2020년 4월 29일 수요일

KISA, 업무용PC 개인정보 보호조치 점검도구 2.0 무료 배포


KISA, 업무용PC 개인정보 보호조치 점검도구 2.0 무료 배포 (2020. 04. 28)



□ 중소·영세기업 및 비영리 단체 대상 ‘업무용PC 개인정보 보호조치 점검도구 2.0’ 무료 배포 


 O 개인정보 침해 가능성에 선제적으로 대비하고, 개인정보 보호 예산 및 인력이 부족한 소상공인과 중소사업자를 지원하고자 개인정보 보호기술 역량강화센터를 통해 점검도구를 무료 배포


 O 점검도구는 개인정보를 처리하는 업무용PC에서 암호화, 접근통제 등의 개인정보 보호조치 이행 여부를 사업자가 자율적으로 확인하고 조치할 수 있는 프로그램

   - 이미지, PDF 등 비정형 파일에 포함된 개인정보의 암호화 점검 기능
   - 여러 대의 PC에서 보호조치 이행여부 점검 결과를 관리·감독할 수 있는 관리자 기능
   - Windows 10 등 최신 운영체제(OS)에서의 점검 기능




□ 중소·영세기업을 대상으로 개인정보 보호법에 따라 지켜야 할 기술적·관리적 보호조치를 위한 비대면 컨설팅 지원



□ 개인정보 보호조치 지원사업은 50인 미만의 업체비영리 단체라면 누구나 참여 가능



 O 문의처: 
  - 이메일 : privacy_support@kisa.or.kr
  - KISA : 02-405-5101
  - 행안부 : 044-205-2851


컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


2020년 4월 19일 일요일

사이버 위협 동향보고서(2020년 1분기)




사이버 위협 동향보고서(2020년 1분기)


제 1 장. Trend - 1분기 사이버 위협 동향

  1. 언론보도로 살펴본 사이버 위협 동향

  2. 취약점 동향

  3. 해외 사이버 위협 동향



제 2 장. Guide - 보안 지식 및 사이버 위협 통계

   1. 보안 이슈 Q&A: 데이터 3법

   2. KISA 사용설명서: KISA 중소기업 대상 웹보안 지원 서비스

   3. 스마트폰에 대한 보안 인식도 설문조사 결과



제 3 장. HowTo - 전문가 컬럼

   1. 기업 보안관리자의 크리덴셜 스터핑(Credential Stuffing) 공격 대응방안

   2. 코로나 바이러스 감염증 19(COVID-19) 확산 상황을 악용한 사이버 보안 위협들

   3. 데이터 3법의 보안 활용 방안


Special Issue. 언택트(Untact: 비대면) 업무환경에서의 보안 대응방안





출처 : 한국인터넷진흥원

컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

데이터 비식별화 처리과정 및 용어 정의



데이터 비식별화 처리과정 및 용어 정의 

비식별화와 관련되 개념, 용어, 비식별화 기법의 분류에 대해 기술
또한 다양한 비식별화 기법과 비식별화 과정을 제시



용어 정의

□ 가명(pseudonym)
o 데이터 주체에 대한 식별자를 대체하기 위해 데이터 주체에 대해 생성된 별도 고유 식별자


□ 가명화(pseudonymization)
 o 데이터 주체의 식별자를 가명으로 대체하여 해당 데이터 주체의 신원을 숨기는 비식별 기법


□ 간접 식별자(indirect identifier)
 o 데이터 세트 내 또는 외부에 있는 다른 속성과 함께 특정 운영 환경에서 데이터 주체를 고유하게 식별하게 하는 속성


□ 고유 식별자(unique identifier)
 o 데이터 세트에서 데이터 주체를 골라 내는 데이터 세트 내 속성


□ 공격자(adversary)
 o 데이터 세트에서 하나 이상의 개인을 식별하려고 시도하는 개인 또는 단체


□ 난수화 기법(randomization technique)
 o 속성 값이 새로운 값으로 무작위 적으로 변경되도록 속성 값을 수정하는 비식별 기법


□ 데이터 세트(data set)
 o 데이터 모음


□ 데이터 주체(data principal)
 o 데이터와 관련된 실체


□ 등가 클래스(equivalence class)
 o 특정 속성 집합에 대해 동일한 값을 갖는 데이터 세트에서 레코드의 집합


□ 레코드(record)
 o 단일 데이터 주체에 관한 속성의 집합


□ 배포 모델(release model)
 o 데이터 세트의 수신자에게 접근 권한이 제공되는 방식


□ 마스킹(masking)
 o 데이터 주체의 직접 식별자를 제거하거나 가명 또는 암호 값으로 바꾸는 프로세스


□ 마이크로데이터(microdata)
 o 개별 데이터 주체와 관련된 레코드로 구성된 데이터 세트


□ 매크로데이터(macrodata)
 o 총합 데이터로 구성된 데이터 세트


□ 민감 속성(sensitive attribute)
 o 운영 환경에 따라 속성 값의 노출, 속성 값의 존재, 또는 어떤 데이터 주체와 연관을 가능하게 하는 잠재적 재식별 공격으로부터 특화되고 높은 수준의 보호를 받을 가치가 있는 데이터 세트에서 속성


