2018년 5월 28일 월요일

보안교육 및 보안서비스가 조직구성원의 정보보안정책 준수에 미치는 영향

 뉴딜코리아 홈페이지

보안교육 및 보안서비스가
조직구성원의 정보보안정책 준수에 미치는 영향


조직의 정보보안은 물리적, 기술적, 관리적 영역에서 균형적으로 이뤄져야 한다.

그러나 과거 기업의 정보보안 대책은 주로 물리적, 기술적 영역에 집중되는 경향이 있었다.

최근 조직구성원에 의한 보안사고가 늘어남에 따라 기업 에서도 인적 보안 관리나 정보보안 교육에 관심이 점차 높아지는 추세이다.

본 연구는 현장실험을 통해 보안교육이나 보안서비스 제공이 조직구성원의 보안정책 준수 행동에 어떤 영향을 미치는지 알아보았다.

연구 1에서 국내 대기업 임직원을 대상으로 스팸 이메일 대응교육을 실시한 후 교육 효과를 알아보기 위해 스팸 이메일 열람 여부를 측정했고, 3개월이 지난 후에도 효과가 지속되 는지 알아보았다.

연구 2에서는 보안서비스의 효과를 알아보기 위해 보안경고 알림 메시지를 제공한 후 그 효과를 측정하였다.
실험 결과, 보안교육은 보안정책 준수 행동에 긍정적인 영향을 미치는 것으로 나타났다.

보안교육 직후 교육 이수집단이 미이수집단에 비해 스팸 이메일 열람률이 낮았다.

그러나 3개월 후 이러한 집단 간 차이는 사라졌다. 또한 보안위험 경고 알림 메시지는 스팸 이메일을 열람률을 낮추는 데 효과가 큰 것으로 나타나 보안정책 준수 행동에 긍정적인 영향을 미쳤다.

이 결과는 조직의 인적보안관리를 위해서는 지속적인 보안교육이 필요하고, 보완적으로 보안서비스를 활용할 필요가 있음을 시사한다.

......

○ 보안교육과 이메일 열람률

보안교육 전 실험집단과 통제집단의 차이를 알아 보기 위해 카이제곱 독립성 검정을 실시한 결과 이메일 열람 빈도수에 두 집단 간 차이가 유의하게 나타나지 않았다,

 χ2 (1, n = 543) = .015, p = .901.<표 3>에도 나와 있듯이 실험집단에서는 256명 중 53.1%인 136명이, 통제집단에서는 287명 중 53.7%인 154명이 이메일을 열람했다.

즉, 두 집단 모두에서 약 절반 이상의 수신자들이 스팸 이메일을 열어본 것이다.

그러나 보안교육을 실시한 후 조사한 스팸 이메일 열람률은 두 집단 간 유의하게 다른 것으로 나타났다,

χ2 (1, n = 543) = 11.275, p = .001. 교육을 이수한 실험집단은 37.9%인 97명이 이메일을 열람했으나 교육을 이수하지 않은 통제집단은 52.3%에 해당하는 150명이 이메일을 열어본 것으로 나타나 이수집단에서는 열람률이 많이 낮아진 한편 미이수집단의 열람률은 교육 전과 크게 다르지 않았다.

따라서 스팸 이메일에 대한 보안교육이 조직구성원의 보안 정책 준수 행동에 긍정적인 영향을 미친 것으로 볼 수 있다.


추가 상세 내용은 첨부 파일을 참고하세요 ...................?









2018년 5월 27일 일요일

EU GDPR(일반 개인정보보호법) 가이드북

 뉴딜코리아 홈페이지

우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북




가이드북 발간 배경과 목적

2016년 5월 유럽연합(이하 ‘EU’)에서 제정한 「일반 개인정보보호법(General DataProtection Regulation)」(이하 ‘GDPR’)이 2년간의 유예 기간 종료에 따라 2018년 5월 25일 본격 적용되었다.

GDPR은 기존의 EU 개인정보보호 지침인 「1995년 개인정보보호 지침(DataProtection Directive 95/46/EC)」(이하 ‘Directive’)을 대체하며, 기존 Directive보다 강력한 제제가 예상된다.

이에 한국인터넷진흥원은 행정안전부와 함께 『우리 기업을 위한 ‘유럽 일반 개인정보보호법(GDPR)’ 안내서』(2017. 4.)와 『우리 기업을 위한 ‘유럽 일반 개인정보보호법(GDPR)’ 1차 가이드라인』(2017. 11.)을 우선 발간하여 우리 기업에게 필요한 GDPR 제정 취지와 주요 내용을 알기 쉽게 제시하고, GDPR 시행 이전에 기업들의 사전 조치 수준을 제고하는 데 도움을 주었다.

이 가이드북에서는 위 ‘안내서’와 ‘1차 가이드라인’에서 다루고 있는 GDPR 관련 내용 전반을 통합하여 독자의 정보 접근성을 높이고, EU의 정책 자문 기구인 ‘The Article 29 Data Protection Working Party’1)(이하 ‘제29조 작업반’)에서 발표한 보고서(가이드라인, 의견서 등) 내용을 아우르면서 구체적인 사례와 참고 자료를 제시하고자 한다


발간 목적

이 가이드북은 GDPR의 본격적인 시행에 맞추어 GDPR이 규정하는 법에 대한 세부지침, 주요 개념의 해석, 정보주체의 권리 강화를 위한 권리의 명시, 기업의 책임성 강화를 위한 내부 관리 기법 등의 내용을 우리 기업이 쉽게 이해하고 숙지할 수 있도록 작성되었다.

