본문 바로가기

정보 보안

테스트 수행 시 고객정보 유출 방지 위한 데이터 변환 방안 금융권 프로젝트에서 IT 시스템에 대한 테스트 수행 시 전자금융감독규정에 의거하여 실제 이용자 정보를 사용할 수 없고, 변환해 테스트 데이터를 만들어 사용하도록 규정하고 있습니다. [전자금융감독규정] 제13조(전산자료 보호 대책)① 금융회사 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호 대책을 수립•운용하여야 한다.10. 이용자 정보의 조회·출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지(다만, 부하 테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다) 전자금융감독규정, 출처: 법령정보센터, 2013.12.3 기준 그럼에도 불구하고 2014년 카드 3사의 고객정보 1억 400만 건이 유출되는 사.. 더보기
동화로 읽는 개인정보보호 #1 ‘빨간 모자가 개인정보를 중요하게 여겼다면?’ 빨간 모자 동화를 아시나요? 이는 아이들에게 세상의 위험에서 자신을 지키려면 착한 사람과 나쁜 사람을 구별하는 지혜가 필요하다는 걸 알려주는 이야기입니다. 해킹이나 보이스피싱과 같은 범죄에 빈번하게 노출되는 오늘날, 빨간 모자 동화를 통해 개인정보를 지킬 방안에 대해 이야기해 보겠습니다. 내 개인정보를 내가 꼬박꼬박 제공한다?! ● Scene옛날 옛적에~ 언제나 빨간 모자를 쓰고 다녀 빨간 모자라 불리는 아이가 살았습니다. 어느 날, 빨간 모자가 엄마의 심부름으로 할머니 병문안을 하러 가던 중 늑대가 나타나 상냥하게 물었습니다. "넌 누구니?" "빨간 모자예요.""어디 가는 길이니?" "할머니 댁에 가요.""왜 가니?" "할머니께서 아프셔서요." ● Problem이 대화의 문제점을 찾으셨나요? 처음 보는.. 더보기
개인정보 실태 점검 사례를 통한 침해사고 대응 준비 ‘구글링한다.’라는 표현이 등장하듯이 인터넷을 통한 온라인 서비스의 증가는 많은 도움이 되고 있습니다. 그러나 밝은 것이 있으면 어두움이 존재하듯이 온라인을 통해 검색을 조금만 해봐도 단순 스크립트를 이용하여 침해사고를 유발하는 사례도 많이 있습니다. 상황이 이렇게 되다 보니 해킹 사고 소식이 계속 들려 옵니다. 더구나 개인정보보호에 대한 법적 조치가 강화되면서 기존에는 알려지지 않던 사고 사례조차 공개되다 보니 더 많이 알려지는 것으로 보입니다. 그러나 보안 담당자가 취해야 하는 침해사고 발생 시 대응 사례는 검색을 통해 정보를 수집하는 데 어려움이 있습니다. 이런 유출 사례를 자발적으로 공개하기 꺼릴 수밖에 없는 점과 상세 대응을 위해 취한 조치 등은 보호조치의 일환으로 대외비(비밀) 등으로 관리되다.. 더보기
우리는 언제까지 개인정보 유출이 일어나지 않기를 기도만 할 것인가? 개인정보 유출 사고가 연일 뉴스에 오르내리고 있습니다. 이런 개인정보 유출 사고가 우리 회사에서 일어나지 않기를 기도하는 것만이 유일한 대응방법일까요? 이번 시간의 주제인 개인정보 유출 대비•대응 방안에 알아보기 전에 개인정보 유출의 정의부터 살펴보도록 하겠습니다. 개인정보 유출이란? ‘표준개인정보보호 지침 제26조(개인정보 유출)’를 살펴보면 개인정보 유출의 정의를 아래와 같이 하고 있습니다. [정의]개인정보의 유출이라 함은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다. 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등.. 더보기
최신 보안위협에 대한 대응 방안은? 최근, 언론을 통해 보안사고 관련 기사를 자주 보셨을 것입니다. 사실, 기사를 못 보신 날이 없을 만큼, 보안사고는 우리 일상 속에서 자주 일어나고 있는데요. 그만큼, 조직 내 보안담당자와 정보보호 최고책임자(Chief Information Security Officer, CISO)의 고민은 깊어질 수밖에 없는 것 같습니다. 보안담당자는 항상 이런 고민을 하게 됩니다. ‘지속적인 투자는 진행하고 있지만, 보안사고는 계속 발생되고… 현재 우리 회사는 정말 안전한 것인가?’‘보안사고를 예방할 수 있는 효과적인 방법은 없을까?’ 본 기고에서는 최근 보안의 ‘Trend’를 살펴보면서 이러한 고민을 해결할 수 있는 실마리를 같이 고민해 보고, 대응 방향을 제시하고자 합니다. 보안 Risk 관리는 어떻게 해야 할까.. 더보기
인공지능과 보안 CES 2016에서 핵심 키워드였던 무인 자율 주행 자동차사람의 취향에 맞는 음악이나 영화 등의 콘텐츠를 추천해주고 어떤 장소에 들어갈 때 그 장소에 맞는 쿠폰이나 필요한 물건들을 추천해주는 시스템음성 인식을 통해 문장을 만들고 자연어 처리로 컴퓨터가 이해할 수 있는 명령으로 바꾸어 주고 그 명령을 기반으로 사용자가 원하는 액션을 처리하는 스마트 비서사진이나 동영상에서 특정 사람의 얼굴을 인식하여 저장되어 있는 사진들을 사람 별로 추출하고 추출한 사진에서 특징을 패턴화시키고 자동화하여 개인별 맞춤 앨범을 만들어 주는 서비스사용자가 평소와 다른 금융 거래를 진행할 때 이를 감지하여 경고하는 시스템 최근 들어 우리들이 주변에서 뉴스나 기사를 통해 자주 접하게 되는 위와 같은 기술이나 서비스의 공통점은 무엇일.. 더보기
IoT 보안 취약점 진단 A to Z 작년의 IoT(Internet of Things) 보안에 대한 기고에서는 일반적인 IoT 보안의 문제점에 대해서 알아보고, 그 대책에 대해서 생각해 보는 시간을 가졌습니다. 이번 시간에는 최근의 IoT 보안 취약점 보고 사례를 살펴보고, 보안 진단으로 출시 전 대응하는 방법을 소개해 드리겠습니다. IoT 보안 취약점 보고 사례 2015년 화이트해커의 컨퍼런스인 BlackHat에서 한 연구원이 지그비(ZigBee) 보안 결함을 발표하였습니다. 당시 해킹 대상이 된 IoT 디바이스로는 도어락, Smart 기기, 전구였고, 지그비라는 근거리 무선 프로토콜을 재접속 시에 암호화키 교환을 평문(Plaintext)으로 하는 경우 짧은 시간이지만 키가 노출됐다고 합니다. 전파 방해 공격(Jamming)을 하게 되면 .. 더보기