<BDC3BDBAC5DB20B0B3B9DF2EBFEEBFB5C0DAB8A620C0A7C7D15FB0B3C0CEC1A4BAB8BAB8C8A35FB0A1C0CCB5E5B6F3C0CE E B E687770>

Transcription

1 시스템개발 운영자를위한개인정보보호가이드라인

2 목 차 Ⅰ 가이드라인개요 1 제 1 절목적및개요 2 제 2 절적용범위 2 제 3 절가이드라인구성 3 제 4 절관련법령및지침 4 Ⅱ 개인정보처리시스템기획단계 5 제 1 절목적및개요 6 제 2 절적용범위 6 제 3 절기본원칙 6 제 4 절준수사항 7 1. 개인정보보호관련법령및지침검토 7 2. 개인정보수집최소화를위한방안마련 개인정보파기방안마련 주민등록번호이외회원가입방안마련 개인정보처리시스템에대한보안대책수립 개인정보저장및전송시암호화방식결정 개인정보처리 ( 취급 ) 방침수립 개인정보영향평가고려사항 시큐어코딩을적용한개발방안마련 28 제 5 절참조문서 29 Ⅲ 개인정보처리시스템개발 구축단계 30 제 1 절목적및개요 31 제 2 절적용범위 31 제 3 절기본원칙 31 제 4 절준수사항 개인정보수집시동의획득방안반영 개인정보파기방안반영 안전한비밀번호사용을위한정책반영 개인 ( 회원 ) 정보파일다운로드제한 개인정보처리시스템에대한접근통제 개인정보전송및저장시암호화적용 접속기록, 권한변경에대한로깅및저장관리 개인정보처리 ( 취급 ) 방침공개 개인정보가포함된출력물에대한보안조치 52 제 5 절참조문서 54 - i -

3 Ⅳ 개인정보처리시스템운영단계 55 제 1 절목적및개요 56 제 2 절적용범위 56 제 3 절기본원칙 56 제 4 절준수사항 개인정보처리위탁시준수사항 개인정보처리시스템원격접속시보안조치 개인정보처리시스템취약점진단 개인정보처리시스템접속기록및접근권한검토 개인정보유출시신고 개인정보이용내역통지 66 제 5 절참조문서 67 별첨 < 별첨 1> 개인정보보호관련규정위반시처벌 69 < 별첨 2> 개인정보보호관련규정위반시처벌 71 < 별첨 3> 개인정보처리방침 ( 샘플 ) 75 < 별첨 4> 취약점분석 평가기본항목 ( 웹 ) 81 < 별첨 5> 개인정보처리시스템개인정보보호자가진단표 83 < 별첨 6> 개인정보의안전성확보조치기준 ( 개정 ) 84 < 별첨 7> 개인정보처리시스템구축 운영시이용가능한공개소프트웨어 90 - ii -

4 Ⅰ. 가이드라인개요 제 1 절목적및개요제 2 절적용범위제 3 절가이드라인구성제 4 절관련법령및지침 1. 관련법령 2. 관련지침

5 Ⅰ 가이드라인개요 제 1 절목적및개요 개인정보처리시스템개발 구축과관련하여개인정보보호관련법령, 지침및규정 등에위배되지않도록개발자또는운영자가개인정보처리시스템의기획, 개발 구축, 운영의각단계별로준수하여야하는조치사항제시 본가이드라인에서는현재시행되고있는개인정보보호관련법령, 지침, 고시등을 종합적으로분석하여개인정보처리시스템을기획, 개발 구축, 운영단계에서준수 또는고려하여야할사항에대하여제시 제 2 절적용범위 개인정보처리시스템을기획, 개발 구축, 운영하려는모든개발자및운영자를대상 으로적용 본가이드라인은 개인정보보호법 을기준으로작성하였으며, 정보통신사업자에 해당하는경우업무에참조할수있도록 정보통신망법 등을별도로추가하여 언급 - 2 -

6 제 3 절가이드라인구성 1. 전체구성 제1장가이드라인개요본가이드에대한전반적인이해를도울수있도록가이드라인의목적, 적용범위및구성형식등소개 제 2 장개인정보처리시스템기획단계 시스템개발의기획단계에서시스템개발자및운영자가개인정보보호를위하여 고려하여야하는조치사항 제 3 장개인정보처리시스템개발 구축단계 개인정보처리시스템의개발 구축단계에서개인정보보호를위하여고려하여야하 는조치사항 제 4 장개인정보처리시스템운영단계 개인정보처리시스템의운영단계에서적용하여야하는개인정보보호를위한운영 관리및보안관리방안 2. 가이드라인구성형식 본가이드라인의각장은다음과같은형식으로구성되어있음 - 목적및개요 : 각장의목적및개요 - 적용범위 : 실제적용되는범위에대해요약 - 기본원칙 : 반드시숙지해야할기본적인법령, 지침등 - 준수사항 : 정보보안및개인정보보호를위한각분야별조치사항 - 참조문서 : 각장에서기술한내용을위해참조한문서요약 - 3 -

7 제 4 절관련법령및지침 1. 관련법령 개인정보보호법 정보통신망이용촉진및정보보호등에관한법률 정보통신기반보호법 위치정보의보호및이용등에관한법률 전기통신사업법 전자서명법 2. 관련지침 개인정보의안전성확보조치기준 ( 행정자치부고시, 제2014-7호 ) 표준개인정보보호지침 ( 행정안전부고시, 제 호 ) 개인정보영향평가에관한고시 ( 행정안전부고시, 제 호 ) 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시, 제 호 ) 주요정보통신기반시설취약점분석 평가기준 ( 미래창조과학부고시, 제 호 ) - 4 -

8 Ⅱ. 개인정보처리시스템기획단계 제 1 절목적및개요제 2 절적용범위제 3 절기본원칙제 4 절준수사항 1. 개인정보보호관련법령및지침검토 2. 개인정보수집최소화를위한방안마련 3. 개인정보파기방안마련 4. 주민등록번호이외회원가입방안마련 5. 개인정보처리시스템에대한보안대책마련 6. 개인정보저장및전송시암호화방식결정 7. 개인정보처리 ( 취급 ) 방침수립 8. 개인정보영향평가고려사항 9. 시큐어코딩을적용한개발방안마련제 5 절참고문서

9 Ⅱ 개인정보처리시스템기획단계 제 1 절목적및개요 본장은개인정보처리시스템을도입하기전기획단계에서개인정보보호를위해필요한각종요소들을사전에식별하여반영하기위해관련법령등을검토하고관련법령에서요구하고있는필요최소한의요건을만족하기위해필요한내용을제시한다. 제 2 절적용범위 개인정보처리시스템을기획하는단계에서개발자및운영자가준수하여야할사항을 다루고있다. 제 3 절기본원칙 개인정보처리시스템을기획하는단계에서개인정보보호를위해검토하고확인하여야할기본원칙은아래와같다. - 개인정보보호관련법령및지침등관련규정을세부적으로검토 - 개인정보수집최소화를위해개인정보처리목적을명확히하고수집 - 개인정보목적달성시파기방법을사전에결정 - 주민등록번호이외추가인증수단을통한회원가입방법제공 - 개인정보처리시스템에대한접근권한등기본적인보안대책마련 - 개인정보전송및저장시적용할암호화알고리즘과방식결정 - 개인정보처리시스템과관련된개인정보처리 ( 취급 ) 방침수립 - 공공기관개인정보처리시스템과관련하여서는개인정보영향평가고려 - 개발단계에서적용해야할시큐어코딩에대한기준정의 - 6 -

10 제 4 절준수사항 1. 개인정보보호관련법령및지침검토 개인정보처리시스템개발 구축에앞서사업담당자및개발자는개인정보보호와관련 된법령및지침등을반드시검토하여이를시스템개발 구축시반영하여야한다. 1 개인정보보호법제1조 ( 목적 ), 제6조 ( 다른법률과의관계 ) 2 정보통신망이용촉진및정보보호등에관한법률제4장개인정보의보호 법령및고시는반드시준수해야하는최소한의의무사항이다. 그러므로아래와같은 개인정보보호관련법령및고시등의최신내용을반드시검토하여적용하여야한다. 개인정보보호관련법령을적용함에있어서다른법률에특별한규정이있는경우를 제외하고는 개인정보보호법 에서정하는바에따른다. 구분 명칭 개인정보보호법 정보통신망이용촉진및정보보호등에관한법률 법령 전자정부법 정보통신기반보호법 위치정보의보호및이용등에관한법률 신용정보의이용및보호에관한법률 개인정보의안전성확보조치기준 ( 행정자치부고시, 제 호 ) 고시 표준개인정보보호지침 ( 행정안전부고시, 제 호 ) 개인정보영향평가에관한고시 ( 행정안전부고시, 제 호 ) 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시, 제 호 ) [ 표 1] 개인정보보호관련법령및고시 - 7 -

11 개인정보보호관련규정을위반한경우처벌과관련된사항은 [ 별첨 1] 개인정보보 호관련규정위반시처벌 ( 개인정보보호법기준 ) 과 [ 별첨 2] 개인정보보호관련 규정위반시처벌 ( 정보통신망법기준 ) 을참고한다. 구분명칭위치 개인정보처리방침개인정보처리방침만들기 er/inf/perinfstep01.do 주민번호대체수단 웹서버구축보안 패스워드및암호화 취약점진단 인터넷사업자를위한주민번호사용제한정책, 준비안내서 i-pin 2.0 도입안내서 i-pin 을이용한회원가입사례 웹서버구축보안점검안내서 웹어플리케이션보안안내서 홈페이지개발보안안내서 WebKnight 를활용한 IIS 웹서버보안강화안내서 ModSecurity 를활용한아파치웹서버보안강화안내서 보안서버구축안내서 패스워드선택및이용안내서 암호이용안내서 암호알고리즘및키길이이용안내서 암호정책수립기준안내서 암호기술구현안내서 홈페이지취약점진단제거가이드 웹취약점점검 업무용 PC 보호조치점검도구신청 t/command.user.board.boardcom mand?select_cat1=4&select_cat 2=4 xample.jsp s/laws3.jsp s/laws3.jsp s/laws3.jsp er/tec/check/tecsupportcheck.do er/tec/chk/checktoolreq.do - 8 -

12 구분명칭위치 개인정보영향평가 시큐어코딩 기타 기업의개인정보영향평가수행을위한안내서 사업자를위한개인정보영향평가 소프트웨어개발보안가이드 JAVA 시큐어코딩가이드 C 시큐어코딩가이드 Android-JAVA 시큐어코딩가이드 소프트웨어보안약점진단가이드 웹사이트회원탈퇴기능구현안내서 백신프로그램이용안내서 사업자필수조치사항 개인정보보호조치가이드 페이스북이용자를위한개인정보보호안내서 개정정보통신망법개인정보보호신규제도안내서 앱개발자를위한개인정보보호안내서 s/laws3.jsp s/info/evalinfo.do s/laws3.jsp s/laws3.jsp /cor/personalimportant2.do dev/guide.do t/command.user.board.boardcom mand?select_cat1=4&select_cat 2=4 [ 표 2] 개인정보보호관련검토및참고사항 - 9 -

13 2. 개인정보수집최소화를위한방안마련 이용자의개인정보를수집하는경우서비스의제공을위하여필요한최소한의정보 만을수집하여야하며, 필요한최소한의정보이외에개인정보를제공하지아니한다는 이유로그서비스제공을거부하여서는안된다. 1 개인정보보호법제16조 ( 개인정보의수집제한 ) 2 정보통신망법제23조2( 개인정보수집제한등 ) 개인정보수집을최소화하기위해서는개인정보처리시스템을개발하기에앞서개인 정보처리시스템에서처리하는개인정보에대한명확한목적을먼저정의해야한다. [ 그림 1] 개인정보수집최소화를위한고려사항검토 1 서비스를제공하는데있어필요한이용자의개인정보가무엇이있는지그종류를조사한다. 2 조사한개인정보중필수적으로수집해야하는 필수동의항목 을검토하여구성한다. 3 필수 / 선택동의사항을명시적으로구분하여수집한다. 개인정보수집시에는필요최소한의개인정보만을수집해야하며, 이때아래와같은 필수동의항목과선택동의항목의구분예시 를참고하여불필요한개인정보가수집되지않도록하여야한다. 아울러필요한최소한의정보외의개인정보를제공하지아니한다는이유로그서비스제공을거부할수없다

14 구분 정의 내용 필수동의항목은해당서비스의본질적기능을수행하기위해반드시필요한정보 * 본질적기능은사업자가해당서비스제공과정에서업무처리에반드시필요한기능 * 이용자에게필수적동의요구가능 * 이용자가필수동의항목에동의하지않으면서비스를제공받을수없음 선택동의항목은사업자의필요에의하거나추가적인서비스를위해필요한정보 * 이용자가동의여부선택가능 * 사업자는선택동의항목에동의하지않는다고해서서비스이용을거부해서는안됨 아래는필수 / 선택동의항목의예시임 1 인터넷회원제서비스 구분필수동의선택동의 목적회원의신원확인및관리상품등에대한홍보및마케팅 수집항목아이디, 비밀번호, 이름, 이메일휴대전화번호, 생년월일, 성별, 결혼여부, 사용자선호도등 2 온라인결제서비스 구분필수동의선택동의 예시 목적안전한온라인결제결제알림서비스결제정보 ( 카드번호, 계좌번호등 ), IP, 수집 MAC, 휴대폰기기정보등사용기기에휴대폰번호, 이메일주소등항목관련한정보 3 이동통신서비스 구분필수동의선택동의 목적휴대전화이용멤버쉽할인 수집항목 신청인 ( 또는법정대리인 ) 의성명, 주소, 연락전화번호, 요금납부자의성명, 생년월일, 계좌정보, 신청인과의관계등 멤버쉽카드정보, 멤버쉽 ID, 고객등급, 생일, 성별등 14 세미만아동 14세미만아동개인정보처리시법정대리인의동의필요법정대리인의동의를받기위해서필요한최소한의정보 ( 연락처 ) 는법정대리인의동의없이해당아동으로부터직접수집가능 [ 표 3] 필수동의항목과선택동의항목의구분예시

