수달정보보호

개인정보 자기결정권에 대한 오해와 바른 이해

동의 없는 개인정보처리는 원칙적으로 불법일까?  개인정보 처리의 합법성 요건과 관련하여 우리 사회에서 가장 논쟁적인 이슈를 든다면, 개인정보의 처리(수집·이용·제공)에 있어 정보주체의 동의 요건을 합법적인 정보처리의 원칙적 기준으로 설정할 것인가 하는 문제가 있다. 정보주체의 동의를 받지 않고도 '합법적으로' 또한 '합리적으로' 처리할 수 있는 경우에 대한 기준은 정확히 무엇일까? 헌법상 인정되는 개인정보자기결정권에서 의미하는 바는 정보주체의 동의 없는 개인정보의 처리를 금지시키는 것일까? 2005년에 헌재는 주민등록 지문등록 DB 사건을 통해 처음으로 개인정보자기결정권을 '독자적인 기본권'으로 인정하는 결정을 내렸다. 헌재는 구청장이 주민등록증을 발급하면서 개인의 지문정보를 수집하고, 이를 경찰청장이 ..

서류 중심 보안은 불필요한 것을 만드는 일일까

국내 상당수의 감사 내용을 따져 보면, 증적자료가 상당히 요구되는 경우가 많다. 나의 경우 올해 총 3개 사업에 투입되었는데, 첫째는, ISMS-P & ISO 27001이 둘째는, 주요정보통신기반시설 점검이 셋째는, 교육부 수준진단이 핵심인 사업이다. 그중 첫번째 컨설팅의 경우 상당히 많이 증적자료가 요구됐다. 해당하지 않는 영역이 상당했음에도 말이다. 당시 나는 OJT의 일환으로 투입된 거였고, 산출물 관리 역할을 부여받았기에 이를 이해하고 있다. 그리고 세번째 컨설팅인 현재, 나는 담당자들로부터 성토를 가끔 듣곤 했다. 굳이 불필요한 서류를 만들어야 하는 것 아니냐는 말이다. 예를 들어, 대상 기간동안 장비의 외부 반출입이 없었고, 그래서 반출입 관리대장이 없었다고 주장해도 우리는 양식을 만들어 제출..

공격자들 사이에서 유행하는 피싱 도구, '고이슈'

피싱이라는 단어는 보안에 관심이 없어도 귀가 떨어지게 들어볼 단어고, 그만큼 해당 공격이 오랜기간 활발하다는 것을 의미한다. 그런 상황에서 새로운 피싱 도구가 발견됐다. 단순 피싱 도구와 다르게, 표적을 정교하게 설정해주고, 심지어 대량 공격을 할 수 있게 해주는 도구다. 고급 도구라 무료 버전이 없고 유료 버전만 있음에도 인기가 많다고 한다. 이 피싱 도구의 이름은 '고이슈'로, 깃허브 프로필에서 이메일을 자동 추출하고, 그 결과를 이용해 다량의 피싱 공격을 수행하는 것이다. 이 도구는 1. 표적 설정 2. 대량 공격 이 2가지의 결합이라는 점에서 큰 의미가 있다. 특정 기업의 인원들 모두를 타깃으로 할 수 있다는 점에서 이는 기업에게 큰 위협이 될 수 있기 때문이다. 고이슈는 스팸 필터를 우회하여 대..

공격자들 사이에서는 백신 무력화가 유행

팔로알토 네트웍스의 보고에 따르면, 해커들 사이에서 유행하는 것이 있다고 한다. 공격자들은 공개된 소스코드를 입맛에 맞게 수정하고 CLI를 제거함으로써 EDR Sand Blast를 만들어 냈다. 이 도구의 핵심은 사용자 모드 라이브러리와 커널 모드 콜백에서 EDR 후크를 표적으로 삼아 제거하는 것이다. 공격자들은 이 도구를 이용해 백신을 무력화하고, 거기에 추가적으로 미미카츠까지 설치하는 것이 이어진다. 이는 이른바 다크웹에서 성행하는 것으로, 이런 흐름이 강해지면 백신과 EDR을 무력화하는 더욱 강력한 도구가 등장할 수 있을 것이다. 따라서 다크웹을 주시하며 그들의 트렌드를 파악하는 한편, 해당 공격도구의 대응방안에 대해 마련해야 할 것이다. 출처: https://m.boannews.com/html/d..

주요정보통신기반시설 물리적 취약점 점검을 진행하며

현재 진행하는 과업 중 하나는 수십 개의 시스템 대상으로 물리적 취약점을 점검하는 영역이다. 사실 굉장히 간단하게 생각했다. 물리적 취약점 점검은 이번이 처음이지만, 당장 이전에 투입되었던 사업이 주요정보통신기반시설 취약점 진단이었기에 물리적 취약점에 대한 보고서를 접할 수 있었다. 그리고 당시에는 해당 점검이 굉장히 수월하게 진행됐고, 보고서도 워낙 간략했기에 어렵지 않게 보았던 것이다. 항목 수도 18개로 적고 말이다. 그러나 이번 점검을 수행하며 느낀 애로사항이 있다. 1. 물리적 취약점 점검에서만 쓰이는 암묵적인 룰과 문맥이 있다. 물리적 취약점 점검은 언제나 점수가 높은 것을 볼 수 있다. 그렇기에 담당자 입장에서는 100점이 아니면 이상한 것처럼 여겨지는 것일까. 판단에 취약을 주는 경우는 거..

