IT/영어 공부노트

개인정보보호위원회개인정보위, 안전조치 의무를 위반한 2개 사업자 제재- 개인정보 유출 방지를 위한 기본적 안전조치 의무 준수 및 민감정보 처리 등에 각별한 주의 당부  개인정보보호위원회(위원장 고학수, 이www.pipc.go.kr 월급쟁이 부자들(과징금 5,110만원, 과태료 270만원)※ 월급쟁이부자들 : 재테크·부동산 관련 온라인 동영상 서비스업 운영 사업자 재테크 관련 동영상 서비스 사이트가 해킹을 당해 DB 내 107,518명의 개인정보가 유출되었다. 위반사항미들웨어를 통해서만 DB에 접속할 수 있게 시스템을 운영하면서, 보안시스템이 없어 미들웨어에 접속할 수 있는 IP주소를 제한 X외부에서 DB접속 시 추가 인증 수단 없이 접속 가능DB 관리자 계정의 비밀번호가 설정 X박차컴퍼니(과징금 959만..

What Is a Data Processing Agreement (DPA)? (globalization-partners.com) 데이터 처리 계약(DPA)이란 무엇입니까?데이터 처리 계약은 데이터를 보호하고 GDPR을 준수합니다. 이들이 어떻게 작동하고 G-P가 데이터 전문가를 채용하는 데 어떻게 도움이 되는지 알아보십시오!www.globalization-partners.com 자세한 설명은 위 참고  업무 중 DPA라는 단어가 나왔는데, ,,,, ,, 몰라서 정리  | DPA란?추천받아서 요즘 자주 쓰는 Perplexity에게 물어본 DPA의 정의. DPA란 데이터 처리 계약을 의미하고, GDPR의 요건 중 하나이다.  여기서, DPA를 검색하면, Data Processing Agreement와 Dat..

업무를 하다보면, 글로벌 기업에서 업무 시 해외 개인정보보호법 등등을 참고해야 하는 경우가 올 것이다.  사실 필자는,, 글로벌 기업에서 일을 하지 않아 그런적이 없지만 아는 담당자가 물어봐서 그러게 어디서 보지 하다가 찾은 곳! 혹시나 이처럼 어디서 봐야할지 모르는 분들을 위해 글로 남긴다. (추후에 나도,, 필요할지도 모르고)1. 개인정보보호위원회해외 법령/지침 | 개인정보보호위원회 > > 정책 · 제도>국외동향>해외 개인정보 자료실 (pipc.go.kr) 개인정보보호위원회해당 페이지의 만족도와 소중한 의견 남겨주세요.www.pipc.go.kr 제일 기본은 개보위! 다만, 이 곳은 업데이트가 잦진 않아 그리 참고가 되진 않는다. 2. 세계법제정보센터세계법제정보센터 (moleg.go.kr) 세계법제정보..

| VR(Virtual Reality) : 가상현실완전히 가상세계 속의 환경으로, 현실세계와 완전히 100% 단절 된 것이 특징이다.  VR기기 착용 시 현실와 무관한 새로운 환경에 접하는 것으로 이해하면 된다.  → 따라서 기기가 필수! ex) HMD(Head Mounted Display) | AR(Augmented Reality) : 증강현실현실에 덧입혀진 가상으로 투명한 창을 통해 현실세계를 바라보며, 그 위에 가상 요소를 덧입히는 기술을 활용한다.  다만, 현실과 가상의 상호작용은 불가하다.  예로 자동차 앞 유리창에 속도나 내비게이션 정보를 표시해주는 HUD, 구글글라스 등  | MR(Mixted Reality) : 혼합현실VR과 AR의 장점을 혼합한 기술이다. 현실세계와 가상 세계를 자연스럽게..

보도자료 | 개인정보보호위원회 > > 위원회 소식>보도‧해명 (pipc.go.kr) 개인정보보호위원회개인정보위, 안전조치 의무를 위반한 3개 사업자 제재- 인터넷 홈페이지 주기적 점검으로 개인정보 유‧노출 방지 당부- 만 14세 미만 아동의 개인정보 처리시 법정대리인 동의 필수  개인정보www.pipc.go.kr  1. 한화호텔앤드리조트(과징금 1억 8,531만원, 과태료 300만원)유출내용2023년 4월 경 개인정보 유출사고 발생홈페이지 DB 인터페이스 오류로 6월 30일까지 예약된 일부 고객의 예약 정보가 노출됨7일 홈페이지 공지로 사과문 게재 → 8일 개인정보 유출 사실에 대한 2차 사과문으로 유출된 항목과 시점, 경위, 보상방안, 2차피해예방 등 안내 → 9일 개인정보 유출 사실에 대한 FAQ로 ..