15 개인정보처리시스템에서 14 세미만아동에대한개인정보수집이필요한경우에는 일반회원과구분하여아래그림과같이처리할수있다. [ 그림 2] 14 세미만아동회원가입시법정대리인동의 행정처분사례 1 개인정보수집시필요최소한수집 과도한수집금지위반사례제16조제1항위반 : 시정조치또는개선권고 홈페이지회원정보수집후준영구보유 ( 이용및보유기간을수집목적에맞게조정필요 ) 민원처리, 수수료정산명분으로개인정보를과도수집 보관 수취인확인의유일정보로보기어려운지문정보까지과도수집 열람청구에따른정당한정보주체또는대리인여부확인시신분증복사등과도한개인정보수집 2 최소한의정보외의수집에미동의시재화또는서비스제공거부금지위반사례제16조제2항위반 : 3천만원이하의과태료 (1회위반 600만원 ) 홈페이지에서선택정보인주소수집에미동의시회원가입절차가정지되어서비스이용제한됨

16 3. 개인정보파기방안마련개인정보의수집목적달성및이용기간의종료, 또는폐업하는경우에는보유하고있는개인정보를지체하지않고파기해야한다. 이에따라개인정보처리시스템을기획하는단계에서부터개인정보파기에대한방안을마련해야한다. 1 개인정보보호법제21조 ( 개인정보의파기 ) 2 정보통신망법제29조 ( 개인정보의파기 ) 회원가입을통해정보주체의개인정보를수집할때에는회원가입시회원탈퇴방법을정보주체가알기쉽도록알려야한다. 이에대한예시로는회원탈퇴를신청할수있는메뉴를눈에띄게설정하거나개인정보처리담당자의연락처를이용자가찾기쉬운곳에공지하는방법이있다. [ 그림 3] 개인정보의파기절차및방법안내예시파기사유가발생한경우, 복구 재생할수없는방법 으로파기해야한다. 파기와관련된구체적인시기와방법등에관한사항은제4장개인정보처리시스템운영단계에포함된 개인정보파기시조치사항 항목을참조한다. 행정처분사례보유기간경과, 처리목적달성후개인정보미파기위반사례제21조제1항위반 : 3천만원이하의과태로 (1회위반 600만원 ) 홈페이지에서탈퇴한회원정보일부또는전부미파기 보유기간을경과하거나수집목적을달성한개인정보미파기 보존기간이경과된개인정보 ( 이름 / 연락처 / 성별 ) 미파기

17 4. 주민등록번호이외회원가입방안마련 1 개인정보보호법제24조의2( 주민등록번호처리의제한 ) 2 정보통신망법제23조의2( 주민등록번호의사용제한 ) [ 그림 4] 주민등록번호수집금지제도가이드라인 ( 행정자치부, ) 법령에서구체적으로주민등록번호처리근거가있는경우를제외하고주민등록번호를 수집할수없다. 본인여부를확인해야하는경우에는아래와같이주민등록번호이외의 대체수단을이용해야한다. [ 그림 5] 주민등록번호대체수단

18 1 휴대폰인증을통한본인여부확인 [ 그림 6] 휴대폰인증적용예시 휴대폰을통한본인인증은이용자의휴대전화번호와간단한인적사항을이용하는방법으로통신사를통해본인명의로휴대폰을발급받아이용하는사용자를대상으로하며, 인증을시도하는경우인증서비스업체에서발송하는 SMS 인증번호확인을통해본인여부를인증한다. 이를도입하는방법및절차는사업자의업종및규모에따라달라질수있으므로휴대폰인증을제공하는본인확인기관에연락하여자세한정보및해당시스템도입에따른사항을상담받도록한다. 2 공인인증서통한본인여부확인공인인증기관에서발급받은공인인증서로본인여부를확인할수있다. 한국인터넷진흥원의전자서명인증관리센터 ( 에서는공인인증서소프트웨어구현과관련하여기술가이드라인을제공하고있다. [ 그림 7] 공인인증서 SW 구현

19 3 아이핀을통한본인여부확인아이핀은주민등록번호를대신하여아이디 / 패스워드로신원을확인할수있는방법으로민간본인확인기관에서도입 발급 운영하는민간아이핀과행정자치부의공공아이핀센터에서도입 발급 운영하는공공아이핀으로구분된다. - 민간아이핀 : NICE아이핀 ( ), SIREN24( ) - 공공아이핀 : 공공아이핀센터 ( ) 4 마이핀을통한본인여부확인마이핀은행정자치부에서 2014년부터시행하는온 / 오프라인본인확인수단이다. - 행정자치부 : - 개인정보보호종합지원포털 : - NICE평가정보 : - 서울신용평가정보 : [ 그림 8] 마이핀 (My-PIN) 발급조회화면

20 5. 개인정보처리시스템에대한보안대책수립정보주체의개인정보를안전하게보호하고개인정보와관련한이용자의고충을처리하기위해개인정보보호책임자를지정하고, 수집된개인정보를취급하는자를최소한으로제한하여야한다. 또한개인정보의분실 도난 누출 변조또는훼손을방지하기위해기술적 관리적 물리적조치를하여야한다. 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 개인정보처리시스템에보관된개인정보는지정된관련업무담당자만열람할수있도록하고, 영업부서의접근을제한하여외부영업목적 ( 텔레마케팅등 ) 으로이용할수없도록제한하여야하며, 필요에따라최소한의정보에만접근할수있도록하여야한다. 1 개인정보를안전하게취급하기위한내부관리계획의수립및시행 2 개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치및운영 3 접속기록의위조및변조방지를위한필요한조치방안강구 4 개인정보를안전하게저장및전송할수있는암호화기술등을이용한보안조치 5 백신소프트웨어의설치및운영등컴퓨터바이러스에의한침해방지조치 6 그밖에개인정보의안전성확보를위하여필요한보호조치강구 개인정보처리자는개인정보를처리함에있어안전하게처리하기위해아래와같은사항을포함한내부관리계획을수립하고이행하여야한다. 1 개인정보보호책임자의지정에관한사항 2 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3 개인정보의안전성확보에필요한조치에관한사항 4 개인정보취급자에대한교육에관한사항 5 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 6 그밖에개인정보보호를위하여필요한사항 소상공인은생략가능

21 개인정보처리자는수립된내부관리계획의내용중에서중요한변경이있는경우에는 이를즉시반영하여내부관리계획을수정하여시행하고, 그수정이력을관리하여야한다. 개인정보처리시스템에대한관리자페이지등에대한접근통제를위해서는소프트웨어 또는하드웨어방식의접근통제를적용할수있으며, 이는개인정보처리자가적절히 판단하여결정할수있다. 아래는일반적인접근통제의방식으로, 접근통제시스템을적용할때해당방식별특징 등을잘분석하여가장적합한방식을적용하는것이바람직하다. 1 방화벽 (Firewall) 설치운영개인정보처리시스템으로의접근을 IP 주소등으로제한하여인가받지않은자를차단하는기능 ( 침입차단기능 ) 을갖는시스템의설치 운영 종류 : 상태보전방식 (Stateful), 상태비보존방식 (Stateless) 형태 : 스크리닝라우터, 단일홈게이트웨이, 이중홈게이트웨이방식등 2 침입탐지시스템 (IDS : Intrusion Detection System) 개인정보처리시스템에접속한 IP 등을재분석하여불법적인개인정보유출시도를 탐지하는기능 ( 침입탐지기능 ) 을갖는시스템의설치 운영 3 침입차단시스템 (IPS : Intrusion Prevention System) 침입차단기능과침입탐지기능을결합한침입방지시스템을설치 운영 4 ACL(Access Control List) 라우터등네트워크장비에포함되어있는 ACL(Access Control List) 기능을사용 ACL 에는 Standard Access List와 Extended Access List가존재 - Standard Access List : Source address만참조해서 filtering 여부를결정 - Extended Access List : Source address 외에도 Destination address, Port, Protocol 등다양한정보를참조해서 filtering 여부를결정 ACL에관한설정은벤더사별로확인

22 특히개발단계에서는접속기록의위조 변조방지를위한조치와개인정보를안전하게저장 전송할수있는암호화기술을적용하는방안과그밖에필요한보호조치가반드시처리되어야한다. 이에대한상세내용은본가이드라인의제3장개인정보처리시스템개발 구축단계를참조한다. 행정처분사례 제 29 조위반 : 3 천만원이하의과태료 (1 회 600 만원 ) 1 내부관리계획수립 시행위반사례 개인정보의안전한처리를위한내부관리계획미수립 2 접근통제및접근권한의제한조치위반사례 개인정보취급자의권한부여, 변경또는말소내역미기록 접근권한의보관및관리위반 외부에서관리자페이지에접속시 VPN이나전용선등안전한접속수단미제공 홈페이지관리자페이지사용자별권한차등미부여, 권한변경내역미보관 홈페이지회원관리의관리자계정을 2명이공유하여사용 내부관리계획으로수립한비밀번호작성규칙미수립또는적용미흡 3 개인정보저장및전송시암호화위반사례 홈페이지에서비밀번호저장시암호화미조치 홈페이지에서비밀번호저장시일방향이아닌양방향암호화조치 비밀번호및주민등록번호저장시암호화미조치 홈페이지에서비밀번호및주민번호전송시암호화미조치 안전하지않은암호알고리즘으로암호화조치 4 접속기록보관및위 변조방지조치위반사례 개인정보취급자의시스템접속기록 ( 식별자, 접속일시, 접속자를알수있는정보, 입출력 열람 수정등수행업무 ) 관리미흡 접속기록을 6개월이상이아닌 3개월만보관 5 보안프로그램설치및갱신미실시 보안프로그램업데이트주기를일 1회가아닌주 1회로갱신 6 보관시설마련및잠금장치설치등물리적조치위반사례 잠금장치가없는장소에개인정보가포함된서류무단방치

23 6. 개인정보저장및전송시암호화방식결정 개인정보를개인정보처리시스템에저장하거나네트워크를통해전송할때개인정보의 불법적인노출또는위 변조방지를위해암호화를하여야하며, 이에따라기획단계에서 적절한암호화방식을결정하여야한다. 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 암호화는암호화방식과암호화위치에따라다양하게적용할수있으며, 대표적으로 DB 암호화, 디스크암호화, 파일시스템암호화에는아래와같은방식으로적용할수 있다. 1 DB 서버내부에서의암호화구축 DB 서버가제공하는암호화기능을사용하는경우손쉽게암복호화가구현이가능하고 DB 서버와연계되는애플리케이션들의수정이별도로필요로하지않는투명성 (Transparent) 를제공한다. DB 암호화의또다른방식은 DBMS가제공하는암호화기능이아닌 3rd Party 벤더 (Vendor) 사에서제공하는에이전트방식 (Agent) 으로정의되는플러그인 (Plug-In) 방식이다. 이경우는 DB 서버의부하를발생시키지만암호키관리를외부에서수행하기때문에보안취약점을극복할수있는장점이있다. [ 그림 9] 데이터베이스서버내부에서의암호화 ( 출처 :

24 장점애플리케이션의수정이불필요 DBMS 의자체암호화기능으로구축이용이 단점암복호화에의한서버부하발생 DB 외부에서의데이터보호가어려움 DB 테이블내암호키가존재하여보안성이약함별도의암호키분리를위해 HSM 장비가필요제한적인암호화알고리즘만이지원됨 [ 표 4] 데이터베이스서버내부에서의암호화구축시장단점비교 ( 출처 : 2 DB 서버외부에서의암호화구축 DB 서버외부에서암호화를구축하는것은애플리케이션에서처리된데이터는암호화된상태로 DB로전송되고안전하게 DB 내에저장관리되며, 반대로요청에의해암호화된데이터를가져와서처리하게되는방식이다. [ 그림 10] 데이터베이스서버외부에서의암호화 ( 출처 : 장점 DB 서버에서의독립된암호화가능 암호문과암호키의분리로서보안성강화 암복호화서버의강력한접근제어정책으로보안성강화 DB 관리자에대한권한분리가능과데이터열람의제한가능 다수의 DB와다수의애플리케이션서버의연계지원가능 DB 서버와클라이언트의데이터전송시의암호화로유출가능성감소 단점 통신증가에따른네트워크부하증가 애플리케이션의수정에따른부담 암복호화서버의부가적인접근제어시스템마련필요 [ 표 5] 데이터베이스서버외부에서의암호화구축시장단점비교 ( 출처 :

25 3 디스크암호화디스크를암호화하는도구에는대표적으로마이크로소프트에서제공하는비트로커드라이브암호화 (BitLocker Drive Encryption) 가있다.( 윈도비스타, 윈도서버 2008, 윈도 7, 윈도 8 운영체제에포함된기능 ) [ 그림 11] 디스크암호화적용 4 파일시스템암호화 파일시스템암호화 (EFS: Encrypting File System) 방식은마이크로소프트윈도의 NTFS 버전 3.0 에서추가된파일시스템단계암호화를하는기능이다. [ 그림 12] 파일암복호화과정 전송구간암호화방식에는 SSL/TLS 또는 주요정보등을안전하게송수신할수있다. VPN 등을이용하여개인정보를비롯한

26 행정처분사례 제 29 조위반 : 3 천만원이하의과태료 (1 회 600 만원 ) 1 개인정보저장및전송시암호화위반 홈페이지에서비밀번호저장시암호화미조치 홈페이지에서비밀번호저장시일방향이아닌양방향암호화조치 비밀번호및주민등록번호저장시암호화미조치 홈페이지에서비밀번호및주민번호전송시암호화미조치 안전하지않은암호알고리즘으로암호화조치

