정보보호 25

[ISMS-P] 2020년 ISMS-P 인증심사원 자격 시험 필기 합격 후기|시험 문제 유형 및 공부 방법

지난 11월 14일에 실시된 ISMS-P 인증심사원 자격 필기시험 결과가 오늘 나왔다. 감격스럽게도 합격하였다. 합격 결과는 문자와 이메일로 받았다. 문자를 먼저 받고나서 누군가 장난으로 문자를 보낸것이 아닐까? 의심되어서 메일까지 확인하였다. 이게 오류가 아니라면 진짜로 합격한게 맞겠지? ㅠㅠ 체감상 시험이 너무 어려웠기 때문에 합격할거라고 예상하지 못했기에 결과를 보고 감격스러웠다. 최종합격도 아닌데 블로그에 포스팅할까 말까를 고민하였으나, 시험에 대해서 더 잊어버리기 전에 포스팅해야겠다고 결정하였다. ISMS-P 시험 관련 정보를 찾는 사람들도, 실기시험 합격 후기보다는 필기 시험 합격 후기를 더 궁금해할 것 같다. 그래서 최종합격하지 않았음에도 불구하고 합격 후기를 작성하기로 했다. 공부기간 나는..

ISMS-P 2020.11.23

ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.3 관리체계 운영, 1.4 관리체계 점검 및 개선

오늘은 1.3 관리체계 운영과 1.4 관리체계 점검 및 개선에 대해서 살펴보겠다. 1.3 관리체계 운영은 1.2 위험관리를 통해 식별된 위험에 대해서 보호대책을 수립하고, 그 보호대책에 대한 이행계획을 수립했다면, 그 이행계획을 실제로 구현하고, 운영할 때의 절차 및 준수사항에 대한 내용이다. 1.4 관리체계 점검 및 개선은 관리체계 기준 및 법적 요건에 따라 관리체계 현황을 점검하고 발견된 문제점에 대하여 재발하지 않도록 대책 수립에 관한 내용이다. I. 관리체계 수립 및 운영 - 1.3 관리체계 운영 1.3.1 보호대책 구현 이행 계획에 따라 효과적으로 보호대책을 구현하고 이행 결과의 정확성/효과성을 경영진이 확인할 수 있도록 보고 보호대책 구현 및 운영 현황을 기록한 운영 명세서 작성 보호대책 이행..

ISMS-P 2020.10.24

ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리

오늘은 1.2 위험관리 분야에 대해서 암기할 내용을 정리하겠다. ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리 1.2.1 정보자산 식별 정보자산 분류기준을 수립하여 관리체계 범위 내의 모든 정보자산을 식별하여 목록화 식별된 정보자산에 대해 법적 요건 및 업무 영향도 등을 고려하여 중요도를 결정하고 보안등급을 부여 정기적으로 정보자산 현황을 조사하여 최신성을 유지 자산명 용도 위치 관리자 관리부서 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가 서비스 영향, 이익 손실, 고객 상실, 대외 이미지 손상 등을 고려 주요 PC를 통제하는 데 사용되는 내부정보 유출 통제 시스템이 누락된 경우 범위 내 제삼자에게 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식..

ISMS-P 2020.10.22

Chapter 03. 공개키 암호와 메시지 인증 - 3.3 메시지 인증 코드(2) - 블록암호기반 MAC

오늘은 메시지 인증코드 공부 두 번째 포스팅이다. 오늘 포스팅은 블록암호기반 MAC에 관한 내용이다. 그럼 오늘 포스팅 시작합니다. Chapter 03. 공개키 암호와 메시지 인증 - 3.3 메시지 인증 코드(2) - 블록 암호기반 MAC □ 암호 기반 메시지 인증코드(CMAC) - AES 또는 3DES 용 b : 블록길이( AES : b=128, 3DES : b=64) n : 블록 개수 (n x b = 메시지길이) M_1, M_2, M_3, ..... , M_n : 메시지 블록 ( 메시지 길이가 b의 정수배가 아닐 경우 패딩 비트를 붙임) K : k비트 암호키( AES : k=128 or 192 or 256, 3DES : k = 112 or 168 ) K' : n비트 암호키 T : 메시지 인증코드 (t..

모의해킹 실습 환경 만들기 1 - virtual box 및 Kali Lunux 설치

나는 정보보호분야에 있지만 모의해킹 분야에 있지는 않다. 시간을 돌릴 수 있다면 나는 관리적 보안 분야가 아닌 모의해킹 분야를 선택하고 싶다는 미련이 남았다. 후회만 하지 말고 혼자 공부해보기로 했다. 책, 블로그 및 요즘은 인프런 같은 사이트에서 동영상 강의도 아주 잘 되어 있어서, 공부할 수 있을 것 같다. 모의해킹은 아무데서나 실습할 수 없다. 본인이 개인적으로 시스템을 가지고 있는 사람은 몇 없을 것이다. 본인의 회사 시스템에 실습을 하면 당연히 회사 업무에 문제가 있을 것이다. 또한, 연고 없는 시스템에 실습을 하다가는 법적 문제가 일어날 수 있다. 따라서 모의해킹을 실습하기 위해서는 가장 먼저 가상 환경을 만들어 줘야 한다. 오늘은 모의해킹 실습을 위한 가상 환경 구축을 공부해보겠다. 실습 환..

