1. 개보위의 개인정보보호 연차보고서 - 중앙행정기관(감사원, 방통위, 국무조정실)

(1) 감사원

가. 개인정보 처리방침 재작성 및 내부관리계획 등 수립

'감사원 개인정보 처리방침'을 전면 재작성하여 개인정보보호 처리방침에 기재해야 할 사항을 '행안부 개인정보 처리방침 표준안'에 맞게 재작성한 후 감사원 홈페이지에 공개했습니다. 또한, 개인정보 처리 안전성을 확보에 필요한 안전 조치에 관한 '내부관리계획'을 수립 및 시행했고, '재해·재난 시 개인정보처리 위기 대응 메뉴얼' 및 '개인정보 침해대응 메뉴얼'을 작성하여 내부관리계획에 포함·시행했다.

나. 관리체계 강화

감사원은 개인정보처리시스템에 축적된 개인정보 등 보호를 위해 사이버 보안센터 구축을 위한 용역을 실시했고, 개인정보관리 보안솔루션을 도입 등 관리체계를 강화했습니다.

다. 개인정보취급자 교육 실시

감사원의 업무 특성상 잦은 출장으로 출장 전 개인정보보호 교육 실시 공지 및 교육교재를 배포함으로 효율적인 교육을 실시했습니다. 또한, 전 직원의 개인정보보호 인식 제고 및 개인정보의 오·남용 또는 유출 예방 교육을 실시했습니다.

(2) 방송통신위원회(방통위)

가. 개인정보의 안전한 이용 및 관리

방통위는 매년 내부관리계획을 수립하고 위원회 개인정보 관련 정책·지침 및 처리방침을 재정비하고 있습니다. 또한, 개인정보처리시스템에 대한 개인정보 관리실태를 매월 점검하고 개인정보의 안전성 확보를 위한 보호 활동에 노력하고 있다. 이와 함께 홈페이지와 개인정보처리시스템에 대해 취약점 점검 및 모의해킹을 수행하고 발견된 취약점은 즉시 조치했으며, 홈페이지에 대해 개인정보 유·노출 점검을 실시해 불필요한 개인정보 노출을 점검하고 있습니다.

나. 교육 내실화

개인정보보호에 대한 인식 제고를 위해 전 직원 대상 반기별로 교육을 진행했으며, 용역사업자들에게도 교육 및 관리·감독을 주기적으로 실시하고 있습니다. 개인정보보호 업무담당자는 개인정보보호 콘퍼런스·전문교육·워크숍 등 참석하여 전문역량을 강화했으며, 내부 업무포털에 규정·수칙 등을 게시하고 있습니다.

다. 개인정보 침해대응 체계 점검 및 강화

최근 사이버 공격으로 개인정보 유출사고가 빈번함에 따라 실전 대응 훈련을 실시했으며, 방통위 소관 주요 정보통신기반시설 관리기관을 대상으로 침해사고 발생 상황에 대비한 모의훈련을 통해 대응 능력을 향상시켰습니다. 또한, 산하·유관기관과 개인정보 침해사고 대응 합동 모의훈련을 실시해 체계적이고 신속한 상황전파 체계 및 피해 방지를 위한 임무와 역할 숙지 여부를 점검했습니다.

(3) 국무조정실

가. 개인정보보호 지침 및 내부 규정 정비

"개인정보보호법 시행령" 및 "개인정보의 안전성 확보조치 기준" 개정에 맞춰 개인정보보호지침 및 내부관리계획을 정비했습니다. 이는 유출사고 대응절차를 구체화하고 처리시스템 점검주기를 변경하는 등 일부 조항을 신설·보완했습니다. 또한, 개인정보보호 관리체계를 제정·정비했으며, 이를 내부 게시판에 공지하여 개인정보취급자와 직원들이 준수할 수 있도록 안내하고 교육하여 이해도를 향상시켰습니다.

나. 산하 연구기관 개인정보 관리실태 지도·점검

산하기관 개인정보 관리체계 개선을 위해 경제·인문사회 분야 연구기관 18개 기관에 대하여 2차례 개인정보 관리실태 지도점검을 시행했습니다. 점검 결과 미흡 사항에 대해서는 기관별로 이행 계획을 세워 개선하도록 했으며, 우수한 기관에 대해서는 국무조정실장 표창을 수여해 산하 연구기관 개인정보보호 관심 제고를 위해 노력했습니다.

다. 개인정보 수집·이용 동의 실태분석 및 개선

국무조정실은 주기적으로 개인정보 수집 및 이용 실태를 점검했습니다. 개인정보 수집이용 공통양식에 제3자 제공 내용을 추가해 내부 게시판에 공지하는 한편, 소관 웹사이트를 대상으로 개인정보 수집·이용 및 제3자 제공 동의절차 이행 여부를 점검하여 미흡 사항을 개선했습니다. 또한, 개인정보 수집·이용 여부를 점검하여 불필요하게 과다 수집·운용 중인 개인정보파일에 대해서는 파기 또는 보유기간을 수정하고, 행정규칙 중 법적 근거 없이 고유식별정보를 수집하는 서식은 해당 부서에 개선 권고를 했습니다.

2. 해킹그룹 탈륨, 통일부 북한인권기록센터 위장 공격

통일부 북한인권기록센터에서 보낸 것처럼 위장한 스피어피싱 해킹 공격이 대북 관련 단체를 대상으로 펼쳐지고 있다고 합니다😣

이전에 탈륨이 미국 MS에 고소를 당하며 국제 사회에서 주목을 받았었는데, 한국에서는 대북 및 탈북 분야 민간단체를 포함해 정치, 외교, 안보, 통일, 국방 전현직 관계자를 주요 해킹 대상으로 사이버 첩보 활동을 전개하고 있다고 합니다. 이외에도 북한과 관련된 내용을 취재하는 언론 기자도 꾸준히 공격받고 있다고 합니다.

추석 연휴가 시작하던 지난 9월 29일 발생했으며, 진짜 북한인권보고서와 비슷하게 만들어서 문서를 사칭한 것으로 나타났다고 합니다😶

이메일 내용과 수신자에 신뢰성 글이나 이름을 넣고 열람하도록 치밀하게 구성되어 있으며, '북한인권백서-2020.doc'를 다운받도록 유도하고 있다고 합니다. 그리고 실행하면 [콘텐츠 사용] 버튼 클릭을 유도하게 되는데 이는 악성 매크로 명령 실행을 위한 것이라고 합니다❗

분석에 의하면 매크로 영문 유도 화면이 뜬다고 하는데 해외에서 이미 다수 보고된바 있는 'TA551' 위협의 악성 문서 템플릿과 동일하다고 합니다. 밑의 내용은 문서 행위 실행 순서입니다.

• [콘텐츠 사용] 버튼 클릭
• 숨겨진 악성 매크로 기능과 파워셸 코드 동작
• 코드 동작 실행 시 컴퓨터 정보가 'Alzip.hwp'' 파일로 저장
• 'busyday.atwebpages[.]com' 서버와 통신하며 정보 탈취
• 추가 명령에 따라 파워셸 기바느이 키로깅 기능 실행

코드 설정에 의하면 윈도우 64비트에서만 정상 감염 활동을 하는 특징이 있다고 합니다!! 각별히 속지 않도록 주의하는 것이 좋을 것 같습니다.😊

3. 미국 의료SW 기업, 랜섬웨어 피해로 인해 코로나19 백신 임상 불똥

백신 임상시험에 활용되는 소프트웨어 개발 기업 e리서치테크놀로지(ERT)가 랜섬웨어 공격당했다고 합니다.🤨

이번 공격으로 피해를 입은 기업들이 코로나19 관련 임상시험에 차질을 빚는 영향을 받을 가능성이 제기되고 있다고 합니다.

현재 정상 시스템 운영을 위해 노력하고 있으나, 해당 SW를 사용하는 일부 기업의 임삼시험 일정이 지연될 것이라고 합니다. 또한 ERT가 모든 시스템을 오프라인 상태로 전환하면서 고객들이 주요 데이터에 접근할 수 없게 됬다고 하네요😕

ERT 소프트웨어는 전 세계 의료 조직에서 널리 사용되는 제품이라고 합니다. 특히 바이오 제약회사 '아스트라제네카'의 코로나19 백신 임상시험 계약 연구기관 아이큐비아가 피해를 입었다고합니다. 그나마 백업 데이터가 있어서 최악은 면했다고 하네요😊

이에 보안업계 일각에서는 최근 랜섬웨어 공격 동향이 의료, 제약 부문을 주요 타깃으로 하고 있으며 관련해서 투자와 조치가 필요하다는 의견이 제기되고 있다고 합니다!

출처

www.boannews.com/media/view.asp?idx=91576&page=1&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=91616&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29587&key=&dir_group_dist=&dir_code=&searchDate=

1. 개보위의 개인정보보호 연차보고서 - 헌법기관 4곳의 주요 실적

(1) 국회

가. 개인정보보호시스템 강화

국회는 매년 정보보호 컨설팅을 실시하며, 각종 사이버 침해 대응 체계를 확보하기 위해 노후 정보보호시스템을 교체 및 증설하고 있습니다. 이와 관련하여 2019년에는 신규 정보보호시스템을 도입, 노후 정보보호시스템 교체를 12월에 실시하여 국회 정보보호시스템의 보안성을 강화했습니다. 또한, 6월에 백신 소프트웨어 및 보안서버 연간사용권을 구매 및 적용하여 백신 및 서버의 안정성을 유지하고 있습니다.

나. 개인정보보호 관련 교육 및 홍보

매년 소속 직원들의 정보보호 인식 제고를 위한 교육을 실시하고 있습니다. 2019년에는 정보보호 관련 외부 전문가를 통해 '공직자가 알아야 할 사이버 안전수칙'을 주제로 11월에 교육을 실시했습니다. 또한, 포스터 게시 및 리플릿 배포 등 정보보호 홍보 활동을 했습니다. 이 외에도 개인정보보호 업무담당자가 보안 관련 외부 세미나 및 교육에 참석해 정보보호 의식과 역량을 강화했으며 모의훈련을 매달 실시하여 안전성 및 신뢰성을 제고했습니다. 

