[번역] 아주 크게 성공한 사람들의 10가지 강력한 습관

,

누구나 성공하고 싶은 마음이 있을 것이다. 아니 성공하고 싶을 것이다. 또한 이렇게 누구나 원하는 '성공' 이란 것을 이루기 위해 무엇이 필요한지 누구나 한번쯤은 고민해 보았을 것이다. 

관련 내용을 검색하던 중, '아주 크게 성공한 사람들의 10가지 강력한 습관' 이라는 간단하고도 흥미로운 글을 발견해서 아래에 의역을 해보았다. 또한 주제별 관련 사이트도 링크되어있어 보다 편하게 감정이입을 할 수 있다.



1. They Speed Learn
우선 당신이 이해할 수 있는 수준의 책을 많이 읽습니다. 이것은 당신이 현재 직면하고 있는 문제들을 좀 더 직관적으로 바라볼 수 있도록 도와줍니다. 

'스피드 리딩' 은 세계적으로 아주 유명한 방법론입니다. 그리고 이는 많은 성공한 사람들이 '성공가능성' 을 높이기 위한 장기적인 방법으로 사용되어 왔습니다. 대표적인 스피드러너(=스피드 리딩) 로서 에이브러햄 링컨, 존 케네디, 프랭클린 루즈벨트 등 있습니다. (참조 사이트)

2. They know How to identify their problems
중요한것은 지금 당신이 처해 있는 문제를 정확하게 바라보는 것입니다. 지금 복잡한 문제를 직면하고 있다는것 자체는, 장기적으로 진정한 성공을 이룰 수 있는 기회를 가지고 있는 것입니다.

이와 같은 상황에 처한 사람들은 위의 인포그래픽에서 제시한 책을 추천합니다. 지금 처해 있는 문제를 정확하게 보는것은, 머릿속에 크고, 복잡한 이미지(생각)를 계속 가지고 있는 것보다도 훨씬 쉬운일입니다. 때문에 오프라 윈프리와 같은 많은 유명인이 visualization 과 같은 도구를 활용하고 있습니다. 

3. They Set Priorities
우선순위 목록을 수립하게 되면, 당신이 의미없는 일 혹은 아주 간단한 일에 묶여 혼란스러워하거나, '진짜' 일을 하기 위한 충분한 시간을 확보하지 못하는 불상사를 막을 수 있습니다. 그리고 위의 인포그래픽과 같이 일의 '마감'을 정하게 되면 긴급한 일을 원활히 처리할 수 있습니다. 

4. They Manage Their Money
위에서도 몇몇 관련 책을 소개했지만, 개인적인 측면에서 '재무 관리'는 장기적으로 아주 중요한 사항입니다. 물론 시간이 많이 걸리고, 노력도 필요합니다. 다가올 노력의 열매를 위해 시작한다면, 충분히 시간을 투자할 가치가 있다고 생각이 됩니다. 그러기 위해선 장기적인 계획을 잘 수립해야할 것 입니다. 

재무관리는 흔히 말하는 '보통' 사람들에게만 해당되는 것은 아닙니다. 전세계의 많은 유명인사들도 현명하게 재무를 관리하고 있습니다. 윌 스미스는 스마트하게 자산을 관리하는 것으로 유명합니다. (참조 사이트)


5. They Rise and Shine
매일 매일을 최대한 활용하는 가장 간단 한 방법은 '하루하루를 공격(=attack it)' 하는 것입니다. 일찍 일어나며, 어려운일을 시작하고, 남은 하루를 계획합니다. 성공적인 사람은 오후 1시에 하루를 시작하지 않습니다. 그들은 오전 8시에 시작합니다. 

전 맨체스터 유나이티드 대표 선수인 개리네빌은 "attack the day"라는 철학으로 유명합니다. (참조 사이트)

6. They set Clear Goals
우리 모두는 명확한 인생의 목표와 야망을 가져야 하며, 그것을 쟁취하려고 노력해야 합니다. 그게 없다면? 대체 무엇을 쟁취하려 하는걸까요? 인생의 목표는 무엇일까요? 이루고자하는 어떤 것을 명확히 인지하고 있다면, 그것자체가 동기부여가 되는것이며, 성공할 가능성 역시 훨씬 높아지게 됩니다. 

다시 강조하지만, 목표를 수립하는 것은 누구에게나 반드시 필요합니다. 당신이 몇개의 회사를 운영하고 있는 백만장자라도 예외는 아닙니다. (오프라 윈프리의 '명확한 목표' 수립)

7. They Have a Healthy Diet
언밸런스하고 영양가 없는 음식을 계속 섭취하는것 만큼 몸에 좋지 않은 것은 없습니다. 영양가 있는 음식을 섭취해야 합니다. 올바른 영양식품 섭취는 우리가 힘든 하루하루를 견딜수 있는 원동력이 됩니다.

또 다른 healthy 방법은 매일매일 운동하는 것이며, 이는 성공하는 사람의 공통적인 습관입니다. 육체적으로 건강하지 않은 사람은 정신적으로도 건강한 마음가짐을 가지기 어렵습니다.