27 7. 개인정보처리 ( 취급 ) 방침수립 개인정보처리자는사업목적및범위등을고려하여개인정보처리방침을수립하고 정보주체가언제든지쉽게확인할수있도록공개해야한다. 1 개인정보보호법제30조 ( 개인정보처리방침의수립및공개 ) 2 정보통신망법제27조2( 개인정보취급방침의공개 ) 개인정보처리방침은 개인정보처리방침 으로표기하여홈페이지의첫화면에글자크기, 색깔등을달리하여아래그림과같이누구나쉽게알아볼수있도록게시해야한다. ( 단, 정보통신망법적용대상인경우에는 개인정보취급방침 으로표기 ) [ 그림 13] 개인정보처리방침공개에대한예시 개인정보보호종합지원포털-사업자 개인정보도우미-개인정보처리방침만들기 를통해간편하게개인정보처리방침을작성할수있음개인정보처리자가개인정보처리방침을수립시에는아래사항을반드시포함하여수립하여야한다. 1 개인정보의처리목적 2 개인정보의처리및보유기간 3 개인정보의제3자제공에관한사항 ( 해당되는경우에만정한다.) 4 개인정보처리의위탁에관한사항 ( 해당되는경우에만정한다.) 5 정보주체의권리 의무및그행사방법에관한사항 6 처리하는개인정보의항목 7 개인정보의파기에관한사항 8 개인정보보호책임자에관한사항 9 개인정보처리방침의변경에관한사항 10 개인정보의안전성확보조치에관한사항

28 단, 정보통신망법적용대상인정보통신서비스제공자인경우에는아래사항을포함한개인정보취급방침을수립하여야한다. 1 개인정보의수집 이용목적, 수집하는개인정보의항목및수집방법 2 개인정보를제3자에게제공하는경우제공받는자의성명 ( 법인인경우에는법인의명칭을말한다 ), 제공받는자의이용목적과제공하는개인정보의항목 3 개인정보의보유및이용기간, 개인정보의파기절차및파기방법 4 개인정보취급위탁을하는업무의내용및수탁자 5 이용자및법정대리인의권리와그행사방법 6 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영및그거부에관한사항 7 개인정보관리책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과그전화번호등연락처 행정처분사례 1 개인정보처리방침수립및공개시필수항목 * 누락 제30조제1~2항위반 : 1천만원이하의과태료 (1회 200만원 ) 처리방침수립시필수항목일부누락 ( 위탁, 파기, 안전조치 ) 처리방침은수립하였으나, 홈페이지등에미공개 처리방침공개시필수항목일부누락 ( 제3자제공 )

29 8. 개인정보영향평가고려사항 공공기관이개인정보처리시스템을구축 운용또는변경하려는경우개인정보에대한 위험요인분석과개선사항도출을위한영향평가를행정자치부장관이지정하는기관 중에서의뢰하여수행하고그결과를행정자치부장관에게제출하여야한다. 1 개인정보보호법제 33 조 ( 개인정보영향평가 ) 공공기관에서아래와같은개인정보처리시스템을구축 운영또는변경하려는경우에는반드시개인정보영향평가를고려하여야한다. 1 5만명이상의정보주체에관한민감정보또는고유식별정보를처리하는경우 2 내부또는외부에있는다른개인정보시스템 ( 파일 ) 과연계하려는경우로서연계결과 50만명이상의정보주체에관한개인정보가포함되는경우 3 100만명이상의정보주체에관한개인정보를다루는경우 4 개인정보영향평가를받은후개인정보검색체계등개인정보파일의운용체계를변경하려는경우 ( 이경우에는변경되는부분으로한정 ) 개인정보영향평가는아래와같이분석 설계단계에서이루어지는것이일반적이다. [ 그림 14] 시스템개발단계

30 개인정보영향평가를위해반드시사전에준비해두어야할사항은아래와같다. 1 개인정보보호를위한내부관리계획 2 개인정보처리방침 3 개인정보흐름표 4 개인정보흐름도 [ 그림 15] 개인정보흐름표예시 [ 그림 16] 개인정보흐름도예시

31 9. 시큐어코딩을적용한개발방안마련 소스코드상의취약점은해킹등을통한개인정보유 노출사고의원인이될수있기때문에이를예방하고자개발단계에서부터보안약점을제거하는노력이필요하다. 1 전자정부법제45조 ( ) 행정기관및공공기관정보시스템구축 운영지침 ( 행정자치부고시제2014-1호 ) 행정기관및공공기관의정보시스템감리대상정보화사업을대상으로 SW 개발보안 의무제가 2012년 12월부터시행되었다. 2015년 1월부터는감리대상전체사업으로확대하여적용된다 년도 SW 보안약점기준은아래와같은 SQL 삽입등 47 개항목이대상이다. 유형주요내용개수 입력데이터검증및표현 보안기능 시간및상태 에러처리 코드오류 캡슐화 API 오용 프로그램입력값에대한부적절한검증등으로인해발생할수있는보안약점예 ) SQL 삽입, 자원삽입, 크로스사이트스크립트등 인증, 접근제어, 권한관리등을적절하지않게구현시발생할수있는보안약점예 ) 부적절한인가, 중요정보평문저장, 하드코드된패스워드등 멀티프로세스동작환경에서부적절한시간, 상태관리로발생할수있는보안약점예 ) 경쟁조건, 제어문을사용하지않는재귀함수등 불충분한에러처리로중요정보가에러정보에포함되어발생할수있는보안약점예 ) 오류상황대응부재, 오류메시지를통한정보노출등 개발자가범할수있는코딩오류로인해유발되는보안약점예 ) 널포인터역참조, 부적절한자원해제등 불충붕한캡슐화로인가되지않은사용자에데이터가노출될수있는보안약점예 ) 제거되지않고남은디버그코드, 시스템데이터정보노출등 부적절하거나, 보안에취약한 API 사용으로발생할수있는보안약점예 ) DNS lookup에의존한보안결정등 [ 표 6] 소프트웨어보안약점항목 15 개 16 개 2 개 3 개 4 개 5 개 2 개 시큐어코딩과관련하여보다자세한사항은 KISA 자료실 안내서 / 해설서 에서 소프트웨어개발보안가이드, 시큐어코딩가이드, 소프트웨어보안약점진단가이드 등을참고한다

32 제 5 절참조문서 개인정보보호법 정보통신망법 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 표준개인정보보호지침 ( 행정안전부고시제 호 ) 개인정보영향평가에관한고시 ( 행정안전부고시제 호 ) 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시제 호 ) 소프트웨어개발보안가이드 ( 행정자치부, ) JAVA 시큐어코딩가이드 ( 행정자치부, ) C 시큐어코딩가이드 ( 행정자치부, ) Android-JAVA 시큐어코딩가이드 ( 행정자치부, ) 소프트웨어보안약점진단가이드 ( 행정자치부, ) 홈페이지개발보안안내서 ( 방송통신위원회, ) 개인정보보호종합지원포털 ( 한국인터넷진흥원 ( 개인정보보호포털 (

33 Ⅲ. 개인정보처리시스템개발 구축단계 제 1 절목적및개요제 2 절적용범위제 3 절기본원칙제 4 절준수사항 1. 개인정보수집시동의획득방안반영 2. 개인정보파기방안반영 3. 안전한비밀번호사용을위한정책반영 4. 개인 ( 회원 ) 정보파일다운로드제한 5. 개인정보처리시스템에대한접근통제 6. 개인정보저장및전송시암호화적용 7. 접속기록, 권한변경에대한로깅및저장관리 8. 개인정보처리 ( 취급 ) 방침공개 9. 개인정보가포함된출력물에대한보안조치제 5 절참고문서

34 Ⅲ 개인정보처리시스템개발 구축단계 제 1 절목적및개요 본장에서는개인정보처리시스템개발 구축단계에서개발자들이알아야하는개인정보 보호를위한필요한조치사항을기술하였다. 제 2 절적용범위 개인정보처리시스템을개발 구축 ( 설계및구현 ) 하는단계에서개발자들이확인하고 적용해야할사항을안내한다. 제 3 절기본원칙 개인정보처리시스템을개발 구축하는단계에서개인정보보호를위해검토하고확인하여야할기본원칙은아래와같다. - 개인정보수집시관련규정에의한방법으로동의를획득하도록개발 - 개인정보처리목적달성시별도보관및완전파기방법반영하여개발 - 관리자, 사용자및이용자에대한안전한패스워드사용정책을반영 - 개인 ( 회원 ) 정보를파일로다운로드하는기능은제한적으로개발 - 관리자페이지등에대한접근통제및권한부여기능을개발시반영 - 개인정보전송및저장시안전한알고리즘으로암호화되도록개발에반영 - 접속기록, 권한변경에대한로그를남기고별도로저장관리하도록개발 - 수립된개인정보처리방침을적절한방법으로공개하도록개발 - 개인정보출력시마스킹 (*) 처리등출력물에대한보안을고려하여개발

35 제 4 절준수사항 1. 개인정보수집시동의획득방안반영 개인정보수집동의는이용자가개인정보를입력하기전단계에동의사항을공지하고동의여부를선택할수있도록구현해야한다. 1 개인정보보호법제15조 ( 개인정보의수집 이용 ), 제22조 ( 동의를받는방법 ) 2 정보통신망법제26조의2( 동의를받는방법 ) 정보수집동의를얻으려면 1 개인정보수집 이용목적, 2 수집하는개인정보의항목, 3 개인정보의보유 이용기간, 4 동의거부시불이익을모두이용자에게알리고동의를받아야하며, 이때이용자가이를명확히이해할수있도록쉽게설명해야한다. 1 개인정보의수집 이용목적 : 예 ) 본인확인, 고지사항전달, 물품배송 2 수집하는개인정보의항목 : 예 ) 이름, 전화번호, 접속내역 3 개인정보의보유 이용기간 : 예 ) 회원탈퇴등서비스목적달성후즉시파기 [ 그림 17] 개인정보수집시동의받는방법

36 [ 그림 18] 개인정보제 3 자제공동의예시 개인정보처리를위탁할때에는개인정보처리방침등을통해위탁관련내용을정보주체에게공개하도록하여야하며, 재화 서비스홍보및판매권유업무를위탁하는경우에는서면, 전자우편, 전화, 문자전송등의방법으로위탁내용과수탁자를알리고, 알릴수없는경우홈페이지에 30일이상게시하여야한다. 정보통신망법 에따른정보통신서비스제공자는개인정보취급위탁시별도의동의획득을원칙으로하고있으나, 서비스계약내용의이행을위해반드시필요한경우 등의경우에는고지로갈음할수있도록하고있다

37 구분 공개 통지로처리가능한위탁업무 이용자의동의를얻어야하는위탁업무 내용 이용자와계약을맺은서비스를제공하기위해불가피하게발생하는위탁업무 이용자와계약한주요서비스제공과는무관한부가적인업무를처리하기위해위탁하는경우 ( 예1) 온라인쇼핑몰에서물품배송을 ( 예1) 일시적인이벤트혹은경품행사위해배송업체와계약을맺어배송업무의운영업무를홍보대행사에아웃소싱를위탁하여처리하고있는경우하는경우 위탁하는개인정보 : 이용자의이름, 주소등 서비스제공을위해불가피하게발생 ( 예2) 포털사이트내맞춤형온라인광하는위탁업무 : 물품배송업무 예시고를위해포털사이트운영사가온라인 ( 예2) 인터넷서비스가입계약을맺은경우광고아웃소싱업체에회원정보제공하통신망개통, A/S 등서비스제공하고있는경우는경우 위탁하는개인정보 : 이용자의이름, 주소, 사용중인서비스 ( 예3) 상기위탁업무에대해이용자로부 서비스제공을위해불가피하게발생터동의를획득하는업무를위탁하는경우하는위탁업무 : 통신망개통, A/S 등 [ 표 7] 정보통신망법에근거한취급위탁시동의획득에관한예시 구분이용자의직접동의 14세미만아동개인정보수집별도동의받아야하는항목순차적인동의요구일괄동의기능제휴서비스제공을위해 제3자제공 이필수적인경우 동의획득구현시유의사항이용자가동의여부를능동적으로결정할수있도록하기위해미리동의에선택이되어있지않도록하여야한다. 반드시법정대리인의동의를받아야하며, 이경우법정대리인의동의를받기위하여필요한최소한의정보는법정대리인의동의없이해당아동으로부터직접수집할수있다. 기본제공서비스와무관한서비스제공을위해수집이필요한선택동의항목, 민감정보, 제3자제공, 취급위탁 ( 정보통신망법적용대상의경우검토필요 ) ( 예시 ) 1 [ 필수 ] 필수동의항목에대한수집 이용동의 2 [ 선택 ] 선택동의항목에대한수집 이용동의 3 [ 선택 ] 취급위탁동의 4 [ 선택 ] 제3자제공동의 ) 이용자가동의내용을확인한후개별동의가가능하고, 동의여부는강제가아닌선택사항이라는점을명시적으로알려야한다. 일괄동의기능의항목에선택동의사항이있는경우이사실을알린후동의를받아야한다. 개인정보수집이용 동의 를받으면서 제3자제공동의 에도함께표시되도록구성하는것이가능하다. [ 표 8] 개인정보수집동의획득구현시유의사항

38 행정처분사례 1 개인정보수집시정보주체의동의미획득제15조제1항위반 : 5천만원이하의과태료 (1회위반 1,000만원 ) 홈페이지상당게시판 ( 제품관련문의, 고객상담 ) 에서개인정보 ( 성명, 연락처, 이메일 ) 수집시동의미획득 2 개인정보수집시필수고지사항 * 미고지 * 고지항목 (4개) : 수집 이용목적, 수집항목, 보유 이용기간, 미동의시불이익고지제15조제2항위반 : 3천만원이하의과태료 (1회위반 600만원 ) 홈페이지통한개인정보수집시동의거부권및불이익사항 (1개) 고지누락 홈페이지통한개인정보수집시보유 이용기간 (1개) 고지누락 홈페이지민원게시판에서개인정보수집시필수사항전부 (4개) 고지누락 홈페이지에서고지한수집항목과실제수집항목불일치, 이용기간불명확으로 2 개항목고지내용미흡 수집단계에서필수 / 선택항목을구분하나, 고지 ( 안내 ) 단계에서필수 / 선택항목을구분하지않아고지내용미흡 지문정보수집시고지내용부정확 ( 지문외불필요한수집항목및수집목적혼재, 보유기간부정확 ) 3 동의시필수 / 선택등구분동의방법위반제22조제1~3항위반 : 각각 1천만원이하의과태로 (1회위반 200만원 ) 홈페이지에서주민번호와여권정보를일반정보와구분않고일괄동의받음 홈페이지에서일반정보와마케팅활용정보를구분않고일괄하여동의받음 제공동의시수집 이용과구분동의미실시 주민등록번호수집시구분동의미실시 홈페이지에서수집하는개인정보의목적외제3자제공동의시각각의동의사항을구분하지않고포괄하여동의 4 선택적사항미동의시서비스거부금지위반제22조제4항위반 : 3천만원이하의과태로 (1회위반 600만원 ) 홈페이지에서선택정보인여권번호수집에미동의시회원가입절차가정지되어서비스이용제한 마케팅활용목적미동의시회원가입제한

