고객이 원하는 것 이루어주는 스크럼 프로젝트란?

  프로젝트는  고객의 요구사항을 이행하기 위한 것입니다.  프로젝트의 결과물이 고객이 원하는 대로 잘 나와서 고객을 행복하게 해주었으면 하지만 실제로는 그렇게 만족스럽지 못한 경우가 많습니다.  고객의 요구사항은 애초에 불분명하게 정해지는 경우가 많기 때문에  진행중에 요구사항이 변경되는 경우가 빈번하고..  프로젝트를 거의 완성시켜가는 단계에서 고객이 자신이 원한던 결과물이 나오지 않았다며 대대적인 수정을 요구하게 되는 경우가 발생합니다.  이 경우 프로젝트 기간은 연장되고  제품의 품질은 떨어지며 모두가 불행해지는 프로젝트 결과가 나올 수 있습니다.

  어떻게 해야 모두가 만족하고 행복한 프로젝트를 수행할 수 있을까요?  애초에 고객의 원하는 것이 무엇인지 최대한 정확하게 규정이 되고,  고객의 요구에 따라 정확하게 프로젝트가 진행되고 있는지 중간점검이 이루어진다면   가능해질 것입니다.  모든 것을 초기에 계획해서 계획한대로  프로젝트를 진행시키는  워터폴 방식의  프로젝트 방법은 그런 면에서 어려움이 생길 여지가 많은 것이 사실입니다.  고객의 요구사항이 개략적으로 수집된 다음에 이것을 바탕으로  고객에게 바로 보여줄 수 있는 결과물을  보여주고,  몇번의 단계별로  완성되어 가고 있는 가시적인 결과물을 보여주고 고객의 요구사항을 반영하여,  고객이 만족하는 최종 결과물을  완성키는 방법이라면 가능하겠지요..  이런 방법론을 스크럼이라고 합니다. 

[그림] 점진적 (incremental) 방법과  반복적 (lterative)방법 
     출처: http://ktsysop.blogspot.kr/2012/06/blog-post_1366.html  

 처음에 요구사항을 완벽하게 정의하고 점진적으로 결과물을 부분적으로 만들다보면 중간에 수정하려면 큰 어려움이 따릅니다. 경우에 따라서는 완전히 새로 만들어야할 수 있습니다. 하지만  주기별로 고객이 볼 수 있는 중간 결과물을 설정하여 반복적으로 만들어가면 고객이 원하는 결과물을 좀더 정확하게 만들어 낼수 있는 것이지요..  위에 보이는 반복적 방법을 이용한 프로젝트 방법이 바로 ‘스크럼’입니다. 

 위키피디아에 따르면 “스크럼은 애자일 소프트웨어 개발 과정의  하나로 단순하면서도 구체적인 실천법들을 정의해 놓은 넓은 응용범위의  개발방법론이다“라고 정의하고 있습니다. 

아래는 스크럼을 이해하기 위한  중요 요소들입니다. 

1) 제품 백로그: 개발할 제품에 대한 요구 사항 목록
2) 스프린트(Sprint): 30 일의 반복적인 개발 주기
3) 스프린트 계획 회의: 스프린트 목표와 스프린트 백로그를 계획하는 회의
4) 스프린트 백로그: 각 스프린트 목표에 도달하기 위해 필요한 작업 목록
5) 일일 스크럼 회의: 날마다 진행되는 진척 상황 미팅
6) 실행 가능한 제품 개발: 스프린트의 결과로써 나오는 실행 가능한 제품 

 

 

민혁아빠 블로그에서 스크럼을 잘 정리해주고 있어서 여기에 소개합니다.
출처: http://chidoo74.blog.me/10099867456 

 

스크럼 방식은 고객의 요구 사항이 개략적으로 수집된 다음에 이걸 바탕으로 바로 고객에게 보여줄 수 있는 프로그램을 단계적인 몇 번의 단계를 거쳐서 최종적인 것을 만들자는 데에 그 핵심이 있다.  여기에서 단계라는 것을 스프린트(Sprint)라고 이야기를 하는데 각 스프린트에서는 개발적인 관점에서 해야할 일이 뭔지를 개발자들이 고객의 관점에서 중요하다고 판단되는 항목을 중심으로 판단해서 개발하고 스프린트 기간의 마지막에 그 기간동안 만들어진 결과물을 고객과 이야기하고 어떤 부분들에 대해서 좀 더 힘을 써야할 것인지를 고민하게 된다.즉 의견을 듣고 보여주고 하는 과정을 2 ~ 6주 기간을 가지고 지속적으로 반복하기 때문에 고객(혹은 고객의 관점을 대표하는 사람)의 입장에서는 내가 원하는 것이 어떤 과정으로 만들어지는지 그리고 정말로 내가 원하는 기능들이 제대로 되어가고 있는지를 확인할 수 있다.  물론 잘못 이야기한 내용을 수정한다든지 아니면 산으로 가고 있는 개발자들이 언덕쯤에 있을 때 이야기를 해서 내려오라고 알려줄 수도 있으니 말이다.

