* 웹 로그 분석 (서버에 저장되는 로그)
  1) 접속 사용자의 행위/취향 등을 분석
  2) 보안사고 발생 시 추적할 수 있는 증거자료
  3) 보안사고 발생 전 이상 징후, 해킹시도, 해킹 성공 여부를 확인
  4) 다양한 웹 공격 패턴 파악
  5) 접속시간, 접근 파일 정보, 사용자 정보, 요청 방식, 성공여부 등을 확인

* GET, POST 요청 메소드
GET : URI로 지정된 리소스를 서버에 요청
POST : URI로 지정된 리소스에 데이터를 전달하여 이를 처리한 결과를 서버에 요청

* 웹로그 종류
  1) NCSA CLF(common Log Format) : Apache 및 Tomcat의 기본 포맷
  2) NCSA ELF(Extended Log Format) : CLF에 Referer값과 User-Agent값이 포함된 포맷
  3) W3C ELF : Referer와 User-Agent를 비롯한 Cookie 및 사용자 정보를 추가로 남길 수 있는 포맷

* 웹로그 포맷
  0) Host, Date and Time, Request, Status, Bytes
  1) Referer : 요청된 URL이 참조되거나 링크된 URL
  2) User-Agent : 클라이언트 OS 및 브라우져 버젼

DB 침해사고는 외부의 해커, 인가된 내부 사용자, 인가되지 않은 내부 사용자 등 모든 범 위에서 발생할 수 있다. DB는 정보시스템의 가장 깊은 곳에서 운영되지만 웹 애플리케이 션(Web Application), 내부망(Internal Network), 파트너 연계 네트워크 등 수 많은 접 근점의 존재로 인해 데이터 유출 위험이나 서비스 중지의 위험이 상시적으로 존재한다.
DB 취약점의 유형은 다음과 같다.
■Admin 권한이 아닌 일반 권한을 가진 DB 계정이 단 하나의 SQL 명령으로 Admin 권 한을 획득 한다면?
■DB 계정이 없는 사용자의 DoS공격에 의해 고객 및 금융 업무를 운영하는 DB가 갑자기 중지된다면?
■DBMS 내부에 DBA도 모르는 내부 함수(Internal Function)로 인해 DB가 손상된다면?
■다른 소유주의 테이블(Table)이 남모르게 접근 가능하다면?
앞의 취약점들은 다음의 대표적인 DB 취약점을 통해 공격받을 수 있다.
■디폴트(Default) 패스워드 및 보안상 안전하지 못한 약한 패스워드
■권한의 남용(모든 권한은 꼭 필요한 최소한의 권한으로 운영되어야 한다.)
■버퍼 오버플로(Buffer overflow)나 형식문자열(Format String)과 같은 알려진 취약 점들
■네트워크를 통한 취약점들
■DB 및 시스템 파일에 대한 불법 열람 및 변조
■SQL 주입공격(Injection )
■DB 서비스를 중단시킬 수 있는 서비스 거부(Denial of Service)와 같은 위협들 문제는 이러한 DB 취약점들이 DBMS 제조사나 해커들에 의해 항상 공개가 된다는 것이 다. 이렇게 공개된 DB 취약점들을 통해 DB는 쉽게 공격 대상으로 주목된다. DB 취약점 분석은 DB에 내재된 취약점들과 DB 운영에 있어서 고려되어야 할 항목들을 다각도에서 구체적으로 점검함으로써 보안 관리자 및 DBA에게 시스템에 내재된 안전 취 약점(Security Hole)을 제거하게 하여 DB의 보안 수준을 향상시키게 한다.
DB 취약점 분석 솔루션은 점검대상 네트워크 범위에 존재하는 정보자산을 파악하는 정보 수집(Information Gathering), DB 보안을 검증할 수 있는 모의해킹(Penetration Test), 내부 보안감사(Security Auditing) 등의 과정을 통해 다양한 DB 취약점들을 도출 하여 DB의 전체 보안 수준의 향상을 도모한다.
DB 취약점 분석은 정보 자산의 파악과 보안성의 검토, 검출된 취약점 제거를 위한 Fix Scripts 및 개선안 제시, 레포팅 등을 주요 항목으로 한다.

결국 DB 취약점(Database Vulnerabilities)은 DB 보안을 위해 반드시 점검해야 할 항목 이라고 할 수 있다.

* 행정안전부에서 내놓은 공개SW를_활용한_소프트웨어_개발보안_점검가이드 에 따르면
Eclipse 나 Android Studio 같은 통합개발환경(IDE) 도구, jenkins와 같은 CI(Continuousintegration) 도구에서
FindBugs, FindSecurityBugs, PMD  툴을 플러그인으로 적용해서 사용이 가능하다.

