개인정보법과 정보통신망법이 충돌하는 경우 특별법인 정보통신망법을 따라야한다
개인정보처리방침과 개인정보처리자와 정보주체간의 계약내용이 다른 경우
둘중에서 정보주체에게 유리한 것을 적용한다
이용내역통지 및 망분리대상자는 직전3개월평균이용자 100만명 또는 정보통신부문 매출액 100억원 이상 (100 100)
● 개인정보보호법상 암호화 대상 개인정보
| 송수신 | 내부망저장 (개인정보처리시스템) |
DMZ | 컴퓨터,모바일기기 ,보조저장매체 |
|
| 비밀번호 | 암호화 | 암호화(일방향) | 암호화(일방향) | 암호화(일방향) |
| 바이오정보 | 암호화 | 암호화 | 암호화 | 암호화 |
| 주민등록번호 | 암호화 | 암호화 | 암호화 | 암호화 |
| 고유식별정보 (여권번호,운전면허번호,외국인등록번호) |
암호화 | 개인정보영향평가 또는 암호화 미적용시 위험도 분석 결과에 따라 | 암호화 | 암호화 |
| 신용카드번호 | - | - | - | - |
| 계좌번호 | - | - | - | - |
| 개인정보 | - | - | - | - |
* 비밀번호, 바이오정보, 주민등록번호는 모두 암호화
* 신용카드번호,계좌번호,개인정보는 관계없음
* 바이오정보란 지문,얼굴,홍채,정맥,음성,필적 등을 말하며 일반사진,CT 등은 아님.
● 정보통신망법상 암호화 대상 개인정보
| 송수신 | 내부망저장 (개인정보처리시스템) |
DMZ | 컴퓨터,모바일기기 ,보조저장매체 |
|
| 비밀번호 | 암호화 | 암호화(일방향) | 암호화(일방향) | 암호화(일방향) |
| 바이오정보 | 암호화 | 암호화 | 암호화 | 암호화 |
| 주민등록번호 | 암호화 | 암호화 | 암호화 | 암호화 |
| 고유식별정보 (여권번호,운전면허번호,외국인등록번호) |
암호화 | 암호화 | 암호화 | 암호화 |
| 신용카드번호 | 암호화 | 암호화 | 암호화 | 암호화 |
| 계좌번호 | 암호화 | 암호화 | 암호화 | 암호화 |
| 개인정보 | 암호화 | - | - | 암호화 |
* 개인정보는 내부망저장, DMZ 에 저장시 암호화를 안하고 나머지 몽땅 암호화
● 리눅스 시스템 로그
| 로그명 | 명령어 | 설명 | 폴더 |
| utmp | w, who,finger | 현재 로그인 상태 정보 | /var/adm/utmp |
| wtmp | last | 사용자 로그인/로그아웃 정보 | /var/adm/wtmp |
| btmp | lastb | 실패한 로그인 정보 | /var/adm/btmp |
| pacct | lastcomm | 사용자별 수행한 명령어 | /var/adm/pact |
| lastlog | lastlog | 해당 사용자 마지막 로그인 정보 | /var/adm/lastlog |
| dmesg | dmesg | 부팅 로그인 정보 | /var/log/dmesg |
| syslog | syslog | 커널 로그 정보 | |
| messages | 시스템 운영에 대한 전반적인 정보 | /var/log/messages | |
| secure | 원격 로그인 정보, TCP_Wrapper(xinetd) | /var/log/secure |
● windows 로컬 보안 정책
| spcpol.msc | 암호정책 | 암호는 복잡성을 만족해야 함 (사용) : 사용자의 계정이름이나 연속되는 문자2개를 초과하는 사용자 전체 이름의 일부를 포함하지 말아야 한다. : 길이가 최소한 6자 이상이어야 함. : 다음 네가지 범주 중 세가지의 문자를 포함해야 함. - 영문대문자 , 영문소문자 , 숫자, 특수문자 최근 암호 기억 (2개 암호로 기억됨) 최대 암호 사용 기간 (90일) 최소 암호 길이 (8문자) 최소 암호 사용 기간 (0일) 해독 가능한 암호화를 사용하여 암호 저장 (사용함) : CHAP 등의 별도 프로토콜 사용 시 해당 프로토콜이 해독할 수 있는 형태로 패스워 드를 저장하며, 기본값은 [사용안함] 이다. |
| 계정잠금정책 | * Brute Force 공격을 막기위한 정책임. 계정잠금기간 계정잠금임계값 다음 시간 후 계정잠금수를 원래대로 설정 |
● 악성프로그램
| 이름 | 시스템 파괴 | 정보유출 | 자기복제 |
| 웜 (warm) | O | X | O |
| 트로이목마 | O | O | X |
| 바이러스 | O | X | O |
| 스파이웨어 | X | O | X |
웜 - 네트워크를 통해 스스로를 복제.전파하며 다른 프로그램을 감염시키지는 않는다.
루트킷 - 관리자 권한 접근과 공격경로 은폐, 사용기록 삭제 등을 동시에 수행하는 여러 프로그램의 집합이다.
바이러스 - 숙주가 필요하며 숙주로 하여금 악성행위를 하게 하고 다른 시스템으로 전파되게 한다.
스파이웨어 - 시스템 파괴행위를 안하는 대신 사용자의 정보를 유출만 한다.
정보유출은 트로이목마와 스파이웨어
시스템파괴는 스파이웨어만 안하고 나머지는 한다.
