22년 3월 둘째주(개인정보 처리 동의 안내서, 처리방침 작성지침 등)

beginner_king·2022년 3월 14일
0

[보안 강자 맨디언트, MS가 아니라 구글에 안착하다]
https://m.boannews.com/html/detail.html?mtype=2&tab_type=D&idx=105349

구글의 사이버 보안 전문기업 ‘맨디언트’ 매입
특히 구글 클라우드 플랫폼(GCP) 보안에 강화가 있을 것으로 예상

[보안 취약점에 대한 대처, 공격자에 비해 느려도 너무 느리다]
https://m.boannews.com/html/detail.html?tab_type=1&idx=105378

취약점 도출 시 공격자의 행동에 비해 보안 대책 적용은 너무나 느리다,
매체에 많이 노출된 취약점일 수록 대처 적용 빠름, ex)log4j

[정보보호 공시제도, 의무대상 기업 후보 622곳 공개! 국내외 대기업 총망라]
https://m.boannews.com/html/detail.html?mtype=3&tab_type=6&idx=105396

6/30까지 정보보호 공시 의무대상 기업 후보 622곳 발표
-정보보호 투자 현황
-정보보호 인력 현황
-정보보호 관련 인증, 평가, 점검 등에 관한 사항 등이 공개됨

[의무대상]
(사업 분야 기준)
-기간통신사업자
-집적통신시설 사업자
-상급종합병원
-클라우드컴퓨팅 서비스 제공자(IaaS) 
(매출액/이용자 수 기준)
-CISO지정해야하는 매출액 3,000억 이상의 상자업인
-일일평균 이용자 수 100만명 이상
(+) 공공기관, 소기업, 금융회사, 정보통신업 또는 도소매업을 주 사업으로 하지 않는 전자금융업자 제외

[중요 내용 20% 이상 크게 표시… 읽지 않고 누르는 개인정보 관행 개선]
https://n.news.naver.com/article/003/0011038343

개인정보 위원회, ‘알기 쉬운 개인정보 처리 동의 안내서’ / ‘개인정보 처리방침 작성지침’ 공개
-개인정보 동의를 받을 때 홍보 목적, 민감 정보 처리 등 중요내용의 경우 9포인트 이상으로 다른내용보다 20% 이상 크게하거나 색깔, 굵기, 밑줄 등으로 알기 쉽게 표현해야 함
-동의 내용은 전문용어가 아닌 쉬운 언어로 누구나 이해할 수 있게
-필요 최소한 범위 외 개인정보 처리 거부 이유로 재화나 서비스 제공 거부 등의 불이익을 줘서는 안됨
-개인정보 처리방침 핵심사항을 쉽게 알아볼 수 있도록 기호로 구성한 개인정보 처리 표시제(라벨링)을 도입해 처리방침 앞부분에 요약된 형태로 공개

[마이텔 장비 사용해 디도스 공격 40억배 증폭시키는 공격자들]
https://www.boannews.com/media/view.asp?idx=105339

마이텔(Mitel)에서 만든 통신 및 협업 시스템인 마이콜랩(MiCollab)과 마이보이스 비즈니스 엑스프레스(MiVoice Business Express) 약 2600대가 잘못된 방식으로 구축되어 있으며, 이로 인해 발생한 취약점이 CVE-2022-26143인데, 이를 익스플로잇 할 경우 디도스 공격을 40억 배 넘게 증폭시킬 수 있게 된다고 함
이 취약점에는 TP240PhoneHome이라는  이름이 붙기도 함

[아직도 취약한 로그4j 패키지들이 40%정도 다운로드 되고 있다]
https://www.boannews.com/media/view.asp?idx=105377

원인은 소프트웨어 공급망 관리 부실과 낮은 인식 수준, 일부는 보안 연구를 위해 일부러 다운로드
아직 수많은 sw와 애플리케이션이 취약한 버전의 소프트웨어와 연계되어 있어 특정 버전을 리포지터리에서 삭제하기 어려움
profile
보초왕

0개의 댓글