수달정보보호

★ Ivanti 취약점Ivanti VPN 솔루션인 Ivanti Connect Secure 및 Ivanti Policy Secure에서 제로데이 취약점이 공개됐다. 공격에 성공할 경우 기업 네트워크 망에 자유롭게 접근할 수 있다. ★ 크로스 체인하나의 블록체인 네트워크에서 다른 블록체인 네트워크로 가상자산 ,NFT 등을 교환하는 것 ★ 토네이토 캐시범죄자들이 자금 출처를 숨기기 위해 일반적으로 사용하는 방식으로 라자루스가 탈취한 가상자산을 돈 세탁하는 등 각종 사이버 범죄에 연루된 혐의를 받는 업체 ★ 볼트 타이푼중국 정부 지원 해킹 그룹으로, 미국의 통신, 에너지, 교통 시스템 등 주요 인프라의 내부망에 최소 5년 간 침투해 있었다는 사실이 공개됐다. 소형 및 수명이 다한 라우터, 방화벽, VPN 취약점..

새 봇넷 멀웨어가 등장했다. 저그에카(Zergeca)라는 멀웨어로, Go 언어로 작성되었으며, DDoS 공격을 위해 만들어진 것으로 의심되고 있다. 이 멀웨어의 C&C 서버에는 ootheca라는 문자열이 있는 것으로 밝혀졌는데, ootheca는 곤충의 알주머니를 뜻한다. 사실 나도 저그에카라는 단어를 보자마자 스타크래프트..? 하고 해당 게임을 떠올렸는데, 실제 거기에서 이름을 따왔다고 한다. Zerg + ootheca = Zergeca인 것이다. 이 저그에카는 단순 DDoS 봇넷이라고 치부할 수 없다. 기존 봇넷 멀웨어들이 지니고 있지 않은 기능들을 포함하고 있기 때문이다. ① 6가지 유형의 DDoS 공격(http 플러드, 신플러드, 액플러드, 푸시플러드, 레스트플러드, 푸시OVH플러드) ② 프록시 ③..

★ 합성데이터실제 데이터(Real Data)와 통계적 특성이 유사하여, 실제 데이터 분석결과와 유사한 결과를 얻을 수 있도록 새롭게 생성해낸 가상의 데이터 ★ 합성데이터의 유형① 완전 합성데이터 (Fully synthetic data): 생성하려고 하는 데이터에 실제 데이터가 하나도 없이 모두 가상으로 생성된 데이터② 부분 합성데이터 (Partially synthetic data): 실제 데이터 중 일부 데이터셋 또는 일부 속성·변수를 선택하여 합성데이터로 대체한 데이터. 다른 속성은 그대로 두고, 민감성이 높거나 공개가 어려운 데이터만 합성데이터로 대체하는 방식 등으로 활용③ 복합 합성 데이터 (Hybrid synthetic data): 일부 변수들의 값을 합성데이터로 생성하고 생성된 합성데이터와 실제..

★ 인공지능 모델 관련 프라이버시 공격 유형① 전도공격: 공격 대상이 되는 분류 모델이 이용하는 클래스(Class)의 대표적인 이미지를 모델의 질의 결과를 이용하여 역산하는 공격② 멤버 추론 공격: 정보주체의 데이터가 특정 클래스로 학습되었는지 확인하는 공격③ 특징 추론 공격: 정보주체의 데이터 중 특정 특징(Attribute)을 추론하는 공격④ 데이터 유출 공격: 훈련에 이용된 데이터를 추출하는 공격 ★ 인공지능 모델 관련 공격 완화 및 권리보장 방안① 인공지능 모델의 파라미터에 대한 접근 제한: 인공지능 모델의 내부 파라미터가 유출될 경우 공격자가 해당 모델에 대한 무제한의 질의와 모델 내부정보를 이용해서 프라이버시 공격들의 성능을 향상시키는 것이 가능하므로 해당 모델을 외부에 전부 공개하거나 모델에..

1. ID와 결제상품정보가 개인정보에 해당하나요?개인정보는 결국 개인을 알아볼 수 있는지 여부에 달려 있다. 해당 내용만으로 개인을 식별할 수 있거나, 혹은 다른 정보와 결합하여 개인을 식별할 수 있다면 이는 개인 정보에 해당할 수 있다. 2. 가상자산 지갑주소가 개인정보에 해당하나요?지갑주소 자체만으로는 개인을 식별하기에는 어려울 것이고, 따라서 개인정보라 보기 어려울 것이다. 그러나 다른 정보와 결합하여 특정 개인을 식별할 수 있다면 이것 역시 개인정보가 될 수 있다. 3. 본인확인기관이 주민등록번호를 변환한 연계정보(CI)가 개인정보에 해당하나요?지정된 본인 확인기관이 주민등록번호를 변환한 연계정보(CI)는 다른 정보와 결합하여 특정인을 식별할 수 있으므로 개인정보에 해당한다. 4. 사망자 관련 정..

