Compliance10 728x90 OWASP Cheat Sheet 기반 웹 보안 실무자를 위한 보안 점검 자동화 OWASP Cheat Sheet Series(OCSS)는 웹 애플리케이션 보안 분야의 실무 지침서로, 개발자와 보안 전문가들이 현장에서 바로 적용할 수 있는 핵심 보안 모범 사례를 제공하는 문서 모음입니다."The OWASP Cheat Sheet Series was created to provide a concise collection of high value information on specific application security topics." — OWASP 공식 소개이 시리즈는 복잡한 보안 이론보다는 실제 코드 예제와 구체적인 설정 방법을 중심으로 구성되어 있어, 보안 지식이 부족한 개발자도 쉽게 따라할 수 있도록 설계되었습니다.🏗️ OWASP와 Cheat Sheet Series의 배경OW.. 2025. 7. 2. 컨테이너 보안 DevSecOps 운영 전략: Wazuh, Trivy, MITRE ATT&CK 현대의 소프트웨어 개발 환경에서 보안은 더 이상 선택사항이 아닌 필수 요소가 되었습니다. 특히 컨테이너화된 애플리케이션과 CI/CD 파이프라인의 확산으로 인해 보안 위협의 양상이 복잡해지면서, 개발 초기 단계부터 보안을 통합하는 DevSecOps 접근법이 중요해지고 있습니다. 오픈소스 보안 플랫폼인 Wazuh를 중심으로 DevSecOps 환경에서의 컨테이너 보안 강화 방안입니다.DevSecOps의 이해와 현대적 접근1. DevSecOps란 무엇인가?DevSecOps는 Development(개발), Security(보안), Operations(운영)의 합성어로, 소프트웨어 개발 수명주기(SDLC) 전반에 걸쳐 보안을 통합하는 문화적, 기술적 접근법입니다. 기존의 보안이 개발 완료 후 검증 단계에서 적용되던.. 2025. 6. 3. 내부자 위협 대응을 위한 이상행위 티켓 및 소명 절차 자동화 관리 시스템 소명관리시스템(Explanation Management System)은 조직 내에서 발생하는 개인정보 보호 위반, 보안 정책 위반, 이상행위 등의 의심 사건에 대해 관련자가 합리적인 사유와 근거를 제시하고, 이를 체계적으로 검토·승인·관리하는 통합 플랫폼입니다.도입 배경규제 강화: 개인정보보호법, GDPR 등 개인정보 보호 규제 강화내부 위협 증가: 내부자에 의한 정보 유출 및 보안 사고 증가업무 효율성: 수동적 소명 처리 방식의 한계 극복투명성 확보: 공정하고 투명한 조사 및 처리 절차 필요시스템 아키텍처[보안솔루션/업무시스템] → [SIEM/통합로그관리] → [소명관리시스템] → [승인자/관리자] ↓[이상행위 탐지] → [티켓 생성] → [소명 요청] → [소명 .. 2025. 5. 31. 조직 보안 태세 강화를 위한 CVE·CCE·CWE 프레임워크 통합 체계적인 전략 정보 보안 관리에 있어서 CVE(Common Vulnerabilities and Exposures), CCE(Common Configuration Enumeration), CWE(Common Weakness Enumeration)는 각기 다른 측면에서 조직의 보안 태세를 강화하는 상호보완적인 프레임워크입니다.취약점의 정의와 주요 개념취약점(Vulnerability) 이란 정보 시스템이나 소프트웨어 상에 존재하는 보안상의 약점으로, 해킹, 서비스 장애, 데이터 유출·변조·삭제 등을 가능하게 하는 보안상의 결함입니다.CVE (Common Vulnerabilities and Exposures)정의: 공개된 소프트웨어/하드웨어의 알려진 보안 결함을 식별하고 표준화하는 체계특성: 사후 대응적 성격으로, 발견된 취.. 2025. 5. 23. 멀티클라우드 환경의 CIEM·IAM 기반 아이덴티티 및 접근 권한 보안 가이드 클라우드 환경에서 아이덴티티 보안과 권한 관리는 점점 더 중요한 보안 이슈로 대두되고 있습니다. 이를 해결하기 위한 전략으로 일반적인 클라우드 아이덴티티 보안 베스트 프랙티스로 일반 보안 원칙과 내부 보안 지침 관점 종합 개요입니다.🔐 클라우드 아이덴티티 보안1. 아이덴티티 및 권한 가시성 확보배경: 멀티클라우드 환경에서는 수많은 사용자, 서비스 계정, 역할이 생기고 사라지며, 권한이 어디서 어떻게 설정되었는지 추적이 어려움.보안 가이드라인IAM, 정책, ACL, 역할 등의 권한 구성요소를 주기적으로 시각화 및 분석.서비스 계정, 머신 계정 등도 포함한 전체 아이덴티티 인벤토리 확보.CIEM(Cloud Infrastructure Entitlement Management) 도입 검토.2. 최소 권한 원칙.. 2025. 4. 18. 이전 1 2 다음 728x90 728x90
