System Security Vulnerability
  • 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드
    • Unix 시스템 취약점 진단 분석 평가 방법
    • Windows 시스템 취약점 진단 분석 평가 방법
    • IPS/IDS/VPN/Anti-DDoS/WEB-FW 취약점 진단 분석 평가 방법
    • 네트워크장비 취약점 진단 분석 평가 방법
    • 제어시스템 취약점 진단 분석 평가 방법
    • PC 취약점 진단 분석 평가 방법
    • DBMS 취약점 진단 분석 평가 방법
    • WEB(웹) 취약점 진단 분석 평가 방법
    • 이동통신(Telecommunication) 시스템 취약점 진단 분석 평가 방법
    • 클라우드(Cloud) 시스템 취약점 진단 분석 평가 방법
    • 주요정보통신기반시설 취약점 분석·평가 기준
    • [요약본] SW 공급망 보안 가이드라인
    • [KISA] 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법 상세가이드 (Download)
    • [KISA] 중소기업 네트워크 장비 보안점검 안내서.pdf (Download)
    • NAS 보안 가이드
    • AI-NAS 오류코드 분석기
  • [KISA] 내PC돌보미 - PC 보안 가이드 [취약점 관리(Windows/Mac)]
    • [KISA] 내PC돌보미 다운로드[취약점 관리 툴(Windows)]
    • [KISA] PC 보안 조치 안내서-가이드_v2[취약점 관리(Windows)]
    • [KISA] 내PC돌보미 - PC 보안 가이드 [취약점 관리(Windows)]
    • [KISA] 내PC돌보미 - PC 보안 가이드 [취약점 관리(Mac)]
    • [KISA] 인터넷 브라우저를 더 안전하게!
  • [KISA] 내PC돌보미 - Mobile 보안 가이드 [취약점 관리]
    • [KISA] 모바일 보안 조치 안내서-가이드_v2[취약점 관리(Android)
    • [KISA] 모바일 보안 안내서 다운로드
  • 클라우드 취약점 점검 가이드
    • Linux 시스템 취약점 점검 가이드
    • Windows 시스템 취약점 점검 가이드
    • Windows PC 시스템 취약점 점검 가이드
    • [DB] Cubrid 시스템 취약점 점검 가이드
    • [DB] MongoDB 시스템 취약점 점검 가이드
    • [DB] MS-SQL 시스템 취약점 점검 가이드
    • [DB] MY-SQL 시스템 취약점 점검 가이드
    • [DB] Postgres-SQL 시스템 취약점 점검 가이드
    • [DB] Redis 시스템 취약점 점검 가이드
    • Tomcat 시스템 취약점 점검 가이드
    • Apache 시스템 취약점 점검 가이드
    • IIS 시스템 취약점 점검 가이드
    • NginX 시스템 취약점 점검 가이드
    • Docker 시스템 취약점 점검 가이드
    • OpenStack 시스템 취약점 점검 가이드
    • Hadoop 시스템 취약점 점검 가이드
    • Elasticsearch 시스템 취약점 점검 가이드
    • 네트워크장비(Network) 시스템 취약점 점검 가이드
    • 정보보호시스템(Information Security System) 시스템 취약점 점검 가이드
    • [KISA] 클라우드 취약점 점검 가이드 (Download)
  • SK쉴더스 보안 가이드
    • [SK쉴더스] 클라우드 보안 가이드
      • [SK쉴더스] [보안 가이드] 2023 클라우드 보안 가이드 - AWS
      • [SK쉴더스][보안 가이드] 2023 클라우드 보안 가이드 - Azure
      • [SK쉴더스][보안 가이드] 2023 클라우드 보안 가이드 - GCP
  • [KISA] 제로트러스트가이드라인
    • 제로트러스트가이드라인(요약서)
  • [KISA] 사이버 보안 취약점 정보 포털
    • [KISA] 사이버 보안 취약점 정보 포털(Security BugBounty)
  • 시큐어코딩 가이드
    • [과학기술정보통신부/한국인터넷진흥원][보안 가이드] Python 시큐어코딩 가이드
    • [과학기술정보통신부/한국인터넷진흥원][보안 가이드] JavaScript 시큐어코딩 가이드
  • OWASP Top 10
    • OWASP Top 10 Vulnerabilities 2023
    • OWASP Top 10 API security risks 2023
  • 보안 가이드
    • [KISA] 보이스피싱 대응 방법
    • [KISA] Secure by design guide Korea Final.pdf
    • 카카오엔터테인먼트 불법유통대응 3차백서
    • [KISA] 정보보호_최고책임자_지정신고제도_운영(겸직금지)_가이드라인.pdf
    • [ETRI] [지식공유플랫폼] OSS 활용 고려사항과 검증 방법
    • [ETRI] [논문] 패스트 데이터 기반 실시간 비정상 행위 탐지 시스템
    • [ETRI] [논문] 5G NAS COUNT 취약점을 이용한 보안 위협분석
    • [KISA] 중소기업 서비스 개발·운영 환경 주요 보안 취약 사례별 대응방안
    • [KISA] 2024 사이버 보안 위협 분석과 전망
    • [KISA] 랜섬웨어 대응 가이드라인('23년 개정본)
    • [이글루코퍼레이션/코스닥협회] Beginner를 위한 램섬웨어 예방 및 대응 가이드
    • [KISA] DDoS공격 대응 가이드
    • [금융보안원] 금융회사 재택근무 보안 안내서
    • [개인정보보호위원회][한국인터넷진흥원] 개인정보의 암호화 조치 안내서
    • [과학기술정보통신부][한국인터넷진흥원] 정보보호 공시 가이드라인
