본문 바로가기

Study11

[가이드라인/CPPG] 개인정보보호 상담/해석 사례집 개인정보관리사(CPPG) 시험을 봤을 때단순히 두음을 암기해서 풀 수 있는 문제는 많지 않았고, 실제 사례 위주의 문제가 꽤 많이 출제됐었다.샘플 문제를 많이 풀었던 것도 도움이 됐지만, 사례집을 자주 읽었던 것이 시험 합격에 큰 도움이 되었다.사례집을 읽을 때 시험을 위해 암기해야 한다고 생각하기보다,‘내가 업무 중에 이런 질문을 받는다면 어떻게 설명할 수 있을까?’라는 시각으로 접근하면 사례들이 훨씬 잘 읽히고, 기억에 잘 남는 것 같다.아래의 내용은 CPPG를 공부하면서 '개인정보보호 상담 사례집(2020.07)'과 '개인정보 보호법 해석 사례집 1.0(2024.06)' 을 읽고 요약 정리했던 내용이다. 목차 1. 개인정보 상담 사례집개인정보보호법은 단순히 법령만 읽어서는 이해하기 어렵다. 실생활에.. 2025. 4. 24.
집에서 쓰는 공유기는 어떻게 인터넷을 나눠주는 걸까? 인터넷을 쓰다 보면 참 신기한 게 많다.특히 집에서 공유기를 통해 여러 기기가 동시에 인터넷에 연결되어도, 외부에선 전부 하나의 IP 주소로 보인다는 점이 그렇다.예를 들어, 노트북, 스마트폰, 태블릿이 동시에 인터넷을 쓰고 있는데도 외부에선 다 "123.45.67.89" 같은 하나의 IP로 접속하는 것처럼 보인다."이 많은 기기들이 어떻게 하나의 IP만 가지고도 잘 돌아갈 수 있는 거지?"이런 의문이 들었다면, 오늘 이야기할 NAT(Network Address Translation)라는 녀석이 중요한 역할을 하고 있다는 걸 알게 될 것이다. NAT를 개념적으로만 이해하고 실제로 어떻게 사용되는지 몰랐다면, 이 글이 도움이 되리라 생각한다.목차NAT는 어떤 기술일까?NAT는 말 그대로 ‘네트워크 주소를 .. 2025. 4. 24.
[인프라] 주요 보안 인프라 장비 운영 목차1. 필수 보안 인프라 장비 운영방화벽(Firewall)외부 네트워크와 내부 네트워크 간의 트래픽을 사전에 정의한 규칙에 따라 허용하거나 차단한다.접근통제, 사용자 인증, 트래픽 로그 기록, 프록시 기능 등을 수행한다.Rule Set은 IP와 Port 기반으로 구성하며, 허용되지 않은 모든 트래픽은 차단하는 것을 원칙으로 한다.통합 위협 관리(UTM)방화벽, 침입탐지, 안티바이러스, 안티스팸, VPN 등 여러 보안 기능을 통합한 장비이다.관리가 간편하며 중소기업이나 간단한 네트워크 환경에 적합하다.침입차단시스템(IPS)침입탐지기능(IDS)과 방화벽 기능을 결합하여 비정상 패킷을 실시간으로 차단한다.시그니처 기반 탐지(Misuse Detection)와 이상 행위 기반 탐지(Anomaly Detectio.. 2025. 4. 21.
[가이드라인][ISMS-P] 2.10.1 보안시스템 운영 목차1. 보안시스템 운영 절차 수립조직에서 운영 중인 보안시스템에 대해 시스템 유형별로 관리자 지정, 정책 업데이트 및 변경, 이벤트 모니터링 등의 절차를 수립하고 이를 실제로 이행해야 한다. 또한 시스템별 정책 적용 현황도 체계적으로 관리해야 한다.보안시스템 운영절차에는 다음 사항이 포함되어야 한다.보안시스템별 책임자 및 관리자 지정정책(룰셋 등) 등록, 변경, 삭제 절차 수립IDS, IPS 등의 경우 새로운 공격기법 탐지를 위한 최신 시그너처 및 엔진 지속적 업데이트정책 위반이나 이상 징후를 탐지하고 확인하는 이벤트 모니터링 절차사용자 인증, 관리자 단말기 IP 또는 MAC 주소 기반의 접근통제 정책보안시스템 운영현황에 대한 주기적 점검보안시스템 자체에 대한 접근통제 방안 마련보안시스템 유형에는 다음.. 2025. 4. 18.
[가이드라인] 2024 클라우드 보안 가이드 (AWS) SK쉴더스에서 발간한 '2024 클라우드 보안 가이드'는 클라우드 서비스 이용 시에 발생할 수 있는 취약점을 분석하여 체크리스트와 대응방안을 제시하고 있다.KISA에서 발간했던 '주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드' 에는 클라우드 보안에 관한 내용이 극히 적고, '클라우드 취약점 점검 가이드' 에는 퍼블릭 클라우드 서비스들에 대한 구체적인 대응 방안이 없었기 때문에 클라우드 환경을 구축한 기업들을 위해 SK쉴더스에서 자체적으로 제작한 가이드이다.이 글은 해당 가이드를 읽고 그 내용을 간단히 정리하기 위해 작성하였다. 목차 클라우드 보안 진단 항목은 총 4가지 영역으로 나뉜다. 각 영역별로 중요도에 따라 관리 항목을 구분하여 체계적으로 관리한다.계정 관리 (사용자 관리, IAM.. 2025. 4. 17.