또한 우리 기업이 GDPR의 전반적인 이해를 통하여 기업 생태계에 맞는 개인정보보호 기반을 구축하고 글로벌 시장에서 경쟁력을 제고하는 데 기여하고자 한다


○ 첨부파일우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북


GDPR 교육 및 컨설팅 | ISMS 인증 컨설팅
070-7867-3721, ismsbok@gmail.com



EU 일반개인정보보호법(GDPR) 발효와 대응과제



EU 일반개인정보보호법(GDPR) 발효와 대응과제

유럽연합(EU)이 4차 산업혁명 시대 데이터 혁신의 원료인 개인정보의 활용과 보호의 새로운 기준을 제시하는 일반개인정보보호법(General Data Protection Regulation: GDPR)을 2018년 05월 25일(현지시간) 발효시킴에 따라, 우리 기업은 개인정보 보호 강화 추세가 세계적으로 확산될 가능성에 대비하고 경쟁력 개선의 기회로 삼을 필요가 있는 것으로 나타났다.

동법은 높은 수준의 개인정보 보호 요건을 부과함에 따라 혁신과 무역투자에 장애요인으로 작용할 수 있다.

KOTRA는 ‘EU 일반데이터보호법(GDPR) 발효와 대응과제’ 보고서에서 GDPR의 내용과 향후 영향을 분석하고 기업의 대응과제를 제시하면서 이같이 밝혔다.

▷ (주요내용) EU 역내 투자기업은 물론, EU 시민을 대상으로 한 다양한 기업 활동에 영향

▷ (파급효과) 통합된 EU 디지털시장 창출에 기여하나 기업 활동에 부정적 영향 가능성

▷ (대응방안) 규제 요인이 아니라 규제 대응수준을 향상시키는 기회로 활용할 필요



▣ EU 일반개인정보보호법(GDPR) 발효와 대응과제 (요약)

□ EU는 2018년 5월 25일부터 개인정보 처리와 이동에 관한 “일반개인정보보호법(General Data Protection Regulation: 이하 GDPR)” 시행

□ GDPR은 기업 규제환경의 큰 변화를 초래하여, EU 역내 투자기업은 물론, EU 거주민을 대상으로 하는 다양한 기업 활동에 영향

□ GDPR은 통합된 EU 디지털시장을 창출하는 데 기여할 전망이나, 장벽요인으로 작용하여 기업 활동에 부정적 영향을 줄 가능성 내포

□ GDPR을 단순히 규제요인으로 인식할 것이 아니라, 개인정보보호 규제 컴플라이언스 수준을 높이는 기회로 활용할 필요

 ◦ 개인정보 보호역량 강화를 통해 기업 경쟁력 강화, 신뢰도 향상 (뉴딜코리아)

첨부파일 : EU 일반개인정보보호법(GDPR) 발효와 대응과제



2018년 5월 25일 금요일

중소형 금융회사 보안수준 진단 가이드

 뉴딜코리아 홈페이지


중소형 금융회사 보안수준 진단 가이드

금융보안연구원, 2014)



본 가이드는 중소형 금융회사를 위한 보안수준 진단 방법론 및 절차, 통계도구 사용법 등을 포함하고 있으며, 진단항목 중 자사에 적용할 수 없는 항목들은 진단 시 제외할 수 있습니다.

본 가이드는 중소형 금융회사에 적합한 보안수준 진단항목과 각 진단항목을 쉽게 이해할 수 있는 진단항목별 상세 해설을 포함하고 있습니다.
 
또한 사용자 편의성을 높이고 진단결과가 지속적으로 유지 관리될 수 있도록 보안수준 진단 절차의 전 과정을 자동화하고 다양한 통계차트를 적용한 시각적인 결과분석이 가능하도록 별도의 통계도구를 개발하여 함께 제공합니다.

첨부파일 : 중소형 금융회사 보안수준 진단 가이드








2018년 5월 24일 목요일

비중요 정보처리시스템 지정 관련 FAQ

비중요 정보처리시스템 지정 관련 FAQ



본 FAQ는 「전자금융감독규정」에 따른 비중요 정보처리시스템 지정을 하고자 하는 금융회사 및 전자금융업자의 업무 편의를 제고 하기 위함임


1. 전자금융거래를 하지 않는 금융회사의 경우 비중요 정보처리시스템 지정 관련 규정의 적용을 받지 아니하는지?

2. 전자금융거래와 관계없는 정보처리시스템의 경우 망분리 예외 등의 적용을 받기 위해 비중요 정보처리시스템으로 지정할 필요가 있는지?

3. 비중요 정보처리시스템으로 지정할 수 없는 시스템의 범위는?

4. 고유식별정보 또는 개인신용정보에 해쉬함수를 적용하여 일방향 암호화한다면 해당 정보를 처리하는 시스템을 비중요 정보처리 시스템으로 지정할 수 있는지?

5. 클라우드 컴퓨팅 서비스를 이용하기 위해서 반드시 비중요 정보처리 시스템을 지정하여 금융감독원장에게 보고하여야 하는지?

6. 고유식별정보 또는 개인신용정보가 포함되지 않은 개인정보의 처리를 위하여 해당 시스템을 비중요 정보처리시스템으로 지정할 수 있는지?

7. 비중요 정보처리시스템으로 지정하여 클라우드 컴퓨팅 서비스를 이용할 경우 반드시 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 정보처리 업무 위탁 보고를 하여야 하는지?

8. 비중요 정보처리시스템 지정을 위해 정보보호위원회의 심의·의결을 거친 경우 심의·의결일로부터 7일 이내 금융감독원에 보고하여야 하는지?

9. 회사 직원들의 인사관련 정보(연락처, 직급, 업무 등)만 처리하는 경우 별도의 비식별화 조치 없이 비중요 정보처리시스템의 지정이 가능한지?

10. 비정형 데이터를 처리하는 정보처리시스템을 비중요 정보처리 시스템으로 지정할 수 있는지?

11. 비중요 정보처리시스템의 기획/설계 단계에서도 관련절차를 거쳐 비중요 정보처리시스템 지정보고가 가능한지?

