Feccle 의 IT자료 모음

Ⅰ. 개인정보 보호법령 및 하위 고시에 따른 개인정보 로그 보관  개인정보 보호법과 하위 고시는 개인정보의 안전한 관리를 위해 다양한 요구사항을 규정하고 있습니다. 특히, 개인정보 로그 보관에 관한 규정은 개인정보 처리 활동의 투명성을 확보하고, 개인정보 유출 사고 발생 시 추적 및 대응을 용이하게 하기 위한 중요한 조치입니다. Ⅱ. 개인정보 보호법령 및 하위 고시에 따른 개인정보 로그 보관 관련 법령 및 고시ⅰ. 개인정보 보호법 개인정보 보호법 자체는 로그 보관에 대해 구체적으로 규정하고 있지 않지만, 개인정보의 안전한 관리를 위해 필요한 조치를 규정하고 있습니다. 이 법의 취지에 따라 로그 보관의 필요성이 강조됩니다.  개인정보의 안전성 확보조치 기준 (행정안전부 고시) 제5조(접근통제): 개인정보 ..

Ⅰ. 재해 복구(Disaster Recovery, DR) 란?자연재해, 사이버 공격, 시스템 장애 등의 비상 상황에서 IT 시스템과 데이터의 가용성을 최대한 빠르게 복구하는 과정입니다. 기업이나 조직의 운영에 필수적인 시스템이나 데이터를 보호하고, 재해 발생 후 최대한 빨리 정상적인 운영 상태로 복구하는 것을 목표로 합니다.재해 복구는 비즈니스 연속성을 보장하는 데 필수적인 과정이며, RTO와 RPO는 DR 계획을 수립하는 데 있어 중요한 요소입니다. RTO는 시스템 복구 시간에 초점을 맞추고, RPO는 데이터 손실 허용 범위를 결정하는 기준으로, 두 가지 모두 비즈니스의 요구에 맞추어 적절히 설정되어야 합니다. DR 계획은 철저한 준비와 정기적인 테스트를 통해 비즈니스 운영의 중단을 최소화하고, 재해 ..

Ⅰ. 보안 취약점 분석･평가란 ? 정보 시스템이나 네트워크의 취약점을 식별하고 평가하여 잠재적인 보안 위협을 최소화하는 과정을 의미하며, 조직의 정보 자산을 보호하고, 보안 사고를 예방하기 위해 중요한 절차입니다.보안 취약점 분석･평가란, 전자금융기반시설의 안전성과 신뢰성을 저해하는 사이버 위협에 대응하기 위해 잠재된 보안 위협을 찾고 이를 개선하기 위한 사전 예방 활동을 의미합니다. * 전자금융기반시설은 금융 기관과 관련 서비스 제공자들이 전자적으로 금융 서비스를 제공하기 위해 사용하는 시스템과 네트워크를 의미합니다. 이는 주로 인터넷 뱅킹, 모바일 뱅킹, 자동화된 지불 시스템, 금융 거래 처리 시스템 등을 포함하며, 이러한 시스템들이 안전하고 효율적으로 운영되도록 하기 위한 기반 인프라를 의미합니다...

Ⅰ. ISMS-P 란?ISMS-P는 "Information Security Management System - Personal Information Protection Management System"의 약자로, 정보보호 및 개인정보보호 관리체계 인증 제도를 의미합니다. 이는 기업이나 기관이 정보보호와 개인정보보호를 체계적으로 관리하고 있는지를 인증해주는 제도입니다. 한국인터넷진흥원(KISA)과 개인정보보호위원회에서 주관하며, 정보보호와 개인정보보호를 통합 관리하는 체계를 구축하고 유지하는 것을 목표로 합니다.Ⅱ. ISMS-P 역사'정보보호 및 개인정보보호 관리체계 인증'(ISMS-P : Personal information & Information Security Management System)은 '..

Ⅰ. 디지털 포렌식 이란?디지털 포렌식은 컴퓨터 및 디지털 장치에서 발견되는 전자 증거를 수집, 분석 및 해석하는 프로세스를 말합니다. 이는 범죄 조사, 사건 조사, 사법 절차, 기업 내부 조사 등 다양한 분야에서 사용됩니다. Ⅱ. 디지털 포렌식 목적   ⅰ)   범죄 수사: 범죄 혐의와 관련된 전자 증거를 수집하여 범인을 추적하고 고발하는 데 사용됩니다. 이는 컴퓨터 침입, 사이버 범죄, 디지털 사기 등 다양한 범죄에 적용될 수 있습니다.   ⅱ)   사건 조사: 사고나 사건의 원인을 밝히기 위해 디지털 증거를 분석하는 데 사용됩니다. 이는 데이터 유출, 사내 기밀 정보 유출, 사이버 공격 등의 사건에서 사용될 수 있습니다.   ⅲ)   디지털 유지관리: 기업이나 조직에서는 디지털 포렌식을 사용하여 내..

