1. 개보위의 개인정보보호 연차보고서 - 침해사고 예방 강화 및 정보주체 권리 보장

보고서에는 개인정보보호 기반 강화에 대한 내용이 5가지로 소개되어 있습니다.

• 개인정보 침해사고 예방 강화
• 정보주체 권리 보장
• 개인정보보호 실태 점검 및 개선
• 개인정보 환경 개선과 기술 지원
• 자율규제 촉진

이번엔 침해사고 예방 강화 및 정보주체 권리 보장 조치를 알아보도록 하겠습니다 :D

(1) 개인정보 침해사고 예방 강화

가. 개인정보 유출·노출 예방 및 대응

행정안전부는 정부 및 공공기관 등에서 운영하는 홈페이지를 상시 모니터링하며, 개인정보가 탐지되면 즉시 삭제·차단 조치를 한다고 합니다. 그리고 취약·영세 기관 등을 대상으로 노출 재발 방지를 위한 기술 지원을 실시하고 있다고 합니다.

개인정보 노출 예방 및 재발 방지를 위해 전국적으로 예방 교육을 실시하며 대상자의 역량 및 전문 교육 난이도 등을 고려하여 사례 중심의 교육 교재도 개발했다고 합니다.

그리고 행안부는 노출 모니터링 대상 홈페이지를 현행화하고 있으며, 집중 탐지 홈페이지를 선정하고 이에 대한 관리를 강화하고 있습니다. 더불어 기존에 개인정보 탐지 유형이 고유식별정보 4종이었지만 8종으로 확대하고 이미지 형태의 개인정보도 새로 탐지하기 시작했다고 합니다. 이에 875개 홈페이지에서 총 612,772건이 탐지되어 즉시 삭제조치를 했다고 하네요 :D

* 고유식별정보 4종(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)

  -> 고유식별정보 8종 확대(휴대전화번호, 계좌번호, 신용카드번호, 건강보험번호)

방송통신위원회(방통위)는 개인정보 침해사고의 2차 피해 확산을 방지하기 위해 정보통신서비스 제공자에 대한 법 보호 조치 여부를 모니터링하여 유출사고를 예방하고, 노출 대응 시스템을 운영해 국내·외 웹사이트에 노출된 개인정보와 불법 유통 게시물을 탐지·삭제·차단하고 있다고 합니다.

2019년부터 이미지 내 개인정보에 대한 탐지를 본격 실시하여 이미지 형태로 노출된 개인정보 2,890건을 탐지하였고 2,749건을 삭제하는 등 개인정보 탐지 사각지대를 축소했으며, 개인정보 노출된 게시물 12,895건을 탐지해 연락 불가건 등을 제외한 12,615건을 삭제했다고 합니다. 또한 개인정보 판매·구매 목적의 게시물을 121,714건을 탐지해 111,298건을 삭제·차단 조치하였다고 합니다.

방통위는 중화권 국가에서 발생하는 개인정보 침해에도 적극 대응했다고 합니다. 한중인터넷협력센터를 운영해 중화권 웹에서 노출된 개인정보와 불법 유통 게시물 삭제를 강화했으며, 한국인 개인정보 불법 거래가 지속되었던 타오바오와 핫라인을 구축하여 개인정보 판매 게시물 전체 삭제 조치 및 협력 관계를 공고히 했다고 합니다.

그리고 개인정보를 수집·이용하는 웹사이트, 스마트폰 앱(약 30,000개)를 대상으로 모니터링 및 개선 안내를 실시해 개선이 필요한 웹·앱 16,744개 중 12,857개의 개선을 유도하고 인식 제고 및 자발적인 참여를 독려했다고 합니다.

2019년에 개선이 필요한 사업자를 대상으로 교육 및 안내 가이드 배포·전화 상담 등을 지원하고, 해외 앱에 대해서는 모니터링 결과보고서 및 개선 가이드라인, 국내 법령 해설서를 영문으로 지원했다고 합니다. 또한 관련 사업자들이 개선 조치를 할 수 있도록 협력을 강화했다고 합니다. 그리고 앱 미개선 사업자 6,489개에 대해 행정지도 시행을 했으며, 계속해서 미준수 사항을 개선하지 않는 사업자를 대상으로 현장조사를 실시하여 개인정보보호 규정 준수율을 제고했습니다.

나. 개인정보 영향평가제 운영

"개인정보보호법" 제33조에 따라 일정 규모 이상의 개인정보를 처리하는 개인정보파일을 구축·운영 또는 변경하려는 공공기관은 개인정보 침해가 우려될 시 개인정보 영향평가를 통해 위험요인을 사전 분석하고 개선하게 되어 있습니다.

행안부는 이를 위해 개인정보 영향평가 수행하는 신규 전문인력 양성을 위해 227명 대상으로 전문교육을 실시했으며, 53명에게 신규로 영향평가 인증서를 교부함으로서 총 1,213명의 영향평가 전문인력을 확보했다고 합니다. 또한 유효기간 만료 예정인 영향평가기관의 영향평가 수행역량을 전반적으로 심사해 6개 기관에 대한 영향평가기관 지정을 갱신했으며, 품질 검토를 통해 개인정보 영향평가기관의 영향평가 수행품질을 관리했다고 합니다.

다. 개인정보파일 등록 및 관리 강화

행안부는 "개인정보보호법" 제32조에 따라 공공기관이 운용하는 개인정보파일의 등록 현황을 누구나 열람할 수 있도록 종합포털에 공개하고 있습니다. 정보주체인 국민이 개인정보에 대한 권리를 행사할 수 있도록 보장하기 위한 것이라고 합니다 :D

(2) 정보주체 권리 보장

가. 개인정보침해신고센터 운영

2019년 센터에 접수된 신고·상담 건수는 총 159,255건이며 작년에 비해 3.2% 감소한 수치입니다. 이 중 '주민등록번호 등 타인 정보의 훼손·침해·도용'은 134,000 여건으로 전체의 약 84%에 달하는 수치라고 합니다.

밑의 정보는 신고·상담에서 지속적으로 나타나고 있는 것들이라고 합니다.

• 보이스 및 메신저 피싱 등 전자통신 금융사기 관련 상담의 폭증
  ( 약 110,000건, 전체 건수 중 69% 차지 )
• 개인정보 미파기 신고 및 상담 증가
  ( 1,214건, 작년 대비 17% 증가 )
• CCTV 설치 및 운영 관련 신고 및 상담의 지속적 증가
  ( 약 4,800건, 작년 대비 10% 이상 증가 )
• 적법하지 않은 주민등록번호 처리 관행 지속

나. 정보주체 권리 보장 시책 추진

나-1. 국내대리인 지정 및 개인정보 손해배상제도 지원

국내에 정보통신서비스를 제공하고 일정 기준을 충족하는 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법이 개정되었습니다. 그래서 방통위는 의무 대상 국외사업자의 세부기준을 정한 '국내대리인 지정제도 안내서'를 발간했다고 합니다.

그리고 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 이용자에게 손해를 입힌 경우 손해배상책임 이행을 위해 사전 조치를 하도록 정보통신망법이 개정되었습니다. 그래서 방통위는 이에 대응하기 위해 '개인정보 손해배상책임 보장제도 안내서'를 발간했다고 합니다.

그리고 정보통신서비스 제공자 등이 스스로 개인정보 손해배상 책임 보장제도("정보통신망법 제32조의 3) 적용 대상인지 쉽게 판단할 수 있도록 '개인정보 손해배상책임 보장제도 자가진단 안내'도 제공했다고 합니다. 이 안내서들은 한국인터넷진흥원(KISA) 온라인 개인정보보호 포털에서 열람이 가능합니다.

나-2. 프로파일링 대응권 강화

최근 인공지능, 빅데이터 등 기술이 발전함에 따라 다양한 영역에서 개인정보에 대한 프로파일링이 증가하고 있습니다. 그러나 무분별하게 이뤄질 경우 정보주체의 권리가 침해될 소지가 있으므로 이에 대한 적절한 보완 장치가 필요합니다.

