본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다241

(CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리 1. 개인정보 수집 관련 근거 가. 개인정보보호법 기준 개인정보보호법 제15조(개인정보의 수집, 이용) 제1항에 따라 정보주체의 동의를 받아 처리 제2항부터 제6항까지 예외 조항에 따라 동의 없이 추가 가능 특히 제4항 정보주체와의 계약 체결, 이행을 위해 불가피한 경우와 제6항 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 (정보주체의 권리보다 우선하는 경우)에 동의 없이 개인정보를 수집 가능 나. 관련 용어 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람 개인정보처리자 : 업무를 목적으로 개인정보파일을 운영하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자 개인정보 수탁자 : 개인정보처리자를 대신하여 개인정보파일을 운영하는 자 (이 경우 개인정보처리자는 위탁자가 됨) 2... 2021. 8. 24.

(ISMS-P) 비식별 처리, 익명처리, 가명처리 1. 비식별 조치와 가명/익명 처리 가. 비식별 조치와 가명 처리 구분 ISO/IEC 20889 ISO 25237 NIST IR 8053 개인정보 비식별조치 가이드라인 비식별 조치 비식별 조치 비식별 조치 비식별 조치 비식별 조치 익명 처리 가명 처리 통제된 재식별이 있는 가명 처리 가역적 가명 처리 가역적 가명 처리 통제된 재식별이 없는 가명 처리 비가역적 가명 처리 비가역적 가명 처리 가명 처리 -추가 정보란 가명 처리 과정에서 생성 또는 사용되는 정보, 복원 과정에서 사용, 결합되는 정보 -개인정보보호법 제3조의2 제7항에 따라 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집 목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 .. 2021. 8. 16.

(ISMS-P) 개인정보의 유형 (가명정보, 익명정보) 가. 개인정보의 유형 근거 유형 설명 특징 개인정보 (개인정보보호법 제2조 제1항) 개인식별정보 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 (직접)식별자 개인식별가능정보 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (간접/준)식별자, 민감정보 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소 요되는 시간, 비용, 기술 등을 합리적으로 고려 가명정보 개인식별정보 또는 개인식별가능정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용 결합 없이는 특정 개인을 알아볼 수 없는 정보 비개인정보 (개인정보보호법 제58조의2) 익명정보 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보.. 2021. 8. 16.

(ISMS-P) 데이터 보호 -CSAP의 도메인 '12. 데이터 보호'와 관련된 통제항목들과 클라우드 서비스 유형별(IaaS/SaaS/SECaaS/DaaS) 통제 사항 정리 2021. 8. 10.

(ISMS-P) 데이터 폐기 1. 데이터 폐기의 개요 가. 데이터 폐기의 정의 이용자와의 서비스 종료 또는 이전 시, 이용자의 데이터를 재사용할 수 없도록 정보 삭제 나. 데이터 폐기의 특징 이용자 완전 삭제 (복구가 불가능 하도록 삭제) 백업된 데이터에 대한 삭제 방안 마련 2. 데이터 폐기의 개념도 및 구성요소 가. 데이터 폐기의 개념도 나. 데이터 폐기의 구성요소 구분 대상 설명 Virtual resource VM Object Storage NAS -공개 또는 상용 툴을 사용 삭제 -자체 개발한 툴을 이용하여 이용자의 데이터가 저장된 위치에 새로운(무의미한) 데이터를 중복하여 저장하는 방법 -랜덤 키로 데이터 생성 후 해당 파일에 덮어 쓰기 Database Table Space Table Column -저장된 데이터 삭제 -삭.. 2021. 8. 10.

