Transcription

1

2

3 본 홈페이지개인정보노출방지가이드라인 개정판은 08 년2월제정이후 3차개정판입니다. 가이드라인제정 ( 08.2 월 ), 구글자동삭제내용추가등 2 차개정 ( 09.2 월, 11.5 월 ) 금번개정판은개인정보보호법 [` 공포, ` 시행 ] 시행에따라민간부분의사례를대폭담아민간의활용도를높일수있도록하였습니다. 아울러전면적인편집을통해본가이드이용자의가독률을높이도록하였습니다. 2011년도 공공기관홈페이지개인정보노출방지가이드라인 대비아래의사항이추가되었습니다. 개인정보및개인정보노출의정의및유형추가 (10~12페이지 ) 주요노출유형및조치방법추가 (17 페이지 ) 공공기관및민간기관의주요노출사례추가 (42~50페이지 ) 홈페이지관리자및개인정보처리자유의사항보완 (54~66페이지 ) 홈페이지설계및개발시유의사항추가 (67~72페이지 ) 구글고급연산자를활용한홈페이지정보노출확인방법추가 (100~102페이지 ) 무료원격웹취약점점검, 웹사이트보안도구등개인정보노출방지를위한부록추가 (104~124페이지 ) 아무쪼록본개정판이각기관의웹사이트개인정보유 노출방지에좋은길잡이가되길바랍니다.

4 CONTENTS 개요 개인정보란? 개인정보노출이란무엇인가요? 침해사고위험이높은개인정보는어떤것인가요? 개인정보노출을방지하기위해서는어떻게관리해야하나요? 개인정보노출원인별조치방법 개인정보처리자부주의민원인 고객부주의홈페이지설계오류외부검색엔진노출유형공공기관주요노출사례민간기관주요노출사례 개인정보노출방지대책 개인정보노출방지를위한종합대책홈페이지관리자유의사항개인정보처리자유의사항홈페이지설계및개발시유의사항검색로봇배제표준적용방법게시판글등록시개인정보필터링을위한정규표현식적용방법구글에노출된개인정보확인및삭제방법구글고급연산자를활용한홈페이지정보노출확인방법

5 [ 부록 ] 홈페이지 10대보안취약점무료원격웹취약점점검웹사이트보안도구한국인터넷진흥원암호이용활성화개인정보유출통지제도 [ 그림 1] 개인정보의 16가지유형 [ 그림 2] 개인정보침해사례 [ 그림 3] 개인정보노출건수원인분석 [ 그림 4] 개인정보처리자부주의 ( 게시글 ) 노출유형 [ 그림 5] 개인정보처리자부주의 ( 댓글 ) 노출유형 [ 그림 6] 개인정보처리자부주의노출유형-첨부파일 1 [ 그림 7] 개인정보처리자부주의노출유형-첨부파일 2 [ 그림 8] 개인정보처리자부주의노출유형-엑셀 ( 다른 sheet) [ 그림 9] 개인정보처리자부주의노출유형-엑셀 ( 행 / 열숨기기 ) [ 그림 10] 개인정보처리자부주의노출유형-엑셀 ( 행 / 열숨기기취소 ) [ 그림 11] 개인정보처리자부주의노출유형 - 엑셀 ( 시트숨기기 ) [ 그림 12] 개인정보처리자부주의노출유형 - 엑셀 ( 시트숨기기취소 ) [ 그림 13] 개인정보처리자부주의노출유형 - 엑셀 ( 함수치환 1) [ 그림 14] 개인정보처리자부주의노출유형 - 엑셀 ( 함수치환 2)

6 CONTENTS [ 그림 15] 개인정보처리자부주의노출유형 - 엑셀 ( 메모 1) [ 그림 16] 개인정보처리자부주의노출유형 - 엑셀 ( 메모 2) [ 그림 17] 개인정보처리자부주의노출유형 - 엑셀 (OLE개체 ) [ 그림 18] 개인정보처리자부주의노출유형 - 글자색변경 1 [ 그림 19] 개인정보처리자부주의노출유형 - 글자색변경 2 [ 그림 20] 민원인부주의노출 - 게시판 [ 그림 21] 민원인부주의노출 - 첨부파일 1 [ 그림 22] 민원인부주의노출 - 첨부파일 2 [ 그림 23] 홈페이지설계오류 - 작성자정보등록오류 1 [ 그림 24] 홈페이지설계오류 - 작성자정보등록오류 2 [ 그림 25] 홈페이지설계오류 - 접근권한설정오류 1 [ 그림 26] 홈페이지설계오류 - 접근권한설정오류 2 [ 그림 27] 홈페이지설계오류 - URL 에개인정보포함 [ 그림 28] 홈페이지설계오류 - 이미지파일명소스코드노출 [ 그림 29] 홈페이지설계오류 - 관리자페이지 [ 그림 30] 외부검색엔진노출 - 구글검색 [ 그림 31] 외부검색엔진노출 - 구글 DB 1 [ 그림 32] 외부검색엔진노출 - 구글 DB 2 [ 그림 33] 중앙행정기관노출사례 [ 그림 34] 지방자치단체노출사례 [ 그림 35] 교육기관노출사례 1 [ 그림 36] 교육기관노출사례 2 [ 그림 37] 여행업노출사례 [ 그림 38] 판매점노출사례 [ 그림 39] 의료기관노출사례 [ 그림 40] 협회노출사례

7 [ 그림 41] 단체노출사례 [ 그림 42] 공유설정여부확인방법 (Windows XP) [ 그림 43] 접근통제설정방법 (Windows XP) [ 그림 44] 배움터 - 현장교육 [ 그림 45] 배움터 - 사이버교육 [ 그림 46] 한국인터넷진흥원아카데미 [ 그림 47] 정보보호기술온라인학습장 [ 그림 48] 개인정보보호포탈 [ 그림 49] 중소기업기술보호상담센터 [ 그림 50] robot.txt URL 적용여부확인 [ 그림 51] robot.txt checker 실행후화면 [ 그림 52] robot.txt 파일의적용유무확인화면 [ 그림 53] 구글검색 - 홈페이지제거요청도구 [ 그림 54] 구글계정로그인화면 [ 그림 55] 구글 - 새로운삭제요청하기 [ 그림 56] 구글 - 삭제할 URL 입력 [ 그림 57] 캐쉬페이지에개인정보입력후삭제요청 [ 그림 58] 요청결과확인 [ 그림 59] 구글웹마스터도구검색 [ 그림 60] 구글로그인화면 [ 그림 61] 삭제를원하는사이트선택 [ 그림 62] robots.txt 루트폴더에업로드 [ 그림 63] 삭제할 URL 입력 [ 그림 64] 캐쉬 URL 삭제이유선택 [ 그림 65] 검색결과및캐쉬에서페이지삭제선택 [ 그림 66] 캐쉬페이지삭제요청결과확인

8 CONTENTS [ 그림 67] 캐쉬에서만페이지삭제선택 [ 그림 68] 캐쉬에서만페이지삭제요청결과확인 [ 그림 69] 디렉토리삭제 [ 그림 70] 디렉토리삭제후결과확인 [ 그림 71] 무료원격웹취약점점검절차 [ 그림 72] 개인정보유출신고과정 [ 표 1] 주요노출유형및조치방법 [ 표 2] 개인정보노출방지종합대책 [ 표 3] 개인정보보호관련가이드라인안내 [ 표 4] robots.txt 의용어설명 [ 표 5] robots.txt 의문법설명 [ 표 6] 검색엔진리스트 [ 표 7] 캐쉬URL 을삭제하고자하는사유에대한설명 [ 표 8] URL 삭제도구가불필요한경우 [ 표 9] 구글검색연산자활용방법 [ 표 10] 구글고급검색파일확장자 [ 표 11] 개인정보노출발생의관리적, 기술적원인 [ 표 12] OWASP 10대보안취약점 [ 표 13] 개인정보의종류별암호기술 홈페이지개인정보노출방지가이드

9 I 1 개인정보란? 2 개인정보노출이란무엇인가요? 3 침해사고위험이높은개인정보는어떤것인가요? 4 개인정보노출을방지하기위해서는어떻게관리해야하나요?

10 홈페이지개인정보노출방지가이드라인 I 개요 1 개인정보란? 개인정보란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보를말합니다. 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여개인을알아볼수있다면그정보도개인정보가될수있습니다. 10

11 I 개요 11

12 홈페이지개인정보노출방지가이드라인 2 개인정보노출이란무엇인가요? 개인정보노출이란, 일반인터넷이용자가해킹등특별한방법을이용하지않고, 정상적으로인터넷을이용하면서타인의개인정보를취득할수있도록인터넷에방치되어있는것을말합니다. 3 침해사고위험이높은개인정보는어떤것인가요? 최근몇년간크고작은개인정보침해사고가발생했습니다. 이러한원인은그동안개인정보보호에관한인식이높지않았던것이큰부분을차지한다고볼수있습니다. 기업들은이윤추구를위하여, 그리고서비스제공시편의를위하여개인정보를무분별하게수집하고이용해왔습니다. 정보자체가가치가되면서개인정보를수집하는것에만관심이있고, 수집한개인정보의관리에대해서는크게신경쓰지않은것이사실입니다. 12

13 실제개인정보노출은관리자또는정보주체의무의식과부주의로인해발생하는경우가많습니다. 홈페이지게시판에무의식적으로올린주민등록번호, 연락처, 신용카드번호, 은행계좌번호, 이메일주소등이악의적인목적을가진사람에게는유용한정보로서스팸발송등으로악용되어개인일상생활을침해할수있을뿐만아니라명의도용으로신용카드발급, 회원가입, 대포폰개통, 보이스피싱등경제적인손실을가져올수가있습니다. I 개요 특히, 주민등록번호는교육, 의료, 신용등개인의신상에관한모든정보와연계될수있기때문에정보노출의개인적손실은물론사회 경제적손실이막대해질수있습니다. 4 개인정보노출을방지하기위해서는어떻게관리해야하나요? 정보화시대에개인정보의보호는가장중요한부분입니다. 개인의프라이버시를존중하고개인정보자기결정권 1) 을보장해야함은물론이며, 개인정보침해로인한 2차적인피해를고려할때개인정보의보호와통제의필요성이높아지고있습니다. 개인정보침해문제는단순한정보주체 2) 개인의문제로국한되는것이아닙니다. 각정보주체가개별적으로개인정보침해에대한위험관리를해야함은물론전사회적차원의위험관리방안이모색되어야할필요가있습니다. 1) 개인정보자기결정권 : 개인정보자기결정권은자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리이다. 즉, 정보주체가개인정보의공개와이용에관하여스스로결정할권리를말한다. 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별하수있게하는일체의정보라고할수있다. 그러한개인정보를대상으로한조사, 수집, 보관, 처리, 이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당한다. 2) 정보주체 : 처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다. 개인정보보호법의보호를받는정보주체가되기위해서는첫째, 처리되는정보에의하여알아볼수있는사람이어야하고, 둘째, 법인이나단체가아닌살아있는사람이어야하며, 셋째, 처리되는정보의주체가되는자이어야한다. 13