 

 

한 단계의 스프린트는 다음의 3가지 과정을 통해서 진행된다.

1) Sprint 계획회의 – 준비단계는 말 그대로 업무를 시작하는 준비를 하는 시간으로 하루정도를 소비한다. 팀원들이 스프린트 기간에 작업할 수 있는 날들이 얼마나 될지를 고려한다. (total man days for sprint period). 시간을 정했으니 우선 순위에 따라서 그 시간을 투입해서 할 수 있는 일들을 backlog 혹은 backlog의 세분화를 통해서 확인한다.  다만 하나의 처리되어야 할 업무(혹은 개발 사항)는 테스트를 포함해서 최대 5일을 넘지 말아야 한다.  만약 5일이 넘으면 그 일은 반드시 5일 이하의 일로 세분화되어야 한다. 그 일이 5일 이하의 일이라고 확신하는 근거는… 이런 근거를 확신하기 위해서 모두의 경험치를 이용하는 방법이 Planning Poker라는 업무 시간을 계산할 수 있는 게임이다.  이 게임을 한번 해보면 모두가 동의하는 결과를 얻을 수 있지 않을까 한다.

2) Sprint 실행 – 계획을 세웠으면 바로 실행이다.  실행 과정에서는 주로 일별 미팅(Daily Scrum) 미팅을 통해 업무 공유가 이루어진다.  미팅에서는 전일 있었던 일과 다음에 할 일들을 정리하고 다른 팀원들의 문제점을 해결해주기 위해서 노력한다.  물론 전체 공정을 방해할 수 있는 일들이 있다면 이런 사항들을 스크럼 마스터 혹은 프로젝트 관리자를 통해 논의하고 해결될 방안을 모색하는 추가 미팅이 진행될 수 있다.

3) Sprint 종료 – 종료 단계의 핵심은 데모를 통해 결과를 사람들에게 자랑/소개하는 기회를 반드시 가져야 한다.  데모 후 전체 스프린트 기간에 발생됐던 여러 업무 내외의 문제들을 검토하고 잘된것이나 나중에 고쳐야 할 사항들을 정리한다.  데모 후에 가지는 이 미팅을 스프린트 회고(혹은 회고 미팅)라고 이야기를 한다.

스크럼은 에자일을 표방한다.  에자일에서 이야기하는 가장 좋은 모토는 4F라는 키워드이다.

1) Fail Fast – 우선 상세한 기능들을 하는게 아니라 우선 테스트 코드를 작성하고 이 코드를 실패로 만들어주는 코드부터 시작한다.  그럼 테스트 위주의 개발이 되고, 개발자의 입장에서는 집중해야 할 부분에 자신의 전력을 쏟을 수 있게 된다.

2)  Fast Feedback – 결과물, 즉 움직이는 프로그램으로 사용자와 이야기를 한다.  요구하는 결과물을 빨리 보여주고 그것에 대한 피드백을 빨리 받게되면 결론적으로 고객이 진정으로 원하는 프로그램이 될 수 있도록 개발자가 만들어줄 수 있다는 것이다.

스크럼이 진행되는 프로세스를  아래의 도식을 보시면 더욱 쉽게 이해할 수 있습니다. 아래 도식은 김태형님의 논문에 게재된 [현재 스크럼 활동 흐름]을  인용한 것입니다. 
 출처: 김태형,”스크럼 기반의 프로젝트 관리 도구 설계”,2011, 5페이지 

 

7월이 ‘정보보호의 달’이라는 것을 아시나요?

 

  2012년 5월 정부에서는 7월을 ‘정보보호의 달’로, 7월 둘째주 수요일을 ‘정보보호의 날’로 제정하였습니다.  참여부처 (방통위, 행안부, 국정원, 지경부, 외교부, 금융위, 교과부, 국방부).   범국민적인 정보보호 행사를 벌이기로 했다는데 그다지 느끼지는 못하고 있네요.. 아.. [유령]이라는 드라마를 통해서는 많이 느끼고 있답니다.

