슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

정철 평
5 years ago
Views:

1 2013 年 10 月 정보보호뉴스레터

매월첫째주월요일은롯데그룹정보보호의날! 롯데임직원의보안인식제고와고객정보보호활동강화를위하여정보보호위원회는매월 첫째주월요일을롯데그룹정보보호의날로지정하여운영하고있습니다. 2013 년 10 월그룹정보보호의날을맞이하여정보보호뉴스레터및활동계획을배포하오니 많은관심과실질적인예방을위한활동부탁드립니다.

2 매월첫째주월요일은롯데그룹정보보호의날! 롯데임직원의보안인식제고와고객정보보호활동강화를위하여정보보호위원회는매월 첫째주월요일을롯데그룹정보보호의날로지정하여운영하고있습니다 년 10 월그룹정보보호의날을맞이하여정보보호뉴스레터및활동계획을배포하오니 많은관심과실질적인예방을위한활동부탁드립니다. 1. 정보보호동향개인정보보호법위반한기업명단공개 2. ICT & 정보보호포커스 대기업표적공격성공시피해액 건당평균 27 억원! 무선랜보안이란? 아래한글보안업데이트권고 3. 개인정보보호판례 체인사업자직원이이용자의개인정보를열람및오용 4. 정보보호위원회활동및계획 月정보보호교육및세미나안내

3 1 최근정보보호동향 (1/2) 개인정보보호법위반한기업명단공개 정부는개인정보보호법발효 2년이경과되었기때문에기업의개인정보유출책임을더욱높인다는방침이다. 기업들의정보보호기반구축, 제도안정화를거쳐이제는보호수준을끌어올리겠다는의지로방송통신위원회, 미래창조과학부, 안전행정부, 금융위원회등정부중앙부처들이개인정보보호수준강화를위한목표를세우고추진에나선다. 개인정보보호법행정처분현황 ( 11.9 ~ 13.8 기준, 건 ) 위반내용별 구분 계 CCTV 관리위반 안전조치미흡 위 수탁위반 고지의무불이행 기타 과태료부과 시정조치 개선권고 계 * 총 460개기관사업장점검, 362개기관사업장에대해 598건행정처분실시 ** 안행부, 방통위, 금융위등의인력으로개인정보합동점검단운영중 ( 12.11, 총리훈령 ) 안전행정부개인정보보호법에대한국민적인식이상당히높아졌으나, 개인정보를유출한기업이여전히민 형사상책임을지지않는경우가존재앞으로법위반기관 업체의명단을적극적으로공개해국민의알권리와기업의책임성을강화계획

1 최근정보보호동향 (2/2) 법위반기관 기업행정처분결과공표 주민번호유출기업 과징금부과및 CEO 징계권고 개인정보 민원예보제도입

의결을거쳐전자관보와홈페이지를통해공표 ( 많은양의개인정보를반복해서유출하거나불법적으로개인정보를팔고장기간위반상태를내버려둔기관이나기업의명칭을공개 )

국민신문고등각종민원제기사항이나언론보도등을종합적으로분석해개인정보침해우려가큰상황이나기간에는국민들이이에대응할수있도록 ' 개인정보민원예보제 '

현재일평균방문자수가 1만명이상인웹사이트대부분은주민번호수집을전면중단방통위는올해하반기부터 1만명이하웹사이트들도주민번호를수집하지않도록지도할계획

4 1 최근정보보호동향 (2/2) 법위반기관 기업행정처분결과공표 주민번호유출기업 과징금부과및 CEO 징계권고 개인정보 민원예보제도입 민간업종각종서식 일괄정비 개인정보보호법을위반한기관이나기업은위반행위내용과기간, 횟수, 피해범위, 과태료부과등행정처분내용등을개인정보보호위원회심의 의결을거쳐전자관보와홈페이지를통해공표 ( 많은양의개인정보를반복해서유출하거나불법적으로개인정보를팔고장기간위반상태를내버려둔기관이나기업의명칭을공개 ) 주민번호를유출한기업에대해서는최고 5억원의과징금을부과하고 CEO 징계권고제시행개인정보침해신고와상담현황, 국민신문고등각종민원제기사항이나언론보도등을종합적으로분석해개인정보침해우려가큰상황이나기간에는국민들이이에대응할수있도록 ' 개인정보민원예보제 ' 도도입주요민간업종의계약서등 163종의각종서식을간소하게정리해나갈계획 방송통신위원회주민번호미수집우선전환에주력. 현재일평균방문자수가 1만명이상인웹사이트대부분은주민번호수집을전면중단방통위는올해하반기부터 1만명이하웹사이트들도주민번호를수집하지않도록지도할계획 미래창조과학부 개인정보수집등의처리근거마련이필요한법령을일괄개정추진등 개인정보보호정책과제도를정비하고관리체계강화할방침 참고 : 디지털데일리이민형기자 ( ) 개인정보보호법시행 2 주년 정부, 개인정보보호수준제고에주력

