1. 개보위의 개인정보보호 연차보고서 - 개인정보 환경개선·기술지원·자율규제

이번에는 개인정보의 환경개선, 기술지원, 자율규제 촉진 정책을 중심으로 살펴보겠습니다.

(1) 개인정보 환경개선과 기술지원

가. 주민등록번호 대체수단 제공 확대

과거에는 주민등록번호를 본인확인 수단으로 많이 이용했지만 현재는 주민등록번호 없이 본인 확인할 수 있는 대체수단이 필요하게 되었습니다. 이에 따라 "정보통신망법 및 하위법령"에서 주민등록번호 대체 수단을 제공하는 본인확인기관의 지정기준을 마련하였고, 4개의 대체수단이 생겨나게 되었습니다 :D

• I-PIN : 3개의 신용평가사(NICE평가정보, SCI평가정보, 코리아크레딧뷰로)
• 휴대폰 : 3개의 이동통신사(SKT, KT, LG U+)
• 신용카드 : 8개 카드사(국민, 농협, 롯데, 비씨, 삼성, 신한, 하나, 현대카드)
• 공인인증서 : 본인확인기관 지정 등에 관한 기준 제13조에 따라 공인인증기관을 본인확인기관으로 의제

주로 많은 대부분의 사람들이 휴대폰으로 본인인증을 실시하며, 그 다음으로 많이 사용하는 수단이 I-PIN이라고 합니다.

나. E-privacy 클린서비스 운영

행정안전부(행안부)는 개인정보 유출 및 오·남용으로 인한 명의도용·사생활 침해 등의 피해를 최소화하고, 정보주체의 개인정보 자기결정권 행사 보장을 위해 'E-privacy 클린서비스'를 운영하고 있습니다.

이 서비스는 인터넷에서 본인확인 내역을 조회할 수 있으며, 명의도용이 의심되거나 더 이상 이용을 원치 않는 불필요햔 웹사이트에 대한 회원탈퇴를 지원하고 있습니다.

다. 분야별 개인정보보호 포털 운영

행안부는 개인정보보호 관련 정보 제공, 정책 지원, 기술 지원, 온라인교육 등 다양한 서비스를 제공하는 개인정보보호 종합포털을 운영하고 있습니다.

2019년 온라인 교육 수료자는 42만명이며, 포털 이용자 수는 336만명이라는 무시무시한 수치를 가지고 있습니다. 그리고 이외에 다양한 개인정보보호 서비스 지원을 통해 개인정보보호 수준 제고를 위해 힘쓰고 있습니다.

방통위 또한 정보통신서비스 이용자 및 사업자에게 필요한 관련 법규 및 지침 제공, 연구·동향 자료 제공, 개인정보 유출신고 서비스 및 온라인 교육 제공 등 서비스를 제공하는 온라인 개인정보보호 포털을 운영하고 있습니다.

라. 소상공인 대상 등 개인정보보호 기술 지원 추진

사이버 공격에 대비한 정보보호 대응 프로세스를 확보하기 어려운 중·소상공인을 위해 행안부는 개인정보보호 기술 역량을 높이기 위한 기술 지원을 추진하고 있습니다.

개인정보보호기술 역량강화센터는 2019년 동안 쇼핑몰·음식점·학원·복지 관련 사회전반에 종사하는 중·소상공인과 비영리단체 약 177곳을 대상으로 컨설팅을 실시했으며, 4,131명에게 업무용 PC 개인정보 보호조치 점검도구를 배포했습니다. 또한, '업무용 PC 개인정보보호조치 점검도구 고도화'사업을 진행했으며, 2020년에는 중·소상공인 뿐만 아니라 수탁업체 개발자 대상으로 교육을 실시하여 개인정보보호 역량을 높일 계획이라고 합니다.

과학기술정보통신부(과기부)는 전국 8개 지역에서 정보보호지원센터를 운영하고 있습니다. 2019년에 영세·중소기업을 대상으로 웹 취약점 점검, 현장 컨설팅, 민감정보 보호조치 등 4,924건의 정보보호 서비스를 지원했습니다. 또한, 기업 규모에 따른 수준별 종합컨설팅 및 보안솔루션 도입 등을 지원하여 ICT 보유 현황에 맞는 맞춤형 중소기업 정보보호 종합 지원 정책을 추진했습니다.

마. 개인정보 비식별 조치 전문기관의 컨설팅 지원

행안부와 방통위는 새로운 서비스 창출과 신산업 활성화에 데이터 활용 가치가 증대함에 따라 개인정보 침해가능성을 최소화하면서 데이터 산업을 활성화할 수 있도록 범부처 합동 '개인정보 비식별 조치 가이드라인'을 발간했습니다.

KISA는 '개인정보 비식별 조치 가이드라인'에 따라 비식별 조치 공공분야 전문기관으로 지정됬으며, 비식별 조치 기술과 전문인력이 부족한 공공·중소·영세사업자를 대상으로 기업 맞춤형 비식별 조치 컨설팅, 적정성 평가와 더불어 데이터 기술 지원허브(비식별 조치 테스트베드)에서 비식별 조치 실습을 위한 시설 및 장비를 지원하고 있습니다.

또한 비식별 조치에 대한 사회·기술적 인식 제고와 비식별 조치 전문 인력 양성을 위해 기업 비식별 조치 실무자를 대상으로 교육을 실시했습니다.

(2) 자율규제 촉진

가. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)

기존에 과기정통부에서 운영하던 '정보보호 관리체계 인증제도(ISMS, Information Security Management System)'와 '개인정보보호 관리체계 인증제도(PIMS, Personal Information Management System)'를 통합해 '정보보호 및 개인정보보호 관리체계(ISMS-P)로 운영하고 있습니다.

ISMS-P 인증제도 안내서교육교재 및 온라인 교육을 통해 인증 희망 기관의 부담을 완화하는 한편, ISMS-P 온라인 심사신청 등을 통해 수요자 편의 도모 및 업무처리 원활화에 기여했습니다.

나. 개인정보보호 자율규제 및 자율점검 추진

행안부는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하고 민간 협·단체 주도의 자율규제를 활성화하기 위한 활동을 하였으며, 연도별로 알아보도록 하겠습니다 :D

• 2016년 - '개인정보보호 자율규제단체 지정 등에 관한 규정'을 제정·고시했습니다. 이 규정에 따라 자율규제단체는 자체 자율규제 규약을 마련하고 소속 개인정보처리자를 대상으로 교육, 자율점검, 컨설팅 등을 수행
• 2017년 - 자율규제단체의 지정과 단체의 자율규제 활동 등을 지원하는 자율규제 전문기관에 대해 총괄, 분야별 전문기관으로 세분화해 역할 분담을 명확히 했습니다.
• 2018년 - 개인정보 자율규제 활성화를 위한 연구반 운영하여 '자율규제단체 지정 등에 관한 고시 개정(안)' 및 '자율규제단체 운영 개선 방안' 등을 마련했습니다.
• 2019년 - 단체의 개인정보보호 이해도와 수준 제고를 위해 업종별 개인정보처리 특성을 반영한 5개 분야 '업종별 개인정보처리 가이드'를 마련하고 배포했습니다.

방통위는 '방송·통신·온라인 분야 개인정보보호 자율규제 기본계획'을 의결해 자율규제 체계를 수립, 이에따라 통신·쇼핑·알뜰통신·유료방송·스타트업 등 5개 업종별로 특성을 고려해 회원사와 협의 하에 다양한 방식의 자율규제를 추진하도록 유도했다고 합니다.

이와 별개로 설명회 운영과 더불어 개인정보보호 활동을 성실히 수행하거나 수탁사 등에 대한 지원·협력을 위해 적극 노력한 경우, 기준 금액의 30% 이내에서 과태료를 추가 감경할 수 있도록 '개인정보 및 위치정보의 보호 위반행위에 관한 과태료 부과 지침'에 세부기준을 마련했습니다.

또한, 자율규제 시행에 따른 실효성을 제고하기 위해 개인정보보호 자율규제 심의평가위원회를 구성하였으며, 7인의 전문가를 심의평가위원으로 위촉했습니다.

한편, 예산과 인력의 문제로 개인정보보호 여력이 부족한 기업들의 고민을 나누고, 개인정보 관련 법률을 준수할 수 있도록 기업별 맞춤형 컨설팅을 진행했습니다.

컨설팅을 시행한 결과 스타트업 및 창업자를 위한 개인정보보호 가이드라인 부재 등의 에로사항이 있었던 것으로 조사되었으며, 통신 분야의 이행률은 약 98% 높은 수치를 보인 반면, 스타트업 분야의 평균 이행률은 40% 수준으로 나타났습니다.

이에 방통위는 2019년 개인정보보호 현장 컨설팅 지원 사업자 중 개선사항 이행조치 확인·지원에 동의한 사업자뿐 아니라 신규 종소·영세 사업자를 위해 2020년에도 지원을 지속할 예정이라고 합니다.

2. '보건의료 데이터활용 가이드라인' 공개

보건복지부와 개인정보보호위원회(개보위)는 개정된 개인정보보호법 시행에 따른 '보건의료 데이터 활용 가이드라인'을 공개하였습니다.

이번 가이드라인은 보건의료분야 가명정보의 안전한 활용을 위해, 개인정보처리자가 참고할 수 있는 기준을 제시하고자 마련되었습니다.

보건의료 데이터의 가명처리 기준, 방법, 절차 등을 제시함으로써 현장의 혼란을 최소화하였으며, 처리 과정 운영체제, 안전조치 및 윤리적 조치사항 등을 제시함으로써, 정보 주체의 권익을 보호했다고 합니다.

또한 가이드라인은 전문가, 시민사회, 관계기관 등 대국민 의견수렴을 거쳐 공개되었다고 합니다.