12. 비중요 정보처리시스템 지정결과 보고 후 구현된 비중요 정보 처리시스템을 제3자에게 위탁하지 않고 내부 전산망에 두어도 문제가 없는지?

13. 금융감독원에 비중요 정보처리시스템 지정 보고 이후 별도의 적합성 등에 대한 승인이 필요한지?

14. 비중요 정보처리시스템 지정 보고 이후 금융감독원장의 개선· 보완 요구 등은 언제까지 이루어지는지?

15. 비중요 정보처리시스템 지정과 관련 ’전자금융거래에 안전성 및 신뢰성에 미치는 영향이 현저히 낮다‘는 의미는 무엇인지?

16. 비중요 정보처리시스템 지정결과 보고서 제출 시 주의할 사항은?


[첨부파일] 비중요 정보처리시스템 지정 관련 FAQ


[참고]
○ 비중요 정보처리시스템 지정 관련 규정 및 시행세칙
   - 전자금융감독규정 : 제14조의2(비중요 정보처리시스템 지정)
   - 전자금융감독규정 시행세칙 : 제2조의3 (비중요 정보처리시스템의 보고)
      http://www.law.go.kr/LSW/main.html

   - 금융권 클라우드 서비스 이용 가이드
        http://cafe.naver.com/rapid7/2676


ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com)


2018년 5월 23일 수요일

신용(체크)카드 본인 확인서비스




신용(체크)카드 본인 확인서비스

방송통신위원회는 온라인에서 본인확인을 위해 사용 가능한 주민번호 대체수단을 기존 아이핀, 휴대전화 등에서 신용카드로 확대하고자 국민, 롯데, 비씨, 삼성, 신한, 하나, 현대카드 총 7개 카드사를 신규 본인확인기관으로 최종 지정했습니다.

정보통신서비스 제공자는 별도의 법적 근거 없이 주민등록번호 수집·이용이 불가능하므로(정보통신망법 개정, ’12년), 온라인 비대면 서비스를 위해 본인확인이 꼭 필요한 경우 주민번호 대체수단을 활용할 수 있습니다.

이를 위해 방송통신위원회는 2011년 3개 아이핀 사업자와 2013년 3개 이동통신사를 본인확인기관으로 지정해, 아이핀과 휴대전화를 주민번호 대체수단으로 도입한 바 있습니다.

하지만 본인 명의의 휴대폰이 없거나 재외국민의 경우 아이핀, 휴대폰을 통한 본인확인이 어려운 경우가 발생하고, 기술발전을 반영한 신규수단을 도입하여 이용자의 편의성과 선택권을 제고할 필요성이 꾸준히 제기되어 왔습니다.

이번에 신규 주민번호 대체수단으로 도입된 신용카드는 국민 대다수가 보유하고 있고, 앱카드로 간편인증이 가능해 향후 범용성과 편의성이 제고될 것으로 기대됩니다. 

7개 신용카드사는 본인확인기관으로 지정 받기 위해 지난 ’17년 9월 시범서비스 사업자로 선정되어 시범서비스를 실시하고, 그 결과를 바탕으로 같은 해 10월 방송통신위원회에 본인확인기관 지정 신청서를 제출한 바 있습니다.

방송통신위원회는 7개 카드사가 정보통신망법에 따른 본인확인기관 지정요건에 부합하는 지 엄격히 심사하고, 서비스 안전성 및 신뢰성 확보를 위해 일부 기술적 항목에 대한 보완조치를 조건으로 ’17년 12월 26일 조건부 지정을 의결했습니다.

방송통신위원회는 올해 2월초부터 3월말까지 기술·정보보안 전문가로 심사위원회를 구성하여 신용카드사가 제출한 보완조치를 이행하였는지 현장 점검했습니다.

점검 결과 7개 카드사 모두 조건 이행을 완료한 것으로 확인돼 방송통신위원회는 지난 3월 21일 삼성, 현대카드, 4월 10일 국민, 롯데, 비씨, 신한, 하나카드사에 대해 최종적으로 본인확인기관 지정서를 교부했습니다. 

본인확인기관 지정서 교부에 따라 7개 카드사는 5월 중으로 카드 포인트 통합조회 웹사이트(www.cardpoint.or.kr ) 등에서 일부 기능에 대한 본인확인서비스를 시작할 예정이며, 향후 오픈마켓, 소셜커머스 등에서 신용카드를 활용한 본인확인 서비스를 본격적으로 제공할 계획입니다.

신용카드를 활용한 본인확인서비스는 ① 스마트폰 앱 카드 실행, ② 휴대전화 ARS 연결, ③ 카드사 홈페이지 접속 후 비밀번호 등을 입력하는 방식 총 3가지 형태로 제공됩니다. 

이번 신규 본인확인기관 지정으로 본인확인서비스가 다양화되어 기존 휴대전화 위주의 본인확인 시장이 개선되고, 이용자의 편의성도 함께 높아질 것으로 기대됩니다.

방송통신위원회는 앞으로도 이용자 관점에서 본인확인수단 다변화, 민간 주도의 본인확인서비스 활성화 등 제도개선을 적극 추진해 나갈 계획입니다.

아울러, 당분간 처음 도입되는 신용카드 본인확인서비스의 안정성에 이상이 없는지 면밀히 모니터링하고, 기존 본인확인기관에 대해서도 지속적인 점검을 통해 개선사항을 도출해 나갈 것입니다.

신용카드 본인확인서비스에 대해 의견이 있으면 말씀해 주세요.

감사합니다. . 뉴딜코리아(070-7867-3721)








2018년 5월 20일 일요일

전자금융감독규정 해설 (금융감독원)

 뉴딜코리아 홈페이지




전자금융감독규정


총칙

1. 규정 목적

< 감독규정 >
제1조(목적) 이 규정은 「전자금융거래법」(이하 “법”이라 한다) 및 동법 시행령(이하 “시행령”이라 한다)에서 금융위원회에 위임한 사항과 그 시행에 필요한 사항 및 다른 법령에 따라 금융감독원의 검사를 받는 기관의 정보기술부문 안전성 확보 등을 위하여 필요한 사항을 규정함을 목적으로 한다.

