IT/영어 공부노트

흔히 저지르는 6가지 실수 1. 강의 형태로 진행한다. - 전문가를 초빙해 강연하는 식으로 보안 훈련 코스를 진행한다면 훈련이 아니라 강좌가 된다. 이보다는 서로 특정 주제를 가지고 토론하는 것이 더 효과적이다. 2. 훈련 참가자를 고려하지 않는다. - 훈련팀을 똑같이 구성하면 시야가 넓어지기 어렵다. 여러 팀에서 서로 다른 유형의 사람들을 섞어 훈련조를 구성해야 한다. 다른 팀에서 같은 주제를 두고 어떻게 바라보는지, 어떤 대응이 가장 적절한지, 의견을 나누는 것이 중요하다. 3. 훈련 내용이 매번 그리 달라지지 않는다. - 랜섬웨어가 제일 문제라고 해서 랜섬웨어를 주제로 계속 훈련한다면, 공격의 전술이 다르더라도 훈련자 입장에서는 계속 같은주제로 인식되어 흥미를 유발하기 어렵다. 4. 매번 세상의 종..

1. 유명 인터넷서점 알라딘과 입시학원 2곳 해킹해 전자책 유출한 3명 잡혔다 올 5월 알라딘을 해킹해 전자책 100만권을 취득한 후, 피해 업체에 비트코인을 지급하지 않으면 유포하겠다고 협박한 3인조가 검거됐다. 피의자는 피해 업체 정보통신망의 취약점을 이용해 전자책 72만여권의 DRM을 해제할 수 있는 복호화 키를 무단 취득했다. 지난해 11월에도 유사한 방법으로 다른 인터넷서점에서 143만여권의 복호화 키를 무단 취득했고, 올 7월 유명 입시학원의 강의 동영상도 유포해 협박했다. 피의자는 DRM 해제 방법에 관심을 두던 중 피해 업체의 보안상 허점을 알게 됐다. 경찰은 DRM의 보안상 문제점을 피해 업체에 공유했다. 또한 문화체육관광부, 한국저작권보호원, 한국인터넷진흥원, 한국전자출판협회 등 관계기..

데이터를 수집하기 전에 물어야 하는 다섯 가지 질문들 Q1. 우리는 지금 어떤 데이터를 수집하고 있는가? 지금 회사에서 실제로 수집하고 있는 데이터가, 원래 수집해야 할 데이터와 일치하는가를 생각해야 한다. 데이터의 유형별로 특별한 수집 규칙이 적용된다거나 수집 시 지켜야 할 조건들을 지키고 있는지 파악해야 한다. Q2. 이 데이터는 꼭 수집해야 하는가? 데이터를 많이 갖고 있는 것이 좋긴 하지만, 이는 보안의 관점에서는 불필요한 리스크를 짊어지는 것과 같다. 이를 제어할 자신이 있다면 데이터를 수집해도 좋지만, 굳이 리스크를 떠안고 갈 필요가 있는지 생각해 보아야 한다. Q3. 수집한 데이터들은 어디로 가는가? 데이터가 어디에 저장되고, 누가 그 저장소에 접근할 수 있는지 파악해야 한다. 회사 로컬에 ..

클라우드 마비 사태, 왜 일어나며 어떻게 대처하는가? 네트워크 인프라를 클라우드 서비스로 대체하고, 각종 데이터를 저장하고, 보안을 강화하는 등에 클라우드가 떠오르고 있다. 허나 클라우드도 완전하지는 않기에 클라우드 마비에 대해 대처해 두는 것이 필요하다. 클라우드 마비 원인 1. 설정오류 새로운 서버 구축, 애플리케이션에 새로운 저장 영역 지정, 새로운 라우터 테이블 설정 등의 상황에서 텍스트 기반 수동 작업을 주로 실시한다. 이 과정에서 실수가 종종 발생하는데 클라우드도 마찬가지의 경우가 많다. 페이스북, 인스타그램, 메신저, 왓츠앱, 오큘러스 VR등이 단순 설정오류로 마비가 된 사례가 있고, 라우팅 프로토콜에 관한 설정 문제였다. 2. 예상치 못한 시스템 행동 패턴 예로 마이크로소프트에서 몇가지 명..