IT보안, 개인정보보호 이야기

정보보안 기사 필시 시험이 11월 7일에 있다.필시 시험을 접수함에 따라, 공부 내용을 포스팅할 예정이다. 필기시험 대비이므로 전체 내용을 간략하게 훑는 포스팅이 될 예정이다. 정보보안 기사란?정보보안 기사는 시스템 및 솔루션 개발, 운영 및 관리, 컨설팅 등의 전문 이론과 실무능력을 기반으로 IT 기반시설 및 정보에 대한 체계적인 보안업무를 수행하는 능력을 입증하는 자격증이다. 정보보안 기사 시험 시간 및 일정 제16회 정보보안 기사 시험 일정은 다음과 같다. 회차필기시험 원서접수필기시험필기시험 결과 발표응시자격 서류제출실기시험 원서접수실기시험합격자 발표제 16회 (2020년도 2회)09.21 ~ 09.2511.0711.20(1차)10.05 ~ 10.09 (2차)11.23 ~ 11.2712.1212.3..

Hash 알고리즘의 수학적 구조와 원리를 이해하는 것은 진짜 너무 어렵다. 100% 이해하기보다는, 일단 어느 정도 알고 넘어가야겠다. 나중에 반복해서 보면 언젠가는 100% 이해할 날도 올 거라고 생각한다. 또한, 실무에서는 해시 알고리즘의 구조를 100% 이해하지 않아도 일하는데 크게 지장은 없다. Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(2) □ SHA-512 알고리즘의 구조 Step 1. 패딩 비트 붙이기 메시지를 추가하여 총 길이를 896(mod1024)이 되도록 만든다. 메시지 길이가 이미 896(mod1024)라면 1024bit를 추가한다. 그러면 패딩비트의 길이 L은 1≦L≦1024이다. 패딩 비트의 첫 번째 값은 1이고 나머지 비트는 모두 0이다. Step..

하루에 1개의 소단원씩 끝내는건 도저히 못하겠다. 뒤로 갈수록 점점 더 어렵다. ㅠㅠ 정보보호에서 암호학이 가장 자신있는 분야라고 생각했는데, 암호 챕터가 끝나면 좀 쉬워지지 않을까 하는 기대를 하고 있다. ㅠㅠ 안전 해시함수에 대한 원리를 이해하기 위해서 며칠동안 붙잡고 있었다. 그래서 100%이해한 것 같지는 않지만 어느정도 이해한 내용을 적기로 했다. 그래서 안전해시함수 소단원을 끝내지 못했지만 1/2 포스팅 하겠다. Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(1) □ 안전 해시함수(Secure Hash Function) ㅇ 메시지 인증, 디지털 서명 등에 활용된다. ㅇ 해시함수의 목적은 파일, 메시지, 데이터블록에 대한 지문(Finger Print)을 생성하는 것이다..

개인정보보호법 제4장 "개인정보의 안전한 관리"(제29조 ~ 제34조의2) 에서는 개인정보의 안전조치 의무, 개인정보 처리방침의 수립, 개인정보 보호책임자의 지정, 개인정보 파일의 등록 및 공개, 개인정보 보호 인증, 개인정보 영향평가, 개인정보 유출 통지, 과징금 부과 등에 대한 내용을 다루고 있다. 오늘은 4장을 살펴보겠다. ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조 제29조(안전조치 의무) ㅇ 개인정보 처리자는 개인정보의 안전성 확보를 위하여 다음과 같은 조치를 하여야 한다. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 개인..

Chapter 02. 대칭 암호와 메시지 기밀성Chapter 03. 공개키 암호와 메시지 인증 - 3.1 메시지 인증 방법 암호를 사용하여 적극적 공격에 대응하는 방법으로 메시지 인증 방법이 있다. 데이터가 인증된다는 말은 데이터가 진짜이고 송신자라고 주장하는 근원지로부터 왔다는 것을 확신할 수 있다는 것을 의미한다. □ 관용 암호를 이용한 인증 메시지가 오류 감지 코드와 순서 번호를 포함하는 방법 - 수신자는 메시지가 변경되지 않고, 순서도 틀리지 않았음을 확신할 수 있다. 타임스탬프를 포함하는 방법 - 메시지가 지나는 동안 소요되는 시간지연 이외에 고의적으로 지연되지 않았음을 확신할 수 있다. □ 메시지 암호화 없이 메시지 인증하기 ㅇ 메시지 암호화 없는 메시지 인증이 필요한 경유 동일한 메시지를 다..

