3_MAIN

1_ 정보보호의 개념:

정의:  의도적이든 의도적이 아니든 인가받지 않은 노출 , 전송 수정 그리고 파괴로부터 정보를 보호하는 것. 

1) 보호해야 할 것: 정보 2) 무엇으로부터? : 인가받지 않은 노출

결론: 인가받지 않은 노출로부터 보호해야 하는 것이 정보보호의 기본이구나

= 정보의 훼손 , 변조 유출을 등을 방지 -> 관리, 기술적 수단

2_필요성:

그렇다면 이것이 왜 필요한가?

오프라인 -> 온라인으로 변화 -> 온라인 역기능 발생

3_정보자산:

정의: 조직이 보호해야 할 정보

SW 자산: OS, 각종 SW

인적 자산: 사람, 보유자격, 경험

서비스: 각종 서비스, 웹 서비스

물리적 자산: 컴퓨터, 서버

정보 자산: 파일, DB, 계약서

무형자산: 조직에 대한 평판, 이미지

(이미지 예시 넣어놓기)

4_정보보호의 목적:

정보보호를 통하여 달성하고자 하는 기본적인 목표

이미지 1 참조

5_보안 공격 유형:

1) 소극적 공격(Passive attack): 직접적인 해를 끼지지 않는 공격 형태

스니핑, 스푸핑, 트래픽 분석

2) 적극적 공격(Active attack): 직접적인 해를 끼치는 공격 형태

DDOS, 신분 위장, 재전송, 변

----------------- 문제 -----------------

정보보호의 개념

1. 다음 설명에 해당하는 정보보호 용어는?

<기업의 업무와 관련하여 컴퓨터 등의 정보시스템을 통하여 생산, 저장, 전송, 처리되는 정보 및 정보시스템과 관련된 인력, 문서, 시설, 장비 등의 관련 제반 환경>

(1) 정보보호 시스템 (2) 정보 자산 (3) 자산 식별 (4) 물리적 보안 

정보보호의 목적

주-2

보안의 3요소를 쓰고, 각각에 해당하는 침해 유형을 2개 이상 쓰시오.

답: (2)/  기밀성: 공개, 노출/  무결성: 변조, 파괴 / 가용성: 지체, 재난 

1_정보보호 정책의 개념 및 유형:

중요한 것

1) 정보보호에 대한 방향과 전략

 º  정책에서 해야 할 것: 

상위 수준의 비전 제시, 정보보호 관련 정책의 [일관성] 유지

2)책임과 역할의 명확한 규정

 º 표준에서 해야 할 것:

반드시 준수해야 할 구체적인 사항이나 양식 규정

ㄴ 준수하지 않으면 발생할 상황에 대비

 º 지침에서 해야 할 것: 

선택적이거나 권고적인 사항 명시. (융통성 있게)

ㄴ 변수나 자체 판단이 필요한 경우 

 º 절차에서 해야 할 것: 

정책을 만족하기 위해 실행 해야 하는 사항을 -> 순서에 따라 단계적으로 설명

정보보호 활동의 구체적 적용을 위한 [구체적이고 세부적인 방법] 기술

2_ 정보보호 정책의 목표, 필요성과 특징

1) 목표(이유) :

-> 경영진의 신념과 지향점 

-> 정책은 문서화 (법적 효력)

-> 조직이 달성하고자 하는 정보보호 정책 등이 있다.

2) 필요성: 

-> 목표를 정하지 않고서야 제대로 된 대책을 내놓을 수 없다. 

3) 특징: 

-> 구현이 가능해야 함.

-> 책임 영역이 명확하게 정의되어야 함.

3_ 위험관리:

무엇을? 

위험을 평가하고 수용할 수 있는 수준까지 위험을 감소시키는 것을

어떻게?

1) 적절한 정보보호 대책을 선택

2) 위험을 분석하여 대응이 필요한 위험의 우선순위 설정 

4_ 위험 구성요소 간의 관계:

자산, 위협, 취약성, 보호 대책 등의 요소는 서로 영향을 주고 받음

5_ 위험 처리 전략:

위험도가 높을 경우 목표 위험까지 내릴 수 있는 전략을 세우기

일정 수준 이하의 위험은 감수하고 사업을 진행하는 것 

 6_ 위험 수용:

적극적 수용: 위험의 발생 가능성이 높은 경우, 프로세스를 만들어 대응

소극적 수용: 위험이 발생할 가능성과  영향력이 낮으므로, 어떠한 조치도 취하지 않고 내버려 두는 것

위험 회피 -> 위험이 있는 프로세스나 사업을 포기하는 것. 