  사실 정보보호의 달이 7월이 된 것은 2009년 ‘7.7 디도스(DDos)공격’의 경각심을 일깨운다는 의미에서 그렇게 정해지게 되었다고 합니다.  2009년 7월 7일 해킹된 파일공유사이트를 통해  1만여대의 좀비PC가 동원되어  정부기관을 포함한 22개 인터넷 사이트를 마비시켜서 사회적인 이슈가 되었었죠.   그 뒤로 3.3 DDos 사태가 벌어지기도 했습니다.   

  최근 유달리 사고가 많았습니다. 현대 캐피탈 해킹사고, 농협 잔산해킹사고, SK컴즈 및 넥슨 개인정보 유출사고 등..   덕분에 개인정보보호법이 제정될 수 있었다고 볼 수 있었으니 불행중 다행이라고 할까요?    

  7.7 DDos를 다시금 기억하고 전국민적인 차원에서 정보보호 의식을 높일 수 있는 7월이 되기를 바래봅니다.  소 잃고 외양간 고치는 일이 없도록  미리 준비하고 대비하여 인터넷 강국을 넘어서 정보보호 강국으로 성장하길 …  

   7.7 DDos 공격의 실태와 현황은 아래 링크를 참고하시기 바랍니다.
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20090729112938&type=det 

  3.3 DDos 공격 악성코드에 대한 이스트소프트의 분석보고서를 참고하세요.
http://blog.estsoft.co.kr/65  

 

아래와 같은  행사들이 7월에 예정되어 있다고합니다. 하지만  매년 하는 행사들외에..   그렇게 새로와보이는 행사는 없네요.. ^^ 전국민을 대상으로한 쉽게 공감할 수 있는 감성적인 내용의 홍보나 행사가 있었으면 좋겠습니다.  미국의 “GOT MILK”캠페인 같은  정보보호 관련 캠페인이 있었으면 좋겠습니다. 

 

1.금감원:
  1) 금융정보보호 세미나 개최 (7.6)
  2) 3회 대학생 금융보안캠프 개최  
     7월 23~25일에 천안상록리조트에서 ‘3회 대학생 금융보안캠프’를 개최한다고 합니다. 금융보안 분야에 관심을 가진 전국 대학교 3~4학년 재학생 및 대학원생은 전공 상관없이 누구나 신청 가능하며 100여명을 선발한다고 합니다. 이미 모집은 다 끝난듯합니다. ^^    

2. KISA:
  1) 정보보호의 날 기념식과 ICIS (7.11)   롯데호텔월드(잠실)  
     * 프로그램 URL:    http://icis.kisa.or.kr/icis004.php    
     * 참가신청 URL:    http://icis.kisa.or.kr/icis006.php  
     – 정보보호의 날 기념식 
     – ICIS(국제 정보보호 컨퍼런스)   

      – 지식정보보안 인력채용 박람회   롯데호텔월드(잠실)  에머랄드룸
   2) 2012 APISC 정보보호 교육 
     
(한국인터넷진흥원(KISA)에서 진행하는 개도국 정보보호 교육프로그램)  3) 정보전략 간담회 (ISP,포털,대기업,은행/증권사 CEO 100여명 참석)


기업에는 아래와 같이  정보보호의 달을 맞아  이벤트를 진행하고 있었습니다.

1. 이스트소프트 : 전국민 보안의식 업그레이드 퀴즈 이벤트

   이번에 이스트소프트에서  7월 정보보호의 달 제정을 기념하여  전국민 보안의식 업그레이드 퀴즈이벤트를 하고 있더라구요..  12개의 비교적 쉬운 질문이 주어지는데  퀴즈시작전에 전화번호를 입력받는 것은 그다지 맘에 들지았습니다. 요즘 전화번호를 요구하는 것은 일단 다 믿을 수가 없어서…  보안퀴즈를 끝내고 SNS로 공유하면  200명에게 다양한 선물을 준다고하는데  페이스북으로 공유했더니 “[알약] 나의 보안과목 성적표는? “이라는 글이 게시되더군요..  다분히 이스트소프트를 홍보하려는 상업적 의도가 느껴져서 아쉬웠습니다.  

http://www.altools.co.kr/event/alyacquiz/  

이 보안퀴즈 이벤트는  7월 3일부터 23일까지 3주간 진행되며  7월 26일(목) 이스트소프트 기업블로그를 통해 공지된다고 합니다.   주소: http://blog.estsoft.co.kr

 

 

