2017년 9월 30일 토요일

개인정보보호 연차보고서 (2017)

출처 뉴딜코리아 홈페이지               
                                     


개인정보보호 연차보고서(2017년)
(Annual Report on Personal Information Protection)





개인정보 보호법 제67조에 따라 개인정보보호위원회에서 작성하여 국회에 제출한 개인정보보호 연차보고서입니다


1. 지난 1년간 개인정보보호 정책의 추진성과 및 해외 주요국가 동향 등 수록


이 보고서는  법령에 대한 개인정보 침해요인 평가, 관계기관에 대한 제도개선 권고 등‘17년부터 대폭 강화된 위원회 역할과 활동성과를 소개하고,

 ❍ 법·제도 동향, 산업환경 변화 등 국내·외 정책 환경을 분석하였으며,

 ❍ 정보주체의 권리보장 강화 및 분쟁조정, 침해요인 사전예방 등 2015년 대비 달라진 정책을 중심으로 이해하기 쉽도록 추진성과를 집약하였다.

 ❍ 특히, 보고서 도입부분에서는 2016년 성과를 한눈에 볼 수 있도록‘개인정보보호 정책, 이렇게 달라졌습니다.’와, ‘데이터로 보는  정책 성과’를 인포그래픽 형태로 구성해 정책환경의 변화와 성과를 한눈에 볼 수 있도록 하였다.


□ 주요성과로는 개인정보보호 관련 핵심제도 선진화 및 유사법률 간 정합성 제고를 위해 「개인정보 보호법」, 정보통신망법, 신용정보법을 개정함으로써 주민등록번호 수집 법정주의 강화, 징벌적 손해배상제도 시행, 개인정보 수집출처 고지 의무 강화 등 개인정보보호 정책 기반을 더욱 견고히 한 것으로 나타났다.

 ❍ 행정자치부가 ‘법령상 주민등록번호 처리 허용 5대 기준’을 마련하여 일제 정비를 시행한 결과 주민등록번호 수집 근거법령수가 41% 감소 하였으며, - 개인정보보호 실태조사 결과 민간기업의 개인정보보호 담당부서는  전년대비 34% 증가하여 개인정보보호를 위한 기반이 강화되었다

❍ 한편, 보호위원회는 “개인의 존엄과 가치가 구현되는 지능정보사회”를 비전으로 설정하고 4대 분야 11개 과제를 선정하는 등 2018년부터 2020년까지의「제3차 개인정보 보호 기본계획」을 수립하였는가 하면,

 ❍ 중앙행정기관이 소관법령을 제·개정하고자 할 경우 보호위원회로부터 사전평가·심의 절차를 이행하도록 하는‘개인정보 침해요인 평가제도’를 2016년 7월부터 시행한 결과, 평가대상 총64건 중 41건(64%)에 대하여 개선 권고했다고 밝혔다.


□ 2017 개인정보보호 연차보고서의 구성은
▲ 제1편 개인정보보호 정책환경 및 현황,
▲ 제2편 개인정보보호 정책 추진성과,
▲ 제3편 기관별 실적과 향후계획, 
▲ 제4편 해외 동향으로

구성되어 개인정보보호 관련 정책현황은 물론 지난 1년간의 정책 추진성과, 각 기관별 실적, 해외 정책동향 등을 조망할 수 있도록 하였다.

□ 이번 연차보고서는 국제적 환경변화 및 ICT 고도화에 따라 끊임없이 새로운 이슈가 발생하는 개인정보보호 정책환경을 살펴보고, 지난 2016년 한 해 동안의 정책성과를 쉽게 이해할 수 있도록 구성하였다”며 “4차 산업혁명 도래, EU GDPR 시행 등 갈수록 큰 폭으로  변화하는 환경에 따른 개인정보보호의 중요성을 재확인하고 이에 대비하는 유용한 가이드가 될 것

연차보고서는 「개인정보 보호법」 제67조에 따라 국회에 보고되며,    각 정부기관 및 지방자치단체, 국‧공립도서관 등 공공기관과 대학교에 배부하여 개인정보보호에 대한 인식 제고와 제도발전을 위한 길라잡이로 활용  되도록 할 계획이다.



2. 연차보고서 편별 주요내용 및 목차

□ 연차보고서 편별 주요내용

 ❍ 제1편에서는 관련 법령 제·개정, 침해요인 평가제도 등의 도입으로 한층 강화된 국내 개인정보보호 정책의 주요이슈와 빅데이터, 자율주행차,  핀테크, 인공지능 등 산업 각 분야의 개인정보보호 주요이슈를 담아 ICT 기술 발전에 따른 정책환경의 변화를 분석하였다.

또한, 2014년부터   추진된 개인정보보호 정상화 대책 추진현황과 실태조사 결과, 역대 최고 과징금 부과 등의 행정처분 및 주요판례 등을 수록하였다.