* 정보보호 인증체계

1) 접근통제 (식별 -> 인증 -> 인가)  (권한부여, 직무분리, 최소권한 개념으로)

직무분리 : 업무 발생부터 승인, 수정, 확인, 완료 등 모든 과정이 한 사람에 의해 처리될 수 없게하는 보안정책
최소권한 : 허가받은 일을 수행하기 위한 최소한의 권한만을 부여하여, 권한남용에 의한 피해 최소화

방법 : 패스워드 : 사전공격, 무차별 공격, Backdoor, 사회공학, 스니핑 등에 무력화

         i-PIN : 주민번호 저장안해도 되는 장점

         OTP : 분실시 악용, 배터리 방전 문제

         생체인증 : 높은 비용, 사용자 거부감

통합인증체계 : 한번의 인증으로 재인증 없이 전체 시스템에 접근이 가능하게 한 솔루션
각 시스템을 개별적으로 ID/PWD 관리 안해도 되므로 분실하거나 노출위험이 줄어듬
중앙집중관리로 효율적이나, SSO 관리서버가 침해 당하면 모든 서버 보안침해가 가능해지는 위험성 올라감

Kerberos ( 대칭암호 기법, 네트워크를 통한 키분배, 키분배센터 비용 발생)

SESAME (비밀키 분배에 공개키 암호화를 사용, 키관리 비용 감소)

2) 접근통제 보안 위협 및 대응책

  - 사전공격 : Password 암호화 저장 (salt 이용)

  - 사회공학 : 보안 인식 교육 필요

  - 피싱 : 스푸핑 이용

  - 스미싱 : SMS이용한 웹사이트 유인 -> 트로이 목마 S/W 설치 -> 개인정보 유출

3) 기기인증 : 네트워크에 참여하는 다양한 기기의 안전한 운영을 위해 해당 기기를 식별하는 신뢰된 인증방법

장점 : 보안성 제공, 일관된 보안정책에 의한 구축 및 운영비용 절감, 단일 보안 프레임워크 기반으로한 상호연동성

- 아이디/패스워드 : 보안수준 하, 인증이 쉬운만큼 보안안전성도 약함

- MAC주소 인증 : 보안수준 하, 예로 무선랜 카드,
                       추가적인 어플과 프로토콜 필요없고 접속 용이,
                       기기 바뀌면 새로 MAC 주소 재등록필요, MAC주소 유출되면 큰일, 부인방지 불가

- 암호프로토콜 활용 인증 : 보안수준 중, 예로 802.1x의 EAP, WAP2 등 표준화된 기술 존재
                                   다양한 표준화된 인증방식이 있어 안전성 어느정도 보장,
                                    암호 및 인증 알고리즘의 안정성에 의존함, 오래된 알고리즘은 해커에 의해 깨지기도 함 (RC4)

- Challenge/Response 인증 : 보안수준 상, OTP와 유사하게 일회성 해시값 생성하여 사용자 인증
                                      서버가 랜덤값(Challenge)을 전송 -> client는 수신한 값과 패스워드에 해시 적용해서 반환(Response)
                                       -> 응답받은 서버는 같은 방법으로 해시한 값과 비교해서 일치하면 인증 완료
                                      패스워드로 간편인증이 가능하면서도, 네트워크상 매번 다른값으로 전송되므로 안전
                                      그래도 패스워드 노출되면 보안이 깨짐

- PKI 기반 기기 인증서 기술 : 보안수준 최상, 안전성 높고, 부인방지 기능
                                       인증서 관리(발급, 갱신, 폐기) 비용 발생, CRL 리스트 관리 비용 발생

* 정보보호 관리체계 및 법규 (보안기사 필기에서 챕터 정보보호 관리 참고)

1) 정보보호 정책 : 조직의 내외부 환경과 업무성격에 맞는 효과적인 정보보호를 위해 수행되어야할 항목을 기술한 지침과 규약으로 정보자산을 어떻게 관리하고 보호할 것인지 문서로 기술한 것

2) 정보보호 정책 역할 : 임직원에게 책임할당과책임추적성 제공,
                              기업의 비밀 및 지적재산권을 보호하며
                              기업의 컴퓨팅 자원낭비 방지

3) 정보보호 정책 요소
절차 : 정책 세부 지시사항
표준 : 조직에 적용되는 소프트웨어, 하드웨어적인 요구사항 정의
기준선 : 정보보호 정책의 일관성 있는 적용을 위해 준수해야할 사항
지침 : 계획수립 및 구현에 대한 권고사항

4) 정보보호 관리자 역할

- 예산확보 (헬프데스크, 개발, 인프라, SW 보안기능 추가

- 타 부서와 협업하여 정책, 절차, 기준선, 표준, 지침을 개발

- 보안인식 프로그램 개발 및 제공 : 집합교육, 온라인교육, 보안관련 포스터 공모

- 비즈니스 목적에 대한 이해 
--> 조직의 목표 및 환경 (강약점, 위협, 기회, 법/규제 등)

- 최신 위협/취약점에 대한 인지

- 정부의 법/규정에 대한 컴플라이언스 여부 점검

- 최신 기술 습득 (정보보안 연합회, KISA한국인터넷진흥원 등 과의 관계 구축)

5) 계층별 책임 및 역할

- 경영진 : 정보자산 보호 전반적인 책임, 정보시스템 위험 이해
- 정보보호 이사 : 조직의 정보보호 활동에 대한 계획 수립, 설계, 검토
- 보안전문가 : 보안정책, 절차, 표준, 기준선, 지침 개발 및 구현
- 데이터 소유자 : 정보자산에 대한 책임
- 데이터 관리자 : 시스템 관리자, 백업 수행
- 정보시스템 감사인 : 정책, 절차, 표준, 기준선, 지침을 준수하는지 검토
- 비상계획 관리자 : 비상상황에 대비한 계획 수립
- 보안관리자 : 사용자 접근요청을 처리 및 권한 부여

