Monble_정보보안

■ 숙지항목

★프라이버시와 개인정보

★개인정보의 유형 및 종류

★개인정보의 특성

★개인정보의 가치산정

★해외개인정보보호제도 소개

■ GDPR 핵심정리

개인정보 처리원칙

1. 합법성, 공정성, 투명성:개인정보는 정보추에와 관련하여 합법적이고 공정하며, 투명한 방식으로 처리

2. 목적제한:개인정보는 특정되고 명시적이며 적법한 목적으로 수집되어야 하며, 그러한 목적과 양립하지 않는 방식으로 처리되지 말아야 한다.

3. 최소처리:개인정보는 처리되는 목적과 관련하여 적정하고 관련성 있으며 필요한 범위로 제한되어야 한다.

4. 정확성: 개인정보는 정확해야 하고, ,필요한 경우 최신성을 유지해야 한다.

5. 보유기간의 제한: 개인정보는 처리목적을 위해서 기간 내에서 정보주체를 식별할 수 있는 형태로 보유되어야 한다.

6. 무결성 및 기밀성: 개인정보는 적정한 기술적 또는 관리적 조치를 이용하여 개인정보의 적정한 보안을 보장하는 방식으로 처리되어야 한다.

7. 책임성:컨트롤러는 개인정보보호원칙에 대하여 책임성을 갖춰야 하며, 그에 대한 준수 여부를 증명할수 있어야 한다.

★★★★ 반드시 숙지항목

1. 아동에게 제공되는 온라인 서비스 GDPR 제8조 제1항은 만 16세 미만의 아동에게 직접 정보사회서비스를 제공할때 부모 등 친권을 보유하는 자의 동의를 별도로 받도록 규정하고 있음

GDPR은 아동의 연령을 만 16세 미만으로 규정하고 있으나 회원국은 자국의 법률을 통하여 친권자 등의 동의를 요하는 아동의 연령 기준을 만 13세 까지 낮추어 규정

친권자의 동의 획득 방법

1. 동의서에 서명한 후, 전자스캔 우편 팩스를 통해 다시 보내는 방법

2. 신용카드, 직불카드, 그 밖의 온라인 결제시스템을 이용하여 계정 소유자에게 각각의 개별 거래에 대한 통지를 제공하는 방법

3. 숙련된 직원이 무료로 전화를 걸어 전화로 동의를 받는 방법

4. 회상 회의를 통해 훈련된 직원과 연결하는 방법

5. 정부가 발급한 신분증 사본을 제공받아 확인하는 방법

6. 친권자가 아니면 답변할수 없는 지식기반질문에 답변하게 하는 방법

7. 얼굴인식기술을 이용하여 친권자가 제출한 친권자의 운전면허증과 사진과 친권자가 제출한 다른 사진을 비교해서 확인하는 방법

8. 이메일을 통해서 동의를 받고 부모에게 다시 확인하는 이른바 "이메일 플로스"방법을 통해서 확인하는 방법

※ 아동의 개인정보가 오로지 내부목적으로만 이용되고 외부에 공개되지 않아 위험이 낮은 경우 이메일 플러스 방식을 이용

민감정보의 처리제한

컨트롤러와 프로세서는 다음 경우에 한하여 민감정보를 처리할수 있다.

1. 정보주체의 명시적 동의를 획득한 경우(다만 동의에 근거하는 것이 EU 또는 회원국 법률에 의해 금지되는 경우는 제외)

2. 고용,사회안보,사회보장 및 사회보호법 또는 단체협약에 따른 의무의 이행을 위하여 필요한 경우

3. 정보주체가 물리적 또는 법적으로 동의를 할 능력이 없는 경우에 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위하여 필요한 경우

4. 정치,철학,종교 목적을 지닌 비영리 단체나 노동조합이 하는 처리로, 회원이나 과거 회원에 관해서만 처리하며, 또한 동의 없이 제3자에게 제공하지 않는 경우

