개인정보보호책임자는 무엇을 해야 하나?

개인정보보호책임자는 개인정보보호법에 명시된 다음과 같은 임무수행을 통해 기관이나 기업의 개인정보처리 전반에 대한 감독과 관리를 책임진다.


1. 개인정보보호 계획의 수립과 시행

갈수록 다양화되고 지능화되는 해킹사고를 막기 위해서는 침해예방을 위한 정책도 보다 체계적으로 수행되어야 한다. 전사적인 개인정보보호 계획을 수립하여 시행하는 것은 체계적인 침해예방을 위한 가장 중요한 업무로 볼 수 있다. 개인정보보호 계획은 개인정보 취급자들의 자격과 권한, 업무처리절차, 보호조치 강화대책, 관리감독 및 교육 등을 포함하는 여러 가지 문서로 수립될 수 있다. 중앙부처에서는 개인정보보호 기본계획과 시행계획을 수립·시행해야 하며, 그 외의 기관이나 기업들도 내부관리계획, 개인정보처리방침, 개인정보취급자에 대한 교육계획 등을 수립·시행해야 한다.


특히, 내부관리계획은 개인정보를 안전하게 관리하고 처리하기 위한 각종 보호조치와 업무처리절차를 이행하기 위한 계획으로 상시근무자 5인 이상의 모든 기업에서 의무적으로 수립·시행해야 한다. 아울러 보유하고 있는 개인정보파일에 대한 처리목적, 항목, 보유기간, 처리방법 등을 정의한 개인정보처리방침도 반드시 수립·공개해야 하는 의무사항이다.


2. 개인정보 처리실태 조사 및 관리감독

개인정보를 이용하는 다양한 서비스들이 계속 개발·확산되고 있기 때문에 기관이나 기업에서 개인정보를 취급하는 부서나 담당자의 수와 역할도 점차 확대되고 있다. 이에 따라 개인정보보호책임자의 책임범위도 고객부서나 정보보호부서 뿐 아니라 전사적인 차원에서 모든 직원들을 관리·감독해야 하는 수준으로 확대됐다.


개인정보 취급자들이 정당한 절차 없이 개인정보를 열람하거나 임의로 개인 PC에 저장하여 다른 목적에 이용하는 것은 중요한 침해행위에 해당되므로 이를 예방하기 위해 개인정보보호책임자가 정기적으로 업무처리 실태를 점검하고 개인 PC에 저장된 자료들도 검사해야 한다. 또한, 개인정보를 삭제하는데 소극적인 기존의 관행을 개선하여 처리목적이 달성된 개인정보를 즉시 삭제하도록 개선하는 것도 개인정보보호책임자가 중점을 두어 관리해야 할 사항이다.


3. 개인정보 침해예방 및 민원처리

개인정보보호책임자는 개인정보가 유출되거나 오남용되지 않도록 내부통제 시스템을 갖추어야 한다. 내부 직원에 의한 개인정보 유출이나 목적외 이용은 개인정보 침해신고센터로 접수되는 대표적인 침해유형으로 이를 방지하기 위해서는 개인정보보호책임자가 취급자별로 권한을 제한하고 열람기록에 대한 정기적인 감사를 통해 불법적인 개인정보 열람을 방지해야 한다. 이외에도 개인정보처리시스템의 보호를 위해 방화벽, 백신, 접근통제 시스템을 구축하고 취급자별 시스템 접근 기록을 6개월 이상 보존하는 등 기술적인 조치도 점검해야 할 사항이다.


개인정보보호책임자에게는 침해예방뿐 아니라 정보주체의 권리를 보장하고 구제하는 책임도 부여되어 있다. 우선 정보주체의 열람·정정·삭제·처리정지 등의 요구를 이행하기 위해 담당자를 지정하고 관련서식 및 업무처리절차를 정립하는 등의 조치를 마련해야 한다. 또한, 개인정보보호법 시행으로 유출사고가 발생했음을 인지하면 2차 피해가 발생하지 않도록 즉시 정보주체에게 메일이나 전화 등으로 고지해야 하며, 1만건 이상의 정보가 유출되었을 때는 행정안전부나 전문기관에 신고도 해야 한다.


이렇게 침해사고가 발생했을 때 의무적으로 조치해야 할 사항들을 법에서 정한 기한 내에 이행하기 위해서는 개인정보보호책임자가 주관하여 침해대응절차를 마련하고 담당자들에 대한 교육을 실시할 필요가 있다.


