꼰머의 보안공부

1. Global Privacy Trend

개요  

> 최근 디지털 흐름 방해 요소 多 : 팬데믹, 전쟁, 공급망 이슈 등 => 새로운 서비스모델과 디지털 혁신 증가

> 현 상황과 변화에 대한 평가가 필요 : 미래 신규 위협을 예측하고 대응하기 위해 활용가능한 데이터의 유무

> 신뢰 ∝ 기술혁신 : 기업에 대한 신뢰, 기술에 대한 신뢰, 소비자들의 신뢰

> 신뢰 ∝ 책임 : 신뢰와 책임이 더 큰 위협으로 부터 대응하고, 탈출 할 수 있는 원동력

> 서비스에 대한 사용자들의 다양한 요구 ↑ : 사용자들의 강력한 프라이버시 보호 요구ㆍ프라이버시에 대한 관심 ↑

본론

> 개인들의 디지털 기술 활용 : 개인 데이터 활용 => 개인 프라이버시 보호 문제 ↑

> 오프라인 => 온라인 전환 : 온라인 의존성 ↑ => 개인 데이터 사용 ↑ => 프라이버시 보호 문제 ↑

                                                 개인 데이터 중 다수는 사용자의 동의없이 수집되는 개인 정보

                                                 사내 환경 대비 약 85% 공격 위협 증가 (랜섬웨어 급증)

> 디지털 무역 ↑ : 국경간 데이터 흐름 => 각 국가간 프라이버시 규제가 데이터 흐름을 방해하지 않도록 상호협력

                               ex) EU-한국 GDPR 협정, EU-US Safe-Harbor

> AI 도입 : 서비스 향상 vs 기술 격차 => 특정 기업이나 소수가 독점하지 않고, 기술 격차가 발생하지 않도록 도입ㆍ발전

> 프라이버시 보호 기술 : 익명화, 동형암호, 연합학습, 차등 프라이버시,데이터 처리 내 규제 준수 여부(특히 기밀성)

결론

> 실요성 있는, 수평적인 정책 필요

> 프라이버시는 규제 당국 뿐 아니라 다수의 이해관계자 간 면밀한 협력이 필요

> 기관들은 보호와 관련된 노력 입증 必 : 각종 지침서 등

> 데이터 흐름의 이해 = 데이터 흐름의 자유 : 관련 규제 이해, 국가간 규제의 차이, 국가간 신뢰ㆍ협력 必

∴ 프라이버시는 중요한 문제 : 프라이버시 보호를 이해하고, 관련된 문제를 예측하고 대응

2. 데이터 밸런스

> 국내 개인정보보호 흐름 : 개보법 최초 재정 = 개보법을 판단하고 분석하는데 "합리적 판단" 부재 =>혼란 가중

                                                대규모 데이터 유출 = 2014 카드 3사 데이터 유출   => 개보법 "징벌적 손해" 명시

                                                데이터 3법 개정 = 데이터 경쟁력 강화 목적

> 국제적으로 데이터 보호와 데이터 활용 간 견해 차이는 감소하는 추세

> 데이터 밸런스와 관련된 국내 문제점 : "활용 < 보호"의 정책과 처리 흐름

                                                                   ① 타국가 대비 제한적인 합법적 개인정보처리가 가능한 범위

                                                                   ② 합리적 관점을 통한 법리해석 미흡

                                                                   ③ 익명정보에 가까운 가명정보의 처리

> 보호의 목적 : 개인정보의 안전한 활용 <=균형=> 개인정보처리자의 법 준수 및 합립적 접근, 그에 따른 보상책

3. Track B. 가명정보 활용 사례 및 전망

> 가명정보 : 데이터 가치 최대한 유지 + 개인정보 일부 또는 전부를 대체ㆍ삭제 = 추가정보 없이 특정 개인 식별 불가한 정보

> 가명정보의 활용 : 통계작성, 과학적 연구, 공익적 기록 보존 등의 목적 내에서 정보주체의 동의없이 활용 가능

> 가명처리 절차 : 목적 설정 등 사전 준비 => 위험성 검토 => 가명처리 => 적정성 검토 => 안전한 관리

> 가명정보 결합 절차 : 서로 다른 개인정보처리자간 가명정보 결합 시

                                        결합 신청 => 결합키관리기관+결합전문기관 or 데이터전문기관 => 결합 가명정보 반출

                                         ※ 개보법 기준 : 결합키관리기관 = KISA, 결합전문기관 = 보호위원회 등이 지정

                                         ※ 신용정보법 기준 : 데이터전문기관 = 금융위원회가 지정하는 결합ㆍ적정성 평가 수행 기관  

> 가명정보 처리 시 준수 사항 : 제3자 제공 시 특정 개인을 식별할 수 있는 정보가 포함되면 안됨

                                                     가명정보 활용과 관련된 모든 안전조치 적용

                                                     결합전문기관에서 가명처리 결합

                                                     특정 개인을 알아보기 위한 가명정보 처리 금지

                                                     가명처리 전일 경우 개인정보가 가명정보로 처리되지 않도록 제외 요청 가능

> 기존의 수기 설문ㆍ연구와 달리 검증된 데이터를 사용하여 정확하고 명확한 결론 도출 가능

4. Track C. 재택근무 환경 사례 공유

> 재택근무 : 회사의 구조/사업특성과 임직원 업무 유형 파악이 선행 되어야 함

> 위험요소 : 원격 디바이스의 네트워크 환경 & 실 사용자의 모호성

> 환경 구축 : Zero-Trust 관점에서 MFA, 접근통제 적용 + 임직원 업무적 특성을 고려한 망 구성 및 접근 통제

> 위협 모델링 : 기존의 공개 솔루션(VPN,VDI 등) 위주 모델링에서 가능한 모든 케이스에 대한 모델링 必

> 임직원 인식 개선 : 재택근무 환경을 고려한 다양한 교육방식

                                     ex) PC 팝업, 모바일 앱, 컨텐츠 재작 등

5. Track C. 다크웹 내 정보를 활용한 랜섬웨어 범죄 동향

> 딥/다크 웹 : 4% 일반 웹 환경 + 96% 딥/다크 웹 환경

> 범죄의 비즈니스화 : Enablers(자금 조달자) + Offenders(공격그룹) + Monetization(자금 세탁자)

> IAB(Initial Access Broker) : Enablers 중 개인정보를 판매하는 조직 ex) 랩서스

> 전년 대비 다크 웹 기반 랜섬웨어 급증 : Enablers 역할ㆍ비중 증가

> 랜섬웨어 조직 구성 : Master(지도자) + Coordinator(조정자) + Developer(개발자) + Pentester(공격자) +

                                        Recruiter(채용자) + Infra(기반시설) + Money Laundry(자금세탁)

> 랜섬웨어 조직 협력자 : Botnet Owner + Affiliates(파트너사) + RaaS

> "콜로얼 파이프라인" 랜섬웨어 공격 : 다크 웹에서 RaaS를 제공하는 공격 그룹 "다크사이드"

                                                                 랜섬웨어 대응책 변경 = 선제적 대응(공격자 서버 해킹 등)을 통한 무력화

> 데이터 유출 경로 : 내부자 포섭, 환경설정 미흡으로 외부에 공개된 서버, 외주 업체에 의한 유출 등 다양

> 다양한 공격 표면에 대한 분석 必 : 모니터링, 내부자산 목록화, 자동화 도구 활용 => 식별되지 않은 자산 존재 확인

> 유출되어 있는 데이터에 대한 가시성 확보 => 원인 파악 => 수시 점검 등 대응 프로세스 정립