□ 변수(variable)
 o 속성 집합을 나타내는 데이터 세트의 열의 값


□ 비식별화(de-identification)
 o 일련의 식별 데이터와 데이터 주체 간의 연관성을 제거하는 프로세스


□ 비식별화 과정(de-identification process)
 o 일련의 식별 속성과 데이터 주체 사이의 연관을 제거하는 과정


□ 비식별화 기법(de-identification technique)
 o 정보가 개별 데이터 주체와 연관 될 수 있는 정도를 줄이기 위할 목적으로 데이터 세트를 변형하는 방법


□ 비식별화된 데이터 세트(de-identified dataset)
 o 비식별화 과정의 결과로 나타난 데이터 세트

□ 속성(attribute)
 o 고유 특성


□ 순열(permutation)
 o 값을 수정하지 않고 데이터 세트의 레코드 전반에 걸쳐 선택된 속성의 값을 재정렬하는 비식별 기법


□ 식별자(identifier)
 o 특정 데이터 처리 환경에서 데이터 주체의 고유 식별을 가능하게 하는 데이터 세트 내 속성들의 집합


□ 식별 속성(identifying attribute)
 o 특정 데이터 처리 환경에서 데이터 주체를 고유하게 식별하는 데 기여할 수 있는 속성의 데이터 세트


□ 신원 노출(identity disclosure)
 o 데이터 주체의 신원을 올바르게 할당하게 하는 재식별화 이벤트


□ 연결(linking)
 o 데이터 주체에 관한 레코드를 별도의 데이터 세트에서 동일한 데이터 주체에 관한 레코드와 연결시키는 행위


□ 연결성(likability)
 o 데이터 주체에 관한 레코드를 별도 데이터 세트에 존재하는 동일한 데이터 주체에 관한 레코드와 연관시킬 수 있는 데이터 세트에 대한 속성


□ 일반화(generalization)
 o 선택된 속성에 포함된 정보의 정확성을 줄이는 비식별 기법


□ 일방향 해시 함수(one-way hash function)
 o 암호화된 값에서 입력 데이터를 다시 생성하는 것이 사실상 불가능한 암호화 매핑 함수


□ 잡음 부가
 o 선택된 속성의 값에 임의의 값을 추가하여 데이터 세트를 수정하는 비식별 기법


□ 전수 공격(brute force attack)
 o 가능한 모든 조합을 시도하는 시행 착오적 공격


□ 준 식별자(quasi identifier)
 o 데이터 세트에서 다른 속성과 함께 고려될 때 데이터 주체를 선택하는 데이터 세트 내 속성


□ 재식별(re-identification)
 o 비식별된 데이터 세트의 데이터를 원래 데이터 주체와 연관시키는 과정


□ 재식별 공격(re-identification attack)
 o 재식별을 목적으로 공격자가 비식별 데이터에 대해 수행하는 행위


□ 재식별 위험(re-identification risk)
 o 재식별 공격이 성공할 위험


□ 직접 식별자(direct identifier)
 o 특정 운영 환경 내에서 데이터 주체의 고유 식별을 가능하게 하는 속성


□ 차등 프라이버시(differential privacy)
 o 특정 데이터 주체가 입력 데이터 세트에 나타나는지 여부에 무관하게, 통계 분석의 출력 확률 분포가 지정된 값보다 작게 다르도록 보장하는 공적 프라이버시 측정 모델


□ 총계 데이터(aggregated data)
 o 정보 주체의 그룹을 나타내는 데이터 (예, 그룹의 통계적 특성의 모음)


□ 추론
 o 하나 이상의 속성 값을 사용하거나 외부 데이터 소스를 상호 연관시킴으로써 무시할 수 없는 확률로 알려지지 않은 정보를 추론하는 행위


□ K 익명성
 o 데이터 세트의 각 식별자에 대해 적어도 k 개의 레코드를 포함하는 대응 등가 클래스가 존재하는 것을 보장하는 공식적 프라이버시 측정 모델


□ L 다양성
 o 선택된 속성에 대해 각 등가 클래스가 최소 L 개 이상의 잘 표현된 값을 가지도록 보장하는 공식적 프라이버시 측정 모델


□ T 유사성
 o 등가 클래스에서 선택된 속성의 분포와 전체 테이블에서 이 속성의 분포 사이의 거리가 임계 값 T 이하가 됨을 보장하는 공식적 프라이버시 측정 모델 




컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com



2020년도 K-Shield 정규과정 교육생 모집안내(~4/26)

 뉴딜코리아 홈페이지 

안녕하세요.

