[최신 정보보호 법규 및 고시, 지침] 리스트 및 링크

    정보보호 관련 법규 및 기준, 지침 리스트를 일부 업데이트하였습니다.   빠진 자료들이 있거나  오래된 자료가 있다면 알려주시면 업데이트 하도록 하겠습니다.  참고가 되셨으면 좋겠네요.

이번주에 KISA에서 주관하는 개인정보영향평가(PiA) 교육에 참가하면서 정보보호 관련 법규 및 지침의 최신링크를 확인해보았습니다.  자료는 국가법령정보센터와 행정안전부, KISA의 자료를 우선으로 하였습니다.

 

■  정보보호 관련 법규

정통망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률), 시행령, 시행규칙
└ 정통망법 최신버전 ( 시행 2017.7.26. ) <<보기>>
└ 정통망법 위임법령 3단비교  <<보기>>

정보통신기반 보호법, 시행령, 시행규칙 <<보기>>

■  정보보호 관련 기준, 지침, 규정, 해설서 리스트   

– 개인정보의 기술적 관리적 보호조치 기준 : 정통망법 관련 (시행 2013.2.18)  <<보기>>
└ 개인정보의 기술적 관리적 보호조치 기준 해설서 (2012-09-24)  <<보기>>

– 정보보호조치에 관한 지침_전부개정(고시 제2013-3호) (2013-01-17) <<보기>>
– 정보보호 관리체계 인증 등에 관한 고시_전부개정(고시 제2013-4호) (2013-01-18) <<보기>>
– 정보보호 사전점검에 관한 고시_제정(고시 제2013-5호)  (2013-01-17) <<보기>>

– 정보보호 관리체계(ISMS) 인증 제도 안내서 (2017.04 )  <<보기>>

 

■  개인정보보호 관련 법규 리스트 

개인정보보호 법, 시행령, 시행규칙
└ 개인정보보호법 최신버전 ( 시행 2017.10.19. ) <<보기 >>
└ 개인정보보호법 위임법령 3단비교 << 보기 >>  

– 위치정보의 보호 및 이용 등에 관한 법률 (시행 2017.7.26)  <<보기>>

■  개인정보보호 관련 기준, 지침, 규정, 해설서 리스트

– 개인정보의 안전성 확보조치 기준: 개인정보보호법 관련(  시행 2017.7.26. )  <<보기>>
└ 개인정보의 안전성 확보조치 기준 고시 및 해설서 (2015-02-17)   <<보기>>

– 개인정보영향평가에관한고시: 개인정보보호법 관련 (시행 2017.9.25)    <<보기>>  
└ 개인정보영향평가 고시 및 해설서  <<보기>>
└ 개인정보영향평가 수행안내서 (2016-04)  <<보기>>

– 개인정보 위험도 분석 기준 및 해설서 (2016-09-22)  <<보기>>

– 표준 개인정보 보호지침  (2011-09-30)  <<보기>>
– 안전행정부 개인정보보호 지침 (2013-03-25)   <<보기>>

– 정보통신서비스 제공자를 위한 개인정보보호 법령 해설서 <<보기>>

■  금융 관련 기준, 지침, 규정, 해설서 리스트

– 전자금융거래법, 시행령,  <<보기>>  
<<전자금융거래법 3단 비교>>
– 신용정보의 이용 및 보호에 관한 법률, 시행령, 시행규칙 <<보기>>

– 전자금융감독규정 <<보기>>
– 전자금융감독규정 해설서 <<보기>>

■  기타 정보보호 관련 법규 리스트 

– 부정경쟁방지 및 영업비밀보호에 관한 법률, 시행령  <<보기>>
– 산업기술의 유출방지 및 보호에 관한 법률  <<보기>>

– 전자서명법, 시행령, 시행규칙 <<보기>>
– 통신비밀보호법, 시행령 <<보기>>
– 저작권법, 시행령, 시행규칙 <<보기>>

– 클라우드컴퓨팅 주요법령 해설서 <<보기>>

개인정보보호법의 운영체계

개인정보보호법의 일원화된 운용을 위해 공공/민간분야의 운용체계를 아래와 같이 일원화하여 운영하고 있다.

보호위원회(심의/의결) – 행정안전부(총괄 집행) – 부처(소관 집행)

※ 예외적 적용사항
헌법기관(국회/법원/헌재/선관위):기본계획 및 시행계획의 수립시행 권한
방통위, 과학기술정보통신부: 정보통신분야에서의 개인정보보호관련 집행
– 금감위:  금융/신용 분야의 개인정보보호관련 집행

1. 개인정보위원회

법이 정하는 개인정보보호에 관한 사항을 심의/의결하기 위하여 대통령소속으로 설립된 독립적인 감독기구 (개인정보보호 7조)

주요업무:  (컨트롤타워 역할)
– 기본/시행계획의 심의/의결,
– 개인정보보호관련 정책, 제도개선, 권고등에 대한 심의/의결
– 오남용 감시
– 이행실태 조사
– 공공기관 간의 의견 조정
– 법령해석/운용에 대한 심의/의결
– 연차보고서의 작성/제출
– 영향평가결과에 대한 의견제시
– 개선방안 연구
– 개인정보침해요인평가 기본계획 수립/자료제출, 진술요구권한
– 분쟁조정위원회의 위원 임명권한
– 3년마다 개인정보 보호 기본계획을 관계 중앙행정기관장과 협의하여 수립