[delsrv.exe] 윈도우2000 서버의 불필요한 서비스 삭제하기

윈도우 2000 서버는 Microsoft가  지원을 중단한 상태입니다.   하지만 여전히 현장에서는 많이 쓰이고 있지요.   서비스가 취약한 것은 맞지만  쓰지말라고만은 할 수 없죠.. ^^   어찌보면 취약하니까  더욱 지원이 필요한 것 같습니다.   어쨋든  현장에서 쓰이고 있다면  최대한 환경을 안전하게 관리하는 것이 필요한 시점입니다.  여러분들이 관리하고 있는 윈도우2000 서버가 있다면   불필요한 서비스는 최대한 사용하지 않는 것이 좋습니다.  오늘 윈도우2000 서버의 서비스를 한번 점검해보세요  ^^ 서비스관리자에서  불필요한 서비스는 사용안함으로   바꿔주세요..  오늘 글에서는 서비스를 삭제하는 것을 소개하려고 합니다.

서비스를 사용안함 설정하는게 아니고 서비스 자체를 삭제해야할 상황이 되면  별도의 도구가 필요합니다.    이를 위해서는 윈도우2000 리소스키트 도구가 필요합니다.

윈도우 2000 리소스 키드 도구 다운로드 페이지: <<이동>>

서비스를 삭제하는데는 delsrv.exe 만 있으면 됩니다.
<< doownload delsrv.exe >>

1. 다운로드한 delsrv.exe를 설치합니다.
2. c:\program files\resource kit\ 디렉토리로 이동
3. delsrv.exe “서비스명”
4. 서비스가 삭제되면  “The command completed successfully.” 출력됨

[업계가 감추려고하는 컴퓨터 보안의 진실]을 읽으며…

John viega가 쓴 [업계가 감추려하는 컴퓨터보안의 진실]이라는 책을 읽고있습니다. 원제는 [the myths of security]인데 제목을 너무 자극적으로 번역하지 않았나 싶습니다. ^^ 하지만 책내용을 전체적으로 잘 보여주는 제목이라는 생각도 듭니다. 존 비가는 맥아피에서 CTO로 재직했던 경력이 있습니다.

장 제목만 봐도 가슴이 콕콕 찔리는 거 있죠?
2장 보안: 아무도 관심 없다!
5장 좋은 보안제품의 테스트: 나였다면 그것을 사용했을까?
10장 4분만에 감염된다고?
18장 엉터리 만병통치약: 합법적인 업체들도 판다
41장 사용성과 보안성

존 비가는 “보안성과 사용성이 양립할수없다고 생각하는 것을 잘못된 이분법이다”라고 이야기하고 있습니다. “사용하기쉬우면서 보안성이 충분한 시스템을 만드는것은 가능하다”라고 말합니다.

설계자들이 충분히 관찰할 시간을 갖지않거나 대안을 고민할 시간을 갖지않은것을 문제로 지적하고 있더군요. 맥아피출신답게 안티바이러스에 관한 내용이 많이 나오는데.. 보안에 몸담고있는 분들이라면 읽어봐야할 책인 것 같습니다. 전문적인 내용을 담고있고 대안을 제시하는 책이라기보다는 문제의식을 갖고 생각을 전환하는데 도움이 됩니다. ^^

어찌보면  정보보호에 몸담은 많은 사람들이 FACT에 입각하여 보안을 하는 것이 아니라  불안에 입각하여 보안을 접근하는 경우가 많다는 생각도 듭니다.  정보보호에서 이야기하는 많은 내용들이 많은 사람들에게 진정성을 가지고 전달이 되지않는 이유가 뭔지 생각해봐야할 때인것 같습니다.  위험성이 있다고 말하지만 정말 그만큼 위험한지 검증하려는 노력을 해 본 사람이 얼마나 될까요?  미디어에  보안사고가 뜨면  이를 이용하여 최대한 사용자들의 불안감을 고취하여   요구조건을 관철하려고하는 모습은 있지는 않는지 돌아봐야 하겠습니다.  ^^  넘 부정적으로 이야기한 것 같은 생각이 드네요..    정보보호의 진정성이  사용자들을 감동시키려면 좀더 FACT에 근거한 보안을 해야할 것 같습니다.

