3월 29일 (금) 오후 2:08

logo

  • home
  • head
  • itnews
  • product
  • mobile
  • game
  • benchmark
  • analysis
  • blog

개봉 2023.11.22. / 등급: 12세 관람가 / 장르: 드라마 / 국가: 대한민국 감독 : 김성수 출연 : 황정민, 정우...
노량: 죽음의 바다 / 개봉 2023.12. / 장르: 액션, 드라마 / 국가: 대한민국 감독 : 김한민 출연 : 김윤석, ...
조회 수 347

Frederick Scholl | CSO


RSO란 무엇인가? 미국 밴더빌트 대학 교수 랑가라지 라마누잠의 저서 <신뢰성을 위한 조직(Organizing for Reliability)>에 따르면, RSO는 “신뢰성을 추구하는 조직(Reliability Seeking Organization)”이다. 우리는 사이버보안을 흑백논리, 즉 침해냐 침해가 아니냐로 생각하는 경향이 있고 아키텍처, 위협, 방어에 초점을 맞추는 경우가 많다. 그러나 사실은 보안 프로그램의 신뢰성에 대해서도 신경을 써야 한다. 여기서 말하는 신뢰성의 정의에는 성능 일관성(performance consistency)과 탄력성(resiliency)이 포함된다. “내고장성(Fault tolerant)” 역시 이를 기술하는 또 다른 용어다.
 

secure_system_network_security_policy_management_by_d3damon_gettyimages-970241738_2400x1600-100797424-large.jpg

ⓒ Getty Images Bank 


많은 유형의 조직이 이미 고신뢰성 비즈니스 프로세스를 개발했다. 목표 달성에는 전략과 실행이 모두 포함된다. 필자는 이러한 조직으로부터, 그리고 보안 버블을 벗어난 모험에서 많은 것을 배울 수 있다고 생각한다.


보안 = 신뢰성

이 글은 원래 필자가 내슈빌에서 라마누잠 교수에게 들었던 강의 내용에서 시작됐다. 이 글의 핵심은 보안 사일로 외부로부터의 학습이다. 내슈빌의 ACP(Association of Contingency Planners)가 주관한 이 강의의 주제는 고신뢰성 조직이었다. 오늘날의 보안 아젠다는 ACP와 같은 단체와도 상호 겹치는 부분이 있다. 예를 들어 랜섬웨어 공격과 DDOS 공격을 생각해 보자. 필자는 강의를 들은 이후 라마누잠의 책도 읽었다. 강의와 책의 내용은 정보 보안에 적용된다. 이 글은 강의와 책의 내용을 압축한 버전이다.

좋은 보안 프로그램의 목적은 비즈니스 신뢰성이다. 우리가 원하는 것은 기밀성(confidentiality), 데이터 무결성(data integrity) 또는 가용성(availability)의 침해 등 이유가 무엇이든 그로 인한 계획되지 않은 일들을 방지하는 것이다. 디지털 데이터와 기술이 모든 비즈니스 프로세스에 통합되는 상황에서 이런 비즈니스 프로세스의 신뢰성은 온전히 정보 보안 프로그램의 신뢰성에 의존한다. 많은 전문가들은 그동안 기술, 사람, 프로세스를 포함한 보안 아키텍처에 집중했다.

업계 추산에 따르면, 현재 2,500개 이상의 보안 신생 업체가 존재하며 매주 그 수는 늘고 있다. 그러나 이런 신생 업체 중에서 고신뢰성 보안을 달성하는 데 초점을 둔 업체는 거의 없다. 한 가지 예외 범주는 보안 통제의 지속적인 테스트를 촉진하는 “침해 및 공격 시뮬레이션” 도구다(베로딘(Verodin), 사이뮬레이트(Cymulate), 세이프브리치(Safebreach) 등). 이 글의 주제는 신뢰할 수 있는 보안 프로그램을 구축하는 데 더 초점을 맞춰야 한다는 것이다.

