길드장

1. 인증 개인정보 흐름이 포함되어 있다고 ISMSP를 꼭 취득할 필요는 없다 권고다 7. 손해배상책임 적용대상 매출액이  5천만원이상 3개월간 일일평균 1천명이상 개인정보 업무를 위탁받은 수탁자에 대하여는 고유의 사업을 영위하지 않는 한 대상에 해당하지 않는다 -> 수탁자는 의무대상자로 규정 8. 심사팀장의 역할 보완조치의 이행계획만 존재하는 것은 보완조치로 판단하지 않는다 11. 3.1.5 간접수집 보호조치 출목정인데 정이 없다 가명처리는 사전준비-가명처리-적정성검토-사후관리 14. 3.4.1 개인정보의 파기  개인정보가 포함된 문서가 보존기간이 지났음에도 즉시 파기되지 않고 방치되고 있음 16. 영상정보처리기기 운영관리 거부사유를 10일이내 서면으로 통지 영상정보처리기기의 설치를 AA시스템에 위탁, 운영을 BB시스템 영상정보처리기기 운영 관리 방침에는 BB시스템 누락 17. 결함찾기 수탁자의 보안요구사항 준수여부 확인 -> 2.3.3 외부자 보안 이행 관리 NAC보안정책 적용되어 있지 않음 -> 2.3.3 외부자 보안 이행 관리(수탁사 직원 단말) 19. 결함찾기 SAST(정적분석도구) / DAST(동적분석도구) sast는 소스코드내 발견될 수 있는 취약점 23. 결함찾기 일방향 암호인데 ARIA-256을 적음(대칭키) 24. 결함찾기 공공기간 6만명 개인정보 -> 개인정보 영향평가 의무대상아님 기준  5만명 민감 고유 50만명 연계 100만명 개인정보 영향평가 받은 후 변경시 변경부분만 공공기관 개인정보 파일을 운영하는 경우 관련사항을 등록 개보위 60일이내 등록 25. 결함찾기 차분프라이버시 : 프라이버시를 정량적으로 모델화 하여 프라이버시 보호 정도를 측정할 수 있는 방법론 콜드 월렛 : 오프라인에서도 사용할 수 있는 가상 지갑 보안성이 높고, 거래가 실시간 처리되지 않음, 네트워크와 연결되어 있지 않음 동형암호화 암호화된 상태에서의 연산이 가능한 암호화 방식 원래의 값을 암호화한 상태로 연산 처리 하여 다양한 분석에 이용가능

1. 인증심사 심사팀장은 심사 준비상태 점검을 통해 인증범위의 적정성, 필수 운영현황을 확인하고 심사 진행여부 및 심사 일정을 확정한다 보완조치 요청을 받은 날로부터 40일 공문을 통해 최대 60일간(재조치 기간 포함) 연장할 수 있다 2. 2.1.2 조직의 유지관리  서비스 영역에 따라서 정보보호 관리부서가 분리된 상황 관련 조직 및 구성원 간 상호 의사소통을 할 수 있는 체계, 절차가 이흡한 상태이고 변견된 기준에 대한 업무협의가 이루어지지 않음 그래서 2.1.2 결함 4. 인증범위 정보통신서비스를 모두 포함 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템 포함 해당 서비스와 관련없더라도 그 서비스의 핵심정보자산에 접근 가능하다면 포함 ISMS-P는 서비스를 중심으로 개인정보의 흐름에 따라 개인정보처리와 관련된 모든 정보시스템 및 조직 인력을 포함 5. 2.12.1 재해, 재난 대비 안전조치 재해복구 환경구성 기준 등이 잘 정의 되어 있지만 재해복구 환경이 구성되어 있는 일부 시스템이 재해복구 테스트 대상 및 모의훈련 시나리오에 누락됨 누락된 사항을 모의훈련 후 개선사항에 명시하지도 않음 그래서 2.12.1 결함 9. 결함찾기 비회원이지만 주문을 한 정보는 관리되어야 함으로 자산목록에 포함 개발서버, 형상관리서버 등 외주개발업체에서 사용하고 있지만, 장비를 제공했으므로 관리 주체 역할 및 자산목록에 포함되어야 함 10. 2.5.5 특수 계정 및 권한 관리 / 2.5.2 사용자 식별 2.5.5 -> 특수계정에 대한 공식적인 검토 승인 및 관리절차가 없는 경우 2.5.2 -> 서비스용 계정을 개발자 또는 운영자가 임의로 사용하는 경우 해당 작업을 수행한 사용자 식별 및 작업에 대한 추적관리가 불가능 11. 2.6.7 인터넷 접속 통제 public 클라우드 관리를 위해 인터넷망 내 관리 서버를 설치하여 운영하는 것은 운영상 타당 예외 승인 받았으면 결함은 아님 하지만, 정보보호위원회의 예외 사전승인을 받았는지 여부가 명확하게 확인되지 않음 12

