20.11.03 ( 오라클 웹로직 서버 및 MS 윈도우 서버 취약점 주의, "데이터 3법, 보호 장치 미비" 위헌 소송 제기, 개인정보 침해하는 법령안 556개에 개선 권고, CC인증 통합사이트 만들어 제도 개선 ..

1. 오라클 웹로직 서버 및 MS 윈도우 서버 취약점 주의

 

오라클이 WebLogic Server의 취약점을 해결한 보안 업데이트를 발표했다고 합니다.😀

 

이번 취약점은 CVE-2020-14750이며, WebLogic Server에서 입력값 검증이 미흡해 발생하는 인증우회 및 원격코드 실행 취약점이라고 합니다.

 

그래서 신속히 업데이트를 하라고 권고하고 있다고 하네요😁

 

또한 최근 윈도우 서버의 Netlogon 권한상승 취약점을 악용한 사례가 지속적으로 발생하고 있어 윈도우 사용자의 보안강화가 요구되고 있다고 합니다.

 

Netlogon은 도메인 내의 사용자와 서비스를 인증하는 원격 프로토콜이라고 합니다.

 

CVE-2020-1472 윈도우 서버의 Netlogon에서 취약한 암호화 운영모드를 사용하여 발생하는 권한상승 취약점으로 위험지수가 최고 등급이라고 하네요😀

 

이에 KISA 침해사고분석단 취약점분석팀은 취약점에 영향받는 윈도우 제품을 이용하는 각 기관, 기업 및 일반 사용자는 해당 취약점에 노출되지 않도록 보안 업데이트 적용이 필요하다고 권고했다고 합니다.

 

영향을 받는 제품은 다음과 같다고 합니다.

- 윈도우 서버 2008 R2 for x64-based Systems 서비스팩 1(Server Core installation 포함)

- 윈도우 서버 2012, 2012 R2 (Server Core installation 포함) 

- 윈도우 서버 2016 (Server Core installation 포함)

- 윈도우 서버 2019 (Server Core installation 포함)

- 윈도우 서버 version 1903 (Server Core installation) 

- 윈도우 서버 version 1909 (Server Core installation)

- 윈도우 서버 version 2004 (Server Core installation)

 

이용기관은 반드시 2020년 8월 11일 이후 버전으로 업데이트 적용해야한다고 합니다.😀

 

 

 

2. "데이터3법, 보호 장치 미비" 위헌 소송 제기

 

개인을 특정할 수 없게 비식별조치한 정보인 '가명정보'에 대해 정보 주체 동의 없이도 활용할 수 있게한 데이터 3법에 위헌 소송이 제기되었다고 합니다.😀

 

정보 주체의 정보열람권, 정정 및 삭제요구권, 처리정지요구권 및 기업 등 개인정보처리자의 개인정보 유출 시 통지권, 파기 의무 등이 적용되지 않도록 해 헌법상 과잉금지원칙, 기본권의 본질적 내용 침해 금지 원칙을 위반했다는 주장이라고 합니다.

 

참여연대 공익법센터는 2일 헌법재판소에 개인정보보호법 제28조의 7, 신용정보법 제40조의 3이 헌법에서 보장하는 개인정보자기결정권을 침해해 위헌임을 확인하는 헌법소원을 제기했다고 밝혔다고 합니다.

 

참여연대는 지난 2005년 헌법재판소이 개인정보자기결정권에 대해 '자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보 주체가 스스로 결정할 수 있는 권리'라고 규정한 점, 헌법 제 10조 제 1문의 일반적 인격권과 헌법 제 17조의 사생활의 비밀과 자유에 의해 개인정보자기결정권이 보장된다는 점을 헌법소원의 근거로 언급했다고 합니다.

 

개인정보의 처리에 관한 동의 여부, 동의범위 등을 선택하고 결정할 권리 뿐만 아니라 정보 열람, 처리 정지, 정정 내지 삭제 및 파기를 요구할 권리를 기본권으로 보장받는 것이라고 합니다.😀

 

 

 

3. 개인정보보호위원회, 개인정보 침해하는 법령안 556개에 개선 권고

 

개인정보보호위원회(개보위)가 개인정보 처리를 수반하는 법령안 10건 중 4건 이상이 개인정보 수집을 최소화하는 방향으로 개선되었다고 합니다.😀

 

개보위는 지난 4년간 개인정보 처리를 수반하는 총 1,276건의 정부입법 법령안에 대해 개인정보 침해요인을 사전 평가하고 556개 법령에 개선을 권고했다고 합니다.