RSO의 출발점은 HRO, 즉 고신뢰성 조직(High Reliability Organization)의 개념이다. HRO 조직은 RSO, 즉 신뢰성 추구 조직 및 고신뢰성에 특별히 초점을 두지 않는 보편적인 조직과는 구분된다. 필자는 사이버보안 측면에서 현재 대부분의 조직이 아직 RSO 또는 HRO에 해당되지 않는다고 생각한다. 사이버보안 RSO 또는 HRO가 되는 방법에 대해서는 뒤에서 더 자세히 다룰 것이다. 


신뢰성이란 무엇인가

이 맥락에서 신뢰성이란 무엇인가? 시스템이 의도한 동작을 실패 없이 수행하는 것이다. 이 정의에는 두 가지 측면이 있다. 

첫 번째는 예측(anticipation)의 논리다. 적절한 통제와 메트릭스가 구축되었는가? 두 번째는 탄력성의 논리다. 시스템이 침해의 여파를 억제할 역량을 갖추었는가? 또한 침해의 결과로 구축된 보안 프로그램이 이전보다 더 강력한가?라는 질문도 마찬가지로 중요하다. 불행히도 침해 및 기타 장애는 책임 공방, 임원의 해고를 비롯해 엉뚱한 결과로 이어지고 정작 실질적 개선은 되지 않는 경우가 많다.

우리가 신뢰할 수 있는 보안 프로그램에서 찾는 요소는 무엇인가? 첫째, 변동성이 낮은 성능의 일관성이다. 현재는 연간 또는 분기별 감사를 기반으로 한 정기적 일관성에 초점을 둔다. 둘째, 중간 이벤트와 근접 사고(near miss)를 추적해야 한다. 많은 경우 이런 요소는 향후 조사해야 할 목록에서 가장 하위 순위에 배치된다. 셋째, 침해 또는 이벤트 전후의 탄력성이다. 지금의 보안 탄력성 정의는 공격이 이미 대대적으로 알려진 이후의 대응을 강조한다.

HRO 연구에서 핵심 교훈은 신뢰성에 대한 시스템 접근 방법의 중요성이다. 침해의 원인으로 흔히 “운영자”, “관리자”, “아웃소싱 업체” 또는 “CISO”를 비난하지만 실제 사고에는 많은 원인이 있다. 조세핀 울프의 저서 <이 메시지를 볼 때면 이미 늦은 것(You’ll See This Message When It Is Too Late)>에서 이런 점이 매우 잘 나와 있다. 울프는 근래의 보안 침해 사고를 상세히 분석하면서 각 사고에 많은 원인이 있음을 명확하게 기술했다.

그레이엄 페인의 최근 저서 <새로운 사이버 보안 침해의 시대(The New Era of Cybersecurity Breaches)>를 보면 2017년 에퀴펙스(Equifax) 침해 사건 당시 정확히 어떤 일이 일어났는지 알 수 있다. 일반적으로 알려진 원인은 에퀴팩스가 아파치 스트럿츠(Apache Struts) 인스턴스를 패치하지 않았다는 것이다. 

페인의 책은 이메일 메시지 하나를 즉각 전달하지 못한 것이 어떻게 이 사고로 이어졌는지를 상세히 기술한다. 신뢰할 수 있는, 내고장성을 갖춘 보안 시스템은 한 사람이 신속하게 메시지를 전달하는지 여부에 의존하지 않을 것이다.


HRO를 구축하는 방법

HRO를 구축하는 데 성공적인 세 가지 프로세스가 있다. 세 가지 중에 보안 실무자에게는 이 세 가지 모두 익숙한 프로세스다. 그러나 필자가 바라는 것은 이와 같은 프로세스가 다른 맥락에서도 통한다는 사례를 통해 보안 우선순위 목록에서 더 높은 곳으로 끌어올리는 것이다. 세 가지 프로세스는 ▲지속적 학습 및 개선 ▲규정 준수 프로세스 대 위험 기반 프로세스 그리고 ▲높은 신뢰성을 위한 관리다.

지속적 학습은 고신뢰성 프로세스를 구축하기 위한 핵심 구성요소다. HRO는 재해 또는 신뢰성 장애로 이어지는 6단계를 기술하는 DIM(Disaster Incubation Model)을 활용한다. 킬 체인에 해당하는 위험 관리라고 생각하면 된다. DIM 모델에는 다음의 6가지 단계가 포함된다.

