2018년 12월 27일 목요일

개인정보보호 국제협력 누리집

 뉴딜코리아 홈페이지

개인정보보호 국제협력 누리집을 새롭게 개편

해외 주요국 개인정보보호 정책동향, 온라인으로 편리하게 본다
-개인정보보호 국제협력 누리집 개편해 해외 주요국 정보가 풍성-


□ 행정안전부는 국민들이 인터넷을 통해 해외 개인정보 보호 관련 주요 정보를 보다 쉽고 편리하게 이용할 수 있도록 개인정보보호 국제협력 누리집을 새롭게 개편한다.

 ○ 즉, 해외 주요국의 개인정보 현황을 소개하는 국가정보, FAQ, 자료실 등을 추가하여, 기업과 국민들이 궁금해 하는 해외 개인정보보호 법제도 자료를 대폭 확대할 계획이다.


☞ 개인정보보호 국제협력 서비스 페이지 (https://www.privacy.go.kr/pic)


□ 주요 내용은, ‘소개’ 메뉴에서는 국제협력센터의 연혁, 주요기능 등을 안내하고, ‘국가정보’ 메뉴에서는 주요국가의 개인정보보호 정책과 사례, 피해구제방안 등의 정보를 제공한다.

 ○ 해외에서 개인정보 침해를 당한 우리 국민들에게 필요한 개인정보보호 사례·판례 및 적용 법률 조항, 처벌 내역 등을 등재하며, 미국, 영국, 독일, 싱가포르 등의 개인정보 법제도를 조사·분석하여 누리집에 등재할 예정이다.

 ○ 아울러 ‘FAQ’에서는 새롭게 기업들이 많이 질문하는 질의 및 답변을 선정하여 올리고, ‘자료실’에서는 주요국가의 개인정보보호 법률 원문과 한국어 번역본을 실을 계획이다.

 “국민들이 개인정보보호 글로벌 정보를 쉽고 편리하게 이용할 수 있게 될 것으로 기대된다.”
 “향후에도 이용자 편의 증진을 위해 지속적으로 콘텐츠를 보강하는 등 서비스 개선 노력을 할 예정이다."



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 

2018년 12월 24일 월요일

쿠버네티스와 마이크로 서비스 아키텍처

 뉴딜코리아 홈페이지 


쿠버네티스(Kubernetes)와 마이크로 서비스 아키텍처
  - 애자일 개발 방법론과 데브옵스(DevOps)
  - 서버 가상화 vs 컨테이너
  - 마이크로 서비스 아키텍처
  - 쿠버네티스 구조 및 데브옵스 운영 방식

□ 마이크로소프트, 클라우드와 인공지능 중심으로 대대적 조직 개편

□ 세일즈포스의 뮬소프트 인수와 ‘인테그레이션 클라우드’ 발표

□ 인공지능이 변화시키는 두 가지 DMaaS :
  - 데이터센터 관리서비스(Datacenter Management as a Service)와
  - 데이터 관리서비스(Data Management as a Service)

□ 아마존, 클라우드 음악 보관 서비스 종료




- 출처 : 클라우드스토어 씨앗


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

2018년 12월 21일 금요일

변화를 이끄는 리더의 5가지 습관

 뉴딜코리아 홈페이지 



변화를 이끄는 리더의 5가지 습관

변화를 주도하는 리더는 어떤 리더일까?

모두 '리더는 변화의 중심에 있어야 한다'고 말하지만 선뜻 실행에 옮기지 못한다.

변한다는 것이 마냥 성공의 지름길만은 아닐 것이란 생각 때문이다.

그러나 이 같은 생각을 가지고 있는 리더라면 자질을 한 번쯤 의심해 볼 필요가 있다.

너도나도 변화를 외치고 5년 뒤의 우리나라는 어떻게 변할 것인가 등을 논의하는 지금, ‘변화’를 미루고 현재를 고수한다면 고인 물이 될 수밖에 없다.

변화는 곧 미래 대비 전략이기 때문이다.

변화의 목적 의식은 '왜?' 변화를 할 것인지와 '어떻게' 변화를 할 것인지 크게 두 가지로 나뉜다.

전자는 각자의 목표 달성이 답이겠지만 후자는 방법이 천차만별이라 리더에겐 챌린지(도전)가 될 수 있다.

다시 말해 변화의 궁극적 목표는 성공이지만 과정은 별개라는 얘기다.

'호기심의 힘(The Power Of Curiosity)'의 공동저자 캐시 타버너(Kathy Taberner)와 크리스틴 타버너(Kirsten Taberner)는 변화의 필수과정으로 ‘호기심’을 꼽았다.

21세기 성공한 리더는 호기심을 밑바탕으로 타인을 대한다는 것이다.

공동저자들은 "성공한 리더의 습관에는 '호기심'이 배여있다"고 말하며 이를 바탕으로 지난 5일, 허핑턴포스트(Huffington Post) 블로그에 '변화를 만드는 리더들의 다섯 가지 습관'을 소개했다.


1. 타인의 말을 경청한다.

변화를 만드는 리더는 자신의 말이 아닌 다른 사람 말에 귀를 기울인다.

즉 자신이 말하기 위해서 듣는 것이 아닌 타인의 이야기를 '흡수'하기 위해 듣는 것이다.

이들은 다른 이가 무슨 말을 하는지 ‘이해’하기 위해서 궁금해 한다.

호기심을 발휘해 더 깊이 이해하는 것이다.


2. 열린 자세로 듣는다.

상대방의 말을 편견 없이 열린 자세로 들으며 말하는 이를 평가하지 않는다.

섣부른 판단과 평가는 선입견을 만들고 대화를 100% 이해하는 것을 방해하기 때문이다.

이들은 듣고 있는 내용이 설령 마음에 안 들지라도 여기에도 배울 것이 있다고 생각한다.

불편한 대화도 남들과 다른 관점으로 다가가는 것이다.


3. 호기심 짙은 질문을 던진다.

