저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

코리아 IDC는 공지사항을 통해 일부서버가 랜섬웨어에 감염되었다고 밝혔습니다.


일반 서비스인 경우에는 별도의 백업은 없다고 합니다.


http://www.koreaidc.com/bbs/set_view.php?b_name=idcnotice&w_no=622

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

개인정보보호법이 10/19일자로 개정되었습니다.
법률에는 주무부처명칭 변경사항외에 특이사항이 없고 개인정보보호법 시행령에는 일부 신설된 내용이 있습니다.
개인정보보호법 시행령의 주요 변경 사항은 다음과 같습니다.

1. 개인정보처리에 대한 서명동의 시 기재항목 명확화
개인정보처리자가 정보주체에게 서면으로 동의를 받을 때 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등의 목적으로 개인정보를 처리할 수 있다는 

사실 및 개인정보의 항목 중 민감정보, 여권번호, 운전면허의 면허번호, 외국인등록번호 등을 명확히 표시하도록 하는 조항 신설

개인정보보호법 시행령
제17조(동의를 받는 방법) ① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다. 
1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법 
2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법 
3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법 
4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법 
5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법 
6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법 
② 법 제22조제2항에서 "대통령령으로 정하는 중요한 내용"이란 다음 각 호의 사항을 말한다.  
1. 개인정보의 수집·이용 목적 중  재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실 
2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항 
가. 제18조에 따른  민감정보 
나. 제19조제2호부터 제4호까지의 규정에 따른  여권번호, 운전면허의 면허번호 및 외국인등록번호 
3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다) 
4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적 
③ 개인정보처리자가 정보주체로부터 법 제18조제2항제1호 및 제22조제4항에 따른 동의를 받거나 법 제22조제3항에 따라 선택적으로 동의할 수 있는 사항에 대한 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 확인할 수 있도록 선택적으로 동의할 수 있는 사항 외의 사항과 구분하여 표시하여야 한다.   
④ 개인정보처리자는 법 제22조제6항에 따라 만 14세 미만 아동의 법정대리인의 동의를 받기 위하여 해당 아동으로부터 직접 법정대리인의 성명·연락처에 관한 정보를 수집할 수 있다.   
⑤ 중앙행정기관의 장은 제1항에 따른 동의방법 중 소관 분야의 개인정보처리자별 업무, 업종의 특성 및 정보주체의 수 등을 고려하여 적절한 동의방법에 관한 기준을 법 제12조제2항에 따른 개인정보 보호지침(이하 "개인정보 보호지침"이라 한다)으로 정하여 그 기준에 따라 동의를 받도록 개인정보처리자에게 권장할 수 있다.  

2. 개인정보영향평가 기관지정 관련
영향평가기관의 변동 사항 발생 시 신고 기간 일부 조정

신고 항목
개정 전
개정 후
개인정보 영향평가기관 지정 후 대표자의 성명 등 변경 사유가 발생한 경우
7일 이내 신고
14일 이내 신고
영향평가기관의 양도ㆍ양수 또는 합병을 한 경우
30일 이내 신고
60일 이내 신고

3. 개인정보 유출 시 게시해야하는 대상 범위 확대
기존 1만명 이상 유출 시 게재 -> 1천명 이상 유출 시 게재

개정 전
제40조(개인정보 유출 통지의 방법 및 절차) 
③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라  1만명 이상 의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다.
개정 후
제40조(개인정보 유출 통지의 방법 및 절차) 
③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라  1천명 이상 의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다. 

4. 개인정보 열람 요청에 대한 절차 개선
개인정보처리자가 개인정보 열람 등의 방법과 절차를 마련하는 경우 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 하는 등 정보주체의 

개인정보의 열람, 정정ㆍ삭제 등의 요구 절차를 개선

개인정보보호법 시행령 
제41조(개인정보의 열람절차 등) 
② 개인정보처리자는 제1항에 따른 열람 요구 방법과 절차를 마련하는 경우 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 아니하도록 다음 각 호의 사항을 준수하여야 한다.   
1. 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공할 것 
2. 개인정보를 수집한 창구의 지속적 운영이 곤란한 경우 등 정당한 사유가 있는 경우를 제외하고는 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 할 것 
3. 인터넷 홈페이지를 운영하는 개인정보처리자는 홈페이지에 열람 요구 방법과 절차를 공개할 것


저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


□ 개요

 o 최근 국내를 타깃으로 마이랜섬(Magniber, 매그니베르) 랜섬웨어의 유포로 피해가 발생하고 있어 주의 필요

 o 공격자는 웹사이트의 광고 사이트에 악성코드를 심어 랜섬웨어를 유포하는 멀버타이징 방식을 사용하며, 컴퓨터의 파일을

    암호화한 후 해독키를 제공하는 대가로 금전을 요구

 

□ 주요내용

 o 최근에 발견된 신규 랜섬웨어이인 마이랜섬은 국내 사용자들을 타깃으로 제작

 o 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 이용하여 광고 사이트에 악성코드를 심어 유포하는 멀버타이징

    (Malvertising) 방식 이용

    ※ 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit) : 컴퓨터에 설치된 익스플로러(IE), 자바(JAVA), 플래시(Flash)

        내에 있는 취약점을 악용해 다른 악성코드를 설치하도록 하는 도구

    ※ 멀버타이징(Malvertising) : 악성코드(Malware)와 광고(Advertising)의 합성어로 광고 서버를 해킹하여 악성코드를

        유포하는 공격기법

 o 특히, 파일 암호화 전 사용자의 PC가 한국어 환경인지 확인(한국어 윈도우 운영체제 여부 검사)한 후, hwp 문서를 비롯한

    800여개 이상의 파일을 암호화함

 

□ 대응방안

 o 윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용

 o 신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사 진행

 o 출처가 불분명한 메일 또는 링크의 실행 주의

 o 중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하여 관리

 o 이상 징후 포착 및 침해사고 발생시, 한국인터넷진흥원 인터넷침해대응센터(KISC)로 즉시 신고 등

    ※ 보호나라 홈페이지 – 상담 및 신고 - 해킹사고

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

하나투어 개인정보 유출 소식

유출 사실 확인 사이트

https://popup3.hanatour.com/member.aspx

 

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바