'프로그래밍/정보보안' 카테고리의 글 목록

AI

AI 역량 수요가 가장 큰 폭으로 늘어난 것은 전혀 놀라운 일이 아니다. 여러 산업과 직무에서 AI 도입 경쟁이 벌어지면서 기업은 AI를 어떻게든 활용하려 분주하게 움직이고 있다. 2024년에는 AI 역량을 요구한 채용 공고가 500만 건을 웃돌았고, 2025년에는 1년 새 400만 건 이상 늘어났다. 이제 기술 분야 밖에서 일하는 지원자라도 프롬프트 엔지니어링, 자연어 처리, 프로그래밍·코딩용 AI 활용 등 일정 수준의 AI 역량을 갖춰야 하는 상황이다.

파이썬

파이썬은 데이터 분석, 웹 개발, 소프트웨어 개발, 과학 컴퓨팅, AI·머신러닝(ML) 모델 구축 등 여러 분야에서 활용되는 프로그래밍 언어이다. 소프트웨어 개발자, 웹 개발자, 데이터 사이언티스트, 데이터 애널리스트, ML 엔지니어, 사이버보안 분석가, 클라우드 엔지니어 등 다양한 IT 직무가 폭넓게 사용하는 다목적 언어이다. 기업 환경에서의 활용 폭이 넓기 때문에 꾸준히 수요 상위권을 유지하는 기술 역량이다. 2024년에는 파이썬 역량을 요구한 채용 공고가 1,500만 건을 조금 넘었고, 2025년에는 1,800만 건에 약간 못 미치는 수준까지 늘어났다. 더 많은 조직이 코딩에 AI를 활용하고 있지만, 여전히 복잡한 코드를 직접 작성하고, AI가 생성한 코드의 프롬프트를 다듬고 품질을 검증할 수 있는 숙련 개발자 역량이 필요하다.

알고리즘

많은 기업이 코딩과 프로그래밍 효율화를 위해 AI를 도입하면서, 이런 과정을 이끌고 제어하는 기준이 되는 알고리즘에 대한 의존도도 높아졌다. 알고리즘 중심의 사고에는 데이터베이스와 프로그래밍에 대한 깊은 이해, 고차원 비판적 사고, 문제 해결 능력이 필요하다. 알고리즘 역량을 요구한 채용 공고는 2024년에는 약 18만 건에 불과했지만, 2025년에는 200만 건이 넘었다. AI가 초급 업무 상당 부분을 넘겨받으면서, 기업은 AI 시스템을 설계·지도하고 효율적인 알고리즘을 구축할 수 있는 고급 인력을 찾고 있다.

CI/CD

CI/CD 역량은 AI 도입 이후 소프트웨어 개발 라이프사이클을 효율화하는 데 필수 기술로 떠올랐다. CI/CD 역량을 갖춘 전문가는 자동화·스크립팅 도구를 구축하고, 컨테이너화, 클라우드 통합, 자동화 테스트 같은 개념을 이해하고 활용할 수 있다. 2024년에는 CI/CD 역량을 요구한 채용 공고가 700만 건에 조금 못 미쳤고, 2025년에는 900만 건을 넘는 수준까지 증가했다.

구글 클라우드

구글 클라우드는 기업의 IT 솔루션을 구축·배포·관리하기 위해 널리 사용하는 클라우드 플랫폼으로, 구글은 구글 클라우드 역량과 지식을 인증하는 여러 자격증을 제공한다. 최근 몇 년 동안 많은 조직이 업무 도구, 서비스, 데이터 저장소를 구글 클라우드 기반 서비스로 이전해 왔다. 특히 대규모 데이터를 저장하고 처리해야 하는 AI 개발 환경에서 클라우드 도구는 필수 인프라로 자리 잡았다. 2024년에는 구글 클라우드 역량을 요구한 채용 공고가 약 350만 건이었지만, 2025년에는 530만 건을 웃도는 수준까지 늘어났다.