< 시행세칙 >
제1조(목적) 이 세칙은 「전자금융거래법」(이하 “법”이라 한다) 및 동법 시행령(이하 “시행령”이라 한다)과 「전자금융감독규정」(이하 “규정”이라 한다)에서 금융감독원장


▣ 전자금융거래법(이하 ‘법’) 및 동법 시행령(이하 ‘시행령’) 제정에 따라 동 법령에서 위임 되거나 시행에 필요한 사항 등을 감독규정 및 시행세칙 등으로 정함

● 전자금융업자의 전자금융업 진입 요건 및 안전한 전자금융거래를 위해 필요한 정보기술부문의 안전성 기준 등을 중심으로 규정


▣ 전자금융감독규정은 전자금융거래법 및 동법 시행령에 근거하였고,

● 금융위 규정사항 중 중요한 의사결정이 요하지 않는 사항에 대하여 범위를 설정하여 감독원장에게 위탁하였으며(시행령 제30조), 동 사항에 대해 전자금융감독규정시행세칙으로 규정


※ 관계 법령
< 시행령 >
제30조(권한의 위탁) ① 금융위원회는 법 제48조에 따라 다음 각 호의 업무를 금융감독원장에게 위탁한다.
1. 법 제21조제2항에 따른 인증방법에 관한 기준의 설정
1의2. 법 제21조제4항에 따른 정보기술부문에 대한 계획의 접수
1의3. 법 제21조의3제1항에 따른 취약점 분석・평가 결과의 접수
1의4. 법 제25


첨부파일 : 전자금융감독규정 해설 (2018. 금융감독원)




2018년 5월 19일 토요일

EU 이사회, 향후 무역협정 체결시 개인정보 이전 근거 포함해야

카페 > 뉴딜코리아 홈페이지



EU 이사회, 향후 무역협정 체결시 개인정보 이전 근거 포함해야


o EU 이사회(순회의장국 불가리아)는 EU의 향후 무역협정 체결시 개인정보 이전 근거와 '재검토 조항(Review Clause)'의 제한적인 사용 등을 골자로 하는 이사회 합의문 초안을 각 회원국에 배포

- 구체적으로는 칠레, 호주 및 뉴질랜드와의 무역협정에 디지털 교역과 국가간 개인정보의 이전에 관한 규정을 넣을 것을 주문
 
- 또한, 무역협정에 개인정보 이전에 관한 내용을 규정하지 않고 향후 재검토를 통해 결정하는 이른바 '재검토 조항'은 예외적인 경우만 도입할 것을 요구
 
- 앞서 집행위는 일본 및 멕시코와의 FTA 협상시 조속한 협정 체결을 위해 개인정보 이전 관련 규정을 3년 후 재검토하여 도입 여부를 결정키로 합의한 바 있음
 
- 특히, 이사회는 무역협정상의 개인정보 이전 규정은 EU가 제3국으로 개인정보 이전을 허용하는 이른바 '적정성 판단(adequacy decisions)'제도의 보완으로, 협정상 규정과 적정성 판단제도가 독립적으로 병행 추진되어야 한다는 입장
 

o 이번 초안은 EU 집행위의 지난 1월말 개인정보 보호 및 제3국으로의 이전 합의안에 대한 이사회 입장을 표명한 것으로 지난 8일(화) 회원국에 전달




2018년 5월 8일 화요일

위기에 대응하는 CEO의 자세

 뉴딜코리아 홈페이지

위기에 대응하는 CEO의 자세






스타트업 라이프란 마치 수많은 공포 구간이 있는 롤러코스터와 같다.


경험 많은 사업가라도 혹은 이미 성공을 맛본 사람이라도 한번쯤은 스타트업이란 게 마치 벽을 향해 맹렬히 돌진하지만 제동장치조차 없는 모습을 경험하는 것이라고 말할 수 있을 정도다.

얼마 전까지만 해도 필자의 포트폴리오 기업 중 한 곳은 투자 라운드를 마무리 짓는 과정에서 주요 투자자가 나가버릴 뻔한 적이 있다.

이 투자자를 잃는다는 건 해당 라운드 조건을 바꿔야 한다는 말이나 다름없었고 결국 라운드 자체가 증발해버릴 정도의 도미노 효과까지 있을 수 있었다.

몇 주 전까지만 해도 이 스타트업은 진행 중이던 투자 라운드가 잘 끝날 걸 가정해 현재의 번 레이트(burn rate)라든지 비용 구조를 유지하기로 결정한 상태였다.

따라서 투자 라운드가 없어지거나 몇 달만 뒤로 미뤄져도 이들에게는 죽음이나 다름없는 것이었다.

그런데 이런 일은 앞서 언급했듯 경험 있는 사업가라면 누구나 겪는 일이다.

심지어 한 번 이상 말이다.

그렇다면 이 일이 여러분에게 일어나 세상이 절망적이고 어둡게 보일 땐 어떻게 해야 할까.

먼저 이런 잠재 위험 상황에 빠지지 않는 식으로 일하기 바란다.

확실히 도움이 되지 않는 하나는 바로 맹목적 믿음이라 부를 근거 없는 낙관주의에 빠지는 일이다.

두 눈 질끈 감고 모든 게 잘될 것이라 믿기만 하는 건 곧 재앙을 부르는 레시피와 같다.

문제를 해결하기 위한 해결책이 아닌 것.

문제란 무시해도 분명 존재하는 것이기 때문이다.

기억하라.

여러분이 직접 방도를 찾지 않으면 이런 방도 중 하나가 여러분을 찾아온다.

자신의 스타트업을 랜덤 결과값에 의존하게 할 것인가?

필자라면 그렇게는 못할 것 같다.

