보안운영관리/인프라/컨설팅 - 클라우드 보안 기초

*화이트햇 스쿨 2기에서 이수한 이론교육 내용을 바탕으로 작성되었습니다.

 

1. 클라우드 보안이란?

 

클라우드 컴퓨팅이란?

 

클라우드 컴퓨팅은 최소한의 관리 노력이나 서비스 제공자 상호 작용으로 신속하게 프로비저닝 및 릴리스할 수 있는 구성 가능한 컴퓨팅 리소스(예: 네트워크, 서버, 스토리지, 애플리케이션 및 서비스)의 공유 풀에 어디서나 편리한 온디맨드 네트워크 액세스를 가능하게 하는 모델이다. – NIST Def

 

주문형 셀프 서비스(On Demand Self Service)
- 클라우드 서비스 소비자는 주문형 셀프 서비스를 통해 풀에서 리소스를 프로비저닝한다.
- 관리자에게 문의할 필요 없이 리소스를 직접 관리할 수 있다.
광범위한 네트워크 접근(Broad Network Access)
- 모든 리소스를 네트워크를 통해 사용할 수 있으며, 물리적 액세스 없이 네트워크를 통해 사용할 수 있음을 의미한다.

 

빠른 탄력성(Rapid Elasticity)
- 클라우드 서비스 소비자는 풀에서 사용하는 리소스(프로비저닝 및 프로비저닝 해제)를 완전히 자동으로 확장하거나 축소할 수 있다.
- 이를 통해 리소스 소비와 수요를 더욱 밀접하게 일치시킬 수 있다.
(예로, 수요가 증가하면 가상 서버를 추가하고, 수요가 감소하면 서버를 반환)

 

리소스 풀링(Resource Pooling)
- 가장 기본적인 특성으로, 클라우드 서비스 공급자는 리소스를 추상화하여 풀로 수집한다.
- 풀의 일부는 다른 소비자에게 할당될 수 있다.

 

측정된 서비스(Measured Service)
- 제공되는 서비스를 측정하여 소비자가 할당된 것만 사용하도록 하고, 필요한 경우 요금을 부과한다.
- 소비자는 사용한 만큼만 비용을 지불한다.

 

클라우드 컴퓨팅의 핵심 기술 ‒ 추상화(Abstraction)와 오케스트레이션(Orchestration)
- VM(Virtual Machines): 일반적으로 가장 많이 알려진 형태의 추상화 유형으로, base 이미지를 기반으로 생성(또는 복제)되므로 인스턴스라고 불리기도 한다. 가상 시스템 관리자(하이퍼바이저)는 하이퍼바이저 운영 체제와 VM의 리소스를 분리하여 VM의 생성과 관리를 지원한다.
- 컨테이너 : 운영 체제 내 실행되는 코드 실행 환경으로, 운영 체제의 리소스를 공유 및 활용한다. 컨테이너는 기본 OS의 커널 및 기타 기능을 활용하면서 분리된 프로세스를 실행하는 제한된 환경이다. 운영 체제를 부팅하거나, 많은 새로운 서비스를 실행하지 않고 호스트 OS 에서 이미 실행 중인 서비스에 액세스할 수 있으므로 매우 빠르게 실행할 수 있다.

 

멀티테넌시(SaaS)
- 하나의 인스턴스가 하나의 서버 위에서 동작하여 여러 개의 테넌트를 서비스한다.
- 테넌트 : 인스턴스에 대해 공통이 되는 특정 접근 권한을 공유하는 사용자들의 그룹을 의미한다.
- 멀티테넌시 환경에서 여러 고객들은 동일한 데이터 스토리지 및 동일한 하드웨어의 운영체제에서 실행되는 동일한 응용 프로그램을 공유한다.
- 이점 : 서비스 제공 업자가 고객마다 새로운 시스템을 만들 필요 없으며, IT 자원 투자 최소화, 운영 시 하나의 시스템만 운영한다.

 

온프레미스란?
- IT 서비스 운영을 위해, 직접적으로 인프라를 구축하는 방식이다.
- 하드웨어와 소프트웨어를 구입하여, 시스템 구성 상황에 맞게 환경을 구성한다.
- 초기 비용이 높으며, 구축하는데 시간이 많이 소요, 관리 및 운용하는데 유지보수 비용 필요하다.

