20.09.23 ( 개인정보보호 연차보고서 - 실태 점검 및 개선, NSA 보안 지침서 발표, 안드로이드용 버전 파이어폭스 취약점)

1. 개보위의 개인정보보호 연차보고서 - 실태 점검 및 개선

 

개인정보보호 기반 강화에 대한 5가지 측면의 내용이 담겨져 있다고 합니다.

• 개인정보 침해사고 예방 강화
• 정보주체 권리 보장
• 개인정보보호 실태 점검 및 개선
• 개인정보 환경 개선과 기술 지원
• 자율규제 촉진

이번에는 개인정보보호 실태 점검 및 개선 사항을 살펴보도록 하겠습니다 :D

---

(1) 개인정보보호 실태 점검 강화

 

행정안전부(행안부)는 공공·교육·보건복지 등 6대 분야를 대상으로 기획 점검과 현장 점검을 지속적으로 실시하고 있습니다. 또한, 여러 사항을 고려해 행정처분을 받은 사업자 명단을 공개하는 등 경각심을 고취하였으며, 동종 업계 전반의 자체 점검 및 개선 확산을 유도하고 전반적인 개인정보보호 수준을 제고하고자 했습니다.

 

행안부는 공공기관과 민간 사업자가 법규를 준수할 수 있도록 '개인정보보호조치 안내서'와 '개인정보보호를 위한 필수 조치 사항 안내 리플릿'을 발간하여 개인정보처리자의 자발적 보호 조치 능력을 향상시킬 수 있는 환경을 조성했다고 합니다.

 

그리고 개인정보 관리실태 점검 기본계획에 따라 국민생활과 밀접한 분야를 대상으로 개인정보보호 현장 검사 및 온라인 검사를 실시했다고 합니다. 이에 위반 기업에 대한 행정처분 결과를 행안부 대표 홈페이지를 통해 공표했습니다.

 

중·소 사업자를 대상으로 사업자가 자체적으로 개인정보 관리실태를 점검하고, 위반 사항에 대해 개선 조치를 할 수 있도록 2109년에 300여개 사업자를 대상으로 점검을 실시하고 컨설팅을 병행했다고 합니다.

 

방송통신위원회(방통위)는 정보통신서비스 제공자를 대상으로 관리실태를 점검하고 있다고 합니다. 이를 통해 국내 이용자의 개인정보를 보호함으로써 피해를 최소화하고 국민의 권익을 증진시키는데 노력을 기하고 있다고 합니다.

 

사이버 공격으로 발생하는 유출사고 사업자 대한 현장 점검을 실시하고, 법 위반사항이 확인되는 사업자는 행정조치를 내렸으며, 이후 행정처분대상자를 대상으로 개선조치를 이행했는지 점검했다고 합니다.

 

한편, 국내 이용자들의 페이스북·구글 등 글로벌 서비스 이용이 활발함에 따라 해외사업자의 개인정보 침해사고 이슈가 증가되고 있습니다. 그래서 해외사업자에 대한 실태 점검도 이루어 졌다고 하네요 :D

 

2020년에는 글로벌 서비스를 이용하는 국민을 위해 국내대리인 지정제도, 개인정보 손해배상 책임 보장제도가 안정적으로 정착될 수 있도록 이행 점검을 실시할 계획이라고 합니다.

 

(2) 개인정보보호 관리수준 진단

 

행안부는 매년 공공기관을 대상으로 개인정보 관리에 대한 자료를 제출받아 관리수준을 진단하고 있습니다.

 

관리수준 진단은 관리체계·보호대책·침해대책 등 3개 분야 12개 지표를 가지고 이루어지며 각 기관이 개인정보보호 종합지원시스템에 등록하면, 진단위원회가 검증·진단하고 재검증 신청 등을 거쳐 최종결과를 확정한다고 합니다.

