소프트웨어 취약점 줄이는 권고사항 (NIST,2016. 12. 11)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2713

 

소프트웨어 취약점 줄이는 권고사항

미국 국가표준기술연구소(NIST)는 개발자들이 소프트웨어의 취약점 사례를 줄일 수 있도록 하는 권고사항을 제공하는 보고서를 발표하였다.

이 보것는 다섯가지 기술 접근을 제시한다.

즉 코드 기능 검증을 위해 수학기반의 도구 사용, 한 개의 취약한 부분으로 인해 전체 시스템이 영향을 미치지 않도록 프로그램 모듈화, 코드 분석 도구 연결, 적절한 프로그램 언어 사용 및 공격 대상이 되는 코드를 보호하기 위해 혁신적이고, 신기술 적용 등이다.

첨부파일 : 소프트웨어 취약점 줄이는 권고사항

아키텍처에서 취약성의 근본 원인 찾아내기 ​

아키텍처에서 취약성의 근본 원인 찾아내기

​

10억 야후 사용자의 데이터베이스 30만 달러에 팔림

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2711

 

10억 야후 사용자의 데이터베이스 30만 달러에 팔림

개요다크웹에서 3명의 구매자가 30만 달러에 구매
 

주요내용 
스패머를 포함한 3명의 구매자가 2013년에 유출된 야후 10억명 사용자의 데이터베이스를 다크웹에서 30만 달러에 구매한 것으로 알려짐

※ 다크웹(Dark Web) : 딥웹(Deep Web) 이라고도 하며, 일반적인 검색엔진으로는 찾을 수 없어 주로 불법적인 정보가 거래되는 웹
 

데이터베이스에는 야후 사용자의 이름, 비밀번호, 생일, 전화번호와 백업 이메일 주소, 보안 관련 질문과 답변이 포함됨
 
암호화 되지 않은 보안 관련 질문과 답변은 비밀번호 초기화 옵션을 통해 야후 사용자 계정에 접근할 수 있어 문제가 심각함
                                      
야후 데이터베이스의 가격은 야후의 개인정보 유출 발표 및 비밀번호 변경 권고 이후 떨어졌지만, 현재 2만 달러에 사겠다는 구매자도 있음
 
보안업체인 인포아머의 CEO는 금년에 야후 데이터베이스의 복사본을 획득한 후 미국 및 유럽연합,
 캐나다, 호주의 법률 집행 당국과 접촉함

 야후 사용자들은 비밀번호 및 보안 관련 질문과 답변을 가능한한 빨리 변경하기를 권고함

[출처]
1. 1-Billion Yahoo Users’ Database Reportedly Sold For $300,000 On Dark Web, 2016.12.16
    http://thehackernews.com/2016/12/yahoo-hacking.html

개인영상정보 보호법 제정안 입법예고(행정자치부, 2016.12. 16)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2707

모든 영상기기로부터 국민 권익을 안전하게 보호한다
- 행정자치부, 「개인영상정보 보호법」 제정안 입법예고 -

행정자치부공고 제2016-370호

「개인영상정보 보호법」을 제정하는 데에 있어, 그 제정이유와 주요내용을 국민에게 미리 알려 이에 대한 의견을 듣기 위하여 「행정절차법」 제41조에 따라 다음과 같이 공고합니다.
2016년 12월 16일
행정자치부장관

「개인영상정보 보호법」 제정법률(안) 입법예고

1. 제정이유
영상정보 처리 기술의 고도화 및 사회적 유용성 증대로 사회 모든 영역에 걸쳐 영상정보처리기기의
설치·운영이 크게 증가하고 있으나, 국가 사회 전반을 규율하는 개인영상정보 보호 원칙과 기준이 마련되지 못해 개인영상정보의 오·남용 및 사생활 침해 등에 대한 우려가 증가하고 있는 바, 개인영상정보 보호 원칙과 처리 단계별 기준 등을 규정하고 피해 구제 제도를 강화함으로써 모든 영상정보처리기기로부터 국민의 권리와 이익을 보장하려는 것임