6) BCP(Business Continuity Planning) 와 DRP(Disaster Recovery Planning)
- 비즈니스 연속성 계획 : 재난 발생 시 비즈니스 연속성을 유지하려는 방법
정상적 운영을 위한 데이터 백업 등을 통해 핵심업무 기능을 지속하는 환경 조성
사업활동이나 프로세스가 중단되는 것에 대항
비즈니스 영향 평가인 BIA가 선행되어야 함
BIA 평가
- 중요기능과 시스템, 리소스 식별
- 리소스에 대한 최대 허용 중단시간 MTD 계산
  수시간 내(매우 치명적), 24시간 내(치명적), 36시간 이상(필수), 일반
- 중단 영향과 허용 가능한 정지시간 기반으로 복구 우선순위 개발
- 위험과 취약점을 식별하고 위험을 계산
- 백업 솔루션 개발

* BCP 계획 수립 절차
비즈니스 분석 -> 위험평가 -> 비즈니스 연속 전략개발-> 비즈니스 연속 계획 개발 -> 계획 연습

* BCP 전체 단계 (NIST 미국 상무부 기술관리국 산하)
계획 수립 -> BIA 평가 -> 예방 통제 식별 -> 연속성 전략 개발 -> 연속성 계획 개발 -> 테스트, 훈련 -> 계획의 유지관리

- 재난 복구 계획 : 재해나 재난으로 인해 정상시설로의 접근거부 등의 이벤트를 다루며,
응용프로그램, 컴퓨터 설비의 운영재개와 같은 IT 중심의 계획을 말한다.
핵심 정보시스템과 데이터가 중단되는 것에 대항
( (화재, 지진, 태풍),  (폭격, 테러, 방화),  ( 장비고장, 소프트웨어 에러, 통신 네트워크 중단) 등)

- 복구전략

1) 미러사이트 : 초기투자 및 유지보수 비용 높으나 실시간 복구가 가능하다

2) 핫 사이트 : 비동기적 방식으로 실시간 미러링을 통해 데이터 최신 유지, 액티브 전환을 4시간 이내

3) 웜 사이트 : 중요성이 높은 정보자원만 부분적으로 재해복구 센터에 보유,
                  실시간 미러링을 안하고 백업주기가 수 시간 ~ 1일 정도

4) 콜드사이트 : 데이터만 원격지에 보관하고 수일 ~ 수주 로 원격지에 백업한다.
                     비용이 저렴하지만, 복구 소요시간이 매우 길고 신뢰성이 낮다.

- RAID

데이터 이중화 및 성능향상을 위한 기술
몇개의 물리적 디스크를 묶고 이것들을 논리적 배열로 정의하여,

저용량, 저성능, 저가용성인 디스크를 중복으로 구성함으로 고용량, 고성능, 고가용성 디스크를 대체한다.
실제 데이터는 여러 개의 물리적 디스크에 저장

1) 데이터 스트라이핑 : 데이터를 여러 조각으로 나누어 여러 디스크에 분산 저장하고 동시에 엑세스를 가능하게 하는 기술로
균등 저장을 위해 라운드 로빈 방식을 사용,  I/O 속도 향상,  중복성은 없음, 일부 디스크 고장 시 복구 불가

2) 중복 : 일부 데이터가 손실된 경우 복구할 수 있도록 중복 저장,
            하나가 고장나면 다른 하나 즉시 사용 가능하지만 비용이 많이 든다.

RAID Level 0 : 스트라이핑 

RAID Level 1 : 미러링 방식이다. 즉, 중복 특성

RAID Level 0 + Level 1 방식도 존재

7) 물리적 보안

시설 위치 선정, 데이터센터 위치 선정 및 설계, 전력에 관한 설계 (정전 대비 등),
입구 통제(자물쇠, 생체인식 등), 온습도 등 환경고려 설계 

8) 디지털 포렌식 : 법정 제출용 디지털 증거를 수집하여 분석하는 기술
    CERT (컴퓨터 비상 대응 팀) : 한국인터넷진흥원 산하 인터넷침해대응센터 있음

9) KISA - ISMS 인증 : 한국인터넷진흥원에서 객관적 평가를 통해 인증하는 제도
심사 분야-> 정보보호 정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교육 및 훈련,
인적보안, 물리적 보안, 시스템개발 보안, 암호통제, 접근통제, 운영 관리, 전자거래 보안, 보안사고 관리,
검토 모니터링 및 감사, 업무 연속성 관리

 인증취득 효과
- 피해사고 피해액 감소
- 정보자산 보호기술 및 정보보호를 위한 관리기술 향상
- 신뢰성 및 기업 이미지와 경쟁력 강화
- 정보보호 인식 제고

* 관련 법규

1) 개인정보 보호
   - 개인정보의 수집 이용의 동의
   - 개인정보의 수집 및 이용의 제한
   - 주민등록번호의 사용 제한
   - 개인정보의 제공 동의
   - 개인정보 관리책임자 지정
   - 개인정보 누출 등의 통지 및 신고
   - 개인정보의 파기 
   - 개인정보 이용내역의 통지

2) 전자서명법
   - 공인인증서에 기초한 전자서명을 말한다.
   - 전자문서의 안전성와 신뢰성 확보를 위해 사용자 편익 증진
   - 공인인증기관, 공인인증서, 인증업무의 안전성 및 신뢰성 확보, 전자서명인증 정책의 추진
최상위 기관 : KISA,   공인인증기관 : 한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신

