Presentation is loading. Please wait.

Presentation is loading. Please wait.

Chapter 01. 정보 보안의 세계 : 과거와 현재의 보안 전문가

Similar presentations


Presentation on theme: "Chapter 01. 정보 보안의 세계 : 과거와 현재의 보안 전문가"— Presentation transcript:

1 Chapter 01. 정보 보안의 세계 : 과거와 현재의 보안 전문가

2 해킹과 보안의 역사 보안의 3대 요소 보안 전문가의 자격 요건 보안 관련 법

3 정보화 사회의 발전 과정과 보안의 역사를 알아본다.
보안의 3대 요소를 이해한다. 보안 전문가가 갖춰야 할 자격 요건을 알아본다. 보안 전문가로서 지켜야 할 법규를 이해한다.

4 01. 해킹과 보안의 역사 해킹이란? 국어사전 : ‘남의 컴퓨터 시스템에 침입하여 장난이나 범죄를 저지르는 일’ 영어사전 : ‘컴퓨터 조작을 즐기기, 무엇이나 숙고하지 않고 실행하기’ 영영사전 : ‘디자이너가 의도하지 않았던 방법으로 시스템의 특성이나 규칙을 이용한 창조적인 사용법을 찾 는 것(Hacking is about finding inventive solutions using the properties and laws of a system in ways not intended by its designer.)’ 1950년대 이전 1918년에 폴란드의 암호 보안 전문가들이 에니그마(Enigma)를 개발 에니그마는 평문 메시지를 암호화된 메시지로 변환하는 전기/기계 장치 처음에는 은행에서 통신 보안 강화를 위해 개발되었지만, 제2차 세계대전 에서 독일군에 의해 군사통신 보안용으로 사용 알파벳이 새겨진 원판 3개와 문자판으로 구성되어 있는데, 문자판 위에 하나의 키를 누르면 나란히 놓인 3개의 원판이 회전하면서 복잡한 체계로 암호가 만들어짐. [그림 1-1] 에니그마

5 01. 해킹과 보안의 역사 1950년대 이전 Hack 의미 알란 튜링이 최초의 컴퓨터 콜로서스를 개발
콜로서스는 2400개의 진공관을 이용해 만들어짐. 높이 3m. 초당 5천 자의 암호문이 종이 테이프를 타고 들어가면서 에니그마의 암호와 일치할 때까지 비교하는 방식. 수를 세거나 비교, 간단한 산술 연산을 하는 전자 부속들을 갖추고 있음. 계산 결과는 전기타자기를 경유하도록 설계되었으며, 프로 그램은 플러그판의 스위치를 조작함으로써 가능. 각 세트 는 한 차례에 1만 7,576개의 조합을 점검 Hack 의미 ‘Hack’이라는 말은 1948년도에 설립된 메사추세 츠 공과대학(MIT)의 모형 기차 제작 동아리인 TMRC(Tech Model Railroad Club)에서 ‘전기 기 차, 트랙, 스위치를 보다 빠르게 조작하다’라는 의미로 처음 사용됨. TMRC의 해킹의 정의 “We at TMRC use the term ‘hacker’ only in its original meaning, someone who applies ingenuity to create a clever result, called a ‘hack’”(우리 TMRC는 ‘해커‘라는 용어를 똑똑한 결과를 만들기 위한 ’창조성(hack)’을 적용하는 사람이라는 원래의 의미로만 사용한다.) [그림 1-3] 콜로서스

6 01. 해킹과 보안의 역사 1960년대 최초의 미니 컴퓨터 PDP-1
1964년에 DEC라는 회사는 TMRC에 조그마한 컴퓨터를 기증하는데, 이것이 VAX 컴퓨터의 전신인 PDP-1 TMRC의 해커들은 PDP-1을 광적으로 좋아하게 됨 최초의 컴퓨터 연동망 ARPA 1967년에 미 국방부(DoD)는 연구 기관과 국방 관련 사업체 등 관련 기관 사이의 정보 공유를 지원하기 위 한 ARPA(The Advanced Research Project Agency) 프로젝트를 통해 컴퓨터 연동망 개발 [그림 1-5] PDP-1 본체와 모니터 및 입력기