14 홈페이지개인정보노출방지가이드라인 기업이이윤추구및서비스제공편의를목적으로마케팅등에개인정보를수집 이용하는행위에있어서개인정보를필요한부분만최소화하여수집하고, 수집한개인정보를안전하게관리하는것이먼저전제되어야만합니다. 대부분의기업이운영하는홈페이지상의개인정보관리를소흘히할경우게시판의내용, 첨부파일을통해개인정보가일반이용자에게공개될수도있으며언제든지구글 (Google) 과같은외부검색엔진에의해수집되어개인정보가노출될수있습니다. 때문에, 홈페이지운영에있어게시판의글, 첨부파일의개인정보포함여부를지속적으로확인및관리하여야하며, 개인정보노출차단 S/W 적용, 홈페이지보안취약성점검, 관리자페이지인증절차점검, 검색로봇배제표준적용, 개인정보처리자 3) 및홈페이지담당자를대상으로주기적인개인정보보호교육등개인정보노출방지대책을마련해야합니다. 3) 개인정보처리자 : 업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체, 사업자및개인등을말한다. 개인정보처리자는공공기관, 영리 비영리법인, 영리 비영리단체, 개인이모두포함되며, 자신이직접개인정보를수집, 가공, 편집, 이용, 제공, 전송하지아니하고다른사람예컨대수탁자, 대리인, 이행보조자등을통해서처리하는경우에도개인정보처리자에해당한다. 하지만, 개인정보를수집, 이용, 제공하고있다고해서모두가개인정보처리자가되는것은아니다. 개인정보보호법상개인정보처리자가되기위해서는개인정보파일을운용하고있어야한다. 또한, 순수한개인적인활동이나가사활동을위해서개인정보를수집, 이용, 제공하는자는개인정보처리자라고할수없다. 14

15 II 1 개인정보처리자부주의 2 민원인 고객부주의 3 홈페이지설계오류 4 외부검색엔진노출유형공공기관주요노출사례민간기관주요노출사례

16 홈페이지개인정보노출방지가이드라인 II 개인정보노출원인별조치방법 홈페이지를통해개인정보가노출되는주요원인은개인정보처리자의부주의, 민원인 ( 고객 ) 부주의, 홈페이지설계오류등이대표적이며각형태별로다양한유형의개인정보노출이발생하고있습니다. 출처 : 행안부 2011 년도개인정보노출조기경보시스템운영현황 위그림에서알수있듯이, 개인정보처리자의부주의에의한노출이전체노출건수중가장많은비중을차지하고있습니다. ( 개인정보노출건수기준 ) 홈페이지를통한개인정보노출을방지하기위해서는개인정보처리자의부주의나무관심으로인한노출이발생하지않도록유의하고, 홈페이지에개인정보노출을차단하거나검색할수있는도구를이용하여기관이운영중인홈페이지에대해서지속적으로개인정보노출방지를위한관리를하는것이가장중요합니다. 16

17 [ 표 1] 주요노출유형및조치방법 구분주요내용조치사항조치주체 게시글에개인정보포함 첨부파일에개인정보포함 소스코드 4), URL 등에개인정보포함 개인정보처리자부주의, 민원인의개인정보보호인식부족등에의해홈페이지게시물에개인정보가포함되어노출되는형태 게시판에첨부되는엑셀, 글등의첨부파일에개인정보가노출되는형태 ( 엑셀파일의숨기기기능, 다른 Sheet활용, 치환함수적용에의해개인정보가노출될수있습니다.) 모든홈페이지에서기본적으로공개되는소스코드또는 URL 에개인정보가포함되는형태 ( 홈페이지설계시게시물에대한구분자로주민번호등을이용하는경우에발생할수있습니다.) 콘텐츠를즉시삭제하거나해당개인정보일부를 *( 마스킹 ) 처리 게시판에개인정보작성방지를위한경고문구삽입 노출차단 S/W 적용 게시판에서해당게시물을삭제한후, 개인정보를제거한파일을다시업로드 웹사이트수정 홈페이지관리자, 개인정보처리자 홈페이지관리자, 개인정보처리자 홈페이지관리자 II 개인정보노출유형및조치방법 외부검색엔진을통한개인정보노출 구글등포털의검색로봇수집에따른개인정보노출 먼저해당홈페이지에있는내용중개인정보를즉시삭제 구글자동삭제시스템을이용한저장정보삭제요청 필요시검색엔진배제표준이나메타태그적용 홈페이지관리자 4) 소스코드 (Source Code) : 디지털기기의소프트웨어내용을프로그래밍언어로나타낸설계도다. 완성된소스코드를컴퓨터가이해할수있는기계언어로변환하면실행가능한소프트웨어가형성된다. 이소스코드는해당제품의구조와작동원리에대한모든정보를포함하고있어공개될경우기업의개발기밀이드러나기때문에제품의지적재산권침해및시장질서에부정적인영향을끼칠수있다. 17

18 홈페이지개인정보노출방지가이드라인 1 개인정보처리자부주의 가. 노출유형 1) 게시판노출 - 개인정보처리자부주의 ( 게시글 ) 홈페이지의공지사항작성시개인정보처리자의부주의로개인정보가포함된게시물을통해개인정보노출사고가발생하는유형입니다. 18

19 2) 게시판노출 - 개인정보처리자부주의 ( 댓글 ) II 개인정보처리자가신속한민원처리를위해민원인의게시글에답변을하는과정에서개인정보가포함된것을확인하지못하여개인정보노출사고가발생하는유형입니다. 개인정보노출유형및조치방법 3) 첨부파일노출 19

20 홈페이지개인정보노출방지가이드라인 개인정보처리자가공지사항등에관련파일을업로드하면서개인정보포함유무를확인하지못하여개인정보노출사고가발생하는유형입니다. 4) 첨부파일노출 - 엑셀파일 ( 다른 Sheet 에개인정보포함 ) 20

21 엑셀파일은글문서프로그램과다르게시트 (Sheet) 별로문서를작성할수있습니다. 엑셀파일을열었을때보이는시트에서는개인정보가확인되지않지만엑셀파일내의다른시트에는개인정보가포함되어있어개인정보노출사고가발생하는유형입니다. 5) 첨부파일노출- 엑셀파일 ( 행 / 열숨기기, Sheet 숨기기 ) II 개인정보노출유형및조치방법 21

22 홈페이지개인정보노출방지가이드라인 개인정보처리자가엑셀파일에서행 / 열또는 Sheet이숨김처리된것을미확인하여개인정보노출사고가발생하는유형입니다. 엑셀파일에는행 / 열또는 Sheet가 [ 숨기기 ] 기능이있습니다. 개인정보가포함된행 / 열또는 Sheet가 [ 숨기기 ] 처리되어파일을열었을때에는개인정보가보이지않지만행 / 열또는 Sheet를 [ 숨기기취소 ] 하면개인정보가확인됩니다. 22

23 6) 첨부파일노출 - 엑셀파일 ( 함수치환 ) II 개인정보노출유형및조치방법 개인정보처리자가엑셀파일에서개인정보를치환함수로마스킹처리하여개인정보노출사고가발생하는유형입니다. 엑셀파일에서개인정보가포함된셀에 LEFT 나 REPLACE 등의치환함수 5) 를 5) 치환함수 : 엑셀상에서사용되는함수를이용하여어떠한단어를특정문자로바꾸어놓는것을치환함수라고말한다. 23

24 홈페이지개인정보노출방지가이드라인 적용하여 *( 마스킹 ) 처리등으로개인정보가은폐된것처럼보이지만, 엑셀의 [ 찾기 ] 기능을이용하면개인정보를찾을수있습니다. 특히치환함수를적용하기위해서는어딘가에해당개인정보가 [ 숨기기 ] 처리가되어있으므로, [ 숨기기취소 ] 를이용해서개인정보포함유무를확인해야합니다. 7) 첨부파일노출 - 엑셀파일 ( 메모 ) 24

25 첨부파일을열었을때에는개인정보가확인되지않지만, 엑셀파일내의메모에개인정보가포함되어발생하는개인정보노출사고유형입니다. 8) 첨부파일노출 - 엑셀파일 (OLE 개체삽입 ) II 개인정보노출유형및조치방법 개인정보가포함된엑셀파일을 OLE 6) 개체로삽입하여작성한자료를홈페이지에게재시개인정보가포함되어발생하는노출유형입니다. 6) OLE(Object Linking and Embedding) : 응용프로그램간서로호환이되어다른응용 S/W 에서작성한그림이나표, 차트, 비디오등과같은데이터의정보를연결시켜주는기능 25

26 홈페이지개인정보노출방지가이드라인 9) 첨부파일노출 - 글자색변경 파일에있는개인정보의일부를글자색과배경색이같게하여육안으로만보이지않을뿐검색을통해주민등록번호를찾을수있습니다. 모든첨부파일에서나타날수있는개인정보노출유형입니다. 26

27 나. 조치방법 1) 노출된개인정보가발견되면개인정보처리자는개인정보가있는게시물을삭제하거나, 개인정보가노출된부분을 *( 마스킹 ) 처리하여다시게시하도록해야합니다. 단, 첨부파일이등록되어있는경우는해당첨부파일을먼저삭제한후수정된파일을다시업로드해야합니다. 2) 개인정보파일은다른문서들과별도로관리하여노출되지않도록관리해야합니다. 개인정보파일은 DB를분리하고암호화하여보관하거나잠금장치가있는보관시설에별도로보관하는것이안전합니다. 3) 홈페이지게시판이용시개인정보필터링시스템을이용하여게시글작성부터개인정보포함유무를확인할수있도록하며, 팝업창을이용하여개인정보입력에대한경고문을안내하는것도좋은방법입니다. II 개인정보노출유형및조치방법 4) 민원및각종신청관련게시판의게시글이나댓글은비밀번호지정등을통해민원인과개인정보처리자만해당글을확인할수있도록조치해야합니다. 5) 엑셀파일을첨부할경우, 다음사항들을확인후파일을업로드해야합니다. 모든시트의개인정보포함여부를확인하고불필요한시트는삭제해야합니다. 행 / 열 / 시트가 [ 숨기기 ] 되어있는지확인하고, 불필요한개인정보가포함되어있다면삭제해야합니다. 개인정보가 * 로표시되어있다고하더라도해당셀을클릭하여치환함수가사용된것은아닌지확인하고, 해당셀을문자로변경 ( 해당셀을복사한후 [ 선택하여붙여넣기 ] [ 값 ] 클릭 ) 하고 [ 숨기기 ] 처리된개인정보를제거해야합니다. 셀모서리부분을확인하여메모안에개인정보가있는것은아닌지확인하고, 삭제해야합니다. OLE 개체가삽입되어있는문서는개인정보포함여부를다시한번확인하고업로드해야합니다. 27

