수달정보보호

1. 클라우드 방화벽의 개념 클라우드 방화벽이라고 해서 막 거창한 것은 아니다. 클라우드에 배포되는 방화벽이면 그게 클라우드 방화벽인 것이다. 이러한 클라우드 방화벽은 가상 장벽을 형성하여 클라우드의 악성 네트워크 트래픽을 방지하며, 기존 방화벽과 동일하게 작동하지만 클라우드라는 점만 다른 것이다. 여기서 방화벽은 클라우드 플랫폼에서 호스팅된다. 클라우드 방화벽은 무단 네트워크 트래픽으로부터 보호하는 보안 제품 역할을 하며, 이러한 보호는 클라우드 CRM, 클라우드 데이터베이스, 이메일 클라우드와 같은 다양한 클라우드 구성 요소에 제공된다. 1.1 클라우드 방화벽의 필요성 클라우드 방화벽은 악의적이고 원치 않는 네트워크 트래픽에 대한 보안을 제공하는 데 매우 중요하다. 클라우드는 기업에 속한 많은 중요 ..

1. 기존의 방화벽 기존 방화벽은 일반적으로 상태, 포트 및 프로토콜을 기반으로 네트워크 내부에 들어오거나 나가는 네트워크 트래픽에 대한 상태 기반 검사를 제공하는 네트워크 보안 장치이다. 따라서 단순한 기존 방화벽에서는 주로 제어 흐름을 제어한다고 볼 수 있다. 물론, VPN 기능도 있다. 그러나 현대에 이르러 기존의 방화벽은 매우 지능적이고 다양한 유형의 사이버 위협을 처리하는 데 필요한 모든 보호 기능을 제공하는 데 그다지 효과적이지 않다. 2. 차세대 방화벽 차세대 방화벽은 일반적으로 상태, 포트, 프로토콜을 기반으로 네트워크 내부에 들어오고 나가는 네트워크 트래픽에 대한 상태 기반 검사를 제공할 뿐만 아니라, 기존 방화벽보다 훨씬 더 많은 추가 기능을 포함하는 네트워크 보안 장치라 할 수 있다...

1. 클라우드 기반 서비스의 개념 클라우드 컴퓨팅은 로컬 서버나 개인용 컴퓨터가 아닌 인터넷에 호스팅된 원격 서버 네트워크를 사용하여 데이터를 저장, 관리 및 처리하는 방식으로 정의할 수 있다. 이러한 종류의 클라우드 컴퓨팅 서비스를 제공하는 회사를 클라우드 제공업체 라고 하며, 일반적으로는 사용량에 따라 클라우드 컴퓨팅 서비스 비용을 청구한다. 그리드와 클러스터는 클라우드 컴퓨팅의 기초라고 할 수 있다. 2. 클라우드 컴퓨팅의 유형 대부분의 클라우드 컴퓨팅 서비스는 다음과 같은 5가지 광범위한 범주로 분류된다. ① 서비스로서의 소프트웨어(SaaS) ② 서비스로서의 플랫폼(PaaS) ③ 서비스로서의 인프라(IaaS) ④ 무엇이든/모든 것을 서비스로 제공(XaaS) ⑤ 서비스로서의 기능(FaaS) 이것들은..

1. 클라우드 컴퓨팅의 개념 클라우드 컴퓨팅은 데이터를 서버나 로컬 드라이브에 저장하는 대신, 인터넷에서 원격 서비스를 제공하여 데이터를 관리, 액세스 및 저장하는 기술 유형이다. 이 기술은 그래서 서버리스 기술이라고도 불리곤 한다. 여기서 데이터라고 하는 것은 이미지, 오디오, 비디오, 문서, 파일 등 무엇이든 될 수 있을 것이다. 2. 클라우드 컴퓨팅의 필요성 클라우드 컴퓨팅을 사용하기 전, 대다수의 IT 기업들은 서버에 데이터를 저장하고 이를 위한 별도의 서버룸이 필요한 전통적인 방식을 사용했다. 그 서버룸에는 데이터베이스 서버, 메일 서버, 방화벽, 라우터, 모뎀, 고속 인터넷 장치 등이 있어야 했다. 이를 위해 IT 기업은 많은 돈을 지출해야 했다. 그러다 비용 문제를 모두 줄이기 위해 클라우드..

