오늘 공부한 내용
오늘 공부한 내용:
- --- ## 📑 보안 컨설팅 실무 프로세스 요약 ### 1. 정보자산 중요도 평가 (CIA) 보안의 3대 요소인 **C**(기밀성), **I**(무결성), **A**(가용성)를 기준으로 자산의 등급을 매기는 과정입니다. 컨설팅에서는 이 점수의 합산 또는 곱셈을 통해 **자산 가치(Asset Value)**를 산출합니다. * **기밀성(C):** 누가 볼 수 있는가? (유출 시 피해 규모) * **무결성(I):** 정보가 정확한가? (변조 시 업무 지연) * **가용성(A):** 언제든 쓸 수 있는가? (중단 시 서비스 영향) --- ### 2. 엑셀을 활용한 점검 결과 관리 컨설턴트는 수백 대의 서버 점검 결과를 효율적으로 관리하기 위해 엑셀 수식을 적극 활용합니다. * **VLOOKUP 함수:** * **용도:** 특정 자산의 ID를 기준으로 자산 리스트에서 자산명, 관리자, 용도 등을 자동으로 불러올 때 사용합니다. * **설명:** `=VLOOKUP(찾을값, 참조범위, 열번호, 0)` -> "자산번호 101번의 담당 부서가 어디지?"를 찾을 때 필수입니다. * **INDIRECT 함수:** * **용도:** 시트 이름이나 범위를 유동적으로 참조할 때 사용합니다. * **설명:** `=INDIRECT(A1 & "!B2")` -> A1 셀에 '서버점검'이라고 적혀 있으면 '서버점검' 시트의 B2 셀을 가져옵니다. 점검 대상 시트가 여러 개일 때 유용합니다. --- ### 3. 취약점 필터링 및 위험평가 중요도가 높은 자산에서 발견된 취약점은 **위험도(Risk)**가 높게 책정됩니다. * **필터링:** 양호(OK) 항목은 제외하고, 취약(Vulnerable) 항목만 따로 모아 **결함 리스트(Deficiency List)**를 만듭니다. * **위험도 산정 식:** * 자산 중요도가 3점(상)인데 취약점이 발견되었다면, 최우선 조치 대상이 됩니다. --- ## 💼 보안 컨설팅이란 무엇인가? 보안 컨설팅은 단순히 "해킹을 막는 것"을 넘어, 기업의 **비즈니스 연속성을 보장하기 위한 전략**을 짜는 업무입니다. ### **핵심 단계** 1. **현황 분석 (As-Is):** 현재 어떤 자산이 있고, 보안 수준이 어떤지 파악. 2. **위험 평가 (Risk Assessment):** 어떤 위험이 가장 치명적인지 우선순위 선정. 3. **대응 전략 수립 (To-Be):** 취약점을 어떻게 고칠지(기술적/관리적/물리적) 이행 계획 수립. 4. **사후 관리:** 실제로 개선되었는지 확인하는 이행 점검. ### **보안 컨설턴트의 역량** * **기술적 이해:** 서버, DB, 네트워크 설정이 보안 가이드라인에 맞는지 판단할 수 있어야 함. * **규제 준수(Compliance):** 개인정보보호법, 망법 등 법적 요구사항을 아는 능력. * **문서화 능력:** 복잡한 기술적 취약점을 경영진이 이해할 수 있는 보고서로 바꾸는 능력 (엑셀/파워포인트 숙련도). ---