 

목차 소개

1장 보안산업ㅣ 무너졌다
2장 보안: 아무도 관심 없다!
3장 생각보다 쉽게 당한다
4장 범죄유형
5장 좋은 보안제품의 테스트:나였다면 그것을 사용했을까? 
6장 MS의 공짜 안티바이러스가 대수롭지 않은 이유 
7장 사악한 구글(Google) 
8장 대부분의 안티바이러스 프로그램이 잘 작동하지 않는 이유
9장 안티바이러스 프로그램이 자주 느려지는 이유
10장 4분 만에 감염된다고?
11장 퍼스널 파이어월 문제 
12장 ‘안티바이러스’라고 부르자
13장 대부분의 사람들이 침입방지 시스템을 실행하지 않는 이유 
14장 호스트 침입방지 시스템이 갖는 문제점 
15장 인터넷 바다에는 피시(Phish)가 많다 
16장 슈나이어(Schneier) 숭배 
17장 인터넷상에서 다른 사람들이 안전하도록 돕기
18장 엉터리 만병통치약(Snake Oil):합법적인 업체들도 판다 
19장 두려움 속의 삶? 
20장 애플이 정말 더 안전할까?
21장 그래, 당신의 휴대폰은 보안이 되지 않아 걱정 좀 되나? 
22장 안티바이러스 벤더들이 직접 바이러스를 만든다고? 
23장 안티바이러스 업계를 위한 한 가지 쉬운 개선 
24장 오픈 소스 보안 : 눈가림용 거짓정보 
25장 사이트어드바이저(SiteAdvisor)가 정말 좋은 아이디어였던 이유 
26장 ID 도용을 막기 위해 우리가 할 수 있는 일은 없을까? 
27장 가상화:호스트보안의 묘책
28장 언제쯤에나 모든 보안 취약점들을 제거할 수 있을까? 
29장 예산에 영향 받는 응용프로그램 보안
30장 무책임한 ‘책임 공개’(Responsible Disclosure)
31장 맨인더미들어택(Man-in-the-Middle Attacks)은 신화인가? 
32장 공개 키 기반구조(PKI, Public key infrastructure)에 대한 공격 
33장 HTTPS는 형편없다:없애 버리자!
34장 허접한 자동가입방지와 편리성/보안성의 트레이드오프
35장 비밀번호의 종말은 없다 
36장 스팸은 죽었다 
37장 향상된 인증 
38장 클라우드 컴퓨팅이 보안에 취약해? 
39장 안티바이러스 기업들이 해야만 하는 일(AV 2.0) 
40장 가상사설망은 일반적으로 보안성을 약화시킨다
41장 사용성과 보안성 
42장 프라이버시 
43장 익명성
44장 향상된 패치관리
45장 개방적인 보안업계 
46장 학계 
47장 자물쇠 기술 
48장 핵심 기간시설

[이끄는 보안, 이끌리는 보안]을 읽으며 커뮤니케이션에 대해 생각해봅니다.

  오늘 국회도서관에 와서  책을 좀 읽고 있는데요..   손에 잡힌 책이 이상호님이 쓰신 [이끄는 보안 이끌리는 보안] 와우북스   2011입니다.   기술적으로 접근하지 않고 조직적인 면에서의 접근을 시도하고 있어서 더 신선하고 눈에 들어오네요.  “보안은 소통이다”라는 글이  책 앞면 디자인에 들어가 있는데  이 책에서 커뮤니케이션을 여러차례 강조하는것을 볼 수있었고  실제로 저두 현장에서 보안관리를 하는 사람으로써 정말 공감이 가는 내용이었습니다.
 
▶ 보안담당자를 위한 13가지 실천 덕목
1. 커뮤니케이션은 보안에서 더욱 필요하다
2. 보안에서 타협과 양보는 미덕이 아니다.
3. 상대방의 업무를 인정하고 이해하라
4. 정보의 수집과 활용은 정요한 업무중 하나다
5. 보안담당자의 열정에 따라 조직내 보안운명이 결정된다.
6. 보안은 100%가 없다.
7. 윤리적인 책임과 도덕적 마인드를 겸비하라
8. 신뢰와 믿음을 통한 인적 자원 네트워크를 형성하라
9. 올바른 의사결정을 위해 인터뷰를 적극 활용하라
10. 조직문화를 이해하고 보안정책을 구현하라
11. 보안은 내,외부 환경변화에 따라 지속적인 관리가 필요하다.
12. 자신만의 브랜드가치를 향상하라
13. 3-Tier 구조를 파악하고 이해하라

첫장에 에 보안담당자의 이미지를 어떤가라는 설문조사 결과를 소개하는것이 인상깊습니다. 
1. 독단적이고 권위적이다. (28%)
2. 커뮤니케이션이 다소 불편하고 부담스럽다(26%)
3. 까칠하고 깐깐하다 (22%)
4. 조직에서 반드시 필요한 사람으로 철밥통이다 (12%)
5. 전문적인 지식을 가지고 있어서 부럽다(8%)
6. 냉철하고 객관적인 사람이다(4%)