 7_ 위험 분석: 

1) 모든 위협과 취약점 식별, 분류

2) 잠재적 손실에 대한 영향을 식별, 분석

위험 분석 방법

1) 베이스라인 접근법: 

항목을 만들어 체크리스트를 만든다.

장점: 분석 비용과 시간 절약 

단점: 유동적 상황에 대한 대처 부족, 

적합한 체크리스트가 아니다? = 안 만드는 것

점수에 대한 집착/

2) 비정형 접근법: 

경험으로 위험을 분석

장점: 빠르고 비용 절약

단점: 경험이 적은 부분의 위협을 노칠 수 있음 ,

경험이 많지 않으면 실패할 가능성/

3)  상세 위험분석

방법론 -> 단계를 따라 위험 분석

장점:  구체적으로 분석하여 가장 적절한 대책 수립 가능 

발빠른 대처 가능

단점: 분석에 시간과 노력 필요/

4) 복합 접근법 

고위험 -> 상세 분석, 다른 영역 -> 베이스라인

장점: 비용과 자원 효과적으로 사용 

고위험 영역 빠르게 식별 및 적절하게 처리

단점: 고위험을 잘못 판별할 경우 -> 분석 비용 낭비, 부적절한 대응/

5) 정량적 위험분석

관련된 모든 값을 정량화 시켜 표현하는 것

*과거 자료 분석법: 과거 -> 미래 예측

장점: 과거 자료 많으면? -> 예측 성공 확률 높아짐

단점: 발생 빈도 낮으면 -> 예측 성공 떨어짐/

6) 수학 공식 접근법

위협의 발생빈도를 계산

장점: 위협을 정량화 하여 간단하게 나타냄

단점: 자료의 양이 적음

7) 확률 분포법 

미지의 사건을 추정하는데 사용

장점: 확률을 이용해 예측

단점: 정확성이 낮음

8) 정성적 위험 분석 

손실이나 위험을 개략인 크기로 비교 

구체적 -> 등급으로 

델파이법: 전문가들이 토론으로 분석 

장: 시간 비용 절약

단: 추정 정확도 낮음 -> 추정이 뭐지?

시나리오법: 예측샷

장: 적은 정보로 추론 가능 

단: 추측이라 확인해야 함

 순위 결정법: 

비교 우위 순위로 결정

자원의 양 적음

단: 정확도 낮

8 _ 재해복구계획:

재난, 재해에 대비하여 미리 만들어놓은 계획 

미러 사이트: 

주 서버 <-> 백업 서버 

핫 사이트: 실시간 미러링으로 최신 상태 유지, 주 센터 다운 -> 데이터 복구 실시 

웜 사이트: 실시간 미러링 수행 X , 업무 데이터만

 콜드 사이트: 재난 발생시 사용할 수 있는 전산실 

상호 백업 협정: 서로 비슷한 시스템을 가지고 있는 기업들이 서로 백업해주는 협정 

백업 서비스:  백업 서비스 기관에서 백업을 대행 

9_정보보호 관리체계(ISMS):

KISA 또는 인증기관이 증명하는 제도 

대략 102개의 인증 기준 구성 

관리 체계 수립 방법: 

1) 계획: 명확한 계획과 전략을 수립

2) 실행: 수립된 계획을 실행

3) 검토: 다시 반영 

4) 검토를 차기 계획에 반영

이미지 2 참조

개인정보 처리 단계별 요구사항: 

5개 분야 22개의 인증기준으로 구성

관리체계 심사: 

1) 최초심사 

최초 심사를 통해 인증을 취득하면 3년의 유효기간 부여

2) 사후심사 

취득 이후 정보보호 관리체계가 지속적으로 유지되고 있는지 확인

년1회 시행  

3) 갱신심사

정보보호 관리체계 인증 유효기간 연장을 목적으로 시행하는 심사 

관련 법:

정보통신망 이용 촉진 및 정보보호 등에 관한 법률

1) 정보통신망이란?