    • [행정안전부·한국인터넷진흥원] 모바일 대민서비스 보안취약 점 점검 가이드
    • [개인정보보호위원회] 가명정보 처리 가이드라인(2022.4.)
  • KISA Academy [KISA 사이버보안인재센터] 교육 정보
    • [KISA IoT 보안테스트베드] 시큐어코딩
    • [과학기술정보통신부] 온라인 일방향 침해사고 대응 훈련(중급, 스피어 피싱 대응 - 기본과정)
    • [고용노동부] K-Shield 모의해킹 훈련
    • [고용노동부] K-Shield 1차 교육훈련(화요일반/악성코드 분석 심화과정 연계)
    • [고용노동부] K-Shield 1차 교육훈련(수요일반/디지털포렌식 심화과정 연계)
    • [고용노동부] K-Shield 1차 교육훈련(목요일반/모의해킹 심화과정 연계)
  • Best-Practices
    • 조직 및 운영 보안(OPS)
    • 시스템 보안 권장사항(SYSTEM)
    • 앱 보안 권장사항(APP)
    • 네트워크 보안 권장사항(NETWORK)
    • 하드웨어 보안 권장사항(HARDWARE)
    • 개인정보 보호/보안 권장사항(PRIVAY)
  • 기타자료
    • [NCSC] 챗GPT 등 생성형 AI 활용 보안 가이드라인
    • [KISA Insight 2023 Vol.03] ChatGPT(챗GPT) 보안 위협과 시사점
    • [금융감독원/DAXA] 가상자산 연계 투자사기 사례 7선
    • [KISA] DNS 신규취약점 조치 권고.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 일반 분야.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 생성 AI 기반 서비스 분야.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 스마트 치안 분야.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 채용 분야.pdf
    • [NoMoreRANSOM] 랜섬웨어 복구 프로그램 및 지원 사이트
    • [KISA] 랜섬웨어 복구도구 모음
    • Bitdefender Releases Decryptor for MortalKombat Ransomware [복구툴]
    • 베라크립트(VeraCrypt) 을 이용하여 암호화된 가상 디스크 만들기
    • [KISA] 공동주택 홈네트워크 시스템 보안관리 안내서
    • [PioLink] PIO-IR_Report_지금도 놓치고 있는 웹 취약점#1
    • [PioLink] PIO-IR_Report_지금도 놓치고 있는 웹 취약점#2
  • Naver Cloud Infomation
    • [nCloud] Ubuntu 20.04 불필요한 계정 삭제 방법
  • Blue Screen Error Code
    • Windows Blue Screen Error Code
    • CPU usage exceeds 100% in Task Manager and Performance Monitor if Intel Turbo Boost is active
    • Windows Task Manager shows incorrect CPU speed when Hyper-V is enabled
  • Privacy_Data-Files
    • [개인정보보호위원회] 지침‧가이드라인
      • 2022.12 보건의료데이터 활용 가이드라인
      • 2022 개인정보 주요 이슈 법령해석 사례 30선
      • 2022 개인정보 보호법 표준 해석례
      • 가명정보 활용 우수사례집
      • 보건의료데이터 활용 가이드라인 (2022.12.)
      • 2022 개인정보 보호법 표준 해석례_공공분야 중심
      • 개인정보의_기술적_관리적_보호조치_기준(제2021-3호)_해설서(2022.10.)
      • 보건의료 데이터 활용 가이드라인('21.1월)
      • 개인정보의_기술적_관리적_보호조치_기준(제2021-3호)_해설서(2022.8.)
      • 아동청소년 개인정보 보호 가이드라인(최종)
      • 가명정보 처리 가이드라인(2022.04.29.)
      • 알기쉬운 개인정보 처리 동의 안내서(2022.3.)(수정)
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 일반형
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 의료
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 학원
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 여행
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 공공기관
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 주요 개인정보 처리 표시(라벨링) 설명
    • [개인정보보호포탈] 개인정보보호 세미나 발표자료
      • [2022년도 이전] 개인정보보호 세미나 발표자료
        • 2022년 가명정보 활용지원사업 온라인 설명회 발표자료(2/2)
        • 2022년 가명정보 활용지원사업 온라인 설명회 발표자료(1/2)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(4/4)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(3/4)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(2/4)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(1/4)