이들은
-  '어떻게?'
-  '왜?'
- '누가?'
- '어디서?' '언제?'등을 물어 네/아니오 식의 답변을 할 수 없게 질문을 던진다.

이렇게 물어봄으로써 다양한 생각,이해 또는 견 등으로 확장될 수 있기 때문이다.

열린 질문을 던지는 것은 변화를 만드는 것에 필수요건이다.


4. 상대방 관점에서 이해한다.

누군가는 대화를 할 때 자신의 관점에서 그 말의 내용을 이해하려 한다.

이럴 경우 상대방이 전달하고자 하는 메시지를 100% 이해하지 못해 좋은 기회를 놓치거나 또는 이해의 충돌이 일어날 수 있다.

변화를 이끄는 리더는 자신의 관점을 버리고 상대방의 입장 등을 고려해 타인의 관점에서 대화를 한다.


5. 조심성 있게 말한다.

문제가 생겼을 때 상대방에게 무엇을 하라고 지시하는 것은 '그는 스스로 뭘 해야 하는지 모른다'라는 뜻을 내포하고 있어 상대방의 자신감을 저하시킬 수 있다.

이 점을 고려한 리더는 말 한마디를 하더라도 상대방의 입장 또는 기분을 고려해 조심스럽게 말을 한다.

이것은 곧 자유로운 의견·아이디어·해결책 등으로 표출돼 변화를 만들 수 있기 때문이다.


.............중앙일보/머니투데이 허정민 인턴기자

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com



2018년 12월 20일 목요일

MS Internet Explorer 긴급 보안 업데이트 권고 (2018.12.20)


 뉴딜코리아 홈페이지 

MS Internet Explorer 긴급 보안 업데이트 권고 (2018.12.20)


□ 개요

 o MS에서 Internet Explorer의 취약점을 해결한 보안 업데이트 발표
  - Microsoft Internet Explorer 응급 패치 발표 / Fix for IE Zero Day

 o 공격자는 해당 취약점을 악용하여 원격코드 실행 등의 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고


□ 설명

 o Internet Explorer에서 스크립팅 엔진이 메모리에 있는 개체를 처리할 때 발생하는 원격코드실행 취약점(CVE-2018-8653)


□ 영향을 받는 제품 

 o 뉴딜코리아 CVE-2018-8653 취약점이 IE의 다음의 버전에 영향을 미쳤다고 밝혔다.

 o Internet Explorer 9, 10, 11
   . Windows Vista
   . Windows 7
   . Windows 8
   . Windows 10
   . Windows Server 2008 : Internet Explorer 9
   . Windows Server 2012 : Internet Explorer 10
   . Windows Server 2016 : Internet Explorer 11
   . Windows Server 2019 : Internet Explorer 11
 

□ 해결 방안

 o 윈도우 자동 업데이트 실행

 o 수동 업데이트는 아래 참고사이트를 확인하여 설치

  - Internet Explorer 9, 10, 11
    Detailed steps for each supported Windows operating system



□ 문의사항

 o 뉴딜코리아 컨설팅 사업부 : 070-7867-3721, ismsbok@gmail.com


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

2018년 12월 19일 수요일

클라우드 서비스 보안실증 사례집


클라우드 서비스 보안실증 사례집


■ 지원 사업 개요

○ 목적
클라우드 규제 개건과 관련된 분야(의료, 금융, 교육 등)에 대한 보안실증(클라우드 구축 지원, 안전성 검증 등)을 통해 안전한 클라우드 서비스 도입 사례 발굴


○ 클라우드 보안실증 사례 (2016~2018)

ⓐ 클라우드 기반 의료 개인정보보호 서비스
ⓑ 클라우드 기반 은행권 CMS
ⓒ 클라우드 기반 개인 의료정보 공유 포털
ⓓ 클라우드 기반 통합 의료정보서비스
ⓔ 클라우드 기반 통합 병원정보시스템 서비스
ⓕ 보험대리점의 금융 상담용 개인재무관리(PFMS)
ⓖ 비대면 대화형 전자청약 클라우드 서비스
ⓗ 보험대리점 ERP 보안 클라우드 서비스
ⓘ 원격교육용 온라인평가 클라우드 서비스
ⓙ 클라우드 기반 P2P 결제를 위한 인증 서비스
ⓚ 클라우드 기반의 의료정보 보안 서비스


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

2018년 12월 17일 월요일

팔로알토 네트웍스, 2019 사이버 보안 전망 발표

 뉴딜코리아 홈페이지 



■ 팔로알토네트웍스가 꼽은 2019년 사이버보안 전망 5가지

- 비즈니스 이메일 계정 공격 사례 증가 
- 공급망이 가장 취약한 고리로 노출 
- 아태지역 내 데이터 보호 규정 강화 
- 점점 더 어려워지는 클라우드 보안 
- 사회 주요 인프라를 향한 보안 위협 증가로 꼽았다.

그 중에서도 팔로알토네트웍스는 클라우드 확산으로 인한 환경 변화로 기업이 보안 대책을 수립, 운영하는 것이 어려워지고 있다는 점에 가장 주목하고 있다.

대처법으로 팔로알토네트웍스는 통합과 자동화를 강조했다.

최원식 팔로알토네트웍스코리아 대표는 “클라우드와 디지털 전환으로 혁신의 속도가 빨라진 만큼 공격의 표면도 늘어나고 있다.

공격자들의 기술이 진화하고 공격의 비용 또한 낮아지는 상황에서 내부의 보안 인력만으로는 효과적인 방어가 점점 더 어려워질 것”이라며 “2019년에도 더 많은 고객들이 기업 전체 환경을 보호할 수 있는 통합 보안 전략과 자동화 프로세스를 갖출 수 있도록 다각적으로 지원을 지속하겠다”고 밝혔다.


■ 점점 더 어려워지는 클라우드 보안

클라우드로의 전환은 중요한 비즈니스 데이터와 시스템을 다른(서드파티) 사업자와 공유하는 것을 의미한다.

이러한 자산은 안전하게 저장되고 전송돼야 하고, 승인된 인력만이 액세스할 수 있어야 한다.

