2016년 12월 31일 토요일

소프트웨어 취약점 줄이는 권고사항 (NIST,2016. 12. 11)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2713
 

소프트웨어 취약점 줄이는 권고사항

미국 국가표준기술연구소(NIST)는 개발자들이 소프트웨어의 취약점 사례를 줄일 수 있도록 하는 권고사항을 제공하는 보고서를 발표하였다.

이 보것는 다섯가지 기술 접근을 제시한다.

즉 코드 기능 검증을 위해 수학기반의 도구 사용, 한 개의 취약한 부분으로 인해 전체 시스템이 영향을 미치지 않도록 프로그램 모듈화, 코드 분석 도구 연결, 적절한 프로그램 언어 사용 및 공격 대상이 되는 코드를 보호하기 위해 혁신적이고, 신기술 적용 등이다.





2016년 12월 29일 목요일

10억 야후 사용자의 데이터베이스 30만 달러에 팔림

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2711
 

10억 야후 사용자의 데이터베이스 30만 달러에 팔림

개요다크웹에서 3명의 구매자가 30만 달러에 구매
 

주요내용 
스패머를 포함한 3명의 구매자가 2013년에 유출된 야후 10억명 사용자의 데이터베이스를 다크웹에서 30만 달러에 구매한 것으로 알려짐

※ 다크웹(Dark Web) : 딥웹(Deep Web) 이라고도 하며, 일반적인 검색엔진으로는 찾을 수 없어 주로 불법적인 정보가 거래되는 웹
 

데이터베이스에는 야후 사용자의 이름, 비밀번호, 생일, 전화번호와 백업 이메일 주소, 보안 관련 질문과 답변이 포함됨
 
암호화 되지 않은 보안 관련 질문과 답변은 비밀번호 초기화 옵션을 통해 야후 사용자 계정에 접근할 수 있어 문제가 심각함
                                      
야후 데이터베이스의 가격은 야후의 개인정보 유출 발표 및 비밀번호 변경 권고 이후 떨어졌지만, 현재 2만 달러에 사겠다는 구매자도 있음
 
보안업체인 인포아머의 CEO는 금년에 야후 데이터베이스의 복사본을 획득한 후 미국 및 유럽연합,
 캐나다, 호주의 법률 집행 당국과 접촉함

 야후 사용자들은 비밀번호 및 보안 관련 질문과 답변을 가능한한 빨리 변경하기를 권고함

[출처]
1. 1-Billion Yahoo Users’ Database Reportedly Sold For $300,000 On Dark Web, 2016.12.16
    http://thehackernews.com/2016/12/yahoo-hacking.html


2016년 12월 18일 일요일

개인영상정보 보호법 제정안 입법예고(행정자치부, 2016.12. 16)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2707

모든 영상기기로부터 국민 권익을 안전하게 보호한다
- 행정자치부, 「개인영상정보 보호법」 제정안 입법예고 -



행정자치부공고 제2016-370호

개인영상정보 보호법」을 제정하는 데에 있어, 그 제정이유와 주요내용을 국민에게 미리 알려 이에 대한 의견을 듣기 위하여 「행정절차법」 제41조에 따라 다음과 같이 공고합니다.
2016년 12월 16일
행정자치부장관

「개인영상정보 보호법」 제정법률(안) 입법예고

1. 제정이유
영상정보 처리 기술의 고도화 및 사회적 유용성 증대로 사회 모든 영역에 걸쳐 영상정보처리기기의
설치·운영이 크게 증가하고 있으나, 국가 사회 전반을 규율하는 개인영상정보 보호 원칙과 기준이 마련되지 못해 개인영상정보의 오·남용 및 사생활 침해 등에 대한 우려가 증가하고 있는 바, 개인영상정보 보호 원칙과 처리 단계별 기준 등을 규정하고 피해 구제 제도를 강화함으로써 모든 영상정보처리기기로부터 국민의 권리와 이익을 보장하려는 것임

2. 주요내용

가. 개인영상정보 보호의 범위(안 제2조)
1) 공공기관뿐만 아니라 민간사업자 및 비영리단체 등 업무를 목적으로 개인영상정보를 처리하는 자는 이 법에 따른 규정을 준수하도록 함
2) 영상정보 처리 기술의 발전을 고려하여 고정형 및 이동형(착용형, 휴대형, 부착형 등) 등 모든 형태의 영상정보처리기기를 규율함
3) 개인영상정보 보호 원칙을 규정하는 일반법 체계가 마련됨에 따라, 그동안 법률 적용을 받지 않았던 사각지대가 해소될 것으로 기대

나. 영상정보처리기기의 설치·운영에 대한 기준 마련(안 제6조~제9조)
1) 모든 영상정보처리기기를 설치·운영 형태에 따라 고정형과 이동형으로 구분하고, 법령에서 구체적으로 허용한 경우 등을 제외하고는 당초 설치·운영 목적 외의 용도로 운영할 수 없도록 함
2) 고정형 영상정보처리기기는 현행과 같이 범죄예방 및 수사, 화재예방 등 특정 목적을 위한 경우에 한해 설치·운영을 허용하는 한편, 학술연구, 연구개발 등을 위한 경우에는 행정자치부의 허가를 통해 안전하게 설치·운영할 수 있도록 함
3) 이동형 영상정보처리기기는 촬영 장소 및 범위를 특정하기 어렵고 일상 생활 전반에서 널리 활용되고 있음을 고려하여 인격권이나 사생활의 자유 등 타인의 자유와 권리를 부당하게 침해하지 않는 범위 내에서 운영할 수 있도록 함
4) 영상정보처리기기의 설치·운영 기준을 마련함으로서 공공기관 및 민간사업자 등의 무분별한 영상정보처리기기 설치·운영을 예방하고 국민의 개인영상정보 보호를 강화할 수 있을 것으로 기대