28 홈페이지개인정보노출방지가이드라인 6) 모든문서파일에서배경색과글자색이동일하게설정되어있지는않은지확인해야합니다. 예를들어, 주민등록번호가파일에있는경우, 13자리숫자중뒤 7자리에대해은폐처리를하더라도주민번호를다른곳에붙여넣기하게되면 13자리주민등록번호를모두확인할수있습니다. 다. 노출사례 [ 사례 1 ] 홈페이지공고에포함된개인정보대량노출 1 노출개요 노출사고내용 문제점및시사점 개인정보처리자가홈페이지에게시한공고에개인정보가포함되어대량의개인정보노출발생 모지방자치단체의홈페이지에게시한공고에이름, 주민등록번호, 주소등이포함된대량의개인정보를게시한사고가발생 해당홈페이지는회원가입없이모든게시물을열람할수있어게시된개인정보노출로인한피해가심각했던사례임게다가, 홈페이지운영상개인정보 ( 주민등록번호, 주소, 휴대폰번호등 ) 관리를철저히하고있다고공지해놓고발생한노출사고였기에더욱비난을받았던사례이기도함 [ 사례 2] 홈페이지공고에포함된개인정보대량노출 2 노출개요 노출사고내용 문제점및시사점 홈페이지에사회공헌활동지원내역을게재하면서수천명의개인정보노출발생 모공공기관홈페이지의 경영공시 란에저소득세대와기초생활수급자, 장애인세대, 소년소녀가장세대및관련단체에각종물품과성금등의지원활동내역을공지하는과정에서첨부파일에특정개인임을식별가능한정보가포함되어노출사고발생 노출된정보가주민등록번호는아니지만특정개인이저소득층보호대상자라는것을알수있는민감정보였음노출된개인정보가주민등록번호에한정되는것이아님을재인식하게한사례이며, 개인정보처리자는홈페이지에게시물등록시다양한형태의개인정보노출이발생할수있는위험요소를고려하여야함 28

29 [ 사례 3] 관리자화면의노출로인한개인정보노출 노출개요 노출사고내용 문제점및시사점 관리자페이지의홈페이지설계오류로인해회원정보노출사고발생 홈페이지에가입한회원목록의가입자명, 주민등록번호, 주소, 비밀번호의노출 홈페이지관리자만접속할수있어야할회원관리페이지가무방비노출되어모든가입자의개인정보가노출이된사례임소스코드수정시그로인한오류가없는지철저한점검이필요함 [ 사례 4] 개인정보삭제시첨부파일미삭제로인한개인정보노출 노출개요 노출사고내용 개인정보처리자의첨부파일삭제시부주의로인한첨부파일내의개인정보가검색엔진에의해지속적으로노출되는사고가발생 모비영리단체에게시된신상내역서를관리자가삭제하였으나첨부파일을삭제하지않고게시물을삭제하여첨부파일에해당 URL 이남아있어첨부파일내의개인정보는검색엔진에의해계속적으로노출이됨 II 개인정보노출유형및조치방법 문제점및시사점 첨부파일이포함된게시물을삭제할때첨부파일을먼저삭제하지않고게시글을삭제하여 DB상에첨부파일이그대로남아노출이지속됨이런경우호스팅업체에문의하여해당 URL 에대한삭제를요청해야함때문에첨부파일이포함된게시물을삭제할때는첨부파일을먼저삭제하고게시물을삭제해야함 [ 사례 5] 외부검색엔진에의한개인정보노출 노출개요 노출사고내용 문제점및시사점 홈페이지에서대량의중앙부처공무원의개인정보노출 모중앙행정기관홈페이지에서중앙부처공무원다수의소속기관, 부서명, 직급, 이름, 주민등록번호가포함된첨부파일이노출됨해당홈페이지에서파일은즉시삭제되었으나, 구글등일부포털에서는계속검색이되어노출이지속됨 상시업무중개인정보처리자의실수로개인정보가노출될수있으므로개인정보필터링시스템을도입하거나개인정보처리자가상시주의하는등기술적 관리적대책의운용이중요하다는것을주지시킨사례임 29

30 홈페이지개인정보노출방지가이드라인 [ 사례 6] 교육기관행사담당자의메일첨부파일로인한개인정보노출 노출개요 노출사고내용 문제점및시사점 교육기관에서배포한문서의숨겨진시트에등록된개인정보가노출 한교육기관에서전년도행사참가자개인정보가숨김처리된행사참가양식문서를재사용하여전자메일로배포하여행사에참가하는기관에서도그참가양식을그대로홈페이지에업로드하여다량으로노출된사례 문서양식은새로작성하거나불가피하게재사용해야할때는필요한양식만복사해서새문서로만들어사용하고가려지거나숨겨진정보가없는지꼭확인해야함 [ 사례 7] 치환함수를이용한마스킹처리로인한개인정보노출 노출개요 노출사고내용 문제점및시사점 *( 마스킹 ) 처리된문서에서개인정보노출 모협회에서홈페이지에게시한기부내역문서에서주민등록번호를함수치환시켜 *( 마스킹 ) 처리를함으로인해노출사고발생 함수치환을이용해 *( 마스킹 ) 처리를하는경우육안으로보이지않지만, [ 찾기 ] 혹은 [ 숨기기취소 ] 를이용하면주민등록번호를확인할수있음함수치환을이용한경우 *( 마스킹 ) 처리된정보는수식이나서식을제외한 [ 값 ] 으로지정하고, 치환전의주민등록번호는반드시삭제해야함 [ 사례 8] 첨부파일의 OLE 개체로인한개인정보노출 노출개요 노출사고내용 문제점및시사점 개인정보처리자가홈페이지에게시한보도자료첨부파일내그래프의숨겨진파일에서대량의개인정보노출발생 모정부기관홈페이지에서대량의전화금융사기피해자의이름, 주민등록번호, 연락처가포함된명단이배포되어개인정보노출사고발생 개인정보처리자가파일을작성시 OLE 개체삽입 을통해다른파일의일부정보를포함시키는경우, 작성중인파일내에서는 OLE 개체의일부만보이지만, 실제로는 OLE 개체파일전체가작성중인파일뒤에숨겨져서포함된것임개인정보처리자가첨부파일을홈페이지에등록할때, 파일내에삽입된 OLE 개체파일에개인정보가포함되었는지여부를확인하여야함 30

31 2 민원인 고객부주의 가. 노출유형 1) 게시판노출 민원인 ( 고객 ) 부주의 II 개인정보노출유형및조치방법 민원인 ( 고객 ) 이게시글을작성하면서신속한민원처리를위해의도적혹은부주의로본인이나타인의개인정보가포함된글을그대로등록하여개인정보노출사고가발생하는유형입니다. 31

32 홈페이지개인정보노출방지가이드라인 2) 첨부파일노출 - 민원인 ( 고객 ) 부주의 민원인 ( 고객 ) 이게시글작성시개인정보가포함된첨부파일을등록하여개인정보노출사고가발생하는유형입니다. 32

33 홈페이지개인정보노출방지가이드라인 홈페이지설계시게시물식별및구분을위해게시판소스코드에작성자정보를개인정보로이용하도록설정한경우소스보기를통해개인정보노출사고가발생하는유형입니다. 2) 홈페이지설계오류- 소스코드 ( 접근권한설정오류 ) 34

34 나. 조치방법 1) 민원인 ( 고객 ) 이등록한게시글에개인정보가포함이되어있는경우개인정보처리자는민원인 ( 고객 ) 의동의를거쳐해당페이지를삭제하거나개인정보의일부를 *( 마스킹 ) 처리하는등의조치를해야합니다. 2) 민원, 상담관련게시판에게시글, 댓글을등록할경우에는비밀번호지정혹은비밀글설정등을통해개인정보처리자와민원인 ( 고객 ) 만해당게시글, 댓글을확인할수있도록해야합니다. 3) 민원인 ( 고객 ) 이게시글을등록할때경고팝업창을통해, 게시글에개인정보의포함유무를다시한번확인하도록조치해야합니다. 참조 : 팝업창경고문구 (p.70) 4) 민원인 ( 고객 ) 이게시글을등록할때개인정보가입력되는것을예방할수있도록개인정보필터링시스템을도입하는것도좋은방법입니다. 참조 : 개인정보필터링시스템 (p.71) II 개인정보노출유형및조치방법 3 홈페이지설계오류 가. 노출유형 1) 홈페이지설계오류 - 소스코드 ( 작성자정보등록오류 ) 33

35 홈페이지게시판에비밀번호가설정되어화면상으로는접근권한이설정된것처럼보이지만, 해당화면에서소스보기를하면해당게시물에작성된글의내용이그대로확인가능하여개인정보노출사고가발생하는유형입니다. 3) 홈페이지설계오류- 홈페이지 URL에개인정보를포함 II 개인정보노출유형및조치방법 조직구성원들의소개홈페이지, 조직내개인홈페이지혹은게시물의정보를식별및구분하기위해서홈페이지주소 (URL) 에개인정보를이용하는경우로홈페이지설계오류에따른개인정보노출발생유형입니다. 35

36 홈페이지개인정보노출방지가이드라인 4) 홈페이지설계오류 - 홈페이지소스코드파일명에개인정보포함 조직구성원의사진정보등을저장할때파일명으로개인정보를이용하는경우, 홈페이지소스코드에개인정보가그대로나타나기때문에발생하는개인정보노출사고유형입니다. 5) 홈페이지설계오류- 관리자페이지 36