 컴퓨터 및 컴퓨터 기술을 활용하여 정보를 수집, 저장, 가공 하는 정보통신체계를 의미함.

2) 정보통신서비스 -> 정보통신역무를 이용한 정보 제공

3)  전자문서란? 

컴퓨터 등 정보처리능력을 가진 장치에 의해 전자적인 형태로 문서가 작성, 전송, 저장된 형태를 의미함

통신 과금이란? 

전기통신역무의 요금과 함께 청구, 징수되는 업무 

제22조의2(접근 권한에 대한 동의)

정보통신서비스 제공자는 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다. 

접근권한이 필요한 경우)

필요 정보 및 기능의 항목 

접근권한이 필요한 이유  

반드시 필요하지 않은 경우)

위와 동일 

+ 접근권한 허용에 대해 동의하지 아니할 수 있다는 사실

if 이용자가 동의 x -> 서비스 거부 x 

방통위는 1항부터 3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사 O

제23조의2(주민등록번호의 사용 제한) 

아래 각호의 어느 하나에 해당하는 경우를 제외하고 이용자의 주민등록번호를 수집, 이용할 수 없다. 

이용자의 본인확인 업무와 방법

제23조3(본인확인기의 지정 등)

기술적, 재정적, 설비규모의 적정성등을 파악하여 지정.

휴지, 폐지는 동일

제23조4(본인확인업무의 정지 및 지정취소)

거짓 -> 취소

정지명령 거부 -> 정지

6개월이내 본인확인업무 x -> 포함

제45(정보통신망의 안정성 확보 등)

정보통신기기, 정보통신서비스 제공자에 한해 보호조치를 하여야 한다. 

제45조의3(정보보호 최고책임자 지정 등)

정보보호 책임자는 다음과 같다.

1) 정보보호 계획의 수립 시행 및 개선

2) " 실태와 정기적인 감사 및 개선

3) " 대책 마련

4) 모의훈련 

제48조(정보통신망 침해 행위 등의 금지) 

1)  누구든지 정당한 방법 없이 정보통신망에 침입하여서는 아니된다.

2)  누구든지 정당한 사유 없이 변경, 위조, 악성프로그램등을 유포하여서는 아니 된다. 

3)  누구든지 안정적 운영을 방해할 목적으로 대량의 신호와 데이터를 보내거나 정보통신망에 장애가 발생하게 하여서는 아니된다. 

제48조2(침해사고의 대응 등)

과기부 장관 -> kisa(일부 수행)

침해사고에 대한  정보 수집, 전파

" 예보, 경보

" 긴급조치  외 침해사고

kisa(분석) -> 과기부 장관 

제48조의4(침해사고의 원인 분석 등)

침해사고가 발생 시 -> 원인 분석 -> 피해 방지 

침해사고 -> 과기부장관 -> 민관합동조사단 -> 원인 분석

필요하다면 사업자에게 관련 자료 보존을 명할 수 있다.  + 자료 제출 

얻은 자료 -> 원인 분석 후 파기 

제51조(중요 정보의 국외유출 제한 등) 

국가안전보장과 관련된 보안정보 및 주요 정책에 관한 정보 

첨단과학 기술 또는 기기에 관한 정보

정보 유출을 방지할 수 있는 조치 

23-08-05

개인정보보호란?

1) 살아 있는 개인에 대한 정보를 말한다. 

2) 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

3) 다른 정보와 쉽게 결합하여 알아볼  수 있는 정보

개인정보 해당 여부 판단 기준

개인 정보는 

1) 살아있는

2) 개인에 관한 

3) 개인을 알아볼 수 있는 정보

그 외에 사망한 자, 법인, 단체, 사물에 관한 정보는 개인정보에 해당되지 않음.

가명정보도 개인정보에 해당

개인정보의 중요성

개인정보는 사회 유지, 구성에 필수적임

그러나, 악의적인 목적으로 이용되거나 유출될 경우 개인의

사생활에 큰 피해를 줄 뿐만 아니라 개인 안전과 재산에 피해를 줄 수 있음.

