목록개인정보&보안 (21)
MACE's life blog
랜선 뽑고, 아래 사항부터 꼭! (이 작업부터 하고나서 윈도우 필수 업데이트를 꼭 해야 함!) (1) 윈도우즈 > 시작메뉴 > 제어판을 클릭! 제어판 화면이 뜨면 '시스템 및 보안' 클릭 (2)윈도우즈 방화벽 클릭 (3) 좌측 패널의 '고급설정' 클릭 (4) 고급보안 화면이 뜨면 좌측 패널에서 '인바운드 규칙' 클릭 (5)우측 '작업' 패널에서 '새규칙' 클릭 (6) '포트' 선택 후 '다음' 클릭 (7)TCP 선택 후 , 아래 '특정 로컬 포트' 영역에 139, 445 입력 후 '다음' 클릭 (8) '연결차단' 클릭 후 '다음' 클릭 (9)도메인, 개인, 공용이 모두 체크된 것을 확인한 후 '다음' 클릭 (10)이름에 SMB 차단 이라 입력하고 '마침' 클릭!
개인정보 암호화 조치 안내서(가이드)가 2017년 개정되었다. 암호화 적용 기준은 시스템 구축시 꼭 검토할 필요가 있다. 비밀번호를 취급하는 회원제 서비스의 경우, 비밀번호 암호화(일방향/해시)는 필수/의무일 뿐만 아니라,ID/PW 등 로그인 정보에 대한 송수신 구간도 적절한 암호화 조치를 적용해야 한다. 나머지는 수집하는 개인정보의 항목에 따라 상이하다. ※ 민간/공공모두 공통사항임. 암호화 적용 기준(요약)구분 암호화기준 정보통신망 보조저장매체를 통한 송신시 비밀번호, 바이오정보, 고유식별번호 암호화 송신 개인정보처리 시스템에 저장시 비밀번호 일방향(해시함수) 암호화 저장 바이오정보 암호화 저장 고유식별번호 주민등록번호 암호화 저장 ※2017.12.31까지 암호화 저장: 100만명 이상 정보주체 ※2..
얼마전 숙박 예약 앱으로 유명한 '여기어때'가 중국발 해킹을 당했다는 보도가 나왔다. 해킹 당한 것을 인지한 것도 해커가 고객들에게 낯뜨거운 문자를 보내고 나서인 듯한데, 고객의 이메일, 연락처, 이름, 숙박업소 예약 내역 등이 모두 털린 듯하다. 일단 현재까지 파악되기로는 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 해커에 의해 침해된 것으로 확인됐고(3/30 기준), 해커가 사용자에게 문자메시지를 전송한 수는 지난 3월 23일까지 총 4,000여 건이며 이후 추가 피해는 접수되지 않았다고 한다. 그리고 아래 5대 보안 강화 정책을 함께 발표했다. 5대 보안 강화 정책 (1) 회원정보와 숙박 예약정보 분리 및 암호화 관리 (2) 예약 고객정보 제휴점 전송 시 닉네임과 가상번호로 ..
근래 받는 메일의 상당수는 '서비스 미이용에 따른 회원(계정)의 개인정보 파기 안내 혹은 휴면 전환'에 대한 내용이다. 그런데 유사한 서비스임에도 불구하고 어떤 곳은 개인정보를 파기한다고 하고, 어떤 곳은 휴면 상태로 전환을 한다고 한다. 어떤 곳이 적법한 서비스를 하는것인가? 결론부터 말하면 둘다 옳다. 정보통신망법 저촉 대상인 온라인 사업자 기준으로 설명을 하면, 법에 둘다 명문화된 규정이 있기 때문이다. 다만 사용자경험 및 비즈니스 관점에서 어떤 방식이 더 유리한지 고민하고 적용해야 한다. 정보통신망법 시행령의 16조는 "개인정보의 파기"에 대하여 정의하고 있다. 16조 2항에 보면 "법 제29조제2항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다..
