정보보안트렌드

• 공공기관 보안규제 확 푼다 (CSK 2024) 국제 사이버안보 행사 'CSK 2024' 통해 망분리 정책 유연화 발표국가 전산망의 업무정보 중요도에 따라 보안 등급 나누는 MLS 도입, 국제표준암호알고리즘(AES) 사용 허용 ⭐️주요 내용정부가 '안보'를 명분으로 공공기관 업무 시스템에 적용했던 보안 규제를 대폭 완화할 것.그동안 엄격했던 공공기관의 업무망·인터넷망 분리제도를 개선하고, 암호모듈의 검증 시 국제표준 제품들도 허용.주요 국가·공공기관에서 사용하는 암호모듈의 안전성을 검증하는 '암호모듈 검증제도(KCMVP)'는 국내에서 개발한 암호만 허용해왔고, 허용된 암호로는 SEED, ARIA, HIGHT, LEA 등이 있었으나, AES 안전성이 입증됐다고 판단해 사용을 허용하기로 결정업무 중요도에 따라 기밀, 민감, 공개 등급으로 분류하는 다층보안.. 2024.09.22
• 인터넷망 접속이 가능해진 개인정보 취급 보안 PC '개인정보보호위원회'에서 9월 12일 ｢개인정보처리시스템에 대한 인터넷망 차단조치 제도개선(안)｣을 발표. 이에 따라 앞으로는 개인정보처리시스템에서 데이터 가명화, 암호화 등 개인정보 유출 방지와 불법 접근 차단을 위한 적절한 보호조치를 적용한 경우, 인공지능이나 클라우드 등의 기술을 활용 가능 ⭐️주요 내용개인정보보호위원회는 인터넷망 차단 조치를 완화하여 개인정보 처리 시스템에서 인공지능과 클라우드 기술을 활용할 수 있도록 '개인정보처리시스템에 대한 인터넷망 차단조치 제도 개선안’을 발표함.인터넷을 활용해 업무 효율을 높일 수 있도록 위험도에 따른 △차단수준 차등 적용 △개인정보처리자의 책임 강화를 통한 보호수준 저하 방지 △개인정보처리자 지원 강화 등 3대 개선 방향을 제시함.개인정보처리자는 내부관리.. 2024.09.22
• [입법예고] (정보통신기반 보호법 시행령) 정부 부처별 CISO 둔다. 정보보호책임관, 과장급 → 고위공무원 상향 정보통신기반 보호법 시행령 입법예고 (24.6.21~24.7.31)에 따라, 주요 정보통신(IT) 기반시설에 대한 정부의 책임·역할을 강화하기 위해 정보보호책임관의 직급을 상향하는 일부 개정령안 마련.  대상 : 정보통신기반 보호법 시행령 (링크)구분 : 개정안 입법예고 공유개정 이유정보보호책임관에 대한 책임을 강화하고 주요정보통신기반보호위원회의 위원 구성을 명확히 하기 위함.주요 내용관계중앙행정기관의 정보보호책임관 직급을 상향하고, 보좌하는 공무원 지정 및 관련 교육 등 지원 근거 신설(안 제11조1항 및 3항)정보통신기반보호위원회 위원 소속과 직급의 명문화된 내용을 삭제하고 주요정보통신기반시설 소관 중앙행정기관의 차관급 공무원으로 명시(안 제2조)  🔗 관련 링크관련 기사https://www.new.. 2024.07.01
• 제로트러스트 보안 인증제도 7월 시행 한국제로트러스트보안협회는 7월 1일부터 제로트러스트 보안 성숙도 수준을 평가/검증하는 '제로트러스트 보안 인증 서비스'를 제공  ⭐️주요내용제로트러스트 보안을 적용한 기업/기관을 대상으로 민간차원에서 우선적으로 제로트러스트 보안 성숙도 수준 평가/검증하는 '제로트러스트 보안 인증 서비스'를 2024년 7월 1일 부터 제공하기로 밝힘.인증심사 항목은 정부가 공시한 제로 트러스트 가이드라인에서 규정하고 있는 ▲식별자·신원(Identity) ▲기기 및 엔드포인트(Device/Endpoint) ▲네트워크(Network) ▲시스템(System) ▲응용 및 워크로드(Application & Workload) ▲데이터(Data) 등 6가지 핵심 요소가 대상.제로 트러스트 보안 성숙도 수준에 따라 △준비(Initial.. 2024.07.01
• 골프존 개인정보유출로 과징금 75억원·과태료 540만원 부과 기업의 책임성 강화 위해 개정된 개인정보보호법 규정 적용 첫 사례로 안전조치의무‧주민등록번호 처리제한 및 개인정보 파기 위반으로 과징금 75억원, 과태료 540만원 부과  ⭐️주요 내용지난해 11월 해커로부터 랜섬웨어 공격을 받고, 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속 후 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개.약 221만명 이상의 서비스이용자 및 임직원의 개인정보가 유출되어 과징금과 과태료 부과와 함께 시정명령 및 공표명령을 받음.기업차원의 책임성 강화를 위해 개정된 ('23년 3월 14일 개정. 9월 15일 시행) 개인정보 보호법 규정이 적용된 첫사례로 과징금 상한액을 위반행위 관련 3%에서 전체매출액 3%로 상향하고 과징금 산정 시 위반행위와 관련없는.. 2024.05.15
