2016년 8월 29일 월요일

블록체인, blockchain

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2630
 



온라인 금융 거래 정보를 블록으로 연결하여 피투피(P2P) 네트워크 분산 환경에서 중앙 관리 서버가 아닌 참여자(피어, peer)들의 개인 디지털 장비에 분산·저장시켜 공동으로 관리하는 방식.

블록체인의 기본 구조는 블록(block)을 잇따라 연결한(chain) 모음의 형태이며 피투피(P2P) 방식을 기반으로 한다.

일정 시간 동안 반수 이상의 사용자가 거래 내역을 서로 교환해 확인하고 승인하는 과정을 거쳐, 디지털 서명으로 동의한 금융 거래 내역만 하나의 블록으로 만든다.

그리고 새로 만들어진 블록을 이전 블록체인에 연결하고, 그 사본을 만들어 각 사용자 컴퓨터에 분산시켜 저장한다.

따라서 기존 은행처럼 거래 장부용 데이터베이스로 관리할 필요가 없어 관리 비용이 절감되며, 분산 처리로 해킹이 어려워 금융 거래의 안전성도 향상된다. 블록체인 방식은 주식, 부동산 등의 거래에도 적용 가능하며, 토지 권리 양도나 가정 현관 키 등 보안에 관련된 다양한 분야에 활용될 수 있다.

블록체인을 사용한 대표적인 예가 가상 화폐인 비트코인(Bitcoin)이다. 


의료분야 클라우드 규제개선 현황 및 안내

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2629
의료분야 클라우드 규제개선 현황 및 안내


□ 종이문서를 보관하던 방식의 연장선상에서 의료기관 내부에서만 보관·관리하던 전자의무기록을 의료기관 외부장소에서도 관리가 가능

– 의료법 시행규칙 개정(’16.2.5일), 「전자의무기록의 관리․보존에 필요한 시설과 장비에 관한 기준」고시 제정 (관보게재 ’16.8.5일, 시행 8.6일)

□ 이는 발전된 정보통신기술을 활용하여 전자의무기록을 보다 안전하고 효율적으로 보관·관리하고, 타 분야와 유사하게 규제수준을 완화하기 위한 조치로

– 특히, 의료기관 외부장소에 보관·관리하는 경우 의료계의 정보보호 우려, 클라우드 등 산업계 요구사항을 감안하여, 내부 보관시보다 강화된 시설·장비 기준을 마련·적용(붙임2 보건복지부 고시 참조)

□ 금번 제도개선을 통해 전자의무기록 운영의 효율성과 정보보호수준을 높이고, 관련 산업 활성화에도 기여할 것으로 전망

– 정보관리 및 보안이 취약한 중소병원․의원은 전문적인 보관․관리기관을 활용하여 향상된 서비스를 받을 수 있고,

– 특히, 전문가들은 “의료빅데이터 구축이 용이해지고, 의료정보 관련 데이터(백업)센터·클라우드 EMR서비스 등 네트워크기반의 다양한 정보통신서비스 시장이 출현”할 것으로 예상


첨부파일 :
전자의무기록의 관리․보존에 필요한 시설과 장비에 관한 기준
의료분야 클라우드 규제개선(보건복지부고시_제2016-140호)_KACI


2016년 8월 21일 일요일

랜섬웨어의 몸값을 지불해서는 안 되는 이유

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2624

랜섬웨어의 몸값을 지불해서는 안 되는 이유



해커가 데이터를 인질로 잡고 '몸값'을 요구한다면 돈을 주는 것이 좋을까? 보안의 세계에서 단순하게 결론 낼 수 있는 것은 아무 것도 없다. 그러나 대부분은 사이버 몸값을 지급하지 않는 것이 좋다.

전문가들은 대신 모든 기업이 랜섬웨어 사이버 몸값을 지급하지 않고도 데이터를 복구할 수 있도록 준비를 해야 한다고 조언한다. 때론 선택의 여지가 없는 경우도 있지만 사이버 몸값을 지급할지 신중하게 다뤄야 한다.

레드팀 시큐리티(RedTeam Security)의 보안 담당 이사 라이언 맨십은 "랜섬웨어는 많은 측면에서 테러리즘과 닮았다"고 말했다. 미국 정부는 테러리스트와 협상하지 않는 것을 원칙으로 한다. 이유는 간단하다. 악당은 '믿을 수 없기' 때문이다. 랜섬웨어 공격에서도 데이터 액세스 권한을 돌려주겠다는 악당의 약속을 신뢰할 수 없는 것이다.

물론 이런 믿음의 문제 외에 랜섬웨어 피해자가 중요한 정보에 액세스 할 수도, 이를 복구할 수도 없다는 현실적인 문제가 있다. 맨십은 "이쯤 되면 일부는 돈을 주는 것이 현실적이라고 주장한다. 그러나 몸값을 지급할 것이라면 악당의 약속을 믿을 수 있는지 고려해야 한다. 자칫 데이터를 인질로 계속 몸값을 요구할 수도 있다"고 말했다.