이에 개인정보처리자는 '가명정보 처리 가이드라인'에서 제시하고 있는 개인정보 처리 기본원칙을 따르면서, 보건의료 데이터에 대해서는 '보건의료 데이터활용 가이드라인'에서 제시하고 있는 방법 및 절차를 준수하여 가명처리를 진행하여야 합니다. 또한 가명처리가 적절히 수행되며, 재식별 가능성은 없는지를 살필 수 있도록 심의위원회의 적정성을 검토를 거치게 되었다고 합니다.

가이드라인에서는 개인정보처리자가 데이터 유형별로 적절한 가명처리 방법과 절차를 통해 변환하여 활용할 수 있도록 제시하되, 재식별 시 개인인권에 중대한 피해를 야기할 수 있는 정보에 대해서는 원칙적으로 동의를 받아 활용하도록 했습니다.

가명처리 과정에서, 개인을 식별할 가능성이 있는 것은 일련번호를 대체하되, 그 외의 정보는 재식별 가능성을 감안하여 유형별로 적절한 가명처리 방법에 대해 제시했습니다. 안전한 가명처리 방법이 아직 개발되지 않은 경우에는 개인의 동의를 받아 활용하도록 했습니다.

개인정보처리자는 가명정보를 처리하는 경우 안전성 확보조치 기준을 준수해야 한다고 합니다.

• 기술적 : 접근권한의 관리, 접근통제, 접속기록의 보관 및 점검, 악성프로그램 등 방지
• 관리적 : 내부관리계획의 수립, 개인정보취급자 교육
• 물리적 : 출입통제 장치 설치, 보조저장매체의 반입 및 출입 통제 등

또한, 개인이 본인 정보를 처리하여 활용하는 것을 원치않는 경우 개인정보처리자에게 요구할 수 있으며, 가명처리 대상에서 제외할 수 있습니다.

밑의 링크는 보건의료 데이터 활용 가이드라인입니다↓

www.gov.kr/portal/gvrnPublish/view/H2009000000705458?policyType=G00303&Mcode=11220

3. QR코드 방문 인증 시, 최초 동의 1번으로 변경 

29일부터는 QR코드 이용시 개인정보 수집·이용·제공 동의를 최초 한 번만 하면 된다고 합니다 :D

개인정보보호위원회와 중앙사고수습본부는 현장의견을 바탕으로 QR코드 발급기관인 네이버, 카카오, 이동통신사 등과 협의를 거쳐 동의 절차를 간소화했다고 합니다.

이는 QR코드 이용 편의성을 높여 수기출입명부보다 안전성이 확보된 전자출입명부 이용을 활성화하기 위한 조치라고 합니다.

매번 QR코드 인증 시 개인정보 활용 동의를 받는 번거로움도 사라지고 QR코드의 이용률을 높여 신속하고 정확한 역학조사가 이루어질 것으로 예상되네요 :D

출처

www.boannews.com/media/view.asp?idx=91473&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=114243

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29571&key=&dir_group_dist=&dir_code=&searchDate=

1. 게임 산업에 대한 해킹 쉴 틈 없이 발생!

최근 아카마이(Akamai)에서 발표한 '인터넷 보안 현황' 보고서에 따르면 게임 산업이 사이버 공격에 상당히 노출되어 있다고 합니다. 총 1000억 번의 스리덴셜 스터핑 공격을 기록했으며, 그 중 게이머와 게임사들을 노린 공격은 100억번 이상이라고 합니다. 또한 게임 산업의 웹 애플리케이션을 겨냥한 공격은 1억 5200만번 정도 탐지가 되었다고 합니다.

웹 애플리케이션에 대한 공격은 대부분 SQL Injection과 LFI(Local File Inclusion) 형태로 발견되었으며, 즉, 애플리케이션과 웹 기반 게임들이 대부분 이 두가지 형태의 공격에 취약하다고 합니다.

이 외에 공격으로는 DDoS 공격이 많이 사용되었으며, 1년 동안 5600여 번의 DDoS 공격을 탐지했고 그 중 게임산업에 대한 건이 3000번정도 된다고 합니다.  

하지만 아카마이는 게이머나 게임사들은 크게 여의치 않다고 지적했다고 합니다. 조사한 게이머들 중 55%라고 해킹을 당한 경험이 있다고 했으며, 이 중 크게 걱정하는 사람은 20%에 불과했다고 합니다.

그래서 아카마이는 이번 보고서를 통해서 게임 산업은 공격을 많이 받고 있으며 게임이라는 생태계 자체가 상당히 불안한 상태라고 언급했다고 합니다.

2. 개인정보보호위원회, '가명정보 처리 가이드라인' 통합본 발간

개인정보보호위원회(개보위)에서 24일에 '가명정보 처리 가이드라인' 통합본을 발간했다고 합니다. 이에 10월부터 '개인정보보호법'에 따른 가명정보 결합이 본격화 될 것으로 예상된다고 하네요!

2일에 공개한 가명처리편은 개인정보처리자가 자신이 보유한 개인정보를 가명처리하여 활용하거나, 제 3자에게 제공하기 위하여 가명처리 하는 경우 참고하도록 수록하고 있으며, 이번에 추가된 가명정보 결합·반출편은 '가명정보의 결합 및 반출 등에 관한 고시'에 따라 가명정보 결합을 신청하려는 개인정보처리자가 어떤 절차에 따라 결합을 신청하고 결과물을 반출하여 활용할 수 있는지 설명하고 있다.

가이드라인에 의하면, 가명정보를 결합하여 활용하는 자는 가명정보 보유기관과 협의하에 가명정보 제공 동의를 얻은 뒤 총 4단계에 걸쳐 결합을 진행할 수 있다고 합니다. 그리고 결합 진행 과정에서 도움이 필요할 경우 한국인터넷진흥원(KISA)와 실제 결합을 담당하는 전문기관에 지원 요청할 수 있다고 합니다.

결합된 가명정보는 '반출심사위원회'가 심사하여 최종적으로 결합전문기관의 승인을 받아 반출할 수 있고, 이 때 가명정보 결합목적이나 가명정보가 처리되는 환경의 안전조치 수준 등을 고려하여 심사하도록 하고 있습니다. 반출심사는 결합신청자별로 진행되며 여러 명의 결합신청자가 반출하는 경우, 각자 목적을 달성하기 위해 필요한 수준으로 결합 정보를 가명처리해 반출하는 것이 가능하다고 합니다.

한편 개보위는 23일 제4차 개인정보보호위원회 전체회의에서 보건의료분야의 특수성을 반영한 가이드라인을 보고 받았으며, 보건복지부의 최종 수정 후 오늘(25일)에 발간할 계획이라고 합니다.

개보위는 계속해서 분야별 가이드라인 수요를 지속적으로 발굴하며 전분야에 걸쳐 안전한 가명처리 제도가 정착될 수 있도록 노력할 예정이라고 합니다. 그리고 제도적 기반이 완비됨에 따라 제도 활성화와 실제 사례발굴을 위한 지원방안 마련에 집중할 계획이라고 합니다.

가명정보 제도 안내를 위해 '헬프 데스크'를 구축·운영하고, 범부처 협업을 통해 가명정보 결합 선도사례 발굴 추진방안을 마련 중이며, 개보위 홈페이지에 질의응답 게시판 개설 및 운영, KISA에 유선 안내반을 운영할 계획이라고 합니다.

개인정보 처리 가이드라인 최종본 링크입니다 :D ↓

www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=6839

3. 재난지원금 신청 문자 스미싱 구별법

2차 재난지원금이 발표가 되었고, 이에 맞춰 스미싱이 난무하고 있다고 합니다.

이에 24일에 재난지원금 안내 문자 내용과 스미싱 피해 예방 및 피해 발생 시 행동요령을 발표했다고 합니다. 우선 스미싱 문자에 속지 않기 위해 재난지원금 지급 대상인지 확인해야 합니다.

통신비는 16세~34세 및 65세 이상 모두이에게 지급이되며, 고지서에서 자동으로 2만원 차감이 된다고 합니다.

만일 자신이 지급 대상이라면 지원금 안내 문자 내용을 살펴보고, 첨부된 URL을 조심할 필요가 있습니다. 다음은 클릭하지 말아야할 리스트들입니다.

• www.통신비지원.kr
• www.youthcenter.go.kr
• 재도전장려금.kr
• www.폐업재도전장려금.kr

이 외에도 수상한 URL이 있다면 반드시 확인 후 열람하는 것이 좋습니다. 가장 안전한 방법은 인터넷으로 금융사나 공공기관의 홈페이지 주소를 확인 후 들어가는 것이 좋습니다 :D

위의 사진은 스미싱 문자의 경우이며, 공통적으로 URL 클릭을 유도하고 있는 것을 볼 수 있습니다. URL 클릭 시 광고성 카카오톡 채널로 연결되거나, 휴대폰 본인인증을 가장한 피싱 페이지로 연결됩니다.

정부에서는 스미싱에 당하지 않도록 다음과 같이 할 것을 권장했다고 합니다 :D

만일 스미싱 피해를 입었을 경우 금융기관 콜센터에 연락해 경찰서에서 발급다은 '사건사고 사실 확인원'을 이동통신사, 결제대행사 등 관렵 사업자에 제출하라고 당부했다고 합니다.

특히 스마트폰에 설치되어있는 악성파일도 조심해야하며, 다운로드 후 앱을 실행한 뒤 확장자명이 .apk인지 확인하는 것이 좋다고 합니다. 파일이 삭제되지 않으면 서비스센터에 방문하거나 초기화하라고도 하네요 :D

스미싱 피해를 접수받는 KISA(118번)을 통해 상담도 받을 수 있다고 합니다. 그 외 금융, 증권 등 공인인증서를 폐기 후 재발급 받고, 모바일 결제 내역 여부를 확인하는 것도 스미싱 피해를 최소화하기 위한 행동 요령이라고 합니다!

