본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다241

정보보호 공시 적용 대상 및 절차 1. 정보보호 공시 적용 대상 가. 자율 공시 -정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자 (정보보호산업법 제13조제1항) ※ 정보통신 서비스(유·무선통신 서비스, 방송 서비스 등), 쇼핑몰, 포털, 인터넷 뱅킹 등 인터넷을 통해 사업 활동을 하는 영리, 비영리 업체 모두 포함 나. 의무 공시 -사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자 (정보보호산업법 제13조제2항) 사업분야 회선설비 보유 기간통신사업자(ISP) ※ 「전기통신사업법」 제6조제1항 집적정보통신시설 사업자(IDC) ※ 「정보통신망법」 제46조 상급종합병원 ※ 「의료법」 제3조의4 클라우드컴퓨팅 서비스제공자 ※ 「클라우드컴퓨팅법」 시행령 제3조제1호 매출액 정보보호 최고.. 2022. 5. 6.

제2항 정보보호 정책, 표준, 지침 제2항 정보보호 정책, 표준, 지침 정보보호 정책은 정보보호 활동의 목적, 전략, 목표를 설정하고 책임과 권한을 부여하기 위한 최고 경영진의 의사표현이다. 기업의 전략, 목표를 달성하기 위해 구체적인 정책이 필요하며 정책이 없다면 조직 및 기업은 개인 판단 기준에 의존하여 수행하게 된다. 통제 목표를 달성하기 위해 조직 및 기업은 통제 방법을 만들어야 한다. 이런 통제 방법은 통제 목표를 달성하기 위해 세부적으로 어떻게 이행해야 하는지를 다룬다. 통제 방법이 잘 준수될 수 있도록 그리고 효과적인 모니터링을 하기 위해 정책과 절차가 만들어져야 한다. 조직 및 기업에 관련된 비즈니스 활동 수행을 위한 목표 달성을 위해 관련된 법률을 준수하면서 중요 정보자산을 보호하기 위한 목표를 설정하고, 책임과 권한을 부.. 2022. 5. 2.

제3절 정보보호 관리체계의 구성요소 제3절 정보보호 관리체계의 구성요소 정보보호 관리체계를 통해 지속적인 정보보호 수준을 제고하고 침해사고 시 피해확산 방지와 신속한 대응 등의 절차를 수립, 훈련함으로써 고객 만족도 향상, 정보자산 보호, 업무 효율성 증진 등의 효과를 얻을 수 있다. 정보보호 투자가 기업의 이익에 얼마나 직접적으로 영향을 미쳤는지는 정확하게 판단하기 어려우나 정보보호 투자를 하지 않았을 경우 조직 및 기업이 침해사고 등으로 발생되는 기업 이미지 및 주가 하락, 매출 손실, 파트너 이탈, 고객 피해보상 등의 피해규모를 통해 간접적으로 산출할 수 있다. 정보보호 관리의 주요 구성요소들은 다음과 같다. 제１항 정보보호 전략 전략의 사전적 의미는 정치, 경제 따위의 사회적 활동을 하는데 필요한 책략이라고 정의하고 있다. (네이버.. 2022. 4. 26.

공통평가기준(CC) - ISO/IEC15408, 18045, 22216 ISO/IEC 타이틀 진행 정도 변경 사항 15408-1 Evaluation criteria for IT security Part1:Introductionandgeneralmodel 개정 IT보안 평가를 위한 소개 및 일반 사항 검토, 용어 재정의 15408-2 Evaluation criteria for IT security Part2:Securityfunctionalcomponents 개정 기존 보안 기능 요구사항 검토, 신규 추가 검토 15408-3 Evaluation criteria for IT security Part3:Securityassurancecomponents 개정 보증 활동 요구사항 검토, 신규 보증 사항 추가 15408-4 Evaluation criteria for IT securit.. 2022. 4. 23.

정보보호 관리체계의 필요성 제2절 정보보호 관리체계의 필요성 정보보호에 대한 최고 경영층은 ‘정보보호는 완벽해야 하는 것’이라는 인식이 자리잡고 있으며, 제한된 예산과 부족한 인력으로 부분적 일회성 정보보호 활동을 수행하거나 침해사고 등에 대해 단편적인 대응에 그치고 있다. 하지만 정보보호에 대한 조직 및 기업의 사회적 책임이 중요해지면서 정보보호 컴플라이언스, 정보보호 거버넌스, 위험관리 등이 기업의 경쟁력의 중요 요소가 되고 있다. 실무자들은 완벽한 보안이 어렵다는 점을 인식하고 있지만 차마 공개적으로 얘기하기는 어려운 현실이다. 완벽에 가까운 정책을 만들고 그에 맞는 정보보호 활동을 이행해면서 사고가 발생한 경우 피해를 최소화하는 대책 수립이 최선이다. 즉 정보보호와 관련된 통합적, 체계적인 활동을 수행하고 침해사고 등에 대.. 2022. 4. 11.