실제 사례를 보자.
 최근 병원이 랜섬웨어 공격의 표적이 된 사례가 많았다. 이 경우 돈을 줄 것인가와 환자의 생명이 위험할 가능성 등을 놓고 매우 불확실한 상황이 연출된다. 최악의 경우 랜섬웨어 공격으로 인한 시스템 다운타임이 환자의 건강에 직접적인 영향을 초래할 수도 있다.

맨십은"'모든 상황이 다르다'는 식의 말이 큰 도움이 되지 않겠지만, 사람의 목숨을 담보로 올바른 행동이 무엇인지 판단하기란 매우 어렵다. 이럴 때 올바른 행동이 무엇이라고 단정적으로 말할 수 없는 이유다. 그러나 돈을 주는 행동은 권장하지 않는다. 자칫 위험한 선례를 만들 수 있다"라고 말했다.

어떤 산업도 랜섬웨어 공격의 '큰돈이 되는' 표적이 되고 싶지 않을 것이다. 동시에 몸값 지급에 대해 '옳다/그르다' 단순 논리로 판단하기도 쉽지 않다. 시스코 시큐리티 서비스(Cisco Security Services)의 위협 관리 및 사고 대응 담당 이사인 숀 메이슨은 "조직마다 차이가 있다. 정부 기관과 민간 기업은 세계관이 다르다. 정부 기관은 랜섬웨어를 테러리즘으로, 민간 기업은 주주와 고객에 대한 책임으로 간주한다"고 말했다.

공격자가 침입하면 중대한 영향과 반향이 초래하므로, 몸값 지급 여부는 조직의 성격에 크게 좌우된다. 따라서 조직에 초래되는 영향을 정확히 이해하는 것이 중요하며, 두려움이 이런 판단을 방해해서는 안 된다. 듀오 시큐리티(Duo Security)의 듀오 랩스 디렉터인 마이크 헨리는 "병원을 표적으로 한 공격이 계속되고 있고, 많은 사람이 우려하고 있다. 이런 공격은 환자 건강에 직접적인 영향을 초래할 수 있다"고 말했다.

반면 메이슨은 이런 상관관계에 동의하지 않았다. 그는 "병원이 공격을 받아 환자 생명이 위험해질 수 있다고 말하지만 사실은 조금 다르다. 적어도 지금까지는 환자 생명이 위험에 놓인 사례를 단 한 건도 보거나 듣지 못했다"고 말했다. 그러나 "사이버 몸값을 줘야 하는 상황이 있을 수 있다. 불행하지만 사람의 생명에 영향이 있다면 생각할 여지가 없다. 당연히 지급해야 한다"고 덧붙였다.

범죄자는 랜섬웨어가 환자 건강이나 주주 이익에 영향을 미칠지도 모른다고 생각하는 피해자의 공포를 이용한다. 데이터에 액세스하지 못하는 시간이 길어질수록 손실도 커진다는 것을 안다. 그래서 이런 경우 피해자가 먼저 사이버 몸값을 지급하려고 한다.

상당히 많은 경우에 사이버 몸값을 받아내고 있는 것으로 보인다. 랜섬웨어가 범죄자의 비즈니스 모델로 부상한 것 자체가 반증이다. 메이슨은 "랜섬웨어는 분명히 효과가 있다. 사이버 몸값을 지급할 사람은 없다고 단정할 수 없다"고 말했다.

따라서 기업은 공격에 직면했을 때 즉시 복구를 할 수 있도록 대비하는 것이 좋다. 플래시포인트(Flashpoint)의 수석 사이언티스트 렌스 제임스는 랜섬웨어는 더 큰 문제를 알리는 '신호'라고 말했다. 그는 "랜섬웨어 이전에 Pony, Dridex, 기타 정보를 훔치는 악성코드에 감염됐을 것이다. 시스템이 감염돼 정보가 유출됐을 가능성이 크다"고 말했다.

대안은 사이버 몸값을 지급하지 않고, 빠르게 데이터를 복구하는 체계를 갖추는 것이다. 제임스는 "사이버 몸값을 주는 것은 문제의 소지가 있다. 이미 보안 취약점이 존재하는 상황이므로 공격을 받은 기업은 랜섬웨어 공격 자체를 자사 IT 환경에 문제가 있다는 신호로 생각해야 한다"고 말했다.

아직 랜섬웨어 공격을 받지 않았다면 랜섬웨어 공격을 서버 문제에 준해 대비해야 한다. 제임스는 "중요한 파일을 캡처하고 있는지, 복구할 방법이 있는지 확인해야 한다. 모든 파일과 쉐도우 사본의 사본을 유지하고 이를 네트워크와 분리된 장소에 보관해야 랜섬웨어 공격에 대비할 수 있다"고 말했다.

또한 랜섬웨어 공격에서 범죄자는 희생자를 상대로 심리전을 펼쳐 많은 돈을 갈취한다. 따라서 사이버 몸값을 내는 대신 사전에 엔드포인트 방어에 투자해야 한다. 실력있는 포렌식 팀에 의뢰해 데이터를 복구해야 한다. 범죄자는 바보 취급을 당하고 싶은 사람이 없다는 점을 잘 알고 있다. 이 때문에 실제 공격을 받아 몸값을 주고도 그 사실을 숨기는 경우가 많다.