2. 주요내용

가. 개인영상정보 보호의 범위(안 제2조)
1) 공공기관뿐만 아니라 민간사업자 및 비영리단체 등 업무를 목적으로 개인영상정보를 처리하는 자는 이 법에 따른 규정을 준수하도록 함
2) 영상정보 처리 기술의 발전을 고려하여 고정형 및 이동형(착용형, 휴대형, 부착형 등) 등 모든 형태의 영상정보처리기기를 규율함
3) 개인영상정보 보호 원칙을 규정하는 일반법 체계가 마련됨에 따라, 그동안 법률 적용을 받지 않았던 사각지대가 해소될 것으로 기대

나. 영상정보처리기기의 설치·운영에 대한 기준 마련(안 제6조～제9조)
1) 모든 영상정보처리기기를 설치·운영 형태에 따라 고정형과 이동형으로 구분하고, 법령에서 구체적으로 허용한 경우 등을 제외하고는 당초 설치·운영 목적 외의 용도로 운영할 수 없도록 함
2) 고정형 영상정보처리기기는 현행과 같이 범죄예방 및 수사, 화재예방 등 특정 목적을 위한 경우에 한해 설치·운영을 허용하는 한편, 학술연구, 연구개발 등을 위한 경우에는 행정자치부의 허가를 통해 안전하게 설치·운영할 수 있도록 함
3) 이동형 영상정보처리기기는 촬영 장소 및 범위를 특정하기 어렵고 일상 생활 전반에서 널리 활용되고 있음을 고려하여 인격권이나 사생활의 자유 등 타인의 자유와 권리를 부당하게 침해하지 않는 범위 내에서 운영할 수 있도록 함
4) 영상정보처리기기의 설치·운영 기준을 마련함으로서 공공기관 및 민간사업자 등의 무분별한 영상정보처리기기 설치·운영을 예방하고 국민의 개인영상정보 보호를 강화할 수 있을 것으로 기대

다. 개인영상정보 처리 단계별 보호기준 마련(안 제10조～제11조)
1) 영상정보처리기기의 특성을 고려하여 개인영상정보를 수집·이용 또는 제공할 수 있는 경우를 구체적으로 명시함
2) 다만, 영상정보처리기기를 통해 공개된 장소를 촬영할 경우 의도하지 않은 개인영상정보 수집이 발생할 수 있음을 고려하여 사후적으로 열람 및 삭제요구권 등 영상정보주체의 권리를 보장
3) 공공기관이 개인영상정보를 당초 목적 외 용도로 이용하거나 제3자에게 제공한 경우 그 사실을 인터넷 홈페이지 등을 통해 공개토록 하여 개인영상정보의 관리를 투명하게 하고 오·남용 우려를 예방함

라. 개인영상정보의 수집 사실 표시(안 제12조)
1) 일정한 장소에 설치되어 영상정보를 수집하는 고정형 영상정보처리기기는 현재와 같이 안내판을 통해 수집 사실을 표시토록 함
2) 설치 장소나 촬영 범위 특정이 어려운 이동영 영상정보처리기기는 안내판, 불빛, 소리 등 가능한 수단으로 수집 사실을 표시토록 함

※ 다만, 무인항공기(드론)와 같이 안내판, 불빛, 소리 등으로도 수집 사실 인식이 곤란한 경우는 대통령령으로 정하는 전자적 방식으로 표시 

3) 개인영상정보를 수집하는 경우 수집 사실을 표시토록 함으로서 영상정보주체의 자기정보결정권이 강화될 것으로 기대

마. 개인영상정보의 안전한 관리를 위한 조치(안 제14조～제15조)
1) 개인영상정보처리자는 개인영상정보가 분실, 도난, 유출 등이 되지 아니하도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 의무화
2) 개인영상정보처리자는 개인영상정보 보호책임자를 지정토록 하고, 보호책임자는 내부 관리체계 구축 등의 업무를 수행토록 함. 다만 보호책임자를 별도로 지정하지 아니한 경우에는 대표자를 보호책임자로 간주하여 법적 책임을 부과

바. 영상정보처리기기 운영현황 점검(안 제16조)
1) 영상정보처리기기를 운영하는 공공기관과 일정 규모 이상의 영상정보처리기기를 운영하는 법인 등 대통령령으로 정하는 자는 매년 이 법의 준수 여부에 대한 자체 점검을 실시하고, 그 점검 결과를 행정자치부에 신고토록 함
2) 이 법 준수 여부에 대한 자체 점검을 통해 개인영상정보처리자의 자율적인 법 준수가 강화되고, 공공 및 민간분야의 영상정보처리기기 운영 현황 파악을 통해 관련 정책 효율성이 제고될 것으로 기대