(ISMS-P) 암호 정책 수립 1. 암호 정책 수립의 개요 가. 정의 중요정보의 전송 및 저장 시 안전한 보호를 위한 정책 수립 및 이행 나. 특징 암호 대상은 취급 정보 민감도 및 중요도에 따라 정의 암호화 대상별 암호화 방식과 알고리즘 강도 정의 암호키 관리 대책 정보 전송 및 저장 시 암호화 방안 암호화 관련 시스템 운영 담당자 역할 및 책임 정의 암호화 관련 법적 요구사항 반영 (개인정보보호 관련 법률 등) 2. 암호 정책 수립과 관련된 통제항목 가. 암호 정책 수립과 관련된 통제항목 개념도 나. 암호 정책 수립과 관련된 통제항목 요소 통제항목 특징 설명 9.1.5. 공개서버 보안 SSL TLS -웹 서버 등을 통한 개인정보 등 중요정보를 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport L.. 2021. 8. 10.

(CSAP) 금융사 CSP 안전성 평가와 비교 1. CSAP (클라우드 서비스 보안 인증) 가. CSAP의 정의 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제23조 제2항에 따라 정보보호 기준의 준수 여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. CSAP의 특징 (공공기관 이용 대상), 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 목적 (민간 클라우드 관리체계), 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 다. CSAP의 근거 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(20.. 2021. 7. 30.

(ISMS-P) (MySQL & Maria DB) 데이터베이스의 시스템 로그 유형 1. MySQL & Maria DB의 로그 개요 가. 로그의 정의 -데이터베이스 자신의 상태를 기록하기 위해 로그를 기록 나. 로그의 유형 유형 설명 Error log 시작, 종료, 운영 중에 발생되는 Error 상태를 기록 General query log 클라이언트로부터 수행된 SQL 문법 기록 Binary log 변경된 데이터 혹은 수행된 SQL문 기록 Relay log 복제 마스터 서버로부터 변경된 데이터를 수신한 로그 Slow query log long_query_time 파라미터에서 설정된 시간보다 오래 수행될 경우 기록되는 로그 DDL log DDL 언어가 수행될 때 기록되는 로그 -특정 설정을 하지 않는 한 기본적으로 디렉터리에 저장 2. 로그 생성 파라미터 및 결과 확인 방법 가. 로그 생.. 2021. 7. 27.

(ISMS-P) (MySQL & Maria DB) 데이터베이스의 감사로그 관리 Maria DB는 5.5.37과 10.0.10 버전부터 audit plugin 내장 1) Plugin이 위치하는 디렉터리 확인 >show global variables like 'plugin_dir%'; 2) 1)에서 확인한 위치에 라이브러리 파일 복사 3) plugin 설치 여부 확인 4) audit 환경 변수 설정 확인 5) OS에서 plugin 설치 >install plugin server_audit soname 'server_audit.so'; 6) plugin 설치 여부 확인 >select * from mysql.plugin; 7) audit 설정 여부 >show global variables like 'server_audit%'; 8) my.cnf에 환경 변수 설정 server_audit_ev.. 2021. 7. 27.

(ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 고급 감사 정책 1. (윈도우키+secpol)에서 감사 정책 [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] -'보안 설정 > 고급 감사 정책 구성'의 보안 감사 정책 설정은 정의된 활동을 추적하여 중요한 비즈니스 관련 및 보안 관련 규칙의 준수를 감사 가능 2. [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책]에서 생성 가능한 감사 유형 유형 설명 계정 로그온 -도메인 컨트롤러 또는 로컬 SAM(보안 계정 관리자)에서 계정 데이터를 인증하려는 시도를 기록 계정 관리 -사용자 및 컴퓨터 계정 및 그룹에 대한 변경 내용을 모니터링 가능 세부 추적 -자세한 추적 보안 정책 설정 및 감사 이벤트를 사용하여 해당 컴퓨터에서 개별 응용 프로그램 .. 2021. 7. 25.

(ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 로컬 감사 정책 1. (윈도우키+secpol)에서 감사 정책 -감사 설정을 구성하지 않으면 보안 관련 문제 상황 동안 어떠한 일이 발생했는지 파악하기란 거의 불가능 -구성된 감사 설정에서 이벤트를 생성하는 허가된 작업이 너무 많으면 보안 이벤트 로그가 불필요한 데이터로 가득 차게 되며 전체 컴퓨터 성능에도 영향을 줄 수 있음 2. [로컬 정책 > 감사 정책] [로컬 정책 > 감사 정책]에서 생성 가능한 감사 이벤트의 유형 구분 설명 개체 액세스 감사 -파일, 폴더, 레지스트리 키, 프린터 등 감사 요구 사항을 지정하는 SACL(시스템 액세스 제어 목록)이 있는 개체에 액세스하는 사용자의 이벤트를 감사할지 여부를 결정 계정 관리 감사 -컴퓨터의 각 계정 관리 이벤트를 감사할지 여부를 결정 계정 로그온 이벤트 감사 -이벤트.. 2021. 7. 25.

(ISMS-P) (Windows) 윈도우 시스템에서 생성 가능한 감사 로그 유형 1. 감사 생성 정책 시스템 버전 설명 Windows XP, 2003 로컬 정책-감사 정책에서 9개 범주의 로그 생성 Windows Server 2008, Windows 7 이후 고급 감사 정책에서 그룹 정책 관리 콘솔(GPMC, 도메인, 사이트, OU)나 로컬 보안 정책(secpol.msc)에서 설정 -로컬 정책 > 감사 정책의 기본 감사 정책 설정과 고급 감사 정책 구성의 고급 설정을 모두 사용 시 예기치 않은 결과 발생 가능 2. 생성된 로그 확인 윈도우에서는 로그를 이벤트라고 하며 이벤트 뷰어(eventvwr.msc)를 통해 확인 가능 2021. 7. 25.

(ISMS-P) (Linux) 리눅스 시스템의 감사 로그 생성 및 로그 유형 1. rsyslog의 개요 가. rsyslog의 정의 -리눅스 초기 syslog를 사용하던 것을 성능 및 관리 편리성을 개선한 로그 관리 기능 나. rsyslog의 관련 파일 관련 파일 설명 /etc/rc.d/init.rsyslog -rsyslogd 데몬을 동작시키는 스크립트 /etc/rsyslog.conf -rsyslogd 데몬 환경 설정 파일 /etc/sysconfig/rsyslog -rsyslogd 데몬 실행과 관련된 옵션 설정 파일 /sbin/rsyslogd -실제 rsyslog 관련 데몬 2. rsyslog.conf의 설정 파일 및 로그 옵션 구성요소 가. rsyslog.conf의 설정파일 -리눅스 시스템에서 생성될 각종 유형의 로그에 대한 설정을 rsyslog.cnf에서 가능 나. rsyslo.. 2021. 7. 25.

(ISMS-P) 관리자 계정을 공용으로 사용하는 문제점 상황 1) 시스템을 관리하는 다수의 관리자(User #1, User #2, User #3)가 'abc'계정을 공용으로 사용 2) Application이 시스템 내의 자원을 엑세스할 때 기본적으로 'abc' 계정을 사용 (관리자와 Application이 'abc' 계정을 공용으로 사용하는 상황) 3) 'abc'계정에서 root 권한 필요 시 패스워드 입력 없이 su, sudo 사용 보완조치 1) 각 관리자별로 개인 계정을 발급하여 추후 사고 시 책임추적성 확보 필요 2) Application이 시스템 자원 엑세스 시 관리자와 다른 계정과 권한을 사용하여 사고 예방 및 책임추적성 확보 필요 3) su, sudo 실행 시 패스워드 입력을 통해 악이적인 접근 및 root권한 획득을 통한 추가 피해 예방 -사용자.. 2021. 7. 9.