37 홈페이지설계오류로접근권한을가진이용자만접근할수있는홈페이지에권한없는이용자가접속가능하여발생하는노출사고유형입니다. 홈페이지는접근통제시접근권한을가진이용자만이접근할수있도록해야하지만, 접근권한및인증등의절차가제대로구현되지않으면비권한자접근에의한노출이발생될수있습니다. II 나. 조치방법 1) 소스보기를통해게시물의내용이확인가능한경우는홈페이지게시판소스코드의보완이필요합니다. 가장간단한조치방법은홈페이지를구별하기위해이용자나게시물을식별할수있는문자열을지정하거나이용자정보를해쉬함수를이용하여일방향암호화하는등의조치를해야합니다. 개인정보보호법상일방향암호화 ( 비밀번호 ) 와양방향암호화 ( 고유식별정보, 바이오정보 ) 를적용해야하는대상이다르다는점을확인하시기바랍니다. 참조 : KISA 암호이용활성화 FAQ, 개인정보노출유형및조치방법 2) 홈페이지설계오류, 보안취약점등을점검하여개인정보노출이발생하지않도록조치해야합니다. 다. 노출사례 [ 사례 1] 로그인페이지소스보기를통한개인정보노출 노출개요 노출사고내용 문제점및시사점 홈페이지게시판이용중로그인이필요하다는메시지가보이지만소스보기기능을이용하면게시글을볼수있음. 모지방자치단체홈페이지의특정게시판에서게시글을읽으려하면비밀번호를입력하라는화면이나오지만그화면에서웹브라우저의소스보기기능을이용하면비밀번호입력을하지않아도게시글에기록된주민등록번호가노출됨 홈페이지설계오류중소스코드오류로인한사고로비밀번호가설정되어있는게시판의글이홈페이지접속시에는비밀번호입력화면이나와서그내용을확인할수없으나웹브라우저의소스보기를하면그대로게시판의개인정보가기록된게시글이노출되는사례임 37

38 홈페이지개인정보노출방지가이드라인 [ 사례 2] 메시지를이용한접근차단시개인정보노출 노출개요 노출사고내용 문제점및시사점 홈페이지회원관리목록의가입자명, 주민등록번호, 주소, 비밀번호의노출 모연구소홈페이지의관리자홈페이지접속시 접근권한이없습니다 라는메시지와함께접속이되지않지만웹브라우저의소스보기기능을이용하면가입자의개인정보가노출됨 관리자홈페이지의인증오류로인한사고로접근권한이없다는화면이나오지만웹브라우저의소스보기를이용하면소소코드에는가입자의개인정보가그대로보여지는인증오류와관련된노출사례임소스코드의수정변경추가시다른기능들에대한오류발생이없도록유의해야함 [ 사례 3] 인증절차가미비한관리자홈페이지를통한개인정보노출 노출개요 노출사고내용 문제점및시사점 관리자홈페이지에서다운로드한첨부파일에서대량의주민등록번호노출발생 개인정보노출점검과정에서모지방자치단체홈페이지에서대량의주민등록번호가포함된엑셀파일이노출됨 관리자홈페이지노출및인증오류로인한사고로, 관리자페이지에서노출된첨부파일이인증절차없이다운로드되어개인정보가노출된사례임본개인정보노출은홈페이지초기설계단계에서발생한것이아니라, 홈페이지운영단계에서기능변경에따라소스를수정하는과정에서인증절차를간과하여발생한사고임 4 외부검색엔진노출유형 현재외부검색엔진중구글검색엔진은전세계적으로가장강력한성능을가진검색엔진으로명의도용의도를가진자가활용하는좋은창구가되기도합니다. 따라서기관홈페이지에서개인정보가노출되어구글검색엔진의수집대상이되지않도록지속적인관심이필요합니다. 구글검색엔진을통한노출유형은기관홈페이지와구글DB에개인정보가노출된 38

39 경우와기관홈페이지의정보는삭제되고구글DB에만개인정보가남아있는경우로나누어조치사항이달라집니다. 가. 노출유형 1) 구글 (Google) 검색엔진 7) 에의한노출구글검색엔진을통해확인한구글DB와해당링크를따라방문한홈페이지에서모두개인정보가발견되는유형입니다. II 개인정보노출유형및조치방법 최근구글검색엔진은개인정보노출방지를위해자체적으로주민등록번호중뒤의 7자리를 * 로치환하여검색결과를일부제공하기도하지만, 여전히주민등록번호 13 자리가모두검색결과로제공되는경우가발생하고있습니다. 7) 검색엔진 : 인터넷상에서자료를쉽게찾을수있게도와주는소프트웨어또는웹사이트를말한다. 사용자의검색어선정과검색조건의적절한지정에따라검색소요시간이달라진다. 검색방법으로는사용자가키워드, 즉검색어를직접입력하는검색과검색엔진이제시한몇가지항목들중사용자가원하는항목을선택하는방식으로범위를좁혀가는카테고리검색이있다. 대표적인한글검색엔진으로는네이버, 다음등이있으며영문검색엔진으로는야후, 라이코스등이있다. 39

40 홈페이지개인정보노출방지가이드라인 따라서이유형은구글검색결과를클릭하였을때, 해당웹페이지에개인정보가존재하는경우 ( 검색결과의 *( 마스킹 ) 처리여부와관계없이 ) 를말합니다. 2) 구글 DB 에만노출이존재하는경우 기관홈페이지에서노출된개인정보는삭제되었으나, 구글검색엔진의 DB 에개인정보가저장되어구글검색시개인정보노출사고가발생하는유형입니다. 나. 조치방법 1) 구글DB 및홈페이지에모두개인정보가노출된것이확인되면가장먼저홈페이지에노출되어있는개인정보를즉시삭제한후구글자동삭제시스템에접속하여노출된개인정보를구글DB에서완전히삭제처리되도록구글에요청해야합니다. 참조 : 구글에노출된개인정보확인및삭제방법 (p.84) 40

41 2) 검색엔진배제표준이나메타태그 8) 를적용해야합니다. 참조 : 검색로봇배제표준적용방법 (p.73) 다. 노출사례 [ 사례 1] 상태표시줄을통한개인정보노출 II 노출개요 노출사고내용 문제점및시사점 홈페이지의특정인을검색하여, 그결과에마우스를위치하면브라우저하단의상태표시줄에개인의주민등록번호가나타남 모중앙행정기관홈페이지의특정메뉴에서개인의이름, 소속기관명을검색어로질의한결과에마우스를위치하면브라우저하단에해당개인의주민등록번호가노출됨 홈페이지의 DB 검색결과를호출하는과정에서해당검색결과를구분하기위한자바스크립트인자로주민등록번호를사용하여웹브라우저하단의상태표시줄및소스코드내에개인정보가포함되어노출된사례로홈페이지설계단계에서는개인정보를소스코드나특정페이지를구분하는인자로활용하지말아야한다는점을주지시킨사례임 개인정보노출유형및조치방법 [ 사례 2] 접근통제가미흡한민원홈페이지운영시개인정보노출 노출개요 노출사고내용 문제점및시사점 홈페이지의 민원코너 에로그인을하면타인의민원내용을열람가능하게홈페이지가구축되어있음 모중앙행정기관홈페이지민원코너에글을남기기위해로그인을하면다른민원내용을열람할수있어, 게시글에포함된개인정보가타인에게노출됨 일반적으로민원인은로그인후민원사항을등록하는것에대해서는타인이볼수없을것으로판단하여자신의개인정보를게시하는경우가많음게시물은등록한민원인만이열람할수있도록하는등게시물에대한접근통제를강화하여개인정보노출을차단하여야함 8) 메타태그 (Meta Tag) : 메타태그란키워드검색엔진에특정홈페이지또는 HTML 문서에대한색인정보즉, 키워드와약간의정리된내용 ( 컨텐츠 ) 을표현하는 HTML Tag 이다. 41

42 홈페이지개인정보노출방지가이드라인 Tip 1 가. 중앙행정기관 < 주로노출되는첨부파일명예시 > OO부감사결과보고서, 기초체력검사분석자료, OO연수입소대상자명단, OO부 OO법시행의견, OO 공단이의신청서, 연구결과보고서, 판례및사례, 비정규직근로자의사역해제공고, 이력서, 진정서 공공기관등에서개인정보등이포함된주요내부문서가개인정보처리자의부주의로인해첨부파일이업로드되어개인정보가노출된사례입니다. 개인정보처리자는문서내주민등록번호뒷자리를 *( 마스킹 ) 처리하거나문서의비밀번호설정또는게시판의접근권한설정을통해외부노출을막아야합니다. 42

43 나. 지방자치단체 < 주로노출되는첨부파일명예시 > 변동신고자, 임대차계약자, 2012년정책숲가꾸기사업예정자명단, 2012 교육생모집신청서, 측량업체현황, OO시선수명단, 특화사업신청서, 급여신청서, 설립허가, 공시송달공고문, 사업보고서, 교육생모집신청서업무관련신청서에개인정보가포함되었음에도불구하고개인정보처리자의부주의로인해첨부파일이업로드되어노출사고가발생하게된사례입니다. II 개인정보노출유형및조치방법 신청서의주민등록번호대신사업자등록번호를기입하거나게시판의관리자접근권한의설정후게시합니다. 43

44 홈페이지개인정보노출방지가이드라인 다. 교육기관 < 초중고- 주로노출되는첨부파일명예시 > 전출입교사현황, 가정통신문, 학년 반교육과정운영계획, 여름방학육상부캠프운영계획, 취학학생명부, 학생회간부수련회계획, 급식운영계획서, 방과후교육계획서, 학부모연수회연수자료 < 대학- 주로노출되는첨부파일명예시 > 강의계획서, 토익성적향상그룹대상자명단, 프로그램참가자명단, 강사이력서, 동아리등록신청서 1) 각종명단학교등에서주로사용하는합격자명단, 신입생명단, 학부모교육참가자명단등을홈페이지에게시하면서첨부파일상의개인정보포함유무를확인하지않아개인정보가노출된사례입니다. 특히, 인터넷통신비지원대상자명단, 장기결식자명단, 저소득층학생명단등은민감정보이기에노출시심각한사생활침해가우려됩니다. 44

45 2) 학급운영관련문서학급별로매학기마다제작되는학급경영록, 학생명부등에학생의주민번호, 주소와학부모의휴대폰번호등이기재된첨부파일이나수학여행, 캠프등의참석자명단및여행관련단체보험신청을위해교내홈페이지에관련문서를업로드하면서개인정보처리자가개인정보포함유무를확인하지않아노출사고가발생된사례입니다. II 개인정보노출유형및조치방법 교육운영계획등을게시할경우, 내부문서를그대로게시하지않고학생, 학부모의개인정보는반드시삭제후에게시합니다. 45

46 홈페이지개인정보노출방지가이드라인 Tip 2 가. 여행업의사례 < 주로노출되는게시글예시 > 여행예약확인요청, 현금영수증요청 ( 게시판 ), 회원증발급명단 여행예약정보및입금내용을확인하거나계산서및현금영수증발급조치등을요구하는글을작성시빠른본인확인및문의를위해고객이자신의주민번호를포함하여게시물을작성하는과정에서개인정보노출이발생하고있습니다. 예약신청게시판의댓글은비밀번호지정등을통해해당고객과관리자만확인할수있도록조치하고게시판글이구글등검색엔진에수집되지않도록검색로봇배제표준을적용합니다. 46

47 나. 판매점의사례 < 주로노출되는게시글예시 > 입금확인및계산서요청글, 멤버십요청확인물건을구입하고입금확인및세금계산서, 현금영수증발급등을위해게시글작성시편리성을위해고객이자신의주민번호를포함하여작성하는과정에서개인정보가노출된사례입니다. II 개인정보노출유형및조치방법 주문시미리세금계산서나현금영수증의발금을신청하거나구매번호등과같은다른확인수단을사용하며게시판에관리자권한설정을합니다. 47

