Gobuster❓ Gobuster는 웹 애플리케이션 또는 웹 서버에서 숨겨진 디렉토리 및 파일을 발견하기 위한 오픈 소스 보안 도구 중 하나다. 이 도구는 디렉토리 및 파일 이름을 브루트 포스 (Brute Force) 방식으로 검색하여 웹 서버의 취약한 지점을 탐지하는 데 사용되고 Gobuster는 주로 웹 애플리케이션 취약점 분석, 보안 테스팅, 해킹, 펜 테스트 등과 관련된 작업에서 활용된다. 디렉토리 및 파일 브루트 포스: Gobuster는 웹 서버에 대한 디렉토리 및 파일 이름을 브루트 포스 공격을 통해 탐색한다. 이를 통해 숨겨진 페이지나 디렉토리를 찾거나 웹 애플리케이션의 취약한 지점을 식별할 수 있다. 다양한 디렉토리 및 파일 목록: Gobuster는 사용자 지정 디렉토리 및 파일 목록을 통..

OSINT❓ OSINT (Open Source Intelligence)는 공개된 소스에서 정보를 수집하고 분석하는 정보 수집 및 분석 기술 및 활동을 의미하며 이것은 정보 수집을 위한 여러 다양한 소스와 기술을 활용하여 정보를 얻는 방법론 및 접근법을 나타낸다. OSINT는 주로 정보 수집 및 분석의 전문가, 보안 전문가, 조사관, 군사 및 정부 기관 등에 의해 사용되며, 다음과 같은 목적으로 활용된다 Passive OSINT(최초 정보 수집) - 목표 대상에 대한 정보를 수집하기 위해 가능한 최소한의 상호작용을 하는 단계, 정보 수집자가 직접 타겟을 조사하거나 대상과 직접 상호 작용하지 않고 오픈 소스 정보를 수집하는 방식이다. - 직접 목표 대상에게 접근하지 않고 제3자로부터 정보 수집 - 방법: 온..

인공지능과 기계학습을 활용한 보안 인공지능과 기계 학습은 보안 분야에서 혁신적인 역할을 수행하며, 악성 행위 감지, 취약점 분석, 데이터 보호 등 다양한 과제를 해결하는 데 활용된다. 인공지능은 사람의 학습과 추론 능력을 모델링한 시스템을 지칭하며, 기계 학습은 데이터를 기반으로 패턴을 학습하여 결정을 내리는 알고리즘 기법이다. 인공지능과 기계 학습은 데이터를 수집하고 분석하여 패턴을 식별하고 예측하고 이를 위해 주로 신경망, 결정 트리, 클러스터링 등의 알고리즘이 사용된다. 모델은 초기에 학습 데이터로 훈련되며, 새로운 데이터를 입력하면 이를 기반으로 예측을 수행한다. 부가 개념: 데이터 전처리: 입력 데이터를 정제하고 변환하여 학습 및 분석에 적합한 형태로 만드는 과정. 지도 학습과 비지도 학습: 지..

기존 ISMS , PIMS 중복 인증으로 인한 부담 완화가 필요하다는 업계의 의견을 고려하여 기존 두 인증간 인증체계, 인증기준, 인증․심사기관 등 제도 전반의 실질적인 통합을 이루기 위한 것이다. 이에 따라 기업들은 새롭게 개편된 102개 통합 인증기준 중 정보보호 관련 80개 인증항목으로 기본적인 ‘정보보호 관리체계(ISMS) 인증’을 받을 수 있고, 개인정보 관련 22개 인증항목을 추가하면 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증도 받을 수 있다. ISMS-P 란? 1. “정보보호 및 개인정보보호 관리체계 인증”이란 인증 신청인의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(이하 “인터넷진흥원”이라 한다) 또는 인증기관이 증명하는 것을 말..

ISMS(Information security management System) ISMS(Information Security Management System) 인증은 정보보호 관리 체계를 평가하고 검증하는 프로세스를 의미한다. 이는 조직이 정보 보안을 효과적으로 관리하고 유지하기 위해 정의된 표준 및 절차를 준수하는지를 확인하기 위한 절차이다. ISMS 인증은 정보 보안 관련 위험을 최소화하고 고객의 신뢰를 유지하기 위해 중요한 역할을 한다. ISMS 인증 프로세스 준비: 조직은 정보 보안 관리 체계를 구축하고 관련 문서화 작업을 수행. 이 단계에서 조직은 ISO/IEC 27001 표준과 같은 관련 표준을 기반으로 ISMS를 설계하고 구현한다. 평가: 외부 감사기관이 조직의 ISMS를 평가하기 위해 감..

csap(cloud security assurance program) 클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도이다. 보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2조제3항에 따라 보안인증을 받은 클라우드컴퓨팅서비스에 대해 표시할 수 있다. 보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행규칙」 제4조에 따라 표시도안의 크기를 용도에 맞게 같은 배율로 조정할 수 있으며, 알아보기 쉽게 표시하여야 한다. 표시도안의 색상 및 글씨체는 임의로 변경할 수 없다. 목적 ..