제임스는 "심리적 강압에 굴복하지 말고, 상황을 더 철저히 파악하고 인식해야 한다. 공격을 당한 사실 자체를 숨길 이유가 없다. 솔직하게 공개를 해도 무방하다. 공개하지 않을 때 오히려 랜섬웨어 문제가 심각해진다. 범죄자는 협박과 위협 등을 유도하는 새로운 방법을 터득하게 된다"고 지적했다.

마지막으로 기업이 유념해야 할 것이 있다. 설사 사이버 몸값을 지급해도 데이터 암호를 해독할 수 없거나 더 큰 피해를 초래할 수 있다는 것이다. 랜섬웨어서 공격에서 우리의 상대는 범죄자라는 것을 항상 명심해야 한다. ciokr@idg.co.kr

출처 : 정보통신기술진흥센터

빅데이터 분석실습 자료 ( R을 중심으로)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2622



빅데이터 분석실습 자료
 

1. 빅데이터 기초 (R을 중심으로) : R소개 및 활용 기초 교육 자료

A. R 소개

A.1 R is...

R은 데이터 조작, 통계 계산, 시각화 등을 위핚 프로그래밍 얶어(혹은 홖경)이다.
오픈 소스(open source)이고, 엄청난 양의 패키지와 최싞 분석 기법을 제공하며,
모든 플랫폼에서 작동하는 특징 때문에,
최근 데이터 과학에서 공용어(lingua franca)로 자리잡아가고 있다.


• Download at [http://www.r-project.org].

~ 첨부파일 참고 ~



2. 빅데이터 분석 실습 교육(R 기초)

R 소개

• 본 장에서는 최근 데이터 과학에서 공용어로 자리잡아가는 R에 대해서 가볍게 소개한다.

• Issue
  - R실행시 처음으로 만나게 되는 Console 과 Script 창에 대한 설명
  - 작업 디렉토리(Working directory)와 패키지(Packages)에 대한 이해
  - 산술연산을 하기위한 기본적인 연산자와 변수생성법, 주석표기법


~ 첨부파일 참고 ~


출처 : 한국정보화진흥원

2016년 8월 17일 수요일

대법원 이미 공개된 개인정보 당사자의 동의없이 수집·제공 가능 (2016.08.17)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2619
대법원 이미 공개된 개인정보 당사자의 동의없이 수집·제공 가능


인터넷 등을 통해 공개된 대학교수나 법조인의 개인정보라면 당사자의 동의없이 수집, 축적해 다른 사람들에게 유료로 제공해도 불법행위로 볼 수 없다는 대법원의 판단이 나왔다.  
대법원 2부(주심 이상훈 대법관)는 17일 모 국립대학 교수 A씨가 네이버와 구글코리아 등 6개 업체를 상대로 낸 부당이득금반환 청구 소송에서 원고 일부승소 판결한 원심을 파기하고 사건을 서울중앙지법 합의부로 돌려보냈다.
 
재판부는 “이미 공개된 개인정보를 당사자의 동의가 있었다고 객관적으로 인정되는 범위에서 수집·제공할 경우 별도 동의는 불필요하다”며 “별도 동의를 받지 않았다고 해서 개인정보보호법을 위반했다고 볼 수 없다”고 판단했다.

이어 “모 국립대학 교수 A씨의 개인정보는 해당 학과 홈페이지나 교원 명부 등 외부에 공개돼 있다”며 “일부 업체가 영리적 목적으로 개인정보를 수집해 제3자에게 제공했다고 하더라도 이것이 개인정보자기결정권을 침해한 위법 행위로 평가할 수 없다”고 설명했다.

앞서 A씨는 “네이버 등 주요 포털사이트 등이 동의 없이 생년월일, 학력 등의 개인정보를 게재했고 일부 인터넷 사이트는 이를 유료로 제공해 수익을 올렸다”며 2012년 5월 소송을 냈다.

1심은 “손해배상 청구 시효가 지났다”며 원고 패소 판결했다. 그러나 항소심 재판부는 “당사자가 공인이더라도 동의 없이 유료사이트에서 상업적으로 이용된 경우 위법성이 인정된다”며 법률 정보 사이트인 "K사" 에 대해 50만원의 배상 책임을 인정했다.

나머지 5개 회사에 대해서는 1심과 같이 청구를 기각했다.

[참고]

http://www.yonhapnews.co.kr/bulletin/2016/08/17/0200000000AKR20160817078400004.HTML?input=1195m

http://news.chosun.com/site/data/html_dir/2016/08/17/2016081702083.html

http://www.ajunews.com/view/20160817133448254

2016년 8월 16일 화요일

오픈소스 취약점을 체크해주는 서비스, 소스클리어

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2614

오픈소스 취약점을 체크해주는 서비스, 소스클리어


오픈소스 개발자의 고민은 오픈소스  소스의 취약점을 확인하는 것이다.

