'분류 전체보기'에 해당되는 글 1617건

3월 9일 뉴스입니다.

이번주도 정보보호인력에 대한 채용소식이 많이 있는데요 안타깝게도 신입만 채용하는 곳은 한곳도 없습니다. 다만 신입/경력 무관으로 채용중인 곳이 세곳이 있으니 신입분들은 이런 곳을 노려봐야겠네요

데이터3법 개정에 따라 가명정보 등을 활용할 수 있게 됐는데요 아직 그 정보를 어디까지 활용할 수 있을지 그리고 데이터거래소는 어떻게 마련되는지 등이 전혀 발표되지 않고 있습니다. 법 시행과 동시에 사업적으로 활용하고자 하는 많은 기업들이 시행령과 시행규칙, 가이드라인이 하루빨리 나오길 기대하고 있는데요 물론 대부분의 시행령과 시행규칙이 시행일 하루전에 나왔고 심지어 가이드라인은 시행 이후에 나오긴 했습니다만 이번에는 큰 이슈이기도 하고 세부내용에 따라서 준비해야 하는 시스템이나 인력, 데이터 분석 방향이 달라지는 만큼 빠르게 준비해줬으면 하는 바램입니다.

토요타와 현대차에서 취약점이 발견되었습니다. 자율주행이 현실로 다가오고 있고 이미 완전자율은 아니더라도 반자율주행이나 반자율주행보다는 자율주행이란 말이 더 어울릴만한 수준의 기술이 자동차에 적용되고 있는데다가 자동차라는 특성상 인명사고와 직결되는만큼 취약점은 하루빨리 리콜을 해서라도 고쳐져야겠습니다.

<보안뉴스>

<IT소식>

<정보보호제품>

200309 뉴스.xlsx

3월 5일 뉴스입니다.

2019년 멀웨어가 없는 공격이 멀웨어를 기반으로 한 공격을 앞섰다고 합니다. 고전적인 해커가 직접 공격하는 방식의 공격이 늘어났다는 얘기인데요 이게 중요한 이유는 대부분의 공격을 탐지하는 솔루션이 멀웨어를 기반으로 하고 있습니다. 그렇기 때문에 탐지가 힘들다는 문제를 안고 있는데요 사람의 공격을 막기가 쉽지 않겠지만 그에 대한 대비책은 충분히 마련되어야 하겠습니다.

많은 기업이 모바일 보안에 신경쓰지 않는 것으로 나타났습니다. 모바일 보안보다는 모바일을 통해 편한 업무환경을 구축하는 것을 우선시 하고 있는데요 모바일을 통해 회사 정보에 접근하는 경우가 많아지는 요즘 업무환경과 개인의 사생활 영역의 구분이 필요한 이유이기도 합니다만 업무를 위해 사용하는 디바이스의 모바일 보안을 강화해야 이유이기도 합니다.

IoT 기기의 패스워드 탈취를 노리는 해커들은 초기값인 admin이나 12345를 주로 시도해본다고 합니다. 특히 가정용 IoT 기기는 패스워드값을 변경하지 않는 경우가 많은데요 이로 인해 사생활이 노출되고 범죄의 표적이 될 수도 있는 만큼 가정에서 사용하는 IoT 기기의 패스워드 보호에 강화해야겠습니다.

<보안뉴스>

<정보보호제품>

200305 뉴스.xlsx

3월 4일 뉴스입니다.

미 국무부 서신으로 위장한 악성코드가 유포되고 있다고 합니다. 미 국무부 서신으로 위장한 악성코드는 doc 파일로 배포되고 있으니 주의하시기 바랍니다.

개인정보보호위원회가 제도혁신 자문단을 발족했습니다. 업무·제도 혁신 총괄분과, 법령개선 분과, IT·신기술 분과, 비식별처리 분과, 국제협력 분과, 소통·홍보 분과로 나눠지는데요 개정된 개인정보보호법에 따라 개인정보보호위원회의 위상이 올라가고 거기에 자문단까지 발족되었으니 더욱 현실성 있으면서도 안전한 개인정보보호 활동을 할 수 있도록 지원해줄 수 있는 위원회가 되었으면 하는 바램입니다.

모바일 게임은 단기간에 수익을 내야 하는 구조적인 문제가 있어 대부분 해킹에 취약한 것으로 조사되었다고 합니다. 문제는 게임이 해킹되면서 핸드폰 자체가 위험에 노출될 수 있따는 점인데요 물론 수익도 중요하지만 기본적인 보안성 검토는 거친 후 출시했으면 하는 바램입니다.

