정보보안법규 4

정보통신 이용촉진 및 정보보호 등에 관한 법률
약칭 : 정보통신망법

용어정리
1) 정보통신망 : 정보를 수집, 가공, 송수신 등을 하는 정보통신체계
2) 정보통신 서비스 : 정보통신역무와 이를 이용해 정보를 제공하거나 정보의 제공을 매개함
3) 정보통신서비스 제공자 : 전기통신사업자와 영리를 목적으로 정보를 제공하거나 정보외 제공을 매개하는 자
4) 이용자 : 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는자
5) 전자문서 : 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식이 자료로 표준화된 것
6) 침해사고 : 정보통신망 또는 정보시스템을 공격하는 행위로 인해 발생한 사태
- 1. 해킹, 바이러스, 논리폭탄, 서비스 거부 등의 방법
- 2. 정상적인 보호, 인증 절차를 우회하여 접근할 수 있는 프로그램이나 기술적 장치등을 설치하는 방법
7) 게시판 : 일반에게 공개할 목적으로 정보를 이용자가 게재할 수 있는 프로그램이나 장치
8) 전자적 전송매체 : 정보통신망을 통해 수신자에게 전자문서 등의 전자적 형태로 전송하는 매체

 

 

(제 4장) 정보통신서비스의 안전한 이용환경 조성

가. (제 22조의 2) 접근권한에 대한 동의
1) 이용자의 이동통신단말장치 내 저장된 정보 및 기능에 대해 접근할 수 있는 권한이 필요한 경우, 이용자가 명확하게 인식할 수 있도록 알리고 동의를 받아야 한다.
가) 필수적 접근권한
- 필요한 정보 및 기능 항목, 이유
나) 선택적 접근권한
- 필요한 정보 및 기능 항목, 이유
- 허용에 대해 동의하지 않을 수 있다는 사실

2) 제공자는 선택적 접근권한을 이용자가 동의하지 않는다는 이유로 서비스 제공을 거부해서는 안 된다.

 

 

위반사례

- 운영체제별로 기본설정값으로 제공되는 권한정보의 접근권한에 대한 간단한 설명은 고지 내용으로 볼 수 없다

 

 

(제23조의 2) 주민등록번호의 사용 제한
1) 주민등록번호를 수집, 이용할 수 있는 경우
 가) 방송통신위원회의 심사에 따라 본인확인기관 (ex 이동통신사업자) 등으로 지정된 경우
 나) 기간통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 수집, 이용할 경우

2) 주민등록번호를 사용하지 않고 본인을 확인할 수 있는 대체수단을 제공해야 한다.
(아이핀, 인증서, 휴대본 인증 등)

 

 

(제 6장) 정보통신망의 안정성 확보 등
가. (제 45조) 정보통신망의 안정성 확보
1) 보호조치를 해야 한다.
2) 과학지술정보통신부장관은 정보보호조치에 관한 지침 (= 정보보호지침) 을 정하여 고시하고 지키도록 권고할 수 있다.

 

나. (제 45조 2) 정보보호 사전점검
- 정보통신 서비스 제공자는 새로이 정보통신망을 구축하거나, 정보통신서비스를 제공하고자 할 때, 그 계획 또는 설계에 정보보호에 관한 사항을 고려해야 한다.

 

다. (제 45조 3) 정보보호 최고책임자CISO의 지정

1) 정보통신서비스 제공자는 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고해야 한다.

2) 정보보호 최고책임자의 업무
가) 정보보호 계획의 수립, 시행 및 개선
나) 정보보호 실태와 관행의 정기적인 감사 및 개선
다) 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라) 정보보호 교육과 모의 훈련 계획의 수립 및 시행

3) 정보보호 최고책임자는 다음 업무를 겸할 수 있다.
가) 정보보호 공시 업무
나) 정보보호 책임자 업무
다) 정보보호 최고책임자 업무
라) 개인정보 보호책임자 업무

 

 

정보통신서비스 제공자등을 위한 망분리
1. 개요
가. 업무용 컴퓨터등에 대한 불법적 접근을 차단하고 침해사고를 방지하기 위해 망분리 제도 시행
나. 망분리 : 업무망과 외부 인터넷망을 분리하는 망차단 조치

2. 법적 근거
가. 개인정보보호법 시행령
나. 개인정보의 안전성 확보조치 기준

3. 망분리 적용 대상 및 범위
가. 적용 대상
1) 전년도 말 기준 직전 3개월간, 그 개인정보가 저장, 관리되고 있는 이용자수가 일평균 100만명 이상인 개인정보처리자

나. 적용 범위
1) 시스템의 개인정보를 다운로드/파기할 수 있는 개인정보취급자의 컴퓨터
2) 시스템의 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터

다. 예외 사항
- 클라우드 컴퓨팅 서비스를 이용해 시스템을 구축, 운영하는 경우 해당 서비스에 대한 접속 외 인터넷을 차단하는 조치 허용

 

 

4. 주요 망분리 방식

가. 물리적 망분리
1)  업무망과 인터넷망을 물리적으로 분리하고, 각 망에 분리하는 컴퓨터도 물리적으로 분리하여 망간 접근경로를 차단하는 방식
2) 2 PC를 이용한 물리적 망분리 : 인터넷용 컴퓨터와 업무용 컴퓨터를 분리해 사용하는 방식.
- 장점 : 보안성이 높다
- 단점 : 별도 네트워크 구축, 컴퓨터 추가 구매에 따른 비용 증가, 관리의 어려움

3) 1 PC를 이용한 물리적 망분리 : 망 전환 장치를 사용해 인터넷망과 업무망에 선택적으로 접속하는 방식
- 장점 : 협소한 사무공간에 적합
- 단점 : 망 전환시 재부팅 등이 필요할 수 있어 이용자 불편 및 업무 지연이 초래될 수 있음

