이번 KISA에서 개인정보 서문조사 후
해당 부분이 안되어있다는 걸 지적 받았습니다.
그룹웨어도 (HPPTS) SSL 설정해서 운용 해야 하는 건가 해서요.
개인정보는 휴대폰 번호 , 주소 이메일 입니다.
사내 외 접속 가능 (어디서든 접속은 가능)
일단 IP 모두 허용 한 부분에서 내부결재 랑 중요 문서들 유출이 있을 수 있어서.. 이 부분은 사실상 바꿔야 하는건 인지 하고 있습니다.
그룹웨어도 HTTPS 필수적 운용이 맞는지 궁금합니다.
2020-09-14(월) 11:54:25에 작성 되었습니다. 2020-09-14(월) 13:52:41에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
7개의 답변이 있습니다.
댓글 달아주신 분들 모두 감사합니다.
패킷 떠보니 정말 쉽게 뚤리 더라구요..
그래서 해당 부분 가지고 건의를 하긴 했는데 그렇게 까지 하는 사람이 있겠냐? 라는 반응이라서.
좀더 확실하게 건의 해야 할 것 같은데 어떤 방식 이 좋을까요?
그룹웨어를 도입 한거라 추가 할러면 비용이 발생한다 하니.. 꼭 필요한 부분인가? 이런 것 같습니다.
내부적으로 아직 보안 정책이 수립된게 없는 회사라서 더 힘듭니다. 전산쪽 지원도 많이 안해주고요.
차바라기 | 3년 이상 전
그러면 더 힘들죠~전산쪽 지원이 없다면 사설SSL 인증서 만들어서 사용해보세요~
빨간신발 | 3년 이상 전
지금 현 상태는 대문 다 열어두시고
설마 도둑이 들겠어?
하는것과 같습니다
문제는 털려도 털린걸 인지하지 못하고
이미 털렸을 가능성도 있습니다
나중에 사고라도 나면 변명의 여지도 없습니다
전산쟁이 | 3년 이상 전
SHA-265 로 암호화 하는데도 필요 하겠죠? 이 부분 때문에 로그인 정보 알 수 없으니 큰 문제 없다고 생각하시는 듯 합니다.
외부에서 접속이 허용된 웹페이지면 SSL 처리 하는게 맞죠.
SSL 처리가 전혀 안되고 있다면 지금 현재 그룹웨어 로그인 할때 패킷 덤프 뜨면 모든 직원 ID/PASS 평문 그대로 노출 될 것 같습니다.
침해 사고 당할 확률이 엄청 높고 해당 사이트에 있는 정보들 (직원들 개인 정보, 결제 정보 등) 노출 될 가능성이 높고 그 그룹웨어를 통해 내부 시스템에 추가로 뚤릴 가능성도 높죠.
외부에서 접속이 가능하다면 HTTPS는 기본이라고 봐야죠.
내부에서 접속해도 안전한 통신을 위한 보안 조치가 필요한데, 외부에서 접속할 수 있게 노출된 서버라면 안전한 통신을 할 수 있게 통신에 있어 암호화 조치를 취해야 할것 같네요.
ssl을 적용해서 https 를 이용하거나 아니면 다른 암호화 통신 기술을 적용해서라도 안전한 통신이 가능하게 조치를 취해야 하겠네요.
kisa 개인정보 지적보다 도입전 도입이후에라도 https로 가야 하는게 맞죠
https는 서버를 인증하고 안전하게 데이터 전송을 암호화하여 교환 시 변조 되지 않도록 보호 해줌으로
(사용자이름, 비밀번호 , 신용카드 및 은행정보, 기타 양식 제출 정보)에 대해 해커가 이를 가로채커나
도청하지 못하도록 하죠
개인정보를 떠나서 로그인하는 시스템은 무조건 https로 해야죠
사외에서 접속 가능하면 무조건 아닌가 싶네요.
KISA에서 지적사항이 나왔으면 HTTPS 인증서 구매해서 설치를 하셔야 합니다.