수달정보보호

2.7.1 암호정책 적용 인증기준: 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. 결함사례#1 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우가 있다. 대상 별로 어떻게 암호화를 해야 하고, 어떤 암호화 알고리즘을 적용해야 하는지도 이미 성문화 되어있고, 그렇기에 역할 및 책임에 대해 명시하는 것은 어려운 일이 아니라고 본다. 개인적으로 '책임'을 명시하는 것을 정말 중요시 여겨야 한다고 생각하는데, 개인적으로는 자리가 사람을..

2.6.1 네트워크 접근 인증기준: 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립· 이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. 결함사례#1 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보 처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우가 있다. VPN이나 전용망을 사용하여 접근통제 영역을 구축해야 하는데, 일반 회선을 이용하게 되면 보안에 매우 취약해지게 된다. 이것은 전혀 보안에 대한 기본적인 방어도 구..

2.5.1 사용자 계정 관리 인증기준: 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록·해지 및 접근권한 부여·변경·말소 절차를 수립·이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. 결함사례#1 사용자 및 개인정보취급자에 대한 계정·권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우가 있다. 절차 없이 구두나 이메일로만 처리하게 되면 이에 대한 책임 권한을 따지는 것이 불분명해지게 된다. 결국 책임은 해당 사용자 보다는 담당자가 지게 되는 것이다. 명확한 절차를 거쳐서 해당 계정에 대한 ..

2.4.1 보호구역 지정 인증기준: 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다. 결함사례#1 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우가 있다. 이는 서류를 온전히 이해하지 않고 그저 양식을 사용하는 것에서 그치기에 발생하는 경우로 보인다. 정확히 어떤 범위가 포함되어야 하는지 온전히 인지를 하고 직접 서류를 작성해봐야 한다. 그리고 그것을 주기적으로 검토 및 업데이트할 필요가 있다. 결함사례#2..

라스트패스가 비밀번호 설정 규칙을 강화하였다. 이에 따라 기존 이용자들은 비밀번호를 변경하라는 안내 문구를 접하게 될 것이다. 이제부터 사용자들은 라스트패스의 마스터 비밀번호를 사용할 때 최소 12자를 활용해야 한다. 기존에는 그런 규정이 없었다고 한다. NIST가 제시한 비밀번호 길이의 표준은 8자이지만, 8자는 그야말로 '1초 컷'이다. 비밀번호 크래킹 능력이 발달함에 따라, 비밀번호 인증 수단을 유지할 것이라면 길이라도 대폭 늘리는 것이 현실적인 방안이다. 라스트패스는 23년에 여러 보안 사고를 겪으며 보안 프로그램으로서의 신뢰성에 훼손을 입었다. 이번 비밀번호 설정 규칙은 그에 따른 고육지책으로 보인다. 그리고 이때의 12자 이상의 비밀번호는 다른 곳에서 사용하던 비밀번호와 겹치는 일도 없어야 할..

2.3.1 외부자 현황 관리 인증기준: 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 결함사례#1 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우가 있다. 조직 내 직원, 자산보다도 등한시하게 되는 것이 외부 직원, 위탁업체 등이 될 것이다. 외부 요소도 변경이 있다면 그때그때 바로 반영해야 한다. 결함사례#2 관리체계..

2.2.1 주요 직무자 지정 및 관리 인증기준: 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 결함사례#1 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우가 있다. 이런 경우에는 실질적인 업무를 밑의 직원들이 맡고 있던 것이 아닌가 하는 생각이 든다. 임원을 명단에 넣는 것은 기본인 상황이니 말이다. 결함사례#2 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화..

2.1.1 정책의 유지관리 인증기준: 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다. 결함사례#1 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우가 있다. 일관성이 없다는 것은 분명한 한 가지를 의미한다. 당연히 규칙 중 하나 이상은 패스워드 설정 규칙의 정도가 약할 수밖에 없다는 것이다. 패스워드라는 것은 분명 인증 시스템 중 가장 약한 축에 속하는 편이고, 그렇기에 일관적으로 그 정도를 가능한 높일 필요가 있다. A와 B가 있는데 B의 규칙이 더욱 편함에 치중되어 있다면, 이용자들은 B의 규칙을 선호할 수밖에 없을 것이다..

1.4.1 법적 요구사항 준수 검토 인증기준: 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 결함사례 #1 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우가 있다. 어느 조직이건, 체크리스트라는 것을 만들면 그것을 마치 변치 않는 하나의 틀로 인식하는 경우가 제법 있을 것이다. 심지어 법도 매년 조금씩 수정되고, 제정과 일부 조항 삭제가 되기도 하는데, 체크리스트가 매년 똑같을 수는 없다. 체..

1.3.1 보호대책 구현 인증기준: 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 결함사레 #1 ISMS-P 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우가 있다. '잊지말자 불조심'처럼 계속 외쳐야 한다. '잊지말자 경영진의 실질적 참여' 결함사레 #2 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우가 있다. 이거는 사실 놓치는 것에 고개가 끄덕여지는 사례는 아닌 것 같다. 안일함의 결과가 맞을 가능성이 크다. 그런데 결국 세부적으로 보면 다 드러나기 마련이다. ISMS-P 시험과 업무에 대해서..