48 홈페이지개인정보노출방지가이드라인 다. 의료업의사례 < 주로노출되는게시글예시 > 진료문의게시글, 병원진료예약문의, 병원취업이력서, 진단서, 처방전, 요양급여비용청구서, 진료기록및문의시편의성을위해고객이본인및가족의주민번호를포함하여작성하는과정에서개인정보노출사고가발생된사례입니다. 게시판의관리자권한설정과게시판글이구글등검색엔진에수집되지않도록검색로봇배제표준을적용합니다. 48

49 라. 협회의사례 < 주로노출되는게시글및첨부파일명예시 > 입사지원서, 유공자포상자격조회명단, OO축협참예우브랜드농가현황, 시도별특성화시장수요조사결과, 문의사항, 내용증명서 II 자원봉사활동신청및확인서발급신청시고객이자신의주민번호를포함하여게시글을작성하는과정에서개인정보노출사고가발생된사례입니다. 개인정보노출유형및조치방법 게시판의관리자권한설정을하고개인정보입력시팝업창을통하여개인정보입력에대한경고문안내, 또는개인정보필터링시스템을이용해야합니다. 49

50 홈페이지개인정보노출방지가이드라인 마. 단체의사례 < 주로노출되는게시글및첨부파일명예시 > 공공승진제도개혁백서, 캠프참가신청서및명단, 공공추천서, 봉사활동조편성, 봉사참가자 일반단체에서활용되는각종활동을위해접수된신청서및내부문서에포함된개인정보포함유무가미확인된상태에서첨부파일이업로드되어노출사고발생된사례입니다. 개인정보보호이것만은꼭! 신청서의경우, 신청자본인과개인정보처리자이외의다른사람이접근하지못하도록게시판에접근통제를설정합니다. 신청서가접수가완료되면해당문서는공개된홈페이지에서삭제하고, 암호화하여개인정보처리자이외의사람이접근하지못하도록합니다. 50

51 III 1 개인정보노출방지를위한종합대책 2. 홈페이지관리자유의사항 3. 개인정보처리자유의사항 4. 홈페이지설계및개발시유의사항 검색로봇배제표준적용방법 게시판글등록시개인정보필터링을위한정규표현식적용방법 구글에노출된개인정보확인및삭제방법 구글고급연산자를활용한홈페이지정보노출확인방법

52 홈페이지개인정보노출방지가이드라인 III 개인정보노출방지대책 1 개인정보노출방지를위한종합대책 홈페이지를통해개인정보가노출되지않도록하기위해서는개인정보가노출되는근본적인원인을분석하여기술적, 관리적인측면의세부방안을강구하고, 이를상시적으로점검, 준수, 보완하는것이무엇보다중요합니다. [ 표 2] 개인정보노출방지종합대책 구분종합대책세부사항 기술적측면 관리적측면 홈페이지설계검토 개인정보보호시스템운영 개인정보노출관리범위의명확화 개인정보노출관리 개인정보노출방지교육 설계오류에의한개인정보노출위험진단 보안취약점에의한개인정보노출위험진단 개인정보노출차단을위한 S/W 적용 ( 또는게시판글등록시필터링을위한정규표현식적용 ) 필요시검색로봇배제표준적용 휴면홈페이지정비, 홈페이지게시자지정 개인정보노출방지관리지침준수 개인정보노출상시점검 개인정보처리자교육 홈페이지이용자주의사항공지 가. 개인정보취급 관리범위의명확화 홈페이지의개인정보노출을방지하기위해서는먼저개인정보처리자개개인의업무범위를명확하게정해야하고, 개인정보처리자변경시에업무에대한인수인계가정확하게이루어져야합니다. 52

53 따라서홈페이지관리자는개인정보노출방지를위해서비스중인홈페이지를확실히점검하고, 그이외의방치된홈페이지는없는지확인하여야합니다. 홈페이지를구축한후환경변화에따라운영하지않는이른바 휴면홈페이지 및 휴면계정 도점검하여야합니다. 관리하는웹서버 9) 들에저장된콘텐츠중관리대상이아닌콘텐츠, 휴면홈페이지, 휴면계정등이발견되면웹서버에서삭제하시는것이바람직합니다. 나. 개인정보노출관리 III 홈페이지를통한개인정보노출을방지하기위해서는기술적, 관리적정책및방침을수립하여운영하여야하며다음사항이포함되어야합니다. 1. 관리대상인개인정보항목 2. 관리적용범위 ( 관리홈페이지범위 ) 3. 노출방지체계 4. 노출발견시조치절차 5. 상시 / 즉시노출관리를위한방법 6. 관리이력내용및작성양식 7. 점검보고서 개인정보노출방지대책 또한, 지정된관리방침에따라노출방지를위한프로세스를지속적으로운영하여, 환경적인변화에따라관리방침또한현행화하여야합니다. 홈페이지에서개인정보가노출될경우, 개인정보처리자는이를즉시삭제하거나 *( 마스킹 ) 처리하는등의조치가필요합니다. 홈페이지개인정보노출관리에서가장중요한것은지속적인관심입니다. 9) 웹서버 (Web Server) : 서버란여러개의컴퓨터를통신회선으로연결한통신망에서하나의컴퓨터에공동으로사용하는정보를저장해두거나메모리등컴퓨터자원을많이사용하는프로그램들을모아놓은컴퓨터를말한다. 통신망에연결된다른컴퓨터들은서버로부터필요한정보를검색하여제공받거나, 서버에있는프로그램에서처리할자료를보내고그결과를다시받는데이것들을클라이언트 (Client) 라고한다. 인터넷에서는정보를제공하는컴퓨터를웹서버 (Web Server) 라고하고, 웹서버에접속하여정보를검색하고자하는컴퓨터는클라이언트가된다. 53

54 홈페이지개인정보노출방지가이드라인 다. 개인정보보호관련법에숙지및이해 홈페이지에서개인정보가노출되지않도록하기위해서는관련법 ( 개인정보보호법, 시행령, 관련고시등 ) 에대한숙지및이해가필요합니다. 개인정보보호업무를수행하는담당자들의경우관련법률의숙지와이해가부족하여개인정보노출및유출에대한대응에어려움이있을수있습니다. 담당자들이쉽고편하게볼수있는 개인정보보호법의이해, 김책임과함께하는개인정보따라하기, 개인정보보호이것만은꼭! 등다음의가이드라인및동영상을참고해보시기바랍니다. [ 표 3] 개인정보보호관련가이드라인안내 기관명 행정안전부 한국인터넷진흥원 hrrp:// 사이트명 2 홈페이지관리자유의사항 가. 홈페이지의관리부주의에따른개인정보노출 홈페이지관리자는안전한홈페이지운영을위하여백업서버로의데이터동기화및백업등을주기적으로수행하게됩니다. 홈페이지운영중문제가발생할경우백업DB의데이터를복원조치를할수있습니다. 이때홈페이지에서개인정보가노출된경우, 백업서버및백업 DB의개인정보또한반드시삭제해야합니다. 54

55 운영중인홈페이지에서는개인정보를삭제하였더라도, 백업DB에서개인정보가삭제되지않으면백업DB의복원시개인정보가홈페이지와연동되어개인정보가다시노출될수있습니다. 따라서홈페이지관리자는백업DB를연동시킬때, 백업 DB 내에개인정보가포함되어있는지를사전에확인하여제거한후연동시켜야합니다. 나. 접근권한관리 개인정보처리시스템에대한접근권한은개인정보의분실 도난 유출 변조또는훼손을방지하기위하여업무수행목적에따라최소한의범위로개인정보처리자에게차등부여하고접근통제를위한조치를취해야합니다. 개인정보처리시스템을이용할권한이있는사용자만접근하도록업무목적이외의불필요한접근을최소화하고, 인사이동발생시인가되지않는접근을차단하기위해접근권한관리를철저히해야합니다. III 개인정보노출방지대책 조직내의임직원전보또는퇴직등인사이동을통해사용자계정의변경 삭제가필요한경우에는공식적인사용자계정관리절차 ( 지침 ) 에따라통제될수있도록해야합니다. 1) 개인정보처리자는권한부여, 변경, 말소에대한내역을기록하고해당기록을최소한 3년간보관하여야합니다. 2) 개인정보처리시스템에접근하는아이디 (ID) 는 1인당한개의사용자계정아이디를발급해야합니다. 다수의개인정보처리자가동일한업무를수행하더라도하나의아이디를공유하지않도록하여야하며 1인 1아이디발급을통해개인정보처리내역에대한사용자계정을기반으로책임소재를파악해야합니다. 3) 접근권한을확인하기위해개인정보처리자는개인정보처리자의비밀번호작성규칙을수립하고이를개인정보처리시스템및접근통제시스템 10) 등에적용하여운영하여야합니다. 10) 접근통제시스템 (Access Control System) : 데이터에대한비권한자의접근을감시하고, 접근요구자를식별, 확인, 기록하고보안정책에근거하여접근을승인하거나거부함으로써비권한자에의한불법적인접근및파괴를예방하는시스템을말한다. 55

56 홈페이지개인정보노출방지가이드라인 4) 안전하지않은비밀번호를사용할경우비인가자등의접근을통해정보가노출될위험성이있으므로안전한비밀번호를사용해야합니다. 안전한비밀번호란제3자가쉽게추측할수없으며비밀번호해킹등을통해서도비밀번호를얻어낼수없거나얻어내는데많은시간이요구되는것을의미합니다. 비밀번호는산업스파이, 침입자, 비인가자가추측하기어려운문자와숫자를포함하도록하거나, 전에사용된비밀번호를다시사용하지않는것과같은비밀번호설정원칙을참고하여생성하도록합니다. 안전한비밀번호설정원칙비밀번호는구성하는문자의종류에따라최소10자리또는 8자리이상의길이로구성하여야하며, 이는정보주체에대한비밀번호작성규칙과는달리반드시준수하여야합니다. 최소 10자리이상 : 영대문자 (A~Z, 26개 ), 영소문자 (a~z, 26개 ), 숫자 (0~9, 10개 ) 및특수문자 (32 개 ) 중 2종류이상으로구성한경우 최소 8자리이상 : 영대문자 (A~Z, 26개 ), 영소문자 (a~z, 26개 ), 숫자 (0~9, 10개 ) 및특수문자 (32 개 ) 중 3종류이상으로구성한경우 생성한비밀번호에 등과같은일련번호, 전화번호등과같은쉬운문자열이포함되지않도록합니다. love, happy 등과같은잘알려진단어또는키보드상에서나란히있는문자열도포함되지않도록합니다. 비밀번호에유효기간을설정하고적어도 6개월마다변경합니다. 동일한비밀번호몇개를교대로사용해서는안됩니다. 참조 : 패스워드선택및이용가이드, safepwda.jsp 5) 관리자는개인정보가저장된업무용컴퓨터에해커등비인가자의접근을통제하기위해상용침입차단프로그램또는업무용컴퓨터운영체제에서제공되는침입차단프로그램을사용하여불법적인접근을차단해야합니다. 56