다. 개인영상정보 처리 단계별 보호기준 마련(안 제10조~제11조)
1) 영상정보처리기기의 특성을 고려하여 개인영상정보를 수집·이용 또는 제공할 수 있는 경우를 구체적으로 명시함
2) 다만, 영상정보처리기기를 통해 공개된 장소를 촬영할 경우 의도하지 않은 개인영상정보 수집이 발생할 수 있음을 고려하여 사후적으로 열람 및 삭제요구권 등 영상정보주체의 권리를 보장
3) 공공기관이 개인영상정보를 당초 목적 외 용도로 이용하거나 제3자에게 제공한 경우 그 사실을 인터넷 홈페이지 등을 통해 공개토록 하여 개인영상정보의 관리를 투명하게 하고 오·남용 우려를 예방함

라. 개인영상정보의 수집 사실 표시(안 제12조)
1) 일정한 장소에 설치되어 영상정보를 수집하는 고정형 영상정보처리기기는 현재와 같이 안내판을 통해 수집 사실을 표시토록 함
2) 설치 장소나 촬영 범위 특정이 어려운 이동영 영상정보처리기기는 안내판, 불빛, 소리 등 가능한 수단으로 수집 사실을 표시토록 함

※ 다만, 무인항공기(드론)와 같이 안내판, 불빛, 소리 등으로도 수집 사실 인식이 곤란한 경우는 대통령령으로 정하는 전자적 방식으로 표시 

3) 개인영상정보를 수집하는 경우 수집 사실을 표시토록 함으로서 영상정보주체의 자기정보결정권이 강화될 것으로 기대

마. 개인영상정보의 안전한 관리를 위한 조치(안 제14조~제15조)
1) 개인영상정보처리자는 개인영상정보가 분실, 도난, 유출 등이 되지 아니하도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 의무화
2) 개인영상정보처리자는 개인영상정보 보호책임자를 지정토록 하고, 보호책임자는 내부 관리체계 구축 등의 업무를 수행토록 함. 다만 보호책임자를 별도로 지정하지 아니한 경우에는 대표자를 보호책임자로 간주하여 법적 책임을 부과

바. 영상정보처리기기 운영현황 점검(안 제16조)
1) 영상정보처리기기를 운영하는 공공기관과 일정 규모 이상의 영상정보처리기기를 운영하는 법인 등 대통령령으로 정하는 자는 매년 이 법의 준수 여부에 대한 자체 점검을 실시하고, 그 점검 결과를 행정자치부에 신고토록 함
2) 이 법 준수 여부에 대한 자체 점검을 통해 개인영상정보처리자의 자율적인 법 준수가 강화되고, 공공 및 민간분야의 영상정보처리기기 운영 현황 파악을 통해 관련 정책 효율성이 제고될 것으로 기대

사. 통합관제센터 운영·관리 강화(안 제17조~제20조)
1) 지방자치단체가 구축·운영하는 CCTV 통합관제센터의 법적 근거를 명확히 하고, 통합관제센터 운영계획을 행정자치부에 신고토록 함
2) 통합관제센터 구축·운영시 영향평가, 목적 외 관제 금지, 종사자 자격과 근무 수칙 등의 규제를 명확히 함으로서 통합관제센터가 처리하는 개인영상정보의 보호가 강화될 것으로 기대

아. 영상정보주체의 권리 보장(안 제21조부터 제25조까지)
1) 영상정보주체에게 개인영상정보의 열람 또는 출처확인 요구권, 보관 요구권, 삭제 또는 처리정지 요구권 등을 부여하고, 그 권리행사 방법 등을 규정함.
2) 개인영상정보처리자는 개인영상정보의 안전한 관리와 열람·출처확인·보관·삭제요구 등 영상정보주체의 권리 보호를 위해 개인영상정보의 처리 이력을 관리하도록 함
3) 영상정보주체의 권리행사 방법과 절차 등을 법률에 명확히 규정함으로써 영상정보주체가 훨씬 용이하게 자신의 개인영상정보에 대한 자기통제권을 실현할 것으로 기대.

자. 적용의 일부 예외(안 제27조)
1) 개인정보 자기결정권과 언론·종교의 자유 등 다른 헌법적 가치와의 균형을 위해 국가안전보장, 공공의 안전과 안녕, 언론·종교단체·정당의 고유목적 달성 등을 위한 경우에는 이 법의 적용을 제외함

카. 영상정보처리기기의 종합적 관리체계 마련(안 제28조)
1) 행정자치부장관은 영상정보처리기기가 중복되거나 불필요하게 운용되지 않도록 종합적인 관리체계를 구축하고, 공공기관이 준수해야 할 영상정보처리기기 설치·운영 지침이나 기술기준을 정할 수 있도록 함
2) 종합적 관리체계 마련을 통해 영상정보처리기기의 무분별한 설치·운영을 예방하고, 예산 집행의 효율성을 제고할 수 있을 것으로 기대

타. 개인영상정보 침해사실의 신고(안 제31조)
1) 개인영상정보처리자로부터 권리 또는 이익을 침해받은 자는 행정자치부에 그 침해사실을 신고할 수 있으며, 행정자치부는 신고 접수 및 업무처리 지원을 위해 개인영상정보 침해신고센터를 설치·운영함.
2) 개인영상정보 침해사실을 신고하고 상담할 수 있는 창구를 마련하여 영상정보주체의 신속한 권리구제와 고충처리에 기여할 것으로 기대

파. 시정 명령 또는 시정 권고(안 제33조).
1) 행정자치부장관은 과태료 처분 사유가 되는 위반 행위가 즉시 시정 가능한 경미한 위반 행위인 경우에는 과태료를 처분하지 아니하고 1개월 이내의 기간을 정하여 시정을 명령할 수 있도록 함
2) 행정자치부장관은 개인영상정보가 침해될 우려가 있다고 판단되는 경우 등에는 침해행위 중지 등의 시정을 권고할 수 있도록 함
3) 영상정보처리기기가 일상 생활 전반에 널리 활용되고 있음을 고려할 때, 처벌 위주 집행 보다는 시정명령 또는 권고 중심의 집행을 통해 이 법 규정이 사회 전반에 안정적으로 정착 될 것으로 기대

3. 의견제출
이 제정안에 대해 의견이 있는 기관·단체 또는 개인은 2017년 1월 24일까지 통합입법예고센터(http://opinion.lawmaking.go.kr)를 통하여 온라인으로 의견을 제출하시거나, 다음 사항을 기재한 의견서를 행정자치부장관에게 제출하여 주시기 바랍니다.