정보보호 관리체계의 개요 제１절 정보보호 관리체계의 개요 관리체계란 조직 및 기업의 품질경영이나 환경경영 등에서 사용하는 용어로써 정보시스템과 같은 IT 시스템을 의미하는 것이 아니라 어떤 대상을 관리하기 위한 체계를 의미한다. 경영학의 대가인 피터 드러커에 따르면 관리체계는 강점을 높이고 약점을 낮추며 조직 및 기업이 공동의 성과를 올릴 수 있도록 만들어 준다. 이러한 성과를 얻기 위해 인적 물적 자원과 경영진의 적극적인 참여와 의사결정이 필수적이다. 정보보호 관리체계는 조직 및 기업의 주요 정보자산을 보호하기 위하여 조직, 인력, 설비, 정책, 목적, 제도, 절차, 문서, 기록 등 경영자원을 활용하여 체계적으로 보호대책을 수립하고 지속적으로 관리하기 위한 방법론이다. 정보보호 관리체계를 구축 운용하는 조직 및 기업은 관리체계.. 2022. 4. 11.

마이크로세그먼테이션 제2절 마이크로세그먼테이션 사이버 공격자들이 기존 보안 기술 및 기법을 회피하면서 IT 환경을 탐색하기 위한 새로운 방법을 지속적으로 시도하는 가운데, 이에 대응해 마이크로 세그먼테이션이 부상하고 있다. 마이크로세그먼테이션(Microsegmentation)은 제로 트러스트 구현 방식으로써 IT 환경을 통제 가능한 구역으로 분할해 각 서비스/워크로드 상호 간 안전하게 격리하고 네트워크 보호 단위를 세분화함으로써 승인되지 않은 횡적 이동 문제에 대처하는 기법이다. 마이크로세그먼테이션은 중대한 네트워크 보호 문제에 대처해 위험을 낮추고 동적인 IT 환경의 요구에 상응해 보안을 조정하기 위한 목적으로 설계된 기술이다. 마이크로세그먼테이션을 통해 보안담당자는 내부 네트워크 내에서 확산될 수 있는 불필요한 경로를 .. 2022. 4. 8.

제로 트러스트 제１절 제로 트러스트 제로 트러스트 보안 모델은 기본적으로 인증 절차 없이는 누구도 신뢰하지 않으며 시스템에 접속하고자 하는 모든 주체는 접속 권한을 부여 받기 전에 인증과정을 거치도록 요구한다. 제로 트러스트 모델은 2010년 분석 기관이 포레스트 리서치의 존 킨더버그가 만든 용어이다. 네트워크 자산에 연결하는 모든 주체는 신뢰할 수 없다는 가정하에 자산에 대한 접근 권한을 부여하기 위해서는 인증을 강조하고 있다. 기존 경계보안에서는 내부 사용자와 트래픽은 암묵적으로 신뢰할 수 있다는 가정하에 출발하는데 클라우드 서비스와 모바일 환경의 증가로 네트워크 경계를 설정하고 관리하는 것이 더욱 어려워지고 있다. 제로 트러스트 모델에서는 정보자산에 접근하고자 하는 모든 주체는 잠재적인 위험 요소라는 전제한에 모.. 2022. 4. 8.

암호화의 개요 제１절 암호화의 개요 제１항 암호화의 개요 암호화는 정보를 즉시 접근할 수 없도록 감추는 기술이라고 볼 수 있으며 정보화 시대 훨씬 이전부터 민감하거나 중요한 정보를 보호하기 위해 사용되어 왔으며 이러한 암호화와 관련된 수단, 기법 등을 연구하는 학문을 암호학이라고 한다. 암호화는 송수신 또는 저장된 정보를 해독할 수 없도록 정보를 비밀 코드로 변환하는 기법이다. 기본적으로 알고리즘을 사용해 데이터를 변환하게 되며, 이렇게 변환된 데이터를 수신하는 측은 해독 키를 사용해 데이터를 해독한다. 암호화되지 않은 메시지를 '평문'이라 하고 암호화된 메시지를 '암호문'이라 부른다. 가장 간단한 암호화 기법은 대치 암호이다. A, B, C 등의 알파벳 글자를 다른 글자로 변환하는 방식이다. [표] 대치 암호 예시 .. 2022. 4. 1.

