보안뉴스

정리 클라우드 보안인증 등급제 본격 시행 민간 클라우드 활용 증진 및 사업자 부담 해소 추진 클라우드 보안인증 등급제 본격 시행된다 과기정통부는 클라우드 보안인증 등급제의 평가기준이 반영된 '클라우드 컴퓨팅 서비스 보안인증에 관한 고시' 일부 개정안을 2월 26일까지 행정예고한다고 밝혔다. 클라우드 보안인증 등급제란? 2023년 1월 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 도입됐다. 상, 중, 하 등급별로 보안인증 평가기준을 차등화시켰다. 하등급은 보안인증 평가기준이 담긴 고시를 개정하면서 우선 시행했고, 상중등급은 관계부처와 함께 기준을 마련하기로 했다. 보안인증 실증사업 과기정통부의 행정 내부시스템을 민간 클라우드로 전환한 실증환경..

정리 3월 15일부터 개인정보 영향평가 미수행 시 3천만원 이하의 과태료 부과 자발적으로 수행 시 과징금 최대 30%이하, 과태료 10%이내의 추가감경 가능 평가 항목 중 대상 시스템의 기술적 보호조치에 대한 부분이 주요 개선사항으로 도출되고 있음 개인정보 영향평가 제도 개인정보 파일의 운용 및 변경으로 인해 정보주체의 개인정보 침해가 우려되는 경우 위험 요인의 분석 및 개선사항 도출을 위해 다양한 항목을 평가하는 제도다. 일정 규모 이상의 공공기관에겐 의무적이고, 민간기업은 의무 대상은 아니나 권장하고 있다. 자발적인 영향평가 수행 시 과징금(최대 30%), 과태료(10% 이내)의 추가 감경이 가능하다. ※ 미수행 시 3천만원 이하의 과태료 부과 의무 대상 (공공기관) 100만명 이상의 개인정보파일을 ..

정리 행태정보 규율의 모호함을 해결하기 위해 개보위에서 정책 방안을 발표 개인정보처리방침에 행태정보 관련한 사항을 빠짐없이 적어야 할 필요 보임 → 개인정보처리방침 중요도 🔺 맞춤형광고란? 맞춤형 광고 목적인 온라인 행태정보 처리의 보호수준이 강화된다. 개보위는 31일 '맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안'을 발표했다. 📌 맞춤형광고: 이용자의 온라인 상의 행태정보를 처리해 개인의 관심, 흥미, 성향 등을 분석해 맞춤형으로 제공되는 온라인 광고 관심사에 맞는 광고를 보여줄 수 있음 누적, 축적, 반복, 연속적인 처리 과정을 거쳐 정보주체의 동의없이 민감정보까지 추론할 위험성이 있음 이용자는 처리 과정에서 자신의 행태정보가 어떻게 수집 및 활용되는지 알기 어렵고, 기업도 모호한 ..

12월 30일 해커가 국내 IP 카메라를 해킹해 4,500개 이상의 영상을 텔레그램을 통해 무방비로 유포했지만, 1월 3일까지도 영상은 무방비하게 노출되었다. 보안뉴스는 이를 후속 취재했지만 해커 추적은 물론 동영상 노출 차단, 제도적 통제 역시 쉽지 않다는 답변을 받았다고 한다. 1. 보안 취약한 IP 카메라, 텔레그램 만나 사이버 범죄 ‘날개’ 달았다 IP 카메라 영상 유출은 비일비재한 이슈이다. 정부는 2019년 2월부터 IP카메라, CCTV의 비밀번호 설정변경 기능을 의무화하고, 보안성을 검증받는 인증 획득을 유도하고 있지만, IP 카메라 해킹 이슈는 사그라들지 않고 있다. 2. 유출된 영상, IP 주소 알 수 없어 피해 당사자에게 아직 못 알려 이번 사건은 개인 영상 IP를 특정할 수 없어 피해..

안랩, 이글루코퍼레이션, 이스트시큐리티, 잉카인터넷 등 4개의 기업에서 각각 발표한 이슈를 주심으로 공통된 다섯 가지를 뽑아 우선순위를 정했다. 공급망 공격의 증가, 생성형 AI의 위협, 랜섬웨어 공격의 증가, 모바일 공격의 확산, 핵티비즘 활동의 증가 1. 공급망 공격의 증가 국가 지원을 받는 공급망 공격의 증가와 함께 소프트웨어 공급망 공격의 증가도 예상된다. 지난해 4월, VoIP 소프트웨어 개발사이자 다국적기업인 3CX에 대한 공급망 공격이 발생했으며, 국내에서도 북한 정찰총국이 국내 보안인증 소프트웨어 매직라인 4NX의 보안 취약점을 악용한 해킹 공격을 감행해 긴급 대응하기도 했다. 또한 MOVEit에서 발견된 취약점이 클롭 랜섬웨어에 의해 익스플로잇 되기도 했다. 2. 생성형 AI의 위협 악성..