클라우드 보안은 서비스 사업자가 단독으로 책임질 수 없다.

데이터, 애플리케이션, 운영 체제, 네트워크 구성 등의 보안 문제를 해결해야 하는 기업과 책임을 공유해야만 한다.

이러한 상호 연결된 생태계는 보안을 훨씬 더 복잡하게 만들고, 특히 사이버보안 담당 인력을 관리하고 시중의 수많은 포인트 제품을 취급해야 하는 기업들의 경우 더욱 어려움을 겪게 될 것이다.

가장 어려운 점은 클라우드 사용에 따른 가시성을 확보하지 못한다는 점이다.

심지어 사내에서 누가 얼마나 어떻게 사용하는지 IT조직에서 제대로 파악하거나 통제하고 있지 못하기 때문에 컴플라이언스 관리나 각종 위험에 대처할 수 없게 된다.

복잡한 컴퓨팅 자원을 다루고, 새로운 서비스를 제공하는 등 혁신의 속도가 빨라지는 환경은 보안위협을 증가시킨다.

데브옵스(DevOps)는 개발 속도를 높일 수 있지만, 기존 IT 관리자원을 데브옵스로 전환하는 과정에서 보안을 유지하는 것이 새로운 도전과제로 떠오르고 있다.

기업에서는 프로세스와 기술, 시스템을 안전하게 보호할 수 있는 방안을 찾아야 한다.

최근 여러 사례를 통해 다양한 포인트 제품으로 구성된 전통적인 보안 시스템은 증가하는 사이버공격의 양과 정교함을 막는데 한계가 있다고 분석되고 있다.

대부분이 수동 조작에 의존하고 있어 이미 진행된 상태의 타깃 공격을 효과적으로 방어하기 어렵기 때문이다.

공격 라이프사이클의 모든 단계에서 알려진 위협과 알려지지 않은 위협을 탐지하고 방어하기 위해서는 통합형의 자동화된 보안 통제 전략이 필요하다.

이와 관련해 김병장 팔로알토네트웍스코리아 전무는 “이제 보안도 트랜스포메이션 해야 한다”라면서 “애널리틱스와 자동화를 구현하고 클라우드 딜리버리 방식으로 전환해야 한다”고 강조했다.

최원식 대표는 “예전에는 각각의 영역에서 최고의 보안 제품을 따로 따로 선택하는 ‘베스트오브브리드(Best of Breed)’의 시대였지만 이제는 하나의 장비에서 여러 기능이 통합 제공되는 방식으로 제공되고 있다”라면서 “팔로알토네트웍스는 시큐리티오퍼레이션플랫폼(SOP)으로 네트워크와 엔드포인트, 클라우드가 모두 연계, 통합돼 있을 뿐 아니라 자동화 방식으로 새롭게 생겨나는 위협을 빠르게 막을 수 있도록 제공하고 있다”고 덧붙였다.


■ 비즈니스 이메일 계정 공격 증가

기업을 타깃으로 하는 사이버범죄가 급증하고 있다.

지난 5년 동안 비즈니스 이메일 계정을 타깃으로 한 공격 피해 발생 금액은 전세계적으로 120억달러 이상을 기록했다.

이전에 국내 대기업에서도 비즈니스 이메일 침해(BEC) 침해로 인해 금전을 손실한 사례가 알려진 바 있다.

기업 내에서 사용하는 패스워드나 로그인 세부정보 탈취 사례가 전세계적으로 증가하는 추세다.

공격자들은 파트너나 내부 경영진 등 이해관계자로 위장해 크고 작은 표적을 노리고 있는 상황이다.

비즈니스 이메일 해킹의 증가는 기업 웹사이트를 모방하는 것에서부터 직원의 개인 소셜 미디어 계정에 이르기까지, 다양한 형태의 복잡한 공격으로 이어지고 있다.

2019년에는 내부 점검을 우회할 수 있는 교묘한 방법을 시도하는 공격자들이 더욱 늘어날 것으로 전망된다.
이같은 공격 피해를 막기 위해 기업에서는 가능한 구체적으로 내부 정보 흐름을 분석하고, 보다 포괄적인 점검 및 승인 프로세스를 구축해야 한다.

패스워드는 탈취가 간편하고, 보안성이 떨어지며, 사용자 신원 증명이 어렵다.

때문에 가장 취약한 연결 고리로 꼽힌다. 기업 이메일 계정을 보다 안전하게 지키기 위해서는 2단계 혹은 다단계 인증, 생체 인증과 같은 조치를 마련해야 한다.


■ 공급망, 가장 취약한 고리로 노출

공급망 공격은 계속해서 이슈가 될 것으로 예상된다.

디지털 시대가 도래함으로써 상호 연결된 글로벌 공급망 구축이 보다 쉬워지고 있다.

간편하게 전세계 공급업체 및 아웃소싱 서비스를 사용할 수 있고, 데이터 및 네트워크 공유가 포함된 연결성은 높은 효율성을 제공해준다.
 
공격자들은 기존의 보안 체계에서 취약성을 찾아내 새로운 공격의 기회를 만들어낸다.

실제로 MRI, 엑스레이 등과 같은 의료기기 업체들과의 협력이 필요한 헬스케어 산업의 경우 외부에서 내부 네트워크에 매일 접속하므로 새로운 공격 표면과 취약점이 돼 전체 병원을 통제 불가능 상태로 만들 수 있다.

글로벌 공급망이 점점 더 복잡해짐에 따라 사이버보안 위험을 정확히 파악하고 피하는 것이 점점 더 어려워질 전망이다.

특정 개인, 조직, 또다른 제3자 가운데 누가 내부 네트워크에 접속했는지 파악하고 조직 내부에서 어떠한 시스템과 서비스를 사용하고 있는지 필수적으로 이해하고 있어야 한다.

보안책임자(CSO)는 중요 정보가 외부 장치나 시스템으로부터 떨어져 분리되고 안전하게 유지되도록 하기 위해 네트워크 내 트래픽을 주의 깊게 관리해야 한다.

