Learning 2 Aid

  1. 개인정보 수집 동의를 받는다. 개인정보보호법 제15조(개인정보의 수집ㆍ이용)에 따라 정보주체에 고지하고 동의받는다. ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보의 수집ㆍ이용 목적 수집하려는 개인정보의 항목 개인정보의 보유 및 이용 기간 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. 개인정보보호법 제22조(동의를 받는 방법)에 따라 별도 동의 받는다 제22조(동의를 받는 방법)  ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제22조의2제1항에 따른 법정대리인을 포함...

NIA에서 발표한 2023년 감리사 자격검정이 공고되었습니다. 예상대로 필기시험 일자는 4월 29일(토)입니다. 3월 27일부터, 4월 5일까지 원서를 접수하니 일정내 접수할 수 있도록 서류를 준비해야겠습니다. 공고문에서 가장 관심있는 부분은 필기시험 세부 출제내용이겠지요. ' 감리 및 사업관리 '에서 프로젝트관리 영역에서는 PMBOK의 version이 삭제되었습니다. PMBOK가 7th version으로 변경되었는데, 지식체계가 변경되어 감리사 시험에 출제하기 어렵게 되어, 이를 반영한 것으로 보입니다. 2023년 시험에서 사업관리 문제가 출제될 때 PMBOK의 명시여부와 version 명시 여부를 확인해야겠습니다. 다음은 2022년과 2023년 출제내용 비교입니다. <2022년> <2023년> ' 소프트웨어공학 '이 가장 많이 변경되었습니다. 요구사항분석 및 설계, 구현 및 테스트, 개발방법론, SW 구조, SW 품질 영역에서 6개 topic이 변경되었습니다. <2023년> SysML SW뿐 아니라 HW 장치를 포함하는 시스템 수준의 모델링을 위해 기존 UML 보완 spec : OMGSysML-v1.7.pdf UML과 SysML 관계 SysML 다이어그램 종류 ISO/IEC 5055 “ISO/IEC 5055:2021 자동 소스 코드 품질 측정”은 ISO/IEC 25010-2에 제시된 소프트웨어 제품 품질 모델에 정의된 네 가지 품질 특성에 대해 소프트웨어 제품 수준(소스 코드)에서 측정을 정의 각 측정은 측정되는 품질 특성에 영향을 미치는 소스 코드의 심각한 약점(Weakness) 수에서 계산 각 약점은 소프트웨어 제품의 품질 분석을 위한 자동화 도구의 개발을 안내할 수 있는 하나 이상의 탐지 패턴과 연결되어 있음 ISO/IEC 25023은 ISO/IEC 25010-2의 품질 모델에 대한 소프트웨어 동작수준의 측정을 정의. 따라서 ISO/IEC 5055:2021은 ...

 AI 보안을 공부하기 위해서는 AI, 머신러닝이 어떻게 진행되는지 알면 좋습니다. 진행되는 과정에서 취약성을 식별할 수 있고, 이 취약성을 이용하여 Adversarial Attack을 할 수 있습니다.  🔅 Adversarial Attack 종류 학습할 때 데이터를 이용하여 공격하는 방법이 Poisoning/Evasion attack이고, 학습이 된 상태에서 cleansing된 데이터를 훔쳐가는 것이 Inversion 공격, 잘 만들어진 모델을 훔쳐가는 것이 Extraction 공격입니다. 아래 동영상은 머신러닝 과정을 설명하고 있습니다. 위 공격과 관련된 용어가 나와서 왜 공격 명칭을 저렇게 지었는지 알 수 있습니다.

 개인정보의 안전성 확보조치 기준(2021.9.15 시행) 제7조(개인정보의 암호화) 제1항 입니다. ① 개인정보처리자는 고유식별정보, 비밀번호, 생체인식정보를 정보통신망 을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.  여기서 정보통신망이 내부망도 포함되느냐에 대한 정리입니다. 이에 대해 변호사님의 답변은 "비밀번호와 생체인식정보는 암호화 해야 한다"입니다. 확인 => 법률메카 이는 과거 행안부 점검 가이드라인을 근거해서 답변한 것입니다. 가이드라인에서는 아래와 같이 안내하고 있습니다. 개인정보보호 자율점검 가이드라인 29페이지 참조 => 자료 다운로드 다락원 모의고사도 이 가이드라인을 근거로 해서 출제하였습니다.

