[태그:] 정보보호관리체계
taeho의 정보보호관리체계 관련 글입니다.
-
Googlebot을 사칭하는 악성 봇 탐지하고 차단하기
소문으로만 들었다. 구글의 검색 봇으로 위장해서 블로그의 글을 몰래 수집해가는 봇이 있다는 이야기다. 그런데 필자의 블로그에도 그런 봇들이 드나들고 있었다. Apache Web Server의 Access Log를 보던 중 발견했다. 정상적인 Google Bot의 접근 구글의 검색 봇은 다음과 같이 Access Log 파일에 기록된다. Google Bot의 User Agent 구글 검색엔진의 Bot은 User Agent 항목에 Google의 검색엔진 봇이라는 것을 알리기 위해 Google 이라는 키워드가 들어간다. 물론 구글 검색엔 …
-
티빙 해킹으로 인한 CI 유출의 위험성
티빙의 해킹으로 인한 개인정보 유출사고는 그간 수면 아래에 숨어있던 중요한 개인정보의 존재를 수면 위로 극적으로 끌어올렸다. 그래선지 여타 개인정보 유출사고에 비해 언론들이 다루는 언조가 조금 무겁다. 어떤 언론들은 마치 호떡집에 불난 듯 이러쿵 저러쿵 신나게 떠들어 댄다. CI라는, 일명 온라인 주민등록번호가 유출되었기 때문에 당장이라도 불법적인 휴대폰 개통, 은행의 계좌개설이 벌어질 것 처럼 보도하고 있다. 필자도 얼마 전 티빙으로부터 개인정보가 유출되었다는 문자메시지를 받았다. TVING의 개인정보 유출사고 안내 문자메시지 …
-
중국의 유해 트래픽을 차단하다
인터넷에는 유해한 트래픽이 넘쳐난다. 그 중에서도 중국에서 다른 나라로 유입되는 트래픽은 유별나게도 유해한 트래픽이 많다. 우리나라로 유입되는 다양한 트래픽도 대부분 유해한 트래픽이라 해도 과언이 아니다. 그리고 그런 중국발 유해 트래픽은 필자의 블로그로도 유입된다. 그런데 최근에 갑자기 그 트래픽이 많아지기 시작했다. 워드프레스 블로그의 방문자 로그 분석 필자는 다음화면과 같이 방문자의 로그를 로그 수집서버에 수집하여 종종 분석하고 있다. 로그는 다음 화면과 같이 시간, 글제목, 글URL, IP, Referer 주소, 플랫폼의 …
-
2026년 (개인)정보보호 관리체계 구축·운영 과정 (KISA주관/5일)
2026년에도 한국인터넷진흥원에서는 중소기업의 정보보호담당자를 위한 (개인)정보보호 관리체계 구축·운영 과정 교육을 진행합니다. 이 교육은 단순히 ISMS-P 인증을 쉽게 통과하거나 ISMS-P 인증심사원 자격 취득에 중점을 두어 교육하지는 않습니다. 실제로 (개인)정보보호 관리체계를 구축하고 운영하는데 필요한 전반적인 내용을 하루 6시간, 5일 동안 설명합니다. 2026년 (개인)정보보호관리체계 구축·운영 교육 연간 일정 다만, ISMS-P 인증을 획득해야 하는 중소기업의 정보보호담당자를 위한 교육이기에 (개인)정보보호 관리체계 …
-
정보보호 정책·지침과 개인정보 내부 관리계획의 차이
필자는 거의 전업으로 활동하고 있는 9년 차 ISMS-P 인증심사원이다. 꽤 많은 기업과 일부 공기업 그리고 공공기관에 ISMS 및 ISMS-P 인증심사 그리고 내부 감사 등을 위해 방문해 보면 많이 궁금해하는 것 중 하나가 바로 이 글에서 설명하고자 하는 정보보호 정책·지침과 개인정보보호법에서 언급되고 있는 개인정보 내부 관리계획의 차이가 무엇인가 하는 점이다. 개인정보 내부관리 계획 작성 가이드 사실 본인도 이 두 문서의 차이가 무엇일까를 많이 고민했다. 사실 고민할 수 밖에 없다. 그 어떤 책자나 법령해설서 등에서도 기업 및 …
