이것저것

지난 번 다양한 컴플라이언스를 다루고 이제는 다시 기술적인 이야기를 할 타이밍이다. 지금부터는 아무래도 이론적인 내용보다는 실무에 초점을 맞춘 작업형 과정이 다수 포함이 되어 있어서 캡처뜨기 좀 빡셀 것 같다...URI, URL, URN 차이 쉽게 이해하기인터넷에서 자주 보이는 URI, URL, URN은 모두 "자원(resource)을 식별하는 방법"과 관련된 개념이다.1. URI (Uniform Resource Identifier)정의인터넷 상의 자원을 식별하는 모든 문자열이 주식이 뭔지 알 수 있는 모든 정보를 말함종목명종목코드거래소 + 위치 정보기타 등등2. URL (Uniform Resource Locator)정의자원의 "위치"를 알려주는 URI어디에 있는지 알려줌, 우리가 흔히 말하는 "웹 주소..

가명정보1. 가명정보(Pseudonymous Information)란?정의제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하..

ISMS-P 인증기준 세부점검 항목(2023.10.31)1. 관리체계 수립 및 운영 (16개 분야 / 42개 세부항목)분야항목상세내용주요 확인사항1.1 관리체계 기반 마련1.1.1 경영진의 참여최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립·운영하여야 한다.정보보호 및 개인정보보호 관리체계 수립·운영 전반에 대한 경영진 참여 책임과 역할을 문서화하고 있는가?경영진이 의사결정에 적극 참여할 수 있는 보고·검토·승인 절차를 수립·이행하고 있는가?1.1.2 최고책임자의 지정최고경영자는 정보보호 최고책임자와 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.정보보호 및 개인정보보호 업무를..

1. 데이터 3법1.1 데이터 3법의 종류개인정보보호법정보통신망 이용촉진 및 정보보호 등에 관한 법률신용정보보호법개보법(개보위), 정통망법(과기부/방통위), 신보법(금융위)으로 외우자1.2 기타 데이터 관련 법데이터 산업진흥 및 이용촉진에 관한 기본법(과기부)공공데이터의 제공 및 이용 활성화에 관한 법률(행안부)데이터기반행정 활성화에 관한 법률(행안부)산업 디지털 전환 촉진법(산자부)1.3 정보보호/개인정보관련주요법률체계1.4 CBPR 인증 개요CBPR(Cross-Border Privacy Rules)국경간프라이버시보호규칙(Cross Border Privacy Rule)의 약자로 2011년 APEC이 전자상거래의 활성화와 회원국간 안전한 개인정보의 상호이전을 위해 개발한 글로벌 개인정보보호 자율인증제도A..

오늘 드디어 모듈 프로젝트를 끝냈다!할 수 있는 역량까지는 모두 보고서에 담아낸 것 같아서 괜찮은 듯 싶다.아래는 우리가 발표한 보고서의 내용이다![결과보고서] 클라우드 인프라 보안 취약점 진단 및 조치프로젝트명: JM Collection 모듈프로젝트작성조: 모듈프로젝트_O조기간: 2025.12.31 ~ 2026.01.06목차 (Table of Contents)프로젝트 개요 (Project Overview)위험 관리 및 평가 방법론 (Risk Management)기술적 취약점 진단 결과 (Diagnostic Results)세부 수행내역 (Detailed Analysis)기술적 취약점 종합 평가 점수 (Quantitative Scoring)위험 평가 및 우선 순위 도출 (Risk Evaluation)보호대..

