시큐리티백

▰ 개인정보보호법 제 4조 ( 정보주체의 권리 )

① 개인정보 처리에 관한 정보를 제공받을 권리

② 개인정보 처리에 관한 동의 여부, 동의 범위 등을 선택할 권리

③ 개인정보 처리 여부를 확인한고 개인정보에 대한 열람을 요구할 권리

④ 개인정보 처리 정지, 정정•삭제 및 파기를 요구할 권리

⑤ 개인정보 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

▰ DTLS란?

  - UDP 기반 통신 전달 데이터 보안 프로토콜 ( transport 계층 )
 

 > 데이터그램 형식의 콘텐츠로 어플리케이션끼리 주고 받을 때, 안전하게 전달할 수 있도록 고안된 통신 프로토콜

   ※ 데이터그램 : 헤더 + 페이로드 형태로 인터넷을 통해 전송되는 기본적인 정보 단위, 신뢰성까지는 필요없는 통신에 주로 사용하며, UDP가 대표적인 데이터그램을 이용하는 프로토콜 입니다.  <-> 패킷 
 > SSL,TLS와 같은 보안 서비스를 제공 ( 무결성, 인증, 정보 은닉 등, ssl,tls 토대로 만듦 보안 강도는 tls와 유사 ) 

     -- dtls1.0 = tls1.1기반 
     -- dtls1.2= tls1.2기반 
 > 양쪽 엔드 포인트의 중간 네트워크에서, 전송 중인 데이터 도청, 변조, 메세지 위조 등  네트워크 상에서 발생할 수 있는  공격들을 막을 수 있다.

> 사전 비대칭키 교환을 통한 암호화를 제공

▰ 사용 사례

  - 리치 미디어, 클라우드 게임, 스트리밍 미디어, IoT
 > 리치미디어란,
   인터넷 광고용어로 기존의 단순한 형태의 배너광고보다 풍부한 정보를 담을 수 있는 매체, 기존의 텍스트 위주의 컨텐츠를 넘어 풍부한 정보를 담고 있으며
인터넷에서 사용자와의 상호작용을 지원하는 새로운 형태의 매체(media)를 뜻함

▰ 사용 이유

  - 짧은 시간에 많은 패킷을 전달해야 하는 오디오/비디오/IoT기기를 사용하는 UDP 기반의 영상 통신에 보안성을 더하기 위해 사용되고 있음

▰ 문제점

 - 데이터 손실, 단편화,reordering,replay와 같은 문제를 위한 추가 기술이 들어가 tls보다 성능이 저하된다. 
경량화 장치에 이식되기 힘듦

● 가명정보

 > 추가 정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 정보로, 개인정보 중 일부를 삭제하거나 모호하게 표시해 누군지 알 수 없게 만든 정보를 뜻한다.

● DTLS(추가)

 > udp 기반 통신 전달 데이터 보안 프로토콜이란 ( transport 계층 )
 데이터그램 형식의 콘텐츠로 어플리케이션끼리 주고 받을 때, 안전하게 전달할 수 있도록 고안된 통신 프로토콜
SSL,TLS와 같은 보안 서비스를 제공 ( 무결성, 인증, 정보 은닉 등 ) 
양쪽 엔드 포인트의 중간 네트워크에서, 전송 중인 데이터 도청, 변조, 메세지 위조 등 네트워크 상에서 발생할 수 있는 공격들을 막을 수 있다.
ssl,tls 토대로 만듦 보안 강도는 tls와 유사
데이터 손실, 단편화,reordering,replay와 같은 문제를 위한 추가 기술이 들어가 tls보다 성능이 저하된다.
경량화 장치에 이식되기 힘듦
사전 비대칭키 교환을 통한 암호화를 제공
dtls1.0 = tls1.1기반
dtls1.2 = tls1.2기반

/사용 사례/ 리치 미디어, 클라우드 게임, 스트리밍 미디어, IoT
리치미디어란,
인터넷 광고용어로 기존의 단순한 형태의 배너광고보다 풍부한 정보를 담을 수 있는 매체,
기존의 텍스트 위주의 컨텐츠를 넘어 풍부한 정보를 담고 있으며
인터넷에서 사용자와의 상호작용을 지원하는 새로운 형태의 매체(media)를 뜻함

/사용 이유/
짧은 시간에 많은 패킷을 전달해야 하는 오디오/비디오/IoT기기를 사용하는 UDP 기반의 영상 통신에 보안성을 더하기 위해 사용되고 있음
데이터그램
 헤더 + 페이로드 형태로 인터넷을 통해 전송되는 기본적인 정보 단위
신뢰성까지는 필요없는 통신에 주로 사용하며, UDP가 대표적인 데이터그램을 이용하는 프로토콜 입니다.
 <-> 패킷