1. 시작 지점(Starting point)
2. 배양 기간(Incubation period
3. 이벤트 촉발(Precipitating event)
4. 시작(Onset)
5. 구조(Rescue and salvage)
6. 전체 문화 조정(Full cultural adjustment)


지속적 학습은 이상적으로는 “배양 기간”에, 재해 이벤트가 발생하기 전에 일어난다. 핵심 개념은 대리 학습(ISAC 및 ISAO. smarthive.io와 같은 피어 인텔리전스 서비스)과 작은 실패로부터의 학습이다. 필자는 아파치 스트럿츠(Apache Struts) 관련 패치 재해에 앞서 에퀴팩스의 패치 관리 프로세스에 다른 간극이 있었는지 여부가 궁금하다. 여기서 핵심 개념은 다음과 같다.

“…근접 사고는 대규모 장애로 이어지는 조건과 동일한 조건에 의해 발생하므로 조직 의사 결정자가 근접 사고를 경험하고 학습함으로써 위험한 조건을 파악하고 교정할 수 있다면 미래에 대규모 장애를 겪을 가능성을 낮출 수 있다” – 랑가라지 라마누잠, 신뢰성을 위한 조직


규정 준수 vs. 위험

규정 준수 대 위험은 사이버 보안 리더들 사이에서 자주 논의되는 주제다. 지배적인 의견은 규정 준수 요건이 예산을 얻는 데 도움이 되지만 안전한 조직을 구축하기 위해서는 위험 분석이 필요하다는 것이다. 이 사고방식은 보안 전문가가 자신의 일자리를 지키는 동시에 예산을 확보하는 데 유용하다. “규정 준수” 상태가 되기 위해 필요한 방대한 규모의 작업을 감안하면 그것만으로 조직이 효과적으로 위험을 관리하고 있다는 착각에 빠지기 쉽다.

의료, 원자력, 항공 등 라마누잠의 책에 프로파일링된 많은 산업이 엄격한 규제를 받는다. 이런 산업에는 규제의 효과에 대한 다년간의 분석이 축적돼 있다. 분석 결과에서 사이버 보안에 적용할 수 있는 것은 무엇일까? 한 가지는 신뢰할 수 있는 시스템은 규제를 통해 얻을 수 없다는 것이다. 규제 기관에는 충분한 정보가 없다. 또한 정부 규제는 업계보다 너무 뒤쳐져 있어 만들어지는 시점에 이미 그 의미가 희석된다. 캐피털원(CapitalOne) 침해가 대표적인 예다. 은행 업종은 가장 많은 규제를 받는 산업 중 하나이지만 클라우드 기반의 서드파티를 통한 위험은 규제 기관의 시야에서 벗어난 지점에 있었다.

사이버보안이 규제 대상임을 감안할 때, 규정 준수와 규제 측면에서 HRO의 경험으로부터 우리가 얻을 수 있는 것은 무엇일까? 목표 중심의 규제와 오류 중심의 규제를 구분하는 것은 중요한 개념이다. 대부분의 규정에서는 전자, 즉 통제 목표 충족에 초점을 둔다. 그러나 조직은 내부 오류 감지 역량 강화를 통해 효과를 얻을 수 있다. 적용 가능한 또 다른 점은 확장 조직과 관련된다. 공급망의 규제 및 신뢰성 관련 사항 관리는 조직이 직면하는 가장 큰 위험인 경우가 많다.

보안을 위한 관리는 최근 과학이 됐다. 이제 CISO는 이사회를 대상으로 프레젠테이션을 하고, 무조건 “안 된다”고 말하는 부서가 아니라 비즈니스 이니셔티브를 지원해야 한다는 것을 안다. 그러나 HRO와 RSO는 수십년째 관리의 역점을 높은 신뢰성에 두고 있다. 조직의 “3가지 렌즈”를 통한 시야는 사이버 보안 HRO 구축을 향해 나란히 뻗은 3개의 길로 이어진다. 이 3개 렌즈를 통한 시야 중 어느 하나라도 놓치면 목표를 달성하지 못할 가능성이 높다. 3개의 렌즈는 다음과 같다.

