IT자격증

개인정보법과 정보통신망법이 충돌하는 경우 특별법인 정보통신망법을 따라야한다

개인정보처리방침과 개인정보처리자와 정보주체간의 계약내용이 다른 경우
둘중에서 정보주체에게 유리한 것을 적용한다

이용내역통지 및 망분리대상자는 직전3개월평균이용자 100만명 또는 정보통신부문 매출액 100억원 이상 (100 100)

● 개인정보보호법상 암호화 대상 개인정보

 * 비밀번호, 바이오정보, 주민등록번호는 모두 암호화
 * 신용카드번호,계좌번호,개인정보는 관계없음
 * 바이오정보란 지문,얼굴,홍채,정맥,음성,필적 등을 말하며 일반사진,CT 등은 아님.

● 정보통신망법상 암호화 대상 개인정보

 * 개인정보는 내부망저장, DMZ 에 저장시 암호화를 안하고 나머지 몽땅 암호화

● 리눅스 시스템 로그

● windows 로컬 보안 정책

● 악성프로그램

웜 - 네트워크를 통해 스스로를 복제.전파하며 다른 프로그램을 감염시키지는 않는다.
루트킷 - 관리자 권한 접근과 공격경로 은폐, 사용기록 삭제 등을 동시에 수행하는 여러 프로그램의 집합이다.
바이러스 - 숙주가 필요하며 숙주로 하여금 악성행위를 하게 하고 다른 시스템으로 전파되게 한다.
스파이웨어 - 시스템 파괴행위를 안하는 대신 사용자의 정보를 유출만 한다.

정보유출은 트로이목마와 스파이웨어
시스템파괴는 스파이웨어만 안하고 나머지는 한다.
자기복제는 웜과 바이러스만 가능
스파이웨어는 오직 정보유출만 한다.

● 웹서버 보안관련 파일

Appach : httpd.conf

Tomcat  : web.xml

IIS  : web.config

● FTP 보안

패클엑서 - passive모드는 클라이언트 보안성이 높은 방법, active모드는 서버의 보안성이 높은 방법

             - passive는 서버가 포트번호를 알려주고 클라이언트는 그 포트만 열어주면 되기 때문에 클라이언트가 안전

             - active는 클라이언트가 포트번호를 알려주고 서버는 그 포트번호만 열어주면 되기 때문에 서버가 안전

 * ftpusers ; FTP접근제어설정파일로서 접속을 차단할 계정정보를 설정하는 파일이다.

● ISMS-P 인증심사

ISMS-P 인증 : 인터넷진흥원 또는 인증기관이 증명하는 것.

ISMS-P 인증심사 : 인터넷진흥원, 인증기관 또는 심사기관이 심사하는 것

▶정책기관 : 상위수준의 법,제도,정책을 수립

              인증기관 및 심사기관 지정

▶인증기관 : 제도운영, 인증서발급, 심사원양성

              (단, 심사원양성및 자격관리, 인증기준 개선, 인증품질 관리는 KISA에서 한다.)

▶심사기관 : 인증심사 수행

※ 인터넷진흥원 이외의 인증기관은 인증심사수행 과 인증서발급 업무만 한다.

※ 인터넷진흥원은 인증심사이외에 다른 인증기관이 할수 없는 인증제도운영, 인증품질관리, 인증심사원양성및자격관리 업무를 한다.

● 개인정보를 목적內 용도로 제3자에게 제공이 가능한 경우

● 개인정보 국외이전

● 위탁 , 영업양도, 국외이전

● 위탁 , 영업양도, 국외이전

● 중요내용표시

1. 일반적인 개인정보 수집은               보유기간 표시
2. 민감정보,고유식별정보 수집은          항목,  보유기간 표시
3. 3자제공시에는                            제공받는자,  제공하는 목적,  보유기간 표시
4. 홍보인 경우는 연락할 수 있다는 사실 표시

결국, 보유기간은 공통으로 표시해야 하고
민감,고유정보는 그 항목이 중요하므로 항목을 중요하게 표시해야 하고
3자제공시에는 누구한테 어떡 목적으로 제공하는지가 중요하므로 제공받는자와 제공목적을 중요하게 표시한다.