 3.4.1과 3.4.2의 가장 큰 차이는 '보유' 라는 키워드로 설명 드릴 수 있겠습니다. 먼저 3.4.1 보유할 이유가 없을 경우 조치 입니다.(이렇게 조치하지 않을 경우 결함) 아래의 경우 회원 가입 기간에서 상담내역은 전자상거래법에 따라 3년간만 보관해야 합니다. 회원 탈퇴 전 3년을 경과한 상담 정보를 삭제하지 않은 것은  파기 결함입니다.(결함사례3) 마찬가지로 회원 가입 시 보유기간을 회원 탈퇴 시까지 받았으므로 회원 탈퇴 후 5일 경과 후 회원 테이블에 남아있다면 파기 결함입니다.  

  개인정보 제3자 제공은 목적범위내 제공 제17조(개인정보의 제공)  ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.> 정보주체의 동의를 받은 경우 2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보를 제공받는 자 개인정보를 제공받는 자의 개인정보 이용 목적 제공하는 개인정보의 항목 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다. ④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. 사례(개인정보 보호법 표준 해석례, 20페이지) 목적 외 제3자 제공 제18조(개인정보의 목적 외 이용ㆍ제공 제한)  ① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나  제17조제1항 및 제3항에 따른 ...

107. 다음 중 데이터베이스 보안 요구사항으로 가장 적절하지  않은  것은?   ① 데이터에 대한 허용 값을 통제함으로써, 변경 데이터의 논리적 일관성을 보장한다. ② 중요 데이터에 대한 기밀성을 보호하고, 인가된 사용자만 접근을 허용해야 한다. ③ 사용자가 통계 집합적 데이터로부터 개별적인 데이터 항목에 대한 정보를 추적할 수 있어야 한다. ④ 트랜잭션의 병행처리시 데이터에 대한 논리적 일관성이 보장되어야 한다. 정답확인 [해설] ▣ DB 보안 요구사항 요구 특성 내 용 인증 (Authentication) -  데이터베이스에 접근하는 사용자가 정당한 사용자임을 확인 -  정당한 인증절차를 통하지 않고 데이터베이스 접근 불가 무결성 (Integrity) -  데이터베이스 내 정보의 부적절한 변경을 방지 및 감지 -  정당한 사용자라 할지라도 본인의 정보 이외에 다른 사람들의 정보를 임의로 변경하지 못하도록 처리 기밀성 (Confidentiality) -  데이터베이스 내 정보의 부적절한 접근 방지, 제지 및 감지 가용성 (Availability) -  데이터베이스 시스템에 대한 부당한 서비스 거부를 감지하고 예방하기 위한 기능   ▣ DB 보안 보안 유형 내 용 접근제어 -  사용자가 데이터베이스에 직접 접근 시 통제를 통한 보안 달성 정보흐름제어 -  사용자가 접근 가능한 데이터들 사이에서 정보의 분배흐름이 발생할 때 권한 없는 부당한 데이터의 전달을 통제하는 방법 추론제어 -  간접적인 수단인 추론채널, 통계추론 등으로 정보를 부당하게 얻지 못하도록 하는 방법 View -  가상 테이블인 View를 이용해 해당 계정에게 허가된 사용자 관점의 데이터만 볼 수 있도록 하는 보안 방법 Grant/Revoke - SQL...

