2 Core Issues 안전한인터넷세상 을만들기위해노력합니다. 01 개방성 02 참여와소통 03 공정성과중립성 04 고객정보보호 05 이용자권리및보호 06 기업문화 07 제주본사이전 08 사회공헌 비교적안전지대라고알려진방송사및금융사의서비스중단및정보유출에서알수있듯이더이

Size: px

Start display at page:

Download "2 Core Issues 안전한인터넷세상 을만들기위해노력합니다. 01 개방성 02 참여와소통 03 공정성과중립성 04 고객정보보호 05 이용자권리및보호 06 기업문화 07 제주본사이전 08 사회공헌 비교적안전지대라고알려진방송사및금융사의서비스중단및정보유출에서알수있듯이더이"

주연 시
4 years ago
Views:

1 2 Core Issues 안전한인터넷세상 을만들기위해노력합니다. 01 개방성 02 참여와소통 03 공정성과중립성 04 고객정보보호 05 이용자권리및보호 06 기업문화 07 제주본사이전 08 사회공헌 비교적안전지대라고알려진방송사및금융사의서비스중단및정보유출에서알수있듯이더이상의성역 ( 聖域, Sanctuary) 이없을정도로정보유출의시도가다양해지면서정보보안의중요성은날로증가하고있습니다. 또한 SMS 를통한소액결제사기 ( 스미싱 : Smishing) 및다수가이용하는상용프로그램의업데이트서버 (PMS : Patch Management System) 를통한악성코드유포등공격방법의지능화는정보보안의원칙이얼마만큼중요한지를다시한번일깨워주고있습니다. 이러한환경에서 Daum 은정보유출의가능성을최소화하고정보유출의시도가있을경우최단시간내에탐지하여대처하고이용자의신뢰를바탕으로더욱안전한서비스를제공할수있도록최선의노력을다할것입니다. 스미싱 (Smishing) 이란? 문자메시지 (SMS) 와개인정보를불법적으로알아내이를이용하는사기수법피싱 (phishing) 의합성어로휴대폰문자메시지를이용해게임머니등소액결제방법의사기수법을의미합니다. ( 출처 : 위키백과 ) 01_ 개인정보보호관리체계 (PIMS) 인증획득 Daum 은이용자가보다안전하고자유롭게인터넷서비스를이용할수있도록 PIMS 인증을획득하였습니다. Daum 은 2012 년부터이용자개인정보보호대책의일환으로 PIMS 를도입하였으며, 이러한개인정보보호현황에대한심사를거쳐모든서비스및정보자산이지속적으로관리, 운영되고있음을방송통신위원회로부터인정받았습니다. 아울러개인정보보호수준의일관성및연속성확보를위해자회사인다음서비스와함께 PIMS 를도입하였으며, 2013 년 Daum 과동시에인증을획득하였습니다. 02_ 정보보안국제표준인증획득 Daum 의정보보호를위한노력은대외공인인증으로검증받고있습니다 년포털업계최초로정보보호관리체계 (ISMS), ISO/IEC 인증을취득한바있으며, 정기적인심사를통해자격을유지하고있습니다. 개인정보보호관리체계 (PIMS) 인증기업및조직이개인정보보호활동을체계적 지속적으로수행하는데필요한보호조치체계를구축하였는지점검하여일정수준이상의기업에대해인증을부여하는국가공인제도입니다. ISO/IEC 인증 KISA ISMS 인증획득 43