1. IAM의 개념 IAM(ID 및 액세스 관리)은 일종의 프레임워크이다. 전자적 또는 디지털 ID 관리를 용이하게 하는 비즈니스 프로세스, 정책과 기술의 프레임워크인 것이다. IAM 프레임워크를 사용하면 관리자는 조직 내 중요한 정보에 대한 사용자 액세스를 제어할 수 있게 된다. IAM에 사용되는 시스템에는 SSO, 2팩터 인증, 멀티팩터 인증 및 권한 있는 액세스 관리가 포함된다. 또한, 이러한 기술은 데이터 거버넌스 기능뿐만 아니라 ID 및 프로필 데이터를 안전하게 저장할 수 있는 기능을 제공한다. 그래서 필요가 있는 데이터만 공유할 수 있도록 한다. IAM 시스템은 클라우드 기반 구독 모델을 통해 서드파티 업체가 제공하는 온 프레미스를 구축하거나 하이브리드 모델로 구축될 수 있다. 기본적으로 IA..

1. 클라우드 보안의 개념 우선 클라우드는 이름에서도 알 수 있듯 구름 같은 것이다. 하늘에 넘쳐나는 구름 같은 광대한 네트워크를 통해 접근할 수 있는 가상화된 서버와 그 서버에서 작동하는 프로그램과 기타 데이터베이스를 제공하는 IT 환경을 말하는 것이다. 그리고 이것을 위한 클라우드 보안은 클라우드 기반의 데이터, 애플리케이션를 비롯한 인프라를 사이버 공격과 위협으로부터 보호하는 업무라고 말할 수 있겠다. 사실 보안이라고 하면 가장 먼저 떠오른 건 사이버 보안인데, 사이버 보안이나 클라우드 보안이나 결국 동일한 목표를 갖고 있는 것이다. 사실 보안이 따지고 보면 다 그런 것이 아니겠는가. 다만 세부적으로 파고 들어가면 차이가 나는 것이다. 클라우드 보안이 기존의 사이버 보안과 분명하게 다른 점은 타사 ..

3.5.1 개인정보 처리방침 공개 인증기준: 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 정보주체가 알기 쉽도록 개인정보 처리방침을 수립하고, 이를 정보주체가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 결함사례#1 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우가 있다. 개인정보 처리방침에 있는 내용은 '알기 쉬운 용어'로 '구체적'이고 '명확하게' 작성해야 함을 원칙으로 한다. 내가 생각하기에 그 이유는 이렇다. 법에서 사용하는 용어는 실생활의 용어와는 차이가 꽤나 있다. 들을 때는 A는 당연히 이거 아냐? 라고 생각할 수 있지만, 법에서 A는 전혀 다른 의미일 수 있다는 것이다. 그..

3.4.1 개인정보 파기 인증기준: 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 결함사례#1 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 데이터베이스에서는 해당 개인정보를 파기하였으나, CRM·DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우가 있다. 개인정보를 파기할 때는 수집경로에 따른 모든 보관장소에 있는 것을 파기해야 한다. DB에서는 파기했는데 연계된 시스템에 남아있는 경우에는 개인정보를 파기하지 않은 숨은 이유가 있다거나, 혹은 개인정보가 정확히 어느 어느 곳에 수집되어 저장이 ..

3.3.1 개인정보 제3자 제공 인증기준: 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다. 결함사례#1 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우가 있다. 개인정보를 제 3자에게 제공하는 것을 동의 받을 때 고지사항에 대해서는 개인정보 보호법에 상세하게 명시돼 있다. 제공받는 자가 누구인지, 그 집단 혹은 개인의 이용 목적은 무엇인지, 어떤 항목을 제공하는 것인지, 제공하면 보유 및 이용 기간은 어찌 되는지, 거부할 권리가 있다는 사실과 불이..

3.2.1 개인정보 현황관리 인증기준: 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. 결함사례#1 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우가 있다. 언제나 관리를 하건, 점검을 하건, 무엇을 하건, 일괄 적용을 원칙으로 삼아야 한다. 시간 상의 문제건, 인력 상의 문제건 누락을 하는 것은 있어서는 안 될 일로 여겨야 한다. 내가 ISMS-P 업무를 맡던 도중 이를 위해 야근을 해야 한다면 어쩔 수 없이 해야 한다는 사실을 받아들일 것..