39 2. 개인정보파기방안반영 1 개인정보보호법제21조 ( 개인정보의파기 ), 제29조 ( 안전조치의무 ) 2 정보통신망법제29조 ( 개인정보의파기 ) 수집한개인정보의보유기간이경과하거나이용목적이달성되어개인정보가더이상불필요하게된경우에는지체없이개인정보를재생불가능한형태로파기해야하며, 다른법령상근거에따라계속보유하여야할필요성이있는경우에는반드시현재이용중인개인정보와별도로분리하여보관하여야한다. 분리보관방법은별도의 DB를생성하여저장하거나물리적으로다른서버에저장하는방법이있다. 별도로보관하는개인정보DB의경우일반개인정보DB의접근권한과다르게설정하여불필요한접근 조회 유출을방지할필요가있다. [ 그림 19] 개인정보파기또는분리저장 파기절차를자동화하기위해회원이탈퇴를완료한후에자동으로탈퇴한회원의개인정보가 DB에서삭제될수있도록할수있으며, 법령상근거에따라회원탈퇴이후에도추가로보관이필요한경우 ( 예를들어, 전자상거래법에따른거래기록보관등 ) 별도의 DB에저장될수있도록구성할수있다. 그리고회원가입시개인정보보유기간을 DB에함께저장해보유기간이경과한개인정보는자동삭제되도록하는방식으로불필요한개인정보를삭제할수있다

40 [ 그림 20] 개인정보삭제흐름도 개인정보를파기할때에는로우레벨포맷이나천공, 파쇄등재생 복구가불가능한방법으로파기하여야한다. 하드디스크, CD/DVD, USB메모리등의매체에전자기적으로기록된개인정보의경우에는기술적방법으로재생불가능하도록하거나물리적인방법으로매체를파괴하여복구할수없도록해야한다. 그리고원본데이터외에백업데이터가존재하는지여부를확인한후파기하여야한다. 기록물, 인쇄물등파쇄가가능한형태인경우에는파쇄기등을이용하여물리적으로파쇄하거나소각해야한다. 파기종류파기방법프로그램을이용한파기로우레벨포맷 ( 초기화 ), 와이핑 ( 덮어쓰기 ) 물리적인파기천공, 소각, 파쇄, 디가우저 ( 전용소자장비 ) [ 표 9] 개인정보완전파기방법 개인정보의일부만을파기하는경우아래와같이조치하여야한다. 예를들어, 주민 등록번호를삭제하는조치로주민등록번호뒤 6 자리를마스킹처리하는경우필드전체를 삭제한후새로생성하는등의방법을통해쉽게재생할수없는상태로삭제하여야한다. 구분전자적파일형태기록물, 인쇄물, 서면, 그밖의기록매체 파기방법개인정보를삭제한후복구및재생되지않도록관리및감독 해당부분을마스킹, 천공등으로삭제 [ 표 10] 개인정보의일부만을파기하는경우파기방법

41 복구및재생할수없는파기방법 ( 예시 ) 1. 하드디스크등매체전체의데이터를파기하는경우 1) 프로그램을이용한파기 1 하드디스크, USB 메모리의경우 로우레벨포멧 (Low level format) 방법으로파기 로우레벨포멧 : 하드디스크를공장에서나온초기상태로만들어주는포맷 2 0, 1 혹은랜덤값으로기존데이터를여러번덮어씌우는와이핑 (Wiping) 방법으로파기 2) 물리적인파기 1 데이터가저장되는디스크플레터에강력한힘으로구멍을내어복구가불가능하도록하는천공방법으로파기 2 CD/DVD 의경우가위등으로작은입자로조각내거나, 전용 CD 파쇄기나 CD 파쇄가가능한문서파쇄기등을이용하여파기 3 고온에불타는종류의매체는소각하는방법으로파기 4 자기장치를이용해강한자기장으로데이터를복구불가능하게하는디가우저 (Degausser) 파기 2. 고객서비스에이용중인 DB 서버에저장된일부데이터를파기하는경우 1 서비스중인 DB 의해당개인정보위에임의의값 (Null 값등 ) 을덮어쓰기한후삭제 (delete) 2 DB 의특정부부에덮어쓰기가곤란한경우에는테이블데이터에대한논리적인삭제 (delete) 도허용되나, 신속하게다른데이터로덮어쓰기 (overwriting) 될수있도록운영 행정처분위반 1 보유기간경과, 처리목적달성후개인정보미파기제21조제1항위반 : 3천만원이하의과태로 (1회위반 600만원 ) 홈페이지에서탈퇴한회원정보일부또는전부미파기 보유기간을경과하거나수집목적을달성한개인정보미파기 보존기간이경과된개인정보 ( 이름 / 연락처 / 성별 ) 미파기

42 3. 안전한비밀번호사용을위한정책반영 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 개발자는비밀번호정책을수립하여개발시에이를반영하여야한다. 비밀번호정책은아래와같은사항을기본적으로반영해야하며, 개발요구사항에별도로비밀번호와관련된정책이명시되어있다면개발요구사항에포함된내용까지도함께고려해야한다. 이때요구사항정책이아래내용과다를경우보다높은강도의정책을반영하도록한다. 구분비밀번호의최소길이추측하기어려운비밀번호의생성비밀번호의주기적인변경동일한비밀번호사용제한 개발시비밀번호적용규칙비밀번호는구성하는문자의종류에따라최소 10자리또는 8자리이상의길이로구성하도록개발하여야함 10자리이상 : 영대문자 (A~Z, 26개 ), 영소문자 (a~z, 26개 ), 숫자 (0~9, 10개 ) 및특수문자 (32개) 중 2종류이상으로구성한경우 8자리이상 : 영대문자 (A~Z, 26개 ), 영소문자 (a~z, 26개 ), 숫자 (0~9, 10개 ) 및특수문자 (32개) 중 3종류이상으로구성한경우 컴퓨터관련기술의발달에따라비밀번호의최소길이는늘어날수있고, 변경주기는짧아질수있다. 생성하는비밀번호에 등과같은일련번호, 전화번호등과같은쉬운문자열이포함되지못하도록개발하여야함 love, happy 등과같은잘알려진단어또는키보드상에서나란히있는문자열도포함되지못하도록개발하여야함 비밀번호에유효기간을설정 ( 최소 6개원 ) 하여유효기간이경과시에는비밀번호변경을요구하도록알려주는기능을개발하여야함 비밀번호변경시이전비밀번호를교대로사용하지못하도록이전비밀번호를일정개수이상사용하지못하도록개발하여야함 [ 표 11] 개발시비밀번호적용규칙 KISA 암호이용활성화 ( - 국산암호보급 - 패스워드안전성검증 통해비밀번호에대한안전성검증가능 비밀번호는주기적으로변경을유도할수있도록해야하며개인정보유출사고등이발생할경우비밀번호를변경할수있도록안내해야한다. 비밀번호변경기능을구현할경우에는아래그림과같이현재비밀번호를확인하는필드를두어야하며, 변경하려는비밀번호가현재비밀번호와같은경우에는변경되지않도록조치한다

43 [ 그림 21] 비밀번호변경주기경과안내예시화면 [ 그림 22] 비밀번호변경화면예시 입력한비밀번호가비밀번호정책에맞지않을경우아래와그림과같이해당사항에 부합된내용을포함한경고창을띄어주도록개발한다. [ 그림 23] 비밀번호가정책에맞지않을경우화면예시 [ 그림 24] 비밀번호정책이맞지않는경우경고창예시 행정처분위반 1 접근통제및접근권한의제한조치위반제29조위반 : 3천만원이하의과태료 (1회 600만원 ) 내부관리계획으로수립한비밀번호작성규칙미수립또는적용미흡

44 4. 개인 ( 회원 ) 정보파일다운로드제한 개인정보처리자는처리중인개인정보가인터넷홈페이지, P2P, 공유설정등을통하 여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템및개인 정보취급자의컴퓨터에적절한보안조치를취하여야한다. 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 과실로인한인터넷홈페이지에서노출방지웹사이트를통해고객의개인정보를수집 관리하는경우에는 ID 및비밀번호를통한사용자인증 (Login) 기능을적용하여야한다. 또한, 수시로웹사이트게시판등에서의주민번호노출여부등을점검하여조치하여야한다. 검색엔진을통한개인정보노출제한웹사이트개발 구축시보안기준을따르지않아발생하는취약점으로인해구글등의검색엔진을통해개인정보 DB가노출될수있다. 그러므로수시로웹사이트의취약점을점검하여조치하도록한다. [ 그림 25] 검색엔진에노출된개인정보예시

45 [ 그림 26] 디렉토리리스팅 # vi httpd.conf <Directory "/usr/local/apache2/htdocs"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all </Directory> Options 에 Indexes 삭제!! [ 그림 27] IIS 디렉토리리스팅조치방안 [ 그림 28] 아파치디렉토리리스팅조치방안 KISA- 자료실 관련법령 안내서 해설서 - 웹서버구축보안점검안내 참조 공유설정을통한개인정보노출방지공유설정부주의로개인정보파일이권한이없는자에게노출될수있다. 따라서공유폴더를사용할경우드라이브전체또는불필요한폴더가공유되지않도록조치하고, 공유폴더에개인정보파일이포함되지않도록정기적으로점검하여조치하도록한다

46 [ 그림 29] 공유폴더설정 윈도우즈의경우시작-제어판-성능및유지관리-관리도구-컴퓨터관리를실행하여공유폴더메뉴에서확인가능 행정처분사례 1 접근통제및접근권한의제한조치위반제29조위반 : 3천만원이하의과태료 (1회 600만원 ) 개인정보취급자의권한부여, 변경또는말소내역미기록 접근권한의보관및관리위반 홈페이지관리자페이지사용자별권한차등미부여, 권한변경내역미보관 2 접속기록보관및위 변조방지조치위반제29조위반 : 3천만원이하의과태료 (1회 600만원 ) 개인정보취급자의시스템접속기록 ( 식별자, 접속일시, 접속자를알수있는정보, 입출력 열람 수정등수행업무 ) 관리미흡 접속기록을 6개월이상이아닌 3개월만보관

47 5. 개인정보처리시스템에대한접근통제 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 개인정보처리자는개인정보처리시스템에대한불법적인접근및침해사고방지를위해접속권한을제한하여인가받지않은접근을제한하고접속한 IP주소등을분석하여불법적인개인정보유출시도를탐지해야한다. 접근통제방법으로는 ACL(Access Control List), 방화벽, 무료침입탐지시스템 (Snort) 등이있다. [ 그림 30] WebKnight 설정화면 [ 그림 31] Snort 실행화면 관리자페이지는 와같이사용자페이지와구 분해서별도로개발한다.( 단 admin 과같이관리자페이지를유추하기쉬운단어는사 용하지않는다.) [ 그림 32] 관리자화면별도설계

48 [ 그림 33] 관리자모드로그인예시화면 관리자페이지가검색엔진등에노출되지않도록로봇배제표준을적용한다. 로봇배 제표준은웹사이트검색로봇이접근하는것을방지하기위한국제규약으로, 일반적으 로접근제한에대한설명을 robots.txt 에기술한다. 모든로봇에게문서접근을 허락 하는경우 User-agent: * Allow: / 모든로봇에게문서접근을 차단 하는경우 User-agent: * Disallow: / 로봇배제표준에관한자세한사항은 에서확인가능 행정처분사례 1 접근통제및접근권한의제한조치위반제29조위반 : 3천만원이하의과태료 (1회 600만원 ) 개인정보취급자의권한부여, 변경또는말소내역미기록 접근권한의보관및관리위반 외부에서관리자페이지에접속시 VPN이나전용선등안전한접속수단미제공 홈페이지관리자페이지사용자별권한차등미부여, 권한변경내역미보관 홈페이지회원관리의관리자계정을 2명이공유하여사용 2 접속기록보관및위 변조방지조치위반제29조위반 : 3천만원이하의과태료 (1회 600만원 ) 개인정보취급자의시스템접속기록 ( 식별자, 접속일시, 접속자를알수있는정보, 입출력 열람 수정등수행업무 ) 관리미흡 접속기록을 6개월이상이아닌 3개월만보관

49 6. 개인정보저장및전송시암호화적용 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 개인정보를개인정보처리시스템에저장하거나네트워크를통해전송할때에는불법적인노출또는위 변조방지를위해암호화를하여야한다. l 비밀번호는복호화되지아니하도록일방향암호화하여저장한다. 비밀번호확인시사용자가입력한비밀번호를일방향암호화하여시스템에저장된값과비교하는방식으로적용한다. [ 그림 34] 비밀번호일방향저장시인증검증방식 2 비밀번호분실시복호화가불가능하므로임의의비밀번호제공또는재설정을할 수있는기능을포함하여개발한다. [ 그림 35] 비밀번호분실시비밀번호재설정화면예시

50 3 일방향암호화적용시에는아래의보안강도에따른해쉬함수분류를참고하여적용한다. 보안강도 해쉬함수 안전성 80비트미만 MD5, SHA-1 80비트 HAS-160 권고하지않음 112비트 SHA 년까지권고함 128비트 SHA 비트 SHA 년이후에도가능 256비트 SHA-512 [ 표 12] 보안강도에따른해쉬함수분류 ( 출처 : 개인정보의기술적 관리적보호조치기준해설서 ) [ 그림 36] SHA256 Hash Encode 4 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호등고유식별정보및지문, 홍채, 음성, 필적등바이오정보는안전한암호알고리즘으로암호화하여저장해야한다. 이때아래와같은보안강도에따른대칭키암호알고리즘분류를참고하여적용한다. 보안강도 해쉬함수 안전성 80비트미만 DES 80비트 2TDEA 권고하지않음 112비트 3TDEA SEED, HIGHT, 128비트 ARIA-128, AES-128 권고함 192비트 ARIA-192, AES 비트 ARIA-256, AES-256 3TDEA 는 112 비트이상의보안강도를가지고있지만, 보안성이낮다고평가되어권고하지않음 [ 표 13] 보안강도에따른대칭키암호알고리즘분류 ( 출처 : 개인정보의기술적 관리적보호조치기준해설서 )

