<< 정보보호 안전진단 해설서>>
-제46조의 3(정보보호 안전진단)
1) 주요정보통신서비스제공자
1) 주요정보통신서비스제공자
1) 정보보호 조치(망법 제45조)
10. 안전진단 절차
10. 안전진단 절차

스마트폰은 정말 편리하지만 많은 보안위협을 가지고 있지요.. 아직까지는 그렇게 큰 위험상황이 발생하지는 않았지만 시간문제라는 생각이 듭니다. 특히 염려되는것은 안드로이드계열의 스마트폰입니다. 보안가이드도 제대로 제시되지않고 정식 앱스토어에 올라온 앱들조차 제대로 검사되지않으니 염려가 많이 될 수 밖에 없네요..
구글에서 제대로 된 개발 보안가이드를 제공하고 사이트에 업로드될때도 기본적인 앱 검사가 이루어지도록 해야 합니다. 최소한 앱들의 권한과 앱의 기능을 비교하는 검사정도는 꼭 했으면 좋겠네요.. 어쨋든 현재로서는 개인들이 조심하는 수밖에 없으니 안타깝네요. 구글이 다양한 앱스토어에 올라오는 앱들에 대한 점검체계를 빨리 제공하지 않으면 결국 구글에 화가 미칠 수 밖에 없다는것을 간과하지 않기를 바라는 마음입니다.
원문링크: http://goo.gl/nI9v7
▶ 스마트폰 보안수칙 10계명
1.PC로부터 파일을 전송받을 경우 악성코드 여부를 꼭 확인한다.
2.게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3.브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4.애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
5.스마트폰용 보안SW를 설치하고 엔진을 항상 최신으로 유지한다.
6.스마트폰의 잠금 기능(암호 설정)을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7.블루투스 기능을 켜놓으면 악성코드에 감염될 가능성이 높으므로 필요할 때만 켜놓는다.
8.ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9.백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10.임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’은 법령이름이 길다보니 주로 ‘정보통신망법’이라고 불리는 것 같습니다. 대표적인 IT compliance라고 할 수가있습니다. 최근 법제화된 개인정보보호법이 나오기전에 개인정보보호에 대한 법적 근거를 제공해주었던 것중에 하나이지요..
<< 국가법령정보센타에서 정보통신망법 보기 >>
빨간색 [예]가 붙은 법령내용은 시행예정인 내용이 기록되어 있습니다. 참고하세요

1. 정보통신망법의 소관부처
-방통위
– 행안부
2. 정보통신망법 구성체계
1장.총칙
-목적, 정의, 정보통신서비스제공자 및 이용자의 책무등
2장.정보통신망의 이용촉진
-기술개발
-정보통신망 이용촉진 사업
-인터넷이용확산, 서비스 품질 개선
3장.전자문서중계자를 통한 전자문서의 활용
-전자문서중계자에 의한 문서의 처리
-전자문서의 송수신 시기
-전자문서 내용의 추정
-전자문서등의 공개제한 등
-전자문서 등의 공개 제한 등
4장.개인정보의 보호
-개인정보의 수집·이용, 제공
-개인정보의 관리 및 파기 등
-이용자의 권리
-개인정보 분쟁조정위원회
5장.정보통신망에서의 이용자 보호
-청소년보호-정보삭제요청 및 임의의 임시조치
-게시판 이용자의 본인확인
-자율규제, 불법정보유통금지 등
6장.정보통신망의 안전성확보 등
-정보통신망의 안전성 확보위한 보호조치의무
-집적된 정보통신시설의 보호
-정보보호 안전진단-정보보호 관리체계(ISMS) 인증
-이용자의 정보보호
-정보통신망 침해행위 등의 금지
-침해사고의 대응
-스팸 방지
7장.통신과금서비스
8장.국제협력
9장.보칙
10장.벌칙
개인정보보호법 요약된 것들은 다들 많이 보셨을텐데 국가법령정보센타에 가시면 법령전문을 보실 수 있답니다.