 ❍ 제2편에서는 관련 법령에 따른 보호위원회의 주요 활동을 비롯해 주민등록번호 수집·이용 최소화를 위한 「개인정보 보호법」 개정 등의 법령 및 제도 정비, 침해요인 평가제도 시행, 개인정보 실태점검, 교육 및 홍보, 국제협력 강화 등 한층 강화된 개인정보보호 정책 기능을 알기 쉽게 정리하였다.

 ❍ 제3편에서는 4개 헌법기관과 46개 중앙행정기관, 17개 지방자치단체가 지난 1년 동안 추진한 개인정보 영향평가 수행, 정보주체의 권리 보장 강화, 개인정보 유·노출 및 침해사고 예방 활동 등 개인정보보호 정책 추진 실적을  수록하였다.

 ❍ 제4편에서 국제연합(UN), 경제협력개발기구(OECD), 아시아·태평양경제 협력체(APEC) 등 국제기구 및 국제협의체를 비롯해 EU GDPR 시행을 앞둔 유럽연합, 미국과 캐나다, 일본과 중국 등 세계 주요국의 개인정보보호 관련 정책동향을 실어 우리나라 개인정보보호 정책의 현주소를   가늠할 수 있도록 하였다.

□ 연차보고서 목차

2016 한눈에 보는 개인정보보호 정책 성과
 - 개인정보보호 정책, 이렇게 달라졌습니다
 - 데이터로 보는 정책 성과


제1편 개인정보보호 정책환경 및 현황

제1장 정책환경
   제1절 개인정보보호 주요 이슈
   제2절 개인정보보호 주요 동향
   제3절 개인정보보호 정상화 대책 추진현황 및 실적
   제4절 개인정보보호 실태조사 결과


제2장 행정처분 및 판례
   제1절 개인정보보호 관련법 위반 행정처분
   제2절 개인정보보호 주요 판례


제2편 개인정보보호 정책 추진성과

제1장 개인정보보호위원회 활동
   제1절 개인정보보호위원회 운영 및 조직 강화
   제2절 개인정보보호 기본정책 수립 및 정책연구 강화
   제3절 법령의 개인정보 침해요인 평가
   제4절 법령의 해석 등에 관한 의결
   제5절 개인정보 분쟁조정
   제6절 국제협력 및 국민 인식 강화


제2장 개인정보보호 정책 및 제도 개선
   제1절 개인정보보호 관련 법·제도 개선
   제2절 국제 공조 및 국제협력 강화


제3장 개인정보보호 기반 강화
   제1절 개인정보 침해 사고 예방 강화
   제2절 정보주체 권리 보장
   제3절 개인정보 실태 점검 및 개선
   제4절 개인정보 환경 개선과 기술 지원
   제5절 자율규제 촉진 


제4장 개인정보보호 인식 제고
    제1절 개인정보보호 교육
    제2절 개인정보보호 홍보


제3편 기관별 실적 및 향후계획


제1장 헌법기관
제2장 중앙기관  
제3장 지방자치단체

제4편 해외 동향

제1장 국제기구·국제협의체
   제1절 국제연합(UN)
   제2절 경제협력개발기구(OECD)
   제3절 아시아·태평양경제협력체(APEC)
   제4절 아시아·태평양 프라이버시 감독기구(APPA) 포럼
   제5절 국제개인정보보호감독기관회의(ICDPPC)
   제6절 국제프라이버시네트워크(GPEN)

제2장 유럽
   제1절 유럽연합
   제2절 영국
   제3절 프랑스
   제4절 독일

제3장 미주
   제1절 미국
   제2절 캐나다

제4장 아시아·태평양
   제1절 일본
   제2절 중국
   제3절 싱가포르
   제4절 호주

<부록>  인용 법률 발췌문


[참고] 2016 한눈에 보는 개인정보보호 정책 성과







[첨부파일]
- 개인정보보호 연차보고서_보도자료(2017)
- 개인정보보호_연차보고서_2017(뉴딜코리아)




뉴딜코리아 컨설팅사업부
( 070-7867-3721, ismsbok@gmail.com)





온 가족이 즐겁고 풍요로운 추석 명절 보내세요 ..!