51 5 개인정보를전송하는전송로구간에서는 SSL/TLS 등의암호화방식을적용하여 개인정보를보호할수있다. [ 그림 37] SSL/TLS 암호화적용 SSL 인증서발급 : SSL 취약성여부확인 : 세부사항은 KISA- 자료실 관련법령 안내서 해설서 암호기술구현안내서 참조 [ 그림 38] SSL 취약성여부확인사이트 행정처분사례 제 29 조위반 : 3 천만원이하의과태료 (1 회 600 만원 ) 1 개인정보저장및전송시암호화위반 홈페이지에서비밀번호저장시암호화미조치 홈페이지에서비밀번호저장시일방향이아닌양방향암호화조치 비밀번호및주민등록번호저장시암호화미조치 홈페이지에서비밀번호및주민번호전송시암호화미조치 안전하지않은암호알고리즘으로암호화조치

52 7. 접속기록, 권한변경에대한로깅및저장관리 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 개인정보처리자는개인정보시스템의접속기록을최소 6 개월이상보관및관리하여야한다. 접속기록은개인정보의입 출력및수정, 파일별 담당자별데이터접근내역등을자동으로 기록하는로그파일을생성하여불법적인접근을확인할수있는중요한자료이다. 1 접속기록에대해일정기간저장될수있도록개발 개인정보취급자등이개인정보처리시스템에접속하여개인정보를처리한경우에는 아래표와같은내용을포함한접속기록을최소 6 개월이상저장하도록개발한다. 필수기록항목 ID 날짜및시간접속자 IP 주소수행업무 설명개인정보취급자식별정보접속일시접속지정보열람, 수정, 삭제, 인쇄, 입력등 [ 표 14] 접속기록예시 ( 출처 : 개인정보의안전성확보조치기준해설서 ) 2 접속기록백업 데이터손실에대비하여별도의물리적인저장장치에보관하고정기적인백업수행 접속기록의위 변조를방지를위해 CD-ROM 등과같은덮어쓰기방지매체를사용 수정가능한매체 (HDD 또는테이프 ) 에접속기록을백업하는경우에는무결성보장을위해위 변조여부를확인할수있는정보를별도의장비에보관 관리 접속기록을 HDD 에보관하고, 위 변조여부를확인할수있는정보 (HMAC 값또는전자서명값등 ) 는별도의 HDD 또는관리대장에보관하는방법으로관리가능 [ 그림 39] 접속기록생성예시

53 [ 그림 40] 접속기록백업방안 행정처분사례 제 29 조위반 : 3 천만원이하의과태료 (1 회 600 만원 ) 1 접근통제및접근권한의제한조치위반 개인정보취급자의권한부여, 변경또는말소내역미기록 접근권한의보관및관리위반 홈페이지관리자페이지사용자별권한차등미부여, 권한변경내역미보관 2 접속기록보관및위 변조방지조치위반 개인정보취급자의시스템접속기록 ( 식별자, 접속일시, 접속자를알수있는정보, 입출력 열람 수정등수행업무 ) 관리미흡 접속기록을 6개월이상이아닌 3개월만보관

54 8. 개인정보처리 ( 취급 ) 방침공개 1 개인정보보호법제30조 ( 개인정보처리방침의수립및공개 ) 2 정보통신망법제27조2( 개인정보취급방침의공개 ) 개인정보처리자는개인정보처리방침을수립하고정보주체가언제든지쉽게확인할수있도록홈페이지등에공개하여야한다. 개인정보처리방침을홈페이지등에링크할때에는 개인정보처리방침 으로표기해야하며 ( 정보통신서비스제공자의경우에는정보통신망법에의거하여 개인정보취급방침 으로표기가능 ), 눈에잘띌수있도록색상, 글자크기등을달리하여표시하여야한다. [ 그림 41] 개인정보처리방침홈페이지링크예시 행정처분사례 1 개인정보처리방침수립및공개시필수항목 * 누락 * 필수항목 (8개) : 처리목적, 처리및보유기간, 제3자제공, 위탁, 정보주체권리 의무및행사방법, 처리항목, 파기사항, 안전성확보조치제30조제1~2항위반 : 1천만원이하의과태료 (1회 200만원 ) 처리방침수립시필수항목일부누락 ( 위탁, 파기, 안전조치 ) 처리방침은수립하였으나, 홈페이지등에미공개 처리방침공개시필수항목일부누락 ( 제3자제공 )

55 9. 개인정보가포함된출력물에대한보안조치 1 정보통신망법제 28 조 ( 개인정보의보호조치 ) 개인정보가포함된파일을인쇄하거나화면에출력할때에는그용도를명확히특정하고용도에따라출력항목을최소화하여야한다. 예를들어대리점, 고객상담, 영업등업무에대하여각각의업무형태나개인정보처리시스템의접근권한에따라보여지는출력항목을다르게설정한다. 고객번호 이름 성별 주소 고객번호 등급 이름 성별 주소 전화번호 1 한지민 여 마포구 1 A 한지민 여 마포구 한효주 여 은평구 2 B 한효주 여 은평구 김고은 여 강남구 3 C 김고은 여 강남구 고객상담팀 영업팀 [ 표 15] 업무에따라다른출력항목예시 개인정보가포함된인쇄물, 개인정보가저장된보조저장매체등개인정보의출력 복 사물을안전하게관리하기위하여반 출입사항을기록하거나별도의로그로남겨놓는 조치를하여야한다. 처리내용 처리자 처리일시 접속지 출력 홍길동 :00: USB저장 김갑수 :12: [ 표 16] 출력 저장기록예시 인쇄물출력시에는필요한경우출력자, 부서명, 문서명, 출력일자, 회사로고등을프린트워터마킹기술을이용하여삽입함으로써출력물에대한보안조치를취하거나 DRM 등의문서보안솔루션을이용해개인정보파일을암호화하는등적절한보안조치를해야한다

56 [ 그림 42] 출력물보안조치예시 개인정보에대한마스킹 (*) 처리원칙은다음과같다. 1 성명중이름의첫번째글자이상 2 생년월일 3 전화번호또는휴대폰전화번호의국번 4 주소의읍면동 5 IP주소는버전 4의경우 17~24비트영역, 버전 6의경우 113~128비트영역 [ 그림 43] 개인정보마스킹 (*) 처리화면예시

57 제 5 절참조문서 개인정보보호법 정보통신망법 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 표준개인정보보호지침 ( 행정안전부고시제 호 ) 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시제 호 ) 정보통신서비스제공자를위한개인정보보호법령해설서 암호이용안내서 ( 방송통신위원회, 한국인터넷진흥원 ) 개인정보보호종합지원포털 ( 한국인터넷진흥원 ( 개인정보보호포털 (

58 Ⅳ. 개인정보처리시스템운영단계 제 1 절목적및개요제 2 절적용범위제 3 절기본원칙제 4 절준수사항 1. 개인정보처리위탁시준수사항 2. 개인정보처리시스템원격접속시보안조치 3. 개인정보처리시스템취약점진단 4. 개인정보처리시스템접속기록및접근권한검토 5. 개인정보유출시신고 6. 개인정보이용내역통지제 5 절참고문서

59 Ⅳ 개인정보처리시스템운영단계 제 1 절목적및개요 본장에서는개인정보처리시스템운영단계에서개발자들이알아야하는개인정보 보호를위한필요한조치사항을기술하였다. 제 2 절적용범위 개인정보처리시스템을운영 ( 운영및폐기 ) 하는단계에서개발자들이확인하고적 용해야할사항을안내한다. 제 3 절기본원칙 개인정보처리시스템을운영하는단계에서개인정보보호를위해검토하고확인하여야할기본원칙은아래와같다. - 개인정보처리업무위탁운영시적절한관리방안마련및이행 - 관리자페이지에대해원격접속시보안조치사항반영 - 개인정보처리시스템에대해주기적으로취약점진단수행 - 개인정보처리시스템에대한접속기록및접근권한주기적검토 - 개인정보처리과정에서개인정보유출시정보주체통지및전문기관신고 - 수집한개인정보에대해서는그이용내역의주기적인통지

60 제 4 절준수사항 1. 개인정보처리위탁시준수사항 1 개인정보보호법제26조 ( 업무위탁에따른개인정보의처리제한 ) 2 정보통신망법제25조 ( 개인정보의취급위탁 ) 개인정보처리자가업무의효율을위해개인정보처리업무를위탁할때에는아래의 사항을포함하여문서 ( 계약서등 ) 로하고주기적으로이행점검을하도록한다. 1 위탁업무의범위와목적에관한사항 2 위탁목적외처리금지에관한사항 3 재위탁제한에관한사항 4 위탁하는개인정보의안전성확보조치에관한사항 5 개인정보관리현황점검등관리감독에관한사항 6 수탁자의손해배상등책임에관한사항 개인정보처리자는개인정보처리업무위탁에관한사항을홈페이지등에정보주체가알기 쉽도록공개하여야한다. 개인정보처리방침에이를포함하여공개하는것도가능하다. 행정처분사례 1 위탁시필수사항 * 을문서 ( 계약서 ) 에미반영 제 26 조제 1 항위반 : 3 천만원이하의과태로 (1 회위반 600 만원 ) 위탁시필수사항을문서에일부또는전부누락 2 개인정보처리수탁사미공개 제 26 조제 2 항위반 : 1 천만원이하의과태로 (1 회위반 200 만원 ) 수탁자를홈페이지에공개하지않음 수탁자 00개소중 0개소공개누락 3 수탁사교육및실태점검등관리 감독소홀 제 26 조제 4 항위반 : 시정조치명령 개인정보보호수탁사교육및실태점검등관리 감독미실시

61 2. 개인정보처리시스템원격접속시보안조치 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 인가되지않은자의네트워크를통한불법적인접근또는공격행위를방지하기위해방화벽이나 IDS/PS와같은 IP, Port 기반차단솔루션을구축하거나 Secure OS 또는 OS 자체의접근제어를통해불법적인접근에대한보안조치를해야한다. 또, 원격으로접속하는경우 VPN(penvpn, ipsec 등 ) 또는전용선과같은안전한접속수단을구축해야한다. (https 방식은권장하지않음 ) 구분 불법적인침입차단조치 안전한접속을위한조치 조치방안 FW, IDS, IPS, UTM 등 Secure OS, 자체접근제어등 VPN, 전용선, 공인인증서등 [ 표 17] H/W, S/W 보안조치분류 만일개인정보처리자가개인정보처리시스템대신업무용컴퓨터만을이용하여개인 정보를처리하는경우운영체제등에서제공하는접근통제기능을사용할수있다. 구분 차단, 탐지시스템 VPN 구축 자체접근통제기능 개인정보처리시스템사용 업무용컴퓨터만사용 [ 표 18] 개인정보처리시스템사용여부에따른접근통제방법 행정처분사례제29조위반 : 3천만원이하의과태료 (1회 600만원 ) 1 접근통제및접근권한의제한조치위반 외부에서관리자페이지에접속시 VPN이나전용선등안전한접속수단미제공 홈페이지관리자페이지사용자별권한차등미부여, 권한변경내역미보관 2 접속기록보관및위 변조방지조치위반 개인정보취급자의시스템접속기록 ( 식별자, 접속일시, 접속자를알수있는정보, 입출력 열람 수정등수행업무 ) 관리미흡 접속기록을 6개월이상이아닌 3개월만보관

62 3. 개인정보처리시스템취약점진단 1 개인정보보호법제29조 ( 안전조치의무 ) 개인정보의안전성확보조치기준고시제5조 ( 접근통제 ) 개인정보처리자는개인정보의안전한저장및관리를위하여 개인정보의안전성확보조치기준 고시에따라고유식별정보가유출 변조 훼손되지않도록연 1회이상취약점을점검해야한다. 중소기업또는비영리단체는한국인터넷진흥원에서제공하는무료원격웹취약점점검서비스를이용해웹사이트의취약점진단을수행할수있다. 한국인터넷진흥원웹취약점점검 : 참고자료 OWASP Top 10 SAN Top 25 주요정보통신기반시설기술적취약점분석평가방법가이드 홈페이지취약점진단 제거가이드 웹페이지주소 o?bbsid=bbsmstr_ &nttid= [ 표 19] 취약점진단시참고자료 도구명 Kali Linux Zed Attack Proxy OpenVAS Retina CS Community Nexpose Community Edition SecureCheq Qualys FreeScan Netsparker Community Edition NIKTO WIKTO 도구위치 oject ads.jsp [ 표 20] 무료취약점점검도구 세부점검항목은 [ 별첨 4] 취약점분석 평가기본항목 ( 웹 ) 기준참고

63 4. 개인정보처리시스템접속기록및접근권한점검 1 개인정보보호법제29조 ( 안전조치의무 ) 2 정보통신망법제28조 ( 개인정보의보호조치 ) 개인정보취급자가개인정보가저장된 DB에접속하여개인정보를열람 수정 삭제 출력등의작업을한경우정보주체식별정보, 개인정보취급자식별정보, 접속일시, 접속지정보, 수행업무등을기록하고해당기록을반기별 1회이상정기적으로확인및감독해야하며시스템이상유무의확인등을위해최소 6개월이상접속기록을보존 관리해야한다. 단, 정보통신망법상정보통신서비스제공자는월 1회이상접속기록을점검하여야하며, 전기통신사업법상기간통신사업자의경우최소 2년간접속기록을보존 관리해야한다. 정보주체식별정보 취급자식별정보 접속일시접속지수행업무 12345(jykim) 홍길동 (HGD) :00: 조회 ( 고객응대 ) 6789(shlee) 김갑수 (KGS) :12: 출력 ( 우편발송 ) [ 표 21] 개인정보처리시스템접속기록예시 접속기록을생성하게되면아래표와같이생성, 보관, 파기전반에걸쳐안전하게 접속기록을보관 관리하여야한다. 시기생성보관파기 내용 개인정보열람 수정 삭제 출력등의작업이발생한경우해당작업의식별정보, 접속일시, 접속 IP, 수행업무등을기록으로생성한다. 접속기록을별도의 DB 나서버또는물리적매체에안전하게저장 보관해야하며이를위해필요한기술적, 물리적조치를취해야한다. 접속기록에개인정보가포함되는경우가발생할수있어접속기록의보유기간이경과한경우로우레벨포맷등프로그램을이용한파기나천공, 파쇄등의물리적인파기절차를통해복구 재생할수없는형태로파기해야한다. [ 표 22] 접속기록생명주기