1. 법 제정 배경
1)대규모 개인정보 침해사고 빈발로 국민 불안감 급증
– 최근의 개인정보 침해는 대형화·지능화·다양화 추세
– 해킹, 내부직원 유출, 담당자 부주의 등이 주요 원인
2)개인정보보호 일반법 미비로 법 적용 사각지대 발생
-공공기관(개인정보보호법), 정보통신사업자(정보통신망법) 등 개별법 체계로 헌법기관, 오프라인 사업자, 비영리기관 등은 관련법 부재
-개별법간 보호원칙, 처리기준 및 추진체계가 상이하여 국민 혼란, 일관된 정책 추진에 한계
3)세계 각국과의 FTA 대비 및 IT강국으로서의 위상 확보
-최근 전 세계적 국제통상 관련, 프라이버시 라운드(Privacy Round) 대두
– 유럽연합(EU) : 적절한 보호수준을 갖춘 제3국으로만 개인정보 이전
2. 개인정보보호법 구성체계
1장.총칙
– 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등
2장.개인정보보호정책의 수립등
– 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등
3장.개인정보의 처리
– 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등
4장.개인정보의 안전한 관리
– 안전조치의무, 개인정보파일 등록·공개, 개인정보영향평가, 유출통지제도 등
5장.정보주체의 권리 보장
– 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등
6장.개인정보분쟁조정위원회
– 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등
7장.개인정보 단체소송
– 단체소송 대상, 소송허가요건, 확정판결의 효력 등
8장.보칙
– 적용제외, 금지행위, 침해사실신고, 시정조치 등
9장.벌칙
– 벌칙, 과태료 및 양벌규정 등
3.개인정보보호법 체계 일원화

4. 개인정보보호 행정체계 일원화

정보통신기반보호법 요약은 아래와 같습니다.
1.개요
정보통신기반보호법은 주요정보통신기반시설 보호 및 침해사고 대응 사항을 총 7장, 30조에 담고 있는 법률
동 법 중 IT Compliance 와 관련이 높은 부분은
제2장 주요정보통신기반시설의 보호체계,
제3장 주요정보통신기반시설의 지정 및 취약점 분석,
제4장 주요정보통신기반시설의 보호 및 침해사고의 대응 등임
적용대상: 주요정보통신기반시설의 관리자 및 정보공유,분석센터의 관리자 등
2. 취약점 분석평가
주요 정보통신기반시설로 지정된 시설은 지정 후 6개월 내에 취약점 분석,평가를 실시하여야 함. 최초의 취약점 분석, 평가 이후에는 2년마다 취약점 분석,평가 실시. 취약점 분석,평가는 객관성과 실효성을 확보할 수 있도록 일정한 자격을 갖춘 자들로 구성된 전담반이 행하도록 하여야 함
3.보호대책의 수립 및 이행
주요정보통신기반시설 관리기관의 장은 취약점 분석,평가의 결과에 따라 주요정보통신기반시설을 안전하게 보호하기 위한 물리적,기술적 대책 등 보호대책을 수립, 관리기관의 장은 보호대책을 수립하여 매년 3월말까지 관할 중앙행정기관의 장에게 제출하여야 함. 행정안전부장관과 국가정보원장 등은 관리기관이 수립한 보호대책을 이행하는지 여부를 점검함
4. 보호조치의 이행
다음의 경우 관리기관의 장은 관계중앙행정기관의 장이 내리는 보호 조치에 대한 명령,권고를 이행하여야 함. 관리기관의 장이 제출한 주요정보통신기반시설 보호대책을 분석한 결과 별도의 보호조치가 필요한 경우 보호대책 이행여부 분석의 결과 별도의 보호조치가 필요하다고 인정되는 경우
5. 침해사고 통지 및 복구
침해사고란 주요정보통신기반시설이 교란,마비,파괴된 상황으로 관리기관의 장은 i) 침해사고발생 일시 및 시설 ii) 피해 내역, iii) 기타 신속한 대응,복구를 위하여 필요한 사항 등의 내용을 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 통지하여야 함. 또한 침해사고 발생시 관리기관의 장은 소관 주요정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취해야 함
6. 정보공유 및 분석센터
분야별 정보통신기반시설 보호를 위하여 i) 취약점 및 침해요인과 그 대응방안에 대한 정보제공, ii) 침해사고 발생시 실시간 경보,분석 체계 운영 등의 업무를 수행하고자 하는 자는 정보공유,분석센터 구축,운영 가능
2011.5.16 ~ 5.20 주간의 보안관련 뉴스 제목들을 요약해보았습니다. 참고들 하세요 요즘은 매주 많은 일들이 일어나는 것 같습니다.