5. 정보주체가 명백히 일반에게 공개한 정보를 처리하는 경우

6, 법적 청구권의 설정,행사,방어 또는 법원이 재판 목적으로 처리하는 경우

7. 중대한 공익을 위하여 또는 EU법이나 회원국법을 근거로 하는 처리로, 추구하는 목적에 비례하고 적절한 보호조치가 있는 경우

8. EU법이나 회원국법 또는 의료 전문가와의 계약을 근거로, 예방 의학이나 직업 의학, 종업원의 업무 능력 판정, 의료진단,보건,사회복지,치료,보건이나 사회복지시스템의 관리 및 서비스 등의 제공을 위하여 필요한 경우

9. 국경을 넘은 심각한 보건 위협으로부터의 보호 또는 의료 혜택 및 약품이나 높은 의료수준의 의료장비 확보 등 공중보건 영역에서 공익을 위하여 필요한 경우

10. 공익을 위한 기록 보존 목적이나 과학적,역사적 연구목적,통계목적을 위하여 제89조제1항에 따라 필요한 경우

컨트롤러는 제15조 내지 제22조에 따라 정보주체의 요청에 따라 취해진 조치에 대한 정보를 제공

컨트롤러는 요청을 접수 후 1개월 이내엑 부당한 지체없이 제공

요청의 복잡성과 요청횟수를 고려하여 필요한 경우 2개월 추가 연장하여 제공

개인정보 처리 활동의 기록

기업의 종업원이 250명 이상인 경우

GDPR은 영세 및 중소기업의 상황을 고려하여, 종업원 수 250명 이상의 기업을 대상으로 개인정보 처리 활동을 의무적으로 문서화하고 보유하도록 규정하고 있음

예외(종업원수 250명과 무관)

해당 기업이 수행하는 개인정보의 처리가 다음 중 하나에 해당하는 경우에는 종업원수와 무관하게 개인정보처리활동의 기록이 필요

정보주체의 권리와 자유에 위험을 초래할 가능성이 있거나 간헐적이지 않은 개인정보처리

민감정보처리

범죄경력및범죄행위에 관련된 개인정보처리

개인정보영향평가를 의무적으로 수행하여야 하는 경우

특히 다음 중 하나에 해당하는 경우 개인정보 영향평가를 의무적으로 수행

자동화된 처리(프로파일링 포함)에 그거한 개인에 대한 체계적이고 광범위한 평가로, 해당 평가를 바탕으로 한 결정이 해당 정보주체에게 법적 효력을 미치거나 이와 유사하게 중대한 영향을 미치는 경우

민감정보 또는 범죄정보에 대한 대규모 처리를 하는 경우

공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 경우

컨트롤러 감독기구와의 사전 협의 시 아래사항을 감독기구에게 제공

1. 컨트롤러,공동컨트롤러 및 프로세서의 개별 책임,특히 사업체 집단 혹은 기업 내의 처리에 대한 책임

2. 예정된 개인정보 처리의 목적 및 방법

3. 정보주체의 권리와 자유를 보호하기 위해 제공되는 대책 및 안전성 확보조치

4. DPO연락처

5. 개인정보 영향평가 결과

6. 감독기구가 요청한 기타 정보

■ 시험범위

Part 1. 개인정보의 이해(10%)

1. 개인정보의 정의

-프라이버시와 개인정보

-개인정보의 유형 및 종류

-개인정보의 특성

-개인정보의 가치산정

-해외 개인정보보호의 제도 소개

2. 개인정보보호의 중요성

-정보사회와 개인정보 등 사생활 노출

-개인정보 침해 유형

-개인정보보호의 필요성(사회적 영향)

3. 기업의 사회적 책임

-개인정보의 중요성 인식

-개인정보 조직 구성 및 운영

-개인정보 조직의 역할

Part 2. 개인정보보호제도(20%)