64 개인정보처리시스템에대한접속기록유지 관리를위하여다음사항을포함하여접속기록관리방법및절차를수립한다. 1 기록유지 관리가필요한주요접속기록식별 2 개인정보처리시스템에서생성되는접속기록파일내용 3 접속기록파일의생성량및생성주기 4 요구되는보안성에따른분석주기 5 접속기록파일생성및보관정책등 개인정보처리시스템에대한접속기록저장시아래와같은주의사항을고려할수 있도록한다. 1 물리적매체에저장하여보관하는경우접속기록이위 변조되지않도록쓰기권한을제한하여보관하거나 CD-ROM 등과같은덮어쓰기방지매체를사용하는것이바람직하다. 2 접속기록이위 변조되지않도록쓰기권한을제한하여보관하거나 CD-ROM 등과같은덮어쓰기방지매체를사용하는것이바람직하다. 3 접속기록을수정가능한매체 (HDD 또는테이프 ) 에백업하는경우무결성보장을위해위 변조여부를확인할수있는 HMAC 값또는전자서명정보를별도의매체또는관리대장에보관하는방법으로관리할수있다. 개인정보가분실 도난 유출 변조또는훼손되지않도록개인정보처리시스템의접근권한을검토하는등아래와같은안전성확보에필요한조치를해야한다. 1 개인정보처리시스템에대한접근권한을업무수행목적에따라필요한최소한의범위로업무담당자에게차등부여 2 전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소 3 권한변경, 부여, 말소내역을기록하고최소 3년간보관 4 개인정보처리시스템에접속할수있는사용자계정을발급하는경우, 개인정보취급자별로한개의사용자계정을발급 (1인 1계정 ) 하여책임추적성확보

65 행정처분사례 제 29 조위반 : 3 천만원이하의과태료 (1 회 600 만원 ) 세부내용은시행령제 30 조제 3 항에따른 개인정보의안전성확보조치기준 참조 1 접근통제및접근권한의제한조치위반 개인정보취급자의권한부여, 변경또는말소내역미기록 접근권한의보관및관리위반 홈페이지관리자페이지사용자별권한차등미부여, 권한변경내역미보관 2 접속기록보관및위 변조방지조치위반 개인정보취급자의시스템접속기록 ( 식별자, 접속일시, 접속자를알수있는정보, 입출력 열람 수정등수행업무 ) 관리미흡 접속기록을 6개월이상이아닌 3개월만보관

66 5. 개인정보유출시통지및신고 1 개인정보보호법제34조 ( 개인정보유출통지등 ) 2 정보통신망법제27조의2( 개인정보누출등의통지 신고 ) 개인정보가유출되었음을알게되었을때에는지체없이해당정보주체에게아래의사항을알려야하며, 1만건이상유출시에는피해확산방지를위해행정자치부장관또는한국인터넷진흥원에신고하여야한다. 1 유출된개인정보의항목 2 유출된시점과그경우 3 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4 개인정보처리자의대응조치및피해구제절차 5 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 정보통신망법에따른정보통신서비스제공자등은개인정보의분실 도난 누출사실을안때에지체없이아래의사항을포함하여이용자에게알리고 24시간이내에방송통신위원회또는한국인터넷진흥원에신고하여야한다. 1 누출등이된개인정보항목 2 누출등이발생한시점 3 이용자가취할수있는조치 4 정보통신서비스제공자등의대응조치 5 이용자가상담등을접수할수있는부서및연락처 [ 그림 44] 개인정보유출시통지내용

67 유출사실을정보주체에게통지할때에는메일, 서면, 전화또는이와유사한방법중어느하나를이용하면되고사고에관한구체적내용이확인되지않은경우현재까지확인된내용만우선통지할수있다. 만일정당한사유로인해이용자에게유출사실을알리지못한경우각사항을자신의인터넷홈페이지에 30일이상게시하는것으로위의통지를갈음할수있다. 표준통지문안예시개인정보유출사실을통지해드리며, 깊이사과드립니다. 고객님의개인정보보호를위해최우선으로노력하여왔으나, 불의의사고로고객님의소중한개인정보가유출되었음을알려드리며, 이에대하여진심으로사과를드립니다. 고객님의개인정보는 2010 년 3월 5일회원관리시스템장애처리를위한데이터분석과정에서유지보수업체로전달되었고, 유지보수업체는자체서버에저장 보관하다가안전한조치를다하지못해 2010년 4월경해커에의한해킹으로유출되었습니다. 유출된정확한일시는서울지방경찰청에서현재수사가진행중이며, 확인되면추가로알려드리도록하겠습니다. 유출된개인정보항목은이름, 아이디 (ID), 비밀번호 (P/W), 주민등록번호, 이메일, 연락처등총 6개입니다. 유출사실을인지한후즉시해당 IP와불법접속경로를차단하고, 취약점점검과보완조치를하였습니다. 또한, 유지보수업체서버에있던귀하의개인정보는즉시삭제조치하였습니다. 서울지방경찰청이발표한수사결과에따르면현재해커는검거되었고, 해커가불법수집한개인정보는 2차유출하거나판매하지는않은것으로확인되었습니다. 따라서현재로서는이번사고로인한 2차피해가발생할가능성이높지않아보이나, 혹시모를피해를최소화하기위하여귀하의비밀번호를변경하여주시기바랍니다. 부가설명 < 제목 > - 유출통지 문구포함 ( 사과문 ) - 유출통지사실알림 - 사과문을먼저표현 < 유출된시점과경위 > - 유출된시점과경위를누구나이해할수있게상세하게설명 - 귀하, 고객님 등으로유출된정보주체명시 부적합한표현 : 일부고객, 회원정보의일부 - 추가확인된사항은반드시추가로통지 < 유출된항목 > - 유출된항목을누락없이모두나열 등 으로생략하거나, 회사전화번호 및 집전화번호 를합쳐서 전화번호 로표시안됨 < 개인정보처리자의대응조치 > - 접속경로차단등예시된항목외에도망분리, 방화벽설치, 개인정보암호화, 인증등접근통제, 시스템모니터링강화등조치한내용설명 < 피해최소화를위한정보주체의조치방법 > - 유출경위에따라정보주체가할수있는방법을안내 - 사건에따라다양한피해를추정하여예방가능한방법을모두안내 ( 보이스피싱, 피싱메일, 불법 TM, 스팸문자등 )

68 표준통지문안예시 부가설명 그리고개인정보악용으로의심되는전화, 메일등을받으시거나기타궁금하신사항은연락주시면친절하게안내해드리고, 신속하게대응하도록하겠습니다. 아울러, 피해가발생하였거나예상되는경우에는아래담당부서에신고하시면성실하게안내와상담을해드리고, 필요한조사를거쳐손실보상이나손해배상등의구제절차를진행하도록하겠습니다. 한국인터넷진흥원의개인정보분쟁조정이나민사상손해배상청구, 감독기관인 0000부민원신고센터등을통해피해를구제받고자하실경우에도연락주시면그절차를안내하고필요한제반지원을아끼지않도록하겠습니다. 앞으로장애처리과정에대한개인정보보호조치강화등내부개인정보보호관리체계를개선하고, 관계직원교육을통해인식을제고하여, 향후다시는이와유사한사례가발생하지않도록최선의노력을다하겠습니다. 항상믿고사랑해주시는고객님께심려를끼쳐드리게되어거듭진심으로사과드립니다. 피해등접수담당부서 : 고객지원과 피해등접수전화번호 : , 피해등접수 e-메일주소 : abcd@efgh.co.kr < 개인정보처리자의피해구제절차 > - 보상이나배상이결정된경우에는그내용을상세히기재 - 보상이나배상이결정되지않은경우계획과절차를안내 - 감독기관등을통한구제절차도안내 ( 개인정보처리자의향후대응계획 ) - 추가적인향후대응계획을포함 ( 사과문 ) < 피해등신고접수담당부서및연락처 > - 전담처리부서안내를원칙으로하되, 대량유출로일시적으로콜센타등다른부서를지정한경우해당부서를안내 ( 주 ) 하나둘업체임직원일동 ( 발신명의 ) [ 표 23] 개인정보유출표준통지문안 ( 출처 : 개인정보보호종합지원포털개인정보유출시필수조치요령및표준통지문안 ) 부가설명란에필수사항은 < >, 참고사항은 ( ) 로표기하였음 필수사항이확인되지않아통지문에포함하지않은경우추후확인되면반드시추가통지 예시를참고하여유출상황에적합하게내용을변경하여활용

69 6. 개인정보이용내역통지 1 정보통신망법제 30 조의 2( 개인정보이용내역의통지 ) 개인정보이용내역을통지해야하는법적기준의무사업장은아래와같다. 1 정보통신서비스제공자로서전년도말기준직전 3개월간개인정보가저장 관리되고있는이용자수가일일평균 100만명이상 2 정보통신서비스부문전년도매출액이 100억원이상인정보통신서비스제공자 정보통신서비스제공자가아닌일반사업자는해당되지않음 개인정보이용내역을통지할때에는반드시아래사항을포함하여전자우편이나서면, 전화등이와유사한방법중어느하나의방법으로연1회이상이용자에게통지해야한다. 1 개인정보의수집 이용목적 2 수집한개인정보항목 3 개인정보를제공받은자와제공목적 ( 통신비밀보호법제13조, 제13조의2, 제13 조의4 및전기통신사업법제83조제3항에따른예외존재 ) 4 취급위탁을받은자및취급위탁업무의내용 [ 그림 45] 개인정보이용내역통지예시 ( 출처 : 개정정보통신망법개인정보보호신규제도안내서, KISA )

70 제 5 절참조문서 개인정보보호법 정보통신망법 정보통신기반보호법 전자금융거래법 표준개인정보보호지침 ( 행정안전부고시제 호 ) 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시제 호 ) 정보통신서비스제공자를위한개인정보보호법령해설서 개인정보보호종합지원포털 ( 개인정보보호포털 ( 한국인터넷진흥원 (

71 별 첨 [ 별첨 1] 개인정보보호관련규정위반시처벌 ( 개인정보보호법기준 ) [ 별첨 2] 개인정보보호관련규정위반시처벌 ( 정보통신망법기준 ) [ 별첨 3] 개인정보처리방침 ( 샘플 )( 개인정보보호법기준 ) [ 별첨 4] 취약점분석 평가기본항목 ( 웹 ) [ 별첨 5] 개인정보처리시스템개인정보보호자가진단표

72 [ 별첨 1] 개인정보보호관련규정위반시처벌 ( 개인정보보호법기준 ) 분류의무조치사항위반시벌칙규정 정보주체의동의없는개인정보제 3 자제공 개인정보의목적외이용 제공 민감정보처리기준위반 5년이하의징역또는 5천만원이하의벌금 고유식별정보처리기준위반 수집및이용제공및위탁개인정보안전관리 부정한수단이나방법에의해개인정보를취득하거나개인정보처리에관한동의를얻는행위를한자개인정보의수집기준위반만 14세미만아동의개인정보수집시법정대리인동의획득의무위반탈의실 목욕실등영상정보처리기기설치금지위반직접마케팅업무위탁으로인한개인정보제공시정보주체에게알려야할사항을알리지아니한자최소한의개인정보외정보의미동의를이유로재화또는서비스제공을거부한자주민등록번호를제공하지아니할수있는방법미제공동의획득방법위반하여동의받은자동의없는개인정보제3자제공개인정보의목적외이용 제공직접마케팅업무위탁으로인한개인정보제공시정보주체에게알려야할사항을알리지아니한자업무위탁시공개의무위반주민등록번호분실, 도난, 유출, 변조또는훼손된경우개인정보의누설또는타인이용에제공개인정보의훼손, 멸실, 변경, 위조, 유출영상정보처리기기설치목적과다른목적으로임의조작하거나다른곳을비추는자또는녹음기능을사용한자직무상알게된비밀을누설하거나직무상목적외사용한자안전성확보에필요한보호조치를취하지않아개인정보를도난 유출 변조또는훼손당하거나분실한자 3년이하의징역또는 3천만원이하의벌금 5천만원이하과태료 3천만원이하과태료 1천만원이하과태료 5년이하의징역또는 5천만원이하의벌금 3천만원이하과태료 1천만원이하과태료 5억원이하과징금 5년이하의징역또는 5천만원이하의벌금 3년이하의징역또는 3천만원이하의벌금 2년이하의징역또는 1천만원이하의벌금

73 분류의무조치사항위반시벌칙규정 안전성확보에필요한조치의무불이행 영상정보처리기기설치 운영기준위반 3 천만원이하과태료 개인정보를분리해서저장 관리하지아니한자 개인정보처리방침미공개 ( 제 30 조 ) 개인정보관리책임자미지정 ( 제 31 조 ) 1 천만원이하과태료 영상정보처리기기안내판설치등필요조치불이행 ( 제 25 조 ) 개인정보의정정 삭제요청에대한필요한조치를취하지않고, 개인정보를계속이용하거나제3자에게제공한자개인정보의처리정지요구에따라처리를중단하지않고계속이용하거나제3자에게제공한자 2년이하의징역또는 1천만원이하의벌금 정보주체권익보호 개인정보유출사실미통지정보주체의열람요구의부당한제한 거절정보주체의정정삭제요구에따라필요조치를취하지아니한자처리정지된개인정보에대해파기등의조치를하지않은자시정명령불이행정보주체의열람, 정정 삭제, 처리정지요구거부시통지의무불이행관계물품 서류등의미제출또는허위제출출입 검사를거부 방해또는기피한자 3 천만원이하과태료 1 천만원이하과태료 파기개인정보미파기 3 천만원이하과태료