가. 예고 사항에 대한 찬성 또는 반대 의견(반대 시 이유 명시)
나. 성명(기관ㆍ단체의 경우 기관ㆍ단체명과 대표자명), 주소 및 전화번호
다. 그 밖의 참고 사항 등

※ 제출의견 보내실 곳
- 일반우편 : 서울특별시 종로구 세종대로 209 정부서울청사 207호
- 전자우편 : jijung@korea.go.kr
- 팩스 : 02-2100-4140

4. 그 밖의 사항
 본 개정안 전문은 법제처 홈페이지(http://www.moleg.go.kr > 입법예고)에 게재되어 있으며, 개정안에 대한 자세한 사항은 행정자치부 개인정보보호협력과(전화 02-2100-4141, 팩스 02-2100-4140)로 문의하여 주시기 바랍니다.

5.첨부
개인영상정보 보호법 제정안 입법예고개인영상정보 보호법제정안개인영상정보 보호법 제정안 조문별 제정 이유서

2016년 12월 12일 월요일

금융회사 경영자를 위한 정보보안 경영가이드(금융보안원)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2704
 

금융회사 경영자를 위한 정보보안 경영가이드
 


최근 금융산업은 생존을 위해 새로운 혁신이 요구되는 시대가 다가 왔으며, 이에 금융회사들은 금융과 IT의 융합을 통해 다양한 서비스의 혁신을 시도하고 있습니다. 이와 더불어 금융권 규제의 패러다임은
정부주도의 사전규제에서 민간중심의 자율규제로 전환되었습니다.

이러한 금융환경의 변화들은 금융회사들에게 최소한의 정보보안 법규 준수 활동에서 벗어나, 앞으로
정보보안 리스크 관리 활동을 강조하는 자율역량을 요구하고 있습니다.

앞서 일본 경제산업성(METI)에서도 이러한 변화에 발맞추어 경영자에게 인식 제고 및 적극적인 지시를 주문하는 「사이버 보안 경영 가이드라인」을 제정(‘15.12월)한 바 있으며, 미국 등 주요7개국(G7)도
「금융업계의 사이버보안을 위한 기본요소」 문서를 통해 8가지 핵심사항을 발표한 바 있습니다.

금융회사 경영자를 위한 정보보안 경영가이드」는 경영진이 각자의 정보보안 역할을 충실히
이행하는 금융보안 거버넌스 체계의 확립을 위해서 무엇보다 최고경영자의 근본적인 인식 변화와
적극적인 ‘지시(direct)’의 역할이 필요함을 강조하고 있습니다.
아무쪼록 본 가이드가 금융회사의 정보보안 경영에 많은 도움이 되길 바라며, 가이드 작성에 수고해
주신 전문가 및 관계자 여러분들께 심심한 감사의 말씀을 전합니다.

2016년 11월
금융보안원 원장 허 창 언
 

2016년 12월 9일 금요일

위치정보의 보호 및 이용 등에 관한 법률 개정안 의결(방송통신위원회,2016.12.06)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2700
 

방통위, 위치정보법 개정안 의결


방송통신위원회(위원장 최성준)는 사물인터넷, 클라우드 컴퓨팅 등 정보통신기술(ICT) 발전에 따라
개인·위치정보를 활용하는 다양한 서비스가 증가하고 있는 상황에서, 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있도록 개인정보보호 관련 법체계간 정합성을 맞추고 글로벌 스탠더드(global standard)를 고려하는 한편, 보호에 미비했던 사항을 보완하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’), 「위치정보의 보호 및 이용 등에 관한 법률」(이하 ‘위치정보법’) 및 위치정보법 시행령 개정안을 의결하였다고 밝혔다.

이번에 의결된 개정안은 지난 9월 21일 위원회 보고 후, 9월 23일부터 11월 2일까지 진행된 입법예고 기간 중 제출된 시민단체, 업계 및 정부기관의 의견을 종합적으로 고려하여 개인정보 보호는 강화하면서도 규제를 합리화하기 위하여 마련된 수정안이다.

② 위치정보법 개정안 주요 내용

’05년 제정된 이후 시장환경 변화 및 글로벌 트렌드를 반영하지 못하였던 위치정보법도 개정안을 대폭 마련하였고, 법적 미비사항을 보완하여 정보통신망법과의 정합성을 제고하였다.

먼저 진입규제를 합리화하였다. 택배영업을 위한 드론과 같이 순수하게 사물위치정보*를 수집하는
사업도 개인위치정보 수집의 경우와 동일하게 허가제를 적용해 과도한 진입장벽으로 작용하고 있어,
사물위치정보사업에 대해서는 현행 허가제를 신고제로 완화하였다.

 * 위치정보 개념에서 개인위치정보(다른 정보와 결합하여 특정 개인 위치를 알 수 있는 경우 포함)를 제외한 개념이며, 드론의 위치정보 등이 주요 사례임

 또한 소규모 사업자를 위해 신고간주제를 도입하였다. 스타트업 등 영세사업자가 많은 위치기반서비스사업의 경우, 수익성이 불투명한 서비스 준비를 위해서도 사업계획서를 작성해야 하는 등 현행 신고제가 부담이 되어 신규 서비스가 지연되는 문제가 발생하였다. 이에 1인 창조기업 등 소규모 사업자가 상호?소재지 등 일정 사항을 방통위에 보고하면 신고사업자로 간주하도록 하였다.

