IT/영어 공부노트

데이터를 수집하기 전에 물어야 하는 다섯 가지 질문들 Q1. 우리는 지금 어떤 데이터를 수집하고 있는가? 지금 회사에서 실제로 수집하고 있는 데이터가, 원래 수집해야 할 데이터와 일치하는가를 생각해야 한다. 데이터의 유형별로 특별한 수집 규칙이 적용된다거나 수집 시 지켜야 할 조건들을 지키고 있는지 파악해야 한다. Q2. 이 데이터는 꼭 수집해야 하는가? 데이터를 많이 갖고 있는 것이 좋긴 하지만, 이는 보안의 관점에서는 불필요한 리스크를 짊어지는 것과 같다. 이를 제어할 자신이 있다면 데이터를 수집해도 좋지만, 굳이 리스크를 떠안고 갈 필요가 있는지 생각해 보아야 한다. Q3. 수집한 데이터들은 어디로 가는가? 데이터가 어디에 저장되고, 누가 그 저장소에 접근할 수 있는지 파악해야 한다. 회사 로컬에 ..

보호되어 있는 글입니다.

크리덴셜 스터핑 공격 보안이 취약한 타 사이트나 암시장 등을 통해 사전에 확보한 아이디와 비밀번호 등의 계정정보를 여러 사이트에 넣어 로그인을 시도하는 공격으로, 계정정보 대입공격이라고도 할 수 있다. 위 사진은, SK쉴더스의 EQST Insight에 나와있는 표이다. 크리덴셜 스터핑은 2020년 국내 침해사고 원인의 23%, 21년 침해사고 원인의 32.5%로 침해사고 원인 중 비중이 가장 높았다. 침해사고 사례 지난 6월 개보위에서는 크리덴셜 스터핑으로 78만여건의 개인정보가 유출된 I사에 10억 3000만 원의 과징금과 과태료를 부과했다. 개인정보위의 이 처분은 개인정보 유출 보다, 한 IP에서 수십만~수백만의 접속 시도가 있었는데 탐지하지 못한 점을 지적한다는 것이다. 보안 대책 같은 IP에서 일..

지불 카드 산업 데이터 보안 표준 (Payment Card Industry Data Security Standard, PCI DSS) 신용카드 회원의 카드정보 및 거래정보를 안전하게 관리하기 위해 신용카드 결제 전 과정에 걸쳐 관련된 자 모두가 준수해야 하는 신용업계 보안 표준이다. JCB, 아메리칸 익스프레스, MasterCard, VISA 등 국제적 신용카드 대기업들이 공동으로 위원회를 조직해 표준을 책정했다. 표준제정기관이 아닌 민간기업에서 만든 규격이지만, 표준으로 채택할 만큼 상세한 규격이라 신용카드 거래와 무관한 곳에서도 채택하는 경우가 많다. PCI DSS의 궁극적 목적은 신용카드 소유자의 개인정보와 신용카드 번호 및 추가정보를 포함한 거래정보를 안전하게 지키는 것이다. 이를 민감정보라고 하..

보호되어 있는 글입니다.

클라우드 마비 사태, 왜 일어나며 어떻게 대처하는가? 네트워크 인프라를 클라우드 서비스로 대체하고, 각종 데이터를 저장하고, 보안을 강화하는 등에 클라우드가 떠오르고 있다. 허나 클라우드도 완전하지는 않기에 클라우드 마비에 대해 대처해 두는 것이 필요하다. 클라우드 마비 원인 1. 설정오류 새로운 서버 구축, 애플리케이션에 새로운 저장 영역 지정, 새로운 라우터 테이블 설정 등의 상황에서 텍스트 기반 수동 작업을 주로 실시한다. 이 과정에서 실수가 종종 발생하는데 클라우드도 마찬가지의 경우가 많다. 페이스북, 인스타그램, 메신저, 왓츠앱, 오큘러스 VR등이 단순 설정오류로 마비가 된 사례가 있고, 라우팅 프로토콜에 관한 설정 문제였다. 2. 예상치 못한 시스템 행동 패턴 예로 마이크로소프트에서 몇가지 명..

가상의 기업의 보안 담당자가 되어, 악성 메일 모의훈련을 진행해보는 시나리오를 진행해보자! 정찰 및 대상 선정 > 준비 > 실행 > 평가 의 순서로 진행 할 것이다. 1. 정찰 및 대상 선정 기업의 최신 정보를 획득한다. (소셜 미디어, 링크드인 등에서 해당 회사 다니는 사람들을 수집하고 위 사람들의 메일 계정을 수집한다.) 여기선 기업 보안 담당자이니, 사내 전산 시스템을 통하는 등의 수법으로 메일 계정을 얻는다고 가정한다. 위를 가정하여 아래의 두가지 시나리오 작성해보았다. 1) 개인정보 입력 - 사는 지역을 수집해 **기업 00구 페이스북 그룹에 초대한다는 메일 작성 2) url 클릭 - 급여 명세서 pdf 파일을 확인하라는 메일 작성. pdf 개인 로그인정보로 잠금해뒀다고 메일에 명시. 해당 포스..

보호되어 있는 글입니다.

여러 가명처리 기법 중, 마스킹의 일부인 잡음 추가(Noise addtion)에 대해 정리하고, 이를 파이썬으로 어떻게 구현하는지 라플라스 기법을 사용하여 알아보자! 잡음추가란? 정보에 임의의 숫자 등의 잡음을 추가하는 방법이다. 지정된 평균과 분산의 범위 내에서 잡음이 추가되어 분포도와 같은 유용성은 해치지 않는다! 하지만 잡음값은 데이터 값과 무관하기에 주의해야한다. 이는 주로 수치형 데이터에 사용된다. 잡음의 크기(=scale)가 증가할 수록 데이터 값에 대한 왜곡이 커진다. 스케일이 작을수록 데이터와 잡음의 차이가 작아지고, 스케일이 클수록 데이터와 잡음의 차이가 커진다. 데이터의 왜곡 정도를 조절하기 위해 적절한 스케일 값을 선택하는 게 중요하다. 목적에 따라서! 그래서 임의 잡음 추가는 어떻게..

개인정보 살아있는 개인에 관한 정보로, 개인을 알아볼 수 있는 정보를 뜻한다. 특정 개인을 알아볼수 없는 정보라도, 다른 정보와 결합했을 때 개인을 알아볼 수 있다면 개인정보로 취급한다. 개인정보는 전자상거래와 고객관리, 금융거래 등에 많이 사용된다. 개인정보의 종류 1. 문자 2. 음성 3. 이미지 4. 영상 가명처리(=비식별화) 누군가의 정체성이 공개되지 않도록 처리하는 과정이다. 개인을 식별할 수 없게 됨으로써 통계작성, 연구, 공익적 기록보존등을 위한 목적으로 동의 없이 개인정보를 활용할 수 있다. 1단계 - 목적설정 등 사전준비 가명처리 목적이 통계인지 연구인지 명확한 목적을 설정 후 파일을 업로드 2단계 - 위험성 검토 개인정보 담당자가 개인정보 데이터를 확인해 식별 위험요소를 확인하는 목적 ..