74 [ 별첨 2] 개인정보보호관련규정위반시처벌 ( 정보통신망법기준 ) 분류 의무조치사항 위반시벌칙규정 개인정보수집시다음사항을이용자에게알 5년이하의징역또는 5천만리고동의를받아야함원이하의벌금 1 개인정보의수집이용목적 위반행위와관련한매출액의 2 수집하는개인정보의항목 3/100 이하과징금부과가능 3 개인정보의이용기간 5년이하의징역또는 5천만이용자동의또는법률에특별히수집대상원이하의벌금개인정보로허용된경우에만사상, 신념, 과거 위반행위와관련한매출액의의병력 ( 病歷 ) 등민감정보수집가능 3/100 이하과징금부과가능 필요한최소한의정보외의개인정보를제공 하지아니한다는이유로그서비스제공을거 3천만원이하의과태료 개인정보수집 부할수없음다음의경우를제외하고는이용자의주민등록번호를수집 이용할수없음 2와 3의경우에도주민등록번호를사용하지 아니하고본인을확인하는방법을제공해야함 1 본인확인기관으로지정받은경우 3천만원이하의과태료 2 법령에서주민등록번호수집 이용을허용하 는경우 3 영업상목적상불가피하여방송통신위원회 가고시하는경우 5년이하의징역또는 5천만 만14세미만아동의개인정보수집시법정대리인의동의를받아야함 원이하의벌금 위반행위와관련한매출액의 3/100 이하과징금부과가능 5년이하의징역또는 5천만 이용자로부터동의받은목적등과다른목적 원이하의벌금 으로개인정보이용금지 위반행위와관련한매출액의개인 3/100 이하과징금부과가능정보개인정보제3자제공시아래사항을이용자에이용, 5년이하의징역또는 5천만게알리고동의를받아야함제공원이하의벌금 요금정산을위해필요한경우와법률에특 위반행위와관련한매출액의별한규정이있는경우는예외 3/100 이하과징금부과가능개인정보를제공받은자는그이용자의동의

75 분류 의무조치사항 위반시벌칙규정 가있거나법률에특별한규정이있는경우외에는개인정보를제3자에게제공하거나제공받은목적외의용도로이용할수없음 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간제3자제공에대한동의와개인정보취급위탁에대한동의를받을때에는개인정보수집 이용에대한동의와구분하여받아야하고, 이에동의하지아니한다는이유로서비스제공을거부할수없음개인정보취급위탁시아래사항을이용자에게알리고동의를받아야함 1 개인정보취급위탁을받는자 2 개인정보취급위탁을하는업무의내용계약을이행하기위하여필요한경우로서개인정보취급방침에공개하거나전자우편등으로이용자에게알린경우에는예외영업의전부또는일부의양도 합병등으로개인정보를타인에게이전하는경우에는아래사항을인터넷홈페이지게시, 전자우편등으로이용자에게알려야함 1 개인정보를이전하려는사실 2 개인정보를이전받는자의성명 ( 법인의경우에는법인의명칭 ) 주소 전화번호및그밖의연락처 3 이용자가개인정보의이전을원하지아니하는경우그동의를철회할수있는방법과절차영업양수자등은당초제공받은목적범위내에서만개인정보를이용하거나제공할수있음 1천만원이하의과태료 5년이하의징역또는 5천만원이하의벌금 위반행위와관련한매출액의 3/100 이하과징금부과가능 2천만원이하의과태료 2천만원이하의과태료 5년이하의징역또는 5천만원이하의벌금

76 분류의무조치사항위반시벌칙규정 개인정보보호조치 개인정보관리책임자지정개인정보취급방침을정하여이용자가언제든지쉽게확인할수있도록인터넷홈페이지첫화면등에공개개인정보누출등사실을안때에는지체없이아래의사항을해당이용자에게알리고방송통신위원회에신고해야함 1 누출등이된개인정보항목 2 누출등이발생한시점 3 이용자가취할수있는조치 4 정보통신서비스제공자등의대응조치 5 이용자가상담등을접수할수있는부서및연락처개인정보의분실 도난 누출 변조또는훼손을방지하기위하여아래의기술적 관리적조치를해야함 2~5까지의조치를하지아니하여이용자의개인정보가분실 도난 누출 변조또는훼손한경우 1 개인정보를안전하게취급하기위한내부관리계획의수립 시행 2 개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치 운영 3 접속기록의위조 변조방지를위한조치 4 개인정보를안전하게저장 전송할수있는암호화기술등을이용한보안조치 5 백신소프트웨어설치 운영등컴퓨터바이러스에의한침해방지조치 6 그밖에개인정보의안전성확보를위하여필요한보호조치개인정보를취급하고있거나취급하였던자는직무상알게된개인정보를훼손 침해또는누설하여서는아니됨개인정보가누설된사정을알면서영리또는부정한목적으로개인정보제공받는행위금지 2천만원이하의과태료 2천만원이하의과태료 3천만원이하의과태료 3천만원이하의과태료 2년이하의징역또는 1천만원이하의벌금 1억원이하과징금부과가능 5년이하의징역또는 5천만원이하의벌금

77 분류의무조치사항위반시벌칙규정 정보파기개인정보제공, 조치 수집 이용목적달성, 보유및이용기간이끝난경우에는개인정보를지체없이파기이용자가서비스를 3년동안이용하지아니하는경우에는해당개인정보를파기하거나다른이용자의개인정보와분리하여별도로저장 관리이용자의개인정보열람또는제공요구, 동의철회시지체없이필요한조치해야함동의철회, 개인정보의열람 제공또는오류정정을요구하는방법을개인정보수집방법보다쉽게해야함오류정정을요구받으면필요한조치를할때까지해당개인정보의이용또는제공금지수집한이용자개인정보의이용내역 ( 제공및개인정보취급위탁포함 ) 을연 1회이상이용자에게통지 3천만원이하의과태료 3천만원이하의과태료 5년이하의징역또는 5천만원이하의벌금 3천만원이하의과태료

78 - 75 -

79 [ 별첨 3] 개인정보처리방침 ( 샘플 )( 개인정보보호법기준 ) ( 주 )OOO 社개인정보처리방침 ( 주 )OOO 社 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리지침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며, 이용목적이변경되는경우에는개인정보보호법제18조에따라별도의동의를받는등필요한조치를이행할예정입니다. 1. 홈페이지회원가입및관리회원가입의사확인, 회원제서비스제공에따른본인식별 인증, 회원자격유지 관리, 제한적본인확인제시행에따른본인확인, 서비스부정이용방지, 만 14 세미만아동의개인정보처리시법정대리인의동의여부확인, 각종고지 통지, 고충처리등을목적으로개인정보를처리합니다. 2. 재화또는서비스제공물품배송, 서비스제공, 계약서 청구서발송, 콘텐츠제공, 맞춤서비스제공, 본인인증, 연령인증, 요금결제 정산, 채권추심등을목적으로개인정보를처리합니다. 3. 고충처리민원인의신원확인, 민원사항확인, 사실조사를위한연락 통지, 처리결과통보등의목적으로개인정보를처리합니다. 제2조 ( 개인정보의처리및보유기간 ) 1 회사는법령에따른개인정보보유 이용기간또는정보주체로부터개인정보를수집시에동의받은개인정보보유 이용기간내에서개인정보를처리 보유합니다. 2 각각의개인정보처리및보유기간은다음과같습니다. 1. 홈페이지회원가입및관리 : 사업자 / 단체홈페이지탈퇴시까지다만, 다음의사유에해당하는경우에는해당사유종료시까지 1) 관계법령위반에따른수사 조사등이진행중인경우에는해당수사 조사종료시까지 2) 홈페이지이용에따른채권 채무관계잔존시에는해당채권 채무관계정산시

80 까지 2. 재화또는서비스제공 : 재화 서비스공급완료및요금결제 정산완료시까지다만, 다음의사유에해당하는경우에는해당기간종료시까지 1) 전자상거래등에서의소비자보호에관한법률 에따른표시 광고, 계약내용및이행등거래에관한기록 - 표시 광고에관한기록 : 6월 - 계약또는청약철회, 대금결제, 재화등의공급기록 : 5년 - 소비자불만또는분쟁처리에관한기록 : 3년 2) 통신비밀보호법 제41조에따른통신사실확인자료보관 - 가입자전기통신일시, 개시 종료시간, 상대방가입자번호, 사용도수, 발신기지국위치추적자료 : 1년 - 컴퓨터통신, 인터넷로그기록자료, 접속지추적자료 : 3개월 제3조 ( 개인정보의제3자제공 ) 1 회사는정보주체의개인정보를제1조 ( 개인정보의처리목적 ) 에서명시한범위내에서만처리하며, 정보주체의동의, 법률의특별한규정등개인정보보호법제17조에해당하는경우에만개인정보를제3자에게제공합니다. 2 회사는다음과같이개인정보를제3자에게제공하고있습니다. - 개인정보를제공받는자 : ( 주 ) OOO 카드 - 제공받는자의개인정보이용목적 : 이벤트공동개최등업무제휴및제휴신용카드발급 - 제공하는개인정보항목 : 성명, 주소, 전화번호, 이메일주소, 카드결제계좌정보, 신용도정보 - 제공받는자의보유 이용기간 : 신용카드발급계약에따른거래기간동안 제4조 ( 개인정보처리의위탁 ) 1 회사는원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 전화상담센터운영 - 위탁받는자 ( 수탁자 ) : OOO 컨택센터 - 위탁하는업무의내용 : 전화상담응대, 부서및직원안내등 2. A/S 센터운영 - 위탁받는자 ( 수탁자 ) : OOO 전자 - 위탁하는업무의내용 : 고객대상제품 A/S 제공 2 회사는위탁계약체결시개인정보보호법제25조에따라위탁업무수행목적외개인정보처리금지, 기술적 관리적보호조치, 재위탁제한, 수탁자에대한관리 감

81 독, 손해배상등책임에관한사항을계약서등문서에명시하고, 수탁자가개인정보를안전하게처리하는지를감독하고있습니다. 3 위탁업무의내용이나수탁자가변경될경우에는지체없이본개인정보처리방침을통하여공개하도록하겠습니다. 제5조 ( 정보주체의권리 의무및행사방법 ) 1 정보주체는회사에대해언제든지다음각호의개인정보보호관련권리를행사할수있습니다. 1. 개인정보열람요구 2. 오류등이있을경우정정요구 3. 삭제요구 4. 처리정지요구 2 제1항에따른권리행사는회사에대해서면, 전화, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이조치하겠습니다. 3 정보주체가개인정보의오류등에대한정정또는삭제를요구한경우에는회사는정정또는삭제를완료할때까지당해개인정보를이용하거나제공하지않습니다. 4 제1항에따른권리행사는정보주체의법정대리인이나위임을받은자등대리인을통하여하실수있습니다. 이경우개인정보보호법시행규칙별지제11 호서식에따른위임장을제출하셔야합니다. 5 정보주체는개인정보보호법등관계법령을위반하여회사가처리하고있는정보주체본인이나타인의개인정보및사생활을침해하여서는아니됩니다. 제6조 ( 처리하는개인정보항목 ) 회사는다음의개인정보항목을처리하고있습니다. 1. 홈페이지회원가입및관리 필수항목 : 성명, 생년월일, 아이디, 비밀번호, 주소, 전화번호, 성별, 이메일주소, 아이핀번호 선택항목 : 결혼여부, 관심분야 2. 재화또는서비스제공 필수항목 : 성명, 생년월일, 아이디, 비밀번호, 주소, 전화번호, 이메일주소, 아이핀번호, 신용카드번호, 은행계좌정보등결제정보 선택항목 : 관심분야, 과거구매내역 3. 인터넷서비스이용과정에서아래개인정보항목이자동으로생성되어수집될수있습니다. IP주소, 쿠키, MAC주소, 서비스이용기록, 방문기록, 불량이용기록등

82 제7조 ( 개인정보의파기 ) 1 회사는개인정보보유기간의경과, 처리목적달성등개인정보가불필요하게되었을때에는지체없이해당개인정보를파기합니다. 2 정보주체로부터동의받은개인정보보유기간이경과하거나처리목적이달성되었음에도불구하고다른법령에따라개인정보를계속보존하여야하는경우에는, 해당개인정보를별도의데이터베이스 (DB) 로옮기거나보관장소를달리하여보존합니다. 3 개인정보파기의절차및방법은다음과같습니다. 1. 파기절차회사는파기사유가발생한개인정보를선정하고, 회사의개인정보보호책임자의승인을받아개인정보를파기합니다. 2. 파기방법회사는전자적파일형태로기록 저장된개인정보는기록을재생할수없도록로우레밸포멧 (Low Level Format) 등의방법을이용하여파기하며, 종이문서에기록 저장된개인정보는분쇄기로분쇄하거나소각하여파기합니다. 제8조 ( 개인정보의안전성확보조치 ) 회사는개인정보의안전성확보를위해다음과같은조치를취하고있습니다. 1. 관리적조치 : 내부관리계획수립 시행, 정기적직원교육등 2. 기술적조치 : 개인정보처리시스템등의접근권한관리, 접근통제시스템설치, 고유식별정보등의암호화, 보안프로그램설치 3. 물리적조치 : 전산실, 자료보관실등의접근통제 제9조 ( 개인정보보호책임자 ) 1 회사는개인정보처리에관한업무를총괄해서책임지고, 개인정보처리와관련한정보주체의불만처리및피해구제등을위하여아래와같이개인정보보호책임자를지정하고있습니다. 개인정보보호책임자성명 : OOO 직책 : OOO 이사연락처 : < 전화번호 >, < 이메일 >, < 팩스번호 > 개인정보보호담당부서로연결됩니다. 개인정보보호담당부서부서명 : OOO 팀담당자 : OOO 연락처 : < 전화번호 >, < 이메일 >, < 팩스번호 >