1. 인증 생략 정보보호 및 개인정보보호 관리체계 인증심사 -> 정보보호만 가능 위탁기관이 인증을 받으면 현장심사를 생략할 수 있다. 인증심사 생략범위 2.1 정책, 조직, 자산 관리 2.2 인정 보안 2.3 외부자 보안 2.4 물리 보안  2.12 재해복구 4. 최고책임자의 지정 전년도 말 기준 자산총액이 5천억원 초과한 정보통신서비스 제공자는 CISO가 CIO겸직 못함 CISO 신고는 180일이내 과학기술정보통신부장관에게 제출 중기업이면서 통신판매자는 CISO 신고 의무 대상자 CISO는 전자금융거래법 업무를 겸직할 수 있음 외국의 전문학사학위 취득 5년 경력 6. 1.2.1 정보자산 식별 / 2.8.5 소스 프로그램 관리 응용 프로그램 소스는 정보자산으로 식별되어야 함 형상관리서버에 퇴사자 계정이 남아 있으며, 소스 백업도 안되고 -> 형상관리 접근 및 통제가 미흡 -> 2.8.5 결함 7. 1.4.2 관리체계 점검 / 2.2.4 인식제고 및 교육훈련 / 2.4.2 출입통제 가상자산사업자 정보보안점검의날 지정 -> 점검항목 수립 최고경영자 보고 임직원 교육시간 임원 : 3시간 (CISO 6시간) 일반직원 : 6시간 정보기술 : 9시간 정보보호 : 12시간  출입관리시스템, CCTV 및 출입관리대장, 등에 대하여 매월 관리/검토 -> 책임자 보고  핫월렛 : 콜드월렛 비중 3:7(콜드 7이상) 2:8도 가능함 12. 인증범위 DW, CRM, 빅데이터분석시스템은 인증범위 내 개인정보를 처리하므로 인증범위에 포함 영리를 목적으로 하지 않더라고 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위 클라우드서비스 제공자로부터 계정 및 권한을 할당받아 사용하는 영역은 인증범위 14. 심사원 판단  표준서식이 정의되지 않고 다른 서식을 사용하고, 출입 관리대장은 일시분이 정확하게 표기되어야함 재해복구 시험은 계획과 실제 실시가 되었다는 객관적인 증빙자료가 필요 17. 3.5.2 정보주체 권리보장 / 3.2.2 개

1. 인증제도 인증을 취득한 기관이 홍보할 때는 인증범위와 유효기간 표시가 중요 유효기간이 지난 인증을 홍보하면 안됨 3. 심사단계 수수료를 청구 받은 날부터 인증심사 시작일 이전까지  심사수행기관에 전자계산서를 발급만이 아니라 수수료를 입금하여야 한다 그렇지 않으면 인증심사를 실시하지 아니할 수 있다(인증 고시 제22조) 5. 인증심사 일부 생략 ISO 27001 인증 또는  1.정보보호 조치의 범위가 정보보호 관리체계 인증의 범위와 일치하고,  2. 정보보호 관리체계 인증 신청 및 심사시에 해당 국제표준 정보보호 인증이나 정보보호 조치가 유효하게 유지되는  두가지 조건이 모두 충족되어야 함 9. 지침과 일치여부 확인 서버에 접속한 기록이 3개월 이상 보존 관리 -> 문서상 최소 6개월 이상 접속기록을 보존이라고 명시되어 있음 법규는 반기 1회나  -> 내규상 분기 1회로 하는 것은 바람직함 14. 2.9.5 로그 및 접속기록 점검 업무시간외 접속 이력이 확인되나 검토 겨로가서와 보고서에는 해당 내용이 없음 개인정보를 다운로드하는 경우 사유를 입력받도록 되어 있으나 이벤트 당첨자 조회 메뉴는 아직 미적용 15. 운영현황 파악 잘못된거 찾기 통합로그시스템 설정에 따라 업무시간외 접속하는 경우가 몇 건인지 식별하고 관련 사항을 해당 부서와 교차검토하고 있다 -> 국어 문제고 내용을 지문과 빠르게 비교하여 찾아야 함 16. 3.5.1 개인정보처리방침 공개 개보법은 사업자 등 개인정보처리자로 하여금 개인정보처리방침을 수립 공개하도록 의무화함 인터뷰상 개인정보 제3자 제공내역이 변경이 발생하였지만, 개인정보처리방침에 반영이 되지 않음 20. tcp wrapper hosts.deny규치과 hosts.allow규칙이 동일할 경우 hosts.deny규익이 무시되어 클라이언트는 모든 서비스가 이용가능 10.0.0으로 시작하는 ip주소를 갖는 모든 호스트에 대해 모든 서비스가 이용가능 10.0.10.30은 ftp서비스 이용할 수 없음 22. 3.5.3 정보주체