-
ISMS-P 인증심사원을 전업으로 할 때의 수입
어느새 2025년을 정리해야 할 때가 되었다. 올해로서 소위 "프리"로 일한 지 햇수로 9년이 되었지만 블로그에 1년 동안 어느 정도 일을 하고 있는지 기록을 남기지는 않았다. "연 소득"이라는 민감한 개인의 정보를 솔직하게 밝히는 사람은 그다지 많지 않다. 그 이유는 여러가지가 있겠으나 개인의 소득을 그 자체로서 "자존심"이라고 생각하는 경향이 강하기 때문이기도 하다. 직업의 귀천이 없다고 말들은 하지만 사람의 "직업"으로 사람을 평가하고 소득 보다는 꿈을 쫓으라 말하지만 돈을 많이 버는 직업을 가진 사람을 우러러 보는 것이 현 …
-
ISMS-P 인증제도의 실상과 개선 방향
2024년부터 이동통신사, 금융기관을 비롯한 여러 곳에서 대형 보안 사고가 과거 그 어느 때보다 연쇄적으로 발생하고 있다. 이 글을 보러 왔을 정도로 정보보안에 관심이 있는 사람이라면 최근 발생한 해킹으로 인한 보안사고가 어느 기업의 어떤 사고인지를 굳이 언급하지 않아도 되리라 생각된다. 언론은 너무도 가벼운 존재다 최근 연쇄적으로 발생하고 있는 랜섬웨어로 인한 서비스 중단, 해킹으로 인한 개인정보 유출 등 보안사고가 터지면서 언론들이 수 많은 기사들을 쏟아내고 있다. 필자가 ISMS-P 인증제도 분야에 종사하고 있어서 관련 내용 …
-
ISMS-P 인증을 받아도 침해사고가 발생하는 이유
SK텔레콤. 해킹으로 가입자 USIM 정보 대량 탈취당하다 2025년 봄. 초 대형 해킹 사건이 SK텔레콤 이동통신망 관리시스템에서 발생했다. 최종적으로 해커가 침투한 시스템은 HSS(Home Subscriber Server)라는 시스템이다. HSS는 LTE/5G에서 이동통신망의 핵심 코어 시스템 중 하나로서 이동통신가입자가 휴대폰을 켰을 때 최초로 단말기의 연결을 인지하는 기지국과 연결된 MME(Mobility Management Entity)시스템이 HSS에게 해당 단말기가 이동통신망에 연결되어도 되는지 인증을 요청한다. 그리 …
-
[강의] 중소기업 정보보호담당자를 위한 ISMS-P 구축·운영 교육 (5일 과정/연 6회)
ISMS (정보보호관리체계)란? ISMS는 Information Security Management System 이다. 즉 "정보보호 관리체계"로 번역된다. 그리고 ISMS의 정의에 대해 살펴보면 다음과 같이 정의되어 있다. 먼저 국제 표준인 ISO/IEC 27001에서는 "조직의 정보자산을 보호하고 기밀성, 무결성, 가용성을 보장하기 위한 체계적인 보안관리 체계"로 정의하고 있고 한국인터넷진흥원의 자료에서는 "조직의 정보자산을 보호하기 위하여 관리적, 기술적, 물리적 보호조치를 체계적이고 지속적으로 수행하는 관리쳬계"로 정의하고 …
-
ISMS 간편인증 대상 기업 기준
개인정보를 수집·이용(이를 "개인정보처리"라 함)하는 정보통신서비스 제공자 중 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제47조(정보보호 관리체계의 인증)에서 규정한 조건에 해당되는 자는 의무적으로 받아야 하는 정보보안 관련 인증이 바로 ISMS 인증이다. ISMS 인증 (정보보호 관리체계 인증) 이란? ISMS 란 Information Security Management System 즉, "정보보호 관리체계"라고 할 수 있다. 그리고 정보보호 관리체계란 "정보처리 과정에서 발생할 수 있는 정보의 유출, …