또 하나 피해야 할 점은 바로 두려움을 발산하는 것이다.

직원 또는 투자자 앞에서 지나치게 정직해야 할 때가 아니다.

주위 사람에게 곧 당신이 실패할 것이라는 확신을 주게 되면 곧 그 예언을 실행할 확실한 효과가 나타나게 된다.

두려움이나 무관심 상태에 빠지기보단 차라리 그 사이 어딘가 지점을 찾는 게 좋다.

물론 말할 것도 없이 차분한 상태여야 할 것이다.

상황은 결코 지금 눈에 보이는 것처럼 나쁜 게 아니기 때문이다.

문제에서 벗어나 살아남을 확률은 확실히 0보다는 높다.

이런 중대한 상황 앞에서 현재 목표를 유지한 채 최대한 논리를 끌어내는 게 좋다.

따라서 가장 먼저 마음을 진정하기를 바란다.

여러분의 심리 상태에 따라 자칫 잘못된 결과를 이끌어낼 수도 있다.

만일 이런 평정심 회복을 위해 몇 시간이나 며칠이 걸리더라도 이 시간을 충분히 써서 다시 논리적 사고가 가능하도록 힘쓰기를 권한다.

다음은 행동에 대한 계획이 필요하다.

만일 아무 것도 하지 않는다는 결정이라도 이 역시 행동이라고 할 수 있다.

마치 체스를 두는 것처럼 모든 가능성을 분석해보는 것이다.

여기선 뭘 할 수 있을까.

혼란에서 벗어나게 해줄 한 수는 뭘까.

만일 이런 방도가 없다면 가장 적은 피해를 줄 수는 뭘까.

모든 끔찍한 상황은 그 자체로 특별한 케이스겠지만 공통점이 있다면 생각보다 많은 시간이 있다는 것이다.

이 말인 즉 어떤 행동을 취하기까지 걸리는 시간 말고도 하기로 결정한 행동을 실제 실행할 수 있는 시간까지도 의미하는 것이다.

또 처음에 떠올렸던 옵션보다 더 많은 길이 있기도 할 것이다.

생각할 수 없었던 계획까지 포함해서 말이다.

어쩌면 직원을 해고하거나 예산을 줄이거나 혹은 가장 마음에 들던 일을 중단해야 할 수도 있다.

하지만 이런 건 모두 유효한 계획일 수 있으니 고려 대상이 되어야만 한다.

여러분에게 가장 쉬운 일을 고르는 게 아니라 기업을 위한 최선의 선택지를 고르는 일이기 때문이다.
물론 이 모든 일을 혼자 해내기란 어려울 수 있다.

따라서 신뢰할 수 있는 조언자면서 너무 가까이에 있지 않은 누군가에게 모든 상황을 말해보라.

장단점 모두 말이다.

이와 함께 여러 다른 계획을 살펴보고 결론을 도출해보기를 바란다.

이를 통해 뽑아낸 결론은 하나 이상 계획이 될 수도 있다.

바로 앞 미래가 불확실한 만큼 아마도 플랜A나 플랜B 같은 게 필요할 것이다.

하지만 이를 통해 우발 상황에서도 대비할 수 있는 게 중요하다.

일단 이런 식으로 몇 가지 계획을 세우게 되면 이 중 일부는 상당히 극단적이거나 불편하더라도 다가올 미래에 뭐든 대비할 준비는 된 셈이다.

그리고 이 뒤에 어려운 부분이 다가온다.

바로 미리 세웠던 계획에 충실하면서 해야 할 일을 하는 것이다.

좋든 싫든 말이다.

서두에 밝혔던 필자의 포트폴리오 기업은 어떻게 됐을까.

CEO는 초기엔 당황했지만 곧 진정하고 수준 높은 대응책을 찾아 이를 통해 투자자가 투자를 중단하지 않고 추가 조치가 필요 없는 상태로 투자 라운드를 끝낼 수 있었다.

해피엔딩이었다.

물론 여러분이 겪는 문제의 엔딩은 이와 다르거나 덜 행복한 상태일 순 있겠지만 여전히 다른 라운드가 기다리고 있다는 걸 기억하기를 바란다.

이 글을 읽고 있는 독자가 글로벌 진출에 관심이 있는 한국 스타트업이라면 이 글을 개인 초대장으로 여기고 연락을 줘도 좋다.

페이스북이나 트위터(@aviramj), 이메일 주소(aviram@jenik.com) 뭐든 좋다.

아비람 제닉 코이스라 시드 파트너스 이사

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


2018년 5월 7일 월요일

필터버블(filter bubble)


필터버블(filter bubble)




■ 필터버블 

구글과 야후 등 세계적인 인터넷 검색 업체와 페이스북 등 소셜 미디어 기업들이 제공하는 정보에 의존해 정보 편식을 하는 이용자들이 점점 자신만의 울타리에 갇히고 있다는 것을 설명하기 위해 등장한 말이다.

미국의 온라인 시민단체 무브온의 이사장인 엘리 프레이저가 자신의 저서 『생각 조종자들』에서 제시한 개념이다.

프레이저는 필터 버블 현상이 발생하는 원인으로 인터넷 기업들이 추구하고 있는 개별화 전략을 지목하고 있다. 개별화 전략은 이용자의 성향과 취향, 기호 등을 파악해 이들에게 맞춤형 정보만 제공하는 것을 말한다.

“인터넷 필터가 당신이 실제로 무슨 일을 했는지 살펴보고, 무엇을 좋아하는지 추론”하며, “광고를 조율하는 (상업적) 알고리즘이 우리의 생활을 조율하기 시작했다.”

필터 버블 현상을 불러온 선구자는 세계 최대의 온라인 서점 아마존이다.