CONCERT FOREST 2017 행사 중 KISA 발표 세션이 있었는데, 2016년 주요 보안/개인정보 사고사례를 다루는 내용에서 코드사인 인증서가 탈취되어 악성코드 배포에 악용된 사례가 발표되었다. 좀더 내용을 알고 싶어 관련 자료를 조사했다. H사는 그룹웨어 서비스를 공급하고 있는 업체 중 하나이다. 점유율도 상당한 것으로 알고 있는데, 보안상 취약점이 발생한 것으로 보인다. 아래 사과문에 있는 것과 마찬가지로 코드사인은 기업에서 제작한 SW 프로그램 배포 시, 해당 기업에서 제작/배포한 것임을 증명하는 일종의 전자서명(디지털 도장)인데, 이 코드사인이 탈취되어 악성코드에 사용된 것이다. 물론 저 기업도 피해자라고 볼 수도 있겠지만, 일단 해킹이 되고나면 숙주가 되어버리기 때문에 더 큰 피해가 야..
근래 AWS와 같은 클라우드에 대한 이슈가 많다. 대형 인프라를 갖고 있는 기업/기관들은 여러이유로 클라우드로 서비스를 이관하고 있는데, 공공기관의 경우 행자부의 G클라우드를 이용하거나, 자체적인 데이터센터에서 프라이빗 클라우드로 이관하는 추세지만, 기업의 경우 AWS 등으로 이관하고 있다. 비용대비 효율적이고 보다 민첩한 개발 등의 필요성이 커지기 때문이다. 이 때, 인프라 전체를 아예 클라우드로 옮긴다면, 고객의 개인정보 데이터까지 이관하는 격이 되는데, 한가지 이슈가 있다면 글로벌 클라우드 서비스의 경우 개인정보의 국외이전으로 해석해야하는지 여부가 논쟁의 대상이 될 수 있다. 글로벌 클라우드 서비스, 특히 AWS는 서울 리전을 제공하고 있으나 DR 혹은 백업 등등의 목적으로 다른 리전에 데이터가 위..
행자부와 KISA에서 발간한 소프트웨어 개발보안 가이드 최신판(2017.1월) 보안은 ROI가 나오지 않는다고 하는 사람들이 많아서 아쉬울 때가 더러있다. 사실 리스크를 고려하면 ROI는 문제가 될게 아닌데... 한가지 확실한 것은 이러한 보안 지침은 최소한의 요구조건이지, 이것만 지킨다고 보안이 완벽해진다는 착각은 금물이라는 것이다. 보안은 선택사항이 아닌 필수 사항이라는 것. 아무리 강조해도 지나치지 않는다는 것을 잊지 말아야 한다. 1장. 개요제1절 배경제2절 가이드 목적 및 구성 2장. 소프트웨어 개발보안제1절 개요1. 소프트웨어 개발보안 필요성제2절 소프트웨어 개발보안 체계제3절 소프트웨어 개발보안 방법론1. 소프트웨어 개발 생명주기 이해2. 소프트웨어 개발 방법론 이해3. 소프트웨어 개발보안 ..
1차 계획에 대한 자체평가인가 본데... CPPG 자격을 국가공인으로 추진하는 것이나 잘 되었으면 하는데 아쉽다. 거버넌스 구조 선진화 (정부) 일반법 중심의 법체계 정비 환경변화에 부응하는 보호기준 개선 글로벌 상호운용성(Interoperability) 제고 개인영상정보 보호/관리체계 구축 보호 관리체계 강화 (개인정보 처리자) 선제적/자율적 보호활동 활성화 조직전반의 개인정보 관리/통제체계 강화 전담체계 마련 및 전문역량 강화 대상별 맞춤형 지원체계 강화 보호 실천문화 조성 (일반국민) 정보주체 권리보장 실질화 국민참여 및 생활밀착형 홍보 강화 침해예방 및 권리구제 실효성 제고 선순환 생태계 조성 (산업계) 선제적 보호기술 개발 지원 전문인력 양성 및 수급연계체계 구축 개인정보 보호 서비스 산업 발전
OWASP Top 10 모음.