(2) 법원

가. 개인정보보호 정책 및 제도 개선

대법원은 개인정보 최소수집의 원칙에 따라 업무 수행에 '불가피한 경우'에 한해 민감정보 및 고유식별정보를 처리할 수 있으며, '법원 개인정보보호에 관한 규칙' 일부를 개정했습니다. 각급 법원에서 운용하는 개인정보파일 삭제 권한을 사법부 개인정보보호책임자에서 각급 법원 개인정보보호 담당자의 권한으로 변경하는 내용으로 '법원 개인정보보호 지침'을 개정했습니다. 2019년에는 법원행정처 개인정보보호 시행계획을 수립·시행하고, 사법부 안전성 확보 조치에 대한 개인정보보호 내부관리 계획을 2차례 개정했습니다. 이 외에 가이드라인 재정비, 침해·유출사고 대응 메뉴얼을 작성했습니다.

나. 개인정보보호 교육·홍보

법원 직원의 인식 제고 및 개인정보 처리 업무의 전문성과 숙련도 향상을 위해 각급 법원에서 교육 계획을 수립·시행했습니다. 또한 사법부 개인정보보호담당자는 개인정보취급자의 역량 강화를 위해 신규 직원과 법원 관리자에 대한 강사 활동을 지원했습니다. 더불어 콘퍼런스 참석하고 국가 공무원인재개발원에서 주관하는 개인정보보호 실무교육을 2회 이수했습니다. 또한 개인정보보호 및 보안관리를 내용으로 하는 웹툰을 게시하여 직원들의 인식을 향상시키며, 보안의 중요성을 강조하고 경각심을 줄 수 있도록 노력했습니다.

(3) 헌법재판소

가. 개인정보보호 기본계획 및 시행계획 수립

개인정보보호 규칙 및 지침등에 따라 지속적으로 기본계획과 시행계획을 수립·시행하고 있으며, 개인정보 보유현황을 주기적으로 점검하고 있습니다. 2019년에는 제4차 기본계획 및 시행계획을 수립했고, 현황과 관리실태 점검 결과를 개인정보 처리방침 개정에 적용했습니다. 개인정보보호 기본계획에서 4개의 과제를 선정해 추진했습니다.

• 개인정보보호 제도 운영
• 개인정보보호 역량 강화
• 개인정보 침해 예방 및 권리 보장
• 개인정보보호 안전성 조치 강화

나. 개인정보 침해 예방 및 개인정보보호 역량 강화

개인정보파일 보유현황 조사 및 정비를 실시해 개인정보파일을 검토하여 홈페이지의 개인정보파일 목록을 현행화했으며, 개인정보 검출시스템을 통해 관리실태를 점검하고 보안 조치를 취했습니다. 헌법재판소 직원의 인식 제고를 위해 개인정보 처리담당자를 대상으로 교육 및 세미나에 참석하도록 했고, 부서별 개인정보취급자 및 개인정보수탁자를 대상으로 교육을 실시했습니다.

다. 개인정보보호 안전성 조치 강화

사이버안전센터를 24시간 운영하여 개인정보 유·노출을 사전에 탐지·차단하고, 모의훈련 등 침해사고 예방 절차를 점검하여 침해사고 발생 시 신속하게 대응할 수 있게 하고 있습니다. 또한 보안취약점 점검 사업을 매년 추진하여 개인정보 보안사고 예방에도 힘쓰고 있습니다.

(4) 중앙선거관리위원회

가. 개인정보보호 정책 및 제도 개선

'선거관리위원회 개인정보보호에 관한 규칙'을 개정하여 민감정보 및 고유식별정보 처리 규정을 정비하고, 안전성 확보 조치 대상에 민감정보를 추가했으며, 개인정보파일의 등록 및 공개대상 제외 규정을 신설하여 개인정보파일 상세내역서의 홈페이지 등록 및 공개에 관한 사항을 반영했습니다. 이에 홈페이지 내 '개인정보 보유현황'부분을 신설하여 개인정보파일 상세내역서를 등록 및 공개함으로써 정보주체의 권리를 보장하고 체계적으로 관리하는 등 개인정보보호를 위해 노력했습니다. 또한, '선거관리위원회 개인정보보호 지침'을 정비해 체계 정합성을 확보하는 등 개인정보보호 기반을 강화했습니다.

나. 개인정보 영향평가 실시

현재 운영 중인 시스템에 대해 잠재적 위험 및 침해요인을 식별·분석하고 정보주체의 프라이버시에 미치는 영향을 파악하여 권리 침해를 최소화하기 위해 개인정보 영향평가를 실시했습니다. 영향평가 결과 시스템별 69개의 평가항목에 대해 평균 97.8%의 이행률을 기록해 우수한 평가의견을 획득했으며, 이행 결과 점검을 통해 침해사고를 미연에 방지하고 개인정보보호 인식 제고 및 수준 향상을 위해 노력했습니다.

다. 개인정보보호 지도·점검

정보주체의 개인정보보호 안전성을 강화하고 인식을 확산하기 위해 개인정보 취급실태를 파악하고 '개인정보보호법' 위반 사항을 점검했습니다. 특히 5개반 12명의 점검반을 편성해 9개 시·도위원회를 대상으로 지도·점검을 했으며,  모든 시·도위원회는 관할 구·시·군위원회가 보유한 업무용PC에 대해 개인정보 유출 방지 시스템을 실행 하도록 하고 실행 기록 요약서를 제출받는 자체 점검을 실시했습니다.

2. 금융사 및 기업 대상 DDoS 공격 확산

최근 국내외 금융사 및 기업 등을 대상으로 비트 코인을 요구하는 협박성 DDoS 공격이 지속적으로 발생하고 있어 보안 점검과 대비가 필요하다고 합니다.

최근 사례를 보면 해외 특정 해커그룹 Fancy Bear, Armada Collective 등이 공격을 수행하고 있다고 합니다. 공격자들은 요구한 기일 내 비트코인 미 입금시 추가 공격을 예고하는 등 지속적으로 협박한다고 합니다.

특히 해외에서는 'Fancy Bear'라고 주장하는 해커그룹이 뉴질랜드 증권거래소를 DDoS 공격해 거래 중단 사태가 발생한 바 있다고 합니다.

공격자로부터 협박 메일을 받거나 피해 발생 시 한국인터넷진흥원(KISA)에 즉시 신고를 해야하며, 사전 대비 및 공격 발생 시 DDoS 방어서비스를 이용해야 한다고 합니다.

영세기업 및 중소기업은 KISA에서 무료로 제공하는 DDoS 방어서비스를 신청해도 되며, 그 외 기관 및 기업은 통신사 등에서 제공하는 DDoS 공격 방어 서비스를 활용하면 된다고 합니다. 금융사는 금융보안원 방어 서비스를 이용할 수도 있다고 하네요🤩

특히 중소기업은 'DDoS 공격 대응 가이드'를 참고해 대비하는 것이 안전하다고 하며 홈페이지 및 주요 시스템에 대한 모니터링 등 보안 강화에 각별히 신경 쓰는 것이 좋다고 합니다!

. 대응 가이드는 아래의 링크를 이용하시면 됩니다😊↓

www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=35135

3. 개인정보보호위원회, '데이터 3법' 해설서 초안 공개

개인정보보호위원회(개보위)는 '데이터 3법' 내용을 반영한 개인정보 보호법 해설서를 사전 공개하고 주요 고객의 의견을 수렴한다고 합니다😁

해설서에 추가된 내용은 다음과 같다고 합니다.

• 정보주체의 동의 없이 추가적인 이용 및 제공
• 가명정보 도입을 통한 데이터 활용성 제고
• 개인정보처리자의 책임 강화
• 등등

법 개정에 따라 보호법에 특례 규정으로 포함된 정보통신망법 중 개인정보 보호 관련 조항과 신용정보법 등 다른 법률과의 관계를 상세히 설명하면서, 지난 2016년 이후 개인정보와 관련된 판례 38건과 보호위 결정례 23건 뿐만 아니라 Q&A도 수록해 국민들이 해당 법을 쉽게 이해할 수 있도록 했다고 합니다.

GDPR도 이번 해설서와 유사한 해석 기준과 적용 안내서가 배포하고 있다고 하며 공공기관, 기업 등에서 이를 개인정보를 처리하는데 중요한 판단 기준으로 활용하고 있다고 합니다😊

의견 수렴은 10.06 ~ 10.15까지 개보위 홈페이지와 개인정보 보호포털을 통해 이루어진다고 합니다👀 

해설서는 아래의 링크에서 보실 수 있습니다↓

www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=6857

출처

www.boannews.com/media/view.asp?idx=91559&page=1&mkind=1&kind=2

www.dailysecu.com/news/articleView.html?idxno=114548

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29583&key=&dir_group_dist=&dir_code=&searchDate=

1. 개보위 개인정보보호 연차보고서 - 개인정보보호 교육 및 홍보 활동

이번엔 개인정보보호위원회(개보위)를 비롯하여 행정안전부, 방송통신위원회, 금융위원회에서 수행한 개인정보보호 교육 및 홍보 등 인식 제고 활동을 알아보도록 하겠습니다.

(1) 개인정보보호 교육

가. 행정안전부

행정안전부(행안부)는 공공·민간 분야 개인정보처리자의 개인정보보호 역량 강화 및 정보주체의 권리 보장을 위해 개인정보보호 교육을 추진해왔습니다. 2019년에는 365만명이 교육을 이수하였으며, 교육 대상의 특성·수준에 따른 맞춤형 교육을 실시하고 교육체계를 학립하는 성과를 달성했습니다.

행안부는 현장에 특화된 교육을 제공하기 위해 권역별 순회교육을 실시했으며, 개인정보보호 업무담당자들의 역량 강화를 위해 전문교육을 실시했습니다. 또한, 공공기관 및 민간 분야의 개인정보보호책임자를 대상으로 개인정보보호 법·제도·정책 및 주요 개인정보 사건·사고 및 대응 방안을 공유하며, 책임과 역할에 대한 인식을 확립할 수 있는 CPO 워크숍 및 세미나를 개최하였으며 6,980명이 참석했습니다.

