐 진행하.. 2021. 8. 22. 보안 담당자 퇴사자 보안(체크 리스트) 회사에서 퇴사자가 발생했을 경우 아래 리스트는 반드시 체크를 해야 합니다. 모두 다 알고 있을 기초적인 내용이지만 개인적인 경험을 바탕으로 작성합니다. 1. 계정관리 - 사내에서 사용하는 모든 계정을 삭제 또는 정지시켜야 합니다. (PC 계정, 그룹웨어, ERP 등) 2. 자료 관리 (R&R) - 간혹 일부 직원이 안 좋은 일로 퇴사할 경우 중요 파일을 삭제하거나 자신의 PC를 포맷하고 퇴사하는 경우가 발생할 수 있으니 퇴사자 R&R에 따라 자료가 정확히 인수인계가 되었는지 확인해야 합니다. 3. 메일 확인 - 퇴사 시 일부 직원은 자신의 메일을 삭제하고 퇴사하는 경우가 있습니다. 메일도 중요자산 중에 하나이기에 물론 별도 백업이 진행되어 있어야 하지만 정확히 백업되어 있는지 혹시나 삭제되지는 않았는지 .. 2021. 8. 21. [취약점 점검 도구]무료 취약점 점검 도구_오픈소스_Arachni 오늘은 무료 웹 취약점 점검 도구인 Arachini 설치 및 사용 방법에 대해서 작성해 보겠습니다. 이툴도 오픈소스로 해당 사이트에서 언제든지 다운 받아서 설치 가능하십니다. 사용하게 된 이유는 외부 사용은 회사 사정상 비싸기도 하고 요즘은 오픈소스로 많이 나와 있어서 검색하다 찾게 된 도구인데 설치 및 사용 방법도 간단합니다. 사이트 URL : http://www.arachni-scanner.com/ 1. 설치 환경 - Ubuntu 64Bit - VirtualBox 5.2.22 2. 설치 방법 - 사이트 접속 : http://www.arachni-scanner.com/ - 설치파일 다운로드 : http://www.arachni-scanner.com/download/ 각 OS별로 설치 파일이 있으므로 확.. 2021. 8. 21. [MAC OS] MAC OS 보안 자동 설치 툴 오늘은 MAC OS 보안 설정을 자동으로 설정해 주는 툴을 안내해 드릴까 합니다. MAC OS 셋팅 후에 기본적으로 설정해 주어야 하는 항목들이며, 여기저기서 검색을 하다 우연히 발견한 내용입니다. 출처 : https://github.com/alichtman/stronghold 해당 툴을 사용하는 방법은 아래와 같으며 해당 내용은 위 출저에서도 바로 확인 가능합니다 Install with pip $ pip install stronghold $ stronghold Download the stronghold binary from Releases tab. 해당 툴에서 점검 및 설정하는 내용은 아래와 같습니다. 1. Firewall - Turn on the Firewall? This helps protect y.. 2021. 8. 21. 이전 1 ··· 3 4 5 6 7 8 9 다음 728x90