3) 개인정보 제공 동의 획득시 고지사항
- 개인정보의 이용목적
- 이용하는 개인정보의 항목
- 개인정보 보유 및 이용시간
- 동의 거부권이 있다는 사실 및 동의 거부에 따른 불이익 공지
- 변경사항이 있으면 다시 알리고 동의 받아야 함

4) 개인정보 유출 시 통지사항
- 유출된 개인정보의 항목
- 유출된 시점과 그 경위
- 유출로 인하여 발생할 수 잇는 피해 최소화 위해 정보주체가 할 수 있는 방법에 관한 정보
- 개인정보처리자의 대응조치 및 피해 구제절차
- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 담당부서 및 연락처

* 정보보호 정책

1) 접근통제 (식별 -> 인증 -> 인가)  (권한부여, 직무분리, 최소권한 개념으로)

방법 : 패스워드 : 사전공격, 무차별 공격, Backdoor, 사회공학, 스니핑 등에 무력화
         i-PIN : 주민번호 저장안해도 되는 장점
         OTP : 분실시 악용, 배터리 방전 문제
         생체인증 : 높은 비용, 사용자 거부감

통합인증체계 : Kerberos ( 대칭암호 기법, 네트워크를 통한 키분배, 키분배센터 비용 발생)
                    SESAME (비밀키 분배를 공개키 암호화를 사용, 키관리 비용 감소)

2) 접근통제 보안 위협 및 대응책
  - 사전공격 : Password 암호화 저장 (salt 이용)
  - 사회공학 : 보안 인식 교육 필요
  - 피싱 : 스푸핑 이용
  - 스미싱 : SMS이용한 웹사이트 유인 -> 트로이 목마 S/W 설치 -> 개인정보 유출

3) 서버 보안 SW
  - 취약점 분석 도구 : Nessus, SATAN, SARA, nmap(포트 스캐닝)
  - 시스템 침입탐지 시스템 : Snort(실시간 트래픽 분석), TCP-wrapper(Unix 방화벽), Ipchain/IPtable(패킷필터링 방화벽)
  - 무결성 점검도구 : 시스템 백업(tar압축, Norton ghost), 파일무결성 점검 (tripwire, Fcheck, MD5 )
  - 스캔탐지 도구 : mscan(주요 취약점 스캔), sscan(네트워크 취약점 점검)

* 위험관리 ( 검토범위 -> 위험분석 -> 제약조건, 대책 선택 -> 위험 수용)

1) 개요 : 보안정책 -> 위험관리 -> 대응책 구현 -> 사후관리

2) 전체 위험 : 위협 X 취약점 X 자산
   잔여 위험 : 위협 X 취약점 X 자산 X 통제격차

3) 위험에 대한 대책
  - 위험 회피 : 다른 대안 선택, 위험이 실현되지 안도록
  - 위험 전이 : 보험회사 등 다른 개체로 전이 (비용 발생)
  - 위험 완화 : 화재 진압시스템, 방화벽 등 위험 수준 제거 및 감소
  - 위험 수용 : 비용대비 효과를 고려하여, 비즈니스 목적상 수용

4) 위험 분석
-> 정보기술 보안관리를 위한 필수과정, 위험관리 중 80% 이상 비중
    측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거 제공
    보안 비용이 효과적이고 적당한지 확인

--> 자산식별, 자산가치/의존도 평가, 기존 보안 대책 평가, 취약성 평가, 위협 평가

--> 수준에 따라 복잡하고 시간 및 인력소모가 크므로 환경에 맞는 분석 수준 선택 필요

5) NIST의 초기분석 모델

범위/한계/방법론 결정 -> 자산의 식별 및 가치선정 -> 위협의 식별 및 발생가능성 결정 -> 위험의 측정
--> 보안대책 선택 -> 보안대책 구현 및 시험 -> 잔여위험 수용

6) 자산의 식별 : 민감하고 중요한 데이터 더 잘보호하기 위해
-> public, Internal use only,           Unclseeified, classfied

7) 정성적 위험분석 (구성요소 손실에 대해 숫자, 판단)
   1) 설문지 
   2) 델파이 기법
   3) 매트릭스
   4) 시나리오 법
   5) 순위결정법

8. 정량적 위험요소(위험에 대해 숫자나 금액으로 객적으로 분석)

  - 자산에 가치 부여
  - 각각의 위협에 대한 점재적 손실 계산
  - 위협 분석의 수행
  - 개별 위협들마다 전체 손실 예상액 도출 (ALE = ARO X SLE)

1) 과가자료 분석법 : 자료가 많아야 정확도는 올라감

2) 수학공식 접근법 : 과거자료가 적을 때 사용

3) 확률분포법 : 미지의 사건 추정

4) 점수법 : 위험발생 요인에 가중치를 두어 위험을 측정

간만에 티스토리 포스팅하러 왔더니,

관리자 화면 알림창에 이벤트 당첨?! 이라는 알림이!!!

원래 이런거 잘 당첨 안되는 편인데,

이렇게 생각지 못했던 이벤트에 당첨이라 기분이 좋네요 ^^

그래서 이렇게 자랑글 올려봅니다! (이 글 볼 사람은 별로 없겠지만!)

당첨 상품은 바로.. 한정판 티스토리 굿즈 다이어리, 볼펜, 스티커 !!!

3월 4째주에 상품이 온다는!!!

