'분류 전체보기'에 해당되는 글 1617건

<KISA 정보보호 지원사업>

※ 온라인 설명회 보러가기(유튜브)

<미국 기관 틱톡 사용금지>

<데이터3법>

<구글 아동정보 수집 혐의로 고소>

<마이데이터>

<기타>

<IT뉴스>

<데이터 3법 통과>

<우리은행 고객 비밀번호 도용>

<MS 스마트폰용 백신 출시>

<백악관 정보유출 사고>

<약정원 개인정보유출 무죄>

<기타>

<IT뉴스>

2월 20일 뉴스입니다.

오늘 주요 내용은 4가지가 있었습니다.
1. 신용정보법 설명회 개최
2. 데이터3법
3. 자동처리되는 개인정보 보호 가이드라인 발간>
4. 업무사칭 메일을 통한 악성코드 유포

<신용정보법 설명회>

금융위원회는 신용정보법 개정에 따라 설명회를 개최했는데요 특히 하위법령 개정은 효율적 데이터 활용과 안전한 정보보호가 균형을 이룰 수 있도록 하는데 초점을 맞추겠다고 했습니다.
또한 마이데이터사업을 본격적으로 도입하겠다고 했습니다.
신용정보법 설명회 자료는 다음 링크에서 다운로드 받을 수 있습니다.(다운로드 링크)

<데이터3법 통과>

데이터3법이 통과된 이후 산업계에서는 가명정보를 이용한 산업 발전에 큰 기대를 걸고있는 반면 시민단체는 계속해서 개인정보 유출에 대한 우려를 나타내고 있습니다. 다양한 의견이 있어 스타트업은 아직 이러지도 저러지도 못하고 눈치만 보고 있는 상태인데요 하루 빨리 명확한 가이드라인이 나오길 바래봅니다.

<자동처리 되는 개인정보 보호 가이드라인 발간>

<업무사칭 메일을 통한 악성코드 유포>

<기타>

작년 한해동안 발견된 취약점 개수는 22,316개이고 그 중 고위험군은 33%에 달한다고 합니다. 실제로 많은수의 취약점이 익스플로잇에 사용되었다고 하는데요 취약점이 없는 소프트웨어는 존재하지 않으니 발견된 취약점은 최대한 빨리 위험을 감소시키는 방법밖에 없을 것 같습니다.
무료 안티바이러스 소개 기사가 있었는데요 대다수의 안티바이러스가 기업용은 유상으로 제공하고 있고 특히 중앙관리를 위해서는 유상 서비스를 받아야겠지만 가정용으로는 무료 백신 역시 고려해볼 만 합니다.

<행사소식>

<정보보호제품>

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.

2월 19일 뉴스입니다.

<자동처리 되는 개인정보 보호 가이드라인 발간>

KISA에서 IoT 등 자동처리되는 개인정보 보호 가이드라인을 발간했습니다.
IoT가 활성화 되고 그 과정에서 수집되고 처리되는 개인정보가 많아짐에 따라 가이드라인이 발간되었는데요 10대수칙은 다음과 같습니다.
1. 서비스에 꼭 필요한 개인정보인지 확인
2. 개인정보 수집 시 법적 준수사항을 확인
3. 반드시 필요한 개인정보만 최소한으로 처리
4. 개인정보 처리단계별 적절한 안전조치 적용
5. 개인정보의 처리절차 및 방법을 투명하게 공개
6. 정보주체가 권리 행사를 쉽게 할 수 있도록 보장
7. 개인정보의 제3자 제공 및 위탁 시 정보주체에게 명확히 안내
8. 정보주체가 서비스 해지 시, 개인정보 파기 및 추가 수집 방지
9. 사업 종료 시 정보주체의 권리보장 방안 마련
10. 서비스 출시 전, 개인정보 침해 위협 요소 점검
가이드라인은 KISA 홈페이지에서 다운로드 받으실 수 있습니다.(KISA 홈페이지 열기)

<데이터3법 통과에 따른 영향>

<기타>

얼마전 아마존의 물리보안업체 링의 CCTV가 해킹되어 다른 집의 CCTV를 볼 수 있는 문제가 발생했는데요 그 뿐 아니라 링의 IoT는 끊임없이 문제를 일으켜 왔습니다. 이에 따라 링은 이중인증을 필수 요소로 추가했는데요 그동안 사용자의 선택에 맡겨왔떤 이중인증을 필수 옵션으로 넣으면서 사용자의 보호를 편의보다 우선시하겠다는 모습으로 보입니다.
아마존과 페덱스의 물건 배송을 사칭하는 스미싱 문자로 인한 피해가 늘어나고 있다고 하는데요 특히 미국 내 소비자들을 대상으로 많이 발생하고 있다고 합니다. 아마존은 현재 국내에서도 직구를 하시는 분들이 많을텐데 주의하시기 바랍니다.