AWS

AWS는 현재 가장 널리 쓰이는 클라우드 플랫폼이다. 여러 산업에서 클라우드 전략의 핵심 축을 담당하는 만큼, 플랫폼이 제공하는 방대한 서비스를 제대로 활용하기 위한 AWS 역량 수요도 크다. 클라우드 엔지니어, 데브옵스 엔지니어, 솔루션 아키텍트, 데이터 엔지니어, 사이버보안 분석가, 소프트웨어 개발자, 네트워크 관리자 등 수많은 IT 직무에서 공통으로 요구되는 역량이다. 2024년에도 AWS 역량은 높은 인기를 유지하며 1,200만 건이 조금 넘는 채용 공고에 요구사항으로 포함됐고, 2025년에는 1,370만 건을 넘었다.

분석 역량

AI가 초급·반복 업무 상당 부분을 대체하면서 IT 전문가에게는 더 높은 수준의 분석적 사고 역량이 요구되고 있다. AI가 내리는 판단이나 생성 결과가 항상 완벽하지 않기 때문에, 특히 숫자와 데이터 영역에서는 AI 환각과 오류를 가려낼 수 있는 인간의 시선과 분석 능력이 필요하다. 분석 역량은 이미 오래전부터 조직에 핵심으로 자리한 능력이다. 2024년에는 분석 역량을 요구한 채용 공고가 1,900만 건을 조금 넘었고, 2025년에는 2,100만 건을 웃도는 수준으로 늘어났다.

사이버 보안

AI 의존도가 높아지면서 기업의 보안 취약 지점도 함께 늘어나고 있다. 더 많은 제품과 서비스를 온라인으로 전환하고 AI를 통합하는 과정에서 공격자가 노릴 수 있는 지점이 많아진다는 의미이다. 사이버보안 역량을 요구한 채용 공고는 2024년 약 240만 건이었다가 2025년에는 400만 건을 넘는 수준까지 증가했다. AI를 보안 솔루션에 통합하든, AI를 악용한 새로운 고도화 공격을 막든, 보안은 AI 도입을 추진하는 조직이 최우선으로 고려하는 분야이다.

소프트웨어 문제 해결 역량

더 많은 조직이 기본적인 코드와 스크립트 작성에는 AI를 활용하고 있지만, 최종 결과물에서 결함, 보안 문제, 이상 징후를 찾아내는 일은 여전히 인간 IT 전문가의 몫이다. 소프트웨어 트러블슈팅 역량을 요구한 채용 공고는 2024년 900만 건이 조금 넘었고, 2025년에는 1,100만 건에 조금 못 미치는 수준까지 증가했다. 이 분야에는 소프트웨어 문제를 파악하고 고객·사용자의 문제를 해결하기 위한 커뮤니케이션 능력, 문제 해결 능력, 비판적 사고, 기술 역량이 모두 필요하다.

머신러닝

머신러닝은 AI 개발의 핵심 기술로, AI뿐만 아니라 자연어처리에 대한 높은 수준의 전문성이 요구된다. 기업은 AI 도입과 향후 확산을 뒷받침할 수 있는 ML 역량 보유 전문가를 확보하는 데 주력하고 있다. 머신러닝 역량을 요구한 채용 공고는 2024년 약 370만 건에서 2025년에는 500만 건을 넘었다. 기업이 AI 프로세스를 적극 도입하고, AI 시스템을 지원·유지할 인재를 찾는 흐름이 이어지는 한 머신러닝 역량을 갖춘 IT 전문가는 계속 높은 수요를 유지할 것으로 보인다.
dl-ciokorea@foundryco.com

'프로그래밍 > 정보보안' 카테고리의 다른 글

스크립트 보안 오류 PSSecurityException 처리 (0)	2025.03.29
Apache Log4j 보안 업데이트 권고 (0)	2022.09.01
HTTP trace 제거 (0)	2019.04.10
개인정보보호 보안 가이드 - 행정자치부 (0)	2015.04.23

1. 윈도 터미널을 실행 할 때 관리자 권한으로 실행한다.