사. 통합관제센터 운영·관리 강화(안 제17조～제20조)
1) 지방자치단체가 구축·운영하는 CCTV 통합관제센터의 법적 근거를 명확히 하고, 통합관제센터 운영계획을 행정자치부에 신고토록 함
2) 통합관제센터 구축·운영시 영향평가, 목적 외 관제 금지, 종사자 자격과 근무 수칙 등의 규제를 명확히 함으로서 통합관제센터가 처리하는 개인영상정보의 보호가 강화될 것으로 기대

아. 영상정보주체의 권리 보장(안 제21조부터 제25조까지)
1) 영상정보주체에게 개인영상정보의 열람 또는 출처확인 요구권, 보관 요구권, 삭제 또는 처리정지 요구권 등을 부여하고, 그 권리행사 방법 등을 규정함.
2) 개인영상정보처리자는 개인영상정보의 안전한 관리와 열람·출처확인·보관·삭제요구 등 영상정보주체의 권리 보호를 위해 개인영상정보의 처리 이력을 관리하도록 함
3) 영상정보주체의 권리행사 방법과 절차 등을 법률에 명확히 규정함으로써 영상정보주체가 훨씬 용이하게 자신의 개인영상정보에 대한 자기통제권을 실현할 것으로 기대.

자. 적용의 일부 예외(안 제27조)
1) 개인정보 자기결정권과 언론·종교의 자유 등 다른 헌법적 가치와의 균형을 위해 국가안전보장, 공공의 안전과 안녕, 언론·종교단체·정당의 고유목적 달성 등을 위한 경우에는 이 법의 적용을 제외함

카. 영상정보처리기기의 종합적 관리체계 마련(안 제28조)
1) 행정자치부장관은 영상정보처리기기가 중복되거나 불필요하게 운용되지 않도록 종합적인 관리체계를 구축하고, 공공기관이 준수해야 할 영상정보처리기기 설치·운영 지침이나 기술기준을 정할 수 있도록 함
2) 종합적 관리체계 마련을 통해 영상정보처리기기의 무분별한 설치·운영을 예방하고, 예산 집행의 효율성을 제고할 수 있을 것으로 기대

타. 개인영상정보 침해사실의 신고(안 제31조)
1) 개인영상정보처리자로부터 권리 또는 이익을 침해받은 자는 행정자치부에 그 침해사실을 신고할 수 있으며, 행정자치부는 신고 접수 및 업무처리 지원을 위해 개인영상정보 침해신고센터를 설치·운영함.
2) 개인영상정보 침해사실을 신고하고 상담할 수 있는 창구를 마련하여 영상정보주체의 신속한 권리구제와 고충처리에 기여할 것으로 기대

파. 시정 명령 또는 시정 권고(안 제33조).
1) 행정자치부장관은 과태료 처분 사유가 되는 위반 행위가 즉시 시정 가능한 경미한 위반 행위인 경우에는 과태료를 처분하지 아니하고 1개월 이내의 기간을 정하여 시정을 명령할 수 있도록 함
2) 행정자치부장관은 개인영상정보가 침해될 우려가 있다고 판단되는 경우 등에는 침해행위 중지 등의 시정을 권고할 수 있도록 함
3) 영상정보처리기기가 일상 생활 전반에 널리 활용되고 있음을 고려할 때, 처벌 위주 집행 보다는 시정명령 또는 권고 중심의 집행을 통해 이 법 규정이 사회 전반에 안정적으로 정착 될 것으로 기대

3. 의견제출
이 제정안에 대해 의견이 있는 기관·단체 또는 개인은 2017년 1월 24일까지 통합입법예고센터(http://opinion.lawmaking.go.kr)를 통하여 온라인으로 의견을 제출하시거나, 다음 사항을 기재한 의견서를 행정자치부장관에게 제출하여 주시기 바랍니다.

가. 예고 사항에 대한 찬성 또는 반대 의견(반대 시 이유 명시)
나. 성명(기관ㆍ단체의 경우 기관ㆍ단체명과 대표자명), 주소 및 전화번호
다. 그 밖의 참고 사항 등

※ 제출의견 보내실 곳
- 일반우편 : 서울특별시 종로구 세종대로 209 정부서울청사 207호
- 전자우편 : jijung@korea.go.kr
- 팩스 : 02-2100-4140

4. 그 밖의 사항
 본 개정안 전문은 법제처 홈페이지(http://www.moleg.go.kr > 입법예고)에 게재되어 있으며, 개정안에 대한 자세한 사항은 행정자치부 개인정보보호협력과(전화 02-2100-4141, 팩스 02-2100-4140)로 문의하여 주시기 바랍니다.

