본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

정보보호490

통계 용어 정리 1. 모집단과 표본 - 모집단 : 관심을 가지고 있는 전체 집단 (만 19세 남자 키의 평균) - 표본 : 모집단(확률현상)의 일부분으로서 모집단에 대한 정보를 얻기 위해서 모집단으로부터 추출한 집단 (모집단에서 추출된 만 19세 남자 키의 평균) - 모수 : 모집단의 특성을 나타내는 수치(요약값) (모평균, 모표준편차, 모비율 등) - 모수치 : 모집단의 특성을 나타내는 결과치 - 통계량 : 추출된 표본에서 관찰될 값으로부터 구해질 특성치(요약값) (표본평균, 표본표준편차, 표본 최대값/최소값표본비율 등) - 통계치 : 추출된 표본에서 관찰된 값으로부터 계산되어진 결과치(표본평균, 표본표준 편차, 표본비율 등) - 추정 : 표본으로부터 모집단의 모수를 추정한 것 (모수값 예측) - 추정량 : 모수를 추.. 2022. 8. 26.

예측 방식 유형 비지도학습 군집화 세분화 요인분석 판별분석 연관성 분석 지지도 신뢰도 향상도 지도학습 회귀분석 상관분석 분산분석 분류식별분석 카이스퀘어 검증 기준 연속형 값 유형 값 사례 강수량, 매출액, 주가 반응/무반응, 증가/감소 정확도 평가 R Square, RMSE, MAPE 등 Accuracy, Precision, Recall Rate 장점 값의 크기가 중요한 경우 의미 분류한 기준이 의사결정 기준인 경우 단점 정확한 값 예측 어려움 분류 오류 가능 활용 제한된 분야에 활용 가능 다양한 분야에 활용 가능 제약조건 정규분포, 독립성 등 가정 조건 필요 가정 조건 불필요 빅데이터 분석 활용 높은 전문성 필요 낮은 전문성으로도 활용 가능 2022. 8. 24.

자동차 사이버 보안 표준 및 보안 기술 동향 1. 자동차 사이버 보안 가. 자동차 사이버 보안의 정의 -정보통신기술이 적용된 자동차의 다양한 취약점을 식별하고 관련된 위협으로부터 자동차를 보호하는 기술 나. 자동차 사이버 보안의 특징 -(Security), 기존 안전 외에 보안 이슈 추가 -(정보통신기술), 자동차에 다양한 정보통신기술 적용으로 인한 보안 취약점 식별 -(해킹 시연), 지프 체로크 해킹 시연을 통한 자동차 해킹 가능성 대두 -(차종 형식 승인), 형식 승인을 위해 CSMS 인증이 필요하며, 이를 위해서는 다음의 표준 준수 필요 2. 자동차 사이버 보안 표준 가. ISO/SAE 21434:2021 -자동차 사이버 보안에 대해 엔지니어링 관점에서 보안을 서술한 표준 구분 특징 설명 보호 대상 전기/전자 부품 -외부 위협 시나리오의 대상.. 2022. 8. 24.

(ISMS-P) 금융회사 관련 망분리 및 예외규정(재택근무) 현황 1. 규정 적용 대상 및 절차 가. 규정 적용 대상 -금융회사, 전자금융업자 나. 규정 적용 절차 1) 자체 위험성 평가 실시 2) [별표7] 망분리 대체 정보보호통제 적용 3) 정보보호위원회 승인 후 적용 2. 망분리 관련 규정 개념도 및 현황 가. 금융회사의 망분리 적용 관련 규정 개념도 나. 금융회사의 망분리 적용 관련 규정 현황 구분 법령 내용 기본 원칙 전자금융감독규정 제15조제1항 제3호 내부통신망과 연결된 내부 업무용 시스템(정보처리시스템, 단말기, 프린터 등)은 인터넷(무선 인터넷 포함) 등 외부통신망과 분리, 차단, 접속 금지 제5호 전산실 내에 위치한 정보처리시스템와 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기는 외부통신망과 물리적 분리 예외 전자금융감독규정시.. 2022. 8. 12.