2. 터미널(관리자) 실행 후 커맨드 창에 ExecutionPolicy 를 입력한다.

Restricted로 출력 되면 기본 실행 정책으로 개별 명령을 허용하지만 스크립트를 실행하지 않는다는 의미이다.

3. 커맨드 창에 Set-ExecutionPolicy Unrestricted 혹은 Set-ExecutionPolicy RemoteSigned를 입력 한다.

4. 커맨드 창에 ExecutionPolicy를 입력 한다.

1) Unrestricted

가. 서명되지 않은 스크립트를 실행할 수 있음

나. 악의적인 스크립트를 실행할 위험이 있음

2) RemoteSigned

가. 스크립트를 실행 가능

나. 이미 실행한 스크립트와 로컬 컴퓨터에 작성한 스크립트에는 디지털 서명이 필요 없음

'프로그래밍 > 정보보안' 카테고리의 다른 글

2026년에 주목해야 할 10대 IT 기술 역량 (0)	2025.12.01
Apache Log4j 보안 업데이트 권고 (0)	2022.09.01
HTTP trace 제거 (0)	2019.04.10
개인정보보호 보안 가이드 - 행정자치부 (0)	2015.04.23

QnA로 알아보는 log4j 보안취약점 대응 가이드.pdf

0.41MB

□ 개요
o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1]
o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고
※ 관련 사항은 참고사이트 [6] 취약점 대응가이드를 참고 바랍니다.
※ 참고 사이트 [4]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용
※ Log4j 취약점을 이용한 침해사고 발생시 한국인터넷진흥원에 신고해 주시기 바랍니다.

□ 주요 내용
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2]
o Apache Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-45046)[7]
o Apache Log4j 1.x에서 발생하는 원격코드 실행 취약점(CVE-2021-4104)[8]
※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티

□ 영향을 받는 버전
o CVE-2021-44228
- 2.0-beta9 ~ 2.14.1 이하
※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.2, 2.12.3 및 이후 업데이트 버전 제외)

o CVE-2021-45046
- 2.0-beta9 ~ 2.15.0 버전
※ 취약점이 해결된 버전 제외(Log4j 2.3.1, 2.12.2, 2.12.3 및 이후 업데이트 버전 제외)

o CVE-2021-4104
- 1.x 버전
※ JMSAppender를 사용하지 않는 경우 취약점 영향 없음

□ 대응방안
o 제조사 홈페이지를 통해 최신버전으로 업데이트 적용 [3]
※ 제조사 홈페이지에 신규버전이 계속 업데이트되고 있어 확인 후 업데이트 적용 필요
- CVE-2021-44228, CVE-2021-45046
· Java 8 이상 : Log4j 2.17.0 이상 버전으로 업데이트
· Java 7 : Log4j 2.12.3 이상 버전으로 업데이트
· Java 6 : Log4j 2.3.1 이상 버전으로 업데이트
※ log4j-core-*.jar 파일 없이 log4j-api-*.jar 파일만 사용하는 경우 위 취약점의 영향을 받지 않음
- CVE-2021-4104
· Java 8 : Log4j 2.17.0 이상 버전으로 업데이트
· Java 7 : Log4j 2.12.3 이상 버전으로 업데이트
· Java 6 : Log4j 2.3.1 이상 버전으로 업데이트
o 신규 업데이트가 불가능할 경우 아래와 같이 조치 적용
- CVE-2021-44228, CVE-2021-45046
· JndiLookup 클래스를 경로에서 제거

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

- CVE-2021-4104
· JMSAppender 사용 확인 후 코드 수정 또는 삭제
※ log4j 1.x버전 사용자의 경우 추가적인 업그레이드 지원 중지로 인해 다른 보안위협에 노출될 가능성이 높아 최신버전(2.x) 업데이트 적용 권고

□ 탐지정책
o 참고사이트 [6] 취약점 대응 가이드를 참고하여 탐지정책 적용
※ 본 탐지정책은 내부 시스템 환경에 따라 다르게 동작할 수 있으며, 시스템 운영에 영향을 줄 수 있으므로 충분한 검토 후 적용 바랍니다.
※ 공개된 탐지정책(참고사이트 [5])은 우회가능성이 있으므로 지속적인 업데이트가 필요합니다.