        • 개인정보 보호·활용 기술 R&D 발전방향 공개토론회 자료집
        • 2021년 공공분야 가명정보 제공 실무안내 온라인 설명회(6.18) 질의응답집 및 발표자료(3/3)
        • 2021년 공공분야 가명정보 제공 실무안내 온라인 설명회(6.18) 질의응답집 및 발표자료(2/3)
        • 2021년 공공분야 가명정보 제공 실무안내 온라인 설명회(6.18) 질의응답집 및 발표자료(1/3)
        • 신뢰 기반 디지털 사회 구현을 위한 「개인정보 보호법」 개정안 발표자료(2021.2.)
        • 가명정보 활용 세미나 발표자료(4/4)
        • 가명정보 활용 세미나 발표자료(3/4)
        • 가명정보 활용 세미나 발표자료(2/4)
        • 가명정보 활용 세미나 발표자료(1/4)
    • [개인정보보호 포털] 개인정보보호 수준별 교육자료
      • [2022년도 이전] 개인정보보호 수준별 교육자료
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(3/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(2/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(1/3)
        • (22년) 개인정보보호 수준별 교육_ 신기술분야 보호조치 과정(2/2)
        • (22년) 개인정보보호 수준별 교육_ 신기술분야 보호조치 과정(1/2)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(3/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(2/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(1/3)
        • (21년) 신기술(AI)과 개인정보보호 특화교육(2/2)
        • (21년) 신기술(AI)과 개인정보보호 특화교육(1/2)
        • (21년) 중소영세사업자 과정 개인정보보호 교육 교재(2/2)
        • (21년) 중소영세사업자 과정 개인정보보호 교육 교재(1/2)
        • (21년) 개인정보보호 교육 교재(영문)
        • (21년) 중급과정 개인정보보호 교육 교재(3/3)
        • (21년) 중급과정 개인정보보호 교육 교재(2/3)
        • (21년) 중급과정 개인정보보호 교육 교재(1/3)
        • (21년) 초급과정 개인정보보호 교육 교재(3/3)
        • (21년) 초급과정 개인정보보호 교육 교재(2/3)
        • (21년) 초급과정 개인정보보호 교육 교재(1/3)
        • (21년) 세대별 개인정보 보호 실천수칙 카드뉴스(3/3)
        • (21년) 세대별 개인정보 보호 실천수칙 카드뉴스(2/3)
        • (21년) 세대별 개인정보 보호 실천수칙 카드뉴스(1/3)
        • (21년) 고급과정(1차, CPO) 개인정보보호 교육 교재(2/2)
        • (21년) 고급과정(1차, CPO) 개인정보보호 교육 교재(1/2)
        • 2020년 제 10차 사업자 대상 개인정보보호 교육 교재(2/2)
        • 2020년 제 10차 사업자 대상 개인정보보호 교육 교재(1/2)
        • 2020년 제9차 사업자 대상 개인정보보호 교육 교재(2/2)
        • 2020년 제9차 사업자 대상 개인정보보호 교육 교재(1/2)
        • 2020년 개인정보 보호 순회교육(소상공인 대상)
  • Security WebToons/Movies
    • [NCSC] WebToons/Movies
      • 자료공개 협박메일과 가상화폐 요구
      • 비대면 시대의 해커
      • 해외 랜섬웨어 사례로 보는 사이버안보의 중요성
      • 공급망 공격
      • 최근 랜섬웨어 트렌드
      • 청소년을 위한 사이버보안 드라마
      • 국정원 보안정책 이해하기
      • 신입이 알려주는 보편적인 해킹 유형 3가지!
      • 간단하게 정보를 보호하는 방법
      • 파일 다운로드도 신중하게!
      • 국가 사이버위협 정보공유의 이해
      • 클라우드 보안의 이해
      • 사이버 환경의 위협요인과 우리가 해야할 일
      • 비대면 시대 사이버보안
      • 꼼짝마라, 사이버 해커들!
      • 꼭꼭 숨어도! 도망가도! 다 찾는다!
      • 악성코드 넌 우리 손바닥 안이야!
      • 피해를 최소화하는 방법!
      • 사이버 안보는 내가 지킨다
      • 사이버안보백서 -워터링홀 편
      • 사이버안보백서 -악성파일편
      • 사이버안보백서 - 정보보안 생활수칙 편
      • 사이버안보백서 -우리 생활 속 해커 편
      • 사이버안보백서 -정보보안 생활수칙 정보보안담당자 편
      • 점점 지능화 되어가고 있는 SNS상 정보 절취
      • 아무도 모르게 침입하는 악성코드
      • 우리를 교묘히 속이는 피싱메일
      • 사이버안보 홍보영상/지켜보면 지켜집니다
  • 신고센터 정보
    • 신고센터
      • 한국인터넷진흥원 개인정보침해 신고센터
      • 경찰청 사이버안전국
      • 한국소비자원
      • 한국공정거래조정원
      • 금융감독원
      • 대한법률구조공단
  • KISA National Cybersecurity White Paper(국가정보보호백서)
    • 2023 국가정보보호백서(KOR)
    • 2022 국가정보보호백서(KOR)
