방법론

엔터프라이즈에서 쓰던 점검 방법론을 일반인이 이해할 수 있는 언어로 풀어 씁니다. 실제 체크리스트·점수 산정식·내부 운영 템플릿은 고객 산출물에서만 제공합니다.

여섯 가지 시선으로 본다

STRIDE 위협 모델링

Spoofing · Tampering · Repudiation · Information disclosure · DoS · Elevation. 위협을 6개 카테고리로 나눠 빠진 시선이 없는지 점검합니다.

기밀성·무결성·가용성, 세 다리 의자

셋 중 하나만 무너져도 보안은 무너집니다. 모든 통제는 세 다리 위에서 균형을 잡아야 합니다.

다섯 번 왜냐고 물어야 보이는 것

표면 원인이 아닌 구조적 원인을 찾기 위해 5단계로 ‘왜’를 묻습니다. 같은 사고가 반복되지 않게 하는 도구입니다.

정책 · 구성 · 증거 · 인터뷰

한 발견(finding)을 네 방향에서 교차로 확인합니다. 한 면만 보지 않고, 한 사람의 말만 듣지 않습니다.

공개 정책

방법론의 ‘원리’와 ‘왜 그렇게 하는가’는 공개합니다. 실제 체크리스트 항목, 점수 산정식, 내부 운영 템플릿은 비공개입니다.