[CISSP] 컴퓨터 범죄, 개인 식별 정보 보호, OECD프라이버시, GDPR

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함

Domain1 Security & Risk Management 1-2

 

IV. 글로벌 법과 규제 이슈, 전문가 윤리

 

 [컴퓨터 범죄]

 

1. 컴퓨터와 연관된 범죄[미연방법]

 1.1 Data Diddling(Input tampering): 대응책 출제 빈도 높음

고의적으로 데이터를 변경/위조 할 목적으로 잘못된 데이터 값을 입력하는 것(내부자 소행 가능성이 높음)

-대응책: 직무분리와 최소권한의 원칙

    Hash Total(무가치한 숫자(사번, 군번 등)의 합으로 탐지하는 방법)

      <-> Financial Total(금전적 합으로는 에러나 오류를 잡아낼 수 없음) ex. 100만원 PC 100대를 1억에 주문 -> 출고사 ERP 상에 80만원 PC 125대 출고로 입력(=Input Tampering)

->주문가격 총 1억으로 동일, 추가분 25대 발생(출고사 직원의 별도 수익의 목적) 

즉, 금전적 합으로는 에러를 잡을 수 없음

**Data Diddling의 키워드

  문제에 input이 등장했을 경우, 대부분은 ‘잘못 입력’했다는 가능성이 높음: 무결성이 훼손됨=tamper

  즉, Data Diddling = Input tampering = Anti Integrity

  이에 대한 대응책은 직무분리와 최소권한이 답

 

 1.2 Emanation Eaversdropping(전자파 방사 신호 도청): 반드시 출제*

전자기파를 흡수하여 화면으로 재현하는 방사 신호 도청 기법

Side Channel Attack(번역 시 부채널 공격기법): 시험 출제 유형 3가지(추후 설명)

 

 1.3 Salami

회계부정기법으로, 관심밖의 아주 작은 이익(=Small amounts)을 긁어모으는 수법으로 일반적으로 회계부서에서 일어남

ex. 이자계산 프로그램, 급여 계산 프로그램 -> 사전 예방이 어려워 대응책을 물어보지 않고, 사례를 제시 후 무슨 공격인지 물어봄

**keyword: small amounts

 

 1.4 Phising

Email spoofing, 위조된 웹사이트로의 링크 및 개인 정보 유출 등이 수반됨.

-대응책:

 

 1.5 논리폭탄

불만이 많은 내부자 소행으로, 정상적인 코드로 보여 탐지가 어려움.

-대응책: 소스코드 리뷰

 

 1.6 Ransomeware

컴퓨터 등 저장된 파일을 암호화 한 후, 복호화 키를 주는 대가로 돈을 요구하는 것

-대응책: 스팸성 이메일 실행 자제 및 중요 파일의 별도 백업 및 읽기 전용 설정

 

 

2. 컴퓨터 범죄 보안 사고 처리에 대한 대응 방안(어렵게 출제*)

 보안사고가 발생 했을 때 어떻게 처리 할 지 선택.

 2.1 Protect and Proceed(보호/속행)

서비스의 지속이(=속행) 우선되는 것으로, 리부팅하여 서비스 지속성을 확보하는 것이 우선.(로그가 중요한 것이 아님)

-리셋하기 때문에 로그가 남지 않음.

**keyword: continued penetration 지속적인 침투로 인한 사업상 손해가 클 때, 상황판단, 실행 

  If users are unsophisticated(=번역:단순하다, 즉 껐다 켜도 고객이 모를 때/직원이 멍청해서)

  vulnerable to lawsuits(법적 소송에 취약할 때)

 

 2.2 Pursue and Prosecute(추적/기소)

지속적으로 집중 공격의 대상이 되어 손해가 클 때, 법 집행기관에 의해 추천되는 방법

-반드시 로그가 필요하며, 좋은 대체 수단이(=백업 시스템) 존재하여 서비스를 연속하면서 공격로그를 확보 할 수 있을 때

**keyword: good backups are available, concentrated attack occurring with greate frequency and intensity(매번 reboot할 수 없으니)

  Site(=회사) has a natural attraction(-해커의 공격이 많이 일어남)

 

 

 [지적 재산권법]

 

1. 지적 재산권법(Intellectual Property Law)의 종류(출제*)

   창조성, 혁신과 같은 아이디어를 하나의 자산으로 인정하여 소유(own)할 수 있도록 함으로 재정적 이득(financial gain)을 얻을 수 있게 하는 것.