8. They Know Their Strengths
16Personalities.com 사이트에서 성격 테스트를 해보세요. 그리고 인생의 목표와 목적에서 향상시켜야 하는 사항을 고려해야 합니다. 당신의 장점과 단점이 명확히 확인이 되면, 그것을 고치고, 향상시키는것은 그렇지 않은 경우와 비교하였을 경우 훨씬 쉬울 겁니다.

9. They Network
높은 위치에 있는 사람들과 어울리는 것을 결고 나쁜 것이 아닙니다. 위의 인포그래픽에서 추천한 책을 통해 네트워킹을 통해 어떻게 친구를 사귀는지 도움을 얻길 바랍니다.

소셜미디어를 통한 네트워킹 방식은 오늘날 아주 중요하게 작용하고 있습니다. 그것은 당신에게 새로운 기회를 가져다 줄 수도 있습니다. 유명인사들 역시 소셜미디어를 통해 자신의 가치를 향상시키곤 합니다. (참조 사이트)

10. They Build Character
쉽사리 굽히는 사람이 되고 싶은 사람은 없습니다. 당신이 항상 준수 해야하는 혹은 이루고 싶은 도덕규율(=moral rules)을 가지고 그것을 지키기 위해 노력한다면, 결코 쉽게 굽혀지는(혹은 꺾이는) 사람이 되지 않을 것입니다. 다시 말해서 절대 어겨져서는 안되며, 항상 준수해야하는, 일종의 행동강령을 수립하여 스스로에게 부끄럼없이 살아간다면, 보다 '성공한 사람' 이 될 가능성이 높아질 것입니다.

위의 10가지 원칙을 마음속에 새기고, 이에 벗어나지 않게 노력해 보세요.

당신도 'Successful people',그리고  'Inspirational people' 이 될 수 있습니다.


Continue reading

No comments

각종 법률 및 제도에서 규정하는 정보보호교육

, , , , ,


“개인정보보호 교육을 몇번 받아야 하는지 잘 모르겠어요"

기업을 대표하는 정보보호 담당자들 조차 자사 임직원을 대상으로 정보보호교육을 몇 회 시행해야 하는지 정확히 알지 못하는 경우가 많습니다.

이번 포스팅에서는 각 조직의 특성에 따라 1) 정보보호교육을 몇 회 시행해야 하는지, 2) 어떻게 시행해야하는지 3) 누가 교육을 받아야하는지에 대하여 자세히 알아보도록 하겠습니다.

일반적으로 교육에 대해 규정한 법령 및 제도는 아래와 같습니다

1. 개인정보보호법
2. 정보통신망법
3. 정보보호 관리체계 (ISMS)
4. ISO27001

하나씩 자세히 알아보도록 하겠습니다.

1. 개인정보보호법
개인정보보호법에서는 아래와 같이 규정하고 있습니다.

개인정보보호법 - 제28조(개인정보취급자에 대한 감독)

개인정보보호법에서는 개인정보취급자에게 정기적으로 '필요한 교육' 을 실시해야 한다고 명시되어 있습니다. 그러나 교육 횟수 및 내용 등을 명확히 규정하고 있지 않습니다.

2. 정보통신망법 


정보통신망법 - "개인정보의 기술적 관리적 보호조치 기준" 고시




정보통신망법에서는 아래와 같이 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다고 명시되어 있습니다.

교육 내용에는 해당 업무를 수행하기 위한 분야별 전문기술 교육뿐만 아니라 개인정보보호 관련 법률 및 제도, 사내 규정 등 필히 알고 있어야 하는 기본적인 내용을 포함하여 교육을 실시하도록 하고 있습니다.

* 자주 묻는 질문

Q : 개인정보관리자 및 취급자를 대상으로 매년 2회 이상 교육실시는 개인정보를 다루는 모든 사람에게 개별적으로 적용되는 것인가요?

> 조직 내에 개인정보를 다루는 개인정보관리자 및 취급자는 모두 회사에서 수립한 교육 계획에 따라 최소2회 이상의 교육을 받아야 합니다. 만약 회사에서 연 2회 이상의 교육 기회를 제공하였으나 개인정보관리자 및 취급자가 개별적인 사정으로 교육을 실시하지 않았다면 별도로 교육을 받을 수 있는 기회를 제공해야 합니다.

Q : 정보보호 교육의 일부분으로 개인정보보호 교육이 포함되었다면 교육으로 인정되는 것인가요?

> 정보보호 교육이라 하더라도 회사 내부의 개인정보보호 교육 계획에 의해 실시되었다면 개인정보보호 교육으로 인정될 수 있습니다. 다만, 이때에는 개인정보보호 교육 목적과 대상, 일정 및 방법이 개인정보보호 교육 계획과 부합되어야 하며 교육 실시에 대한 자료는 문서화하여 보관할 수 있습니다.



