1주차 과제-정보보호 관련 사례 연구, 정보 보호 관련 법규 검토

<정보보호 관련 사례>

해외: 보건복지부-랜섬웨어 공격

미국 메디케어 및 메디케이드 서비스 센터(CMS)와 협력하는 한 계약업체가 랜섬웨어 공격을 받았다. 이 업체가 소유하고 운영하는 시스템의 네트워크 파일 공유 기능을 통해서였다. 이로 인해 280만 명의 개인정보가 노출됐다. 그중 130만 명은 사망자였다. 유출된 정보에는 이름, 주소, 생년월일, 메디케어 식별자, 은행 정보 등이 포함되어 있었다. 사고 발생 후 CMS는 시스템을 사내로 이전하고 피해자들에게 무료 신용 모니터링 서비스를 제공했다.
 

국내: 2009년 7.7 디도스 공격

 2009년 7월 4일 미국 주요사이트들을 대상으로 시작된 공격이 7월 7일부터 7월 10일까지 국내외 주요 웹사이트를 동시다발적으로 공격한 사건
 
- DDos공격이란? 응용 프로그램의 리소스를 소진하려는 시도로 네트워크 서비스를 중단시킴으로써 웹 사이트 및 서버를 공격. 공격자는 비정상적인 트래픽으로 사이트를 넘치게 하여 웹 사이트의 기능을 저하시키거나 오프라인 상태로 만든다. 수많은 컴퓨터가 하나의 컴퓨터를 포화 공격하여 정상 사용자들을 밀어내게된다. DDos공격은 보안 취약성을 악용할 수 있고, 인터넷을 통해 공개적으로 도달할 수 있는 모든 엔드포인트를 표적으로 삼을 수 있다. 
 
->당시 사용된 좀비PC의 악성코드는 실시간으로 제어되는 것이 아니라 정해진 스케줄대로 진행되었다. 숙주서버에서 특정시간에 일정 주기로 접속해 공격대상 및 공격 시간 스케쥴링 명령을 받게 되어 있었다. 또한 감염경로를 불특정하였고 금전적 목적이 아닌 사회혼란을 목적으로 한 공격이었다. 최종적으로 좀비PC를 파괴하는 특징도 있었다.
 
->피해의 규모는 크지 않았으나 공격의 규모와 대상이 광범위했고 공격에 대한 대응쳬계가 확립되지 않아 위협적이었다.
 
-> 2009년 7.7 디도스 사건 이후 중소·영세기업 대상의 디도스 공격 방어를 위한 ‘디도스 사이버대피소’를 만들어 공동 대응에 나섰다. 2010년 설립된 디도스 사이버대피소는 한국인터넷진흥원(이하 KISA)이 맡았으며, 현재 KISA 최고의 서비스 중 하나로 손꼽히고 있다. 이 사건은 후에 정보보호의 날의 시초가 되었다.

 
-KISA:  https://www.kisa.or.kr/803
KISA는 디지털위협대응본부, 개인정보안전활용본부, 정보보호산업본부, 디지털안전지원본부로 구성되어있는 인터넷 정보보호 및 그에 대한 여러 국제적인 일을 하는 대한민국 기관이다.

 

<정보보호 관련 법규 검토>

 
개인정보보호법: 11년도 3월에 제정, 13년도 9월부터부터 시행되었으며 여러번의 개정을 거쳤다. 가장 최근 개정된 내용에서는 정보주체의 권리 보장을 강화하였다. 사람이 자신의 데이터의 주체로서 행동할 수 있게 되었다. 인공지능의 발전에 따라 개인의 의사를 묻지않고 자동적으로 의사결정을 하게되는 문제와 사생활 침해 등에 대한 대응권도 도입되었다. 또한 기업 입장에서 이용에 동의를 해야만 정보를 사용할 수 있는 동의 만능주의 관행이 있었는데 이를 개선하는 내용도 포함되어있다. 이외에도 글로벌 규제와의 정합성 확보, 디지털 중심의 법체계 정비, 개인정보 보호 생태계 조성의 내용이 있다. 
 
개인정보보호법의 문제점:

• 본인확인을 전제로 하는 이러한 제도 하에서 개인 고유 식별번호의 취급 금지는 비용이 드는 대체수단을 강요하게 되어 사업자의 부담으로 작용하게 됨
• 국가 간의 범죄가 일어나도 처벌이 까다롭고 협조를 얻기가 어려움
• 과도한 형벌과 중복 적용등의 어려움이 존재
• AI를 이용한 개인정보침해도 일어나고 있지만 법이 개정되는 속도가 현실을 따라잡기 어려움
• 개인정보 가명정보 익명정보 개념의 유동성이 존재하여 구분이 어렵고 가명이나 익명으로 개인정보에 접근할 수 있음

-> 개인도 자신의 정보가 어떻게 이용되는지 주의해야하고 보호법이외에도 여러 정책을 이용하여 개인정보를 보호할 수 있는 대책을 마련해야한다고 생각한다.
 

<최근 정보보호 동향>

• 코로나 펜데믹으로 인해 변화된 환경과 사이버 위협으로 인해 다양한 보안 솔루션의 도입은 증가하였다. 그러나 이렇게 늘어난 보안 솔루션을 제대로 다룰 수 있는 보안전문가가 부족해지자 통합정보 보안의 필요성이 커졌다. (UTM, SIEM, SOAR 등의 다양한:  통합보안 솔루션들이 등장했다.
• 제로트러스트(Zero-Trust): 네트워크가 이미 침해됐다고 가정하고 이로부터 보호해야할 데이터와 서비스에 접근하려는 사용자를 다시 확인하고 최소한의 권한만 부여하는 것이다. 기존의 '경계 기반 보안'의 취약점을 보완한 방법으로 한 번 인증되어 안전하다고 확인하였어도 방어가 가능하다는 장점이 있다. 이 또한 코로나 펜데믹으로 인해 추진된 방법 중 하나이다.

 
출처: 
[7.7DDoS 1년]7.7 DDoS 공격, “어떤 사건이었나?” (boannews.com)
DDoS 공격이란?| Microsoft Security
미국 정부기관의 정보보안 사고 사례 및 해결 방안 | 인사이트리포트 | 삼성SDS (samsungsds.com)
https://journal.kiso.or.kr/?p=605
https://ko.wikisource.org/wiki/%EC%A0%84%EC%9E%90%EA%B8%88%EC%9C%B5%EA%B1%B0%EB%9E%98%E
B%B2%95
http://itnlaw.knu.ac.kr/index.php?task=json&cmd=board-file-download&fid=301&filename=002-윤익준,이부하(제23집).pdf
https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EB%B2%95