2016년 7월 28일 목요일

정보보호사업자 분쟁조정위원회 피해구제 본격지원

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2590

미래부, 영세 정보보호사업자의 피해구제 본격 지원
- 정보보호산업분쟁조정위원회 1 위원 위촉 공식 출범 -



미래창조과학부(장관 최양희, 이하 미래부) 6 29() 정부과천청사에서 학계, 법조계, 이용자 보호단체 등의 전문가 22 대하여 정보보호산업분쟁조정위원회(이하 위원회)위원으로 위촉하고 공식 출범하였다.
 
위원회는 작년 12 23 시행된 정보보호산업의 진흥에 관한 법률 따라 출범하는 것으로, 이번에 위촉된 위원은 2016 6 29일부터 2019 6 28일까지 3년간 위원으로 활동하게 된다.
 
위원회는 동법에 근거하여 사업자간 또는 사업자와 이용자 피해의 구제와 분쟁을 조정하기 위하여 설치된 법정기구로서, 정보보호 제품 서비스의 개발·이용 관하여 발생할 있는 다양한 유형의 분쟁을 신속하고 공정하게 해결하게 된다.
 
미래부는 정보보호산업의 체질개선과 정보보호투자 확대 융합보안·물리보안 수요창출을 통해 국내 정보보호시장 규모를 현재 7.7조원에서 19년까지 15조원으로 확대 계획임에 따라, 이와 더불어 향후 정보보호 관련 분쟁도 증가할 것으로 예상된다.
 
이와 같은 분쟁이 소송으로 확대될 경우에는 비용과 시간이 많이 소요되고 절차가 까다로워 이용자와 정보보호 사업자의 어려움이 상당할 것으로 예상되나, 이번 위원회 출범으로 소송에 대한 부담이 줄어들고 분쟁조정을 통해 신속히 처리될 것으로 기대된다.
 
특히, 일반적인 소비자 피해구제와 함께 기업 복제제품으로 인한 특허침해, 하도급 관계로 인한 영세 정보보호사업자* 피해구제 등에 역할 것으로 기대된다.
 
* 국내 정보보호 기업(701) 46%(320) 벤처기업이며, 자본금 10억원 미만이 69%(484), 종사자 50 미만이 69%(483)(2015 국내 정보보호산업실태조사)
 
미래부 송정수 정보보호정책관은 제도는 이용자 사업자가 자율적으로 준수할 있는 방안을 직접 모색할 있는 기회를 있을 아니라 재판에서 주는 심리적 부담을 최소화하고 분쟁을 신속하게 처리함으로써 시간과 비용 측면에서 경제적이어서 정보보호 산업 발전에 기여 이라고 말했다.
 
한편, 위원회는 이날 공식 출범에 앞서 1 회의를 열어 홍준형 서울대 교수 위원장으로 선출하였다.
 
위원회를 지원할 사무국은 한국인터넷진흥원에 설치되며, 정보보호산업 분쟁과 관련된 상담이나 조정 신청은 대표전화 1661-5714 이용하면 된다.



2016년 7월 27일 수요일

정보보호산업 분쟁조정 제도 안내 및 신청방법 안내

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2589


정보보호산업 분쟁조정 제도 안내 및 신청방법 안내


◎ 정보보호산업분쟁조정제도 소개 
 ⁃ 대안적 분쟁해결제도는 보다 신속하게 분쟁해결을 기대할 수 있고, 비용이 저렴하며 분쟁해결절차도 법원의 소송에 비해 간편하다는 장점을 가지고 있는데, 정보보호산업분쟁에서도 이러한 제도를 도입하여 분쟁 당사자 간의 권리를 신속, 간편하게 조정할 수 있게 되었습니다.

정보보호산업분쟁조정제도를 통하여 정보보호제품 및 정보보호서비스의 개발 및 이용 등에 관한 분쟁에 있어서, 복잡한 소송을 거치지 않고 간단한 분쟁조정 절차를 통하여 신속하고 저렴한 비용으로 분쟁을 해결할 수 있습니다.