2 구분 획득시기 인증내용 인증기관 국내 2006 년 정보보호관리체계 (ISMS) 인증 한국인터넷진흥원 국외 2006 년 ISO 인증 - 인터넷서비스를위한 DNV 인증원 인프라운영부문 국외 2009 년 ISO 인증 - 개발부문까지인증부문확대 DNV 인증원 03_ 개인정보취급방침개정 Daum 개인정보취급방침 Daum 은이용자의개인정보가어떻게관리되고있는지조금더쉽게이해할수있게개인정보취급방침을전면적으로개정하였습니다. 법률에의한딱딱하고형식적인용어들을이용자의입장에서알기쉽게개인정보의생명주기 (Life cycle) 에맞게 수집, 이용, 제공, 파기 절차로구분하여설명하였으며, 개인정보취급방침의모바일페이지를통해중요한내용에대해서는보다더쉽게확인할수있도록하였습니다. 04_ 제휴사개인정보점검제도도입 제휴사개인정보점검제도 란? 제휴사에대한최초입점승인시, 유관법률에기반한최적의개인정보관리요건을제시하고, 입점이후에도개인정보관리수준의정기적인점검을병행하되제휴사의부담을최소화할수있도록 Daum 이점검비용지원, 가이드라인제공등제휴사가최상의개인정보관리체계를유지할수있도록지원하는제도입니다. Daum 은법적책임및규제강화와함께서비스제휴사 ( 위탁및제 3 자 ) 의개인정보 관리부실로인한비즈니스위험이증가함에따라제휴사에의한개인정보유출사례가 발생하지않도록 제휴사개인정보점검제도 를국내최초로도입하였습니다. Daum 은이를위해개인정보보호법, 정보통신망법등관련규정준수에대한심층분석을통 해제휴사별서비스유형에최적화된총 52개점검항목을자체구성하였으며, 제휴사별점검결과에대한세부개선방안및가이드라인을제시함으로써제휴사개인정보관리체계구축을통한동반성장의새로운모델을제시하고있습니다. 개인정보유출위험에대한 Daum 과제휴사의고민해결 A 부터 개인정보침해사고급증 지속적인문제제기 법위반사례다수확인 금융, 쇼핑, 포털 정부, 언론, 이용자 위반사례확인 정보보호법률강화 자체점검 / 조치능력부족 외부컨설팅비용부담 법률적책임강화 전담인력 / 예산 최소수백만원이상 사이트개편시유지보수부담발생 정보보안이해 / 경험부족 현실적인인증비용체계 법률적책임강화 전문컨설팅지원 제휴사부담최소화 Z 까지 Joyful Changes 44

행위기반탐지기법 (Behavior Detection Tech) 을적용하고있으며, 비정상행위가감지될경우정보보호책임자및정보보호담당자에게즉각 SMS 로통보하여이상유무를확인할수있도록구현하였습니다. 06_ 인터넷네트워크망분리 망분리란? 업무망과인터넷망을분리하여두영역이서로접근할수없도록차단하여외부로의침입을막고내부정보의유출을막는조치입니다.

3 05_ 접근통제강화 Daum 의개인정보처리시스템및회원정보 DB는사전에권한을부여받은사용자만접근할수있기때문에여러단계의접근통제절차를통과하여야하며승인받지않은모든 IP는침입차단시스템에서원천차단하고있습니다. 로그인시, ID/PW 뿐만아니라 OTP(One Time Password) 를통한이중인증 (FTA: Two Factor Authentication) 까지성공해야하기때문에패스워드가유출되거나, 내부 PC가해커에게장악되더라도중요시스템에대한접근을원천적으로차단할수있습니다. 또한네트워크상의모든행위는정보보호전담부서에서실시간으로모니터링하고있습니다. 행위기반탐지기법 (Behavior Detection Tech) 을적용하고있으며, 비정상행위가감지될경우정보보호책임자및정보보호담당자에게즉각 SMS 로통보하여이상유무를확인할수있도록구현하였습니다. 06_ 인터넷네트워크망분리 망분리란? 업무망과인터넷망을분리하여두영역이서로접근할수없도록차단하여외부로의침입을막고내부정보의유출을막는조치입니다. ( 출처 : 한국인터넷진흥원망분리안내서 ) 개정된정보통신망법에의거해 2013 년 2월 18일부로개인정보취급자가개인정보처리시스템에접근할때인터넷이차단된환경에서접근하여야합니다. Daum 은다양한망분리구현방법을검토한결과 VDI 방식의망분리를채택하여 2013 년 2월 10일에구축완료하였습니다. 모든개인정보취급자는개인정보와관련된업무를수행할때, 가상데스크톱 (VDI : Virtual Desktop Infrastructure) 에접속하여업무를처리하도록하였습니다. 따라서개인정보취급자의 PC가해킹을당하거나내부직원이악의적목적으로회원정보를유출하려해도원천적으로불가능합니다. 가상데스크톱 (VDI) 란? 중앙에서가상화로동작하는서버의자원을활용해사용자별로가상의데스크톱과데이터저장공간을제공하는솔루션으로, 특히해킹의위험으로부터안전하며데이터유출을원천봉쇄할수있습니다. ( 출처 : 한국경제신문경제용어사전 ) 45