2. 행정안전부

행정안전부는 공공기관과 민간분야의 개인정보를 총괄 집행한다.
– 개인정보관리수준 및 실태파악을 위한 조사를 실시할 수 있다

주요업무:  (총괄집행)
– 표준 개인정보보호지침 제정
– 개인정보처리방침 작성 지침의 제정/권고
– 개인정보열람창구 구축/운영
– 개인정보유출신고제도 운영
– 개인정보파일 등록 접수 및 현황 공개
– 자율규재 촉진 및 지원시책
– 개인정보영향평가 관리/운영
– 법 위반 행위 조사 및 시정권고 및 명령, 과태료 부과

3. 개인정보 분쟁조정 위원회

개인정보보호위원회의 산하에 있으며 개인정보침해와 관련된 분쟁을 당사자 사이의 합리적이고 신속하게 해결하기 위한 기구로 심의를 통하여 손해배상을 결정하며 개인정보피해예방 활동, 법제도 개선 건의, 시정권고등을 통해 국민의 권리 보호 및 건전한 개인정보보호 이용환경 구축 등의 업무를 담당한다.

4. 개인정보 침해신고 센터

개인정보침해와 관련된 신고접수와 상담을 수행하고 신고된 개인정보처리자의 법률위반 여부를 조사하여 후속조치 지원하고있다.

OECD 프라이버시 8원칙과 개인정보보호법 비교

OECD 프라이버시 8원칙 개인정보보호법  제3조 (개인정보보호원칙)
 1원칙 : 수집제한의 원칙
개인정보의 수집은 적법하고 정당한 절차에 의해 정보주체의 인지나 동의를 얻은 후 수집되어야 한다.
 – 목적에 필요한 최소정보의 수집(제1항)
개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
 – 사생활 침해를 최소화하는 방법으로 처리(제6항)
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
 – 익명처리의 원칙(제7항)
⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
 2원칙 : 정보 정확성의 원칙
개인정보는 그 이용목적에 부합되는 것이어야 하며 이용목적에 필요한 범위내에서 정확하고 완전하며 최신의 상태를 유지해야 한다.
 – 처리목적 내에서 정확성, 완전성, 최신성 보장(제3항)
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
 3원칙 : 목적 명확화의 원칙
개인정보의 수집목적은 수집시에 특정되어 있어야 하며 그 후의 이용은 구체회된 목적달성 또는 수집목적과 부합해야 한다.
 – 처리목적의 명확화(제1항)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다
 4원칙 : 이용제한의 원칙
개인정보는 특정된 목적 이외의 다른 목적을 위하여 공개,이용,제공될 수 없다
 – 목적 범위 내에서 적법하게 처리 및 목적외 활용금지 (제2항)
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
 5원칙 : 안전성 확보의 원칙
개인정보는 분실 또는 불법적인 접근,파괴,사용,위조변조,공개 위험에 대비하여 적절한 안전조치에 의해 보호되어야 한다.
 – 권리침해 가능성 등을 고려하여 안전하게 관리(제4항)
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
 6원칙 : 처리방침의 공개 원칙
정보주체가 제공한 개인정보가 어떠한 용도와 방식으로 이용되고 있으며 개인정보보호를 위하여 어떠한 조치를 취하고 있는지를 공개하여야 하며 정보주체가 자신의 정보에 대하여 쉽게 확인할 수 있어야 한다
 – 개인정보 처리방침 등 공개(제5항)
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
 7원칙 : 정보주체 참여의 원칙
정보주체가 제공한 개인정보를 열람,정정,삭제를 요구할 수 있는 절차를 마련해야 한다
 – 열람청구권 등 정보주체의 권리보장(제5항)
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
 8원칙 : 책임의 원칙
정보관리자는 위의 제 원칙이 지켜지도록 필요한 제반조치를 취해야할 책임이 있다
 – 개인정보처리자의 책임준수․신뢰확보 노력(제8항)
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

개인정보영향평가의 개요 및 의무화 대상

■ 개인정보영향평가의 개요

○ 목적:  평가 대상 시스템 활용에 따른 잠재적 위험을 평가하여 개인정보  침해에 따른 피해를 줄일 수  있는지를 미리 검토·반영하여 개인정보보호
○ 대상: 공공기관: 의무, 민간기구: 자율 (권고)
○ 시기: 대상기관이 대상시스템을 구축, 운영 또는 변경하거나 연계하려는 경우
○ 근거:: 개인정보보호법 제33조

 ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.  
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
③ 행정안전부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의ㆍ의결을 거쳐 의견을 제시할 수 있다. 
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑤ 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다. 
⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙대법원규칙헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.

※ 개인정보영향평가를 반드시 받아야 하는 대상은 공공기관이다.   공공기관의 범위는 법에서 아래와 같이 정의되어있다.

■ 공공기관의 범위(법 제2조제6호)

• 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령
소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
• 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
1. 「국가인권위원회법」 제3조에 따른 국가인권위원회
2. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
3. 「지방공기업법」에 따른 지방공사 및 지방공단
4. 특별법에 의하여 설립된 특수법인
5. 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교

■ 개인정보 영향평가 대상

공공부문의 경우, 전자정부 추진으로 개인정보를 대량으로 시스템화하여 상호연동하는 등, 개인정보 침해우려가 높으므로 행정정보 공유 및 전자정부 추진사업의 신뢰성을 제고하기 위하여 영향평가를 의무화하고 있으며 개인정보보호법 시행령에서 다음 각 호에 해당하는 개인정보파일에 대하여 영향평가를 하도록 의무화하고 있다.