7 01. 해킹과 보안의 역사 1960년대 전화망 침입을 통한 무료 전화 해킹 운영체제 유닉스의 개발
1969년에는 켄 톰프슨(Ken Thompson)와 데 니스리치(Dennis MacAlistair Ritchi)가 유닉스 (UNIX) 운영체제를 개발 전화망 침입을 통한 무료 전화 해킹 1969년에 프리킹의 아버지로 불리는 조 앙그 레시아(Joe Engressia, 공식 이름은 조이버블 스)는 2,600Hz의 휘파람을 불면 장거리 전화 를 무료로 쓸 수 있다는 사실을 알아냄. 존 드래퍼는 월남전 참전 중에 군용 식량으로 지급되는 ‘캡앤 크런치’라는 시리얼 박스 안에 포장되어 있던 장난감 호루라기를 불면 무료 통화가 가능하다는 사실을 발견 [그림 1-6] 켄 톰프슨(좌)와 데니스 리치(우) [그림 1-8] 캡앤 크런치 시리얼의 경품 호루라기

8 01. 해킹과 보안의 역사 1970년대 마이크로소프트 설립 최초의 이메일 전송
1971년에 레이 토밀슨(Raymond Samuel Tomlinson)은 최초의 이메일 프로그램을 개발 64 노드의 사용하여 최초의 이메일을 발송 마이크로소프트 설립 빌 게이츠(William H. Gates)는 1973년에 폴 앨런(Paul G. Allen)과 마이크로소프트를 함께 설립 [그림 1-10] 빌 게이츠 [그림 1-9] DEC의 KA10(PDP-10)

9 01. 해킹과 보안의 역사 1970년대 1980년대 최초의 데스크톱 컴퓨터 솔
1975년 : 리 펠젠스파인이 인류 최초의 데스크톱 컴퓨터인 ‘솔’을 개발 애플 컴퓨터의 탄생 1979년 : 스티브 워즈니악과 스티브 잡스에 의해 애플 컴퓨터가 탄생 1980년대 초기의 PC 1980년 : 마이크로소프트는 베이직(Basic)과 도스(DOS)를 개발 1981년 : IBM은 인텔 8086 마이크로프로세서를 기초로 한 비교적 저렴한 가격의 PC를 판매 네트워크 해킹의 시작 1980년 : 네트워크 해커라는 개념이 처음 생겨남 네트워크 해킹의 대표적인 사건 ‘414 Gang’ 414 Gang은 미국 밀워키의 로날드 마크 오스틴 등 6명이 운영했던 ‘414 Private’이라는 BBS의 일원들이 만든 해커 그룹임 암센터와 로스알라모스 국립연구소를 포함해 60개의 컴퓨터 시스템에 침입함 중요 파일을 실수로 지워 몇 년 간의 연구 결과를 날려버림 1981년 : 이안 머피(Ian Arthur Murph)가 AT&T의 컴퓨터 시스템에 침입해 전화 요금과 관련된 시계를 바꾸 어 낮은 가격의 심야 요금이 대낮에 적용되도록 조작

10 01. 해킹과 보안의 역사 1980년대 카오스 컴퓨터 클럽 1981년에는 독일의 전설적인 해커 그룹인 카오스 컴퓨터 클럽(Chaos Computer Club, CCC)이 결성되었는데, 소식지 창간호를 통해 다음과 같은 설립 목표를 규정함. 정보 사회로 발전하기 위해서는 전 세계와 자유로운 커뮤니케이션을 가능케 하는 새로운 인권이 필요하다. 인간 사회 및 개인에게 기술적 영향을 미치는 정보 교류에서 국경은 사라져야 한다. 우리들은 지식과 정보의 창조에 기여할 것이다. [그림 1-11] 독일의 카오스 컴퓨터 클럽