행안부는 교육 인프라를 확충하기 위해 개인정보보호 전문가 139명을 강사로 선발하였으며, 종합포털에 공개하여 공공민간에서 자율적인 교육이 원활히 이루어질 수 있도록 지원했습니다. 또한 전문강사에 대한 관련 제도를 활성화할 예정입니다.

나. 방송통신위원회

방송통신위원회(방통위)는 교육 수강자의 특성·수준별 맞춤 교육 과정을 개발하였으며, 교육 시간을 3시간으로 확대해 별도의 사업자 맞춤 특화교육 과정 3개를 신설하여 운영했습니다.

교육과정은 다음과 같이 구성되어 있습니다.

• 정보통신망법 주요 내용, 개인정보의 보호 조치 등 심화교육 내용을 포함한 기본 교육과정 (정기교육 과정 1)
• 개인정보보호 취약 분야 대상으로 창업기업을 위한 정보보호 가이드라인 (특화교육 과정 1)
• 개인정보보호 조치 모니터링 사례를 통해 알아보는 개인정보보호 (특화교육 과정2) 
• 최신 개인정보 상담 사례를 통해 알아보는 개인정보 사례 (특화교육 과정3)

방통위는 중소 및 영세사업자를 위해 '찾아가는 개인정보보호 현장교육'을 실시하였으며, '온라인 개인정보보호 교육 전문강사단'을 선발하고 양성하여 개인정보보호 교육을 지원했습니다. 또한, 온라인 포털을 이용해 사업자 대상 온라인 교육 프로그램을 운영했습니다.

방통위는 취약계층 대상 중점 교육을 시범적으로 시행했으며, 국내 최초 결혼이주여성 대상 개인정보보호 교육을 실시했습니다. 또한 초·중·고등학생 중심으로 찾아가는 개인정보보호 현장교육을 진행했으며, 교사·학부모·노년층에 대해서도 교육프로그램을 운영했습니다.

이처럼 방통위는 온라인 포털을 통해 단체교육이 이뤄질 수 있도록 이용자 대상 온라인 교육 프로그램을 운영하고 있으며, 여러 온라인 교육 컨텐츠를 서비스 제공하고 있습니다. 또한 다국어 교육 과정(영어 4종, 베트남어 1종)을 개발하여 더욱더 다양한 사람들에게 개인정보보호 교육 기회를 제공할 예정입니다.

다. 금융위원회

금융위원회는 전문적이고 종합적인 개인정보보호 역량 강화를 위해 금융위원회 및 산하기관 개인정보보호담당자의 역량 및 전문성을 강화하고 여러 사례를 중심으로 교육을 실시했습니다. 또한 금융위원회 직원 대상으로 개인정보 안전성 확보 조치 교육을 실시했습니다.

2019년 동안 금융보안원은 다음과 같은 교육을 실시했습니다.

• 금융 빅데이터 비식별 조치 및 활용을 주제로 집합교육 (07.17 ~ 19, 12.11 ~ 13)
• 금융권 개인(신용)정보보호 교육 (06.12 ~ 14, 11.06 ~ 08)
• 금융권 수탁 업무 관련 개인(신용)정보보호 교육 (11.27 ~ 11.28)
• 대상자별 온라인 개인정보보호 교육 운영

한국신용정보원은 금융권 신용정보 조회 업무대상자를 대상으로 온라인 교육 및 안전성 확보를 위한 라이프사이클 단계별 준수 사항에 대한 집합교육을 실시했습니다. 또한, 데이터 경제 시대의 개인정보보호 제도 동향에 대한 전 교육을 실시했습니다.

(2) 개인정보보호 홍보

방통위는 2010년부터 '인터넷 내 정보 지킴이 캠페인'을 매년 실시했습니다. 또한 SNS 및 모바일 메신저를 통해 개인정보 유출에 따른 피해가 증가하여 '셀럽들이 내 정보 지키는 핵심 인터넷 사이버 보안수칙'을 캠페인 슬로건으로 선정했습니다.

2019년에는 TV 교양 정보 프로그램인 'MBC 생방송 오늘아침'을 통해 피해 사례 및 예방수칙, 인터넷 관련 상담전화(118) 등 여러 서비스들을 소개했습니다. 또한, CM송을 제작하여 공감대를 형성할 수 있도록 노력했으며, 캠페인 캐릭터를 활용하여 이모티콘, 애니메이션 등을 제작한 후 다양한 온라인 홍보활동을 진행했습니다.

추석 연휴 기간과 지역 형평성을 고려해 KTX 및 SRT 전 노선 객실 내 영상매체를 통해 안전한 온라인 결제 및 클라우드 서비스 이용수칙 애니메이션을 송출했으며, 생활밀착형 서비스를 제공하는 30개사와 협업해 홍보 및 캠페인 효과를 극대화했습니다.

개인정보보호 정책 아이디어 제안 공모전(19.10 ~ 11)을 통해 소통하며, 정책에 대한 참여 기회를 확대했습니다. 또한, 이통통신사와 함께 캠페인을 추진하고 지역축제에 참여하여 지역과 협력하고자 했습니다. 이후 국민의 공감대 형성뿐만 아니라, 자발적인 개인정보보호 실천을 유도할 수 있도록 홍보를 강화할 예정입니다.

방통위는 매년 정보를 공유하고 네트워크를 형성할 수 있는 행사를 주최하고 있습니다. 온라인 개인정보보호 콘퍼런스를 개최하여 기업 실무자들의 정책 이해도를 높이고자 노력했으며, CPO 워크숍을 통해 국내외 개인정보보호 정책 및 최신동향을 전달했습니다.

제4회 개인정보보호 모의재판 경연대회(19.08)을 개최해 개인정보보호에 대한 관심을 제고하고자 했으며, 개인정보보호인의 밤 행사(19.12)를 개최해 사회 전 분야 개인정보보호인들이 모여 한 해의 성과를 공유하고 다음 해의 노력을 다짐하는 자리를 가졌습니다.

2. 북한 해킹그룹 '비글보이즈', 금융권 사이버공격 주범으로 지목

미국에서 지난 8월 26일 북한의 금융분야 사이버위협에 관한 경보를 발령했다고 합니다.

북한 정찰총국 소속의 해킹그룹 '비글보이즈(BeagleBoyz)'는 2015년부터 여러국가의 금융기관을 통해 20억불을 탈취 시도했다고 합니다.

• 은행 ATM 해킹을 통한 현금 인출(FASTCash)
• 은행 SWIFT 코드 사기 사건 (2016년 방글라데시 중앙은행 8,100만불 탈취)
• 대량의 암호화폐 탈취를 위한 암호화폐 거래소 탈취

한동안 잠잠하였지만 2020년 2월 이후 국제 송금 사기 및 ATM 해킹 등 활동을 재개했다고 합니다.

다양한 도구 및 기술을 사용해 금융기관 네트워크의 접근 권한을 획득하고, 네트워크 구성도를 익히며 금전을 탈취한다고 합니다. 특정 개인이나 회사를 대상으로 '스피어피싱' 그리고 피해자가 방문할 가능성이 있는 웹사이트를 미리 감염시켜 '워터링홀' 등 다양한 기술을 활용하여 최초 침투를 시도한다고 합니다. 이어 금융기관 망에 연결된 컴퓨터에 침투한 후, 피해 컴퓨터 시스템의 취약점을 선별적으로 공격한다고 합니다.

금융기관의 네트워크에 대한 취약점 공격을 진행하면서, OS의 보안요소 우회를 위해 다양한 기술도 사용하고 있다고 합니다. 또한, ECCENTRICBANDWAGON 등 멀웨어를 사용하여 키보드를 입력하는 내용을 가로채거나 스크린 캡처를 통해 계정정보를 탈취한다고 합니다.

금융기관의 SWIFT 터미널 및 지분 전환 응용프로그램 서버에 접근하고, 악성코드를 사용하여 금융기관 네트워크에 대한 원격 접속 및 통제 권한을 확보한다고 합니다. 이때, 원격 접속 트로이목마 악성코드로, 공격 대상 전산망에 원격으로 일종의 비밀통로를 형성한다고 합니다.

압축 및 암호화, 악성 스크립트, C2 채널을 통한 탈취등 다양한 방식으로 시스템에 침투하여 데이터를 탈취하고, 암호화폐거래소 해킹과 관련하여 원격조정 도구를 활용한다고 합니다.

이에 미국정부는 모든 금융기관을 대상으로 연방금융기관검사협의회 핸드북상 사이버보안, 지불시스템 관련 내용 준수 및 주요 시스템에 대한 산업 보안 표준 준수를 권고했습니다.

다음은 미국의 소매 지불 시스템 관련 기관과 현금자동인출기 관련 기관, 모든 기관에 대한 권고 사항입니다.

- 소매지불 시스템 관련 기관 대상

• 칩 또는 PIN 암호화 요구
• 지불시스템 인프라 격리
• 운영환경 논리적 분리
• 전송 중 데이터 암호화
• 비정상적 행위에 대한 모니터링

- 현금자동인출기 관련 기관 대상

• 금융 요구 메시지 발행인 응답에 대한 인증
• 직불카드에 칩 또는 PIN 의무화
• 금융 요구 응답 메시지 관련 인증 코드 요구

- 모든 기관 대상

• 이용자 및 관리자 사이버보안 강화
• 안티바이러스 서명 및 엔진 업데이트
• 운영체제 업데이트
• 파일 및 프린터 공유 서비스 해제
• 소프트웨어 설치 및 운용 관련 이용자 권한 제한
• 강력한 비밀번호 적용 및 주기적 변경
• 이메일 첨부물 주의

3. 페이스북, 무허가 개인정보 수집한 개발사들 고소

페이스북은 이용자 정보를 허가 없이 스크랩하는 크롬 브라우저 확장도구를 개발 및 배포한 회사를 소송하였다고 합니다.

소송을 당한 회사는 해외 기업인 유니매니아와 브랜드토털 등 두 곳이라고 합니다.

