정보보호 검색 결과
108 개의 검색 결과가 있습니다.
정보보호

POS와 신용카드결제기를 통해 전국민 금융정보가 털렸다

전 국민의 신용카드·개인정보 유출 사고 갑자기 인터넷 뉴스 포털에 "[단독] 전 국민 금융·개인 정보 털렸다"는 제목의 뉴스가 게시되기 시작했다. 어디 은행이나 카드사가 털렸나 싶었다. 하지만 은행이나 카드사가 직접 해킹을 당한것은 아니었다. 내용은 "신용카드 결제기와 POS, ATM 등이 해킹을 당해 신용카드가 결제될 때 마다 카드번호와 개인정보가 유출된 것으로 보인다"는 것이었다. 절대... "카드사가 털렸구나.."라고 생각하지 말길 바란다. 팩트가 명확하게 전달되지 않는 기사 제목과 내용만 보고 지레짐작하는 것은 결코 현명한 사람의 사고방식이 아니다. 게다가 대한민국의 기자들은 결코 선하거나 지혜로운 사람들이 아니다. 대한민국의 기자들이 아무런 이유없이 "기레기"라는 처참한 수준의 별명으로 불리는 ..

2020. 6. 15. 16:00
정보보호

[파일과 폴더 숨기기] VHD와 비트라커를 이용해 보안폴더 만들기

많은 사람들이 노트북이나 컴퓨터에 주민등록증, 면허증, 사적인 사진 등 개인적인 정보를 담고 있는 파일을 보관한다. 하지만 이 파일들의 보안에는 크게 신경쓰지 못하는 것이 사실이다. 흔히 파일이나 폴더의 속성을 변경해 숨기기도 하지만 탐색기의 옵션을 변경하면 쉽게 찾아낼 수 있는 것이 사실이다. 이때 유용하게 사용할 수 있는 기능이 바로 Windows에서 제공하는 가상디스크(VHD)와 비트라커(BitLocker)다. 컴퓨터에 익숙치 않은 분들을 위해 쉽게 설명하면 숨기고 싶은 파일을 담을 "커다란 파일(VHD : Virtual Hard Disk)을 만들어 USB메모리 처럼 필요할 때만 드라이브로 연결해 파일을 담아두는 방식이다. 그리고 아무나 VHD 파일을 드라이브로 연결해도 내용을 보지 못하도록 "VH..

2020. 6. 5. 22:39
정보보호

warning 우회하기 (SNI 필터링, DNS필터링 우회)

자유민주주의를 주창하는 국가라도 권력을 가진자는 국민의 모든 자유를 항상 보장하지 않고 무언가를 통제하려 한다. 그런 현상은 수십년간 많은 피를 흘려가며 자유민주주의를 쟁취한 우리나라도 예외는 아니어서 불법유해사이트를 차단한다는 목적하에 도메인주소를 기반으로 하는 필터링 정책을 편다. 그렇다보니 조금만 노골적인 성적인 정보가 포함된 게시물이 올려져 있는 사이트로 들어가는 URL 링크를 클릭하게 되면 다음과 같은 경고페이지가 뜨며 접속이 차단되는 것을 볼 수 있다. 하지만 가끔은 "이거 너무 심한거 아니야? 내가 나이가 몇살인데.. 이정도의 성인물도 보지 못하게 하는거지?"라는 생각이 들 때도 있다. 게다가 성인정보가 포함된 사이트가 아닌 경우에도 접근이 차단되는 경우가 있다. 대표적인 경우가 Torren..

2020. 3. 16. 15:41
정보보호

실명인증과 본인확인의 차이

인터넷으로 제공되는 다양한 서비스를 사용하다보면 "실명인증"과 "본인확인"을 거쳐야만 하는 경우를 많이 볼 수 있다. 게다가 taeho 처럼 개인정보 및 정보호호 관련 일을 하는 사람들은 해당 서비스가 "실명인증(또는 실명확인)"만 거치면 제공받을 수 있도록 해야 하는지 아니면 개인정보보호를 위해 "본인확인"을 반드시 거쳐야하는지를 판단할 수 있어야 한다. 그런데 최근 관련 업무를 하고 있음에도 "실명", "비실명", "실명확인", "본인확인"의 의미를 명확하게 구분하지 못하는 컨설턴트를 볼 수 있었다. "실명"이란? "실명"이란 어떤 "이름"이 실제 살아있는 사람의 이름임을 의미한다. 하지만 단순히 이름만으로는 누구의 이름인지, 실존하는 사람의 이름인지 특정할 수 없다. 그래서 우리나라에선 "실명"이란..

2020. 2. 22. 22:08
정보보호

[ISMS-P 인증기준] 1.3 관리체계 운영 / 1.3.1 보호대책 구현

1.3.1 보호대책 구현 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. ● 주요 점검 사항 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가? 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가? ● 세부 설명 이행계획에 따라 선정된 보호대책을 효과적으로 구현하고 그 이행결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하여 이행결과의 정확성 및 효과성 여부를 확인하여야 한다. 이행계획에 따른 진행경과에 대해 정기적으로 완료여부, 진행 사항, 미이행 또는 지연이 있는 경우 사유 등을 파악하여 정보보..