EU GDPR은 프로파일링의 근거 및 기준, 개인에게 미치는 영향도 등 정보주체에게 알기 쉽게 전달하고, 거부권 도입으로 프로파일링 과정 및 결과의 투명성을 제고하고 적극적인 대응권을 보장하도록 했습니다.

국내에서도 정보주체의 대응권을 보장하기 위해 개인신용평가와 관련해 설명요구·의견표현·이의제기권 등의 제도를 일부 도입했으며, 마케팅거부권 등 일반적으로 보장되고 있다고 합니다.

개정된 신용정보법은 개인신용평가 관련 금융거래 거절 여부와 관계없이 설명요구, 이의제기권을 폭넓게 인정하고 자동화된 개인평가를 기초로 하는 금융거래에 대한 개인의 적극적 대응권을 도입했습니다.

나-3. 개인신용정보 전송요구권 도입

개인신용정보 전송요구권이란 정보주체가 본인의 개인신용정보를 보유한 기관으로 하여금 본인정보를 제3자에게 이동시키도록 할 수 있는 권리입니다. 자신의 긍정적인 정보 제공 시 평가상 가점제도가 있지만, 개인이 직접 주기적으로 정보를 수집·제출해야 하는 절차가 번거로워 활용도가 낮다고 합니다. 하지만 이러한 전송요구권을 행사한다면 편하게 가점 혜택을 받을 수 있습니다.

또한, 다양한 기관에 분산되어 있는 본인 신용정보를 본인정보관리업자에 제공해 쉽게 정보관리서비스에 접근할 수 있다고 합니다.

나-4. 정보활용 동의서의 실질화·단순화

개정된 신용정보법은 개인정보 수집·활용에서 투명성을 높이고 정보주체를 보호하기 위해 정보활용 동의제도의 개선, 정보활용 등급제 도입 등 금융소비자가 '알고 하는 동의'를 할 수 있게 했습니다.

그리고 금융기관 등이 수집·이용·제공하는 정보의 내용에 대해 요약 정보를 우선 제공하고, 고객이 요구할 경우 상세 정보도 함께 제공하도록 했다고 합니다.

2. 경찰청, 추석 전후 사이버사기 예방 집중

추석 연휴를 앞두고 다양한 추석 선물을 준비하는 과정에서 고가의 상품을 저렴하게 사고자 하는 심리를 이용한 다양한 사이버사기 피해가 증가할 것으로 예상됩니다.

이에 경찰청은 선세적 예방활동을 위해 관련 기관과 기업들이 강력 대응하기로 했습니다. 또한, 사이버 사기 단속 강화를 위해 '물품거래사기 등 4대 사이버사기 특별단속·서민경제침해사범 집중단속 기간( ~ 20.12.31)을 운영하고 있다고 합니다.

경찰청은 9월 11일 KISA 및 주요 중고거래 기업들이 참여하는 간담회를 개최하였으며, 추석 연휴기간을 전후로 사이버 사기 범죄 예방을 위해 온라인상 집중 예방 홍보 활동을 약속했다고 합니다. 그리고 사이버사기 예방을 위한 자체 정책들을 공유하고 협업을 지속적으로 유지하기로 했다고 하네요 :D

이번 협의를 바탕으로, 예방콘텐츠를 제작한다고 합니다. 그리고 사이버사기 예방에 대한 국민인식을 높이기 위해 경찰청 앱(사이버캅)을 통해 피해경보도 발령할 예정이라고 합니다.

최근 주요 범죄 수법으로는 '중고거래 사이트를 벗어나 다른 메신저로 대화 유도', '거래 시 안전거래사이트를 빙자한 가짜 인터넷주소'가 있다고 합니다.

특히, 가짜 안전거래사이트 사용을 유도하는 범죄 수법에 대응하기 위해 주요 안전거래 업체의 '공식 예금주명 리스트'를 제작하여 앱에 공지할 계획이라고 합니다.

또한 기본보안수칙인 출처가 확인되지 않는 메시지 및 인터넷 주소 클릭 주의, 확인되지 않은 앱 설치 금지, 보안 설정 강화 등 예방수칙 준수가 매우 중요합니다.

예방홍보 컨텐츠는 전국 경찰관서, 관계기관·기업의 누리집(홈페이지) 등 다양한 채널을 활용하여 추석 전후로 게시하며, 각 기관·기업에서도 자체 홈페이지 등을 통해 자체 예방콘텐츠를 마련, 홍보를 병행할 예정이라고 합니다.

3. 이란 해커, '2단계 인증' 우히용 악성코드 사용

이란해커가 SMS로 전송된 2단계 인증 코드를 가로챌 수 있는 안드로이드 악성코드를 개발하여 사용한 것으로 나타나싸고 합니다.

글로벌 보안 기업 체크포인트 연구팀에서 밝혔으며, '램펀트 키튼(Rampant Kitten)'이 최소 6년간 활동해왔으며, 이산 소수 민족과 반체제 단체, 저항 운동을 감시해왔다고 언급했습니다.

안드로이드 앱 기반 악성코드는 피해자의 연락처 목록과 SMS 메시지를 탈취할 수 있었다고 합니다. 마이크를 몰래 사용해 피해자의 상황을 녹음하고, 피싱 페이지를 띄우는 것이 가능했으며, 2단계 인증 메시지를 가로채는 기능도 탑재되어 있다고 합니다. 이 악성코드는 "G-"(구글 계정 2단계 인증 코드 앞머리)라는 문자가 포함된 모든 SMS 메시지에 대해 전송을 차단하고 해커에게 전달하게 되어 있다고 합니다.

해커는 이뿐만 아니라 SNS 앱에서 피해자가 기기로 전송되는 SMS 메시지도 미리 입력해둔 전화번호로 전송되게 했다고 합니다. 이는 구글 계정외 다양한 2단계 절차를 우회하기 위한 것이라고 하네요 !

이에 미국 지디넷은 국가에 소속된 해커들이 2단계 인증을 우회할 수 있다는 점은 널리 받아들여지고 있지만, 그 과정과 절차에 대해 알게 되는 것은 매우 드문일이라고 언급했다고 합니다 :D

출처

www.boannews.com/media/view.asp?idx=91301&page=1&mkind=1&kind=2

www.dailysecu.com/news/articleView.html?idxno=113943

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29553&key=&dir_group_dist=&dir_code=&searchDate=

1. 개보위의 개인정보보호 연차보고서 - 국제적 활동과 협력

이번에는 국제적 환경 변화에 따른 대응과 국제협력 강화 부분을 살펴보도록 하겠습니다.

(1) 국제적 환경 변화에 따른 대응

가. EU GDPR 시행 대응

방송통신위원회(방통위)는 EU GDRP의 영향을 받는 기업을 대상으로 법률 이행과 대응 역량을 위한 다양한 사업을 실시 했다고 합니다. 우선 영세·중소기업 15개사 대상으로 주기적인 컨설팅을 실시했으며, GDPR 전문 상담창구를 운영하여 170여회 GDPR 관련 상담을 제공했다고 합니다.

또한, GDPR 홈페이지를 개편했다고 합니다. 이는 GDPR 관련 창구를 일원화하고 최신 동향을 빠르게 제공하기 위한것으로 GDPR 개요, EU 주요국의 법·제도, 신고 및 위반 사례 등 여러 정보를 제공했으며, GDPR 자가 진단도구를 개발하여 기업이 스스로 GDPR 준수 현황을 기초 진단하고, 이행이 필요한 사항을 점검할 수 있도록 했다고 합니다.

장기적 관점으로 실무자를 위한 GDPR 전문 교육 과정 8종을 개발하고, 18회의 교육을 실시했다고 합니다. 이러한 종합적인 지원 사업을 통해 방통위는 구체적이고, 현업에 바로 적용 가능한 도움을 제공했다고 하네요 :D

나. APEC CBPR 인증기관 활동

우리 정부는 한국인터넷진흥원(KISA)를 국내 CBPR 인증기관으로 지정하고, APEC의 심사 절차 지원을 위해 KISA의 CBPR 인증기관 업무 적합성에 대한 검토보고서를 19년 7월에 APEC에 제출했습니다. 이후 검토와 질의 응답을 거쳐 공식 승인됨으로써 우리 기업들이 CBPR 인증을 신청할 수 있게 되었습니다.