① 고유정보 수집 

② 민감정보 처리 내역

③ 개인정보 수집.이용 내역

④ 개인정보 3자 제공 내역

● 개인정보처리방침 공개하는 방법 

인사 간신 관계
1. 인터넷 홈페이지 홈페이지 미운영시
2. 사업장 등의 보기쉬운 장소
3. 간행물,소식지,홍보지 4. 신문 5. 관보 6. 계약서

● 개인정보처리방침 필수사항 

● 정보주체의 열람요구를 제한.거절할수 있는 사유

 법생 조성 채보감
 1. 법률에 따라 열림이 금지,제한된 경우
 2. 다른 사람의 생명.신체를 해할 우려가 있거나 다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우
 공공기관이 다음의 업무수행시 중대한 지장을 초래하는 경우
 3. 조세의 부과.징수.환급업무
 4. 성적평가, 입학자 선발업무
 5. 학력.기능 및 채용에 관한 시험. 자격심사 업무
 6. 보상금. 급부금 산정 등에 대하여 진행중인평가 또는 판단에 관한 업무
 7. 감사.조사에 관한 업무

● 정보주체의 처리정지 요구 거부 사유

 법생 소계
 1. 법률에 특별한 규정, 법령상 의무 준수
 2. 다른 사람의 생명.신체를 해할 우려가 있거나 다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우
 3. 소관업무 수행
 4. 계약이행이 곤란한 경우

법생조성채보감의 법 - 법률에 의해 금지된 경우
법생소계의 법 - 법률에 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한경우 이다

● 정보보호최고책임자 (CISO) 신고 대상 업종 (내 ISMS 특5명1천 통5명 음 상1천)

1.내용선별 소프트웨어 개발및 보급사업자
2. ISMS 인증의무 대상자
3. 특수유형 온라인서비스 제공자로 상시 종업원 수가 5명이상이거나 전년도말 기준 직전 3개월 간의 일일평균 이용자 수가 1천명 이상인 자
4. 통신판매업자로서 상시 종업원수가 5명이상인
5. 음란물 및 사행성개임물 차단 프로그렘 제공
5. 상시 종업원수가 1천명 이상인 자 

● CISO와 CPO 업무 비교

※ 직전 사업년도말 기준 자산총액이 5천억원 이상인 ISMS인증 의무대상 기업은 CISO는 다른 업무를 겸직할수 없다.
   (ISMS의무대상자가  아닌 일반기업은 5조원 이상인 경우 겸직 금지)
※ 상시종업원 5명 미만시 정보통신서비스제공자는 CPO지정안할수 있으며 이때에는 대표자가 CPO가 됨

● 로그기록에 대한 보관기간

● 오픈소스 SSL의 취약점

1.HeartBleed : 사용자들의 로그인정보나 암호화된 정보의 개인키와 비밀키를 탈취해 개인정보를 탈취할수 있는 취약점
 - 버퍼 오버플로우 공격으로 Heartbit 패킷의 크기를 위조해 서버의 데이터를 유출하는 공격