라이선스를 확인해야 하고, 버전이나 보안 취약성도 확인해야 하는데 이게 참 고된 작업이다.

이제 편하게 오픈소스로 개발 하게 되었다.

개발자들을 돕기 위해 오픈소스 취약점만 전문적으로 찾아주는 서비스가 생겼다. 소스클리어이다.

오픈소스에 적용된 코드를 문석하여 보안취약성 여부를 자동으로 검색해주고 그 결과와 보안취약성 대처방법도 안내해 준다. 

2016년 8월 15일 월요일

젠킨스(Jenkins) 보안 권고 2016.5.11

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2613
 

젠킨스(Jenkins) 보안 권고 2016.5.11

Added note on plugins impacted by SECURITY-170, mentioned system property disabling part of the SECURITY-243 fix. ( 2016년 5월 12일 개정.)


이 내용은 젠킨스의 여러 취약점을 담고 있습니다

Description

Arbitrary build parameters are passed to build scripts as environment variables

SECURITY-170 / CVE-2016-3721
Build parameters in Jenkins typically are passed to build scripts as environment variables. Some plugins allow passing arbitrary (undeclared) parameters. Depending on access permissions and installed plugins, malicious users were able to trigger builds, passing arbitrary environment variables (e.g. PATH) to modify the behavior of those builds. Rather than expect all plugin authors to be aware of this potential problem, Jenkins now filters the build parameters based on what is defined on the job.
As this change is known to affect a number of plugins, it's possible to restore the previous behavior by setting the system property hudson.model.ParametersAction.keepUndefinedParameters to trueThis is potentially very unsafe and intended as a short-term workaround only.
To allow specific, known safe parameter names to be passed to builds, set the system property hudson.model.ParametersAction.safeParameters to a comma-separated list of safe parameter names. Example:
java -Dhudson.model.ParametersAction.safeParameters=FOO,BAR_BAZ,qux -jar jenkins.war
For an overview of impacted plugins and the current status of their fixes, see: Plugins affected by fix for SECURITY-170

Malicious users with multiple user accounts can prevent other users from logging in

SECURITY-243 / CVE-2016-3722
By changing the freely editable 'full name', malicious users with multiple user accounts could prevent other users from logging in, as 'full name' was resolved before actual user name to determine which account is currently trying to log in.
Part of this fix can be disabled by setting the system property hudson.model.User.SECURITY_243_FULL_DEFENSE to false. This is not generally encouraged, but may be necessary in rare circumstances.

Information on installed plugins exposed via API

SECURITY-250 / CVE-2016-3723
The XML/JSON API endpoints providing information about installed plugins were missing permissions checks, allowing any user with read access to Jenkins to determine which plugins and versions were installed.

Encrypted secrets (e.g. passwords) were leaked to users with permission to read configuration

SECURITY-266 / CVE-2016-3724
Users with extended read access could access encrypted secrets stored directly in the configuration of those items.
As a side-effect of this change, copying a job that contains secrets in its configuration now requires the Configure permission on that job.

Regular users can trigger download of update site metadata

SECURITY-273 / CVE-2016-3725
A missing permissions check allowed any user with access to Jenkins to trigger an update of update site metadata. This could be combined with DNS cache poisoning to disrupt Jenkins service.

Open redirect to scheme-relative URLs

SECURITY-276 / CVE-2016-3726
Some Jenkins URLs did not properly validate the redirect URLs, which allowed malicious users to create URLs that redirect users to arbitrary scheme-relative URLs.

Granting the permission to read node configurations allows access to overall system configuration

SECURITY-281 / CVE-2016-3727
The API URL /computer/(master)/api/xml allowed users with the 'extended read' permission for the master node to see some global Jenkins configuration, including the configuration of the security realm.
This URL now unconditionally sends HTTP 400 Bad Request when accessed. There is no workaround.

Severity

  • SECURITY-170 is considered medium.
  • SECURITY-243 is considered low.
  • SECURITY-250 is considered medium.
  • SECURITY-266 is considered medium.
  • SECURITY-273 is considered low.
  • SECURITY-276 is considered medium.
  • SECURITY-281 is considered medium.

Affected versions

  • All Jenkins main line releases up to and including 2.2
  • All Jenkins LTS releases up to and including 1.651.1

Fix

  • Jenkins main line users should update to 2.3
  • Jenkins LTS users should update to 1.651.2
These versions include fixes to all the vulnerabilities described above. All prior versions are affected by these vulnerabilities.