20년부터 국내 CBPR 인증제도가 시행되며, 확산과 활성화를 위해 CBPR 안내서 개발, 안내 페이지 개설, 사업자 대상 설명회 개최 등 다양한 활동을 수행할 예정이라고 합니다 :D

(2) 국제협력 강화

가. 개인정보 국제협력 기반 마련

행정안전부는 해외에서 발생한 우리 국민의 개인정보 피해를 구제하고 해외 진추 국내 기업에 개인정보보호 법제 정보를 제공하기 위해 홈페이지를 운영하고 있으며, 상담 서비스를 제공하고 있습니다. 해외 국가 정보, 자료실 메뉴 등이 있으며, 해외 국가 9개국의 개인정보보호 관련 법률 체계, 행정 체계, 피해 구제 체계 등 여러 자료를 제공하고 있다고 합니다.

나. 국제적 이슈에 대한 적극적 대처

나-1. 국제 개인정보보호 감독기구 협의체(GPA, Global Privacy Assembly)

GPA는 매년 1회 정기총회를 개최하며, 개인정보보호 분야 법제 동향·신기술 발전 등에 따른 주요 변화와 관련된 여러 사항을 논의해 결의안을 채택하고, 국제적 차원의 개인정보보호 토론의 장으로서 중요한 역할을 하고 있습니다.

나-2. 아시아-태평양 프라이버시 감독기구(APPA, Asia Pacific Privacy Authorities)

개인정보보호위원회는 APPA 회원으로 매년 포럼에 참석해 국내 개인정보보호 정책 현황 및 동향을 회원국에 소개하고, 개인정보보호 분야에 관한 이슈를 논의하고 있다.

51차와 52차 포럼에 참석하여 국내 "개인정보보호법" 개정 동향을 소개하고, 각국의 개인정보보호 법령정보 공유를 위한 공통 포털 개설을 제안했다고 합니다. 또한 AI 등 신기술 발달에 따른 국제 개인정보보호 이슈와 해외 우수 법제 및 집행 사례에 대해 논의하고 해외 개인정보보호 감독기구들과의 협력 관계를 공고히 했다고 합니다.

나-3. 유럽평의회 108호 협약(Convention 108) 자문위원회 활동

개인정보보호를 목적으로 구성된 108호 협약에 근거로한 자문위원회로, 해당 협약의 현대화 작업 및 주요 원칙 이행 확대·협력 사업을 통한 데이터 보호 분야의 법적·기술적 지원 제공, 개인정보보호 관련 보고서 및 가이드라인 발간 등의 업무를 수행하고 있다.

나-4. 국제 프라이버시전문가협회(IAPP, International Association of Privacy Professionls)

2000년에 설립된 개인정보보호 및 프라이버시 분야의 비영리기구로, 다국적 기업, 정부기관, 프라이버시 전문가 등 여러 분야의 관계자들이 참여해 국제 개인정보보호 인증 프로그램을 운영하고 다양한 교육 프로그램도 제공하고 있습니다.

2. 랜섬웨어로 인한 사망 사건 발생

독일 뒤셀도르프대학에서 운영하는 종합병원으로 최근 IT 시스템이 마비가 되어 사망한 사건이라고 합니다. 해커가 네트워크의 약한 부분을 침해했으며, 이는 널리 사용되는 상업용 소프트웨어라고 합니다.

해커의 공격으로 시스템이 마비가 되어 응급환자들과 수술이 예약되어 있었던 환자들이 다른 병원으로 이송되어야 했으며, 그 과정에서 1명이 사망했다고 합니다.

하지만 랜섬웨어라고 단정 짓지는 않았다고 합니다. 병원 측에 요구된 해커의 요구사항은 없었으며, 그냥 연락을 달라고 한 내용 뿐이었다고 합니다. 특히 받는 사람이 병원이 아닌 대학교로 되어 있다고 합니다.

경찰은 범인에게 대학이 아니라 병원이 마비되었고 환자들이 위험에 처해 있다고 설명했으며, 범인은 협박을 취소하고 데이터 복호화에 필요한 디지털 키를 제공했다고 합니다.

이렇게 실제 보안사고로 인해 사망하는 사건이 발생했습니다. 특히 이번 사건은 병원과 산업시설을 겨냥한 공격들이 이러한 사태로 이어질 가능성이 높다고 보안 강화를 주장했었던 부분으로 경각심을 일으킨 사건이 아닌가 생각합니다. 이 사건에서 병원의 '보안 강화 책임 소홀'이 얼마나 적용한 것으로 독일 사법부가 판단할지 주목되고 있다고 합니다.

3. 블루투스 BLESA 취약점

BLESA는 새로운 취약점으로 블루투스 저전력(BLE)에서 발견되었다고 합니다.

BLESA는 BLESA Spoofing Attacks의 준말로, 블루투스 연결이 재성립되는 과정에서 일어난다고 합니다. 공격자들은 재연결 시 필요한 인증과정을 BLESA를 통해 우회하여 자신들이 표적으로 삼은 장비에 접근해 데이터를 보낼 수 있다고 합니다. 장비가 의도치 않은 기능을 하거나 다른 역할을 하며 거짓 정보를 심는 것도 가능하다고 하네요 :D

BLE 프로토콜을 워낙 많은 곳에서 사용되기 때문에 상당히 광범위한 영향력을 발휘한다고 합니다. BLE은 에너지 효율을 높여주며 사용이 간편한데, 이 사용이 간편하다는 것은 페어링 할 때 사용자가 조작할 것이 거의 없다는 것이며, 여기서 문제의 근원이 나왔다고 합니다.

퍼듀대학의 보고서의 내용 중 일부 설명되어 있다고 합니다. "BLE 프로토콜은 BLE가 구현된 장비들끼리 얼마든지 연결되어 각종 정보를 주고받을 수 있도록 만들어졌습니다. 그래서 BLE 장비가 연결된 서버를 공격자가 발견하기만 하면 특성 정보를 쉽게 가져갈 수 있습니다. 그리고 BLE는 애드버타이징 패킷을 항상 평문으로 전송합니다."

이에 퍼듀대학은 보고서를 통해 2가지를 수정해야 한다고 합니다.

- 장비들 간 재연결 시 인증을 필수가 아닌 경우가 많다.

- 장비들 간 재연길 시 인증 절차가 두 가지로 제공된다.

현재 BLESA 공격이 가능한건 Linux, Android, IOS 체제 모두에서라고 합니다. 애플은 지난 이 취약점에 대해 CVE-2020-9770이라는 번호를 부여하며 패치를 발표했고, 구글은 아직 취약한 상태라고 합니다.

출처

www.boannews.com/media/view.asp?idx=91252&page=2&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=91282&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91250&page=2&mkind=1&kind=1

1. 개보위의 개인정보보호 연차보고서 - 개인정보보호 관련 법·제도 개선

이번엔 개인정보보호법에 관련된 법·제도에 대해 알아봅시다.

(1) 데이터 3법 개정

가. 개정 경과

데이터 경제 활성화 요구가 확산되면서 2018년에 발의된 데이터 3법의 통과를 위한 노력이 시작되었다고 합니다. 행정안전부, 방송통신위원회, 개인정보보호위원회 등 시민사회와 산업계의 우려를 해소하기 위해 소통과 협력을 추진하였으며, 데이터의 안전한 활용과 개인정보보호의 조화를 위한 "개인정보보호법" 개정 작업이 완료되어 8월 5일에 시행되었습니다.

"개인정보보호법" 개정안의 의결을 전제로 유사 중복되었던 "정보통신망법"의 내용들을 삭제하였으며, "개인정보보호법"과 상이하거나 정보통신망법에만 있는 규정은 특례로 이관하는 등의 내용을 담은 "정보통신망법" 개정안도 8월 5일부터 시행되었습니다.

그리고 신용정보법 또한 8월 5일에 시행되었습니다. 이는 금융건 빅데이터 활용의 법적 근거가 마련되었고, 마이데이터 등 새로운 혁신 분야 기업의 출현 기반도 마련되었다고 합니다.

나. 주요 개정 내용

첫째로 "개인정보보호법"의 주요내용을 알아보도록 합시다.