스미싱에 당하지 않도록 안전수칙을 철저히 지키고 조심하도록 합시다 :D

출처

www.boannews.com/media/view.asp?idx=91415&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=114148

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29570&key=&dir_group_dist=&dir_code=&searchDate=

1. 기업들의 매달 패치하는 취약점의 수준 미흡

보안업체인 켄나 시큐리티(Kenna Security)와 사이엔타 인스티튜트(Cyentha Institute)에서 최근 패치와 취약점에 관리에 관한 보고서의 결론에 따르면 모두 기업 규모에 관계없이 평균적으로 취약점의 10%정도만 패치한다고 발표했습니다.

주로 조사한 산업은 기술, 생산, 의료, 금융이었으며, 취약점을 어떤 식으로 관리하며, 우선순위를 정해 패치하며, 취약점 관리에 걸리는 평균 시간을 조사했다고 합니다. 하지만 기업의 규모와 취약점 관리 능력 사이에 어떤 관련성도 찾을 수 없었다고 합니다.

2년전 켄나 시큐리티에서 조사를 진행했을 때 "취약점 우선순위를 매달 정해서 해결하는게 쉬운것이 아니며, 패치를 꾸준히 해도 매달 해결해야 할 취약점이 오히려 늘어난다"라고 기업들이 답했었습니다. 그래서 그 때에 비하면 10%를 꾸준히 해결하고 있다는 것만으로도 다행이라고 긍정적으로 결과를 해석한다고 합니다.

하지만 산업별로 보이는 특징이 없는 것 아니었다고 합니다. 의료 산업의 경우 기계에서 발견되는 취약점들의 수가 많았으며, 그만큼 소해율도 높았다고 합니다. 이는 의료 산업의 경우 장비들에 대한 의존도가 높을 때 나타나는 현상이라고 해석됩니다.

그리고 기술 산업도 소해율이 높았는데 이는 기술에 능숙한 사람들이 많기 때문이라는 결론을 냈습니다. 이에 켄나 시큐리티에서는 환경 요인이 소해율을 높이는 큰 원인이라고 발언했습니다.

다만 금융 산업의 경우, 각 기관이나 은행별로 개발하고 사용하는 장비와 애플리케이션이 천차만별이었으며, 취약점을 해결하는데 타 산업에 비해 4배나 길었다고 합니다. 또한 위험요소가 어느 정도 완화되는데 25% 더 길었다고 합니다.

생산업의 경우, 장비들이 고비용이고 비교적 고장에 노출된다는 특징 때문에 사건 발생 후 복구 작업이 취약점 점검도 같이 이루어 진다고 합니다. 그래서 타 산업에 비해 취약점 해결 시간이 2배 길었으며, 위험한 취약점도 손대지 않는 산업이라고 합니다.

취약점을 해결하려면 시간도 걸리고, 전담인원, 서비스나 생산을 중단 시켜야 할 때가 많기 때문에 현장에서는 쉬운게 아니라고 합니다. 이 때문에 수많은 조직들이 취약점을 통한 공격 가능성을 배제하고 사업을 운영한다고 합니다. 취약점을 안고가는 것이 서비스와 생산을 중단시키는 것보다 안전하다고 판단하는 것이죠.

CISO가 충분한 가시성을 확보하지 못해 관리 계획을 잘못 수립하는 경우도 적지 않다고 합니다.

이러한 결과로 사이엔타는 패치가 정말 불가능하다면, 위험 완화 대책이라도 마련해야 한다고 주장했다고 합니다. 또한 망분리나 중요한 데이터 오프라인 보관과 같은 수들을 마련해 정립시켜야 한다고 했습니다.

2. Samba 취약점 주의

삼바(Samba) 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다.

이번 취약점은 Samba AD(Active Directory) DC(Domain Controller)에서 Netlogon 프로토콜의 취약한 암호화 운영모드 사용으로 발생하는 권한상승 취약점(CVE-2020-1472)라고 합니다.

반드시 최신 버전으로 업데이트를 해야하며 임시 대응 방안은 다음과 같습니다.

"smb.conf" 파일 -> server schannel = yes 추가 -> Reboot

portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472

3. 클라우드 환경으로 이전되면 데이터센터가 중요할까?

최근 디지털 변혁으로 클라우드가 대화의 중심이 되고 있습니다. 클라우드로 이전을 마친 조직들은 대부분 기술, 금융, 사업 운영적으로 극적인 유연성과 확장성을 경험하고 있다고 합니다.

문제는 클라우드 체계로 전환한다는 것은 매우 복잡한 일이라는 것입니다. 클라우드로 이주한다고 해서 디지털 혁신이 끝나는 것도 아니며, '성공적인' 클라우드의 이주라는 것이 1,2가지 형태로 고정되어 있는것도 아닙니다.

여기서 중요한 것은 클라우드로 이전한 사람들은 '아직도 데이터센터에 대한 의존도가 높다'는 말이 들어가 있지 않다는 것이죠! 클라우드로 대부분 인프라를 옮긴 것은 맞지만 새로운 기술을 사업에 접목해 운영하는 것과 변혁을 꾀하는 것의 근간에 데이터센터가 존재하는 것을 빼놓고 클라우드에만 열을 올리는게 클라우드 성공 신화의 공통점이라고 합니다.

현재는 클라우드와 데이터센터를 같이 운영하는 하이브리드 방식이 비용 절감과 생산성 극대화를 위해 가장 합리적인 선택지라고 합니다. 클라우드로의 이전이 중요하긴 하지만 여전히 데이터센터가 필요하며 왜 필요한지 밑에 설명하도록 하겠습니다 :D

(1) 모든 워크로드가 클라우드에 적합하지 않다.

워크로드란, 주어진 시간 안에 컴퓨터 시스템이 처리해야 하는 작업의 양과 성격으로써 현재 직원들이 활용하고 있고 조직 내 형성되어 있는 워크플로우와 뗄 수 없는 관계이라고 합니다.

워크로드가 클라우드로 옮겨 갔을 때, 워크플로우가 더 좋아질 수 있지만 망가질 수 있다고도 합니다. 그 이유는 워크로드를 처리하는데 사용되는 애플리케이션이 클라우드 기술을 전혀 호환하지 못할 수 있기 때문이라고 합니다. 이런 애플리케이션들은 다음과 같습니다.

• 정적 애플리케이션(동적인 활동이 필요 없는 경우)
• 오래된 레거시 애플리케이션
• 데이터 집약적 애플리케이션(데이터를 자체적으로 저장해두고 활용해야 하는 경우)
• 사용 집약적 데이터셋(항시 사용 중이어야 하는 데이터)

다양한 조건들을 제하고 옮길 수 있는 것들을 찾아도 생산성 향상에 미비한 영향력을 가지는 경우가 종종 있다고 합니다. 이는 직원들 중 극히 일부만 사용하거나 생산성과 연관성이 없는 것으로 옮겨도 의미 없기 때문이라고 합니다.

(2) 유연성이 배제된 애플리케이션들이라면 데이터센터와 더 잘 어울린다.

클라우드로 옮길 시 다음과 같은 것들을 옮겨야 제대로된 투자(가치)를 이끌어 낼 수 있다고 합니다.

• 엘라스틱 컴퓨팅(탄성 컴퓨팅, elastic computing)
• 아카이벌 기억 장치(archival storage)
• 서비스(service)

클라우드의 가장 큰 장점 중 하나는 확장성입니다. 이말은 즉, 잘 늘어나고 줄어들고 했을 때 높은 가치를 발휘해야 합니다. 그래서 최근 클라우드를 기반으로 만들어진 요소나 플랫폼을 보면 '탄성 설계'가 잘 되어있으며, 데이터 센터와 호환되지 않는다고 합니다. 다음이 대표적인 예입니다 :D

• AR(증강현실), VR(가상현실)
• IoT(사물인터넷)
• AI(인공지능), Machine Learning(머신러닝)
• Media Service
• developer tool

반대로 정상상태 컴퓨팅이나 생산 저장소 같은 '비탄성 애플리케이션'들은 데이터센터와 더 잘 어울리며 더 많은 기능을 발휘합니다. 즉, 세심하게 살펴볼 필요가 있다는 것입니다. 데이터센터에 남겨두면 좋을 것을 클라우드로 옮긴다고 개발을 다시 시작하는 건 현명하지 못하다고 하네요!

(3) 클라우드로 들어가고 나가는 것에도 큰 비용이 따른다.

클라우드 비용이 낮지 않다는 것도 고려하여야 한다고 합니다. 현재 수많은 기업이 클라우드 업체와 계약을 하고 청구서 액수에 크게 놀라는 경우가 많다고 합니다.

그 이유는 클라우드에 있는 데이터를 빼내어 쓸 때, 특정 기기바이트 당 얼마씩 청구된다고 합니다. 이는 계약 시 대부분의 클라우드 기업들이 데이터 인출 비용(Data Ingress cost)에 대해서 상세히 적지만, 데이터 반출 비용(Data Egress Cost)에 대해서는 별 다른 설명을 하지 않기 때문이라고 합니다. 또한 정적 애플리케이션들을 공공 클라우드에 옮기게 되면 더 많은 비용이 들어간다고 합니다.

(4) 클라우드 이전 후 관리할 자원이 있는가?

클라우드 업체의 플랫폼으로 이전했다고 하여 관리 책임까지 모두 넘어가는 것은 아니라고 합니다. 즉, 누군가는 예산을 확보하고 클라우드 관리를 전담해야 하는 것이죠. 클라우드를 이해하고 관리할 만한 역량이 조직이 있는지 조사하는 것이 중요한 이유라고 합니다.

