[Education]/[금융보안]

[금융보안] 내부정보 유출방지를 위한 자가수준진단 및 준수사항 - 사이버 보안위협의 진화, 침해사고 특징

starterr 2024. 10. 5. 15:00
반응형

A. 내부정보 유출방지를 위한 자가수준진단 및 준수사항

1. 정보유출사고 현실

부동의 1위 악성코드 유형은 금융정보 유출

한국인터넷진흥원이 발표한 '월간 악성코드 은닉사이트 탐지 동향 보고서 5월에 따르면' 악성코드 유형으로는 정보유출 (금융정보)이 68%로 가장 높게 나타났다. 악성코드 유포에 악용된 SW 취약점은 Java Applet 취약점이 38%의 비율로 가장 높게 나타났으며, 이외에도 Adobe Flash Player 취약점, MS OLE 취약점 취약점 등의 순으로 나타났다.

 

악성코드 유형별 비율 / 출처 : 한국인터넷진흥원, 월간 악성코드 은닉사이트 탐지 동향 보고서
악성코드 유형별 비율 / 출처 : 한국인터넷진흥원, 월간 악성코드 은닉사이트 탐지 동향 보고서

 

반응형

 

2. 사이버 보안위협의 진화

해커의 능력 과시형을 넘어 금전적 목적의 해킹 그리고 국가 차원의 위협이 되는 해킹으로 변화

 

2-1. 최근 침해사고 특징

지능형 지속공격(APT)으로 기업대상 침해사고 발생

DDoS 공격은 과거부터 지금까지 지속적으로 발생하나 공격목적은 변화됨

인기 키워드, 사회이슈등을 악용해 악성코드 유포증가

공공기관 사칭 피싱사이트 증가

대규모 개인정보 유출사고 지속 발생

 

2-2. 침해사고 경로

스팸메일, 프리서버, SNS, 네트워크, 웹사이트, 업데이트 서버, 피싱, 이동형 저장장치, 불법 프로그램, OS/프로그램 취약점 등등 다양한 경로를 통해 침해사고가 발생할 가능성이 존재

 

3. 정보보호와 개인정보보호

3-1. 각 용어별 의미

  • 침해사고 : 정보통신망이나 관련 정보시스템에 해킹, 서비스거부 등으로 발생한 사태
  • 정보보안 : 침해로부터 자산을 보호하기 위한 일체의 행위
  • 정보보호 : 자산으로서의 정보를 내부&외부 위협으로부터 보호
  • 개인정보보호 : 개인 사생활 및 개인정보 자기 결정권 보장

 

3-2. 개인정보의 개념

사전적 정의로는 "개인을식별할 수 있는 생존하는 자연인에 관한 일체의 정보"

사회적 정보 교육정보
근로정보
자격정보
정신적 정보 기호, 성향
신념, 사상
일반적 정보 이름, 주소
가족관계 등
재산적 정보 개인 금융정보
신용정보
통신&위치정보 문자내역, IP주소
화상정보, GPS 등의 정보
신체적 정보 신체정보
의료&건강정보

 

* 해당 정보만으로 특정 개인 식별이 불가하여도 다른 정보와 결합 시 식별이 가능하면 개인정보로 간주함

 

 

3-3. 개인신용정보

 

개인신용정보란 신용정보법 제2조 제2호에 의거해 법률상으로 "개인의 신용도와 신용거래능력 등을 판단할 대 필요한 정보로서 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보"를 의미한다.

 

신용정보의 예시로는 하기와 같다.

  • 특정 신용정보 주체를 식별할수 있는 정보
  • 신용정보주체의 거래내용을 판단할 수 있는 정보
  • 신용정보주체의 신용도를 판단할 수 있는 정보
  • 신용정보주체의 신용거래 능력을 판단할 수 있는 정보

개인신용정보 보호대책 소홀로 인한 개인신용정보 등의 부당이용, 유출행위에 대한 제재를 받을 수 있어 금융회사 등은 전자금융거래가 안전하게 처리될 수 있도록 전자적 전송이나 처리를 위한 인력, 시설등에 관하여 기준에 준수하는 의무를 부담하여야 한다.

 

3-4. 새로운 개인정보의 등장

 

개인정보의 범위

  • 과거 : 주민등록번호, 운전면허증, 학번, 이름, 연락처 등
  • 현재 : 기본적인 신상정보 외 위치정보, 영상정보, 인터넷 접속기록 등

 

새로운 개인정보 위협

IoT를 통해 사이버 상에서 해킹, 정보유출, 금전피해를 일으키고, 현실에서는 시스템 정지, 생명위협등을 일으킬 수 있다.

 


 

[금융보안] 안전한 소프트웨어를 위한 시큐어코딩의 이해 - 시큐어코딩, SQL인젝션, URL파라미터 조작, 보안취약점, 보안약점, COQ절감, 시큐어소프트웨어

 

[금융보안] 안전한 소프트웨어를 위한 시큐어코딩의 이해 - 시큐어코딩, SQL인젝션, URL파라미터

A. 개요1. 시큐어 코딩이 필요한 이유국내 가상화폐 거래소 C사가 2018년 6월, 해킹을 당했습니다. 해킹으로 유출된 가상화폐는 펀디엑스, 애스톤, 엔퍼 등인데요. C사의 해킹 피해 규모는 보유 코

infoofit.tistory.com

 

[용어/개념] DOI, INDECS - URN 이용한 디지털 위치 추적 기술

 

[용어/개념] DOI, INDECS - URN 이용한 디지털 위치 추적 기술

DOI(Digital Object Identifier)의 정의- 책이나 잡지등에 매겨진 국제표준도서번호(ISBN)와 같이 모든 디지털 콘텐츠에 부여되는 고유 식별번호 INDECS(INteroperability of Data in E-Commerce System)의 정의- 디지

infoofit.tistory.com

 

[용어/개념] 개인정보보호법 개념, 구성도 및 주요 조항

 

[용어/개념] 개인정보보호법 개념, 구성도 및 주요 조항

개 념개인정보의 정의 - 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보 와

infoofit.tistory.com

 

반응형