지금까지 살펴본 개인정보보호책임자의 역할 중에서도 현장에서 특히 중점을 두고 확인해야 할 사항들을 뽑아보면 다음과 같다. 먼저, 조직 내에서 주민등록번호를 수집하여 처리하는 업무들에 대한 분석과 개인정보 수집서식의 검토를 통해 주민등록번호의 이용을 제한하고 개인정보의 수집을 최소한으로 줄여가는 노력을 계속해야 한다. 둘째, CCTV를 통해 촬영되는 영상정보도 개인정보이므로 CCTV의 설치목적을 점검하고 영상정보의 열람·보관에 대한 관리감독도 철저히 해야 한다.


마지막으로 개인정보 처리를 위탁하여 운영하는 과정에서 개인정보 침해가 발생할 경우 판례에 의해 수탁 받은 회사를 위탁한 회사의 개인정보 취급자로 보고 있으므로 위탁회사에 대한 관리감독을 강화해야 한다. 개인정보를 외부업체에 위탁할 때는 계약서에 처리절차와 책임을 명시하고 위탁업체 담당자에 대한 충분한 교육을 실시해야 하며, 위탁사실을 홈페이지 등을 통해 정보주체에게 알리는 것도 누락되지 않도록 주의해야 한다.


충분한 역량과 의지를 갖춘 사람을 개인정보보호책임자로 임명해야

개인정보보호책임자의 역할과 책임이 강화되고 중요해진 만큼 충분한 역량과 자세를 갖춘 사람을 개인정보보호책임자로 임명하는 것도 중요해졌다.


그동안은 개인정보보호책임자가 책임만 있는 형식적인 역할로 인식되어 기업의 임원들 간에 개인정보보호책임자가 되지 않기 위해 서로 미루는 모습을 보이기도 했다. 그러나 개인정보 유출이 발생한 기업들의 예에서 보면 개인정보보호가 기업의 이미지는 물론 경영성과에까지 영향을 미치고 있기 때문에 이제 개인정보보호책임자는 기업의 가장 중요한 역할을 수행하는 자리가 되었다.


이러한 개인정보보호책임자에게 필요한 역량으로 먼저 전사적인 개인정보보호 계획을 수립하여 추진할 수 있는 충분한 지식과 소양을 들 수 있다. 정보주체에 대한 권리를 우선시하는 개인정보보호의 취지와 원칙, 개인정보보호 관련법령의 주요내용, 조직 내의 개인정보 처리업무 현황, 조직의 업무 수행에 필요한 법률지식 등에 대한 소양과 잘못된 부분을 찾아내 개선할 수 있는 역량을 갖추어야 한다.


개인정보보호책임자에게 추가로 필요한 것은 조직의 개인정보보호 수준을 향상시키고자 하는 적극적인 자세와 의지다. 흔히 개인정보보호가 특정 시스템을 도입하거나 서식을 만드는 등의 조치만으로 완성된다고 오해하는 경우가 많다. 그러나 조직 내의 모든 개인정보 취급자들의 업무처리 형태를 분석하고 잘못된 관행을 개선하면서 다양화되고 전문화되는 해킹기술에 대응하여 각종 보호조치를 취하는 것은 여간 어려운 문제가 아니다. 이 때문에 개인정보보호책임자의 적극적인 관리감독과 전반적으로 보호 수준을 높여가겠다는 의지가 있어야만 현장에서 개인정보보호가 정착될 수 있다.


개인정보보호는 조직의 가장 큰 리스크를 관리하는 필수활동

대부분의 공공기관과 기업들이 고객을 가장 중요한 가치로 정의하고 고객만족을 위한 노력을 기울이고 있다. 특히, 고객들이 믿고 맡긴 개인정보를 안전하게 관리하는 것은 기업의 기본 책무이다.

개인정보보호가 제대로 이루어지지 않는다면 고객에 대한 기본 신뢰가 무너지는 것이고 조직 경영의 큰 리스크가 된다. 관리자가 가져야할 기본 책무로 리스크 매니지먼트를 꼽는다. 각각의 업무 프로세스, 비즈니스 서비스 단계별로 조직에서 고객 신뢰를 잃고 경영위기를 초래하는 리스크가 무엇인지 챙기는 노력이 절실하다.