  제33조제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다.  
1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4.  제33조제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

■ 개인정보 영향평가 시 고려사항

  제33조제2항제4호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다.
1. 민감정보 또는 고유식별정보의 처리 여부
2. 개인정보 보유기간

■ 개인정보 영향평가 시 평가기준

 개인정보보호법 시행령 제38조(영향평가의 평가기준 등)
①  제33조제6항에 따른 영향평가의 평가기준은 다음 각 호와 같다.   
1. 해당 개인정보파일에 포함되는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
2.  제24조제3항제25조제6항 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
3. 개인정보 침해의 위험요인별 조치 여부
4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항

 

KISA, IoT 기기 보안취약점 신고기간 운영(2016.11월)

원문:  http://www.datanet.co.kr/news/articleView.html?idxno=105247
지난 달 미국에서 미국에서 IP카메라, DVR, 온도조절장치 등 악성코드에 감염된 IoT 장비로 인해 웹호스팅업체 딘(Dyn)이 DDoS 공격을 받아 트위터, CNN, 뉴욕타임즈 등 다수 웹사이트가 장시간 접속장애를 겪은 바 있다.

이러한 사고를 막기 위해 한국인터넷진흥원(KISA)과 미래창조과학부는 사물인터넷(IoT) 보안 취약점을 악용한 공격 사전 예방을 위해 ‘IoT 취약점 집중 신고 기간’을 11월 동안 운영한다고 밝혔다.

‘SW 신규 취약점 신고포상제’ 일환으로 추진되는 ‘IoT 취약점 집중 신고 기간’의 신고대상은 IP카메라, 공유기, 스마트 콘트롤러 등 IoT 기기와 IoT용 스마트폰 앱 관련 취약점이다. 그 중 최신 버전의 펌웨어에 영향을 줄 수 있는 신규 보안 취약점을 평가하여 우수 신고 사례에 대해 30만원에서 500만원까지의 포상금을 지급한다. 한국인터넷진흥원은 제조사에 신고된 보안 취약점 조치를 요청할 계획이다.

한편 한국인터넷진흥원은 IoT 기기를 이용한 침해사고 예방을 위해 IoT 정보보호 해커톤 개최, IoT 실증성 관련 보안성 점검을 추진하고 있으며, 오는 12월엔 IP 카메라, 홈컨트롤러, 도어락 등 IoT 기기에 대한 보안가이드도 발표할 예정이다.

이동연 한국인터넷진흥원 취약점분석팀장은 “침해사고 예방을 위해 보안 취약점 신고 뿐만 아니라 비밀번호 설정, 펌웨어 업데이트 등 이용자들의 협조도 필요하다”라고 당부했다.

보안의 향후 중요 키워드는 ‘보안 자동화’

원문참조:
http://www.datanet.co.kr/news/articleView.html?idxno=106163

 

파이어아이는 독자 개발한 가상화 기술을 기반으로 한 지능형 샌드박스 엔진 ‘MVX’를 이용해 알려지지 않은 악성코드를 탐지한다는 개념으로 APT 방어 시장을 개척해왔으며, 지난해부터는 자회사 맨디언트를 통해 ‘침해 탐지 및 대응’ 전략을 주장하면서 보안업계 전략을 선제방어에서 ‘공격 중 탐지 대응’으로 돌려놨다.

파이어아이의 다음 전략은 ‘보안 자동화’이다. 수많은 보안 시스템을 갖추고 있음에도 불구하고 기업/기관이 보안 사고에 연이어 당하는 이유는 개별 보안 시스템이 감지하는 이벤트의 상관관계를 분석하지 못해 보안에 대한 전반적인 가시성을 확보하지 못하고 있다는 사실을 강조하면서, 각각의 이벤트를 연관분석하고 대응 우선순위를 알리는 한편, 자동으로 대응할 수 있는 방법을 찾아내야 한다는 주장이다.

에릭 호(Er ic Hoh) 파이어아이 APJ 총괄 사장은 “기업/기관이 현재 직면하고 있는 문제는 보안 솔루션이 부족하다는 것이 아니라, 많은 보안 솔루션이 발생시키는 이벤트를 파악하지 못한다는 사실”이라며 “모든 방어·대응 프로세스를 자동화해 대응에 대한 우선순위를 정하고, 적절하게 대응하는 것이 시급하다”고 말했다.

보안 이벤트를 효율적으로 관리하기 위한 SIEM이 사용되고 있지만, SIEM에서 발생시키는 이벤트 조차 너무 많아서 적절하게 대응하기 어려운 상황이다. 한정된 보안 인력으로 대량의 이벤트를 처리하는 것은 한계가 있기 때문에 발견된 위협조차 제대로 관리하지 못한다.