5.첨부
개인영상정보 보호법 제정안 입법예고개인영상정보 보호법제정안개인영상정보 보호법 제정안 조문별 제정 이유서
​

금융회사 경영자를 위한 정보보안 경영가이드(금융보안원)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2704

 

금융회사 경영자를 위한 정보보안 경영가이드

 

최근 금융산업은 생존을 위해 새로운 혁신이 요구되는 시대가 다가 왔으며, 이에 금융회사들은 금융과 IT의 융합을 통해 다양한 서비스의 혁신을 시도하고 있습니다. 이와 더불어 금융권 규제의 패러다임은
정부주도의 사전규제에서 민간중심의 자율규제로 전환되었습니다.

이러한 금융환경의 변화들은 금융회사들에게 최소한의 정보보안 법규 준수 활동에서 벗어나, 앞으로

정보보안 리스크 관리 활동을 강조하는 자율역량을 요구하고 있습니다.

앞서 일본 경제산업성(METI)에서도 이러한 변화에 발맞추어 경영자에게 인식 제고 및 적극적인 지시를 주문하는 「사이버 보안 경영 가이드라인」을 제정(‘15.12월)한 바 있으며, 미국 등 주요7개국(G7)도
「금융업계의 사이버보안을 위한 기본요소」 문서를 통해 8가지 핵심사항을 발표한 바 있습니다.

「금융회사 경영자를 위한 정보보안 경영가이드」는 경영진이 각자의 정보보안 역할을 충실히

이행하는 금융보안 거버넌스 체계의 확립을 위해서 무엇보다 최고경영자의 근본적인 인식 변화와

적극적인 ‘지시(direct)’의 역할이 필요함을 강조하고 있습니다.

아무쪼록 본 가이드가 금융회사의 정보보안 경영에 많은 도움이 되길 바라며, 가이드 작성에 수고해

주신 전문가 및 관계자 여러분들께 심심한 감사의 말씀을 전합니다.

2016년 11월
금융보안원 원장 허 창 언

 

위치정보의 보호 및 이용 등에 관한 법률 개정안 의결(방송통신위원회,2016.12.06)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2700

 

방통위, 위치정보법 개정안 의결

방송통신위원회(위원장 최성준)는 사물인터넷, 클라우드 컴퓨팅 등 정보통신기술(ICT) 발전에 따라
개인·위치정보를 활용하는 다양한 서비스가 증가하고 있는 상황에서, 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있도록 개인정보보호 관련 법체계간 정합성을 맞추고 글로벌 스탠더드(global standard)를 고려하는 한편, 보호에 미비했던 사항을 보완하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’), 「위치정보의 보호 및 이용 등에 관한 법률」(이하 ‘위치정보법’) 및 위치정보법 시행령 개정안을 의결하였다고 밝혔다.

이번에 의결된 개정안은 지난 9월 21일 위원회 보고 후, 9월 23일부터 11월 2일까지 진행된 입법예고 기간 중 제출된 시민단체, 업계 및 정부기관의 의견을 종합적으로 고려하여 개인정보 보호는 강화하면서도 규제를 합리화하기 위하여 마련된 수정안이다.

② 위치정보법 개정안 주요 내용

’05년 제정된 이후 시장환경 변화 및 글로벌 트렌드를 반영하지 못하였던 위치정보법도 개정안을 대폭 마련하였고, 법적 미비사항을 보완하여 정보통신망법과의 정합성을 제고하였다.

먼저 진입규제를 합리화하였다. 택배영업을 위한 드론과 같이 순수하게 사물위치정보*를 수집하는
사업도 개인위치정보 수집의 경우와 동일하게 허가제를 적용해 과도한 진입장벽으로 작용하고 있어,
사물위치정보사업에 대해서는 현행 허가제를 신고제로 완화하였다.