그런 의미에서 개인정보보호는 조직의 가장 큰 리스크를 관리하는 중요한 활동으로 조직 경영의 필수요소라고 할 수 있다. 개인정보보호책임자는 조직에서 가장 필수적인 경영전략을 책임지고 있음을 스스로 인식하여 법에 의해 부여된 역할을 차질 없이 수행하고 조직의 개인정보보호 수준 향상을 위한 적극적인 노력을 기울여야 한다.


개인정보를 처리하는 공공기관과 사업자는 개인정보보호책임자의 역할을 존중하고 전사적인 개인정보보호 활동이 이루어질 수 있도록 지원을 아끼지 않아야 한다. 이와 함께 개인정보보호책임자들이 맡은 바 책임을 다함으로써 개인정보보호 문화의 확산과 개인정보보호법의 조기 정착이 이루어질 수 있을 것으로 기대한다.

Posted by secu153

댓글을 달아 주세요

국제정보보안센터 발견해 보고서 전달...최신 버전 업데이트 필요!    

[보안뉴스 호애진] 국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard)에서 XSS 취약점이 발견돼 사용자의 주의가 요구된다.


국제정보보안센터가 발견한 이 취약점은 해당 애플리케이션에 적용된 보안 필터링을 역이용해 XSS 공격을 할 수 있는 것으로 알려졌다.  

 

▲취약한 필터링 소스

 

취약 버전의 그누보드에서 쓰이는 보안 소스에서 게시물에 입력된 내용에서는 preg_replace 함수를 통해 “< (공백) xml” 문자열이 있을 경우 공백으로 치환하는 기능을 하고 있다.


▲스크립트 삽입의 예

 

해당 문자열의 검사는 중요 보안 필터링에 대한 동작 이후에 실행이 돼 이외의 중요 보안 필터링에 대해 우회가 가능한 것으로 확인됐다.

▲스크립트 동작

이번 취약점을 발견한 국제정보보안교육센터(i2sec) 강우석씨는 “필터링 보안정책의 경우 항상 우회를 염두에 두고, 적절한 검토를 통해 적용해야 한다”고  강조하면서 “이와 같이 XSS 공격이 가능할 경우 바이러스 유포, CSRF 공격, 쿠키 하이재킹 등으로 악용될 수 있기 때문에 사용자들은 보안 패치를 항상 최신 버전으로 업데이트를 하는 것이 중요하다”고 당부했다.

취약점이 발견된 버전은 4.36.00이며, 그누보드 측은 국제정보보안교육센터에서 보고서를 전달받은 뒤 취약점이 보안 패치된 4.36.01 버전을 배포중이라고 밝혔다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요

잉카인터넷, 2012년 상반기 보안이슈 결산 및 TOP10 선정


[보안뉴스 호애진] 올 상반기에는 온라인게임 계정 탈취 목적의 악성파일이 기승을 부린 것으로 나타났다. 또 지능형지속위협(APT: Advanced Persistant Threat) 공격이 지속적으로 발견됐다.


잉카인터넷(대표 주영흠)은 ISARC 대응팀을 통해 2012년 상반기 보안이슈 결산 및 TOP10을 선정해 4일 발표했다.


선정된 10대 보안 이슈는 △온라인게임 계정 탈취 악성파일 기승 △APT 공격 지속적 발견 △안드로이드 기반 악성파일 국내 자료실에서 유포 △SNS를 이용한 악성파일 지속적 유포 △HWP 문서 취약점 증가 △인터넷 뱅킹 사용자 대상 보안위협 다수 발생 △북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장 등이다.


이번 보고서 발간은 2012년 상반기에 출현했던 대표적인 보안 위협들을 되짚어보고, 하반기에 출현 가능한 위협 요소들을 예측해 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며, 각계 보안의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다고 잉카인터넷 측은 설명했다.  


한편, 잉카인터넷은 올 하반기에도 사회공학적 기법과 취약점 관련 악성파일이 기승을 부릴 것으로 예상했다. 또 악의적 목적을 가지는 스마트 기기용 애플리케이션 등장 이외에도 SNS를 매개체로 한 악성파일 유포가 다양한 기법으로 출현할 수 있을 것으로 보고 있다.