권한 부여 (인가, Authorization) 제 2 절 권한 부여 (인가, Authorization) 정보시스템 및 중요정보에 대한 접근을 통제하기 위하여 공식적인 사용자 등록 및 해지 절차를 수립하고 업무 필요성에 따라 사용자 접근권한을 최소한으로 부여하여야 한다. [그림] 인증과 권한 부여 위 그림처럼 인증과 권한부여는 서로 다른 단계이다. 식별과 인증은 주체의 신원을 검증하는 행위로써 접근통제 절차의 첫 단계이며, 아이디/패스워드 등을 활용하여 인증하게 된다. 이후 인증이 성공하게 되면 사전에 정의된 접근통제 3요소(정책, 모델, 메커니즘)를 활용하여 주체에게 개체(리소스 또는 기능)에 액세스할 수 있는 권한을 부여하는 단계를 거치게 된다. [표] 접근통제 정책, 모델, 메커니즘 구분 유형 접근통제 정책 MAC, DAC, RBAC, ABAC .. 2022. 3. 27.

인증과 권한 부여 제１절 인증과 권한 부여 제１항 식별 (Identification) 식별(Identification)은 객체에 접근하려는 주체가 자신임을 확인시키는 단계로써 ID, RFID, 국제 휴대폰 식별정보 등의 정보를 제공하여 주체의 신원을 주장하게 되며 추후 책임추적성 분석에 중요한 자료가 된다. 시스템에서는 주체의 신원을 확인하기 위해 고유의 정보를 할당하게 되는데 일반적으로는 회원 가입 시에 각 주체가 신청하는 ID를 입력하고 중복 여부를 확인하는 과정을 통해 주체 별 고유한 식별정보를 할당하게 된다. 법률에서는 주민등록번호, 여권번호, 운전자번호, 외국인등록번호 등 개인마다 하나씩 부여된 개인정보를 ‘고유식별정보’라 하며 고유번호를 주로 신분증이라는 매체에 기록하여 오프라인에서 활용하지만 온라인에서는 고유.. 2022. 3. 27.

(ISMS-P) 개인정보처리자와 정보통신서비스 제공자 범위 (개보법) 개인정보의 오용·남용 및 유출등을 감독할 감독기구를 개인정보 보호위원회로 통합하고, 「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」과의 유사·중복 규정은「개인정보 보호법」으로 일원화하기 위해 개인정보 보호 관련 법령을 체계적으로 정비하였다. 개인정보보호법은 일반법으로서 모든 개인정보처리자와 정보주체와의 관계에 적용된다. 다만, 「신용정보법」에 따른 신용정보사업자와 신용정보주체와의 관계에 있어서 해당 법에 특 별한 규정이 있다면 그 규정을 따른다. 종래 정보통신서비스 제공자와 정보통신서비스 이용자 사이의 관계에서는「정보통신망법」에 특별한 규정이 있는 경우 해당 규정이 우선 적 용되었으나, 2020년 2월 4일의「개인정보 보호법」개정으로 「정보통신망법」의 개인정보보호와 관련된 규정은 「개인정보 보호법」.. 2022. 3. 21.

(ISMS-P) 주요 정보시스템 패치관리 미흡 (통제항목) 2.10.8 패치관리 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. (주요 보호 대책) -정보시스템 최신 패치 적용 -서비스 영향도 검토, 최신 패치 적용이 어려울 경우, 별도 보완대책 마련/이행 24시간 무중단으로 운영되는 시스템의 경우 패치 적용이 어려운 경우 (보호대책) 1) 가능하면 연 1회 정도는 중요한 패치를 적용 2) DR센터 또는 이중화 시스템을 구성한 후 재해복구훈련과 연계하여 센터 전환 후 주센터 장비 패치 3) 윈도우의 경우 '윈도우 7 ESU(Extended Security Updates) 서비스'와 같.. 2022. 3. 18.

