고객사: A금융그룹 8개사 (금융기업)프로젝트 기간– 7개 금융계열사 – 2011년 6개월간 수행, ISO27001과 BS10012 인증획득– 추가 1개 금융계열사 – 2012년 2.5개월간 수행, ISO27001과 BS10012 인증획득 프로젝트 배경 및 주제Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰하였다. 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 […]
A금융사 ISO27001 & BS10012 인증 컨설팅 사례 더 읽기"
고객사: A앱/콘텐츠 플랫폼(게임과 앱, 모바일커머스, 이북 및 영상 콘텐츠 마켓운영)프로젝트 기간2016년 1년간 최초심사 컨설팅, ISMS 인증획득2017년 8개월간 사후심사(1차) 컨설팅2018년 6개월간 사후심사(2차) 컨설팅 프로젝트 배경 및 주제고객사는 2016년 모회사로부터 분사하면서 ISMS인증을 유지해야 하는 정보통신망법에 따른 ISMS인증 의무대상기업이다.ISMS 인증을 획득한 모회사와는 별도로 인증을 획득해야 했기 때문에 회사 규모에 맞는 관리체계 구축부터 운영에 이르는 컨설팅을 의뢰하였다. IT 및
A앱/콘텐츠 플랫폼 운영사 ISMS 인증(최초) 상주 컨설팅 사례 더 읽기"
고객사: A금융사(제1금융권 금융업체)프로젝트 기간: 2013년 약 6개월간 수행 프로젝트 배경 및 주제제1금융권인 고객사는 전자금융감독규정에 따라 정보시스템 개발 또는 구축시 보안성심의를 하도록 규정하고 있으며, 신규 개발되는 정보시스템은 스마트폰을 이용한 금융서비스가 주요 내용이기 때문에 기존의 감독규정이외에도 신규로 하달되는 각종 지침, 종합대책 등과 같은 Compliance측면의 (개인)정보보호요건들을 분석, 설계, 개발, 테스트 단계에 반영하여 보안상의 안전성을 확보하는 것이 목적이다. IT
고객사: A금융회사 (금융회사)프로젝트 기간: 2012년, 1개월 프로젝트 배경 및 주제A금융회사는 정보보안 추진계획에 따라 DB 접근통제 솔루션을 비롯하여 몇 종의 보안솔루션 구축사업을 진행하였다. 금융감독규정에 따라 도입되는 모든 보안솔루션은 CC인증획득 솔루션이며, 도입 솔루션중에 하나인 DB접근통제 솔루션은 A사의 요구에 따라 대대적인 커스터마이징 요구를 한 상태이다.DB접근통제 솔루션의 커스터마이징 요구에 따라 솔루션의 아키텍처를 비롯하여 많은 부분의 개발이 필요하게 되었으며 그에
대부분의 어플리케이션 소스 취약점 진단작업은 다량의 소스파일을 받아 취약점 진단을 수행하게 된다.Fortify와 같은 소스 취약점진단 전용 툴을 이용하는 정적진단과 전문 컨설턴트의 동적 수작업 진단을 병행하는것이 대부분이다.이런 상황에서 수작업 진단시 많은 양의 소스들을 육안으로 확인하는 것은 상당히 어렵기 때문에 몇 가지 유용한 도구들을 활용하는 것이 일반적이다. 1. 문자열 검색 툴 많은 파일들 중에서 특정 문자열을 검색해주는
어플리케이션 소스코드 취약점 진단 시 전용툴과 함께 사용할 유용한 툴 더 읽기"
고객사: A평가원 (업태:공공기관)프로젝트 기간: 2013년 1년간 수행 프로젝트 배경 및 주제대부분의 공공기관은 다수의 상위기관들로부터 감독을 받는 입장에 있으며 정보보안 예산을 확보하는데도 어려움이 뒤따른다. 고객사인 A평가원도 국가정보원을 비롯하여 다수의 상위기관으로 부터 감독을 받고 있으며 수시로 정보보안과 관련된 각종 지침이 하달되고 있는 상황이다. 특히 정기적인 국가정보원의 정보보안 실태점검은 기관장에 대한 평가에도 영향을 받기 때문에 기관입장에서는 그 평가
A평가원 연간 취약점 진단 및 보안컨설팅 사례 더 읽기"
고객사: A금융사 (금융업)프로젝트 기간: 2013년 약 2개월간 수행 프로젝트 배경 및 주제A금융사는 년간 2회 이상의 기술적 취약점 진단을 수행하고 있었으며, 매회 때마다 정기적인 취약점 진단이외에 심층진단 이슈를 한가지씩 정하고 진행하였다. 당해의 심층진단 이슈는 대부분의 네트워크 방화벽 실무자에게 고민거리인 보안정책의 최적화이다.방화벽 정책의 최적화는 보안점검 항목의 일부분이기도 하지만 모든 서비스의 내용과 특성을 잘 파악하고 있지 못하는 방화벽운영자
A금융사 방화벽 정책 최적화 수립 컨설팅 사례 더 읽기"
1. 진단 개요 공격자의 위치는 인터넷 외부에 위치하고, 대상은 DMZ에 위치한 대상시스템 들이다.본 모의해킹 진단은 DMZ에 위치한 시스템의 권한획득을 시도하는 시나리오로써, 경유 공격이 가능한 상황이다.DMZ에는 DNS, Web, Mail 서버 등이 운영되고 있으며, 인터넷 최전방에 라우터가 위치하여 허용되지 않은 접근은 ACL과 네트워크 방화벽으로 허용되어 있지 않은 접근을 차단하고 있다.DMZ의 대상 시스템의 권한을 획득을 시도하는 과정에서 최전방 라우터의
최전방 Router의 ACL설정 변경관리 취약점을 이용한 권한획득 사례 더 읽기"
개요 VPN은 Remote Access, Site-to-Site 등 여러 가지 구축방법이 있으나, 공격자 관점에서 볼때 중요한 것은 VPN만 뚫으면 내부 네트워크로 진입하는 중요한 통로에 진입할수 있다는 매력적인 해킹 대상이라고 볼수 있다.실제, site:vpn.*co.kr 로 구굴링을 해보면 vpn으로 시작하는 많은 국내 사이트들을 검색할 수 있는데, 재택근무, 원격진료 등으로 많은 기업이나 기관에서 VPN Service를 많이 하고 있어서 보안상의 위협이 점점
고객사: A공단 (공공기관)프로젝트 기간: 2014년 1개월간 수행, 전년대비 약 15점의 상위 평가결과 획득 프로젝트 배경 및 주제고객사는 매년 실시되는 국정원의 정보보안 실태평가의 현장평가 대상 기관이 되고 전년도 평가 결과가 이전의 자체평가때보다 상당히 낮은 결과로 평가되었다.여타 공공기관들 처럼 상위기관의 감독결과는 기관장을 비롯하여 관계자들에게는 민감하나 전문성이 떨어지는 내부 인력만으로 높은 평가결과를 기대하기 어려웠기 때문에 좀더 좋은 평가결과를
A공공기관 정보보안 실태평가 대비 사전 컨설팅 사례 더 읽기"