이와 함께 DDoS 공격이나 유명 온라인 게임 계정 탈취를 위한 특정 악성파일 유포 기법이 지속적으로 출현하고, 국가기관이나 기업, 특정 인물들을 타깃으로 하는 APT 공격이 보다 고도화, 지능화돼 발생할 것으로 전망했다.


문종현 잉카인터넷 ISARC 대응팀 팀장은 “개인 및 단체, 기관, 기업 담당자들은 각종 취약점에 대한 검토를 진행해야 하며, 이러한 위협에 대비하기 위한 메뉴얼을 수립하는 등 세부적인 보안의식 함양 노력이 필요하다”면서 “특히, 내부 직원의 보안 교육을 강화해 외부로부터의 은밀한 공격에 쉽게 노출됨으로써 기업 내부의 중요 정보가 외부로 유출되는 사고가 발생되지 않도록 하는 대비가 요구된다”고 강조했다.


2012년 상반기 보안이슈 결산 및 TOP10


1. 온라인게임 계정 탈취 목적의 악성파일 기승

유명 온라인 게임 사용자들의 개인정보(아이디, 암호 등)를 불법적으로 탈취한 후 해당 정보를 도용해 금전적인 수익을 챙기는 사이버 범죄가 끊이지 않고 있으며, 이 과정에서 윈도우 운영체제의 정상 시스템파일을 변조 또는 악성파일로 교체하는 악성파일 유포가 연일 기승을 부리고 있다.


2012년 상반기 중에는 ws2help.dll, version.dll 등 각종 윈도우 운영체제의 정상 시스템파일을 변조(Patched/Forwarded) 또는 악성파일로 교체해 일반인들이나 안티바이러스 제품들이 치료하기 불편하게 방해하는 기법도 꾸준히 성행하고 있다.

 

▲윈도우 운영체제 정상 시스템파일을 변조 또는 악성파일로 교체

 

2. 지능형지속위협(APT: Advanced Persistent Threat) 공격 지속적 발견

일본 국토교통부 산하 국토지리원을 표적으로 한 공격, 3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 등 지능화된 표적 공격이 지속적으로 발견되고 있다. 지능형지속위협(APT: Advanced Persistent Threat)은 감염 사실을 인지하기가 어렵고, 해당 기관이나 기업이 공식적인 피해 사실을 파악해 공개하는 경우는 매우 희박하기 때문에 공격자로 하여금 꾸준한 공격 가능 환경을 제공하고 있는 상황이기도 하다.

 

▲APT 공격 순서

 

3. 안드로이드 기반 악성파일 국내 자료실에서 유포

스마트폰 사용자를 대상으로 한 안드로이드 기반 악성파일이 계속적으로 발견되고 있는 가운데, 2012년 상반기에는 국내 유명 공개자료실에서 개인정보 유출 시도형 안드로이드 기반 악성파일이 배포되고 있는 것이 발견됐다.


안드로이드 기반 악성파일은 대체로 중국, 러시아, 일본 등의 블랙마켓 등에서 무단 배포되는 안드로이드 악성파일이 주류를 이루고 있었으나, 국내 유명 공개 자료실에서 발견된 사례는 최초라고 할 수 있다.


nProtect Mobile for Android 제품에는 2012년 01월부터 06월까지 상반기 동안만 약 9,700여개의 새로운 안드로이드 기반 악성파일의 진단/치료 기능을 추가한 상태다. 이는 2011년 한해 동안 업데이트 된 약 4,000여개의 두배 이상으로 증가한 수치다.


4. 소셜네트워크서비스(SNS)를 이용한 악성파일 지속적 유포

전세계적으로 트위터(Twitter), 페이스북(Facebook) 이용자가 꾸준히 증가 유지되고, 스마트폰 활성화 등과 연계돼 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끈질기게 악용하고 있다.


트위터, 페이스북 친구 요청 이메일로 사칭해 악성파일에 감염되도록 유혹하기도 하며, 단축URL 주소 서비스를 이용해 악의적인 웹사이트로 연결을 유도하거나, 페이스북의 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만드는 등의 사례가 다수 발견됐다.


5. 한글 사용자를 주요 위협 대상으로 삼고 있는 HWP 문서 취약점 증가

2012년 상반기 중에도 다수의 HWP 문서 취약점을 악용한 악성파일이 발견돼 HWP를 이용하고 있는 사용자들에게 새로운 위협요소로 작용했다.