불필요한 동의규제도 합리화하였다. 현행법은 사물위치정보에 대해서도 세계적으로 유례가 없이 소유자의 사전동의를 요구하고 있고, 현실적으로 소유자의 동의를 받기 곤란한 경우가 있어서 글로벌 스탠더드에 맞게 소유자의 사전동의 없이도 사물위치정보가 처리될 수 있도록 규정하였다.

또한 이용자의 피해구제를 강화하고 위치정보법 위반행위에 대한 규제의 실효성 강화를 위해 정보통신망법 등에서 도입한 징벌적 손해배상제도 및 법정 손해배상제도를 도입하였으며, 형사처벌 외에 행정제재가 가능하도록 시정조치 및 과징금 규정을 신설하였다.

그간 미비했던 규제체계도 정비하였다. 클라우드 컴퓨팅 확산 등으로 위치정보의 처리위탁 및 국외이전 사례가 늘어나고 있으나, 정보통신망법과 달리 이에 대한 법적 근거가 미비하였다. 이에 위치정보 처리위탁 규정 및 국외이전 규정을 신설하여 관련 규제체계를 명확히 마련하였고, 아울러 정보통신망법 개정안의 경우와 같이 국외재이전에 대한 법적 보호장치, 국외(재)이전 중단 명령권 등을 도입하였으며, 개인위치정보 수집·이용 등에 대한 사전동의 예외 규정을 보완하였다.

방송통신위원회는 기존 개인정보 규제를 합리화하고 각종 개인정보 보호장치를 도입함에 따라, 우리 국민의 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있을 것으로 전망했다. 이번 의결된 개정안은 법제처 심사, 차관회의?국무회의 등을 거쳐 국회에 제출될 예정이다.


2016년 12월 7일 수요일

Some POODLE notes

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2699

Some POODLE notes


Heartbleed and Shellshock allowed hacks against servers (meaning websites and such).
POODLE allows hacking clients (your webbrowser and such).
If Hearbleed/Shellshock merited a 10, then this attack is only around a 5.

It requires MitM (man-in-the-middle) to exploit.
 In other words, the hacker needs to be able to to tap into the wires between you and the website you are browsing, which is difficult to do.
This means you are probably safe from hackers at home, because hackers can't tap backbone links.
But, since the NSA can tap into such links, it's probably easy for them.
However, when using the local Starbucks or other unencrypted WiFi, you are in grave danger from this hack from hackers sitting the table next to you.

It requires, in almost all cases, JavaScript running in the browser. That's because the attacker needs to MitM thousands of nearly identical connections that can fail. There are possibly rare cases where such connections may happen (like automated control systems), but JavaScript is nearly a requirement. That means your Twitter app in your iPhone is likely safe, as the attacker can't run JavaScript in the app. Although, a lot of apps use web GUIs underneath, if only to serve ads, so not all "apps" are safe.

It doesn't hack computers, but crack encryption. It reveals previously encrypted data.

What the hacker will likely try to do is hack your session cookies. That means they won't get your password for your account, but they will be able to log in as you into your account. Thus, while you are at Starbucks, some hacker next to you will be able to post tweets in your Twitter account and read all your Gmail messages. These are two examples -- they really have near complete control over your accounts. They won't be able to steal your password, however.

In theory, the attacker can do much more, but that attacking cookies it the overwhelming most likely vector.

It's the standard protocol that is vulnerable, not anybody's code.  Essentially, they got the math wrong.

Only older versions of SSL are impacted -- but everybody is backwards compatible with older versions. Thus, part of the attack is to "downgrade" both sides, forcing both the client and server to use the older version.

This attack is against SSLv3, which is 15 years old and known to be obsolete. After this version of SSL, engineers renamed it to TLS and reset the version number to 1.0, because they are jerks and want to confuse people. (Actually, the story is that Netscape created SSL, and Microsoft insisted on a name change because they hated Netscape). Thus, the next version after SSLv3 is TLSv1.0.

The solution is to disable SSLv3 (and all prior versions), and leave only TLS version 1.0 (and later versions) enabled. If either the server (the website) or the client (the browser) doesn't support SSLv3, then the hack won't work.

Disabling SSLv3 in servers is difficult, because a lot of users still use IE6, Microsoft's browser from a decade ago. When servers remove SSLv3, then users with IE6 will no longer be able to access the server. However, CloudFlare, which hosts a lot of websites, has disabled SSLv3 across their systems. Apparently they are comfortable with breaking IE6 -- which is good guidance for other people considering the same.

Disabling SSLv3 in browsers is easy. On Chrome, use the command-line flag  --ssl-version-min=tls1, and on Firefox set security.tls.version.min to 1. Generally, there virtually no servers out there who don't support TLSv1, so this shouldn't break anything.

The simplest explanation is, as usual for such things, on Adam Langeley's blog here.


참고사이트 :
https://www.imperialviolet.org/2014/10/14/poodle.html


정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 의결(방통위, 2016.12.06)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2697
 

방통위, 정보통신망법 개정안 의결
  

방송통신위원회(위원장 최성준)는 사물인터넷, 클라우드 컴퓨팅 등 정보통신기술(ICT) 발전에 따라 개인·위치정보를 활용하는 다양한 서비스가 증가하고 있는 상황에서, 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있도록 개인정보보호 관련 법체계간 정합성을 맞추고 글로벌 스탠더드(global standard)를 고려하는 한편, 보호에 미비했던 사항을 보완하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’), 「위치정보의 보호 및 이용 등에 관한 법률」(이하 ‘위치정보법’) 및 위치정보법 시행령 개정안을 의결하였다고 밝혔다.

