IT보안, 개인정보보호 이야기

지난 11월 14일에 실시된 ISMS-P 인증심사원 자격 필기시험 결과가 오늘 나왔다. 감격스럽게도 합격하였다. 합격 결과는 문자와 이메일로 받았다. 문자를 먼저 받고나서 누군가 장난으로 문자를 보낸것이 아닐까? 의심되어서 메일까지 확인하였다. 이게 오류가 아니라면 진짜로 합격한게 맞겠지? ㅠㅠ 체감상 시험이 너무 어려웠기 때문에 합격할거라고 예상하지 못했기에 결과를 보고 감격스러웠다. 최종합격도 아닌데 블로그에 포스팅할까 말까를 고민하였으나, 시험에 대해서 더 잊어버리기 전에 포스팅해야겠다고 결정하였다. ISMS-P 시험 관련 정보를 찾는 사람들도, 실기시험 합격 후기보다는 필기 시험 합격 후기를 더 궁금해할 것 같다. 그래서 최종합격하지 않았음에도 불구하고 합격 후기를 작성하기로 했다. 공부기간 나는..

블로그에 언급했듯이, 나는 이번에 ISMS-P 인증심사원 자격시험을 보았다. 8월로 예정되었던 시험이 한번 미뤄지고 11월 14일로 다시 날짜가 잡혔다. 매번 공부한 내용을 블로그에 업로드하며 공부하려고 했으나, 시간이 너무 부족해서, 블로그 업로드를 미루고 공부에 집중하였다. 11월 14일 지난 토요일에 드디어 시험을 치렀다. 인증심사원이 된다면 자문료가 아래와 같다고 한다. 인증심사원 등급 자격 1일 자문료 심사원보 ISMS-P 인증심사원 자격시험 최종합격 200,000원 심사원 심사원보가 4일 이상 20시간 이상 심사하면 심사원으로 승격 300,000원 선임심사원 심사원이 3일 이상 15시간 이상 심사하면 선임심사원으로 승격 350,000원 책임심사원 심사능력이 우수하고 참여율이 높은 심사원은 평가..

ISMS-P를 공부하면서, 하나의 호스트에 따른 IP주소와, 네트워크 주소, 서브넷 마스크를 구하는 문제가 있었다.. 대학교때는 명확하게 이해하고 공부했던 기억이 있지만, 아무래도 오랫동안 업무에서 써먹지 않다 보니 문제를 풀 수가 없었다. 그래서 다시 IP주소와 네트워크 대역, 서브넷 마스크를 공부하고 정리하기로 했다. class A : 0.0.0.0 ~ 127.255.255.255 클래스 A에서는 앞 8비트가 네트워크 영역, 24비트가 호스트 영역 class A 네트워크 : 1.0.0.0 ~ 126.0.0.0 (0.0.0.0 과 127.0.0.0 제외) 한 네트워크 안에 들어가는 호스트 수 : (2^24)-2 class B : 128.0.0.0 ~ 191.255.255.255 클래스 B에서는 앞 16..

1. 정보보호 및 개인정보보호 관리체계 인증 : 인증 신청인의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 것 2. 정보보호 관리체계 인증 : 인증 신청인의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 것 3. 인증기관 : 인증에 관한 업무를 수행할 수 있도록 망법 제47조제6항과 제47조의3제3항 등에 따라 과기부 장관, 행안부 장관, 방통위가 지정하는 기관을 말한다. 4. 심사기관 : 인증심사 업무를 수행할 수 있도록 과기부장관, 행안부장관, 방통위가 지정하는 기관을 말한다. 5. 업무수행 요건/능력 심사 : 인증기관 또는 심사기관으로 지정받고자 신청한 법인 또는 단체의 업무수행 요건/능..

오늘은 1.3 관리체계 운영과 1.4 관리체계 점검 및 개선에 대해서 살펴보겠다. 1.3 관리체계 운영은 1.2 위험관리를 통해 식별된 위험에 대해서 보호대책을 수립하고, 그 보호대책에 대한 이행계획을 수립했다면, 그 이행계획을 실제로 구현하고, 운영할 때의 절차 및 준수사항에 대한 내용이다. 1.4 관리체계 점검 및 개선은 관리체계 기준 및 법적 요건에 따라 관리체계 현황을 점검하고 발견된 문제점에 대하여 재발하지 않도록 대책 수립에 관한 내용이다. I. 관리체계 수립 및 운영 - 1.3 관리체계 운영 1.3.1 보호대책 구현 이행 계획에 따라 효과적으로 보호대책을 구현하고 이행 결과의 정확성/효과성을 경영진이 확인할 수 있도록 보고 보호대책 구현 및 운영 현황을 기록한 운영 명세서 작성 보호대책 이행..