파이어아이는 보안 이벤트에 대한 연관관계를 분석하고 확인하는 한편, 대응 프로세스를 자동화해 사람의 개입을 최소화한다. 예를 들어 방화벽·안티바이러스 등의 보안 시스템에서 차단된 공격이라면 이미 대응 체계가 완료됐으므로 대응 우선순위를 낮춘다. 차단하지 않은 의심스러운 이벤트 중 위협 인텔리전스와 비교해 높은 순위의 위협이라면 즉시 대응할 수 있도록 자동화된 체계에 돌입하도록 한다.

에릭 호 사장은 “보안 자동화를 통해 보안 조직이 실제 유효한 공격에만 대응하도록 해 보안조직의 인력 운영을 효율화하며, 조직이 놓치는 위협을 줄여 리스크를 크게 낮출 수 있다”고 설명했다.

한국 타깃 공격, 아태 평균 1.8배

이어 에릭 호 사장은 파이어아이 고객을 대상으로 조사한 결과를 소개하면서 “한국 고객의 43.5%가 1년간 사이버 공격을 받은 것으로 조사됐으며, 아시아태평양 지역 전체 평균 24.3%의 1.8배에 이른다”며 “특히 내년에는 대선이 치러질 예정으로, 정치적인 목적을 가진 사이버 공격이 크게 늘 것으로 본다. 한국의 사이버 보안 위협은 매우 높은 편”이라고 지적했다.

그는 지난해 미국과 중국이 체결한 사이버 보안 협정에 따라, 미-중 두 국가간 발생했던 사이버 공격은 크게 줄어든 반면, 아시아를 대상으로 진행되는 공격이 크게 늘어났다는 사실을 강조했다. 그러면서 한국을 타깃으로 한 공격이 증가할 것이라는 점을 역설하고, 공격을 빠르게 탐지·대응할 수 있는 방안을 마련할 것과, 위협 인텔리전스 활용, 위협에 대한 공동대응이 필요하다고 강조했다.

2017년 IoT·ICS 타깃 공격 증가할 것

한편 파이어아이는 내년 사이버 보안 트렌드를 발표하면서, 아태지역을 타깃으로 한 공격이 증가할 것이며, IoT와 주요 인프라, 산업제어 시스템에 대한 공격도 증가할 것이라고 밝혔다.

◆아태 지역 타깃 공격 지속적으로 증가 전망= 올해 아태지역 SWIFT 사용 금융 기관을 노린 사이버 공격에 이어, 내년에도 아태지역 금융 시스템들이 집중적으로 사이버 공격의 타깃이 될 것이다. 여전히 구식 ATM 소프트웨어와 윈도우 XP를 사용하고 있는 개발도상국의 ATM들은 보안이 취약하기 때문이다.

뿐만 아니라 아태지역에서 떠오르고 있는 신흥 시장과 기업들은 쉽게 부당 이익을 취하고자 하는 사이버 공격자들에게 좋은 타깃이 될 것이다. 성숙 단계로 이동 중인 비즈니스와 기업들은 침해에 취약한 상태인 경우가 대부분이기 때문이다.

◆2017년 보안 투자 집중 분야= 2017년에는 기업들이 오케스트레이션과 자동화에 상당한 투자를 할 것으로 보인다. 지난 몇 년간 기업들은 무수한 보안 경보 조치를 처리하기 위해 많은 인력을 투입했으며, 함께 연동하기 어려운 서로 다른 보안 기술과 인프라들을 운영하기 위해 상당한 비용을 지출했다. 따라서 2017년 기업들은 통합으로 눈을 돌릴 것이다.

다양한 보안 니즈에 대한 통합적인 시각은 기업의 보안 태세를 획기적으로 향상시켜 주고 기업들이 보유한 모든 보안 제품이 진정한 가치를 발휘할 수 있도록 할 것이다. 파이어아이는 올해 초 인보타스(Invotas)를 인수하며 보안 오케스트레이션을 적극적으로 지원하고 있다.

업계에서 많은 기업들이 겪고 있는 리소스 부족을 고려하면, 2017년 자동화가 주요 트렌드로 떠오를 가능성이 높다. 전문인력 부족난이 지속되면서, 사이버 보안업계에는 자동화 형태로 혁신이 이루어질 것이다. 따라서 최소한의 인력 개입으로 공격에 대응할 수 있는 보안 솔루션의 도입이 확대될 것으로 예상된다.

파이어아이는 보안 절차를 자동화하고 보안 운영 과정에서 인텔리전스를 적용함으로써 고객들이 심각한 리소스 부족 문제를 해결할 수 있도록 지원할 계획이다. 보안 오케스트레이션 역량은 기업들이 보안 경보에서 위협 차단까지 불과 수 분 이내로 가능하게 해 줄 것이다.

◆정부 주도 활동 유형 증가= 아태지역의 위협 활동들은 대부분 중국에서 기인하며, 특히 주요 무역 파트너국, 접경국, 그리고 중국에게 정치 또는 경제적으로 위협으로 되는 국가들을 대상으로 발생한다. 2017년에도 변하지 않는 점은 중국이 핵심적인 정치적 목표를 달성하기 위해 미국을 비롯하여 일본, 호주, 한국과 같은 국가들을 대상으로 사이버 작전을 지속적으로 수행할 것이라는 것이다.

한편, 한국은 중국 이외에도 북한의 사이버 공격의 지속적인 표적이 되고 있다. 북한의 공격자들은 금융 사이버 범죄에 대해 더 많은 것을 학습하고 있으며, 이를 핵무기 보유와 관련된 국제적인 제재 조치로 인한 경제적 손실을 보상하기 위한 이익 창출 도구로 사용할 수 있다.