<행사소식>

<보안제품소식>

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.

세계 보안 엑스포 SECON & eGISEC이 코로나로 인해 연기되었습니다.

변경일정은 7월 6일(월) ~ 8일(수)이며
장소는 변경 없이 킨텍스 제1전시장입니다.

모두 코로나 감염에 유의하시고 일정 조정하여

헛걸음 하는 일이 없도록 하시기 바랍니다.

2월 18일 뉴스입니다.

<데이터3법>

먼저 데이터3법 소식입니다.
사이버안전 포럼에서 데이터3법 통과 이후 개인정보 총괄 감독 부처가 개인정보보호위원회로 통합되었기 때문에 사이버 안전 거버넌스의 재정립이 필요하다는 발표가 있었습니다.
시민단체에서는 개인정보의 가명처리에는 허점이 있으니 익명처리에 한해서만 허용해야 한다는 주장이 있었고 그에 반해 산업계에서는 법에서 연구목적의 가명정보 처리를 허용했으니 이를 시행령에서 대치되는 법안이나 가이드가 나오지 않고 연구가 활성화 되도록 해야 한다는 주장을 했습니다.
개인적으로 익명화된 개인정보와 가명화된 개인정보는 쓰임새가 다르고 연구에 활용되는 범위가 다른 만큼 개인정보보호법에서 요구하는대로 익명화로 가능한 범위는 익명화로, 익명화가 불가한 부분에 대해서는 가명화된 개인정보를 사용해야 한다는 입장입니다만 재식별이 불가능하도록 가명화 하는데 구체적인 가이드가 나와 비식별화 전문가를 초빙하거나 채용하지 않더라도 정보보호담당자 선에서 조치가 가능하도록 했으면 하는 바램입니다.

<기타>

미국 사이버사령부에서는 라자루스의 멀웨어 샘플 6개를 바이러스토탈에 공개했습니다. 그동안 자체 DB에 없어 검색이 안되던 라자루스의 멀웨어도 모든 안티바이러스 솔루션에서 검출이 가능해 졌습니다.
이란의 해킹단체 APT33과 APT34가 협업하여 VPN을 뚫었다고 하는데요 민간기업에서 주로 사용하는 펄스 시큐어, 포티넷, 팔로알토의 VPN을 익스플로잇 했다고 합니다. 해당 제품을 사용하시는 담당자들께서는 점검이 필요할 듯 합니다.
CPO를 처벌하는 개인정보보호법이 잘못되었다는 주장이 있었습니다. 이 기사의 내용은 예전부터 저 역시 생각을 해왔고 공감이 되는 부분인데요 과연 CPO를 계속 처벌한다고 하면 과연 CPO를 담당하겠다고 하는 사람이 있을지 의문입니다. 오히려 법인에 벌금이나 과징금이 커지는 것이 CPO에게 힘을 실어주고 더욱 강력한 보호수준을 유지할 수 있는 방안이 아닐까 싶습니다.

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.

2월 17일 뉴스입니다.

<개인정보보호위원회 국제협력 강화>

개인정보보호위원회가 국제협력을 강화하기로 했다는데요 이에 따라 '개인정보 국제협력 강화 3대 프로젝트'를 추진하고 있다고 합니다.
①한국기업 유럽진출 지원을 위한 EU 적정성 결정의 조속한 추진 지원 및 해외 법제정보 제공
②한국 국민 개인정보 보호강화를 위한 글로벌 기업 공동조사 등 국가간 협조 강화
③개인정보 관련 기술·제도 국제표준화 작업 등 국제무대에서의 국익 확보를 위한 국제협의체 내 선도적 역할 강화
위 3가지 항목이 주된 프로젝트 내용이라고 하는데요 충분히 글로벌화 되어 국내에서만 열심히 보호하는건 더이상 의미가 없어진 지금 국제협력 강화로 내국인들의 개인정보에 더욱 힘써줬으면 하는 바램입니다. 또한 EU 적정성검토가 통과되어 GDPR에 대한 큰 부담 없이 사업을 영위할 수 있게 되길 기대해 봅니다.

