정보보안-이론/XX에 대하여
SOC에 대하여
SOC(Service Organization Controls) Report에 대해서 들어본 사람이 있을까? 이게 무엇이며 왜 필요한지 또한 모르는 사람들도 많을 것이다. 결론 부터 말하면 이것은 잠재적인 고객이 조직의 보안 통제 평가를 확인 할 수 있는 보고서이다. 서론 보안통제 항목의 평가나 감사활동의 결과, 침투테스트의 결과는 모두 비밀로 여겨지고는 한다. 조직의 취약성이 들어나는 곳이기도 할뿐더러, 어떠한 통제항목이 적용되어 평가되는지에 대한 내용은 조직입장에서는 지켜야할 자산이지만, 잠재적인 고객의 입장에서는 이를 모르는 상태로 나의 정보를 맡기거나 서비스를 위탁하는부담이 있을 것이다. 이에따라 정보누출 수준별로, 통제의 민감성에 따른 정보통제결과를 보고서화 할 수 있는 표준이 필요하였으니, 바로..
정보보안 문서의 분류에 대하여
정보보안에는 여러가지 문서가 있다. 기업 정보보안에서 정책이 존재하는 이유는 무엇일까? 당연히 신뢰할 수 있는 반복적인 결과를 만들기 위함일 것이다. 표준화된 정책을 통해서 조직은 반복가능한 output을 생성할 것이고, 이는 품질의 항상성 상승과 신뢰도(Level of Confidence) 향상이라는 선기능의 체인을 만들게 된다. 이 정책은 one-size-fit이 될 수 없다. 그니까 만능정책은 존재하지 않는다. 쓰임에 따라, 분류에 따라, 적용대상에 따라 수많은 정책의 종류가 존재하며, 같은 정책임에도 불구하고 강제성의 유무, 세분화된 수준에 따라서 명칭이 달라진다. 이번시간에는 이에 대해서 갈피를 잡을 수 있도록 흔히 사용하는 정보보안 문서의 분류에 대해서 이야기를 해보도록 하겠다. 분류할 대상은..
위험평가 분석기법(SLE / ALE)에 대하여
숱한 보안시험에서 국내외를 안가리고 출시되는 분야는 위험관리이다. 위험의 식별, BIA의 진행, 위험 관리 프레임워크, 정성적 / 정량적 분석방법, 위험 핸들링등 IT관련된 위험과, 비 IT적 위험(이건 국내시험에 안나오는거 같다. CGEIT시험에서 이거떄문에 혼났다.)을 구분하여 심도깊은 이야기를 나누는 생각보다 깊은 분야다. 이번시간에는 그 심도싶은 분야에서 공짜점수를 제공해주는 효자지표 SLE와 ALE의 대한 이야기를 나누겠다. 일반상식 SLE를 계산하는 이유는 위험분석이다. 위험분석에는 정량적 / 정성적 분석방법이 있고, 특정한 자산 A가 어떠한 위험R에 노출되어 있는 경우, 이 자산에대한 위험의 수치를 정량적(재정적)으로 계산하기위한 방법이다. 용어정리 AV(Asset Value) : 자산가치(..
테스트하네스(Test - Harness) 에 대하여
소프트웨어 공학을 공부하며 Test-Driver나 Stub에 대해서 공부를 하고 있었다. 그러던 중 Test-Harness라는 용어를 보았는데, 실물로 보지는 못했지만, 여러군데 돌아다니면서 확인한 이론적인 정보를 아는만큼 정리해두려고한다.(대부분의 정보출처가 위키백과이다) 여담으로 하네스가 무엇일까 해서 검색하니 다음과 같은 결과가 나왔다.... 소프트웨어공학의 뒷모습인가? 더보기 테스트하네스란? 테스트하네스란 자동화된 테스트 지원도구 이며 프로그램을 유닛단위로 테스팅하고 여러가지 조건에 따른 프로그램의 행동과 결과를 모니터링하기위해 만들어진 소프트웨어의 구성이다. 테스트하네스의 목적? - 테스트 프로세스의 자동 - 테스트케이스의 실행 - 연관된 테스트보고서를 생성 테스트하네스의 장점? - 테스트 프로..
Robots.txt에 대하여
크롤링이라.... 심란한 분야이다. 전 세계 트래픽의 절반 이상이 Bots으로 이루어져 있다는 사실은 이미 유명할 것이다.(어라 조금 더 있었던 거 같은데?) 사실 이러한 크롤링이 순기능만을 가지고 있는 것은 아니라고 본다. "아니 정보의 바다에서 필요한 정보만을 가져오는게 뭐가 불만이에요!" 이렇게 생각하는게 당연하다. 물론 그렇고 말고 단, bots의 크롤링을 필터링 없이 무분별하게 허용하는 순간 많은 위험에 빠지는 것은 당연하다. 기본적인 취약점 스캐닝 도구인 Nikto나 Nessus 등 여러 가지 Explotable 한 요점을 뽑아낼 수 있는 툴은(심지어 스크립트 엔진을 쓴 nmap까지)에 대해서 bots의 접근 차단하지 않으면 자신의 서버의 취약점을 open 하겠다는 선언과 다를 바 없으니 말이..
Syllable Attack에 대하여
패스워드 크래킹은 여러 가지 방법이 있다. 가장 기본적인 방법은 BF(Brute Force) 방식이다. 모든 가능한 패스워드 조합을 다 때려 박아 보는 건데, 결국 100% 뚫린다는 장점이 있지만, Key의 길이가 늘어남에 따라 걸리는 시간이 천문학 적으로 늘어난다는 단점이 있다. 이 시간을 줄이기 위한 노력과 늘리기 위한 노력 패스워드 크래킹이라는 분야에서 크래커들과 정보보안담당자들이 싸우는 전장이 되는데, 대표적으로 공격시간을 줄이기 위한 방법으로 알려진 Dictionary Attack이 있다. 미리 정해진 단어를 사전에 저장해주고, 그걸 공격하는 방식이 그 방법이다.예를 들면 패스워드로 자주 쓰는 단어인 ps1234나 admin이나 password등 뭐 이런 거 있지 않은가. BF라는 똑똑하지 않아..