1. 개인정보보호위원회 보호위원회는 삼임위원 2명(위원장 1명, 부위원장 1명)을 포함한 9명의 위원 판사 검사 변호사의 직에 10년 이상 있거나 있어썯ㄴ 사람은 보호위원회 위원으로 임명 위촉 가능 고등교육법 제2조제1호에 따른 부교수 이상 5년 이상재직 위원장과 부위원장은 국무총리의 제청 2. 손해배상책임 전년도 매출액이 5천만원, 이용자수가 일평균 1천명이상인 병원  -> 학교 병원 등 공공의 목적으로 설립된 비영리기관 단체는 정보통신서비스 제공자에 해당하지 않아 적용대상 아님 이용자의 개인정보를 수집한 경로가 온/오프라인 여부와는 상관없이 이용자수 전부가 포함됨 3. 2.6.5 무선 네트워크 접근 보안지침상 SSID가 드러나지 않도록 브로드캐스팅 중지하고 복잡한 SSID사용하도록 되어 있으나 추측이 가능한 SSID를 사용하고 권한이 없는 사람도 SSID를 볼 수 있음 6. 1.2.4 보호대책 선정 위험수용 -> EOS대한 패치 이슈가 있지만 안전하게 관리되고 있다고 판단 교체 없이 사용하기로 결정 위험회피 -> 30여대의 AP를 리스크 차단을 위해 AP 사용 중지 7. 2.4.5 보호구역 내 작업 인터뷰와 증거자료로 결함을 판단할 수 없음 작업 절차를 수립 이행하고, 작업 기록을 주기적으로 검토 11. 2.2.1 주요 직무자 지정 및 관리 보안팀 승인 및 보안서약서 작성 없이 등록된 인원이 다수 있다 결함 사례 13. 해킹 대응 방법 XSS -> 입력값 필터링 버퍼오버플로 -> canary word 14. Tiny Fragment 첫번째 fragment 사이즈는 16바이트  두번째는 4바이트 15. crontab 0 6 1 */4 * /batch.sh 분 시 일 월 요일 */4가 매분기가 아니고 4월 8월 12월임 17. 신용정보법 신용정보법내 신용정보활용체제 공시와 개보법상 개인정보처리방침과는 적용대상 및 기재항목이 상이함 -> 개인정보처리방침과 별도로 수립 공개해야함 통지사항은 개보법상 통지사항이 준용, 1만건 이상일