   **keyword: 영유(enjoy)가 아니라 소유(own)하는 것. 경제 성장/이득을 위한 목적

 

 1.1 Copyright

문학, 음악, 드라마, 예술, 건축 등 시청각 작품에 대한 저작권자의 허락 없는 무단 복제를 금지하며 지적 재산권을 보호하는 형태로

저자에게 표현의 복사본을 만들고 공공에 판매할 수 있는 배타적인 권리를 부여한다(상업적 임대 혹은 대여: 정답 키워드)

-보호대상: 아이디어를 보호하는 것이 아닌, 아이디어가 표현된 산출물을 보호하는 것(expression particular)

     Q) literary는 어떤 법의 보호를 받는가? a.저작권법

     Q) 저작권법의 보호 대상은 무엇인가? a.literary(주의) b.particular idea expression

-저작권법에 의해 보호를 받으나, 보호대상은 아님*(말장난 주의)

 

 1.2 Trademark(출제 가능성 낮음)

타사와 구별되기 위한 로고나 심벌, 그림을 나타내며 합의된 상표 등록 과정상의 절차적인 측면에 대한 통일화된(표준화된) 법적 체계 수립

     Q) 상표법 조약의 목적은? a.Simplify(간소화): 상표등록 절차의 간소화가 답

 

 1.3 Patent

발명은 자연법칙을 이용한 고도의 독창적인 기술적 사상의 창작이어야 함

즉, 새롭고(Novel) 유용한(Useful) 과정이어야 한다: Non-obvious하고 novel한 invention

**표시된 keyword 중요

     Q) 특허의 보호 대상, 요구조건, 기준은? a.Non-obvious(애매모호한) b.novel(새로운) c.useful(유용한)

  명확하지 않고(일반인이 쉽게 생각할 수 없는 독창적인=애매모호한으로 표현됨), 새롭고 유용한 

 

 1.4 Trade Secret(=번역 시 영업비밀)

아이디어 자체(idea itself) 즉 기술이나 사업관련 정보 자체를 의미하며 비공개 상태일 때 법적 보호를 받음

-영업 비밀 보호의 요소: 비밀성, 가치(가치가 비밀인 것에서 나와야 함)

     Q) 직원이 정보(sample, 기업정보) 누출을 하지 않을 것을 서약하기 위해 서명하는 것은? a.NDA

     Q) 영업 비밀 보호가 사라지게 하는 방법? a.우연한 발견, 역공학(reverse enginerring)

 

 

 

 [컴플라이언스] - PCI

 

1. HIPAA(Health Insurance Portability and Accountability Act)

   보건 보험 편의 및 책임법: 개인 의료 정보 보호를 의무화하고 의료기관에 개인 의료 정보 보호 정책을 작성, 시행할 것을 요구함(HCISSP)

 

2. PCI(지불 카드 사업)

  신용카드 사용자의 정보 보호

  목적: 카드 소지자의 데이터 보안을 향상시키고, 일괄적인 데이터 보안 조치들을 전 세계적으로 채택할 수 있게 하기 위해 개발 됨

 

 

 [프라이버시] - 출제*-클라우드 관련 출제 

 

1. 개인 식별 정보 보호(보호법 4가지 다른 도메인에서 더 다룸)

  Children Information: 아이들의 가치관 형성이 되어있지 않았으므로, 보호 대상으로 보호해야한다는 것

 

