20.12.01 ( 교육기관 특화한 가명정보 처리 가이드라인 공개, 공공 '서비스형 데스크톱(DaaS) 보안인증 체계' 확정, 다크웹에서 기업 고위경영자 계정 판매, 산업제어시스템에 사용되는 실시간 자..

1. 교육기관 특화한 가명정보 처리 가이드라인 공개

 

교육부와 개인정보보호위원회(개보위)가 개인정보보호법 개정안 시행에 따른 '교육분야 가명·익명정보 처리 가이드라인'을 공개했다고 합니다.😀

 

이는 교육 분야의 특성을 반영해 안전한 가명정보 처리와 활용을 위해 제작했다고 하네요!

 

가이드라인 세부 내용에 대해 개인정보보호 현장지원단, 대학, 법조계 등 전문가와 협조하고, 대국민 의견 수렴을 진행했다고 합니다.😁

 

개인정보처리자가 가명정보 처리과정 전반에서 갖춰야 할 단계별 산출물과 관리대장의 기록, 관리 등을 제시하고 가명·익명정보의 안전한 관리 및 사후관리 체계를 마련하여 정보 주체의 권익을 보호하도록 했다고 합니다. 또한, 가명처리뿐만 아니라 익명처리를 위한 기준과 익명정보 사후관리 방안도 제시했다고 합니다.😀

 

개인정보처리자는 개보위가 기존에 안내했던 '가명정보 처리 가이드라인'을 기본적으로 준수하되, 교육행정 기관, 학교 및 교육부장관의 지도 감독을 받는 공공기관 및 단체 등은 교육 분야 가이드라인을 우선 적용한다고 합니다.

 

가명처리 후 처리결과 및 재식별 가능성에 대해 별도의 위원회를 통해 적정성 검토를 거치도록 권장하고 다른 분야의 데이터를 제공할 경우 위원 중 반드시 외부전문가를 포함하도록 했다고 합니다.

 

사후관리를 위해 가명·익명 정보 제공에 대한 대장을 기록·관리하고 활용에 따른 재식별 가능 여부 등에 대한 정기 점검을 해야 한다고 합니다.

 

가명정보를 제3자에게 제공하는 경우, 가명정보에 대한 보호대책을 계약서에 포함해야 한다고 합니다. 또한, 소규모 단위 또는 전문인력 부재 등으로 가명정보 처리가 어려운기관을 지원한다고 합니다. 이를 위해 상급기관이나 한국교육학술정보원의 교육분야 개인정보보호 전문기관을 통해 지원받을 수 있도록 했다고 하네요.😁

 

 

 

2. 공공 '서비스형 데스크톱(DaaS) 보안인증 체계' 확정

클라우드 체계, 출처 : 안랩 최신 보안 뉴스

과학기술정통부(과기부)와 한국인터넷진흥원(KISA)은 클라우드 보안인증제 대상 분야에 '서비스형 데스크톱(DaaS, Decktop as a Service)'을 추가하고 보안인증체계를 확정, 심사인증에 적용한다고 합니다.😀

 

클라우드 보안인증제란, 공공기관에 클라우드 서비스를 제공하고자 하는 민간 사업자가 자사 클라우드 서비스에 대한 보안인증을 요청하면 KISA가 평가 및 인증하는 제도라고 합니다!!

 

DaaS는 클라우드 방식으로 빌려 쓰는 시스템이라고 합니다. 정부에서 보안인증 받은 DaaS가 도입되면 인터넷전용 PC를 따로 둘 필요가 없으며, 안전한 인터넷용 가상PC를 사용할 수 있다고 합니다.😀

 

이에 과기부는 DaaS가 공공기관에 원활히 도입될 수 있도록 DaaS 분야 클라우드서비스 보안인증 체계를 국가정보원과 사전협의했으며, 기업 의견수렴을 거쳐서 마련했다고 합니다.

 

DaaS 인증항목은 110개로, 기본적으로 laaS인증 기준과 유사하다고 합니다. 하지만 DaaS 특화 항목이 추가된다고 하네요.😀

DaaS 인증, 출처 : 안랩 최신 보안 뉴스

기존 laaS 보안인증을 획득한 사업자는 추가 사항만 별도로 인증을 획득하면 되기에 빠른 시간내에 DaaS 인증을 획득할 수 있다고 합니다.😁

 

 

 

3. 다크웹에서 기업 고위경영자 계정 판매

 

블랙마켓에 수백명의 기업 CEO와 CFO 이메일 계정과 액세스 권한을 판매하고 있는 것으로 조사되었다고 합니다.😮

 

사이버 범죄자들은 기업 고위경영진들의 계정을 100$ ~ 1,500$까지 받고 판매하고 있다고 합니다.

 

지난 미국 범무부는 Fxmsp라는 해커가 전 세계 300개 이상 조직을 해킹하고 네트워크에 대한 액세스 권한을 판매하여 기소한 적이 있다고 합니다.

 

네트워크에 대한 액세스 권한을 얻게 되면 맬웨어나 트로이목마를 배포해 계정을 수집하고 시스템에 지속적으로 접근할 수 있는 토대를 구축하게 된다고 합니다!

 

Fxmsp는 지난해 특정 보안 회사의 네트워크에 침투하여 장기 액세스 권한을 획득한 것으로 확인되었다고 하네요🤨

 

 

 

4. 산업제어시스템에 사용되는 실시간 자동화 장치 보안취약점 발견

 

보안 기업 Claroty 보안 연구원은 원격 공격자가 산업제어시스템(ICS-SCADA)을 해킹하기 위해 악용할 수 있는 실시간 자동화(RTA) 499ES EtherNet / IP (ENIP) 스택의 중대한 결함을 발견했다고 합니다.😀

 

이 결함은 CVE-2020-25159로 CVSS에 의해 심각도 9.8점으로 평가되었다고 합니다!

 

2.28 이전에 출시된 모든 버전의 EtherNet / IP 어댑터 소스 코드 스택에 영향을 미친다고 하네요.😀

 

이 취약점으로 DoS가 발생할 수 있으며 다른 조건에 따라 이전 버전의 프로토콜을 실행하는 장치가 원격 코드 실행에 노출될 수 있어 위험하다고 합니다.

 

RTA의 ENIP 스택은 산업 자동화 시스템에서 널리 사용되고 있다고 하네요!

 

오라인에 노출된 시스템만 8,000개 이상이며, 한국에서도 해당 취약점을 해결하기 위해 ENIP 스택의 최신 버전으로 업데이트해야 한다고 합니다😀

 

 

 

 

 

 

 

 

 

 

 

 

출처

1. www.boannews.com/media/view.asp?idx=92932&page=2&mkind=1&kind=2

개인정보위, 교육기관 특화한 가명정보 처리 가이드라인 공개

2. www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29714&key=&dir_group_dist=&dir_code=&searchDate=

공공 ‘서비스형 데스크톱(DaaS) 보안인증 체계’ 확정…클라우드 시장 확대

3. www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29724&key=&dir_group_dist=&dir_code=&searchDate=

다크웹서 판매되는 기업 고위경영자 계정…100달러~1천500달러에 거래

4. www.dailysecu.com/news/articleView.html?idxno=117664

산업제어시스템에 사용되는 실시간 자동화 장치에 심각한 보안취약점 발견…주의 - 데일리시큐