반응형 SMALL IT14 [정보보호]Apache Log4j 보안 취약점 이슈 안녕하세요 하기스 입니다. 요즘 정보보호 및 IT현직에 계신 분들의 이슈는 바로 Apache Log4j 일것 같습니다. Log4j란 ? CVE-2021-44228[1],CVE-2021-45046[2], CVE-2021-45105[3], CVE-2021-4104[4], 아파치 소프트웨어 재단의 Java 프로그래밍 언어[5]로 제작된 Log4j 라이브러리[6]를 사용하는 대부분의 인터넷 서비스에서 매우 중대한 보안 취약점이 발견된 사건. 테나블(Tenable)에서는 이 사태를 '하트블리드와 CPU 게이트 따위는 비교도 안 될 만큼, 컴퓨터 인터넷 역사를 통틀어 사상 최악의 보안 결함일 수도 있다'고 경고했다. Log4j는 Java/Kotlin/Scala/Groovy 코딩 도중에 프로그램의 로그를 기록해주는 .. 2021. 12. 29. [정보보호] 2021년 KISA Report 10월호 안녕하세요 하기스 입니다 :) KISA의 2021년 10월호 Report 입니다. 정보보호 분야에서 가장 좋은 가이드 및 동향 파악은 정부기관 및 부처에서 발간하는 Report가 가장 이해하기 쉽고, 근본이 되는 거 같습니다. 매번 출 퇴근시간에 혼자만 보다가 이웃님들과 공유를 해보고자 합니다. 나중에는 저도 이런 퀄리티있는 문서의 발간에 참여 하고 싶습니다 :) 2021. 11. 19. [정보보호] 금융회사 침해사고 대응훈련 안녕하세요 하기스입니다 :) 오늘은 형님들의 자산을 지키고 성장시켜주는 금융회사에 대하여 날로 높아지고 있는 해킹 위협에 어떻게 대응을 하고 있는지 알려드리고자 합니다. 우리 금융회사들은 전자금융감독규정 제 37조의 4에 따라 필수적으로 침해사고 대응훈련을 하고 있습니다. 1) 전자금융감독규정 제 37조의 4 침해사고 대응기관은 1.금융보안원이 되며, 금융위원장이 지정한 자가 됩니다. 현재는 대다수의 금융회사들이 금융보안원과 함께 침해사고 대응능력 확보를 위하여 연 1회 이상 수행하고 결과를 제출하고 있습니다. 2) 침해사고 대응훈련의 구성 1. APT(Advanced Persistent Threat, 지능형 지속 위협) 공격 2. DDoS(Distributed Denial of Service, 분산 서.. 2021. 11. 10. [정보보호] 정보보호 컴플라이언스 안녕하세요 하기스입니다 :) 정보보호를 업무를 이제 시작하시거나, 하고자 계획을 하시는 분들이 참고하였으면 합니다. 기술적인 정보보호도 중요하지만, 정책/법 해석 및 컴플라이언스 기반의 정보보호도 상당히 중요합니다. 간략하게 오늘은 정보보호 컴플라이언스에 대하여, 기업의 정보보호 정책의 필요성에 대하여 이야기를 해보도록 하겠습니다. 정보보호 컴플라이언스(Compliance, 준법 감시)란 기업 내 모든 임직원들이 정보보호 관련 법률, 규정 등을 보다 철저하게 준수하도록 사전 또는 상시적으로 통제·감독하는 것을 말한다. (* 올바른 법령 해석이 상당히 중요합니다.) 외부규제(감독기관 및 법령)에 표준을 정의하고 지속적인 관리 및 준수여부를 확인하며, 발견된 문제를 개선하고 발전 시켜나가야 한다. * 정보보.. 2021. 10. 26. 이전 1 2 3 4 다음 반응형 LIST