11 01. 해킹과 보안의 역사 https://www.gnu.org/ 1980년대
1983년 리처드 스톨만에 의해 GNU(Gnu’s Not Unix) 계획이 세상에 알려짐. GNU는 유닉스와 완벽하게 호환하는 소프트웨어 시스템으로 모든 사람이 무료로 사용하도록 작성됨 소프트웨어의 저작권 개념에 처음부터 함정이 있었으며, Copyright가 아니라 Copyleft가 되어야 한다고 주장함 1985년에는 FSF(Free Software Foundation)를 만들고, 그곳에서 리눅스 탄생의 배경이 된 GNU 프로젝트가 시작됨 GNU 사이트를 보면 자유 소프트웨어(Free Software)에 대한 4가지 자유를 확인할 수 있음. 자유 0 : 프로그램을 어떠한 목적을 위해서도 실행할 수 있는 자유 자유 1 : 프로그램의 작동 원리를 연구하고 이를 자신의 필요에 맞게 변경시킬 수 있는 자유(이를 위해 소스코드에 대한 접근이 선행되어야 한다.) 자유 2 : 이웃을 돕기 위해서 프로그램을 복제하고 배포할 수 있는 자유 자유 3 : 프로그램을 향상시키고 공동체 전체의 이익을 위해서 다시 환원시킬 수 있는 자유(이를 위해 소스코드에 [그림 1-12] 리처드 스톨만

12 01. 해킹과 보안의 역사 1980년대 해킹과 관련된 문화의 등장
1983년에 상영된 워게임즈(WarGames)라는 영화는 해커를 소재로 한 최초의 영화 1984년에는 윌리엄 깁슨(William Gibbson)의 공상과학소설 『뉴로맨서(Neuromancer)』이 발감됨 사이버스페이스라는 용어를 최초로 사용. 인공지능(AI, Artificial Intelligence), 가상세계, 유전자 공학, 다국적기업 등에 대한 개념이 등장 1985년은 유명한 해킹 잡지인 프랙(Phrack)이 나이트 라이트닝(본명: 크레이그 나이도프)과 타란 킹(본명: 랜디 티슐러)에 의해 창간 1년 후 온라인 잡지 프랙에 이어 해커 잡지인 2600이 정기 출판됨 1985년에 7명의 미국 소년이 뉴저지 소재 미 국방부 컴퓨터에 침입해, 통신위성 위치를 변경하는 코드를 포 함한 극비 군사통신 데이터를 빼낸 사건이 발생 [그림 1-14] 윌리엄 깁슨의 뉴로맨서 [그림 1-13] 워게임즈

13 01. 해킹과 보안의 역사 1980년대 케빈 미트닉(Kevin Mitnick) : 1987년 산타 크루즈 오퍼레이션 시스템에 침입 로버트 타판 모리스 미 전역의 컴퓨터가 정체불명의 바이러스에 감염되어 멎고 겁먹은 사용자들이 인터넷 연결을 끊는 사건이 발생함 22세의 로버트 타판 모리스가 만든 웜(Worm)에 의한 인터넷의 마비로 밝혀짐. 네트워크로 연결된 6,000여 대의 컴퓨터를 감염시켜 정부 및 대학의 시스템을 마비시킴. 미 국방부가 1988년 11월 카네기 멜론 대학에 컴퓨터 비상 대응팀(CERT) 설립함. 1986년 8월에는 캘리포니아에 있는 로렌스 버클리 연구소의 컴퓨터 계좌에서 컴퓨터 사용 요금에 75센트 의 오차가 생기는 일이 발생. 클리프 스톨(Cliff Stoll)이 1년 반 정도 추적을 하여, 서독 해커들이 전 세계 3백 여 기관에 불법적인 접근을 시도하고 군사 기밀 정보를 탈취한다는 사실을 알게 됨 1989년에는 ‘해커 선언문(The Conscience of a Hacker)’의 저자로 유명한 로이드 블렌켄쉽(Loyd Blankenship)이 체포됨 [그림 1-16] 케빈 미트닉 [그림 1-17] 로버트 타판 모리스

