2016년 9월 27일 화요일

인터넷 자기게시물 접근배제요청권, 인터넷명예훼손 - 정보의 삭제요청

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2649

인터넷명예훼손: 정보의 삭제요청


Q>누군가 저를 비방하는 글을 포털사이트에 올렸습니다. 글쓴이를 찾아서 지워달라고 하기엔 오래 걸릴 것 같은데 어떻게 하면 좋을까요?

A>포털사이트를 통해 일반에게 공개를 목적으로 글을 올려 명예훼손 등 타인의 권리가 침해된 경우 그 침해를 받은 자는 해당 정보를 취급한 정보통신서비스 제공자(포털사이트 회사)에게 침해사실을 소명하여 그 정보의 삭제 또는 반박내용의 게재를 요청할 수 있습니다.
◇ 정보의 삭제 또는 반박 내용의 게재 요청
☞ 정보통신망을 통하여 일반에게 공개를 목적으로 제공된 정보로 명예훼손 등 타인의 권리가 침해된 경우 그 침해를 받은 자는 해당 정보를 취급한 정보통신서비스 제공자에게 침해사실을 소명하여 그 정보의 삭제 또는 반박내용의 게재(이하 “삭제등”이라 함)를 요청할 수 있습니다.
☞ 정보통신서비스 제공자는 위의 해당 정보의 삭제등을 요청받으면 지체 없이 삭제·임시조치 등의 필요한 조치를 하고 즉시 신청인 및 정보게재자에게 알려야 합니다.
☞ 이 경우 정보통신서비스 제공자는 삭제·임시조치 등의 필요한 조치를 한 사실을 해당 게시판에 공시하는 등의 방법으로 이용자가 알 수 있도록 하여야 합니다.
◇ 정보통신서비스 제공자의 임시조치
☞ 정보통신서비스 제공자는 정보의 삭제요청에도 불구하고 권리의 침해 여부를 판단하기 어렵거나 이해당사자 간에 다툼이 예상되는 경우에는 해당 정보에 대한 접근을 임시적으로 차단하는 조치(이하 “임시조치”라 함)를 할 수 있습니다.
☞ 임시조치의 기간은 30일 이내로 합니다.


2016년 9월 21일 수요일

금융권 개인정보 비식별 조치 발표자료

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2647

금융권 개인정보 비식별 조치 발표자료


2016년 9월 9일 진행되었던 금융권 개인정보 비식별 조치 세미나 발표자료를 공지하였으니 업무하실 때 참고하여 주시기 바랍니다.


발표자료 : http://cafe.naver.com/rapid7/2647

주최,주관 : 한국신용정보원, 금융보안원
후       원 : 금융위원회, 금융감독원

비식별전문기관 : 뉴딜코리아

2016년 9월 20일 화요일

홈페이지 개인정보 노출방지 안내서(2016년 개정판)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2646

홈페이지 개인정보 노출방지 안내서(2016년 개정판)
- 본문,리플릿,요약본
 


본 안내서는「개인정보 보호법」등 관계법령의 규정을 토대로, 개인정보 담당자, 홈페이지 담당자 및 홈페이지 개발자를 대상으로 인터넷에 노출된 개인정보의 오남용을 예방하기 위하여 개인정보 노출 원인별 구체적인 사례 및 조치방법에 대한 올바른 이해를 돕기 위한 목적으로 발간되었습니다.

<주요 내용>
▶ 개인정보 노출 원인별 사례 분석
▶ 개인정보 노출예방을 위한 조치방법

[첨부파일] 홈페이지 개인정보 노출방지 안내서(2016년 개정판)

2016년 9월 18일 일요일

ISMS 인증심사원 자격검정 안내서

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2643

ISMS 인증심사원 자격검정 안내서



본 안내서는

「정보보호 관리체계 인증 등에 관한 고시」 제3장 (인증심사원의 자격 및 관리)에 따라 시행되는 정보보호 관리체계(ISMS) 인증심사원 자격검정에 대하여 기본적인 이해를 돕기 위해 제공된다.

 본 안내서의 내용은 정보보호 관리체계(ISMS) 인증제도 안내, 정보보호 관리체계(ISMS) 인증기준 설명, 출제분야 및 출제유형 등의 내용으로 구성되어 있다.

 본 안내서는 정보보호 관리체계(ISMS) 인증심사원 자격검증을응시하고자 하는 자가 참고할 수 있다.
 또한, 실제 자격검정에서는 본 안내서에서 다루고 있는 내용 외 정보보호 기술 및 법률관련 내용 등이 추가된다.