하지만 대부분은 '그렇지 않다'라는 결론을 내려야 한다고 합니다. 클라우드 전문가는 현재 많지 않으며, 벌써 규모 있는 기업에서 대부분 인력을 확보하고 있기 때문이라고 합니다. 게다가 클라우드 정책은 굉장히 복잡하며, 어려운 실무 수준을 요구하는 탓에 방대한 양의 에너지와 자원을 투자해야 합니다. 즉, 클라우드 인재를 내부에서 키우겠다는 것도 쉽지 않은 일라는 의미입니다.

그리고 클라우드로 옮긴다고 했을 때 안정화 단계에 들어설 때까지 데이터센터의 안정적 자원이 반드시 전제되어 있어야 한다고 합니다.

(5) 클라우드 보안과 컴플라이언스는 데이터센터와 완전히 다르다.

보안과 규정 때문에 클라우드로 못가는 조직들이 많다고 합니다. 클라우드 체제로 이전한다고 했을 때 산업이나 국가가 요구하는 필수 항목은 많아지고 엄격해지는게 보통이라고 합니다. 특히 민감 정보를 반드시 사업적으로 활용해야하는 조직이라면 더욱더 그렇다고 합니다.

그렇기 때문에 데이터센터를 운영해야 한다고 합니다. 민감한 데이터의 범위가 넓어지고 있고 규정은 더 엄격해지고 있기 때문에 적절한 해답이 나오지 않는 이상 하이브리드 체제에 머무를 수 밖에 없다고 합니다.

클라우드가 가지고 있는 장점과 미래력은 너무 좋습니다. 특히 데이터센터 구조가 갖는 한계들을 모두 극복한 것이 클라우드이기 때문에 IT 인프라의 중심이 되는 것은 분명합니다. 하지만 데이터센터에 현대 사회가 필요로 하는 장점이 하나도 남아 있지 않는 것은 아니라고 합니다.

현재는 IT 기술과 이를 관리하는 규정, 법 그리고 모든 것이 혼란스러운 상태로 안전화되어야 할 부분이라고 합니다. 그래서 지금은 데이터센터를 유지하며 클라우드를 차근히 준비해나가는 것, 하이브리드가 좋은 방법이라고 합니다 :D

밑의 사진은 기사에 대한 반론이 제기된 댓글입니다↓ (저는 아직 클라우드를 잘 몰라서 어느것이 진위여부인지는 모르겠으나 공부를 해야겠다는 생각은 학실히 드네요..ㅠ_ㅠ)

출처

www.boannews.com/media/view.asp?idx=91382&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=114097

www.boannews.com/media/view.asp?idx=91297&page=1&kind=1&search=title&find=

1. 개보위의 개인정보보호 연차보고서 - 실태 점검 및 개선

개인정보보호 기반 강화에 대한 5가지 측면의 내용이 담겨져 있다고 합니다.

• 개인정보 침해사고 예방 강화
• 정보주체 권리 보장
• 개인정보보호 실태 점검 및 개선
• 개인정보 환경 개선과 기술 지원
• 자율규제 촉진

이번에는 개인정보보호 실태 점검 및 개선 사항을 살펴보도록 하겠습니다 :D

(1) 개인정보보호 실태 점검 강화

행정안전부(행안부)는 공공·교육·보건복지 등 6대 분야를 대상으로 기획 점검과 현장 점검을 지속적으로 실시하고 있습니다. 또한, 여러 사항을 고려해 행정처분을 받은 사업자 명단을 공개하는 등 경각심을 고취하였으며, 동종 업계 전반의 자체 점검 및 개선 확산을 유도하고 전반적인 개인정보보호 수준을 제고하고자 했습니다.

행안부는 공공기관과 민간 사업자가 법규를 준수할 수 있도록 '개인정보보호조치 안내서'와 '개인정보보호를 위한 필수 조치 사항 안내 리플릿'을 발간하여 개인정보처리자의 자발적 보호 조치 능력을 향상시킬 수 있는 환경을 조성했다고 합니다.

그리고 개인정보 관리실태 점검 기본계획에 따라 국민생활과 밀접한 분야를 대상으로 개인정보보호 현장 검사 및 온라인 검사를 실시했다고 합니다. 이에 위반 기업에 대한 행정처분 결과를 행안부 대표 홈페이지를 통해 공표했습니다.

중·소 사업자를 대상으로 사업자가 자체적으로 개인정보 관리실태를 점검하고, 위반 사항에 대해 개선 조치를 할 수 있도록 2109년에 300여개 사업자를 대상으로 점검을 실시하고 컨설팅을 병행했다고 합니다.

방송통신위원회(방통위)는 정보통신서비스 제공자를 대상으로 관리실태를 점검하고 있다고 합니다. 이를 통해 국내 이용자의 개인정보를 보호함으로써 피해를 최소화하고 국민의 권익을 증진시키는데 노력을 기하고 있다고 합니다.

사이버 공격으로 발생하는 유출사고 사업자 대한 현장 점검을 실시하고, 법 위반사항이 확인되는 사업자는 행정조치를 내렸으며, 이후 행정처분대상자를 대상으로 개선조치를 이행했는지 점검했다고 합니다.

한편, 국내 이용자들의 페이스북·구글 등 글로벌 서비스 이용이 활발함에 따라 해외사업자의 개인정보 침해사고 이슈가 증가되고 있습니다. 그래서 해외사업자에 대한 실태 점검도 이루어 졌다고 하네요 :D

2020년에는 글로벌 서비스를 이용하는 국민을 위해 국내대리인 지정제도, 개인정보 손해배상 책임 보장제도가 안정적으로 정착될 수 있도록 이행 점검을 실시할 계획이라고 합니다.

(2) 개인정보보호 관리수준 진단

행안부는 매년 공공기관을 대상으로 개인정보 관리에 대한 자료를 제출받아 관리수준을 진단하고 있습니다.

관리수준 진단은 관리체계·보호대책·침해대책 등 3개 분야 12개 지표를 가지고 이루어지며 각 기관이 개인정보보호 종합지원시스템에 등록하면, 진단위원회가 검증·진단하고 재검증 신청 등을 거쳐 최종결과를 확정한다고 합니다.

2019년에는 총 778개 기관(중앙부처 46개, 지방자치단체 243개, 지방공기업 150개, 산하 공공기관 339개)에 대해 실시 했으며, '개인정보 처리방침 및 정보주체 권리보장' 진단 지표를 신설하여 정보 주체의 권리 보장을 위한 능동적 관리 기반을 마련했습니다. 또한, 효율적 진단을 위해 지표별 개별 증빙자료 제출 기능을 개발·제공하고, 대상 기관의 편의를 위해 노력했다고 합니다.

결과적으로 '보호대책 수립 및 시행'에 대한 부분이 가장 높게 진단되었고, 기관 유형별로 광역자치단체와 기초자치단체의 관리 수준이 낮은 것으로 나왔다고 합니다. 그리고 개선이 필요한 사항들을 조치하도록 했습니다.

행안부는 진단 결과가 미흡한 기관에 직접 방문하여 현장 컨설팅을 수행함으로써 공공 분야 개인정보 관리수준의 실질적인 향상 지원에 중점을 두었다고 합니다.

(3) 고유식별정보 안전조치 관리실태 조사

행안부는 고유식별정보 관리에 관한 침해 예방과 피해 최소화를 위해 전체 공공기관과 5만명 이상 고유식별정보를 처리하는 사업자를 대상으로, 2년마다 1회 이상 안전 조치 이행 여부를 조사하고 있다고 합니다.

관리실태 조사는 안정성 확보 조치 기준에 따른 주요 점검 항목을 구성하고, 대상기관 자체 점검을 실시해 이행 결과를 제출하게 하는 방법으로 진행되고 있다고 합니다.

행안부는 증빙자료 검토를 통해 대상기관이 제출한 자체 점검 결과에 대한 신뢰성을 검증하고, 고유식별정보처리자의 실질적인 보호수준 향상을 위해 환경을 고려한 맞춤형 방문 컨설팅을 제공한다고 합니다. 조사 기간 중 상담센터 운영으로 사업자 스스로 안전조치 이행 현황을 파악하고 미흡 부분에 대한 개선 조치가 원할하게 이뤄질 수 있도록 지원하고 있다고 합니다.

(4) 금융권 정보활용·관리 상시평가제 도입

현재 신용정보법상 금융위원회에 금융회사 신용정보 관리·보호인이 신용정보 관리 및 보호 계획의 수립 및 시행 등의 업무를 수행하고 보고서를 제출하도록 되어 있다고 합니다. 하지만 여태 보고서에만 따르는 형식적 수준에만 그쳐왔다고 합니다. 이에 개정 신용정보법에서 형식화된 상시평가제도를 도입했다고 합니다.

신용정보법에는 상시평가제도를 통해 신용정보관리·보호인이 처리하고 있는 개인신용정보의 관리 및 보호실태를 정기적으로 점검해 금융위원회에 제출하고, 이를 점수 또는 등급으로 표시해 금융감독원이 검사 시 활용 가능하도록 했습니다.

2. NAS의 보안 지침서 발표

미국의 NAS가 2개의 사이버 보안 관련 문건을 배포했습니다. 이는 국가보안시스템, 국방부의 근무자들, 시스템 관리자들을 위한 네트워크 보안 및 사건 대응 가이드라인이라고 합니다.

(1) 침해된 개인 네트워크 지표와 완화 방법 (Compromised Personal Network Indicators and Mitigations)

이 문건은 원격에서 근무하는 관리자들이 네트워크에서 발생한 침해를 탐지할 수 있게 지표를 알려주고, 완화 방법과 침해지표를 제시하고 있습니다. 하지만 이 문건에 나온 내용으로 방어 체계를 구축한다고 해서 네트워크가 완전히 안전한 것은 아니라고 NSA에서 강조했다고 합니다.