1.    전략적 설계
2.    정치적
3.    문화적


기술 배경을 가진 대부분의 CISO는 “전략적 설계” 렌즈를 어려움 없이 바로 사용할 수 있다. 전략적 설계는 CISO 팀 조직과 비즈니스 운영 및 IS 운영과의 상호작용을 다룬다. 두 번째 렌즈는 “정치적” 렌즈다. CISO에 따라서는 이 렌즈를 통해 조직 보안을 보는 역량 또는 관심이 부족할 수 있다. 이 렌즈의 목적은 보안 목표를 달성하기 위한 동맹을 찾는 데 있다. 세 번째 렌즈는 “문화적” 렌즈다.

많은 보안 리더가 고민하는 과제 중 하나는 조직을 더 나은 보안 문화로 이끌 방법이다. 많은 CISO는 “보안 문화가 더 개선되면 좋겠다”고 생각한다. 일부는 더 큰 보안 침해가 필요하다고도 말한다. 더 나은 문화로의 변화가 촉발되리란 기대 때문이다. 그러나 RSO의 경험은 이것이 사실이 아님을 보여준다. 재해는 문화 개선에 도움이 될 수도, 되지 않을 수도 있다. 책임 공방만으로 끝나는 경우도 있다. OPM 침해 이후 지시된 30일 보안 스프린트는 사이버 보안 재해에 대한 비생산적인 대응을 보여주는 사례다.


이론에서 실무로

문화 개선에 대해 RSO와 HRO로부터 무엇을 배울 수 있고, 이를 사이버보안 문화에 어떻게 적용할 수 있을까? 한 가지 아이디어는 해당 업계의 침해 참조 자료를 갖춰 두고, 이 정보를 사용해서 “배양 기간”에 나타나는 여러 작은 오류를 완화하는 것이다. 특정 침해의 원인을 모른다면 어떻게 효과적인 방어를 구축하겠는가? 조지 산타야나는 “과거를 기억하지 못하는 자는 그 과거를 반복할 수밖에 없다”고 말했다. 이 점에 대해서는 로저 그라임스의 저서 <데이터 기반 컴퓨터 방어(A Data Driven Computer Defense)>에 간결하게 나와 있다.

더 나은 직원 교육도 보안 문화 조성에 매우 효과적이다. 현재 우리에게 필요한 것은 모든 직원을 대상으로 한 위험 관리 문화 교육이다. 갈수록 더 많은 보안 공격이 기술에 대한 전문적인 공격이 아닌 정상적인 비즈니스 프로세스 자체를 이용한다(피싱, BEC, 크리덴셜 스터핑 등). 사이버보안을 위한 마이크로 크리덴셜은 모든 직원이 필요한 위험 스킬을 익히는 데 도움이 되는 새로운 접근 방법을 보여준다. 마이크로 크리덴셜은 CISSP와 같은 보안 자격증 또는 전반적인 교육보다 더 집중적이다. 이것이 정보 보안에 유용한 이유는 무엇일까? 사용자에게 더도 말고 보안에 대해 딱 알아야 할 만큼만 효율적으로 가르칠 수 있기 때문이다.

모든 보안 실무자는 신뢰할 수 있는 프로그램 구축이라는 과제에 직면한다. 그러나 성공적인 사이버보안 RSO 또는 HRO로의 전환에 대한 사례 연구가 부족하다. 신뢰할 수 있고 자립적인 보안 프로그램 구축은 숲에서 불을 지피는 일과 같다. 보안 관리자가 할 수 있는 일은 불쏘시개와 나무, 공기를 제공하는 것뿐이다. 딱 맞는 구성이 발견되면 스스로 유지되는 불길이 시작된다. 이 구성을 얻으려면 이 글에 소개한 관리 접근 방식을 꾸준히 따라야 한다. editor@itworld.co.kr

원문보기: http://www.itworld.co.kr/news/129643#csidxaf8e1c44877f9d78dc25abacd3a4772 onebyone.gif?action_id=af8e1c44877f9d78d