3. 정보보호 관리체계 (ISMS)

ISMS 에서는 다음과 같은 항목을 통해 교육 횟수를 규정하고 있습니다. 교육 계획 수립, 추가 교육, 효과성 측정 관련한 내용은 생략하도록 하겠습니다.

2-1. 통제항목 : 5.2.1 교육 시행 및 평가

2-2. 통제목적 : 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 조직 내/외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생할 경우 추가 교육을 수행하여야 한다. 또한 교육 시행에 대한 기록을 남기고 평가하여야 한다.

2-3. 점검항목 : 정보보호 관리체계 범위 내 임직원 및 외부자를 대상으로 연 1회 이상 기본 정보보호 교육을 수행하고 있는가?

  • 경영진(최고경영진)의 승인을 받은 정보보호 교육 계획에 따라 정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호 교육을 시행하여야 한다.
  • IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 한다.
  • 개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수하여야 한다. (기본 정보보호 교육에 개인정보보호 내용을 포함할 수 있다.)

  • ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 '개인정보의 기술적 ∙ 관리적 보호조치 기준(고시)' 제3조(내부관리계획의 수립 ∙ 시행) 2항
* 자주 묻는 질문

Q. 인턴도 교육을 받아야 하나요?

> 물론입니다. ISMS 규정에서는 아래와 같이 명시하고 있습니다.

- 정보보호 교육 대상에는 정보보호 관리체계 범위 내 정보자산에 직/간접적으로 접근하는 정규직 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함 한다.
- 정보자산이 위치한 장소에 접근할 수 있는 청소원, 경비원 등에게도 기본적인 정보보호 인식교육을 수행하여야 한다.
- 교육 대상이 하도급에 의해 파견된 직원인 경우 해당 용역업체 담당자가 정보보호 교육을 수행할 수 있도록 관련 자료를 제공하고 지원하여야 한다.

Q. 장기 휴가자도 교육을 받아야 하나요?

> 물론입니다. ISMS 규정에서는 아래와 같이 규정하고 있습니다.

- 출장, 휴가 등으로 인해 정기 정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 시행하여야 한다

4. ISO 27001

ISO 27001 에서는 아래와 같이 교육에 대해 규정하고 있습니다

3-1. 통제항목 : A.7.2 고용 중 - A.7.2.2 정보보안 인식, 교육 및 훈련

3-2. 통제사항 : 조직의 모든 임직원, 관련 하청업자에 대해서, 해당 직무 기능과 관련된 조직 내 정책과 절차를 적절하게 인식할 수 있도록 관련 교육과 훈련 및 정규 업데이트를 실시한다.

<A.7.2.2 Information security awareness education and training>

5. 요약

지금까지 4개 법령 및 제도에서 교육에 대해 규정항목을 살펴보았습니다.

위의 내용을 종합적으로 정리하면 아래의 4가지 분류에 따라 교육방법이 분류 될 수 있습니다.

본인이 속한 기업이 
  • 개인정보보호법 적용 기업인 경우 :
  • 정보통신서비스 제공자인 경우 (ISMS 인증 의무 대상 아님) :
  • 정보통신서비스 제공자이자 ISMS 인증 의무대상 기업인 경우 :
  • 개인정보보호법 적용 대상인 경우 :
하나씩 살펴 보도록 하겠습니다.

1) 개인정보보호법 적용 기업인 경우
교육 횟수, 내용 등에 대한 정확한 규정이 없으므로, 개인정보취급자를 대상으로 필요한 교육을 1회 이상 수행하면 됩니다.

2) 정보통신서비스 제공자인 경우 (ISMS 인증 의무 대상 아님)
단순 정보통신서비스 제공자인 경우, 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 합니다.

3) 정보통신서비스 제공자이자 ISMS 인증 의무대상 기업인 경우
정규직 임직원, 임시직원, 외주용역, 외부자 등을 대상으로 연 1회 이상 기본 정보보호교육을 시행하여야 합니다.

개인정보관리책임자 및 개인정보취급자는 연 2회 이상 개인정보보호 교육을 이수 하여야 합니다. 
(단, 기본 정보보호 교육에 개인정보보호 내용을 포함하여 1회를 갈음할 수 있습니다.)

또한 IT 및 정보보호 직무자는 기본 정보보호 교육 이외에 직무별 정보보호 교육을 별도로 연 1회 이상 이수하여야 합니다.

4) ISO27001 적용 대상인 경우
이 역시 교육 횟수, 및 교육 내용등에 대한 정확하게 명시하고 있지 않습니다.
따라서 임직원 및 외부직원을 대상으로한 개인정보보호교육 및 직무 교육에 대한 규정을 정책/지침에 명시하고 정기적으로 교육훈련을 시행하면 됩니다. 

Continue reading

No comments

[정보통신망법] 보안서버의 정의 및 관련 규정

, , ,


이번 포스팅에서는 보안서버의 정의 및 종류와 보안서버를 강제하는 법률 조항에 대해 정리해 보도록 하겠습니다.

1. 보안서버란?

