수달정보보호

1. 기존의 방화벽 기존 방화벽은 일반적으로 상태, 포트 및 프로토콜을 기반으로 네트워크 내부에 들어오거나 나가는 네트워크 트래픽에 대한 상태 기반 검사를 제공하는 네트워크 보안 장치이다. 따라서 단순한 기존 방화벽에서는 주로 제어 흐름을 제어한다고 볼 수 있다. 물론, VPN 기능도 있다. 그러나 현대에 이르러 기존의 방화벽은 매우 지능적이고 다양한 유형의 사이버 위협을 처리하는 데 필요한 모든 보호 기능을 제공하는 데 그다지 효과적이지 않다. 2. 차세대 방화벽 차세대 방화벽은 일반적으로 상태, 포트, 프로토콜을 기반으로 네트워크 내부에 들어오고 나가는 네트워크 트래픽에 대한 상태 기반 검사를 제공할 뿐만 아니라, 기존 방화벽보다 훨씬 더 많은 추가 기능을 포함하는 네트워크 보안 장치라 할 수 있다...

1. 클라우드 기반 서비스의 개념 클라우드 컴퓨팅은 로컬 서버나 개인용 컴퓨터가 아닌 인터넷에 호스팅된 원격 서버 네트워크를 사용하여 데이터를 저장, 관리 및 처리하는 방식으로 정의할 수 있다. 이러한 종류의 클라우드 컴퓨팅 서비스를 제공하는 회사를 클라우드 제공업체 라고 하며, 일반적으로는 사용량에 따라 클라우드 컴퓨팅 서비스 비용을 청구한다. 그리드와 클러스터는 클라우드 컴퓨팅의 기초라고 할 수 있다. 2. 클라우드 컴퓨팅의 유형 대부분의 클라우드 컴퓨팅 서비스는 다음과 같은 5가지 광범위한 범주로 분류된다. ① 서비스로서의 소프트웨어(SaaS) ② 서비스로서의 플랫폼(PaaS) ③ 서비스로서의 인프라(IaaS) ④ 무엇이든/모든 것을 서비스로 제공(XaaS) ⑤ 서비스로서의 기능(FaaS) 이것들은..

1. 클라우드 컴퓨팅의 개념 클라우드 컴퓨팅은 데이터를 서버나 로컬 드라이브에 저장하는 대신, 인터넷에서 원격 서비스를 제공하여 데이터를 관리, 액세스 및 저장하는 기술 유형이다. 이 기술은 그래서 서버리스 기술이라고도 불리곤 한다. 여기서 데이터라고 하는 것은 이미지, 오디오, 비디오, 문서, 파일 등 무엇이든 될 수 있을 것이다. 2. 클라우드 컴퓨팅의 필요성 클라우드 컴퓨팅을 사용하기 전, 대다수의 IT 기업들은 서버에 데이터를 저장하고 이를 위한 별도의 서버룸이 필요한 전통적인 방식을 사용했다. 그 서버룸에는 데이터베이스 서버, 메일 서버, 방화벽, 라우터, 모뎀, 고속 인터넷 장치 등이 있어야 했다. 이를 위해 IT 기업은 많은 돈을 지출해야 했다. 그러다 비용 문제를 모두 줄이기 위해 클라우드..

Cloudflare의 발표에 따르면, 지난해 4분기에 세계적으로 디도스 공격이 급증했다고 한다. 연말연시 전후로 한 웹사이트를 향한 공격이 늘었으며, 국가간 전쟁과 갈등의 이유로 디도스 공격이 증가한 것으로 보인다. 그 연말연시라는 것은 정확히는 블랙프라이데이를 말하는 것이고, 전쟁과 갈등이라 함은 이스라엘&팔레스타인 이슈가 되겠다. 디도스 공격은 규모와 정교함 측면에서 새로운 영역에 들어섰다고 해도 과언이 아니다. 이전에 볼 수 없었던 속도로 수천 건의 초대량 디도스 공격이 지속되는 것을 볼 수 있었기 때문이다. 이러한 공격은 HTTP/2 취약점을 이용한 것이다. Cloudflare는 취약점의 영향을 완화하기 위해 제작된 기술을 공개한 바 있다. HTTP DDoS 공격이 줄어들자 네트워크 계층을 노리는..

