Security Story

▶제1조 안전성 확보조치 기준 소개법적 근거: 개인정보 보호법 제29조 안전조치 의무, 제30조 제1항목적: 개인정보 분실,도난,유출,위조,변조,훼손되지 않게 기술적,관리적,물리적 안전조치의 최소 기준을 정함적용 대상: (자체 또는 타인을 통해) 개인정보를 처리하는 모든 공공기관, 법인, 단체, 사업자, 개인 등​※처리: 업무를 목적으로 개인정보파일을 운용​아래 사진들은 안전조치 의무 관련 법령이다.다음은 개인정보 주요 업무 절차의 예시이다. ​​​▶제4조 내부관리계획1. 정의개인정보가 분실,도난,유출,위조,변조,훼손되지 않도록 안전하게 처리하기 위해 수립 및 시행하는 관리적 안전조치전체에 통용되는 내부규정개인정보 처리 및 보호 업무 기준데이터 3법 개정에 따라 가명정보 처리를 위한 안전조치 의무 신설①..

▶새로운 대상 규율1. 이동형 영상정보처리기기의 설치 및 운영 제한(제25조의 2)이동형 영상정보처리기기 예시위의 사진은 이동형 영상정보처리기기의 예시이다. 드론, 자율주행자동차, 로봇, 캠코더, 핸드폰 카메라 등이 있다. ​[1주차]입문 1교시_개인정보보호법 주요내용(1)에서 이동형 영상정보처리기기 관련 법률에 관하여 다루었다. 해당 주차에선 아래 내용을 살펴보았다.사람이 신체에 착용,휴대하거나 이동 가능한 물체에 부착,거치하여 촬영,전송하는 장치업무를 목적으로 공개된 장소에서 촬영 금지(예외 사항 존재)​여기서 일부가 개정되었다.​① 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 촬영은 일반적으로 금지② 촬영이 허용되는 경우제 15조 제 1항 각 호의 어느 하나에 해당하는 경우촬영 사실을 ..

▶개인정보 유출/노출 개념개인정보 유출이란?정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 경우이다.※유출의 사전적 정의: 귀중한 물품이나 정보 따위가 불법적으로 나라나 조직의 밖으로 나가 버리거나 내보냄.​즉, "불법적인" 행동으로 개인정보가 외부로 빠져나간 것을 의미한다.EX) 외부 해킹이나 내부 직원의 불법행위로 개인정보가 빠져나간 경우 개인정보 "유출"이 발생했다고 할 수 있다.​개인정보 노출이란?홈페이지 상 개인정보가 공개되어 누구든지 알아볼 수 있는 상태​유출의 사례처럼 해커나 내부직원에 의해 빠져나가는 것뿐만 아니라 정보 주체의 실수로 빠져나가는 경우도 개인정보가 "노출"되었다고 한다.EX) SNS에 개인이 올린 글에 개인정보가 포함된 경우는..

▶실습(1)_회원가입 시 개인정보 수집 및 이용 동의서Q. 동의서의 잘못된 부분을 찾으시오.▶해설1. 필요 최소한의 정보 수집: 회원가입 시에는 회원가입과 관련된 최소한의 사항만 작성, 필요 최소한의 개인정보만 수집해야한다. 위의 수집 항목에 거주지 주소, 소속기관, 응시번호, 자격증 번호는 과다한 정보이다. → 제 16조 개인정보의 수집 제한: 정보주체의 동의를 받거나 법령의 처리 근거 또는 계약의 체결∙이행 등을 위해 불가피하게 개인정보를 수집하는 경우에도 처리 목적 달성에 필요한 최소한의 개인정보만을 수집.​2. 주민등록번호 수집 이용 근거가 고지되어 있지 않음→ 제 24조 2항 주민등록번호의 처리 제한: 원칙적으로 주민등록번호는 정보 주체의 동의를 받아도 처리 불가하나 법률 등에서 구체적으로 처리..