다음은 문건의 완화절차 방법입니다 :D

• 라우터의 리부팅과 재설정
• 원격 관리 기능 해제
• 펌웨어 업데이트
• 감염된 장비 분리
• 네트워크에 연결된 장비들의 비밀번호 재설정
• 안티멀웨어 소프트웨어 운영
• 설치된 멀웨어 제거
• 시스템 복구로 감염 전 상태로 되돌리기

해당 문건↓

https://media.defense.gov/2020/Sep/17/2002499615/-1/-1/0/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF

(2) 긴급 네트워크 관리 수행(Performing Out-of-Band Network Management)

이 문건은 운영과 생산성을 위한 트래픽과 관리를 위한 트래픽을 분리시키는 방법을 알려줍니다. 망분리를 기본 개념으로 하고 있으며, 악성 트래픽이 빠르게 퍼져나가지 못하게 막기 위함이라고 합니다.

긴급관리에 관한 아키텍처 설계에 집중하고 있는데, 망분리를 하기 전 취약점 및 위험도 평가를 먼저하는것이 맞다고 제안했습니다. 또한 VPN 기술을 사용해 장비를 관리하는게 안전하다고 덧붙였습니다. 지속적인 네트워크 모니터링과 로그 열람 역시 중요한 부분이라고 강조되었다고 합니다.

해당 문건↓

https://media.defense.gov/2020/Sep/17/2002499616/-1/-1/0/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF

3. 안드로이드용 버전 파이어폭스 취약점

모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점이 발견되었습니다. 피해자는 특별한 행동이 필요할 필요 없이 같은 와이파이 망에 있기만 하면되며, 취약점을 익스플로잇할 경우 피해자의 안드로이드 장비에서 아무 웹사이트나 열 수 있습니다.

이러한 취약점이 발견된 곳은 안드로이드용 파이어폭스의 Simple Service Discovery Protocol(SSDP) 에진 68.11.0 및 그 이하 버전입니다. SSDP는 네트워크 프로토콜로 네트워크 서비스에 대한 정보를 광고하고 발견하는데 사용된다고 합니다. 공격자는 이 SSDP를 속여 안드로이드 인텐트 URI를 발동시킨다고 합니다. 여기서 인텐트란, 실행되어야 할 오퍼레이션에 대한 추상적 설명이며, 인텐트가 있어야 개발자들은 다른 앱에서 실행되어야 할 행위를 발동시킬 수 있다고 합니다.

모벌리라는 보안 전문가는 다음과 같이 취약점을 설명했다고 합니다. "일종의 '송출 준비 안료' 메시지로, 출력을 할 두번째 화면을 계속 찾고 있는 것입니다. 이메시지들은 UDP 멀티캐스트를 통해 239.255.255.250으로 전송됩니다. 그러므로 같은 네트워크에만 있다면 이 네트워크를 받아볼 수 있게 되는 것입니다. 그리고 이에 대한 대응도 할 수 있습니다."

이러한 이점을 이용해 공격자는 '송출 준비 완료'메시지에 답신을 보내고, 다른 장비로 송출 위치를 지정할 수 있는 것을 이용합니다.

또한 강제로 피싱 페이지를 피해자의 장비에서 여는 것도 가능하며, 악성 .xpi 파일이 곧장 열리도록 하여 악성 확장 프로그램이 설치되도록 할 수 있다고 합니다.

이에 최신 업데이트를 적용하여 안전하게 사용하며, 자동 업데이트가 진행되도록 설정하는 것이 좋습니다.

출처

www.boannews.com/media/view.asp?idx=91350&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=91347&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91349&page=1&mkind=1&kind=1

1. 개보위의 개인정보보호 연차보고서 - 침해사고 예방 강화 및 정보주체 권리 보장

보고서에는 개인정보보호 기반 강화에 대한 내용이 5가지로 소개되어 있습니다.

• 개인정보 침해사고 예방 강화
• 정보주체 권리 보장
• 개인정보보호 실태 점검 및 개선
• 개인정보 환경 개선과 기술 지원
• 자율규제 촉진

이번엔 침해사고 예방 강화 및 정보주체 권리 보장 조치를 알아보도록 하겠습니다 :D

(1) 개인정보 침해사고 예방 강화

가. 개인정보 유출·노출 예방 및 대응

행정안전부는 정부 및 공공기관 등에서 운영하는 홈페이지를 상시 모니터링하며, 개인정보가 탐지되면 즉시 삭제·차단 조치를 한다고 합니다. 그리고 취약·영세 기관 등을 대상으로 노출 재발 방지를 위한 기술 지원을 실시하고 있다고 합니다.

개인정보 노출 예방 및 재발 방지를 위해 전국적으로 예방 교육을 실시하며 대상자의 역량 및 전문 교육 난이도 등을 고려하여 사례 중심의 교육 교재도 개발했다고 합니다.

그리고 행안부는 노출 모니터링 대상 홈페이지를 현행화하고 있으며, 집중 탐지 홈페이지를 선정하고 이에 대한 관리를 강화하고 있습니다. 더불어 기존에 개인정보 탐지 유형이 고유식별정보 4종이었지만 8종으로 확대하고 이미지 형태의 개인정보도 새로 탐지하기 시작했다고 합니다. 이에 875개 홈페이지에서 총 612,772건이 탐지되어 즉시 삭제조치를 했다고 하네요 :D

* 고유식별정보 4종(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)

  -> 고유식별정보 8종 확대(휴대전화번호, 계좌번호, 신용카드번호, 건강보험번호)

방송통신위원회(방통위)는 개인정보 침해사고의 2차 피해 확산을 방지하기 위해 정보통신서비스 제공자에 대한 법 보호 조치 여부를 모니터링하여 유출사고를 예방하고, 노출 대응 시스템을 운영해 국내·외 웹사이트에 노출된 개인정보와 불법 유통 게시물을 탐지·삭제·차단하고 있다고 합니다.

2019년부터 이미지 내 개인정보에 대한 탐지를 본격 실시하여 이미지 형태로 노출된 개인정보 2,890건을 탐지하였고 2,749건을 삭제하는 등 개인정보 탐지 사각지대를 축소했으며, 개인정보 노출된 게시물 12,895건을 탐지해 연락 불가건 등을 제외한 12,615건을 삭제했다고 합니다. 또한 개인정보 판매·구매 목적의 게시물을 121,714건을 탐지해 111,298건을 삭제·차단 조치하였다고 합니다.

방통위는 중화권 국가에서 발생하는 개인정보 침해에도 적극 대응했다고 합니다. 한중인터넷협력센터를 운영해 중화권 웹에서 노출된 개인정보와 불법 유통 게시물 삭제를 강화했으며, 한국인 개인정보 불법 거래가 지속되었던 타오바오와 핫라인을 구축하여 개인정보 판매 게시물 전체 삭제 조치 및 협력 관계를 공고히 했다고 합니다.

그리고 개인정보를 수집·이용하는 웹사이트, 스마트폰 앱(약 30,000개)를 대상으로 모니터링 및 개선 안내를 실시해 개선이 필요한 웹·앱 16,744개 중 12,857개의 개선을 유도하고 인식 제고 및 자발적인 참여를 독려했다고 합니다.

2019년에 개선이 필요한 사업자를 대상으로 교육 및 안내 가이드 배포·전화 상담 등을 지원하고, 해외 앱에 대해서는 모니터링 결과보고서 및 개선 가이드라인, 국내 법령 해설서를 영문으로 지원했다고 합니다. 또한 관련 사업자들이 개선 조치를 할 수 있도록 협력을 강화했다고 합니다. 그리고 앱 미개선 사업자 6,489개에 대해 행정지도 시행을 했으며, 계속해서 미준수 사항을 개선하지 않는 사업자를 대상으로 현장조사를 실시하여 개인정보보호 규정 준수율을 제고했습니다.

나. 개인정보 영향평가제 운영

"개인정보보호법" 제33조에 따라 일정 규모 이상의 개인정보를 처리하는 개인정보파일을 구축·운영 또는 변경하려는 공공기관은 개인정보 침해가 우려될 시 개인정보 영향평가를 통해 위험요인을 사전 분석하고 개선하게 되어 있습니다.

행안부는 이를 위해 개인정보 영향평가 수행하는 신규 전문인력 양성을 위해 227명 대상으로 전문교육을 실시했으며, 53명에게 신규로 영향평가 인증서를 교부함으로서 총 1,213명의 영향평가 전문인력을 확보했다고 합니다. 또한 유효기간 만료 예정인 영향평가기관의 영향평가 수행역량을 전반적으로 심사해 6개 기관에 대한 영향평가기관 지정을 갱신했으며, 품질 검토를 통해 개인정보 영향평가기관의 영향평가 수행품질을 관리했다고 합니다.

다. 개인정보파일 등록 및 관리 강화

행안부는 "개인정보보호법" 제32조에 따라 공공기관이 운용하는 개인정보파일의 등록 현황을 누구나 열람할 수 있도록 종합포털에 공개하고 있습니다. 정보주체인 국민이 개인정보에 대한 권리를 행사할 수 있도록 보장하기 위한 것이라고 합니다 :D

(2) 정보주체 권리 보장

가. 개인정보침해신고센터 운영

2019년 센터에 접수된 신고·상담 건수는 총 159,255건이며 작년에 비해 3.2% 감소한 수치입니다. 이 중 '주민등록번호 등 타인 정보의 훼손·침해·도용'은 134,000 여건으로 전체의 약 84%에 달하는 수치라고 합니다.

밑의 정보는 신고·상담에서 지속적으로 나타나고 있는 것들이라고 합니다.