    • 2022 국가정보보호백서(ENG)
    • 2021 국가정보보호백서(KOR)
    • 2021 국가정보보호백서(ENG)
    • 2020 국가정보보호백서(KOR)
  • 취업/채용/공고 정보 사이트
    • [NHN Recruitings] NHN 채용/취업/공고 사이트
    • [Naver Cloud Recruitings] nCloud 채용/취업/공고 사이트
    • [KISIA :: 한국정보보호산업협회] 정보보호 전문강사 모집
  • Killing-Time
    • [클래스101] 23년 무료 취미테스트
    • 해커스잡 NCS&인적성 무료레벨테스트
    • 해커스토플 무료레벨테스트
    • 해커스중국어 무료레벨테스트
    • 탑툰-선생님의 노력[19금]
    • 탑툰-보스의 딸[19금]
    • 탑툰-마니또[19금]
    • 무툰 도시정벌9부
    • 무툰 열혈강호
    • 탑툰 취화점
    • 무툰 요구르트 아줌마[19금]
    • 탑툰-엄마야 누나야[19금]
    • 탑툰-치킨클럽[19금]
    • 탑툰-나의 일러레님[19금]
    • 탑툰-내 맘대로 장모님[19금]
    • 탑툰-뺏는 남자[19금]
    • 무툰 그 남자의 공부법[19금]
    • 무툰 모비딕[19금]
    • 무툰 건물주 누나[19금]
    • 탑툰-여동생이랑 비밀 레슨[19금]
    • 무툰 치한중독[19금]
    • 무툰 구멍가게 구멍열었습니다[19금]
  • TIPS
    • 소상공인지식배움터(Feat. 교보문고 무료 대여 )
    • 노트북 AS 기간 확인 하기
      • HP Check Warranty
      • MAC Check Warranty
      • ASUS Check Warranty
      • Lenovo Check Warranty
      • Dell Check Warranty
    • AI Support Tools
    • AI ChatGPT Prompt Study
  • Hacking IP 공유
    • 해킹 IP 주소 공유
      • [ipconfig] MY IP Check
      • [NAVER] 내 공인 IP 확인
      • 1.X.X.X IP Address
        • hacking ip 1.9.78.242
        • hacking ip 1.15.172.243
      • 8.X.X.X IP Address
        • hacking ip 8.137.55.67
        • hacking ip 8.134.209.247
      • 14.X.X.X IP Address
        • hacking ip 14.51.236.218
      • 36.X.X.X IP Address
        • hacking ip 36.40.79.122
      • 37.X.X.X IP Address
        • hacking ip 36.40.79.122
      • 39.X.X.X IP Address
        • hacking ip 37.139.5.66
      • 43.X.X.X IP Address
        • hacking ip 43.129.219.189
        • hacking ip 43.131.248.141
        • hacking ip 43.153.22.76
        • hacking ip 43.153.22.117
        • hacking ip 43.153.22.141
        • hacking ip 43.153.22.165
        • hacking ip 43.153.22.166
        • hacking ip 43.153.22.198
        • hacking ip 43.153.22.206
        • hacking ip 43.163.228.134
      • 45.X.X.X IP Address
        • hacking ip 45.55.35.178
        • hacking ip 45.125.66.18
        • hacking ip 45.125.66.34
        • hacking ip 45.142.182.76
      • 49.X.X.X IP Address
        • hacking ip 49.235.105.204
      • 62.X.X.X IP Address
        • hacking ip 62.204.41.102
      • 65.X.X.X IP Address
        • hacking ip 65.108.128.54
      • 68.X.X.X IP Address
        • hacking ip 68.170.165.36
      • 79.X.X.X IP Address
        • hacking ip 79.124.60.194
      • 80.X.X.X IP Address
        • hacking ip 80.75.212.75
      • 87.X.X.X IP Address
        • hacking ip 87.236.176.236
      • 92.X.X.X IP Address
        • hacking ip 92.118.39.120
      • 103.X.X.X IP Address
        • hacking ip 103.75.189.252
      • 104.X.X.X IP Address
        • hacking ip 104.250.34.19
      • 106.X.X.X IP Address
        • hacking ip 106.75.22.189
      • 112.X.X.X IP Address
        • hacking ip 112.235.45.70
      • 114.X.X.X IP Address