 

2019년에는 총 778개 기관(중앙부처 46개, 지방자치단체 243개, 지방공기업 150개, 산하 공공기관 339개)에 대해 실시 했으며, '개인정보 처리방침 및 정보주체 권리보장' 진단 지표를 신설하여 정보 주체의 권리 보장을 위한 능동적 관리 기반을 마련했습니다. 또한, 효율적 진단을 위해 지표별 개별 증빙자료 제출 기능을 개발·제공하고, 대상 기관의 편의를 위해 노력했다고 합니다.

 

결과적으로 '보호대책 수립 및 시행'에 대한 부분이 가장 높게 진단되었고, 기관 유형별로 광역자치단체와 기초자치단체의 관리 수준이 낮은 것으로 나왔다고 합니다. 그리고 개선이 필요한 사항들을 조치하도록 했습니다.

 

행안부는 진단 결과가 미흡한 기관에 직접 방문하여 현장 컨설팅을 수행함으로써 공공 분야 개인정보 관리수준의 실질적인 향상 지원에 중점을 두었다고 합니다.

 

(3) 고유식별정보 안전조치 관리실태 조사

 

행안부는 고유식별정보 관리에 관한 침해 예방과 피해 최소화를 위해 전체 공공기관과 5만명 이상 고유식별정보를 처리하는 사업자를 대상으로, 2년마다 1회 이상 안전 조치 이행 여부를 조사하고 있다고 합니다.

 

관리실태 조사는 안정성 확보 조치 기준에 따른 주요 점검 항목을 구성하고, 대상기관 자체 점검을 실시해 이행 결과를 제출하게 하는 방법으로 진행되고 있다고 합니다.

 

행안부는 증빙자료 검토를 통해 대상기관이 제출한 자체 점검 결과에 대한 신뢰성을 검증하고, 고유식별정보처리자의 실질적인 보호수준 향상을 위해 환경을 고려한 맞춤형 방문 컨설팅을 제공한다고 합니다. 조사 기간 중 상담센터 운영으로 사업자 스스로 안전조치 이행 현황을 파악하고 미흡 부분에 대한 개선 조치가 원할하게 이뤄질 수 있도록 지원하고 있다고 합니다.

 

(4) 금융권 정보활용·관리 상시평가제 도입

 

현재 신용정보법상 금융위원회에 금융회사 신용정보 관리·보호인이 신용정보 관리 및 보호 계획의 수립 및 시행 등의 업무를 수행하고 보고서를 제출하도록 되어 있다고 합니다. 하지만 여태 보고서에만 따르는 형식적 수준에만 그쳐왔다고 합니다. 이에 개정 신용정보법에서 형식화된 상시평가제도를 도입했다고 합니다.

 

신용정보법에는 상시평가제도를 통해 신용정보관리·보호인이 처리하고 있는 개인신용정보의 관리 및 보호실태를 정기적으로 점검해 금융위원회에 제출하고, 이를 점수 또는 등급으로 표시해 금융감독원이 검사 시 활용 가능하도록 했습니다.

---

 

 

2. NAS의 보안 지침서 발표

 

미국의 NAS가 2개의 사이버 보안 관련 문건을 배포했습니다. 이는 국가보안시스템, 국방부의 근무자들, 시스템 관리자들을 위한 네트워크 보안 및 사건 대응 가이드라인이라고 합니다.

---

(1) 침해된 개인 네트워크 지표와 완화 방법 (Compromised Personal Network Indicators and Mitigations)

 

이 문건은 원격에서 근무하는 관리자들이 네트워크에서 발생한 침해를 탐지할 수 있게 지표를 알려주고, 완화 방법과 침해지표를 제시하고 있습니다. 하지만 이 문건에 나온 내용으로 방어 체계를 구축한다고 해서 네트워크가 완전히 안전한 것은 아니라고 NSA에서 강조했다고 합니다.