 본 안내서의 정보보호 관리체계(ISMS) 인증기준에 제시된 사례는 인증기준 항목에 대한 이해를 돕고자 제시된 예시로서 심사대상 기관의 내부 정책, 지침, 시스템 환경 등이 고려되지 않았으며, 자격검정 문항에서 제시될 사례와는 상이할 수 있다.

 본 안내서는 지속적인 보완 작업을 통하여 변경될 수 있다.


CONTENTS

제 1 장 정보보호 관리체계(ISMS) 인증제도 안내

Ⅰ. 정보보호 관리체계(ISMS) 인증제도 개요 1
  1. 정보보호 관리체계의 개념 1
  2. 정보보호 관리체계 인증 추친 체계 3
  3. 정보보호 관리체계 인증 기대 효과 4

Ⅱ. 정보보호 관리체계(ISMS) 인증 대상 및 범위 5
 1. 정보보호 관리체계 인증대상 5
 2. 정보보호 관리체계 인증 범위 6
 3. 정보보호 관리체계 인증기준 7

제 2 장 정보보호 관리체계(ISMS) 인증기준 설명 
Ⅰ. 정보보호 관리체계 인증 관리과정 요구사항 9
  1. 정보보호정책 수립 및 범위설정 10
  2. 경영진 책임 및 조직 구성 12
  3. 위험관리 14
  4. 정보보호대책 구현 18
  5. 사후관리 20

Ⅱ. 정보보호 관리체계 인증 정보보호대책 통제사항 24
  1. 정보보호정책 24
  2. 정보보호 조직 31
  3. 외부자 보안 36
  4. 정보자산 분류 41
  5. 정보보호 교육 45
  6. 인적 보안 52
  7. 물리적 보안 58
  8. 시스템 개발보안 71
  9. 암호통제 83
 10. 접근통제 89
 11. 운영보안 110
 12. 침해사고 관리 145
 13. IT 재해복구 153

제 3 장 출제분야 및 출제유형

Ⅰ. 필기검정 출제분야 159

Ⅱ. 필기검정 출제유형 160
  1. 유의사항 160
  2. 출제유형 161

Ⅲ. 정보보호 관리체계 인증심사 참고 법령 168


표 차례
[표 1] 정보보호 관리체계 의무대상자 기준 5
[표 2] 정보보호 관리체계 인증기준 항목 7
[표 3] 정보보호 관리과정 인증기준 항목 9
[표 4] 정보보호정책 인증기준 항목 24
[표 5] 정보보호조직 인증기준 항목 31
[표 6] 외부자보안 인증기준 항목 36
[표 7] 정보자산 분류 인증기준 항목 41
[표 8] 정보보호 교육 인증기준 항목 45
[표 9] 인적보안 인증기준 항목 52
[표 10] 물리적보안 인증기준 항목 58
[표 11] 시스템개발 보안 인증기준 항목 71
[표 12] 암호통제 인증기준 항목 83
[표 13] 접근통제 인증기준 항목 89
[표 14] 운영보안 인증기준 항목 110
[표 15] 침해사고 관리 인증기준 항목 145
[표 16] IT 재해복구 인증기준 항목 153
[표 17] 검정에서 출제될 문항의 범위 159
[표 18] 정보보호 관련 법규 범위 상세 168

그림 차례<그림 1> 정보보호 관리체계 인증심사 종류 2
<그림 2> 정보보호 관리체계 인증 추진체계 3
<그림 3> 정보보호 관리체계 인증심사 기준 7


[첨부파일] ISMS 인증심사원 자격검정 안내서


비식별 조치 적정성 평가 전문가 교육 및 결합지원 서비스를 위한 기업 설명회 개최

비식별 조치 적정성 평가 전문가 교육 및 결합지원 서비스를 위한 기업 설명회 개최

출처 : http://cafe.naver.com/rapid7/2641

1. 개인정보 비식별 조치 적정성 평가 전문가 교육 개최

□ 교육 개요
 o (일 시) ’16. 9. 21(수), 13:00∼14:30 
 o (장 소) 강남 한국과학기술회관 대회의실(신관 지하 1층)
 o (대 상) 개인정보 비식별 조치 적정성 평가단으로 선정된 전문가
 o (내 용) 개인정보 비식별 조치 적정성 평가 방법, 절차 등
 o (발표자) 정영돈 교수(고려대학교)


2. 개인정보 비식별 조치 및 결합지원 서비스를 위한 기업 설명회 개최

□ 설명회 개요
 o (일 시) ’16. 9. 21(수), 15:00∼18:00 
 o (장 소) 강남 한국과학기술회관 대회의실(신관 지하 1층)
 o (대 상) 개인정보 비식별 조치를 준비 중이거나 관심 있는 사업자
 o (내 용) 개인정보 비식별 조치 가이드라인, 전문기관별 결합 서비스 신청 등 관련 서비스, 비식별 조치 솔루션 안내