사용자가 인증을 할 때 ID/PW 를 사용해서 로그인하는 경우도 있고, ID/PW + OTP 를 사용하여 로그인을 하는 경우도 있습니다. 사용자 계정의 보안을 강화하고 불법 로그인을 방지 하기 위해 보통 2단계 인증을 하여 로그인을 하게 되는데 인증의 방법에는 어떤 것이 있는지 알아 보겠습니다. 일반적으로 웹 사이트를 접속할 때 확인 할 때 식별, 인증, 인가 단계를 거쳐 로그인을 하게 됩니다. Ⅰ. 로그인 시 확인 단계 단계 설명 접근 매체 식별 1) 본인이 누구라는 것을 시스템에 밝히는 것 2) 인증 서비스에 스스로를 확인시키기 위하여 정보를 공급하는 주체의 활동 3) 식별자는 각 개인의 신원을 나타내기 때문에 사용자의 책임추적성 분석에 중요한 자료가 됨 1) 사용자명 2) 계정 3) 메모리 카드 인..

여러 가지 알고리즘 중 현재 취약한 알고리즘에 대해 알아보도록 하겠습니다. 처음에는 안전한 알고리즘으로 사용되었지만, 컴퓨터(CPU, GPU, Memory 등) 의 성능이 좋아지면서 키 길이가 짧은 MD5, SHA-1 같은 알고리즘에서 서로 다른 입력에 대해 동일한 해시 값이 발생하는 이슈가 발생하면서 현재는 간단하게 파일 무결성 검증(MD5 해쉬 값 비교)에는 사용 할 수 있지만, 비밀번호 암호화 등에 사용하기엔 부적절한 취약한 알고리즘 어떤 것이 있는지 알아보도록 하겠습니다. Ⅰ. MD5 (Message Digest Algorithm) MD5는 메시지 다이제스트 알고리즘(Message Digest Algorithm)의 하나로서, 입력된 메시지나 데이터의 해시 값을 생성하는데 사용됩니다. MD5는 메시..

개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준에 대해 알아보도록 하겠습니다. Ⅰ. 유형 1 (완화) 적용 대상 : 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 적용되는 안전 조치 기준 제5조(접근 권한의 관리) ② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. ④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되..

Ⅰ. 보안성 검토란 기업 및 조직에서 정보시스템, 소프트웨어 등을 도입하고 개발하는 사업을 진행할 때 보안 취약점을 사전에 제거하고 보다 체계적인 보안 관리를 하기 위해 수행하는 일련의 과정을 뜻합니다. Ⅱ. 단계별 보안성 검토 심의 절차 보안성 검토 절차는 사업 초기의 기획 단계, 사업자 선정 후의 설계/구현 단계, 그리고 마지막 검수 단계 등 3가지로 나눠볼 수 있습니다. 1) 기획 단계에서는 내부의 규정, 지침 및 매뉴얼과 외부 기관을 통해 취득한 인증에 반하는 내용이 없는지 살펴보고 정보보안 관련 법률 준수 여부에 대해 검토합니다. 사업자와 계약 시, 도입되는 제품이 보안성 인증 제품(CC인증 등)으로 선정하도록 되 있는지, 추가적인 비용 산정은 적절하게 포함되었는지 등 정보보안 관련 사항이 계약..

전자금융 감독규정 제 15조에 따라 망분리는 악성코드 유입차단과 개인정보 유출통제 때문에 도입된 망 차단조치 입니다. 2013년 12월 3일 기점으로 금융기관은 인터넷 망분리를 명시화하고 있습니다. 물리적 망분리 물리적인 방식은 물리적으로 PC를 두 대 운영하는 형식입니다. 업무망에서는 인터넷이 물리적으로 단절되지만, 업무망에서 업무를 할 때 모든 것에 대해 해방된 것은 아닙니다. 내부망 보안을 위해 이메일 보안, OS패치, 소프트웨어 업데이트, 안티바이러스 등 주기적으로 업데이트를 수행해야 합니다. 논리적 망분리 논리적인 방식은 인터넷 접속망 접속 시 가상화 PC 서버들을 두고, 해당 서버에 여러 개의 PC이미지를 형성하는 방식으로 이루어진다. 내부망에 위치한 PC는 가상화 서버에 생성된 가상 PC에 ..