57 6) 관리자는정보통신망을통한불법적인접근및침해사고방지를위해 IP 주소를통해비인가자의접근을차단할수있는보안시스템을설치 운영해야합니다. 또한, 인가된사용자가정보통신망외부에서개인정보처리시스템을접속하는경우에는가상사설망 (VPN) 11) 등안전한보호대책을마련하여야합니다. 7) 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해침입차단시스템 12) 또는침입방지시스템 13) 을설치하여운영하여야합니다. 침입차단시스템또는침입방지시스템은정보통신망을통한불법적인접근을 IP주소등으로제한할수있으며, 개인정보처리시스템에접속한 IP 주소등을분석하여불법적인개인정보유출시도를탐지할수있습니다. III 8) 외부망으로부터개인정보처리시스템에대한접속은원칙적으로차단하여야합니다. 다만개인정보처리자가외부망을통해개인정보처리시스템에접속이필요한경우에는가상사설망 (VPN) 등안전한보호대책을마련해야합니다. 9) 개인정보처리시스템또는업무용컴퓨터인경우 P2P, 공유설정을기본적으로사용하지않는것이원칙이나, 업무상꼭필요한경우에는권한설정등의조치를통해업무상꼭필요한자만접근할수있도록설정합니다. 개인정보노출방지대책 10) 부득이하게개인정보처리시스템을이용하지않고단순히업무용컴퓨터에개인정보를저장하는경우, 운영체제나보안프로그램에서제공하는접근통제기능을사용하여불법적인접근을차단할수있습니다. 11) 가상사설망 (Virtual Private Network) : 인터넷사이트간에인증과암호화된커뮤니케이션을제공하는표준방화벽확장기능을말한다. VPN 을사용하면원격사이트에있는사용자는인터넷을통해보안이제공되는다른사이트의민감한데이터에접근할수있다. 12) 침입차단시스템 (Firewall system) : 방화벽이라고도하며, 인터넷에 IP( 인터넷프로토콜 ) 로접속되어있는네트워크를불법적인침입으로부터보호하기위하여게이트웨이에설치되는접속제한. 인터넷에서는한쪽방향의접속이가능하면역방향의접속도가능하기때문에 IP 로접속되어있는네트워크는외부에서도접속할수있다. 이것은접속을제한함으로써어느정도보안을확보할수있는데, 구체적으로는네트워크간의 IP 패킷전송을차단하는방법, 특정의애플리케이션에의한패킷만을전송하도록하는방법등이있다. 13) 침입방지시스템 (IPS : Intrusion Prevention System) : 네트워크에서공격서명을찾아내어자동으로모종의조치를취함으로써비정상적인트래픽을중단시키는보안솔루션. 수동적인방어개념의침입차단시스템이나침입탐지시스템 (IDS) 과달리침입경고이전에공격을중단시키는데초점을둔, 침입유도기능과자동대처기능이합쳐진개념의솔루션이다. 또한, 해당서버의비정상적인행동에따른정보유출을자동으로탐지하여차단조치를취함으로써인가자의비정상행위를통제할수있다. 57

58 홈페이지개인정보노출방지가이드라인 시작 제어판 성능및유지관리 관리도구 컴퓨터관리 공유폴더 공유설정 설정 제어판 Windows 방화벽 사용 ( 권장 ) 을클릭 58

59 다. 암호화및접속기록관리 개인정보처리자는고유식별정보 14), 비밀번호, 바이오정보 15) 등을정보통신망을이용해내외부로송 수신할경우, 암호화하여야합니다. 1) 비밀번호, 바이오정보, 고유식별정보등과같은주요개인정보가암호화되지않고개인정보처리시스템에저장되거나네트워크를통해전송될경우, 불법적인노출및위 변조등의위험이있으므로암호화등의안전한보호조치가제공되어야하며, 개인정보암호화전송을위해보안서버16) 를활용할수있습니다. 2) 개인정보처리자는비밀번호, 바이오정보 ( 지문, 홍채등 ) 가노출또는위 변조되지않도록암호화하여저장하여야하며, 특히비밀번호의경우에는복호화되지않도록일방향 ( 해쉬함수 ) 암호화 17) 하여야합니다. 바이오정보의경우, 복호화가가능한양방향암호화저장이필요하나, 이는식별및인증등의고유기능에사용되는경우로한정되며콜센터등일반민원상담시저장되는음성기록이나일반사진정보는암호화대상에서제외됩니다. III 개인정보노출방지대책 3) 인터넷구간이나 DMZ18) 구간은외부에서직접접근이가능하므로외부자의침입을받을가능성이있습니다. 이에따라 DMZ 구간에주민등록번호, 외국인등록번호, 운전면허번호, 여권번호등의고유식별정보를저장하는경우암호화하여저장해야합니다. 4) 내부망에고유식별정보를저장하는경우, 개인정보영향평가및위험도분석 14) 고유식별정보는개인을고유하게구별하기위하여부여된식별정보를말하며, 대통령령으로주민등록번호, 여권번호, 운전면허번호, 외국인등록번호등을정하고있다. 15) 바이오정보는지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함합니다. 16) 보안서버 : 제 3 자가메시지를임의로변경하는것을방지하기위해, SSL 과같이메시지를암호화하고, 복호화할수있는주요보안프로토콜을지원하는웹서버를말한다. 보안웹서버를통해물건을구매하면, 사용자의지불대금이안전하게지켜질수있으며, 또한, 개인정보는크랙하기어렵도록비밀코드로바뀌어진다. 주요보안프로토콜에는 SSL, SHTTP, PCT, IPSec 등이있다. 17) 일방향암호화는저장된값으로원본값을유추하거나복호화할수없도록한암호화방법으로, 인증검사시에는사용자가입력한비밀번호를일방향함수에적용하여얻은결과값과시스템에저장된값을비교하여인증된사용자임을확인한다. 18) DMZ : 중립지대, 기업의내부네트워크와외부네트워크사이에일종의중립지역이설치되는호스트또는네트워크, 외부사용자가기업의정보를담고있는내부서버에직접접근하는것을방지하며, 외부사용자가 DMZ 호스트의보안을뚫고들어오더라도기업내부의정보는유출되지않는다. 59

60 홈페이지개인정보노출방지가이드라인 결과에따라암호화적용여부및적용범위를결정하여시행할수있습니다. 개인정보영향평가의대상이되는공공기관은해당개인정보영향평가의결과에따라암호화의적용여부및적용범위를정하고있습니다.( 시행령제38 조 ) 개인정보영향평가의실시대상이아니거나공공기관이외의개인정보처리자는위험도분석을실시한후그결과에따라고유식별정보의암호화적용여부및적용범위를정하여시행합니다. 내부망내에서송 수신되는고유식별정보는업무상필요할경우암호화대상에서제외할수있으나, 비밀번호와바이오정보는반드시암호화하여야합니다. 전용선을이용하여개인정보를송 수신하는경우, 암호화가필수는아니나내부자에의한개인정보유출등을대비해서가급적암호화전송을권장합니다. 5) 고유식별정보를업무용컴퓨터에저장하여관리하거나, 개인정보처리시스템으로부터개인정보처리자의 PC에내려받아저장할때는안전한암호화알고리즘 19) 이탑재된암호화소프트웨어등을이용하여암호화함으로써불법적인노출및접근으로부터차단하여야합니다. 프로그램을사용하여불법적인접근을차단해야합니다. 6) 개인정보처리자가개인정보처리시스템에접속하여개인정보를처리한경우, 수행한업무내역에대하여식별자, 접속일시, 접속위치를알수있는정보, 수행업무등의접속기록을최소 6개월이상저장하고정기적으로확인 감독하여야합니다. 접속기록은개인정보의입 출력및수정사항, 파일별 담당자별데이터접근내역등을자동으로기록하는로그파일을생성하여불법적인접근또는행동을확인할수있는중요한자료이며, 접속기록의백업은개인정보 DB 의무결성을유지하기위한중요한요소입니다. 7) 개인정보처리자는개인정보처리시스템의접속기록이위 변조및도난, 분실되지않도록안전하게보관하여야합니다. 정기적으로접속기록백업을수행하여개인정보처리시스템이외의별도의보조저장매체나별도의저장장치에보관하여야합니다. 접속기록에대한위 변조를방지하기위해 CD-ROM 등과같은덮어쓰기방지매체를사용하는것이바람직합니다. 접속기록을 HDD 에보관하고, 위 변조여부를확인할수있는정보 (HMAC 값또는전자서명값등 ) 는별도의 HDD 또는관리대장에보관하는방법으로관리할수있습니다. 19) 암호화알고리즘 (Encryption Algorithm) : 원문과암호화키를입력으로하여암호화된데이터를출력으로생성하는단계적인방법을말한다. 데이터를제 3 자가이해하기어려운형식으로암호화하고, 암호화된데이터를복호화하는데필요한수학적으로표현된규칙의집합. 60

61 3 개인정보처리자유의사항 가. 개인정보파일관리지침준수 홈페이지에서첨부파일을통한개인정보노출을원천적으로방지하기위해서는행정안전부의 표준개인정보보호지침 에따라개인정보파일 20) 의관리가필요합니다. 홈페이지첨부파일에서개인정보가노출되지않도록하기위해서개인정보처리자는직접개인정보파일대장을작성하여체계적으로관리 보관해야합니다. 개인정보처리자는업무상홈페이지에글을게재하기이전에게시하는자료에개인정보가포함되어있는지를철저하게검사하여야합니다. 이때, 엑셀파일이나 OLE 개체등이삽입된파일의경우에는숨김셀이나 OLE 개체에의해숨겨진개인정보가포함되어있는지를다시한번점검하여야합니다. 각개인정보처리자가개인정보파일을홈페이지에게시할때에는각부서책임자의승인후게시하도록관리체계를정비할필요가있습니다. III 개인정보노출방지대책 나. 개인정보파일패스워드및암호화설정 개인정보가유 노출되지않도록하기위해서는개인정보파일에대한패스워드및암호화설정이필요합니다. 문서파일의자체패스워드설정기능을이용하거나응용프로그램을이용하여암호화조치를한다면, 외부로유 노출되더라도 2 차적인피해를줄일수있습니다. 따라서개인정보가포함된파일에대해서패스워드설정및별도암호화조치가필요하며, 각회사의내부관리규정에명시하여각부서에서이행할수있도록해야합니다. 20) 개인정보파일 : 개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 61