브랜드토털은 업보이스, 유니매니아는 애드피드라는 크롬 확장 도구를 제작하였으며, 업보이스는 5,000건, 애드피드는 10,000건 이상 설치된 것으로 추정하고 있다고 합니다. 또한, 브랜드토탈 홈페이지를 통해 '마케팅 인텔리전스'라는 이름으로 포장되 팔리기도 했다고 합니다.

브랜드토털은 업보이스를 설치하면, 온라인 기프트 카드와 같은 대가를 지급하는 방식으로 이용자들을 유인했다고 합니다. 해당 확장 도구 설치자는 패널로 불리며, 취득한 정보들은 기업들의 마케팅 결정과 브랜드 전략에 영향을 미쳤다고 합니다. 유니매니아 또한 비슷한 방법으로 홍보했다고 합니다.

하지만 페이스북에서는 두 확장 도구가 페이스북 뿐만아니라 인스타그램, 트위터, 아마존 유튜브 등 이용자 계정의 공식, 비공식적 데이터들을 수집할 수 있도록 설계된 점이 문제라고 밝혔습니다.

하지만 페이스북에서는 이용자의 개인정보들에 대한 수집 허가를 하지 않았다고 합니다.

페이스북에 따르면 두 확장 도구는 이용자 정보를 스크랩하기 위해 신원 코드를 사용했으며, 그들의 서버로 수집한 정보들을 보냈다고 합니다.

출처

www.boannews.com/media/view.asp?idx=91554

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29578&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=114454

1. 인스타그램 취약점 발견!

SNS 플랫폼 중 하나인 인스타그램에서 사용자의 카메라와 마이크로폰에 접근할 수 있는 취약점이 발견되었다고 합니다.

이 취약점은 CVE-2020-1895로 CVSS를 기준으로 7.8점을 받았으며 Android와 ISO 모두에서 발견되었다고 합니다. 해당 취약점이 알려진 것은 2월이었으며, 패치가 되었다고 합니다.

인스타그램은 현대의 거의 모든 소프트웨어처럼 서드파티 오픈소스 프로젝트들을 다양하게 활용하고 있다고 합니다. 이 취약점은 모질라(Mozilla)가 구축한 프로젝트인 Mozipeg를 활용하였다고 합니다. 인스타그램은 이미지 디코딩을 위해 Mozjpeg를 활용하고 있었으며, 이로 인해서 발현되었다고 합니다.

이 취약점을 익스플로잇 하려면 왓츠앱, 문자, 이메일 등의 메시지 관련 서비스를 활용해 피해자의 장비로 이미지를 보내기만 하면 된다고 합니다. 그리고 피해자가 이미지를 저장 후 인스타를 켜면 익스플로잇이 시작되어 공격자가 장비 내 모든 지원(카메라, GPS, 연락처, 저장공간 등)에 접근할 수 있게 된다고 하네요!

익스플로잇을 위해 전송하는 이미지는 크기와 치수가 어그러져 있어야 한다고 합니다. 그래야 정수 오버플로우나 버퍼 오버플로우가 발생하여 익스플로잇이 가능하게 된다고합니다. 현재 인스타그램 128.0.0.26.128 이전 버전이 취약점에 노출되어 있다고 합니다.

이러한 문제점으로 체크포인트의 한 보안 연구원은 다음과 같이 언급했다고 합니다 :D

"인스타그램이라는 앱의 가장 근본적인 문제는 제대로 사용하려면 너무나 많은 권한을 가져야 합니다.

기능 발휘 측면에서 어쩔 수 없는 일이기도 합니다.

하지만 이러한 첨이 최근 해커들이 노리기 시작한 부분입니다.

가뜩이나 SNS가 해커들의 인기를 끌고 있는데 권한까지 높으니 표적이 될 수 밖에 없습니다.

인스타 하나 익스플로잇 하면 높은 확률로 장비를 장악하게 됩니다.

기능성과 권한 설정에 대한 진지한 고민이 필요합니다.

- 엘비즈, 체크포인트 보안 연구원

그리도 취약점이 서드파티 요소 그 자체가 아니라, 서드파티 요소를 인스타그램이라는 플랫폼에 구축하는 방법에서부터 나타난다는 것도 주의 깊게 살펴봐야 할 부분이라고 하네요 :D

2. 떠오르는 EAMS 재택근무 솔루션

최근 계속된 코로나로 재택근무가 활발히 이루어지고 있는 가운데 안전한 환경을 제공해주는 EAMS 솔루션이 떠오른다고 합니다.

EAMS는 개인 PC에 별도의 프로그램을 설치하는 것도 아니며 VPN을 이용하는 것도 아니라고 합니다. 인터넷 환경에서 크롬브라우저의 https 암호화된 접속만으로 회사 PC와 같은 환경에 접속이 가능하다고 합니다. 또한 생체인증이나 OTP를 이용한 이중인증과 암호화된 통신적용으로 정보유출이나 해킹공격으로부터 안전하고 편리하게 업무에 집중할 수 있게 해주는 원격 접속 서비스라고 합니다.

취약한 개인 PC환경에서 작성된 문서나 유해 프로그램 등을 통해 악성코드가 유입될 가능성이 존재하며, IP나 계정정보를 알면 해커가 접속하여 사내망 전체가 위험에 노출될 수도 있습니다.

EAMS는 파일전송 기능이 차단된 웹브라우저로만 업무가 이루어지기 때문에 개인의 취약한 PC 환경이 사내망에 영향을 주지 않는다고 합니다. 또한 EAMS에 계정별 등록된 PC만 접속 가능해서 사내망을 위협으로부터 보호할 수 있다고 하네요 :D

EAMS의 주요기능은 다음과 같습니다.

• 원격접속이 필요한 사용자에게 간편한 신청 절차
• 웹 브라우저만으로 어떤 단말이든 웹 터미널 제공
• 스크린 워터마크를 통한 화면유출 방지 기능
• 정책설정을 통해 파일 전송 기능 차단을 통한 부정사용 방지
• 추가 인증 제공 및 로그인 보안 강화 지원
• IP 통제 제공
• 사용자 인증 강화 및 인증 절차 간소화
• 원격접속 서비스를 신청한 사용자의 접속 상태 모니터링 및 감사 기능

3. 암호화 트래픽에 숨겨진 사이버위협, 대처법은?

암호화를 이용한 사이버 공격이 급증하고 있다고 합니다. 이를 방어하기 위해 암호화된 트래픽 분석을 통해 위협을 탐지하고 차단할 수 있어야 합니다.

암호화 트래픽에 숨겨진 위협을 탐지하기 위해 SSL 프록시를 활용하여 복호화시켜 위협을 찾아내야 한다고 합니다. 하지만 이에 대한 오버헤드와 법률적인 문제로 적용할 수 없는 경우도 발생할 수 있다고 합니다.

이에 대해 주니퍼의 ETA 기술이 암호화 위협을 찾아낼 수 있게 해주며 보호를 제공하고 있다고 합니다.

또한, 주니퍼 SRX 방화벽을 클라우드와 연결해 방화벽에서 암호화된 트래픽의 메타데이터와 연결 패턴을 전송하고, 주니퍼 APT 클라우드에서 머신러닝 기술로 상관 관계 분석과 행위분석을 진행하여 사이버 위협 여부를 판단할 수 있다고 하네요 :D

출처

www.boannews.com/media/view.asp?idx=91451

www.dailysecu.com/news/articleView.html?idxno=114357

www.dailysecu.com/news/articleView.html?idxno=114241

1. 개보위의 개인정보보호 연차보고서 - 개인정보 환경개선·기술지원·자율규제

이번에는 개인정보의 환경개선, 기술지원, 자율규제 촉진 정책을 중심으로 살펴보겠습니다.

(1) 개인정보 환경개선과 기술지원

가. 주민등록번호 대체수단 제공 확대

과거에는 주민등록번호를 본인확인 수단으로 많이 이용했지만 현재는 주민등록번호 없이 본인 확인할 수 있는 대체수단이 필요하게 되었습니다. 이에 따라 "정보통신망법 및 하위법령"에서 주민등록번호 대체 수단을 제공하는 본인확인기관의 지정기준을 마련하였고, 4개의 대체수단이 생겨나게 되었습니다 :D

• I-PIN : 3개의 신용평가사(NICE평가정보, SCI평가정보, 코리아크레딧뷰로)
• 휴대폰 : 3개의 이동통신사(SKT, KT, LG U+)
• 신용카드 : 8개 카드사(국민, 농협, 롯데, 비씨, 삼성, 신한, 하나, 현대카드)
• 공인인증서 : 본인확인기관 지정 등에 관한 기준 제13조에 따라 공인인증기관을 본인확인기관으로 의제

주로 많은 대부분의 사람들이 휴대폰으로 본인인증을 실시하며, 그 다음으로 많이 사용하는 수단이 I-PIN이라고 합니다.

나. E-privacy 클린서비스 운영

행정안전부(행안부)는 개인정보 유출 및 오·남용으로 인한 명의도용·사생활 침해 등의 피해를 최소화하고, 정보주체의 개인정보 자기결정권 행사 보장을 위해 'E-privacy 클린서비스'를 운영하고 있습니다.

이 서비스는 인터넷에서 본인확인 내역을 조회할 수 있으며, 명의도용이 의심되거나 더 이상 이용을 원치 않는 불필요햔 웹사이트에 대한 회원탈퇴를 지원하고 있습니다.

다. 분야별 개인정보보호 포털 운영

행안부는 개인정보보호 관련 정보 제공, 정책 지원, 기술 지원, 온라인교육 등 다양한 서비스를 제공하는 개인정보보호 종합포털을 운영하고 있습니다.

2019년 온라인 교육 수료자는 42만명이며, 포털 이용자 수는 336만명이라는 무시무시한 수치를 가지고 있습니다. 그리고 이외에 다양한 개인정보보호 서비스 지원을 통해 개인정보보호 수준 제고를 위해 힘쓰고 있습니다.