Credit

The Jenkins project would like to thank the following people for discovering and reporting these vulnerabilities:
  • Adam Cazzolla and Ben Bleiberg, Sonatype Inc. for SECURITY-276
  • Charles Nelson for SECURITY-250
  • James Nord, CloudBees, Inc. for SECURITY-273
  • Jesse Glick, CloudBees, Inc. for SECURITY-281
  • Stephen Connolly, CloudBees, Inc. for SECURITY-170
  • Steve Marlowe <smarlowe@cisco.com> of Cisco ASIG for SECURITY-243 and SECURITY-266

Other Resources



 참고 :
 1) Jenkins 오픈소스 프로젝트의 기본 인프라가 이미 해킹되었다? http://blog.alyac.co.kr/613


2016년 8월 3일 수요일

차세대 네트워크 기술 및 산업동향

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2595
 

차세대 네트워크 기술 및 산업동향



SDN 기술은 데이터 전송부분과 제어부분이 밀결합된 기존 하드웨어 중심의 고가 네트워크 장비를 대체할 수 있도록 데이터 전송부분과 제어부분을 분리하고, 저가의 범용 하드웨어 장비를 사용함으로써 장비 가격을 낮추고 사업자의 요구사항을 충족하는 유연한 네트워크 구성 및 운용이 가능

NFV 기술은 특정 하드웨어와 밀결합되어 고가로 판매되었던 L4-L7 서비스 기능들을 저가의 범용 서버 등에서 가상화하여 사용함으로써 장비 비용 절감 및 네트워크 서비스 시장의 활성화를 가져올 것으로 예상


추가 내용은 첨부파일을 참고하세요

첨부파일 : 차세대 네트워크 기술 및 산업동향 자료집

출처 : 한국네트워크산업협회

2016년 8월 2일 화요일

Nymaim 악성코드 전 세계적으로 유행 중 (2016.07)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2594

Nymaim 악성코드 전 세계적으로 유행 중

2013년에 발견된 Nymaim이 올해 위협환경에서 더욱 강력하게 재출현



▶ 악성코드 Nymaim 재출현• 2013년에 악성코드 계열로 알려진 Nymaim은 작년과 비교하여 공격이 63% 증가하였고,위협환경에서 더 강하게 재출현하였다고 ESET 전문가들은 밝힘
• 2016년 상반기 탐지 수는 2015년보다 증가추세에 있고 세계적으로 위협 재유행 추세
• ESET에 따르면 폴란드는 올해 가장 많이 공격을 받았으며(54%) 다음으로는 독일(16%) 그리고 미국(12%)이 차지

▶ ESET의 Nymaim 분석결과• 이전버전과는 다르게, 다운로드 실행이 필요하며 새로운 변종 Nymaim은 스피어피싱을 넘어 이메일 분야까지 확장. 특히 변종 Nymaim은 악성 매크로를 섞어 SNS상 사용자들을 속이기 위해 word의 doc파일에 첨부
• 이러한 doc 파일들은 사용자들에게 “내용을 보기 위해서는 호환성 모드를 활성화 필요” 라는 창을 띄우며 사용자가 직접 매크로 활성을 할 수 있도록 유도
• VBA/TrojanDownloader.Agent.BCX 로 탐지된 매크로 바이러스는 Nymaim 페이로드를 다운로드하며 이는 temp 폴더에 새로운 실행 파일로 저장되어 이를 다시 실행. 전문가들은 해당 악성코드는 드로퍼에 의해 다운받아지며 이는 마지막 페이로드에 의해 파일을 암호화하는 랜섬웨어와 유사한 것이라고 설명

▶ Nymaim 피해 및 주의 사항• 2015년에 Nymaim 악성코드 변종이 발견 되었으며 2016년 5월에 분석 샘플 완성
• Nymaim 악성코드는 브라질의 금융기관을 목표를 잡은 공격이 다수 발견 되었으며 올해 4월에는IBM에서 Nymaim dropper와 Gozi 금융 악성코드가 결합된 하이브리드 Trojan을 발견.
• 이 악성코드는 GozNym 이라고 불리며 4월 말 유럽의 유저들을 타겟으로 잡아왔으나, 지난달 미국의 주요 은행들로 타겟 변경하여 피해가 예상됨
• 예방전략은 네트워크가 지원된다면, 이 악성코드에 접촉하는 IP와 URL들을 방화벽의 프록시 단에 블랙리스팅 후 제거. 또한 사용자 PC에 피싱과 웹에 대한 백신을 설치하고 최신 버전으로 유지시키는것 또한 필수


공공기관 개인정보 영향평가 수행 시 참고사항 (2016.07)

  뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2592

공공기관 개인정보 영향평가 수행 시 참고사항 (2016.07)



□ 관련 법규○ 개인정보 보호법 제33조(개인정보 영향평가)
○ 개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상), 제36조
    (영향평가 시 고려사항), 제37조(평가기관의 지정 및 지정취소), 제38조
    (영향평가의 평가기준 등)
○ 개인정보 영향평가에 관한 고시 (행정자치부 고시 제2015-53호, 2015.12.31.)