14 01. 해킹과 보안의 역사 https://www.defcon.org/ 1990년대 리눅스 0.01 해킹 대회 데프콘
1990년에는 최초의 해킹 대회인 데프콘이 라 스베가스에서 개최됨. 리눅스 0.01 리누스 토발즈(Linus Benedict Torvalds)는 PC 에서 돌릴 수 있는 유닉스 운영체제를 만들기 시작해 1991년에 리눅스 0.01 버전을 공개함. [그림 1-18] 데프콘 홈페이지 [그림 1-19] 리누스 토발즈

15 01. 해킹과 보안의 역사 1990년대 윈도우 NT 3.1 1993년 7월 27일에 마이크로소프트는 윈도우 NT 3.1을 발표. 해킹 도구의 개발 1994년에는 인터넷 브라우저 넷스케이프가 개발되고 웹 정보 접근이 가능해짐. 아메리칸온라인 해킹 1997년에는 아메리카온라인(AOL) 침입만을 목적으로 고안된 무료 해킹 툴인 AOHell이 공개됨. 이후 며칠 동안 초보 해커들에 의해 악용되어 수백 만의 미국 온라인 사용자의 메일함이 대용량 메일 폭탄 으로부터 공격 받음. 트로이 목마, 백 오리피스 1998년에는 Cult of the Dead Cow라는 해킹 그룹이 데프콘 회의에서 강력한 해킹 툴로 사용할 수 있는 트 로이 목마 프로그램인 백 오리피스(Back Orifice)를 발표.

16 01. 해킹과 보안의 역사 2000년대 분산 서비스 거부 공격 2000년 2월에는 인터넷에서 가장 소통량이 많은 몇 개의 사이트에 분산 서비스 거부 공격(DDoS, Distributed Denial of Service)이 가해짐. 이로 인해 야후, CNN, 아마존 등의 사이트가 ICMP 패킷을 이용한 스머프(Smurf) 공격으로 몇 시간 동안 마비됨. 윔과 바이러스 2000년에는 러브 버그(Love Bug) 바이러스가 등장해서 87억 5천만 달러의 경제적 손실을 발생시킴. 2003년 1월 25일 오후 2시 30분부터 약 2일 동안 마이크로소프트의 MS-SQL 2000서버를 공격하는 슬래머 (Slammer)라는 웜이 전국의 네트워크를 마비시킴. 2004년에는 베이글 웜, 마이둠 웜, 넷스카이 웜이라는 웜 삼총사가 등장 [그림 1-20] 이메일에 첨부된 러브 바이러스

17 01. 해킹과 보안의 역사 2000년대 개인정보 유출과 도용 2005년 10월부터 2006년 2월 사이에는 주민등록번호 수십만 개가 유출돼, 인터넷 게임사이트 가입에 사용 되는 등 개인정보가 무단 도용됨. 2005년 11월에는 국내 모 은행의 피싱 사이트를 만들어놓고 인터넷 카페 등에 대출 광고를 한 다음, 연락해 온 피해자들을 피싱 사이트에 접속하도록 유도함. 이들이 입력한 금융정보를 이용해서 총 12명으로부터 1 억 2천만 원 상당을 가로채는 사건이 발생 해킹 기술을 이용한 전자상거래 교란 2006년 7월에는 안심클릭의 허점을 이용한 해킹 사기 사건 발생 2006년 3월에는 클릭 수를 자동 증가시키는 방법으로, 국내 대형 포털 사이트의 정보 검색 순위를 조작한 인 터넷 광고 대행업체 대표 이 씨가 업무 방해 등의 혐의로 불구속 입건 2007년 2월 8일에는 공인인증서 유출로 인한 시중 은행 불법 인출 사건이 발생 2007년 2월 11일에는 한국 시티은행 해킹 사건이 발생하는 등 금전적 이익을 노린 해킹이 급증