- 개인정보 판단기준 명확화(제2조 제1호 개정; 제58조의2 신설)

- 데이터 활용을 위한 가명정보 제도화(제2조 제1호 개정, 제28조의2 신설)

- 수집목적과 합리적 관련 범위 내에서 활용 확대(제15조, 제17조 개정)

- 가명정보 간 결합 근거 마련(제28조의3 신설)

- 개인정보처리자의 책임성 강화(제28조의4 신설)

- 개인정보보호 추진체계 효율화(제7조 개정 등)

개인정보와 관련된 법률이 "개인정보보호법"으로 일원화 되면서 적용 법률에 대한 혼란, 중복규제 등 기존의 문제들을 해결할 수 있을 것으로 보인다고 합니다. 또한 가명 정보 활용에 대한 데이터 활성화도 이루어지도록 내용을 추가하였네요 :D

둘째로 "정보통신망법"은 개인정보보호 관련 조항이 모두 "개인정보보호법"의 특례 조항으로 이관되고 "정보통신망법"에서는 삭제되어 개인정보보호 관련법 및 관리 체계를 일원화했습니다.

셋째로 "신용정보법"의 주요 내용을 알아보도록 합시다.

- 빅데이터 분석·이용의 법적근거 마련

- 금융 소비자의 권리를 보장하고 개인정보보호를 강화

- 개인정보보호 추진체계 효율화

- 금융 분야 마이데이터 산업 도입

(2) 기타 정보통신 분야 개인정보보호 법령 정비

방송통신위원회는 개인정보 자기결정권 보장을 강화하고 정보통신서비스 제공자 등의 책임성을 강화하기 위해 정보통신망법 시행령을 개정했습니다.

- 정보통신망법 시행령 제16조의2를 신설해 정보통신서비스 제공자 등의 자율적인 개인정보보호활동의 촉진 및 지원을 하도록 하였으며, 이를 통해 개인정보보호 활동 계획의 이행결과 평가 등을 할 수 있는 근거를 마련했다고 합니다.

- 일정 규모 이상의 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법 제32조의5를 신설했다고 합니다. 이에 국내 대리인 지정제도의 차질없는 시행을 위해 국내 대리인을 지정해야하는 의무 대상 사업자 세부기준을 다음 "정보통신망법" 시행령 제17조의2를 신설했습니다.

- 방통위는 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 손해를 입힌 경우 손해배상 책임을 이행을 위해 조치를 하도록 "정보통신망법" 제32조의3이 신설됨에 따라 개인정보보호 손해배상책임보험 등에 가입 또는 준비금을 적립해야 하는 정보통신서비스 제공자 등의 범위, 기준을 등을 정하는 "정보통신망법" 시행령 제18조의2를 신설했습니다.

- 방통위는 "정보통신망법" 시행령 제19조의2를 신설해 14세 미만 아동의 개인정보 수집, 이용, 제공을 위해 법정대리인이 동의햇는지 확인하는 방법을 활용하도록 했습니다.

(3) 정보기술 환경 변화에 따른 제도 개선

행정안전부는 개인정보의 유출 및 오남용을 방지하기 위해 "개인정보의 안전성 확보조치 기준"을 개정했습니다.

개인정보처리시스템의 접속기록에 대한 관리기준을 강화했는데, 개정된 내용에 따르면 개인정보처리자는 다음과 같이 이행하여야 한다고 합니다.

- 접속기록 보관기간 연장( 6개월 -> 1년 )

- 점검기준 강화( 반기별 -> 월별 )

- 접속기록 항목을 구체화해 저장 및 보관

(4) 주민등록번호 처리와 관련된 법률 등의 제개정 현황

2019년 주민등록번호 처리 근거와 관련하여 "금융혁신지원 특별법 시행령" 등 4개 대통령령이 제정되었고, "조세특례제한법" 등 9개 법률과 "소득세법 시행령" 등 67개 대통령령 등이 개정되었다고 합니다 :D

2. 새로운 백엔드 접근 기술 'h2c smuggling'

파괴력이 높은 새로운 유형의 해킹 공격인 h2c smuggling이 발견되었다고 합니다. 이를 발견한 보업업체 비숍 폭스의 제이크 밀러는 다음과 같이 설명했다고 합니다.

"HTTP 요청을 '밀수'할 수 있게 해주는 공격이다. h2c는 HTTP/2가 HTTP/1.1 Upgrade 헤더를 통해 발동될 때

성립되는 프로토콜을 가르킵니다. 평문으로 통신을 한다는 특징을 가지고 있죠. 공격자가 h2c를 사용해

중간 서버 또는 프록시 서버로 요청을 보내면 서버 접근 제어 장치들을 피해갈 수 있게 됩니다.

이를 성공하면 내부 헤더들을 마음대로 조작하거나 내부 네트워크의 엔드포인트에

접근할 수 있습니다."

- 제이크 밀러, 비숍 폭스

h2c smuggling 공격의 위험성에 노출된 조직들이 꽤나 많은 수준이라고 주장했다고 합니다. 그리고 기술적인 관점에서 보더라도 h2c smuggling의 위험성은 모든 종류의 프록시 서버에 잠재되어 있다고 합니다.

이에 대한 해결책으로 프록시 의존도가 높은 애플리케이션을 사용하고 있다면, 임의의 업그레이드(HTTP/1.1 Upgrade) 헤더들을 포워딩 하지 않도록 설정하라고 설명했습니다.

그리고 h2c smuggling은 현재까지 한번도 언급되거나 발견된적이 없는 기법이라고 설명했습니다. 즉, 실제 해커들이 이미 활용하고 있는지 아닌지 확인할 방법이 아직은 없다는 것이죠.

h2c 공격을 실행하려면 두 가지 전제 조건이 마련되어 있어야 한다고 합니다.

- 설정 오류

- h2c 업그레이드를 지원하는 백엔드

문제가 되는 것이 상당수의 프록시 서비스가 디폴트 설정을 통해 h2c 헤더들을 전달하도록 만들어져 있다는 것입니다. 하지만 이 공격을 실행시키는게 쉬운 일은 아니라고 설명을 했다고 합니다. 새로운 유형의 기법이니 한번은 봐두는 것이 좋을 것 같네요 :D

비숍 폭츠에서 이 기법에 대해 깃허브에 기록해 두었다고 합니다 :D

https://github.com/BishopFox/h2csmuggler

3. MrbMiner 변종 악성코드 주의

시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 특정 해커 그룹이 MSSQL 서버에 무작위 대입 공격을 실행했다고 중국 정보보안 업체인 텐센트시큐리티가 밝혔다고 합니다. 그리고 이 악성코드가 'MrbMiner'이라고 합니다.

이 악성코드는 C2 서버에서 리눅스 서버 및 ARM 기반 시스템을 공격하도록 설계되었다고 합니다.

텐센츠 측에 의하면 해커팀은 크로토마이너를 설치하기 위해 SQL 서버의 취약한 비밀번호를 뚫고 칩입했으며 MSSQL 서버 수천대를 공격하기 위해 봇넷을 사용했다고 합니다. 그리고 이어 타깃 시스템에 C#으로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이목마를 다운로드 및 실행했다고 합니다.

출처

www.boannews.com/media/view.asp?idx=91186&page=2&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=91255&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=113825

1. QR코드 해커들의 표적이 될까?

요즘 코로나19 역학 조사를 위해 QR코드를 적극 활용하고 있습니다. 이에 QR코드를 해커들도 활발히 연구하고 있다고 합니다 :D

지금 현재의 문제는 QR코드가 활발히 사용하게 되면서 아무렇지도 않게 스캔하고 있다는 것입니다. 많은 사람들이 악성 QR코드와 정상 QR코드를 구분할 줄 모른다고 합니다.

QR코드의 위험성은 여러 행위로 볼 수 있다고 합니다. 주로 웹사이트가 열리는 용도로 알고있지만 그 외에도 많은 행위들을 할 수 있다고 합니다.

• 이메일 작성
• 통화 연결
• 홍보물 열기
• 지도 상에서 한 지역 열람하기
• 네비게이션 자동 시작
• 페이스북 자동 열기
• 페이팔을 연 후 미리 설정한 결제를 완료하기
• etc...