블록체인 등 신기술을 활용한 개인정보 처리 쉬워진다 2022년 7월 12일 국무회의 에서 「개인정보 보호법 시행령」개정안 의결(7월 중 공포 예정) 가. 개정 목적 -산업계의 애로사항 해소 -블록체인 등 신기술 특성에 맞게 규제를 합리적으로 개선 -과징금 부과 시 경제상황 등을 고려하여 추가 감경과 면제 가능 요구 반영 나. 개정 내용 구분 특징 설명 신기술 분야 특성 고려 블록체인 등 신기술 분야 금융, 에너지, 헬스케어, 의료 등 규제샌드박스 실증특례 제도에서 블록체인 기술 기반 시험 검증 결과 반영 신기술 분야의 특성을 고려 하여 ‘개인을 알아볼 수 없는 정보로 처리하여 복원이 불가능하도록 조치’한 경우에도 개인정보를 파기한 것으로 허용 과징금 추가 감경 또는 면제 경제상황 피해배상 정도 부담 능력 등 과징금 산정 시 경제상황, 정보주체 배상 정도 .. 2022. 7. 14.

(ISMS-P) 결합 전문기관 및 데이터 전문기관 지정 현황 (22년 5월) 가. 결합(데이터) 전문기관 현황 나. 가명정보 결합 절차 ① 결합신청자의 결합신청(결합목적 설정, 결합키 정보 제공 등 기관협의, 결합 신청(결합선 택사항인 모의결합, 추출결합, 사전 결합률 확인 신청 포함)) ② 결합키관리기관의 결합키연계정보 생성 ③ 결합전문기관의 가명정보 결합 및 반출심사를 통한 반출 ④ 결합신청자의 반출정보 활용 및 관리 2022. 6. 29.

(ISMS-P) ISO/IEC 27559 프라이버시 강화 데이터 비식별화 프레임워크 표준 1. ISO/IEC 27559 표준의 개요 -비식별화된 데이터의 생명주기와 관련한 위험을 파악하고 완화하기 위한 프레임워크를 제공하기 위한 표준 2. ISO/IEC 27559의 개념도 및 구성요소 가. ISO/IEC 27559의 개념도(비식별화 거버넌스) -조직이 데이터를 비식별화할 경우 구성요소들을 모두 고려하여 적절히 반영해야 함 나. ISO/IEC 27559의 구성요소 -위협을 줄이고 운영맥락에 따라 데이터 수신자가 활용할 수 있는 데이터 유용성을 향상시키기 위해 데이터 환경에 관한 개인정보 보호 및 보안 관행을 개선할 수 있음 2022. 6. 29.

(ITFIND) 안전한 활용을 위한 개인정보 비식별화 동향 1. 개인정보 비식별화 제도 가. 가명 처리와 익명 처리의 정의 가명 처리 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것 익명 처리 시간, 비용, 기술 등 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없도록 처리하는 것 -가명 또는 익명 처리를 총칭해서 비식별화라 부름 나. 개인정보 비식별화 관련 법령 2. 가명 정보 처리 가이드라인 개정사항(22년 4월) 가. 가명 처리 절차 나. 가명 정보 결합 및 반출에 관한 고시 반영 사항 2022. 6. 29.

(ITFIND) 비대면 시대의 네트워크 보안기술 : 보안 서비스 엣지 1. 보안 서비스 엣지의 개요 가. 보안 서비스 엣지의 정의 -사용자가 사용자 근처의 클라우드 엣지에 접속한 후 해당 엣지에서 보안 정책의 집행을 통합, 수행하는 기법 나. 보안 서비스 엣지의 필요성 -코로나로 인한 디지털 전환 요구 증가 -사회적 거리두기에 따라 비대면, 비접촉 방식의 디지털 기반 비대면 서비스 활성화 -데이터 수집, 축적, 활요에 대한 수요 동반 확대 -클라우드, AI 등 ICT 기술 성장 추세 -원격근무, 하이브리드 근무 등 근무형태의 변화 가속화로 인해 경계보안의 한계 극복 필요 2. 보안 서비스 엣지의 개념도 및 구성도 가. 보안 서비스 엣지의 개념도 -허용된 외부기기에서 인증된 사용자만 내부로 접근을 허용하더라도 접속기기의 보안 취약점으로 인해 침입 가능성 존재 -경계 보안 메.. 2022. 6. 22.