18 01. 해킹과 보안의 역사 2010년대 농협 사이버테러 2011년 4월에 농협의 전산 시스템이 대규모 데이터 삭제로 인해 중단되는 사건 발생 APT 공격 개인정보 유출 등을 목적으로 특정한 사이트를 장기간에 걸쳐 공격하는 것을 APT(지능적 지속 위협, Advanced Persistent Threat) 공격이라고 함. 해킹 도구이자 해킹 대상이 되는 스마트폰 스마트폰은 공격 대상이 되기도 하지만 공격 도구로도 활용도가 매우 높아 스마트폰을 이용한 보안 사건은 점차 그 범위가 확대될 것으로 예상됨. [그림 1-21] 농협 사이버테러

19 02. 보안의 3대 요소 기밀성(Confidentiality) : 인가(authorization)된 사용자만 정보 자산에 접근할 수 있는 것 무결성(Integrity) : 적절한 권한을 가진 사용자에 의해 인가된 방법으로만 정보를 변경할 수 있도록 하는 것 가용성(Availability) : 정보 자산에 대해 적절한 시간에 접근 가능한 것을 의미 [그림 1-22] 보안의 3대 요소

20 03. 보안 전문가의 자격 요건 경찰청 사이버테러대응센터( 해마다 국내의 보안 사고에 대한 통계를 발표함. 사이버테러형 범죄가 약 15,000건, 일반 사이버 범죄가 약 100,000건에 이름 [그림 1-25] 경찰청 사이버테러 대응센터 사이트 [표 1-1] 사이버 범죄의 유형 구분 내용 사이버테러형 범죄 정보통신망 자체를 공격 대상으로 하는 불법 행위로서 해킹, 바이러스 유포, 메일 폭탄, 서비스 거부(DoS) 공격 등 전자기적 침해 장비를 이용해 컴퓨터 시스템과 정보통신망을 공격하는 행위 일반 사이버 범죄 사이버 공간을 이용한 일반적인 불법 행위로서 사이버 도박, 사이버 스토킹과 성폭력, 사이버 명예 훼손과 협박, 전자상거래 사기, 개인정보 유출 등의 행위

21 03. 보안 전문가의 자격 요건 윤리 의식 정보통신윤리위원회(현 방송통신위원회)에서 2007년 6월 25일에 발표한 정보통신 윤리 강령을 살펴보자. 정보통신 윤리 강령 우리는 정보통신 기술의 발달로 시간과 공간을 넘어서 세계가 하나된 시대에 살고 있다. 정보통신 기술은 우리의 생활을 편리하게 하고 창조적 지식정보의 창출을 도와 새로운 가능성과 밝은 미래를 열어주고 있다. 우리는 그 동안 다 함께 뜻을 모으고 힘을 기울여 정보통신 강국으로 우뚝 서게 되었다. 하지만 그 위상에 걸맞지 않게 우리 사회는 불건전 정보 유통, 사이버 명예 훼손, 개인정보 침해, 인터넷 중독 등 정보 역기능 현상이 나타나고 있다. 최고의 정보통신 인프라와 함께 건전한 정보이용 문화가 확립될 때에 비로소 세계를 선도하는 진정한 정보통신 강국이 될 것이다. 우리 모두는 지식정보사회의 주인으로서 인류의 행복과 높은 이상이 실현되는 사회를 만들어 나가야 할 사명이 있다. 우리는 정보를 제공하고 이용할 때에 서로의 인권을 존중하고 법과 질서를 준수함으로써 타인에 대한 배려가 넘치는 따뜻한 디지털 공동체를 만들어 나가야 한다. 또한 개인의 사생활과 지적 재산권은 보호하고 유용한 정보는 함께 가꾸고 나누는 건전한 정보이용 문화를 확산해 나가야 한다. 우리는 궁극적으로 모두의 행복과 자유, 평등을 추구하며 인류가 정보통신 기술의 혜택을 고루 누릴 수 있도록 정보통신윤리를 지켜나가야 한다는 데 뜻을 모으고 이 뜻이 실현되도록 성실하게 노력할 것을 다짐한다. • 우리는 타인의 자유와 권리를 존중한다. • 우리는 바른 언어를 사용하고 예절을 지킨다. • 우리는 건전하고 유익한 정보를 제공하고 올바르게 이용한다. • 우리는 청소년 성장과 발전에 도움이 되도록 노력한다. • 우리 모두는 따뜻한 디지털 세상을 만들기 위하여 서로 협력한다.