  1. 초연결 시대가 불러올 사이버 공격의 변화: 2020 보안 위협 동향

    전 산업 분야에서 디지털 트랜스포메이션이 진행되고 있다. 비즈니스의 거의 모든 것이 ICT 기반의 인프라도 옮겨가면서 사이버 위협에 대한 우려 또한 심화되고 있다. 특히 지난 2019년 상용화된 5G에 힘...
    Date2020.02.02 CategoryIT KNOWLEDGE
    Read More
  2. 그 많은 2020 트렌드, 한눈에 모아보기

    2020년 새해가 밝았다. 가만히 돌아보면 최근 몇 년 새 유난히 세상이 빠르게 변화하는 느낌이다. 그래서일까. 해마다 연말 즈음이면 필수처럼 경제, 사회 등 각 분야의 트렌드를 예측하는 서적이 쏟아져 ...
    Date2020.01.03 CategoryIT KNOWLEDGE
    Read More
  3. “클라우드, ACI, SD-WAN, 제로 트러스트” 2020년 시스코가 집중할 영역

    Michael Cooney | Network World 업계가 2020년을 준비하고 있는 지금, 네트워크 분야는 조금 불안한 상태이다. 일부 주요 업체, 특히 아리스타(Arista)와 주니퍼(Juniper)가 신규 거래는 예상보다 감소...
    Date2019.12.11 CategoryIT KNOWLEDGE
    Read More
  4. AI 개발을 위한 최적의 프로그래밍 언어 6+2선

    Ian Pointer | InfoWorld 인공지능(Artificial Intelligence, AI)는 애플리케이션 개발자에게 무한한 가능성을 제공한다. 머신러닝 또는 딥 러닝을 활용해 훨씬 더 정확한 사용자 프로필, 개인 맞춤 설...
    Date2019.11.23 CategoryIT KNOWLEDGE
    Read More
  5. "무시해선 안된다" 프린터 보안, CSO가 책임져야

    J.M. Porup | CSO 대부분의 프린터는 안정된 보안 기능을 갖쳐져 있음에도 불구하고 재정 및 조직에서 잘못 배치되어 불안정하다.     ⓒ Getty Images Bank  심피온&NCC 그룹의 2개의 독립적인 보...
    Date2019.11.03 CategoryIT KNOWLEDGE
    Read More
  6. Subnet, 서브넷, Subnet Mask

    안녕하세요? 오리뎅이입니다. 오늘은 subnet에 대해서 정말 정말 쉽게 밑바닥(고수님들 보시면, 손가락 오글거림에 주의 요함. )까치 파헤쳐 보도록 하겠습니다. Subnet이란 것이 어찌 보면 아주 쉬...
    Date2019.10.05 CategoryIT KNOWLEDGE
    Read More
  7. 사이버보안 RSO가 되는 방법

    Frederick Scholl | CSO RSO란 무엇인가? 미국 밴더빌트 대학 교수 랑가라지 라마누잠의 저서 <신뢰성을 위한 조직(Organizing for Reliability)>에 따르면, RSO는 “신뢰성을 추구하는 조직(Reliability...
    Date2019.09.01 CategoryIT KNOWLEDGE
    Read More
  8. "리눅스에 대한 마이크로소프트의 사랑", WSL 2의 이해와 시작하기

    Simon Bisson | InfoWorld 마이크로소프트가 최근 빌드(Build) 컨퍼런스에서 리눅스용 윈도우 서브시스템(Windows Subsystems for Linux, WSL)의 두 번째 버전을 소개했다. 초기의 WSL 개념을 대대적으...
    Date2019.08.15 CategoryIT KNOWLEDGE
    Read More
  9. '줄리아' vs. '파이썬'··· 최고의 데이터 언어 대결

    Serdar Yegulalp | InfoWorld 파이썬은 데이터 분석용 언어로 확고하게 자리를 잡았다. 파이썬 생태계는 과학 계산과 데이터 분석 작업을 빠르고 편리하게 해 주는 라이브러리와 툴, 애플리케이션으로 ...
    Date2019.07.21 CategoryIT KNOWLEDGE
    Read More
  10. “개발자라면 누구나 반할” 서버리스 컴퓨팅의 효용