※ 대안적 분쟁해결제도의 의의 ⁃ 대안적 분쟁해결제도(ADR)란 분쟁이 발생한 경우 제3자가 관여하거나 또는 관여 없이 당사자 쌍방의 자율적 의사 및 합의에 의하여 분쟁을 해결하는 방식으로서 법원의 소송제도에 의한 분쟁해결 방식을 보완하는 역할을 합니다.

우리나라에서는 대안적 분쟁해결제도로서 화해, 조정, 중재, 알선 등 다양한 제도가 각종 법률에 근거하여 운영되고 있습니다. 

◎ 정보보호산업분쟁조정위원회 소개 
 ⁃ 출범 배경 정보보호와 관련한 피해는 파급속도가 매우 빠르며, 피해가 광범위하고 원상회복이 어렵다는 점에서 여타 종류의 피해와는 차별성을 갖습니다. 정부는 이러한 피해에 대한 예방 및 대응을 위해 정보보호산업의 투자확대를 계획하고 있으며, 국내 정보보호시장이 지속적으로 성장할 것으로 전망됩니다. 이와 더불어 향후 정보보호 관련 분쟁이 빈번해질 상황에 효과적으로 대처하기 위하여 2015년 12월 23일,「정보보호산업의 진흥에 관한 법률」(제4장 분쟁조정위원회(제25조~제33조))이 시행됨으로써, 이를 근거로 정보보호산업분쟁조정위원회가 출범하게 되었습니다.

 ⁃ 위원회 역할 및 구성
 정보보호산업분쟁조정위원회는 사업자간 또는 사업자와 이용자 간 피해의 구제와 분쟁을 조정하기 위하여 설치된 법정기구로서, 정보보호 제품 및 서비스의 개발·이용에 관하여 발생할 수 있는 다양한 유형의 분쟁을 신속하고 공정하게 해결합니다. 위원회의 구성은 관련 산업에 대한 지식 및 경험이 풍부한 학계, 법조계, 산업계, 이용자기관·단체, 공무원으로 되어 있습니다.

◎ 정보보호산업 분쟁조정 대상 
 ⁃ 정보보호산업 분쟁조정의 대상은 정보보호제품 및 정보보호 서비스의 개발·이용 등과 관련한 분쟁 사건입니다. 다만, ① 저작권과 관련한 분쟁은 「저작권법」, ② 방송통신과 관련된 분쟁 중 「방송법」 제35조의3에 따른 분쟁조정의 대상, ③ 「전기통신사업법」 제45조에 따른 재정의 대상, ④ 「개인정보 보호법」 제40조에 따른 조정의 대상이 되는 분쟁은 조정 예외로 합니다.

◎ 정보보호산업 분쟁조정 효력 
 ⁃ 정보보호제품 및 서비스에 관한 분쟁에 대해 양 당사자가 정보보호산업분쟁조정위원회에서 제시한 조정안을 수락한 경우, 조정위원회가 조정서를 작성하여 당사자에게 통보하게 됩니다. 이 때 당사자간에 조정안과 동일한 내용의 합의가 성립된 것으로 봅니다.

◎ 정보보호산업 분쟁조정 비용 
 ⁃ 조정사건에 따라서는 분쟁 당사자에게 조정비용이 부담될 수 있습니다.


◎ 분쟁조정 절차도



◎ 정보보호산업분쟁조정위원회 사무국 연락처 안내
 ⁃ 이메일 : isidmc@kisa.or.kr
 ⁃ 대표전화 : 1661-5714
 ⁃ 팩스 : 02-405-5519
 ⁃ 우편 : (05717) 서울특별시 송파구 중대로 135 (가락동 78) IT벤처타워 한국인터넷진흥원 10층 정보보호산업분쟁조정위원회 사무국
 


분쟁조정 신청서 ⁃ 첨부파일 붙임


랜섬웨어 스페셜 보고서 2016 (Symantec )

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2588

시만텍, ‘랜섬웨어 스페셜 보고서 2016’ 발표


시만텍이 랜섬웨어의 최신 보안 위협 동향을 담은 ‘랜섬웨어 스페셜 보고서 2016’을 발표했다. 이 보고서에 따르면, 랜섬웨어는 점차 정교화된 공격 기법으로 비즈니스화 되고, 무차별적 공격에서 점차 ‘기업’을 겨냥한 표적 공격으로 변화하고 있는 것으로 나타났다.