□ 세부 일정 
 시 간 (분)
주요내용
15:00~15:20
 개인정보 비식별 조치 가이드라인 소개
15:20~16:30
 전문기관별 비식별 조치 관련 서비스 안내
16:30~16:40
 Coffee Break
16:40~17:30
 비식별 조치 솔루션 소개
17:30~18:00
 Q&A
18:00  폐  회

MySQL 신규 취약점 주의 권고 (2016.09.13)

 뉴딜코리아 홈페이지 | 뉴딜코리아
 http://cafe.naver.com/rapid7/2642


MySQL 신규 취약점 주의 권고 (2016.09.13)


□ 개요

o 오라클社 MySQL에서 원격코드 실행 및 권한상승 등의 피해를 발생시킬 수 있는 취약점이 발견됨[1]
※ MySQL : 오라클에서 개발한 오픈소스 관계형 데이터베이스 관리 시스템
- 공격자가 원격코드 실행 취약점을 이용하여 MySQL 설정 파일을 변경할 경우 공격에 악용될 수 있음

o 영향 받는 버전의 사용자는 피해가 발생할 수 있으므로, 아래 임시 권고 사항 참고
※ 해당 보안 업데이트 발표시 재공지

□ 내용
o MySQL에서 발생하는 원격코드 실행 및 권한상승 취약점(CVE-2016-6662, CVE-2016-6663)

□ Not Vulnerable:ㅇ MySQL 5.7.15, 5.6.33, 5.5.52

-- 2016.09.25 추가사항
참고 :
http://www.securityfocus.com/bid/92912

http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html

□ 임시 권고 사항
o 해당 취약점에 대한 보안 업데이트가 발표되지 않아 패치가 발표 될 때까지 MySQL 환경설정 파일이 노출되지 않도록 주의
o 공격자의 익스플로잇 시도를 방해하기 위해 사용하지 않는 환경설정 파일의 더미 파일 생성
o 패치가 발표 될 때까지, 해당 취약점을 해결한 MySQL 기반의 데이터베이스 관리 시스템인 MariaDB, PerconaDB 사용 권고[2][3]

□ 기타 문의사항o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
o 뉴딜코리아 버그바운트팀 (070-7867-3721)

[참고사이트]
[1] http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.txt
[2] https://mariadb.org/download/
[3] https://www.percona.com/software/mysql-database

2016년 9월 12일 월요일

SSID 브로드캐스트 검색기능 끄기

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2639
 

SSID 브로드캐스트 검색기능 끄기



1. 인터넷 창을 열고 주소창에 "192.168.x.x" 입력하고 엔터키를 입력합니다

2. 관리자 페이지가 나오면 왼쪽에 "무선설정/보안" -> "무선설정" 클릭합니다

3. 오른쪽 매뉴중에 "SSID 브로드캐스트" 부분을 "사용안함" 클릭후 "설정저장"을 합니다

-> 설정을 완료하신후에는 스마트폰이나 다른 무선장비에서 새로 접속을 해야 합니다.

-> 스마트폰의 경우 wi-fi 검색매뉴에서 "wi-fi 네트워크 추가" or "기타" 매뉴를 선택 후 임의로 무선이름과 암호를 입력해서 접속을 해주셔야 wi-fi접속이 가능합니다

-> 윈도우에서 접속하실경우 "기타 네트워크"라는부분을 클릭해서 해당 무선이름과 암호를 입력하시면 됩니다.

2016년 9월 6일 화요일

카드사 대체 인증기술 보안성 비교 분석

뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2638
 

카드사 대체 인증기술 보안성 비교 분석


[본인확인 서비스 인증 절차]

1. 개요
o `14년 온라인 카드결제시 공인인증서 의무 사용 폐지1), 온라인 간편 결제 활성화2) 대책 발표 이후 공인인증서를 대체하기 위한 기술이 지속적으로 개발되고 있음

- 다만, 대체 인증기술에 따라 이용 환경(단말기, 운영체제 등)의 제약과 절차상 요구하는 정보의 차이가 존재

o 본 보고서에서는 카드사 서비스 이용(서비스 가입, 결제* 등) 시 제공되는 공인인증서 기반 본인인증 서비스를 대체하는 인증기술의 보안성을 비교 분석함