그럼 공격 시나리오는 다음과 같습니다.

• URL에 멀웨어를 호스팅
• URL을 QR코드에 임베드
• QR코드를 스캔할 경우 멀웨어가 발생되면서 각종 악성 행위 실행
• 멀웨어를 통해 장비 정보를 유출 및 피싱 사이트 안내 등 다양한 공격이 가능

큰 문제는 이렇게 악성행위를 할 수 있다는 것을 알고 있는 사람들이 많지 않다는 것입니다.

- 67%는 QR코드로 URL을 열 수 있다는 걸 알고 았다.

- 19%는 QR코드로 이메일 초안을 작성할 수 있다는 것을 알고 있다.

- 20%는 QR코드로 전화 통화를 시작할 수 있다는 것을 알고 있다.

- 24%는 QR코드로 문자 메시지를 시작할 수 있다는 것을 알고 있다.

- 35%는 QR코드로 해킹 공격이 가능한지 확신할 수 없다고 대답하였다.

그렇기 때문에 QR코드로 악성 행위가 활발히 이루어지기 전에 보안 연구가 필요하다고 합니다 :D 

2. 채용 관련 랜섬웨어 주의!

최근 이력서와 입사지원서, 포트폴리오 등 채용과 관련한 문서파일로 위장한 랜섬웨어를 다수 발견하였다고 합니다.

주로 "포트폴리오, 이력서, 경력사항" 등을 제목으로 한글 및 PDF 등 정상 문서파일의 아이콘 형태를 띄고 있지만 확장자는 실행파일(.exe) 형태입니다.

이번 랜섬웨어는 취업시즌이 맞이하여 기업이나 기관 사용자를 노린 것으로 보입니다. 실제 확장자명을 반딋 확인하고 출처가 불분명한 메일 첨부파일과 URL은 실행하지 않는 등 랜섬웨어에 주의하여야 됩니다. :D

3. 개인정보보호위원회, 코로나19 개인정보 관리실태 비대면 현장점검 실시

개인정보보호위원회(개보위)는 코로나19 역학 조사를 위해 처리되고 있는 개인정보 관리실태에 대한 비대면 현장점검을 실시했다고 합니다.

이번 점검은 출입명부, 확진자 이동경로, 휴대폰 기지국 접속정보를 활용해 개인정보 관리 실태를 점검하고 개인정보보호 강화대책을 논의하기 위해 이루어졌다고 합니다.

11일부터 수기명부에서 성명을 제외하고 휴대전화번호, 시·군·구만 기재하며, 테이크 아웃 시 출입명부 작성을 면제하는 조치가 시행되었다고 합니다.

전자출입명부는 한국사회보장정보원과 QR코드 발급기관이 QR코드를 4주 보관 후 파기하고, QR코드 저장 서버에 대한 접근통제 및 접근권한 제한 조치, 보안프로그램 설치 등 안전성 확보조치를 이행하고 있다고 하네요 :D

그리고 현장점검에 이어 '중대본 권고지침의 내용 중 확진자 이동경로 공개 범위 및 삭제시기 준수 의무화', 'QR코드 이용 활성화등을 위한 후속 조치 추진 방안' 방역당국과 협의했다고 합니다.

출처

www.boannews.com/media/view.asp?idx=91228&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29544&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=113803

1. 경제학적 관점에서 보안을 바라보기 !

시장 조사 기관인 가트너의 통계에 따르면 적은 곳은 IT 전체 예산의 1.7%, 많은 곳은 12%이상 보안에 쓰인다고 합니다. 이렇듯 기업에서는 보안에 많은 투자를 하고 있지 않은 실정입니다. 그래서 늘 적은 예산으로 어떻게 보안에 쓸까라는 고민은 보안담당자들의 익숙한 고민거리라고 합니다.

심지어 적은 보안 예산으로 80%가 하드웨어, 소프트웨어, 보안 전문인력에 사용된다고 합니다. 이 말의 의미는 회사 내부로 들여오는 것만 생각한다는 것이라고 하는데, 보안 대행 서비스 같은 적극 활용하는 조직은 약 20% 정도라고 합니다. 하지만 클라우드 시대가 들어서면서 바뀔거라는 전망이 보인다고 합니다 :D

가트너의 통계 상 1,2년 단위로 예산 계획을 변경하는 기업이 아니라면 투자계획을 바꾸지 않는 기업이 전체 기어브이 82%라고 합니다. 즉, 환경이나 사업 방향이라는 큰 틀에서의 변화가 없이는 조직이 운영하는 돈의 흐름을 바꾸는게 불가능에 가깝다라는 의미이며, 보안 담당자가 아무리 호소를 해도 예산을 늘리기는 어렵다는 것 의미입니다. 그러니 예산 투자와 배분을 보고 이해하며 변화의 때를 공략하라고 가트너에서 언급했다고 합니다.

보안 예산은 위험관리 차원에서 결정 및 집행하는게 일반적이며 지적재산을 보호하고 신뢰도와 가치를 보존하며 필요한 것들을 가까스로 채우는게 보안 예산을 운영하는 묘미라고 합니다. 한편 보안담당자들이 예산을 받으면 가장 먼저 알아보는 것이 기술이라고 합니다. 새롭거나 필요했던 보안 솔루션을 돈 생겼을 때 구매하는 것을 가트너에서는 "기회비용이 될 수 있다"라고 언급했다고 합니다. 하지만 이것이 조직 전체의 가치를 올릴만한 투자였는가라는 질문을 던져볼 필요가 있다고 합니다!

모든 투자는 모든 필요를 한 번에 채울 수 없고 중요도에 따라 순서를 정해야 한다는 것인데, 가장 큰 가치를 발생시킬 곳을 찾아야 한다고 합니다. CISO는 제일 먼저 기업의 가장 큰 위험 요소가 무엇인지, 어떤 영역에 걸쳐 그 위험 요소가 발휘되는지 파악해야 합니다. 아후 위험 요소에 대한 보안 투자가 이루어져야 하는 것이 현명한 것이라고 하네요 :D

"우리는 위험을 기회로 전환시키는 사람들이어야 합니다. 보안담당자들이 아닌 사람이 보기에는 '위험요소'인 것에서

우리는 '숨겨진 돈을 찾아내거나 투자자/소비자의 신뢰도를 상승시키는기회'를 발굴해야 하는 것입니다."

- 숄츠, 가트너의 부회장

2. 해커들의 타깃, '커넥티드 카'

중국 공신부 사이버보안 관리국 국장은 2020년 중국 자동차산업 발전 국제 컴퍼런스를 통해 280여만건의 공격을 받았으며 여러 취약점이 나와 문제가 심각한 상황이라고 합니다.

최근 지속적으로 커넥티드 카의 해킹 사건이 나오면서 보안 전문가들은 커네기드 카에 대한 수십차례 공격 테스트를 통해 근본적인 보안의식 부족 문제를 찾아냈다고 합니다.

이에 중국 자동차 기술 연구센터에서 다음과 같은 말을 했다고 합니다.

"자동차 정보보안은 현재 10대 보안위협에 노출되어 있다. 여러 문제들이 나오고 있으며 문제해결이 시급한 상황이다.

만약 공격자가 취약점을 이용해 서버에 침입할 수도 있으며, 차주의 생명까지도 위협할 수 있다."

- 장아남, 중국 자동차 기술 연구센터

3. 보안업계의 중소기업 원격근무 지원 총력

원격근무가 활성화된 현재 보안에 투자할 여력이 없는 부족한 중소기업들은 여전히 노출되어 있습니다. 이에 보안업체들이 잇따라 맞춤형 제품을 출시하고 있다고 하네요 :D

한번 여러 기업의 제품을 알아보도록 합시다!

(1) 안랩

14일 중소기업에 최적화된 서비스형소프트웨어(SaaS) 보안 관리 솔루션인 '안랩 오피스 시큐리티'를 공개했다고 합니다. 이는 PC·서버용 V3와 기기 보안 현황 점검 솔루션으로 구성되어 있으며, 비전문가도 손쉽게 할 수 있도록 웹 기반 관리를 지원한다고 합니다.