한국인터넷진흥원 사이버보안인재센터입니다.

한국인터넷진흥원에서는 고급 수준의 사이버 전문가 양성 목적의 침해사고 예방, 대응 전문교육 「K-Shield 정규과정」을 운영 중에 있습니다.


K-Shield 란?

최정예 사이버보안 전문가 양성 목적의 침해사고 예방·대응기술 전문 교육과정으로 정보보호 산업계 재직자 대상 2단계(총 140시간)의 교육을 실시하여, 단계별 이수 결과에 따라 한국인터넷진흥원장이 인정하는 최정예 사이버보안인력 인증서 또는 교육과정 수료증을 수여합니다.

선발평가를 거쳐 선정된 교육생은 공통 커리큘럼으로 실시되는 1차 교육과정의 수료 및 평가 결과에 따라 전문분야별로 실시되는 2차 교육을 이수하게 됩니다.

* 디지털포렌식, 악성코드 분석, 침해대응, 모의해킹, 보안컨설팅(5개 분야) 



이에 2020년도 K-Shield 정규과정 교육생 모집을 아래와 같이 진행하고 있습니다.


□ 정규과정 진행절차
 
  o K-Shield 1차 교육훈련 70시간(기본교육)   +   K-Shield 2차 교육훈련 70 시간 (분야별 심화교육)

   * 2차 분야별 심화교육 : 디지털포렌식, 악성코드분석, 침해사고대응, 모의해킹, 보안컨설팅 연계과정

    - 사전 교육생 선발절차를 거쳐 1차 교육훈련 모집 후 1차 교육훈련 진행 (10일/주1회/70시간)
    - 1차 교육훈련 종료 시 최종평가를 통해 2차 교육훈련 교육생 선발 및 2차 교육훈련 진행 (10일/주1회/70시간)


□  정규과정 주요내용
 
   o 1차 교육훈련
     - 네트워크 패킷 및 트래픽 분석, APT 공격대응, 웹 취약점 분석 등 7개 과목
  
   o 2차 교육훈련
    - (월)디지털포렌식, (화)악성코드분석, (수)침해대응, (목)모의해킹, (금)보안컨설팅 
   
   * 과정 수료기준 : 교육일(10일)의 80% 이상 출석

   * 산업인력공단 훈련과정 개설 요건에 따라, 40시간 이상의 교육과정은 과정 중 평가를 실시해야 하며 본 과정은 2차 교육훈련 선발을 위해 1회의 평가 실시예정(교육시간 포함)


1차 교육훈련 선발일정
 
  o 교육생 모집(~4. 26)→사전평가(4. 28) → 선발결과 통보(5. 4) → 1차 교육훈련시작(5. 11~15/과정별 순차개강)

   * 상기 일정은 교육생 모집진행 상황 및 코로나19 감염증 확산여부에 따라 변경될 수 있습니다.


□  문의처
 
  o KISA사이버보안인재센터(02-405-6663, saram4090@kisa.or.kr)

  o 교육신청 홈페이지 : https://academy.kisa.or.kr/





2020년 4월 15일 수요일

2020년 대학 정보보호 동아리 모집 공고

 뉴딜코리아 홈페이지 

과학기술정보통신부와 한국인터넷진흥원은 「 2020년도 대학 정보보호 동아리」 지원사업에 참여할 정보보호 소양과 역량을 갖춘 잠재력 있는 대학 정보보호 동아리를 다음과 같이 모집하오니, 많은 관심과 참여 바랍니다.
                                

2020년 4월 13일  한국인터넷진흥원




가. 사업 개요

 o 전국 대학의 정보보호 동아리를 대상으로 정보보호 기술력 및 윤리관 함양을 위한 교육 및 세미나, 자체 연구활동, 취창업 활동 지원 등

  - (대상) 국내 2~4년제 대학(원) 정보보호 관련 동아리

  - (지원기간) 2020. 5월 ~ 2020. 12월

※ 단, 동아리 지원사업의 운영목적 및 지침에 위배되는 활동시 지원 중단
 

나. 지원 내용

 ➀ 역량 개발을 위한 정보보호 관련 교육 및 세미나 개최

  - 권역별 정보보호 실습 교육과정 운영

  - 권역별 동아리 중심 정보보호 세미나 개최 지원

  - 정보보호 전문가 초청강연 취ㆍ창업캠프 개최 등

 ➁ 정보보호 동아리 연구활동 지원 및 포상

  - 연구활동시 필요한 도서, 기자재, 온라인교육 등을 위한 연구활동비, 멘토 연계 및 멘토비 지원 등
     ※ 동아리별 연구활동비 年 50여만원 이내, 멘토비 年 60여만원 이내 지원