방송통신발전 기본법의 방송통신재난 대비 대상에 주요 데이터의 보호를 포함시키는 개정안이 발의되었습니다. 이 개정안이 통과되면 AWS, MS, 구글 등 국내에 데이터센터를 갖고있는 기업이라면 국내/외 모든 기업이 데이터보호 의무를 준수해야 합니다.

공익 목적에 기여한다면 개인정보를 제공할 수 있는가에 대한 질문에 제공할 수 있다고 응답한 비중이 84%로 상당히 높게 나왔습니다. 데이터3법이 통과되면서 마이데이터가 중요하게 대두되고 있고 과연 어디까지가 가명정보의 활용범위인가라는 논의가 계속 이뤄지고 있는 것으로 보이는데요 시민단체에서는 가명정보 활용조차도 반대하고 있습니다만 생각보다 정보 활용에 대해 '공익적' 목적이라면 거부감 없이 제공이 가능할 것으로 나타났습니다. 물론 모니터링이 중요하다는 응답이 96.4%가 나온 만큼 모니터링은 강화할 필요가 있겠습니다.

이번 코로나 사태로 인해 망분리 예외가 허용되고 이를 시행하면서 망분리 의무조항을 개선해야 한다는 움직임이 나타나고 있습니다. 망분리가 데이터 중심이 아난 도메인 중심인데요 이로 인해 생산성 하락이나 스마트워크의 부재 등 업무환경은 기술발전에 따라 변화하지만 현장은 거기에 발맞춰 갈 수 없다는 문제점이 나타나고 있습니다. 핀테크 기업에서 나타난 움직임이지만 망분리 의무 대상자인 수많은 정보통신서비스 기업도 마찬가지의 문제점을 겪고 있는데요 내부 기준에 의한 망분리로 전환하고 사고 발생 시 책임을 강화하는 방법도 생각해볼 수 있을 것 같습니다.

2013년 발생한 카드3사의 개인정보 유출 사고에 대해 1심에서 법정 최고형을 받은 카드3사가 2심에서도 원심과 같은 벌금형을 받았습니다. 검찰과 카드3사 모두 대법원에 상고했는데요 물론 최종 판결이 남아있지만 1심과 2심 재판부가 모두 메모리 반출입통제, 안전성 확보조치의무, 암호화조치 불이행을 모두 인정했고 지금의 기술력이 이를 하기 힘든 게 아닌만큼 정보보호담당자들께서는 이 부분에 대한 실태조사 한번쯤 하는것도 좋지 않을까라는 생각을 해봅니다.

<보안뉴스>

<IT소식>

200304 뉴스.xlsx

3월 3일 뉴스입니다.

미국 연방통신위원회에서 고객의 위치정보를 무단으로 서드파티에 넘긴 통신사들에 대해 벌금형을 제안했는데요 항상 핸드폰을 휴대하고 다닐수밖에 없는 요즘 통신사의 위치정보는 법적으로는 어떻게 분류가 되든간에 매우 민감한 정보일수밖에 없습니다. 시민단체에서는 제시한 벌금이 너무 작다고 반발하고 있다고 하는데 결론이 어떻게 나올지는 지켜봐야겠습니다.

정보보안 컨퍼런스인 G-PRIVACY와 의료 정보보안 컨퍼런스인 MPIS의 일정이 연기되었습니다. 이미 SECON과 eGISEC은 7월로 연기되었는데요 코로나19의 영향으로 G-PRIVACY는 5월28일로, MPIS는 7월2일로 연기되었습니다. 참석을 계획하신 모든 분들 일정 조정하셔서 헛걸음 하는 일이 없었으면 합니다.

미 국무부 서신으로 위장한 악성코드와 윈도우 업데이트 화면으로 위장한 랜섬웨어가 유포되고 있다고 합니다. 미 국무부 서신으로 위장한 악성코드는 doc 파일로 배포되고 있으며 윈도우 업데이트 화면으로 위장한 랜섬웨어는 tmp 파일로 위장되어 있으나 실제 exe 파일이라고 합니다. 주의하시기 바랍니다.

독일의 보안 및 안티바이러스를 위한 서비스 업체인 AV-TEST에서 안드로이드용 안티바이러스 테스트 결과를 발표했습니다. 실험실 환경이기 때문에 실제와는 차이가 있을 수는 있습니다만 안티바이러스 솔루션을 결정하는데 있어 큰 도움이 될 수 있을 것 같습니다.

<보안뉴스>

<정보보호제품>

200303 뉴스.xlsx

3월 2일 뉴스입니다.

보안인력 채용은 여전히 활발하게 이루어지고 있습니다. 이번주  보안인력을 채용하는 곳은 17곳이라고 하는데요 그 중 신입은 2곳, 무관 8곳, 경력 7곳이라고 합니다.