• 보이스 및 메신저 피싱 등 전자통신 금융사기 관련 상담의 폭증
  ( 약 110,000건, 전체 건수 중 69% 차지 )
• 개인정보 미파기 신고 및 상담 증가
  ( 1,214건, 작년 대비 17% 증가 )
• CCTV 설치 및 운영 관련 신고 및 상담의 지속적 증가
  ( 약 4,800건, 작년 대비 10% 이상 증가 )
• 적법하지 않은 주민등록번호 처리 관행 지속

나. 정보주체 권리 보장 시책 추진

나-1. 국내대리인 지정 및 개인정보 손해배상제도 지원

국내에 정보통신서비스를 제공하고 일정 기준을 충족하는 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법이 개정되었습니다. 그래서 방통위는 의무 대상 국외사업자의 세부기준을 정한 '국내대리인 지정제도 안내서'를 발간했다고 합니다.

그리고 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 이용자에게 손해를 입힌 경우 손해배상책임 이행을 위해 사전 조치를 하도록 정보통신망법이 개정되었습니다. 그래서 방통위는 이에 대응하기 위해 '개인정보 손해배상책임 보장제도 안내서'를 발간했다고 합니다.

그리고 정보통신서비스 제공자 등이 스스로 개인정보 손해배상 책임 보장제도("정보통신망법 제32조의 3) 적용 대상인지 쉽게 판단할 수 있도록 '개인정보 손해배상책임 보장제도 자가진단 안내'도 제공했다고 합니다. 이 안내서들은 한국인터넷진흥원(KISA) 온라인 개인정보보호 포털에서 열람이 가능합니다.

나-2. 프로파일링 대응권 강화

최근 인공지능, 빅데이터 등 기술이 발전함에 따라 다양한 영역에서 개인정보에 대한 프로파일링이 증가하고 있습니다. 그러나 무분별하게 이뤄질 경우 정보주체의 권리가 침해될 소지가 있으므로 이에 대한 적절한 보완 장치가 필요합니다.

EU GDPR은 프로파일링의 근거 및 기준, 개인에게 미치는 영향도 등 정보주체에게 알기 쉽게 전달하고, 거부권 도입으로 프로파일링 과정 및 결과의 투명성을 제고하고 적극적인 대응권을 보장하도록 했습니다.

국내에서도 정보주체의 대응권을 보장하기 위해 개인신용평가와 관련해 설명요구·의견표현·이의제기권 등의 제도를 일부 도입했으며, 마케팅거부권 등 일반적으로 보장되고 있다고 합니다.

개정된 신용정보법은 개인신용평가 관련 금융거래 거절 여부와 관계없이 설명요구, 이의제기권을 폭넓게 인정하고 자동화된 개인평가를 기초로 하는 금융거래에 대한 개인의 적극적 대응권을 도입했습니다.

나-3. 개인신용정보 전송요구권 도입

개인신용정보 전송요구권이란 정보주체가 본인의 개인신용정보를 보유한 기관으로 하여금 본인정보를 제3자에게 이동시키도록 할 수 있는 권리입니다. 자신의 긍정적인 정보 제공 시 평가상 가점제도가 있지만, 개인이 직접 주기적으로 정보를 수집·제출해야 하는 절차가 번거로워 활용도가 낮다고 합니다. 하지만 이러한 전송요구권을 행사한다면 편하게 가점 혜택을 받을 수 있습니다.

또한, 다양한 기관에 분산되어 있는 본인 신용정보를 본인정보관리업자에 제공해 쉽게 정보관리서비스에 접근할 수 있다고 합니다.

나-4. 정보활용 동의서의 실질화·단순화

개정된 신용정보법은 개인정보 수집·활용에서 투명성을 높이고 정보주체를 보호하기 위해 정보활용 동의제도의 개선, 정보활용 등급제 도입 등 금융소비자가 '알고 하는 동의'를 할 수 있게 했습니다.

그리고 금융기관 등이 수집·이용·제공하는 정보의 내용에 대해 요약 정보를 우선 제공하고, 고객이 요구할 경우 상세 정보도 함께 제공하도록 했다고 합니다.

2. 경찰청, 추석 전후 사이버사기 예방 집중

추석 연휴를 앞두고 다양한 추석 선물을 준비하는 과정에서 고가의 상품을 저렴하게 사고자 하는 심리를 이용한 다양한 사이버사기 피해가 증가할 것으로 예상됩니다.

이에 경찰청은 선세적 예방활동을 위해 관련 기관과 기업들이 강력 대응하기로 했습니다. 또한, 사이버 사기 단속 강화를 위해 '물품거래사기 등 4대 사이버사기 특별단속·서민경제침해사범 집중단속 기간( ~ 20.12.31)을 운영하고 있다고 합니다.

경찰청은 9월 11일 KISA 및 주요 중고거래 기업들이 참여하는 간담회를 개최하였으며, 추석 연휴기간을 전후로 사이버 사기 범죄 예방을 위해 온라인상 집중 예방 홍보 활동을 약속했다고 합니다. 그리고 사이버사기 예방을 위한 자체 정책들을 공유하고 협업을 지속적으로 유지하기로 했다고 하네요 :D

이번 협의를 바탕으로, 예방콘텐츠를 제작한다고 합니다. 그리고 사이버사기 예방에 대한 국민인식을 높이기 위해 경찰청 앱(사이버캅)을 통해 피해경보도 발령할 예정이라고 합니다.

최근 주요 범죄 수법으로는 '중고거래 사이트를 벗어나 다른 메신저로 대화 유도', '거래 시 안전거래사이트를 빙자한 가짜 인터넷주소'가 있다고 합니다.

특히, 가짜 안전거래사이트 사용을 유도하는 범죄 수법에 대응하기 위해 주요 안전거래 업체의 '공식 예금주명 리스트'를 제작하여 앱에 공지할 계획이라고 합니다.

또한 기본보안수칙인 출처가 확인되지 않는 메시지 및 인터넷 주소 클릭 주의, 확인되지 않은 앱 설치 금지, 보안 설정 강화 등 예방수칙 준수가 매우 중요합니다.

예방홍보 컨텐츠는 전국 경찰관서, 관계기관·기업의 누리집(홈페이지) 등 다양한 채널을 활용하여 추석 전후로 게시하며, 각 기관·기업에서도 자체 홈페이지 등을 통해 자체 예방콘텐츠를 마련, 홍보를 병행할 예정이라고 합니다.

3. 이란 해커, '2단계 인증' 우히용 악성코드 사용

이란해커가 SMS로 전송된 2단계 인증 코드를 가로챌 수 있는 안드로이드 악성코드를 개발하여 사용한 것으로 나타나싸고 합니다.

글로벌 보안 기업 체크포인트 연구팀에서 밝혔으며, '램펀트 키튼(Rampant Kitten)'이 최소 6년간 활동해왔으며, 이산 소수 민족과 반체제 단체, 저항 운동을 감시해왔다고 언급했습니다.

안드로이드 앱 기반 악성코드는 피해자의 연락처 목록과 SMS 메시지를 탈취할 수 있었다고 합니다. 마이크를 몰래 사용해 피해자의 상황을 녹음하고, 피싱 페이지를 띄우는 것이 가능했으며, 2단계 인증 메시지를 가로채는 기능도 탑재되어 있다고 합니다. 이 악성코드는 "G-"(구글 계정 2단계 인증 코드 앞머리)라는 문자가 포함된 모든 SMS 메시지에 대해 전송을 차단하고 해커에게 전달하게 되어 있다고 합니다.

해커는 이뿐만 아니라 SNS 앱에서 피해자가 기기로 전송되는 SMS 메시지도 미리 입력해둔 전화번호로 전송되게 했다고 합니다. 이는 구글 계정외 다양한 2단계 절차를 우회하기 위한 것이라고 하네요 !

이에 미국 지디넷은 국가에 소속된 해커들이 2단계 인증을 우회할 수 있다는 점은 널리 받아들여지고 있지만, 그 과정과 절차에 대해 알게 되는 것은 매우 드문일이라고 언급했다고 합니다 :D

출처

www.boannews.com/media/view.asp?idx=91301&page=1&mkind=1&kind=2

www.dailysecu.com/news/articleView.html?idxno=113943

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29553&key=&dir_group_dist=&dir_code=&searchDate=

1. 개보위의 개인정보보호 연차보고서 - 국제적 활동과 협력

이번에는 국제적 환경 변화에 따른 대응과 국제협력 강화 부분을 살펴보도록 하겠습니다.

(1) 국제적 환경 변화에 따른 대응

가. EU GDPR 시행 대응

방송통신위원회(방통위)는 EU GDRP의 영향을 받는 기업을 대상으로 법률 이행과 대응 역량을 위한 다양한 사업을 실시 했다고 합니다. 우선 영세·중소기업 15개사 대상으로 주기적인 컨설팅을 실시했으며, GDPR 전문 상담창구를 운영하여 170여회 GDPR 관련 상담을 제공했다고 합니다.

또한, GDPR 홈페이지를 개편했다고 합니다. 이는 GDPR 관련 창구를 일원화하고 최신 동향을 빠르게 제공하기 위한것으로 GDPR 개요, EU 주요국의 법·제도, 신고 및 위반 사례 등 여러 정보를 제공했으며, GDPR 자가 진단도구를 개발하여 기업이 스스로 GDPR 준수 현황을 기초 진단하고, 이행이 필요한 사항을 점검할 수 있도록 했다고 합니다.

장기적 관점으로 실무자를 위한 GDPR 전문 교육 과정 8종을 개발하고, 18회의 교육을 실시했다고 합니다. 이러한 종합적인 지원 사업을 통해 방통위는 구체적이고, 현업에 바로 적용 가능한 도움을 제공했다고 하네요 :D

나. APEC CBPR 인증기관 활동

우리 정부는 한국인터넷진흥원(KISA)를 국내 CBPR 인증기관으로 지정하고, APEC의 심사 절차 지원을 위해 KISA의 CBPR 인증기관 업무 적합성에 대한 검토보고서를 19년 7월에 APEC에 제출했습니다. 이후 검토와 질의 응답을 거쳐 공식 승인됨으로써 우리 기업들이 CBPR 인증을 신청할 수 있게 되었습니다.

