CLOUD_IN_DOVI

CISSP 자격은 평소 한 단계의 통과로 끝나지 않고, 효율적으로 목적을 이루기 위해서는 연계적인 관리가 필요합니다.(ISC)²는 CISSP 보유자에게 매년 허용된 CPE(계속 전문 교육) 점수를 청구하고 있어요.이 글에서는 CISSP 자격을 갱신할 수 있도록 CPE의 기본 구조, 인정되는 활동, 무료 CPE 확보 방법과 관리 회피 전략까지 정리해드립니다.1. CPE란 무엇인가요?CPE(계속 전문 교육)는 각자가 허용된 CISSP 자격을 복잡적으로 유지하고 있다는 것을 보증하는 구조입니다.가장 큰 가치는 ‘가령과 방안을 가장 지켜서 보고 있다’는 점이죠.CISSP는 매년 최소 40 CPE, 3년 경과 120 CPE 점수를 계산에 보고해야 합니다.2. 갱신 가능한 CPE 활동 예시보안 관련 컨퍼런스, 세미..

CISSP(Certified Information Systems Security Professional)는 8개의 도메인으로 구성되며, 각 도메인은 정보보안 실무와 밀접하게 연계되어 있습니다.이 글에서는 CISSP를 준비하는 수험생들이 더 효율적으로 합격하기 위해, 도메인 우선순위와 학습 전략, 시험 적응 방법 등을 정리해드립니다.1. 도메인 우선순위 설정: 어디부터 시작할까?개인의 약점과 학습 시간, 도메인의 실무 활용도를 고려해 전략적으로 순서를 정하는 것이 좋습니다.가장 먼저 시작하기 좋고, 비교적 학습 부담이 적은 도메인- Security and Risk Management- Communication and Network Security- Identity and Access Management상대..

CISA 자격증을 어렵게 따고 나면 끝일까요? 아닙니다. ‘합격’은 시작일 뿐이고, 이후에는 자격을 유지하기 위한 관리가 필수입니다.ISACA는 CISA 보유자에게 매년 일정량의 CPE(Certified Professional Education) 학습을 요구하며, 이를 충족하지 못하면 자격이 일시 중지되거나 박탈될 수도 있어요.이 글에서는 CPE의 개념부터 연간 관리 전략, 효율적인 CPE 확보 방법까지 실무 관점에서 정리해드립니다.1. CPE란 무엇이고 왜 필요한가요?CPE는 자격을 유지하기 위한 교육점수로, CISA 보유자는 매년 최소 20시간, 3년간 총 120시간을 충족해야 합니다.이는 보안 환경이 빠르게 변화하는 만큼, 자격을 가진 사람이 최신 지식과 역량을 지속적으로 갖추고 있음을 증명하기 위..

정보보안에 관심이 많거나 보안, 감사, 리스크 관리 분야로 진출하고 싶은 분들이라면 한 번쯤 CISA 자격증 취득을 고민해보셨을 겁니다.저 역시 비전공자이자 비감사인 출신으로, 막막한 마음으로 CISA를 준비했고 결국 합격까지 할 수 있었습니다.이 글에서는 그런 저의 실제 경험을 바탕으로, CISA 시험을 어떻게 준비하면 좋을지 공부 순서부터 교재, 시험 당일 팁까지 현실적인 전략을 소개해드리겠습니다.1. CISA 공부, 어디서부터 시작해야 할까?CISA는 암기보다 개념의 이해가 중요한 시험입니다. 다섯 개 도메인에서 각각의 역할과 흐름을 정확히 이해해야 실제 문제에 대응할 수 있어요.가장 먼저 할 일은 각 도메인의 개요를 훑고, 시험이 어떤 구조로 구성되어 있는지 파악하는 것입니다.전체적인 숲을 먼저 ..

2025년 상반기는 유례없이 다양한 보안 사건이 연이어 터지며 보안 실무자들에게 많은 인사이트를 던져주었습니다.이번 아카이브에서는 2025년 1월부터 5월까지 발생한 주요 보안 이슈들을 정리하고, 실무 관점에서 어떤 대응이 필요했는지 함께 살펴보겠습니다.🔐 1. SKT 유심 백도어 사건 (2025년 2월)수만 개의 유심칩에 백도어가 심어진 사실이 드러나며 큰 충격을 준 사건입니다.보안 키 관리 체계와 공급망 보안(Supply Chain Security)의 중요성을 다시 한번 환기시켰으며, 통신사 내부 개발 프로세스 전반의 보안 검증 강화 필요성이 부각되었습니다. 핵심 포인트: 펌웨어에 삽입된 코드 분석 결과, 원격 명령 실행 가능성 있음 실무 대응: 통신망 장비 및 칩셋 레벨 코드 리뷰 프로세스 구..