2017년 9월 21일 목요일

소프트웨어프로세스 품질인증(SP인증) 관련 정보 공유

소프트웨어프로세스 품질인증(SP인증) 관련 정보 공유

※ 지역별 일정 확인하여 참가 신청하시면 됩니다

● SP인증을 중심으로 한 SW프로세스 교육(11/23(목)~11/24(금), 부산)

● SP인증을 중심으로 한 SW프로세스 교육(11/16(목)~11/17(금), 대구)

● SP인증을 중심으로 한 SW프로세스 교육(11/2(목)~11/3(금), 대전)

● SP인증을 중심으로 한 SW프로세스 교육(10/19(목)~10/20(금), 광주)

☞ 관련정보 : https://lnkd.in/e_ZgRhB




2017년 9월 17일 일요일

무기체계 소프트웨어 개발 및 관리 매뉴얼 (개정 : 2017.09.11)

무기체계 소프트웨어 개발 및 관리 매뉴얼 (개정 : 2017.09.11)




■ 이 매뉴얼은 방위력개선사업으로 획득되는 소프트웨어의 체계적인 개발 및 관리를 위한 프로세스와 산출물 작성표준 등을 규정함을 목적으로 한다.

■ 관련 문서
   가. 「국방전력발전업무훈령」
   나. 「국방정보화업무훈령」
   다. 「방위사업관리규정」
   라. 「무기체계 소프트웨어 개발 지원에 관한 규정」
   마. 「표준화 업무 지침」
   바. 「국방규격의 서식 및 작성에 관한 지침」
   사. 「국방 아키텍처프레임워크(MND-AF)」
   아. 「국방 CBD방법론」
   자. 「ISO/IEC 12207-2008(E) Systems and software engineering-Software Life Cycle Processes」
   차.「군용항공기 비행안전성 인증에 관한 업무규정」


■ 매뉴얼 구성
이 매뉴얼은 다음과 같이 4개의 장, 부록 및 별책으로 구성되었다.

가. 제1장 「개요」
이 매뉴얼에 대한 총괄적인 설명


나. 제2장 「소프트웨어 개발 프로세스」
소프트웨어 개발단계별 주요 활동, 참여기관의 역할, 업무절차, 산출물, 산출물 검토 시 고려할 사항 등 소프트웨어 개발 활동 정의


다. 제3장 「소프트웨어 지원 프로세스」
개발단계 형상관리, 품질관리 및 감리 세부 절차 정의


라. 제4장 「소프트웨어 관리 프로세스」
 사업추진 준비, 개발 관리, 신뢰성/보안성 확보 활동, 규격화, 목록화, 기술자료 관리 및 재사용, 지식재산권, 국산화, 내장형 소프트웨어 분류체계 식별자 관리 및 활용, 소프트웨어 종합군수지원요소 개발, 구매사업 소프트웨어 관리 등 소프트웨어 관리 활동 정의


마. 「부록」
연구개발사업 제안요청서(안), 구매사업 제안요청서(안), 개발단계별 산출물 점검표, 형상관리 및 품질보증 점검표, 국방규격화 검토용 점검표, 무기체계 소프트웨어 코딩규칙, 소프트웨어 신뢰성/보안성 시험 절차, 국방 아키텍처 필수 작성 산출물, 표준 개발 프로세스와 국방 CBD 개발 프로세스 간 매핑표, 분류체계 식별자 관리, 형상변경 참조 양식, 품질보증 참조 양식, 감리 참조 양식, 공개SW 무기체계 적용 가이드라인, 약어표 등
  

바. 「별책 : 무기체계 소프트웨어 기술문서 작성 가이드」
. 기술문서 표준서식,

. 소프트웨어개발계획서,
. 소프트웨어요구사항명세서,
. 소프트웨어설계기술서,
. 인터페이스설계기술서,
. 데이터베이스설계기술서,
. 소프트웨어통합시험계획서,
. 소프트웨어통합시험절차서,
. 소프트웨어통합시험결과서,
. 소프트웨어설치계획서,
. 펌웨어설치절차서,
. 소프트웨어버전기술서,
. 소프트웨어산출물명세서,
. 소프트웨어목록명세서 등
=>13종 기술문서 작성가이드

▶ 첨부파일 :
o 무기체계 소프트웨어 개발 및 관리 매뉴얼 본문
o 무기체계 소프트웨어 개발 및 관리 매뉴얼 부록
o 무기체계 소프트웨어 개발 및 관리 매뉴얼 신구조문대조표
o 무기체계 소프트웨어 개발 및 관리 매뉴얼 기술문서 작성가이드



뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)



2017년 9월 12일 화요일

Apache Struts2 원격 코드 실행 취약점 업데이트 권고 (2017.09.07)

 뉴딜코리아 홈페이지 

Apache Struts2 원격 코드 실행 취약점 업데이트 권고
(2017.09.07)




□ 개요

 o Apache Struts2에서 임의 코드 실행이 가능한 취약점이 발견

  (1) CVE-2017-9805(Apache Struts): Possible Remote Code Execution attack using REST plugin

      - REST 플러그인을 이용한 원격 코드 실행 공격 가능

        > Apache Struts REST Plugin은 형식 필터링없이 역 직렬화를 위해 XStream 인스턴스와 함께 XStreamHandler를 사용하며 XML 페이로드를 역 직렬화 할 때 원격 코드 실행으로 이어질 수 있습니다.