안전하지 않은 다수의 기기가 기업 네트워크에 연결되는 환경에서 사물 인터넷(IoT)은 곧 ‘사이버위협의 인터넷(internet of cyberthreats)’이 될 수 있기 때문이다.

기업에서는 각종 디바이스, 서비스 조달에 대한 내부 보안 표준을 마련해야 한다.

펌웨어와 애플리케이션은 항상 최신 상태를 유지해야 한다.

또한 로그인 구성을 기본 상태에서 변경시키는 것은 필수적이다.

외부 시스템과 디바이스가 네트워크에 있는 경우 제로트러스트(Zero-trust) 접근법을 기반으로 승인된 사용자와 앱만 통신할 수 있는 영역에 모든 트래픽을 배치하고 검사해야 한다.

2019년은 안전하지 않은 디바이스가 공격자들을 위한 게이트웨이가 되어 컴퓨터와 스마트폰을 노리는 공격이 늘어날 전망이다.


■ 아태지역 내 데이터 보호 규정 강화

아시아태평양지역 국가들이 사이버보안 이니셔티브 협력을 확대함에 따라 데이터 보호 프레임워크 구축이 불가피해질 것으로 전망된다.

호주, 싱가포르에서는 이미 이러한 프로젝트가 시행됐으며, 중국이나 인도 등 아태지역 내 다른 국가들도 자국민 데이터 보호에 대한 대책을 마련하고자 하는 움직임이 포착되고 있다.

국가별 디지털 성숙도에는 차이가 있으나 유럽연합 일반개인정보보호법(GDPR)처럼 자국의 상황을 적용한 자체 데이터 보호 규정이 예고되고 있다.

특히 2019년은 국가적 데이터 보호 규정의 변곡점이 되는 해가 될 것이다.

올해 유럽의 GDPR 시행으로 인해 전세계 기업들이 데이터의 수집과 저장에 많은 주의를 기울이게 됐다.

실제로 많은 기업들이 GDPR을 기준선으로 삼아 준수 격차를 평가하고 전반적인 보안 전략을 구축하기도 했다.

아태지역의 경우 GDPR 수준의 광범위한 프레임워크가 등장하기까지는 다소 시간이 걸릴 수 있으나, 각 기업에서는 불필요한 개인 데이터 수집을 최소화하는 방향으로 보안 정책을 시행하고, 이러한 방향은 위험과 노출을 최소화하는데 도움이 된다.


■ 사회 주요 인프라를 향한 보안 위협 증가

기간 설비 및 공공 자원을 의미하는 사회 주요 인프라의 범위가 금융 서비스, 통신, 미디어 등의 영역으로 확대되고 있는 추세다.

이들 주요 인프라가 디지털로 전환되고 자동화됨에 따라 기업·산업 네트워크 교류가 늘어나고, 보다 공격당하기 쉬운 사이버 범죄의 타깃이 되고 있다.

특히 패치가 어려운 기존 시스템에 의존하는 스카다(SCADA, 집중 원격감시 제어시스템), 산업제어시스템(ICS) 등 이 위험에 노출되고 있으며, 이러한 시스템의 주 사용처인 에너지, 수자원관리, 대중교통 등의 영역에 다양한 사이버 위협이 발생할 것으로 전망된다.

자율주행을 위한 머신러닝 등 인더스트리 4.0 기술에 중점을 두고 있는 국가의 경우 인프라 보안이 핵심 과제가 될 것이다.

원격 측정 및 지속적인 연결성이 필수적인 혁신 기술들은 정확하고 접근가능한 데이터를 사용해야 하기 때문이다.

팔로알토네트웍스는 주요 인프라 운영주체들이 그동안 주로 정보의 기밀성에 초점을 맞춰왔고, 정보보안의 다른 두 가지 원칙인 무결성과 가용성을 간과했다고 평가하고 있다.

또한 주요 인프라 운영주체들이 규제 기반 접근법에서 벗어나 모든 측면에 보안이 스며들어 있도록 바뀌어야 한다고 권고했다.

규제기관과 운영주체가 협력하여 최적의 규제 프레임워크를 마련하고, 설계에서부터 유지 보수에 이르기까지 모든 단계에서 보안 우선 전략을 취할 수 있도록 변화할 것이란 관측도 내놨다.


팔로알토 네트웍스 | 전문파트너
차세대 보안 플랫폼(Next-Generation Security Platform)
지능형 엔드포인트 보호 솔루션 트랩스(Traps)
위협 인텔리전스 서비스 오토포커스(AutoFocus)


2018년 12월 15일 토요일

위치정보의 관리적·기술적 보호조치 권고 해설서

 뉴딜코리아 홈페이지 



위치정보의 관리적·기술적 보호조치 권고 해설서


□ 권고 개요


1. 제정 배경

 ○ 정보통신기술의 발달은 위치정보를 이용한 물류·보안·광고·교통·상거래 등 다양한 응용서비스의 등장을 가능하게 하였다. 스마트폰을 통해 위치를 파악할 수 있는 기술과 서비스가 일상화되었고, GPS(Global Positioning System) 등 위치측위기술과 네트워크의 결합으로 보다 정밀한 위치파악이 가능하게 되었다.

 ○ 개인의 위치정보가 불법적으로 수집·활용될 경우 프라이버시 침해는 물론 생명·신체에 대한 즉각적인 위험을 초래할 우려가 있으므로, 위치정보사업자 및 위치기반서비스사업자(이하“위치정보사업자등”이라 한다)는 위치정보가 유출되거나 오남용 되지 않도록 적절한 보호조치를 취해야 한다.

 ○ 이와 관련하여 「위치정보의 보호 및 이용 등에 관한 법률(이하“위치정보법”이라 한다)」 제16조 및 같은 법 시행령 제20조는 위치정보사업자등에게 위치정보의 누출·변조·훼손 등을 방지하기 위한 관리적·기술적 보호조치를 준수 하도록 의무화하고 있다.