 

클라우드란?
- 클라우드 컴퓨팅은 IT 리소스를 인터넷을 통해 온디맨드로 제공하고 사용한 만큼만 비용을 지불하는 것을 의미한다.
- 물리적 데이터 센터와 서버를 구입, 소유 및 유지 관리하는 대신, Amazon Web Services(AWS)와 같은 클라우드 공급자로부터 필요에 따라 컴퓨터, 스토리지, 데이터베이스와 같은 기술 서비스에 액세스할 수 있다.

 

클라우드 서비스 모델
- IaaS : Infrastructure 레벨을 제공하는 서비스를 의미. 사용자는 OS를 직접 선택 및 상위 계층을 구성하는 모델 예) EC2
- PaaS : 개발자가 응용 프로그램을 작성할 수 있도록 플랫폼 및 환경을 제공하는 모델 예) RDS, SalesForce
- SaaS : 클라우드를 통해 제공되는 SW로 설치가 필요 없는 모델 예) MS오피스365, 웹 메일

 

Infrastructure as a Service(IaaS)
- 서비스 개념의 플랫폼 (IaaS). 운영 시스템과 응용프로그램과 같은 소프트웨어를 소비자가 임의로 배포하고 실행하기 위해 프로세싱, 스토리지, 네트워크 및 다른 기본적인 컴퓨팅 자원을 즉시 사용할 수 있도록 준비하는 기능을 소비자에게 제공한다.
- 고객은 기본적인 클라우드 인프라를 관리하거나 제어하지 않지만 운영 시스템, 저장소, 배포된 응용프로그램을 관리하며
- 네트워킹 구성요소(예: 호스트 방화벽)를 제한적으로 제어 가능하다.

Platform as a Service(PaaS)
- 서비스 개념의 플랫폼 (PaaS). 소비자에게 제공되는 기능은 프로그래밍 언어로 만들어진 응용프로그램, 라이브러리, 서비스, 공급자에 의해 제공되는 도구를 생성하거나 취득하는 방식으로 클라우드 인프라 소비자에게 배포한다.
- 소비자는 네트워크, 서버, 운영 시스템, 저장소, 개별 애플리케이션 기능까지 포함하여 기본적인 클라우드 인프라를 관리하거나 제어하지 않지만 애플리케이션의 배포와 애플리케이션 호스팅 환경의 구성 설정을 제어 가능하다.

 

Software as a Service(SaaS)
- 서비스 개념의 소프트웨어 (SaaS). 고객에게 제공되는 기능은 클라우드 인프라에서 동작하는 제공자의 애플리케이션을 이용한다.
- 개인화된 응용프로그램 구성 설정을 제외하고 소비자는 네트워크, 서버, 운영 시스템, 저장소, 개별 애플리케이션 기능까지 포함하여 기본적인 클라우드 인프라를 관리하거나 제어하지 않는다.

 

공동책임 모델 -> IaaS vs PaaS vs SaaS

 

퍼블릭/프라이빗/하이브리드 클라우드란?

클라우드 보안 아키텍처 설계 프로세스
- 1) 필요한 보안 및 컴플라이언스 요구사항을 식별한다.
- 2) 클라우드 서비스 제공자, 서비스 및 배포 모델을 선택한다.
- 3) 아키텍처를 정의한다.
- 4) 보안 제어를 평가한다.
- 5) 제어에 대한 격차(gap)를 식별한다.
- 6) 제어를 설계 및 구현한다.
- 7) 지속적으로 4~6번을 반복한다.

 

2. 클라우드 관리

 

거버넌스와 위험 관리
- 거버넌스는 조직의 운영 방식을 구성하는 정책, 프로세스 및 내부 제어가 포함된다.
구조 및 정책에서부터 리더쉽 및 기타 경영 메커니즘까지 모든 것이 포함된다.
- ISO/IEC 38500:2015 - Information Technology - Governance of IT for the organization
- ISACA - COBIT - A Business Framework for the Governance and Management of Enterprise IT
- ISO/IEC 27014:2013 - Information Technology - Security techniques - Governance of information security
- 위험 관리는 조직의 거버넌스 및 위험 수용에 따라 조직의 전반적인 위험 관리가 포함된다.
- ISO 31000:2009 - Risk management – Principles and guidelines
- ISO/IEC 31010:2009 - Risk management – Risk assessment techniques
- 정보 위험 관리는 정보 기술을 포함하여, 정보에 대한 위험 관리를 포함한다.
- 정보 보안은 정보에 대한 위험을 관리하는 도구로 정책, 계약, 보험 및 기타 메커니즘 역할을 한다.
- 정보 보안의 주요 역할은 전자 정보와 액세스에 사용하는 시스템을 보호하기 위한 프로세스와 제어 기능을 제공하는 것이다.