 

다음은 문건의 완화절차 방법입니다 :D

• 라우터의 리부팅과 재설정
• 원격 관리 기능 해제
• 펌웨어 업데이트
• 감염된 장비 분리
• 네트워크에 연결된 장비들의 비밀번호 재설정
• 안티멀웨어 소프트웨어 운영
• 설치된 멀웨어 제거
• 시스템 복구로 감염 전 상태로 되돌리기

해당 문건↓

https://media.defense.gov/2020/Sep/17/2002499615/-1/-1/0/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF

 

(2) 긴급 네트워크 관리 수행(Performing Out-of-Band Network Management)

 

이 문건은 운영과 생산성을 위한 트래픽과 관리를 위한 트래픽을 분리시키는 방법을 알려줍니다. 망분리를 기본 개념으로 하고 있으며, 악성 트래픽이 빠르게 퍼져나가지 못하게 막기 위함이라고 합니다.

 

긴급관리에 관한 아키텍처 설계에 집중하고 있는데, 망분리를 하기 전 취약점 및 위험도 평가를 먼저하는것이 맞다고 제안했습니다. 또한 VPN 기술을 사용해 장비를 관리하는게 안전하다고 덧붙였습니다. 지속적인 네트워크 모니터링과 로그 열람 역시 중요한 부분이라고 강조되었다고 합니다.

 

해당 문건↓

https://media.defense.gov/2020/Sep/17/2002499616/-1/-1/0/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF

 

 

 

3. 안드로이드용 버전 파이어폭스 취약점

 

모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점이 발견되었습니다. 피해자는 특별한 행동이 필요할 필요 없이 같은 와이파이 망에 있기만 하면되며, 취약점을 익스플로잇할 경우 피해자의 안드로이드 장비에서 아무 웹사이트나 열 수 있습니다.

 

이러한 취약점이 발견된 곳은 안드로이드용 파이어폭스의 Simple Service Discovery Protocol(SSDP) 에진 68.11.0 및 그 이하 버전입니다. SSDP는 네트워크 프로토콜로 네트워크 서비스에 대한 정보를 광고하고 발견하는데 사용된다고 합니다. 공격자는 이 SSDP를 속여 안드로이드 인텐트 URI를 발동시킨다고 합니다. 여기서 인텐트란, 실행되어야 할 오퍼레이션에 대한 추상적 설명이며, 인텐트가 있어야 개발자들은 다른 앱에서 실행되어야 할 행위를 발동시킬 수 있다고 합니다.

 

모벌리라는 보안 전문가는 다음과 같이 취약점을 설명했다고 합니다. "일종의 '송출 준비 안료' 메시지로, 출력을 할 두번째 화면을 계속 찾고 있는 것입니다. 이메시지들은 UDP 멀티캐스트를 통해 239.255.255.250으로 전송됩니다. 그러므로 같은 네트워크에만 있다면 이 네트워크를 받아볼 수 있게 되는 것입니다. 그리고 이에 대한 대응도 할 수 있습니다."

 

이러한 이점을 이용해 공격자는 '송출 준비 완료'메시지에 답신을 보내고, 다른 장비로 송출 위치를 지정할 수 있는 것을 이용합니다.

 

또한 강제로 피싱 페이지를 피해자의 장비에서 여는 것도 가능하며, 악성 .xpi 파일이 곧장 열리도록 하여 악성 확장 프로그램이 설치되도록 할 수 있다고 합니다.

 

이에 최신 업데이트를 적용하여 안전하게 사용하며, 자동 업데이트가 진행되도록 설정하는 것이 좋습니다.

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91350&page=1&mkind=1&kind=

[개인정보보호 연차보고서 톺아보기-9] 개인정보보호 실태 점검·개선

www.boannews.com/media/view.asp?idx=91347&page=1&mkind=1&kind=1

재택 근무가 장기화 되자, NSA가 보안 지침서 두 개 발표

www.boannews.com/media/view.asp?idx=91349&page=1&mkind=1&kind=1

파이어폭스 통해 남의 안드로이드 폰에 아무 웹사이트를 띄운다