본문 바로가기

보안관리자

(30)
안연의 시큐브레인 인수에 대한 사견 http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000685301§ion_id=105§ion_id2=283&menu_id=105 안연구소의 시큐브레인 인수 관련 하여 우려와 기대를 동시에 보낸다. 안연구소의 인수에 대한 부분은 처음이 아니며 2001년 경에 한시큐어 인수를 통해 백신 보안 부분 및 PC 보안 부분이 아닌 다른 부분에 진출 하려 하였으나 결론적으로 실패를 한 적이 있다. 본인도 연관이 있었기에 지금에 인수 기사를 보며 그때 느꼈던 실패의 원인 및 문제점에 대해서 가급적 객관적으로 언급을 해보면 다음과 같다. 1. 과도한 제품 의존에 따른 업무 집중도 분산의 어려움 [ 백신 사업에 너무 편향이 되..
보안패치 510만대 보안패치의 중요성은 아무리 언급을 해도 지나치지 않습니다. 지난해 발생한 대부분의 사용자 정보를 탈취하기 위한 악성코드 대부분이 2 종류의 취약성을 이용하였고 올해 초에 나온 WMF 취약성을 이용한 악성코드도 있습니다. 즉 3 종류의 취약성만 선별하여 막았다면 많은 문제를 해결 할 수 있었다는 것이죠. 이런 점에서 의미를 생각해 볼만한 기사인 것 같습니다. -------------------------------- “웜-악성코드, 윈도우 취약성 이용한 공격이 대부분” 윈도우 취약성 근본 원인제거 방법은 ‘보안패치’ 뿐 보안패치의 중요성에 대해 NHN 전상훈 보안분석팀장은 “바이러스나 악성코드 등이 사용자의 PC에 침입하기 위해서 가장 많이 이용하는 것이 윈도우 운영체제의 취약성이며 이 취약성 비율을 줄일..
보안에 대한 컬럼을 쓰는 의지 최근 이글루스가 SK컴에 인수 되었습니다. 이로서 논점이 드러난 것이 블로그 칼럼이나 글들의 전문성 부분에 대해서 논의가 되고 있더군요. 제 스스로의 다짐이지만 최소한 이 블로그에서만은 스크랩이나 펌 없이.. 순수한 사견 및 의견을 제시할 수 있도록 하겠습니다. 가급적 1주에 하나의 칼럼은 올릴 수 있도록 노력을 하겠습니다. 보안관련 사이트도 있고 여러 사이트들이 있지만 현재로서 할 수 있는 제 자리에서의 역량은 제가 가지고 있는 생각과 의견을 정리하여 올리는 것이 최선이 아닐까 하는 생각이 듭니다. 열심히 살겠다는 것은 현재에 주어진 일에 열심이라는 의미도 있겠으나 보다 더 나은 목표와 방향성을 스스로 설정 할 수 있어야 된다고 개인적으로 생각 하고 있습니다. 이런 글을 올리는 코너들이 방향성을 설정하..
만두...멸치..그리고 CCRA 최근 보안 전문 업체의 업종 다변화와 맞물려 CCRA 인증 협약이 며칠전 발효가 되었다. 두 가지 사안과 뉴스가 다른 시점에 나타났으나 연관관계는 매우 밀접하고 또 관계가 깊다. CCRA: 국제 공통평가기준 상호인정협정으로 협약에 가입된 국가간에 보안제품에 대한 인증을 통과한 업체에 대해서는 해당 협약에 가입한 국가에 공통적인 평가 기준으로 인정이 됨을 말한다. 예전 90년대 부터 보안 장비 부분을 버티게 해주던 정책이 K4 인증이였다. 국정원에서 보안제품에 대한 인증을 수행하고 해당 장비에 대한 보안성이 검증되면 부여하던 인증인데.. 소스코드 및 기능 설계에 대한 부분도 검증을 받아야만 K4 인증을 받을 수 있는데 외국기업 중 어떤 기업이 한국 시장만을 보고 자사의 전체 재산과도 다름없는 방화벽이나 침..
기업이나 사회의 보안에서 가장 중요한것! TCG? http://www.zdnet.co.kr/news/network/security/0,39031117,39146342,00.htm TCG [Trusted Computing Group]의 지닌 생각은 타당한 생각입니다. 또한 반대편에 존재하는 조지오웰의 독재자의 인상도 타당한 생각입니다. 가장 중요한 전제는 이것임을 잊지만 않는다면 타당합니다. 가장 중요한 전제는 기업이나 사회의 보안은 End Point로 부터 출발을 하며 현재에는 더욱 더 중요한 위치를 차지하고 있다는 점입니다. 기업에서는 말단 PC에서 부터 노트북에 이르기까지가 기업전체의 존망을 결정할 수도 있으며 사회에서는 현재 이슈가 되고 있는 Bot 이나 웜의 경우에도 최초의 출발은 미약하나 과정은 대폭 짧아지고 결과는 확실하게 나타나는 네트워크형..
개인을 위한 개인 정보 보호 실천 가이드 - 바다란 정보보호 체크 가이드 - by 바다란 (p4ssion@naver.com) 보안의 강화는 기업을 위한 중요한 활동임과 동시에 개인 정보 유출을 막기 위한 최선의 방책이다. 2005년에 급속도로 증가한 개인정보 유출용 악성코드 및 정보유출을 위한 다양한 위험성들이 늘어나 특별히 보안에 관심을 두지 않는 한 일반직원의 입장에서는 문제가 그리 간단한 것만은 아니다. 매번 연말이나 특정한 이슈가 발생할 때면 보안 회사들에서 보안 강화를 위한 방침을 발표하고는 한다. 이런 방침에 항상 빠지지 않는 것이 “보안 패치의 활성화 “ , “백신의 업데이트 철저 “ 와 같은 항목이다. 왜 보안 패치가 중요하고 백신이 중요한 것인가? 개인은 물론 기업, 산업 기반에도 중요한 영향을 미치는 요소로 매번 강조되는 이유는 무엇일까..
3) Google security strategy-결론 이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다. 뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게.. 힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다. 보안전문가와 보안 관리자의 차이( http..
1.25 대란에 대한 뒷담화.!. 개인 생각 1.25 대란에 대해서 많은 고민을 하면서 자료를 내놨지만 뒷 이야기를 안한 것 같다. 지금도 가끔 꺼림찍한 기분이 드는 부분이 있어서 생각 난 김에 뒷이야기를 한번 해보자. 위의 파일은 최초 1.25 대란 발생이후 저녁에 작성하여 1.26일 업데이트 한 자료이다. 수집된 정보도 없고 현상만을 가지고 체크 하였으며 해당 부분에 대해 충분한 가설을 제공 하였다고 판단된다. 물론 그때 당시 접근할 수 있는 정보나 얻어진 자료에 비해 정말 고민 많이 했던 자료이다. 최초 이 파일을 작성할 때 가장 안타까웠던 것은 피해 당사자의 언급도 없고 참 난감한 상황에서 작성한 글인데 나중에 도매금으로 욕을 먹죠. 개인이 할 수 있는 최선 이였다고 아직도 생각 하고 있습니다. ^^; 두번째글은 DNS 다운과 관련된 내용 ..