 

위험 관리 주요 포인트
- 클라우드 사용자는 위험에 대한 책임이 있기에 자산 구분되는 모든 영역에 대해서는 위험 평가 및 관리해야 하는 대상으로 식별해야 한다.
- 식별된 자산에 대해서는 지속적으로 평가 및 감사를 해야 하며, 그에 대한 수준은 자산에 대한 등급을 기반으로 구분하여 실행한다.
- 위험 평가 시 자산의 가치 및 요구사항에 따라 그에 대한 관리, 접근 통제 등을 구분하여 실행한다.
- 클라우드 서비스 모델 별로 평가하는 항목이 상이할 수 있으며, 해당 서비스 모델이 어떠한 용도를 기반으로, 어떠한 데이터를 기반으로 운영되는지에 따라서 평가 항목과 수준을 구분하여 할 수 있다.

 

법적문제 및 계약
- 여러 국가 법률이 동시 적용되는 경우는 다음과 같다.
- 클라우드 제공업체의 위치
- 클라우드 사용자의 위치
- 데이터 주체의 위치
- 서버의 위치
- 당사자 간의 계약에 대한 법적 관할권(관련 당사자의 위치와 다를 수 있음)
- 이러한 다양한 위치 간의 모든 조약 및 기타 법적 프레임워크
- 사고 발생 시 법적 분쟁, 소비자 보호, 감독 관할 등을 고려하여 개인신용정보 처리는 국내 소개 클라우드에 한하여 허용
(전자금융감독규정 14조의2 제8항)
- 금융권 클라우드서비스 안정성 기준 마련을 통해 안정성 확보 조치 등 금융권 클라우드 이용 및 제공에 대한 기준 제시
(전자금융감독규정 14조의2 제1항)

 

컴플라이언스 및 감사 관리
- 컴플라이언스 준수 여부를 평가하는 것은 정보보안 팀의 핵심 활동 및 거버넌스, 위험 관리의 주요 도구이다.
- 거버넌스, 리스크, 컴플라이언스를 GRC라는 약어로 통칭할 만큼 이 세가지는 보안 관리 영역의 중심 축 역할을 한다.
- 컴플라이언스는 기업의 의무(예, 기업의 사회적 책임, 윤이, 법률, 규제, 계약, 정책)에 대한 인식과 준수 여부를 검증한다.
- 컴플라이언스 프로세스는 컴플라이언스 준수 여부를 평가하고 미준수 항목을 보완하기 위한 비용과 우선순위를 산정 및 조치한다.
- 보안 제어(감사)는 컴플라이언스를 보증하기 위한 주요 도구로, 제어에 의한 평가 및 테스트는 정보보안 팀의 주요 활동이다.

 

컴플라이언스 및 감사 관리 주요 포인트

 

정보 거버넌스
- 데이터 및 정보 사용이 규제, 계약 및 비즈니스 목표를 포함한 조직의 정책, 표준 및 전략을 준수하도록 보장한다.
- 정보 거버넌스의 시작점은 정보 분류이다.
- 정보 분류 이후 정보 관리 정책을 수립하고, 클라우드 서비스 모델에 따라 관리 정책을 세부 조정한다.
- SaaS 벤더에 데이터를 전송하는 것과, IaaS 기반 서비스를 구축하는 것에 따라 데이터 분류 및 관리에 대한 영역이 상이하다.
- 데이터 저장의 위치 확인 및 법적 요건을 확인한다.
- 데이터 접근 권한 부여 시 업무에 필요한 최소한의 권한을 부여하고, 데이터 보안 라이플 사이클을 참조하여 클라우드 영향도를 확인한다.
- 데이터 저장 시 및 전송 시 암호화를 적용한다.

