작성자 - 보안왕 김보안 지난달에 IT 인프라 보안에 대해 설명하며, 인프라 취약점 진단에 대해 포스팅하였습니다.지난달 포스팅에서 잠깐 언급되었던 위험평가에 대해 설명하고 스스로 정리해보려합니다.들어가며IT 인프라의 보안을 유지하기 위해 취약점 진단을 수행합니다.컨설턴트가 되어 진단 업무를 수행하다 보면 진단과 이행점검에 너무 치중한 나머지 위험평가의 중요성을 잊게되곤 합니다.조직에서 보안을 유지하고 발전시키기 위해선 조직이 직면한 보안 위험(Risk)를 체계적으로 분석하는 과정이 필수적입니다.위험 평가는 조직의 자산이 직면한 위협과 취약점을 평가하고, 그에 따른 영향을 분석하여 적절한 대응 전략을 수립하는 과정입니다.보안 사고가 발생하면 조직의 금전적 손실뿐 아니라 조직의 평판에 영향을 미치며, 법적 ..

작성자 - 보안왕 김보안들어가며지난 1년간 인프라 취약점 진단 업무를 맡으며 경험으로 얻은 이론적, 실무적 지식을 글로 정리해보려 합니다.아래에서 설명할 내용들은 주관적인 경험과 이해가 많이 포함된 관계로 틀린 내용이 있을 수 있습니다.지적은 언제나 환영입니다. What is IT Infra?인프라 - Infrastruture조직에서 IT 환경을 운영하고 관리하는 데 필요한 구성 요소를 일컫습니다.하드웨어, 소프트웨어, 네트워크 구성 등이 해당합니다.따라서 인프라 보안은 위에서 설명한 IT 구성 요소들의 보안을 뜻합니다. 인프라 취약점 진단컨설팅 관점에서 인프라 보안은 서버, 네트워크, DBMS, 보안장비의 구성이 얼마나 안전하게 구성되었는가 를 판단하는 과정입니다. 이 과정을 일반적으로 인프라 취약점 ..