2. Safe Harbor의 원칙(번역: 안전한 피난항)

  “EU 국민들의 개인정보를 유통시킴에 있어 EU 지침에서 규정하고 있는 바의 적절한 정도로 보호조치를 강구하지 않은 제 3국으로의 개인정보 유통을 허가하지 않는다”고 규정

  ex. 타국(-안전한 피난항이 됨)에 비자금을 조성하는 것,  적대적 M&A 대상인 B가 가치가 떨어지는 C회사(-안전한 피난항이 됨)를 인수하여 M&A 가치를 떨어뜨리는 행위

 

 2.1 기본 성격(read)

-Notice(통지): 정보 수집 및 사용 목적 등에 대해 수집 시, 또는 그 후 가능한 빨리 통지하여야 함*

-Choice(선택): 정보제공자가 허락한 목적과 양립할 수 없는 목적으로 정보가 사용되는 여부에 대한 선택권을 보장해야 함

-Onward Transfer(전송): 제 3자에게 정보를 공개하는 경우 위 통지 및 선택에 관한 원칙을 실행해야 함

-Security(보안): 개인정보를 수집, 유지, 사용, 공개하는 자는 권한없는 접근, 오용, 변경, 훼손 등을 방지하기 위한 시책을 마련해야 함

-Data Integrity(정보의 무결성):개인정보는 그 사용 목적과 연관서이 있어야 함(최초 수집 목적 또는 정보제공자가 허가한 목적과 양립할 수 없 는 목적으로 정보를 처리할 수 없음

-Access(접근): 정보 제공자는 자신의 개인정보에 대한 접근권을 행사하고 정보가 부정확한 경우 그 정정, 수정 또는 삭제를 요구할 수 있음

-Enforcement(집행):준수 또는 비준수로 인해 영향받는 정보 대상자를 위한 청구권, 원칙을 준수하지 않은 자에 대한 책임을 확인할 수 있는 방 식을 포함해야 함

 

 

3. GDPR(General Data Protection Regulation)**출제

  “EU 시민의 데이터 자산을 처리하는 전 세계 모든 회사에 적용”하며 위반 시 매출의 4%를 징수한다는 내용(22년 하반기부터 출제 가능)

 3.1 준수 내용

-데이터 제어: 승인된 용도로만 데이터를 처리하고, 정확성과 무결성을 보장함. 대상의 정체성 노출의 최소화

-데이터 보안: 데이터 보관을 위한 보호장치 마련, 위험평가와 암호화를 기반으로 한 계약 요구사항으로서의 보안 시행

-잊힐 권리(데이터의 완전한 삭제): 데이터 대상이 동의를 철회한 경우, 삭제를 요청한 경우, 서비스 또는 계약이 종료된 경우

-위험완화와 상당한 주의: 완전한 위험평가 실시, 컴플라이언스를 보장하고 입증하는 조치 시행 및 데이터를 완전히 제어한다는 것을 입증

 

 3.2 GDPR에 입각해 보호해야할 프라이버시 데이터

-이름, 주소, ID번호 등과 같은 신원(Identity) 정보

-위치, IP주소, 쿠키 등 웹 데이터

-유전자 관련 의료데이터, 성적 성향에 대한 데이터

-바이오매트릭(생체 인식)데이터, 인종 및 민족에 대한 데이터, 정치적 견해(의견) 데이터

 

4. Transborder Data Flow(TBDF)

    ex. 미국 출국 시 ESTA gov에 개인정보를 입력해야 하는 것: 국경을 넘어서 내 정보가 입력되는 것

 

 

 [프라이버시] - 2~3Q)출제, 하반기 이후, GDPR로 출제 가능성*

 

5. OECD 프라이버시(=Global privacy) 8대 원칙(22년 하반기 이후로는 GDPR로 합쳐짐)

 5.1 수집제한의 원칙(Collection Limitation Principle): 최소화 Minimize 수집

 5.2 목적 명확화의 원칙(Purpose Specification Principle): What Collect? 수집 정보는 바로 그 때에 명확한 목적을 제시해야 함.