 

나. 논리적 망분리
1) 가상화 등의 기술을 이용하여 서버 또는 컴퓨터를 가상화함으로써 업무망과 인터넷망을 분리하는 방식.
2) 일반적으로 1대의 컴퓨터에서 일반 영역과 가상 영역에 접속해 업무를 수행하며 전용장치/프로그램을 가진다.
3) 방식
가) 서버기반 논리적 망분리SBC : 인터넷 접속 등 기존 수행 작업을 가상화 서버(ex VDI)에 접속하여 수행함으로써 논리적으로 망을 분리한다.
 - 운영체제 수준에서 가상환경을 제공하는 데스크탑 가상화, 특정 어플리케이션에서 가상환경을 제공하는 애플리케이션 가상화가 있음
 - 인터넷망 가상화 : 업무는 컴퓨터에서 직접 수행하고, 인터넷은 인터넷망 가상화 서버에 접속하여 사용하는 방식
 - 업무망 가상화 : 인터넷은 컴퓨터에서 직접 수행하고, 업무는 업무망 가상화 서버에 접속해 사용하는 방식

	인터넷망 가상화	업무망 가상화
장점	가상화 서버 환경에서 사용자 통제 및 관리정책 일괄 적용 가능 가상화된 인터넷 환경 제공으로 악성코드 감염 최소화 악성코드 감염 또는 해킹을 당해도 업무환경은 안전하게 유지	가상화 서버 환경에서 사용자 통제 및 관리정책 일괄 적용 가능 가상화 서버 환경에 업무정보가 저장되어 업무 데이터 중앙관리 및 백업 용이 내부정보 유출 방지 효과 증대
단점	가상화 서버를 위한 구축 비용 발생 다수의 사용자가 동시에 사용하면 네트워크 트래픽 증가로 속도 저하 발생 가상화 서버 보안 프로그램 호환성 검토 필요	가상화 서버를 위한 구축 비용 발생 가상화 서버 환경에서 업무, 보안 프로그램 호환성 검토 필요 가상화 서버 장애 발생시 업무중단

 

나) 클라이언트 기반 논리적 망분리CBC : 클라이언트 기반 가상화 기술이 적용된 영역에서 인터넷 접속을 수행하여 망을 분리한다. (= 개별 PC마다 가상화 프로그램이 설치된다)
- 운영체제 수준에서 가상환경을 제공하는 OS 커널 가상화, 특정 애플리케이션에서 가상환경을 제공하는 애플리케이션 가상화 방식
- 장점 : 별도의 가상화 서버 구축이 불필요해 상대적으로 구축 비용이 저렴하다
- 단점 : 운영체제, 응용 프로그램과의 호환성 등에 대한 검토와 운영체제나 프로그램 패치 등 변경사항 발생시 영향도에 따른 지속적인 관리, 지원이 필요

 

 

 

 

 

---

 

 

Q. 방송통신위원회의 심사에 따라 < > 으로 지정된 경우 주민등록번호를 수집, 이용할 수 있다.

 A. 본인확인기관

 Q. 정보통신서비스 제공자는 주민등록번호를 사용하지 않고 본인을 확인할 수 있는 < > 을 제공해야 한다.

 A.대체수단

 

Q. 정보통신서비스 제공자는 대통령령으로 해당하는 기준에 따른 <>을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고해야 한다.

A. 임직원

 

Q. 정보통신 서비스 제공자는 새로이 정보통신망을 구축하거나, 정보통신서비스를 제공하고자 할 때, 그 계획 또는 설꼐에 정보보호에 관한 사항을 고려해야 한다. 이는 무엇에 대한 설명인가?
A. 정보보호 사전점검

 

Q. 정보보호 최고책임자CISO의 역할과 책임 4가지를 서술하시오.

A. 1) 정보보호 계획의 수립, 시행 및 개선
     2) 정보보호 실태와 관행의 정기적인 감사 및 개선
     3) 정보보호 위험의 식별 평가 및 정보보호 대책 마련
     4) 정보보호 교육과 모의 훈련 계획의 수립 및 시행

 

Q. 서버기반 논리적 망분리에서 적용할 수 있는 인터넷망 가상화 방식과 업무망 가상화 방식의 장점을 각각 두 가지씩 서술하시오.

- 인터넷망 가상화 방식은 가상화 서버 환경에서 사용자 통제 및 관리시 정책을 일괄 적용할 수 있고, 악성코드에 감염되더라도 업무환경은 안전하게 유지할 수 있다. 또 악성코드 감염이 최소화된다.

업무망 가상화 방식은 가상화 서버 환경에서 사용자 통제 및 관리시 정책을 일괄 적용할 수 있고, 내부정보 유출 방지 효과가 증대된다. 가상화 환경이므로 업무 데이터의 중앙관리와 백업이 용이하다.

 

 

 

 

 

 

 

이로써 실기강의가 끝났으나 ....

2023년 버전 실기강의를 듣는 동안 2024년 강의가 새로 올라왔고, 그 중 신규 강의가 있어 신규 강의는 다시 듣기로 한다.
생각보다 꽤 있었다.

 

2024 신규강의
3강 002.UNIX/Linux기본학습_01(신규)/(1권)p9~10              부터
12강 011.UNIX/Linux기본학습_10(신규)/(1권)p56~60          까지. 
30강 029.UNIX/Linux서버취약점_01 (신규)/(1권)p124~131 부터
33강 032.윈도우서버취약점_02 (신규)/(1권)p152~164         까지.

총 14개의 강의는 6월 필기 시험에 붙고 난 뒤에 다시 보거나, 필기강의 완강후에 다시 볼까...
조금 쉬고 내일부터는 필기 강의를 들어야 겠다