오늘은 1.2 위험관리 분야에 대해서 암기할 내용을 정리하겠다. ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리 1.2.1 정보자산 식별 정보자산 분류기준을 수립하여 관리체계 범위 내의 모든 정보자산을 식별하여 목록화 식별된 정보자산에 대해 법적 요건 및 업무 영향도 등을 고려하여 중요도를 결정하고 보안등급을 부여 정기적으로 정보자산 현황을 조사하여 최신성을 유지 자산명 용도 위치 관리자 관리부서 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가 서비스 영향, 이익 손실, 고객 상실, 대외 이미지 손상 등을 고려 주요 PC를 통제하는 데 사용되는 내부정보 유출 통제 시스템이 누락된 경우 범위 내 제삼자에게 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식..

ISMS-P 시험 일정이 다시 발표되었다. 11월 14일에 심사원 자격시험이 있다. 1달가량 ISMS-P 인증 가이드의 주요 사항을 달달 암기하기로 했다. 암기하여야 하는 사항을 블로그에 정리하겠다. I. 관리체계 수립 및 운영 - 1.1 관리체계 기반 마련 1.1.1 경영진의 참여 보고 및 의사결정 등 경영진의 책임과 역할 문서화(활동 근거) 보고, 검토, 승인 절차 수립/이행 정책서에 경영진에게 정기 보고하도록 규정한 정보보호 활동에 대해 장기간 보고하지 않음 중요 정보보호 활동*을 수행하면서 활동 관련 보고, 승인 등 의사결정에 경영진이 참여하지 않았거나 관련 증적이 확인 되지 않은 경우 * 경영진에게 보고해야 할 주요 정보보호 활동 : 위험평가, 위험수용 수준(DOA) 결정, 정보보호 대책 이행계..

오늘은 메시지 인증코드 공부 두 번째 포스팅이다. 오늘 포스팅은 블록암호기반 MAC에 관한 내용이다. 그럼 오늘 포스팅 시작합니다. Chapter 03. 공개키 암호와 메시지 인증 - 3.3 메시지 인증 코드(2) - 블록 암호기반 MAC □ 암호 기반 메시지 인증코드(CMAC) - AES 또는 3DES 용 b : 블록길이( AES : b=128, 3DES : b=64) n : 블록 개수 (n x b = 메시지길이) M_1, M_2, M_3, ..... , M_n : 메시지 블록 ( 메시지 길이가 b의 정수배가 아닐 경우 패딩 비트를 붙임) K : k비트 암호키( AES : k=128 or 192 or 256, 3DES : k = 112 or 168 ) K' : n비트 암호키 T : 메시지 인증코드 (t..

나는 정보보호분야에 있지만 모의해킹 분야에 있지는 않다. 시간을 돌릴 수 있다면 나는 관리적 보안 분야가 아닌 모의해킹 분야를 선택하고 싶다는 미련이 남았다. 후회만 하지 말고 혼자 공부해보기로 했다. 책, 블로그 및 요즘은 인프런 같은 사이트에서 동영상 강의도 아주 잘 되어 있어서, 공부할 수 있을 것 같다. 모의해킹은 아무데서나 실습할 수 없다. 본인이 개인적으로 시스템을 가지고 있는 사람은 몇 없을 것이다. 본인의 회사 시스템에 실습을 하면 당연히 회사 업무에 문제가 있을 것이다. 또한, 연고 없는 시스템에 실습을 하다가는 법적 문제가 일어날 수 있다. 따라서 모의해킹을 실습하기 위해서는 가장 먼저 가상 환경을 만들어 줘야 한다. 오늘은 모의해킹 실습을 위한 가상 환경 구축을 공부해보겠다. 실습 환..

오늘은 HMAC에 대해서 공부를 하였다. 다행히도 HMAC 알고리즘이 머리 아프게 어렵지 않았다. 그래도 하루에 알고리즘 2개를 공부하기는 무리인 것 같아서, 3.3 메시지 인증 코드 단원을 쪼개서 정리하기로 했다. 올해 안에 이 책을 끝내는 것은 아무래도 무리인 듯하다. Chapter 03. 공개키 암호와 메시지 인증 - 3.3 메시지 인증 코드 □ 암호적 해시함수의 장점 DES에 비해 빠르게 실행 가능 코드를 쉽게 구할 수 있음 수출 규제가 없음 -> SHA-1은 비밀키를 사용하지 않으나, 비밀키를 사용하는 HASH함수를 위해서 HMAC이 탄생 -> HMAC은 전송계층 보안(TLS), 안전한 전자 결제(SET) 등 인터넷 프로토콜에서 사용 □ HMAC 설계 목표 (RFC에서 열거) 수정하지 않고 쓸 ..