위 결과는 보안부서가 커뮤니케이션을 잘 못하고있다는 반증이네요.  정책이 그러니까 “NO” 라고 바로 말하면 커뮤니케이션이 안되겠죠?   무엇이 필요한지.. 혹시 현재의 정책에 개선사항이 필요한건 아닌지.. 새로운 해결방안은 없는지 열린마음으로 그리고 객관적인 시각으로 고민해보고 답해주는 태도가 필요한 것 같습니다.  경영자들이 현장을 돌아보며 문제를 해결하는 MBWA를 하는데  그에 못지않게 보안책임자,담당자도 MBWA를 해야할 것 같습니다.
MBWA란? 의사결정권을 가진 리더(경영층)가 직접 현장을 방문하여 업무수행의 진척도, 중요한 과제 해결을 위한 의사결정을 3현주의(현장에서, 현물을 보고, 현상을 파악하여)에 의하여 빠르게 처리하는 현장경영의 기술이자 경영혁신활동에 있어 계층간 의사소통을 원활히 하는 효과적인 방법이다. 이 방법을 통해 조직의 방침이 조직하부로 자연스럽게 전파되게 되며, 또한 현장의 체질을 강화하는 효과를 거둘 수 있다.  (네이버 지식사전에서…)
 
또 다음장에서  “타협과 양보는 미덕이 아니다”라고 바로 나오는 것을 볼 수 있었네요..  커뮤니케이션은 하되 타협과 양보는 하지 말라는 말씀…..  원칙을 가지고 있지만  열린마음으로  커뮤니케이션하고   설득하고  협업하는  보안전문가가 되어야겠다는 결심이 … 

김병만과 함께하는 “정보보호 달인되기” 동영상입니다.

정보보호를 재밌게 공부할 수 있게 해주는 유투브 동영상입니다.  달인 김병만 선생과 함께  정보보호의 세계로 떠나볼까요? 행정안전부와 한국인터넷진흥원이 공동으로 제작했으며  정보보호 생활수칙 홍보 동영상입니다.    3분정도 분량으로 분리된  동영상도 아래쪽에  리스트했습니다.  참고하세요  ^^

Part 1. (8:22)

Part 2. (7:09)

 
분리형 – 안전한 컴퓨터 이용 (2:43)

 
분리형 – 안전한 인터넷 이용 (2:16)

 
분리형 – 인터넷 사기 예방편 (2:57)

 
분리형 – 안전한 스마트폰 이용편 (3:26)

[icesword] 숨겨진 프로그램, 루트킷을 찾아줍니다.

icesword는  루트킷을 제거하기위해서  만들어진 프로그램입니다.  백신으로 잡히지 않지만  수상한 트래픽이 발생하고 있다면  답답할 노릇이죠.  이럴 경우 icesword를 사용해보세요.. 정상 파일을 잘못삭제하면  시스템에 문제가 발생할 수도 있으니 정상여부를 정확하게 파악하시는것이 필요합니다. ^^
iceword 다운로드 페이지: http://icesword.en.softonic.com/
▶ 메뉴설명
 1. Fuctions
1) Process:  실행되고 있는 프로세스의 목록을 보여주며 파일주소, 숨겨진 프로세스까지 확인및 제거 가능
2) Port : 내 컴퓨터와 원격지에 연결된 상태를 보여주고 연결된 PID를 통해 해당 프로세스 확인가능
3) Kernel Module: 로드된 시스템 파일(.SYS)이나 DLL 목록을 확인가능
4) Startup: 부팅시 자동으로 실행되는 파일목록확인 가능
5) Win32 Services: 서비스로 실행되는 프로세스 확인가능, 알려진 루트킷이나 숨겨져 있는 서비스의 경우 자동으로 빨간색으로 표시됨