 ○ 그러나, 관리적·기술적 보호조치에 대한 구체적인 기준이 없어 해당 사업자가 법률상의 의무를 이행하는데 어려움이 발생함에 따라 「위치정보의 관리적·기술적 보호조치 권고」를 마련하였다.


2. 권고의 법적 성격

 ○ 이 권고는 「위치정보법」 제16조 및 같은 법 시행령 제20조의 관리적·기술적보호조치 의무를 토대로 제정되었으나 직접적인 법적 구속력이나 강제력이 있는 것은 아니다.

 ○ 그러나, 이 권고는 「위치정보법」에서 요구하고 있는 관리적·기술적 보호조치에 대한 구체적인 기준을 제시함으로써 위치정보사업자등이 관련 법령을 해석·적용함에 있어 오해의 소지를 없애고 관리적·기술적 보호조치를 자발적으로 준수할 수 있도록 지원하기 위해 제정된 것이므로 행정지도(行政指導)의 성격을 갖는다고 볼 수 있다.

 ○ 또한, 권고의 규정에 위반할 경우에는 법률에 근거한 형사처벌이 부과될 수도
있다는 예고(豫告)적 성격을 가진다


3. 권고 제정 관련 근거 법령

 ○ 위치정보의 보호 및 이용 등에 관한 법률 제16조(위치정보의 보호조치 등)

  ①위치정보사업자등은 위치정보의 누출, 변조, 훼손 등을 방지하기 위하여 위치정보의 취급·관리 지침을 제정하거나 접근 권한자를 지정하는 등의 관리적 조치와 방화벽의 설치나 암호화 소프트웨어의 활용 등의 기술적 조치를 하여야 한다. 이 경우 관리적조치와 기술적 조치의 구체적 내용은 대통령령으로 정한다.

 ②위치정보사업자등은 위치정보 수집·이용·제공사실 확인자료를 위치정보시스템에 자동으로 기록되고 보존되도록 하여야 한다.

 ③방송통신위원회는 위치정보를 보호하고 오용·남용을 방지하기 위하여 소속 공무원으로 하여금 제1항의 규정에 의한 기술적·관리적 조치의 내용과 제2항의 규정에 의한 기록의 보존실태를 대통령령이 정하는 바에 의하여 점검하게 할 수 있다.

 ④제3항에 따라 기술적·관리적 조치의 내용과 기록의 보존실태를 점검하는 공무원은 그 권한을 표시하는 증표를 지니고 이를 관계인에게 내보여야 한다.


 ○ 위치정보의 보호 및 이용 등에 관한 법률 시행령 제20조(위치정보의 관리적·기술적 보호조치)

  ①법 제16조제1항에 따른 관리적 조치에는 다음 각 호의 내용이 포함되어야 한다.
   1. 위치정보관리책임자의 지정
   2. 위치정보의 수집·이용·제공·파기 등 각 단계별 접근 권한자 지정 및 권한의 제한
   3. 위치정보 취급자의 의무와 책임을 규정한 취급·관리 절차 및 지침 마련
   4. 위치정보 제공사실 등을 기록한 취급대장의 운영·관리
   5. 위치정보 보호조치에 대한 정기적인 자체 감사의 실시

 ②법 제16조제1항에 따른 기술적 조치에는 다음 각 호의 내용이 포함되어야 한다.
   1. 위치정보 및 위치정보시스템의 접근권한을 확인할 수 있는 식별 및 인증 실시
   2. 위치정보시스템에의 권한없는 접근을 차단하기 위한 암호화·방화벽 설치 등의 조치
   3. 위치정보시스템에 대한 접근사실의 전자적 자동 기록·보존장치의 운영
   4. 위치정보시스템의 침해사고 방지를 위한 보안프로그램 설치 및 운영


4. 해설서 안내

○ 방송통신위원회(KCC)와 한국인터넷진흥원(KISA)은 「위치정보의 보호 및 이용 등에 관한 법률」 제16조 및 같은 법 시행령 제20조에 따라 위치정보의 누출·변조·훼손 등을 방지하기 위해 위치정보사업자 및 위치기반서비스사업자가 준수해야 하는 관리적·기술적 보호조치의 구체적인 기준을 제시하고자 「위치정보의 관리적·기술적 보호조치권고」를 마련한 바 있습니다.

 ○ 이 해설서는 동 권고의 각 조항별 주안점 및 구체적인 예를 제시함으로써 해석상 오해의 소지를 없애고, 권고에 대한 올바른 이해를 통하여 위치정보사업자등의 위치정보 보호 조치 이행을 지원하기 위하여 발간하였습니다.

 ○ 또한, 본 해설서에서 안내하고 있는 제품이나 사례 등이 각 기업의 특성에 따라 적용되지 않을 수 있으므로, 기업의 환경에 맞는 제품을 찾아 확인하여 적용하는 것이 필요합니다.


☞ 첨부파일 : 위치정보의_관리적_기술적_보호조치_권고_해설서(2015)


뉴딜코리아

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 

2018년 12월 10일 월요일

홈페이지 개인정보 노출 방지 안내서

홈페이지 개인정보 노출 방지 안내서


○ 본 안내서는 「개인정보 보호법」 등 관계 법령의 규정을 토대로,

 - 개인정보 담당자 및 홈페이지관리자를 대상으로 인터넷에 노출된 개인정보의 오남용을 예방하기 위하여 개인정보 노출 원인별 구체적인 사례 및 조치방법에 대한 올바른 이해를 돕기 위한 목적으로 발간되었습니다.

 - 다만, 다른 사람이 게시하거나 공개한 개인정보를 삭제할 때에는 임의 삭제 조치가 타인의 재산권 침해 등의 우려가 있는지 여부를 반드시 확인 후 조치해야 합니다.


○ 본 안내서에서 제공하는 조치 방법 및 처리절차 예시 등은 각 기관의 고유한 특성 및 실제 환경에 맞게 적용하시면 됩니다


☞ 개인정보 란 ?

개인정보’란 살아있개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말하며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보가 포함됩니다(「개인정보 보호법」 제2조제1호).