□ 영향평가 개요○ (목적) 개인정보를 처리하는 시스템을 구축 또는 변경하는 경우 위험요인을 분석하고 개선사항을
    도출하여 개인정보 침해사고 예방
○ (대상) 개인정보 처리 시스템을 구축 또는 변경하려는 공공기관

           <영향평가 수행 대상 : 개인정보 보호법 시행령 제35조>         ▪ 5만 명 이상의 민감정보 또는 고유식별정보가 포함된 개인정보파일
         ▪ 공공기관 내부 또는 외부 개인정보파일과 연계 결과 50만 명 이상의 개인정보가 포함된
            개인정보파일
         ▪ 100만 명 이상의 개인정보가 포함된 개인정보파일
         ▪ 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우, 변경된 부분

○ (평가기관) 행정자치부장관이 지정한 18개 기관
 ※ 개인정보보호 종합포털(www.privacy.go.kr) 사업자 > 개인정보 영향평가 > 영향평가 안내 > 
     평가기관목록에서 확인 가능

□ 영향평가 수행 시기○ 신규 시스템 구축 또는 기존 시스템 변경 시 시스템 분석․설계 단계
○ 시스템 운영 중 중대한 개인정보 침해위험 발생 우려 시
○ 개인정보 보호법 시행령 시행(2011.9.30.) 전 구축․운영 시스템은‘16.9.까지 수행
 ※ 개인정보 보호법 시행령(2011.9.30.) 부칙 제6조(개인정보 영향평가에 관한 경과조치) 참조

□ 영향평가 사업 담당자 유의사항○ 투입인력의 영향평가 수행 자격 확인(인증서 확인)
 ※ 「개인정보 영향평가에 관한 고시」에 따라 제5조에 따라 전문인력 인증을 받은 경우 영향평가
      수행 가능
○ 영향평가는 시스템 구축․운영 전 개인정보 침해 요인을 찾고,
이를 개선하여 개인정보 침해사고를 예방하는 것이 목적이므로
- 영향평가기관이 영향평가 사업 발주기관과 관련 시스템을 정확히 이해할 수 있도록 자료 제공 
   등에 적극 협조하고
- 기관과 시스템의 특성을 반영한 개선사항 도출 등 내실 있는 영향평가 사업이 될 수 있도록
   관리․감독 철저
○ 개인정보보호종합지원시스템(intra.privacy.go.kr)에 영향평가 결과 등록
- 영향평가서 : 사업 완료 후 2개월 이내
- 개선계획 이행점검 확인서 : 사업 완료 후 1년 이내

□ 참고자료○ 개인정보 영향평가 수행안내서
 ※ 개인정보보호 종합포털(www.privacy.go.kr) 사업자 > 개인정보 영향평가 > 영향평가 자료실에서
     다운로드 가능

○ 개인정보 영향평가 컨설팅
    뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)


당신에게 쉬운 비밀번호, 해커에게도 쉽습니다!

출처 : http://cafe.naver.com/rapid7/2593

당신에게 쉬운 비밀번호, 해커에게도 쉽습니다!




2014년 한국인터넷진흥원이 실시한 ‘개인정보보호수준’ 실태조사에 따르면 각종 인터넷 사이트 비밀번호를 ‘거의 변경하지 않음’이 54.9%, ‘때에 따라 변경’이 35.5%, ‘주기적 변경’이 9.6%로 인터넷 사용자들의 비밀번로 관리행태가 심각한 것으로 드러났다. 

인터넷상 비밀번호 관리에 소호할 경우, 해킹 등으로 인한 개인정보유출 사고는 물론이고 그에 따른 보이스피싱, 스미싱 등의 2차 피해로 이어질 가능성이 높아 사용자들의 안전한 비밀번호의 설정·관리가 시급한 상황이다.

이에 방송통신위원회(이하 방통위)가 인터넷 사용자들의 개인정보보호 실천을 유도하기 위한 캠페인 추진에 본격적인 시동을 걸었다.
지난 20일 방통위는 서울 서초동 사이버보안인재센터에서 대한민국 정책기자단을 대상으로 ‘2016 인터넷 내정보 지킴이’ 캠페인 주요 추진 계획안을 알리는 설명회를 가졌다. 

이날 브리핑에서 가장 강조한 부분은 비밀번호 설정이다. 안전한 비밀번호 설정 및 관리방안에 대해 다음의 세 가지를 강조했다.
1. 비밀번호는 영문 대·소문자, 숫자, 특수기호를 사용해 다른 사람이 쉽게 알지 못하게 설정하여야 합니다.
2. 하나의 비밀번호를 여러 사이트에 사용해서는 안됩니다.
3. 비밀번호는 최소 3개월에 한 번씩 변경해주는 것을 권장합니다.
 
안전한 비밀번호 구성방법은 다음과 같다.
1. 세 가지 종류 이상의 문자 구성으로, 8자리 이상 길이로 구성된 문자열
2. 두 가지 종류 이상의 문자 구성으로, 10자리 이상의 길이로 구성된 문자열

비밀번호 구성시 피해야 할 부분은?
1. 7자리 이하 또는 두 가지 종류 이하의 문자 구성으로 8자리 이하 비밀번호
2. 특정 패턴을 갖는 패스워드
- 동일한 문자의 반복 예)aaabbb
- 키보드 상에서 연속한 위치에 있는 문자들의 조합 예) qwert
- 숫자가 제일 앞이나 제일 뒤에 오는 구성의 패스워드 예) security1
- 제3자가 쉽게 알 수 있는 개인정보(가족이름, 생일, 주소, 휴대전화번호)를 바탕으로 구성된 비밀번호

기자단과의 일문일답을 통해 좀 더 자세한 내용을 들여다봤다.