* 결제 시 인증이 아닌 특정금액 이상 결제하여 추가인증이 필요한 경우
- 제공 예정인 서비스의 경우 일부 내용이 변경되어 출시될 수 있음

1) 금융위원회, 온라인 카드결제시 공인인증서 의무 사용 폐지를 위한 「전자금융감독규정 시행세칙」개정, 2014.5.19.
2) 금융위원회, 전자상거래 결제 간편화 방안, 2014.7.28.
3) CVC(Card Validation Code) : 카드 유효성 검사 코드로 카드의 고유번호를 의미

상세 내용은 첨부 파일을 참고 바랍니다


2016년 9월 2일 금요일

개인정보 유출 대응 매뉴얼

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2634
 

개인정보 유출 대응 매뉴얼

방송통신위원회(위원장 최성준)와 한국인터넷진흥원(원장 백기승)은 31일 개인정보 유출사고 발생 시 피해를 최소화하기 위해 사업자가 준수해야 할 사항을 담은 「개인정보 유출 대응 매뉴얼」(이하 “매뉴얼”)을 발표하였다. 



최근 A사의 개인정보 유출사고와 과거 사례를 보면 개인정보 유출사고가 발생했음에도 이용자 통지 및 관계기관 신고가 지연되어 초기 대응에 한계가 있었다.

이번 매뉴얼은 과거의 잘못된 대응 사례를 반영하여 대응방향을 제시함으로써 신속한 초기 대응을 통해 이용자 피해를 최소화하기 위해 마련하였다.

사업자는 매뉴얼을 참고하여 자사의 상황에 맞도록 「사업자 개인정보 유출 대응 매뉴얼」을 마련하고 세부적인 대응절차 및 방법을 대책을 수립·시행하여야 한다.

< 1. 개인정보 유출 신속대응팀 구성·운영 >
먼저, 개인정보 유출사실을 알게 된 때에는 신속히 최고경영자(CEO)에게 보고하고 「개인정보 유출 신속대응팀」을 구성하여 추가 유출 및 이용자 피해발생 방지를 위한 조치를 취해야 한다.

< 2. 유출원인 파악 및 추가유출 방지조치 >
개인정보 유출 원인을 신속히 파악한 후 유출 경로별 추가유출 방지를 위한 개선조치를 실시하여야 한다.
A사와 같이 해킹에 의해 유출된 경우에는 추가유출 방지를 위해 시스템 일시정지, 비밀번호 변경 등 상황에 따른 긴급조치를 시행하여야 한다.

< 3. 개인정보 유출 신고 및 통지 >
해커 등 유출자 검거와 유출된 개인정보 회수를 위해 경찰청(사이버안전국)에 범죄수사를 요청하고 미래창조과학부(또는 한국인터넷진흥원)에 침해사고를 신고하여야 한다.

방송통신위원회(또는 한국인터넷진흥원)에 즉시(24시간 이내) 확인된 사항을 중심으로 신고하고 이용자에게 통지하여야 하며, 이후 추가사항이 있는 경우에는 추가하여 신고·통지하여야 한다.

이용자에게 통지할 때에는 모든 이용자가 유출 여부에 대해 실제 확인이 가능하도록 이용빈도가 높은 방법(예: 전화통화/문자/이메일 등) 우선 활용, 홈페이지 팝업창 게시 및 유출확인 메뉴 마련 등의 조치도 병행하도록 하였다.

< 4. 이용자 피해구제 및 재발방지 대책 마련 >
실제 이용자가 분쟁조정 절차, 법정·징벌적 손해배상제도를 활용할 수 있도록 이용자에게 안내하고, 향후 유사사고가 재발되지 않도록 대책을 마련하도록 하였다.

최성준 방송통신위원회 위원장은 “개인정보 유출사고가 발생한 경우에는 무엇보다 신속하게 이용자에게 알리고 관계기관에 신고하여 추가 피해를 막는 것이 중요하다”며, “이번 매뉴얼을 참고하여 사업자마다 자체 상황에 맞는 매뉴얼을 마련하도록 하여 향후 유사사고 발생 시 신속히 대응할 수 있도록 개선해 나가겠다”고 밝혔다.

※ 내려받기 : 방송통신위원회(www.kcc.go.kr / 정책·정보센터 / 법령정보 / 가이드라인)
개인정보보호 포털(www.i-privacy.kr / 자료실 / 가이드)

붙임 : 1. 개인정보 유출 대응 절차(요약)
2. 「개인정보 유출 대응 매뉴얼」주요내용
3. 「개인정보 유출 대응 매뉴얼」전문(별첨). 끝.

2016년 9월 1일 목요일

개인정보의 안전성 확보조치 기준 개정 고시 ([시행 2016.9.1.])