62 홈페이지개인정보노출방지가이드라인 다. PC 점검계획수립및업무인수인계시유의사항 개인정보가노출되지않도록하기위해서장기적으로개인정보처리자 PC에대한개인정보저장유무에대한점검계획을세워주기적으로이행할필요가있습니다. 개인정보처리자업무상다수의개인정보를처리함에있어실수로 PC상에남아있을수있는개인정보가악용되지않도록, 주기적으로개인정보처리자 PC 점검계획수립및관련도구를도입하여활용하는것이필요합니다. 참조 : 내PC 지키미, Mopas.go.kr 참고자료실 기관의개인정보처리자가변경되어운영중인홈페이지관리에대한인수인계가제대로이루어지지않을경우에도개인정보가노출될수있습니다. 가령, 개인정보가포함되어있는웹서버파일을일반인들이접속하지못하도록외부사용자를위한홈페이지및관리자페이지등에 ACL(Access Control List) 21) 를등록하여기본적인접근통제조치를할수있으나, 기존담당자가후임자에게 ACL 정책에대한정확한인수인계를하지못했을경우접근통제실패로인한개인정보노출사고가발생할수있습니다. 따라서홈페이지관리자는담당업무변경시 ACL, 필터링등세부내용을포함한인수인계를명확히실시하여발생가능한개인정보노출위험을최소화해야할것입니다. 개인정보가유 노출되지않도록하기위해서개인정보처리자가인사이동및퇴직을하는경우사용하던 PC를회수하여다시재생할수없는기술적방법으로삭제하거나물리적인방법으로매체를파괴하여복구할수없도록하여개인정보노출을방지해야합니다. 하드디스크완전삭제방법 : 미국국방부권고기준 (DoD M) 에따른하드디스크 3회이상덮어쓰기, 디가우져 ( 소자장비 ) 를이용한디스크영구삭제, 천공장비등물리적인하드디스크파쇄등 21) ACL(Access Control List) : 컴퓨터보안에서접근제어목록또는엑세스제어목록은개체나개체속성에적용되어있는허가목록을말한다. 이목록은누가또는무엇이객체접근허가를받는지, 어떠한작업이객체에수행되도록허가를받을지를지정하고있다. 전형적인 ACL 에서목록안의각항목은주제나운영을지정한다. 62

63 대부분인사이동시전임자의 PC를그대로인수인계받아사용하게됨으로써업무에무관한불필요한개인정보를보유하게되며이는개인정보관리소홀로개인정보유 노출의원인이될수있습니다. 따라서개인정보보호업무를수행하는부서가 PC 및 IT관리부서와협력하여인수인계되는 PC에대해서개인정보가복구또는재생되지아니하도록파기하여개인정보유 노출을사전에예방해야합니다. 라. 개인정보보호교육안내 III 홈페이지를통한개인정보노출은개인정보처리자의부주의에의해발생하는경우가대부분입니다. 대부분의개인정보처리자들이홈페이지에첨부파일업로드시개인정보가포함되지않도록유의하고있지만, 여전히홈페이지를통한개인정보노출이발생하는이유는개인정보에대한숨김처리, OLE 개체에의한개인정보노출이발생하기때문입니다. 개인정보노출방지대책 따라서개인정보처리자및홈페이지관리자가홈페이지를운영함에있어서, 개인정보노출위험에대한상시교육을받아야하며, 교육내용에최근사례등을포함시켜실질적인교육을받을수있도록하는것이중요합니다. 1) 배움터- 개인정보보호종합지원포털 ( 배움터는사이버교육과현장교육두가지로나뉘어져있습니다. 가 ) 현장교육현장교육은상시로준비되어있는교육은아니며, 실제교육기간내에참석을하여교육을이수하는형태로진행됩니다. 현장교육의현황여부는아래의화면과같이확인하실수있습니다. 63

64 홈페이지개인정보노출방지가이드라인 나 ) 사이버교육사이버교육은온라인동영상으로준비된개인정보관련교육입니다. 1 김책임과함께하는개인정보보호따라하기해당강의는모두 9차시로이루어져있으며, 각차시별로 5분정도시간이소요됩니다. 짧지만꼭알아야할내용들을간략하게정리하여전달해주고있습니다. 개인정보의정의및담당자의역할등개인정보보호의라이프사이클 ( 수 64

65 집, 저장및관리, 이용및제공, 파기 ) 을단시간에쉽게파악할수있도록정리해주는교육입니다. 2 업무용PC 에서의개인정보보호조치설정방법해당강의는모두 9차시로이루어져있으며, 각차시별로 5분정도시간이소요됩니다. 회사내에서개인정보관리및보호를위해내부관리계획수립및비밀번호, 접근통제시스템, 보안프로그램을어떻게구축 운영해야하는지에대한내용을쉽게학습하실수있습니다. 배움터의각사이버교육은모든강의수료후수료증이지급되며, 각교육화면에서관련법률을참고할수있도록표시하고있어, 교육이수자의이해를돕는장점이있습니다. 2) KISA 아카데미 - 한국인터넷진흥원 (academy.kisa.or.kr) 한국인터넷진흥원에서운영하는아카데미는온라인, 오프라인으로운영하고있으며, 연간교육일정에서자세한내용이확인가능합니다. III 개인정보노출방지대책 3) 정보보호기술온라인학습장- 한국인터넷진흥원 ( KISA 아카데미가오프라인 ( 현장학습 ) 교육을주로하는반면, 정보보호기술온라인학습장에서는온라인으로정보보호관련기초, 실무과정을비롯하여웹호스팅보안, 개인정보보호담당자과정등여러교육과정을운영하고있으며, 해당과정을수료후수료증이발급됩니다. 65

66 홈페이지개인정보노출방지가이드라인 4) 개인정보보호포탈- 한국인터넷진흥원 ( 온라인으로교육을수료할수있으며, 개인정보라이프사이클 ( 수집, 저장및관리, 이용및제공, 파기 ) 을잘이해할수있는교육과정입니다. 개인정보보호의기본개념과업종별로적용되는개인정보보호관련내용이잘정리되어있으며, 해당과정은이수후수료증이발급됩니다. 66

67 5) 중소기업기술보호상담센터- 중소기업청 ( 해당교육은중소기업에서기술보호를위해필요한정보들을정리한기업보안가이드, 영업비밀보호제도, 해외진출기업기술보호의세가지모듈로이루어져있으며, 기술적보안에초점이맞춰진교육과정입니다. III 개인정보노출방지대책 4 홈페이지설계및개발시유의사항 가. 정보보호를고려한홈페이지구축의필요성 웹서비스를제공하기위한홈페이지설계및개발단계에서개발자의실수는개인정보노출로이어질수있습니다. [ 그림 29] 홈페이지설계오류 - 관리자페이지 에서살펴보았던관리자페이지의노출로인한개인정보노출사례가그예라고할수있습니다. 설계및개발과정부터개발자가개인정보보호의중요성에대해인식하고개인정보수집에서파기까지의흐름을명확히판단한다면, 설계및개발시오류로인한개인정보노출사고를줄일수있습니다. 67

68 홈페이지개인정보노출방지가이드라인 나. 홈페이지설계검토 홈페이지설계시점에서개인정보노출위험이나보안취약점을고려하지않으면개인정보가노출될수있습니다. 따라서홈페이지설계에서부터이러한요소를충분히검토하여야하며, 이미구축된홈페이지에대해서도개인정보노출위험이나보안취약점을진단하여위험요소를정확히파악하고, 위험요소가발견되는경우이를수정해야합니다. 홈페이지운영과정에서도소스코드수정을해야하는경우가지속적으로발생하는데, 홈페이지소스코드수정및설계가변경되는경우에는항상개인정보노출위험및보안취약점을고려하여위험요소가발생하지않도록유의해야합니다. 다. 설계및개발단계에서의유의점 1) 초기화면페이지개인정보보호와관련하여정보주체가알아야할사항들을언제든지확인할수있도록개인정보처리방침 22) 을홈페이지메인화면에다른색이나굵은글씨체를사용하는등의방법으로정보주체가쉽게확인할수있도록공개해야합니다. 또한, 개인정보처리방침및약관이개정될경우에는정보주체에게현행약관과함께적용일자및개정사유를명시해서메인화면에적용일자 7일전부터적용일자전일까지별도의공지혹은팝업창을통해서명시하여야합니다. 2) 회원가입페이지홈페이지회원가입시에요구되는주민등록번호는정보주체의다양한정보들 22) 개인정보처리방침 : 개인정보를운용하는회사에서수집하는개인정보에관하여무엇을어떻게얼마동안이용할것인지를알리고, 그러한개인정보를관리하거나수집, 이용하는방법들을정리한방침을말한다. 68

69 이포함되어있어매우민감한정보이며유출시에는명의도용등의불법행위로이어질수있기때문에회원가입시주민등록번호를요구하는것은정보주체의개인정보자기결정권을심각하게저해하는행위라고할수있습니다. 따라서, 서비스제공을위한최소한의개인정보를수집해야하며, 공공기관및인터넷홈페이지를운영하는개인정보처리자로서전년도말기준직전 3 개월간그인터넷홈페이지를이용한정보주체의수가하루평균 1만명이상인개인정보처리자는아이핀 (i-pin), 휴대폰인증, 공인인증서등주민번호외의회원가입방법을의무적으로제공해야합니다. III 참조 : 개인정보보호법시행령제20조, 개인정보처리자는개인정보를정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야합니다. 개인정보처리자는주민등록번호, 비밀번호, 바이오정보등정보통신망내외부로송 수신할모든개인정보에대해서는암호화하여야하며, 개인정보암호화전송을위해보안서버를활용할수있습니다. 개인정보노출방지대책 참조 : 개인정보의안전성확보조치기준고시및해설서, 내부망내에서송 수신되는고유식별정보는업무상필요할경우암호화대상에서제외할수있으나, 비밀번호와바이오정보는반드시암호화하여야한다. 전용선을이용하여개인정보를송 수신하는경우, 암호화가필수는아니나내부자에의한개인정보유출등을대비해서가급적암호화전송을권장한다. 보안서버 란웹서버에 SSL(Secure Sockets Layer) 인증서나암호화소프트웨어를설치하여암호통신을수행하는방식을말한다. 3) 회원탈퇴페이지정보주체가이용하던웹사이트를탈퇴할경우, 웹사이트상에이용자가게시하거나등록한개인정보들이자동으로파기되는지에대해서다음과같은방법으로알려주어야합니다. 69