        > Available Exploits : Apache Struts 버전 2.1.2 - 2.3.33 및 Struts 2.5 - REST 플러그인을 사용하는 Struts 2.5.12는 XStream 라이브러리의 Java 비 직렬화 공격에 취약합니다.

      - XSL 핸들러와 함께 Struts REST 플러그인을 사용하여 XML 페이로드를 처리 할 때 가능한 원격 코드 실행 공격

      - XML 요청을 직렬화 해제하기 위해 XStream 처리기와 함께 Struts REST 플러그인을 사용할 때 RCE 공격이 가능합니다

      [참고 사이트]
      - https://struts.apache.org/docs/s2-052.html
      - https://www.rapid7.com/db/vulnerabilities/struts-cve-2017-9805
      - https://www.rapid7.com/db/modules/exploit/multi/http/struts2_rest_xstream
      - https://access.redhat.com/security/cve/cve-2017-9805
 

  (2) CVE-2017-12611: Possible Remote Code Execution via Freemarker tags

      - Freemarker 태그를 통한 원격 코드 실행

        > Freemarker 태그에서 표현식 리터럴이나 표현식을 사용하고 요청 값을 사용하면 RCE 공격이 가능합니다.

        > Freemarker 태그의 value 속성은 수정할 수있는 리터럴이나 표현식에 의해 초기화되도록 구성하면 안됩니다. ( Freemarker는 원격 실행 유도하는 코드 표현으로 취급합니다.)

        > 문자열 리터럴 대신 Freemarker 태그에서 의도하지 않은 표현식을 사용할 때 원격 코드 실행 공격

        > 개발자가 Freemarker 태그에서 잘못된 구성을 사용하는 경우 RCE 공격이 가능합니다.

       [참고 사이트]
       - https://struts.apache.org/docs/s2-053.html
       - https://www.rapid7.com/db/vulnerabilities/struts-cve-2017-12611
       - https://access.redhat.com/security/cve/cve-2017-12611


 o 취약한 버전을 사용 중인 서버의 담당자는 악성코드 감염 등의 위험이 있으므로 아래 해결 방안에 따른 조치 권고


 □ 내용

 o Struts REST 플러그인을 사용하여 XML 페이로드를 처리할 때 발생하는 원격 코드 실행 취약점(CVE-2017-9805)

    ※ REST 플러그인은 XStreamHandler 유형 필터링 없이 직렬화를 위해 XStream의 인스턴스와 함께 사용

 o FreeMarker 태그의 잘못된 구성으로 사용할 때 요청 값에 원격 코드 실행이 가능한 취약점(CVE-2017-12611)

    ※ FreeMarker : 텍스트를 출력하는 템블릿 엔진으로 JAVA 클래스 형태로 배포된 개발자 도구
 

□ 영향을 받는 제품 및 버전

 o CVE-2017-9805
   - Apache Struts 2.1.2~2.3.33
   - Apache Struts 2.5~2.5.12

​ o CVE-2017-12611
   - Apache Struts 2.0.1~2.3.33
   - Apache Struts 2.5~2.5.10


□ 해결 방안

 o CVE-2017-9805
   - 취약점에 영향을 받지 않는 버전으로 업데이트 수행(Apache Struts 2.5.13, Apache Struts 2.3.34)
     > https://struts.apache.org/docs/version-notes-2513.html
     > https://struts.apache.org/docs/version-notes-2334.html 


   - Struts Rest 플러그인을 사용하지 않는 경우 삭제

 o CVE-2017-12611
   - 취약점에 영향을 받지 않는 버전으로 업데이트 수행(Apache Struts 2.5.12, Apache Struts 2.3.34)
     > https://struts.apache.org/docs/version-notes-2512.html
     > https://struts.apache.org/docs/version-notes-2334.html 

 

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 o 뉴딜코리아 솔루션사업부 (070-7867-3721, ismsbok@gmail.com)

 뉴딜코리아 고객사에서는 Apache Struts 버전 확인 후 연락 주시면 무상 기술 지원을 받을 수 있습니다 !!!!


[참고사이트]
 [1] http://cafe.naver.com/rapid7/2992

 

2017년 9월 4일 월요일

HDCON 해킹방어 대회

 뉴딜코리아 홈페이지
 
제14회 HDCON 해킹방어대회 신청안내




☞ 하단 신청하기를 클릭하여 신청하세요!!

※ 주의사항 : 팀장이 먼저 신청한 뒤 팀원 신청!

■ 접수 :

   ▷ 팀장신청(신청하기)

   ▷ 팀원신청(신청하기)


※ 신청은 9월 1일 09시 부터 가능합니다.