    Josh Fruhlinger | InfoWorld 개발자는 코드로 비즈니스 문제를 해결하느라 많은 시간을 소비한다. 개발자 다음은 운영 부서 차례다. 운영 부서는 먼저 개발자가 쓴 코드를 가용한 컴퓨터에서 구동하느...
    Date2019.07.05 CategoryIT KNOWLEDGE
    Read More
  11. "쿠버네티스와 컨테이너의 변화를 이끈다" 가장 믿음직한 쿠버네티스 배포판 10선

    Serdar Yegulalp | InfoWorld 쿠버네티스(Kubernetes)는 대규모 컨테이너 오케스트레이션이 필요한 경우 최적의 프로젝트로 꼽힌다. 구글이 만들어낸 오픈소스 컨테이너 시스템 쿠버네티스는 업게의 인...
    Date2019.05.23 CategoryIT KNOWLEDGE
    Read More
  12. 블록체인이 결제 산업의 5G로 각광 받는 이유

    Lucas Mearian | Computerworld 블록체인 기반 결제 네트워크와 명목 화폐 담보 디지털 화폐(미국 최대 은행의 화폐 포함)가 증가하면서 업계 전문가와 애널리스트들은 금융 서비스 산업의 혁신적인 변...
    Date2019.04.06 CategoryIT KNOWLEDGE
    Read More
  13. 모든 파이썬 프로그래머를 위한 20가지 실용적인 파이썬 라이브러리

    Serdar Yegulalp | InfoWorld 파이썬 프로그래밍 언어의 대성공을 이끈 힘은 무엇일까? 물론 답은 네이티브와 서드파티 라이브러리를 가리지 않는 풍부한 파이썬용 라이브러리다. 문제는 파이썬 라이브...
    Date2019.03.17 CategoryIT KNOWLEDGE
    Read More
  14. “떠오르는 와이파이 6, 우리 회사에 맞을까?” 적합성 기준과 준비 사항

    Zeus Kerravala | Network World 차세대 와이파이 표준인 802.11ax, 통칭 와이파이 6를 둘러싼 기대가 높다. 신기술은 업체에 의해 “차세대 대박 상품”으로 선전되다가 기대에 미치지 못하고 실패하는 ...
    Date2019.03.17 CategoryIT KNOWLEDGE
    Read More
  15. "네트워크 보안의 필수" SIEM 툴 TOP 12 평가 비교

    Tim Ferrill | CSO 보안 정보 및 이벤트 관리(Security information and event management, SIEM)은 네트워크 보안 전문가들을 위한 실용적인 툴이다. 이벤트 로그를 관리하고, 리뷰 및 감사하는 작업은...
    Date2019.01.13 CategoryIT KNOWLEDGE
    Read More
  16. SSL/TLS의 이해와 TLS 1.3으로 업그레이드해야 하는 이유

    Josh Fruhlinger | 웹 초창기부터, SSL(Secure Sockets Layer) 프로토콜과 그 후예인 TLS(Transport Layer Security)는 암호화와 보안을 제공해 인터넷 상거래를 가능하게 만들었다. SSL, TLS와 같은 프...
    Date2018.12.16 CategoryIT KNOWLEDGE
    Read More
  17. 2019년 리눅스에 기대해도 좋을 것

    Sandra Henry-Stocker | Network World 2019년은 리눅스의 해가 될지도 모른다. 리눅스가 드디어 유력 집단으로써 인정 받는 해가 될 수도 있다. 사물 인터넷(IoT), 클라우드 기술, 슈퍼컴퓨터, 인공 지...
    Date2018.12.07 CategoryIT KNOWLEDGE
    Read More
  18. "JDK란 무엇인가" 자바 개발 키트 소개와 설치하기

    Matthew Tyson | JavaWorld 자바 개발 키트(Java Development Kit, JDK)는 자바 애플리케이션을 구축하기 위한 핵심 플랫폼 구성요소다. 이 중심에는 자바 컴파일러(Compiler)가 있다. Credit: Nic Mc...
    Date2018.09.25 CategoryIT KNOWLEDGE
    Read More
  19. 리눅스 디렉토리 구조와 의미