(2) 엑소스피어랩스

메리츠화재, 보맵과 함게 랜섬웨어 피해 보장 서비스를 출시 했다고 합니다. 이는 구독형 PC 보안 서비스와 연계된 제품으로 보안관리자를 별도로 고용하거나 고액의 보안 솔루션 구축이 어려운 중소기업에 유용한 서비스라고 강조했다고 합니다. 현재까지 두 자릿 수의 고객사를 확보한 상태로 랜섬웨어 감염으로 피해를 입었던 기업들이 대부분 가입했다고 하네용 :D

(3) 지니언스

클라우드 기반 네트워크접근제어(NAC) 제품으로 중소기업 시장을 공략하고 있다고 합니다. 사용하는 규모에 따라 월별 과금되는 구독 모델을 통해 NAC 도입 장벽을 낮췄다고 합니다.

(4) 지란지교시큐리티

지란지교시큐리티는 문서 중앙화 클라우드 서비스 '다큐원'을 내세웠습니다. 기업 문서를 중앙 서버에서 통합 관리해주는 솔루션이라고 합니다. 원격근무가 확산되기 시작한 상반기부터 중소기업 대상으로 다큐원 3개월 무상 서비스를 제공해왔다고 하며, 현재는 정부의 중소기업 보안 제품 지원 사업으로 30여곳 제품을 공급하고 있다고 합니다 :D

보안업계는 중소기업의 보안 수준이 심각한 상태라고 지적했다고 합니다. 원격근무로 인해 해커의 타겟이 될 경우 큰 피해가 초래될 수 있는 만큼 보안에 대한 인식 개선과 투자가 필요하다고 언급했습니다.

출처

www.boannews.com/media/view.asp?idx=91190&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=113748

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=1&seq=29539&key=&dir_group_dist=&dir_code=&searchDate=20200916

1. 여러 기업들을 향한 랜섬웨어, 이에 대한 대비는 ?

최근 LG전자와 SK하이닉스 등 여러 기업 대상으로 랜섬웨어 활동이 발생하고 있다고 합니다. 주요 사고 사례를 먼저 살펴보도록 합시다 :D

- 서버 보안 설정 미흡 사례

이는 보안 설정 미흡으로 감염 및 자료가 유출된 사례로서 쉬운 패스워드를 사용하거나 접근제어 정책 없이 외부에 원격포트로(3389, 22)로 접속 가능한 상태였다고 합니다. 또한 VPN 장비의 취약한 계정관리 및 보안 업데이트를 하지 않거나 보안지원이 종료된 운영체제 및 소프트웨어를 사용한 경우입니다.

- PC 보안 수칙 미이행

공문, 이력서, 견적서 등으로 위장한 랜섬웨어 악성메일의 첨부파일을 실행한 사례라고 합니다. 또한 취약한 버전의 브라우저를 사용해 랜섬웨어 악성코드가 포함된 웹사이트를 방문하거나 P2P 프로그램을 사용하여 파이을 실행한 경우도 있다고 하네요!

- NAS 보안 설정 미흡

NAS를 사용하는 곳에서 접근제어 없이 디폴트 관리자 패스워드를 사용하거나, 보안 업데이트를 적용하지 않아 발생한 사고라고 합니다.

그럼 랜섬웨어를 어떻게 대비해야할지 한번 알아보도록 합시다!

(1) 서버 보안 강화

- 보안 지원이 종료된 운영체제 및 소프트웨어는 신속하게 변경

- 운영체제 및 주요 프로그램 보안 업데이트 확인 및 적용

- 기본 원격 포트 사용 제한, 부득이하게 사용 시 OTP 등 추가 인증 강화

- VPN 장비 운영 시, 허용된 인가자와 단말기만 업무망에 접근 설정 및 추가 인증 강화

- 다수 서버 운영 시, 내부 서버 간 원격접속이 불가능하도록 접근제어 설정

- 관리자 PC에 대해 주기적 보안 점검 및 인터넷망 분리 운영

- KISA의 보안 업데이트 권고사항 준수

(2) PC 보안 강화

- 피싱 메일 주의 및 본문 링크 클릭, 첨부파일 다운로드 및 실행 주의

- P2P 프로그램 사용 금지, 부득이하게 사용 시 다운로드 파일의 확장자 확인 후 실행

- 운영체제 및 주요 프로그램의 보안 업데이트 확인 및 적용

- 상용 메일을 통한 주요 업무 자료 송수신 금지, 부득이하게 사용 시 추가 인증 강화

(3) NAS 보안 강화

- 최초 설치 시 디폴트 관리자 패스워드 변경 후 사용

- 자동 업데이트 활성화하여 최신 펌웨어 유지

- 인터넷을 통한 직접 접속 차단

- 사내망에서 운영, 부득이하게 사용 시, 장비 비밀번호 관리 및 백업, 보안 업데이트

(4) 공통 보안 강화

- 네트워크와 분리된 오프라인 백업

- 자료 유출에 대비해 문서암호화 보안솔루션 도입

- 유추하기 어려운 패스워드 사용(기준권고 사항 : 영어+숫자 10자 이상, 영어+숫자+특수문자 8자 이상)

- 사용하지 않는 네트워크 서비스 비활성화

- 인가된 관리자만 접속할 수 있도록 접근제어

- 백신 설치 및 최신 버전 유지, 정기적 검사 실행

- 이상 징후 포착 및 침해 사고 발생 시,, KISA로 즉시 신고 및 안내가이드, 백업가이드 참고 대비

2. 과학기술정보통신부, K-사이버 방역 3차 추경사업 

과학기술정보통신부(과기부)는 10일에 'K-사이버 방역' 관련 3차 추경 사업 착수 보고회를 온라인으로 개최했다고 합니다. 3차 추경에 포함된 사업은 'PC 원격보안 점검 서비스(내PC 돌보미), 'ICT 중소기업 정보보호 역량 강화 사업', '양자암호통신망 구축 시범사업' 등 총 3건이라고 하네요 :D

PC 원격보안점검 서비스는 보안전문가가 원격에서 PC 보안 수준을 점검하고 맞춤형 보안컨설팅을 제공하는 사업이라고 합니다. 인터넷을 이용하는 누구나 신청하여 서비스를 받을 수 있다고 하네요!

ICT 중소기업 정보보호 역량강화 사업은 ICT 중소 기업에 보안 컨설팅과 1,500만원의 제품 도입 비용을 제공한다고 합니다.

양자암호통신망 구축 시범사업은 공공, 의료 부문 등에 양자암호통신망을 구축하고 관련 응용 서비스 실증을 지원한다고 하네요! 아래는 사업 선정 결과입니다 :D

3. 이메일 조작 취약점 발견된 워드프레스 !

현재 워드프레스에서 이메일을 조작할 수 있는 취약점이 나왔다고 합니다! 우선 워드프레스를 기반으로 한 10만개 가량 웹사이트에서 발견이 되었다고 합니다. 이는 플러그인에서 기인하였으며, 익스플로잇 할 경우 이메일과 뉴스레터를 조작하여 사이트 사용자들을 공격할 수 있다고 합니다.

이 플러그인은 사이트 관리자들이 고객들에게 쉽게 뉴스레터와 알림 이메일을 보낼 수 있게 해주는 것이라고 합니다. 만약 이 플러그의 취약점을 익스플로잇 한다면 이메일 내용물을 쉽게 바꿀 수 있다고 하네요!

이 취약점은 CVE-2020-5780으로, CVSS를 기준으로 7.5를 받았다고 합니다. 이는 class-es-newsletters.php 클래스에서 발견된 이메일 조작 및 스푸핑 취약점으로 정의할 수 있습니다. 또한 이를 발견한 보안 업체 테너블(Tenable)은 보안 권고문을 통해 "인증을 통과하지 못한 사용자가 에이젝스 요청을 admin_ini 후크로 전송할 수 있게 해주는 취약점이며, 이를 통해 process_broadcast_submission 함수에 대한 호출이 발동된다"라고 설명했다고 합니다. 그리고 이는 인증절차가 부실하기 때문이라고 덧붙여 설명했다고 합니다 :D

공격 시나리오는 다음과 같다고 하네요!