방통위 또한 정보통신서비스 이용자 및 사업자에게 필요한 관련 법규 및 지침 제공, 연구·동향 자료 제공, 개인정보 유출신고 서비스 및 온라인 교육 제공 등 서비스를 제공하는 온라인 개인정보보호 포털을 운영하고 있습니다.

라. 소상공인 대상 등 개인정보보호 기술 지원 추진

사이버 공격에 대비한 정보보호 대응 프로세스를 확보하기 어려운 중·소상공인을 위해 행안부는 개인정보보호 기술 역량을 높이기 위한 기술 지원을 추진하고 있습니다.

개인정보보호기술 역량강화센터는 2019년 동안 쇼핑몰·음식점·학원·복지 관련 사회전반에 종사하는 중·소상공인과 비영리단체 약 177곳을 대상으로 컨설팅을 실시했으며, 4,131명에게 업무용 PC 개인정보 보호조치 점검도구를 배포했습니다. 또한, '업무용 PC 개인정보보호조치 점검도구 고도화'사업을 진행했으며, 2020년에는 중·소상공인 뿐만 아니라 수탁업체 개발자 대상으로 교육을 실시하여 개인정보보호 역량을 높일 계획이라고 합니다.

과학기술정보통신부(과기부)는 전국 8개 지역에서 정보보호지원센터를 운영하고 있습니다. 2019년에 영세·중소기업을 대상으로 웹 취약점 점검, 현장 컨설팅, 민감정보 보호조치 등 4,924건의 정보보호 서비스를 지원했습니다. 또한, 기업 규모에 따른 수준별 종합컨설팅 및 보안솔루션 도입 등을 지원하여 ICT 보유 현황에 맞는 맞춤형 중소기업 정보보호 종합 지원 정책을 추진했습니다.

마. 개인정보 비식별 조치 전문기관의 컨설팅 지원

행안부와 방통위는 새로운 서비스 창출과 신산업 활성화에 데이터 활용 가치가 증대함에 따라 개인정보 침해가능성을 최소화하면서 데이터 산업을 활성화할 수 있도록 범부처 합동 '개인정보 비식별 조치 가이드라인'을 발간했습니다.

KISA는 '개인정보 비식별 조치 가이드라인'에 따라 비식별 조치 공공분야 전문기관으로 지정됬으며, 비식별 조치 기술과 전문인력이 부족한 공공·중소·영세사업자를 대상으로 기업 맞춤형 비식별 조치 컨설팅, 적정성 평가와 더불어 데이터 기술 지원허브(비식별 조치 테스트베드)에서 비식별 조치 실습을 위한 시설 및 장비를 지원하고 있습니다.

또한 비식별 조치에 대한 사회·기술적 인식 제고와 비식별 조치 전문 인력 양성을 위해 기업 비식별 조치 실무자를 대상으로 교육을 실시했습니다.

(2) 자율규제 촉진

가. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)

기존에 과기정통부에서 운영하던 '정보보호 관리체계 인증제도(ISMS, Information Security Management System)'와 '개인정보보호 관리체계 인증제도(PIMS, Personal Information Management System)'를 통합해 '정보보호 및 개인정보보호 관리체계(ISMS-P)로 운영하고 있습니다.

ISMS-P 인증제도 안내서교육교재 및 온라인 교육을 통해 인증 희망 기관의 부담을 완화하는 한편, ISMS-P 온라인 심사신청 등을 통해 수요자 편의 도모 및 업무처리 원활화에 기여했습니다.

나. 개인정보보호 자율규제 및 자율점검 추진

행안부는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하고 민간 협·단체 주도의 자율규제를 활성화하기 위한 활동을 하였으며, 연도별로 알아보도록 하겠습니다 :D

• 2016년 - '개인정보보호 자율규제단체 지정 등에 관한 규정'을 제정·고시했습니다. 이 규정에 따라 자율규제단체는 자체 자율규제 규약을 마련하고 소속 개인정보처리자를 대상으로 교육, 자율점검, 컨설팅 등을 수행
• 2017년 - 자율규제단체의 지정과 단체의 자율규제 활동 등을 지원하는 자율규제 전문기관에 대해 총괄, 분야별 전문기관으로 세분화해 역할 분담을 명확히 했습니다.
• 2018년 - 개인정보 자율규제 활성화를 위한 연구반 운영하여 '자율규제단체 지정 등에 관한 고시 개정(안)' 및 '자율규제단체 운영 개선 방안' 등을 마련했습니다.
• 2019년 - 단체의 개인정보보호 이해도와 수준 제고를 위해 업종별 개인정보처리 특성을 반영한 5개 분야 '업종별 개인정보처리 가이드'를 마련하고 배포했습니다.

방통위는 '방송·통신·온라인 분야 개인정보보호 자율규제 기본계획'을 의결해 자율규제 체계를 수립, 이에따라 통신·쇼핑·알뜰통신·유료방송·스타트업 등 5개 업종별로 특성을 고려해 회원사와 협의 하에 다양한 방식의 자율규제를 추진하도록 유도했다고 합니다.

이와 별개로 설명회 운영과 더불어 개인정보보호 활동을 성실히 수행하거나 수탁사 등에 대한 지원·협력을 위해 적극 노력한 경우, 기준 금액의 30% 이내에서 과태료를 추가 감경할 수 있도록 '개인정보 및 위치정보의 보호 위반행위에 관한 과태료 부과 지침'에 세부기준을 마련했습니다.

또한, 자율규제 시행에 따른 실효성을 제고하기 위해 개인정보보호 자율규제 심의평가위원회를 구성하였으며, 7인의 전문가를 심의평가위원으로 위촉했습니다.

한편, 예산과 인력의 문제로 개인정보보호 여력이 부족한 기업들의 고민을 나누고, 개인정보 관련 법률을 준수할 수 있도록 기업별 맞춤형 컨설팅을 진행했습니다.

컨설팅을 시행한 결과 스타트업 및 창업자를 위한 개인정보보호 가이드라인 부재 등의 에로사항이 있었던 것으로 조사되었으며, 통신 분야의 이행률은 약 98% 높은 수치를 보인 반면, 스타트업 분야의 평균 이행률은 40% 수준으로 나타났습니다.

이에 방통위는 2019년 개인정보보호 현장 컨설팅 지원 사업자 중 개선사항 이행조치 확인·지원에 동의한 사업자뿐 아니라 신규 종소·영세 사업자를 위해 2020년에도 지원을 지속할 예정이라고 합니다.

2. '보건의료 데이터활용 가이드라인' 공개

보건복지부와 개인정보보호위원회(개보위)는 개정된 개인정보보호법 시행에 따른 '보건의료 데이터 활용 가이드라인'을 공개하였습니다.

이번 가이드라인은 보건의료분야 가명정보의 안전한 활용을 위해, 개인정보처리자가 참고할 수 있는 기준을 제시하고자 마련되었습니다.

보건의료 데이터의 가명처리 기준, 방법, 절차 등을 제시함으로써 현장의 혼란을 최소화하였으며, 처리 과정 운영체제, 안전조치 및 윤리적 조치사항 등을 제시함으로써, 정보 주체의 권익을 보호했다고 합니다.

또한 가이드라인은 전문가, 시민사회, 관계기관 등 대국민 의견수렴을 거쳐 공개되었다고 합니다.

이에 개인정보처리자는 '가명정보 처리 가이드라인'에서 제시하고 있는 개인정보 처리 기본원칙을 따르면서, 보건의료 데이터에 대해서는 '보건의료 데이터활용 가이드라인'에서 제시하고 있는 방법 및 절차를 준수하여 가명처리를 진행하여야 합니다. 또한 가명처리가 적절히 수행되며, 재식별 가능성은 없는지를 살필 수 있도록 심의위원회의 적정성을 검토를 거치게 되었다고 합니다.

가이드라인에서는 개인정보처리자가 데이터 유형별로 적절한 가명처리 방법과 절차를 통해 변환하여 활용할 수 있도록 제시하되, 재식별 시 개인인권에 중대한 피해를 야기할 수 있는 정보에 대해서는 원칙적으로 동의를 받아 활용하도록 했습니다.

가명처리 과정에서, 개인을 식별할 가능성이 있는 것은 일련번호를 대체하되, 그 외의 정보는 재식별 가능성을 감안하여 유형별로 적절한 가명처리 방법에 대해 제시했습니다. 안전한 가명처리 방법이 아직 개발되지 않은 경우에는 개인의 동의를 받아 활용하도록 했습니다.

개인정보처리자는 가명정보를 처리하는 경우 안전성 확보조치 기준을 준수해야 한다고 합니다.

• 기술적 : 접근권한의 관리, 접근통제, 접속기록의 보관 및 점검, 악성프로그램 등 방지
• 관리적 : 내부관리계획의 수립, 개인정보취급자 교육
• 물리적 : 출입통제 장치 설치, 보조저장매체의 반입 및 출입 통제 등

또한, 개인이 본인 정보를 처리하여 활용하는 것을 원치않는 경우 개인정보처리자에게 요구할 수 있으며, 가명처리 대상에서 제외할 수 있습니다.

밑의 링크는 보건의료 데이터 활용 가이드라인입니다↓

www.gov.kr/portal/gvrnPublish/view/H2009000000705458?policyType=G00303&Mcode=11220

3. QR코드 방문 인증 시, 최초 동의 1번으로 변경 

29일부터는 QR코드 이용시 개인정보 수집·이용·제공 동의를 최초 한 번만 하면 된다고 합니다 :D

개인정보보호위원회와 중앙사고수습본부는 현장의견을 바탕으로 QR코드 발급기관인 네이버, 카카오, 이동통신사 등과 협의를 거쳐 동의 절차를 간소화했다고 합니다.

이는 QR코드 이용 편의성을 높여 수기출입명부보다 안전성이 확보된 전자출입명부 이용을 활성화하기 위한 조치라고 합니다.

매번 QR코드 인증 시 개인정보 활용 동의를 받는 번거로움도 사라지고 QR코드의 이용률을 높여 신속하고 정확한 역학조사가 이루어질 것으로 예상되네요 :D

출처

www.boannews.com/media/view.asp?idx=91473&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=114243

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29571&key=&dir_group_dist=&dir_code=&searchDate=

1. 게임 산업에 대한 해킹 쉴 틈 없이 발생!

