본문 바로가기

정보보호

[ISMS-P]개인정보처리 위탁 동의를 받는 방법 (정보통신망법과 개인정보보호법의 차이) 지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다. 온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데... 동의를 받는 방법 중에서 "개인정보처리 위탁"에 대한 동의를 개인정보 수집·이용 동의와 구분하여 별도로 받아야 하는가에 대한 규정이 정보통신망법과 개인정보보호법에서 미묘하게 차이가 있습니다. 그래선지 정보보호관련 컨설팅을 받았다고 하는 여러 기업이나 기관의 홈페이지나 오프라인 회원가입 신청서를 보면 개인정보 처리업무의 위탁에 대한 동의 부분이 전혀 다른.. 더보기
[ISMS-P]정보통신망법과 개인정보보호법 적용 대상 기준과 두 법령의 주요 차이점 이따금씩 사업장이 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)』의 적용 대상인지 아니면 『개인정보 보호법』의 적용을 받는 기관(기업)인지를 판단하지 못해 혼란스러워 하는 경우가 있습니다. 때문에 사업장이 어느 법률의 적용을 받는지 잘 판단해야 하며 적용받는 해당 법령에 정보보호를 위해 어떤 조항이 있는지 보다 주의를 기울여야 합니다. (※이 포스트에서는 정보통신망법과 개인정보보호법 기준에 대해서만 설명합니다. 은행과 같이 정보통신서비스를 제공하고 있으나 다른 특별법 적용대상이고 해당 법령에서 금융관련 정보통신서비스 및 정보보호에 관한 규제가 있을 경우 해당 법령을 우선 적용 받습니다. ※) 정보통신망법 적용 대상 사업자 (2018.02.10 기준) 일단 정보통신망법은 정보통신망을.. 더보기
악성코드 유포에 악용된 버스정보 앱 예전에는..아니 지금도 마찬가지지만 주요 악성코드 전파를 위해 해커들이 주로 이용하는 매체는 홈페이지와 이메일이다. 하지만 이제 악성코드 유포지로 새롭게 등장한 매체가 있으니 바로 셀 수 없이 많이 사용되는 스마트폰의 앱(Application)이다.스마트폰에 설치되는 앱은 주로 구글 안드로이드의 앱마켓인 플레이스토어와 애플 아이폰의 앱스토어다. 이 두 앱마켓에는 앱을 개발해 올리는 수 많은 개발자들이 상주한다. 개발자들은 기업에 소속되어 기업의 앱을 개발해 플레이스토어와 앱스토어에 업로드하기도 하지만 더 많은 개발자들은 집과 같은 개인이 관리하는 개발환경에서 앱을 개발해 플레이스토어에 업로드 한다.기업에 소속되어 기업에서 제공하는 개발환경을 이용하든 개인적으로 구축한 개발환경에서 개발하든 중요한 것은 소.. 더보기
공개서버 보안을 강화하기 위한 보안솔루션 - SecureOS ISMS나 ISO27001 심사와 관련된 업무를 수행하다 보면 서버를 들여다 봐야 하는 일이 종종 발생한다. 솔직히 서버를 들여다 보는 일은 개인적으로 즐겁기도 하지만 안타까움을 느끼게 될 때가 더 많다. 왜냐하면 서버 내의 보안 수준이 생각보다 높지 않기 때문이다. 이는 서버를 운영하는 운영자 혹은 관리자들이 서버 운영체제와 서버에서 구동되는 DBMS나 WAS 등 SW의 관계, 권한 설정등에 대한 이해수준이 높지 않기 때문이거나 이해수준은 높더라도 보안과 연관지어 어떤 위협이 존재하는지 알지 못하는 경우가 많기 때문이다.그렇다보니 서버 운영체제에 대한 취약점 점검이 단순한 체크리스트(그마저도 제대로 적용하지 못한다) 방식으로 진행되고 ISO나 ISMS 인증심사 때도 그 체크리스트 중에서 몇개를 샘플로 .. 더보기
칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기 정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다. 내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태반일 정도로 거짓이 난무하는 나라가 바로 우리나라 아닌가... 개인적인 것을 떠나 공적인 측면에서는 더욱 심한 거짓이 난무한다. 정보보호관리체계의 경우 정책과 지침을 얼마나 잘 이행하고 있는지를 "증적"이라 부르는 이행 문서로 점검한다. 그리고 이 이행증적은 신뢰가 생명이다. 하.. 더보기
랜섬웨어 감염, 암호화 된 파일의 복구는 가능한가 악성코드들이 대부분 그렇듯 랜섬웨어도 계속 진화한다. 창과 방패의 싸움과 너무도 흡사하다. 하지만 기본 컨셉은 바뀌지 않는다. 감염된 PC의 파일들을 암호화하고 복구(복호화)를 하려면 돈을 내놔라...하는 기본 컨셉은 그대로다. 그렇다면 돈을 주고 복구툴을 얻지 않는다면 복구가 불가능할까? 결론부터 말하자면 랜섬웨어에 감염되어 파일들이 몽땅~ 암호화 되었을 경우 "일부 랜섬웨어에 의한 피해만 복구가 가능"하다. 랜섬웨어는 피해자의 PC에 침투하여 활동을 시작하면 하나씩~하나씩 파일들을 암호화하여 파일명 뒤에 특정 식별자를 붙여 이름을 변경하고 원본을 삭제한다. 이렇게 암호화된 파일들을 목격하는 순간..소위 말하는 멘붕상태가 되기 쉽다. 많은 사람들이 "설마..내가..."라는 생각과 함께 방심하고 있다가 .. 더보기
멜론 최신곡 모음 ZIP 파일과 함께 배포되는 악성프로그램(visitor.exe) 등장 요즘은 한 달에 1만원도 안되는 돈으로 무제한 스트리밍 서비스를 이용해 음악을 들을 수 있다. 하지만 시급 8천원도 안되는 최저시급을 받으며 일하는 수 많은 청년들에게는 한 달 1만원은 부담이 되는 돈이기도 하다. 게다가 와이파이가 안되는 곳에서 스트리밍 음악을 듣기 위해서는 엄청난 데이터 요금까지도 감수해야 하지 않는가... 그래서 많은 사람들은 아직도 여러 방법을 이용해 최신곡 MP3 파일을 불법 다운로드 받아 듣곤 한다. 그 와중에 누군가 MP3를 다운받았는데 컴퓨터가 이상해졌다는 이야기를 듣고 테스트를 해봤다. 다음은 다운로드 사이트다. torrent 파일을 다운로드 받거나 마그넷 문자열을 복사한 뒤 뒤 토렌트 머신을 가동해서 다운로드 받을 수 있다. 먼저 인터넷에서 다운로드 받은 zip 파일을 .. 더보기
인텔 CPU의 멜트다운 버그와 스펙트라 버그로 인한 취약점 2018년 새해 벽두부터 인텔 CPU의 중대한 취약점 때문에 보안업계가 호들갑이다. 하지만 이 두 버그에 대한 설명은 매우 부족하거나 너무 어려운 경우가 대부분이다. 왜냐하면 이 버그에 대해 제대로 이해하기 위해서는 운영체제의 커널과 CPU의 동작 체계에 대한 깊은 이해는 물론 리버싱에 필요한 어셈블리어에 대한 지식도 필요하기 때문이다. 사실 나도 이 버그에 대해 완벽하게 이해하고 있지는 못하다. 다만 운영체제와 CPU에 대해 조금이나마 이해하고 있는 부분이 있어 뉴스 기사에서 소개하는 내용보다는 조금 더 들어가 보고자 한다. 사전 지식 멜트다운 버그와 스펙트라 버그에 대해 이해하기 위해서는 CPU와 운영체제에 대한 몇가지 사전 지식이 필요하다. 먼저 CPU에 대해 설명하자면 다음의 몇가지를 알고 있어야.. 더보기