이번에 의결된 개정안은 지난 9월 21일 위원회 보고 후, 9월 23일부터 11월 2일까지 진행된 입법예고 기간 중 제출된 시민단체, 업계 및 정부기관의 의견을 종합적으로 고려하여 개인정보 보호는 강화하면서도 규제를 합리화하기 위하여 마련된 수정안이다.


① 정보통신망법 개정안 주요 내용

 우선, 이번 정보통신망법 개정안에는 이용자의 개인정보 보호를 강화하기 위한 조치들이 다수 포함되었다.

현행법은 이용자가 제3자 제공에 동의만 하면 유상판매도 가능하다는 문제가 있어, 이용자가 유상판매 여부를 인지하여 제3자 제공 동의를 선택할 수 있도록 ‘개인정보를 유상으로 판매하는 사실’에 대해 이용자에게 고지하도록 규정하였다.

또한 현행법은 개인정보 수집ㆍ이용 및 제공 등의 ‘동의 철회권’만 규정하고 있으므로 ‘처리정지 요구권’을 추가로 신설하여 예외적으로 동의없이 개인정보를 수집?이용?제공하는 경우에도 이용자가 사후에 처리정지를 요구할 수 있도록 개인정보 자기결정권 보장을 강화하였다.

글로벌 비즈니스의 확대로 한번 국외이전된 개인정보가 다시 제3국으로 재이전되는 사례가 늘어남에 따라 재이전될 때에도 개인정보 보호에 문제가 생기지 않도록 원칙적으로 동의를 받고, 기술적·관리적 보호조치를 취하도록 하였으며, 정보통신망법을 위반하여 국외이전 또는 재이전이 이루어져 이용자의 권리가 침해될 우려가 있을 경우 방송통신위원회가 국외(재)이전 중단 명령을 할 수 있도록 규정하였다.

한편, 다른 개인정보보호 관련 법체계 및 국제적 수준 등을 고려하여 합리적으로 개선 및 보완하기도 하였다.

현행 정보통신망법에서는 개인정보 수집·이용 등이 이뤄지지 않으면 계약의 체결 및 이행이 불가능한 경우에 대해서도 제한적으로 동의 예외를 규정하고 있어 이를 보완하였으며, ‘기존 서비스와 밀접한 관련성이 있다고 합리적으로 인정되는 기능 추가 등 서비스 개선’은 추가적인 동의가 필요한 목적변경으로 보지 않도록 규정하였다.

또한 국외이전의 경우에도 계약 이행을 위하여 필요한 경우를 사전동의 예외로 규정하고 있는 현행 규정을 보완하여 법률 등에 특별한 규정이 있는 경우, 국외이전받는 자가 방송통신위원회가 지정하는 인증을 받은 경우를 예외사유에 추가하였다.

그동안 동의를 받지 않고 개인정보를 수집한 경우에는 그 수단·방법 등에 관계없이 무조건 정보통신망법에 따라 형벌과 행정제재(과징금·시정명령)의 대상이 되어 과도한 규정이라는 비판이 지속적으로 제기되었다.

이에 부정한 수단·방법으로 개인정보를 수집한 경우에는 지금과 같이 형벌과 행정제재를 병과하되, 이 외의 경우에는 행정제재만 부과할 수 있도록 형벌 적용요건을 강화하였다.

한편 부정한 방법으로 개인정보가 수집된 사정을 알면서도 영리 또는 부정한 목적으로 제공받는 자에 대한 벌칙을 신설하였다.

2016년 12월 6일 화요일

2016 융합보안 특강

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2696

2016 융합보안 특강


2016년 융합보안관 특별과정

일시
교육과정
강사
12. 13()
18:30~21:30
정보보호 정책
- 최신정책 동향분석
-보안전문가가 가져야할 기본 소양
김병훈
(한국투자저축은행, NHN엔터테인먼트)
12. 14()
18:30~21:30
웹 해킹 대응
- 시나리오 기반 웹 해킹 실전체험
- 국내 사이버위협 사례 심층분석
유선모
(앰진시큐러스 연구원)
12. 16()
18:30~21:30
데이터 포렌식
- 데이터 분석과 증거수집
- 최신 기술이슈 심화 학습
김종민
(고려대학교 박사과정, 차세대보안리더 BoB 1)
강의 장소 :경기창조경제혁신센터 4층 융합보안지원센터
(경기 성남시 분당구 대왕판교로 645번길 12)
  
□ 교육신청(온오프믹스) http://onoffmix.com/event/85685

경기지역 중소기업 재직자 및 재학생 대상 정보보호 2차 전문교육 안내

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2695

안녕하십니까
뉴딜코리아 컨설팅사업부 입니다

경기지역 중소기업 재직자 및 재학생 대상 정보보호 2차 전문교육 안내 드립니다

하시는 업무에 많은 도움이 되시기를 바랍니다 

감사합니다


□ 교육신청(한국정보보호교육센터)
https://www.kisec.com:40004/education_course/edu_attend?attend_type=short&course_name=%20웹%20취약점%20보안%20실무%20과정&start_date=20161207&end_date=20161208&open_seq=2&edu_course_no=125&edu_course_date_no=835


2016년 12월 5일 월요일

2017년 7대 사이버 공격 전망 보고서


 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2694


2017년 7대 사이버 공격 전망 보고서




- 산업전반으로 번지는 한국 맞춤형 공격
- 공용 소프트웨어를 통한 표적공격
- 다양한 형태의 랜섬웨어 대량 유포
- 사회기반시설 대상 사이버 테러 발생
- 대규모 악성코드 감염기법의 지능화
- 모바일 금융 서비스에 대한 위협 증가
- 좀비화된 사물 인터넷 기기의 무기화


http://cafe.naver.com/rapid7/2694 161205-2017년_7대_사이버_공격_전망(발표자료).pdf

http://cafe.naver.com/rapid7/2694 161205-2017년_7대_사이버_공격_전망(보고서).pdf


경기도 지역 기업재직자 정보보안 전문교육

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2693

안녕하세요
뉴딜코리아 컨설팅 사업부 입니다

경기도가 지원하고 서울대 차세대융합기술연구원이 운영하는 융합보안지원센터에서
경기도 지역 내 보안분야 재직자 및 보안분야에 관심을 가지고 있는 재직자를 대상으로 향상교육을 진행합니다.

