[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(59일차)

오늘 학습 주제

1. 전자금융기반시설 취약점 분석

2. 보안컨설팅

 

 

전자금융기반시설 취약점 분석평가

---

- 금융보안 -

새로운 서비스가 개발되면 개발 단계에서부터 보안심의평가(점검)를 진행Anti-Frgile(복원력)

 

 

- 개요 -

전자금융기반시설의 안전성과 신뢰성을 저해하는 사이버 위협에 대응하기 위해

잠재된 보안 위협을 찾고 이를 개전하기 위한 사전 예방 활동

 

금융회사 및 전자금융업자는 관계 법령에서 정한 내용에 따라 전자금융 업무를 처리하기 위한

정보처리시스템을 대상으로 취약점을 분석하고 이를 평가

 

공개용 홈페이지 점검은 연 2회(상하반기) 이상, 전자금융기반시설 점검은 연 1회 이상 평가

 

 

- 절차 -

[사전분석]평가계획 수립 및 업무 현황 파악 등

 

[취약점 분석]자산분석, 취약점 분석(체크리스트 기반)

 

[취약점 평가]정보보호 분석/평가 지수 산출 등의 종합평가

 

[대책 수립]발견된 취약점에 대한 보안대책 수립 등

 

[사후 관리]발견된 취약점에 대한 조치계획 수립 등

 

 

보안컨설팅

---

- 유형 분류 -

대중성:

트렌드 및 이슈, 전통성에 의거한 분류

보안컨설팅 기업의 일반적 분류법

 

컴플라이언스:

법적인 강제성 보유 유무에 의한 분류

 

정형 vs 비정형:

평가/점검 기준이 존재, 산출 문서가 특정되어 있음, 결과보고서 포맷이

정해져 있음, 과거 산출물을 참조하여 작성

일반적인 분류 기준이 아닌 의미상의 분류

 

신기술 영역, 융합 보안 영역:

특정 신기술 영역 여부에 의한 분류

 

 

- 정보보호시스템 컨설팅 -

정보보호시스템 컨설팅은 정보보호시스템 관련 경험이 필수적

(보안관제, 운영, 보안시스템 엔지니어 등)

 

 

- 보안컨설턴트 vs 아키텍트 -

PPT:

People Process Technology

 

- 보안컨설팅 입문자 -

가장 중요한 것은 목적(사명감)과 Attitude, 문제 해결 능력