러시아의 미국 민주당 해킹 사건은 2017년 아태지역에서의 정부 주도 사이버 위협 활동에 영향을 미칠 수 있다. 러시아 기반 공격 조직인 APT28과 APT29는 미국 민주당과 다른 정치 조직을 침해하여 정보를 유출했으며, 이를 통해 러시아 정부는 단순히 네트워크 침해 성공을 넘어서는 성과를 달성했다.

적극적인 정보전을 통해 러시아가 미국과의 알력다툼을 동유렵 침략 혹은 시리아 전투와 같은 물리적인 대치뿐 아니라 사이버 전을 통해 지속할 것이라는 의지를 전 세계에 보여주는 효과적인 방법이었다.

러시아의 성공으로 이제 또 다른 국가가 사이버 전에 뛰어들 것이며 그들의 타깃을 공격하기 위해 비슷한 전략을 사용할 것이라고 예측할 수 있다. 이는 정교한 사이버 역량을 갖춘 국가가 미국에 비교할 때 미약한 사이버 보안과 반스파이 활동 역량을 가진 신흥 경제국을 공격할 때 더욱 위력적일 것이다.

◆2017년 예상 밖의 타깃이 될 분야= 많은 종교기관들은 개인정보와 같은 중요한 데이터를 보유하고 있음에도 불구하고 견고한 사이버 보안을 갖추고 있지 않기 때문에 APT공격자들의 주요 타깃이 될 것이다. 특히, 서방 국가의 종교기관들이 위험에 노출되어 있다. 이들을 노리는 정부 주도의 공격자들이 존재하는 반면, 대부분의 경우 서방 국가에 있는 종교기관들을 사이버 산업 스파이 행위의 대상이 될 것이라 예상치 못하기 때문이다.

◆사물인터넷과 사이버 물리시스템을 이용한 공격= 2017년에는 발전소 등의 핵심 인프라와 가전제품 등의 소비자 기기에 포함된 사이버 물리시스템을 겨냥하는 국가 주도 공격이 더 늘어날 것으로 예상된다. 정부 기능을 마비시키고, 공포를 조장하며, 물리적인 시스템을 인질로 잡아, 이를 정치적 협상 카드로 이용하는 것이다.

이 같은 공격 수단으로서 랜섬웨어와 ‘서비스로서의 소프트웨어(SaaS)’ 프랜차이즈 비즈니스 모델의 조합은 수익성이 높은 옵션이 될 것이다. 이는 또한 선비용을 감소시키고 많은 비용이 드는 인프라 설치를 피할 수 있어 범죄자들의 진입 장벽을 낮춰줄 것이다.

한편 사물인터넷의 증가로 인해 제대로 모니터링 또는 보안이 되지 않는 많은 기기가 등장했으며 이들은 사이버 공격 쉽게 악용될 수 있다. 이러한 사물인터넷 장치들에 대한 악용사례는 분산형 서비스 거부(DDoS) 공격 감행, 홉지점 명령 및 제어로의 사용, 네트워크 인증정보 탈취 또는 원격 엑세스 트로이 목마(RAT) 악성코드 배포 등으로 다양하다.

◆산업 제어 시스템에 대한 공격= 파이어아이의 최근 보고서에 따르면, 2017년에도 사이버 공격자들은 지속적으로 이러한 핵심 시스템들에 타깃 할 것이라고 전망했다. 대부분의 국가들은 정부의 기반 서비스, 공공 에너지 및 상업 시스템 등을 산업제어시스템(ICS)에 상당 부분 의존한다. 그러나 이러한 시스템들은 제대로 보호되고 있지 않거나 보안 패치가 되지 않은 경우가 대부분이다.

실제로 파이어아이 조사에 따르면 30% 이상의 식별된 ICS 취약점에 대한 보안 패치가 존재하지 않았다. 특히, 자원과 산업 분야에 크게 의존하는 국가들은 특히 추가적인 위험이 존재한다. ICS는 해당 분야의 운영에 핵심적인 역할을 수행하고 있기 때문입니다. 2015년 말 우크라이나의 발전소에서 발생한 사이버 공격은 ICS 공격으로 어떠한 피해가 발생할 수 있는지를 보여주는 일례일 뿐이다.

◆악용될 악성코드 및 기업들의 대응= 랜섬웨어는 상대적으로 비용이 적게 들고 수익성이 높아 지속적으로 공격에 이용되고 있다. 2017년에도 랜섬웨어 공격은 지속될 것으로 예상되지만, 사법 당국이 랜섬웨어 인프라를 폐쇄하고 범죄자들을 추적하면서 일부 공격 조직들은 타격을 입었다. 또한, 기업들이 점점 랜섬웨어의 위협에 대해 인지하기 시작하면서 이를 대비하기 위해 데이터를 백업을 하고 보안 테스트를 시행하고 있다.

그러나 아직까지 랜섬웨어 피해 사례는 계속해서 늘어나고 있으며, 실제로 올해 하반기 록키(Locky)와 다른 랜섬웨어에 감염되었으나 백업을 통해 복구를 한 기업들도 많이 존재한다.