예를 들어, 주민등록번호는 우리 국민 개개인마다 고유하게 부여되는 것으로(개인정보 보호법 상 ‘고유식별정보’로 불림) 개인을 손쉽게 식별하는데 활용할 수 있으므로, 그 자체로도 개인정보라 할 수 있습니다.

그러나 생년월일, 주소, 전화번호 등은 해당 정보만 독자적으로 노출되었을 때에는 개인을 알아볼 수 없지만, 다른 정보와 결합하면 특정 개인을 식별할 수 있게 되므로 개인정보로 볼 수 있습니다.

이처럼 개인정보는 성명, 주민등록번호, 생년월일, 주소, 전화번호 등의 기본 인적사항에서부터 지문·홍채 등 신체정보(바이오정보), 의료·건강정보, 학력·성적 등 교육정보, 소득·신용등급 등 금융·신용정보, 사회·경제적 지위와 정치적 성향과 같은 내면의 비밀에 이르기까지 그 종류가 매우 다양하고 폭넓습니다.

또한, 기관·기업에서 운영하는 홈페이지 등에 회원으로 가입하거나 등록할 때 이용자로부터 직접 수집하는 정보뿐만 아니라, 이용자가 홈페이지나 서비스를 이용하는 과정에서 자동 생성되는 접속기록(로그), 통화내역, 상품 구매내역, GPS 위치정보 등도 개인정보가 될 수 있습니다




첨부파일 : 홈페이지 개인정보 노출 방지 안내서 (2018.11)

☏ 관련 문의 : 뉴딜코리아 컨설팅사업부 070-7867-3721, ismsbok@gmail.com )



홈페이지 개인정보 노출 점검
웹 접근성 / 웹 품질 진단
웹 취약점 점검



2018년 11월 11일 일요일

ISMS-P (정보보호 및 개인정보보호 관리체계 인증제도) 설명회 (2018.11.13(화)




☞  사전 등록 하기 : https://registrations.kr/Reg/Form/?ec=811007&tag=PRE 



주요 웹 브라우저 2020년 TLS1.0 및 TLS1.1 통신 지원 중지


주요 웹 브라우저 2020년 TLS1.0 및 TLS1.1 통신 지원 중지
(BROWSER VENDORS UNITE TO END SUPPORT FOR 20-YEAR-OLD TLS 1.0)

Chrome, Firefox, Edge, Safari, Explorer를 포함한 주요 웹 브라우저가 2020년에 TLS 1.0 및 TLS 1.1 통신에 대한 지원을 중지한다고 발표



■ TLS의 초기버전인 TLS1.0, TLS1.1은 POODLE 및 BEAST와 같은 다양한 공격에 취약

▷ SSL Protocol을 기반으로 개발된 TLS는 클라이언트-서버 간 안전하고 암호화된 통신 채널을 설정하는데 사용되고 있음

▷ POODLE(Padding Oracle On Downgraded Legacy Encryption) 취약점 : 구식 암호화 기법을 악용할 수 있게 하는 프로토콜 다운그레이드 취약점

▷ BEAST(Browser Exploit Against SSL/TLS) 취약점 : 앤드 유저 브라우저에서 HTTPS의 쿠키들을 해독하고 효과적인 타킷의 세션을 하이제킹할 수 있는 취약점

▷ TLS는 현재 1.0, 1.1, 1.2, 1.3(최신)으로 총4개의 버전 존재



TLS1.2 이상으로 업그레이드하고 브라우저 옵션에서 TLS1.0, TLS1.1 사용옵션 해제 권장

▷ PCI Data Security Standard(PCI DSS)*, Gitlab 등 업체들이 올해 안에 하위 버전 지원 중단

  * 신용카드 회원의 카드정보 및 거래정보를 안전하기 관리하기 위해 신용카드 결제전 과정에 결쳐 준수하여야 하는 신용업계 보안표준

▷ Google, Microsoft, Apple, Mozilla 등 4대 주요 회사는 2020년 상반기에 TLS1.0 및 TLS1.1 지원을 완전히 삭제 예정


▷ MS는 이미 많은 웹사이트가 새로운 버전의 프로토콜로 이동하였으며, 현재 사이트의 94%가 TLS1.2를 지원하고 있음


[참고]


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


공공웹사이트 인증 수단 소개


■ 공공웹사이트 인증 수단 소개


1.  인증수단 개요

□ 공공웹사이트에서 본인확인 및 본인인증(로그인 등)수단으로 이용 가능한 인증수단에 대해 소개함

□ 인증수단 분류

▷ 인증수단은 인증 특성에 따라 지식기반, 소지기반, 생체기반, 행동기반으로 분류함

 <인증특성 분류 >

 ㅇ 지식기반 :
   -  사용자가 알고 있는 지식을 활용하여 사용자를 인증하는 방법
      예시) ID/PW, 문답식 인증 등

 ㅇ소지기반 :
  - 사용자가 소지하고 있는 인증수단을 활용하여 사용자를 인증하는 방법
     예시) OTP, 휴대폰SMS,공인인증서 등

 ㅇ 생체기반 (특성기반)
  -  사용자의 생체정보를 활용하여 사용자를 인증하는 방법
     예시) 지문, 홍채, 정맥 등

 ㅇ 행동기반 (습관기반)
  -  스마트폰, 스마트패드 등을 통해 서명을 하거나 키보드를 통해 정보를 입력할 때 사용자의 행동 패턴을 분석하여 인증하는 방법
     예시) 키보드 타이핑 행위, 서명패턴 등


▷ 또한, 인증요소의 개수에 따라 단일인증방식과 다중인증방식으로 나뉨

 <인증요소별 분류>

 ㅇ 단일인증
  -  한가지의 인증요소를 이용하여 식별자의 신원을 검증하는 방식
     예시) ID/PWD 등

  ㅇ 다중인증
  - 두가지 이상의 인증요소를 함께 사용하여 안전성 및 보안성을 높여 인증하는 방식
    예시) ID/PWD+OTP, ID/PWD+ARS 등



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com




2018년 11월 5일 월요일

정보보호시스템 구축을 위한 실무가이드



■ 정보보호시스템 구축을 위한 실무가이드


1. 정보보호의 범위

○ ‘정보보호’는
 ① 사이버보안(네트워크·시스템 보안, 관제, 디지털 포렌식 등),
 ② 물리보안(영상감시, 바이오 인식, 무인전자경비 등),
 ③ 사이버 보안과 타 산업이 융합된 융합보안(제조, 에너지, 교통, 의료, 홈·가전 등에 대한 보안)으로 분류할 수 있습니다.