스티커는 카카오프렌즈 이지 않을까 조심스레 예상해봅니다!

요새는 다이어리, 스케줄러를 잘 안쓰고 그냥 스마트폰 스케줄러만 사용했는데

당첨된 기념으로 올해는 이걸 써야겠네요 ㅋㅋ

회사 다이어리도 있다는게 함정...

실물이 오는 3월 4째주에 다시 업뎃할게요 ㅎㅎ

개요

구글 애드센스가 날로 발전을 하는 것 같습니다. ㅋㅋ

구글 애드센스를 알게 됐던건 거의 10년 전인데, 제대로 적용하고 있던 것은 1년도 안됩니다.

제 생각엔 3년 정도 전부터 국내에서 많이 유행하기 시작한 것 같습니다.

모바일과 웹의 계속된 성장세에 따라 부업, 재테크의 방법으로 책 또는 교육영상으로 많이 소개되고 있더라구요.

지난 번 "Powered by Google" 가 찍혀나오는 일치하는 콘텐츠 광고 편에
( http://ironmask.net/411 )

이어서 이번엔 자동광고를 소개합니다!! 

얼마전에 애드센스 페이지 화면에 새로운 카드로 "자동 광고" ! 라는 걸 보고는 바로 적용해봤습니다.

예상대로 광고를 자동으로 자신의 블로그나 홈페이지에 배치해주는 시스템이에요!

블로그 꾸미기가 힘들거나, Html 손대기가 어려우신 분들도 이걸 이용하면 수월할 것 같습니다.

Html을 잘 만져서 직접 광고를 다양하게 싣을 수 있는 분도 사용하면 좋은 점이 있습니다.

그냥 아무 곳에다 배치하는 것이 아니라 구글의 딥러닝이 적용되서 통계적으로 가장 적합한 위치에

광고를 여러 개 싣어준다는 것이죠!

딥러닝 기반이었던 알파고에 이어,

요새 구글이 참 빅데이터, 딥러닝 기반 기술을 여기저기 활용하는 모습이 눈에 띱니다.

유투브의 추천영상 이라던가 구글 애드센스의 광고들도 알게모르게 이러한 것들이 적용되서

우리가 관심이 있거나 친근한 컨텐츠를 찾아서 보여주는 것들이 다 이러한 부분이라는 사실...

또한, 구글의 딥러닝 알고리즘인 텐서플로우가 오픈소스로 나와 있다는 사실은

관심있는 개발자라면 알 것입니다. ^^

적용 및 후기

우선 설정은 간단합니다.

애드센스 자주 조회 하시는 분들은 새로운 "자동 광고" 카드를 보셨을 것입니다.

못보신 분들도 애드센스 화면에서 광고 메뉴로 들어가면 바로 보입니다.

 자동 광고 메뉴로 진입합니다!! 

 원하는 광고에 대해 활성화 시켜줍니다!! 

 저는 앵커, 텍스트 및 디스플레이 등을 여러가지 활성화 했어요 ㅋ 

 요건 저도 손 안댔는데, 아마 일반 블로그 사용자는 무시하셔도 될 듯합니다. 

 저기 보이는 빨간 동그라미 부분 클릭하면, Html에 적용해야할 코드가 나와요!! 

 티스토리 기존 유저들은 잘 아시겠지만, <head> </head> 사이
 즉, head태그 안에 넣어주시면 됩니다! 

저도 써보니 배치 하지 않았던 곳에 여기저기 광고가 실린 것을 볼 수 있었습니다.

직접 배치하지 않아도 적합한 위치에 알아서 보여주니 좋네요 ^^

다만, 이러한 광고가 어떤 카테고리로 수익이 쌓일지는 나중에 실적보고서로 한 번 확인이 필요하겠지요 :)

실적보고서 후기는 1달 뒤에 다시 여기에 업뎃 해보도록 하겠습니다. ^^

실적보고서 후기

* 정보보호 기본 특성

1. 정보보호 목표 : 기밀성 (접근통제, 암호화)
                        무결성 (hash, 정보조작 X)
                        가용성 (적절한 접근보증, DOS나 DDOS 혹은 자연재해 등의 위협요소 고려)
                        인증 (MAC, 전자서명)
                        부인방지 (전자서명)

위험 -> 자산 X 위협 X 취약점

2. NIST 핵심 5원칙 : 기밀성, 무결성, 가용성, 책임추적성, 보증

3. 정보보호 관리 : 기술적 보호(암호화, 방화벽)
                         물리적 보호(자연재해 방지, 침입방지 등)
                         관리적 보호(접근통제, 정보보호법 내부자 교육 등 보안계획 확립)

4. 일반적 해킹순서
루트권한 획득 -> 스니퍼 등으로 네트워크 트래픽 감청 -> 중요정보 가로챔 -> backdoor 설치(루트킷 등) -> 로그파일 등 침입흔적 삭제

* 봇넷 : 악성프로그램에 감염되어, 나중에 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
           해커는 봇넷에 연결된 컴퓨터를 원격조종해서 개인정보 유출 등의 행위를 한다.

* 통제의 종류

1. 탐지 : 위협을 탐지, 빠른 대체 용이
2. 교정 : 위협이나 취약점에 대처와 감소
3. 예방 : 사전에 위협과 취약점을 대처

암호화 관련 --> http://ironmask.net/310

이 전에 영장이 2번 째 재 청구 되었고, 특검으로 삼성합병 논란 구형 건 수를 포스팅한 바 있습니다.

http://ironmask.net/308

http://ironmask.net/319

이번엔 재판 1심에 이어 2심까지 결과가 나왔습니다.