단골의 취향을 파악해 책을 추천해주는 동네 서점의 판매 방식을 온라인에서도 구현하겠다는 아이디어가 적용된 아마존은 개인의 취향과 기호를 분류하는 필터링을 사용해 크게 성공했는데, 빅데이터(Big Data) 시대가 개막하면서 맞춤형 정보 제공은 대세가 되었다.

검색 서비스도 개별화 전략으로 진화하고 있다.

사람의 마음을 읽는 검색엔진을 강조하고 있는 구글의 지식 그래프와 소셜 검색을 전면에 내세운 페이스북의 그래프 서치가 그런 경우다. 한국 최대의 포털 사이트 네이버 역시 맞춤형 정보를 제공하고 있다.

맞춤형 정보 제공은 마케팅 영역에서 시작되었지만 필터 버블에서 프레이저가 가장 우려하는 것은 뉴스의 개별화다.

 현재 야후 뉴스나 『뉴욕타임스』 인터넷판 같은 웹 사이트들은 사용자의 특별한 관심이나 욕구에 맞춰 톱뉴스를 올려주고 있는데 이에 대해 프레이저는 ‘개별화’로 특화된 세계는 “우리가 좋아하는 사람들과 생각들이 모여 있는 편안한 곳”이지만, 필터 버블은 필연적으로 왜곡 효과를 낳을 수밖에 없기 때문에 이용자들은 확증편향 속에 갇혀 살 운명에 처했다고 경고한다.


▷ 필터버블의 개념
필터버블(filter bubble)은 사람들이 인터넷을 탐색할 때 사람들마다 다른 탐색결과를 보여주는 것을 말한다.

탐색결과는 탐색하는 사람이 누구냐(술 마시는 걸 좋아하는 사람, 친숙한 사람, 음악가, 문제아, 젊은 사람, 나이든 사람, 워커홀릭 등)에 따라, 탐색 히스토리에 따라, 지금까지 클릭한 문서에 대한 히스토리에 따라 달라진다.

그래서 동일한 검색 키워드인 ‘Egypt’에 대해, 한 사람은 ‘이집트의 시위에 대한 사이트들’의 목록을, 다른 한 사람은 ‘이집트의 여행정보’에 대한 목록을 검색 결과로 얻게 되는 것이다.

구글이 인터넷 상의 이용자 활동을 기반으로 개인정보를 수집하는 방법을 대표적으로 들자면,

첫째, PageRank 알고리즘을 이용한 웹의 연결구조 파악을 기반으로 한 웹 페이지 순위 정보를 확보하며 이는 이용자들의 웹 방문 및 링크정보를 활용한다.

둘째, 이용자의 탐색어, 방문한 URL, 사용자의 IP주소, 검색시간, 사용한 브라우저, 운영체제, 쿠키 아이디 등에 대한 사용자 정보 등이다.

이러한 다양한 정보들이 구글의 필터링서비스의 성능을 높이고 있는 것이다.

▷ 필터버블의 문제점

그러나 필터링 서비스의 문제점을 지적한 연구자가 있으며, Pariser는 2011년의 TED 연설41)에서 필터버블을 당한 사례를 놀라운 일로 소개했다.

즉 본인은 매우 진보적인 성향의 사람이며 따라서 의도적으로 보수적인 성향의 사람들을 만나고 그들의 의견을 듣기 위해 노력했다는 것이다.

그런데 어느 날 페이스북에서 보수주의적 성향의 사람들의 글이 모두 제거되었다는 것이다.

이는 Pariser가 평소에 진보주의적 성향의 사람을 더 많이 클릭했기 때문이다.

사람마다 각각 다른 취향과 관점과 성향을 가지고 있지만 누구나 중간적인 관점, 세계적인 관점(worldview)을 갖고자 하며, 가질 기회를 가져야 한다.

그러나 필터버블은 이러한 기회를 필터링을 통해 원천적으로 봉쇄해 버릴 수 있다.

바로 이점은 어떠한 편견도 없이 정보를 제공해야 하는 사서에게 도전이 되는 과제가 된다.

도서관은 이용자 개개인의 요구에 따라 맞춤형 서비스를 제공하기 위해 노력하지만, 여기에는 의도되지 않은 위험스러운 결과가 발생할 수 있다.

즉 필터버블이라는 트랩에 걸리게 된다.

필터버블을 주의해야 하는 또 다른 이유는 탐색결과 및 탐색히스토리가 수집되고, 수집된 정보들은 공유되고 판매될 수 있기 때문이다.


▷ 필터버블 참고자료

● 온라인 “필터 버블”을 주의하세요 (엘리 프레이저(Eli Pariser)
 - 필터 버블은 인터넷 검색 사이트와 소셜미디어에 의존해 정보 편식을 하는 이용자들이 자신만의 울타리에 점점 갇히는 현상을 설명하는 용어로, 엘리 프레이저가 그의 책 ' The Filter Bubble'에서 제시한 개념이다.

 - 필터 버블은 정치적이거나 상업적인 논리가 개입된, 필터링을 거친 정보만을 받아들이는 이용자들이 자신도 모르는 사이에 정보를 편식하게 되고, 그로 인해 가치관의 왜곡이 일어날 수 있다는 점을 경고하고 있다.

http://cafe.naver.com/rapid7/3188


● 필터버블 ... 한국언론진흥재단 신문과방송(2017년 7월호)
o 필터버블, 플랫폼의 예방 노력이 중요 (필터버블 논란, 실체없는 기우인가)
o 맞춤형 정보 제공 → 민주주의 ‘독배’ 변질 막아야 (포털의 뉴스 알고리즘과 필터버블 우려)
o SNS 세상에서 더 견고해지는 ‘생각의 감옥’ (소셜미디어·메시징 앱과 필터버블)

o 위키트리뷴과 가짜뉴스와의 전쟁

http://cafe.naver.com/rapid7/3189


● 필터버블 방지 방법
- Eli Pariser(2011)는 필터버블이라는 용어를 최초로 사용한 사람이며, 그의 저서 ‘The Filter Bubble: What the Internet Is Hiding from You’ 에서 이 개념에 대해서 기술하고 있다.