22 03. 보안 전문가의 자격 요건 컴퓨터윤리기관(Computer Ethics Institute)에서 발표한 윤리 강령 10계명
컴퓨터를 타인을 해치는 데 사용하지 않는다. 타인의 컴퓨터 작업을 방해하지 않는다. 타인의 컴퓨터 파일을 염탐하지 않는다. 컴퓨터를 절도해서 사용하지 않는다. 거짓 증거로 컴퓨터를 사용하지 않는다. 소유권 없는 소프트웨어를 사용하거나 불법 복제하지 않는다. 승인이나 적절한 보상 없이 타인의 컴퓨터를 사용하지 않는다. 타인의 지적 재산권을 침해하지 않는다. 자신이 만든 프로그램이나 시스템으로 인한 사회적 결과에 책임을 진다. 동료를 고려하고 존중하는 방식으로 컴퓨터를 사용한다. 인터넷활동협회(IAB: Internet Activities Board)에서 비윤리적으로 간주하는 행동 고의적으로 허가 받지 않고 인터넷 자원에 접근하려는 행위 인터넷의 이용을 막는 행위 의도적으로 시스템과 네트워크의 자원을 낭비하는 행위 컴퓨터 기반 정보의 무결성을 파괴하는 행위 타인의 사생활을 침해하는 행위 인터넷 전반의 실험에 있어서의 과실

23 03. 보안 전문가의 자격 요건 다양한 분야에 대한 전문성 운영체제
네트워크와 병행한 운영체제(Operating System)에 대한 이해가 필요함. 실무적으로 가장 중요한 운영체제는 윈도우, 서버의 경우에는 유닉스 서버임. 최근에는 리눅스가 매우 다양한 형태로 발전하고 있음. 네트워크 TCP/IP는 1973년대에 만들어져 지금까지 네트워크의 기본이 되는 프로토콜임. 따라서 매우 중요하기 때문에 동작 하나하나까지 이해해야 함. 프로그래밍 대체로 기본적인 C 프로그래밍과 객체지향 프로그래밍에 대한 이해, HTML 정도면 충분함. 하지만 수준 높은 보안 전문가가 되려면 프로그래밍 능력이 상당히 중요함. 보안 시스템 개발자 : 방화벽, 침임 탐지 시스템(IDS) 등의 보안 시스템 개발자는 프로그래밍을 깊이 배워야 함. 응용 프로그램 취약점 분석 테스터 : 리버스 엔지니어링(Reverse Engineering)을 이용한 게임과 상용 프로그램 테스터/ 취약점 분석가는 프로그래밍에 대해 자세히 알아야 하고, 특히 어셈블리어에 대한 깊은 이해가 필요. 서버 보안 전문가는 서버를 이해하는 것이 필수적. 데이터베이스의 경우 기본적인 SQL 역시 공부가 필요함.

24 03. 보안 전문가의 자격 요건 다양한 분야에 대한 전문성 보안 시스템
방화벽, 침입 탐지 시스템, 침입 방지 시스템, 단일 사용자 승인(SSO), 네트워크 접근 제어 시스템(NAC), 백신 과 같은 보안 솔루션의 경우 각 시스템별 기본 보안 통제와 적용 원리, 네트워크상에서 구성, 목적 등을 이해해야 함 모니터링 시스템 네트워크 관리 시스템(NMS), 네트워크 트래픽 모니터링 시스템(MRTG)과 같은 모니터링 시스템에 대한 기본적인 개 념 정도는 필요함 암호 암호와 해시의 차이 대칭키 알고리즘과 비대칭키 알고리즘의 종류와 강도 공개키 기반 구조에 대한 이해 필요 정책과 절차 큰 조직의 보안 전문가일수록 보안 정책(Security Policy)과 해당 기업의 핵심적인 업무 프로세스에 대한 이해 필요. 보안 정책에서 가장 핵심적인 요소인 보안 거버넌스(Security Governance)에 대한 이해 필요. 보안 거버넌스란 ‘조직의 보안을 달성하기 위한 구성원들 간의 지배 구조’이다. 최근 발생한 대규모 보안 사고의 원인이 대부분 이러한 지배 구조의 부재 때문임.