● 정보보호 및 개인정보보호 관리체계 인증

> /의무 대상/ 

  ISP, IDC, 연간 매출액 및 세입 등이 1500억원 이상, 정보통신서비스 부문 전년도 매출액이 100억 이상, 전년도 말 기준 최근 3개월간 일평균 100만명 이상인 기업. 상급종합병원, 재학생 수 1만명 이상인 학교( 고등 교육이 가능한(=대학) ), 금융회사 제외

/인증 체계/

 정책 기관 - 과학기술정보통신부, 개인정보보호위원회

 인증 기관 - KISA, 금융보안원

 심사 기관 - KAIT,TTA,OPA

/인증 기준/

 1. 관리체계 수립 및 운영 ( 16항목 )

 2. 보호대책 요구사항 ( 64 항목 )

 3. 개인정보 처리 단계별 요구사항 ( 22항목 )

 -- 정보보호 관리 체계 인증 ( 1,2 기준 점검 )

 -- 정보보호 및 개인정보 관리체계 인증 ( 1,2,3 기준 점검 )

/인증 과정/

추가 예정

● 하루 책 10p 읽기_몰입(flow)

 > 의식을 통제하는 법 

 ① 목표를 설정해라 - 목표를 기준으로 기술을 발전, 기술을 기준으로 목표를 설정 두 가지 경우가 존재

 ② 지속적인 피드백

 ③ 현재 하는 활동에 몰입

 ④ 주변 상황에 관심 기울이기 ( 자신을 제한하지 말자 )

 ⑤ 삶에 일정한 기준, 조화를 이루는 목표 설정 ( 무질서한 목표 설정 보다는 돌이켜 봤을 때 큰 의미를 가질 수 있는 )

● 하루 10분 책 읽기 - 몰입, FLOW

 > 스트레스를 회피, 화풀이, 과음 등의 퇴행적 행동, 미숙한 방어로 대처 금물, 직면한 문제를 논리적으로 분석하고 재규정함으로써 더 나은 해결책을 모색해야 한다. 

 > 소산 구조의 힘. 운동으로 분산되어 유실되는 에너지를 이용한 물리적 체계를 "소산 구조"라고 함. 무질서 속에 존재하는 쓸모없는 것을 조화로운 질서로 재생시키는 능력, 무질서한 힘을 활용 가능한 것으로 변화시키는 기술 ( 인류가 진화할 수 있었던 이유이기도 한 )을 통해 어떤 비극적 상황에서도 대처 기술을 발휘할 수 있게 된다.

● Google 서드 쿠키 제한

 > 맞춤형 광고를 통해 수익을 올리고 있는 회사들이 google의 이런 정책으로 반발이 심한다고 한다. 제3자가 이용자의 쿠키를 빅데이터화하여 맞춤형 광고를 제공하는 형식인데, google의 정책으로 이 방식으로의 수익 창출이 막혀버린 것이다. 구글의 이러한 태도는 더욱 강화되는 개인정보에 대한 규제 및 인식 때문이라고 볼 수 있다. 일각에서는 google ads의 독점적 이용을 위한 조치라는 비난도 존재한다.

● Apple IDFA 제한

 > Apple IDFA란 광고 식별자로 디바이스당 부여되는 아이디 값으로 해석 될 수 있다. 이를 통해 광고주 들은 이용자의 행동 패턴을 분석하는 등, 수익과 직결되는 값이다. 이를 Apple에서 제한한다고 한다. Google 서드 쿠키 제한과 같은 이유로 보인다.

● 이동통신사 위치정보 관리 미흡

 > 주요 이동통신사들이 고객의 위치정보를 사전 동의 없이 별도 DB에 보관하고 있다는 사실이 드러났다. 기지국 전파를 이용하여 위치를 특정 지을 수 있으며, 코로나 19 확진자 동선 파악을 위해 제공된 경우는 괞찮을 지라도 그 목적 외로 패턴 분석용 데이터 수집이 이루어지고 있다고 한다.

● 하루 10분 책 읽기 - 몰입, FLOW

 > 사고 피해자들이 비극적인 사건을 겪어도 긍정적인 사고를 할 수 있었던 이유는 그 사건을 말미암아 상충되고 불필요한 목표를 줄이고 보다 분명한 목표에만 집중할 수 있게 되었기 때문이다.