보안서버란 인터넷상에서 사용자 PC와 웹 서버 사이에 송/수신되는 개인정보를 암호화하여 전송하는 서버를 의미합니다. 
인터넷에서 송/수신되는 개인정보의 대표적인 예로는 로그인시 ID/패스워드, 회원가입시 이름/전화번호, 인터넷 뱅킹 이용시 계좌 번호/계좌 비밀번호 등이 해당됩니다.

아래의 예시에서, 정보통신망법에서 정의하는 유형별 개인정보를 확인할 수 있습니다.

* [정보통신망법]에서 정의하는 개인정보의 예시

<참고 - 정보통신서비스 제공자를 위한 개인정보 법령 해설서, 방송통신위원회 / 한국인터넷진흥원, 2012>

2. 보안 서버의 필요성

인터넷상의 암호화되지 않은 개인정보는 가로채기 등의 해킹을 통해 해커에게 쉽게 유출될 수 있습니다. 반면 암호화된 개인정보는 해킹을 당해도 보호받을 수 있습니다.
  • 정보유출 방지 (sniffing 방지)
  • 위조사이트 방지 (phising 방지)
  • 기업의 신뢰도 향상
<그림 - 보안서버 구축의 필요성>

3. 보안서버의 방식

보안서버는 구축방식에 따라 SSL방식과 응용프로그램 방식 2가지 방식으로 구분됩니다. 

1) SSL 방식
  • 사용자 컴퓨터에 별도 보안 프로그램을 설치할 필요가 없으며, 웹 서버에 설치된 [SSL 인증서]를 통해 개인정보를 암호화하여 전송하는 방식입니다.
  • 보안서버 구축에 소요되는 비용이 상대적으로 저렴하지만 주기적으로 인증서 갱신을 위한 비용이 소요됩니다. 
  • 로그인 페이지 등 보안이 필요한 웹페이지에 접속한 상태에서 브라우저 하단 상태 표시줄에 자물쇠 마크로 확인할 수 있으나, 웹사이트의 구성 방법에 따라 자물쇠 모양의 마크가 보이지 않을 수도 있습니다.

2) 응용프로그램 방식

  • 암호화 응용 프로그램을 이용한 보안서버는 웹 서버에 접속하면 사용자 컴퓨터에 자동으로 보안 프로그램이 설치되고 이를 통해 개인정보를 암호화하여 전송합니다.
  • 해당 웹사이트에 접속하게 되면 윈도우 오른쪽 하단 작업표시줄 알림영역에 아래 그림과 같은 아이콘을 통해 암호화 실행여부를 확인할 수 있습니다. (응용프로그램에 따라 아이콘이 다를 수 있습니다.)

* 세부 구축 방법 및 자세한 설명은 [보안서버 구축가이드,KISA] 를 참고하세요. 

4. 보안서버 관련 규정

4-1. 정보통신망법
보안서버와 관련된 규정은 [정보통신망법] 에 명확히 명시되어 있습니다.
해당 규정은 보안서버의 기능과 일맥상통합니다. 즉 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송/수신 할때는 보안서버 구축 조치를 통해 이를 암호화 해야합니다.  


4-2. 정보보호관리체계 (ISMS)

ISMS 통제항목에서는 아래와 같이 보안서버 구축을 규정하고 있습니다.

통제항목 : 8.1 분석 및 설계 보안관리 - 8.1.2 인증 및 암호화 기능
통제내용 : 정보시스템 설계 시 사용자 인증에 관한 보안요구사항을 반드시 고려하여야 하며 중요정보의 입/출력 및 송수신 과정에서 무결성, 기밀성이 요구될 경우 법적 요구사항을 고려하여야 한다.

점검항목 : 개인정보 및 인증정보 등의 중요한 정보 전송 시 SSL보안서버 구축 등을 통하여 암호화하고 있는가?

설명 : 정보통신망을 통해 중요정보를 송/수신하는 경우, 법적 요구사항을 고려하여 보안서버 구축 등의 조치를 통한 암호화 통신이 이루어져야 한다. 

5. 요약
내용이 아주 많지만, 간단히 정리하면 1) 정보통신망법에 적용되는 대상 그리고 2) 정보보호관리체계(ISMS)은 반드시 보안서버를 구축해야 합니다.

Continue reading

No comments

[정보통신망법] 정보통신망 침해행위에 대한 법률 조항

,

이번 포스팅은 스캐닝 행위와 관련한 법률조항에 대해 정리해보도록 하겠습니다.

컨설팅을 하게 되면 몇몇 업체에서 다음과 같은 질문을 가끔 받게 됩니다. 

“갑의 업체에서 취약점/네트워크 점검을 명목으로 자사의 네트워크를 대상으로 스캐닝을 하곤 합니다.
저희는 이와 같은 상황을 어떻게 받아들어야 하며, 어떤 근거로 이와 같은 스캐닝을 거부할 수 있나요?"

관련 답변은 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 정보통신망법)] 에 명쾌하게 정리되어 있습니다.


관련 법령을 보도록 하겠습니다.