Q : 개인정보 보호를 위해 안전한 비밀번호 설정을 특히 강조하는데 그 이유는?
A : 비밀번호가 노출되면 개인 메일정보나 금융정보가 타인에게 유출될 수 있다. 개인정보 유출의 결정적인 원인이 될 수 있기 때문이다.  

Q : 안전한 비밀번호 설정의 구체적인 팁을 준다면?
A : 특정명칭이나 노래제목, 명언, 속담 등을 가공하여 설정하길 바란다. 노래제목 ‘THIS MAY BE ONE WAY TO REMEMBER’ 같은 경우 앞글자를 따서 ‘TmB1w2R’ 같이 비밀번호를 설정할 수 있다.
기본 패스워드 문자열을 설정하고 사이트별 특정 규칙을 적용해 설정하는 방법도 있다. 예를 들어, 기본 문자열 ‘486’에 사이트별 문자열을 더해 ‘486+yhc(yahoo.com 패스워드)’, ‘486+ggcr(google.co.kr 패스워드)’ 식으로 설정하는 것이다.

Q : 여러 개로 설정한 비밀번호를 효과적으로 기억하고 관리할 수 있는 방안은?
A : 본인만 알 수 있는 곳에 메모를 해둬야 한다. 아무리 헷갈리고 귀찮더라도 다른 사람들이 볼 수 있게 메모지 등에 써서 공개적으로 붙여놓는 방법은 절대 해서는 안된다. 스마트폰 메모장 등에 저장해두는 것도 가급적 피해주길 바란다. 스마트폰을 잃어버릴 경우 개인정보 유출 피해 우려가 있다.

Q : 비밀번호 노출 시 해킹과 개인정보 유출로 인한 2차 피해가 있다고 했는데 2차 피해에 대해서 알려주신다면?
A : 2차 피해의 대표적 사례는 단연 보이스피싱과 스미싱이다. 유출된 개인정보를 악용해 문자나 메일을 보내거나 전화를 걸어 개인정보를 빼내 사기를 벌이는 사이버 신종 범죄이다.

Q : 그렇다면 2차 피해에 대한 대처방안은?A : 사실 개인정보가 유출되고 나면 이로 인한 피해를 막을 수 있는 뾰족한 방안이 없다. 그래서 예방이 매우 중요하다. 일단 즉시 기존 사용하던 사이트별 아이디와 비밀번호를 안전하게 변경하고 확인되지 않는 사람에게 온 메일이나 문자의 첨부파일을 함부로 열어보지 마라. 모르는 사람에게 걸려온 전화 역시 철저한 주의와 경계가 필요하다. 피해가 발생 했을 때는 사이버테러 긴급 전화번호 118번으로 신고·상담하길 바란다.

Q : 마지막으로 기자단을 통해 국민들에게 전하고 싶은 말씀은?
A : 이번 캠페인을 통해 ‘내 정보는 내가 지킨다’라는 인식을 갖고 개인정보 유출로 인한 피해를 방지하는  동참해주시길 바란다.

기술이 발달하면서 개인정보 유출 피해 역시 꾸준히 지속적으로 이뤄지고 있는 실정이다. 최첨단 IT기술 강국인 우리나라의 경우 개인정보의 중요성과 위험에 대한 국민들의 인식은 높은 반면 그에 따른 비밀번호 관리 등 개인정보 호를 위한 실천은 저조한 상황이다.

이번 캠페인을 통해 국민들이 생활 속 개인정보보호를 위한 실천을 강화해 개인정보 유출로 인한 피해가 근절되길 희망한다.


한편, 방송통신위원회 주최로 7월 25일부터 9월 30일까지 진행되는 ‘인터넷 내 정보 지킴이 캠페인’에는 인기BJ 대도서관님도 함께해 1인 미디어(유튜브, 아프리카TV 등)를 활용한 홍보 역시 적극적으로 펼칠 예정이라고 하니 많은 관심 보내주길 바란다.


2016년 8월 1일 월요일

개인정보 비식별화기술의 쟁점 연구

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2591
개인정보 비식별화기술의 쟁점 연구

– 요 약 문 –
그간 ICT기술의 발전으로 수많은 기업과 공공기관들은 대량의 데이터를 축적하여 왔는데, 이러한 빅데이터는 최근 ‘21세기의 원유’라고 불릴 정도로 경제적·사회적 가치를 인정받게 되었다.

빅데이터 중에서도 개인에 관한 일반적인 정보, 의료정보, 위치정보, 신용정보 등은 개인정보로 통칭되며, 빅데이터의 수집·분석과 관련된 빅데이터산업은 급속히 성장하고 있으며, 개인정보의 수집과 판매에 집중하는 데이터 브로커들도 미국을 비롯해 전세계적으로 활동하고 있다.


국가권력으로부터의 자유를 의미하던 전통적인 프라이버시권은 이러한 상황에 발맞추어 개인정보 자기결정권이라는 개념으로 진화하였고, 세계 각국은 개인정보 자기결정권을 보호하는 한편, 집적된 개인정보를 활용하여 각종 산업을 육성하고 사회적 편익을 증대시키고자 노력하고 있다.

