본문 바로가기

보안담당자 일대기/정보보안 실무3

[정보보호솔루션] WAF를 활용한 사내 시스템 외부 접속 허용 한동안 블로그 글을 작성하지 않다가 문득 써야겠다 생각이 들어서 소재를 찾던 중... 최근에 고객사 보안 이슈 때문에 WAF 작업을 한 적이 있다. 아직까지 해결 못한 이슈지만, 업무를 수행하면서 배웠던 것, 느꼈던 것들을 적어보려고 한다. 이슈 내용은 고객사에서 우리 회사 모든 프로그램을 다 빼라고 한다... 그 프로그램 중에 S/W VPN도 포함되어 있다... 그러면 우리 회사 직원은 어떻게 업무를 보란말인가? (우리 회사 직원이 고객사 근무지에 파견 나가 근무하는 형태이다. 고객사는 대기업 S사... 보안이 무쟈게 철저하다.) 그렇기에 어쩔 수 없이 우리 내부 시스템(그룹웨어, 타 업무 시스템 등)을 외부에 오픈해 줘야 하는 상황... 외부에 오픈하게 되면 누구나 우리 시스템을 이용할 수 있게 되므.. 2024. 4. 11.

인프라(서버,DB,WEB/WAS) 최신 버전 및 EoS 날짜 쉽게 확인하는 방법 요새도 ISMS 심사 준비를 하느라 굉장히 바쁘다... 사실 매일 야근해야 되는 상황인데, 일을 조금씩 미루면서 내일의 나, 다음주의 나에게 의지하고 있다.🤭 ISMS 컨설팅을 받으면서 인프라쪽 취약점으로 우리 회사에서 사용하고 있는 모든 플랫폼의 버전 이슈때문에 결함으로 받았는데, 이번에 IT쪽에 공유하여 짚고 넘어갈 예정이다. 그래서... 서버, DBMS, WEB, WAS 등 모든 인프라에 대해 현황을 모두 파악하고 EOS된 날짜, 권고 버전 등 관련된 정보를 싹 다 조사할 일이 생겼었다. 취약점이 몇 백개라 안 그래도 볼 게 많은데, 이것까지 조사해야하다니 처음에는 막막했다. 각 인프라마다 일일히 검색하고, 공식 문서도 뒤져보고(영어로 돼있어서 읽는데 오래 걸린다😑)... 그렇게 헤매던 도중 구글링.. 2023. 6. 21.

TOTP의 개념과 활용 방안(java) 최근 회사에 불미스러운 사건이 하나 터졌다. A(부서원)가 B(부서장)의 그룹웨어 계정으로 로그인하여 자신의 성과정보를 확인하고 개인적인 이득을 취한 것이다. 실제 부서장-부서원 관계는 아니지만, 회사 사정을 고려해 설명하자면 그렇다. 이는 곧 경영진의 귀에 들어가게 되고, 당연히 경영진 입장은 본인의 계정은 본인만 접속할 수 있어야 하는 거 아니냐... 라는 말이 나왔다. 당연히 우리팀의 업무로 이어졌고, 이에 대한 해결방안으로 회사 내 접근할 수 있는 모든 시스템에 OTP를 적용하자는 방안이 나왔다. 개발자들에게 제공될 샘플코드와 설명을 위해 이번 기회를 계기로 OTP 개념을 확실하게 짚고 넘어가려고 한다. 이슈 사항: TOTP 개념을 이해하고 이를 바탕으로 개발자들에게 샘플코드를 설명 OTP의 개념.. 2023. 6. 3.

이전 1 다음

티스토리툴바