20년부터 국내 CBPR 인증제도가 시행되며, 확산과 활성화를 위해 CBPR 안내서 개발, 안내 페이지 개설, 사업자 대상 설명회 개최 등 다양한 활동을 수행할 예정이라고 합니다 :D

(2) 국제협력 강화

가. 개인정보 국제협력 기반 마련

행정안전부는 해외에서 발생한 우리 국민의 개인정보 피해를 구제하고 해외 진추 국내 기업에 개인정보보호 법제 정보를 제공하기 위해 홈페이지를 운영하고 있으며, 상담 서비스를 제공하고 있습니다. 해외 국가 정보, 자료실 메뉴 등이 있으며, 해외 국가 9개국의 개인정보보호 관련 법률 체계, 행정 체계, 피해 구제 체계 등 여러 자료를 제공하고 있다고 합니다.

나. 국제적 이슈에 대한 적극적 대처

나-1. 국제 개인정보보호 감독기구 협의체(GPA, Global Privacy Assembly)

GPA는 매년 1회 정기총회를 개최하며, 개인정보보호 분야 법제 동향·신기술 발전 등에 따른 주요 변화와 관련된 여러 사항을 논의해 결의안을 채택하고, 국제적 차원의 개인정보보호 토론의 장으로서 중요한 역할을 하고 있습니다.

나-2. 아시아-태평양 프라이버시 감독기구(APPA, Asia Pacific Privacy Authorities)

개인정보보호위원회는 APPA 회원으로 매년 포럼에 참석해 국내 개인정보보호 정책 현황 및 동향을 회원국에 소개하고, 개인정보보호 분야에 관한 이슈를 논의하고 있다.

51차와 52차 포럼에 참석하여 국내 "개인정보보호법" 개정 동향을 소개하고, 각국의 개인정보보호 법령정보 공유를 위한 공통 포털 개설을 제안했다고 합니다. 또한 AI 등 신기술 발달에 따른 국제 개인정보보호 이슈와 해외 우수 법제 및 집행 사례에 대해 논의하고 해외 개인정보보호 감독기구들과의 협력 관계를 공고히 했다고 합니다.

나-3. 유럽평의회 108호 협약(Convention 108) 자문위원회 활동

개인정보보호를 목적으로 구성된 108호 협약에 근거로한 자문위원회로, 해당 협약의 현대화 작업 및 주요 원칙 이행 확대·협력 사업을 통한 데이터 보호 분야의 법적·기술적 지원 제공, 개인정보보호 관련 보고서 및 가이드라인 발간 등의 업무를 수행하고 있다.

나-4. 국제 프라이버시전문가협회(IAPP, International Association of Privacy Professionls)

2000년에 설립된 개인정보보호 및 프라이버시 분야의 비영리기구로, 다국적 기업, 정부기관, 프라이버시 전문가 등 여러 분야의 관계자들이 참여해 국제 개인정보보호 인증 프로그램을 운영하고 다양한 교육 프로그램도 제공하고 있습니다.

2. 랜섬웨어로 인한 사망 사건 발생

독일 뒤셀도르프대학에서 운영하는 종합병원으로 최근 IT 시스템이 마비가 되어 사망한 사건이라고 합니다. 해커가 네트워크의 약한 부분을 침해했으며, 이는 널리 사용되는 상업용 소프트웨어라고 합니다.

해커의 공격으로 시스템이 마비가 되어 응급환자들과 수술이 예약되어 있었던 환자들이 다른 병원으로 이송되어야 했으며, 그 과정에서 1명이 사망했다고 합니다.

하지만 랜섬웨어라고 단정 짓지는 않았다고 합니다. 병원 측에 요구된 해커의 요구사항은 없었으며, 그냥 연락을 달라고 한 내용 뿐이었다고 합니다. 특히 받는 사람이 병원이 아닌 대학교로 되어 있다고 합니다.

경찰은 범인에게 대학이 아니라 병원이 마비되었고 환자들이 위험에 처해 있다고 설명했으며, 범인은 협박을 취소하고 데이터 복호화에 필요한 디지털 키를 제공했다고 합니다.

이렇게 실제 보안사고로 인해 사망하는 사건이 발생했습니다. 특히 이번 사건은 병원과 산업시설을 겨냥한 공격들이 이러한 사태로 이어질 가능성이 높다고 보안 강화를 주장했었던 부분으로 경각심을 일으킨 사건이 아닌가 생각합니다. 이 사건에서 병원의 '보안 강화 책임 소홀'이 얼마나 적용한 것으로 독일 사법부가 판단할지 주목되고 있다고 합니다.

3. 블루투스 BLESA 취약점

BLESA는 새로운 취약점으로 블루투스 저전력(BLE)에서 발견되었다고 합니다.

BLESA는 BLESA Spoofing Attacks의 준말로, 블루투스 연결이 재성립되는 과정에서 일어난다고 합니다. 공격자들은 재연결 시 필요한 인증과정을 BLESA를 통해 우회하여 자신들이 표적으로 삼은 장비에 접근해 데이터를 보낼 수 있다고 합니다. 장비가 의도치 않은 기능을 하거나 다른 역할을 하며 거짓 정보를 심는 것도 가능하다고 하네요 :D

BLE 프로토콜을 워낙 많은 곳에서 사용되기 때문에 상당히 광범위한 영향력을 발휘한다고 합니다. BLE은 에너지 효율을 높여주며 사용이 간편한데, 이 사용이 간편하다는 것은 페어링 할 때 사용자가 조작할 것이 거의 없다는 것이며, 여기서 문제의 근원이 나왔다고 합니다.

퍼듀대학의 보고서의 내용 중 일부 설명되어 있다고 합니다. "BLE 프로토콜은 BLE가 구현된 장비들끼리 얼마든지 연결되어 각종 정보를 주고받을 수 있도록 만들어졌습니다. 그래서 BLE 장비가 연결된 서버를 공격자가 발견하기만 하면 특성 정보를 쉽게 가져갈 수 있습니다. 그리고 BLE는 애드버타이징 패킷을 항상 평문으로 전송합니다."

이에 퍼듀대학은 보고서를 통해 2가지를 수정해야 한다고 합니다.

- 장비들 간 재연결 시 인증을 필수가 아닌 경우가 많다.

- 장비들 간 재연길 시 인증 절차가 두 가지로 제공된다.

현재 BLESA 공격이 가능한건 Linux, Android, IOS 체제 모두에서라고 합니다. 애플은 지난 이 취약점에 대해 CVE-2020-9770이라는 번호를 부여하며 패치를 발표했고, 구글은 아직 취약한 상태라고 합니다.

출처

www.boannews.com/media/view.asp?idx=91252&page=2&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=91282&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91250&page=2&mkind=1&kind=1

1. 개보위의 개인정보보호 연차보고서 - 개인정보보호 관련 법·제도 개선

이번엔 개인정보보호법에 관련된 법·제도에 대해 알아봅시다.

(1) 데이터 3법 개정

가. 개정 경과

데이터 경제 활성화 요구가 확산되면서 2018년에 발의된 데이터 3법의 통과를 위한 노력이 시작되었다고 합니다. 행정안전부, 방송통신위원회, 개인정보보호위원회 등 시민사회와 산업계의 우려를 해소하기 위해 소통과 협력을 추진하였으며, 데이터의 안전한 활용과 개인정보보호의 조화를 위한 "개인정보보호법" 개정 작업이 완료되어 8월 5일에 시행되었습니다.

"개인정보보호법" 개정안의 의결을 전제로 유사 중복되었던 "정보통신망법"의 내용들을 삭제하였으며, "개인정보보호법"과 상이하거나 정보통신망법에만 있는 규정은 특례로 이관하는 등의 내용을 담은 "정보통신망법" 개정안도 8월 5일부터 시행되었습니다.

그리고 신용정보법 또한 8월 5일에 시행되었습니다. 이는 금융건 빅데이터 활용의 법적 근거가 마련되었고, 마이데이터 등 새로운 혁신 분야 기업의 출현 기반도 마련되었다고 합니다.

나. 주요 개정 내용

첫째로 "개인정보보호법"의 주요내용을 알아보도록 합시다.

- 개인정보 판단기준 명확화(제2조 제1호 개정; 제58조의2 신설)

- 데이터 활용을 위한 가명정보 제도화(제2조 제1호 개정, 제28조의2 신설)

- 수집목적과 합리적 관련 범위 내에서 활용 확대(제15조, 제17조 개정)

- 가명정보 간 결합 근거 마련(제28조의3 신설)

- 개인정보처리자의 책임성 강화(제28조의4 신설)

- 개인정보보호 추진체계 효율화(제7조 개정 등)

개인정보와 관련된 법률이 "개인정보보호법"으로 일원화 되면서 적용 법률에 대한 혼란, 중복규제 등 기존의 문제들을 해결할 수 있을 것으로 보인다고 합니다. 또한 가명 정보 활용에 대한 데이터 활성화도 이루어지도록 내용을 추가하였네요 :D

둘째로 "정보통신망법"은 개인정보보호 관련 조항이 모두 "개인정보보호법"의 특례 조항으로 이관되고 "정보통신망법"에서는 삭제되어 개인정보보호 관련법 및 관리 체계를 일원화했습니다.

셋째로 "신용정보법"의 주요 내용을 알아보도록 합시다.

- 빅데이터 분석·이용의 법적근거 마련

- 금융 소비자의 권리를 보장하고 개인정보보호를 강화

- 개인정보보호 추진체계 효율화

- 금융 분야 마이데이터 산업 도입

(2) 기타 정보통신 분야 개인정보보호 법령 정비

방송통신위원회는 개인정보 자기결정권 보장을 강화하고 정보통신서비스 제공자 등의 책임성을 강화하기 위해 정보통신망법 시행령을 개정했습니다.

