- 과거에 내린 판결은 법과 같은 구속력을 지니고 이후 비슷한 사건의 판결은 선례에 구속(판례법)
대륙법 (Civil Law)
- 로마법에서 발전한 유럽 대륙의 법
- 대표적인 대륙법 국가 : 프랑스, 독일
- 법전에 쓰여 있는 법에 근하여 판결(성문법)
(→ 개인정보보호라는 글자 그대로 있어야 처벌이 가능하다 / 한 공무원이 민원인이 너무 이뻐서 사적으로 연락을 했는데 그 공무원은 개인정보보호 대상이 아니라 무죄 판결을 받음)
법체계
헌법 -> 법률 -> 시행령 -> 시행규칙,고시
법률(개인정보보호법, 위치정보보호법, 정보통신기반보호법)
시행령(개인정보보호법 시행령)
*상위법 우선, 신법 우선, 특별법 우선
데이터에 관한 법률 3법이 개정을 통해 개인정보보호법으로 합쳐졌다.
(정보통신기반 이용촉진 및 정보보호 등에 관한 법률 + 개인정보보호법 + 신용정보의 이용 및 보호에 관한 법률) = 개인정보보호법
국내 주요 보안사고
싸이월드 (무료 소프트웨어 업데이트 서버를 이용한 공격)
관리자가 새벽에 업데이트를 걸어놓고 퇴근을 한 사이에 일어난 공격으로 관리자의 부재
-> 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한등의 조치를 취하여야 한다.
홈플러스 (개인정보 2400만 여건을 보험사에 231억 7000만원에 판매)
개인정보에 관한 동의 여부를 1mm 글씨크기로 깨알고지
-> 글씨의 크기는 최소한 9포인트 이상으로 다른내용보다 20퍼센트 이상 크게하여 알아보기 쉽게 할 것
정보통신망 이용촉진 및 정보보호 등에 관한 법률
제1장
총칙
목적, 정의, 정보통신서비스 제공자 및 이용자의 책임, 정보보호 등에 관한 시책, 다른 법률과의 관계
제2장
정보통신망의 이용촉진
기술개발의 추진, 기술관련 정보의 관리 및 보관, 정보통신망의 표준화 및 인증, 인증기관의 지정 등
제3장
삭제
제4장
정보통신서비스의 안전한 이용환경 조성
접근권한에 대한 동의, 주민등록번호의 사용 제한, 본인확인기관의 지정 등, 국내 대리인의 지정
제5장
정보통신망의 이용자 보호
청소년 보호 등
제6장
정보통신망의 안전성 확보 등
정보보호 사전점검, 정보보호 책임자의 지정 등, 집적정보통신시설의 보호, 정보보호 관리체계의 인증, 침해행위 등의 금지, 영리목적의 광고성 정보 전송 제한 등
제7장
통신과금서비스
통신과금서비스
제8장
국제협력
국제협력
제9장
보칙
자료의 제척, 비밀유지 등
제10장
벌칙
발칙, 양벌규정, 물수 추징, 과태료
제 1장 총칙
(목적) 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.
침해행위의 금지
누구든지 정당한 접근권한없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
(공부할때는 자기가 만든 샌드박스에서 하거나, 워게임 사이트에서만 해야함)
광고성 정보 전송 제한
제 6장 정보통신망의 안전성 확보 등 ->제50조(영리목적의 광고성 정보 전송 제한)
3항) 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다.
7항) 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제 2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다.
8항) 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야한다.
개인정보보호법
제1장 총칙
제1조 (목적) 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현
제2조 (정의) 개인정보란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
살아있는 개인에 관한 정보 (개인을 알아볼 수 있는 정보, 성명, 주민등록번호 및 영상 등, 결할하여 알아볼 수 있는 정보, 가명정보)
*(가명정보도 합쳐지면 개인이 식별이 된다)
CC인증
(개요) 보안기능이 있는 IT제품의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도
PDCA
PDCA는 "Plan-Do-Check-Act"의 약자로, 지속적인 개선을 위한 관리 사이클을 나타냅니다. 이 방법론은 주로 품질 관리 및 프로젝트 관리를 위해 사용됩니다. 각 단계는 다음과 같은 의미를 가집니다.
Plan (계획): 목표를 설정하고 이를 달성하기 위한 계획을 수립합니다. 문제를 분석하고 해결책을 마련하는 단계입니다.
Do (실행): 계획한 내용을 실제로 실행합니다. 이 단계에서는 계획한 대로 작업을 수행하며, 필요한 데이터를 수집합니다.
Check (점검): 실행 결과를 평가하고, 목표에 대한 성과를 확인합니다. 이 단계에서는 수집한 데이터를 분석하여 계획과 비교합니다.
Act (행동): 점검 결과를 바탕으로 개선 사항을 도출하고, 필요한 경우 계획을 수정하거나 새로운 계획을 수립합니다. 이 단계는 다음 사이클의 시작점이 됩니다.
PDCA 사이클은 지속적인 개선과 문제 해결을 위한 체계적인 접근 방식을 제공하여, 조직의 효율성을 높이는 데 도움을 줍니다.
APT (Advanced Persistent Threat)
특정 target을 목표로 하여 다양한 수단을 통한 지속적이고 지능적인, 맞춤형 공격
침투과정
사회공학 기법 (심리적 접근, 케빈 미트닉은 사회공학기법의 대가였다)
웹 공격
시스템 공격
네트워크 공격, 어플리케이션 공격
("핑 오브 데스(Ping of Death)"는 네트워크 공격의 한 형태로, 공격자가 과도하게 큰 ICMP(Internet Control Message Protocol) 패킷을 전송하여 대상 시스템의 리소스를 고갈시키고, 시스템을 다운시키는 방식입니다.)
대응방안
기밀성, 무결성, 가용성
접근제어
식별 (Identification) - 사용자가 자신의 신원정보를 밝히는 행위
인증 (Authentication) - 신원정보/신원확인의 유효성 확립
인증유형(stn to know, to have, you are, to behave)
인증프로토콜 (kerberos, sesami, ldap)
개방형 보안 표준 (saml, oauth, x.509)
인가 (Authorization) - 사용자에게 자원에 대한 접근을 허용하거나, 어떤 수준의 권한과 서비스를 부여
원리 (최소권한, 직무분리)
정책 (mac/dac/rbac)
정책 모델 (biba, bell-lapadula, clark wilson)
MFA, MCA
하나의 인증만으로는 보안수준을 높이는데 한계가 있어 2가지 이상의 인증 수단을 동시에 사용
MFA (Multi Factor Authentication) - Type 1 ~4 인증 유형 중 2가지 이상을 혼용
MCA (Multi Channel Authentication) - 인증 경로를 2가지 이상 혼용
