최근 한국원자력연구원, 한국항공우주산업에서 발생한 vpn취약점을 이용한 해킹 사례 발생
국정원 IT보안제품 취약점을 악용한 해킹에 대응 목적으로 취약점 위험 수준 구분 기준과 단계별 세부조치 절차를 4단계로 구분함
1단계(지속 관심) : 발견된 취약점이 제품 운용에 별다른 영향을 미치지 않는 경우
2단계(보안 권고) : 기관 내부시스템 보안 기능에 일부 영향을 미칠 수 있는 사례
-> 운영 기관이 자율적으로 취약점 보완 조치
3단계(즉시 보완) : 소스코드 유출을 비롯해 제품 내부에 백도어 설치되거나 취약점 공격에 악용된 경우
-> 제품 사용 기관이 개발업체와 협조해 취약점이 보완ㄷ왼 패치 버전 신속 설치
4단계(연동 배제) : 해킹 조직이 제품 개발,배포 과정에 연계되는 등 신뢰성이 결여된 경우 > 제품 사용 중지 및 전산망 연동 배제가 요구되는 긴급한 상황
-> 전산망 즉시 분리 후 대체 제품 사용
지난 주 발견된 더티파이프 취약점, 큐냅 NAS 장비들에서도 추가로 발견돼
리눅스 커널에 존재하는 권한 상승 취약점 ‘더티파이브’가 큐냅사의 일부 NAS장비들에도 존재하는 것이 발견됨
단 이 취약점을 익스플로잇 하기 위해서는 물리적으로 장비에 접근할 수 있어야 하므로
물리적 접근 제한과 망분리를 통해 피해를 최소화 할 수 있음
(패치가 가장쉽고 효과적인 방어법)아일랜드 데이터보호위원회(DPC)가 메타에 과징금 부과
2018년 하반기에 발생한 12건의 데이터 유출 및 침해와 관련해 GDPR조항 여러개를 위반한 혐의
특히, 5조(2)와 24조(1)에서 규정한 GDPR 준수 입증 조치를 취하지 않음
DPC : “메타 플랫폼이 12가지 개인 데이터 침해 사례에서 EU사용자 데이터 보호를 위해 보안 조치를 실제로 구현했음을 입증하는 적절한 기술 및 조직적 조치를 취하지 못했다”
[5조(2)]
: 제5조 개인정보 처리 원칙
1. 개인정보는:
(a) 개인정보주체에 대해 적법하고, 공정하며, 투명하게 처리되어야 한다(‘적법성, 공정성, 투명성’).
(b) 구체적이고 명시적이며 적법한 목적을 위해 수집되어야 하고, 해당 목적과 양립되지 않는 방식으로 추가 처리되어서는 안 된다. 공익적 기록보존의 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 추가 처리는 제89조(1)에 따라 본래의 목적과 양립되지 않는 것으로 보지 않는다(‘목적 제한’).
(c) 처리되는 목적과 관련하여 적절하고, 타당하며, 필요한 정도로만 제한되어야 한다(‘데이터 최소화’).
(d) 정확해야 하고, 필요한 경우 최신의 것이어야 한다. 처리 목적과 관련하여 부정확한 개인정보는 지체 없이 삭제 또는 정정되도록 모든 적절한 조치가 시행되어야 한다(‘정확성‘).
(e) 처리목적 달성에 필요한 기간 동안만 개인정보주체를 식별할 수 있는 형태로 보관되어야 한다. 개인정보는 제89조(1)에 따라 개인정보주체의 권리 및 자유를 보호하기 위해 본 규정이 요구하는 적절한 기술 및 관리적 조치를 시행하여 공익적 기록 보존 목적, 과학적또는역사적연구목적,통계적목적을위해처리되는경우더 오랜기간동안 보관될 수 있다.
(f) 개인정보의 적절한 보안을 보장하는 방식으로 처리해야 한다. 보장 방식은, 적절한 기술 및 관리적 조치를 사용하여, 개인정보가 무단으로 또는 불법적으로 처리된다거나 우발적으로 소실, 파기, 손상되었을 경우의 보호조치 등을 포함한다(‘무결성과 기밀성’).
2. 컨트롤러는 제1항이 준수되도록 할 책임이 있으며, 이를 입증할 수도 있어야 한다(‘책임성’).
[24조(1)]
: 제24조 컨트롤러의 책임
1. 컨트롤러는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신 기술, 실행 비용, 그리고 처리의 성격, 범위, 상황 및 목적을 고려하여, 그 처리가 본 규정에 따라 이루어졌음을 보장하고 입증할 수 있도록 적절한 기술 및 관리적 조치를 취해야 한다.
(생략)