개인정보 악용의 예)

불법 텔레마케팅, 스팸메일, 계정 도용, 보이스피싱 등 범죄행위

개인정보의 종류

개인의 성명, 주민등록증, 사회 경제적 지위, 교육, 건강, 의료 , 재산, 문화 활동 및 정치적 성향과 

같이 종류가 매우 다양하고 폭넓음

+ 통화 내역, 로그기록, 구매 기록

개인정보보호법

제1조

개인의 자유와 권리를 보호, 개인의 존엄과 가치를 구현을 목표

제3조

(1) 개인정보처리자는 최소한의 개인정보를 적법하고 정당하게 수집해야 한다.

(2) 개인정보가 필요한 범위에서 적합하게 처리해야 하며, 그 외 다른 목적으로 

사용하면 아니된다. 

(3) 개인정보처리자는 개인정보의 정확성, 완전성, 최신성이 보장되도록 해야 한다.

(4) 개인정보처리과정에서 발생할 수 있는 정보주체의 권리가 침해받을 가능성과 

그 위험을 고려하여 안전하게 관리해야 한다. 

(5) 개인정보 처리방침 등 종류에 따라 정보주체의 권리가 침해받을 가능성과 

그 위험 정도를 고려하여 개인정보를 안전하게 관리해야 한다.

(6) 사생활 침해를 최소화하는 방법으로 개인정보를 처리해야 한다. 

(7) 개인정보를 익명 또는 가명으로 사용하여도 익명 또는 가명을 통해 처리할 수 있어야

한다. 

(8) 개인정보처리자는 책임과 의무를 준수하고 실천함으로써 정보주체의 

신뢰를 얻기 위하여 노력하여야 한다. 

제4조(정보주체의 권리) 

정보주체는 자신의 개인정보 처리와 관련하여  다음 각 호의 권리를 가진다.

(1) 개인정보 처리에 관한 정보 

(2) 개인정보 처리에 관한 동의 여부 및 범위

(3) 개인정보 처리 여부 확인 및 개인정보에 대한 열람

(4) 개인정보의 처리, 정지, 정정, 삭제 및 파기에 대한 권리

(5) 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

제5조(국가 등의 책무)

(1) 국가와 지방단체는 개인정보의 오남용 및 무분별한 감시 추적에 대비하여 개인의

사생활 보호를 도모하기 위한 시책을 강구해야 한다.

(2) 국가와 지방단체는 법령의 개선 등 필요한 시책을 하여야 한다. 

(3) 국가와 지방단체는 개인정보 처리자의 자율적인 개인정보 보호활동을 존중하고 촉진, 지원하여야 한다.

(4) 국가와 지방단체는 개인정보 처리에 관한 법령 또는 조례를 재정하거나 개정하는 경우에

법의 목적에 부합되도록 하여야 한다.

제7조(개인정보 보호위원회)

(1) 개인정보 보호를 독립적으로 수행하기 위해 국무총리 소속으로 개인정보 보호 위원회를 둔다.

(2) 보호 위원회는 [정부 조직법] 제2조에 따른 중앙행정기으로 본다. 다만 예외 상황을 두어 정보조직법

제18조를 적용하지 아니한다. 

제7조2(보호위원회의 구성 등)

(1) 보호위원회 -> 상임위원2명 (위원장1명, 부위원장1명)을 포함한 9인의 위원

위원장, 부위원장 -> 국무총리 제청,  그 외 위원중 2명 -> 위원장 제청,  2명은 대통령이 소속되거나

소속되었던 정당의 교섭단체 추천으로, 3명은 그 외의 교섭단체 추천으로 대통령이 임명 또는 위촉한다.

1) 개인정보 보호 업무를 담당한 3급 이상 공무원

2) 판,검,변 직에 10년이상 있거나 있었던 사람

3) 공공기관 또는 단체에 3년 이상 임원으로 재직, 개인정보 보호 업무를 3년 이상 담당하였던 사람

4) 개인정보 관련 분야에 전문지식이 있고 학교에서 5년 이상 재직하고 있거나 재직하였던 사람

위원장, 부 위원장 -> 정무직, 정부위원

제7조의3(위원장)

위원장은 대표 및 소관 사무를 총괄

위원장 -> 부위원장 -> 위원회가 미리 정한 위원 

위원장 -> 국회가 요구하면 보고 or 답변해야 함

위원장 -> 국무회의 출석하여 발언 가능, 그 사무에 관해

국무총리에게 의안 제출 건의 가능

제7조의4(위원의 임기) 