오늘도 열심히 모듈프로젝트를 진행하였다.뭐 했는지 적고 싶지만 플젝 중이라 내일 발표를 마치고 해당 내용을 적어볼까 한다.내일 플젝 발표를 마치면... 좀 쉬고싶지만 어림도 없는 소리!빅분기 공부 좀 해야지~ 빅분기 왤케 어렵냐ㅠㅠ

2025년 12월 31일이다. 어느덧 올 한해가 마무리가 된다. 한 것도 없는데 왜 이렇게 나이만 먹는 기분이 들지..?사담이 이따가 하고 다시 모듈 프로젝트 이야기로 돌아가보자.이틀 전에 구축한 아키텍처 날리고 어제는 새로 처음부터 끝까지 다 구축을 했다. 열심히 구축하고 이제 스샷 다 뜨고 과제를 제출한 뒤, 취약점 점검을 위해서 각종 서비스들을 내려야 되는데... 문제는 내리니까 정상적으로 동작이 안 된다. 사실 어제 혹시 모를 생각이 들긴 했는데...왜 슬픈 예감은 틀린 적이 없나....이것저것 건들다 보니까 이건 일부분만 날리는 시간이 더 길 것 같다는 생각이 들기 시작했다. 어쩌겠나... 그냥 다 날리고 새로 구축하는 게 더 빠를 것 같은데... 그래서 다 날렸다!!!ㅋㅋㅋㅋㅋ 이쯤 되니까 웃..

다음 이 시간에라고 적기는 했지만 오늘 3일 분량을 다 올려야 해서 바로 적는다.어제 열심히 구축을 하고 뿌듯해하면서 AWS를 닫았다.오늘 수업 시간에 갑자기 강사님께서 인프라 취약점을 점검하려면 어제 설정한 로드밸러서나, WAF 등은 취약점을 점검하기 위해서는 없어야 된다고 말씀하시길래 누구보다 빠르게 삭제를 진행하고 취약점을 점검하려고 하였는데 갑자기 개인 과제가 추가되면서 기본적으로 취약점 진단 할 수 있을 정도까지 아키텍처만 구축하고 나머지는 하실 분들만 개인 과제로 스샷떠서 제출하라고 하셨다. 당연히 그냥 일부만 해서 제출해도 되지만 그러면 어제 내가 열심히 한 것을 날려버리니까 다시 열라리 처음부터 재구축을 했다. 그래서 어찌저찌 어제 구축한 거 싹 다 날리고 처음부터 다시 했다.그런데 또 슬..

이 이야기는 2025년 12월 29일 이야기이다.지날 3일 간 바쁘다 보니 글 올리는 것을 살짝 까먹고 있었다.오늘 1차 사후 평가를 봤다.그동안 배운 내용을 종합하여 시험을 본 결과는......생각보다 잘 나오지는 않았다..솔직히 안 배운 내용도 좀 있는 듯한 느낌이 들었다.자신감은 100점이었는데, 자신감에 비해 실력을 너무 젬병이었다.그나마 위안으로 삼을 만한 것은 평균보다는 잘 봤다.공부를 열심히 한 애플리케이션 보안 기술을 제일 못 봤음 ㅠㅠ반면에 별 생각 안한 클라우드 보안 기술은 생각보다 점수가 높게 나왔다.(물론 잘 봤다는 것은 아니다. 어디까지나 내 생각보다 높게 나왔다는 거임) 아무튼 1차 사후평가에 대한 사견은 여기까지 하고 이제는 모듈 프로젝트를 진행해야 한다.이번 모듈 프로젝트는 ..

9. AWS 보안 개요9.1 클라우드 보안 3대 원칙CIA 트라이어드 (Confidentiality, Integrity, Availability)정보 보안의 3가지 핵심 원칙Confidentiality (기밀성)권한 있는 사람만 접근암호화, 접근 제어Integrity (무결성)데이터가 변조되지 않음해시, 디지털 서명Availability (가용성)필요할 때 항상 접근 가능중복화, 백업, 장애 조치예시온라인 뱅킹 서비스:기밀성 (Confidentiality):계좌 정보를 나만 볼 수 있어야 함HTTPS 암호화, 로그인 인증무결성 (Integrity):송금 금액이 도중에 변경되면 안 됨거래 기록이 조작 불가능해야 함디지털 서명으로 검증가용성 (Availability):언제든지 계좌 조회 가능해야 함장애 발생..