기술사가 들려주는 ICT(정보통신기술) Report (PE.R.SON) 기술사가 들려주는 ICT(정보통신기술) Report (PE.R.SON)

1.1 관리체계 기반 마련 1.1.1 경영진의 참여 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 1.1.2 최고책임자의 지정 최고경영자는 정보보호 업무를 총괄하는 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산.인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. 1.1.3 조직 구성 최고경영자는 ISMS-P의 효과적 구현을 위한 실무조직, 조직 전반의 ISMS-P 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 ISMS-P 담당자로 구성된 협의체를 구성하여 운영하여야 한다. 1.1.4 범위 설정 조직의 핵심 서비스와 개인정보 처리..

II. ISMS-P 인증대상 및 범위 1. ISMS-P 인증대상 1.1 임의신청자 1.2 의무대상자 > * ISP : 전기통신사업법 6조1항 서울특별시, 모든 광역시에서 정보통신망서비스(ISP) 제공자 * IDC : 정보통신망법 46조 직접정보통신시설(IDC) 사업자 * 매출액 또는 이용자수 요건에 따른 대상자 - 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자 - 전년도 말 기준 직전 3개월 정보통신서비스 일일평균 이용자수 100만명 이상 - 연간 매출액 또는 세입이 1,500억원 이상인 자중 다음에 해당 + 의료법 제3조4 상급종합병원 + 직전년도 12월31일 기준 재학생수가 1만 명 이상인 고등교육법 제2조 따른 학교 1.3 인증 의무대상자 유의사항 > 집적정보통신시설의 일부를 임대하여 서..

I. ISMS-P 인증제도 개요 1. ISMS-P 인증제도 개요 1.1 ISMS-P 인증의 법적 근거 > * 정통법 47조, 47.2, 동법 시행령 47~54, 동법 시행규칙 3조 * 개인정보보호법 32.2, 동법 시행령 34.2~34.8 * 과기정통부(ISMS) + 개인정보보호위원회(PIMS) = ISMS-P [정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시] 공동 개정 시행 1.2 ISMS-P 인증제도 추진경과 > * 2001 ISMS 시행 > 2010 PIMS 시행 > 2013 PIPL 시행 > 2016 PIPL+PIMS > 2018 ISMS + PIMS * 인증심사기관 : KAIT(한국정보통신진흥협회), TTA(한국정보통신기술협회), FSI(금융보안원), KISA 1.3 ISMS-P 인증의..

알고리즘의 약점을 찾거나(암호 해독과는 다름) 무차별 공격을 하는 대신에 암호 체계의 물리적인 구현 과정의 정보를 기반으로 하는 공격 방법이다. 예를 들어, 소요 시간 정보, 소비 전력, 방출하는 전자기파, 소리를 통해서 시스템 파괴를 위해 악용할 수 있는 추가 정보를 얻을 수 있다. 일부 공격은 암호가 구현되는 시스템의 내부 동작에 관한 지식이 필요하지만, 또다른 공격은 전력 차이 분석 등과 같이 블랙박스 공격으로도 효과가 있다. 다양한 부채널 공격은 주로 파울 코허가 개척한 통계적 방법을 기반으로 한다 [부모계정] - 부채널공격 유형 : 모듈접근법, SW계산법, 획득정보분석 [대응방안] 마스킹, 암호화, 랜덤화 [수능불침차단 마블랜딩] - 분류 : 수동/능동 공격, 침입/불침입 공격, 차분/단순 공격..

1. 프라이버시 보호 암호화, 동형암호의 개요 가.동형암호 정의 평문과 암호문에서 같은 성질이 유지된다는 의미로 평문에 연산 결과와 암호문에 대한 연산결과가 같은 값을 가지는 암호화 기법 나.동형암호의 특징 - 서킷 프라이버시 - 연산 진행 시 연산에 대한 정보를 알지 못하는 성질 - 다중 도약 동형성 - 생성된 암호문이 다른 동형 연산의 입력으로 사용이 가능한 성질 - 격자 기반 - 높은 난이도의 암호체계로서 양자컴퓨팅의 보안 방법 중 하나 2. 동형암호의 동작 메커니즘과 상세설명 가.동형암호의 동작 메커니즘 - 평문 상태의 연산 결과와 암호문 상태에서 수행한 연산 결과가 동일 나.동형암호의 상세 설명 구분 항목 설명 유형 부분적 동형암호 - Partial homomorphic encryption(PH..

0. Why - 보안 취약점이 내제된 Smart Home 제품으로 인한 아파트 월 패드 해킹으로 인한 Privacy 침해사고 발생 1. 디지털로 진화하는 주거공간, 스마트 홈의 개요 정의 에너지, 가전제품, 보안기기를 네트워크로 연결하여 모니터링 및 제어하는 기술 특징 사용자 편의성, 보안 취약점, CC인증, 설계부터 보안 내제화 2. 스마트 홈의 보안 취약점 구분 취약점 내용 네트워크 망분리 미흡 - 아파트 네트워크 공유 - 세대간 망분리 미적용 Smart Device 취약한 인증 - 초기 비밀번호 미설정 - 보안 미인증 제품 사용 정책 법.제도 미흡 - '지능형 홈네트워크 설비 설치 및 기술기준' 표류 - 업계 이해관계 상충 사용자 인식 보안 인식 부족 - 비밀번호 보안강도 미흡 - 보안 위협에 대한..

o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1] o 공격자는 해당 취약점을 이용하여 정상 서비스 중지 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고 ※ Log4j 취약점을 이용한 침해사고 발생시 한국인터넷진흥원에 신고해 주시기 바랍니다. □ 주요 내용 o Apache Log4j 2에서 발생하는 서비스 거부 취약점(CVE-2021-45105)[2] ※ Log4j : 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 □ 영향을 받는 버전 o CVE-2021-45105 - 2.0-beta9 ~ 2.16.0 버전 (Log4j 2.3.1, 2.12.3 제외) □ 대응방안 o 제조사 홈페이지를 통해 최신버전으로 ..

OWASP(Open Web Application Security Project) 1. OWASP Top10 2017 대비 변경된 내용 2. OWASP Top10 2021 상세내용 구분 유형 상세 대응방법 A1 Broken Access Control (접근 권한 취약점) - 다른 사용자의 계정 및 데이터에 접근해 중요한 파일을 보거나 권한을 수정한다 - 최소 권한 부여 - ACL 적용 - 목록 비활성화 A2 Cryptographic Failures (암호화 오류) - 적절한 암호화가 이루어지지 않으면 민감 데이터가 노출된다. - 데이터 분류 및 통제 - 규정준수, 암호화, Salt - 최신 표준 알고리즘 A3 Injection (인젝션) - SQL, OS, ORM, LDAP 등의 신뢰할 수 없는 데이터 가..