근래에는 국내 유명기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속위협(APT) 공격에 특화화 된 HWP 문서 취약점을 은밀하게 악용하고 있기 때문에 HWP 문서를 사용하는 기업이나 기관의 경우 이러한 악성파일에 각별한 주의가 필요하다.


6. 인터넷 뱅킹 사용자를 위협대상으로 삼는 보안위협 다수 발생

2012년 상반기는 보이스 피싱이 한 단계 진화한 문자(SMS) 피싱이 극성을 부렸으며, 이후 문자 피싱은 악성파일과 추가 결합한 형태로 또 다시 발전을 거듭하고 있다.

 

특히, ‘보안승급서비스’라는 문자(SMS)를 보내 사용자들을 현혹해 인터넷뱅킹에 필요한 대부분의 개인정보를 사용자 스스로 직접 입력하도록 유도하는 형태도 다수 발견됐고, 악성파일 배포에 해킹과 정상프로그램 변조 등 고도화된 기법이 복합적으로 사용돼 이슈화 됐다.


7. 북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장

북한의 광명성 3호 발사와 3차 핵실험 강행 위협 등 국재 안보 정세에 다소 위협적인 북한의 입장 표명을 이용하는 사회적으로 이슈화 되고 있는 내용들을 통해서 악성파일이 유포되는 사례가 발견됐다.


북한과 관련된 키워드나 특정 문구 등을 이용해서 인터넷 사용자들을 현혹시켜 악성파일에 감염되도록 만드는 수법은 예전부터 꾸준히 사용되고 있으므로, 유사한 내용에 각별히 주의하는 노력이 필요하다.


8. 성인동영상과 함께 유포되는 악성파일 변종 출현

신종 악성파일 유포를 국지적으로 보다 쉽고 빨리 진행하기 위한 방식이 다각적으로 시도됐는데, 그 중 2012년 상반기에는 성인동영상을 통한 악성파일 유포가 특징이라 말할 수 있다.


악성파일 유포자는 다운로드 증가를 유도하기 위해 조회수가 상대적으로 많은 음란 성인동영상에 악성파일을 교묘하게 포함시켜 유포하고 있으며, 사용자가 해당 대용량 파일을 다운로드하고 실행 시 성인용 동영상파일이 별도로 생성되고 재생도 정상적으로 가능하도록 조작해 만들었다.


9. 정상프로그램을 불법 해킹/변조한 피해 증가

웹 사이트에서 배포되는 정상 동영상 플레이어 설치파일이나 각종 애플리케이션을 불법적으로 해킹, 변조해 악성파일을 배포하는 행동도 포착된 바 있다.


악성파일 자체를 정상파일처럼 보이도록 조작하는 방식이 대부분이었으나, 실제 정상 프로그램을 위변조해 악성파일이 함께 설치되도록 하는 경우는 매우 드문 경우였다.

 

▲정상설치프로그램과 위변조된 악성설치프로그램

 

10. 사회기반시설을 표적으로 삼는 악성파일 변종 플레임(Flame) 

특정 국가의 사회기반시실(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발된 스턱스넷(Stuxnet), 듀큐(Duqu)의 또 다른 변종인 플레임(Flame)이라는 악성파일이 발견됐다.


해당 악성파일은 2010년 이전부터 활동한 것으로 추정되며, 컴퓨터 화면 기록, 특정대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계돼 있다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요


http://www.boannews.com/media/view.asp?idx=29337&page=1&kind=2&search=title&find=

PIMS 인증제도 법적근거 마련한 ‘정보통신망법’ 개정안 통과



 

[보안뉴스 김정완] 의원안으로 국회에 계류 중이던 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(이하 정보통신망법 개정안)’ 7개 안이 폐기되고 이를 수용해 제안된 대안이 29일, 제304회 국회 제2차 본회의에서 원안대로 통과됐다.


정보통신망법 개정안은 대규모 개인정보 유출사고가 발생하는 것을 방지하기 위해 주민등록번호의 무분별한 수집과 이용을 제한하고, 개인정보 누출시 이용자에게 해당 사항을 통지하고 방송통신위원회에 신고하도록 했다. 또한, 중대한 개인정보보호법규 위반행위가 있는 경우에는 방송통신위원회가 해당 정보통신서비스 제공자 등을 수사기관에 고발할 수 있도록 하는 등 개인정보보호 체계를 전반적으로 강화하고자 했다.