   사견) 오히려 비극적인 사건으로 불구가 되거나 장애를 가지게 된 사람의 경우보다 활동적인 성격으로 바뀌거나 보다 전략적으로 삶을 살아가려고 바뀌는 경우가 많은 것 같다. 잃고 나니 소중함을 깨닫게 되고 건강했을 때 보다 좀 더 심중 해지는 경험은 누구나 한번쯤은 있을 것이다. 

 > 환경을 통제하려 하지 말고, 환경에 일부가 되어라.

 > 부유한 사람에게는 부러움을 느끼지만, 고난과 역경을 이겨낸 사람에게는 존경심을 느낀다.

▰ AIR-FI 공격이란?

 - 에어 갭 네트워크 환경에 있는 컴퓨터에서 Wi-Fi 신호를 강제로 발생시켜 데이터를 탈취하는 공격 기법

  ※에어 갭 네트워크 : 외부 연결망과 단절된 네트워크

▰ 공격 순서도

 ① 에어 갭 네트워크 환경에 있는 컴퓨터에 악성코드 심기 ( 악성 USB, 사회공학적 기법 등 )

 ② RAM 카드를 조작해 Wi-Fi 주파수 신호 방출

 ③ 해당 신호를 이용해 다른 장비로 데이터 수신

 ④ 중요 데이터 탈취 ( 대용량 데이터 전송은 무리 )

▰ 내용

 - 12월 이스라엘의 한 보안 연구원이 에어 갭 네트워크 환경에서 데이터를 유출시킬 수 있는 공격 기법인 AIR-FI를 공개했다. 해당 방법을 이용하여 별도 와이파이 기능이 없는 컴퓨터에서 와이파이 신호를 발생시켜 외부 접근이 가능하도록 만들었다. 해당 공격 기법에 의한 사례는 존재하지 않지만, 악용될 가능성이 충분히 있으며 해당 공격에 대비할 수 있는 방법을 고안해두어야 할 것이다.

▰ 관련 동영상

▰ 관련 설명 자료

● AIR-FI 공격

 > 에어 갭 네트워크( Air-gap network )는 외부와 단절된 네트워크망을 의미하고, 에어 갭 네트워크에 존재하는 컴퓨터 RAM을 오염(USB 같은 기기 활용)시켜 Wi-Fi와 동일 주파수의 신호를 방출하게 만들어 내부 정보를 외부로 빼갈 수 있는 환경을 구성하는 공격. RAM을 Wi-Fi처럼? ( 자세한 내용을 포스팅해봐야겠다. )

 > 정리글

2021/01/06 - [IT INFO/보안 관련] - AIR-FI 공격

출처 : CCTV뉴스(http://www.cctvnews.co.kr)

● 하루 10분 책 읽기 - 몰입, FLOW

 > '결과'를 금전적 가치로 측정해야 한다는 생각을 당연하게 받아들이고 있다. 하지만 인생에서 경제적인 관점으로만 접근하는 건 합리적이지 못하다. 진정한 가치는 경험의 질과 복합성에 있다.

 > 자신의 삶을 통제하는 법도 먼저 배우지도 못했으면서 다른 사람의 삶을 개선하려고 노력하는 사람은 결국 사태를 악화시킬 뿐이다.

● DTLS ( Datagram Transport Layer Sercurity )

 > UDP 기반 통신 전달 데이터 보안 프로토콜

 > 데이터그램 형식의 콘텐츠로 어플리케이션끼리 주고받을 때, 안전하게 전달할 수 있도록 고안된 통신 프로토콜

● 이랜드 그룹 랜섬웨어 공격

 > 랜섬웨어 공격조직에 의해 매달 10만 건씩 총 100만 건 카드 정보 유출...

 > 다크웹에 무방비 노출 총 200만 건 빼왔다고 주장

 > 별다른 조치 없음.. 그대로 노출 시킬 듯.. 445억 원 요구했다는데... 너무 햇

● 하루 책 10p 읽기 ( 몰입, flow )

 > 가정 속 자녀 교육을 위해, 진정으로 동움이 되는 일은 살아있는 모범을 보여주는 것, 그리고 구체적 기회를 제공해 주는 것, 이를 못 이룰 시 청소년의 나름대로의 출구 찾는 걸 나무랄 순 없다.

 > 우리 시대의 가장 기본적인 시대 착오 가운데 하나는 가정생활이 저절로 꾸려지는 것이며, 가정 문제를 다루는 최선의 전략은 느긋하게 기다리면 된다는 생각이다.

 > 가정도 공동 조직, 존속을 위해서 지속적인 투자가 필요하다.