작성자 - 보안왕 김보안 지난달에 IT 인프라 보안에 대해 설명하며, 인프라 취약점 진단에 대해 포스팅하였습니다.지난달 포스팅에서 잠깐 언급되었던 위험평가에 대해 설명하고 스스로 정리해보려합니다.들어가며IT 인프라의 보안을 유지하기 위해 취약점 진단을 수행합니다.컨설턴트가 되어 진단 업무를 수행하다 보면 진단과 이행점검에 너무 치중한 나머지 위험평가의 중요성을 잊게되곤 합니다.조직에서 보안을 유지하고 발전시키기 위해선 조직이 직면한 보안 위험(Risk)를 체계적으로 분석하는 과정이 필수적입니다.위험 평가는 조직의 자산이 직면한 위협과 취약점을 평가하고, 그에 따른 영향을 분석하여 적절한 대응 전략을 수립하는 과정입니다.보안 사고가 발생하면 조직의 금전적 손실뿐 아니라 조직의 평판에 영향을 미치며, 법적 ..

들어가며워게임 등의 대회를 진행할 때, 대부분 공격이 가능한 가상머신이나 서버를 받는다.여기서 어떠한 방법(reverse-shell, remote etc..)을 통해 시스템에 들어왔지만 막상 해당 시스템의 취약점을 통해 관리자 권한을 획득해야하지만 여기서 자주 막히는 경우가 많다. 그래서 나는 exploit-db 같은 곳에서 CVE를 찾아낸다던지 직접 검색하는 방법을 사용했었는데... 뭔가 쉽고 빠르게 알아낼 방법이 없을까? 그래서 찾아낸 Windows Exploit Suggester이다.  Windows Exploit Suggester - WES-NG란 무엇일까?https://github.com/bitsadmin/wesng GitHub - bitsadmin/wesng: Windows Exploit Su..

작성자 - 보안왕 김보안들어가며지난 1년간 인프라 취약점 진단 업무를 맡으며 경험으로 얻은 이론적, 실무적 지식을 글로 정리해보려 합니다.아래에서 설명할 내용들은 주관적인 경험과 이해가 많이 포함된 관계로 틀린 내용이 있을 수 있습니다.지적은 언제나 환영입니다. What is IT Infra?인프라 - Infrastruture조직에서 IT 환경을 운영하고 관리하는 데 필요한 구성 요소를 일컫습니다.하드웨어, 소프트웨어, 네트워크 구성 등이 해당합니다.따라서 인프라 보안은 위에서 설명한 IT 구성 요소들의 보안을 뜻합니다. 인프라 취약점 진단컨설팅 관점에서 인프라 보안은 서버, 네트워크, DBMS, 보안장비의 구성이 얼마나 안전하게 구성되었는가 를 판단하는 과정입니다. 이 과정을 일반적으로 인프라 취약점 ..

안녕하세요, 팀원 여러분!2025년에도 한층 더 발전된 모습으로 팀 블로그를 운영하고자 다음과 같은 운영 방안을 공유드립니다.1. 블로그 운영 목표정보 공유팀 프로젝트, 업무 팁, 산업 트렌드 등을 적극 공유하여 지식 습득에 도움을 줍니다.팀 소통 강화글을 통해 서로의 생각을 나누고 이해도를 높여 협업 효율을 극대화합니다.개인 역량 개발콘텐츠 작성과 피드백 과정을 통해 개인의 전문성과 글쓰기 역량을 키웁니다.2. 게시글 카테고리 및 주제프로젝트 진행상황진행 중인 프로젝트나 새로운 시도 등을 팀원이 간단히 정리해 공유합니다.기술 & 업무 노하우사용 중인 툴, 언어, 라이브러리, 효율적인 업무 방식 등에 대한 팁을 정리합니다.인사이트 / 트렌드새로운 기술 동향, 업계 뉴스를 짧게 요약해 소개합니다.자유로운 ..

개인정보 혁신인재 밋업데이 후기목차전체적인 분위기개인정보인의 서바이벌 마인드셋후기전체적인 분위기- 전체적으로 개인정보 분야의 실무자분들이 많이 오셔서, 많은 이야기를 해주시는 분위기였다.기술적인 이야기 부분 보다는 개인정보 정책부분과 같이, 개인정보 법률과 현재 상황에 대해 많은 이야기를 해주고, 개인정보보호 업무에 대해 전체적으로 정의 해주고, 각 쿠팡, 현대, LG, 우아한 형제들과 같은 대기업에서 개인정보보호 전문가의 인재상에 대해 설명해주는 시간을 가진다. 그 중 가장 인상 깊었던, 개인정보보호 분야의 25년 동안 종사하신, 에이펙스 대표님의 강연이 가장 기억에 남아, 그 에 관련해서 자세히 이야기 해볼려고 한다.  개인정보인의 서바이벌 마인드셋- 개인정보보호 전문가들은 많은 관련 인원들과 이해관..

CloudGoat 구축하기목차CloudGoat란?TerraForm 구축CloudGoat 설치AWS 프로파일 세팅완료 테스팅CloudGoat란?- CloudGoat는 클라우드 기반에 취약한 취약점이 있는 클라우드 환경입니다.이와 비슷한 것은 WebGoat와 같이 웹취약점 훈련환경이 있습니다.TerraForm 구축- 먼저 TerraForm이란 테라폼은 아마존 웹 서비스, 구글 클라우드 플랫폼 및 마이크로소프트 애저를 비롯한 다양한 클라우드와 가상화 플랫폼 전반에 걸쳐 코드 형태로 인프라를 정의하고, 실행하고, 관리하는 가장 효과적인 데브옵스 도구입니다. kali 환경에서 구축하기 위해서 terraform을 먼저 구축하였습니다.sudo apt-get update && sudo apt-get install -y..