[태그:] 정보보호관리체계
taeho의 정보보호관리체계 관련 글입니다.
-
ISMS-P 인증심사원 자격증 취득하다.
심사원의 자질(?)이 논란이 되어 2015년 신설된 정보보호관리체계(ISMS)인증 심사원 선발시험. 나는 바로 그 1회 시험에 응시하여 ISMS인증심사원 자격을 취득했었다. 그런데 비슷한 형제(?)겪이었던 개인정보보호관리체계(PIMS)인증과 제도가 통합되었다. 그로인해 작년 부터 소문만(?) 무성했던 ISMS 인증심사원 자격과 PIMS인증심사원 자격도 통합이되었다. 나는 ISMS 심사원자격 하나만 갖고 있었기에 자격전환 시험을 치러야 했다. ISMS와 PIMS 두개 모두 자격을 취득하고 있는 분들은 시험이 면제되는 파격적인 특혜(? …
-
[ISMS-P]개인정보처리 위탁 동의를 받는 방법 (정보통신망법과 개인정보보호법의 차이)
지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다. 온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데... 동의를 받는 방법 중에서 "개인정보처리 위탁"에 대한 동의를 개인정보 수집·이용 동의와 구분하여 별도로 받아야 하는가에 대한 규정이 정보통신망법과 개인정보보호법에서 미묘하게 차이가 …
-
PC에서 USB 사용 흔적 찾는 방법
개인의 노트북이나 PC는 물론이고 기업이나 공공기관에서의 USB 저장장치 무단 사용은 (개인)정보유출의 주요 수단으로 악용된다. 때문에 기업이나 공공기관은 내부에서 업무용으로 사용되는 PC나 노트북(서버도 마찬가지)에서의 USB 저장장치 사용을 금지하기도 한다. 하지만 정보보호 관련 내부 지침으로 금지하고 Endpoint DLP 보안솔루션을 적용해도 이런 저런~방법으로 우회해 USB 저장장치를 사용할 수 있는 경우가 꽤 된다. 어떤 경우는 Endpoint DLP를 모든 PC에 설치하고 중앙의 관리서버에서 차단 정책을 적용해도 오류 …
-
공개서버 보안을 강화하기 위한 보안솔루션 – SecureOS
ISMS나 ISO27001 심사와 관련된 업무를 수행하다 보면 서버를 들여다 봐야 하는 일이 종종 발생한다. 솔직히 서버를 들여다 보는 일은 개인적으로 즐겁기도 하지만 안타까움을 느끼게 될 때가 더 많다. 왜냐하면 서버 내의 보안 수준이 생각보다 높지 않기 때문이다. 이는 서버를 운영하는 운영자 혹은 관리자들이 서버 운영체제와 서버에서 구동되는 DBMS나 WAS 등 SW의 관계, 권한 설정등에 대한 이해수준이 높지 않기 때문이거나 이해수준은 높더라도 보안과 연관지어 어떤 위협이 존재하는지 알지 못하는 경우가 많기 때문이 …
-
칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기
정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다. 내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태반일 정도로 거짓(?)이 난무하는 나라가 바로 우리나라 아닌가... 개인적인 것을 떠나 공적인 측면에서 …
-
[ISACA저널-특별기고] 서버 운영체제 접속 시 이중 인증 시스템 구축 사례 분석
책장을 정리하다 2015년 ISACA 저널에 기고했던 글이 실린 책을 발견했다. 무언가 글을 써서 어딘가 활자로 인쇄되어 나오는 것이 어떤 느낌인지를 알려주었던 소중한 경험이었다. 당시 올렸던 글의 원문을 이제 3년 넘게 지난 시점에 블로그에 올려 본다. ISACA KOREA 저널 특별기고 서버 운영체제 접속에 대한 이중 인증 시스템 구축 사례 분석 인증이란? 인증이라 함은 다중 사용자 시스템 또는 망운용 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차를 말한다. 그 외에 전송된 메시지의 무결성과 송신자를 검증하는 …
-
비밀번호의 일방향 암호화를 지키지 않는 솔루션의 위험성
오늘... 이메일 한통을 받았다. 발신자는 이스트소프트 였다. 무슨 메일이지?? 라는 생각을 하며 메일을 열어본 순간... 또 개인정보유출에 대한 사과와 비밀번호 변경을 요청하는 메일이었다. 정말 지겹도록 개인정보 유출사고는 끊이지 않는다. 혹시 내 정보도? 라는 생각이 들어 알툴즈 홈페이지를 방문하니 다음과 같은 창이 떴다. 한 때...즐겨 사용했던 알집, 알FTP, 알씨 등을 개발해 일반사용자들에게 무료로 배포해 온국민의 유틸리티에 대한 갈증을 해소해 준 꽤나 괜찮은 회사였다. 하지만 어느날인가 "알패스"라는 매우 위험한 툴을 …
-
[ISMS-P] 개인정보보호를 위한 망분리 관련 법령 분석
●●● 2026.2.25 추가 ●●●개인정보 보호법과 정모통신망법의 중복되는 법령과 고시가 개인정보 보호법으로 이관되어 통합되었고 이후 망분리 관련 고시의 기준도 개정되었습니다. 다음 글에서 상세하게 다루고 있으니 참고하시기 바랍니다. https://blogger.pe.kr/pipa-internet-network-blocking-measures-1273/ 개인정보를 취급하는 많은 기업과 공공기관들은 항상 망분리 이슈에 시달리게 됩니다. 하지만 망분리를 누가 왜 해야하는지를 정확하게 이해하고 있는 기업이나 공공기관도 있는 반면 정확 …
-
[ISMS/PIMS] 정보통신서비스 이용자와 사용자 계정의 비밀번호 관련 법령
정보통신망 이용촉직 및 정보보호 등에 관한 법률(이하 정통망법)과 개인정보 보호법에서는 정보통신서비스의 이용자와 사용자가 안전한 비밀번호를 설정하고 서비스에 로그온 할 수 있도록 법률로서 서비스 제공자에게 의무하화고 있습니다. 하지만 아직도 이에 대한 인식은 많이 부족한 편입니다. 실제로 여러 웹서비스에 구현되어 있는 계정의 비밀번호 관련 기능을 살펴보면 의무적으로 제공되어야 할 기능이 제대로 구현되어 있지 않은 경우가 많습니다. 정보통신망법에 명시된 비밀번호 관련 규정 사실 정보통신망법에는 이용자와 사용자의 비밀번호에 대한 직접적 …
-
[ISMS인증심사] 심사원(보)에서 “보”를 떼다.
ISMS인증제도와 ISMS인증심사원 ISMS인증제도는 기업 스스로 체계적인 정보보호 활동을 위한 관리체계가 수립되어 있는지, 그리고 관리체계가 수립되어 있다면 법적 요구사항 및 ISMS인증제도 자체의 기준을 충족하는지를 평가하고 수립되어 있는 정책, 지침에 따라 지속적인 정보보호활동을 하고 있는지를 평가하고 인증해주는 제도다. 그리고 ISMS인증심사원은 인증기준에 맞춰 정보보호관리체계를 운용하고 있는지 실사 및 평가를 수행하는 인력이다. ISMS인증심사원은 2013년 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 이하 시 …