6) SPI (Service Provider Interface): 서비스의 인터페이스를 확인 할 수 있는 기능
7) BHO (Browser Helper Object): 웹 브라우저나 시스템의 쉘 실행시 로딩되는 DLL확인가능 
8) SSDT (System Service Descriptor Table): 실행 중인 메모리확인가능,  수정된 값은  빨간색으로 표시됨
9) Message Hook: 프로그램 동작 시 입출력 장치의 반응및 프로그램들의 이용 값이 표시됨.  키로거  확인가능
10) Log Process/Thread Creation: 프로세스에 대한 실행 로그를 확인가능
   – 주기적인 프로그램의 구동이 의심스러울 경우 이 부분을 확인 하면 되는데요. 
11) Log Process Termination: Process/Thread가 언제 종료되었는지를 기록
12) Scan Modules Hooks: 모듈검사 및  특정 프로세스/파일 모니터링 가능
  2. Registry: 윈도우의 Regedit로는 접근 할 수 없는 레지스트리 부분까지 접근 및 삭제가 가능
  3. File: 탐색기에서도 찾을수없는 숨김 파일을 찾고 보호된 파일을 해제하는 기능
– system32\config\SAM등의 파일을 직접 copy 가능, 삭제안되는 파일 삭제가능
**아래는  프로세스 메뉴인데  윈도우에서는 감춰져있는 프로세스를 빨간색으로 보여주고 있음을 알수있습니다. 
  프로그램의 위치, 

[MBSA] MS의 가장 간편한 서버보안 점검툴

윈도우 서버의 보안취약성을 조사하기위한  가장 빠르고 간편한 방법인 MBSA를 소개합니다.
예전부터 블로그에 올려둔 내용인데  링크를 수정해서 다시  올려봅니다 .
현재 2.2버전이 배포되고 있는데  무료입니다.

Windows 서버가 가지고 있는 역할에 따라 여러가지를 점검해줍니다.
어떤것이 스캔되었는지 리포트해주고  보완책까지 보여주니  좋은 툴이라 하지 아니할수없습니다.

참고사항 :  MBSAcli :  MBSA를 명령행에서 실행하여 배치작업이 가능하게 해주는 툴입니다.
다운로드 URL: << MS 다운로드 사이트에서 >>
간략하게 서버에서 공통적으로 점검해야 할 리스트를 정리해보았습니다.
MBSA의 사항을 기본으로 약간더 추가해보았습니다. ^^

A.    Security Update (MBSA로 점검)
1. windows security updates 
2. SQL Server Security Updates:

B.    Administrative Vulnerabilites
1. Local Account Password: 계정에 불필요 사용자 제거, 패스워드는 복잡성 만족해야  (로컬계정의 패스워드 시한정하는 것은 실제론 쉽지 않아서 …. 적용이 쉽지않음)
2. filesystem:  모두 NTFS인가?  보안속성 검토
3. Autologon: Autologon 금지
4. Guest Account : Guest Account disable 했는가?
5. Restrict Anonymous: anonymous access금지되어 있는가? (win2003에선 대부분 금지되어있음)
  (win2000경우)  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
– RestrictAnonymous   REG_DWORD   0x2(16진수)
6. Administrators: 관리자 그룹에 속한 유저 확인하기: (최소로 사용하기)

C.    Additional System information
1. Auditing: 적합한 감사정책이 세워져 있는가?
      (제어판/ Administrative Tools / Local Security Policy)  (Local Policies / Audit Policy )
        -Audit account logon events (Success, Failure)
        -Audit account management (Success, Failure)
        -Audit directory service access (Failure)
        -Audit logon events (Success, Failure)
        -Audit object access (Failure)
        -Audit policy change (Success, Failure)
         -Audit system events (Success, Failure)
2. Services: 불필요 서비스의 존재 여부 (특히 Telnet)
3. Shares: 불필요 공유폴더의 존재 여부 (DMZ엔 공유폴더가 존재하지 않아야 한다.)

D.    Internet Information Services
 1. IIS status: IIS가 불필요하게 서버에 설치되고 가동되고 있지는 않는가?
 2. 관리자사이트: 사용금지

E.    SQL Server
 1. SQL status: SQL이나 MSDE가 불필요하게 서버에 설치되어 구동되고있지는 않은가?

F.    Desktop Application
 1. IE enhanced security configuration for administrators: IE 추가보안설정이 되어있는지 확인
   제어판/ 프로그램 추가제거 / 윈도우즈 구성요소 추가제거/ Internet Explorer enhanced security configuration에서
   for administrator groups 와 for all other users groups 항목을 체크해준다.
 2. Office product status: 불필요하게 서버에 오피스 프로그램이 설치되어있지는 않은가?

G.    기타사항들
1. Domain 가입 필수
2. 백신 설치 (인트라넷에서 자동업데이트 되도록 설정)
3. IP: 사설 아이피만 존재해야 함
4. 모뎀 설치 금지 
5. 중요도에 따라 MOM서버에서 모니터링 하도록  설정 필수
6. 백업 및 복구계획 (파일서버, DB서버, AD서버,)

 

Officescan의 TMBMsrv.ex가 과도한 점유율 보일때

Trendmicro의 백신인 Officescan을 사용하는 PC에서 TMBMsrv.exe라는  백신모듈중 하나가  CPU 점유율을 과도하게 차지하면서 느려지는 현상이 있었습니다.

