2017년 2월 23일 목요일

개인정보보호를 위해 알아두면 유용한 홈페이지 10선

출처 : http://cafe.naver.com/rapid7/2779

개인정보보호를 위해 알아두면 유용한 홈페이지 10선


 
 ▶ 개인정보 침해 신고 및 상담
개인정보 침해신고센터 http://privacy.kisa.or.kr


 ▶ 주민번호·아이핀 이용내역 조회
e프라이버시 클린서비스 www.eprivacy.go.kr 


▶ 무료 백신 다운로드·최신 취약점 정보
보호나라&KrCERT http://www.krcert.or.kr/main.do  


 ▶ 불법 스팸문자·이메일 신고
불법스팸대응센터 http://spam.kisa.or.kr



▶ 개인정보보호 관련 법·제도·교육 정보
개인정보보호 종합포털 www.privacy.go.kr




▶ 정보통신사업자를 위한 개인정보보호 정보·기술지원
개인정보보호 포털 www.i-privacy.kr



▶ 구글 검색 결과에 노출된 개인정보 삭제
구글 웹마스터 도구 https://support.google.com/webmasters



▶ 포탈 검색결과에 노출된 개인정보 삭제
네이버: 고객센터→통합검색→검색 결과 제외 요청하기
다음: 고객센터→권리침해신고→자기게시물 접근배제



▶ 개인정보 관련 분쟁 해결
개인정보분쟁조정위원회 http://www.pipc.go.kr






2017년 2월 22일 수요일

 뉴딜코리아 홈페이지 

리눅스 커널 4.10 공개 (2017.02.19)


리눅스의 보스 리누즈 토발즈(Linus Torvalds)가 리눅스 커널 4.10을 19일(일) 공개했다.

가장 큰 규모의 커밋 수를 자랑했던 4.9 릴리즈에 따라 예상되었던 4.10 규모에 비해 이번 릴리즈도 무려 13,000 커밋(머지 수 제외)의 결과물이다.

[요약]
Summary: This release adds support for virtualized GPUs, a new 'perf c2c' tool for cacheline contention analysis in NUMA systems, a new 'perf sched timehist' command for a detailed history of task scheduling, improved writeback management that should make the system more responsive under heavy writing load, a new hybrid block polling method that uses less CPU than pure polling, support for ARM devices such as the Nexus 5 & 6 or Allwinner A64, a feature that allows to attach eBPF programs to cgroups, an experimental MD RAID5 writeback cache, support for Intel Cache Allocation Technology, and many other improvements and new drivers.

GPU 가상화 지원
새로운 캐시라인 경합(충돌) 분석 도구 'perf c2c' 포함
- 작업 스케쥴링의 자세한 내역에 대한 'perf sched   timehist' 명령 추가
- 향상된 Writeback 관리 기능
- hybrid block 폴링(polling) 방식으로 pure polling 보다 CPU 사용량 낮춤
- Nexus 5 & 6 또는 Allwinner A64와 같은 ARM 장치 지원
- eBPF 프로그램을 cgroup에 연결할 수있는 기능
- experimental MD RAID5 writeback cache 추가
- 인텔 캐시 할당 기술 지원
- 기타 많은 개선 사항 및 새로운 드라이버 추가


                                 https://kernelnewbies.org/Linux_4.10

리눅스 온라인 강의 참고 사이트 : http://edu.lug.or.kr/online_linux.php



2017년 2월 21일 화요일

개인정보처리위탁 계약서(표준, 2017.02.21 기준)

 뉴딜코리아 홈페이지 

개인정보처리위탁 계약서(표준, 2017.02.21 기준)



'개인정보의 안전성 확보조치 기준 개정(행정자치부고시 제2016-35호)'에 따라
'표준 개인정보처리위탁 계약서(샘플)' 이 수정되었습니다.
업무에 참고하시기 바랍니다.

본 표준 개인정보처리위탁 계약서는 「개인정보 보호법」제26조제1항에 따라 위탁계약에 있어 개인정보 처리에 관하여 문서로 정하여야 하는 최소한의 사항을 표준적으로 제시한 것으로서, 위탁계약이나 위탁업무의 내용 등에 따라 세부적인 내용은 달라질 수 있습니다.
  
개인정보처리업무를 위탁하거나 위탁업무에 개인정보 처리가 포함된 경우에는 본 표준 개인정보처리위탁 계약서의 내용을 위탁계약서에 첨부하거나 반영하여 사용하실 수 있습니다.


「개인정보 안전성 확보조치 기준 고시」(행정자치부 고시 제2016-35호) 및 「개인정보 보호법」 제26조에 따라 개인정보처리자 및 취급자는 개인정보보호에 관한 교육을 의무적으로 시행하여야 한다.