또한, 기업의 정보보호를 체계적으로 관리 및 지원할 수 있는 정보보호 관리체계 인증제도로 일원화하기 위해 현행 정보보호 안전진단제도를 폐지하고, 정보보호 사전점검 제도와 개인정보보호 관리체계 인증제도에 대한 법적 근거를 마련했다. 이 밖에 침해사고에 대한 신고의무를 이행하지 아니한 자에 대하여 과태료를 부과하는 등 실질적인 정보보호체계를 확립하기 위한 내용들이 포함됐다. 그 내용은 다음과 같다.

 

- 정보통신서비스 제공자가 본인확인기관으로 지정받거나 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우 등을 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없도록 함(안 제23조의2).

- 정보통신서비스 제공자등은 개인정보의 분실·도난·누출 사고 발생시 해당 이용자에게 통지 및 방송통신위원회에 신고하여야 하고 피해를 최소할 수 있는 조치를 강구하여야 함(안 제27의3 신설).

- 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 수집한 이용자 개인정보의 이용내역을 주기적으로 이용자에게 통지하여야 함(안 제30조의2 신설).

- 정보보호 사전점검제도의 법적 근거를 마련하고, 정보통신서비스 제공자가 임원급의 정보보호 최고책임자를 지정할 수 있도록 함(안 제45조의2 및 제45조의3 신설).

- 정보보호 안전진단제도를 폐지하고, 정보보호 관리체계 인증제도로 일원화하며, 개인정보보호 관리체계(PIMS) 인증제도의 법적 근거를 마련함(제46조의3 삭제 및 안 제47조, 안 제47조의3 신설).

[김정완 기자(boan3@boannews.com)]

Posted by secu153

댓글을 달아 주세요


고객 정보 유출 여부 아직 몰라...현재 포렌식 분석 통해 조사 중


 

[보안뉴스 호애진] 세계 2위의 스포츠웨어 제조 및 판매업체인 아디다스가 해킹 공격을 받았다. 아디다스는 해킹을 당한 직후 자사의 수많은 웹사이트를 일시 폐쇄시켰다고 현지 외신들이 보도했다.


아디다스는 6일(현지시각) 성명을 통해 고도로 정교화된 사이버 공격을 받았으며 고객 정보가 유출됐다는 증거는 없으나 현재 보안 전문가들이 포렌식 분석을 통해 조사를 진행하고 있다고 밝혔다.


아디다스는 이번 해킹 공격이 3분기 실적 발표를 한 3일 이뤄졌으며 이후 보안 정책을 강화했다고 덧붙였다.


영향을 받은 사이트는 adidas.com, reebok.com, miCoach.com, adidas-group.com을 비롯한 여러 현지 온라인 숍 등이다. 다만 북아메리카와 일부 유럽 국가의 온라인 숍은 그대로 서비스가 제공되고 있다.


이에 대해 우려의 목소리가 높다. 지난 5월 소니플레이스테이션 네트워크 역시 고도로 정교화된 사이버 공격을 받았다고 발표한 바 있다. 당시 7700만명의 고객 정보가 유출됐다는 조사 결과가 발표되기 전만 해도 소니는 해킹 공격이 어느 정도의 규모로 이뤄졌는지 알지 못했다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요



[속보] 개인정보보호법 드디어 제정!...9일 법사위 통과
 
 
조금 전 국회에서 개인정보보호법이 법안 2소위원회를 통과했습니다.

이후 본회의를 거쳐 공포만 남았습니다. 3월말에 본회의에서 공포되면 6개월
후인 9월말부터 시행예정 일 것으로 보입니다.

본회의도 매우 긍정적인 전망입니다.

빠르면 이달 말 공포 예정...오는 9월 말 시행될 전망


 

[보안뉴스 김정완] 오랫동안 국회에 계류 중이었던 개인정보보호법이 제정된다. 개인정보보호법이 9일, 국회 법제사법위원회 법안2소위원회를 통과한 것.


이에 따라 내일 전체회의 및 본회의를 거쳐 빠르면 이달 말에 공포가 될 예정이다. 그렇다면 이후 개인정보보호법은 오는 9월 말 시행될 것으로 전망된다.