 

이 경우  원인은 Offcescan의  self-protecting 인데요.. 클라이언트에 따라서  CPU를 많이 쓰는 상황이 발생할 수 있습니다.  이를 해결하기위해서는  Self-protecting을 해제해주면 됩니다.  다음의 방법을 따라서  문제를 해결할 수 있습니다.  아래 항목들은 모두 officescan 서버에서 실행해야 합니다.  아래 항목을 수행한 후 클라이언트가  서버에 접속이 되면  적용을 받게 됩니다.

1. ofcscan.ini의  AEGIS값 수정

C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV\ofcscan.ini

바꿀 항목은 아래와 같습니다.  아래 항목에서 값을 1에서  0으로 바꿔주세요

#AEGIS
EnableAEGIS=0

2. officescan의 웹 관리 콘솔에서  저장해주세요…
  Networked Computers/ Glgobal client settings 메뉴에서 저장버튼을 눌러주세요

여기까지 되었으면 클라이언트에서 정책을 받아가면   TMBMsrv.exe가 사라지게 되실겁니다.

 

3. officescan 10.6 일 경우,  웹 콘솔에서 Enable service 항목을  disable해주세요…
   1) Networked Computers/Additional Service Settings 메뉴로 이동 
   2) Enable service on the following operating systems 항목의 체크를 disable해주세요

개인정보보호법, 최소한 지켜야할 10가지 !!!

3월말부로 개인정보보호법의 계도기간이 종료됩니다. 계도기간이 끝나고나서  개인정보보호법을 위반이 드러나면 처벌을 받게 되지만 아직 개인정보보호법에 대비하여 준비가 되지 않은 회사가 매우 많은 상황입니다.

모든 개인정보보호법 항목을 준비하기 어렵다면  71조 6가지, 72조 3가지, 73조 3가지 총 12개 조항에 대해서는 꼭 대비하여 형사처벌 받는 일이 없도록 해야겠습니다.   개인정보보호법 71조, 72조, 73조는 개인정보보호법을 정보주체 동의 없이 이용하거나 제3자에게 부정한 방법으로 제공하는 경우, 기한이 지난 개인정보를 조치 없이 계속 이용하는 경우 등에 해당합니다. 위반 시 최고 5년 이하 징역형 또는 5000만원 이하 벌금형을 받습니다.

 

▶ 개인정보보호법 대비한  최소한도의 준수항목 10가지 (12개조항 포함)

1. 정보주체 동의 없이 개인정보를 제3자에게 제공하지 말 것
2. 영리 또는 부정한 목적과 수단으로 개인정보를 취득하지 말 것
3. 사생활 침해 우려 정보를 다루지 말 것
4. 동의 없이 고유식별정보를 다루지 말 것
5. 업무상 알게 된 개인정보를 누설하지 말 것
6. 타인 개인정보를 훼손, 멸실, 유출하지 말 것
7. 영상정보처리기기를 설치목적에 맞게 사용할 것
8. 안전성 확보 조치 없이 개인정보를 분실, 도난, 유출하지 말 것
9. 정정, 삭제에 필요한 조치 없이 개인정보를 계속 이용하지 말 것
10. 개인정보처리 정지요구를 무시하고 계속 이용하거나 제3자에게 제공하지 말 것

 

▶ 관련 전문가 의견

“방대한 개인정보보호법 전체 조항을 분석하고 대비할 수 없다면 최소한 12가지만 기억하라. 형사처벌이라는 가장 무거운 벌칙을 피하기 위해 71~73조 12가지만이라도 숙지하라. 개인정보보호법은 양벌규정이라 개인정보보호법을 위반하면 개인과 법인 양쪽으로 벌금이 부과되므로 더욱 철저한 대비가 필요하다”  – 구태언 행복마루 변호사

“최근 사업 현장을 둘러보면 전체 350만 사업자의 90% 이상을 차지하는 중소·중견기업의 문제가 심각하다. 유예 기간이 끝났기 때문에 이제 사업자의 책임이며, 사업주가 법을 위반하지 않도록 적극적으로 행동에 나서야 할 시점이다”   -이경호 고려대 정보보호 대학원 교수

 

▶ 개인정보보호법 위반 시 형사처벌 조항 12가지

 

원문참조: http://www.etnews.com/news/computing/security/2571860_1477.html