[단독] 잡플래닛 가입 회원 개인정보 데이터, 다크웹에 유출됐나 'Loser'라는 닉네임을 사용하는 해커가 12월 2일, 다크웹에 잡플래닛 샘플 자료를 공개했다. 샘플 자료의 공유와 함께 다크웹 네크워크 기반 메신저인 톡스 ID, 텔레그램 아이디를 공개하기도 했다. 샘플이라고 공개한 자료를 보면 연락처 항목에 010으로 통합되기 전의 전화번호 앞자리인 016, 018 등의 번호도 있는 것으로 보아 아주 오래 전의 데이터로 추정된다. 보안뉴스는 해당 정보가 정확한 정보인지 알기 위해 텔레그램을 통해 해커와 연결을 시도했다. 해커는 최신 데이터를 갖고 있으며, 샘플을 전달해 주겠다고 했지만 끝까지 샘플이 전달되지는 않았따. 잡플래닛 운영사에 연락을 시도했지만 받지 않았고, 홈페이지 어디에도 개인정보 유출 관..

행정전산망 문제는 ‘라우터 포트 이상’... 해킹 징후는 없어 행안부가 11월 17일 발생한 국가 행정전산망 중단 사건의 원인으로 라우터의 포트 이상을 발표하며 해킹 등의 외부 공격은 아니었다고 밝혔다. 송상효 교수는 이번 사안을 종합적으로 검토할 필요가 있었고, 충분한 검증을 통해 결과를 설명할 필요가 있어 원인분석 결과 발표가 늦어졌다고 설명했다. 장애 당시 남겨진 로그를 분석한 결과 장애원인이 네트워크 영역에서 발생했을 확률이 높은 것으로 추정했다. 비정상 상태가 통합검증서버의 네트워크 세션에서 확인되고, 네트워크 장비 중 하나인 L4 장비 OS 업데이트가 전일 있었으며, L4 장비에서 비정상 상태로 전환되는 로그가 다수 반복되는 것이 확인됐기 때문이다. 네트워크 영역에서 문제가 나타났다 하더라도 ..

정부 24와 새을(공무원 전용 행정전산망) 시스템을 비롯한 국가 행정전산망이 3일간 마비되었다가 복구되었다. 정보자원관리원에서 발생한 장애 원인이 명확히 밝혀지지 않고 있어 이에 대한 관심이 크다. 취재 결과 장애 원인으로는 1. 장비 교체 과정에서의 문제 2. 네트워크 작업 과정에서의 오류 3. OS 펌웨어 문제로 인한 오류 등 크게 3가지 중 하나로 추정되고 있다. 1. 장비교체 과정에서의 문제 네트워크 장비 교체 과정에서 호환성 문제 등으로 제대로 통신이 이뤄지지 않거나 장애가 발생하는 일을 흔하다. 전산망 마비 사태 이후로 장비가 교체는 다른 부분에서 문제가 됐을 가능성이 있다. 국가보안기술연구소에서 원인 파악을 위해 장비에 대한 테스트를 진행할 계획이다. 2. 네트워크 작업 과정에서의 오류 이는..

흔히 저지르는 6가지 실수 1. 강의 형태로 진행한다. - 전문가를 초빙해 강연하는 식으로 보안 훈련 코스를 진행한다면 훈련이 아니라 강좌가 된다. 이보다는 서로 특정 주제를 가지고 토론하는 것이 더 효과적이다. 2. 훈련 참가자를 고려하지 않는다. - 훈련팀을 똑같이 구성하면 시야가 넓어지기 어렵다. 여러 팀에서 서로 다른 유형의 사람들을 섞어 훈련조를 구성해야 한다. 다른 팀에서 같은 주제를 두고 어떻게 바라보는지, 어떤 대응이 가장 적절한지, 의견을 나누는 것이 중요하다. 3. 훈련 내용이 매번 그리 달라지지 않는다. - 랜섬웨어가 제일 문제라고 해서 랜섬웨어를 주제로 계속 훈련한다면, 공격의 전술이 다르더라도 훈련자 입장에서는 계속 같은주제로 인식되어 흥미를 유발하기 어렵다. 4. 매번 세상의 종..

데이터를 수집하기 전에 물어야 하는 다섯 가지 질문들 Q1. 우리는 지금 어떤 데이터를 수집하고 있는가? 지금 회사에서 실제로 수집하고 있는 데이터가, 원래 수집해야 할 데이터와 일치하는가를 생각해야 한다. 데이터의 유형별로 특별한 수집 규칙이 적용된다거나 수집 시 지켜야 할 조건들을 지키고 있는지 파악해야 한다. Q2. 이 데이터는 꼭 수집해야 하는가? 데이터를 많이 갖고 있는 것이 좋긴 하지만, 이는 보안의 관점에서는 불필요한 리스크를 짊어지는 것과 같다. 이를 제어할 자신이 있다면 데이터를 수집해도 좋지만, 굳이 리스크를 떠안고 갈 필요가 있는지 생각해 보아야 한다. Q3. 수집한 데이터들은 어디로 가는가? 데이터가 어디에 저장되고, 누가 그 저장소에 접근할 수 있는지 파악해야 한다. 회사 로컬에 ..