수달정보보호

2.3.1 외부자 현황 관리 인증기준: 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 결함사례#1 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우가 있다. 조직 내 직원, 자산보다도 등한시하게 되는 것이 외부 직원, 위탁업체 등이 될 것이다. 외부 요소도 변경이 있다면 그때그때 바로 반영해야 한다. 결함사례#2 관리체계..

2.2.1 주요 직무자 지정 및 관리 인증기준: 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 결함사례#1 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우가 있다. 이런 경우에는 실질적인 업무를 밑의 직원들이 맡고 있던 것이 아닌가 하는 생각이 든다. 임원을 명단에 넣는 것은 기본인 상황이니 말이다. 결함사례#2 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화..

2.1.1 정책의 유지관리 인증기준: 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다. 결함사례#1 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우가 있다. 일관성이 없다는 것은 분명한 한 가지를 의미한다. 당연히 규칙 중 하나 이상은 패스워드 설정 규칙의 정도가 약할 수밖에 없다는 것이다. 패스워드라는 것은 분명 인증 시스템 중 가장 약한 축에 속하는 편이고, 그렇기에 일관적으로 그 정도를 가능한 높일 필요가 있다. A와 B가 있는데 B의 규칙이 더욱 편함에 치중되어 있다면, 이용자들은 B의 규칙을 선호할 수밖에 없을 것이다..

1.4.1 법적 요구사항 준수 검토 인증기준: 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 결함사례 #1 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우가 있다. 어느 조직이건, 체크리스트라는 것을 만들면 그것을 마치 변치 않는 하나의 틀로 인식하는 경우가 제법 있을 것이다. 심지어 법도 매년 조금씩 수정되고, 제정과 일부 조항 삭제가 되기도 하는데, 체크리스트가 매년 똑같을 수는 없다. 체..

1.3.1 보호대책 구현 인증기준: 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 결함사레 #1 ISMS-P 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우가 있다. '잊지말자 불조심'처럼 계속 외쳐야 한다. '잊지말자 경영진의 실질적 참여' 결함사레 #2 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우가 있다. 이거는 사실 놓치는 것에 고개가 끄덕여지는 사례는 아닌 것 같다. 안일함의 결과가 맞을 가능성이 크다. 그런데 결국 세부적으로 보면 다 드러나기 마련이다. ISMS-P 시험과 업무에 대해서..

1.2.1 정보자산 식별 인증기준: 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 결함사례 #1 ISMS-P 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우가 있다. 자산을 식별한다는 것은 언제나 힘든 일이다. 자산이라는 게 세부적으로 들어가면 종류가 워낙 많기에 놓칠 수도 있을 것이다. 따라서 자산을 구분해서 문서화하는 것이 중요하다고 생각한다. 그러면 실수 없이 놓치지 않고 관리할 수 있을 것이다. 결함사레 #2 ISMS-P 관리체계 범위 내에서 제3자로부..

당분간 ISMS-P에 대해 깊게 파고들면서 결함사례에 대한 고찰을 해보고자 한다. 인증기준이 무엇이고, 확인 사항은 어찌 되며, 세부적인 내용은 어떻고, 그에 대한 증거자료는 무엇인지, 이에 대한 학습은 작년에도 한 바가 있는데, 결함사례에 대해서는 슥 보고만 넘어가고 생각해 보며 공부한 적이 없는 것 같다. 이에 따라 결함사례에 대해 제대로 알아보고자 한다. 1.1.1 경영진의 참여 인증기준: 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 결함사례 #1 (개인)정보보호 정책서에 분기별로 현황에 대해 경영진에게 보고하도록 명시하는 것이 철칙이다. 그러나 장기간 그것을 수행하지 않은 경우가 있겠..

1. 데이터베이스 백업 방법 데이터베이스 백업은 만약에 있을 수 있는 장애 및 공격으로부터 데이터 유실을 방지하기 위한 최소한의 활동이다. 선택이 아닌 필수일 것이며, 백업을 한 것이 무용지물이 되지 않도록 망분리를 하는 것도 필수다. 이런 데이터베이스 백업은 전체 백업, 차등 백업, 증분 백업으로 분류하는 것이 일반적이다. 전체 백업은 데이터베이스 전체를 백업받는 것이다. 가장 단순하고 간단한 방법이다. 하지만 매일 전체 백업을 받으려면 얼마나 많은 시간이 필요할까. 파일은 대개 누적이 되는데 말이다. 아무리 1년 전 데이터도 필요할 때가 있을 법인지라, 회사의 자료를 함부로 지우는 사람은 거의 없을 테다. 그런데 시간을 잡아먹으며 컴퓨터 성능을 떨구는 것만 아니라, 그것을 모두 백업하기 위해선 결국 ..

1. 랜섬웨어의 개념랜섬웨어는 피해자의 데이터, 파일, 장치 또는 시스템을 잠그고 암호화하는 공격이다. 그래서 공격자는 몸값을 받을 때까지 해당 시스템에 접근하거나 사용할 수 없도록 만든다.초창기 랜섬웨어는 피해자가 파일과 시스템에 액세스하는 것을 방지하기 위해 암호화만 사용했다. 그러나 정기적인 백업을 받은 피해자는 데이터를 복원할 수 있었기 때문에 몸값을 지불할 필요가 없었다. 그래서 언제나 백업이라는 것은 여전히 소중하게 여겨지는 것일 테다. 그런데 그것을 가만히 냅둘 공격자가 아니다. 공격자들은 피해자를 협박하여 몸값을 지불하도록 추가 위협을 가하는 사이버 갈취 전술을 통합하기 시작했다. 또한, 공격자들은 조직이 데이터를 복원하는 것을 막기 위해 피해자의 백업을 점점 더 표적으로 삼기 시작했다. ..

1. IDEA(International Data Encryption Algorithm) 암호화의 개념 IDEA는 DES를 대체하기 위해 등장한 것으로, 평문을 읽을 수 없는 형식으로 암호화하도록 설계된 대칭 키 블록 암호 암호화 알고리즘이다. 일반적인 블록 크기인 128 비트를 사용하고, 64비트를 입력으로 사용한다. 즉, 64비트 데이터라고 할 수 있다. IDEA는 6개의 서로 다른 하위 키를 사용하여 동일한 암호화 및 복호화 라운드를 수행하며, 출력 변환을 위해 4개의 키를 사용한다. IDEA는 XOR 연산을 포함한 일련의 수학 연산을 사용하여 평문을 암호문으로 변환한다. 이 암호는 차분 공격, 선형화 공격을 포함한 다양한 유형의 공격에 대해 매우 안전하도록 설계되었다. IDEA의 강점 중 하나는 소..