 

개선권고 556건을 살펴보면, 수집 목적을 넘어서 과다하게 개인정보를 수집하는 경우가 총 302건이었다고 합니다. 이에 개보위는 신청서식에서 개인 식별과 연락에 필요한 최소정보만을 남기고, 신청 목적과 무관한 개인정보는 삭제하도록 권고했다고 합니다.

 

이어 법률이나 시행령에 명확한 근거 없이 주민등록번호를 수집 및 이용할 수 없도록 권고하여 개선한 경우가 1337건이었으며, 제3자가 보유한 개인정보의 제공요청과 관련해 법률상 근거를 마련하고 제공범위를 특정하도록 권고한 개선사항도 92건에 달했다고 합니다. 개선권고 556건을 형식 측면에서 살펴보면 법령의 서식 개선이 55.4%, 조문 정비가 4.66%를 구성하고 있다고 합니다.

 

 

 

4. 과기정통부, CC인증 통합사이트를 만들어 제도 개선 준비

 

과기정통부가 정보보호제품 평가 및 인증제도인 CC인증과 ISMS 등 정보보호 관련 인증제도 개선을 할 예정이라고 합니다.😁

 

과기정통부는 스마트한 정보보호 규제 개선을 목표로 5대 분야를 개선해 정보보호 산업 발전과 정보보호 인증 활성화를 추진한다고 합니다.

다음은 5대 분야에 대한 내용입니다.😀

- Standardization(표준화) : 정보보호 인증 항목과 증빙서류를 표준화하고 간소화

- Modification(조정) : 유사인증의 중복을 제거하고 상호 호환성을 확대

- Application(신청) : 정보보호 인증을 신청하는 포털의 통합

- Redesign(범위 재설계) : ICT 신산업(클라우드와 가상자산)의 사각지대를 해소

- Total Service(종합 지원) : 정보보호 인증의 혜택을 확대

 

특히 과기정통부는 CC인증 개선을 강조했다고 합니다. CC인증의 문제점은 정보보안 기업이 CC인증을 받을 때 시간도 오래 걸리고, 신청 후 대기 시간도 길다는 것이라고 합니다.

 

이에 과기정통부는 대기 시간의 단축을 위해 CC인증 평가자 양성을 위한 교육을 지원하고, 대기 수요를 조정할 방침이라고 합니다. 특히 통합 정보안내 사이트를 개설하여 5개 평가기관별 대기시간과 신청현황을 한 곳에서 제공할 계획이라고 합니다. 아울러 웹서버와 DB 등 사용되는 오픈소스 SW 보안패치는 변경승인을 허용하는 한편, 평가비용과 평가기간을 줄이겠다고 합니다.😁

 

신생기업의 인증준비도 지원한다고 합니다. 온라인 및 오프라인에서 제도에 대한 기본 교육을 확대하고, 인증 컨설팅 서비스를 제공할 방침이라고 합니다. 정보보안 기업이 자발적으로 보안취약점을 점검할 수 있도록 '소스코드 자가진단 SW'를 무료로 지원한다고 합니다.

 

또한, 정보보호 관리체계(ISMS) 인증에 대한 개선방안도 발표했다고 합니다.😀

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29652&key=&dir_group_dist=&dir_code=&searchDate=

[긴급] MS 윈도우 서버 Netlogon 취약점 주의…공격사례 계속 발생중

www.dailysecu.com/news/articleView.html?idxno=115953

오라클 웹로직 서버 취약점 주의…인증우회와 원격코드 실행 공격 가능해 - 데일리시큐

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29650&key=&dir_group_dist=&dir_code=&searchDate=

"데이터3법, 보호 장치 미비" 위헌 소송 제기

www.boannews.com/media/view.asp?idx=92308&page=1&mkind=1&kind=

개인정보보호위원회, 개인정보 침해하는 법령안 556개에 개선 권고

www.boannews.com/media/view.asp?idx=92267&page=1&mkind=1&kind=2

과기정통부, CC인증 통합사이트 만들어 제도 개선 나선다