1. 관련 법령

제48조 (정보통신망법 침해행위 등의 금지)


2. 벌칙

제71조 (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년이하의 징역 또는 5천만원 이하의 벌금에 처한다
  • 9항 : 제48조제2항을 위반하여 악성프로그램을 전달 또는 유포한 자
  • 10항 : 제28조제3항을 위반하여 정보통신망에 장애가 발생하게 한자
제72조 (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다
  • 1항 : 제48조제1항을 위반하여 정보통신망에 침입한 자

3. 결론

특정인의 스캐닝 행위가 단순 정보수집을 위한 ‘포트스캐닝’ 이든, 취약점을 확인하기 위한 ‘취약점 스캐닝’ 이든, 
정당한 접근권한 없이 정보통신망에 침입하는 경우, 명백한 해킹으로 간주되어 위의 법률을 기준으로 처벌받게 됩니다. 

합법적인 스캐닝을 위해서는 관련 조직간의 합의 및 계약이 명확히 수립되어야 있어야 합니다. 

예를 들면, 관련 업체와의 계약사항에 아래와 같은 내용을 명시해야 합니다.
  • 정보보호서약서 제출
  • 업무수행 관련 취득한 중요정보 유출 방지 대책
  • 보안사고발생에 따른 대책 수립
  • 보안요구사항 위반 시 처벌, 손해배상 책임

Continue reading

No comments

취약점 점검에 대해 규정하는 법률 및 국내/외 제도

, , , , , ,

안녕하세요. 본 포스팅에서는 '취약점 점검’에 대해 규정하는 법률 및 국내/외 제도를 정리 해보도록 하겠습니다.

본 포스팅의 목적은 독자가 속해있는 기업이 1) 취약점 점검을 수행해야 하는지, 혹은 2) 어떤 법/제도에 의해 취약점 점검을 수행해야 하는지, 3) 취약점 점검을 강제하는 규정이 어떤것이 있는지에 대한 궁금증을 해소하는데에 있습니다. 

우선 취약점 점검을 강제하는 법률 및 국내/외 제도는 아래와 같이 5가지로 분류됩니다.

1) 정보통신기반보호법
2) 정보통신망법 이용촉진 및 정보보호 등에 관한 법률
3) 전자금융감독규정
4) ISMS (Information Security Management System)
5) ISO 27001:2013

하나씩 자세히 알아보겠습니다. 



1. 정보통신기반보호법


1-1. 세부 규정

<제9조 (취약점의 분석/평가) - 출처. 법제처 공식 홈페이지>

1-2 상세 내용

위 법령에서 정의한 [취약점 분석/평가]는 453개의 관리적/물리적/기술적 점검 항목에 대한 취약여부를 점검하고 모의해킹, 침투테스트 등을 수행하는 종합적인 위험진단입니다.
  
해당 [취약점 분석/평가] 중 기술적 점검은, 시스템에 대한 실제 보안값 설정에 관한 것으로 각 시스템에 대한 명령어 코드(Command),  메뉴 구성(UI)과 같은 기술적인 사항을 알아야만 가능하기에, 주요정보통신기반시설 담당자들이 어려움을 느낄 수 있습니다. 이에 안행부는 전체 313개 기술적 점검항목에 대한 점검방법 및 조치방법 및 상세 매뉴얼을 개발하였습니다.
[참고 - 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세 가이드]


1-3 [취약점 분석 / 평가 ] 수행 주체 및 주기

  • 수행 주체
    • 주요정보통신기반시설의 관리기관이 직접 수행할 경우 자체 전담반을 구성하여 운영
    • 관리기관이 외부기관에게 위탁할 경우, 지식정보보안 컨설팅전문업체 등 전문기관에 위탁 수행

  • 수행 주기
    • 1) 주요정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에 취약점 분석 / 평가를 실시
      • 6개월 이내 취약점 분석.평가를 수행치 못할 경우 관할 중앙행정 기관의 장의 승인을 얻어 3개월 연장가능(총9개월)
      • 주요정보통신기반시설로 최초 지정일로 부터 6개월 이전 취약점 분석.평가를 하였을 경우 수행한 것으로 간주
    • 2) 매년 정기적으로 취약점 분석 / 평가 실시

취약점 분석.평가 수행시, 가용자원과 대상시설 식별, 자산 중요도 산정 및 해당 시스템 대한 정밀분석을 실시해야 하며, 만약 취약점 분석.평가 대상시설에 중대한 변화가 있거나, 관리기관의 장이 필요하다고 판단하는 경우에는 1년이 되지않아도 취약점 분석·평가를 실시할 수 있습니다. 


2. 정보통신망법 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)

<제47조(이용자의 정보보호) - 출처. 법제처 공식 홈페이지>


3. 전자금융감독규정

전자금융감독규정 제15조(해킹 등 방지대책) 및 제17조(홈페이지 등 공개용 웹서버 방지대책), '금융IT부문 보호업무 모범규준' 에 의거 금융회사 등은 주기적으로 취약점 분석 / 평가를 실시하도록 하고 있습니다.