 * 위치정보 개념에서 개인위치정보(다른 정보와 결합하여 특정 개인 위치를 알 수 있는 경우 포함)를 제외한 개념이며, 드론의 위치정보 등이 주요 사례임

 또한 소규모 사업자를 위해 신고간주제를 도입하였다. 스타트업 등 영세사업자가 많은 위치기반서비스사업의 경우, 수익성이 불투명한 서비스 준비를 위해서도 사업계획서를 작성해야 하는 등 현행 신고제가 부담이 되어 신규 서비스가 지연되는 문제가 발생하였다. 이에 1인 창조기업 등 소규모 사업자가 상호？소재지 등 일정 사항을 방통위에 보고하면 신고사업자로 간주하도록 하였다.

불필요한 동의규제도 합리화하였다. 현행법은 사물위치정보에 대해서도 세계적으로 유례가 없이 소유자의 사전동의를 요구하고 있고, 현실적으로 소유자의 동의를 받기 곤란한 경우가 있어서 글로벌 스탠더드에 맞게 소유자의 사전동의 없이도 사물위치정보가 처리될 수 있도록 규정하였다.

또한 이용자의 피해구제를 강화하고 위치정보법 위반행위에 대한 규제의 실효성 강화를 위해 정보통신망법 등에서 도입한 징벌적 손해배상제도 및 법정 손해배상제도를 도입하였으며, 형사처벌 외에 행정제재가 가능하도록 시정조치 및 과징금 규정을 신설하였다.

그간 미비했던 규제체계도 정비하였다. 클라우드 컴퓨팅 확산 등으로 위치정보의 처리위탁 및 국외이전 사례가 늘어나고 있으나, 정보통신망법과 달리 이에 대한 법적 근거가 미비하였다. 이에 위치정보 처리위탁 규정 및 국외이전 규정을 신설하여 관련 규제체계를 명확히 마련하였고, 아울러 정보통신망법 개정안의 경우와 같이 국외재이전에 대한 법적 보호장치, 국외(재)이전 중단 명령권 등을 도입하였으며, 개인위치정보 수집·이용 등에 대한 사전동의 예외 규정을 보완하였다.

방송통신위원회는 기존 개인정보 규제를 합리화하고 각종 개인정보 보호장치를 도입함에 따라, 우리 국민의 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있을 것으로 전망했다. 이번 의결된 개정안은 법제처 심사, 차관회의？국무회의 등을 거쳐 국회에 제출될 예정이다.

Some POODLE notes

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2699

Some POODLE notes

Heartbleed and Shellshock allowed hacks against servers (meaning websites and such).
POODLE allows hacking clients (your webbrowser and such).
If Hearbleed/Shellshock merited a 10, then this attack is only around a 5.

It requires MitM (man-in-the-middle) to exploit.
 In other words, the hacker needs to be able to to tap into the wires between you and the website you are browsing, which is difficult to do.
This means you are probably safe from hackers at home, because hackers can't tap backbone links.
But, since the NSA can tap into such links, it's probably easy for them.
However, when using the local Starbucks or other unencrypted WiFi, you are in grave danger from this hack from hackers sitting the table next to you.

It requires, in almost all cases, JavaScript running in the browser. That's because the attacker needs to MitM thousands of nearly identical connections that can fail. There are possibly rare cases where such connections may happen (like automated control systems), but JavaScript is nearly a requirement. That means your Twitter app in your iPhone is likely safe, as the attacker can't run JavaScript in the app. Although, a lot of apps use web GUIs underneath, if only to serve ads, so not all "apps" are safe.

It doesn't hack computers, but crack encryption. It reveals previously encrypted data.

What the hacker will likely try to do is hack your session cookies. That means they won't get your password for your account, but they will be able to log in as you into your account. Thus, while you are at Starbucks, some hacker next to you will be able to post tweets in your Twitter account and read all your Gmail messages. These are two examples -- they really have near complete control over your accounts. They won't be able to steal your password, however.

In theory, the attacker can do much more, but that attacking cookies it the overwhelming most likely vector.

It's the standard protocol that is vulnerable, not anybody's code.  Essentially, they got the math wrong.

Only older versions of SSL are impacted -- but everybody is backwards compatible with older versions. Thus, part of the attack is to "downgrade" both sides, forcing both the client and server to use the older version.

This attack is against SSLv3, which is 15 years old and known to be obsolete. After this version of SSL, engineers renamed it to TLS and reset the version number to 1.0, because they are jerks and want to confuse people. (Actually, the story is that Netscape created SSL, and Microsoft insisted on a name change because they hated Netscape). Thus, the next version after SSLv3 is TLSv1.0.