4 07_ 로그통합모니터링 Daum 은정보보호를위한기술적 관리적조치의일환으로다수의보안솔루션을운영하고있습니다. 이를효과적으로관리하기위해보안솔루션에서발생하는이벤트 (Event) 와로그 (Log) 를적합한방법론을기반으로상호연관관계를분석해야하기때문에일일수십 ~ 수백기가바이트 (GB) 의이벤트와로그를효과적으로모니터링하기위하여통합모니터링시스템에집약하여운영하고있습니다. 이상징후와같은해킹위협이나비정상로그를탐지하는것은물론, 내부임직원의위법행위를탐지하기위한로직도반영되어전담인원이 24시간 365 일모니터링을수행하고있습니다. 08_ 개인정보유출사고대응모의훈련 Daum 은개인정보유출사고발생시, 최단시간내에현황을파악하여이용자의피해를줄이기위한행동지침을수립하고있습니다. 이매뉴얼은발생가능한사고유형을분류하여각유형별행동지침을업무절차및유관부서의 R&R(Role and Responsibility : 업무역할및책임 ) 에따라세부적으로기술하고있으며, 연 1회모의훈련을수행하고있습니다. 모의훈련시에는회사의임원들도모두참석하여실전을방불케하는적극적인태도로훈련에임하고있습니다. 절대있어서는안되겠지만, Daum 은개인정보유출사고발생시숨김없는투명한커뮤니케이션을통해이용자의피해를최소화시키고, 이로인해발생가능한추가적인피해를예방하고자최선의노력을다할것입니다. 개인정보영향평가란? 새로운시스템 ( 서비스 ) 의도입이나중대한변경시시스템 ( 서비스 ) 의도입, 운영, 변경이개인정보에미치는영향을사전에조사 예측 검토하여개선방안을도출하는체계적인절차를말합니다. 취약성점검이란? 취약성이란컴퓨터운영체제나어플리케이션이지니고있는보안상의문제점이나헛점을의미하는것으로이를악용하여해킹등의여러악성행위를할수있습니다. 취약성점검은이러한취약성을사전에점검하여발견함으로써위험요소를해소시키는일련의활동을말합니다. 09_ 취약요소를점검하기위한내부통제제도포털서비스의특성상하나의서비스를만들기위해서는많은구성요소가필요합니다. 관련법적요구사항을준수하는지, 기술적취약점은제거되었는지, 개인정보를안전하게관리하는지등이있습니다. Daum 에서는이러한고려사항들을프로세스화하여안전한서비스를운영할수있도록내부통제제도를수립하고있습니다. 대표적으로개인정보영향평가와취약성점검절차가있습니다. Daum 에서의개인정보영향평가및취약성점검은선택이아닌필수절차로이용자에게서비스가제공되기이전에서비스기획및개발단계부터진행됩니다. 기획단계에서는법에의거한요구사항의준수여부를파악하여영향도분석을하고, 개발단계에서는보안코딩 (Secure Coding) 및코드리뷰 (Code Review) 가이뤄지며, QA(Quality Assurance) 단계에서는기술적인취약성점검과모의해킹을통하여안전한서비스임을검증한후서비스가이뤄집니다. Joyful Changes 46

5 개인정보영향평가 서비스팀요청 개인정보영향평가대상확인 개인정보영향평가수행 / 검토 개인정보영향평가종료 서비스기획및개발 서비스팀에서개인정보영향평가검토요청 평가팀에서대상여부확인 보안이슈존재여부확인및이슈존재시개선작업이행 최종확인후종료 서비스오픈 취약성점검 서비스팀요청 취약성점검수행 취약성점검조치 이행점검 / 종료 서비스기획및개발 서비스팀에서취약성점검요청 점검팀에서취약성점검수행 발견된취약성에대해담당부서조치 조치확인후종료 서비스오픈 정보보호자문단 3 기구성 운영 정보보호자문단 정보보호자문단 은공공, 법조계, 학계, 정책, 기술등다양한분야의전문가들로구성되어있으며연 2회이상회의를개최하여 Daum 의정보보호수준에대한객관적인분석과조언, 정보보호및관련법규의최신동향제공, 향후방향제시등정보보호와관련된자문을수행하고있습니다. Daum 은정보보호, 법무, 개발, 대외협력담당임원으로구성된정보보호정책결정의 최고의사결정협의체인정보보호위원회산하에외부전문가로 정보보호자문단 을 운영하고있으며, 2013 년에는 3기정보보호자문단 (2년임기 ) 을구성하여 운영하고있습니다. 구태언 ( 테크앤로법률사무소대표변호사 ) 법조계 정보보호법률분야전문가 김범수 ( 연세대학교정보대학원교수 ) 학계 정보보호정책분야전문가 김휘강 ( 고려대학교정보보호대학원교수 ) 학계 정보보호정책분야전문가 염흥열 ( 순천향대학교정보보호학과교수 ) 학계 정보보호정책분야전문가 이희조 ( 고려대학교컴퓨터공학과교수 ) 학계 정보보호정책분야전문가 지성우 ( 성균관대학교법학전문대학원교수 ) 학계 정보보호정책분야전문가 이재일 ( 한국인터넷진흥원본부장 ) 공공 정보보호전문기관책임자 이병귀 ( 경찰청사이버테러대응센터팀장 ) 공공 사이버수사분야전문가 진승헌 ( 한국전자통신연구원인증기술연구실장 ) 공공 정보보호기술연구분야전문가 47

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