[CPPG] 개인정보 관리체계 목차1. 정보보안 일반정보보안 요소기밀성오직 인가된 사람만이 알 필요성에 근거하여 시스템에 접근하여야 한다는 특성공격 방법: 스니핑, 도청방어 방법: 암호화, 자산 분류, 방화벽 설정무결성정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 한다는 특성공격 방법: 중간자 공격, 바이러스, 해킹방어 방법: 침입탐지, 백업, 직무 분리 등가용성정보 시스템은 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부하여서는 안 되며, 인가된 자가 접근할 수 있어야 한다는 특성공격 방법: DDoS, 재해/사고방어 방법: 데이터의 백업, 이중화, 물리적 위협으로부터의 보호 등 보안 기술인증임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는 데 사용되는 특성공격 방법: 부정 인.. 2025. 4. 17.
[CPPG] 개인정보 보호 조치 목차1. 안전성 확보조치 기준 및 확대 적용안전성 확보조치 기준개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전 조치에 관한 최소한의 기준이다.개인정보 보호법 **제29조(안전조치의무)**와 영 **제30조(개인정보의 안전성 확보 조치)**에 대한 세부적인 기준이다.이용자의 개인정보를 처리하는 경우 개인정보의 안전성 확보조치 기준을 준수해야 한다.개인정보의 안전성 확보조치 기준을 준수하지 않은 경우 과태료가 부과된다. (과징금 아님)개인정보 안전성 확보조치 기준을 준수하지 않아 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 과태료 외에 과징금이 부과될 수 있다.금융감독원의 검사를 받는 기관이 아.. 2025. 4. 17.
[CPPG] 개인정보 라이프 사이클 관리 목차 1. 개인정보 수집·이용 (동법공계급정안, 목항기거)수집 및 이용 근거 (동법공계급정안)정보주체 동의법률, 법령공공기관 소관업무계약 이행 체결 (제3자 제공 근거에는 해당 안됨)정보주체 또는 제3자의 급박한 이익정당한 이익공공의 안전과 안녕수집 및 이용 업무(법률 규정) 채권 추심, 진료기록 열람, 병역판정검사 등(의무 준수) 본인확인, 청소년 유해매체물 연령 확인 등(공공업무) 주민등록법, 국세기본법, 의료법 등 관련 기관 업무(계약 체결) 보험가입 확인, 신용도 평가 등(계약 이행) 상품 배송, 경품 배송 등(급박 이익) 실종, 화재, 보이스피싱 등 구조 목적(정당한 이익) CCTV 운영, 채권추심, 증거자료 확보 등(친목단체) 자원봉사, 종교, 취미 목적 등동의 시 고지사항 (목항기거)수집·이.. 2025. 4. 14.
[CPPG] 개인정보 보호 제도 목차1. 법제간 충돌개인정보보호법은 일반법으로서 모든 개인정보처리자와 정보주체와의 관계에 적용된다.상위법 > 특별법 > 신법특별법이 적용받는 자라도 특별법에 관련 조항이 없는 경우 일반법을 적용받는다.→ 일반법 적용 면제 아님강화, 완화 여부와 무관하게 법령 조항이 충돌할 시 개별법이 일반법보다 우선 적용된다.법률이 아닌 시행령 및 하위 법령은 충돌 시 우선 적용되지 않는다.일반법은 모든 수범자에게 적용된다.→ 개처자와 정보주체의 관계에만 적용되는 것이 아님2. 개인정보 보호 원칙목적명확화, 최소한의 개인정보 수집충분하지 않은 최소한의 개인정보를 수집하여야 함최소한의 개인정보 수집이라는 입증책임은 정보주체가 아닌 개인정보처리자가 부담한다.선택정보 미동의 시 정보주체에게 본질적인 재화 또는 서비스가 아닌 .. 2025. 4. 8.
[CPPG] 개인정보 보호의 이해 목차1. 개인정보 정의형태제한 없음처리하는 자 입장가명정보 결합살아있는 자연인개인정보인 것유족과의 관계를 알 수 있는 사망자의 정보사물 등의 제조자 또는 소유자 등을 나타내는 정보수기 형태의 개인을 알아볼 수 있는 정보정보주체의 키, 나이, 몸무게에 관한 정보개인에 관한 부정확한 정보공적 생활에서 형성되었거나 이미 공개된 개인정보가명정보SNS의 2인 이상의 단체 사진 정보아동의 심리치료를 위한 진료 기록디지털 형태의 개인을 알아볼 수 있는 정보개인정보가 아닌 것개인사업자의 사업자등록번호, 매출액, 납세액 정보법인 또는 단체의 이름, 소재지 주소, 대표 이메일 주소 또는 전화번호 정보시간이나 비용, 노력이 비합리적으로 과다하게 수반되는 개인정보2. 프라이버시 범주공간 프라이버시한 개인이 다른 개인의 환경에.. 2025. 4. 7.
Linux 개인정보 파일 보호 목차목표개인정보 파일을 안전하게 보호파일 암호화 및 접근 제한접근제어 정책(DAC, MAC) 적용네트워크를 통한 유출 차단패킷 모니터링을 통한 보안 점검PKI를 활용한 안전한 데이터 저장 및 전송실제 운영 가능한 보안 환경 구축방화벽(Netfilter) 설정자동화된 보안 정책 적용 스크립트 작성암호화 및 접근제어 정책을 결합하여 보안 강화진행 과정개인정보 파일 (personal_data.txt)민감한 정보가 포함된 가상의 개인정보 파일을 생성프로젝트 종료 시 안전하게 보호된 상태로 유지되어야 함목표1단계: 파일 및 디렉터리 보안 설정 (DAC)2단계: 파일 암호화 (GPG, LUKS)3단계: 네트워크 접근제어 (방화벽, SSH 보안)4단계: 패킷 모니터링 및 트래픽 분석5단계: PKI를 활용한 데이터 암.. 2025. 3. 4.

티스토리툴바