5 2 ICT & 정보보호포커스 (I) 대기업표적공격성공시피해액 건당평균 27 억원! 카스퍼스키랩과 B2B International이공동으로최근에수행한 2013년글로벌 IT 보안위험조사에따르면, 대기업을상대로한표적공격이성공했을경우그피해액이최대 27억원에이르는것으로밝혔다. 표적공격은가장위험한종류의사이버보안위협중에하나이다. 전문해커가공격의준비와실행에참여하게되며상당한자금과광범위한 IT 지식을그바탕으로하고있다. 이러한공격의최종목표는일반적으로특정기업의기밀정보이기때문에기밀데이터의유출은유 / 무형의상당한손실로직결될수있다. 피해액이많은또다른공격의유형은네트워크인프라해킹으로인한공격이다 실제조사에응한기업에서약 9% 만이표적공격에노출되었으며훨씬높은비율인 24% 로네 트워크인프라가해킹되었다고말했으며평균 18.6 억원의손실이발생하였다. 기업데이터를고의적으로유출한경우는 19% 였으며손실액은평균 11 억원, 소프트웨어취약점을악용한공격은기업의 39% 에서발생했으며평균 7.3 억원이발생 최근사이버공격트렌드는금전적이익을노리면서조직화된범죄로발전하고있다. 기업에서는내부시설의체계적종합적보안을위한관리체계를만들고별도인원과예산을배정해보안성을높이고최신의사전방지및탐지기술시스템등을도입하여 IT 보안위협으로부터회사를보호해야할것이다. 참고 : 디지털시큐호애진기자 ( ) 기업표적공격성공시피해액 건당평균 27 억원! 5

6 2 ICT & 정보보호포커스 (II) 무선랜보안이란? 보안을설정하지않은무선랜은외부인이무선공유기를무단으로사용할수있고, 해커가 접속하여해킹, 개인정보유출등다양한보안사고를유발할수있습니다. 무선랜이용을위해설치되는무선공유기에는대부분자체보안기술이적용되어있어서, 직접보안설정을할수있습니다. 구분 WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (Wi-Fi Protected Access2) 인증 사전공유된비밀키사용 (64 비트, 128 비트 ) 사전에공유된비밀키를사용하거나별도의인증서버이용 사전에공유된비밀키를사용하거나별도의인증서버이용 암호방법 고정암호키사용 RC4 알고리즘사용 암호키동적변경 (TKIP) RC4 알고리즘사용 암호키동적변경 AES 등강력한암호알고리즘사용 보안성 가장취약하여널리사용되지않음 WEP 방식보다안전하나불완전한 RC4 알고리즘사용 가장강력한보안기능제공 < 일반적으로공유기에서제공하는보안기술 > 안전한무선랜 ( 와이파이 ) 7대이용수칙 1. 무선공유기사용시보안기능설정하기 2. 무선공유기패스워드안전하게관리하기 3. 사용하지않는무선공유기는꺼놓기 4. 제공자가불명확한무선랜이용하지않기 5. 보안설정없는무선랜으로민감한서비스이용하지않기 6. 무선랜에자동접속기능사용하지않기 7. 무선공유기의 SSID를변경하고숨김기능설정하기 6

7 2 ICT & 정보보호포커스 (III) 아래한글보안업데이트권고 현정부의외교정책을제목으로한악성코드가삽입된한글문서파일발견한글관련실행파일에해커가원격에서임의의코드를실행할수있는취약점이있어보안업데이트가필요합니다. 한글취약점은 ' 한컴오피스 2010', ' 한 / 글 ', ' 한 / 셀 ', ' 한 / 쇼 2010' 에만해당됩니다. 발견된문서는악성코드를 PC 에몰래설치하고개인정보를유출하며이메일을통한전파가능 성도있어유의해야합니다 해결방안 한글과컴퓨터홈페이지에서보안업데이트파일을직접다운로드받아설치 - 다운로드경로 : 한글과컴퓨터자동업데이트를통해한글최신버전으로업데이트 - 시작 모든프로그램 한글과컴퓨터 한글과컴퓨터자동업데이트 7

