[보안] 개인정보 보호법 2023년 9월 개정안: 개인정보 전송요구권, 필수동의 생략, 관리감독 강화, 영상정보처리기기/AI 규제, 온오프라인 일원화, 가명정보와 국외이전 규제 강화
2020년 8월에 데이터 3법 시행 및 개인정보 보호위원회가 출범한 후, 개인정보 보호법이 일부 개정되었습니다. 2023년 9월부터 시행되는 개정안에 대해 알아봅니다. [ Contents ] 1. 개인정보 전송요구권(이동권) 정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송 요구할 수 있는 권리 빅데이터 분석, AI 학습에는 많은 데이터가 요구됩니다. 이에 따라 개인정보가 대량 수집 및 유통되고 있으나, 정보주체는 본인정보를 주도적으로 유통 및 활용하는 데에 한계가 있었습니다. 예를 들어 멜론에서 유튜브 뮤직으로 옮겼을 때, 가장 큰 불편함은 새로 재생목록을 생성하고 좋아하는 노래에 다시 ♥ 표시를 해야 한다는 점입니다. 그래야 제대로 된 음악 추천을 받을 수 있죠. 그러나, 이제부터는 자신의 개인..
2023. 10. 25.
[보안] 서비스 거부 공격의 개념과 종류: TCP SYN Flooding, ICMP Flooding, Tear Drop, Land Attack, (slow) HTTP Get/Post Flooding, cache control Attack
서비스 거부 공격은 공격대상의 시스템(서버)에 과부하를 줘서 정상적인 서비스를 하지 못하도록 만드는 공격입니다. 그 종류는 TCP SYN Flooding, ICMP Flooding, Tear Drop, Land Attack, (slow) HTTP Get/Post Flooding, cache control Attack 등 다양한 취약점을 노린 공격기법이 있으며 이를 아래에서 살펴봅니다. [ Contents ] 1. 서비스 거부 공격 (DoS: Denial of Service) 특정 서비스를 계속 호출하여 CPU, 메모리, 네트워크 등의 컴퓨터 리소스를 고갈시키는 공격 각 서비스는 평균적인 이용자 수, 서비스 이용률에 따라 리소스를 배분합니다. 따라서 갑작스런 서비스 요청이 폭주할 경우, 서버 과부하로 서비..
2023. 10. 23.
[보안] APT 공격의 개념과 단계: 침투, 탐색, 수집/공격, 유출
APT 공격에 대해 알아보고, APT 공격 단계를 살펴봅니다. [ Contents ] 1. APT(Advanced Persistent Threat) 특정 공격대상에게 다양한 공격 기법을 사용해서 지속적으로 공격하는 행위 뉴스기사를 보면 D-Dos 만큼이나 자주 나오는 용어가 APT 공격입니다. 현대의 보안 솔루션을 뚫을려면 당연히 공격대상에 대한 다양한 정보수집과 분석, 공격이 필요하며 이는 지속적인 공격행위에 해당합니다. 그래서 어느 기관이나 기업이 해킹을 당했다면, 이는 APT 공격일 가능성이 99%입니다. 해커들은 방화벽, 백신, 서버 등 다양한 보안 취약점을 공격하며, 특히 '사회공학적 기법'까지 동원합니다. 사회공학적 기법은 사람이 하기 쉬운 실수나 부주의한 행동, 습관을 노려 공격하는 기법을 ..
2023. 10. 13.