1. IAM의 개념 IAM(ID 및 액세스 관리)은 일종의 프레임워크이다. 전자적 또는 디지털 ID 관리를 용이하게 하는 비즈니스 프로세스, 정책과 기술의 프레임워크인 것이다. IAM 프레임워크를 사용하면 관리자는 조직 내 중요한 정보에 대한 사용자 액세스를 제어할 수 있게 된다. IAM에 사용되는 시스템에는 SSO, 2팩터 인증, 멀티팩터 인증 및 권한 있는 액세스 관리가 포함된다. 또한, 이러한 기술은 데이터 거버넌스 기능뿐만 아니라 ID 및 프로필 데이터를 안전하게 저장할 수 있는 기능을 제공한다. 그래서 필요가 있는 데이터만 공유할 수 있도록 한다. IAM 시스템은 클라우드 기반 구독 모델을 통해 서드파티 업체가 제공하는 온 프레미스를 구축하거나 하이브리드 모델로 구축될 수 있다. 기본적으로 IA..

미국의 사이버 보안 전담 기관인 CISA와 FBI가 보안 경고문을 발표했다. 골자는 최근 아파치 웹 서버와 웹사이트를 겨냥한 멀웨어 유포 공격이 이뤄지고 있으니 이에 대한 대비를 하라는 것이다. 아마존 웹 서비스(AWS)나 마이크로소프트 오피스 365와 같이 한국에서도 널리 쓰이는 애플리케이션에서 악의적인 자격증명 수집을 위한 안드록고스트(Androxgh0st) 악성코드가 배포되고 있다는 것이다. 23년 1월, Fortinet의 분석에 따르면 해당 악성코드는 약 40,000개의 호스트를 감염시켰다고 한다. 그리하여 공격자들은 앱에 있는 각종 민감 정보에 접근할 수도 있고, 아예 악의적인 목적을 갖고 앱을 사용할 것이다. 한 번 크리덴셜을 탈취하면, 그때부터는 공격자의 세상인 것이다. 이 안드록고스트는 2..

1. 클라우드 보안의 개념 우선 클라우드는 이름에서도 알 수 있듯 구름 같은 것이다. 하늘에 넘쳐나는 구름 같은 광대한 네트워크를 통해 접근할 수 있는 가상화된 서버와 그 서버에서 작동하는 프로그램과 기타 데이터베이스를 제공하는 IT 환경을 말하는 것이다. 그리고 이것을 위한 클라우드 보안은 클라우드 기반의 데이터, 애플리케이션를 비롯한 인프라를 사이버 공격과 위협으로부터 보호하는 업무라고 말할 수 있겠다. 사실 보안이라고 하면 가장 먼저 떠오른 건 사이버 보안인데, 사이버 보안이나 클라우드 보안이나 결국 동일한 목표를 갖고 있는 것이다. 사실 보안이 따지고 보면 다 그런 것이 아니겠는가. 다만 세부적으로 파고 들어가면 차이가 나는 것이다. 클라우드 보안이 기존의 사이버 보안과 분명하게 다른 점은 타사 ..

3.5.1 개인정보 처리방침 공개 인증기준: 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 정보주체가 알기 쉽도록 개인정보 처리방침을 수립하고, 이를 정보주체가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 결함사례#1 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우가 있다. 개인정보 처리방침에 있는 내용은 '알기 쉬운 용어'로 '구체적'이고 '명확하게' 작성해야 함을 원칙으로 한다. 내가 생각하기에 그 이유는 이렇다. 법에서 사용하는 용어는 실생활의 용어와는 차이가 꽤나 있다. 들을 때는 A는 당연히 이거 아냐? 라고 생각할 수 있지만, 법에서 A는 전혀 다른 의미일 수 있다는 것이다. 그..

3.4.1 개인정보 파기 인증기준: 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 결함사례#1 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 데이터베이스에서는 해당 개인정보를 파기하였으나, CRM·DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우가 있다. 개인정보를 파기할 때는 수집경로에 따른 모든 보관장소에 있는 것을 파기해야 한다. DB에서는 파기했는데 연계된 시스템에 남아있는 경우에는 개인정보를 파기하지 않은 숨은 이유가 있다거나, 혹은 개인정보가 정확히 어느 어느 곳에 수집되어 저장이 ..

3.3.1 개인정보 제3자 제공 인증기준: 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다. 결함사례#1 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우가 있다. 개인정보를 제 3자에게 제공하는 것을 동의 받을 때 고지사항에 대해서는 개인정보 보호법에 상세하게 명시돼 있다. 제공받는 자가 누구인지, 그 집단 혹은 개인의 이용 목적은 무엇인지, 어떤 항목을 제공하는 것인지, 제공하면 보유 및 이용 기간은 어찌 되는지, 거부할 권리가 있다는 사실과 불이..