1심은 2017년 8월 25일에 징역 5년으로 선고...

이번 2018년 2월 5일에 2심은 징역 2년 6개월에 집행유예 4년이 선고 되었습니다.

구속된지 353일 만에 석방이 되었다고 하구요.

집행유예를 받게되면, 유예기간이 경과한 때에 형의 선고가 효력을 잃게 됩니다.

즉, 유예기간 동안 실제 징역살이를 하지 않게 되는 것이죠..

다만, 유예기간 동안 다시 또 죄를 지어서 한번 형을 선고받게 되면,

실형에 복역하게 됩니다.

겨우 한 번의 기회를 얻은 것 같아 보이지만,

매우 솜방망이 처벌이라고 생각됩니다.

단순이 집행유예로 끌 것이 아니라, 

합당한 세금 징수가 따라야 할텐데요.. (삼성물산 합병 논란 관련)

집행유예를 무마하기 위한 보석금 제도가 있는지 모르겠지만,

있다면 보석금으로라도 징수가 되었으면 좋겠습니다.

얼마전 삼성전자 주식 액면분할 소식으로 뜨거운 관심이 쏠렸는데

(참고로 3월 23일 열리는 정기 주주총회 안건에서 최종 결정 될 예정 이라고 함)

이재용 2심 결과에 이어서

오늘은 이건희 회장의 차명계좌 특검수사가 진행된다는 기사를 접하게 되네요 ㅋㅋ

82억 가량 조세를 포탈 혐의라고 합니다. 

그의 재산에 비하면 얼마 안될터인데...

하.. 이건희씨는 어찌 살아있는 것인지 아닌지도 깜깜 무소식...

차명계좌가 10년 까지 유효하게 되어 조사기간이 이제 2달 밖에 안남았다고 합니다.

이 부분도 철저하게 조사되어서 징수 좀!!!   빈익빈 부익부는 이제 좀 그만하자구요..

번 만큼 정당하게 사회환원도 해야 더 큰 기업이 되지...

그리고 최근에 이명박 전 대통령과 기업 '다스' 가 연루된 사건이 검찰 수사 중에 삼성도 연루되었다는 자수서가 제출되면서

일은 점점 더 커지고;;;

제발 재산이 많은 재벌들은 올바른 세금을 내어서

꼭 필요한 복지에 쓰이는 살기좋은 대한민국으로 나아가길 바래봅니다.

사용 배경

이용 후기

경제관련 기사글을 읽던 중에

아래와 같은 댓글을 보았습니다.

대한민국 땅값, 50년간 3600배 상승.. "보유세 도입 시급"

한국은행과 통계청이 발표한 '2016년 국민대차대조표'는 1964년 1조9300억원였던 한국 전체 땅값이 2015년 6981조원으로 뛰었다

▲1997~2017년 물가상승률은 147%였고ㅡ임금상승률은 62%였는데ㅡ땅값 상승률은 390%(1791조원)로 4배 증가 

▲2015년 우리나라 국부 총액은 1경3078조원으로 이중 토지와 건설자산이 86%(1경1310조원)를 차지

▲지난 50년간 땅값 상승으로 인한 불로소득이 6700조원 →이중 상위 1%가 2500조원을 독식 

누군가 도배하듯이 올려놨는데,

읽어보니 정확한 데이터 인지는 모르겠지만, 

땅 값 참 많이 올랐네요 ㅋㅋㅋ

직장인이 된 후로는 재테크에 자연스레 관심을 가지게 되면서

예적금, 펀드, 주식.. 이제는 비트코인 까지..

여러가지를 접하게 되었지만,  손실이 더 많았던 것 같아요 ㅜㅜ

그냥 예적금이 답이었는지는 모르겠지만,

땅으로 돈 번 경우가 더 많을 것이라는 생각이 듭니다.

땅을 사야하나... ㅋㅋㅋㅋ

그냥 한 달 한 달 번돈으로 평생 먹고사는데 지장이 없다면,

이리저리 크게 걱정은 안할텐데요..

문화가 발전해서인지, 소비하는 것들이 많이 늘어난 것이 문제인 것 같기도 합니다.

왜이리 재테크로 피곤하게 만드는 사회가 된 것인지..

누군가 어떤 재테크로 수익 대박이 났다고 하면,
괜히 배가 아프거나 뭔가 잘못하고 있나 하는 심리가 생기기 마련이죠..

하소연 아닌 하소연을 하면서 글을 마칩니다. 

얼마전 1/27 부터 방문자 수가 급격히 늘어났습니다.

1/26까지 200명 대의 방문자가 갑자기 400명대로 늘어나는 일이...

와 이제 2차 도메인 변경 전의 실적으로 돌아가는 건가!! 싶었는데...

1/27, 28, 29 이어지더니.. 급기야 오늘 지금은 1200명이 넘는 일이???

아.. 이거 또 예전에도 한 두번 있었던 어떤 봇이 내 블로그를 타겟으로 돌고 있나... 하는 생각이..

그 때 당시는 4000명이 넘기도 했었는데, 그 정도 까진 아니어서 무슨일인가 싶네요..