2017년 2월 16일 목요일

사업장 전자 감시로부터 근로자 개인정보 보호해야(국가인권위원회)

 뉴딜코리아 홈페이지
사업장 전자 감시로부터 근로자 개인정보 보호해야(국가인권위원회)



인권위, 고용노동부에 개선 권고
국가인권위원회는 사업장 전자감시로 근로자들의 개인정보가 침해받고 있다며
폐쇄회로(CC)TV, 위치확인시스템(GPS), 업무용 사내 시스템 등을 이용해 근로자들을 감시하는 기업들의 행위에 정부기관이 나서 개선할 것을 주문했다.

CCTV와 위치확인(GPS), 지문·홍채·정맥 정보 등 직장에서의 전자 감시로부터 노동자들을 보호해야....
인권위는 사업장에서 작업 상황과 노동자들의 행동을 감시하기 위해, 노동자들에게 미리 알리거나 동의를 받지 않고 전자장비를 사업장 안에 설치하는 사례가 많이 발견....

인권위는 16일(2017년01) 고용노동부장관에게 근로자의 정보인권 보호를 위해 '개인정보 보호 가이드라인(인사·노무편)'에 근로자의 권리 보호 등에 관한 사항을 구체적으로 보완할 것을 권고했다.
 
개인정보 보호법에 따르면 개인정보를 수집·이용하려면 정보주체 동의를 받아야 하고 목적에 필요한 최소한의 개인정보만을 수집해야 한다.
 
그러나 인권위에 제기된 진정, 민원, 언론보도 등을 보면 사업장에서 작업 상황과 근로자 행동을 모니터링·감시할 목적으로 전자장비를 설치·운영하면서 근로자의 고지·동의 절차를 받지 않거나 본래 설치목적과 다른 용도로 사용하는 사례가 다수 있었다.
 
사업장 전자 감시의 유형은
▶폐쇄 회로 텔레비전(CCTV) 등 영상 정보 처리기기에 의한 감시
▶위치확인 시스템(Global Positioning System·GPS) 등에 의한 감시
▶지문·홍채·정맥 등 바이오(생체)정보 처리기기에 의한 감시
▶업무용 사내 시스템(Enterprise Resources Planning·ERP )을 활용한 감시 등이다.
 
인권위는 "사용자가 전자감시를 통해 근로자의 개인정보를 수집·이용할 때 '개인정보 보호법'을 철저히 준수토록 정부가 지도·감독하고 근로자가 개인정보와 관련된 권리, 구제 방법 등을 명확히 알 수 있도록 해야 한다"고 지적했다.
 
인권위는 지난 2007년 '사업장 전자감시에서 근로자의 인권보호를 위한 법령·제도 개선 권고'를 통해 사업장 전자감시를 적극 규제할 수 있는 별도의 법률을 마련하고 근로관계 법률상 전자감시에 대한 절차적 통제 강화 등을 권고했다.

[첨부]
사업장전자감시에서근로자인권보호권고결정문(뉴딜코리아)
사업장_전자감시_규제_법률_제개정_권고
정보통신기기에_의한_노동감시_금지를_위한_근로기준법_개정안의_주요내용
직장내에 있어 프라이버시 보호에 관한 법률문제와 제도개선 방안



개인정보보호 컨설팅 & 교육진행
 뉴딜코리아 컨설팅사업부 / 070-7867-3721 / ismsbok@gmail.com




2017년 2월 13일 월요일

100만개 이상의 넷기어 라우터, Hijack 취약점에 노출 가능

 뉴딜코리아 홈페이지
http://cafe.naver.com/rapid7/2771

100만개 이상의 넷기어 라우터, Hijack 취약점에 노출 가능




개요
  •보안 전문업체 Trustwave社는 31개의 넷기어 라우터 모델에서 패스워드 우회와 장치제어가 가능한 취약점이 발견되었다고 발표



주요내용


 • 넷기어 라우터의 웹 관리 서버에 대한 간단한 조작으로 패스워드 노출 가능

-​​ Trustwave에 따르면 1차적으로 파이썬 스크립트를 작성하여 31개의 넷기어 라우터 모델에서 영향을 받는 것으로 확인했지만, 해당 취약점에 영향을 받는 모델이 더 많을 것으로 예상


- 미라이(Mirai) 악성코드를 이용하여 DDoS 공격을 수행할 경우 최소 1만개 이상의 넷기어 라우터가 백만 개 이상의 잠재적인 봇넷으로 이용될 수 있음