The solution is to disable SSLv3 (and all prior versions), and leave only TLS version 1.0 (and later versions) enabled. If either the server (the website) or the client (the browser) doesn't support SSLv3, then the hack won't work.

Disabling SSLv3 in servers is difficult, because a lot of users still use IE6, Microsoft's browser from a decade ago. When servers remove SSLv3, then users with IE6 will no longer be able to access the server. However, CloudFlare, which hosts a lot of websites, has disabled SSLv3 across their systems. Apparently they are comfortable with breaking IE6 -- which is good guidance for other people considering the same.

Disabling SSLv3 in browsers is easy. On Chrome, use the command-line flag  --ssl-version-min=tls1, and on Firefox set security.tls.version.min to 1. Generally, there virtually no servers out there who don't support TLSv1, so this shouldn't break anything.

The simplest explanation is, as usual for such things, on Adam Langeley's blog here.


참고사이트 :
https://www.imperialviolet.org/2014/10/14/poodle.html

정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 의결(방통위, 2016.12.06)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2697

 

방통위, 정보통신망법 개정안 의결

  

방송통신위원회(위원장 최성준)는 사물인터넷, 클라우드 컴퓨팅 등 정보통신기술(ICT) 발전에 따라 개인·위치정보를 활용하는 다양한 서비스가 증가하고 있는 상황에서, 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있도록 개인정보보호 관련 법체계간 정합성을 맞추고 글로벌 스탠더드(global standard)를 고려하는 한편, 보호에 미비했던 사항을 보완하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’), 「위치정보의 보호 및 이용 등에 관한 법률」(이하 ‘위치정보법’) 및 위치정보법 시행령 개정안을 의결하였다고 밝혔다.

이번에 의결된 개정안은 지난 9월 21일 위원회 보고 후, 9월 23일부터 11월 2일까지 진행된 입법예고 기간 중 제출된 시민단체, 업계 및 정부기관의 의견을 종합적으로 고려하여 개인정보 보호는 강화하면서도 규제를 합리화하기 위하여 마련된 수정안이다.


① 정보통신망법 개정안 주요 내용

 우선, 이번 정보통신망법 개정안에는 이용자의 개인정보 보호를 강화하기 위한 조치들이 다수 포함되었다.

현행법은 이용자가 제3자 제공에 동의만 하면 유상판매도 가능하다는 문제가 있어, 이용자가 유상판매 여부를 인지하여 제3자 제공 동의를 선택할 수 있도록 ‘개인정보를 유상으로 판매하는 사실’에 대해 이용자에게 고지하도록 규정하였다.

또한 현행법은 개인정보 수집ㆍ이용 및 제공 등의 ‘동의 철회권’만 규정하고 있으므로 ‘처리정지 요구권’을 추가로 신설하여 예외적으로 동의없이 개인정보를 수집？이용？제공하는 경우에도 이용자가 사후에 처리정지를 요구할 수 있도록 개인정보 자기결정권 보장을 강화하였다.

글로벌 비즈니스의 확대로 한번 국외이전된 개인정보가 다시 제3국으로 재이전되는 사례가 늘어남에 따라 재이전될 때에도 개인정보 보호에 문제가 생기지 않도록 원칙적으로 동의를 받고, 기술적·관리적 보호조치를 취하도록 하였으며, 정보통신망법을 위반하여 국외이전 또는 재이전이 이루어져 이용자의 권리가 침해될 우려가 있을 경우 방송통신위원회가 국외(재)이전 중단 명령을 할 수 있도록 규정하였다.

한편, 다른 개인정보보호 관련 법체계 및 국제적 수준 등을 고려하여 합리적으로 개선 및 보완하기도 하였다.

현행 정보통신망법에서는 개인정보 수집·이용 등이 이뤄지지 않으면 계약의 체결 및 이행이 불가능한 경우에 대해서도 제한적으로 동의 예외를 규정하고 있어 이를 보완하였으며, ‘기존 서비스와 밀접한 관련성이 있다고 합리적으로 인정되는 기능 추가 등 서비스 개선’은 추가적인 동의가 필요한 목적변경으로 보지 않도록 규정하였다.

또한 국외이전의 경우에도 계약 이행을 위하여 필요한 경우를 사전동의 예외로 규정하고 있는 현행 규정을 보완하여 법률 등에 특별한 규정이 있는 경우, 국외이전받는 자가 방송통신위원회가 지정하는 인증을 받은 경우를 예외사유에 추가하였다.