        • hacking ip 114.155.199.35
      • 118.X.X.X IP Address
        • hacking ip 118.145.151.235
      • 124.X.X.X IP Address
        • hacking ip 124.156.211.115
      • 128.X.X.X IP Address
        • hacking ip 128.199.183.223
      • 130.X.X.X IP Address
        • hacking ip 130.0.177.161
      • 138.X.X.X IP Address
        • hacking ip 138.68.67.5
      • 139.X.X.X IP Address
        • hacking ip 139.59.15.81
        • hacking ip 139.198.127.41
      • 141.X.X.X IP Address
        • hacking ip 141.98.11.96
      • 154.X.X.X IP Address
        • hacking ip 154.82.84.7
      • 156.X.X.X IP Address
        • hacking ip 156.146.155.187
      • 157.X.X.X IP Address
        • hacking ip 157.245.69.32
      • 164.X.X.X IP Address
        • hacking ip 164.52.0.93
      • 167.X.X.X IP Address
        • hacking ip 167.94.145.60
      • 172.X.X.X IP Address
        • hacking ip 172.104.131.24
      • 175.X.X.X IP Address
        • hacking ip 175.178.194.190
      • 177.X.X.X IP Address
        • hacking ip 177.70.16.130
      • 179.X.X.X IP Address
        • hacking ip 179.43.190.218
      • 185.X.X.X IP Address
        • hacking ip 185.150.26.240
        • hacking ip 185.233.19.177
      • 192.X.X.X IP Address
        • hacking ip 192.241.212.33
      • 193.X.X.X IP Address
        • hacking ip 193.202.110.28
      • 194.X.X.X IP Address
        • hacking ip 194.48.251.17
        • hacking ip 194.163.179.245
      • 198.X.X.X IP Address
        • hacking ip 198.235.24.251
      • 206.X.X.X IP Address
        • hacking ip 206.168.34.52
        • hacking ip 206.168.34.172
      • 210.X.X.X IP Address
        • hacking ip 210.18.182.28
      • 211.X.X.X IP Address
        • hacking ip 211.57.143.147
      • 218.X.X.X IP Address
        • hacking ip 218.92.0.115
  • BOOKS
    • [CUPANG] 웹 보안 담당자를 위한 취약점 진단 스타트 가이드
    • [CUPANG] 해킹 패턴과 웹 취약점 진단
    • [CUPANG] 해킹 패턴과 시스템 취약점 진단
    • [CUPANG] 침투 테스트의 전 과정을 알려주는 모의 해킹 완벽 가이드
    • [CUPANG] Nmap NSE를 활용한 보안 취약점 진단:엔맵 스크립트 엔진으로 하는 네트워크와 웹서비스 보안 분석
    • [CUPANG] 초보해커를 위한 해킹 입문 세트 2/E
    • [CUPANG] 해킹 맛보기:화이트햇 해커를 꿈꾸는 이들을 위한 해킹 입문서
    • [CUPANG] 화이트 해커를 위한 암호와 해킹(White Hat Python)
    • [CUPANG] 칼리 리눅스로 파헤치는 도커 해킹:도커 환경 모의 해킹 가이드
  • Hobby
    • [Youtube] Succulent
      • [Youtube] 다육이 키우는 중. #1
      • [Youtube] 다육이 키우는 중. #2
      • [Youtube] 다육이 키우는 중. #3
      • [Youtube] 다육이 키우는 중. #4
      • [Youtube] 다육이 키우는 중. #5
      • [Youtube] 다육이 키우는 중. #6
      • [Youtube] 다육이 키우는 중. #7
      • [Youtube] 다육이 키우는 중. #8
      • [Youtube] 다육이 키우는 중. #9
      • [Youtube] 다육이 키우는 중. #10
      • [Youtube] 다육이 키우는 중. #11
  • Enjoy News
    • News
  • World_IP_addr
    • 2024 Year IP Addr List
    • 2023 Year IP Addr List
  • Startup Infomation
    • Startup 정보 공유
Powered by GitBook
On this page
  • 조직 및 운영 보안
  • 보안 및 개인정보보호팀 구축
  • 빌드 인증 프로세스
  • 소스 코드 변경 추적
  • 소스 코드 무결성 및 계보의 유효성 검사
  • 사고 대응