  - 연간 연구·활동 실적에 따른 포상(프로젝트, 우수동아리 등 부문별)

 ➂ 정보보호 동아리 활동 관련 기타 지원 등


다. 신청 자격

 o 다음의 각 요건을 모두 갖추고 있는 동아리

  - 전국 대학(2~4년제)의 정보보호 관련 동아리
  ※ ’20년 1월 이후 새로 창단된 동아리(동아리명만 변경한 경우 제외) 포함

  - 동아리 구성원이 최소 10인 이상인 동아리
    ※ 동아리 구성원은 모집공고일 기준으로 해당 학교에 재학중인 자에 한함

  - 연구활동을 위한 공간(동아리실, 연구실 등)을 확보하고 있는 동아리

  - 지도교수가 배정되어 있는 동아리
 

라. 선정기준

 o 자격 요건을 갖춘 동아리에 한해 다음의 항목을 종합적으로 평가

  - 최근 3년간(2017~2019)도 정보보호 관련 실적
    ※ 정보보호 관련 대내외 학술활동 및 연구활동 실적, 봉사활동 경력 등

  - 2020년도 정보보호 관련 연구 및 사회공헌 계획
    ※ 프로젝트 계획서, 재능기부 활동 등
 

마. 신청서 접수

 o (기간) 2020. 4. 13.(월) ~ 5. 4.(월) 10시까지
     ※ 접수기간 마감 후 접수처에 도달한 신청서는 접수하지 않음

 o (제출) 신청서 및 증빙자료 등 서류 일체 메일 제출 (yoojy@kisa.or.kr)
   - 동아리 신청서 1부(양식1~6), 양식5번의 증빙자료 1set

 o (문의처) 사이버보안인재센터 보안교육기획팀 유지영 책임연구원 (☏061-820-1297, yoojy@kisa.or.kr)
     ※ 가급적 전자메일을 통해 문의 바랍니다.
 

바. 결과 발표

 o KISA 홈페이지 공지사항 게시 및 동아리 대표 이메일 개별 통보 (5월 4주 예정)
 

사. 기타사항

 o 2019년도 우수 동아리*의 경우, 2020년도 대학 정보보호동아리 지원 대상으로 자동 선정되나 신청서는 작성‧제출하여야 함
    ※ * ‘19년 우수 동아리 : 서울여대(SWING), 건국대(seKUrity), 전남대(정보보호119)

 o 동아리 지원 사업인 교육, 세미나 및 취ㆍ창업 캠프 등 성실 참여

 o 정보보호 인식제고의 일환으로 개최되는 KISA 주관(주최) 캠페인 참가, 동아리 자체 재능기부 등 사회공헌 활동 필수

 o 정보보호 동아리 경력 관련 증빙자료는 KISA 주관 교육 및 행사 참석시 참석확인증 또는 수료증 등 이외에 별도 발급 자료 없음
    ※ 정보보호병(육군), 사이버 특기의경(경찰) 등 특기전형 지원시에도 동일

 o 개인정보 수집 및 활용․동의 관련
  - 본 사업에 신청한 동아리 회원 등의 개인 정보는 2020년도 대학 정보보호 동아리 지원 사업의 원활한 진행을 위하여 활용되며 지원서 제출시 해당 개인정보 수집 및 활용에 동의한 것으로 간주함

  - 본 사업 신청시 제출한 동아리 회워 등의 개인정보는 선정시 다음해 동 사업 지원자 모집 마감시까지 보관 후  파기, 미선정시 당해 지원대상자 선정 확정 후 파기함

 o 제출된 서류 중 허위 사실이 있을 경우 선정 결과를 취소할 수 있음
    ※ 제출된 서류는 반환하지 않음

 o 본 사업의 지원 목적 및 취지 등에 위배되는 활동(해킹, 사이버 침해 사고 관련 혹은 참여자, 미풍양속 저해)을 한 동아리의 경우(동아리 회원 일부인 경우 포함) 사업기간 중이라 할지라도 지원을 중단할 수 있음

 o 본 사업은 한국인터넷진흥원의 사정에 따라 지원계획, 내용 등이 변경될 수 있음


☞ 첨부파일 :

컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com