<제15조 (해킹 등 방지 대책) - 출처. 법제처 공식 홈페이지>

<제17조 (홈페이지 등 공개용 웹서버 관리대책) - 출처. 법제처 공식 홈페이지>


또한 취약점 분석/평가 범위가 확대되어, 금융회사등은 전자금융감독규정 제37조의2의 규정에 따라 전자금융기반시설에 대한 취약점 분석/평가를 실시할 때 전자금융기반시설에 포함되지 않는 ‘비 금융 전산시스템’에 대한 침해사고가 전자금융기반시설로 전파될 가능성이 있는 경우, 해당 비 금융전산시스템을 취약점 분석/대상에 포함되도록 하고 있습니다. 

즉, 금융회사등은 非금융 전산시스템에 대한 침해사고가 전자금융기 시설로 전파되는 것을 사전에 예방하기 위해 非금융 전산시스템에 대해 주기적으로 취약점 점검을 시행하도록 노력하여야 합니다. 
[참고 - 금융회사 정보기술(IT) 부문 보호업무 이행지침]

4. 정보보호관리체계 (이하 ISMS)

ISMS는 조직의 자산에 대한 안전성 및 신뢰성을 향상시키기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적인 관리/운영을 통하여 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현하기 위한 일련의 과정 및 활동을 말합니다.

ISMS에서는 아래와 같은 항목에서 취약점 점검을 요구하고 있습니다.
(전체 104개 통제항목 중 4개 통제항목)

4-1. [관리과정 - 3. 위험관리 - 3.2 위험 식별 및 평가]
  • 통제내용 : 위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하여 관리하여야 한다
  • 점검항목 : 정보보호 관리체계 인증범위 내의 정보시스템 자산에 대해 취약점 점검을 통한 기술적 위험을 식별하고 있는가?
  • 설명 : 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.

4-2. [8. 시스템 개발 보안 -  8.2  구현 및 이관 보안 - 8.2.1 구현 및 시험]
  • 통제내용 : 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.
  • 설명 : 코딩 완료 후 안전한 코딩 표준 및 규약 준수 여부를 점검하고 기술적 보안 취약점이 존재하는 지 확인하여 취약점 발견 시 재코딩을 하여야 한다.
  • 시스템이 안전한 코딩표준에 따라 구현하는 지 소스코드 검증 (소스코드 검증도구 활용 등)
  • 코딩이 완료된 프로그램은 운영환경과 동일한 환경에서 취약점 점검도구 또는 모의진단을 통한 취약점 노출 여부를 점검

4-3. [11.2  시스템 및 서비스 운영 보안 11.2.8  공개서버 보안]
  • 통제내용 : 웹사이트 등에 정보를 공개하는 경우 정보 수집, 저장, 공개에 따른 허가 및 게시절차를 수립하고 공개서버에 대한 물리적, 기술적 보호대책을 수립하여야 한다.
  • 점검항목 (1/2) : 공개서버의 취약점 점검을 주기적으로 수행하고 발견된 취약점을 조치하고 있는가?
  • 설명 : 웹서버의 경우 최소한 OWASP TOP 10 웹취약점은 기본적으로 점검하여 취약점이 발견된 경우 신속하게 조치를 하여야 한다. (인증기준 11.2.10 취약점 점검 참고)
  • 참고 : 전자금융거래법 '전자금융감독규정(고시)' 제17조(홈페이지 등 공개용 웹서버 관리대책) /웹서버구축 보안점검 안내서 (KISA)

  • 점검항목 (2/2) : 웹서버 등 공개 서버를 운영하는 경우 이에 대한 보호대책을 마련하고 있는가?
  • 설명 : 공개서버(웹서버, 메일서버 등)를 운영하는 경우 다음과 같은 보호대책을 마련하여야 한다.
    • 공개서버 전용서버로 운영
    • 웹서버를 통한 개인정보 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축
    • 접근권한 설정
    • 백신설치 및 OS 최신 패치
    • 불필요한 서비스 제거 및 포트 차단
    • 불필요한 소프트웨어 ∙ 스크립트 ∙ 실행파일 등 설치 금지 등
    • 불필요한 페이지(테스트 페이지) 및 에러처리 미흡에 따른 시스템 정보 노출 방지
    • 주기적인 취약점 점검 등

4-4 [11.2 시스템 및 서비스 운영 보안 - 11.2.10 취약점 점검]
  • 통제내용 : 정보시스템이 알려진 취약점에 노출되어 있는 지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치하여야 한다.
  • 점검항목 : 정보시스템 취약점 점검 절차를 수립하여 정기적으로 점검을 수행하고 있는가?
  • 설명
    • 정보시스템 취약점 점검 정책과 절차를 다음과 같은 내용을 포함하여 수립하여야 한다.
      • 취약점 점검 대상 (예 : 서버, 네트워크 장비 등)
      • 취약점 점검 주기
      • 취약점 점검 담당자 및 책임자 지정
      • 취약점 점검 절차 및 방법 등