2020. 1. 21. 09:04
정보보호

[ISMS-P 인증기준] 1.2 위험관리 / 1.2.4 보호대책 선정

1.2.4 보호대책 선정 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. ● 주요 점검 사항 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가? ● 세부 설명 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고 이에 다라 각 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다. 위험수준 감소를 목표..

2020. 1. 3. 12:29
정보보호

비밀번호를 안전하게 관리하는 방법

인터넷 환경이 점점 복잡해지면서 한사람이 관리해야 하는 비밀번호가 기하급수적으로 늘어났다. 그러다보니 여러 웹사이트는 물론 공인인증서의 비밀번호까지 통일해서 사용하던 시절도 있었다. 하지만 여러가지 이유로 비밀번호를 길고 복잡하게 요구하는 경우가 늘어갔고 더 이상 비밀번호를 통일시켜 하나로 사용할 수 없게 되었다. 그 이유 중 하나가 바로 웹사이트를 운영하며 많은 사람들의 개인정보를 보유하게 된 기업이나 조직에 강제적으로 비밀번호에 대한 규칙을 만들고 지키도록 법적으로 요구하기 때문이다. (비밀번호 관련 법적 요구사항을 분석한 글) 이용자 입장에서 비밀번호를 관리하는 방법은 크게 두가지로 분류할 수 있다. 첫번째는 안전한 비밀번호를 만드는 방법이고 두번째는 안전하게 비밀번호를 보관하는 방법이다. 하지만 ..

2020. 1. 3. 10:26
정보보호

[ISMS-P 인증기준] 1.2 위험관리 / 1.2.3 위험 평가

1.2.3 위험 평가 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. ● 주요 점검 사항 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리 계획을 매년 수립하고 있는가? 위험관리 계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?위험식별 및 평가 결과를 경영진에게 보고하고 있는가? ● 관련 법규 개인정보 보호법 제29조(안전조치의무)개인정보의 안정..

2019. 12. 30. 09:08
정보보호

[ISMS-P 인증기준] 1.2 위험 관리 / 1.2.2 현황 및 흐름분석

1.2.2 현황 및 흐름분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. ● 주요 점검 사항 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가? 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가? ● 세부 설명 현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된다. 또한 경영진이 정보보호 현..

2019. 12. 23. 14:58
정보보호

[ISMS-P 인증기준] 1.2 위험 관리 / 1.2.1 정보자산 식별

1.2.1 정보자산 식별 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별ㆍ분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. ● 주요 점검 사항 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가? 식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가? 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가? ● 세부 설명 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다. ▶ 조직의 특성에 맞게 정보자산의 분류기준을 수립..

2019. 12. 16. 10:49
정보보호

[ISMS-P 인증기준] 1.1 관리체계 기반 마련 / 1.1.6 자원 할당

1.1.6 자원 할당 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. ● 주요 점검 사항 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가? 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가? 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립ㆍ시행하고 그 추진결과에 대한 심사분석ㆍ평가를 실시하는가? ● 세부 설명 최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖추 인력을 확보하야여 한다. 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 ..

2019. 12. 16. 09:09
정보보호

[업비트해킹] 이더리움 탈취당한 업비트의 공지사항 해석하기

국내 최대 암호화폐거래소인 업비트(upbit.com : 두나무 주식회사)가 해킹을 당해 이더리움 342,000 (약580억원)을 탈취당했다. 과거 빗섬 등 다른 거래소가 크고 작은 해킹을 당하는 과정에서도 업비트는 그나마 잘 버티고 있었는데, 이번 사고는 국내 암호화폐거래소 해킹사고 중에서도 역대급으로 기록될 가능성이 매우 높다. 지난 3년간 암호화폐거래소의 사고 내역을 살펴보면 다음과 같다. 사실 이 목록 이외에도 암호화폐거래소의 접속 정보 등의 유출에 의한 개인들의 사고까지 포함한다면 훨씬 더 많은 암호화폐 관련 사고가 있을 것이다. 하지만 이번 업비트의 사고는 그 양상이 조금 다르다. 정확한 사고 원인은 알 수 없지만 업비트 이용자 소유의 암호화폐가 유출된 것이 아니라 업비트가 자체적으로 보유하고 ..

2019. 11. 30. 20:04
정보보호

[ISMS-P 인증기준] 1.1 관리체계 기반 마련 / 1.1.5 정책 수립

1.1.5 정책 수립 정보보호와 개인정보보호 정책 및 시행 문서를 수립ㆍ작성하며, 이 때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. ● 주요 점검 사항 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하였는가? 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차 매뉴얼 등을 수립하고 있는가? 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가? 정보보호 및 개인정보보호 정..

2019. 11. 27. 08:53
정보보호

[ISMS-P 인증기준] 1.1 관리체계 기반 마련 / 1.1.4 범위 설정

1.1.4 범위 설정 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화 하여야 한다. ● 주요 확인 사항 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가? 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가? 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가? ● 세부 설명 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있..

2019. 11. 23. 18:05
정보보호

[ISMS-P 인증기준] 1.1 관리체계 기반 마련 / 1.1.3 조직 구성

1.1.3 조직 구성 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. ● 주요 확인 사항 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가? 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가? 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부..

2019. 11. 23. 14:37