그동안 동의를 받지 않고 개인정보를 수집한 경우에는 그 수단·방법 등에 관계없이 무조건 정보통신망법에 따라 형벌과 행정제재(과징금·시정명령)의 대상이 되어 과도한 규정이라는 비판이 지속적으로 제기되었다.

이에 부정한 수단·방법으로 개인정보를 수집한 경우에는 지금과 같이 형벌과 행정제재를 병과하되, 이 외의 경우에는 행정제재만 부과할 수 있도록 형벌 적용요건을 강화하였다.

한편 부정한 방법으로 개인정보가 수집된 사정을 알면서도 영리 또는 부정한 목적으로 제공받는 자에 대한 벌칙을 신설하였다.

2016 융합보안 특강

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2696

2016 융합보안 특강

2016년 융합보안관 특별과정

일시	교육과정	강사
12. 13(화) 18:30~21:30	정보보호 정책 - 최신정책 동향분석 -보안전문가가 가져야할 기본 소양	김병훈 (한국투자저축은행, NHN엔터테인먼트)
12. 14(수) 18:30~21:30	웹 해킹 대응 - 시나리오 기반 웹 해킹 실전체험 - 국내 사이버위협 사례 심층분석	유선모 (앰진시큐러스 연구원)
12. 16(금) 18:30~21:30	데이터 포렌식 - 데이터 분석과 증거수집 - 최신 기술이슈 심화 학습	김종민 (고려대학교 박사과정, 차세대보안리더 BoB 1기)

※ 강의 장소 :경기창조경제혁신센터 4층 융합보안지원센터 內

(경기 성남시 분당구 대왕판교로 645번길 12)

  

□ 교육신청(온오프믹스) http://onoffmix.com/event/85685

​

​

​

​

경기지역 중소기업 재직자 및 재학생 대상 정보보호 2차 전문교육 안내

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2695

안녕하십니까
뉴딜코리아 컨설팅사업부 입니다

경기지역 중소기업 재직자 및 재학생 대상 정보보호 2차 전문교육 안내 드립니다

하시는 업무에 많은 도움이 되시기를 바랍니다 

감사합니다

□ 교육신청(한국정보보호교육센터)
https://www.kisec.com:40004/education_course/edu_attend?attend_type=short&course_name=%20웹%20취약점%20보안%20실무%20과정&start_date=20161207&end_date=20161208&open_seq=2&edu_course_no=125&edu_course_date_no=835

2017년 7대 사이버 공격 전망 보고서

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2694

2017년 7대 사이버 공격 전망 보고서

- 산업전반으로 번지는 한국 맞춤형 공격
- 공용 소프트웨어를 통한 표적공격
- 다양한 형태의 랜섬웨어 대량 유포
- 사회기반시설 대상 사이버 테러 발생
- 대규모 악성코드 감염기법의 지능화
- 모바일 금융 서비스에 대한 위협 증가
- 좀비화된 사물 인터넷 기기의 무기화

161205-2017년_7대_사이버_공격_전망(발표자료).pdf

161205-2017년_7대_사이버_공격_전망(보고서).pdf

경기도 지역 기업재직자 정보보안 전문교육

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2693

안녕하세요
뉴딜코리아 컨설팅 사업부 입니다

경기도가 지원하고 서울대 차세대융합기술연구원이 운영하는 융합보안지원센터에서
경기도 지역 내 보안분야 재직자 및 보안분야에 관심을 가지고 있는 재직자를 대상으로 향상교육을 진행합니다.

정보보안에 관심있는 많은 분들의 참여를 부탁드립니다.

□ 모임기간 12월 6일 (화) 9시 00분 ~ 12월 9일 (금) 21시 30분

□ 모임장소 [경기창조경제혁신센터] 경기 성남시 분당구 삼평동 융합보안지원센터

□ 교육내용 : 
   웹 앱 보안
   모바일 응용 보안 및 실습
   해킹과 악성코드
   IoT시대와 보안위협의 변화

□ 교육신청 : 
온오프믹스 - http://onoffmix.com/event/84994

업무상 일시적으로 알게 된 개인정보 유출도 유죄

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2689

업무상 일시적으로 알게 된 개인정보 유출도 유죄

대법 “'개인정보 유출' 아파트 경비원 유죄”…파기환송

아파트 동대표 해임투표 과정에서 아파트 관리소장이 해임에 찬성한 주민 명단을 유출한 것은 개인정보보호법 위반으로 처벌할 수 있다는 대법원 판결이 나왔다.