2.Freak SSL : SSL을 통해 강제로 취약한 RSA로 다운그레이드 시킴
 - RSA 키 길이를 강제로 512바이트로 변경시키는 공격

3. Poodle : TLS연결설정과정에서 하위버전인 SSL 3.0 으로 연결수립을 유도한 뒤 패딩 오라클 공격
 - 임의 데이터를 패딩으로 이용해 암호화 통신의 일부를 복호화 가능한 공격

4. DROWN : Decryption RSA with Obsolete and Weakended Encryption
 - 암호화된 세션키를 탈취하는 공격

5. BEAST  : Browser Exploit Against SSL/TLS

  - CBC 의 약점을 이용, 암호화 통신에서 평문을 유출하는 공격

● 핀테크 보안기술

● 침해사고 대응 7단계

1. 사고 전 준비
2. 사고 탐지
3. 초기대응
4. 대응전략 체계화
5. 사고조사
6. 보고서 작성
7. 해결

● 취약점 분석도구

1.네트워크 취약점 : Nessus, SATAN, SAINT, SARA

2. 서버 취약점 : SecuDR, COPS

3. DB기반 웹스캐너 : Nikto, N-Stealth

4. 포렌식 도구 : Encase, FTK

5. 파일 : Tripwire

● 개인정보 유출 신고기준

사례1) 개인정보처리자 A씨는 개인정보 유출사실을 인지하고, 3일간 사실확인을 거친 후 유출된 개인정보가 1만건을 넘는 것을 확인 후 행정안전부 장관에게 통지하였다
          --> 5일이내 신고했으니깐 (O) , 행정안전부장관에게 신고했으니깐 (O)
사례2) 개인정보처리자 C는 개인정보 유출사실을 인지하고, 유출된 개인정보 항목과  유출일시, 정보주체가 할수 있는 대응, 현재 자사의 대응현황과 피해구제절차와  담당부서의 연락처를 정보주체에게 통지하였다.
          --> (X) 유출경위가 누락되었음
사례3) 개인정보처리자 D는 개인정보 유출사실을 인지했으나 100건 미만이라서 정보주체에게만 통지하였다.
         --> (O) 1천건 미만이니깐 신고는 안해도 되지만 정보주체에게는 1건이라도 유출된경우 알려야 한다.
사례4) 개인정보처리자 E는 개인정보 유출사실을 인지하였으나 1천건 미만이고 유출일시 등이 불분명하여서 내부적으로 검토후 통지하는 것으로 정보보호 팀장 승인을 받았다.
          --> (X) 확인된 사항만이라도 지체없이 정보주체에게 통지하여야 한다.

● 개인정보 수집.이용이 가능한 경우

● 주민등록번호 수집 등 처리가 가능한 경우

● 공공기관이 업무수행을 위해 동의없이 고유식별정보,민감정보 처리가 가능한 경우

소약범법형
 - 개인정보를 목적외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 법률에서 정하는 소관업무를 수행할 수 없는 경우로서 보호위원회 심의.의결을 거친 경우
 - 조약,국제협정의 이행을 위하여 외국정부, 국제기구에 제공하기 위하여 필요한경우
 - 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
 - 법원의 재판업무 수행을 위하여 필요한 경우
 - 형 및 감호, 보호처분의 집행을 위하여 필요한 경우

● 개인정보파일의 등록사항

명운항 처보반 명수담열 거평
 - 개인정보파일 명칭
 - 개인정보파일의 운영근거 및 목적
 - 개인정보파일에 기록되는 개인정보 항목
 - 개인정보 처리방법
 - 개인정보 보유기간
 - 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자
 - 개인정보파일을 운용하는 공공기관의 명칭
 - 개인정보파일로 보유하고 있는 개인정보의 정보주체수
 - 해당 공공기관에서 개인정보처리 업무를 담당하는 부서
 - 개인정보의 열람요구를 접수.처리하는 부서
 - 열람을 제한하거나 거절할수 있는 개인정보의 범위및 제한 또는 거절 사유
 - 개인정보 영향평가를 실시한 경우 그 결과 첨부

※ 파기에 대해서는 언급이 없다.

● 행정안전부에 등록이 면제되는 개인정보파일(공공기관)

 국범 조내비 통 위영 자금   (국범이는 조내비랑 통해서 위영에게 자금을 줬다)
 1.국가안전,외교상비밀,그밖에 국가의 중대한 이익에 관련된 사항을 기록한 개인정보파일
 2.범죄의 수사, 공소의 제기,유지, 형 집행 , 보호관찰, 출입국관리에 대한 사항
 3.조세범처벌법 에 따른 범칙행위 조사, 관세법에 따른 범칙행위조사
 4.공공기관의 내부적업무처리만을 위하여 사용되는
 5.다른 법령에 따라 비밀로 분류된 개인정보파일
 6.통계법에 따라 수집되는 개인정보파일
 7.공중위생, 공공의 안전과 안녕을 위해 필요로 인해 일시적으로 처리되는 개인정보파일
 8.영상정보처리기기를 통해 처리되는 개인정보파일
 9.자료.물품.1회성행사
 10.금융업무 취급을 위해 보유하는 개인정보파일

● 개인정보를 목적외 용도로 이용.제공이 가능한 경우

동법 급통 소약 범법형
1. 별도 동의
2. 법률에 규정
3. 급박한 생명..
4. 통계작성 및 학술연구 등의 목적을 위하여 특정개인을 알아볼수 없는 형태로
   개인정보를 제공하는 경우
이하는 공공기관만 해당함.  즉 위 1,2,3,4만 민간기업에서 목적외 이용가능 사유
5. 소관업무 수행 + 보호위원회 심의.의결
6. 조약.국제협정
7. 범죄의 수사, 공소의 제기 및 유지
8. 법원의 재판업무
9. 형. 감호, 보호처분 집행

•공공기관이 위 사유에 따라 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공하는 경우 그 내용을 관보,인터넷 홈 페이지에 게제하여야 한다.
  - 단, 동의를 받았거나, 범죄의 수사등에 관련된 경우 게제하지 않아도 된다.
  - 게제시점 : 이용.제공한 날로부터 30일 이내
    게제기간 : 홈페이지에 게제하는 경우 10일 이상