공급망 공격의 동향 및 대응방안 (주기동 2049호) 1. 공급망 공격의 동향 및 유형 가. 공급망 공격의 동향 - 2020년 이후 솔라윈즈, 콜리니얼 파이프라인, 카세야, MS Exchange Server 사태 등 공급망 공격 사건 다수 발생 - 정부기관부터 민간기업까지 - 지적재산 유출 및 인적 피해 발생 - 공급망의 피해 시 2차 피해 발생 우려 과거 - 하드웨어 기반의 공급망 공격이 주목 - 공급망 과정에 침투하여 위변조된 모듈을 삽입하여야 하기 때문에 완제품 상에서 비정상 기능 수행 탐지가 어려지만 공급망에 접근하기가 어렵고 위변조된 모듈을 삽입하기가 용이하지 않다는 이유로 공격시도가 낮은 편이였음 현재 - 4차 산업혁명과 디지털 전환에 영향으로 소프트웨어 기반의 공격망 공격이 주목 - SDLC에 침투해 정보탈취 및 시스템 제어 등 악의적인 기능을.. 2022. 6. 9.

내부자 위협 1. 내부자 위협 시각화 - 정당한 접근 권한을 가진 악의적인 내부자의 행위는 위반행위로 여겨지지 않기 때문에 보안시스템 모니터링에 로깅되지 않음 - 내부자 범죄의 종류 : 정보 탈취, 부정 행위, 파괴 행위 - 주로 애플리케이션 로그 등을 통해 파악 가능 - 기존의 통계적 기법이나 결정론적 방법을 이용해 내부자 위협을 분석 증명하기 위해 시각화 활용 - 정적인 패턴을 통해 탐지할 경우 부정 행위자는 쉽게 적응하게 되므로 시각화를 이용해 패턴을 찾아낼 수 있음 2. 내부자 범죄 행위 가. 정보 탈취 - 디지털 정보는 복사가 용이하기 때문에 몰래 유출이 용이하며 탐지가 어렵다. - DLP 등에서 생성되는 로그를 이용하여 탐지 나. 부정 행위 - 로그 파일 또는 감사 증적을 이용해 파악할 수 있는 부정 행위.. 2022. 6. 7.

경계 침입 네트워크 경계를 방어하는 자료 분석 1. 트래픽 흐름 모니터링 및 분석 1) 각 서비스와 장비들의 통신 이해 (종종 예외 상황 찾기 가능) - 서비스와 프로토콜의 특성에 따른 핑거프린트 정보 데이터베이스화 (HTTP, NTP, SYSLOG 등) - '스파이크 라인'을 이용해 시계열 분석 가능 (x축을 시간, y축을 특정 시간에 전달된 패킷의 수) 시간의 변화에 따른 특이점 발견 가능, 다른 스파이크 라인과 비교 가능, 비정상 행위 발견 가능 (신뢰구간 활용) 2) 서비스 이상 행위 발견 - 트리 맵으로 자주 사용하지 않는 서비스 파악 가능 - 링크 그래프를 이용하여 상당한 양의 트래픽을 만들어 내는 웜 탐지 가능 시각화의 기본은 시각적인 결과물을 통해 분석을 효과적으로 하기 위한 휴리스틱 기법을 찾는 것.. 2022. 6. 7.

컴플라이언스 1. 컴플라이언스의 구성요소 -컴플라이언스를 위한 구성요소는 '목표', '통제방안', '정책', '절차'이다. -규범과 프레임워크는 통제 목표를 정의 -통제 목표를 달성하기 위해 통제 방법을 정의 -통제 방안은 보안 목표와 통제 목표가 달성하기 위해 어떻게 이행할 것인지를 다룬다. -통제 방안을 준수, 갱신, 모니터링하기 위해 정책과 절차, 모니터링 방법(실시간, 주기적인)을 정의 2. 규제 및 준수사항 -회사는 통제된 상황에서 업무 수행 -산업 군마다 규제와 요구조건이 있고 그 산업에서 사업을 하기 위해서 충족해야 하는 규제 또는 요구조건이 존재 (PCIDSS, 바젤 2 등) -산업 군마다 규제 내용, 범위, 세부사항이 다양함 3. IT 통제 프레임워크 -이미 만들어진 권고사항(프레임워크)을 활용하여 .. 2022. 6. 7.

제１항 개인정보 영향평가 제１항 개인정보 영향평가 개인정보 영향평가(PIA)는 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보처리시스템의 중대한 변경이 있는 경우 시스템의 구축, 운영, 변경 등이 개인정보에 미치는 영향을 사전에 조사, 예측, 검토하여 개선방안을 도출하는 기법 또는 제도이다. 영향평가는 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기 위한 목적의 제도이며 평가 대상은 일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축, 운영 또는 변경하려는 공공기관이 개인정보보호법 제33조 및 개인정보보호법 시행령 제35조에 근거하여 영향평가를 수행해야 한다. [표] 개인정보.. 2022. 5. 30.

