2024/01/06 3

ISMS-P 결함사례 고찰 #2.4. 물리 보안

2.4.1 보호구역 지정 인증기준: 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다. 결함사례#1 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우가 있다. 이는 서류를 온전히 이해하지 않고 그저 양식을 사용하는 것에서 그치기에 발생하는 경우로 보인다. 정확히 어떤 범위가 포함되어야 하는지 온전히 인지를 하고 직접 서류를 작성해봐야 한다. 그리고 그것을 주기적으로 검토 및 업데이트할 필요가 있다. 결함사례#2..

보안/개념 2024.01.06

라스트패스, 비밀번호 설정 규정 강화

라스트패스가 비밀번호 설정 규칙을 강화하였다. 이에 따라 기존 이용자들은 비밀번호를 변경하라는 안내 문구를 접하게 될 것이다. 이제부터 사용자들은 라스트패스의 마스터 비밀번호를 사용할 때 최소 12자를 활용해야 한다. 기존에는 그런 규정이 없었다고 한다. NIST가 제시한 비밀번호 길이의 표준은 8자이지만, 8자는 그야말로 '1초 컷'이다. 비밀번호 크래킹 능력이 발달함에 따라, 비밀번호 인증 수단을 유지할 것이라면 길이라도 대폭 늘리는 것이 현실적인 방안이다. 라스트패스는 23년에 여러 보안 사고를 겪으며 보안 프로그램으로서의 신뢰성에 훼손을 입었다. 이번 비밀번호 설정 규칙은 그에 따른 고육지책으로 보인다. 그리고 이때의 12자 이상의 비밀번호는 다른 곳에서 사용하던 비밀번호와 겹치는 일도 없어야 할..

보안/뉴스 2024.01.06

ISMS-P 결함사례 고찰 #2.3. 외부자 보안

2.3.1 외부자 현황 관리 인증기준: 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 결함사례#1 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우가 있다. 조직 내 직원, 자산보다도 등한시하게 되는 것이 외부 직원, 위탁업체 등이 될 것이다. 외부 요소도 변경이 있다면 그때그때 바로 반영해야 한다. 결함사례#2 관리체계..

보안/개념 2024.01.06
728x90