정보보안에 관심있는 많은 분들의 참여를 부탁드립니다.

모임기간 12월 6일 (화) 9시 00분 ~ 12월 9일 (금) 21시 30분

□ 모임장소 [경기창조경제혁신센터] 경기 성남시 분당구 삼평동 융합보안지원센터

□ 교육내용
   웹 앱 보안
   모바일 응용 보안 및 실습
   해킹과 악성코드
   IoT시대와 보안위협의 변화




□ 교육신청
온오프믹스 - http://onoffmix.com/event/84994



업무상 일시적으로 알게 된 개인정보 유출도 유죄

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2689

업무상 일시적으로 알게 된 개인정보 유출도 유죄

대법 “'개인정보 유출' 아파트 경비원 유죄”…파기환송


아파트 동대표 해임투표 과정에서 아파트 관리소장이 해임에 찬성한 주민 명단을 유출한 것은 개인정보보호법 위반으로 처벌할 수 있다는 대법원 판결이 나왔다.

대법원 2부(주심 박상옥 대법관)는 개인정보보호법 위반 혐의로 기소된 서울의 한 아파트 전직 관리소장 정모씨(60)에게 무죄를 선고한 원심을 깨고 유죄 취지로 사건을 서울북부지법에 돌려보냈다고 22일 밝혔다.

재판부는 아파트 관리소장은 업무상 입주자들의 인적사항을 수집, 보관하고 있는 '개인정보처리자'로 볼 여지가 많고 설령 개인정보처리자가 아니라 해도 개인정보보호법은 정보유출 자체를 처벌하는 법률인 만큼 처벌대상이 된다는 취지다.

서울 노원구의 한 아파트 관리소장으로 근무하던 정씨는 2014년 2월 아파트 동대표 해임에 찬성한 주민 명단 등이 적힌 '동대표 해임동의서'를 보관하던 중 해임 요구 대상인 동대표에게 명단을 유출한 혐의로 기소됐다.

명단을 확보한 동대표 김모씨는 이를 근거로 자신을 해임하려한 사람들을 형사고소했다.

1.2심 법원은 "아파트 관리소장이 개인정보처리자에 해당한다고 볼 수 없다"며 "법률에서 정한 범죄구성요건에 해당하지 않는다"는 이유를 들어 무죄를 선고했다.


그러나 대법원은 "개인정보보호법은 업무상 알게 된 개인정보를 누설하거나 다른 사람에게 이용하도록 제공하는 행위를 처벌하는 것"이라며 '개인정보처리자'가 아니어도 처벌대상이 된다고 지적했다.

아울러 "개인정보처리자가 아니더라도 '개인정보를 처리했던 사람'도 처벌대상"이라며 "개인정보처리자 외의 사람에 의해 이뤄지는 개인정보 침해행위로 인한 폐해를 막아 사생활 보호 등 개인정보 보호법의 입법목적을 달성하려 한 것으로 볼 수 있다"고 판시했다.

특히 "아파트 관리소장은 효율적 관리업무를 위해 입주자들의 성명, 생년월일, 전화번호 등 개인정보를 수집한 뒤 동.호수 등 일정한 규칙에 따라 체계적으로 배열한 입주자카드 등 개인정보 집합물을 운용하고 있었을 것인 만큼 아파트 관리소장이 '개인정보처리자'에 해당한다고 볼 여지도 많았다"고 덧붙였다. 

개인정보 비식별 조치 전문교육 안내


스타트업․중소기업 대상 안전한 빅데이터 활용을 위한 개인정보 비식별 조치 가이드라인 및 비식별 기술(이론․실습), 사례 등 교육을 진행합니다.

□ 일시 : ‘16년 12월 8일(목) 14:00 ~ 17:50
□ 장소 : K-ICT 빅데이터센터 오픈랩 (스타트업캠퍼스 1동 6층, 판교​)
□ 참석자 : 약 30명 (스타트업 및 중소기업, 벤처, 창업자, 개발자, 협단체 등)

□ 주요 내용
 o 이론 : 개인정보 비식별 조치 가이드라인 및 비식별화 기술
   - 비식별화 정의 및 비식별 조치 기술, 실무사례, 비식별 조치 지원·관리 체계 등
 o 실습 : 비식별 조치 기술 및 프라이버시 보호 모델 적용 실습
   - 실습용 데이터셋을 이용한 17가지 고전적 비식별화 기술 및 보호모델 k-l 적용·검증

□ 주요 일정 
시간 주요내용 비고
이론 14:00~14:50 (50분)  비식별화 정의 및 기술  
15:00~15:50 (50분)  실무 사례 및 지원·관리 체계
실습 16:00~16:50 (50분)  고전적 비식별 기술 적용
17:00~17:50 (50분)  프라이버시 모델 적용 및 검증 실습  
※ 상기 일정은 교육 상황에 따라 변동될 수 있습니다.


□ 교육관련 문의 :
 
 뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)




2016년 11월 21일 월요일

개인정보의 유효기간제 FAQ

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2688

개인정보의 유효기간제 FAQ


Q1 - 개인정보 보관 단계에서 이용자가 일정기간 서비스를 이용하지 않는 경우에는 파기 또는 별도 DB에 분리하여 저장하도록 안내하고 있는데, 여기서 별도 분리 보관에는 물리적인 분리 외에 논리적인 분리도 포함되는지 궁금합니다.