- 정보통신망법 시행령 제16조의2를 신설해 정보통신서비스 제공자 등의 자율적인 개인정보보호활동의 촉진 및 지원을 하도록 하였으며, 이를 통해 개인정보보호 활동 계획의 이행결과 평가 등을 할 수 있는 근거를 마련했다고 합니다.

- 일정 규모 이상의 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법 제32조의5를 신설했다고 합니다. 이에 국내 대리인 지정제도의 차질없는 시행을 위해 국내 대리인을 지정해야하는 의무 대상 사업자 세부기준을 다음 "정보통신망법" 시행령 제17조의2를 신설했습니다.

- 방통위는 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 손해를 입힌 경우 손해배상 책임을 이행을 위해 조치를 하도록 "정보통신망법" 제32조의3이 신설됨에 따라 개인정보보호 손해배상책임보험 등에 가입 또는 준비금을 적립해야 하는 정보통신서비스 제공자 등의 범위, 기준을 등을 정하는 "정보통신망법" 시행령 제18조의2를 신설했습니다.

- 방통위는 "정보통신망법" 시행령 제19조의2를 신설해 14세 미만 아동의 개인정보 수집, 이용, 제공을 위해 법정대리인이 동의햇는지 확인하는 방법을 활용하도록 했습니다.

(3) 정보기술 환경 변화에 따른 제도 개선

행정안전부는 개인정보의 유출 및 오남용을 방지하기 위해 "개인정보의 안전성 확보조치 기준"을 개정했습니다.

개인정보처리시스템의 접속기록에 대한 관리기준을 강화했는데, 개정된 내용에 따르면 개인정보처리자는 다음과 같이 이행하여야 한다고 합니다.

- 접속기록 보관기간 연장( 6개월 -> 1년 )

- 점검기준 강화( 반기별 -> 월별 )

- 접속기록 항목을 구체화해 저장 및 보관

(4) 주민등록번호 처리와 관련된 법률 등의 제개정 현황

2019년 주민등록번호 처리 근거와 관련하여 "금융혁신지원 특별법 시행령" 등 4개 대통령령이 제정되었고, "조세특례제한법" 등 9개 법률과 "소득세법 시행령" 등 67개 대통령령 등이 개정되었다고 합니다 :D

2. 새로운 백엔드 접근 기술 'h2c smuggling'

파괴력이 높은 새로운 유형의 해킹 공격인 h2c smuggling이 발견되었다고 합니다. 이를 발견한 보업업체 비숍 폭스의 제이크 밀러는 다음과 같이 설명했다고 합니다.

"HTTP 요청을 '밀수'할 수 있게 해주는 공격이다. h2c는 HTTP/2가 HTTP/1.1 Upgrade 헤더를 통해 발동될 때

성립되는 프로토콜을 가르킵니다. 평문으로 통신을 한다는 특징을 가지고 있죠. 공격자가 h2c를 사용해

중간 서버 또는 프록시 서버로 요청을 보내면 서버 접근 제어 장치들을 피해갈 수 있게 됩니다.

이를 성공하면 내부 헤더들을 마음대로 조작하거나 내부 네트워크의 엔드포인트에

접근할 수 있습니다."

- 제이크 밀러, 비숍 폭스

h2c smuggling 공격의 위험성에 노출된 조직들이 꽤나 많은 수준이라고 주장했다고 합니다. 그리고 기술적인 관점에서 보더라도 h2c smuggling의 위험성은 모든 종류의 프록시 서버에 잠재되어 있다고 합니다.

이에 대한 해결책으로 프록시 의존도가 높은 애플리케이션을 사용하고 있다면, 임의의 업그레이드(HTTP/1.1 Upgrade) 헤더들을 포워딩 하지 않도록 설정하라고 설명했습니다.

그리고 h2c smuggling은 현재까지 한번도 언급되거나 발견된적이 없는 기법이라고 설명했습니다. 즉, 실제 해커들이 이미 활용하고 있는지 아닌지 확인할 방법이 아직은 없다는 것이죠.

h2c 공격을 실행하려면 두 가지 전제 조건이 마련되어 있어야 한다고 합니다.

- 설정 오류

- h2c 업그레이드를 지원하는 백엔드

문제가 되는 것이 상당수의 프록시 서비스가 디폴트 설정을 통해 h2c 헤더들을 전달하도록 만들어져 있다는 것입니다. 하지만 이 공격을 실행시키는게 쉬운 일은 아니라고 설명을 했다고 합니다. 새로운 유형의 기법이니 한번은 봐두는 것이 좋을 것 같네요 :D

비숍 폭츠에서 이 기법에 대해 깃허브에 기록해 두었다고 합니다 :D

https://github.com/BishopFox/h2csmuggler

3. MrbMiner 변종 악성코드 주의

시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 특정 해커 그룹이 MSSQL 서버에 무작위 대입 공격을 실행했다고 중국 정보보안 업체인 텐센트시큐리티가 밝혔다고 합니다. 그리고 이 악성코드가 'MrbMiner'이라고 합니다.

이 악성코드는 C2 서버에서 리눅스 서버 및 ARM 기반 시스템을 공격하도록 설계되었다고 합니다.

텐센츠 측에 의하면 해커팀은 크로토마이너를 설치하기 위해 SQL 서버의 취약한 비밀번호를 뚫고 칩입했으며 MSSQL 서버 수천대를 공격하기 위해 봇넷을 사용했다고 합니다. 그리고 이어 타깃 시스템에 C#으로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이목마를 다운로드 및 실행했다고 합니다.

출처

www.boannews.com/media/view.asp?idx=91186&page=2&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=91255&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=113825

1. QR코드 해커들의 표적이 될까?

요즘 코로나19 역학 조사를 위해 QR코드를 적극 활용하고 있습니다. 이에 QR코드를 해커들도 활발히 연구하고 있다고 합니다 :D

지금 현재의 문제는 QR코드가 활발히 사용하게 되면서 아무렇지도 않게 스캔하고 있다는 것입니다. 많은 사람들이 악성 QR코드와 정상 QR코드를 구분할 줄 모른다고 합니다.

QR코드의 위험성은 여러 행위로 볼 수 있다고 합니다. 주로 웹사이트가 열리는 용도로 알고있지만 그 외에도 많은 행위들을 할 수 있다고 합니다.

• 이메일 작성
• 통화 연결
• 홍보물 열기
• 지도 상에서 한 지역 열람하기
• 네비게이션 자동 시작
• 페이스북 자동 열기
• 페이팔을 연 후 미리 설정한 결제를 완료하기
• etc...

그럼 공격 시나리오는 다음과 같습니다.

• URL에 멀웨어를 호스팅
• URL을 QR코드에 임베드
• QR코드를 스캔할 경우 멀웨어가 발생되면서 각종 악성 행위 실행
• 멀웨어를 통해 장비 정보를 유출 및 피싱 사이트 안내 등 다양한 공격이 가능

큰 문제는 이렇게 악성행위를 할 수 있다는 것을 알고 있는 사람들이 많지 않다는 것입니다.

- 67%는 QR코드로 URL을 열 수 있다는 걸 알고 았다.

- 19%는 QR코드로 이메일 초안을 작성할 수 있다는 것을 알고 있다.

- 20%는 QR코드로 전화 통화를 시작할 수 있다는 것을 알고 있다.

- 24%는 QR코드로 문자 메시지를 시작할 수 있다는 것을 알고 있다.

- 35%는 QR코드로 해킹 공격이 가능한지 확신할 수 없다고 대답하였다.

그렇기 때문에 QR코드로 악성 행위가 활발히 이루어지기 전에 보안 연구가 필요하다고 합니다 :D 

2. 채용 관련 랜섬웨어 주의!

최근 이력서와 입사지원서, 포트폴리오 등 채용과 관련한 문서파일로 위장한 랜섬웨어를 다수 발견하였다고 합니다.

주로 "포트폴리오, 이력서, 경력사항" 등을 제목으로 한글 및 PDF 등 정상 문서파일의 아이콘 형태를 띄고 있지만 확장자는 실행파일(.exe) 형태입니다.

이번 랜섬웨어는 취업시즌이 맞이하여 기업이나 기관 사용자를 노린 것으로 보입니다. 실제 확장자명을 반딋 확인하고 출처가 불분명한 메일 첨부파일과 URL은 실행하지 않는 등 랜섬웨어에 주의하여야 됩니다. :D

3. 개인정보보호위원회, 코로나19 개인정보 관리실태 비대면 현장점검 실시

개인정보보호위원회(개보위)는 코로나19 역학 조사를 위해 처리되고 있는 개인정보 관리실태에 대한 비대면 현장점검을 실시했다고 합니다.

이번 점검은 출입명부, 확진자 이동경로, 휴대폰 기지국 접속정보를 활용해 개인정보 관리 실태를 점검하고 개인정보보호 강화대책을 논의하기 위해 이루어졌다고 합니다.

11일부터 수기명부에서 성명을 제외하고 휴대전화번호, 시·군·구만 기재하며, 테이크 아웃 시 출입명부 작성을 면제하는 조치가 시행되었다고 합니다.

전자출입명부는 한국사회보장정보원과 QR코드 발급기관이 QR코드를 4주 보관 후 파기하고, QR코드 저장 서버에 대한 접근통제 및 접근권한 제한 조치, 보안프로그램 설치 등 안전성 확보조치를 이행하고 있다고 하네요 :D

그리고 현장점검에 이어 '중대본 권고지침의 내용 중 확진자 이동경로 공개 범위 및 삭제시기 준수 의무화', 'QR코드 이용 활성화등을 위한 후속 조치 추진 방안' 방역당국과 협의했다고 합니다.

출처

www.boannews.com/media/view.asp?idx=91228&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29544&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=113803