개인정보보호법은 공공기관 개인정보보호법, 정보통신망법 등의 개별법간 보호원칙, 처리기준 및 추진체계가 상이해 국민혼란, 일관된 정책 추진에 한계가 있어 지난 2004년부터 일반법으로서의 개인정보보호법이 논의돼 오다 현재까지 국회에 계류 중에 있다가 이번에 최종적으로 법사위를 통과해 공포·시행을 앞두게 됐다.

[김정완 기자(boan3@boannews.com)]

Posted by secu153

댓글을 달아 주세요





[보안뉴스 장성협] 보안뉴스는 2월 9일, 서울 광화문플래티넘빌딩에서 ‘개인정보보호법 제정을 위한 행정안전부-보안기업 간담회’를 가졌다.


개인정보보호법 제정에 따른 기업의 준비사항 설명은 물론 그에 대한 논의, 그리고 개인정보보호법 의무사항에 대한 보안기업의 요구사항 제안 등의 목적으로 진행된 이날 간담회에는 강신기 행안부 개인정보보호과장을 비롯해 개인정보보호과 담당자들과 국내·외 보안기업 20여개 담당자 등 40여 명이 참석해 열띤 토론을 펼쳤다.


이날 간담회는 2월 임시국회 개인정보보호법 제정을 앞둔 시점에서 개인정보보호에 대한 관심을 반증하는 자리가 됐다. 이에 보안뉴스에서는 이날 간담회 현장을 영상에 담았다.

[장성협 기자(boantv@boannews.com)]

Posted by secu153

댓글을 달아 주세요




CC인증 대상 유형 새롭게 정의...별도지정제도 폐지 등


 

[보안뉴스 김정완] 국가정보원 IT보안인증사무국이 보안적합성 검증제도를 2011년 1월1일부로 개선한 내용을 살펴본다.


우선 정보보호제품 도입요건을 살펴보면, CC인증 대상을 모든 유형의 정보보호제품에서 침입차단·탐지·방지, 통합보안관리 등으로 국정원이 정한 중요 제품으로 변경한다(다음 표 참조).


정보보호기술 및 환경변화에 따라 CC인증 대상이 추가 또는 변경될 수 있으며 최신 변경사항은 IT보안인증사무국 홈페이지에 공지할 예정이다.


또한 암호제품은 기존처럼 ‘국가용 암호제품’으로 지정된 제품에 한해 도입되며, 별도지정제도를 폐지함에 따라 향후 완전삭제제품(디가우저·이레이져)은 도입시 보안적합성 검증제도를 통해 안전성 검증을 받아야 한다. 아울러 기존 별도지정제품은 보안적합성 검증필 목록에 등재가 될 예정이다.


그리고 ‘국내용 CC인증제품’ 및 ‘국가용 암호제품’은 보안적합성 검증이 생략된다.


특정 기관에서 도입해 보안적합성 검증을 필한 제품을 다른 기관이 도입시, 별도의 보안적합성 검증 신청없이 사용이 가능하다. 이 또한 IT보안인증사무국 홈페이지에 공지될 예정이다.


특히 국내용 CC인증제품·국가용 암호제품·보안적합성 검증필 제품 등이 아닌 제품은 도입시 필히 검증신청 및 검증결과에 따른 보완조치가 필요하다.

한편 CC인증 대상 정보보호제품 중 가상사설망·보안USB 등 중요자료 소통·저장을 위한 암호사용시에는 검증필 암포모듈 탐재가 필요하다.

[김정완 기자(boan3@boannews.com)]

Posted by secu153

댓글을 달아 주세요

http://www.boannews.com/media/view.asp?page=&gpage=&idx=24374&search=&find=&kind=1

‘ISEC 2010’에서 참관객 1천명을 대상으로 ‘귀사에서 도입이 필요하다고 생각하는 보안솔루션은?’이란 질의에 안티DDoS, DRM, 바이러스백신, DB보안 제품 등 27개 항목 중에 ‘무선보안’이라고 163명(16.3%)이 답했다.

2011년 이슈가 될 보안솔류션은 Anti-DDoS, DB보안 제품, 무선보안 등 일 것 같네요.^^


보안뉴스 독자가 뽑은 올해 가장 부각될 ‘보안문제’는?!
[입력날짜: 2011-01-10 17:14]
        

단연 ‘스마트폰·무선보안’ 꼽아...뒤이어 개인정보 유출·DDoS공격 등


[보안뉴스 김정완] 보안뉴스 독자를 대상으로 지난해 12월7일부터 올해 1월10일까지 한달여간 진행한 ‘2011년에 가장 부각될 것으로 보이는 보안 문제는?’이라는 질문에 대한 설문조사 결과, 절반 가량이 ‘스마트폰 및 무선 보안’을 꼽았다.