- 또한 그의 블로그를 통해서 중립적이나 개인화되지 않은 웹이면서, 필터되지 않았고, 필터버블을 해소할 수 있는 10가지 방법을 소개하고 있으며 많은 방법이 브라우저 설정을 바꾸는 것과 관련된다.

① 쿠키를 삭제하라(Burn your cookies).
② 웹 히스토리를 삭제하라(Erase your web history).
③ 페이스북에게 당신의 데이터를 기밀로 유지해 줄 것을 요구한다(Tell Facebook to keep your data private).
④ 생년월일에 대한 정보를 숨겨라(It’s your birthday, and you can hide it if you want to).
⑤ 타깃 광고를 해지하고, 스토킹 스니커를 떠나게 하라(Turn off targeted ads, and tell the stalking sneakers to buzz off).
⑥ 비밀스럽게 방문하라(Go incognito).
⑦ 더 바람직하게는 익명으로 브라우저를 이용하라(Or better yet, go anonymous).
⑧ 브라우저를 개인화하지 말라(Depersonalize your browser).
⑨ 이용자의 필터를 보고 통제하는 구글이나 페이스북에게 말하라(Tell Google and Facebook to make it easier to see and control your filters).
⑩ 의회에 말하라(Tell Congress you care).

http://cafe.naver.com/rapid7/3190

ICT에 기반을 둔 비지니스 파트너





2018년 5월 5일 토요일

육상 물류보안 유형별 가이드라인 .. 국토교통부

 뉴딜코리아 홈페이지

육상 물류보안 유형별 가이드라인
(공급사슬 물류보안 수준 제고를 위한)




- 국토교통부 [ 물류시설정보과 ] -


제1장 물류보안의 개요
1. 물류보안의 정의
2. 물류보안 취약 구간 및 육상 물류보안의 의의


제2장 육상 물류보안 유형별 가이드라인
1. 물류보안 유형별 가이드라인 활용 방법
2. 물류보안 유형별 가이드라인
① 물리적 보안 (Physical Security)
② 접근 통제 (Access Control)
③ 공급사슬 운송 수단/과정 보안 (Conveyance Security)
④ 인적 보안 (Personnel Security)
⑤ 물류보안 교육 및 훈련 (Education and Training Awareness)
⑥ 화물취급 절차 보안 (Procedural Security)
⑦ 문서처리 및 정보 보안 (Documentation Processing/Information Security)
⑧ 거래 상대자 보안 (Trading partner Security)


제3장 국내 물류보안 사고 사례와 육상 물류보안 가이드라인 검토 결과
1. 물류보안 사고 사례 개요
2. 사고 사례에 대한 육상 물류보안 가이드라인 적용 사례


<참고자료> 글로벌 주요 물류보안 제도와 물류보안 활동의 유형
1. 글로벌 주요 물류보안 제도
2. 물류보안 활동의 유형

참고 문헌

첨부파일 : 육상물류보안유형별가이드라인


CCTV 영상보안 솔루션 
(070-7867-3721, ismsbok@gmail.com)


2018년 5월 4일 금요일

PCI-DSS Strong Passwords

 뉴딜코리아 홈페이지 
Strong Passwords


.......PAYMENT DATA SECURITY ESSENTIAL

.......약한 암호가 발생한 해킹 관련 침해 ...81%


■ PASSWORD BEST PRACTICES





▷ 위험(위반)을 최소화하기 위해 기업은 기본 암호를 강력한 암호로 변경하고 결코 공유하지 않아야합니다.

- 정기적으로 비밀번호 변경
  ㅇ Treat your passwords like a toothbrush.
  ㅇ Don’t let anyone else use them and get new ones every three months.

- 패스워드 공유 금지
  ㅇ Insist on each employee having its own login ID and password never share!

- 추측하기 어렵운 패스워드 사용 :
  ㅇ The most common passwords are “password”, “password1” and “123456.”
  ㅇ Hackers try easily-guessed passwords because they’re used by half of all people.
  ㅇ A strong password has seven or more characters and a combination of upper and lower case letters, numbers, and symbols (like !@#$&*).
  ㅇ A phrase that incorporates numbers and symbols can also be a strong password the key is picking a phrase with specific meaning to you so it’s easy to remember, like a favorite hobby, for example (like ILove2Fish4Trout!).




첨부파일 : Payment-Data-Security-Essential-Strong-Passwords


PCI-DSS, ISMS, ISO27001, GDPR 컨설팅
(070-7867-3721, ismsbok@gmail.com)


2018년 5월 3일 목요일

웹로직(Weblogic) 원격 코드 실행 취약점 주의

 뉴딜코리아 홈페이지



Oracle Weblogic Server 원격 코드 실행 취약점 주의 권고

□ 개요
 o Oracle社의 Weblogic Server에서 원격 코드 실행 가능한 취약점이 발견
 o 취약점 공격 코드가 공개되어 있어 영향 받는 버전의 사용자는 아래 대응 조치를 통한 해결 등 주의 당부

□ 내용
 o 자바 역직렬화 취약점을 이용한 원격 코드 실행(CVE-2018-2628)
 
□ 영향 받는 버전
 o Oracle Weblogic Server
   - 10.3.6.0
   - 12.1.3.0
   - 12.2.1.2
   - 12.2.1.3
 
□ 임시 대응 방안
 o Oracle社 4월 정기 보안 패치[1]에서 본 취약점에 대한 보안 패치를 발표하였으나 패치 우회 가능성이 제기됨에 따라 아래 방법에 따라 임시 대응 권고
  
- 취약점에 영향 받는 서비스 포트(7001번)에 대해 승인된 시스템 및 관리자만 접근할 수 있도록 방화벽 등을 통한 접근통제 설정

     ※ 7001번은 기본 포트이며 포트를 변경하여 사용할 경우 변경된 포트로 접근통제 설정
 
[참고사이트]
https://nvd.nist.gov/vuln/detail/CVE-2018-2628
https://www.rapid7.com/db/search?q=weblogic&t=a
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
http://admintony.com/2018/04/20/CVE-2018-2628-WebLogic%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/






2018년 5월 1일 화요일

NIST, 사이버보안 프레임워크(CSF) 버전 1.1

 뉴딜코리아 홈페이지 

NIST, 사이버보안 프레임워크(CSF) 1.1 버전

NIST Releases Version 1.1 of its Popular Cybersecurity Framework
(2018 년 4 월 16 일)



▷ 이 프레임 워크는 사이버 보안 관련 위험을 관리하기위한 표준, 지침 및 모범 사례로 구성됩니다.