25 04. 보안 관련 법 세계의 70% 이상의 해커가 학생이라고 한다. 해킹을 영리가 목적이 아닌 일종의 호기심에 수행하는 경우가 많음을 의미하지만, 역시 범죄로서 똑같이 처벌받는다. 경찰청 사이버테러대응센터 홈페이지( 보안 관련 법률의 주요 내용을 살펴볼 수 있다. [그림 1-26] 잘못된 길을 걷는 해커의 종말

26 04. 보안 관련 법 정보통신망 이용촉진 및 정보보호 등에 관한 법률
안전한 정보통신망 환경을 조성하는 것이 목적, 정보통신과 관련된 가장 광범위한 법률임. 정보통신 서비스 사업자와 관련된 내용, 개인정보보호와 관련된 내용 등을 범죄로 규정함. 이를 어길 시에 3년~7년의 징역 또는 2천만 원~5천만 원의 벌금에 처함. [표 1-2] ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 주요 범죄 사항 순번 적용 법조 범죄 내용 1 제70조 제1항 사이버 명예 훼손(사실 유포) 2 제70조 제2항 사이버 명예 훼손(허위사실 유포) 3 제71조 제1호 이용자 개인정보 수집 4 제71조 제3호 개인정보 목적 외 이용 및 제3자 제공 5 제71조 제5호 이용자 개인정보 훼손ㆍ침해ㆍ누설 6 제71조 제9호 악성프로그램(바이러스) 유호 7 제71조 제10호 정보통신망 장애 발생 8 제71조 제11호 타인 정보 훼손 및 타인 비밀 침해ㆍ도용ㆍ누설 9 제72조 제1항 제1호 정보통신망 침입 10 제72조 제1항 제5호 직무상 비밀 누설 및 목적 외 사용 11 제72조 제1항 제2호 속이는 행위에 의한 개인정보 수집 12 제73조 제1호 정보통신 서비스 제공자 등의 기술적ㆍ관리적 조치 미이행 13 제73조 제2호 영리목적 청소년유해매체물 미표시 14 제73조 제3호 청소년유해매체물 광고 청소년에게 전송 15 제74조 제1항 제1호 인증기관 인증표시 무단 표시ㆍ 판매ㆍ진열 16 제74조 제1항 제2호 음란 문언/음향/영상 등의 배포ㆍ판매ㆍ전시 17 제74조 제1항 제3호 사이버 스토킹(공포불안을 야기시키는 말ㆍ음향 등의 반복 행위) 18 제74조 제1항 제4호 스팸메일 수신거부 회피 관련 기술조치 행위 19 제74조 제1항 제5호 전자우편주소 무단 수집ㆍ판매ㆍ유통ㆍ정보 전송에 이용 20 제74조 제1항 제6호 불법행위를 위한 광고성 정보 전송

27 04. 보안 관련 법 정보통신 기반 보호법 ISP(Internet Service Provider)나 주요 통신사와 같은 주요 정보통신 기반 시설에 대한 보호법 다음과 같은 사항을 전자적 침해행위로 규정하고 있음. 주요 정보통신 기반 시설을 교란·마비 또는 파괴한 자는 10년 이하의 징역 또는 1억 원 이하의 벌금에 처함. [표 1-3] ‘정보통신 기반 보호법’의 주요 범죄 사항 순번 적용 법조 범죄 내용 1 제 28조 주요 정보통신 기반 시설 교란ㆍ마비ㆍ파괴 2 제 29조 취약점 분석ㆍ평가업무 등의 종사자 비밀 누설