• 넷기어, 취약점 공개 후 부분적 패치 발표


-​​ Trustwave에 따르면 해당 연구결과는 발견 즉시 넷기어에 보고되었지만 현재 단 18개의 취약한 라우터 모델에 대해서만 패치를 발표


- ​​R8000, R7000, R6400 모델에 Command Injection 취약점이 발생한지 불과 한 달 만에 해당 취약점이 발견되어 주의가 필요

Trustwave에서 발견한 취약점은 다음과 같은 이유로 노출되지 않도록 주의가 필요


- 많은 수의 넷기어 라우터 모델에 영향을 미침


- 인터넷을 통해 라우터의 원격 관리가 가능하도록 설정된 경우 공격자가 원격에서도 공격이 가능하며 취약한 라우터에 물리적으로 엑세스 할 수 있는 사람은 누구나 로컬에서 공격이 가능함


- DNS를 악성 프로그램으로 쉽게 변경하여, 네트워크의 모든 컴퓨터를 멀웨어에 감염시킬 수 있음
 
[출처]
1.ComputerWeekly.com, “More than a million Netgear routers feared vulnerable to hijack”, 2017.01.31.


개인정보의 암호화 조치 안내서(2017.01 개정)

 뉴딜코리아 홈페이지
http://cafe.naver.com/rapid7/2770

개인정보의 암호화 조치 안내서(2017.01 개정)


▣ 목적

본 안내서는 「개인정보 보호법」에 따라 개인정보처리자가 개인정보를 안전하게 저장·전송하는데 사용되는암호화 기술에 대한 안내를 목적으로 한다.
이를 위해 본 안내서는 개인정보처리자가 고유식별정보, 비밀번호, 바이오정보 등 암호화 대상 개인정보의 저장·전송 시 적용할 수 있는 암호 알고리즘을 소개하고 개인정보처리자의 효과적인 암호화 적용을 지원하기 위해 암호화 적용 방식 및 절차, 암호화 적용 시 고려사항, 암호화 적용 사례등을 제시한다.


● 개인정보 보호법 - 암호화 관련 근거
• 「개인정보 보호법」제24조(고유식별정보의 처리제한) 및 동법 시행령 제21조(고유식별정보의 안전성 확보 조치)
• 「개인정보 보호법」제24조의2(주민등록번호 처리의 제한) 및 동법 시행령 제21조의2(주민등록번호 암호화 적용 대상 등)
• 「개인정보 보호법」제29조(안전조치의무) 및 동법 시행령 제30조(개인정보의 안전성 확보조치)
• 「개인정보의 안전성 확보조치 기준」(행정자치부 고시 제2016-35호)



▣ 적용 대상

「개인정보 보호법」에 따라 암호화하여야 하는 개인정보인 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 저장·전송하는 개인정보처리자를 대상으로 한다


용어 정의

정보주체 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

개인정보파일 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.


개인정보처리자 란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.


개인정보취급자 는 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.


정보통신망 이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.


개인정보처리시스템 이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.

내부망 이란 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.


비밀번호 란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.


바이오정보 라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 말한다.


보조저장매체 란 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital VersatileDisk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다.


위험도 분석 이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.

모바일 기기 란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.


공개된 무선망 이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.


암호화 란 일상적인 문자로 쓰이는 평문을 암호키를 소유하지 않은 사람이 알아볼 수 없도록 기호 또는 다른 문자 등의 암호문으로 변환하는 것을 말한다. 개인정보가 비인가자에게 유·노출 되더라도 그 내용을 확인할 수 없거나 어렵게 하는 보안기술이다.


암호키 란 메시지를 암호화 또는 복호화 하는데 사용되는 키로서 암호키를 소유한 자만이 암호문을 생성하거나 복호할 수 있다.


해쉬함수 란 임의의 길이의 메시지를 항상 고정된 길이의 해쉬 값으로 변환하는 일방향 함수를 말한다.


일방향 함수 라 함은 결과값을 가지고 입력값을 구하는 것이 어려운 함수로서 해쉬함수는 일방향 함수에 해당한다.


블록암호 란 평문을 일정한 블록 크기로 나누어 각 블록을 송·수신자 간에 공유한 비밀키를 사용하여 암호화 하는 방식이다.


SSL(Secure Sockets Layer) 이란 웹 브라우저와 웹 서버간에 데이터를 안전하게 주고받기 위해 암호화 기술이 적용된 보안 프로토콜을 말한다.


가상사설망 (VPN : Virtual Private Network)은 정보통신망에서 IPsec, SSL 등의 보안 프로토콜을
사용한 터널링 기술을 통해 안전한 암호화 통신을 할 수 있도록 해주는 보안 시스템을 말한다.