05/20
휴대폰 커뮤니티 ‘세티즌’해킹, 140만명 개인정보 유출 << 기사보기>>
한국, 악성코드 감염률 세계1위, Microsoft 발표 <<기사보기>>
05/19
리딩투자증권 고객정보 유출 <<기사보기>>
05/18
한국전자금융 해킹, 입사지원자 8천명 개인정보 유출 <<기사보기>>
안드로이드마켓에서 정상앱으로 위장된 악성코드 발견 <<기사보기>>
현대캐피탈 고객정보 175만건 유출된것으로 밝여져 <<기사보기>>
05/17
드롭박스, 보안 안전하지 않다 <<기사보기>>
한국정보인증, ‘공인인증서 100배 즐기기’ 출간 <<기사보기>>
스마트폰보안위해 40여 일본IT기업 ‘일본시큐리티포럼’출범 <<기사보기>>
삼성반도체, 종이에 RFID탑재, 출력물 보안강화 <<기사보기>>
05/16
제우스 악성코드 국내출현, 금융보안 비상 <<기사보기>>
행안부, 개인정보 노출방지 가이드라인 개정, 배포 <<기사보기>>
페이스북 도배하는 스팸광고 주의 <<기사보기>>
SNS피싱 , 2010년이 2009년보다 1200% 급증, MS 발표 <<기사보기>>
소니 해커, 아마존 클라우드컴퓨팅 EC2이용 공격했었다 <<기사보기>>
원문참조: http://goo.gl/Pkf4V http://goo.gl/R7GkE
금융감독원은 17일 중간발표를 통해 “해커 신 씨가 업무관리자의 아이디와 패스워드를 습득한 후 현대캐피탈 고객들의 자동차정비내역조회 서버 등에 침입해 175만 명의 고객 정보를 해킹했다”고 밝혔습니다. 해킹당한 광고메일 발송용 서버에서는 화면 캡처 방식으로 총 36만 명의 이름과 e메일 정보뿐만 아니라 암호화되지 않은 주민번호까지 유출된 것으로 드러났다고 합니다.
특히 사고 당시 유출된 고객정보가 42만건이라고 발표되었던것과 달리 180만명의 고객정보중 175만명의 정보가 유출됨으로써 거의 대부분의 고객정보가 유출된 것으로 밝혀졌습니다. 결국 초기에 확인된 고객 43만명을 제외한 133만명의 고객은 유출사실을 모른채 한 달여간 방치되었기 때문에 2차 피해가 발생했거나 할 수 있다는 것입니다.
경찰이 해킹 사건의 주범인 대부중개업체 팀장 윤모씨의 외장하드와 컴퓨터 등에서 확보한 자료를 확인한 결과 개인정보 유출 피해 고객은 총 175만명이라는 사실이 확인되었습니다.
서울경찰청 사이버범죄수사대는 3월 10, 11일 서울 서초구의 한 PC방에서 현대캐피탈 서버에 무단 침입해 개인 정보를 내려받아 보관한 윤 씨를 구속 수사해 왔습니다. 서울의 한 대부중개업체에서 팀장으로 일하던 윤 씨는 3월 필리핀에 있는 신 씨의 공범 정모 씨(36)로부터 “아는 해커가 현대캐피탈 서버에 침입하는데 성공했다. 돈을 주면 내부망에 접속하는 링크주소(URL)를 알려주겠다”는 제안을 받고 2200만 원을 송금한 뒤 현대캐피탈 고객 정보를 빼냈다고 합니다. 윤 씨가 빼낸 정보는 1TB(1024GB) 외장 하드디스크에 저장됐고, 데이타는 거의 텍스트 형식인 로그파일로 저장되어 현재까지 모두 현대캐피탈 관련 정보인것으로 분석되었습니다.
또한 추가 개인정보 유출 사실을 확인한 지난주 말 직후 고객들에게 안내를 시작하지 않고 3일이 지난 19일에야 개시하기로 한 것도 논란이 되고 있습니다. 현대캐피탈은 또 고객정보에 접근할 수 있는 퇴직 직원의 아이디를 삭제하지 않았고 2~4월에는 해킹 사고와 동일한 인터넷프로토콜(IP) 주소를 통한 해킹 시도가 다수 발견됐지만 IP차단 조치도 취하지 않았다고 합니다. 직원 및 보안시스템에 대한 관리가 허술했던 것으로 드러난 것입니다.
금융감독원은 고객정보 해킹사건과 관련해 현대캐피탈과 정태영 사장 등 임직원을 징계하는 방안을 검토 중이라고합니다.. 금감원 관계자는 “이번 사건이 국민을 불안하게 하고 사회 문제로 비화한 점을 고려해 법인과 임직원에 대한 징계를 제재심의위원회에 상정할 방침”이라고 합니다.
미국 오바마 정부는 사이버 보안을 보다 강화시키기 위해 사이버 범죄 처벌을 강화하고 핵심 인프라를 해킹했을 때의 최소 형벌을 제정하는 것을 내용으로 하는 새로운 법안을 발의했습니다. 이는 미 시민과 국가 핵심 인프라 및 정부 네트워크를 보호하기 위한 것입니다.
우리나라의 현실도 크게 다르지 않은데 국가 차원에서의 제도의 정비와 좀더 강도 있는 관리체계를 법률로 제정해야 하지 않나 싶습니다. 그나마 제정되어 9월에 발효예정인 개인정보 보호법에 만족하고 있을 때가 아닌 듯 합니다.