메타버스 플랫폼 동향 플랫폼 특징 설명 마인크래프트 3차원 롤플레잉 게임 엔터테인먼트 -2009년 모장(Mojang) 스튜디오에서 처음 발매한 게임 -대부분의 게임이 어느 정 도의 목적과 스토리를 제공하는 것에 비해 마인크래프트는 정말 아무것도 제공하지 않는 그야말로 ‘무’에서 시작 로블록스 3차원 롤플레잉 게임 엔터테인먼트 -마인크래프트보다 더 오래된 2006년에 출시된 서비스 -레고와 비슷하게 생긴 플레이어를 여러 가지 아이템으로 꾸밀 수 있음 제페토 3차원 롤플레잉 게임 엔터테인먼트 -제페토는 스노우(SNOW) 주식회사에서 2018년 출시한 서비스 -자신의 취향대로 캐릭터 의 성별, 생김새, 의상 등을 꾸밀 수 있음 -유명 해외브랜드와의 제휴를 통해 의상을 가상으로 착용한다던가 인기 연예인들의 팬미팅을 수행함으로써 많은.. 2022. 5. 12.

정보보호 공시 적용 대상 및 절차 1. 정보보호 공시 적용 대상 가. 자율 공시 -정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자 (정보보호산업법 제13조제1항) ※ 정보통신 서비스(유·무선통신 서비스, 방송 서비스 등), 쇼핑몰, 포털, 인터넷 뱅킹 등 인터넷을 통해 사업 활동을 하는 영리, 비영리 업체 모두 포함 나. 의무 공시 -사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자 (정보보호산업법 제13조제2항) 사업분야 회선설비 보유 기간통신사업자(ISP) ※ 「전기통신사업법」 제6조제1항 집적정보통신시설 사업자(IDC) ※ 「정보통신망법」 제46조 상급종합병원 ※ 「의료법」 제3조의4 클라우드컴퓨팅 서비스제공자 ※ 「클라우드컴퓨팅법」 시행령 제3조제1호 매출액 정보보호 최고.. 2022. 5. 6.

메타버스 1. 메타버스의 개요 가. 메타버스의 정의 -사용자에게 현실감을 제공하는 체화된 인터넷 나. 메타버스의 특징 -(가상환경), 인터넷 및 확장현실(XR)을 통한 물리적 환경과 디지털이 혼합 -(현실감), 사용자에게 현실과 유사한 경험을 제공 -(아바타), 움직이는 3D 아바타로 사용자 감정과 못짓을 재현 -(상호운용성), 사용자가 소유한 디지털 콘텐츠는 플랫폼에 국한되지 않고 메타버스의 다양한 플랫폼에서 공유, 유지 -(개인정보 보호와 안전), 기존 인터넷과 다른 개인정보 보안 기술 요구 -(인터페이스), 사용자 몰입을 극대화할 수 있는 인터페이스 사용 2. 메타버스의 개념도 및 구성요소 가. 메타버스의 개념도 구분 내적요소 외적요소 증강 라이프 로깅 증강 현실 시뮬레이션 가상 현실 미러 월드 나. 메타버.. 2022. 5. 4.

제2항 정보보호 정책, 표준, 지침 제2항 정보보호 정책, 표준, 지침 정보보호 정책은 정보보호 활동의 목적, 전략, 목표를 설정하고 책임과 권한을 부여하기 위한 최고 경영진의 의사표현이다. 기업의 전략, 목표를 달성하기 위해 구체적인 정책이 필요하며 정책이 없다면 조직 및 기업은 개인 판단 기준에 의존하여 수행하게 된다. 통제 목표를 달성하기 위해 조직 및 기업은 통제 방법을 만들어야 한다. 이런 통제 방법은 통제 목표를 달성하기 위해 세부적으로 어떻게 이행해야 하는지를 다룬다. 통제 방법이 잘 준수될 수 있도록 그리고 효과적인 모니터링을 하기 위해 정책과 절차가 만들어져야 한다. 조직 및 기업에 관련된 비즈니스 활동 수행을 위한 목표 달성을 위해 관련된 법률을 준수하면서 중요 정보자산을 보호하기 위한 목표를 설정하고, 책임과 권한을 부.. 2022. 5. 2.

이전 1 2 3 4 5 6 7 8 ··· 28 다음

티스토리툴바