    리눅스는 최상위 /(root)를 기본으로 하며 모든 디렉토리들이 /를 거치게 되는게 가장 큰 특징입니다. 디렉토리 설명 / 최상위에 위치하는 디렉토리이며 루트 디렉토리라고 부름. 일반적인 데...
    Date2018.08.06 CategoryIT KNOWLEDGE
    Read More
  20. 단방향 전송, 반이중전송, 전이중 전송, 허브, 스위치, 라우터, 토폴로지

    * 랜카드  - 근거리 통신망에 접속하기 위한 장비  - 최근에 메인보드에 통합 1. 반이중 방식(Half-Duplex)  - 양방향으로 데이터가 전송  - 동시에 전송 불가능  - 충돌을 피하기 위해 상대방의 데이...
    Date2018.06.22 CategoryIT KNOWLEDGE
    Read More
  21. 프록시 서버(Proxy Server)에 대해

    * Server에서 Proxy란? 출처: wikipedia.org Proxy Server 는 클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해 주는 컴퓨터 Server 와 Client 사이에서 중계기로...
    Date2018.05.06 CategoryIT KNOWLEDGE
    Read More
  22. DNS의 작동원리와 이를 공격하는 방법

    Keith Shaw | Network World 도메인 이름 시스템(Domain Name System, DNS)은 인터넷 기반 가운데 하나지만 네트워킹 종사자를 제외한 대부분의 사람은 매일 일을 하고 이메일을 확인하고 스마트폰으로 ...
    Date2018.04.15 CategoryIT KNOWLEDGE
    Read More
  23. MPLS의 이해 (Multi-Protocol Label Switch)

    Neal Weinberg, Johna Till Johnson | Network World MPLS(Multi-Protocol Label Switching)의 핵심은 서비스가 아니라 기술이며, IP VPN부터 메트로 이더넷에 이르기까지 온갖 기능을 제공할 수 있다. ...
    Date2018.03.21 CategoryIT KNOWLEDGE
    Read More
  24. SD 브랜치와 보안, 스토리지, IoT의 관계

    Ciaran Roche | Network World SD-WAN의 자연스러운 계승자로 SD 브랜치(SD-Branch)가 회자되기 시작했다. 중앙집중화된 오케스트레이션 모델은 많은 대기업들에게 매력적일 수밖에 없다. 하지만 SD-WAN...
    Date2018.03.04 CategoryIT KNOWLEDGE
    Read More
  25. 취약점 표준코드 CVE의 개념과 목적

    Taylor Armerding | CSO CVE는 '정보 보안 취약점 표준 코드(Common Vulnerabilities and Exposures)'의 약자이다. 1999년, 미국 연방 정부의 후원을 받는 비영리 연구 개발 기관인 MITRE가 소프트웨어...
    Date2018.02.03 CategoryIT KNOWLEDGE
    Read More
  26. SYN Flooding,Teardrop,세션 하이젝킹,패킷 필터링 등

    1. SYN Flooding 공격에 대한 조치 방법  - 클라이언트가 서버에게 요구한 SYN 개수보다 큰 Connect Queue Size를 증대시킨다.  - Backlog Queue 사이즈를 늘려준다.  - 중간 게이트웨이에서 SYN 패킷이 ...
    Date2018.01.20 CategoryIT KNOWLEDGE
    Read More
  27. SSL, HTTPS, 개인키, 공개키, 암호화에 대해

    *SSL, 인증서란? SSL(Secure Socket Layer) 프로토콜은 처음에 Netscape사에서 웹서버와 브라우저 사이의 보안을 위해 만들었다. SSL은 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이...
    Date2017.12.30 CategoryIT KNOWLEDGE
    Read More
  28. 리플(XRP, Ripple)이란?

    [요약] 발행될 수 있는 코인 양이 1000억 개로 한정돼 있으며 채굴 방식을 사용하지 않는 가상화폐 외국어 표기 XRP, Ripple(영어) 본래 2004년 리플페이...
    Date2017.12.30 CategoryIT KNOWLEDGE
    Read More
Board Pagination Prev 1 2 3 4 5 6 7 Next
/ 7