 5.3 이용제한의 원칙(Use Limitation Principle)

목적에 맞지 않으면 이용되어서는 안됨

—>수집을 최소화로 제한하고, 목적을 명확하게 해야한다. 이 때 목적에 맞지 않으면 이용을 제한해야한다.

 5.4 데이터 품질의 원칙(Data Quality Principle): 데이터는 정확해야 하고 완전해야 하며 최신 상태여야 함. Integrity, 정확/완전/최신

 5.5 안전보호의 원칙(Security SafeGuards Principle)

데이터는 분실 또는 파괴(<->가용성), 수정(<->무결성), 공개(<->기밀성)의 위험에 대해서 합리적인 안전보장 조치에 의해 보호되어야 함

-통제수단: 기밀성-암호화, 가용성-백업 

 5.6 개방의 원칙(Openness Principle)

홈페이지 내 개인정보담당자를 공개해야 함(7번 항목을 보장하기 위하여)

 5.7 개인참가의 원칙(Individual Participation Principle)

개인은 다음 3가지의 권리를 가지며, 보장받아야 함

-데이터 관리자는 자기 데이터 유무를 확인할 수 있다

-자기 데이터를 알 수 있다

-자기 데이터에 관한 이의신청이 인정될 경우 데이터를 소거, 수정, 교정할 수 있다

 5.8 책임의 원칙(Accountability Principle)

데이터 관리자는 상기 원칙을 실시하기 위한 조치에 책임을 가지게 됨

 

     Q) 수집된 개인정보는 의도된 목적으로만 사용할 것이라고 보증하는 프라이버시 원칙은? a.이용제한의 원칙(Use Limitation)

     Q) 중국 보따리상이 명동의 중국인 전용 SSID를 잡는 것은 어떤 프라이버시 원칙이 적용된 것인가? a.수집제한의 원칙(Collection Limitation)

 

6. (ISC)2 윤리 규정(2Q 정도 예상 출제*)

*****(ISC)2적 사고를 바탕으로 판단 할 것. 예제 모두 정답처럼 보이는 문제로 출제 됨!!

 6.1 사회와 국가의 기간 시설을 보호함

내적(=국가적) 문제가 발생 할 경우, 인프라스트럭처를 보호하는 노력을 기울임(자원봉사 성격)

 

 6.2 정직하고, 공정하고, 책임있고, 합법적으로 행동해야 함

내재된 계약을 준수하고, 신중한 조언을 해야 함

Q)용서가 안되는 행동은? a.침/껌 b.속도위반 c.음주운전 d.형사 합의 e.영수증금액 부풀리기 f.약물검사 거부 >>답이 가변적임

 

 6.3 고객들에게 근면하고 경쟁력있는 서비스를 제공해야 함

어떠한 이해관계의 충돌도 피하며, 원칙에 입각한 경쟁력있는 서비스(No 빨대)를 제공해야 함.

-over-cost, over-engineer

ex. ABC증권이 A사 시스템의 컨설팅을 진행하고 대박이 남 ->A사의 경쟁사인 B사에 동일 시스템을 적용할 경우, 고객 간 이익의 충돌이 발생 함

 

 6.4 직업적 명성을 보호하고 항상 전진해야 함(=Only CISSP에 대한 명성만 서로가 지켜줄 것)

CISSP을 취득한 보안 전문가가 또 다른 보안 전문가(=CISSP)의 명성에 해를 끼칠 수 있는 행동을 하지 않아야 함.

ex. 세미나 참석(=직업적 명성을 보호함), but 다른 보안 자격증(==non-professionals/CISA) 세미나에 자원봉사 하는 것은 절대 금지

 

 

V. 사업 지속성 및 재해 복구의 요구사항

 >>운영파트와 100% 동일, 수업 추후 진행