(ISMS-P) 개인정보 유출 및 침해사고 등 발생 시 신고기관 및 이용자 통지 개인정보 유출 및 침해사고 발생 등이 발생하면 개인정보처리자, 정보통신서비스제공자, 클라우드컴퓨팅서비스제공자 등은 각각의 사항에 해당되는 기관에 신고를 하여야함 1) 개인정보 유출 신고 -개인정보처리자 (개인정보보호법 제34조) -정보통신서비스제공자 (개인정보보호법 제39조의4) -상거래 기업 및 법인 (신용정보의 이용 및 보호에 관한 법률 제39조의4) 2) 개인정보 침해 신고 -이용자/정보주체 (개인정보보호법 제62조) 3) 침해사고 신고 -정보통신서비스제공자 (정보통신망법 제48조의3) 4) 클라우드컴퓨팅 관련 침해사고 신고 및 이용자 정보 유출 등 -클라우드컴퓨팅서비스제공자 (클라우드컴퓨팅법 제25조) * 클라우드에 관한 침해사고 및 개인정보 유출 신고는 각각 별도로 신고 개인정보 유출 시 개인정.. 2021. 6. 29.

(ISMS-P) 법적 요구사항 준수 만족 방안 7.1.1. 법적 요구사항 준수 + 7.1.2. 정보보호 정책 준수 + 7.2.1. 독립적 보안감사 1. 법 및 정책 준수의 개요 가. 법 및 정책 준수의 정의 -기관이 준수해야 할 다양한 법률을 식별하고 식별된 법률에서 요구하는 다양한 사항을 반영하여 미준수 시 발생되는 위험을 감소시키는 관리 활동 나. 법 및 정책 준수의 특징 법률 위반 위험 감소 기관이 해당 업무를 수행함에 있어 관련된 다양한 법률을 식별하고 검토하여 위반 가능성 감소 고객 신뢰도 고객과의 계약으로부터 발생되는 다양한 요구사항도 반영하여 평소 업무 수행 시 준수하고 증적 생성 및 보관 보안 감사 주기적으로 보안 요구사항의 준수여부를 독립적 감사를 통해 점검 및 보완 2. 법 및 정책 준수 방안의 개념도 및 설명 가. 법 및 정책 준.. 2021. 6. 29.

(ISMS-P) (Oracle) Database Audit Log 관리 방법 1. Database Audit의 개요 가. Database Audit의 정의 -Database 사용자가 권한을 부여받아 Database를 이용할 경우, 승인되지 않은 작업을 수행하거나 적절한 권한이 없는 사용자가 계정을 도용하여 접근할 수 있으므로 추후 책임추적성을 확보하기 위해 제공하는 기법 나. Database Audit의 특징 -(Database 감시), 사용자가 데이터를 조작하거나 조회 시 관련 로그 저장 -(책임추적성), 내부감사 또는 사고 발생 시 저장된 로그를 검토하여 조치 가능 -(Database 성능 저하), 운영 서비스에서 상세한 로그를 저장할 경우 성능 저하의 원인이 될 수 있어 DBA가 설정 가능 -(Audit Trail), Database의 이벤트에 대한 정보를 저장 가능 -(A.. 2021. 6. 24.

(ISMS-P) 개인정보 수집 이용 제공 동의 시 미흡사항 현업에서 개인정보처리자가 직접 개인정보를 수집하는 경우에 가장 많이 실수하는 부분이 위의 그림과 같이 3곳의 현황이 서로 상이한 경우이다. 1) 회원가입 신청서 내에서 수집하는 개인정보 항목이 개인정보 수집 이용 동의서에서 고지 후 동의를 받는 부분과 일치하도록 관리하여야 한다. 2) 개인정보 수집 이용 동의서에서 고지, 동의받은 사항은 개인정보처리방침 내에서 동일하게 일치하도록 작성 관리되어야 한다. 다음의 예시에서 왼쪽은 서로 내용이 일치하지 않는 예시이며 오른쪽은 3가지 영역에서 서로 내용이 모두 일치한 예시이다. 2021. 6. 16.

이전 1 ··· 8 9 10 11 12 13 14 다음

티스토리툴바