본문 바로가기

보안41

[보안] 제로 트러스트(Zero Trust) 보안 기법 주요 개념 및 원칙 알아보기 외부 뿐만 아니라 내부의 위험요소까지 모두 고려하는 '제로 트러스트' 보안 기법에 대해서 알아봅니다. [ Contents ]  1. 제로 트러스트(Zero Trust) ‘아무도 신뢰하지 않는다’라는 원칙에 기반하여, 내부와 외부를 구분하지 않고 모든 사용자, 디바이스, 어플리케이션, 네트워크 요청을 지속적으로 검증하는 사이버 보안 모델  전통적인 네트워크 보안모델은 외부의 침입을 방어하는 모델이었습니다. 방화벽을 통해 외부의 접근을 막고, 심지어는 망 분리를 통해서 아예 내부망과 외부망을 분리하기도 했죠. 하지만 요즘은 외부보다 내부 요인에 의한 보안 허점이 많은 편입니다. 내부 관리자의 관리 소홀이나 실수로 인한 보안 실책이 주요 요인이 되어 보안이 뚫리는 경우가 허다하죠. 예를 들어, 잠시 외부 서비.. 2025. 1. 19.
[보안] 개인정보 목적 외 이용 및 제3자 제공: 개념과 사례, 목적 내 제3자 제공과의 차이점 보통은 정보주체의 동의를 받아, 명시된 개인정보 처리목적에 따라 이용합니다. 하지만 개인정보보호법 제18조에 해당하는 사안에 대해서는 처리목적 외로 이용할 수 있습니다. 이를 아래에서 살펴보겠습니다. [ Contents ]  1. 개인정보 목적 내 제3자 제공정보주체로부터 동의받은 처리목적 내에서 제3자에게 개인정보를 제공하는 경우  일반적으로 개인정보 동의서에서 볼 수 있는 제3자 제공 항목이 위 경우입니다.  주로 정보주체의 동의를 받아서 제공하기 때문에, '목적 내' 제3자 제공에 해당합니다.  ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.1. 정보주체의 동의를 받은 경우2. 법률에 특별한 규정이 있거.. 2024. 5. 26.
[보안] 개인정보 수집 및 처리 동의서 작성 시 주의할 점: 포괄동의, 중요내용 강조, 등 사용금지 개인정보보호위원회에서 2022년 3월에 배포한 '알기 쉬운 개인정보 처리 동의 안내서'를 참고하여, 개인정보 수집 및 이용 동의서 작성 시 주의할 점을 알아봅니다. [ Contents ]  1. 개인정보 처리 동의서 일상에서 흔히 볼 수 있는 개인정보 수집·이용 동의서입니다. 법률상 규정되어 있는 경우가 아니라면, 개인정보 수집 ·이용 시에는 반드시 정보주체의 동의가 있어야 합니다. 따라서 대부분의 개인정보를 위와 같이 동의서를 통해 수집합니다. (개인정보 보호법 제15조 1항, 정보주체의 동의) 과거에는 형식적인 절차이기에 동의받는 사람이나 동의하는 사람도 별 관심이 없었으나, 최근에는 개인정보 보호법이 강화되면서 지켜야 할 수칙이 많이 생겼습니다. 이에 대해 아래서 알아봅니다.   2. 동의를 받을 .. 2024. 5. 16.
[보안] 개인정보처리방침 인포그래픽 사용 예시: 권리 및 의무 행사방법, 열람 청구 절차, 인증 및 평가 결과 개인정보보호위원회(개보위)에서는 개인정보처리방침에 라벨링 및 인포그래픽 사용을 권고하고 있습니다. 아래에서는 인포그래픽을 사용 예제에 대해서 알아보겠습니다. [ Contents ]  1. 인포그래픽이란?정보 및 자료를 한눈에 보기 쉽게 전달하기 위해 사용하는 도표나 이미지 인포그래픽(Information graphics)은 정보를 시각적으로 전달하는 방식입니다. 주로 뉴스나 기사에서 사용하며, 도표를 사용합니다. 예전에는 디자인 계열 전문가 분들이 포토샵과 일러스트레이션을 사용하여 만들었지만, 요즘은 일반인도 파워포인트나 미리캔버스 같은 플랫폼을 이용해서 쉽게 만들 수 있습니다.   2. 인포그래픽 사용 예시 개인정보 처리방침에서 인포그래픽을 쓸 수 있는 곳은 사실 마땅치 않습니다. 개인정보나 목적이나 .. 2024. 5. 15.
[보안] 개인정보처리방침 본문 작성 시 주의할 점: 처리목적, 항목, 기간, 제3자 제공, 위탁, 개인정보파일 개인정보처리방침 작성 시 유의할 점에 대해서 알아봅니다. [ Contents ]  1. 개인정보의 처리방침 구성[필수]- 제목 및 서문- 개인정보 처리목적- 개인정보 처리 및 보유 기간- 개인정보 처리항목- 개인정보 파기절차 및 방법- 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항- 개인정보 안전성 확보조치- 개인정보 보호책임자에 관한 사항- 개인정보 열람청구를 접수·처리 부서- 정보주체의 권익침해 구제방법[해당 시 필수]- 개인정보파일 등록 현황- 개인정보 제3자 제공- 개인정보처리 위탁사항- 개인정보 자동 수집 장치의 설치·운영 및 그 거부에 관한 사항- 가명정보 처리 사항[권장]- 개인정보 영향평가 수행 결과- 개인정보 관리수준진단 결과- 영상정보처리기기 운영·관리- 기타 개인정보 .. 2024. 5. 13.