▶참고https://www.privacy.go.kr/front/main/main.do개인정보 포털개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.www.privacy.go.kr    ▶개인정보보호법 개요1. 개인정보란? (개인정보의 판단기준)​1) 식별가능성 - 그 자체의 식별 가능성: 가명처리를 하여 가명정보로 만듦, 추가 정보의 결합 없이는 특정 개인을 알아 볼 수 없음​ - 타 정보의 결합을 통한 식별 가능성: 다른 정보와 쉽게 결합하여 추정할 수 있음 즉, 정보의 결합을 통해서 쉽게 특정 개인을 구분할 수 있음​※가명정보: 추가정보를 사용하지 않고서는 특정 개인을 알아볼 수 없도록 가명처리한 정보개인정보: 살아 있는 개인에 관한 정..

보호되어 있는 글입니다.

▶문제​​​▶풀이문제 서버에 접속을 했다. 일단 문제에서 로그인을 먼저 하라고 했으니까...로그인을 해야겠다.근데 그 전에 "Forget your password?" 이게 눈에 띄어서 먼저 들어가봤다.일반 사이트처럼 비번을 잃어버렸을 때와 똑같이 사용자 아이디를 입력하여 비번을 재설정하는 것이다. 딱히 더 얻을건 없으니 문제 파일을 다운받았다.파일 이름이 defaults다! 문제에서 기본 설정을 이용한 서비스라고 했으니 여기에 뭔가 아이디와 비번에 대한 정보가 있을 것 같다.와 코드 역대급으로 길다. 코드 전체는 캡처는 못하겠다...이 길고 긴 코드에서 아이디와 비번에 관한 정보를 찾아야하는데 일일이 다 내려보면서 볼 수 없으니까 검색 기능을 이용해보았다. 검색:Ctrl+f일단 처음에는 id와 ID를 검..

▶문제문제가 길다. Step 1 -> Step 2 -> FLAG 순으로 문제를 푸는 것 같고...플래그가 있는 파일과 변수를 알려주고 있다.​​​▶문제 속 용어 정리웹 프레임워크웹 개발 프로세스의 일부 측면을 자동화하여 더 쉽고 빠르게 만들 수 있는 소프트웨어 도구이다.​파이썬 플라스크(Python Flask) 웹 애플리케이션 개발을 위한 파이썬 프레임워크이다. 마이크로 프레임워크로 최소한의 구성 요소와 요구 사항을 제공하기 때문에 시작하기 쉽고 필요에 따라 유연하게 사용할 수 있다.​​​▶풀이문제 서버에 접속하였다. 일단 STEP 1부터 풀어야하기에 STEP 1로 들어가준다.param, param2의 값을 입력하면 STEP 2로 넘어갈 것 같다. 여기서 개발자도구를 열어야하나...문제 파일을 봐야하나...

▶문제​​​▶문제 속 용어 정리1. SQL : 데이터베이스에서 데이터를 추출하고 조작하는 데에 사용하는 데이터 처리 언어2. SQL INJECTION: 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위 3. SQL INJECTION 취약점: 데이터베이스와 연동된 웹 애플리케이션에서 공격자가 입력 폼 또는 URL 입력란에 SQL 구문을 삽입하여 DB를 조작할 수 있는 취약점​​​▶풀이서버에 들어가니 위와 같은 화면이 나왔다. uid와 upw를 입력해야할 것 같다. 우선 문제에서 언급한 init.sql 파일을 열어보았다. 파일명으로 보아하니 주입하는 sql문과 관련된 내용이 있을 것 같다.위와 같은 코드가 나왔다. ..

▶문제​​​▶풀이서버에 접속하니 위와 같이 닉네임과 패스워드를 입력하는 화면이 나왔다. 이 두가지를 입력해야 step 2로 넘어갈 수 있다. 문제 파일을 다운 받으니 index.php와 step2.php 두 가지 파일이 있다. 우선 step2로 넘어가야하니까 step2.php파일을 살펴보았다. 위의 사진은 복잡한 코드들 중 nickname과 password에 관련된 부분이다. name == "dnyang0310", pw == "d4y0r50ng+1+13"으로 name과 pw가 그대로 나와있었다. 근데 위의 name과 pw를 입력하면 step2로 넘어갈 수 없다. 다시 코드를 잘 보니 비밀번호에 필터링이 적용되었다는 주석을 발견할 수 있다. 즉, 사용자로부터 입력받은 값에 필터링이 적용되어 해당 값들을 그..