    • 정보시스템 중요도에 따라 주기적으로 다음과 같은 내용을 포함하여 취약점 점검을 실시하여야 한다.
      • 라우터, 스위치 등 네트워크 장비 구성, 설정 취약점
      • 서버 OS, 보안 설정 취약점
      • 방화벽 등 정보보호시스템 취약점
      • 어플리케이션 취약점
      • 웹서비스 취약점
      • 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점

    • 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려하여야 한다.
    • 취약점 점검 시 이력관리가 될 수 있도록 '점검일시', '점검대상', '점검방법', '점검내용 및 결과', '발견사항', ' 조치사항' 등이 포함된 보고서를 작성하여야 한다.
  • 점검항목  : 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?
    • 취약점 점검 결과 발견된 취약점별로 대응방안 및 조치결과를 문서화하여야 하며 조치결과서를 작성하여 책임자에게 보고하여야 한다.
    • 불가피하게 조치를 할 수 없는 취약점의 경우 그 사유를 명확하게 확인하고 책임자에게 보고하여야 한다.

자세히 기재하니 내용이 복잡해 보이네요. 
간단히 요약하면 ISMS 적용 대상자는 정보보호관리체계 범위 내의 정보시스템을 대상으로 1) 정기적으로 취약점 점검을 수행하고, 2) 웹사이트에 대한 취약점 점검을 수행하고, 3) 발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고해야 합니다. 

5. ISO27001

ISMS는 국내에서 수행 및 적용하는 인증 제도이고, ISO27001은 국제 정보보호인증제도 입니다.
ISO27001에 대한 상세한 설명은 본 포스팅의 목적에 벗어나는 내용이므로 생략하도록 하겠습니다.

ISO 27001에서는 아래의 항목에서 취약점 점검을 요구하고 있습니다.
  • 통제항목 : A.12.6 기술적 취약성 관리 - A.12.6.1 기술적 취약성 관리 
  • 통제 : 조직내에서 사용하고 있는 정보시스템의 기술적 취약점 정보를 정확하고 신속하게 확보하고, 조직은 이러한 취약점에 노출된 사례에 대해 적절하게 평가하고 관련 위험을 해결하기 위한 적절한 조치를 취해야 합니다.
<ISO27001 : 2013 통제항목 - 12.6.1 Management of technical vulnerabilities >








Continue reading

No comments

[정보통신망법] 외부 인터넷망 차단 조치

,

1. 배경
  • 개인정보유출 위험성이 높은 접근 권한을 가지고 있는 개인정보취급자의 계정이 해킹되어 대량의 개인정보 유출사고가 발생함에 따라 유출사고를 예방하기 위해 강화된 개인정보 보호조치가 필요하게 되었습니다. 
  • 따라서 높은 접근권한을 가지는 개인정보취급자의 컴퓨터 등의 업무망과 인터넷망을 분리하여 외부에서의 침입경로를 차단함으로써 개인정보취급자 컴퓨터 등을 통한 개인정보 유출사고를 예방할 수 있도록 하였습니다. 

2. 취지
  • 2012년 8월 17일 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령]을 개정하여 망분리 의무화 조항이 신설되었습니다. 
  • 높은 접근 권한을 가지는 개인정보취급자의 컴퓨터 등의 업무망과 인터넷망을 분리하여 외부에서 침입경로를 차단함으로써 개인정보취급자 컴퓨터 등을 통한 개인정보 유출사고를 예방할 수 있습니다.

3. 용어 정리

3-1 “개인정보처리시스템” 이란?
  • 개인정보를 이용한 데이터 처리를 위해 체계적으로 구성한 데이터베이스 관리시스템(DBMS)을 말하며, 개인정보 DB에 접근하기 위한 중계서버, 어플리케이션 등도 포함시키는 것이 타당하다.  (<관련근거> 개인정보의 기술적/관리적 보호조치 기준 - 제2조(정의) )


3-2 “망분리” 란?
  • 업무망과 인터넷망을 분리하여 두 영역이 서로 접근할 수 없도록 차단하는 것을 의미합니다.  (<관련근거> 개인정보의 기술적/관리적 보호조치 기준 - 제2조(정의) )

4. 망분리 의무화 대상

  • 망분리 의무화는 직전년도말 3개월 동안 일일평균 100만명 이상의 이용자 개인정보를 보유하거나 전년도 정보통신분야 매출액이 100억원 이상인 정보통신서비스제공자를 대상으로 합니다. 
  • 개인정보의 단순 열람, 수정 권한만을 가진 개인정보취급자는 의무 대상은 아니지만, 개인정보의 유노출에 대해 엄격히 제한해야 합니다.

5. 기대효과
  • 업무망과 인터넷망 분리를 통해 외부에서의 개인정보 침입경로를 차단할 수 있습니다. 
  • 또한 사업자들은 망분리 비용 부담을 줄이기 위해 망분리 대상이 되는 개인정보취급자의 수를 줄이려고 노력할 것이며, 
  • 이를 통해 사업자 스스로 개인정보취급자에게 불필요하게 부여된 접근권한을 회수하는 효과를 기대할 수 있습니다. 