<기타>

새로운 머신러닝 개발 프레임워크가 개발되었다고 하는데요 이번에 개발된 프레임워크는 위험요소를 분석하는 접근법을 가지고 있다고 합니다. 다만, 해결방법이 포함된건 아니라고 하는데요 그렇다고 해도 머신러닝을 개발하면서 발생할 수 있는 위협에 대해 경고해줄 수 있다는 자체로 매우 뛰어난 프레임워크가 아닌가 싶습니다.
개인정보보호협회가 개로운 ISMS-P 심사기관으로 지정되었습니다. 심사 대상도 늘어나고 있고 ISMS와 PIMS를 별도로 받아야 하는 부담이 줄면서 ISMS-P 신청기관도 늘어나는만큼 심사 일수에 대한 수요도 늘어날 수 밖에 없는데요 심사기관이 늘어나면서 심사원들의 퀄리티도 함께 늘어나길 기대해봅니다.
11개 시민·노동단체가 데이터3법의 후속과제에 대한 의견서를 제출했다고 하는데요 개인정보의 활용으로 인한 기술 및 경제의 발전과 개인정보의 보호라는 측면에서 양쪽을 모두 만족시킬 수 있는 방안이 하루빨리 나오길 기대해 봅니다.

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.

2월 2주차 뉴스입니다.

이번주 IT관련 언론에서 주로 다룬 내용은 크게 다섯가지 이슈였습니다.

1. 데이터3법 통과에 따른 이런저런 이야기
2. 제4차 개인정보보호 기본계획 발표
3. 여기어때 대표 집행유예 선고
4. 미국 에퀴팩스 사건으로 중국 요원 4명 기소
5. WSJ의 화웨이 백도어 의혹

<데이터3법 통과에 따른 영향>

지난 2월 4일 데이터3법이 발표됐고 이미 그 전에 데이터3법은 통과됐죠
데이터3법이 통과되고 다양한 분야에서 이런저런 얘기들이 쏟아져 나오고 있는데요 이번주에는 특히 기획재정부에서 데이터 분야 전문가들과의 오찬 간담회를 열고 "국민이 편의를 체감하면서도 안전하고 신뢰할 수 있는 데이터 활용방안을 마련하는 것이 중요하다"고 얘기했습니다.
IT관련 언론의 뉴스를 수집하다보니 대체로 데이터3법 통과를 환영하는 분위기인데요 아무래도 법이 통과되고 가명정보의 활용이 활성화 되면서 빅데이터 기술이 늘어나고 그에 따른 다양한 산업분야에서의 활용도 늘어날 수 있다는 점은 IT 업계에서는 무척 기대가 되는 내용이 아닌가 싶습니다. 하지만 그만큼 개인정보의 안전한 활용이 담보될 수 있냐는 질문에 대해 고심해봐야 할텐데요 다양한 매체에서 발전에 대해 기대하는 것 이상으로 개인정보의 안전한 활용에 대해 우려섞인 눈길을 보내고 있고 악용될 경우 엄청난 사회적 혼란을 야기할 수 있는 만큼 가명정보 활용에 대해 무작정 환영할게 아니라 얼마나 안전하고 효과적으로 가명정보를 활용할 수 있을지 민관 모두가 고민해봐야 할 문제인 듯 합니다.

<제4차 개인정보보호 기본계획 발표>

개인정보보호 위원회에서 제4차 개인정보보호 기본계획을 발표했는데요 개인정보보호 기본계획은 3년마다 수립되는 중기계획으로 기본목표, 추진방향, 제도 및 법령 개선, 침해방지 등 중요 사항을 담고있는 내용입니다.
특히 이번 제4차 개인정보보호 기본계획 발표는 데이터3법 통과 이후 발표된 기본 계획으로 데이터 활용의 활성화를 앞두고 있는 시점이기 때문에 더욱 주목될수밖에 없는데요 개인정보보호위원회에서는 데이터 활용을 위해서는 안전한 개인정보 보호가 전제되어야 한다고 했습니다.