 

3. 클라우드 운영

 

관리 영역(ManagementPlane)과 비즈니스 연속성
- 관리 영역은 기존 인프라와 클라우드 컴퓨팅의 가장 큰 차이점이다.
- 관리 영역에 접근할 수 있는 사용자와 관리 영역 내에서 실행할 수 있는 행위를 제한하기 위한 적절한 보안 제어를 설정해야 한다.
- 관리 영역은 중앙 집중화된 체계를 구성할 수 있으며, 미관리되는 자산을 최소화할 수 있다.
- 따라서, 클라우드 사용자는 관리 영역에 접근할 수 있는 사용자를 식별 및 권한을 업무에 필요한 최소한의 권한에 한하여 부여하여 보안에 대한 이슈를 최소화해야 한다.
- 관리 영역에 대한 보안 제어를 높이는 방법은 다음과 같다.
- 관리 콘솔에 접근할 수 있거나, 특권이 부여된 계정에 대해 MFA 의무화
- 업무에 필요한 최소한의 권한 부여 및 지속적 감사
- 특권이 부여된 계정에 대한 행위 로깅 및 이상행위에 대한 알림 설정
- 월별 계정 권한 검토 및 사용자 권한 신청서 기반 승인된 권한 외 추가 권한 획득 여부 감사 및 조정 등

 

인프라 보안
- 워크로드 및 하이브리드 클라우드를 포함하는 컴퓨팅과 네트워크, 스토리지 보안이 인프라 보안에 해당한다.
* 스토리지 보안은 domain 11 데이터 및 암호화에서 다룬다.
- 워크로드에 미치는 영향을 최소화할 수 있도록 경계 보안을 구현하여 외부내에서 내부로 들어오는 엔드포인트를 특정하고 그에 대한 네트워크 보안에 투자하는 비용을 최적화한다.
* 보안 랜딩존에서 shared/network account 와 같은 외부에서 내부로 연계하는 account를 별도로 구성하여 내부 트래픽에 연계하는 이유가 이에 해당함
- VM/컨테이너/서버리스 컴퓨팅 등 컴퓨팅 자산에 대한 보안 제어(보안 요건)을 정의하여 운영한다.
- 예로 이미지를 기반으로 동적으로 인스턴스를 실행할 경우, 이미지에 대한 취약점 점검 및 테스팅을 추가하여 검증 절차를 자동화한다.

 

가상화와 컨테이너
- 가상화는 클라우드에서의 핵심 기술로, 가상화의 카테코리는 크게 컴퓨터, 네트워크, 스토리지, 컨테이너로 나뉜다.
- 가상화 기술 자체에 대한 보안(예, 하이퍼바이저 보안)과 가상 자산에 대한 보안 제어 기능을 구현 및 위험을 파악해야 한다.
- 스토리지 내 데이터에 대한 암호화, 네트워크 및 SDN 방화벽 설정(예, 보안 그룹), 가상 시스템을 실행하는데 사용되는 이미지 등에 대해 보안 요건 정의 및 그에 대한 감사를 지속적으로 해야 한다.
- 모니터링 및 로깅, 이미지 자산 관리, 가상 자산에 대한 설정 등 그에 대한 범위는 광범위 하다.
- 따라서, 그에 대한 보안 요건 정의 시 지속적으로 감사할 수 있는 체크리스트도 정의해야 한다.
예, CIS Amazon Web Services Benchmarks, CIS Docker Benchmarks, CIS VMware ESXi Benchmark

 

침해사고 대응
- 침해사고 대응은 정보보안의 중요한 측면으로, 사전 예방적 보안 통제로는 중요한 데이터가 손상될 가능성을 완전히 제거할 수 없다.
- 그렇기에, 침해사고 대응 라이프 사이클을 정의하여 준비 단계에서 대응계획을 수립 및 구성해야 한다.
* 침해사고 대응 라이프 사이클에 대한 상세한 내용은 NIST 800-61 rev 2를 참조하기 바란다.
- 침해사고 대응 라이프 사이클은 준비 -> 탐지 및 분석 -> 격리, 제거 및 복구 ->회고 로 구성된다.
- 침해사고 대응 시 준비해야 할 주요 사항은 다음과 같다.
- SLA(Service level Agreement) 및 거버넌스: 퍼블릭 클라우드(Public Cloud) 또는 호스팅 제공 업체를 사용하는 모든 침해사고는 SLA에 대한 이해와 클라우드 제공자와의 협약이 필요하다.
- SLA와 고객 및 제공자에 대한 역할 정의
- 클라우드 자산에 대한 모니터링 및 잠재적인 문제를 감지한다.
- 데이터 소스는 침해사고 발생 시 가용성을 유지하는 위치에 저장하거나 복사해야 한다.
- 데이터 소스가 필요할 경우 관리 연속성을 유지해야 한다.
- 클라우드 기반 애플리케이션은 자동화 및 오케스트레이션을 활용하여 방지와 복구가 포함된 대응을 간소화하고 신속화해야 한다.
- 클라우드 서비스 제공자의 SLA는 기업 침해 사고 대응 계획 실행에 필요한 사고 처리에 대한 지원을 보장해야 한다.
- 침해사고 대응 훈련은 매년 1회 이상 및 애플리케이션 아키텍처에 중대한 변화가 있는 때마다 실시한다.