가상화폐(암호화폐)의 특징과 투자 시 유의사항 어제..그러니까. 2018년 새해 벽두인 1월 6일 밤.. SBS의 시사프로그램 "그것이 알고싶다"에서 드디어 비트코인 투자 열풍을 소개했다. 그랬다. 그냥 "소개" 였다. 내가 기대했던 제대로 된 소개 혹은 왜 필요한지 왜 이렇게 열풍인지를 제대로 짚어 내지는 못했다. 짧은 시간 동안 제대로 담아내기는 어렵기도 했겠지만 제작진의 이해 수준도 실상 암호화폐에 대한 제대로 된 이해없이 투자 열풍에 휩쓸린 사람들과 크게 다르지 않은 듯 보였다. 그리고 오늘 아침 카카오톡으로.. 오랜 친구에게서 "비트코인이 도대체 뭐냐?"라는 질문을 받았다. 그래도 나름 IT물 먹고 사는 친구인데... "아직은 암호화폐가 갈길이 멀구나"라는 생각을 하지 않을 수 없었다. 친구도 어제 밤 "그것이 알고싶다"를 봤지만 지금껏 별.. 더보기
USB 암호화 프로그램 - VeraCrypt 편리하게 사용하기 예전에 TrueCrypt라는 USB 암호프로그램에 대해 포스팅한 적이 있는데... 사정이 있는지 이름이 바뀌어 VeraCrypt 라는 이름으로 바뀌어 계속 업데이트 되고 있다. 하지만 이름과 로고만 바꾼 동일한 프로그램이며 계속 업데이트 되고 있다. 하지만 편리함 측면에서 Windows 운영체제에서 제공하는 비트라커(BitLocker)를 따라갈 수는 없는 듯 하다. 그럼에도 불구하고 VeraCrypt를 사용하는 이유는 Windows 운영체제에서만 사용가능한 비트라커와는 달리 다양한 운영체제에서 사용할 수 있기 때문이다. VeraCrypt는 Windows는 물론이고 Mac과 Linux 모두에서 사용가능하기 때문에 두 개 이상의 운영체제를 사용하는 사용자라면 비트라커 보다는 베라크립트를 사용하는 것이 보다 .. 더보기
비밀번호의 일방향 암호화를 지키지 않는 솔루션의 위험성 오늘... 이메일 한통을 받았다. 발신자는 이스트소프트 였다. 무슨 메일이지?? 라는 생각을 하며 메일을 열어본 순간... 또 개인정보유출에 대한 사과와 비밀번호 변경을 요청하는 메일이었다. 정말 지겹도록 개인정보 유출사고는 끊이지 않는다. 혹시 내 정보도? 라는 생각이 들어 알툴즈 홈페이지를 방문하니 다음과 같은 창이 떴다. 한 때...즐겨 사용했던 알집, 알FTP, 알씨 등을 개발해 일반사용자들에게 무료로 배포해 온국민의 유틸리티에 대한 갈증을 해소해 준 꽤나 괜찮은 회사였다. 하지만 어느날인가 "알패스"라는 매우 위험한 툴을 만들어 배포하더니 결국 우려하던 사고가 터진 모양이다. 알패스란?알패스라는 툴은 다수의 비밀번호를 기억하기 어렵다는 점에 착안해 다수의 웹사이트에 대한 비밀번호를 저장해 두고 .. 더보기
[ISMS-P] 개인정보보호를 위한 망분리 관련 법령 분석 개인정보를 취급하는 많은 기업과 공공기관들은 항상 망분리 이슈에 시달리게 됩니다. 하지만 망분리를 누가 왜 해야하는지를 정확하게 이해하고 있는 기업이나 공공기관도 있는 반면 정확하게 이해하고 있지 못한 기업이나 공공기관도 있습니다. 사실 조금만 관심을 갖고 법령을 찾아보면 되는데 특별히 보안에 관심이 있는 사람이 아니면 그냥 해야한다더라 정도로 이해하고 있는 경우가 많습니다. 그리고 정보보안기사나 ISMS인증심사원, PIMS 혹은 PIA 자격 시험을 준비한다면 관련 법령을 꼼꼼히 알고 있는게 좋습니다. 개인정보의 보호와 관련된 법률은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)과 개인정보보호법이 대표적입니다. 그 중에서 망분리와 관련된 조항을 갖고 있는 것은 정보통신망법 입니다. .. 더보기