유효기간제의 취지는 장기간 이용하지 않는 이용자의 개인정보를 파기 또는 별도 분리 보관하여 불필요한 개인정보 보관을 최소화하고 유출 위험을 줄이자는 것입니다.

따라서, 엄격한 접근통제 조치 등을 취하고 논리적으로 별도 분리 보관한다면 유효기간제의 취지에 부합한다고 볼 수 있습니다.


Q2 - 개인정보의 유효기간제에 따라 1년동안 이용하지 않는 이용자의 개인정보는 별도로 분리 보관하여야 합니다. 분리 보관의 대상에 이용자가 공개를 목적으로 작성한 게시글, 댓글 등의 콘텐츠 정보와 작성자 정보(아이디, 별명 등)도 포함되나요?

유효기간제의 취지는 1년동안 서비스를 이용하지 않는 이용자의 개인정보를 파기하거나 안전하게 별도 분리 보관하도록 하여 유출 위험 등으로부터 개인정보를 안전하게 보호하기 위함입니다.

따라서, 이용자가 공개를 목적으로 인터넷 상에 게시한 콘텐츠까지 포함하지는 않습니다. 또한 콘텐츠 작성자 표시 정보와 함께 서비스에 이용 중인 DB에 보관하여 게시글 등이 최초 이용자가 의도한 대로 표시되도록 운영할 수 있습니다.

게시글 등 이용자가 공개를 목적으로 작성한 콘텐츠와 관련한 사항은 서비스 이용약관 등에 명시하여 관련 절차에 따라 삭제 등의 절차를 운영하는 것이 바람직합니다.


Q3 - 1년 동안 서비스 이용기록이 없는 회원의 개인정보는 반드시 파기해야만 하나요?

파기할지 여부는 사업자의 환경을 고려하여 판단할 수 있습니다. 1년 동안 서비스 이용기록이 없고 향후에도 이용 가능성이 없다고 판단되는 경우에는 파기하여야 합니다.

다만, 잔여 마일리지, 포인트 등이 남아 있어 이용자의 권리를 보호할 필요가 있고, 향후 이용 가능성이 있다고 판단되는 경우에는 별도 분리 보관하였다가 추후에 이용자의 요청이 있는 경우 서비스에 다시 이용할 수 있습니다.

또한, 이용자의 요청에 따라 별도의 기간을 정한 경우에는 별도 분리 보관 없이 그 기간 동안 서비스에 이용이 가능합니다.


Q4 - 개인정보 유효기간 관련 ‘이용’의 의미는 로그인 기록을 말하는 것인지, 미 이용 기간 1년의 기산일은 언제를 말하는 것인지요?

이용은 로그인 기록 등으로 단순하게 판단할 수는 없으며, 전화상담 또는 고객센터 문의 등 오프라인 이용도 이용에 해당할 수 있습니다. 또한, 레터링 서비스와 같이 어떤 정보를 주기적으로 발송하는 것을 서비스 계약의 주요내용으로 하는 경우에는 해당 레터를 이용자가 계속 수신하고 있다면 이용을 하는 것으로 볼 수 있습니다.

그러나, 사업자가 마케팅 동의를 받아 이용자에게 광고성 메일이나 안내 메일을 발송하고 이용자가 이를 수신하였다 하더라도 이는 이용으로 볼 수 없습니다.

미이용 기간의 기산일은 이용자의 최종 이용일입니다.


Q5 - 형사소송법, 통신비밀보호법 등에 따른 압수수색 등 개인정보 제공 요청이 있는 경우 유효기간제에 따라 별도 분리 보관된 회원에 대한 정보 제공이 가능한지요?

유효기간이 경과하여 별도 분리 보관한 이용자의 개인정보는 이용하거나 제3자에게 제공할 수 없는 것이 원칙이지만, 형사소송법, 통신비밀보호법 등 법령에 근거하여 수사기관이 제공을 요청한 경우에는 제공할 수 있습니다.


Q6 - 유효기간이 경과한 이용자의 정보는 파기하거나 DB를 별도 분리보관 해야 한다고 하는데 분리보관을 하게 되면 계속 보유가 가능한가요?

별도 분리보관을 하게 되더라도 개인정보 수집·이용시 명시한 보유기간이 종료되거나 이용자의 동의철회, 회원탈퇴 등 파기사유가 발생하면 지체 없이 파기해야 합니다.


Q7 - 이용자가 유효기간 경과 후 서비스의 재이용을 원할 경우를 대비하여 유효기간 경과에 따라 이용자의 개인정보를 별도 DB에 보관 하더라도 이용자의 재이용 편의성 제공을 위해 최소한의 정보를 서비스 DB에 보유하여도 되나요?

이용자가 1년 동안 서비스를 이용하지 않은 경우에는 이용자의 모든 개인정보를 파기하는 것이 원칙입니다.  다만, 이용자의잔여 마일리지, 적립 포인트 등이 남아 있어 이용자의 권리를 보호할 필요가 있고, 향후 재이용 가능성이 높다고 판단되는 경우에는 별도 분리 보관할 수 있습니다.

또한, 추후에 이용자의 재이용 요청이 있는 경우를 대비, 온라인 이용자의 편의성을 높이기 위하여 아이디 등 최소한의 연결값을 서비스 중인 DB에 남겨두는 것은 가능하다고 판단됩니다.


Q8 - 개인정보 유효기간 관련 규정은 시행일이 2014.11.29.이 아니라 2015.8.18.로 되어 있는데, 그 이유는 무엇이며, 실제로 이용자의 개인정보를 파기 등의 조치를 취해야 하는 시점이 언제인가요?

기존 3년 유효기간제에 따라 파기 등 필요한 조치를 취해야 하는 시점이 2015년 8월 18일이었기 때문에, 사업자의 혼란을 최소화 하기 위해 시행일을 별도 조정한 것입니다.