2017년에도 사이버 범죄자들은 스크립 기반의 악성코드을 계속해서 악용할 것으로 예상된다. 스크립 기반의 악성코드는 대개 보안 벤더들이 탐지하기가 쉽지 않습니다. 또한 이 위협은 이메일 공격과 측면 이동에 있어 점점 더 보편화되어 가고 있다.

매크로 기반의 악성코드는 특히 탐지를 회피하는 수단으로, 보안팀이 예상치 못한 포맷으로 계속해서 전환할 것이다. 2016년 말, 마이크로소프트의 퍼블리셔 문서(PUB)가 악성 매크로를 전송하는데 사용되고 있음이 발견됐다. 마이크로소프트의 파워포인트로 생성된 PPTM 파일 등 아직은 광범위하게 악용되고 있지 않은 다른 포맷들은 위협 행위자들의 다음 표적이 될 수 있다. 공격자들은 계속해서 악성코드를 보다 은밀하고 효과적으로 만들어 나갈 것으로 예상된다.

에릭 호 사장은 “기업들은 특수부대와 경비원의 싸움으로 비유될 정도로 비대칭적인 전력으로 사이버 공격에 대응하고 있다. 따라서 공격이 발생할 지 여부보다는 언제 공격이 발생할 것인지에 대한 대비를 하고, 사고 대응 및 억제를 위한 보안 태세를 갖춰야 한다”며 “보안 태세를 갖추는 한가지 방법은 전형적인 침입 시나리오들을 시뮬레이션하는 사고 대응 훈련을 통해, 임원, 법률 담당자 및 기타 직원을 포함한 모든 임직원들이 사고 대응 절차와 개념에 익숙해질 수 있도록 하는 것이다”라고 말했다

ICBM에 주목하라

아래 글은 연합뉴스  2016-11-03자의 기사를 클리핑한 것입니다.

정유성 삼성SDS 대표이사가 정보통신기술(ICT) 혁명의 중심인 사물인터넷(IoT)과 클라우드(Cloud), 빅데이터(Big data), 모바일(Mobile)에 주목하라고 역설했다. 이들 4개 기술은 앞글자를 따 ‘ICBM’으로 불린다.

주제:  ICT를 알면 미래가 보인다
장소: 전주 전북대 삼성문화회관
일자: 2016-11-03
프로그램: 청춘문답'(청춘問답)  (청년들과 퀴즈를 풀며 묻고 답하는 콘서트)


“ICT
는 모든 영역을 스마트하게 변화시키는 도구로, 사회를 송두리째 변화시킬 것이다”

“2007년 전 세계 브랜드 가치 상위 10대 기업 중 소프트웨어 관련 기업은 2곳에 불과했지만 8년 후인 2015년에는 6개의 기업이 이름을 올렸다”

“이제 산업의 경계를 넘나드는 ‘파괴적 혁신’이 도래했다”

“유용한 정보를 효과적으로 전달하고 다루는 ICT 기술이 무엇보다 중요하다”

CISO와 CPO의 역할과 책임에 관한 자료들..

구태언 변호사 -CISO CPO의 기업내 역할과 책임을 위한 제언 (PPT 24page)
(테크앤로 대표변호사)

■ CISO
-명칭: 정보보호최고 책임자
-근거: 정통망법 제45조의 3
-기업에서 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원
-금융회사는 CISO를 의무적으로 두어야 함
-총 자산 2조원 이상이면서 종업원수가 300명 이상인 금융회사는 CISO를 임원으로 임명해야 함
-기업의 경영목표를 이루기 위해 정보기술을 감독하고 전략을 세우는 것이 주 임무인 CIO와는 구별
■ CPO
– 명칭: 개인정보 보호책임자(개인정보보호법), 개인정보관리책임자(정통망법)
– 근거: 개인정보보호법 제31조, 정통망법 제27조
– 개인정보의 처리에 관한 업무를 총괄해서 책임 (개보법)
-이용자의 개인정보를 보호하고 개인정보와 관련된 이용자의 고충처리(정통망법)

[slideshare id=42521450&doc=tekcisocpotek-141209083553-conversion-gate01]

 

모바일 결제 보호를 위한 토큰화(Tokenization) 기술

 

I. 모바일 결제 보호를 위한, 토큰화((Tokenization)의 개요

1)  토큰화 (Tokenization) 의 정의

– 보호할 데이터를 토큰(Token)으로 치환하여 원본데이터 대신 토큰을 사용하는 기술
– 신용카드 번호를 난수로 이루어진 암호(토큰)로 변환해 저장함으로써 해당 카드 정보가 유출되어도 부정사용을 막는 기술
※ 개인정보의 유출 위험이 있는 전송 과정과 저장 단계에서 개인정보 데이터를 치환한 토큰 데이터만을 전송하고 저장함으로서 개인정보를 보호하는 접근법

2) 기존 결재의 취약점 및 사고 사례

구분 사고 유형 사고 사례
온라인 결제서버 등 카드정보가 집약된 서버 해킹을 통해 신용카드번호를 외부로 유출 – (업체) 하트랜드 Payment 시스템(온라인 지불결제 솔루션 사업자)
– (결과)‘07년부터 약 2년간 1억3천만건의 신용카드 정보를 도난당함
– (기법) SQL-인젝션해킹을 통해 거래정보를 외부로 지속적 유출
– (피해) 약 1482억원
오프라인 매장에 설치된 POS를 해킹하여 카드정보 등 유출 – (업체) Target사(대형 오프라인 쇼핑몰)
– (결과) ’12년 11월경 개인정보 7천만건, 카드정보 4천만건 유출
– (기법) Target사 서버를 해킹하여 자사 POS에 악성코드를 일괄삽입
– (피해) 배상금액 기준 3조 8천억원 추산

