전체 글 썸네일형 리스트형 [정보보안] - 인증 및 권한관리 [정보보안] - 인증 및 권한관리 1. 사용자 계정 보안 관리 정보시스템 내 개인정보와 중요정보에 관한 인가되지 않은 접근을 통제하고 업무 목적에 따른 계정 및 권한은 최소로 부여해야한다. 1) 관리자 권한(root, administrator, admin, sysadmin, sa 등 시스템 의 최상위 권한)은 최소 인원에게만 할당한다. 2) 관리자 권한이 필요한 경우 계정의 발급/변경/해지 절차를 수립하여 공식적인 승인이 부여될 수 있도록 해야한다. 3) 이러한 특수 권한자에 대해서는 목록화 하여 정기적으로 현행화가 필요하다. 4) 이 외 정보시스템 유지보수 및 외부자에 대해서는 필요시에만 권한을 부여하고 작업 종료 후 즉시 삭제해야한다. 2. 네트워크 접근에 대한 통제 내부 네트워크에 대해서 인가되지 .. 더보기 [정보보안] - 개인정보 보호조치 [정보보안] - 개인정보 보호조치 1. 개인정보의 수집 및 이용 정보주체의 동의를 받은 경우 개인정보의 수집/이용/목적, 수집 항목, 보유 및 이용기간, 동의 거부의 권리 및 불이익 내용을 의무 고지 후 개인정보를 수집할 수 있으며, 해당 내용을 위반시에는 5천만원 이하의 과태료가 부가될 수 있다. 하지만 예외적으로 다음 항목에 관해 정보주체의 동의 없이 개인 정보를 이용할 수 있다. - 정보주체의 이익을 침해하는 경우 - 가명처리 혹은 암호화 등 안전성 확보 조치를 취했을 경우 - 개인정보를 수집한 정황 혹은 관행에 미루어볼 때 개인정보의 추가 이용 가능성이 있을 경우 - 법률의 특별 규정 및 법령상의 의무 준수가 필요한 경우 - 정보주체와의 계약 체결 이행에 불가피한 경우 - 정보주체의 생명 및 신체.. 더보기 [정보보안] - 정보보호 및 개인정보보호 관리체계 ISMS-P 인증 [정보보안] - 정보보호 및 개인정보보호 관리체계 ISMS-P 인증 1. 정보보호 관리체계 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도란? 개인정보보호법 및 정보통신망 이용촉진 및 정보보호에 관한 법률에 근거하여 정보보호 및 개이정보보호를 위한 활동이 인증기준에 적합함을 인증기관이 증명하여 인증을 부여하는 제도입니다. 과학기술정보통신부 정보보호(ISMS)와 개인정보보호위원회의 개인정보보호(PIMS)가 통합된 개념입니다. - ISMS : 정보보호 중심의 인증 제도 (정보통신망법 제47조 제2항의 의무대상자는 인증이 필요합니다.) - ISMS-P : 정보보호 및 개인정보보호 영역을 포함하는 인증제도 2. 정보보호 관리체계 인증심사 종류 - 최초심사 : ISMS-P 인증을 처음 취득할 때 수행되는.. 더보기 [정보보안] - 소프트웨어 저작권 침해 사례 및 예방 [정보보안] - 소프트웨어 저작권 침해 사례 및 예방 저작권의 개념은 크게 3가지로 분류할 수 있습니다. 1.사람의 사상이나 감정을 표현한 창작물인 저작물 2. 그 저작물을 창작한 사람인 저작자 3. 해당 저작자가 보유하는 저작인격권 및 저작재산권을 통합한 개념인 저작권 - 저작인격권은 본인의 저작물을 공중에게 공표 여부를 결정하는 공표권, 저작물에 실명 또는 예명 등 자신을 표시하는 권리인 성명표시권, 저작물의 형식과 내용에 동일성을 유지해야하는 동일성유지권이 포함됩니다. - 저작재산권은 복제/공연/배포/공중송신/전시/대여/2차적저작물작성권이 포함됩니다. 저작권 침해 단속의 경우 검찰과 문화체육관광부의 특별사법경찰, 경찰청에서 단속이 진행됩니다. 현장단속절차로는 영장을 제시 후 소프트웨어 전수조사를 진.. 