8 3 개인정보보호판례 (3) - 체인사업자직원이이용자의개인정보를열람및오용 - 개인정보분쟁조정위원회조정결정사례 ( 기술적 관리적보호조치미비 ) 사건 개요 신청인은피신청인의매장에서주문한음료수 ( 쥬스 ) 에문제가있어이를교환하는과정에서매장직원과마찰이있었고이일이있은지 1시간 30분여후, 미친 이라는내용이담긴문자메세지를수신 이동통신사에확인한바, 피신청인의매장직원이발신한문자메세지를확인 이에, 신청인은피신청인의매장에서패밀리포인트카드의포인트적립을위해알려준자신의전화번호를매장직원이쉽게조회하여, 악용할수있게함으로써개인정보가침해되었다고주장하면서, 피신청인에대하여처벌및손해배상을신청하는분쟁조정을신청함 피신청인 주장 피신청인은서비스문제로신청인과직원간에다툼이있은뒤에, 해당직원이판매정보관리시스템 (POS; Point of Sale) 에서휴대전화번호를조회하여문자메세지를보낸사실을인정함 신청인에게폐를끼친사실에대하여사과를하였으며시스템개선조치를취하고있으며, 동일또는유사한사례가재발하지않도록만전을기하겠다고소명함 위원회의견위원회결정 가. 신청인에게 미친 등의문자메시지를보낸피신청인의매장직원이한언행이고객정보의목적외이용에해당하는지여부 - 욕설문자메세지를보낸행위는인정되지만서비스불친절에대한불만제기과정에서다툰후에문자메시지를보낸행위를고객정보의목적외이용행위라고단정할수없으므로정보통신망법의규정을적용하는것은타당하지아니하다고판단 ( 다른법률영역에해당 ) 나. 매장직원이고객정보를열람할수있도록시스템을구성한피신청인의책임유무 - 판매정보관리시스템 (POS) 은가맹점의점주등접근권한자만로그인할수있도록구성되어있지만로그인한상태에서는매장직원누구라도개인정보를보고이용가능한상태라하겠음 - 결과적으로, 개인정보를마스킹처리하는기본적인보안조치도마련하지아니한피신청인은개인정보노출및유출위험방지를위한필요한기술적 관리적조치를취하도록한정보통신망법제28 조제1항규정을준수하지않은것으로판단됨 서비스제공을위하여수집한개인정보를권한자이외의직원도볼수있도록하여개인정보를노출시키고정신적 물질적피해를입힌사실이인정되므로, 신청인에게손해배상금으로금300,000원을지급 개인정보를안전하게관리할수있도록회원정보의암호화및접근권한등회원정보시스템및관리체계를정보통신망이용촉진및정보보호등에관한법률 의규정에따라정비하는제도개선할것을조정결정함 8

4 정보보호위원회활동및계획 1. 정보보호커뮤니티 ( 홈페이지 ) 개설정보보호위원회에서는정보보호담당자간의사소통채널강화및보안관련정보전달등의활동을위해정보보호커뮤니티를운영합니다. 정보보호실무담당자의업무효율성증가와담당자간유대감이증가될것으로기대하며많은활동을부탁드립니다.

9 4 정보보호위원회활동및계획 1. 정보보호커뮤니티 ( 홈페이지 ) 개설정보보호위원회에서는정보보호담당자간의사소통채널강화및보안관련정보전달등의활동을위해정보보호커뮤니티를운영합니다. 정보보호실무담당자의업무효율성증가와담당자간유대감이증가될것으로기대하며많은활동을부탁드립니다. 홈페이지주소 (URL) : 대상 : 정보보호실무담당자, 개인정보보호실무담당자, 전산실정보보호담당자 회원신청방법 : 홈페이지접속후 [ 계정발급신청 ] 메뉴이용 ( 승인후접속가능하며, 신청당일처리됩니다 ) 2. 하반기정보보호위원회개최 - 대상 : 그룹사정보보호담당임원 - 일시 : 10/24( 목 ) 9

10 5 10 月정보보호교육및세미나안내 1) ICT 산업전망컨퍼런스 구분 일시 2013 년 10 월 8 일 ( 화 ) 세부내용 * 참가비무료 장소주최내용 URL 일산킨텍스 3층회의실정보통신산업진흥원, 한국인터넷진흥원등정보보호및보안시장현황및전망 2) 2013 산업보안국제세미나 구분 일시 2013 년 10 월 25 일 ( 화 ), 13:00~18:00 세부내용 * 참가비무료 장소주최내용 URL 르네상스호텔다이아몬드홀 3F 한국산업기술보호협회, 한국산업보안연구학회산업기술보호에대한국내외최신동향 3) [10 월 ] 국가인적자원개발컨소시엄교육 구분 세부내용 * 무료 교육안내 교육일정 신청기간 제 3 기컨설턴트주니어 / 시니어 제 3 기디지털포렌식주니어 / 시니어교육 금융보안 3 기과정 금융보안과정 : 10.21( 월 ) ~ 10.25( 금 ) ( 총 40 시간 / 월 ~ 금 09:00 ~ 18:00) 컨설턴트주니어 3 기 : ( 월 ) ~ ( 수 ) ( 총 50 시간 / 월, 수, 금 19:30 ~ 22:00) 컨설턴트시니어 3 기 : ( 화 ) ~ ( 토 ) ( 총 50 시간 / 화 19:30 ~ 22:00, 토 13:00 ~ 18:00) 포렌식주니어 3 기 : ( 월 ) ~ ( 수 ) ( 총 50 시간 / 월, 수, 금 19:30 ~ 22:00) 포렌식시니어 3 기 : ( 화 ) ~ ( 토 ) ( 총 50 시간 / 화 19:30 ~ 22:00, 토 13:00 ~ 18:00) 2013 년 9 월 23 일 ( 월 ) ~ 수강정원마감시 교육장소 KISA 아카데미 ( 강남역플래티넘타워 12 층 ) URL 10

11 롯데정보보호뉴스레터 발행처 : 롯데그룹정보보호위원회 secu_policy@lotte.net Tel: (02)

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