구체적인 문의 내용 Log4j 취약점이 상당히 많은 제품에 영향을 준다고 하는데, 우리 시스템에 영향이 있는 건지 어떻게 알수 있나요? 이미 공격을 당한 것인지도 알 수 있는 방법이 있나요? 긴급하게 중요한 정보들만 공유합니다. 관련 취약점들이 계속 나올수 있기 때문에 지속적으로 모니터링해서 적합한것들을 사용하세요~ 이 취약점의 원격 공격 원리는? (간단한 이해) – https://www.fastly.com/blog/digging-deeper-into-log4shell-0day-rce-exploit-found-in-log4j– https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/ 이 취약점이 어떤 제품들에게 노출되어 […]
구체적인 문의 내용 회사에서 기술적 파트의 정보보안 업무를 담당하고 있습니다. IT부서에서 정보시스템 개발을 Microservice Architecture를 기반으로 하겠다고 합니다.관련 자료를 찾아 보았지만 개념적인 내용들이 대부분이고 IT개발 부서에 구체적으로 어떤 내용들을 보안 요구사항으로 제시해야 하는지 도움을 요청합니다. Microservice Architecture의 보안 요구사항 당사가 금융회사들을 중심으로 Microservice Architectur기반의 정보시스템 개발에 대한 개발보안 컨설팅들을 수행하면서 6개 영역 48개의 표준 보안요구사항을
구체적인 문의 내용 우리회사는 올해 PCI-DSS 인증을 획득하고 그 요구사항에 따라 매년 모의해킹 진단을 받고 있습니다.그런데, 모의해킹 진단결과에서 웹서버에 HTTPS TLS/SSL Cipher Suite 취약점이 있다고 리포트를 받았는데요실제 대상 웹 리스너의 상태를 확인해보면 해당 취약점이 없는 것으로 나옵니다. 모의해킹 진단보고서의 대상은 맞고요 말씀하신 내용에 따르면 외부망에서 진행하는 외부 모의해킹 진단 수행 결과로 짐작됩니다.진단자는 외부망에 위치하여 대상
구체적인 문의 내용 공인 인증서로 HTTPS를 적용하고 있는 웹사이트가 있는데, 클라이언트의 브라우저에서 서버의 공개키로 일부 데이터를 암호화해서 서버에 전달하도록 하고 싶습니다. 어떻게 해야 하나요? 간혹, 모바일 앱이나 웹사이트 모의 해킹 진단을 하다 보면, 서버의 공개키를 이용해서 데이터를 암호화하지 않고 임의의 대칭키 방식으로 데이터를 암호화해서 서버에 전송하는 경우가 있습니다. 대부분의 대칭키 방식은 클라언트에 키가 있기 때문에
구체적인 문의 내용 웹으로 간단한 채팅 기능을 넣으려고 합니다. 보안적으로 고려해야 하는 사항은 무엇이 있나요? Websocket 구현 시 고려해야 하는 보안 사항 1. Authentication mechanism비인가자의 Websocket접근을 방지하기 위하여 적절한 인증 메커니즘을 적용한다. 2. Access Control인가된 사용자 또는 디바이스만 접근할 수 있도록 적절한 방법으로 접근 통제를 적용한다. 3. Session ManagementSession은 비인가된 접근을 방지하기 위하여 적절하게 관리되어야
구체적인 문의 내용 핀테크 사업에 대한 아이디어를 시스템으로 구축해보고 싶습니다.핀테크 시스템 개발을 함에 있어서 반드시 고려해야 할 정보 보호 요건에는 어떤 것이 있는지?신생 업체이기 때문에 컨설팅 등 전문적인 의견을 구하기 어려운 업체들을 위한 가이드라인이 있는지?혹시 타 사 사례가 있다면 일부 소개해주시면 많은 도움이 되겠습니다. 대표적인 핀테크 서비스로 현재 금융권 오픈뱅킹 사업이 있습니다. 오픈뱅킹 서비스를 포함한
구체적인 문의 내용 전자 화폐를 발행 및 관리하는 회사입니다. 지금 개발하고자 하는 서비스 대부분이 클라우드에 위치해 있는데요.전자금융감독규정 등 우리가 준수해야 하는 관련의 내용은 무엇입니까? 전자금융감독규정 제14조의 2(클라우드컴퓨팅서비스 이용 절차 등) – 시행 2019.01.01은 아래와 같이 정의하고 있습니다. 제1항) 금융회사 및 전자금융업자가 클라우드컴퓨팅을 이용하고자 하는 경우에는 아래 절차를 수행해야 한다 제3,4항) 시스템이 고유식별정보 또는 개인신용정보를 처리하거나
구체적인 문의 내용 SaaS형태로 클라우드 상에서 streaming service를 제공하고 있는 회사에서 개발팀을 담당하고 있습니다.UUID를 사용하게 됐는데요, 설계나 구현할 때 보안상 고려해야 GK는 사항은 무엇이 있는지 알려주십시오 1. 보안 고려 사항 2. UUID생성 Python 예제 # 예제 코드 -1 uuid4()함수를 이용한 랜덤 UUID 생성 예제 코드 import uuid new_uuid = uuid.uuid4() print(f”The generated UUID is :
구체적인 문의 내용 회사에서 개발 업무를 담당하고 있습니다. 기존에 운영하던 서비스에 OAuth 인증 기능을 추가하려고 합니다.설계나 구현할 때 보안 상 고려해야 하는 사항은 무엇이 있나요? 보안 고려사항 1. 통신구간 암호화를 사용한다.– 통신상의 도청, 변조 공격을 방지하기 위하여 Client와 OAuth server간의 모든 통신구간을 HTTP/TLS로 암호화를 적용한다.(TLS1.2이상)– MiTMA(main in the middle attack)을 방지하기 위해서는 OAuth Server의 인증서를
구체적인 문의 내용 회사에서 정보 보안 업무를 담당하고 있습니다. 회사에서 추진하는 정보 시스템 개발 사업에서 정보 보안 업무를 담당하게 되었습니다.MSA와 같은 분산환경에서 고려할 수 있는 인증기술에는 어떤 것들이 있으며 어떻게 활용되는지 알고 싶어서 도움을 요청합니다. MSA와 같은 분산 환경에서 사용되는 인증 기술 종류 Microservice Architecture와 같은 분산 환경의 서비스 개발 시 사용자 인증 및 권한