자기복제는 웜과 바이러스만 가능
스파이웨어는 오직 정보유출만 한다.
● 웹서버 보안관련 파일
Appach : httpd.conf
Tomcat : web.xml
IIS : web.config
● FTP 보안
패클엑서 - passive모드는 클라이언트 보안성이 높은 방법, active모드는 서버의 보안성이 높은 방법
- passive는 서버가 포트번호를 알려주고 클라이언트는 그 포트만 열어주면 되기 때문에 클라이언트가 안전
- active는 클라이언트가 포트번호를 알려주고 서버는 그 포트번호만 열어주면 되기 때문에 서버가 안전
| passive모드 | 1. Client 5105 포트에서 서버의 21번 포트로 접속시도 2. Server는 3258 포트번호를 Client에게 전송 3. Client 는 자신의 5151포트에서 Server가 알려준 3258 포르로 다시 Server에 데이터 접속 4. Server는 자신의 3258포트에서 Client의 5151 포트와 연결 Clent Server 5105 ----> 21 접속시도 5151 -----> 3258 서버가 알려준 3258 포트로 접속 5151 <----- 3258 서버는 3258 포트에서 Client의 5151 포트로 Data전송 (결국 데이타전송시 Server는 20포트 사용안함) |
| * 서버는 1024 포트 이상의 Inbound 패킷에 대해서 Allow을 해줘야 Client가 접속 가능 * 클라이언트는 1024 포트 이상의 outbound 패킷에 대해서만 Allow 해주면 되므로 Inbound 패킷을 위해 포트를 열어줄 필요가 없어 안전하다. |
|
| active모드 | 1. Client 5105 포트에서 서버의 21번 포트로 접속하면서 서버에게 5151 포트를 알려줌 2. Server는 20번포트에서 클라이언트가 알려준 5151 포트로 클라이언트에게 데이터 연결 Clent Server 5105 ----> 21 접속시도 5151 <---- 20 Server는 20번포트에서 Client가 알려준 Client의 5151 포트로 접속 5151 -----> 20 Client는 5151포트에서 Server의 20포튼 연결 (결국 데이타전송시 Server는 20포트 사용함.) |
| * 서버는 1024 포트 이상의 Inbound 패킷에 대해서 Allow해줄 필요가 없어 안전 * 클라이언트는 1024 포트 이상의 Inbound 패킷에 대해서만 Allow 해줘야 서버가 데이터 접속이 가능하므로 보안상 취약 |
* ftpusers ; FTP접근제어설정파일로서 접속을 차단할 계정정보를 설정하는 파일이다.
● ISMS-P 인증심사
ISMS-P 인증 : 인터넷진흥원 또는 인증기관이 증명하는 것.
ISMS-P 인증심사 : 인터넷진흥원, 인증기관 또는 심사기관이 심사하는 것
| 최초심사 | 처음취득시 중요변경으로 다시 인증 신청 시 |
인증위원회 개최 미개최 인증위원회 개최 |
| 사후심사 | 인증취득이후 매년 1회 이상 | |
| 갱신심사 | 인증유효기간 연장 만료 3개월전에 신청해야 함. |
| 정책기관 | 인증기관 | 심사기관 |
| 과학기술정보통신부 행정안전부 방송통신위원회 |
KISA 금융보안원 |
KISA 금융보안원 한국정보통신진흥협회 (KAIT) 한국정보통신기술협회 (TTA) 개인정보보호협회 (OPA) |
▶정책기관 : 상위수준의 법,제도,정책을 수립
인증기관 및 심사기관 지정
▶인증기관 : 제도운영, 인증서발급, 심사원양성
(단, 심사원양성및 자격관리, 인증기준 개선, 인증품질 관리는 KISA에서 한다.)
▶심사기관 : 인증심사 수행
| 정책기관 | 정책협의회 | 법.제도 개선 및 정책결정 인증제도 연구 및 개선에 관한 사항 인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항 민원, 법적분쟁에 관한 사항 인증기관 및 심사기관 지정 |
과학기술정보통신부 방송통신위원회 행정안전부 소속의 인증업무를 담당하는 부서의 장을 위원으로 한다. |
| 인증기관 | 한국인터넷진흥원 | 인증제도 운영 (연구는 협의회에서) 인증품질관리 (제반사항검토는 협의회) 신규.특수 분야 인증심사 인증서 발급 인증심사원 양성 및 자격관리 |
인증위원회 |
| 인증기관 | 인증심사 수행 인증서 발급 |
인증위원회 | |
| 심사기관 | 심사기관 | 인증심사 수행 |
※ 인터넷진흥원 이외의 인증기관은 인증심사수행 과 인증서발급 업무만 한다.
※ 인터넷진흥원은 인증심사이외에 다른 인증기관이 할수 없는 인증제도운영, 인증품질관리, 인증심사원양성및자격관리 업무를 한다.
'ISMS-P' 카테고리의 다른 글
| ISMS-P 키워드별 정리(5/10) (0) | 2021.02.15 |
|---|---|
| ISMS-P 키워드별 정리(4/10) (0) | 2021.02.10 |
| ISMS-P 키워드별 정리(2/10) (0) | 2021.02.04 |
| ISMS-P 키워드별 정리(1/10) (0) | 2021.02.04 |
| ISMS-P 결함사례 (7/7) (0) | 2021.02.04 |