숭실대, 카이스트, 유니스트, 성균관대 4개 대학이 공동으로 개보위가 주관하는 개인정보보호강화 기술연구개발사업의 4차년도 연구개발에 나선다. 이는 신기술 발달에 따른 개인정보에 대한 위협 및 오남용으로부터 보호하기 위한 취지에서 시작됐다. 브라우저상 수집되는 정보주체의 온라인 행태정보 탐지 및 자기 통제기술 개발로 2025년 12월까지 진행될 것이라고 한다. 이 과제의 주 연구대상은 웹 트래커다. 웹 트래커는 개인정보를 침해할 가능성이 충분히 있으며, 따라서 사용자 동의가 필수적이다. 이번 과제의 최종목표는 다음의 5가지로 요약된다. 1. 추정적 분석기술, 자동화된 대응 및 분류기술을 통해 발전적인 추적자 탐지 및 관리 시스템 구축 2. 추적자들의 정적·동적 특징을 바탕으로 기계학습 모델을 개발하고, 다..

좋은 건 언제나 적고, 짧다. 내겐 가을이 그렇다. 개인적으로 가을을 가장 선호하는데, 그래서 가을에는 가능하면 나가서 그 분위기를 만끽하고자 한다. 작년까지는 올림픽공원을 주로 가거나 덕수궁 돌담길을 가곤 했는데, 오늘은 양재천으로 가게 됐다. 나는 개인적으로 사람이 많지 않은 곳을 좋아하는데, 양재는 위치상 서울 남부 혹은 성남시 거주자가 아닌 이상 방문하기가 선뜻 쉽지는 않다. 그러다 보니, 여기서는 여유로운 가을을 마주할 수 있다. 카페가 즐비한 카페거리가 있는 곳이니 카페를 고르는 일도 쉽지는 않다. 그런데 다행스럽게도, 내 취향에 너무나도 맞는 곳을 발견했다. 간이 약하고 가벼운 게 산책을 앞두고 먹기 너무 좋은 곳이었다. 양재천의 장점 중 하나로는 앉을 곳이 다양하게 만다는 것이다. 벤치도 ..

1. 논쟁공군(참모총장)은 장교 및 부사관 모집 시 필기시험 응시자 전원에게 신원진술서, 고교생활기록부, 개인신용정보서, 군 복무 당시 상벌내용, 병적증명서 등 신원조회서류를 제출토록 하는데, 이것이 개인정보를 과도하게 요구하는 것인지의 여부다.2. 내용공군은 지원자들에게 전형서류 3가지와 신원조회서류를 자그마치 9가지나 요청하고 있었다. 전형서류는 일반적인 것으로 이해할 수 있다. 여기서 문제가 되는 것은 9가지의 신원조회서류다. 신원조회를 위한 서류는 국군 기무사의 요청에 따른 것이라고 한다. 기무사는 국정원, 국방부로부터 권한을 위임받아  신원조사 업무를 수행하고 있으며, 1차 합격자에 한하여 ① 신원진술서 ② 기본증명서 ③ 가족관계증명서 ④ 주민등록등본 ⑤ 자기소개서 ⑥ 병적증명서 ⑦ 개인신용정보..

현재 모 기관의 용역사업에 참여하여 정보보안/개인정보보호의 2가지 분야에서 일을 처리하고 있다. 그리고 현재까지 내가 느낀 바로는, 개인정보는 담당자들의 관심이 많지만, 정보보안은 담당자들의 관심이 약하다는 것이다. 그럴 수밖에 없는 게, 개인정보가 담당자분들에게는 더욱 중요하게 여겨지는 대상이기도 하고, 그분들이 대개 교사 출신 또는 일행 공무원이라는 데에서 기인한다. 일행 공무원이라면 법과는 조금이라도 친밀할 수밖에 없으나, IT는 그렇지 아니하다. 관심도 적은데, 사전지식도 전무하니 정보보안에 대한 열의는 적을 수밖에 없는 것이다. 그런데 현재 사업을 진행하는 곳의 독특한 시스템은 이 문제를 더욱 어렵게 만드는 듯하다. 수십 개의 시스템이 있으며, 수십 명의 담당자는 있으나, 그분들은 시스템을 온전..

오늘 7일(목), 서울중앙지방법원, 서울고등법원을 비롯한 전국 법원 홈페이지가 디도스 공격을 받아 일시 마비가 되었다. 디도스 공격으로 인해 연결 자원이 계속 소진되어 이용자들은 정상적인 이용을 할 수 없었고, 이는 친러 해킹그룹의 공격으로 추정된다고 한다. 지난 5일에는 국방부, 합참, 환경부 등을 공격하더니 이번엔 법원 차례였나보다. 이런 국가기관, 공공기관 등을 향한 공격은 이미 오래 전부터 꾸준히 발생하고 있으며, 그들은 본인을 숨길 생각도 없어 보인다. 중국, 북한, 러시아는 돌아가면서 해킹을 하는 의형제처럼 보이며, 나는 이런 뉴스를 자주 볼 때마다 참 씁쓸한 마음을 감추기 어렵다. 특정 국가에 의한 디도스 공격은 지금보다도 더욱 엄정하게 바라볼 필요가 있다고 생각한다. 그러나 디도스 공격은 ..