Was this helpful?

  1. Best-Practices

조직 및 운영 보안(OPS)

Andorid 사이트 참고

Last updated 2 years ago

Was this helpful?

조직 및 운영 보안

우수한 보안 관행의 기초는 조직 내에서 시작됩니다.

보안 및 개인정보보호팀 구축

전담 보안 및 개인정보보호팀을 구축하고 이 조직의 리더를 정하세요.

  • 보안팀 구축:

    • 최소 한 명의 직원이 보안, 개인 정보 보호 및 사고 대응을 담당하도록 합니다.

    • 이 팀의 임무와 업무 범위를 정의합니다.

    • 보안 관리자, 보안 엔지니어, 사고 관리자와 관련된 조직도 및 업무 설명을 수립합니다.

    • 직원 또는 외부 계약직을 고용하여 이러한 역할을 충원합니다.

  • SDL(보안 개발 수명 주기) 정의: SDL은 다음과 같은 영역을 포괄해야 합니다.

    • 제품 보안 요구사항

    • 위험 분석 및 위협 모델링

    • 애플리케이션 및 코드의

    • 제품의 최종 보안 검토 프로세스

    • 사고 대응

  • 조직 위험 평가: 위험 평가를 마련하고 이러한 위험을 제거하거나 완화하기 위한 계획을 수립합니다.

빌드 인증 프로세스

기존 내부 빌드 인증 및 승인 프로세스의 허점을 평가합니다.

  • 다음과 같은 영역에 제어 기능을 구현하여 빌드 무결성을 개선합니다.

    • 변경사항 추적: 소프트웨어 엔지니어를 추적하고 변경 로그를 유지합니다.

    • 위험 평가: 앱에서 사용하는 권한을 평가하고 코드 변경사항의 수동 검토를 요구합니다.

    • 모니터링: 권한 있는 코드에 대한 변경사항을 평가합니다.

소스 코드 변경 추적

소스 코드 또는 서드 파티 앱/바이너리/SDK에 대한 의도하지 않은 수정을 모니터링합니다.

  • 파트너십 평가: 다음 단계에 따라 기술 파트너와의 협업에 따른 위험을 평가합니다.

    • 특정 공급업체와의 협업에 따른 위험을 평가하는 방법에 관한 기준을 수립합니다.

    • 공급업체를 대상으로 사고를 어떻게 해결하고 보안 및 개인 정보 보호를 어떻게 관리할지 묻기 위한 양식을 작성합니다.

    • 주기적인 감사로 상대의 주장을 검증합니다.