2015년 8월 18일이 시행일이므로 역산하여 1년이 되는 2014년 8월 18일을 기산점으로 2015년 8월 17일 까지 서비스를 이용하지 않는 이용자의 개인정보에 대해 2015년 8월 18일에 파기 등 필요한 조치를 취하면 됩니다.


Q9 - 개인정보 유효기간제 준수를 위해 사업자는 매일 유효기간이 경과한 이용자의 개인정보를 파기해야 하는지, 아니면 주기적으로 해도 되는지요?

이용자별로 유효기간 경과시점이 다를 것이므로 매일 확인하여 파기 등 필요한 조치를 하는 것이 원칙입니다.  다만, 현실적으로 매일 확인하여 조치를 취하는 것이 어려울 수 있으므로 유효기간이 도래한 시점부터 영업일 기준 5일 이내에 파기 등 필요한 조치를 취한다면 적법한 것으로 판단할 수 있을 것입니다.


Q10 - 개인정보 수집시 이메일, 연락처 등을 수집하지 않아 이용자에게 통지할 수단이 없을 경우 어떻게 해야 하나요?

이용자에게 개별 통지는 불가능하므로 서비스 미이용 기간 만료 후 개인정보가 파기 등의 조치가 취해질 수 있다는 사실을 서비스 이용약관 및 개인정보 취급방침 등을 통해 이용자에게 알리면 될 것으로 판단됩니다.


Q11 - 법에서는 유효기간이 1년으로 되어 있지만, 이용자가 유효기간을 별도로 정할 수도 있는데, 그렇다면 사업자는 이용자에게 유효기간을 선택 할 수 있는 기능을 의무적으로 제공해야 하나요?

시행령에서 이용자의 요청에 따라 기간을 달리 정한 경우 유효기간을 달리할 수 있도록 되어 있으므로 사업자가 이용자에게 선택권을 부여하고 이용자 스스로 유효기간을 선택할 수 있도록 하는 것이 바람직하나 의무사항은 아닙니다.


Q12 - 이용자와의 별도 계약(약관 포함)으로 유효기간을 설정하는 것이 정보통신망법 시행령 제16조제1항제2호의 "이용자의 요청에 따라 기간을 달리 정한 경우"에 해당하나요?

약관으로 사업자가 개인정보 유효기간을 정하여 이용자의 동의를 받은 경우는 정보통신망법 시행령 제16조제1항제2호의‘이용자의 요청에 따라 기간을 달리 정한 경우’에 해당하지 않습니다.

‘이용자의 요청에 따라 기간을 달리 정한 경우’에 해당하려면 이용자가 직접 기간을 요청하거나 선택할 수 있어야 합니다.


Q13 - 2015.8.18이후 개인정보 보관 유효기간 단축 관련하여 1년간 서비스 미 이용시 아래 법률에 해당 되는 개인 정보들은 어떻게 해야 하나요?

☞ 상업장부와 고객정보를 포함한 영업에 관한 중요서류: 10년 (상법 제33조)
고객정보를 포함한 전표 또는 이와 유사한 서류: 5년 (상법 제33조)
계약 또는 청약철회 등에 관한 기록: 5년 (전자상거래법 제6조제3항 및 동법 시행령 제6조제1항)
대금결제 및 재화 등의 공급에 관한 기록: 5년 (전자상거래법 제6조제3항 및 동법 시행령 제6조제1항)
소비자의 불만 또는 분쟁처리에 관한 기록: 3년 (전자상거래법 제6조제3항 및 동법 시행령 제6조제1항)

정보통신망법 시행령 제16조제1항 각 호에서는 유효기간 1년에 대한 예외를 규정하고 있습니다.1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한 기간
2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간

따라서, 위와 같이 개별 법령에서 개인정보 보존기간을 정하고 있는 경우에는 해당 법령에서 정한 기간 동안 보관이가능합니다. 다만, 해당 법령에 따라 일정기간 보관이 가능한 것일 뿐 사업자가 그 기간 동안 이용해도 된다는 의미가 아니므로 별도 보관해야 합니다.


Q14 - 이용자로부터 영리목적의 광고성 정보 전송에 대한 수신동의를 받았는데, 유효기간이 경과하여 이용자의 개인정보를 별도 분리·저장한 경우 정보통신망법 제50조에 따른 영리목적의 광고성 정보 전송에 대한 2년 주기의 수신동의 여부를 확인해야 하나요?

유효기간이 경과한 이용자의 개인정보를 별도 분리·저장한 경우 해당 이용자의 개인정보는 이용자의 요청이 없는 한 이용할 수 없으므로, 영리목적의 광고성 정보를 전송해서는 안됩니다.

영리목적의 광고성 정보 전송에 대한 수신동의 여부를 2년마다 확인하도록 하는 취지는 최초에 수신동의를 했다 하더라도 앞으로도 계속해서 수신할 것인지 선택권을 주고자 함입니다.

따라서, 영리목적의 광고성 정보를 전송해서는 안되는 이용자에게 수신동의 여부를 확인할 필요는 없을 것으로 판단됩니다.


Q15 - 1년 동안 이용내역이 없는 이용자의 정보는 별도 보관 등의 조치를 취해야 하는데 별도 보관한 이용자를 대상으로도 정보통신망법 제30조의2에 따른 이용내역을 통지해야 하나요?

이용내역 통지제는 이용자의 개인정보를 이용한 내역을 이용자에게 알려주기 위한 제도인데, 1년 동안 서비스를 이용하지 않은 이용자에게 이용내역 통지는 필요하지 않을 것으로 판단됩니다.




※ 이 정보는 참고 목적으로만 제공됩니다 

    개인정보보호법 등 관련 법령의 정확성, 최신성을 주기적으로 확인바랍니다