IT보안, 개인정보보호 이야기

오늘은 제3장 개인정보 처리 - 제1절 개인정보의 수집, 이용, 제공 등의 마지막 조항인 제21조와 22조를 살펴보고자 한다. 제21조(개인정보의 파기) ㅇ 개인정보처리자는 보유기간의 경과, 처리 목적의 달성이 되면 지체 없이 개인정보를 다음과 같은 방법으로 복구되지 않도록 파기한다. 전자적 파일 형태 : 영구삭제 기록물, 인쇄물 서면, 기록매체 : 파쇄, 소각 ㅇ 법률에 따라 보존하여야 하는 근거가 있으면 보유기관이 경과하여도 보존할 수 있다. 이 경우에는 운영 중인 개인정보와 분리하여 저장하여야 한다. 제22조(동의를 받는 방법) ㅇ 개인정보 동의를 받을 경우 다음에 해당하는 방법으로 동의를 받아야 한다. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, ..

원래 계획은 매 단원이 끝날 때마다 복습 문제와 연습문제를 푸는 것이었는데, 연습문제는 너무 어려워서 못 풀 것 같다. (사실 노력도 안 해봤지만, 올해 안에 진도를 빼는 것을 목표로 하는데, 연습문제에 시간을 들이기가 어려울 것 같다.) 그래서 복습문제만이라도 풀어보기로 했다. 네트워크 보안 에센셜(Network Security Essential, William Stallings 저, 이재광/전태일 공역, 생능출판사) p.100 02. 대칭암호와 메시지 기밀성 - 복습 문제 2.1 대칭 암호의 핵심적 요소는 무엇인가? 평문 암호 알고리즘 비밀 키 암호문 복호 알고리즘 2.2 대칭키 암호 알고리즘에 사용되는 두 가지 기본적 기능은 무엇인가? 강한 암호 알고리즘 송신자와 수신자는 비밀키를 안전하게 획득하고..

Chapter 02. 대칭 암호와 메시지 기밀성 2.5 스트림 암호와 RC4 블록 암호를 다양한 응용에 사용하기 위해 NIST에서는 5가지 운용 모드를 정의하였다. 이 5가지 운용모드는 모든 대칭 블록 암호에 적용이 가능한다. □ 전자 코드북 모드(ECB) 한 번에 b비트 크기의 블록으로 쪼갠다 동일한 키로 각 블록을 암호화한다. 암호 블록 - 평문 블록이 1:1 매칭 된다. 같은 평문 블록이 나타나면 동일한 암호문이 생성기 때문에 긴 메시지에는 안전하지 않다. 메시지에 b비트의 배수를 주기로 반복되는 요소가 있다면 쉽게 해독이 가능하다 => 같은 평문이 반복되더라도 동일하지 않은 암호 블록을 생성하는 기술이 필요하다. □ 암호 블록 체인 모드(CBC) 현재의 평문 블록과 바로 직전의 암호 블록을 XOR..

개인정보보호법에서 15조 ~ 22조는 개인정보의 라이프사이클에 대한 조항이다. 제15조~제16조 개인정보의 수집/이용 제17조~제20조 개인정보의 제공, 목적 외 이용/제공 제21조 개인정보의 파기 제22조 동의를 받는 방법 그중 오늘은 개인정보의 제공 및 목적 외 이용/제공 관련 내용인 제18조 ~ 제20조까지 살펴보겠다. 개인정보보호법에서 정리하여야 하는 내용이 정보통신망법보다 훨씬 많다. 제18조(개인정보의 목적 외 이용ㆍ제공 제한) ㅇ개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 이용할 수 있는 경우 (정보통신서비스 제공자는 1,2호만 해당, 5~9호는 공공기관만 해당) 정보주체로부터 별도의 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보주체 또는 법정대리인이 의사표시를 할 ..

오늘은 개인정보보호법에서 이야기하는 개인정보의 라이프사이클에 대한 조항을 살펴보고자 한다. 제15조~제16조 개인정보의 수집/이용 제17조~제20조 개인정보의 제공, 목적 외 이용/제공 제21조 개인정보의 파기 제22조 동의를 받는 방법 그중 오늘은 제15조 ~ 제17조까지 살펴보겠다. 제15조(개인정보의 수집/이용) ㅇ 개인정보를 수집할 수 있는 경우 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법률 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체와의 계약의 체결 및 이행을 위하여 불가피한 경우 정보주체 또는 그 법정대리인이 의사표현을 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히..