최근 아카마이(Akamai)에서 발표한 '인터넷 보안 현황' 보고서에 따르면 게임 산업이 사이버 공격에 상당히 노출되어 있다고 합니다. 총 1000억 번의 스리덴셜 스터핑 공격을 기록했으며, 그 중 게이머와 게임사들을 노린 공격은 100억번 이상이라고 합니다. 또한 게임 산업의 웹 애플리케이션을 겨냥한 공격은 1억 5200만번 정도 탐지가 되었다고 합니다.

웹 애플리케이션에 대한 공격은 대부분 SQL Injection과 LFI(Local File Inclusion) 형태로 발견되었으며, 즉, 애플리케이션과 웹 기반 게임들이 대부분 이 두가지 형태의 공격에 취약하다고 합니다.

이 외에 공격으로는 DDoS 공격이 많이 사용되었으며, 1년 동안 5600여 번의 DDoS 공격을 탐지했고 그 중 게임산업에 대한 건이 3000번정도 된다고 합니다.  

하지만 아카마이는 게이머나 게임사들은 크게 여의치 않다고 지적했다고 합니다. 조사한 게이머들 중 55%라고 해킹을 당한 경험이 있다고 했으며, 이 중 크게 걱정하는 사람은 20%에 불과했다고 합니다.

그래서 아카마이는 이번 보고서를 통해서 게임 산업은 공격을 많이 받고 있으며 게임이라는 생태계 자체가 상당히 불안한 상태라고 언급했다고 합니다.

2. 개인정보보호위원회, '가명정보 처리 가이드라인' 통합본 발간

개인정보보호위원회(개보위)에서 24일에 '가명정보 처리 가이드라인' 통합본을 발간했다고 합니다. 이에 10월부터 '개인정보보호법'에 따른 가명정보 결합이 본격화 될 것으로 예상된다고 하네요!

2일에 공개한 가명처리편은 개인정보처리자가 자신이 보유한 개인정보를 가명처리하여 활용하거나, 제 3자에게 제공하기 위하여 가명처리 하는 경우 참고하도록 수록하고 있으며, 이번에 추가된 가명정보 결합·반출편은 '가명정보의 결합 및 반출 등에 관한 고시'에 따라 가명정보 결합을 신청하려는 개인정보처리자가 어떤 절차에 따라 결합을 신청하고 결과물을 반출하여 활용할 수 있는지 설명하고 있다.

가이드라인에 의하면, 가명정보를 결합하여 활용하는 자는 가명정보 보유기관과 협의하에 가명정보 제공 동의를 얻은 뒤 총 4단계에 걸쳐 결합을 진행할 수 있다고 합니다. 그리고 결합 진행 과정에서 도움이 필요할 경우 한국인터넷진흥원(KISA)와 실제 결합을 담당하는 전문기관에 지원 요청할 수 있다고 합니다.

결합된 가명정보는 '반출심사위원회'가 심사하여 최종적으로 결합전문기관의 승인을 받아 반출할 수 있고, 이 때 가명정보 결합목적이나 가명정보가 처리되는 환경의 안전조치 수준 등을 고려하여 심사하도록 하고 있습니다. 반출심사는 결합신청자별로 진행되며 여러 명의 결합신청자가 반출하는 경우, 각자 목적을 달성하기 위해 필요한 수준으로 결합 정보를 가명처리해 반출하는 것이 가능하다고 합니다.

한편 개보위는 23일 제4차 개인정보보호위원회 전체회의에서 보건의료분야의 특수성을 반영한 가이드라인을 보고 받았으며, 보건복지부의 최종 수정 후 오늘(25일)에 발간할 계획이라고 합니다.

개보위는 계속해서 분야별 가이드라인 수요를 지속적으로 발굴하며 전분야에 걸쳐 안전한 가명처리 제도가 정착될 수 있도록 노력할 예정이라고 합니다. 그리고 제도적 기반이 완비됨에 따라 제도 활성화와 실제 사례발굴을 위한 지원방안 마련에 집중할 계획이라고 합니다.

가명정보 제도 안내를 위해 '헬프 데스크'를 구축·운영하고, 범부처 협업을 통해 가명정보 결합 선도사례 발굴 추진방안을 마련 중이며, 개보위 홈페이지에 질의응답 게시판 개설 및 운영, KISA에 유선 안내반을 운영할 계획이라고 합니다.

개인정보 처리 가이드라인 최종본 링크입니다 :D ↓

www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=6839

3. 재난지원금 신청 문자 스미싱 구별법

2차 재난지원금이 발표가 되었고, 이에 맞춰 스미싱이 난무하고 있다고 합니다.

이에 24일에 재난지원금 안내 문자 내용과 스미싱 피해 예방 및 피해 발생 시 행동요령을 발표했다고 합니다. 우선 스미싱 문자에 속지 않기 위해 재난지원금 지급 대상인지 확인해야 합니다.

통신비는 16세~34세 및 65세 이상 모두이에게 지급이되며, 고지서에서 자동으로 2만원 차감이 된다고 합니다.

만일 자신이 지급 대상이라면 지원금 안내 문자 내용을 살펴보고, 첨부된 URL을 조심할 필요가 있습니다. 다음은 클릭하지 말아야할 리스트들입니다.

• www.통신비지원.kr
• www.youthcenter.go.kr
• 재도전장려금.kr
• www.폐업재도전장려금.kr

이 외에도 수상한 URL이 있다면 반드시 확인 후 열람하는 것이 좋습니다. 가장 안전한 방법은 인터넷으로 금융사나 공공기관의 홈페이지 주소를 확인 후 들어가는 것이 좋습니다 :D

위의 사진은 스미싱 문자의 경우이며, 공통적으로 URL 클릭을 유도하고 있는 것을 볼 수 있습니다. URL 클릭 시 광고성 카카오톡 채널로 연결되거나, 휴대폰 본인인증을 가장한 피싱 페이지로 연결됩니다.

정부에서는 스미싱에 당하지 않도록 다음과 같이 할 것을 권장했다고 합니다 :D

만일 스미싱 피해를 입었을 경우 금융기관 콜센터에 연락해 경찰서에서 발급다은 '사건사고 사실 확인원'을 이동통신사, 결제대행사 등 관렵 사업자에 제출하라고 당부했다고 합니다.

특히 스마트폰에 설치되어있는 악성파일도 조심해야하며, 다운로드 후 앱을 실행한 뒤 확장자명이 .apk인지 확인하는 것이 좋다고 합니다. 파일이 삭제되지 않으면 서비스센터에 방문하거나 초기화하라고도 하네요 :D

스미싱 피해를 접수받는 KISA(118번)을 통해 상담도 받을 수 있다고 합니다. 그 외 금융, 증권 등 공인인증서를 폐기 후 재발급 받고, 모바일 결제 내역 여부를 확인하는 것도 스미싱 피해를 최소화하기 위한 행동 요령이라고 합니다!

스미싱에 당하지 않도록 안전수칙을 철저히 지키고 조심하도록 합시다 :D

출처

www.boannews.com/media/view.asp?idx=91415&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=114148

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29570&key=&dir_group_dist=&dir_code=&searchDate=

1. 기업들의 매달 패치하는 취약점의 수준 미흡

보안업체인 켄나 시큐리티(Kenna Security)와 사이엔타 인스티튜트(Cyentha Institute)에서 최근 패치와 취약점에 관리에 관한 보고서의 결론에 따르면 모두 기업 규모에 관계없이 평균적으로 취약점의 10%정도만 패치한다고 발표했습니다.

주로 조사한 산업은 기술, 생산, 의료, 금융이었으며, 취약점을 어떤 식으로 관리하며, 우선순위를 정해 패치하며, 취약점 관리에 걸리는 평균 시간을 조사했다고 합니다. 하지만 기업의 규모와 취약점 관리 능력 사이에 어떤 관련성도 찾을 수 없었다고 합니다.

2년전 켄나 시큐리티에서 조사를 진행했을 때 "취약점 우선순위를 매달 정해서 해결하는게 쉬운것이 아니며, 패치를 꾸준히 해도 매달 해결해야 할 취약점이 오히려 늘어난다"라고 기업들이 답했었습니다. 그래서 그 때에 비하면 10%를 꾸준히 해결하고 있다는 것만으로도 다행이라고 긍정적으로 결과를 해석한다고 합니다.

하지만 산업별로 보이는 특징이 없는 것 아니었다고 합니다. 의료 산업의 경우 기계에서 발견되는 취약점들의 수가 많았으며, 그만큼 소해율도 높았다고 합니다. 이는 의료 산업의 경우 장비들에 대한 의존도가 높을 때 나타나는 현상이라고 해석됩니다.

그리고 기술 산업도 소해율이 높았는데 이는 기술에 능숙한 사람들이 많기 때문이라는 결론을 냈습니다. 이에 켄나 시큐리티에서는 환경 요인이 소해율을 높이는 큰 원인이라고 발언했습니다.

다만 금융 산업의 경우, 각 기관이나 은행별로 개발하고 사용하는 장비와 애플리케이션이 천차만별이었으며, 취약점을 해결하는데 타 산업에 비해 4배나 길었다고 합니다. 또한 위험요소가 어느 정도 완화되는데 25% 더 길었다고 합니다.

생산업의 경우, 장비들이 고비용이고 비교적 고장에 노출된다는 특징 때문에 사건 발생 후 복구 작업이 취약점 점검도 같이 이루어 진다고 합니다. 그래서 타 산업에 비해 취약점 해결 시간이 2배 길었으며, 위험한 취약점도 손대지 않는 산업이라고 합니다.

취약점을 해결하려면 시간도 걸리고, 전담인원, 서비스나 생산을 중단 시켜야 할 때가 많기 때문에 현장에서는 쉬운게 아니라고 합니다. 이 때문에 수많은 조직들이 취약점을 통한 공격 가능성을 배제하고 사업을 운영한다고 합니다. 취약점을 안고가는 것이 서비스와 생산을 중단시키는 것보다 안전하다고 판단하는 것이죠.