6. 망분리 방식


  • 업무망과 인터넷망을 분리하는 방법은 물리적 망분리와 논리적 망분리로 구분할 수 있습니다. 





6-1 상세 비교
  • 물리적 망분리는 구현 방법에 따라서 ‘폐쇄망’과 ‘물리적’으로 분류됩니다.

6-1-1 물리적 망분리

1) 패쇄망 구현 방식
  • 물리적업무망의 컴퓨터에 인터넷망과의 연결점을 제거하여 개인정보유출 경로를 차단하는 방법입니다. 즉, 물리적으로 인터넷이 차단된 SOC (Security Operation Center) 형태로 구축할 수 있습니다. 
  • 장점 : 패쇄망 방식은 인터넷망과 물리적으로 연결되어 있지 않기 때문에 높은 보안성을 가지고 있습니다.
  • 단점 : 그러나 별도의 망을 구축하여야 하며 추가 컴퓨터, 네트워크 장비 등이 필요하기 때문에 도입비용이 많이 드며, 컴퓨터 2대를 사용함으로써 업무 효율을 저하시킵니다.


2) 물리적 PC 분리 방식
  • 별도의 패쇄망을 구축하기 어려운 경우에 사용될 수 있는 방식입니다.
  • 망은 논리적으로 분리하되, 개인정보취급자의 PC는 물리적으로 분리하는 방법을 사용할 수 있습니다.
  • PC를 물리적으로 분리하는 방법은 2(Two) PC, 멀티 PC, 망 전환 장치 등이 있으며,
  • 망을 분리하는 방법에는 방화벽 등과 같은 네트워크 장비를 이용하여 분리할 수 있습니다. 
  • 개인정보취급자에게 지급된 업무용 PC는 인터넷과 인터넷용 PC에 접속하는 것을 차단하고,
  • 인터넷용 PC는 개인정보처리시스템과 업무망 PC에 접속하는 것을 차단하여야 합니다.
  • IP, MAC 주소 등 단말기 인증을 통해 인가되지 않은 접속을 차단하도록 네트워크 장비의 보안정책을 안전하게 관리하는 것이 중요합니다.


6-1-2 논리적 망분리

1) 서버기반 논리적 망분리
  • 서버기반 논리적 망분리는 인터넷망 접근을 위한 서버팜과 업무용 사용자 컴퓨터를 분리하는 방법을 사용합니다.
  • 서버팜을 이용하여 독립적인 가상화 시스템을 구성하여 인터넷에 접속합니다.
  • 사용자 컴퓨터에 서는 업무망에만 접속이 가능하고, 서버팜과 사용자 컴퓨터는 이벤트값과 화면값만을 송수신하여업무망과 인터넷망을 분리합니다.
  • 인터넷이 서버팜에서 수행되기 때문에 업무망 컴퓨터의 악성코드 침입, 해킹공격 등을 막을 수 있습니다.
  • 업무용 서버팜과 인터넷용 서버팜을 구성하여 사용자 컴퓨터를 키보드, 마우스 입력 및 화면 출력 기능을 갖춘 씬클라이언트 환경으로 구성할 수 있습니다.



2) PC 기반 논리적 망분리
  • PC기반 논리적 망분리는 사용자의 컴퓨터의 영역을 분리하여 업무 영역의 인터넷 접근을 차단합니다.
  • 접속 컴퓨터의 운영체제 및 응용프로그램을 가상화하여 사용자 컴퓨터에 인터넷에 접속하기 위한 가상화 영역을 구성합니다.
  • 단 실제 영역과 가상화 영역은 서로 접근할 수 없습니다.
  • 사용자는 실제 영역에서 개인정보 DB등의 업무 시스템에 접속하고 가상화 영역에서 인터넷 접속을 수행합니다. 
  • 그러면 인터넷을 통해 악성코드가 유입되더라도 가상화 영역에서 실제 영역으로 전달되지 않으며, 가상화 영역 초기화를 통해 악성코드 제거가 용이하게 됩니다.

* 참고자료 - KISA, 외부 인터넷망 차단조치 안내서


Continue reading

No comments
피드 구독하기: 글 (Atom)

Popular Posts

  • [세계사] 기독교의 동서 분열 - 로마 가톨릭교회와 동방 정교회
    종교에 관심이 많은 것은 아니지만 기독교의 동서 분열은 한번 정리할 가치있다고 생각했다.  기독교의 동서 분열 은 기독교 역사상 11세기에 로마 가톨릭 교회와 동방 정교회가 상호 파문으로 분리된 사실을 말한다. 교회가 동서로 분열된 이유는 교리, ...
  • [세계사] 마그나 카르타 / 권리청원 / 권리장전
    영국에서 발생한  마그나 카르타 / 권리 청원 / 권리 장전 은 헌정사상 가장 중요한 의미를 가지는 의회 제정법이다. 이와 같은 역사가 기반이 되었기 때문에 오늘날 영국이 선진국으로서 세계를 호령하게 되었는지 모르겠다. 훗날 전세계에 영향을 미칠 그들...
Powered by Blogger.