구글이 실제로 악용된 크롬의 제로데이 취약점(CVE-2020-6418)을 포함한 3가지 취약점을 해결한 크롬 80 업데이트를 배포했다고 합니다. 물론 크롬은 사용자의 동의 없이 업데이트를 하긴 합니다만 혹시 자동 패치가 되지 않도록 설정하신 분들께서는 실제 해당 취약점을 이용하여 공격이 일어난다고 하니 반드시 패치하시기 바랍니다.

인터넷기업협회에서는 금융위원회의 망분리 예외조치에 대해 환영하는 입장을 표명했다고 합니다. 이번 일을 계기로 금융권 뿐 아니라 일반 정보서비스 기업도 망분리에 대해 한번쯤 고민해보는 시간이 되었으면 합니다.

<보안뉴스>

<정보보호제품>

2월 28일 뉴스입니다.

의료기관에서 진료정보 침해사고 발생 시 보건복지부에 침해사고를 신고하도록 의무화 되었습니다. 또한 이를 지원하는 진료정보침해대응센터를 운영한다고 합니다.

오토캐드 설계도면으로 위장한 악성코드가 유포되고 있다고 합니다. 파일의 확장자는 오토캐드의 확장자인 dwg 파일이지만 실제로는 실행파일인 exe 파일이고 사용자 PC가 시작될때마다 정상 파일 실행으로 위장한 가짜 프로세스를 추가 생성하여 생성된 가짜 프로세스에 악성행위를 추가하는 방식으로 악성행위가 이루어진다고 합니다. 주의하시기 바랍니다.

카본블랙이 사이버 보안 전망 보고서를 통해 2019년은 랜섬정부의 해(The Year of Ransoming Governments)라고 했다고 합니다. 이번에 발간된 사이버 보안 전망 보고서는 다음의 링크에서 신청하실 수 있습니다.(신청하기)

이번 코로나19 사태로 금융권마저 망분리 예외가 허용되었습니다. 그동안 금융권 망분리만큼은 예외없이 무조건 지켜지는 원칙으로 여겨져 왔으나 사태가 심각해지고 사업장 자체가 폐쇄되는 경우가 생기면서 어쩔 수 없이 예외조항을 인정해 망분리 예외를 허용했는데요 한쪽에서는 망분리 원칙을 이참에 완화시켜야 한다는 주장이 있는 반면 다른 한편에서는 완전한 보안을 위해서 망분리 원칙은 훼손시켜서는 안된다는 주장을 하고 있습니다. 양쪽의 주장이 모두 일리가 있는 얘기이긴 합니다만 시스템이 클라우드화 되고 대부분의 서비스가 다른 시스템과 연동되는 지금 시대에 망분리를 고집하는게 맞는 정책인지 한편으로는 의심스럽기는 합니다.

<보안뉴스>

<IT뉴스>

200228 뉴스.xlsx

2월 27일 뉴스입니다.

과학기술정보통신부와 교육부가 정보보호 수준진단 결과 '양호' 판정을 받은 경우 ISMS 인증 의무에 대해 면제하기로 했습니다. 대학의 ISMS 인증의무가 논의될 당시부터 계속해서 대학이 주장해 왔던 내용이 정보보호 수준진단과 ISMS를 중복해서 받는 것은 중복규제라는 것이었는데요 그게 인정이 된 듯 합니다. 다만, 정보보호 수준진단이 기존 샘플링 실사였던 것에 대해 ISMS 인증 의;무 대학에 대해서는 100% 실사를 하는 것으로 변경되었는데요 중복규제가 없어진다는 것은 환영할 일입니다만 안그래도 수많은 정보가 떠도는 곳임에도 불구하고 통제가 쉽지 않은 대학이 다시 정보보호 수준을 약화시키지 않을까라는 우려가 생기는 것도 사실입니다.

수많은 무선장비에서 네트워크 패킷 복호화를 가능하게 만드는 취약점이 발견됐는데요 특히 와이파이가 꺼지고 켜질 때 일정 정보를 노출시킬 수 있는 취약점입니다. 와이파이 칩셋의 문제이나 펌웨어 업데이트로 해결 가능하다고 하니 무선 장비를 많이 사용중인 기업에서는 검토해보셔야 할 것 같습니다.

자이젤의 NAS 방화벽에서 발견된 임의코드 실행 취약점이 자이젤 방화벽에도 영향을 미친다고 합니다. 12개 NAS가 해당 취약점에 노출되었으나 EoS된 장비가 10개였고 이번데 23개의 제품이 추가되었는데 이번에는 UTM, ATP, VPN방화벽까지 포함되어 있다고 합니다. 이미 익스플로잇 도구가 다크웹에 등장해 있는 만큼 당장 패치하시는게 급할 것 같습니다.

<정보보호제품>

<IT소식>

200227 뉴스.xlsx

2월 26일 뉴스입니다.