106. SHA-2를 대체하기 위해서 발표한 해시함수인 SHA-3에 대한 설명으로 가장 적절하지  않은  것은?   ① SHA-3의 입력되는 데이터의 크기는 2 128 -1로 제한된다. ② SHA-1, SHA-2와는 전혀 다른 스펀지 구조가 사용되고 있다. ③ 출력 비트열의 길이에 따라 SHA3-224, SHA3-256, SHA3-384, SHA3-512의 4종류가 있다. ④ SHA-3는 해시값 생성뿐만 아니라 의사난수 생성기, 스트림 암호 등의 기능에도 활용할 수 있다. 정답확인 [해설] ▣ 해쉬함수 특징 1) SHA-0 ~ SHA-2 알고리즘 해시값 크기 내부 상태 크기 블록 크기 입력 한계 워드 크기 round 사용되는 연산 충돌 SHA-0 160 160 512 264 32 80 +,and,or,xor,rotl 발견됨 SHA-1 160 160 512 264 32 80 +,and,or,xor,rotl 발견됨 SHA-256/ 224 256/224 256 512 264 32 64 +,and,or,xor,shr,rotr - SHA-512/ 384 512/384 512 1024 2128 64 80 +,and,or,xor,shr,rotr -   2) SHA-3 안전성에 문제가 제기된 SHA-1과 SHA-2를 대체하기 위하여 NIST에서 SHA-3 해시함수 공모를 통해 선정한 해시함수 2007년 SHA-3 공모를 통해, 2012년 KECCAK 알고리즘이 SHA-3로 선정 SHA3-224, SHA3-256, SHA3-384, SHA3-512 4개의 해시함수와 SHAKE128, SHAKE256 2개의 확장 가능한 출력함수(Extendable-output functions, XOF)로 구성 입력 데이터의 크기 제한이 없음   3) SHA-3  스펀지 구조 MD5 구조를 가지는 SHA-1, SHA-2와 달리 SHA-3는 스펀지 구조를 갖음 b비트 순열을 갖...

105. 다음 중 무선 통신 암호화 기술에 대한 설명으로 가장 적절하지  않은  것은?   ① WPA2는 CCMP 알고리즘을 사용하여 암호화한다. ② WPA2는 Access Point에 접속하는 단말기마다 지정된 암호화 키를 재사용한다. ③ WPA-EAP는 사용자가 입력하는 아이디, 패스워드를 사용하는 사용자 인증 방식이다. ④ WPA-EAP는 사용자별 무선랜 연결 세션마다 지정된 암호화 키를 재사용한다. 정답확인 [해설] ▣ 무선랜 보안 WPA2는 개인/엔터프라이즈 모드에서 암호화 시 CCMP 사용 WPA2는 인증 시 개인모드는 PSK(Pre Shared Key), 엔터프라이즈 모드에서는 EAP 사용   WPA-EAP는 인증 시 PSK(Pre Shared Key)를 사용하지 않고 EAP를 사용  

104. 타원곡선 암호기술(ECC : Elliptic Curve Cryptography)에 대한 설명으로 가장 적절하지  않은  것은?   ① 타원곡선 암호기술은 소인수분해 문제에 기반을 둔다. ② 타원곡선 암호기술은 키 교환, 전자서명에 사용될 수 있다. ③ 타원곡선 암호기술은 다른 공개키 알고리즘에 비해 계산량이 적다는 장점을 갖는다. ④ 타원곡선 암호기술은 비교적 짧은 키 길이를 이용하여 RSA와 동일한 수준의 보안을 제공한다. 정답확인 [해설] ▣ 암호화 알고리즘 종류와 ECC ECC는 이산로그 문제에 착안하여 만들어 짐 256비트의 ECC키는 3072비트의 RSA키와 비슷한 암호화 레벨이며 키값이 커질수록 RSA보다 암호화 레벨이 급격하게 높아짐 비트코인에서 키 쌍을 생성하는데 사용 ▣ 타원곡선 타원곡선이란 아래 식을 만족하는 그래프를 뜻하며, 판별식(영어로 discriminant)이 0이 아니어야 함   ▣ 타원곡선에서 Private key와 Public Key ECC 상의 점 G를 d번 더하면 점 K가 될 때, d는 Private Key가 되고, K는 Public Key가 됨 점 G는 주어진 것이고 (secp256k1), 사용자가 d를 선택하여 (랜덤 혹은 기타 방법) 자신의 Private Key로 사용하고, 점 G를 d번 더해서 Public Key로 사용함 점 G를 d번 더하는 방법은 “Double-and-Add” 알고리즘으로 계산함 d를 알면 K를 쉽게 계산할 수 있으나, K를 알고 d를 구하는 것은 매우 어려움 Adding : 타원 곡선상의 서로 다른 두 점, P와 Q의 합의 연산 (P ＋Q)은 P와 Q를 연결하는 직선과 교차하는 곡선상의 점의 역인 R Doubling : 2P는 P+P로 표시하고, 점 P에 접하는 접선이 EC와 만나는 점을 구하고, 그 점이 x 축과 대칭인 점으로 정의함