CISO가 충분한 가시성을 확보하지 못해 관리 계획을 잘못 수립하는 경우도 적지 않다고 합니다.

이러한 결과로 사이엔타는 패치가 정말 불가능하다면, 위험 완화 대책이라도 마련해야 한다고 주장했다고 합니다. 또한 망분리나 중요한 데이터 오프라인 보관과 같은 수들을 마련해 정립시켜야 한다고 했습니다.

2. Samba 취약점 주의

삼바(Samba) 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다.

이번 취약점은 Samba AD(Active Directory) DC(Domain Controller)에서 Netlogon 프로토콜의 취약한 암호화 운영모드 사용으로 발생하는 권한상승 취약점(CVE-2020-1472)라고 합니다.

반드시 최신 버전으로 업데이트를 해야하며 임시 대응 방안은 다음과 같습니다.

"smb.conf" 파일 -> server schannel = yes 추가 -> Reboot

portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472

3. 클라우드 환경으로 이전되면 데이터센터가 중요할까?

최근 디지털 변혁으로 클라우드가 대화의 중심이 되고 있습니다. 클라우드로 이전을 마친 조직들은 대부분 기술, 금융, 사업 운영적으로 극적인 유연성과 확장성을 경험하고 있다고 합니다.

문제는 클라우드 체계로 전환한다는 것은 매우 복잡한 일이라는 것입니다. 클라우드로 이주한다고 해서 디지털 혁신이 끝나는 것도 아니며, '성공적인' 클라우드의 이주라는 것이 1,2가지 형태로 고정되어 있는것도 아닙니다.

여기서 중요한 것은 클라우드로 이전한 사람들은 '아직도 데이터센터에 대한 의존도가 높다'는 말이 들어가 있지 않다는 것이죠! 클라우드로 대부분 인프라를 옮긴 것은 맞지만 새로운 기술을 사업에 접목해 운영하는 것과 변혁을 꾀하는 것의 근간에 데이터센터가 존재하는 것을 빼놓고 클라우드에만 열을 올리는게 클라우드 성공 신화의 공통점이라고 합니다.

현재는 클라우드와 데이터센터를 같이 운영하는 하이브리드 방식이 비용 절감과 생산성 극대화를 위해 가장 합리적인 선택지라고 합니다. 클라우드로의 이전이 중요하긴 하지만 여전히 데이터센터가 필요하며 왜 필요한지 밑에 설명하도록 하겠습니다 :D

(1) 모든 워크로드가 클라우드에 적합하지 않다.

워크로드란, 주어진 시간 안에 컴퓨터 시스템이 처리해야 하는 작업의 양과 성격으로써 현재 직원들이 활용하고 있고 조직 내 형성되어 있는 워크플로우와 뗄 수 없는 관계이라고 합니다.

워크로드가 클라우드로 옮겨 갔을 때, 워크플로우가 더 좋아질 수 있지만 망가질 수 있다고도 합니다. 그 이유는 워크로드를 처리하는데 사용되는 애플리케이션이 클라우드 기술을 전혀 호환하지 못할 수 있기 때문이라고 합니다. 이런 애플리케이션들은 다음과 같습니다.

• 정적 애플리케이션(동적인 활동이 필요 없는 경우)
• 오래된 레거시 애플리케이션
• 데이터 집약적 애플리케이션(데이터를 자체적으로 저장해두고 활용해야 하는 경우)
• 사용 집약적 데이터셋(항시 사용 중이어야 하는 데이터)

다양한 조건들을 제하고 옮길 수 있는 것들을 찾아도 생산성 향상에 미비한 영향력을 가지는 경우가 종종 있다고 합니다. 이는 직원들 중 극히 일부만 사용하거나 생산성과 연관성이 없는 것으로 옮겨도 의미 없기 때문이라고 합니다.

(2) 유연성이 배제된 애플리케이션들이라면 데이터센터와 더 잘 어울린다.

클라우드로 옮길 시 다음과 같은 것들을 옮겨야 제대로된 투자(가치)를 이끌어 낼 수 있다고 합니다.

• 엘라스틱 컴퓨팅(탄성 컴퓨팅, elastic computing)
• 아카이벌 기억 장치(archival storage)
• 서비스(service)

클라우드의 가장 큰 장점 중 하나는 확장성입니다. 이말은 즉, 잘 늘어나고 줄어들고 했을 때 높은 가치를 발휘해야 합니다. 그래서 최근 클라우드를 기반으로 만들어진 요소나 플랫폼을 보면 '탄성 설계'가 잘 되어있으며, 데이터 센터와 호환되지 않는다고 합니다. 다음이 대표적인 예입니다 :D

• AR(증강현실), VR(가상현실)
• IoT(사물인터넷)
• AI(인공지능), Machine Learning(머신러닝)
• Media Service
• developer tool

반대로 정상상태 컴퓨팅이나 생산 저장소 같은 '비탄성 애플리케이션'들은 데이터센터와 더 잘 어울리며 더 많은 기능을 발휘합니다. 즉, 세심하게 살펴볼 필요가 있다는 것입니다. 데이터센터에 남겨두면 좋을 것을 클라우드로 옮긴다고 개발을 다시 시작하는 건 현명하지 못하다고 하네요!

(3) 클라우드로 들어가고 나가는 것에도 큰 비용이 따른다.

클라우드 비용이 낮지 않다는 것도 고려하여야 한다고 합니다. 현재 수많은 기업이 클라우드 업체와 계약을 하고 청구서 액수에 크게 놀라는 경우가 많다고 합니다.

그 이유는 클라우드에 있는 데이터를 빼내어 쓸 때, 특정 기기바이트 당 얼마씩 청구된다고 합니다. 이는 계약 시 대부분의 클라우드 기업들이 데이터 인출 비용(Data Ingress cost)에 대해서 상세히 적지만, 데이터 반출 비용(Data Egress Cost)에 대해서는 별 다른 설명을 하지 않기 때문이라고 합니다. 또한 정적 애플리케이션들을 공공 클라우드에 옮기게 되면 더 많은 비용이 들어간다고 합니다.

(4) 클라우드 이전 후 관리할 자원이 있는가?

클라우드 업체의 플랫폼으로 이전했다고 하여 관리 책임까지 모두 넘어가는 것은 아니라고 합니다. 즉, 누군가는 예산을 확보하고 클라우드 관리를 전담해야 하는 것이죠. 클라우드를 이해하고 관리할 만한 역량이 조직이 있는지 조사하는 것이 중요한 이유라고 합니다.

하지만 대부분은 '그렇지 않다'라는 결론을 내려야 한다고 합니다. 클라우드 전문가는 현재 많지 않으며, 벌써 규모 있는 기업에서 대부분 인력을 확보하고 있기 때문이라고 합니다. 게다가 클라우드 정책은 굉장히 복잡하며, 어려운 실무 수준을 요구하는 탓에 방대한 양의 에너지와 자원을 투자해야 합니다. 즉, 클라우드 인재를 내부에서 키우겠다는 것도 쉽지 않은 일라는 의미입니다.

그리고 클라우드로 옮긴다고 했을 때 안정화 단계에 들어설 때까지 데이터센터의 안정적 자원이 반드시 전제되어 있어야 한다고 합니다.

(5) 클라우드 보안과 컴플라이언스는 데이터센터와 완전히 다르다.

보안과 규정 때문에 클라우드로 못가는 조직들이 많다고 합니다. 클라우드 체제로 이전한다고 했을 때 산업이나 국가가 요구하는 필수 항목은 많아지고 엄격해지는게 보통이라고 합니다. 특히 민감 정보를 반드시 사업적으로 활용해야하는 조직이라면 더욱더 그렇다고 합니다.

그렇기 때문에 데이터센터를 운영해야 한다고 합니다. 민감한 데이터의 범위가 넓어지고 있고 규정은 더 엄격해지고 있기 때문에 적절한 해답이 나오지 않는 이상 하이브리드 체제에 머무를 수 밖에 없다고 합니다.

클라우드가 가지고 있는 장점과 미래력은 너무 좋습니다. 특히 데이터센터 구조가 갖는 한계들을 모두 극복한 것이 클라우드이기 때문에 IT 인프라의 중심이 되는 것은 분명합니다. 하지만 데이터센터에 현대 사회가 필요로 하는 장점이 하나도 남아 있지 않는 것은 아니라고 합니다.

현재는 IT 기술과 이를 관리하는 규정, 법 그리고 모든 것이 혼란스러운 상태로 안전화되어야 할 부분이라고 합니다. 그래서 지금은 데이터센터를 유지하며 클라우드를 차근히 준비해나가는 것, 하이브리드가 좋은 방법이라고 합니다 :D

밑의 사진은 기사에 대한 반론이 제기된 댓글입니다↓ (저는 아직 클라우드를 잘 몰라서 어느것이 진위여부인지는 모르겠으나 공부를 해야겠다는 생각은 학실히 드네요..ㅠ_ㅠ)

출처

www.boannews.com/media/view.asp?idx=91382&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=114097

www.boannews.com/media/view.asp?idx=91297&page=1&kind=1&search=title&find=

1. 개보위의 개인정보보호 연차보고서 - 실태 점검 및 개선

개인정보보호 기반 강화에 대한 5가지 측면의 내용이 담겨져 있다고 합니다.

• 개인정보 침해사고 예방 강화
• 정보주체 권리 보장
• 개인정보보호 실태 점검 및 개선
• 개인정보 환경 개선과 기술 지원
• 자율규제 촉진

이번에는 개인정보보호 실태 점검 및 개선 사항을 살펴보도록 하겠습니다 :D

(1) 개인정보보호 실태 점검 강화

행정안전부(행안부)는 공공·교육·보건복지 등 6대 분야를 대상으로 기획 점검과 현장 점검을 지속적으로 실시하고 있습니다. 또한, 여러 사항을 고려해 행정처분을 받은 사업자 명단을 공개하는 등 경각심을 고취하였으며, 동종 업계 전반의 자체 점검 및 개선 확산을 유도하고 전반적인 개인정보보호 수준을 제고하고자 했습니다.