오늘은 제3장 개인정보 처리 - 제2절 개인정보의 처리제한에 대한 내용을 살펴보겠다. 개인정보보호법만 5번째 포스팅인데, 아직 반도 못 보았다. 생각보다 양이 너무 많다. ISMS항목에서 개인정보 관련 항목 비중은 1/3정도밖에 안되는데, 정보통신망법보다 개인정보보호법이 더 확인해야 할 내용이 많다. 개인정보가 대부분 법률과 유관한 분야이기 때문일 것이다. 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한) 민감정보와 고유식별정보의 처리에 대한 규정은 비슷하기 때문에 한꺼번에 살펴보겠다. ㅇ 민감정보의 범위 사상/신념 노동조합/정당의 가입/탈퇴 정치적 견해 건강, 성생활 등에 관한 정보 유전정보 범죄경력정보 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으..

오늘은 제3장 개인정보 처리 - 제1절 개인정보의 수집, 이용, 제공 등의 마지막 조항인 제21조와 22조를 살펴보고자 한다. 제21조(개인정보의 파기) ㅇ 개인정보처리자는 보유기간의 경과, 처리 목적의 달성이 되면 지체 없이 개인정보를 다음과 같은 방법으로 복구되지 않도록 파기한다. 전자적 파일 형태 : 영구삭제 기록물, 인쇄물 서면, 기록매체 : 파쇄, 소각 ㅇ 법률에 따라 보존하여야 하는 근거가 있으면 보유기관이 경과하여도 보존할 수 있다. 이 경우에는 운영 중인 개인정보와 분리하여 저장하여야 한다. 제22조(동의를 받는 방법) ㅇ 개인정보 동의를 받을 경우 다음에 해당하는 방법으로 동의를 받아야 한다. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, ..

원래 계획은 매 단원이 끝날 때마다 복습 문제와 연습문제를 푸는 것이었는데, 연습문제는 너무 어려워서 못 풀 것 같다. (사실 노력도 안 해봤지만, 올해 안에 진도를 빼는 것을 목표로 하는데, 연습문제에 시간을 들이기가 어려울 것 같다.) 그래서 복습문제만이라도 풀어보기로 했다. 네트워크 보안 에센셜(Network Security Essential, William Stallings 저, 이재광/전태일 공역, 생능출판사) p.100 02. 대칭암호와 메시지 기밀성 - 복습 문제 2.1 대칭 암호의 핵심적 요소는 무엇인가? 평문 암호 알고리즘 비밀 키 암호문 복호 알고리즘 2.2 대칭키 암호 알고리즘에 사용되는 두 가지 기본적 기능은 무엇인가? 강한 암호 알고리즘 송신자와 수신자는 비밀키를 안전하게 획득하고..

Chapter 02. 대칭 암호와 메시지 기밀성 2.5 스트림 암호와 RC4 블록 암호를 다양한 응용에 사용하기 위해 NIST에서는 5가지 운용 모드를 정의하였다. 이 5가지 운용모드는 모든 대칭 블록 암호에 적용이 가능한다. □ 전자 코드북 모드(ECB) 한 번에 b비트 크기의 블록으로 쪼갠다 동일한 키로 각 블록을 암호화한다. 암호 블록 - 평문 블록이 1:1 매칭 된다. 같은 평문 블록이 나타나면 동일한 암호문이 생성기 때문에 긴 메시지에는 안전하지 않다. 메시지에 b비트의 배수를 주기로 반복되는 요소가 있다면 쉽게 해독이 가능하다 => 같은 평문이 반복되더라도 동일하지 않은 암호 블록을 생성하는 기술이 필요하다. □ 암호 블록 체인 모드(CBC) 현재의 평문 블록과 바로 직전의 암호 블록을 XOR..

개인정보보호법에서 15조 ~ 22조는 개인정보의 라이프사이클에 대한 조항이다. 제15조~제16조 개인정보의 수집/이용 제17조~제20조 개인정보의 제공, 목적 외 이용/제공 제21조 개인정보의 파기 제22조 동의를 받는 방법 그중 오늘은 개인정보의 제공 및 목적 외 이용/제공 관련 내용인 제18조 ~ 제20조까지 살펴보겠다. 개인정보보호법에서 정리하여야 하는 내용이 정보통신망법보다 훨씬 많다. 제18조(개인정보의 목적 외 이용ㆍ제공 제한) ㅇ개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 이용할 수 있는 경우 (정보통신서비스 제공자는 1,2호만 해당, 5~9호는 공공기관만 해당) 정보주체로부터 별도의 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보주체 또는 법정대리인이 의사표시를 할 ..