★ 개인정보 처리방침 작성 기본사항① 법령 부합성: 개인정보처리자는 법 제30조 제1항 각 호 및 영 제31조 제1항 각 호의 사항 중 해당되는 내용을 모두 작성하여야 하며, 작성된 내용은 개인정보 보호 법령에 부합하여야 함.② 투명성 및 정확성: 개인정보처리자는 정보주체의 알 권리 보장을 위해 자신의 개인정보 처리 현황을 정확하게 반영하여 개인정보 처리방침을 작성하고, 이를 투명하게 공개하여야 함. 개인정보처리자는 개인정보 처리방침에 공개한 내용이 실제 개인정보 처리 현황과 일치할 수 있도록 하는 등의 정확성과 투명성, 최신성을 유지할 수 있도록 수립 및 관리하여야 함.③ 명확성 및 가독성: 개인정보처리자는 법 제30조 제1항 각 호 및 영 제31조 제1항 각 호의 사항을 정보주체가 쉽게 알 수 있도록..

★개인정보 유출 정보주체 피해 구제① 홈페이지 등을 통한 유출여부 조회 기능 제공② 유출로 인한 피해 신고, 접수, 상담, 문의 등 각종 민원대응 방안 마련③ 유출 대응 현장 혼란 최소화 방안 강구④ 보이스피싱 등 2차 피해 방지를 위한 유의 사항 안내⑤ 피해 보상 계획 마련 및 관련 제도 안내 ★개인정보 유출 재발방지 대책 마련① 개인정보 유출 원인 등에 대한 개선방안 마련② 취급자 대상 개인정보보호 교육 실시③ 홈페이지 취약점 제거 등 개인정보 안전조치 강화 등재발 ★ 개인정보 유출 등 사고 발생 사실 보고 체계 ★ 개인정보 유출 신속대응팀 업무절차① 개인정보 유출 신속대응팀 구성② 유출원인 파악 및 추가 유출 방지조치③ 개인정보 유출 신고 및 통지④ 이용자 피해구제 및 재발방지 대책 마련 ★ 피해 ..

1. 논쟁개인정보자기결정권의 보호대상이 되는 개인정보의 의미 및 공적 생활에서 형성되었거나 이미 공개된 개인정보가 이에 포함되는지 여부.국회의원 A 등이 '각급 학교 교원의 교원단체 및 교원노조 가입현황 실명자료'를 인터넷을 통하여 공개한 행위가 해당 교원들의 개인정보자기결정권 등을 침해하는 것으로 위법하다고 한 사례.간접강제 배상금이 채무자의 작위의무 불이행으로 인한 손해의 전보에 충당되는지 여부.2. 내용개인정보자기결정권이란, 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리다. 이 정보에는 개인의 신념이 포함되며, 이는 개인의 내밀한 영역에 속하는 정보에 국한하지 않는다. 이미 공개된 정보라고 해도, 이 내용에 포함되어야 한다..

1. 논지서울시 교육감이 졸업생의 성명, 생년월일 및 졸업일자를 교육정보시스템에 보유하는 행위가 법률유보원칙에 위배되는지 여부.그 행위가 해당 정보주체의 개인정보자기결정권을 침해하는지 여부.2. 내용피청구인 서울시 교육감과 교육부 장관은 졸업생 관련 제증명의 발급이라는 소관 민원업무를 효율적으로 수행하기 위해 졸업생의 성명, 생년월일, 졸업일자를 보관하고 있다. 나도 당연히 취업을 위해 이 제증명을 발급한 적이 있다. 아마 성인 중에서는 다들 한 번쯤은 발급한 적이 있지 않을까 싶다. 그리고 성명, 생년월일, 졸업일자 정도 뿐이라면 "공공기관은 소관업무를 수행하기 위하여 필요한 범위 안에서 개인정보화일을 보유할 수 있다."는 공공기관의개인정보보호에관한법률에 위배되지 않는 것으로 보인다. 따라서 피청구인들..

1. 논지심판대상(개인의 지문정보, 수집, 보관, 전산화 및 범죄수사 이용)과 개인정보자기결정권의 대립.심판대상이 법률유보의 원칙에 위배되는지 여부와 개인정보자기결정권을 과잉제한하는지의 여부.2. 내용경찰이 범죄에 활용하기 위해 손가락 10개의 지문 모두를 수집하는 행위에 대한 논쟁 내용이다. 내가 주민등록번호를 제공했던 경험이 주민등록증을 신청 및 발급할 때였는데, 그때에도 10개를 모두 수집하지는 않았던 것으로 기억한다. 최대 6개 정도였던 느낌이다. 그런데 10개를 전부 수집한다고 하니 시민 A가 이에 불만을 품고 문제를 제기한 것으로 보인다. 주민등록법의 내용을 살펴 보면, 정확히 어느 손가락, 몇 개의 손가락에서 지문을 확보하는지에 대한 구체적인 내용은 없다. 즉, 성문화된 내용으로는 1개를 해..