옆집에 해커가 산다

대한민국에서 정보통신서비스를 제공하는 국내 기업에서는 비밀번호를 암호화 해싱할 때 대부분 SHA2(256 ~ 512)으로 해싱하게 됩니다. 그런데, SHA2는 데이터무결성을 검증하기 위한 해시 함수로 동일한 데이터를 해싱했을때 100번이든 1000번이든 동일한 결과값이 나오기 때문에 개인적으로는 비밀번호와 같은 정보를 해싱 하기에는 부적절하다고 생각했습니다. 비밀번호는 내가 아닌 다른 사람은 알아선 안된다. 그렇다면 우리가 왜 SHA 해시함수를 이용하여 비밀번호를 해싱하여 저장하는지에 대해서 먼저 알아보도록 하겠습니다. 국내에서는? 비밀번호 = 개인정보이기 때문에 우리는 개인정보와 관련한 법령과 해설들을 살펴보아야 하는데요. 개인정보의 안전성 확보조치 기준 (2022.12) 제7조(개인정보의 암호화) 2..

DevSecOps 2023. 7. 12. 05:31

들어가는 말 Okta는 강력한 IAM 도구이지만 Okta Admin Console의 Dashboard에서는 사용자의 상태에 대한 현황을 확인하기가 쉽지가 않습니다. 특히 Okta를 내부 서비스의 IAM 용도로만 사용한다면 Application 권한을 부여했을 때 Application 사용여부 또는 Okta 계정의 사용여부를 Dashboard에서 제공해 주지 않기 때문에 결국 라이선스를 낭비하는 결과를 초래하게 됩니다. 그래서 Okta에서 제공하는 기능인 Automations를 이용하여 Okta의 라이센스를 관리하는 방법을 공유하고자 합니다. 들어가기에 앞서 Okta People(User)의 Status에 따라서 라이센스가 부과되는 경우가 다릅니다. People의 Status 중에서 Deactivated(..

DevSecOps 2023. 4. 13. 16:00

오늘은 MFA란 무엇이고, 국내 Compliance 기준으로 MFA를 왜 적용해야 하는지?에 대해서 알아보려고 합니다. MFA란? Multi-Factor Authentication의 약자로 단어를 그대로 해석하자면 다중인증에 해당하는데요. 일반적으로는 아이디 + 비밀번호 + OTP 등을 이용하여 인증하는 것을 말합니다. 이렇게 MFA를 적용하는 이유는 아이디 + 비밀번호는 언제나 유출의 위험이 있기 때문에 추가적인 인증 수단을 적용함으로써 계정이 탈취되는 것을 방지하는데 도움을 주기 때문입니다. 하지만, 대부분 MFA를 여러 번 인증을 한다에 포커싱을 맞추고 있어 잘못된 방법을 적용하고 있는데요. 예를 들어 다음과 같은 사례를 살펴 보면 관리자가 시스템3에 접속하기 위해서는 다음의 단계를 거쳐야 합니다...

DevSecOps 2023. 3. 11. 03:27

이번 글은 AWS 환경에서 IP 기반의 접근통제를 어떻게 하고 있는지를 확인하는 방법에 대해서 설명하고자 합니다. AWS의 제품군 중 컴퓨팅, 컨테이너, 스토리지, 데이터베이스 영역에 속하는 서비스들은 접근통제를 받아야 하는 서비스이지만 이번 글에서는 가장 대표적인 서비스들인 AWS 관리 콘솔, EC2, RDS에 대해서 다루고자 합니다. AWS 관리 콘솔 AWS Web Console은 사용자가 GUI 환경으로 AWS 서비스에 대해 모니터링, 생성, 삭제를 할 수 있으므로 지정된 IP에서 접근이 가능하도록 접근통제해야 합니다. 물론 관리 콘솔 사용이 불필요하다면 AWS 관리 콘솔 사용을 비활성화 할 수도 있습니다. AWS 관리 콘솔 접근 차단 사용자 계정 생성 시 관리 콘솔 접근을 허용할지 설정할 수 있습..

DevSecOps 2022. 6. 29. 23:53

2021년 10월 중순부터 시작된 약 6개월간의 육아휴직이 곧 마무리 될 예정입니다. 제가 육아휴직을 준비하면서, 그리고 육아휴직을 마치면서 외벌이 가장인 제가 육아휴직을 가게된 이유와 육아휴직을 하면서 얻은 것과 잃은 것은 무엇인지 이야기 해보겠습니다. 육아휴직을 꼭 가야 했을까 제가 육아휴직을 가게된 이유는 크게 2가지였습니다. 첫 번째 이유는 와이프가 첫째와 둘째 모두를 케어하는 것이 체력적으로 힘들 것이라는 것이었고, 두 번째 이유는 코로나라는 시대상황 때문이었습니다. 신생아 시기에는 거의 2시간에 한 번씩 밥을 먹어야 합니다. 2시간이라는 시간이 길어 보이지만 사실 돌아서면 밥을 주고 재우고 다시 밥을 주어야 하죠. 그리고 이건 낮이든 밤이든 시간에 상관없이 계속 진행이 됩니다. 첫째가 어린이집..

카테고리 없음 2022. 3. 29. 23:37

국내에서 IT서비스를 제공하는 대부분의 기업들이 고민하는 망분리에 대한 이야기입니다. 이 글은 총 3편으로, 1편에서는 망분리에 대한 기준이나 요구사항에 대한 내용을 다룰 예정이며, 2편과 3편에서는 본격적으로 망분리를 적용하는 사례(물리적 또는 논리적)에 대해서 이야기 해볼까 합니다. ※ 이 글은 개인정보보호법을 기준으로 작성되었습니다. 전자금융사업자가 준수해야하는 전자금융거래법은 일반법인 개인정보보호법보다 우선되므로, 전자금융거래법에 따른 망분리 사항을 준수해야합니다. 근거 개인정보보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리..

DevSecOps 2022. 2. 24. 02:28