<여기어때 대표 집행유예 선고>

여기어때 대표가 야놀자의 DB를 무단으로 크롤링한 혐의에 대해 징역1년6개월에 집행유예 2년이 선고되었습니다. 숙박 DB를 API 서버를 통해 침입한 혐의로 기소되었는데요 여기어때 측에서는 누구나 접근 가능한 공개정보를 일반적으로 사용하는 크롤링 기법을 이용해 수집했을 뿐이라고 주장했지만 재판부는 경쟁관계 우위를 점하기 위해 접근권한 없이 크롤링 프로그램을 이용해 서버에 접속하는 것은 정보통신망 침해 행위라고 판단했습니다.
경쟁사이기 때문에 위법행위로 판단한것인지 아니면 다른 불법적인 요소가 있었는지는 모르겠습니다만 API서버에 접근통제가 되어있지 않은 상태에서 다른 우회기법이 없이 접근이 가능했다면 그게 과연 위법행위인지 모르겠습니다. 물론 접근통제를 했음에도 불구하고 우회했다면 당연히 위법행위겠지만요...

<미국 에퀴팩스 사건으로 중국 요원 4명 기소>

지난 2017년 5월에 발생한 에퀴팩스 해킹사건의 주범으로 미국 사법부에서 중국인 4명을 기소했는데요 에퀴팩스 해킹사건은 역사상 가장 대규모의 개인정보 유출사건입니다. 1억 4500만명의 민감한 개인정보가 유출되었던 사건인데요 아파치스트럿츠에서 발견된 취약점을 익스플로잇해서 발생시킨 공격이었습니다.
3년간의 분석 끝에 중국 요원 4명을 찾아냈다고 하는데요 해킹이 단순히 돈벌이나 장난 수준이 아닌 국가간의 전쟁 도구로 사용하는 무서운 세상이 된 만큼 민간기업의 보안담당자라고 해서 안일하게 생각할 문제는 아닌 것 같습니다.

<WSJ의 화웨이 백도어 의혹>

월스트리트저널에서는 화웨이가 통신장비의 백도어를 이용해 불법도청을 하고 있고 그에 대한 증거를 갖고 있다고 했습니다. 또한 화웨이는 그런 능력을 갖고 있지도 않고 그런 사실이 발견되었다면 그 증거를 공개해달라고 요청하면서 WSJ의 주장에 반박했습니다. 에퀴팩스 사건도 그렇고 화웨이 백도어 건도 그렇고 미국과 중국의 사이버전을 통한 갈등이 상당히 심화되고 있는 느낌입니다.

<기타>

2월 14일 뉴스입니다.

<약학정보원 개인정보 유출 무죄>

약정원이 6년간의 법리다툼 끝에 무죄 판결을 받았습니다. 약정원은 환자의 개인정보를 약국청구프로그램인 PM2000과 환자의 동의없이 공유했다는게 문제였는데요 특히 고유식별정보와 민감정보를 정보주체의 동의 없이 수집했으며 개인정보의 암호화 수준이 특히 이슈가 되었습니다. 1기 암호화 방식은 주민번호와 알파벳의 1:1 치환으로 현재 어디에서도 암호화로 보지 않는 수준의 암호화 방식입니다. 사실 암호화 기법의 수준으로 따지면 우리가 암호학 시간에 배운 고대시대의 암호화 방식과 동일하죠
2기 암호화에서는 SHA512 알고리즘을 이용했지만 1기 암호화 방식의 주민번호와 2기 암호화 방식의 해시값을 매칭시켜 주민번호를 찾을 수 있었습니다.
3기 암호화 방식은 주민번호를 제공하지 않고 성명, 성별, 생년월일을 SHA512 알고리즘으로 암호화 했는데요 2기, 3기에서 알고리즘은 충분히 안전한 알고리즘을 사용했으나 주민번호의 동일성 파악을 위해 2, 3기 데이터를 전달하는 과정에서 1기의 매칭테이블을 제공해 주민번호 식별이 가능한 데이터의 제공이 이뤄졌습니다.
다만, 이번 판결에서 복호화할 의사가 있지 않아 무죄라고 판단했습니다.
개인적으로 이 부분에 대해 이해는 가지 않는데요 ISMS-P 심사 가이드라인에서는 암호키는 배포 대상자와 배포방법, 유효시간까지 정책 및 지침에 정의하도록 하고 있고 소스코드에는 암호키를 기록하지 못하도록 하고 있을 정도로 반드시 필요한 경우가 아닌 이상 암호화 된 데이터를 복호화 하지 못하도록 강하게 가이드하고 있습니다. 그래서 많은 정보통신사업자는 최소한의 인원에게만 데이터의 복호화 권한을 부여하고 그 이외의 담당자가 복호화된 데이터가 필요한 경우 승인절차를 통해 추출한 데이터를 제공받고 해당 내용은 주요 점검 대상으로 보고 있음에도 불구하고 기술적으로 복호화가 가능하나 의사가 있지 않아 무죄라고 판단한 것이 과연 합당한지 의구심이 남는 부분입니다.