과연 내일은 어떨지 궁금하네요 ㅋㅋ 실 방문자 수가 1200명 넘는다면 좋을텐데 ㅜㅜ

혹시나 해서 티스토리 유입경로를 봐도 이거 절대 1200이 될 수가 없겠더군요 ㅋㅋ

아래 같은 경우에 티스토리 방문자 수와 유입경로의 수가 다를 수 있다고 합니다.

1. 직접 주소를 입력을 하고 들어오는 경우에는 유입 경로에 나타나지 않고 방문자수가 올라갑니다.

따라서, 구글애널리틱스를 사용하셔서 보거나, 애드센스 페이지뷰를 보는 것이 정확할 듯 합니다!!

오늘자로 애드센스 페이지뷰를 보니 288번... 너무 차이 나네요 ㅋㅋ

작년 상반기 동안 블로그에 테마 잡고, 웹반응형 스킨 적용, 레이아웃 등으로

전체적인 세팅에 심혈을 기울이다가 그 후로 지금까지 포스팅에 좀 집중했었는데요. ^^

조금씩은 블로그 디자인이 신경쓰이게 되곤 하는게 자신의 블로그를 아끼는 마음이겠죠? ㅋ

이번엔 작년부터 제대로 사용해왔던 네이버 이웃커넥터 위젯에 관한 건데요.

티스토리와 같이 타 블로그에서 사용가능하게 해놓은 것은 그뤠잇! 이지만,

원래 네이버 전용으로 만들어져서 그런 것인지 한 가지 아쉬운 점이 있네요.

그것은 바로, 타 블로그에서 제 블로그(티스토리)를 이웃추가 한 경우에,

그 블로그에서 표시될 제 블로그의 그림(썸네일)이 빈 사진으로 표시되는 것입니다!! ㅜㅜ

 위에 보면 맨밑 오른쪽만 프로필 사진이 비어있죠 ㅜㅜ 

분명히 블로그 프로필 사진이 있음에도..

더군다나, 아래와 같이 이웃커넥터 위젯 세팅에서 기본프로필 메뉴가 떡하니 있어서 세팅했음에도!! ㅜㅜ

계속 이러저리 해보도 안되는 답답한 마음에 결국..

네이버 고객센터로 문의를 넣었습니다. ㅋㅋ

네이버는 몇 년전부턴가 전화 문의를 받지 않습니다...
아마도 유저가 엄청나게 늘어난 탓에 감당이 안되서 겠죠..

그리하여, 아래 사이트에 인터넷 문의가 가능합니다.
https://help.naver.com/

그런데, 문의 내역도 조회가 안되네요 ㅡㅡ 으으..

아무튼 메일로 회신은 아래와 같이 왔습니다.

궁금하신분들은 참고하시라!

 결국 언제 해결될지는 모른다는... 

어려운 부분이 아닐텐데 말이죠..  
빠른 해결이 되었으면 좋겠군요 ^^

지금 시즌쯤이면, 항상 13월의 보너스라는 문구와 함께
1년에 한 번 직장인과 사업자 모두 연말정산을 하는 시기죠! ㅋㅋ

1년에 한 번만 하니 어떤 걸 챙겼는지 기억이 안나기도 하는데요 ㅎㅎ

놓치기 쉽고, 몰라서 못챙길 수도 있는 꿀팁 몇가지 포스팅 하겠습니다. ^^

1. 올해 부터 중고자동차 구입의 10%를 신용카드, 직불카드, 현금영수증 공제액에 추가 됩니다!
   작년 7월 이후에 중고자동차를 구입하신 분들에게 혜택이 제대로 적용이 되며,
   작년 1월~6월 사이에 구입하신 분들은 이미 중고자동차 매매사에서 취등록세 부분에서 혜택을 받은 부분이
   더 클 수 있기 때문에 꼼꼼이 따져보고, 혜택을 받으시면 되겠습니다. ^^
   자세한 내용은 옆에 링크 참조 ( http://milalcar.co.kr/blogPost/56 )

2. 무주택 세대주 이신 분들에게는 주택청약저축을 통해 소득공제가 가능합니다!!
    자세한 내용은 옆에 링크 참조 해주세요 :)  ( http://ironmask.net/237 )

3. 연 7000만원 이하의 소득자에게는 월세로 살고있는 경우, 연간 월세 최대 750만원까지 공제 가능합니다. ^^
   필요한 서류는 임대차계약서 사본, 주민등록등본, 월세 입금확인이 가능한 계좌이체증와 같은 영수증 이에요.
   필수조건으로 작년, 12월 안에 임대차계약서의 주소지로 주민등록주소지 이전했어야 합니다!
   특히, LH 임대아파트에 살고 계신분들은 http://www.apply.lh.or.kr  로 접속하셔서 증명서발급 메뉴로 가능합니다. ^^

4. 매우 중요한 인적공제 세세한 조건들!!
   부양가족을 통한 인적공제가 생각보다 큽니다.
   부모님 및 처,시부모님, 배우자, 자녀에 대한 공제는 인당 150만원 공제입니다!
   
   인적공제 소득유형별 연간 소득금액 요건은 아래를 참조 해주세요 ^^

   근로 : 총 급여액 333만원 이하 (단, 근로소득만 있는 경우 총급여액 500만원 이하)
   연금 : 공적연금 516만원, 사적연금 1200만원 이하
   양도 : 양도소득(부동산) 100만원 이하
   사업 : 사업소득 100만원 이하
   기타 : 기타소득 300만원 이하
   이자/배당소득 : 금융소득합계 2천만원 이하

친부모님 포함 처부모님·시부모님의 경우 만60세 이상이어야 합니다.