조직의 보안 로그를 효과적으로 통합하고 분석하는 것은 현대 보안 운영의 핵심입니다.Microsoft Sentinel은 Azure 기반의 클라우드 네이티브 SIEM 및 SOAR 솔루션으로, 다양한 데이터 소스를 통합하여 위협을 탐지하고 대응할 수 있도록 지원합니다.이번 글에서는 Microsoft Sentinel의 개념부터 실무 적용 방법, 그리고 주의해야 할 사항까지 상세히 다뤄보겠습니다.🔍 Microsoft Sentinel이란?Microsoft Sentinel은 클라우드 기반의 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션으로, 다음과 같은 기능을 제공합니다:다양한 데이터 소스의 보안 로그 수집 및 통합AI 및 머신 러닝 기반의 위협 탐지자동화된 대응 ..

Azure 환경에서의 보안은 단순한 방화벽을 넘어서 세분화된 네트워크 접근 제어까지 요구됩니다.그 중심에는 바로 NSG(Network Security Group)이 있습니다.이번 글에서는 NSG의 개념부터 구성 요소, 실무 적용 팁까지 함께 살펴보겠습니다.🔍 NSG란 무엇인가?NSG는 Azure Virtual Network(VNet) 내 트래픽을 필터링하는 보안 구성 요소입니다.서브넷 또는 개별 NIC(Network Interface)에 적용되어 인바운드/아웃바운드 트래픽을 제어하며, 다음 기준을 기반으로 동작합니다:소스 및 대상 IP 주소포트 번호프로토콜 (TCP, UDP 등)트래픽 방향 (Inbound/Outbound)우선순위 (숫자가 낮을수록 먼저 적용) 🛠 실무에서의 NSG 설정 핵심실제로 N..

Azure Key Vault는 조직 내 암호, 암호화 키, 인증서를 안전하게 저장하고 관리하기 위한 Azure의 기본 보안 서비스입니다.민감한 정보의 노출을 방지하고, 각종 애플리케이션에서 필요한 비밀값을 안전하게 불러오기 위한 구조를 제공합니다.특히 App Service, Azure Kubernetes Service(AKS), Function 등 다양한 서비스와의 연동이 간편하며,실제 실무에서는 Key Vault를 중심으로 '중앙 집중형 보안 자산 관리'를 구현합니다.🔐 Azure Key Vault의 주요 기능비밀(Secrets) – DB 암호, API 키 등 민감한 문자열 저장키(Keys) – RSA, EC 키 저장 및 암호화/복호화 작업 수행인증서(Certificates) – 자체 발급 또는 CA..

Microsoft Defender for Cloud는 Azure 환경의 보안 상태를 평가하고, 위협을 사전에 탐지할 수 있도록 돕는 통합 보안 플랫폼입니다. 이 도구는 단순한 모니터링을 넘어, 취약점 자동 수정, 보안 점수 관리, 멀티 클라우드 연동까지 지원합니다. 보안 조직에서 Azure를 사용하는 이상, 반드시 설정해두어야 할 핵심 보안 서비스 중 하나입니다.특히 최근에는 AWS와 GCP까지 연동 가능한 기능이 강화되며, 하이브리드 또는 멀티 클라우드 환경을 사용하는 조직에게도 강력한 선택지가 되고 있습니다.🔍 핵심 기능 요약Security Score – 전체 구독 및 리소스의 보안 점수를 수치화하여 관리Recommendations – 보안 권장사항을 자동 분석해 개선 포인트 제시Alerts & I..

인터넷을 사용하다 보면 출처가 불분명한 파일을 다운로드하거나, 이상한 링크를 받게 되는 경우가 종종 있습니다. 이럴 때 "이거 클릭해도 될까?", "혹시 바이러스 아니야?"라는 의심이 들곤 하죠. VirusTotal은 이런 고민을 해결해주는 대표적인 무료 보안 분석 도구입니다.전 세계 70개 이상의 백신 엔진과 URL 분석 도구를 기반으로 파일이나 링크를 스캔하여 악성 여부를 진단합니다. 보안 전문가뿐 아니라 일반 사용자도 간편하게 사용할 수 있는 직관적인 UI 덕분에, 보안 업계에서는 이미 ‘1차 판단 도구’로 자리잡았습니다.🔍 VirusTotal, 어떤 도구인가요?VirusTotal은 Google이 인수한 보안 전문 기업 ‘Chronicle’이 운영하는 무료 악성코드 분석 플랫폼입니다. 사용자는 파..