-> 공격자가 취약한 플러그인이 설치된 워드프레스 발견

-> 특수하게 조작된 요청을 워드프레스 서버로 전송

-> 요청은 새로운 뉴스레터가 사이트에 등록된 모든 사용자에게 전송되도록 하는 기능 포함

이 취약점은 4.5.6이하 버전에 영향을 준다고 합니다. 패치가 된 사항으로 4.5.6 버전 이상으로 업그레드하면 문제가 해결된다고 하네요 :D

출처

www.dailysecu.com/news/articleView.html?idxno=113673

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29532&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=91159

1. 개보위의 개인정보보호 연차보고서 - 개보위 활동

연차보고서에 국무총리 소속 중앙행정기관으로서 개인정보보호에 관한 사무를 독립적으로 수행하고 있는 개보위의 할동도 소개되어 있다고 합니다. 이의 내용으로는 개인정보보호에 관련된 여러 사항의 연차보고서 작성과 국회 제출, 대통령이나 개보위 위원장과 위원 2인 이상이 제기한 사항, 관계 법령과 기관에서 위임한 사항 등을 심의·의결한다고 하네요.

개보위가 출범한 후 2019년까지 총 3,820건의 안건을 심의하고 1,3010건의 안건을 의결했다고 합니다. 의결은 주로 개인정보보호에 관한 법령을 해석하거나 목저 이외 이용 및 제공에 관한 사항이었으며, 2016년에 개인정보 침해요인 평가제도가 도입되면서 안건 처리수가 대폭 증가했다고 하네요!!

그럼 개보위의 활동에 대해서 한번 알아보도록 합시다 :D

(1) 개인정보보호 기본 정책 수립 및 연구 강화

가. 제4차 개인정보보호 기본계획

개인정보보호 기본계획은 개보위에서 "개인정보보호법" 제9조에따라 3년마다 수립하는 중기계획입니다. 개인정보보호의 여러가지 법이나 목료, 방향 등을 담은 사항이며, 각 중앙행정기관은 매년 시행계획을 수립하고 개보위의 심의·의결을 걸쳐 시행한다고 하네요!

개보위는 "대국민 정책 아이디어 공모", "학회 및 협의회" 등 다양한 의견을 수렴하여 제4차 기본계획을 수립했다고 합니다.

나. 2020년 개인정보보호 시행계획

개인정보보호 시행계획은 기본계획의 내용을 구체화하고 이를 달성하기 위해 각 중앙행정기관이 수립하는 연차별 세부계획으로 "개인정보보호법" 제10조 및 "개인정보보호법 시행령" 제12조에 근거를 두고 있다고 합니다.

2020년 개인정보보호 시행계획은 여러 부문에 대한 2018년 추진 실적과 2020년 추진계획을 주된 내용으로 하고 있으며 48개 중앙행정기관이 작성했다고 하네요 :D

다. 개인정보보호 정책 연구 및 전문가 간담회

개보위는 지속해서 정책, 신기술 대응에, 법, 제도에 관련해서 연구용역을 추진해왔다고 합니다. 이번 2019년에는 "개인정보보호법" 등 데이터 3법 개정과 관련된 과제를 중심으로 총 4건의 정책연구를 추진했다고 하네요 :D

(2) 법령의 개인정보 침해요인 평가

개인정보 침해요인 평가제도는 중앙행정기관의 장이 소관 법령의 제정 또는 개정을 통해 개인정보 처리를 수반하는 정책이나 제도를 도입 및 변경하는 경우 개보위가 해당 법령의 개인정보 침해요인을 평가하는 제도입니다.

2019년에 제·개정 법령에 대한 평가 실적은 1,530건(법률 116, 시행령 791, 시행규칙 623)으로, 이 중 개인정보 처리를 수반하지 않는 법령을 제외하면 320건이라고 합니다. 평가 결과, 개선권고가 129건, 원안동의가 191건이라고 하네요.

(3) 법령의 해석 등에 관한 의결

개보위는 법령의 해석 및 운용 45건, 목적 외 이용 및 제3자 제공 28건의 안건을 의결했다고 합니다. 그리고 "개인정보보호법" 제8조 제1항 제9호에 따른 행정안전부장관의 과태료 부과처분 결과 공표와 관련해 2건을 의결했다고 하네요 :D

(4) 개인정보 분쟁조정

개인정보 분쟁조정제도는 시간과 비용이 많이 들고 절차가 번거로운 소송으로는 적절한 피해구제에 한계가 있어 소송 외적으로 분쟁을 해결하기 위해 도입된 제도라고 합니다.

개인정보분쟁조정위원회(분쟁조정위원회)가 2001년에 설립이 되면서 도입되었다고 하며, "개인정보보호법" 제정으로 2011년에는 방송통신위원회에서 행정안전부로 업무가 이관되었고, 2015년 "개인정보보호법" 제정으로 개보위가 이 업무를 수행하고 있다고 하네요!

분쟁조정위원회가 2019년 처리한 분쟁조정 건수는 352건이며, 151건은 조정부에 회부해 조정안 제시 또는 기각등으로 처리되거나 합의로 처리되었다고합니다. 남은 201건은 종결이 되었다고하네요.

(5) 개인정보보호 정책 홍보

개보위는 개인정보보호 문화의 정착을 위해 분위기를 조성하기 위하여 개인정보보호 인식 주간 캠페인을 진행했다고 합니다! 그리고 개인정보 분쟁조정제도 또한 홍보를 했다고 하네요 :D

이로써 개보위의 활동에 대해서 기사를 통해 알아보았습니다. 상당히 많은 일들을 하고 있으며, 개인정보보호에 대한 핵심적인 역할을 담당하는 기관이라는것을 깨닫게 되었네요 :D

2. 한국 데이터 및 개인정보 노리는 딥웹 및 다크웹 해커조직 2곳 분석!

최근 랜섬웨어 조직의 활동이 이슈가 되었고 다크웹 및 딥웹을 주 활동무대로 삼아 한국 데이터 및 개인정보를 노리는 해커조직 2곳의 활동이 포착되고 있다고 합니다!! : (

Ensign InfoSecurity의 한국 사이버위협 인텔리전스팀이 분석한 현황에 따르면 딥웹 및 다크웹 내의 주요 언더그라운드 포럼에서 한국 관련 웹서비스와 모바일 애플리케이션을 대상으로 데이터 유출 사례가 증가하고 있다고 합니다.

이러한 분석을 통해 발견된 다크웹 및 딥웹 해커조직은 "ShinyHunters", "Megadimarus" 라고 하네요!

"ShinyHunters"는 딥웹 과 다크웹에서 2020년 1월부터 활동하였으며, 집***, 스***** 등 한국 업체 2곳의 데이터베이스를 게시해 국내에서 크게 이슈가 되었다고 합니다. 그리고 앱의 계정 정보를 게시하기도 했다고 합니다.

"Megadimarus"는 2020년 5월부터 활동하기 시작했으며 딥웹에서 국내 여행 O2O 업체인 야**의 사용자 정보를 게시해서 이슈가 되었다고 합니다. (다행히 사용자 로그인과 로그아웃 시간이 기록된 테이블이었으며, 개인정보는 포함되어 있지 않다고합니다)

이 외에도 "Megadimarus"는 지속적으로 토****, 꾸* 등 2곳의 사용자 정보를 판매 중이며 최근에는 플**** 데이터베이스의 특정 테이블 구조와 데이터를 게시하기도 했다고 합니다.

현재는 Ensign Infosecurity의 한국 사이버위협 인텔리전스 팀에서 지속적인 모니터링과 조사를 진행 중이라고 합니다. 또한 "ShinyHunters"와 "Megadimarus"의 활동량이 증가하고 있는 추세이지 각별한 주의가 필요하다고 하네요 !

3. 코로나19 방명록 개인정보 유출 책임

현재 코로나19 확진자의 감염경로 파악을 위해 수기 명부를 사용하는 영업장이 많습니다. 이에 명부 관리가 미흡하다는 지적이 많이 나오고 있다고합니다.