그리고 여기서 중요한 포인트!!
위 요건 중 연금부분에서 516만원은 
장애연금과 유족연금은 비과세 소득으로 인정되고,
2001년 이전 가입기간에 따른 노령연금액은 과세제외 소득으로 인정되어서
요즘 부모님 세대의 분들은 아직 해당사항이 없으므로
연금을 꽤 받으시더라도 부양가족 등록이 가능하다는 사실!!

부양 가족이면, 인적공제 포함 카드비 등 소비관련도 공제 가능해요.

5. 의료비의 경우, 
   부양가족이 아니더라도 직계비속의 의료비를 실제 본인의 돈으로 치뤘다면, 공제가 가능합니다.
   이 부분은 어느정도 본인의 양심에 맡겨서 올바르게 진행되어야 하겠습니다. ^^;
   연봉의 3%초과된 부분에 대하여 공제가 가능합니다.
   또한, 실손 보험에 의해 청구받은 항목은 공제가 불가하니 유의하시기 바랍니다.

제가 아직 자녀가 없는 관계로 교육비 항목에 대해서는 무지합니다. ^^;;

우리나라는 교육열이 높아 교육비가 많이 들어가니, 특히 자녀있으신 분들에게 혜택이 크겠네요!!

그래도 이만하면 빠뜨릴만한 꼼꼼한 부분은 챙길 것입니다. :)

저는 공제 예상결과로 한 150만원 정도 받을 것 같아요!!!

13월의 보너스를 잘 챙겨봅시다!! 

지난 포스팅에서 블록체인을 소개하였습니다.
( http://ironmask.net/419 )

이번에는 좀 더 개념적인 정리를 해서 포스팅합니다. 

1. 해킹을 못하는 이유?

   1) 모두의 거래장부를 공유하면, 수 많은 사람의 기록을 다 조정하지 않으면 조작 불가

   2) 은행의 경우 이용고객 증가시, 서버관리 비용 및 리스크가 증가 하지만, 

      블록체인의 공공장부의 경우 오히려 이용자가 증가할 수록 시스템 안정성이 증가한다.

2. 비트코인에 사용된 블록체인 원리

   1) P2P 네트워크를 통해서 분산형 데이터베이스 거래내역을 저장단위인 블록의 연결

   2) 사토시 나카모토의 논문을 통해 최초 제안

   3) 과반수의 동의를 통해 확정된 거래는 블록으로 생성되어 일정주기로 DB에 업데이트

   4) 비트코인 기록여부의 결정 주체는 블록체인 이용자들

   5) 비트코인 지갑에서 공인된 잔액보가 이루어짐.

   6) 비트코인 지갑에는 각 개인별 비밀키가 존재하고, 이는 거래 인증 전자서명의 효과

   7) 채굴이라는 수학적 알고리즘해결을 통해 비트코인을 얻고(일종의 암호 풀기),

      블록체인에 시간적 순서를 부여하여 네트워크 중립성을 보호하는 역할

3. 비트코인의 발전 가능성

   1) 수 많은 거래내역에 대한 복호화를 해야 위변조가 가능한데, 

      현실적으로 컴퓨팅 성능으로는 불가능

   2) 주식, 채권증서, 소프트웨어 개발 인프라 등 원하는 형식의 정보를 담아서 전달 가능

      --> 중간 금융절차가 없어 익명이용 가능하고, 분산데이터베이스 방식이기에 중앙서버 관리 인력 및 비용이 없어서 거래 수수료 저렴

          --> 이는 앞으로 여러 산업에서 전자상거래, 핀테크의 혁신이!!

4. 블록체인 기술의 활용 사례

   1) 오픈소스이기에 핀테크의 다양한 영역에서 활용 기대 중

   2) 2015년 IBM과 삼성의 ADEPT라는 블록체인을 사물인터넷에 활용하려는 한 사례

   3) 2015년 나스닥 OMX에서도 활용할 계획 밝힘 <-- 거래속도 향상, 간편하고 안전한 거래 관리

연말 정산이 다가오니, 

따로 못챙긴 것들에 대해 하나씩 점검을 해보게 됩니다.

이번에 소개하는 납세자 연맹 사이트 및 공지 메일을 통해 도움을 좀 받았습니다.

간간이 포스팅 했던 내용도 여기서 참고한 내용이 좀 있습니다.  : )

이전에 경정청구로 주택청약저축 공제를 받아보기도 하였고, 장애인 공제도 받아보고 하였네요.

이번에도 중고자동차 구입 소득공제 혜택을 여기서 먼저 발견하게 되었네요 :)
그리고 부모님 부양가족 조건에 대해서도 자세히 알게 되었습니다.
관련 포스팅은 조만간 할 예정입니다. ^^

아직 후원은 안하고 있지만,
이렇게 블로그로 홍보차원에서 지원을 할까해서 포스팅 합니다. ^^

올바른 납세를 통해 국민의 절세는 물론, 정부의 투명한 예산 책정이 되었으면 하는 바램입니다.

아래는 그 동안 납세자 연맹에서 성취한 훌륭한 성과들 입니다!!