• CBPR (APEC 개인정보 체계 인증제도) 확대 시행 예정 APEC(아시아태평양경제협력체)가 운용하는 CBPR 인증제도가 회원국 이외의 국가에서도 참가할 수 있도록 확대 시행 예정으로 개인정보 국외이전절차 간소화 전망  ⭐️주요 내용APEC(아시아태평양경제협력체)가 운용하는 CBPR 인증제도가 다음달부터 회원국 이외의 국가에서도 참가할 수 있도록 확대 시행될 예정개별기업이 CBPR인증을 받은 경우 CBPR을 국외 이전 수단으로 인정한 다른국가의 인증기업과 자유롭게 데이터를 이전할 수 있음.이에 따라 현재 9개국에서 참여하고 있지만, 영국이 참여를 확정했고 아랍에미리트와 버뮤다도 가입을 거론 중> 현재 참여국 : 대한민국, 미국, 일본, 호주, 캐나다, 싱가포르, 멕시코, 필리핀, 대만Opinion (견해)APEC 회원국 외 국가에서도 참가가 가능하도록 확대 시행.. 2024.05.15
• (4/22~4/26) ISMS-P 인증심사원 자격검정 서류전형 접수. 응시자격, 제출서류, 전형일정 ISMS-P 인증심사원 양성을 위한 필기전형을 7월에 실시하여, 4월 말 서류전형 접수 예정 응시요건 '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 (링크)' 제 13조 및 별표 4에 의해 아래 요건을 모두 충족해야 함. 4년제 대학 졸업 이상 또는 이와 동등 학력을 취득한 자 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유 경력 대체 요건 서류 접수 기간 : 2024. 04. 22.(월) 10:00 ~ 04. 26.(금) 18:00 관련 링크 https://isms-p.kisa.or.kr/main/community/notice/ KISA 정보보호 및 개인정보보호관리체계 인증 알림마당 공지사항 알림마당 공지사항 목.. 2024.04.15
• (공유) SK 쉴더스 - 2024 클라우드 보안가이드 (AWS, AZURE, GCP) 본 자료는 SK 쉴더스에서 무료 공개 및 배포한 자료로 대표 퍼블릭 클라우드 서비스에 대한 (AWS, AZURE, GCP) 보안 점검 체크리스와 대응방안이 담김 주요 내용 클라우드 구성요소들의 보안정책 점검 방법 쿠버네티스 서비스에 대한 계정관리, 가상 리소스 관리, 운영관리 등 3가지 영역 새롭게 추가 SK Shieldus 바로 가기 https://www.skshieldus.com/kor/support/eventDetail.do?idx=501# 공지사항 온전한 지속가능의 시작, 안녕을 지키는 기술에서 시작합니다. SK쉴더스 www.skshieldus.com 2024.04.15
• 인기 오픈소스 ‘XZ Utils’ 라이브러리 최대 심각도 백도어 발견 모든 GNU/리눅스 운영체제에서 데이터 압축에 필요한 필수 유틸리티를 제공하는 인기 오픈소스인 ‘XZ Utils’ 라이브러리에서 백도어가 발견되었고 수많은 기업과 사용자들을 대상으로 한 소프트웨어 공급망 공격으로 볼 수 있어 파장이 커지고 있음. 주요 내용 레드햇은 29일(현지시간) ‘XZ Utils’라는 데이터 압축 라이브러리의 두 가지 버전에 무단 원격 액세스를 허용하도록 설계된 백도어가 심겨져 있었다며 ‘긴급 보안 경고’를 발표했음. 해당 취약점(CVE-2024-3094)은 소프트웨어 공급망 공격의 일종으로 CVSS 점수는 10.0으로 최대 심각도를 나타내며, 해당 취약점은 최근 출시된 XZ Utils 버전 5.6.0(2월 24일 출시) 및 5.6.1(3월 9일 출시)에 영향을 미치는 것으로 알려짐.. 2024.03.31
• 불법스팸 방지를 위한 정보통신망법 안내서 발간 (제6차 개정판, KISA) KISA(한국인터넷진흥원)에서 정보통신망법 일부 개정('24.1.23.)에 따른 변경 사항을 반영한 '불법스팸 방지를 위한 정보통신망법 안내서' 제 6차 개정판을 발간 주요 내용 정보통신망법 일부 개정('24.1.23.)에 따른 변경 사항을 반영해 올바른 광고 전송을 위한 사업자의 법규 이해도 제고를 위해 안내서를 발간함. '불법스팸 전송차 처벌 강화 및 통신사의 전송방지 책임성 강화를 위한 처벌 상향'과 '이용자 수신 동의 및 전송자 금지행위 관련 해석이 모호한 단어를 명시적 단어로 변경'하는 등의 주요 개정사항이 담김. 불법스팸 전송자는 기존 '1년 이하 징역 또는 1천만 원 이하 벌금' --> '3년 이하 징역 또는 3천만 원 이하 벌금'으로 상향. 불법스팸 전송 방지 의무를 다하지 않은 통신사업자.. 2024.03.31