1. 인증 제도 수탁사가 ismsp인증 취득의 경우,  위탁사에서 ismsp 인증심사에 부수되느 ㄴ수탁사의 현장점검을 면제 받을 수 있다 의무대상자 중 집적정보통신시설 사업자, 정보통신망서비스제공자는 매출액 및 이용자 수와 상관없이 의무대상자임 3. isms 인증범위 금융분야는 isms의무대상에서 제외라 자율적으로 인증범위 선택 가능 4. 3.1.2 개인정보 수집 동의 / 3.5.1 개인정보처리방침 공개 3.1.2 -> 개인정보처리방침에는 선택항목에 전화번호가 누락, 고지없이 개인정보를 수집 3.5.1 -> 시행중인 안전성 확보조치에 관한 사항을 개인정보처리 방침에 누락 개인정보처리방침 -> 목기3위권책자안항파변 5. 3.1.5 간접수집 보호조치 5만명 이상 정보주체에 관한 민감정보의 경우 통지 의무 발생  (보기는 4만명) 통지 의무 -> 제공받는 날로부터 3개월 6. 1.3.1 보호대책 구현 1.3.1 -> 1.2.4 보호대책 선정이 끝난 상태에서 보호대책 이행 계획의 실시 결과를 보니 일부 이행이 미이행 또는 미흡하게 이행하면 해당 결함 1.2.4 -> 위험평가 결과 보호대책을 선정하는데 있어 위험에 대한 보호대책 누락, 이행 계획이 미흡할 경우 해당 결함 7. 1.4.2 관리체계 점검 / 1.4.3 관리체계 개선 1.4.2 -> 내부 감사에서 나왔던 문제를 이행조치하는거 1.4.3 -> 1.4.2가 반복적으로 문제가 나오거나 근본적인 문제가 해결되지 않음. 즉 재개선할 수 있는 목표수립에 주안점을 둠 8. ciso 지정 ciso 지정 신고 의무 위반은 망법 시행령 1회 750만, 2회 1500만, 3회 3000만원임 상법상 이사 자격 필요하므로, 이사 자격을 위한 승진이 필요함 9. 가명정보처리 개인정보처리자는 가명정보 및 추가정보를 안전하게 관리하기 위한 내부 관리계획을 수립 시행하여야 함 가명정보기록작성 보관 및 공개 추가정보는 분리 보관 접근권한의 분리(기록을 최소 3년 보관) 수탁자 관리 감독의 의무 1

2. 인증 시정명령은 받은 날로부터 2개월 이내 인증을 신청 시정명령으 ㄹ받은 날부터 8개월 이내 인증을 받아야 함 의료법 상급종합병원 고등교육법 재학생수가 1만명이상 단, 연간 매출액 또는 세입이 1500억원이상 3. 인증 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다 4. 망분리 개인정보처리자 -> 정보통신서비스제공자가 대상 ipconfig /displaydns명령을 통해 최근 dns 확인 다파접에 해당 다파접이 아닌 개인정보를 단순 조회하는 경우 망분리를 하지 않을 수 있음 9. 1.3.1 보호대책 구현 정보보호 대책에 대한 이행계획을 수립하고 ciso, cpo 승인 -> 보호대책 선정 완료 그러나 조치완료로 명시되었으나 여전히 위험이 존재하면 보호대책 구현 결함 10. 위험평가 멀티밴더 -> 위험전가 유무선 네트워크 장비를 위탁 -> 위험전가 일관성 있게 적용 -> 위험감소 보안시스템의 부하는 위험이며 관문 네트워크 통합 -> 위험감소 11. 2.2.3 보안서약 보안지침상 보안서약서를 매년 1회 징구 특정인이 19년 이후 징구하지 않은 것으로 파악 13. 2.9.1 변경관리 / 2.101 보안시스템 운영 2.9.1 -> 협력사 직원이 철수시 방화벽의 변경 절차가 이행되지 않아 불필요한 룰이 남음 2.10.1 -> 방화벽 룰이 정보시스템의 접근통제가 최소회되지 않음 14. 방화벽 룰 22, 80, 443포트를 사용한 점 dev pc에 접근하는 규칙이 남아 있는 것으로 볼때 협력사 개발팀 흔적임 19. vsftp설정 userlist_enable=YES는 user_list파일에 있는 사용자는 접근 제한 20. 암호화 현황 쇼핑몰의 트래픽 암호화 방식에 따라 암호화는 수행하는 구간이 다를 수 있음 정확한 확인은 트래픽 캡쳐 sw를 사용 21. 클라우드 CASB -> 사용자와 공급자 중간에 구성 중개자 기능 CSPM -> 클라우드 위험을 지속적으로 관리  CWPP -> 워크