– 기존의 카드복제방지에서 벗어나 카드정보 전처리 구간에서 유출을 방지하는 근본적 대책이 필요
– 토큰화가 그 해법으로 제시

3) 토큰화의 장점

모바일 결제 스마트기기에서 디지털 결제 가능
편의성 향상 소비자가 카드정보를 입력하는 번거로움 사라짐
보안성 향상 불법카드 복제, 위변조 차단 가능, 보안이 취약한 상점 단말기 내부에 신용카드 저장 불필요
보안관리의 단순화 분산 저장되는 개인정보들이 토큰 서버에 통합 관리됨에 따라 보안 노력을 토큰 서버에만 집중하면 됨
보안요구사항 충족 PCS-DSS의 카드정보 저장,연산,정송 시 보호조치 강구에 요구사항 만족

II. 토큰화 기술의 구성도 및 유형

1)  토큰화 기술의 구성도

image

① 신용카드를 소유하고 있는 소비자가 상점에서 신용카드를 제시
② 상점의 단말기(POS; Point Of Sale)는 토큰 서버에게 암호화된 통신 채널을 통해 신용카드 번호를 전송
– 신용카드번호를 수신한 토큰 서버는 신용카드번호를 대체할 수 있는 토큰 데이터를 생성하여 토큰 데이터와 신용카드번호의 쌍을 내부의 저장소에 저장
③ 토큰 데이터를 상점 단말기에게 알려준다
④ 상점의 단말기는 카드번호를 이용하는 응용 서버에게 토큰 번호를 전달
⑤ 응용 서버는 데이터 처리 시 신용카드번호를 대체한 토큰 번호를 이용
⑥~⑨ 토큰 번호와 연결된 실재 신용카드번호가 필요할 때에는 토큰 서버에게 요청하여 신용카드 번호를 확인
– 결제토큰 기술은 부정거래 방지를 목적으로 개발되어, 토큰의 유효성 검증을 위한 절차, 구성 등이 매우 중요

2) 토큰화  유형

토큰방식 내용 토큰검증값
일회형 발생 시점부터 정해진 시간내 카드사에 승인요청으로 전달되어야 정상토큰으로 활용 가능 생성시간, 토큰카드번호에 대한 무결성 보장을 위해 해쉬알고리즘을 적용
고정형 구성된 토큰은 카드사에 전달되어 토큰 카드번호, 카드유효기간 등이 변경되지 않음 확인 고정형 토큰카드번호, 유효기간 등 카드관련 정보에 암호학적 방식이 적용되어 토큰검증값이 생성되며 이때 토큰검증값은 매 거래 시 마다 변경

– 토큰카드번호는 신용카드번호를 변환한 값이며, 토큰검증값은 토큰의 유효성을 확인하기 위한 값

Image

III.  토큰화 기술의 보안요구 사항

1)  토큰기술의 보안요구사항

Image

 

IV.  토큰화 기술의  적용 사례 및 고려사항

1) 토큰화 기술의 적용 사례

서비스 규격 구현방식
애플페이 단일(EMV) 비밀번호, 지문정보, 단말기 계정정보가 시큐어엘리먼트(SE)라는별도 하드웨어 보안구역에서 처리된다. 애플페이는 카드 등록 시 본인확인 과정이 없어 도난 카드가 활용되는 수단으로 악용 가능
삼성페이 복합(국내독자규격+EMV) 삼성페이 구동앱은 녹스(Knox) 플랫폼에 저장돼 일반앱과 구분하며, 토큰과 인증시드값은 스마트폰칩 제조사인 ARM이 고안한 트러스트존 내에 저장
안드로이드페이 단일(EMV) 토큰화한 결제 정보를 보호하도록 SW로 구현한 호스트카드에뮬레이터(HCE) 기술을 이용한다. 토큰화한 결제 정보는 구글 클라우드에 저장된다. 결제 시 정보를 내려 받아 활용

Image
-애플페이 절차도

Image
-삼성페이 절차도

Image
-안드로이드 페이 절차도

2) 토큰화의 고려 사항
– 지문인식, 하드웨어 기반 보안저장소를 활용
– 카드등록시 보다 철저한 신원확인
– POS단말기 등에 대한 보안위협수준을 낮추는 방안
– 정보집중으로 인한 토큰제공사의 토큰저장소에 대한 보안관리

참고자료:  결제토큰 기술현황 및 적용사례 분석 (금융보안원)

주요 간편결제 서비스 보안성 비교해보니 (전자신문)

토큰화 기술이란 – 펜타시큐리티

StageFright 취약점이란

StageFriht취약점은  안드로이드 폰  사용자가 아무런 조작을 하지 않았는데도 악성코드가 원격으로 실행될 수 있는  취약점으로서 작년도 9월에 크게 기사회된 바 있습니다. 

당시에 저도 스마트폰의 MMS설정을 수동으로 받도록 설정했던 기억이 납니다.   StageFrigt(무대공포증) 취약점에 대해 정리해보았습니다. 