 

애플리케이션 보안
- 애플리케이션 보안은 PaaS 및 IaaS에서 애플리케이션을 안전하게 구축하고 배포하고자 하는 부서에 대한 도메인이다.
- DevOps 파이프 라인 내 보안을 추가하거 DevSecOps 문화를 구축하는게 목표를 두고 확장해야 한다.
- 배포 파이프라인 내 위협 모델링, SAST 및 DAST 가 통합되어 보안을 자동화하는 것을 고려한다.
- 보안 정책과 표준을 업데이트하고 현행 온프레미스 기준을 클라우드 컴퓨팅 모델에 적용하지 않도록 해야 한다.

 

데이터 보안 및 암호화
- 정보 및 데이터 거버넌스를 위한 핵심 도구로, 데이터 자체의 보호와 관련된 제어에 중점을 두어야 한다. 그 중 암호화가 가장 중요하다.
- 클라우드 자산에 어떤 데이터가 들어가는지 식별한다.
- 클라우드 내 데이터 보호 및 관리를 위한 주요 제어와 프로세스는 다음과 같다.
- 접근 제어(스토리지 접근 정책 및 암호화 키 정책)
- 암호화(저장 시, 전송 시)
- 아키텍처(클라우스 서비스 제공자가 제공하는 옵션 등)
- 모니터링/경보(스토리지 내 행위 로그 및 이상행위에 대한 경보 설정)
- 클라우드 서비스 제공자가 관리하는 암호화 및 스토리지 옵션 사용을 고려한다.
- 되도록 고객 관리형 키 사용을 권장한다.
- API 및 데이터 수준을 모두 모니터링하여 로그가 컴플라이언스 및 데이터 라이프 사이클 정책 요구사항을 충족하는지 확인한다.

 

신원, 자격 및 액세스 관리(IAM, Identity, entitlement, and access management)
- 클라우드 서비스를 사용하여 신원 및 권한을 관리하기 위한 포괄적이고 공식화된 계획과 프로세스를 개발해야 한다.
- 권한은 파일이나 네트워크에 액세스하거나 특정 리소스에서 API 호출과 같은 특정 기능을 수행하는 권한을 의미한다.
- 접근 제어는 해당 권한을 허용하거나 거부하므로 액세스를 허용하기 전 사용자가 인증되었는지 확인하는 것을 포함한다.
- 자격은 신원에 대한 권한 및 모든 속성을 매핑하는 것을 의미한다.
- 위험을 제어하는 측면에서 특권을 가진 사용자 관리가 가장 효과적인 방법이다.
- 특권이 부여된 계정에 대해 검토해야 하는 항목은 다음과 같다.
  - 특권이 부여된 계정에 대해 MFA 강제화
  - 특권이 부여된 계정에 대한 행위를 로깅하고 업무에 해당하지 않은 행위에 대해 별도 경보 설정
  - 담당자 별 관리 콘솔 접근할 수 있는 IP 제한

 

4. 클라우드 보안 요건

 

클라우드 본질
- IT 자원을 소유(물리적 자산)하는 것이 아닌 접속(가상 자산)
- 변동성이 높음(유동적으로 자산이 늘어나고 줄어듬, 탄력성)
- 가상 자산에 대한 추적을 하기 위한 로깅 및 모니터링은 필수

 

금융권 클라우드의 보안 강화 필요성 대두

- 중요 정보(개인신용정보, 고유식별정보)를 다수 보유중인 금융권 클라우드의 보안 강화 필요

 

금융분야 클라우드 컴퓨팅 서비스 이용 가이드 제5장 업무 연속성 계획 및 안전성 확보 조치 방안 수립

1) 계정 관리
2) 접근 통제
3) 네트워크 보안 내부 시스템・단말기와의 연계
4) 금융회사등의 내부시스템과 클라우드 시스템 연계
5) 암호화 및 키 관리
6) 로깅
7) 가상 환경 보안
8) 보안 모니터링 및 취약점 분석・평가

 