3년으로 하되, 한 차례 연임 가능

제7조 5(위원의 신분보장)

특정한 경우를 제외하고는 면직 또는 해촉 x

(1) 심신장애

(2) 결격사유

(3) 직무상의 의무를 위반

제7조의6(겸직금지)

겸직을 해서는 안된다는 내용

(1) 국회의원, 지방의회의원

(2)국가공무원 또는 지방공무원

(대통령령으로 정하는 직)

정치활동에 관여 x

제7조의7(결격사유)

대한민국 국민이 아닌자, 

국가공무원,

당원

제7조의8(보호위원회의 소관 사무)

법령 개선

정책, 제도, 계획, 수립, 집행

권리침해 조사 및 처분

고충처리, 권리구제, 개인정보에 관한 분쟁의 조정

국제기구 및 외국의 개인정보 보호기구와의  교류, 협력

개인정보 보호에 관한 조사, 연구, 홍보

전문인력 양성에 관한 사항

제7조의 9

보호위원회는 다음 각 호의 사항을 심의 의결한다. 

개인정보 침해 요인 평과에 관한 사항

시행 계획에 관한 사항

개인정보 보호와 관련된 정책, 제도 및 법령의 개선에 관한 사항

공공기관 간의 의견조정 

법령의 해석, 운용에 관한 사항

의견제시 및 개선권고에 관한 사항

제15조(개인정보의 수집, 이용)

개인정보처리자는 각호에 맞춰 개인정보를 수집할 수 있으며, 

그 수집 목적의 범위에서 이용할 수 있다. 

(1) 정보주체의 동의를 받은 경우

(2) 법률에 특정한 규정이 있거나 법령상 의무를

준수하기 위해 불가피한 경우

(3)공공기관이 소관 업무의 수행을 위하여 불가피한 경우

(4) 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

(5) 3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고

인정되는 경우

제 16조(개인정보의 수집 제한)

(1) 개인정보처리자는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다.

개인정보처리자는 개인정보를 수집하는 경우, 필요한 최소한의 정보 외에 

개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고

개인정보를 수집하여야 한다. 

개인정보처리자는 정보주체가 수집을 동의하지 않는다 해도, 

정보주체에게 주화 또는 서비스의 제공을 거부헤서는 아니된다. 

제20조(정보주체 이외로부터 수집한 개인정의 수집 출처 등 고지)

모든 사항을 정보주체에게 알려야 한다. 

(1) 개인정보의 수집 출처

(2) 개인정보의 처리 목적

(3) 개인정보 처리의 정지를 요구할 권리가 있다는 사실

제21조(개인정보의 파기)

개인정보의 처리 목적 달성 등 그 개인정보가 

불필요하게 되었을 때 지체 없이 그 개인정보를 

파기하여야 한다. 

하지만, 복구 또는 재생 x

or 개인정보를 파기하지 않고 보존해야 하는 경우에는

다른 개인정보와 분리하여 저장, 관리해야 한다.

제22조(동의를 받는 방법)

정보 주체에게 동의를 받을 때는 정보 주체가 이를

명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 

제23조(민감정보의 처리 제한)

(1) 개인정보처리자는 사상, 신념, 노조, 정당의 가입, 탈퇴, 정치적 견해, 건강, 성생활

에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는

개인 정보를 처리해서는 아니된다. 

(2) 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는

그 민간정보가 분실, 도난, 유출, 위조, 변조, 또는 훼손되지 않도록

제 29조에 따른 안정성 확보에 필요한 조치를 해야 한다. 

예외)_ 15조 제 2항 또는 17조 제2항 각호의 사항을 알리고 

다른 개인정보처리의 처리에 대한 동의와 별도로 동의를 받은 경우 

법령에서 민감정보의 처리를 요구하거나 허용한 경우

제24조(고유식정보의 처리 제한)

개인정보처리자는 다음 각 호의 경우를 제외하고는(예외  사항이 있는 경우를 제외하고)

법령에 따라 개인을 고유하게 구별하기 위해서 부여된 식별정보로서 대통령령으로 

정하는 정보(고유식별정보)를 처리할 수 없다.

Cryptography_2