83 2 정보주체께서는회사의서비스 ( 또는사업 ) 을이용하시면서발생한모든개인정보보호관련문의, 불만처리, 피해구제등에관한사항을개인정보보호책임자및담당부서로문의하실수있습니다. 회사는정보주체의문의에대해지체없이답변및처리해드릴것입니다. 제10조 ( 개인정보열람청구 ) 정보주체는개인정보보호법제35조에따른개인정보의열람청구를아래의부서에할수있습니다. 회사는정보주체의개인정보열람청구가신속하게처리되도록노력하겠습니다. 개인정보열람청구접수 처리부서부서명 : OOO 담당자 : OOO 연락처 : < 전화번호 >, < 이메일 >, < 팩스번호 > 제11조 ( 권익침해구제방법 ) 정보주체는아래의기관에대해개인정보침해에대한피해구제, 상담등을문의하실수있습니다. < 아래의기관은회사와는별개의기관으로서, 회사의자체적인개인정보불만처리, 피해구제결과에만족하지못하시거나보다자세한도움이필요하시면문의하여주시기바랍니다 > 개인정보침해신고센터 ( 한국인터넷진흥원운영 ) - 소관업무 : 개인정보침해사실신고, 상담신청 - 홈페이지 : privacy.kisa.or.kr - 전화 : ( 국번없이 ) 주소 : ( ) 서울시송파구중대로 135 한국인터넷진흥원개인정보침해신고센터 개인정보분쟁조정위원회 ( 한국인터넷진흥원운영 ) - 소관업무 : 개인정보분쟁조정신청, 집단분쟁조정 ( 민사적해결 ) - 홈페이지 : privacy.kisa.or.kr - 전화 : ( 국번없이 ) 주소 : ( ) 서울시송파구중대로 135 한국인터넷진흥원개인정보침해신고센터 대검찰청사이버범죄수사단 : ( 경찰청사이버테러대응센터 : ( 제12조 ( 영상정보처리기기설치 운영 ) 1 < 사업자 / 단체명 > 은 ( 는 ) 아래와같이영상정보처리기기를설치 운영하고있습니다

84 1. 영상정보처리기기설치근거 목적 : < 사업자 / 단체명 > 의시설안전 화재예방 2. 설치대수, 설치위치, 촬영범위 : 사옥로비 전시실등주요시설물에 00대설치, 촬영범위는주요시설물의전공간을촬영 3. 관리책임자, 담당부서및영상정보에대한접근권한자 : OOO 팀 OOO 과장 4. 영상정보촬영시간, 보관기간, 보관장소, 처리방법 - 촬영시간 : 24시간촬영 - 보관기간 : 촬영시부터 30일 - 보관장소및처리방법 : OOO팀영상정보처리기기통제실에보관 처리 5. 영상정보확인방법및장소 : 관리책임자에요구 (OOO팀) 6. 정보주체의영상정보열람등요구에대한조치 : 개인영상정보열람 존재확인청구서로신청하여야하며, 정보주체자신이촬영된경우또는명백히정보주체의생명 신체 재산이익을위해필요한경우에한해열람을허용함 7. 영상정보보호를위한기술적 관리적 물리적조치 : 내부관리계획수립, 접근통제및접근권한제한, 영상정보의안전한저장 전송기술적용, 처리기록보관및위 변조방지조치, 보관시설마련및잠금장치설치등 제13조 ( 개인정보처리방침변경 ) 1 이개인정보처리방침은 20XX. X. X부터적용됩니다. 2 이전의개인정보처리방침은아래에서확인하실수있습니다. - 20XX. X. X ~ 20XX. X. X 적용 ( 클릭 ) - 20XX. X. X ~ 20XX. X. X 적용 ( 클릭 )

85 [ 별첨 4] 취약점분석 평가기본항목 ( 웹 ) ( 출처 : 주요정보통신기반시설취약점분석 평가기준, 미래창조과학부, ) 코드취약점명설명등급 BO 버퍼오버플로우 메모리나버퍼의블록크기보다더많은데이터를넣음으로써결함을발생시키는취약점 상 FS 포맷스트링 스트링을처리하는부분에서메모리공간에접근할수있는문제를이용하는취약점 상 LI LDAP 인젝션 LDAP(Lightweight Directory Access Protocol) 쿼리를주입함으로서개인정보등의내용이유출될수있는문제를이용하는취약점 상 OC 운영체제명령실행 웹사이트의인터페이스를통해웹서버를운영하는운영체제명령을실행하는취약점 상 SI SQL 인젝션 SQL 문으로해석될수있는입력을시도하여데이터베이스에접근할수있는취약점 상 SS SSI 인젝션 SSI(Server-side Include) 는 Last modified" 와같이서버가 HTML 문서에입려갛는변수값으로, 웹서버상에있는파일을 include 시키고, 명령문이실행되게하여데이터에접근할수있는취약점 상 XI XPath 인젝션 DI 디렉토리인덱싱 조작된 XPath(XML Path Language) 쿼리를보냄으로써비정상적인데이터를쿼리해올수있는취약점 요청파일이존재하지않을때자동적으로디렉토리리스트를출력하는취약점 상 상 IL 정보누출 웹사이트데이터가노출되는것으로개발과정의코멘트나오류메시지등에서중요한정보가노출되어공격자에게 2 차공격을하기위한중요한정보를제공할수있는취약점 상 CS 악성콘텐츠 웹애플리케이션에정상적인컨텐츠대신에악성컨텐츠를주입하여사용자에게악의적인영항을미치는취약점 상 XS 크로스사이트스크립팅 웹애플리케이션을사용해서다른최종사용자의클라이언트에서임의의스크립트가실행되는취약점 상 BF 약한문자열강도 IA 불충분한인증 사용자의이름이나패스워드, 신용카드정보나암호화키등을자동으로대입하여여러시행착오후에맞는값이발견되는취약점 민감한데이터에접근할수있는곳에취약한인증메커니즘으로구현된취약점 상 상 PR 취약한패스워드복구 취약한패스워드복구메커니즘 ( 패스워드찾기등 ) 에대해공격자가불법적으로다른사용자의패스워드를획득, 변경, 복구할수있는취약점 상 CF 크로스사이트리퀘스트변조 ( CSRF) CSRF 공격은로그온한사용자브라우저로하여금사용자의세션쿠키와기타인증정보를포함하는위조된 HTTP 요청을취약한웹애플리케이션에전송하는취약점 상

86 코드취약점명설명등급 SE 세션예측 단순히숫자가증가하는방법등의취약한특정세션의식별자 (ID) 를예측하여세션을가로챌수있는취약점 상 IN 불충분한인가민감한데이터또는기능에대한접근권한제한을두지않은취약점상 SC 불충분한세션만료 세션의만료기간을정하지않거나, 만료일자를너무길게설정하여공격자가만료되지않은세션활용이가능하게되는취약점 상 SF 세션고정 세션값을고정하여명확한세션식별자 (ID) 값으로사용자가로그인하여정의된세션식별자 (ID) 가사용가능하게되는취약점 상 AU 자동화공격 웹애플리케이션에정해진프로세스에자동화된공격을수행함으로써자동으로수많은프로세스가진행되는취약점 상 PV 프로세스검증누락 공격자가응용의계획된플로우통제를우회하는것을허가하는취약점 상 FU 파일업로드 파일을업로드할수있는기능을이용하여시스템명령어를실행할수있는웹프로그램을업로드할수있는취약점 상 FD 파일다운로드 파일다운로드스크립트를이용하여첨부된주요파일을다운로드할수있는취약점 상 AE 관리자페이지노출 단순한관리자페이지이름 (admin, manager 등 ) 이나설정, 프로그램설계상의오류로인해관리자메뉴에직접접근할수있는취약점 상 PT 경로추적 공격자에게외부에서디렉터리에접근할수있는것이허가되는문제점으로웹루트디렉터리에서외부의파일까지접근하고실핼할수있는취약점 싱 PL 위치공개 예측가능한디렉토리나파일명을사용하여해당위치가쉽게노출되어공격자가이를악용하여대상에대한정보와민감한정보가담긴데이터에접근이가능하게되는취약점 상 SN 데이터평문전송 서버와클라이언트간통신시암호화하여전송을하지않아중요정보등이평문으로전송되는취약점 상 CC 쿠키변조 적절히보호되지않은쿠키를사용하여쿠키인젝션등과같은쿠키값변조를통한다른사용자로의위장및권한상승등이가능한취약점 상

87 [ 별첨 5] 개인정보처리시스템개인정보보호자가진단표 단계분야점검사항 수집단계 이용단계 파기단계 수집제한정보주체동의법정대리인동의및고지민감정보및고유식별정보수집제한대체가입수단제공개인정보처리방침수립및공개제3자제공목적외이용개인정보최신화접속기록관리파기기록관리개인정보완전파기개인정보보관 서비스제공을위해필요한최소한의정보만을수집하고, 목적내에서만개인정보를수집하도록개발하였는가? 개인정보는법령에특별한규정이있는경우를제외하고는정보주체의동의를얻은후에수집하도록개발하였는가? 만 14 세미만의아동의개인정보를수집할경우법정대리인에게필요한사항을고지하고동의하도록개발하였는가? 정보주체의권리이익이나사생활을뚜렷하게침해할우려가있거나, 그자체로개인을식별할수있는고유식별정보는수집하지않아야하며, 필요한경우정보주체로부터별도의동의를받도록개발하였는가? 인터넷홈페이지회원가입시주민등록번호에대한대체가입수단을제공하도록개발하였는가? 개인정보처리방침을수립하여정보주체가언제든지쉽게확인할수있도록적절한방법에따라공개하였는가? 개인정보를제 3 자에게제공시정보주체로부터동의를받은후에개인정보에대한적절한보호조치및 3 자제공을하도록개발하였는가? 개인정보는정보주체에게고지하고동의받은범위를벗어나이용및제공하지않도록개발하였는가? 처리하고있는개인정보는정확성, 완전성, 최신성을유지할수있도록정보주체가언제든지확인하고변경가능하도록개발하였는가? 개인정보처리시스템에대한접속기록및권한변경에대해로그를남기고이를안전하게백업관리되도록개발하였는가? 개인정보처리자는개인정보의파기에관한사항을기록관리되도록개발하였는가? 개인정보처리자는개인정보파기에관한관리계획을수립하고, 관리계획에따라개인정보의수집목적이달성된경우, 개인정보를안전한방법으로지체없이완전파기되도록개발하였는가? 개인정보를파기하기전일정기간보관을해야하는경우에는기존개인정보와분리된영역에저장하고접근을통제하는등의방법이적용되도록개발하였는가? * 참고자료 : 개인정보수준진단표, PIPL 인증기준, PIMS 인증기준등

88 [ 별첨 6] 개인정보의안전성확보조치기준 ( 개정 ) 개인정보의안전성확보조치기준 제정행정안전부고시제호 개정행정자치부고시제호 제조목적이기준은개인정보보호법이하법이라한다제조제항및제조와같은법시행령이하영이라한다제조및제조에따라개인정보처리자가개인정보를처리함에있어서개인정보가분실도난유출변조훼손되지아니하도록안전성을확보하기위하여취하여야하는세부적인기준을정하는것을목적으로한다 제조정의이기준에서사용하는용어의뜻은다음과같다정보주체란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다개인정보파일이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물을말한다개인정보처리자란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관법인단체및개인등을말한다소상공인이란소기업및소상공인지원을위한특별조치법시행령제조에해당하는자를말한다중소사업자란상시근로자수가인이상인미만인개인정보처리자를말한다다만소기업및소상공인지원을위한특별조치법시행령제조제항제호에따른광업제조업건설업및운수업의경우에는상시근로자수가인이상인미만인개인정보처리자를말한다개인정보보호책임자라함은개인정보의처리에관한업무를총괄해서책임지는자로서영제조제항제호및제호에해당하는자를말한다개인정보취급자란개인정보처리자의지휘감독을받아개인정보를처리하는임직원파견근로자시간제근로자등을말한다정보통신망이란전기통신기본법제조제호에따른전기통신설비를이용하거나

89 전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집가공저장검색송신또는수신하는정보통신체계를말한다개인정보처리시스템이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다다만소상공인또는중소사업자가내부직원의개인정보만을보유한시스템은제외한다내부망이라함은물리적망분리접근통제시스템등에의해인터넷구간에서의접근이통제또는차단되는구간을말한다내부관리계획이란개인정보처리자가개인정보를안전하게처리하기위하여내부의사결정절차를통하여수립시행하는내부기준을말한다비밀번호라함은정보주체또는개인정보취급자등이개인정보처리시스템업무용컴퓨터또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다접속기록이라함은개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자접속일시접속자를알수있는정보수행업무등접속한사실을전자적으로기록한것을말한다바이오정보라함은지문얼굴홍채정맥음성필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다보조저장매체라함은이동형하드디스크메모리플로피디스켓등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게연결분리할수있는저장매체를말한다위험도분석이란개인정보처리시스템에적용되고있는개인정보보호를위한수단과개인정보유출시정보주체의권리를해할가능성및그위험의정도를분석하는행위를말한다모바일기기라함은무선망을이용할수있는스마트폰태블릿등개인정보처리에이용되는휴대용기기를말한다공개된무선망이라함은불특정다수가무선접속장치를통하여인터넷을이용할수있는망을말한다 제조내부관리계획의수립시행개인정보처리자는개인정보의안전한처리를위하여

90 다음각호의사항을포함하는내부관리계획을수립시행하여야한다개인정보보호책임자의지정에관한사항개인정보보호책임자및개인정보취급자의역할및책임에관한사항개인정보의안전성확보에필요한조치에관한사항개인정보취급자에대한교육에관한사항개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항그밖에개인정보보호를위하여필요한사항소상공인은제항에따른내부관리계획을수립하지아니할수있다개인정보처리자는제항각호의사항에중요한변경이있는경우에는이를즉시반영하여내부관리계획을수정하여시행하고그수정이력을관리하여야한다 제조접근권한의관리개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다개인정보처리자는제항및제항에의한권한부여변경또는말소에대한내역을기록하고그기록을최소년간보관하여야한다개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우개인정보취급자별로사용자계정을발급하여야하며다른개인정보취급자와공유되지않도록하여야한다개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다 제조접근통제개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다개인정보처리시스템에대한접속권한을주소등으로제한하여인가받지않은접근을제한개인정보처리시스템에접속한주소등을분석하여불법적인개인정보유출시도를탐지개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우에는가상사설망또는전용선등