모의해킹 2020.10.08

네트워크보안에센셜Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(2)

Hash 알고리즘의 수학적 구조와 원리를 이해하는 것은 진짜 너무 어렵다. 100% 이해하기보다는, 일단 어느 정도 알고 넘어가야겠다. 나중에 반복해서 보면 언젠가는 100% 이해할 날도 올 거라고 생각한다. 또한, 실무에서는 해시 알고리즘의 구조를 100% 이해하지 않아도 일하는데 크게 지장은 없다. Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(2) □ SHA-512 알고리즘의 구조 Step 1. 패딩 비트 붙이기 메시지를 추가하여 총 길이를 896(mod1024)이 되도록 만든다. 메시지 길이가 이미 896(mod1024)라면 1024bit를 추가한다. 그러면 패딩비트의 길이 L은 1≦L≦1024이다. 패딩 비트의 첫 번째 값은 1이고 나머지 비트는 모두 0이다. Step..

Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(1)

하루에 1개의 소단원씩 끝내는건 도저히 못하겠다. 뒤로 갈수록 점점 더 어렵다. ㅠㅠ 정보보호에서 암호학이 가장 자신있는 분야라고 생각했는데, 암호 챕터가 끝나면 좀 쉬워지지 않을까 하는 기대를 하고 있다. ㅠㅠ 안전 해시함수에 대한 원리를 이해하기 위해서 며칠동안 붙잡고 있었다. 그래서 100%이해한 것 같지는 않지만 어느정도 이해한 내용을 적기로 했다. 그래서 안전해시함수 소단원을 끝내지 못했지만 1/2 포스팅 하겠다. Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(1) □ 안전 해시함수(Secure Hash Function) ㅇ 메시지 인증, 디지털 서명 등에 활용된다. ㅇ 해시함수의 목적은 파일, 메시지, 데이터블록에 대한 지문(Finger Print)을 생성하는 것이다..

ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조

개인정보보호법 제4장 "개인정보의 안전한 관리"(제29조 ~ 제34조의2) 에서는 개인정보의 안전조치 의무, 개인정보 처리방침의 수립, 개인정보 보호책임자의 지정, 개인정보 파일의 등록 및 공개, 개인정보 보호 인증, 개인정보 영향평가, 개인정보 유출 통지, 과징금 부과 등에 대한 내용을 다루고 있다. 오늘은 4장을 살펴보겠다. ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조 제29조(안전조치 의무) ㅇ 개인정보 처리자는 개인정보의 안전성 확보를 위하여 다음과 같은 조치를 하여야 한다. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 개인..

ISMS-P 2020.09.22

Chapter 03. 공개키 암호와 메시지 인증 - 3.1 메시지 인증 방법

Chapter 02. 대칭 암호와 메시지 기밀성Chapter 03. 공개키 암호와 메시지 인증 - 3.1 메시지 인증 방법 암호를 사용하여 적극적 공격에 대응하는 방법으로 메시지 인증 방법이 있다. 데이터가 인증된다는 말은 데이터가 진짜이고 송신자라고 주장하는 근원지로부터 왔다는 것을 확신할 수 있다는 것을 의미한다. □ 관용 암호를 이용한 인증 메시지가 오류 감지 코드와 순서 번호를 포함하는 방법 - 수신자는 메시지가 변경되지 않고, 순서도 틀리지 않았음을 확신할 수 있다. 타임스탬프를 포함하는 방법 - 메시지가 지나는 동안 소요되는 시간지연 이외에 고의적으로 지연되지 않았음을 확신할 수 있다. □ 메시지 암호화 없이 메시지 인증하기 ㅇ 메시지 암호화 없는 메시지 인증이 필요한 경유 동일한 메시지를 다..

ISMS-P 개인정보보호법 주요내용 정리(5) 제23조 ~ 제28조

오늘은 제3장 개인정보 처리 - 제2절 개인정보의 처리제한에 대한 내용을 살펴보겠다. 개인정보보호법만 5번째 포스팅인데, 아직 반도 못 보았다. 생각보다 양이 너무 많다. ISMS항목에서 개인정보 관련 항목 비중은 1/3정도밖에 안되는데, 정보통신망법보다 개인정보보호법이 더 확인해야 할 내용이 많다. 개인정보가 대부분 법률과 유관한 분야이기 때문일 것이다. 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한) 민감정보와 고유식별정보의 처리에 대한 규정은 비슷하기 때문에 한꺼번에 살펴보겠다. ㅇ 민감정보의 범위 사상/신념 노동조합/정당의 가입/탈퇴 정치적 견해 건강, 성생활 등에 관한 정보 유전정보 범죄경력정보 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으..

ISMS-P 2020.09.16