시만텍은 전세계에서 가장 포괄적인 인터넷 보안 위협 데이터 수집 체계인 시만텍의 ‘글로벌 인텔리전스 네트워크(Global Intelligence Network)’를 통해 랜섬웨어 동향을 분석한 결과, ▲랜섬웨어의 기록 갱신 행진 ▲랜섬웨어의 평균 요구 몸값 상승 ▲‘기업’ 겨냥한 표적 공격의 시작 ▲APT 등 지능형 공격 기법 및 신규 위협 ▲랜섬웨어의 비즈니스 모델화 등이 주요 특징으로 조사됐다.

◇랜섬웨어의 기록 갱신 행진

2015년 한 해 동안 100개의 신규 랜섬웨어 패밀리가 발견되며 사상 최대치를 기록했다. 2014년 77개 대비 약 30%나 증가했다. 또한, 파일을 암호화하고 금전을 요구하는 크립토 랜섬웨어(crypto-ransomware)의 확산이 지속됐다. 올해 발견된 랜섬웨어 가운데 단 1개를 제외하고는 모두 크립토 랜섬웨어로 밝혀져, 크립토 랜섬웨어가 가장 효과적인 형태로 자리매김하고 있음을 알 수 있다. 국가별 감염 현황을 보면, 전체 감염 건수에서 31%를 차지한 미국이 가장 높았고, 이어서 이탈리아(8%), 일본(8%) 순이었다. 한국은 28위로 랜섬웨어 감염국 TOP 30에 포함됐다.

◇랜섬웨어의 평균 요구 몸값 상승

랜섬웨어 공격을 통해 요구하는 금액(몸값)도 지속적으로 증가하고 있다. 2014년에는 372달러(한화 약 43만원)에서 2015년 294달러(한화 약 34만원)로 감소했다가, 올 상반기에는 전년대비 2.3배 가까이 상승한 679달러(한화 약 77만원)를 기록했다. 올 1월에는 7ev3n-HONE$T (Trojan.Cryptolocker.AD)로 알려진 랜섬웨어가 컴퓨터 1대 당 13개 비트코인인 5,083달러(한화 약 577만원)를 요구하면서 최고 몸값을 기록하기도 했다.

◇‘기업’ 겨냥한 표적 공격의 시작

랜섬웨어는 대규모로 무차별하게 감염시키는 공격 형태가 여전히 성행하고 있지만, 최근 공격 형태를 살펴보면 기업 사용자를 대상으로 하는 랜섬웨어 패밀리가 발견되는 등 이제 ‘기업’이 공격자들의 핵심 표적이 되고 있다. 이번 조사 결과, 기업 사용자가 랜섬웨어 감염의 약 43%를 차지했다. 기업을 겨냥한 공격은 성공 시 수 천대의 컴퓨터를 감염시켜 운영 장애와 매출, 평판에 심각한 타격을 입힘으로써 몸값이 훨씬 늘어날 수 있기 때문이다. 피해를 입은 산업별 통계를 보면, 서비스업(38%)과 제조업(17%), 공공(10%), 금융권 및 부동산(10%) 등이 주로 피해를 입은 것으로 나타났다.