최근 식당 및 카페을 이용하기 위해 명부 작성한 뒤 모르는 사람의 연락을 받았다는 경험담이 많이 올라오고 있는 상황이라고 합니다.

염흥열 순천향대 정보보호학과 교수는 "명부를 보유한 사업장은 개인정보처리자로 볼 수 있으며, 정보가 노출 및 유출되면 사업자가 책임져야 할 것"이라고 설명했다고 합니다.

하지만 사업장이 개인정보를 실수로 유출했다는 점에서 형사처벌 등을 면할 수 있다는 해석도 나온다고 하네요.

이해원 목포대 법학과 교수 겸 변호사는 "사업장이 고의로 유출한 것은 아니기에 형사처벌까지는 아니고 손해배상 판결 또는 과태료 행정처분이 내려 질수 있다. 실수로 유출한 경우 개인정보보호법 26조 제7항 및 그에 따라 준용되는 29조 위반에 해당한다"고 했다고 합니다.

정부도 유출가능성 등 문제점을 인식하고 있어 약 3개월 전부터 고위험 시설은 QR코드 기반 전자출입명부 도입을 의무화했다고 합니다. 하지만 여전히 수기명부를 사용하고 있는 실정이라고 하죠.

그리고 가이드라인에는 명부 작성자가 타인의 정보를 볼 수 없도록 하고, 명부는 잠금장치가 있는 곳에 보관, 4주가 지나면 명부는 파쇄 및 소각 해야한다고 명시되어 있지만 확인하기 어려운 실정입니다.

중앙사고수습본부 관계자는 사업주 및 사업장이 책임지고 이행해야한다고 말하지만 모든 사업장을 점검하기는 현실 상어렵다고 하네요 : (

현재는 QR코드 인증 방식이 최선이며, 전자출입명부 없이 수기명부만 기록하고 있는 사업장에 한 해 지자체를 통해 사업장 대상 교육 및 관리감독을 강화할 예정이라고 합니다 :D

다만 IT기기 사용에 어려움을 겪는 노년층을 대상으로는 다른 방법이 필요하다는 지적도 나오고 있다고 합니다. 얼른 안전하고 좋은 정책을 마련했으면 좋겠네요 :D

출처

www.boannews.com/media/view.asp?idx=91144

www.boannews.com/media/view.asp?idx=91151

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29531&key=&dir_group_dist=&dir_code=&searchDate=

1. '가명정보 결합체계 협의회' 출범!

가명정보의 안전한 활용을 위한 정책을 체계적으로 추진하기 위해 7기관(정보보호위원회, 과학기술정보통신부, 교육부, 국토교통부, 보건복지부, 금융위원회, 행정안전부) 구성으로 9월 9일에 협의회를 출범했다고합니다. 그리고 전문기관을 참여하도록하여 협의회를 더욱 확대해나갈 계획이라고 하네요 :D

협의회는 반기별 정기적으로 1회 개최하며, 부처간 협의가 필요할 시 수시로 개최할 예정이라고 합니다. 그리고 협의회에 참여하지 않는 부처도 안건별로 필요한 경우를 대비해 균형있는 정책을 추진할 계획이라고 하네요!

보호위원회는 출범 당일인 9일에 제1회 회의를 개최하고, 가이드라인 제정 및 향후 업무 추진 방향 등을 공유했다고 합니다. 그리고 참여 부처도 기관별 결합전문기관 지정계획을 공유하고, 결합전문기관 지정에 대한 세부사항을 논의했다고 합니다. 과학기술정보통신부에서는 공고를 통해 공공·민간 제한 없이 신청을 받아 결합전문기관을 지정한다고 하며, 국토교통부·보건복지부 등은 산하 공공기관 중심으로 선정할 예정이라고 하네요!

가명정보 결합제도의 조기 정착을 위해 분야별로 결합 수요를 파악해 결합전문기관이 지정되면 가명정보의 결합을 수행하도록 지원하며, 의료·교육·공공기관을 대상으로 분야 별 가이드라인을 발간하기로 협력·협의했다고 합니다!

2. 과기정통부 전자서명법 개정안 "보안인 홀대" 논란

과학기술정보통신부(과기정통부)에서 전자서명법 시행령 개정안의 새로운 조항으로 정보보호인들의 공분을 사고 있다고 합니다!

이전에도 조직개편 시 인공지능정책관을 신설하여 기존의 정보보호정책관을 폐지하고 네트워크와 정보보호 정책 업무 부서를 묶어 정보보호네트워크정책관으로 통폐합했었다고 하네요! 그래서 정보보호 산업인, 담당자들은 성토의 목소리를 높였지만 재편 결과는 바뀌지 않았다고 합니다 : (

이런 상황에서 새로이 개편된 내용에 "변호사법에 따른 변호사와 회계사법에 따른 회계사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다" 라는 내용이 담겨져 있습니다.

그러니 현업 정보보호 실무자 대부분은 어이없다는 반응을 보였다고 하네요! 특히, 공인중계사는 개인정보보호와 무관한 직무를 수행하고 있음에도 6년 경력을 인정하는 것에 큰 배신감과 상처을 느끼며 강하게 반발하고 있는 상황이라고 합니다.

이러한 사태로 현업에 오랜기간 종사해온 전문가들이 이러한 말을 했다고 합니다.

ISMS 인증심사원 규정에도 변호사와 공인회계사에 정보보호 경력을 인정해주는 조항이 있으며, 이번에도 똑같은 내용이 포함되어있습니다. 이를 바로 잡지 못하면 앞으로 정보보호 관련 규정은 계속해서 잘못된 규정으로 들어가게 될 것입니다. ISMS는 심사원 시험으로 걸러낼 수 있지만 이번 규정은 납득할 수 없다. 이런 관행이 4차산업혁명의 혁신을 가로막는 대표적인 사례다.

- 박나룡, 보안전략연구소 소장

과기정통부 개편하면서 정보보호가 홀대 받는다고 원성이 자자했는데 이런 일이 반복되면 불만은 더욱 가중될 것이다. 향후 정부는 더 세심한 관심을 기울일 필요가 있다.

- 김승주, 고려대 교수

한편 개정안 관련 과기정통부 관계자는 다음과 같은 말을 했다고 합니다.

평가기관은 5인 이상 전문인력을 상시 고용해야 하며 이런 정도의 자격이 있어야 한다는 최소한의 규제이다. 공인회계사가 포함된 것은 ISMS 인증심사원 관리규정을 참고한 것이며 회계사들이 감사업무를 맡고 있기에 포함된 것이다. 정보보호 인력들을 홀대하거나 차별하는 것으로 받아들이지 않길 바란다. 11일 공청회를 갖는 이유도 이런 의견을 듣기 위해서이며 다시 한번 검토하겠다.

현업의 어려운 정보보안 환경에서 경력을 쌓아도 인정받으려면 각종 증빙 서류와 시험을 봐야합니다. 하지만 변호사와 공인회계사는 자격증 취득만 하면 개인정보보호 6년 경력을 인정받는다는 것에 대해 납득할 수 있는 규정인지 생각해 볼 필요가 있다고 합니다! 정보보안인들 화이팅!! :D

3. 견적의뢰 위장 악성 메일 주의 !

현재 견적 의뢰 메일로 위장한 악성코드 유포 사례를 발견했다고 합니다!

공격자는 악성파일을 포함한 압축포맷 파일(.cab)을 첨부해 메일을 발송했으며, '제작 가능 여부와 가격 회신 부탁드립니다', '구매주문서(PO)'등의 문구가 포함되어 있다고 하네요!

이 악성코드는 정보 탈취형 악성코드라고 합니다. 실행하면 메일, 웹 브라우저, 패스워드 관리 프로그램 등 저장되어 있는 사용자 계정정보를 수집한다고 합니다.

개인정보가 탈취되면 추가 피해를 유발할 수 있으며, V3 제품군은 이 악성코드를 진단하고 있다고 하네요!

철저히 보안 수칙을 실천하며 살아가도록 합시다 :D

출처

www.boannews.com/media/view.asp?idx=91047&page=2&kind=2

www.dailysecu.com/news/articleView.html?idxno=113535

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29529&key=&dir_group_dist=&dir_code=&searchDate=