□ 침해사고 신고
o 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~5, certgen@krcert.or.kr)
o 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담및신고 → 해킹 사고

□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118

[참고사이트]
[1] apache 보안업데이트 현황 : https://logging.apache.org/log4j/2.x/security.html
[2] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
[3] 신규버전 다운로드 : https://logging.apache.org/log4j/2.x/download.html
[4] 제조사별 현황 : https://github.com/NCSC-NL/log4shell/tree/main/software
[5] 탐지정책 : https://rules.emergingthreatspro.com/open/suricata-5.0/rules/emerging-exploit.rules
[6] 취약점 대응 가이드 : https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=36390
[7] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
[8] 취약점 정보 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104

'프로그래밍 > 정보보안' 카테고리의 다른 글

2026년에 주목해야 할 10대 IT 기술 역량 (0)	2025.12.01
스크립트 보안 오류 PSSecurityException 처리 (0)	2025.03.29
HTTP trace 제거 (0)	2019.04.10
개인정보보호 보안 가이드 - 행정자치부 (0)	2015.04.23

요즘에 보안에 대해서 민감하기 때문에 최대한 보안에 문제되는 점은 사전에 점검한다.
HTTP method 중에 GET, POST, PUT, DELETE, TRACE, OPTIONS등
불필요한건 제거하는 게 좋다.
apache / apache-tomcat의 설정이 조금 다르다.
apache-tomcat의 경우 해당 프로젝트의 web.xml에 다음과 같이 설정해 주면 된다.

tomcat의 ajp기능 비활성 시키기

해당 웹프로젝트의 web.xml에 아래 내용 추가

<security-role>
  <description>Nobody should be in this role so JSP files are protected from direct access.</description>
  <role-name>nobody</role-name>
</security-role>
<security-constraint>
  <web-resource-collection>
   <web-resource-name>Forbidden</web-resource-name>
   <url-pattern>/*</url-pattern>
   <http-method>PUT</http-method>
   <http-method>DELETE</http-method>
   <http-method>TRACE</http-method>
   <http-method>PATH</http-method>
   <http-method>OPTIONS</http-method>

<http-method>PROPFIND</http-method>

<http-method>PROPPATCH</http-method>

<http-method>COPY</http-method>

<http-method>MOVE</http-method>

<http-method>LOCK</http-method>

<http-method>UNLOCK</http-method>

   <http-method>HEAD</http-method>
   <http-method>GET</http-method>
  </web-resource-collection>
  <auth-constraint>
   <role-name>nobody</role-name>
  </auth-constraint>
</security-constraint>

'프로그래밍 > 정보보안' 카테고리의 다른 글

2026년에 주목해야 할 10대 IT 기술 역량 (0)	2025.12.01
스크립트 보안 오류 PSSecurityException 처리 (0)	2025.03.29
Apache Log4j 보안 업데이트 권고 (0)	2022.09.01
개인정보보호 보안 가이드 - 행정자치부 (0)	2015.04.23

개인정보보호_가이드라인_201503.pdf

○ 개인정보처리시스템 개발·구축과 관련하여 개인정보보호 관련 법령, 지침 및 규정 등에 위배되지 않도록 개발자 또는 운영자가 개인정보처리시스템의 기획, 개발·구축, 운영의 각 단계별로 준수하여야 하는 조치사항 제시

○ 본 가이드라인에서는 현재 시행되고 있는 개인정보보호 관련 법령, 지침, 고시 등을 종합적으로 분석하여 개인정보처리시스템을 기획, 개발·구축, 운영 단계에서 준수 또는 고려하여야 할 사항에 대하여 제시

○ 개인정보처리시스템을 기획, 개발·구축, 운영하려는 모든 개발자 및 운영자를 대상으로 적용

○ 본 가이드라인은『개인정보 보호법』을 기준으로 작성하였으며, 정보통신사업자에 해당하는 경우 업무에 참조할 수 있도록 『정보통신망법』 등을 별도로 추가하여 언급