종래의 정보보호가 해킹, 바이러스 대응을 위한 사이버보안 중심이었다면 최근에는 전 산업이 ICT 기술과 연계·융합되면서 기존 사이버공간의 위험이 현실세계로 전이(轉移)되어 대부분의 제품에 보안이 필요한 시대가 도래함에 따라, 점차 물리보안과 융합보안으로 그 범위가 확장되고 있는 상황입니다.

○ ICT 기술의 발전에 따른 정보보호의 범위 확장을 반영하여 정보보호의 범위에 사이버보안 외에 물리보안을 포함하여 규정하고 있습니다.

즉, 사이버보안과 관련해서는

① 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하는 것 및  ②정보의 훼손, 변조, 유출 등이 발생한 경우 이를 복구하는 것을 규정하고 있으며, 물리보안과 관련해서는 암호·인증·인식·감시 등의 보안기술을 활용하여  ③ 재난·재해·범죄 등에 대응하거나 ④ 관련 장비·시설을 안전하게 운영하는 것을 규정하고 있습니다.


2. 정보보호시스템

 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지 및 복구하거나 또는 암호·인증·인식·감시 등의 보안기술을 활용하여 재난·재해·범죄 등에 대응하거나 관련 장비·시설을 안전하게 운영하기 위한 관리적・기술적・물리적 수단


3. 정보보호사업

 정보보호기술 및 정보보호제품을 개발・생산 또는 유통하거나 정보보호 서비스를 제공하는 산업(정보보호산업)과 관련된 경제활동
▹ 사업 : 사업 추진 준비 단계부터 사업이행 및 관리단계까지 전 단계에 걸쳐 추진되는 대상을 의미한다.
▹ 프로젝트 : “사업” 중 사업자 선정 시점부터 인수 및 사업 종료까지 걸쳐 추진되는 대상을 의미한다.

즉, “사업”은 “프로젝트”를 포함하는 개념으로 사용한다.

※ 출처 : 소프트웨어사업 요구사항 분석 적용 가이드 (NIPA, ‘12.12)


4. 첨부파일 : 정보보호시스템 구축을 위한 실무가이드 (2018. 06)

<목차> 
제 1 장 정보보호사업 개요
 제 1 절 정보보호사업 정의
 제 2 절 정보보호사업 발주 단계
 제 3 절 사업 계획 수립

제 2 장 제안요청서 작성
 제 1 절 제안요청서 개요
 제 2 절 사전 준비
 제 3 절 제안요청서 작성
 가. 사업 개요 
 나. 현황 및 문제점
 다. 사업 추진방안
 라. 제안요청 내용
 마. 제안서 작성요령
 바. 제안 안내사항 
 사. 기타 사항 
 제 4 절 제안요청서 검토

제 3 장 사업자 선정 및 계약
 제 1 절 사업 발주 계획 수립 
 제 2 절 제안평가 및 계약

제 4 장 사업 수행 및 검사
 제 1 절 사업 이행 및 관리
 제 2 절 검사 및 종료

별첨. 서식

부록. 발주가이드 참고 자료
 1. 사업유형 분류표 
 2. 요구사항 표준 패키지 
 3. 사업유형별 요구사항 매핑표
 4. 제안요청서 적용 법제도 목록
 5. 사업유형별 제안요청서 표준 템플릿

- 과학기술정보통신부  | 한국인터넷진흥원


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com



2018년 11월 4일 일요일

5세대 이동통신(5G) 보안 기술 관련 표준화 동향

 뉴딜코리아 홈페이지 


■ 5세대 이동통신(5G) 보안 기술 관련 표준화 동향



1. 개요

최근 사물인터넷(IoT), 4차 산업혁명이라는 용어는 어디서나 너무나 쉽게 접할 수 있게 되었으며, 해당 기술이 전 산업으로 확산 및 적용되면서 덩달아 핫이슈로 떠오르는 용어가 5G, 즉 5세대 이동통신이다.

5G는 기존 1세대 이동통신망인 아날로그통신망에서 최근 4세대인 LTE를 이어나가는 새로운 이동통신망을 의미하며, 기존 4G LTE 보다 데이터 용량이 약 1000배 많고 속도도 약 200배 정도 빠른 이동통신망이다.

ITU-T를 통해 국제적으로 표준화된 용어는 IMT-2020이며 전송속도, 이동속도, 주파수 효율, 최고 전송속도, 최대 기기 연결 수 등 다양한 목표를 가지고 태어난 차세대 이동통신망이다.

5G 보안의 경우 네트워크 자체에 대한 보안은 기존 4G LTE가 가지고 있는 보안 기술과 유사하다고 할 수 있다.

다만, 향후 4차 산업혁명과 같이 다양한 산업에 광범위하게 적용되기 위해서는 안전이 최우선으로 고려되어야하기 때문에 최근에 양자암호나 블록체인과 같은 기술을 적용하여 5G 네트워크의 안전성을 강화하는 흐름으로 추진되고 있다.

이러한 흐름에 맞춰 5G 보안 기술과 연관된 표준들의 개발도 최근에 증가하고 있는 추세이며. ITU-T에서도 2018년부터 5G 보안 관련 권고안이 신규 워크 아이템으로 채택되어 개발 중에 있다.

또한, 양자 암호 기술에 대한 권고안도 2018년 9월 회의에서 신규 워크 아이템으로 제안되었다.

본 표준화 보고서는 지난 2018년 8월 29일부터 9월 7일까지 스위스 제네바에서 개최된 ITU-T SG17 정기회의에서 논의된 5G 보안 기술과 관련한 표준화 동향을 소개하고자 한다.