  • 변경사항 추적: 어떤 회사와 직원이 소스 코드를 수정하고 주기적인 감사를 시행하는지 기록하여 적절한 변경사항만 적용되도록 합니다.

  • 기록 유지: 어떤 회사가 서드 파티 바이너리를 빌드에 추가하는지 기록하고, 이러한 앱이 어떤 기능을 수행하고 어떤 데이터를 수집하는지를 문서화합니다.

  • 계획 업데이트: 공급업체가 제품의 온전한 수명을 위한 소프트웨어 업데이트를 제공하도록 합니다. 예기치 못한 취약점을 해결해야 하는 경우 공급업체의 지원이 요구될 수 있습니다.

소스 코드 무결성 및 계보의 유효성 검사

ODM(원래의 기기 제조업체), OTA(무선 업데이트) 또는 이동통신사가 공급한 소스 코드를 확인하고 유효성을 검사합니다.

  • 인증서 서명 관리

    • HSM(하드웨어 보안 모듈) 또는 보안 클라우드 서비스에 키를 보관합니다 (공유하면 안 됨).

    • 인증서 서명에 대한 액세스가 관리 및 감사되는지 확인합니다.

    • 모든 코드 서명이 빌드 시스템에서 이루어지도록 합니다.

    • 분실한 키를 취소합니다.

    • 권장사항에 따라 키를 생성합니다.

  • 새 코드 분석 보안 코드 분석 도구로 새로 추가된 코드를 테스트하여 새로운 취약점이 유입되지 않았는지 확인합니다. 또한 전체 기능을 분석하여 새로운 취약점의 수식을 감지합니다.

  • 게시 전 검토 프로덕션에 게시하기 전에 소스 코드 및 서드 파티 앱에서 보안 취약점을 찾습니다. 예를 들면 다음과 같습니다.

    • 앱에서 보안 통신을 사용하도록 요구합니다.

    • 최소 권한의 원칙을 따르고 앱이 작동하기 위해 필요한 최소의 권한 모음을 부여합니다.

    • 데이터가 보안 채널을 통해 저장 및 전송되도록 합니다.

    • 서비스 종속 항목을 최신 상태로 유지합니다.

    • SDK 및 오픈소스 라이브러리에 보안 패치를 적용합니다.

사고 대응

Android는 강력한 보안 커뮤니티가 문제를 찾는 데 기여할 수 있다고 믿습니다. 따라서 외부 당사자가 기기 관련 보안 문제를 문의할 수 있도록 방법을 마련하여 게시해야 합니다.

  • 우수 보안 관행 장려: 기기와 관련된 서비스, 구성요소 및 코드를 제공하는 하드웨어 및 소프트웨어 공급업체의 보안 관행을 사전에 평가합니다. 공급업체에서 책임지고 우수한 보안 관행을 유지하도록 합니다.

빌드 내 발생으로 이어질 수 있는 현재의 빌드 인증 프로세스의 모든 문제점을 파악합니다.

사내 패치의 경우에도 코드 검토 및 승인 프로세스가 마련되어 있는지 확인합니다.

연락처 설정: security@your-company.com과 같은 이메일 주소나 제품과 관련된 잠재적인 보안 문제 신고 절차가 명확히 설명되어 있는 웹사이트를 만듭니다().

취약점 포인트 제도(VRP) 수립: 유효한 제출 내용에 대해서는 금전적 보상을 제공함으로써 외부 보안 연구자가 제품에 영향을 미치는 보안 취약점 보고서를 제출하도록 권장합니다(). 심각도가 매우 높은 취약점의 경우 $5,000, 심각도가 높은 취약점의 경우 $2,500와 같이 업계에서 경쟁력 있는 수준의 보상을 제공하는 것이 좋습니다.

업스트림 프로젝트 변경에 참여: 여러 기기 제조업체의 Android 플랫폼이나 기기에 영향을 미치는 보안 문제를 인지한 경우 를 제출하여 Android 보안팀에 문의합니다.

정적 및 동적 분석
PHA(잠재적으로 위험한 애플리케이션)
AOSP
예
예
보안 버그 신고
[NHN Cloud] 2022년 NHN Cloud 교육 정보 공유NHN Cloud
NHN Cloud 정보 사이트
Security Update ListSecurity Update List
보안 업데이트 정보 사이트
Logo
Logo