[목차]

Ⅰ. 가이드라인 개요 | 1

제 1 절 목적 및 개요 | 2

제 2 절 적용범위 | 2

제 3 절 가이드라인 구성 | 3

제 4 절 관련 법령 및 지침 | 4

Ⅱ. 개인정보처리시스템 기획 단계 | 5

제 1 절 목적 및 개요 | 6

제 2 절 적용범위 | 6

제 3 절 기본원칙 | 6

제 4 절 준수사항 | 7

1. 개인정보보호 관련 법령 및 지침 검토 | 7

2. 개인정보 수집 최소화를 위한 방안 마련 | 10

3. 개인정보 파기 방안 마련 | 13

4. 주민등록번호 이외 회원가입 방안 마련 | 14

5. 개인정보처리시스템에 대한 보안 대책 수립 | 17

6. 개인정보 저장 및 전송 시 암호화 방식 결정 | 20

7. 개인정보 처리(취급)방침 수립 | 24

8. 개인정보 영향평가 고려사항 ·차 | 26

9. 시큐어 코딩을 적용한 개발 방안 마련 | 28

제 5 절 참조문서 | 29

Ⅲ. 개인정보처리시스템 개발·구축 단계 | 30

제 1 절 목적 및 개요 | 31

제 2 절 적용범위 | 31

제 3 절 기본원칙 | 31

제 4 절 준수사항 | 32

1. 개인정보 수집 시 동의 획득 방안 반영 | 32

2. 개인정보 파기 방안 반영 | 36

3. 안전한 비밀번호 사용을 위한 정책 반영 | 39

4. 개인(회원)정보 파일 다운로드 제한 | 41

5. 개인정보처리시스템에 대한 접근통제 | 44

6. 개인정보 전송 및 저장 시 암호화 적용 | 46

7. 접속기록, 권한변경에 대한 로깅 및 저장 관리 | 49

8. 개인정보 처리(취급)방침 공개 | 51

9. 개인정보가 포함된 출력물에 대한 보안 조치 | 52

제 5 절 참조문서 | 54

Ⅳ. 개인정보처리시스템 운영 단계 | 55

제 1 절 목적 및 개요 | 56

제 2 절 적용범위 | 56

제 3 절 기본원칙 | 56

제 4 절 준수사항 | 57

1. 개인정보처리 위탁 시 준수사항 | 57

2. 개인정보처리시스템 원격접속 시 보안 조치 | 58

3. 개인정보처리시스템 취약점 진단 | 59

4. 개인정보처리시스템 접속기록 및 접근권한 검토 | 60

5. 개인정보 유출 시 신고 | 63

6. 개인정보 이용내역 통지 | 66

제 5 절 참조문서 | 67

[별첨]

<별첨 1> 개인정보보호 관련 규정 위반 시 처벌 | 69

<별첨 2> 개인정보보호 관련 규정 위반 시 처벌 | 71

<별첨 3> 개인정보 처리방침(샘플) | 75

<별첨 4> 취약점 분석·평가 기본항목(웹) | 81

<별첨 5> 개인정보처리시스템 개인정보보호 자가진단 표 | 83

<별첨 6> 개인정보의 안전성 확보조치 기준(개정 2014.12.30.) | 84

<별첨 7> 개인정보처리시스템 구축·운영시 이용 가능한 공개 소프트웨어 | 90

출처 : 행정자치부 | 원문자료

저작자표시 비영리 변경금지 (새창열림)

'프로그래밍 > 정보보안' 카테고리의 다른 글

2026년에 주목해야 할 10대 IT 기술 역량 (0)	2025.12.01
스크립트 보안 오류 PSSecurityException 처리 (0)	2025.03.29
Apache Log4j 보안 업데이트 권고 (0)	2022.09.01
HTTP trace 제거 (0)	2019.04.10

사랑하기 위해 필요한 것들