<기타>

보안뉴스에서는 정보유출이 계속해서 늘고 있으며 클라우드 환경의 변화로 인해 올해는 더할 것이라는 전망이 발표된 기사가 있었습니다.
ITBizNews에서는 보안담당자가 주목해야 할 올해의 이슈로 IoT와 클라우드 도입에 따른 환경 변화를 얘기하는 기사가 있었는데요 IoT의 보안 이슈도 이미 여러번 언급되어왔고 클라우드는 이미 설정의 오류로 인해 대형 사고가 작년부터 꾸준히 일어나고 있는 상황입니다. 변화를 따라가야하는 보안담당자이지만 기술의 변화를 따라가기가 쉽지는 않은데요 그럼에도 불구하고 쉽게 볼 수 없는 영역이며 다양한 분야의 전문가와 함께 보안 수준을 향상시켜 나가야 하는 부분입니다.

그 밖에도 다양한 내용의 기사가 있으니 참고하시기 바랍니다.

2월 13일 뉴스입니다.

우리은행에서 직원들의 실적을 위해 휴면회원의 비밀번호를 변경했는데요 특히 신뢰가 중요한 은행이 개인정보를 이렇게 안일하게 관리한다는것이 어처구니 없게 느껴지는데요 비번 도용에 가담한 직원은 우리은행에서는 313명으로 발표했으나 실제 약 500여명으로 비밀번호 변경 건수는 총 3만9463건이라고 합니다. 개인정보 누설이나 유출, 금전적 피해는 없는 것으로 파악되고 있으며 우리은행은 현재 피해 고객에 대한 통지를 준비하고 있다고 하는데요 대응이 너무 늦어지는게 아닌가 싶습니다.

다음 뉴스는 금융위원회 소식입니다. 금융위원회에서 신용정보법의 개정을 앞두고 개정 신용정보법 주요내용을 발표했습니다. 더불어 오는 20일 신용정보법 설명회를 개최한다고 하니 필요한 분들은 참석해서 좋은 정보 많이 얻어가셨으면 좋겠습니다.

화웨이가 월스트리트 저널의 백도어 의혹에 대해 공식적으로 반박했습니다. 월스트리트저널은 이미 화웨이가 백도어를 통해 전세계 통신망에 접근할 수 있는 증거를 갖고있다고 했는데요 화웨이에서는 구체적인 증거를 보여달라고 하며 반박하고 있습니다.

지난 2017년 발생한 빗썸의 고객 개인정보 3만건 유출에 대한 1심 결과가 나왔습니다. 1심에서 빗썸 법인과 개인정보관리책임자에게 각각 벌금 3천만원씩 선고되었는데요 이는 구형의 범위를 넘어선 법정 벌금 최고형인데요 물론 법정 최고형을 선고받기는 했습니다만 사고로 인한 고객들의 피해범위에 비해 형벌이 너무 약하다는 지적도 있습니다.
이번 선고에서 지난달 판결이 나온 하나투어와 마찬가지로 개인정보관리책임자(개인정보보호책임자)에게도 벌금이 부과되고 있는데요 개인적으로는 이런 일이 발생하면 과연 누가 개인정보보호책임자를 맡으려 하겠는가라는 의문도 가지고 있습니다만 한편으로는 이런 판결이 계속 나오면 그만큼 임원으로 지정하도록 되어있는 개인정보보호책임자가 나서서 회사의 정보보호에 앞장설수밖에 없지 않을까 하는 기대감도 있습니다.

개인정보보호위원회에서 제4차 개인정보보호 기본계획을 발표했는데요 이번 기본계획에서는 개정된 데이터3법의 내용을 반영하고 3개년 마스터플랜이 수록되었으며 안전한 개인정보 이용 환경 구축에 관한 내용에 초점이 맞춰졌습니다.
이번에 발표된 개인정보보호 기본계획은 개인정보보호위원회에서 다운로드 받으실 수 있습니다.(링크)

이밖에도 브라질의 사이버보안 전략 발표 소식, 자율주행차의 차량보안, 멀티팩터 등 다양한 기사가 있었습니다. 또한 맥도 더이상 악성코드로부터 자유롭지가 않다는 기사가 있었는데요 그동안 맥이니까 별일 없겠지 하며 넘어갔던 부분도 점검이 필요해 보입니다.

더 많은 내용은 기사를 참고하세요~

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.