본문 바로가기
반응형

isms5

플랫폼 업계의 ISMS 인증 효율화 요청 제가 이전 회사에서 ISMS 인증 컨설팅을 주 업무로 했기에 ISMS 인증과 관련된 기사가 올라오면 항상 챙겨보고 있습니다. 그런데 다양한 고객사에 컨설팅을 다녀봤지만 정말 정보보호의 수준을 높이기 위해 ISMS 인증을 준비한다기 보다, 대부분은 법을 위반하지 않기 위해 컨설팅을 받는다는 느낌이 컸는데요. 사실 기업 입장에서는 ISMS 인증 심사를 받기 위한 인력과 비용 모두 부담이 되는건 사실인데, 최근에는 플랫폼 업계에서 ISMS 인증에 대한 효율화를 요청했다고 합니다. ISMS 인증을 준비하다가 되려 보안 능력이 저하된다는 지적도 나왔는데, 오늘은 이 부분에 대해 간략히 짚고 넘어가도록 해보죠. ​ 우선 정보보호관리체계라는 ISMS 인증은 정보통신망법에 의거하여 ISP(인터넷 서비스 제공자)와 ID.. 2023. 9. 27.
악성 메일 모의훈련 보안 교육 서비스 사례 어느 정도 규모가 있는 기업에 다니시는 직장인이라면, 회사 내부적으로 악성 메일 모의훈련을 받아보셨을 것이라고 생각합니다. 실제 회사 업무 목적으로 보낼 법한 메일을 모의훈련 용으로 피싱 메일처럼 만들어서 임직원들에게 보내는 거죠. 최근 피싱 메일이 기하급수적으로 증가함에 따라 대부분의 기업에서 보안 업체에서 제작한 솔루션으로 악성 메일 모의훈련을 진행하고 있을텐데요. 그래서 오늘은 악성 메일 모의훈련에 대한 기본적인 내용과 함께 보안 교육 서비스를 결합한 사례에 대해 간단하게 말씀드리도록 하겠습니다. ​ 일반적으로 ISMS 인증이 필수 대상인 기업들은 침해사고 대응훈련을 진행하면서, DDoS 대응이나 APT 공격과 함께 악성 메일 모의훈련을 진행하고 있을 것으로 생각됩니다. 사실 침해사고 대응훈련을 하.. 2022. 12. 10.
보호구역, 제한구역, 통제구역 정의 ISMS 인증 컨설팅을 진행하면서 해당 기업의 정보보호 수준분석(현황분석 또는 GAP분석)을 할 때, 담당자에게 질문하면서 여전히 헷갈리는 부분이 물리적 보안의 출입통제에 관한 통제항목입니다. 흔히 기업의 물리 보안은 총무팀이 담당하게 되는데, 방문자의 출입 현황을 제대로 관리하고 있는지나 회사의 기밀 정보가 포함된 문서를 보관하는 문서고의 출입 통제 등이 제대로 수행되는지 확인하는데요. 물론 대부분 기업에서는 제대로 관리가 되고 있지만, 몇몇 기업에서는 전산실이나 문서고 등을 통제구역으로 지정해야함에도 불구하고, 통제구역 안내판을 붙이지 않거나 출입통제 장치가 설치되어 있지 않아 지적하는 경우도 적진 않죠. ​ 사실 일반인이 보기에는 보호구역이나 제한구역, 통제구역이 다 똑같아 보일 수 있습니다. 저도.. 2022. 12. 3.
주요정보통신기반시설 취약점 점검 가이드 Intro 제가 지금 하고 있는 업무인 보안 컨설팅을 하기 전부터 소위 주통기라고 부르는 "주요정보통신기반시설 취약점 분석 평가 상세 가이드"에 대해 정리를 하고 싶었습니다. 이전 회사에서 개발 업무를 진행하면서 실제 서비스를 운영하는 리눅스와 같은 웹 서버의 취약점 점검이나 오라클, MySQL과 같은 DBMS 점검 그리고 대부분 중요하게 생각하지 않고 넘어갈 수 있는 개인 PC 점검까지 해당 가이드의 도움을 많이 받았었는데요. 이 취약점 점검 가이드가 2017년 이후 작년 2021년에 한 번 더 개정되고, OT 보안이나 클라우드에 대한 내용이 추가되어 더 자세해진 반면 여전히 점검 목적이나 조치 방법에 대해서 설명이 너무 간단한 경우도 있죠. ​ 그래서 보안 업체에서 처음 취약점 점검 업무를 하거나 기술적 컨설팅.. 2022. 6. 4.
기업 대상 사이버 공격 대비 모의훈련 사례 최근 악성코드의 트렌드를 보면 일반인 같은 불특정 다수를 대상으로 하기 보다, 보안이 잘 안된 기업을 노리는 사례가 많습니다. 코로나 때문에 업무가 비대면으로 많이 전환되면서 VPN 취약점과 같이 해커가 공격할 수 있는 포인트가 더 많이 노출되었기 때문인데요. 거기다가 기업의 메일로 악성코드를 보내 랜섬웨어에 감염시킨다든지, 피싱 사이트로 유도하여 개인정보를 유출하는 등의 사이버 공격이 계속해서 증가하고 있죠. 이를 예방하기 위해 정부에서 KISA와 함께 국내 기업을 대상으로 사이버 위기대응 모의훈련을 진행하고 있는데, 오늘은 이에 대해서 간단하게 설명드려보겠습니다. ​ 사이버 위기대응 모의훈련의은 매년 상반기와 하반기로 나눠서 실시하고 있는데요. 많은 기업에서 사이버 공격 대비 모의훈련에 참여했을텐데,.. 2021. 11. 17.
반응형

티스토리툴바