▷ 사이버 보안 프레임 워크의 우선 순위가 정해지고 유연하며 비용 효율적인 접근법은 경제 및 국가 안보에 중요한 중요 인프라 및 기타 분야의 보호와 탄력성을 향상시키는 데 도움이됩니다.


◆ 미 상무부의 국립 표준 기술 연구소(National Institute of Standards and Technology, NIST)는 2018년 4월 16일 사이버보안 인프라의 중요한 개선을 위한 프레임워크(Framework for Improving Critical Infrastructure Cybersecurity)의 1.1버전1)을 발표함 

 -  사이버보안 프레임워크 1.0 버전은 2014년 2월에 발표됨
 - NIST의 프레임워크는 사이버보안 문제와 관련된 이해관계자, 정부, 산업계 및 학계의 피드백을 토대로 개발됨


◆ 업데이트된 사이버보안 프레임워크 버전 1.1은 현재 사용되는 표준, 지침 및 관행을 정리하여 사이버보안에 대한 여러 접근법에 대한 공통의 조직 구조를 제공함


◆ 다음은 사이버보안 프레임워크 1.1 버전의 업데이트된 주요 내용임
- 인증 및 아이덴티티(authentication and identity)
- 사이버보안 위험 자체 평가(self-assessing cybersecurity risk)
- 공급망 내의 사이버보안 관리(managing cybersecurity within the supply chain)
- 취약점 공개(vulnerability disclosure)

☞ 참고자료






GDPR 한-EU 기업 간담회 주요내용 및 결과

 뉴딜코리아 홈페이지

한-EU 기업 간담회 주요내용 및 결과
(2017. 12. 11)





1. 배경
- 기업들의 혼란을 해소하고 GDPR에 대한 이해도 및 대응력 강화 필요

2. 프로그램
- GDPR 제정의 배경 및 의미 발표
- GDPR 도입에 따른 준비 및 이행 방안 설명
- 한국의 개인정보보호 법체계 및 피해구제 제도 안내
- GDPR 관련 질의 응답

3. 주요 논의 사항

1> GDPR의 지리적 ∙ 내용적 적용 범위
- EU 역외 기업들은 어떤 경우 GDPR의 적용을 받게 되는지?
- EU 시민이 접근 가능한 모든 서비스에 GDPR이 적용되는지?

2> GDPR의 물리적 적용 범위
- 개인정보를 활용하지 않고 단순히 인프라(망)를 제공하는 경우에도 GDPR이 적용되는지?

3> 보안조치 및 인증제도
- 물리적 보안 및 하드웨어 운영에 관한 요구사항이 있는지?
- GDPR에서 요구하는 인증 제도에 대한 구체적인 내용이 있는지?

4> 개인정보의 정의
- 교통 수단에 부착된 GPS를 통해 수집되는 정보도 개인정보인지?
- 개인에 대한 식별 가능성이 없는 정보도 개인정보에 포함되는지?

5> 명시적 동의
- GDPR 상의 명시적 동의는 무엇이며 별도의 절차가 필요한지?
- 기존에 획득한 동의가 GDPR 시행 이후에도 유효한지?

6> DPO 임명 요건
- 기업의 핵심 활동에 해당하는 업무 영역은 어디까지인지?
- DPO 필수 임명 요건에 해당하는지 여부는 어떻게 판단하는지?

7> 컨트롤러와 프로세서의 관계 및 역할
- 컨트롤러와 프로세서를 구분하는 기준은 무엇인지?
- 공동으로 설립하고 운영하는 법인의 경우 컨트롤러는 누구인지?

8> 프로파일링
- 인사기록 카드나 개인별 HR 조회도 프로파일링에 해당하는지?
- 프로파일링과 프로파일링에 기반한 의사결정의 차이가 무엇인지?

9> 과징금 부과
- 단일 법인 매출과 기업사 전체 매출액 중 과징금 책정의 기준은?
- GDPR을 위반한 경우 반드시 최대 4%의 과징금이 부과되는지?

10> 정보 유출 사고 시 통지 의무
- EU에서 수집한 정보가 한국에서 유출된 경우 관련 처벌을 받는지?
- 감독기구에 반드시 보고해야 하는 침해 사고의 기준이 있는지?


4. 시사점  및 향후 계획
- GDPR의 주요 쟁점에 대한 개념 명확화 및 이해도 제고
- 한-EU 규제기관 간 협조체계 구축을 통한 기업들의 문의사항 전달
- GDPR 대응과 관련한 기업의 주요 애로사항 파악 후 대응방안 강구
- 향후 EU측에서 발간하는 가이드라인 내용에 대한 안내
- EU 내 관련 기관들의 GDPR 대응 동향 파악 및 국내 적용 전략 마련

▷ 최종 가이드라인 개발 및 기업들의 문의 사항 수렴을 위한 창구 운영 등 GDPR 대응 지원을 위한 방향성 수립

☞ 상세 내용은 첨부 파을 참고하세요 ...!



(참고) 뉴딜코리아 : GDPR 보안조치 및 인증제도 관련 컨설팅 수행