클라우드 보안 요건
- 클라우드 보안 운영에 대한 하나의 지침으로, 인프라 구축 및 운영 방식의 표준이다.
- 클라우드 보안에 대한 기반과 그에 대한 가이드가 없을 경우 보안 요건을 정의하여 부서 간 의사소통 시 하나의 기준선이 된다.
- 기존 온프레미스를 포함하여 퍼블릭 클라우드를 포함할 수 있도록 보안 요건을 정의하는 것이 중요하다.
- 필요에 따라서는 온프레미스와 퍼블릭 클라우드를 구분하여 정의할 수도 있으나, 온프레미스와 퍼블릭 클라우드 보안 담당자가 구분되어 운영되는 것이 아니라면 보안 요건을 통합하여 운영 관리 영역을 간소화하는 것을 고려해야 한다.
- 해외 가이드에서는 보안 요건을 보안 제어(Control)라고도 칭한다.

 

5. 클라우드 보안 요건 - 계정 관리

 

AWS IAM 요약

 

계정(Root Account)
- 모든 서비스에 접근 가능
- 콘솔 및 API 접근 가능
- 빌링 및 고객 지원에 대한 접근 가능

사용자 그룹(Group)
- IAM 사용자 권한 통합 관리 용이
- 유지보수 이점
- IAM User는 여러 그룹에 속할 수 있음

사용자(User)
- 특정 서비스에 대한 접근 가능
- 콘솔 또는 API 선택적 접근 가능
- 고객 지원에 선택적 접근 가능

 

AWS IAM 정책 및 역할

 

정책(Policy)
- API 호출 시 접근제어 정책을 기반으로 인가
- 사용자, 그룹, 역할, AWS 리소스, OU 등에 적용 가능
- 정책에서 명시하지 않는 것은 거부(Deny)
- 정책 우선 순위 : 명시적 Deny > 명시적 Allow > 묵시적 Deny
- AWS root 계정의 경우 모든 AWS 리소스에 대한 모든 권한 소유

역할(Role)
- 임시 자격증명
- 특정 작업 시 임시적으로 권한 부여할 경우 사용 권장

 

계정관리 주요 확인 사항

 

금융분야 클라우드 컴퓨팅 서비스 이용 가이드 체크 리스트
- 외부 사용자에게 사용자 계정을 부여하는 경우 최소한의 권한에 한하여 할당하고 접근 통제 적용
- 사용자 계정 삭제, 중지, 공용 계정 사용 제한 등 정기적 사용자 계정에 대한 점검 수행
- 공용 계정을 불가피하게 사용해야 할 경우 사용 내역 이력화
- 사용자 계정에 대한 별도 로깅 및 모니터링 체계를 수립할 것
- 이상 징후 발생 시 통제 조치 즉시 시행
- 관리 콘솔 접근 계정 및 특권이 부여된 계정에 대해 MFA 강제화
- 관리 콘솔 접근하는 단말 지정 및 IP 제한 설정
- 클라우드 서비스 이용 시 그룹을 기반으로 권한 설정

 

Control 매핑

 

금융분야 클라우드 컴퓨팅 서비스 이용 가이드

- 각 관리자 및 이용자 별 계정을 생성
- 특별 권한이 있는 계정에 대한 별도 관리 체계 수립

 

CIS Controls Version v8

3.3 Configure Data Access Control Lists
5 Account Management
5.2 Use Unique Passwords
5.3 Disable Dormant Accounts
5.4 Restrict Administrator Privileges to Dedicated Administrator
Accounts
5.6 Centralize Account Management
6.5 Require MFA for Administrative Access
6.8 Define and Maintain Role-Based Access Control

 

6. Presentation

 

Presentation이란
- 한정된 시간 동안 나의 주장을 효과적으로 전달하여
- 나의 주장에 동의하도록 청중을 설득하고
- 내가 원하는 결과를 얻어내기 위한 커뮤니케이션의 한 유형

 

Presentation목적
- 문제 제기를 통해 청중에게 해결책을 제시하고 청중의 행동변화를 이끌어내는 양방향 커뮤니케이션

 

Presentation 고려 사항

- 왜 Presentation 하는가?

- 누구를 설득하고자 하는가?

- Presentation에 걸리는 시간은 어느 정도인가?

 

Presentation고려사항 ‒ 3P

Presentation 준비

- PPT 준비 – 방향성, 자료 조사, 서론/본론/결론 논리 구조 구성
- 연습 – 각 장표별 핵심 키워드 도출, (비 권장) 스크립트 작성
- D-Day - 리허설