28 04. 보안 관련 법 개인정보 보호법 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등의 개별 법령에서 다루고 있는 개인정보와 관련된 사항을 통합하여 규정한 법 2012년에 시행되었으며, 각 규정에 따라 3년~10년의 징역 또는 3천만 원~1억 원의 벌금에 처하고 있음. [표 1-2] ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 주요 범죄 사항 순번 적용 법조 범죄 내용 1 제22조 동의 없는 개인정보 수집 2 제23조 민감한 개인정보 수집 및 필요 최소한의 개인정보 이외의 정보를 제공하지 아니했다는 이유로 서비스 제공 거부 3 제31조 법정대리인의 동의 없는 아동 개인정보 수집 4 제24조 동의 받은 목적과 다른 목적으로 개인정보 이용 5 제23조의 2 주민등록번호 외의 회원가입 방법 미조치 6 제24조의 2 이용자 동의 없는 개인정보 제3자 제공 7 제25조 이용자 동의 없는 개인정보 취급 위탁 및 개인정보 취급 위탁 사실 미공개 8 제26조 제1항 영업양도 등 미통지 9 제26조 제3항 영업양수자 등이 당초 목적과 다른 목적으로 개인정보 이용 또는 제3자 제공 10 제27조 개인정보 관리 책임자 미지정 11 제27조의 2 개인정보 취급 방침 미공개 12 제28조 제1항 제1호, 제6호 기술적·관리적 조치 미이행 13 제28조 제1항 제2호~제5호 기술적·관리적 조치 미이행으로 인한 개인정보 누출 14 제28조의 개인정보 취급자의 개인정보 훼손, 침해, 누설 15 제29조 개인정보 미파기 16 제30조 이용자의 동의 철회, 열람, 정정 요구 미조치 17 제30조 제5항 개인정보 오류 정정 요청에 대한 필요 조치를 하지 아니하고 개인정보 제3자 제공, 이용 18 제30조 제6항 이용자의 동의 철회, 열람, 정정 요구를 개인정보 수집 방법보다 어렵게 함

29 04. 보안 관련 법 통신비밀 보호법 저작권법 통신비밀을 보호하고 통신의 자유를 신장하기 위해 1993년에 처음 제정됨.
다음의 범죄 사실에 대해 10년 이하의 징역과 5년 이하의 자격 정지에 처하고 있음. 저작권법 저작자의 권리와 이에 인접하는 권리를 보호하고 저작물의 공정한 이용을 위한 목적으로 2006년 제정됨. 범죄 사실에 따라 3년~5년의 징역 또는 3천만 원~5천만 원의 벌금에 처하고 있음. [표 1-5] ‘통신비밀 보호법’의 주요 범죄 사항 순번 적용 법조 범죄 내용 1 제 16조 제1항 제1호 전기통신 감청 및 비공개 타인 간 대화 녹음ㆍ청취 2 제16조 제1항 제2호 지득한 통신 및 대화내용 공개ㆍ누설 3 제16조 제2항 제2호 통신제한조치 집행 등 관여 공무원의 비밀 공개 누설 4 제16조 제3항 통신제한조치 집행 등 관여 통신기관 직원 비밀 공개 누설 5 제16조 제4항 사인의 통신제한조치 취득내용의 외부 공개 및 누설 [표 1-5] ‘통신비밀 보호법’의 주요 범죄 사항 순번 적용 법조 범죄 내용 1 제136조 제1항 저작재산권 등 재산적 권리의 복제ㆍ전송ㆍ배포 등 2 제136조 제2항 제1호 저작인격권을 침해하여 저작자 명예 훼손 3 제136조 제2항 제3호 데이터베이스 제작자 권리를 복제ㆍ배포ㆍ전송으로 침해 4 제136조 제2항 제5ㆍ6호 기술적 보호조치 제거ㆍ변경 등과 같은 침해 행위 5 제 137조 제6호 허위 저작권 주장 , 복제ㆍ전송 중단 요구로 ISP 업무방해

30


Download ppt "Chapter 01. 정보 보안의 세계 : 과거와 현재의 보안 전문가"

Similar presentations


Ads by Google