2. 정보보호 관리체계 인증 isms인증만 받고자 하는 경우 개인정보를 포함하고 있으면 isms 인증을 받을 수 있다 같은 관리체계 내에서 일부 서비스만 개인정보흐름을 포함하여 인증을 받고자 하는 심사의 경우 수수료 및 심사과정을 통합하였으며 유효기간 및 심사주기가 동일하고 범위만 다른 2장의 인증서 발급이 가능하다 5. 정보보호 및 개인정보보호 관리체계 인증 정보보호 산업의 진흥에 관한 법류에 따른 isms-p인증 수수료 할인 -> 30% 재난재해 상황발생시 예외 조항 신설 유사시 비대면 원격 심사 병행  9. 위치정보 관련 위치정보 취급대장은 위치정보를 포함하여서는 안된다. 위치정보처리시스템에 접속한 기록을 분기별 1회이상 정기적 확인 감독 시스템 이상 유무의 확인 등을 위해 최소 2년 이상 접속기록을 보관 관리 11. 1.1.1 경영진의 참여 서면보고 형태로 진행하였으나, ceo, ciso, cpo의 피드백이 없었고 보고 여부가 확인 안됨 12. CISO 정보보호 최고책임자는 개인정보보호위원회 위원장이 아닌 과학기술정보통신부 장관(중앙전파관리소장 위임)에게 신고 직전 사업연도 말 기준 자산총액이 5조원이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억원 이상인 정보통신서비스 제공자가 해당 13. 2.2.3 보안 서약 개인정보취급자에 대한 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우 14. 기술적 관리적 보호조치 개인정보처리시스템 상에서 개인정보를 파기하거나 다운로드하거나 접근권한을 설정하는 망분리 대상자에 대해 외부 인터넷망을 차단하여야 한다(다파접) 그렇지 않은 경우 망분리 의무대상자가 아님 정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보보호책임자 또는 개인정보취급자에게만 부여한다(보기는 정보보호책임자 라고 되어 있음) 17. 포트 문제 ftp 20번 데이터, 21번 제어 및 인증 53번 udp,

1. CISO자격 비상근은 안됨 자산총액 5000억 CISO CPO 겸직 금지 특별자격요건(정보보호 4년이상 또는 정보기술+정보보호 5년이상(2년 정보보호 필수) 상근자 ​ 4. 3.5.1 개인저보처리방침 홈페이지 회원가입은 이메일과 휴대폰 수집 개인정보처리방침에는 누락됨 ​ 그외 보기는 현재 자료로 단정할 수 없음 ​ 5. 취약점 xss -> 외부입력값을 처리과정 없이 결과 페이지 생성에 사용 ​ 16. 포트문제 23번 telnet 순간 착각을 함 거져주는 문제인데 아쉽다 ​ 17. 3.4.3 휴면 이용자 관리 DM메일을 수신하여 열어본 경우는 서비스 이용 조건에 해당하지 않음 ​ 22. 2020.8.5 시행됨 정보통신서비스 제공자 등에게 개인정보 처리방침 부분은 개보법 적용 기술적 관리적 보호조치가 아닌 안전성 확보조치를 적용 ​ 23. 유출 통지 신고 문제를 잘못봄 정당한 사유가 있는 경우 24시간 경과하여 통지 및 신고 가능 한국인터넷진흥원과 개인정보보호위원회에 신고 ​ 28. 2.6.6 원격 접근/2.8.2 보안 요구사항 검토 및 시험/2.8.3 시험과 운영환경 분리 2.6.6 -> 베스천호스트는 누구나 접근가능 2.8.2 -> 보안팀에서 클라우드 환경에 대한 점검 리스트가 없다는 이유로 취약점 점검을 하지 않음 2.8.3 -> 개발계와 이관곅가 동일한 공간에 위치, 다른팀에서 애플리케이션에 접근 가능 ​ 29. 2.10.8 패치관리/2.4.4 보호설비 운영 IaaS형태는 서버 패치는 고객 인증심사시 물리보안 영역은 N/A가 아닌 클라우드서비스 제공자로 부터 안전하다는 증거자료를 확보해야함 ​ 32. 2.1.2 조직의 유지관리 직무분리는 상급자 보고와 인력충원 계획으로 보완됨 보안팀의 역할 변경과 환경변화가 있었으나 역할 분담이 명확하지 않고 업무 성과의 기준이 객관적인 평가를 할 수 없는 지표로 선정되어 2.1.2 결함 ​ 34. 1.2.3 위험평가/1.2.4 보호대책 선정/1.4.2 관리체계 점검 1.2.3 -> 위험평가