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2633
 

개인정보 많이 보유한 기업일수록 개인정보보호 강화

- 「개인정보의 안전성 확보조치 기준」개정 고시 -
[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2016.9.1., 전부개정]
 

□ 개인정보를 많이 보유하고 있는 사업자 혹은 기관일수록 보다 강력한 수준의 개인정보 보호장치를 갖춰야 한다.

□ 행정자치부(장관 홍윤식)는 기업 규모 및 개인정보 보유량에 따라 개인정보에 대한 안전조치 기준을 차등화해 보유량이 적은 영세사업자의 안전조치는 완화하고, 보유량이 많은 기업은 안전조치를 강화하는 내용을 담은 「개인정보의 안전성 확보조치 기준」을  2016년 9월 01일부터 시행한다.

□ 그간 개인정보 유출사고 방지나 해킹위협에 대응하기 위해 개인정보 안전조치를 강화할 경우, 모든 사업자에게 동일한 기준이 적용돼 왔다.이에 따라 영세사업자에게 과도한 부담을 줬고, 대규모 개인정보를 처리하는 기업도 추가적인 안전조치 사항을 반영하는데 어려움이 있었다.

○ 행정자치부는 「개인정보의 안전성 확보조치 기준」을 개정하여기업 규모 및 개인정보 보유량에 따라 3가지 유형으로 분류하여 안전조치 의무사항을 차등화 했다.


□ 개정된 주요 내용은 다음과 같다.

【 안전조치 의무 차등화 】

○ 개인정보 보유량이 1만 명 미만인 소상공인, 단체 등(유형1)은 내부관리계획 수립이 면제된다.
   아울러 시스템에 대한 접근 제한 및 접근통제를 위한 기술적 안전조치 일부*도 면제된다.
    * 외부에서 시스템 접속시 VPN(가상사설망) 적용의무, 고유식별정보 취약점 점검 등

○ 개인정보 보유량이 100만 명 미만 중소기업, 10만 명 미만 대기업 및 공공기관 등(유형2)은 재해·재난 대비 등을 위한 안전조치 사항(개인정보시스템 백업 및 복구 등)을 면제하고, 개인정보처리시스템에 대한 접근권한 및 접근통제 조치는 강화한다.

○ 개인정보 보유량이 10만 명 이상 대기업 및 공공기관, 100만 명 이상의 개인정보를 보유한 중소기업 등(유형3)은 위험도 분석·대응, 안전한 암호 키 관리 절차, 재해·재난 대비 등을 위한 안전조치 의무화 등 비상시 대응절차가 강화된다.

 유형
 적용 대상
 (비율)
 개정된 안전조치 주요내용
 유형1(완화)
 ·보유량 1만명 미만 소상공인, 단체
 (80%)
 ·내부관리계획 수립, 접근권한 관리 일부 면제
· 접근통제 기술적 조치사항 일부(고유식별정보 취약점 점검 등) 면제  
 유형2(표준)
 ·보유량 1만명 이상 소상공인, 단체
·보유량 10만명 미만 대기업·중견기업, 공공기관
·보유량 100만명 미만 중소기업
 (19.7%)
 ·재해·재난 대비 등 안전조치사항 면제
·개인정보처리시스템의 접근권한 및 접근통제 강화를 위한 기술적 조치 강화
 유형3(강화)
 ·보유량 10만명 이상 대기업‧중견기업, 공공기관
·보유량 100만명 이상 중소기업, 단체
 (0.3%)
 ·내부관리계획(위기대응 절차 마련 등), 암호화 키 관리 등 관리적 조치 강화
·재해·재난 대비 안전조치 등 비상시 대책 강화 


【 관리적·기술적 안전조치 강화 】

 ○ 개인정보 유출사고 예방을 위해 개인정보 보호조직 구성·운영, 유출행위 탐지·대응 및 개인정보처리시스템에 접속하는 단말기에 대한 안전조치 등 관리적 안전조치 규정도 신설했다.

 ○ 더불어 개인정보처리시스템에 비정상 계정접근 차단조치, 일정시간 이상 업무처리를 하지 않는 경우 자동 접속차단 등 시스템에 대한 불법적인 접근 및 침해사고 방지를 위한 기술적 안전조치도 추가했다.

□ 이인재 행정자치부 전자정부국장은

 ○ “그간 개인정보 보유량과 상관없이 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라며,

 ○ “안전성 확보조치 기준이 합리적으로 개선되어, 대다수 영세사업자의 개인정보 보호에 대한 과도한 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 개인정보 보호 수준을 향상시키는 계기가 될 것으로 기대된다.”라고 말했다.

[첨부파일]