[보안] 개인정보처리방침 목차 구성: 의무, 권장 항목 및 S등급 우수사례들의 가점 사항 개인정보처리방침의 목차 구성을 알아봅니다. 2024년부터는 개인정보 처리방침 평가제가 시행됨에 따라, 개선의 필요성이 대두되고 있습니다. [ Contents ]  1. 개인정보처리방침 목차1) 필수(의무) 항목- 제목 및 서문- 개인정보 처리목적- 개인정보 처리 및 보유 기간- 개인정보 처리항목- 개인정보 파기절차 및 방법- 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항- 개인정보 안전성 확보조치- 개인정보 보호책임자에 관한 사항- 개인정보 열람청구를 접수·처리 부서- 정보주체의 권익침해 구제방법 어느 개인정보 처리방침에서나 볼 수 있는, 꼭 봐야할 항목은 위와 같습니다. 필수항목들은 어느 정도 형식이 갖춰져 있으며, Ctrl+C Ctrl+V 했다고 느낄 정도로 내용이 동일합니다. 각 기.. 2024. 5. 8.
[보안] 개인정보의 안전성 확보조치 기준: 2023년 9월 개정안 주요 변경사항 요약 2023년 9월에 통합 개정된 '개인정보 안전성 확보조치 기준'에 대해서 알아봅니다. [ Contents ]  1. 개인정보처리자로 일원화된 안전성 확보조치- 개인정보처리자: 개인정보의 안전성 확보조치 기준- 정보통신서비스 제공자: 개인정보의 기술적·관리적 보호조치 기준  2023년 9월 개정안이 발표되며, 개인정보처리자와 정보통신서비스 제공자로 이원화되어 있던 안전조치 고시가 통합되었습니다. 사실 '정보통신서비스 제공자'라는 기준이 불명확하긴 했었죠. 개정안 이후부터는 '개인정보처리자'로 일원화되었습니다. 2023.03.31 - [개인정보보호] - [보안] 개인정보 안전성 확보조치 (feat. 개인정보보호법) [보안] 개인정보 안전성 확보조치 (feat. 개인정보보호법)개인정보보호법에 의거한 개인정보 .. 2024. 4. 30.
[보안] 개인정보 보호법 2023년 9월 개정안: 개인정보 전송요구권, 필수동의 생략, 관리감독 강화, 영상정보처리기기/AI 규제, 온오프라인 일원화, 가명정보와 국외이전 규제 강화 2020년 8월에 데이터 3법 시행 및 개인정보 보호위원회가 출범한 후, 개인정보 보호법이 일부 개정되었습니다. 2023년 9월부터 시행되는 개정안에 대해 알아봅니다. [ Contents ] 1. 개인정보 전송요구권(이동권) 정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송 요구할 수 있는 권리 빅데이터 분석, AI 학습에는 많은 데이터가 요구됩니다. 이에 따라 개인정보가 대량 수집 및 유통되고 있으나, 정보주체는 본인정보를 주도적으로 유통 및 활용하는 데에 한계가 있었습니다. 예를 들어 멜론에서 유튜브 뮤직으로 옮겼을 때, 가장 큰 불편함은 새로 재생목록을 생성하고 좋아하는 노래에 다시 ♥ 표시를 해야 한다는 점입니다. 그래야 제대로 된 음악 추천을 받을 수 있죠. 그러나, 이제부터는 자신의 개인.. 2023. 10. 25.
[보안] 서비스 거부 공격의 개념과 종류: TCP SYN Flooding, ICMP Flooding, Tear Drop, Land Attack, (slow) HTTP Get/Post Flooding, cache control Attack 서비스 거부 공격은 공격대상의 시스템(서버)에 과부하를 줘서 정상적인 서비스를 하지 못하도록 만드는 공격입니다. 그 종류는 TCP SYN Flooding, ICMP Flooding, Tear Drop, Land Attack, (slow) HTTP Get/Post Flooding, cache control Attack 등 다양한 취약점을 노린 공격기법이 있으며 이를 아래에서 살펴봅니다. [ Contents ] 1. 서비스 거부 공격 (DoS: Denial of Service) 특정 서비스를 계속 호출하여 CPU, 메모리, 네트워크 등의 컴퓨터 리소스를 고갈시키는 공격 각 서비스는 평균적인 이용자 수, 서비스 이용률에 따라 리소스를 배분합니다. 따라서 갑작스런 서비스 요청이 폭주할 경우, 서버 과부하로 서비.. 2023. 10. 23.

티스토리툴바