대법원 2부(주심 박상옥 대법관)는 개인정보보호법 위반 혐의로 기소된 서울의 한 아파트 전직 관리소장 정모씨(60)에게 무죄를 선고한 원심을 깨고 유죄 취지로 사건을 서울북부지법에 돌려보냈다고 22일 밝혔다.

재판부는 아파트 관리소장은 업무상 입주자들의 인적사항을 수집, 보관하고 있는 '개인정보처리자'로 볼 여지가 많고 설령 개인정보처리자가 아니라 해도 개인정보보호법은 정보유출 자체를 처벌하는 법률인 만큼 처벌대상이 된다는 취지다.

서울 노원구의 한 아파트 관리소장으로 근무하던 정씨는 2014년 2월 아파트 동대표 해임에 찬성한 주민 명단 등이 적힌 '동대표 해임동의서'를 보관하던 중 해임 요구 대상인 동대표에게 명단을 유출한 혐의로 기소됐다.

명단을 확보한 동대표 김모씨는 이를 근거로 자신을 해임하려한 사람들을 형사고소했다.

1.2심 법원은 "아파트 관리소장이 개인정보처리자에 해당한다고 볼 수 없다"며 "법률에서 정한 범죄구성요건에 해당하지 않는다"는 이유를 들어 무죄를 선고했다.


그러나 대법원은 "개인정보보호법은 업무상 알게 된 개인정보를 누설하거나 다른 사람에게 이용하도록 제공하는 행위를 처벌하는 것"이라며 '개인정보처리자'가 아니어도 처벌대상이 된다고 지적했다.

아울러 "개인정보처리자가 아니더라도 '개인정보를 처리했던 사람'도 처벌대상"이라며 "개인정보처리자 외의 사람에 의해 이뤄지는 개인정보 침해행위로 인한 폐해를 막아 사생활 보호 등 개인정보 보호법의 입법목적을 달성하려 한 것으로 볼 수 있다"고 판시했다.

특히 "아파트 관리소장은 효율적 관리업무를 위해 입주자들의 성명, 생년월일, 전화번호 등 개인정보를 수집한 뒤 동.호수 등 일정한 규칙에 따라 체계적으로 배열한 입주자카드 등 개인정보 집합물을 운용하고 있었을 것인 만큼 아파트 관리소장이 '개인정보처리자'에 해당한다고 볼 여지도 많았다"고 덧붙였다. 
​

개인정보 비식별 조치 전문교육 안내

스타트업․중소기업 대상 안전한 빅데이터 활용을 위한 개인정보 비식별 조치 가이드라인 및 비식별 기술(이론․실습), 사례 등 교육을 진행합니다.

□ 일시 : ‘16년 12월 8일(목) 14:00 ~ 17:50​

□ 장소 : K-ICT 빅데이터센터 오픈랩 (스타트업캠퍼스 1동 6층, 판교​)​

□ 참석자 : 약 30명 (스타트업 및 중소기업, 벤처, 창업자, 개발자, 협단체 등)

□ 주요 내용

 o 이론 : 개인정보 비식별 조치 가이드라인 및 비식별화 기술

   - 비식별화 정의 및 비식별 조치 기술, 실무사례, 비식별 조치 지원·관리 체계 등

 o 실습 : 비식별 조치 기술 및 프라이버시 보호 모델 적용 실습

   - 실습용 데이터셋을 이용한 17가지 고전적 비식별화 기술 및 보호모델 k-l 적용·검증

□ 주요 일정​ 

시간		주요내용	비고
이론	14:00~14:50 (50분)	비식별화 정의 및 기술
	15:00~15:50 (50분)	실무 사례 및 지원·관리 체계
실습​	16:00~16:50 (50분)	고전적 비식별 기술 적용
	17:00~17:50 (50분)	프라이버시 모델 적용 및 검증 실습

※ 상기 일정은 교육 상황에 따라 변동될 수 있습니다.

□ 교육관련 문의 :

 

 뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)

 참가신청 : https://kbig.kr/?q=%EC%83%88%EC%86%8C%EC%8B%9D/16395