참고한 URL:
알약 블로그: StageFrigt  http://blog.alyac.co.kr/388
StageFrigt 2.0: http://blog.alyac.co.kr/436, http://blog.alyac.co.kr/392
모바일 스마트폰 보안위협동향: <<아이넷캅 유동훈님>>

 

I. 사용자 조작 없이도 원격공격이 가능한, 안드로이드 Stagefright 취약점의 개요

1) StageFright 취약점의 정의:

"StageFright"라는 안드로이드 필수 멀티미디어 라이브러리를 공격하여  사용자의 조작 없이도 사용자 단말기를 해킹할 수 있는  소프트웨어 버그 (안드로이드 운영체제 2.2버전 이후 버전에서 발생)

안드로이드가 PDF등의 멀티미디어 파일을 녹화하고 재생하는데 사용하는 멀티미디어 플레이백 라이브러리인 안드로이드 코어 컴포넌트 “Stagefright” 에 존재하는 취약점

– StageFright 취약점  v1.0: 악성코드가 심어진 MMS 메시지를 기기에 보내기만 해도 자동으로 악성코드가 단말기에서 실행되도록 하는 취약점 (2015.7.28 발견)

  StageFright 취약점 v2.0: 악성 멀티미디어 파일인 MP3나 MP4를 포함하고 있는 웹사이트를 방문하도록 유도하여 스마트폰을 해킹할 수 있는 취약점  (2015.10.1 발견)

* 영향받는 안드로이드 OS 버전

안드로이드 2.2 ~ 5.1(최신버전)

2) StageFright 취약점의 특징

  (1) 사용자 조작 불필요: 사용자가 아무런 조작을 하지않고 잠금화면상태에서도 공격 성공
  (2) MMS 메시지 이용: 악성코드 심어진 MMS메시지를 보내는 방식의 공격
  (3) 최소 정보 이용: 공격자는 사용자의 전화번호만 알면 공격 가능
  (4) 대다수 안드로이드 취약: 안드로이드 OS의 95%에 존재하는 미디어 재생기능 취약점 이용
  (5) 앱, 웹을 통한 전파 가능:  악성 멀티미디어 파일인 MP3나 MP4를 포함하고 있는 앱, 웹을 통한 전파 가능

 

II. 구성도 및 구성요소

1)  StageFright 취약점 공격 경로 

Image(25)

– 미디어 파일 헤더 조작으로 인해 발생하므로 파일정보를 얻는 동작만으로 악성코드 감염 가능

– MMS외의 다른 파일 전송수단을 통해서도 동일한 공격이 가능함

2) 공격 시나리오

(1)  MMS메세지 공격:   안드로이드 운영체제에는 문자메세지에 첨부된 MMS를 사용자가 보기 전에 미리 로드하는 기능이 있는데, 공격자가 이 기능을 이용하여 조작된 MMS 메시지를 전송하면, 사용자가 메시지를 열어보지 않아도 공격대상인 안드로이드 기기를 감염 시킬수 있음  (StageFright V1.0)

(2) 변조된 앱을 통한 공격: 변조된 앱을 통해 특별히 조작된 MP4 파일이 사용되도록 하면  공격자가 사용자 단말기의 root권한을 얻을 수 있음   (StageFright V2.0)

  (3) 변조된 파일이 포함된 URL을 통한 공격 : 변조된 mp4 파일을 HTML 파일에 삽입해 넣은 악성 웹사이트를 통해 동일한 공격이 성공 가능함. (StageFright V2.0)

III.  해결방법

1)   Stagefright 라이브러리의 취약점 해결 :   – 구글에서 취약점에 대한 패치 배포

2)  주기적인 보안패치 배포:   – 구글과 주요 제조사에서 보안패치를 주기적으로 배포하는 체계 마련
    (구글/삼성에서는 매월 패치 배포)

3)   MMS 자동 수신 기능을 비활성화 시키는 방법
-  MMS 자동수신을 해제하는 방법을 이용하여 첨부파일이 포함된 문자를 수동으로 받도록 변경해야 함
– 문자메시지 관련 앱의 환경설정에서 MMS 자동수신 기능을 해제해야 함 (제조사별 차이 있음)


안드로이드 보안위협 관련 참고 사항

1) 2009~2015년 스마트폰 보안위협 발생 이력

Image(24)

2) 애플과 비교한 안드로이드 보안취약점 관리가 어려운 이유

Image(26)


3) 안드로이드의 악성코드 유포 유형

  (1) 사설 블랙마켓을 통한 악성코드 유포
  
– 유료 앱을 무료로 사용하고자 하는 사용자에게 변형된 앱 유포
   – 앱설정을 변경한 이용자들의 부주의에 의해 모바일 악성코드 감염


Image(27)

 (2) 앱 리패키징을 통한 악성코드 유포
  
– 앱 검증절차 부재로 인해 앱 기능 수정 및 추가 후 재배포된 앱 설치 가능
   – 공개도구를 통해 제 3자가 정상 앱에 쉽게 악성기능 추가 기능

Image(28)

  (3) SMS를 통한 악성코드 URL 유포
  
– 악성앱 경로를 짧은 URL로 만든 후 감염시키고자하는 폰에 문자 전송
  – 청첩장, 돌잔치, 쿠폰앱을 가장한 스미싱 앱이 사례

Image(29)