ISMS-P 인증심사원 자격시험 합격 수기를 읽어보면, 대부분 개인정보보호법, 정보통신망법, 정보보호 및 개인정보보호 인증 등에 관한 고시에 있는 내용은 모두 암기했다고 한다. 나도 법적 요건들을 암기하고자 한다. 그래서 오늘은 개인정보보호법을 정리할 것이다. 데이터 3법 개정으로 개인정보보호법에는 가명정보라는 개념이 신규 도입되었다. 또한 기존에 망법에 있던 개인정보보호 내용이 개인정보보호법으로 넘어왔으니 주의 깊게 봐야 할 것 같다. 개인정보보호법 또한 정보통신망법 정리한 바와 같이 내 뇌피셜 상 숙지해야 한다고 생각하는 내용 위주로 정리하였고, 숙지하지 않아도 된다고 판단되는 부분은 기록하지 않았다. 시간 날 때마다 계속 보면서 암기해야지! 개인정보보호법에 대한 자세한 해석을 알고 싶다면 행정자치부..

제46조(집적된 정보통신시설의 보호) ㅇ 집적정보통신시설 사업자는 다음과 같은 보호조치를 하여야 한다. 정보통신시설에 접근 권한이 없는 자의 접근 통제 및 감시를 위한 기술적/관리적 조치 정보통신시설의 지속적/안정적 운영을 확보하고 화재/지진/수해 등의 각종 재해와 테러 등의 각종 위협으로부터 정보통신시설을 보호하기 위한 물리적/기술적 조치 정보통신시설의 안정적 관리를 위한 관리인원 선발/배치 등의 조치 정보통신시설의 안정적 운영을 위한 내부관리계획(비상시 계획을 포함한다)의 수립/시행 침해사고의 확산을 차단하기 위한 기술적/관리적 조치의 마련 및 시행 (집적정보 통신시설 보호지침 참조) ㅇ 집적정보통신시설 사업자는 사업 개시와 동시에 정보보호 책임보험에 가입하여야 한다. 책임보험의 최저 보험금액은 다음..

ISMS-P 인증심사원 자격시험 합격 수기 몇 편을 읽어 보았다. 대부분 개인정보보호법, 정보통신망법, 정보보호 및 개인정보보호 인증 등에 관한 고시에 있는 내용은 모두 암기했다고 한다. 나도 정보통신망 이용촉진 및 정보보호 등에 관한 법률[2020.12.10. 시행] (이하 '정보통신망법' 또는 '망법')의 주요 내용을 몽땅 정리하여 숙지하기로 했다. 정보통신망법은 2020년 데이터3법 개정에 따라, 개인정보보호에 관한 내용이 대거 삭제되었다. 따라서, ISMS-P를 위해서 공부해야 할 내용이 생각보다 많지 않다. 내 뇌피셜 상 숙지해야 한다고 생각하는 내용 위주로 정리하였고, 숙지하지 않아도 된다고 판단되는 부분은 기록하지 않았다. 시간 날 때마다 계속 보면서 암기해야겠다. 제2조(정의) 해당 조에서..

Chapter 02. 대칭 암호와 메시지 기밀성 2.4 스트림암호와 RC4 □ 스트림 암호 구조 ㅇ 전형적인 스트림 암호는 한 번에 평문 1Byte(8bit)씩 암호화 의사 랜덤 바이트 생성기에 하나의 키(K)를 입력으로 사용한다. 의사 랜덤 바이트 생성기는 랜덤 함수 키스트림(k)을 생성한다. 평문 메시지는 생성된 키스트림과 한 바이트 씩 XOR 연산된다. [Example] (평문) 11010100 ⊕ (키스트림) 01001010 = (암호문) 10011110 (암호문)10011110 ⊕ (키스트림) 01001010 = (평문) 11010100 ㅇ 스트림 암호 설계 시 고려사항 암호열의 주기*가 길어야 한다. 키스트림은 반드시 진성랜덤스트림의 특성에 가능하면 근사하도록 해야 한다. 키 길이는 충분히 길..

□ 개인정보를 목적 외의 용도로 이용할 수 있는 경우(개인정보보호법 제18조) 정보주체로부터 별도 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 (삭제) 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 법원의 재판..