2. 5G 보안 기술의 필요성

최근 자동차, 가전, 스마트 공장, 스마트 의료 등 우리의 생활과 밀접한 다양한 산업 전반에 네트워크가 연결되고 IoT 기술이 접목되면서 모든 산업과 생활 공간이 하나의 네트워크로 연결되는 컨넥티드 사회로 진화하고 있다.

이러한 현상을 최근에는 4차 산업혁명이라고 부르고 있으며, 정부에서도 4차 산업혁명을 달성하기 위해 많은 예산과 기술인력을 투입하여 가시적인 성과를 내고자 분주히 노력하고 있다.

하지만, 4차 산업혁명이라는 거대한 목표를 달성하기 위해 간과하면 안되는 것이 바로 보안사고 문제이다.

특히나 자동차, 가전, 의료 등의 경우 국민의 생명과 직결될 수 있는 분야이기 때문에 해킹사고를 미연에 방지하기 위한 보안 기술의 적용은 무엇보다도 중요하다고 할 수 있다.

4차 산업혁명에서 핏줄 역할을 하는 것이 네트워크이고, 이러한 네트워크를 편하고 빠르고 안전하게 구축하기 위해 국내 뿐 아니라 세계적으로도 5G 기술 개발에 많은 노력을 기술이고 있으며, 이 중에 5G 보안 기술이 핵심 기술 중에 하나로 포함되어 개발되고 있다.

최근, ITU-T 에서도 이러한 필요성을 인지하고 2018년부터 SG7 Q6을 전담분과로 지정하고 5G 보안 기술에 대한 표준을 개발하고 있다.


3. IoT 보안 기술 표준화 진행 상황 및 표준화 회의 결정사항

현재 SG17 Question 6에서 추진하고 있는 5G 보안 기술 관련 표준화는 총 2건이 있으며,

그 중 중국에서 제안한 “5G 시스템내 양자 내성 알고리즘에 대한 보안 가이드라인(X.5Gsec-q)” 권고안은 2018년 3월 회의에서 신규 워크 아이템으로 제안되어 채택된 권고안으로, 5G시스템의 보안 구조 소개, 양자컴퓨터 이용 시 5G 시스템의 보안 수준 평가, 양자 내성 암호 이용 기준 등을 포함하는 권고안이며.

본 권고안의 경우 2018년도 9월 회의에서 첫번째 기고서를 제안하였으며, 해당 내용 검토 후 권고안에 반영하기로 합의되었다.

두번째 5G 보안 관련 권고안은 중국에서 제안한 “5G 에코시스템의 신뢰관계를 기반한 보안 프레임워크(X.5Gsec-t)”이며, 2018년 9월 회의를 통해 신규 워크아이템으로 제안이 되었으며, 회원국의 커멘트를 받아들여 제목 및 일부 표준화 범위를 수정하여 최종 신규 워크아이템으로 채택되었다.

현재까지, 5G 보안 관련 권고안은 2018년도에 제안된 2건이며 향후 지속적으로 5G 보안 관련 권고안이 제안될 것으로 기대된다.


4. IoT 보안 기술 표준화 관련 시장 전망 및 국내 표준화 활동에의 제언

앞에서도 언급했지만 5G 보안기술은 최근 정부에서 관심이 많은 4차 산업혁명에 필수적인 요소 기술이며 이동통신사를 포함한 국내 산업계, 정부, 학계에서 많은 관심을 가지고 있으며, 다양한 5G 서비스에 활용 가능한 보안기술 개발이 활발히 진행되고 있다.

따라서, 5G 보안 기술 표준화에 대한 시장성은 매우 높다고 할 수 있으며, 5G 보안 기술에 대한 표준화 선점은 향후 국내 산업 경쟁력에도 크게 도움이 될 것으로 판단된다.

다만, 최근 ITU-T에서는 중국이 5G 보안 기술 표준화를 주도하는 분위기이기 때문에 국내 이통사를 비롯한 산업계, 학계 등에서 연구 개발되고 있는 우수한 5G 보안기술에 대한 조속한 국제 표준화 추진이 절실히 필요하다고 할 수 있다.


백종현 (KISA 팀장, ITU-T SG17 Q6 라포처, jhbaek@kisa.or.kr)


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 


2018년 10월 27일 토요일

효과적인 사이버 방어를 위한 20개 핵심 통제항목

 뉴딜코리아 홈페이지 




■ 효과적인 사이버 방어를 위한 20개 핵심 통제항목

해킹을 줄이고, 복구 노력 및 관련 비용을 절감하기 위해 중요 IT 인프라에 대해 연속적인 자동화된 보호 및 모니터링을 통해 조직의 보안 태세를 강화하여 핵심 자산과 인프라 및 정보를 보호하는 데 필수적인 20개 핵심 보안통제 문서를 공개합니다.

조직의 사이버 보안 구축 시 많은 활용바랍니다.

핵심 보안 통제항목 20개

 1: 인가 및 비인가 기기 자산 목록 관리
 2: 인가 및 비인가 소프트웨어 자산 목록 관리
 3: 하드웨어 및 소프트웨어 보안환경 설정
 4: 취약점 평가 및 패치 연속성 유지
 5: 악성코드 방어
 6: 애플리케이션 소프트웨어 보안
 7: 무선 기기 통제
 8: 데이터 복구 기능
 9: 기술 격차 해소를 위한 보안기술 수준평가 및 교육훈련
 10: 네트워크 장비 보안환경 설정
 11: 네트워크 포트, 프로토콜 및 서비스 제한 및 통제
 12: 관리자 권한 사용 통제
 13: 네트워크 경계선 방어
 14: 감사 로그 기록, 모니터링 및 분석
 15: 수준별 접근 통제
 16: 계정 모니터링 및 통제
 17: 데이터 손실 방지
 18: 사고 대응 및 관리
 19: 네트워크 보안 설계
 20: 침투 시험 및 가상 훈련

- SANS 코리아 -


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com