문제상황에 직면했을 때 떠올려봐야 할 법칙 - 하인리히의 법칙 1:29:300 으로 알려져있는 하인리히의 법칙 1931년 미국의 보험회사 관리감독자였던 H. W. 하인리히가 저서 "산업재해예방"에서 소개한 법칙을 말한다. 수천 건의 보험 고객상담을 통해 자료 분석 결과를 소개하면서 '사고는 예측하지 못하는 한 순간에 갑자기 오는 것이 아니라 그 전에 여러 번 경고성 징후를 보낸다.'고 주장하며 이를 1 : 29 : 300의 법칙으로 정립했다. 통계적으로 볼 때 심각한 사고가 1건 일어나려면 그 전에 동일한 원인으로 경미한 사고가 29건, 위험에 노출되는 경험이 300건 정도가 이미 존재한다는 것이다. 이는 삶에서 직면하는 다양한 문제상황에서도 마찬가지로 적용된다. 예를 들어 "누군가 나만 미워해" 또는 "아니 왜 이런거 가지고 트집을 잡는거야?" 하는 결과적인 상황.. 더보기 기금을 조성해서 오픈소스의 코드수준 취약점 진단을 해주면? 최근 OpenSSL Heartbleed 사건에서처럼 보안기능을 제공하는 목적의 오픈소스의 경우 취약점이 발견되면, 결과적으로 이를 패치하기 위한 노력이나 대안 소프트웨어를 찾아보고 변경하는 등 큰 사회적 비용을 유발한다. 어떤 칼럼에선 오픈소스 SW가 안전하지 않다고 하나, 오픈소스 특성상 소스가 공개되지 않는 상용 소프트웨어보다 안전할 수 있다고 믿는다. 소스코드가 공개되어 있으니 취약점진단 도구를 사용하는 등의 방법으로 보완하도록 해준다면 말이다. 오픈소스 취약점 진단 이니셔티브 쯤의 활동이 어디선가 진행이 되면 좋겠다는 생각을 해본다. 오픈소스 쪽 재단이나 상용 진단 도구를 개발하여 공급하는 쪽 등에서. 더보기 산업용제어시스템(ICS, Industrial Control System)의 사이버보안과 기존 정보보안과는 무엇이 다를까? 결론적으로 접근방법이 다르지는 않다고 생각한다. 다만, 기존 정보보안의 대상인 IT시스템과 산업용 제어시스템 간의 요구사항 차이 때문에 보안목표의 우선순위가 다르고 보증수준이 다르다.IT시스템은 정보를 처리하기 위하여 컴퓨터와 같은 물리적인 설비를 이용하지만, 산업제어시스템은 물리적인 설비를 처리하기 위하여 정보를 사용한다. 기존 정보보안에서의 대상인 IT시스템과 IT시스템을 통하여 처리되는 정보의 속성이 달라, IT시스템에서는 기밀성이 중요한 목적이지만 산업용제어시스템에서는 가용성이나 무결성이 기밀성보다 높은 우선순위를 가진다. 또한 산업용제어시스템의 경우 제어되는 설비가 실 생활에 미치는 영향이나 해당 기업에 미치는 경제적인 손실 등의 영향이 매우 크고, 광범위하기 때문에 해당 시스템에 대한 보증수준.. 더보기 이전 1 2 3 4 5 6 ··· 56 다음