🏛 보안 체크리스트란?
보안 체크리스트는 시스템, 네트워크, 소프트웨어, 물리적 시설 등 보안을 유지하기 위한 항목들을 명시적으로 나열한 목록이나 문서입니다.
체크리스트는 보안 표준을 준수하기 위해 사용되는 중요한 도구로써, 필수 항목을 목록화 하여 준수 여부를 손쉽게 확인할 수 있도록 도우며, 보안 조치를 효율적으로 관리할 수 있도록 해줍니다. 또한, 일정 수준 이상의 보안을 유지할 수 있도록 함으로써 부족한 보안 인력으로 효율적으로 관리할 수 있고 법규 준수 여부를 손쉽게 체크할 수 있습니다.
하지만, 체크리스트는 고정성과 유연성의 한계로 인해 새로운 위협이나 상황에 맞추기 어려우며, 실제 보안위협에 대한 감각을 상실함으로써 새로운 위험을 간과할 수 있습니다.
빠르게 성장하고 변화하는 IT 환경에서 체크리스트만을 믿고 보안 수준이 완벽하다고 믿는것은 너무나 위험한 발상입니다.
보안 체크리스트와 버그바운티
보안 체크리스트와 버그바운티는 보안을 강화하고 시스템의 취약점을 식별하기 위한 같은 목표를 가지고 있습니다.
체크리스트는 '기준선 접근법'(baseline approach)라는 위험 관리 방법론에서 출발하여 보안 수준이 많이 떨어지는 기업이 최소한의 보안 수준을 갖추도록 지원하는 것에 의미가 있으나, 투자여력이 있는 기업조차 자체적으로 보안 위험을 관리하고 수준을 높이기 위한 동기가 떨어지며 그에 따라 기업의 보안 현황을 분석하고 위험관리를 통해 더 좋은 대책을 연구할 동기가 떨어지는 문제가 있습니다.
이에 보안 체크리스트와 상호 보완적인 관계인 버그바운티를 도입하는 것이 좋습니다.
버그바운티는 공격자의 관점에서 조직의 시스템이나 소프트웨어에서 발견된 취약점에 대해 보상을 하는 정책으로, 최신의 공격기법과 위협에 대해 즉각적이며 빠르게 대응할 수 있도록 돕습니다. 이는 외부의 시선으로 취약점을 찾고 개선하기 위한 방법으로 취약점 발견에 대한 동기부여를 제공하고 시스템을 더 안전하게 만들 수 있습니다.
보안 체크리스트를 통해 내부적으로 일관성있는 보안관리를 하며 버그바운티로 외부 전문가들이 찾은 취약점을 빠르게 식별하여 보완함으로써 시스템의 보안을 더욱 안전하게 향상시킬 수 있습니다.
지금까지 체크리스트만으로 보안 관리를 하고 있으시다면, 파인더갭에서 버그바운티에 대한 서비스를 제공하고 있으니 관심있는 분은 contact@findthegap.co.kr 로 연락주시면 상세하게 안내드릴 수 있도록 하겠습니다.
🔏 국내 정보보안/개인정보 관련 입법 동향
국내 정보보안/개인정보 관련 법령은 “개인정보 보호법”, “정보통신망법”, 위치정보 보호 이용에 관한 법률”, “신용 정보 이용 및 보호에 관한 법률”, 통신비밀 보호법”, “전자금융 보호법”, 전자 상거래 등에서의 소비자 보호에 관한 법률” 등 너무나 다양합니다.
산업 환경이 변화하여, 법률이 주기적으로 개정됨에 따라 정보보안 법률 동향 파악이 필요하고, 이는 컴플라이언스 인증 등에서도 요구하고 있습니다.
손쉬운 동향 파악을 돕기 위해 파인더갭이 매달 관련 정보를 정리하여 공유드립니다.
▶ <공포된 법령>
23년 11월 공포된 법령은 없습니다.
▶ <국회 제출 법률안>
• 「정보통신기반 보호법」 일부개정법률안(전봉민의원 대표발의, 2023. 11. 22. 제안) • 「드론 활용의 촉진 및 기반조성에 관한 법률」 일부개정법률안(정청래의원 대표발의, 2023. 11. 14. 제안) • 「지능형 로봇 개발 및 보급 촉진법」 일부개정법률안(정청래의원 대표발의, 2023. 11. 14. 제안) • 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률안(박성중의원 대표발의, 2023. 11. 15. 제안) • 「전기통신사업법」 일부개정법률안(홍석준의원 대표발의 , 2023. 11. 3. 제안) • 「전기통신사업법」 일부개정법률안(정부 발의, 2023. 11.16. 제안) • 「온라인 플랫폼 규제에 관한 법률」 제정법률안(박주민의원 대표발의, 2023. 11. 16. 제안)
🚨보안 업데이트 안내
각 벤더사가 자사제품에 대한 보안업데이트를 아래와 같이 발표 했습니다.
해당 제품을 보유하고 있는 기업에서는 최신 업데이트를 적용하시는 것이 필요해보입니다 😊
😁 보안업데이트 권고
| 순번 | 제목 | 조회수 | 작성일 |
|---|---|---|---|
| 2157 | 휴네시온 제품 보안 업데이트 권고 | 266 | 2023-12-28 |
| 2156 | Barracuda 제품 보안 업데이트 권고 | 172 | 2023-12-28 |
| 2155 | 美 CISA 발표 주요 Exploit 정보공유(Update. 2023-12-21) | 659 | 2023-12-22 |
| 2154 | 구글 Chrome 브라우저 보안 업데이트 권고 | 842 | 2023-12-21 |
| 2153 | 비아이매트릭스 제품 보안 조치 권고 | 974 | 2023-12-19 |
| 2152 | QNAP 제품 보안 업데이트 권고 | 974 | 2023-12-19 |
| 2151 | MS 12월 보안 위협에 따른 정기 보안 업데이트 권고 | 1,622 | 2023-12-13 |
| 2150 | Apache 제품 보안 업데이트 권고 | 1,693 | 2023-12-13 |
| 2149 | 예티소프트 VestCert 제품 보안 업데이트 권고 | 569 | 2023-12-13 |
| 2148 | 美 CISA 발표 주요 Exploit 정보공유(Update. 2023-12-11) | 462 | 2023-12-12 |
🔗 출처 : KISA 인터넷 보호나라& Krcert