2020년 제12차 방송통신위원회가 열렸는데요 이번 방통위에서는 15개 법인에 대해 개인위치정보사업자로 허가하였습니다. 그리고 개인정보보호 법규 위반행위 고발등에 관한 기준을 제정했습니다. 제12차 방송통신위원회 브리핑 자료는 아래 정책브리핑 페이지에서 확인하실 수 있습니다.

과학기술정보통신부와 교육부가 정보보호 수준진단 결과 '양호' 판정을 받은 경우 ISMS 인증 의무에 대해 면제하기로 했습니다. 대학의 ISMS 인증의무가 논의될 당시부터 계속해서 대학이 주장해 왔던 내용이 정보보호 수준진단과 ISMS를 중복해서 받는 것은 중복규제라는 것이었는데요 그게 인정이 된 듯 합니다. 다만, 정보보호 수준진단이 기존 샘플링 실사였던 것에 대해 ISMS 인증 의;무 대학에 대해서는 100% 실사를 하는 것으로 변경되었는데요 중복규제가 없어진다는 것은 환영할 일입니다만 안그래도 수많은 정보가 떠도는 곳임에도 불구하고 통제가 쉽지 않은 대학이 다시 정보보호 수준을 약화시키지 않을까라는 우려가 생기는 것도 사실입니다. 과기부의 브리핑 자료는 아래 정책브리핑 페이지에서 확인하실 수 있습니다.

과학기술정보통신부에서 2019년 정보보호실태조사 결과를 발표했습니다. 정보보호 중요성 인식은 전반적으로 향상된 것으로 보이는데요 그럼에도 불구하고 예산은 감소한 모습을 보였습니다. IoT와 AI 증가에 따른 보안 우려도 커진 것으로 나타났습니다.
발표자료는 다음 링크에서 확인하실 수 있습니다.(보도자료)

FBI에서 암호의 복잡성보다는 길이가 중요하다고 지적했는데요 법령에 따라 암호의 복잡도를 설정하고 있습니다만 이전에도 이미 암호의 복잡성이 보안성을 강화시키는 것은 맞지만 그만큼 기억하기 어려워 기록 등의 허점이 발생하기도 한다는 얘기가 나왔고 계속해서 passphrase의 중요성이 대두되는 만큼 우리 정부에서도 해당 내용을 한번쯤 검토해야 하지 않나 싶습니다.

<정보보호솔루션 소식>

<IT소식>

200226 뉴스.xlsx

※ 뉴스 기록 방식을 변경하려 합니다. 기존에는 동일한 내용을 가진 뉴스의 경우에도 모든 뉴스를 포스팅 했고 그렇기 때문에 나름 주제를 나눠 분류했습니다만 너무 비효율적인듯 하여 오늘부터는 동일한 뉴스를 제거하는 대신 정보보호나 개인정보보호와 관련된 모든 뉴스를 '더보기' 버튼 없이 포스팅 하도록 하겠습니다.

동일한 뉴스의 경우 보안뉴스 > 데일리시큐 > 전자신문 > 기타 IT 전문매체 > 기타 매체 순으로 우선순위가 매겨지며 동일한 뉴스를 제거하지 않은 원본 기사는 엑셀파일로 첨부됩니다.

2월 25일 뉴스입니다.

백악관 보호기관인 DISA의 해킹 소식도 있었구요 틱톡은 정부와 맞물려 이런저런 잡음이 계속 나오고 있습니다. 취약점을 제보하자 해당 계정을 블록시킨 슬릭랩스의 어이없는 대처에 대한 기사도 있었습니다.

200225_뉴스.xlsx

개인적으로 오피스 프로그램에서 단축키를 매우 선호하는 편입니다.

한글이나 엑셀은 왠만한 작업은 마우스를 안써도 될 정도로 단축키를 애용합니다.

요즘 구글스프레드시트를 사용하다보니 아주 큰 스트레스가 생겼는데요
이놈의 단축키를 새로 익혀야 한다는 부분입니다.

그래서 이것저것 찾아봤습니다.

다행히도 엑셀 단축키와 호환시키는 기능이 있더군요

1. 스프레드시트에서 Ctrl+/ 키를 눌러주세요

2. 그러면 단축키 리스트가 나오는데요 단축키 목록중에 검은색이 있고
   회색이 있을겁니다. 

  정말 많은 단축키가 회색으로 표기되어 있을텐데요 하단에
  <호환되는 스프레드시트 단축키 사용>
  이 보이시나요?

  이걸 켜면 엑셀의 단축키도 왠만한건 사용할 수 있답니다.

안그래도 할것도 많고 바쁜 회사생활 이런걸로 시간 잡아먹지 말자구요~