◇APT(지능형지속위협) 등 지능형 공격 기법 및 신규 위협

랜섬웨어는 진화를 거듭하여 지능형 공격 기법을 사용하고 있다. 표적형 랜섬웨어 공격은 사실상 사이버 스파이 활동이나 APT 공격자들이 사용하는 것과 유사한 기술과 툴을 활용해 높은 수준의 전문성을 보인다. 랜섬웨어 패밀리는 자바스크립트, 파워쉘(PowerShell), 파이썬(Python) 등 다양한 프로그래밍 언어로 사용하고 있으며, 스크립트형 언어를 사용하여 보안 제품의 탐지를 우회하기도 한다. 또한, 암호화 기능 외에 새로운 위협을 가하기도 한다. 변종인 키메라(Chimera) 랜섬웨어는 돈을 지불하지 않으면 사진, 동영상 등 개인 데이터를 인터넷에 게시하겠다고 위협한다.

◇랜섬웨어의 비즈니스 모델화

랜섬웨어가 사이버 범죄의 인기 비즈니스 모델로 자리 잡고 있다. 랜섬웨어 서비스(Ransomware as a service · RaaS) 확산은 전문기술 수준이 상대적으로 낮은 공격자도 자체 랜섬웨어를 확보할 수 있도록 해서 더 많은 사이버 공격자를 양산시킨다. 실제로 랜섬웨어 공격을 위한 키트나 공격 대행 서비스 상품은 인터넷 암시장을 통해 마치 쇼핑몰에서 물건을 사듯 쉽게 거래되고 있다.

윤광택 시만텍코리아 CTO는 “랜섬웨어가 사이버 공격자들의 새로운 골드러시가 되면서 비즈니스 모델로 진화하고 있다”며, “랜섬웨어가 기업을 겨냥해 지능형 공격기법을 적용하고 표적 공격을 확대하고 있음을 고려했을 때, 단순히 랜섬웨어라는 악성코드만 대응하는 것이 아니라 신종 위협을 비롯해 기업 내 전방위적인 악성코드 대응 전략을 수립하는 것이 필요하다”고 강조했다.

랜섬웨어 공격 수단은 이메일 내 URL 또는 첨부 파일, 익스플로잇 킷을 통한 감염 등 다양하다. 시만텍은 기업 사용자 및 개인 사용자에게 ▲운영체제(OS)를 비롯한 모든 소프트웨어를 항상 최신으로 업데이트할 것 ▲수상한 이메일, 특히 링크나 첨부 파일을 포함하고 있는 이메일은 주의할 것 ▲콘텐츠 확인을 위해 매크로 실행을 권고하는 MS오피스 이메일의 첨부 파일의 경우 각별히 조심할 것. 이메일의 출처를 신뢰할 수 없다면, 매크로를 실행하지 말고 즉시 삭제할 것 ▲중요한 데이터는 주기적으로 백업할 것 등을 권고하고 있다. 
출처 : 시만텍코리아

2016년 7월 26일 화요일

Windows Server 2008 R2 암호 사용기간 제한변경 및 해제하기

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2586


Windows Server 2008 R2 암호 사용기간 제한변경 및 해제하기


[시작] – [실행] – gpedit.msc 를 실행합니다.

[컴퓨터구성] – [windows설정] – [보안설정] – [계정정책] – [암호정책] 으로 이동합니다.



기본설정은 30일로 되어있으며, 1~999일까지 설정이 됩니다.

 
보안을 위해서는 30~90일마다 암호가 만료되도록 설정하는 것이 좋습니다.

암호 사용기간을 해제하려면 사용일수를 0으로 입력하면 설정이 해제됩니다.





2016년 7월 25일 월요일

주요정보통신기반시설 기술적 취약점 분석 · 평가 방법 상세가이드

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2585
 

주요정보통신기반시설 기술적 취약점 분석 · 평가 방법 상세가이드


 Ⅰ. 개요

Ⅱ. 보안가이드라인    1. Unix 서버 보안가이드라인
    2. 윈도우즈 서버 보안가이드라인
    3. 보안장비 보안가이드라인
    4. 네트워크장비 보안가이드라인
    5. 제어시스템 보안가이드라인
    6. PC 보안가이드라인
    7. DBMS 보안가이드라인
    8. Web(웹) 보안가이드라인

첨부파일 :

위 링크가 연결이 안되는 분은 아래 연락처로 요청하시면 첨부파일 메일로 전달드리겠습니다
뉴딜코리아 컨설팅사업부 : (ismsbok@gmail.com, 070-7867-3721)