더보기 [정보보안] - 저작권 및 지식 재산권 [정보보안] - 저작권 및 지식 재산권 지식재산권은 크게 3가지로 분류할 수 있습니다. 1. 기술 및 창작물에 관한 권리 - 특허법에 따른 특허권 - 실용신안법에 따른 실용신안권 - 디자인보호법에 따르는 디자인권 - 부정경쟁방지법에 따르는 영업비밀 혹은 노하우 - 저작권법 및 특허법에 따르는 소프트웨어 2. 영업표지에 관한 권리 - 상표법에 따르는 상표권 - 상법에 따르는 상호권 - 상표법에 따르는 서비스표 - 부정경쟁방지법에 따르는 주지한 표장 3. 창작물에 관한 권리 - 저작권법 - 저작권법의 목적은 저작권자의 권리 보호 뿐만아니라 저작물의 공정한 이용 도모를 목적으로 합니다. - 저작물의 정의는 사람의 사상 혹은 감정을 표현한 창작물입니다. - 저작물로 인정되지 않는 예를 들면 추상적인 아이디어는 .. 더보기 [정보보안] - 양자컴퓨터를 이용한 보안 대응 [정보보안] - 양자컴퓨터를 이용한 보안 대응 방안 AhnLab Online Seminar 에 대한 내용을 정리합니다. 양자역학의 아버지라 불리는 닐스보어는 "양자 역할을 접하고서도 놀라지 않는 사람은 그것을 제대로 이해하지 못한 사람이다." 리처드 파인만은 "양자 역학을 이해한 사람은 아무도 없다고 자신있게 말할 수 있다."라는 언급이 있듯 양자의 개념은 어려운 소재이다. 1. 생활속의 양자역학은 무엇이있을까? - 호흡 : 전자 4개가 중첩 상태인 산소 분자와 공유 결합으로 인한 안정 상태가 있다. - DNA : 인산염의 주기적 배열로 친자 확인에 DNA 전기영동법을 사용한다. - 백열등 : 형광 효과에 사용되는 부분으로 형광등의 열전과 형광효과에 사용되고 있다. 영화속에서는 신체의 크기를 자유자재로 .. 더보기 [정보보안] - 사이버 공격 (RDP 랜섬웨어/스피어 피싱 메일/Follina) [정보보안] - 사이버공격 (RDP 랜섬웨어/스피어 피싱 메일/Follina) 1. RDP를 악용한 랜섬웨어 사이버 공격 1) 해커는 다크웹을 통해 정보를 구매하거나 특정 조직을 타겟하여 RDP 취약점을 스캔한다. 2) RDP 취약점을통해 RDP 접속 후 내부 환경을 분석한다. 3) 네트워크 스캔을 통해 확산 공격을 시도하다. 4) 예를들면 Lateral Movement 공격으로 패스워드를 무작위로 조합 후 입력하여 주요 서버 계정을 탈취한다. 5) 기업 내 주요 서버를 RDP 연결을 통해 접속한다. 6) 서버에 설치된 보안프로그램들을 제거한다. 7) BitLocker를 실행하여 디스크를 암호화한다. 2. 스피어 피싱 메일을 통한 사이버 공격 스피어 피싱을 통한 공격방식은 사회공학적 기법이나 URL 링크.. 더보기 [정보보안] - 국가 정보보안 지침 사항 [정보보안] - 국가 정보보안 지침 사항 제 12조 보안대책 수립 사항에 따라 정보통신망 혹은 정보시스템을 구축 및 운영하기 위한 보안 대책을 수립해야한다. 1. 보안관리체계 구축과 같은 관리적 보안대책을 수립해야한다. 2. 시스템 설치 및 보안관리 장치 등 물리적인 보안대책을 수립해야한다. 3. 정보통신망이나 정보시스템의 세부 사항 별 기술적인 보안대책을 수립해야한다. 4. 안전성이 확인 된 암호자재나 검증필 암호모듈, 정보보호시스템 도입과 운용에 대한 계획을 수립해야한다. 5. 긴급 상황 및 재난 상황에 대비한 재난 복구 계획을 수립해야한다. 6. 용역 업체에 대한 작업사항과 작업 장소에 대한 보안 대책이 필요하다. 7. 온라인 유지보수나 개발이 필요할 경우 제 28조 혹은 52조에 대한 보안대책이 .. 더보기 이전 1 2 3 다음