첨부파일 : 개인정보의 암호화 조치 안내서(2017.01 개정)


2017년 2월 10일 금요일

4차산업혁명 과 사이버 보안대책

 뉴딜코리아 홈페이지
http://cafe.naver.com/rapid7/2769

4차 산업혁명과 사이버 보안대책




4차 산업혁명 시대가 도래 했다.

2016년을 '4차 산업혁명'이 부상하는 시대로 볼 수 있는데, 2016년 2월 세계적으로 권위 있는 다보스포럼에서 '4차 산업혁명'을 안건으로 삼고 심도 있게 이를 다뤘다.

그리고 다보스포럼을 시작으로 구글의 자율주행자동차, 킬러로봇, 알파고, 로테크(Lawtech) 등 4차 산업혁명과 관련한 수많은 혁신기술들이 집중 받았다.

4차 산업혁명은 모든 것들을 연결하고 모든 것들에 지능을 넣어서 인류의 복지를 증진시키는 혁명을 의미한다. 과거에는 사람들이 직접 했던 업무들을 4차 산업혁명 시대에는 주위에 사물들이 대신 해줌으로서 편안함은 물론이고 효율성을 향상 시켜준다.

가령 자율주행자동차의 경우 자동차 스스로 운전하면서 운전자의 편안함과 동시에 운전자가 자동차 안에서 다른 업무를 볼 수 있게 효율성을 증진시켜 준다.  뿐만 아니라 자동차 사고율을 줄어줘 운전자의 안전성도 높여준다.

이처럼 4차 산업혁명은 사람들에게 편의성을 제공해 복지향상을 이끌어낸다.

그러나 4차 산업혁명은 긍정적인 부분만 있는 것일까?

4차 산업혁명을 구현하기 위해서는 모든 것들을 연결하는 인프라가 갖춰져야 한다.
그리고 이러한 인프라 구축은 항상 사이버 보안 취약점이라는 수식어가 함께 뒤 따라 온다.
외부와 연결되지 않은 것들을 연결하게 되기 때문에 사이버 보안 취약점은 생길 수밖에 없다.

그래서 4차 산업혁명 시대에는 ‘사이버 보안’의 고려가 필수적 이다.

사이버공격 트렌드를 살펴보면 사이버공격은 지금보다 더 큰 위협으로 작용할 것으로 전망된다.
사이버공격을 더 위협적으로 만드는 요인은‘내부’와 ‘외부’요인으로 나눠서 바라볼 수 있다.

내부요인은 사이버공격 자체 진화로 인해 위협이 되는 요인이다.
그리고 외부요인은 외부환경의 변화로 위협이 되는 요소인데, 외부환경의 변화가 바로 4차 산업혁명을 의미한다.

4차 산업혁명은 사이버 보안의 취약점과 사이버공격 피해범위도 증가시킨다.
이러한 점은 해커에게 사이버공격에 대한 동기를 증가시키고 사이버공격 무기를 더 정교 하게끔 만든다.
이는 사이버공격 취약이라는 악순환을 불러일으킨다.
이러한 악순환을 끊기 위해서는 국가적인 노력이 필요하다.
그리고 정교한 사이버 보안 모델 확립이 중요하다.

사이버안전을 보장하기 위해서는 10가지 보안기술 요구사항을 만족시켜야 한다.
10가지 요구사항으로는, ‘기밀성’, ‘무결성’, ‘가용성’, ‘인증’, ‘부인방지’, ‘접근제어’, ‘추적불가능’, ‘익명성’, ‘확장성’, ‘실시간성’ 이다.
이러한 요구사항들을 만족시키기 위해서는 ‘모바일’과 ‘네트워크’ 보안에 초점을 맞춰야 한다.
그 이유는 모바일과 네트워크가 4차 산업혁명 시대에 핵심기술이자 사이버 보안의 가장 큰 취약점이기 때문이다.

끝으로 국가안보를 위해 사이버 안보를 강화할 필요가 있다.

북한은 오래전부터 사이버전쟁을 고려해서 이를 준비해왔다.

4차 산업혁명으로 인해 사이버 보안이 큰 이슈화가 될 것임을 이미 알고 있었던 셈이다.

한국정부도 사이버 보안의 중요성을 인식하고 대비를 위해 인력양성과 더불어 사이버 부서를 신설해 운영 중이다.

그러나 북한과 비교했을 때 사이버안보는 매우 취약하다.

한국 정부는 4차 산업혁명 시대의 안보확립을 위해 사이버 안보를 더욱 강화 할 필요가 있다.