 

 

총 526명의 보안뉴스 독자가 참여한 이번 설문에서는 참여자 절반가량에 해당하는 256명(48.67%)이 ‘스마트폰 및 무선 보안’을 꼽아 올해 가장 부각될 보안 문제로 꼽았다.


뒤를 이어 설문 참여자 90명(17.11%)이 ‘개인정보 유출’ 문제를, 48명(9.13%)이 ‘DDoS공격 및 봇넷 공격’을, 47명(8.94%)이 ‘클라우드 컴퓨팅 보안’, 43명(8.17%)이 ‘IPv6 보안’문제를 꼽았다.


그 외에도 ‘스마트그리드 보안(18명, 3.42%)’, ‘산업기밀유출(14명, 2.66%)’, ‘홈페이지 해킹(7명, 1.33%)’ 문제를 거론했으며, 기타 3명(0.57%)이 나왔다.


또한 이를 뒷받침하듯 보안뉴스가 지난해 12월 주관·개최한 ‘ISEC 2010’에서 참관객 1천명을 대상으로 ‘귀사에서 도입이 필요하다고 생각하는 보안솔루션은?’이란 질의에 안티DDoS, DRM, 바이러스백신, DB보안 제품 등 27개 항목 중에 ‘무선보안’이라고 163명(16.3%)이 답했다.


한편 이와 관련 한 보안전문가는 “보안이슈는 이슈일 뿐이지 이를 최우선 보안 문제로 규정하고, 이를 해결하고 예방하는데만 치중해서는 안 될 것”이라며 “스마트폰 보안 문제 외적으로 거론된 개인정보 유출이나, 스마트그리드 보안, DDoS공격, IPv6 문제 등은 물론 그 외 내부 사용자 등 여러 산재해 있는 보안문제들에 대해서도 염두·고려해 혹시 발생할지 모를 사고에 대비해야 할 것”이라고 말했다.

[김정완 기자(boan3@boannews.com)]

Posted by secu153

댓글을 달아 주세요



삼성전자가 신규  IP 네트워크 제품 라인업을 앞세워 기업 통신 시장 공략을 가속화 하고 있습니다.

삼성전자는 20일 DDoS, 웜 등의 네트워크 공격을 효과적으로 차단할수 있는 새로운 보안스위치 제품을 앞세워 최근 IP 텔레포니와 보안 솔류션 도입을 추진하는 기업 통신 시장 공략에 박차를 가한다고 발표를 했습니다.

 

기업통신 시장은 IP 텔레포니 도입이 일반화되고 있고 일반통신 시장에서도 IPTV와 인터넷전화 가입자가 본격적으로 확산되어 있어 LP 네트워크 보안에 대한 시장의 인식이 점차 확대되고 있습니다.

이에 삼성전자는 보안스위치 제품 '유비게이트 iES4200 시리즈' 를 출시해서 확대되고 있는 시장 수요에 즉각 대응할수 있는 체제를 갖추게 되었습니다.

 

 

'유비게이트 iES4200 시리즈'는 고성능 ASIC 기반의 보안 기능을 탑재한 L2 스위치 제품으로 인터넷 서비스, 인터넷전화, IPTV 등 IP 네트워크 기반 서비스에 전혀 영향을 미치지 않으면서 강력한 보안 기능을 수행하는 것이 특징입니다.

또한 개인 PC와 인터넷 전화에 직접 연결할 수 있어 사용자 접점으로부터 유해 트래픽의 감염과 확산을 방지할 수도 있습니다.

 

그리고 신종공격이 나올때 마다 별도로 소프트웨어 입데이트할 필요가 없고, 유해 트래픽 발생시에도 해당 트래픽만 선별하여 차단할수 있어 관리가 매우 편합니다.

 

"유비게이트 iES4200"공공기간이나, 금융쪽 기업 뿐더러 모든 기업이나 일반 가정에서도 유용하고 편리하게 쓰일수 있을것 같습니다.

Posted by secu153

댓글을 달아 주세요