1. 개인정보보호 관련 법률 체계

-개인정보보호 관련 법 개요

-우리나라 개인정보보호 관련 주요 법 체계

2. 개인정보보호 원칙과 의무

-OECD 8원칙

-필요 최소한의 개인정보 수집

-목적 외 개인정보 활용 금지

-개인정보의 정확성,완전성,최신성 보장

-안전조치의무

-개인정보처리방침의 수립 및 공개

-정보주체의 권리보장

-사생활 침해의 최소화

-익명처리 원칙

-법령준수의무

-개인정보의 처리제한

-개인정보보호책임자의 지정

-개인정보파일의 등록 및 공개

3. 정보주체의 권리

-개인정보처리에 관한 정보를 제공받을 권리

-개인정보처리에 관한 동의권

-개인정보열람권

-개인정보처리정지,정정,삭제권

-법정대리인의 권리

-개인정보처리로 인하여 발생한 피해를 구제받을 권리

4. 분쟁해결절차

-개인정보분쟁조정

-단체소송

Part 3. 라이프사이클관리(25%)

1. 개인정보수집이용

-개인정보오너십의 이해

-개인정보 수집이용원칙

-개인정보 수집 이용시 유의사항

2. 개인정보 저장관리

-개인정보 저장 관리의 이해

-개인정보 파기의 원칙

-개인정보처리시 유의사항

3. 개인정보 제공

-개인정보 제공의 이해

-개인정보 제3자 제공,위탁 원칙

-제3자 제공과 위탁의 구분

-개인정보 제공 시 유의사항

Part 4. 개인정보보호조치(40%)

1.개요

-제,개정의 배경

-기준의 법적 성격

2. 개인정보 기술적 관리적 보호조치 기준

-내부관리계획의 수립,이행

-접근통제

-접속기록의 위,변조 방지

-고유식별정보

-개인정보의암호화

-악성프로그램방지

-출력복사시,보호조치

-개인정보표시제한 보호조치

-출입통제

-CCTV,영상/운영

Part 5. 개인정보 관리체계(15%)

1. 개인정보 관리체계 개요

-개인정보 관리체계 개념

-국내외 개인정보보호 관리체계 유형 및 현황

2. 주요 개인정보 관리체계

-개인정보영향평가

-개인정보보호수준진단

-개인정보보호관리체계

■ 주요정보통신기반시설 Unix 테스를 위한 환경설정

1. 준비물: CentOs 8.2(2020.08.28 기준), Vmware 11버전 또는 12버전

CentOs링크: http://ftp.kaist.ac.kr/CentOS/8.2.2004/isos/x86_64/

상단영역에서 CentOs-8.2 2004-x86_64_boot.iso를 가지고 테스트

■ Vmware에 CentOs 설치방법은 하단 링크를 참조

https://jhnyang.tistory.com/280

2. 환경셋팅 시 주의사항

CentOs8 버전부터 초기값 부분에 네트워크 etho0설정이 되어 있지 않아 직접 수동으로 설정을 해야 한다.

CentOS.vmx부분을 노트패드로 열기

16번째 줄은 원래 없던 부분인데 다음과 같이 기입 후 저장

2. 변경된 명령어

CentOS 7 버전에서 8버전으로 넘어오면서 명령어가 달라졌다.

기존의 service network restart (네트워크 재시작)

systemctl restart network 등 network.service는 공식적으로 8버전에서 지원을 하지 않는다.

8버전 부터는 NetworkManager.service의 nmcli명령어를 사용해야 한다.

서비스 확인

systemctl status NetworkManager.service

systemctl start NetworkManager.service

네트워크설정확인

nmcli dev status

nmcli con show

ip addr show eth0

3. 네트워크 위치 수정방법

/etc/sysconfig/network-scripts에서 ifcfg-eth0파일이 없어 만들어 줘야 한다.

touch ifcfg-eth0

vi ifcfg-eth0

편집부분에서 아래와 같이 내용을 기입

다음과 같이 내용을 기입하는데 IP6의 경우는 사용하지 않기 때문에 주석처리를 함

nmcli con reload 명령어를 기입

nmcli dev status 명령어를 기입

아래와 같이 연결이 완료된상태로 나타나면 성공

마지막으로 구글 dns서버에 ping 을 날려서 다음과 같이 나타나게 되면 인터넷 연결이 성공되었다고 판단하면 된다.

■ 점검내용: Windows 최상위 관리자 계정 Administrator의 계정명 변경 여부 점검

■ 점검목적: 기본 관리자 계정명인 Administrator를 사용할 경우 악의적인 공격자에 의한 패스워드 무차별 공격에 취약

■ 대응방법 : 아래와 같음