(ISMS-P) 간편인증 사용 시 개인정보처리방침 내 고지 미흡 -다음과 같이 최근 홈페이지에서 ID/PW 외에 구글, 네이버, 카카오 등을 이용하여 회원인증 사례 다수 존재 -이러한 인증사례는 OAuth 서비스로써 구글, 네이버, 카카오 등에 존재하는 회원 정보를 이용하여 다른 홈페이지나 애플리케이션의 접근권한을 부여 (Authentication+Authorization) -3rd party 응용프로그램에 인증정보를 제공하고 싶지 않은 경우 활용 -OAuth 1.0은 유저(user), 컨슈머(consumer), 서비스 프로바이더(service provider)으로 구성되어 있으며 구현이 복잡하고 웹이 아닌 어플리케이션에서의 지원이 부족하거나 인증토큰(access token)이 만료되지 않는 등의 단점 존재 -OAuth 2.0은 OAuth 1.0을 개선하여 기능 단순.. 2022. 3. 18.

접근통제 메커니즘 제 5 절 접근통제 메커니즘 l 접근통제 행렬(Access Control Matrix) [그림] 접근 제어 행렬 접근통제 행렬은 위 그림과 같이 전체 주체와 전체 객체에 대한 권한 관계를 2차원 배열로 관리하는 구현 방법이다. 각 행은 각 주체를 나타내며 각 열은 각 객체를 나타낸다. 위 그림에서 root는 File1과 File2에 대해 읽기와 쓰기가 가능하지만 user1은 File1에는 읽기만 File2에는 읽기와 실행만 가능하다. 이처럼 주체와 객체를 알고 있으면 어떤 권한을 가지고 있는지 바로 알아낼 수 있지만, 주체의 수나 객체의 수가 많아지면 쓸데없이 사용되는 메모리 공간이 많아지는 단점을 가지고 있다. l ACL (Access Control List) [그림] ACL 개념도 가장 많이 사용하는.. 2022. 3. 18.

접근통제 모델 제 4 절 접근통제 모델 l Bell-LaPadula(BLP) Model 미 육군에서 근무하던 벨-라파듈라가 고안해낸 군사용 보안 정책으로써 MAC기법의 비밀 유출 방지 중심의 기밀성을 강조하는 모델이다. 허가된 비밀 정보에 허가되지 않은 방식의 접근을 금지하는 정보의 불법적인 유출을 막기위해 개발된 최초의 수학적 모델이다. Write Up/Read Down은 명시적으로 규제하지 않아 낮은 등급의 주체가 상위 등급의 객체를 보지 않은 상태에서 수정 가능하며 이 때문에 무결성 훼손이 발생할 수 있다. - 단순 보안 속성 (No Read Up) 보안 수준이 낮은 주체가 보안 수준이 높은 객체를 읽을 수 없다. - 스타 보안 속성 (No Write Down) 높은 레벨의 주체가 낮은 레벨의 보안 등급에 있는 .. 2022. 3. 18.

접근통제 정책 제 3 절 접근통제 정책 l 강제적 접근통제 (MAC) 규칙 기반의 접근통제 정책과 동일한 개념인 강제적 접근통제(MAC)는 사전에 정의된 보안등급과 보안레벨에 의하여 통제하는 기법이다. 객체에 대한 접근은 주체에게 부여된 보안등급(권한)과 객체에 부여된 보안레벨(허용등급)에 기반하며, 관리자가 주체의 자원에 대한 권한을 부여하기 때문에 군 또는 공공기관과 같이 강력한 보안이 필요한 곳에서 주로 사용한다. 정보시스템에서 주체가 객체에 접근할 때 양측의 보안등급을 비교하여 낮은 등급의 주체가 높은 등급의 객체에 접근할 수 없도록 통제하며 모든 주체와 객체에 등급을 설정해야 하므로 복잡하다. 대표적인 예로서 카페에서 회원의 등급별로 접근가능한 게시판을 통제하는 방법이다. 규칙 기반의 접근통제 정책은 MLP(.. 2022. 3. 18.

접근통제 절차 제 2 절 접근통제 절차 접근통제의 절차는 식별 및 인증(I&A), 인가(권한부여)로 이루어져 있다. [그림] 접근통제 절차 개념도 · 식별 단계는 시스템 등에 접근하려는 주체가 누구인지를 확인하는 단계이며, 사용자명, 계정번호, 메모리카드 등을 이용해 사용자의 책임추적성을 위한 정보로 활용한다. · 인증 단계는 주체의 신원을 확인하기 위해 증명하는 단계이며, 패스워드, PIN, 토큰, 스마트카드, 생체인증 등을 활용한다. · 인가(권한부여) 단계는 인증된 주체에게 접근을 허용하고 업무를 수행할 권리를 부여하는 단계이며, 허가 받은 일을 수행하기 위한 최소한의 권한만을 부여한다. 2022. 3. 18.

이전 1 2 3 4 5 6 ··· 14 다음

티스토리툴바