잇따른 대규모 개인정보 유출사고를 겪은 우리나라는 개인정보 보호체계를 강화해 왔으나, 최근에는 개인정보의 활용을 증대시키고자 하는 움직임이 경제 관련 부처들로부터 시작되고 있다. 가까운 일본의 경우에는 개인정보 활용을 촉진하기 위해 개인정보보호법을 대폭 개정해 2017년 전면 시행예정이며, 인권을 중시하는 EU는 개인정보 관련 권리를 구체화하고 개인정보 관리감독을 강화하기 위해 GDPR을 제정, 2018. 5. 25.부터 EU회원국들과 EU 내에서 활동하는 사업자들에게 시행할 예정이다.

우리나라에서는 이미 수집된 개인정보를 제3자에게 제공할 때 정보 주체의 사전동의가 필요하지만 비식별화하여 개인을 알아볼 수 없을 때는 예외이기 때문에 개인정보의 비식별화 기술에 대한 관심이 높아져 가고 있다. 하지만 다른 정보와 결합하여 개인이 식별될 경우에는 법적 규제와 처벌의 대상이 될 수도 있고, 실제로 SK텔레콤의 전자처방전 사업과 약학정보원의 처방정보 유출사건에서 비식별화 및 개인정보 유출 여부가 쟁점으로 떠오른 바 있어, 산업계에서는 보다 명확한 기준을 요구해 왔다.

이에 정부에서 2014년에 발표한 ‘개인정보 비식별화 기술 활용 안내서’에서는 무작위화 방법과 일반화 방법으로 대표되는 비식별화기술 18종과 함께 비식별 적정성 평가기준으로 k-익명성(k-anonymity), l-다양성(l-diversity), t-근접성(t-closeness)을 제시하였다.

그러나 기술안내서에서는 개인정보의 정의와 범위에, 적정성 평가의 제도운용에 관한 가이드라인이 존재하지 않았다.

본 보고서에서는 지난 6월 30일 발표된 ‘개인정보 비식별조치 가이드라인’에 언급된 17종의 비식별화기술과 3종의 비식별 적정성 평가기준을 자세히 소개하였다. 특히 외국에서 비식별 데이터가 공개된 정보와 결합하여 재식별된 사례들을 통해 비식별화기술의 한계와 적정성 평가기준의 필요성을 보다 쉽게 이해할 수 있도록 하였다.

아울러 현재 사용할 수 있는 비식별화 소프트웨어 현황도 오픈소스 소프트웨어 위주로 자세히 정리하였다.

또한 새 가이드라인에서는 지금까지 개인정보의 범위를 매우 확장했다는 비판을 받던 “다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 정보”(‘결합용이성’)의 요건으로 ① 입수가능성과 ② 재식별의 합리적 가능성을 제시해 개인정보의 범위가 보다 분명해졌지만, 여전히 개인정보 해당 여부에 관한 사법적 판단의 참고자료라는 한계를 가지고 있음을 지적하였다.

그러므로 실제로 비식별화기술과 관련하여 개인정보의 보호와 산업적 활용을 조화시키는 방안으로서, ① 개인정보의 정의에 관한 법개정을 적극 검토해야 하며, ② 비식별정보의 유통에 대한 당국의 관리체계가 필요하고, ③ 법체계 정비와 함께 개인정보보호위원회를 개인정보의 컨트롤타워로 강화할 필요가 있음을 제시하였다.


– 목 차 –
제1장 서 론
  제1절 연구배경
  제2절 연구범위

제2장 빅데이터의 등장과 활용
  제1절 빅데이터란
  제2절 빅데이터 관련 기술
  제3절 빅데이터의 활용 사례
  제4절 빅데이터 산업 전망
  제5절 데이터 브로커 산업 전망
  제6절 빅데이터 활용과 개인정보 보호와의 관계

제3장 개인정보의 권리화와 보호강화
  제1절 프라이버시권과 개인정보 자기결정권의 등장
  제2절 국내 개인정보 자기결정권의 발전
  제3절 정보통신의 발달과 개인정보 보호의 강화
  제4절 빅데이터 활용과 개인정보 비식별화

제4장 개인정보 비식별화기술
  제1절 비식별화기술의 개요
  제2절 비식별화기술의 불완전성
  제3절 비식별화기술의 평가척도
  제4절 비식별화 소프트웨어의 현황

제5장 비식별화기술의 쟁점과 동향
  제1절 비식별화기술과 개인정보법령 준수여부
  제2절 정부의 개인정보 관련 정책동향
  제3절 일본의 개인정보 관련 정책동향

제6장 제도개선의 시사점
  제1절 개인정보 정의와 범위의 개선
  제2절 비식별정보 유통의 관리체계
  제3절 법체계와 컨트롤타워의 재정립



☎ 개인정보 비식별화 컨설팅 & 교육
     뉴딜코리아 컨설팅 사업부 : 070-7867-3721, ismsbok@gmail.com

첨부파일 : 개인정보 비식별화기술의 쟁점 연구