2016년 7월 24일 일요일

금융분야 주민등록번호 수집·이용 가이드라인

 뉴딜코리아 홈페이지 | 뉴딜코리아

http://cafe.naver.com/rapid7/2584

  

금융분야 주민등록번호 수집·이용 가이드라인



<목   차> 
Ⅰ. 가이드라인 개요   1. 가이드라인 마련 배경
   2. 금융분야 주민번호 처리 근거

Ⅱ. 주민번호 처리 기준   1. 주민번호 수집·이용이 의무인 경우
   2. 주민번호 수집·이용이 허용되는 경우
   3. 주민번호 수집·이용이 불가능한 경우
   4. 주민번호 수집·이용 최소화

Ⅲ. 주민번호 처리 사례   1. 업무주체별 주민번호 처리 사례
   2. 금융업권별 주민번호 처리 사례(Q&A)

Ⅳ. 금융분야 주민번호 처리 근거 법령   (참고) 관계법령


첨부 : 금융분야 주민등록번호 수집·이용 가이드라인

주민등록번호 수집 금지 정책 Q&A

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2583


개인정보보호법 개정으로 2014년 8월 7일부터 개인정보보호법 제24조의2가 신설되어 주민등록번호의 처리를 원칙적으로 금지했습니다.

개인정보보호법 제24조의2(주민등록번호 처리의 제한)
① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정자치부령으로 정하는 경우


Q.국가·지방자치단체, 장학재단, 대학 등에서 장학금을 지급하기 위하여 대상자의 주민등록번호를 수집·이용할 수 있는지요?A. 국가장학금의 신 청·심사를 위해서는 관 련 법령의 근거규정에 따라 주민등록번호의 수집·이용·제공 등이 허용됩니다. 반면 지방자치단체나 각종 장학재단·단체 등은 장학금 업무를 위한 주민등록번호 수집·이용이 허용되지않으므로 생년월일 등의 대체 정보를 활용할 필요가 있습니다.

[상세설명]
학생에 대해 장학금을 지급하는 경우는 국가 또는 지방자치단체가 지급하는 경우, 각종 장학재단 등의 외부 단체에서 지급하는 경우, 교내 자체적으로 지급하는 경우 등으로 나눠볼 수 있습니다.
국가장학금의 경우, 「한국장학재단 설립 등에 관한 법률」에 따라 설립된 한국장학재단에서 대학생에 대한 학자금 지원, 국가장학금 지원 등의 제도를 운영 중에 있습니다.

국가장학금은 가구의 소득수준에 따라 지원되는데, 정부의 사회보장정보시스템을 통해 조사된 공적자료 및 금융재산, 금융부채 등을 파악하여 소득인정액을 산정하고 총 10개 학자금지원구간(소득분위)를 설정한 뒤 그중 1분위~8분위에 대해 지원하고 있습니다(상세한 내용은 한국장학재단 홈페이지 www.kosaf.go.kr 참조).

따라서 국가장학금은 소득분위를 속이고 부정수급하는 경우나 지원규모를 초과하여 수혜하는 경우 등을 방지할 필요 불가피성이 있으며 이를 위해서는 해당 학생 및 부모 등의 가족관계 등록사항, 주민등록사항, 국세 관련자료 등의 정보를 제공·활용할 것이 요구됩니다.

이를 위해서 교육부장관 및 한국장학재단은 학자금 지원신청, 자료 제출요청, 정보시스템 연계사용, 금융정보등의 제공요청 등의 사무를 위해 주민등록번호 등이 포함된 자료를 처리할 수 있도록 관련 법령에 구체적인 근거가 마련되어 있습니다(「한국장학재단 설립 등에 관한 법률」시행령 제36조의2). 따라서

국가장학금의 신청 및 심사 등을 위해서는 주민등록번호의 수집·이용·제공 등이 허용됩니다.