사실 이 내용은,, 제가 두달전에 준비한,, PT면접의,,, 주제입니다.... 정말 열심히 자료조사 해서 나름 괜찮은 자료라고 생각되어 올려봅니다...(PT면접은,,붙었었어용,, 헤헤) 1. 공급망 보안 개요 공급망 공격이란? 소프트웨어 전 과정 공급망에 공격자가 개입해 변조된 SW를 사용자의 시스템에 전달되도록 하는 공격입니다. 공격의 유형 데이터 유출, 제품 변조 흐름차단을 통한 공급망 중단 공급망 공격의 연쇄성 시나리오를 보면 공격자는 A사의 SW파일 변조를 통해 B사의 자격증명을 획득하여 B사에서 악성코드를 삽입하는 2차공격 후 일반 피해자까지 공격이 진행되게 됩니다. 이처럼 공급망 공격은 SW변조를 통해 피해를 기하급수적으로 늘릴 수있어 더욱 위험합니다. 2. 제조업에서의 공급망 보안 제조업의 ..

정보보호관리체계 인증준비 가이드: 인증의 의미와 필요사항 준비 https://www.kisa.or.kr/204/form?postSeq=007273&lang_type=KO 정보보호관리체계 관리과정 가이드: 수립, 운영, 사후관리하기 위한 전체 과정 설명 https://scienceon.kisti.re.kr/srch/selectPORSrchReport.do?cn=TRKO201100004972 정보보호관리체계 위험관리 가이드: 위험관리 수행 방법 https://scienceon.kisti.re.kr/srch/selectPORSrchReport.do?cn=TRKO201100004970&dbt=TRKO 정보보호관리체계 통제사항 가이드: 통제사항을 선정, 구현, 감사할 때 필요한 상세사항에 대한 설명 제공 http..

보안 위험평가란? 사이버 보안 위험 평가란 자산분석, 위협분석, 취약성 분석을 통해 자산 및 시스템의 위험 수준을 평가하여 적절한 보안조치를 적용하는 일련의 과정입니다. ISO 27001, ISMS, PIMs등의 관리체계와 NIST, BERR, KISA에서도 자체적 사이버 정보보호 수준 지표를 개발하고 있습니다. ex) Cybersecurity Framework | NIST Cybersecurity Framework Helping organizations to better understand and improve their management of cybersecurity risk www.nist.gov ISMS로 보는 위험평가 1.2.3 위험평가 인증기준 조직의 대내외 환경분석을 통해 유형별 위협정보를..

개인정보의 위탁과 개인정보 제3자 제공, 같은 것 일까요? 결론부터 말하자면 아닙니다. 위탁과 제공 모두 제3자가 정보를 처리한다는 공통점만 존재할 뿐 차이점이 매우 많습니다! 둘 사이에 어떠한 차이점이 있고, 위탁과 제공 시 어떤 주의점을 알아야 할 지 오늘 알아보며 두 개념을 완벽히 이해해봅시다. 1. 개인정보 업무 위탁 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 ② 제1항에 따라 개인정보의 처..

1장을 쓴지 벌써 10일이나 지나버렸다니,,, 반성합니다.. OT사고사례 찾아보면 주로 과거 사건사고가 많아서 2023위주로 찾으려고 좀 노력했고, 국내 기사로 다뤄지지 않은 사고도 가져와봤습니다,, 최근 3개년동안의 사건사고를 보면서 어떻게 사고가 발생했는지, 어떤 보안 문제점이 있었는지 등등을 살펴보고 사고를 통해서 배운 시사점들을 말씀드릴게요! OT/ICS 사고사례 1. 미국 송유관 업체 해킹 사고(2021.05) 피해 업체: 미국 송유관 업체 콜로니얼 파이프라인 감염 경로: 악성코드 유포 메일 열람 및 원격접속 서비스의 취약점에 의한 랜섬웨어 감염 감염 범위: 전사 운영 및 통제시스템 이상 발생 피해 규모: 모든 운영이 5일간 셧다운, 500만 달러(약 57억원) 피해 보안 문제점: 인증서비스 시..