행안부는 공공기관과 민간 사업자가 법규를 준수할 수 있도록 '개인정보보호조치 안내서'와 '개인정보보호를 위한 필수 조치 사항 안내 리플릿'을 발간하여 개인정보처리자의 자발적 보호 조치 능력을 향상시킬 수 있는 환경을 조성했다고 합니다.

그리고 개인정보 관리실태 점검 기본계획에 따라 국민생활과 밀접한 분야를 대상으로 개인정보보호 현장 검사 및 온라인 검사를 실시했다고 합니다. 이에 위반 기업에 대한 행정처분 결과를 행안부 대표 홈페이지를 통해 공표했습니다.

중·소 사업자를 대상으로 사업자가 자체적으로 개인정보 관리실태를 점검하고, 위반 사항에 대해 개선 조치를 할 수 있도록 2109년에 300여개 사업자를 대상으로 점검을 실시하고 컨설팅을 병행했다고 합니다.

방송통신위원회(방통위)는 정보통신서비스 제공자를 대상으로 관리실태를 점검하고 있다고 합니다. 이를 통해 국내 이용자의 개인정보를 보호함으로써 피해를 최소화하고 국민의 권익을 증진시키는데 노력을 기하고 있다고 합니다.

사이버 공격으로 발생하는 유출사고 사업자 대한 현장 점검을 실시하고, 법 위반사항이 확인되는 사업자는 행정조치를 내렸으며, 이후 행정처분대상자를 대상으로 개선조치를 이행했는지 점검했다고 합니다.

한편, 국내 이용자들의 페이스북·구글 등 글로벌 서비스 이용이 활발함에 따라 해외사업자의 개인정보 침해사고 이슈가 증가되고 있습니다. 그래서 해외사업자에 대한 실태 점검도 이루어 졌다고 하네요 :D

2020년에는 글로벌 서비스를 이용하는 국민을 위해 국내대리인 지정제도, 개인정보 손해배상 책임 보장제도가 안정적으로 정착될 수 있도록 이행 점검을 실시할 계획이라고 합니다.

(2) 개인정보보호 관리수준 진단

행안부는 매년 공공기관을 대상으로 개인정보 관리에 대한 자료를 제출받아 관리수준을 진단하고 있습니다.

관리수준 진단은 관리체계·보호대책·침해대책 등 3개 분야 12개 지표를 가지고 이루어지며 각 기관이 개인정보보호 종합지원시스템에 등록하면, 진단위원회가 검증·진단하고 재검증 신청 등을 거쳐 최종결과를 확정한다고 합니다.

2019년에는 총 778개 기관(중앙부처 46개, 지방자치단체 243개, 지방공기업 150개, 산하 공공기관 339개)에 대해 실시 했으며, '개인정보 처리방침 및 정보주체 권리보장' 진단 지표를 신설하여 정보 주체의 권리 보장을 위한 능동적 관리 기반을 마련했습니다. 또한, 효율적 진단을 위해 지표별 개별 증빙자료 제출 기능을 개발·제공하고, 대상 기관의 편의를 위해 노력했다고 합니다.

결과적으로 '보호대책 수립 및 시행'에 대한 부분이 가장 높게 진단되었고, 기관 유형별로 광역자치단체와 기초자치단체의 관리 수준이 낮은 것으로 나왔다고 합니다. 그리고 개선이 필요한 사항들을 조치하도록 했습니다.

행안부는 진단 결과가 미흡한 기관에 직접 방문하여 현장 컨설팅을 수행함으로써 공공 분야 개인정보 관리수준의 실질적인 향상 지원에 중점을 두었다고 합니다.

(3) 고유식별정보 안전조치 관리실태 조사

행안부는 고유식별정보 관리에 관한 침해 예방과 피해 최소화를 위해 전체 공공기관과 5만명 이상 고유식별정보를 처리하는 사업자를 대상으로, 2년마다 1회 이상 안전 조치 이행 여부를 조사하고 있다고 합니다.

관리실태 조사는 안정성 확보 조치 기준에 따른 주요 점검 항목을 구성하고, 대상기관 자체 점검을 실시해 이행 결과를 제출하게 하는 방법으로 진행되고 있다고 합니다.

행안부는 증빙자료 검토를 통해 대상기관이 제출한 자체 점검 결과에 대한 신뢰성을 검증하고, 고유식별정보처리자의 실질적인 보호수준 향상을 위해 환경을 고려한 맞춤형 방문 컨설팅을 제공한다고 합니다. 조사 기간 중 상담센터 운영으로 사업자 스스로 안전조치 이행 현황을 파악하고 미흡 부분에 대한 개선 조치가 원할하게 이뤄질 수 있도록 지원하고 있다고 합니다.

(4) 금융권 정보활용·관리 상시평가제 도입

현재 신용정보법상 금융위원회에 금융회사 신용정보 관리·보호인이 신용정보 관리 및 보호 계획의 수립 및 시행 등의 업무를 수행하고 보고서를 제출하도록 되어 있다고 합니다. 하지만 여태 보고서에만 따르는 형식적 수준에만 그쳐왔다고 합니다. 이에 개정 신용정보법에서 형식화된 상시평가제도를 도입했다고 합니다.

신용정보법에는 상시평가제도를 통해 신용정보관리·보호인이 처리하고 있는 개인신용정보의 관리 및 보호실태를 정기적으로 점검해 금융위원회에 제출하고, 이를 점수 또는 등급으로 표시해 금융감독원이 검사 시 활용 가능하도록 했습니다.

2. NAS의 보안 지침서 발표

미국의 NAS가 2개의 사이버 보안 관련 문건을 배포했습니다. 이는 국가보안시스템, 국방부의 근무자들, 시스템 관리자들을 위한 네트워크 보안 및 사건 대응 가이드라인이라고 합니다.

(1) 침해된 개인 네트워크 지표와 완화 방법 (Compromised Personal Network Indicators and Mitigations)

이 문건은 원격에서 근무하는 관리자들이 네트워크에서 발생한 침해를 탐지할 수 있게 지표를 알려주고, 완화 방법과 침해지표를 제시하고 있습니다. 하지만 이 문건에 나온 내용으로 방어 체계를 구축한다고 해서 네트워크가 완전히 안전한 것은 아니라고 NSA에서 강조했다고 합니다.

다음은 문건의 완화절차 방법입니다 :D

• 라우터의 리부팅과 재설정
• 원격 관리 기능 해제
• 펌웨어 업데이트
• 감염된 장비 분리
• 네트워크에 연결된 장비들의 비밀번호 재설정
• 안티멀웨어 소프트웨어 운영
• 설치된 멀웨어 제거
• 시스템 복구로 감염 전 상태로 되돌리기

해당 문건↓

https://media.defense.gov/2020/Sep/17/2002499615/-1/-1/0/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF/COMPROMISED_PERSONAL_NETWORK_INDICATORS_AND_MITIGATIONS_20200914_FINAL.PDF

(2) 긴급 네트워크 관리 수행(Performing Out-of-Band Network Management)

이 문건은 운영과 생산성을 위한 트래픽과 관리를 위한 트래픽을 분리시키는 방법을 알려줍니다. 망분리를 기본 개념으로 하고 있으며, 악성 트래픽이 빠르게 퍼져나가지 못하게 막기 위함이라고 합니다.

긴급관리에 관한 아키텍처 설계에 집중하고 있는데, 망분리를 하기 전 취약점 및 위험도 평가를 먼저하는것이 맞다고 제안했습니다. 또한 VPN 기술을 사용해 장비를 관리하는게 안전하다고 덧붙였습니다. 지속적인 네트워크 모니터링과 로그 열람 역시 중요한 부분이라고 강조되었다고 합니다.

해당 문건↓

https://media.defense.gov/2020/Sep/17/2002499616/-1/-1/0/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF

3. 안드로이드용 버전 파이어폭스 취약점

모질라의 웹 브라우저인 파이어폭스에서 심각한 취약점이 발견되었습니다. 피해자는 특별한 행동이 필요할 필요 없이 같은 와이파이 망에 있기만 하면되며, 취약점을 익스플로잇할 경우 피해자의 안드로이드 장비에서 아무 웹사이트나 열 수 있습니다.

이러한 취약점이 발견된 곳은 안드로이드용 파이어폭스의 Simple Service Discovery Protocol(SSDP) 에진 68.11.0 및 그 이하 버전입니다. SSDP는 네트워크 프로토콜로 네트워크 서비스에 대한 정보를 광고하고 발견하는데 사용된다고 합니다. 공격자는 이 SSDP를 속여 안드로이드 인텐트 URI를 발동시킨다고 합니다. 여기서 인텐트란, 실행되어야 할 오퍼레이션에 대한 추상적 설명이며, 인텐트가 있어야 개발자들은 다른 앱에서 실행되어야 할 행위를 발동시킬 수 있다고 합니다.

모벌리라는 보안 전문가는 다음과 같이 취약점을 설명했다고 합니다. "일종의 '송출 준비 안료' 메시지로, 출력을 할 두번째 화면을 계속 찾고 있는 것입니다. 이메시지들은 UDP 멀티캐스트를 통해 239.255.255.250으로 전송됩니다. 그러므로 같은 네트워크에만 있다면 이 네트워크를 받아볼 수 있게 되는 것입니다. 그리고 이에 대한 대응도 할 수 있습니다."

이러한 이점을 이용해 공격자는 '송출 준비 완료'메시지에 답신을 보내고, 다른 장비로 송출 위치를 지정할 수 있는 것을 이용합니다.

또한 강제로 피싱 페이지를 피해자의 장비에서 여는 것도 가능하며, 악성 .xpi 파일이 곧장 열리도록 하여 악성 확장 프로그램이 설치되도록 할 수 있다고 합니다.

이에 최신 업데이트를 적용하여 안전하게 사용하며, 자동 업데이트가 진행되도록 설정하는 것이 좋습니다.

출처

www.boannews.com/media/view.asp?idx=91350&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=91347&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91349&page=1&mkind=1&kind=1