지방자치단체에서도 해당 지역의 거주학생 등을 대상으로 장학금 제도를 운영하는 경우가 많은데, 이 경우는 주로 조례·규칙에 근거를 두고 있으며, 해당 지역의 주민 여부(거주여부) 등을 확인할 목적으로 신청서에 주민등록번호 기재를 요구하는 경우가 다수있습니다.

그러나 주민등록번호 처리는 반드시 법령의 근거를 필요로 하므로, 현재로서는 지방자치단체가 장학금 지급을 위해 조례·규칙에만 근거하여 주민등록번호를 수집·이용하는 것은 허용되지 않는다봐야 합니다.

이 외에 각종 장학재단이나 학교 자체적으로 장학금을 심사·지급하는 경우도 마찬가지로 주민등록번호 수집·이용이 허용되지 않으므로, 생년월일 등의 대체 정보를 활용하여야 합니다.


Q. 어떤 경우에 주민번호를 수집할 수 있나요?
A. 법령(법률, 시행령, 시행규칙)상 주민번호 수집을 요구하거나 허용하는 내용이 구체적으로 명시된 경우를 말합니다.

예를 들면, 금융실명거래법에서는 금융회사의 거래 시 주민번호를 통해 이용자의 실지명의를 확인해야 함을 명시하고 있으므로 금융회사가 금융거래와 관련하여 거래자의 실지명의 확인을 위한 경우에는 주민번호 사용이 가능합니다.


Q. 웹사이트 회원 가입 때 본인 확인을 위해 주민번호를 요구하는데?A. 주민번호를 이용한 실명확인 외에도 휴대전화번호, 공인인증서, 아이핀(i-PIN) 등 다양한 본인확인 방법이 있습니다.

주민번호 보다 대체수단을 이용한 본인확인 방법을 이용하시기 바랍니다.


Q. 민간회사의 건물에 출입할 때 외부 방문자의 주민번호를 기록할 수 있나요?
A. 해당 건물의 보안 유지나 시설물 보호를 위해 일정 부분 필요하다고 볼 수 있지만, 주민번호와 같은 중요한 정보까지 수집해야할 불가피성이 있다고 보기는 어렵습니다.

출입목적과 필요시 연락을 취할 수 있는 전화번호 등 최소한의 개인정보에 한해 요구해야 합니다.


Q. 콜센터 상담 때도 본인 확인을 위해 주민번호를 요구하는데요?A. 생년월일, 휴대전화 번호 등 다른 정보를 이용해 고객 본인 여부를 충분히 확인할 수 있어요.

주민번호를 요구해야 할 필요성이나 법적 근거가 없습니다.


Q. 채용시험 대상자의 주민번호 수집은 가능한가요?A. 입사 지원 단계의 구직자는 아직 근로계약을 체결하지 않은 상태이기 때문에 사용자가 구직자의 주민번호를 요구할 필요성이나 법적 근거가 없습니다.


Q. 기존에 수집했던 번호는 어떻게 해야 하나요?A. 주민번호를 수집하지 않기로 결정했다면, 기존에 수집했던 주민번호는 외부로 유출되지 않도록 주의해 파기해야 합니다.

문서 형태라면 파쇄, 전자 파일 경우엔 복원할 수 없도록 적절한 삭제 방법을 취하기 바랍니다.


Q. 회사가 직원들의 주민번호를 수집할 수 있나요?A. 사업주는 소속 근로자의 4대 보험(국민연금, 고용보험, 건강보험, 산업재해보험) 가입과 세금 원천징수 등을 위해 법령에서 정하는 바에 따라 근로자의 주민번호를 수집할 수 있습니다.


위 내용은 현재의 법령 기준(2014.01.23)에 따라 서술되어 있으므로 향후 관련 법령의 제 · 개정에 따라 주민등록번호의 처리 허용여부가 달라질 수 있습니다. ​

애초에 개인정보는 최소한으로 수집해, 안전한 환경을 만드는 게 중요할 것 같아요.^^
주민번호 수집 법정주 관련문의 : 뉴딜코리아 컨설팅사업부 /070-7867-3721