▶새 법안 내역
1. 시민을 보호하기 위해 사이버 범죄에 대한 처벌 강화, 사이버 범죄를 다른 범죄와 동일시
2. 핵심 인프라에 대한 해킹에 대해 최소 형벌을 제정
3. 국가 데이터 침해 보고와 관련된 기존 47개 주의 법률을 간소화 및 표준화했다
4. 해킹을 당한 기업은 공격자가 고객의 개인 정보에 접근했는지의 여부를 고객에게 통보 의무
▶국가 핵심 인프라 보호와 관련 사항:
1. 민간업체나 지자체가 해킹 초기 단계에 국토안보부에 도움을 요청할 경우 지원 체계 마련
2. 기업은 사이버 위협 혹은 사고와 관련된 정보를 국토안보부와 공유, 이 경우 면책가능
3. 핵심 인프라 운영자들에게 사이버 위협과 취약점에 대해 우선 순위를 매기도록 제안.
4. 정부 네트워크를 효과적인 보호 위해 연방정보보안관리법(FISMA)을 갱신
5. 국토안보부가 보안전문가를 고용할 때 유연성
6. 모든 연방 행정 기관의 민간인 컴퓨터 침입 방지 시스템을 영구 감독할 권한
▶대 전제:
1. 개인의 사생활과 자유권을 보호한다
2. 정보에 대한 모니터링, 수집, 사용 및 공유 활동은 사이버 보안 위협을 방지하는 선에서 제한
원문참조: http://boan.com/news/articleView.html?idxno=4668
삼성전자의 반도체 사업부 직원들이 사무실에서 출력한 종이를 가지고 사외로 나올 수 없게 됐다. 삼성전자 반도체 사업부는 사내 모든 프린터에 출력물 유출방지 시스템 구축을 완료하고 사내 출력물에 대한 보안 수준을 한층 강화했다고 16일 밝혔다. 이는 프린터 및 복합기에 보안 소프트웨어를 탑재, 특수 보안용지로만 출력이 가능하도록 했기 때문이다.이에 앞서 삼성전자 반도체 사업부는 지난해부터 일부 사업장에 출력물 유출방지 시스템을 적용, 지난달 전 사업장에 구축을 완료했다.
이를 위해 삼성전자 IT솔루션사업부가 자체 개발한 ‘SecuDocuTM’ 보안용지를 국내에서 처음으로 적용했다. 전자태그(RFID)를 내장한 특수 보안용지를 소지하고 게이트를 통과하면 EM(Electro Magnetic) 감응기가 이를 감지해 경고 램프와 경보음이 작동하는 원리다. 모든 프린터의 용지함에 자기 센서를 이용한 감지장치를 장착, 특수 보안용지에만 인쇄가 가능하도록 하고 이 용지가 아닌 경우 내용물을 프린트할 수 없도록 했다. RFID가 탑재된 이 특수 보안용지의 외양은 일반 종이와 유사하나 가격은 장당 70원 수준에 달한다. 반도체 핵심 기술의 경우 적은 분량의 인쇄물이 유출되더라도 피해가 막심하다는 판단 아래 고가의 종이를 이용한 보안 솔루션 도입을 결정한 것으로 알려졌다.
삼성전자 관계자는 “최근 일어난 보안 사고가 모두 인쇄물의 유출로부터 비롯된 것으로 판단하고 있다”며 “사내 모든 프린터, 복합기에서 인쇄를 할 때 이 용지로만 출력이 되도록 했다”고 설명했다.
Gartner의 CIO를 위한 Compliance 지침은 아래와 같습니다.
– 기본적으로 IT Compliance 는 IT부서만으로는 달성할 수 없는 과제
– 법무, 재무부서 및 외부 감시자와의 긴밀한 협조가 필요
– 전사적 차원에서 합리적인 통제 절차와 기구가 필요,
(적절한 솔루션 도입 권고)
IT Compliance란?
기업의 위험관리와 투명성 강화를 위해 정부 또는 유관 기관들이 강제사항으로 규정하는 각종 규정을 준수할 수 있도록 IT 측면에서 준비하고 관련 시스템을 재정비하는 것을 의미합니다.
신바젤 협정(Basel2,3), Sarbanes-Oxley Act 2002이 발효되면서 이를 위한 IT Compliance 시장이 전세계적으로 확대되는 추세입니다.
IT Compliance는 IT시스템의 보안 및 가용성을 확보하고 비즈니스 정보의 무결성을 실현하는 것을 목적으로 합니다.
IT Compliance 규제법안들의 근본 목적은 기업의 투명성 강화를 위해 조직의 건전성을 확보하기 위한 것입니다.