70 홈페이지개인정보노출방지가이드라인 홈페이지를통해 회원탈퇴 메뉴를제공하는경우에는별도의경고창이나경고문을통하여게시물의삭제 보관등에대한방침을알려야합니다. 전자우편 모사전송 우편등을통해동의철회를받는경우에는동의철회신청에사용되는문서상에게시물의삭제 보관등에관한방침을알려야합니다. 전화로동의철회신청을받는경우에는상담원또는자동응답시스템등을통하여게시물의삭제 보관등에관한방침을알려야합니다. 정보주체가회원탈퇴후에도개인정보를보유해야하는경우에는보유개인정보항목, 보유기간및보유목적을고지해야만합니다. 4) 게시판페이지게시글을위한최소한의정보만을수집하며, 이외의개인정보를수집할경우에는이용자의선택권을보장해야합니다. 홈페이지관리자나개인정보처리자가공지사항등의명목으로올리는글에는정보주체의개인정보가포함되는경우가많으니, 게시글에다음과같은내용이포함되지않도록유의해야합니다. 정보주체의주민등록번호등개인식별이가능한특정정보 정보주체의연락처 정보주체의주소 정보주체의학교, 직장명등특정신분에대한정보 혹은타인의정보를위의상황과같이게재할수있는경우를대비하여게시글을작성하는페이지에는반드시이용자가쉽게인지할수있도록팝업창등을이용해서경고문구를추가하는것이좋습니다. 예시 ) 게시글작성주의경고메시지게시판에고객의기본정보, 연락처, 주소등의개인정보가포함된글을올리실경우에는타인에게해당정보가노출될수있습니다. 70

71 운영중인홈페이지의개인정보노출을예방해주는개인정보필터링시스템 23) 을도입하시는것이좋습니다. 개인정보필터링시스템은홈페이지내에포함된글, 게시물, 첨부파일등에서개인정보 ( 주민번호, 외국인번호, 신용카드, 운전면허번호등 ) 가외부로노출되지않도록사전에점검하여차단해주는기능을제공합니다. 개인정보필터링시스템설치시유의사항개인정보필터링시스템도입시개인정보필터링시스템이홈페이지를이용하는서비스의트래픽을모두커버할수있어야합니다. 하지만개인정보필터링시스템구축형태에따라개인정보필터링시스템을통과하는과정에서병목현상이발생하거나, 급격히사용자가급증하는경우필터링누수가발생할수있습니다. 따라서, 개인정보필터링시스템을도입했더라도개인정보필터링시스템이정상적으로작동하고있는지주기적인점검을할필요가있습니다. 또한, 홈페이지에개인정보가포함된글을올리지않도록개인정보노출예방교육을실시하고, 기존홈페이지의자료에대해서도주기적으로개인정보노출점검을실시해야합니다. 개인정보필터링시스템도입후보안장비구축시유의사항개인정보필터링시스템이용시주의사항이있습니다. 개인정보필터링시스템을구축했다하더라도이후변경되는서비스환경에따라정상적으로동작하지않을수있습니다. III 개인정보노출방지대책 사례 ) 개인정보처리자김모씨는홈페이지개인정보보호를위해개인정보필터링시스템을적용하여운영하였습니다. 웹서버관리자이모씨는홈페이지보안을강화하기위하여일부홈페이지에보안서버 (SSL 24) ) 를적용하였습니다. 보안서버와개인정보필터링시스템이정상적으로작동하였으나이회사에서는개인정보노출사고가발생했습니다. 23) 개인정보필터링시스템 : 홈페이지운영자및이용자가자료를게시할때개인정보노출을사전차단하고노출되어있는개인정보를실시간점검할수있는기능들을갖춘시스템을말한다. 다양한패턴필터링 ( 최소 9 가지이상 - 주민번호 / 외국인번호, 신용카드번호, 여권번호, 운전면허번호, 핸드폰, 일반전화, 건강보험, 이메일주소, 통장계좌, 사업자번호 / 법인번호등 ) 현재나와있는모든문서파일포맷 ( MS-Office(doc, xls, ppt, xlsx, pptx), Open Document Format(odt, ods, odp, odg, odf), 한글, PDF, 압축파일 ) 내개인정보탐지및차단 컨텐츠기본파일 (HTML, HTM, XML, TEXT) 내개인정보탐지및차단 다양한웹서비스포트 (HTTP, HTTPS) 통한데이터송 수신시개인정보탐지및차단 권한에따른개인정보접근제어 71

72 홈페이지개인정보노출방지가이드라인 위회사의개인정보노출발생원인은보안서버도입후개인정보필터링시스템이암호화된정보를복호화하도록정책을변경하지않았기때문입니다. 보안서버가설치된웹서버를운영중인경우, 반드시개인정보필터링시스템에보안서버인증서를설치하여암호화된데이터를복호화하여개인정보필터링시스템에서검사할수있도록해야합니다. [ 사례 1] 개인정보필터링시스템운용홈페이지의개인정보노출사례 1 노출개요 노출사고내용 문제점및시사점 홈페이지에개인정보필터링시스템을운영하고있었으나, 공공기관개인정보노출모니터링시대량의개인정보노출이발생 모지방자치단체홈페이지에서대량의주민등록번호가포함된첨부파일이노출되는등주민등록번호가재노출됨 해당기관의홈페이지는개인정보필터링시스템을구축하여개인정보노출을차단하고있었으나, 기관의개인정보처리자가게시한첨부파일을등록하는시점에서필터링시스템이작동하지않아개인정보가노출되는상황이발생함특정방식의개인정보필터링시스템은웹서비스이용자가폭주하거나필터링자료량이많은경우에모든게시물을필터링하지못하고, 그대로게시물을등록하는경우가발생 [ 사례 2] 개인정보필터링시스템운용홈페이지의개인정보노출사례 2 노출개요 노출사고내용 문제점및시사점 홈페이지에개인정보필터링시스템을운영하고있으나, 대량의개인정보노출발생 모지방자치단체홈페이지를통해공고한명단파일에주민등록번호, 전화번호, 주소, 장애등급등의개인정보가포함되어노출됨 자동차등록원부상에기재되어있는것을별도로점검하지않고그대로게재하여개인정보가노출된사례로, 홈페이지에공고등을게재할경우담당자가개인정보유출위험을확인하여야하지만, 사전확인작업없이자료를게재하여발생함위 [ 사례1] 의경우와같이개인정보처리자가게시한첨부파일을등록하는시점에서필터링시스템이작동하지않아개인정보가노출되는상황이발생할수있어관심과보완이요구됨 24) SSL (Secure Socket Layer) : 보안소켓계층이라는뜻. 인터넷을통해전달되는정보보안의안전한거래를허용하기위해 Netscape 사에서개발한인터넷통신규약프로토콜을말하며, www 뿐만아니라텔넷, FTP 등다양한인터넷서비스분야에도활용이가능하다. 72

73 Tip 1 가. 로봇배제표준개요 1) 로봇배제표준이란로봇배제표준은웹사이트검색로봇이접근하는것을방지하기위한국제규약으로, 일반적으로접근제한에대한설명을 robots.txt에기술합니다. 이규약은권고안이며, 로봇이 robots.txt 파일을읽고접근을중지하는것을목적으로합니다. 따라서접근방지설정을하였다고해도, 다른사람들이그파일에접근할수있습니다. 로봇의배제와관련된내용을적어놓은 robots.txt 파일을사이트의최상위주소에저장하면됩니다. robots.txt를서브디렉토리에놓는경우효력이없다는사실에주의해야합니다. 예 ) 상위주소및상위디렉토리 III 개인정보노출방지대책 2) 검색로봇이란검색로봇이란검색엔진이검색데이터베이스의내용을보충하기위해, 홈페이지를검색하여가져오는프로그램입니다. 일반적인검색로봇은사이트방문시가장먼저웹사이트의로봇배제표준파일 (robots.txt) 를확인하고, 파일에명시된사항을준수하면서웹사이트의컨텐츠를수집합니다. 단, 로봇배제표준은방지기술이아닌사이트및검색로봇운영자간의단순한약속 ( 규약 ) 이므로악의적인로봇이로봇배제표준을무시하고사이트의컨텐츠를수집할수도있습니다. 나. robots.txt 파일생성방법 robots.txt 파일의내용은크게 2가지부분으로나뉩니다. 로봇의이름을적는부분 (User-agent), 방문을허용유무를적는디렉터리부분 (Allow /Disallow) 으로구분됩니다. 73

74 홈페이지개인정보노출방지가이드라인 1) robots.txt 문법 예 ) robots.txt 작성기본구성 [ User-agent: * Disallow: /files/ Disallow: /*.xls [ 표 4] robots.txt 의용어설명 User-agent: Allow or Disallow: * 은모든 User-agent 이고, 특정 User-agent 를지정할경우로봇이름을지정 아무것도지정하지않으면허가를의미함 / 는모든하위문서에대해배제를의미함 /.../ 는디렉터리만, /... 는디렉터리 + 파일이적용대상임 2) 로봇배제표준적용범위 [ 표 5] robots.txt 의문법설명 robots.txt User-agent: kkkkkk Disallow: User-agent: * Disallow: / User-agent: * Allow: /information/ User-agent: * Allow: /information 노출허용 / 금지의도 특정검색엔진의접근만을허용 (ex: kkkkkk) 홈페이지의디렉터리가 information 인것에대한노출을허가 홈페이지의디렉터리또는파일명이 information 인것에대한접근을허가 74

75 User-agent: * Disallow: /cgi-bin/ Disallow: /temp/ Disallow: /private/ User-agent: * Disallow: /directory/a.html User-agent: kkkkkk Disallow: / User-agent: * Disallow: User-agent: * Disallow: / User-agent: * Disallow: 홈페이지의디렉토리가 cgi-bin, tmp, private( 실행파일모음 ) 등인것에대한노출방지 모든검색엔진에대해모든홈페이지접근을허용하지만 /directory/a.html 의접근을거부 특정검색엔진의접근만을거부 (ex: kkkkkk) 홈페이지전체내용을모든검색엔진에노출방지 홈페이지전체내용을모든검색엔진에노출허용 III 개인정보노출방지대책 3) robots.txt 작성예시 만약모든로봇에게문서접근을 허락 하는경우 User-agent: * Allow: / 만약모든로봇에게문서접근을 차단 하는경우 User-agent: * Disallow: / BadBot이라는로봇에 pirvate, tmp 디렉토리의접근을 차단 하는경우 User-agent: BadBot Disallow: /private/ Disallow: /tmp/ 75

76 홈페이지개인정보노출방지가이드라인 나. 로봇배제표준적용유무확인방법 1) 홈페이지에적용된 robots.txt 파일과 URL 확인홈페이지에 robots.txt를적용한이후에적용된 robots.txt 파일이잘적용되었는지여부를파악하기위해직접 URL( 홈페이지 URL/robots.txt) 을통해점검을해봅니다. 2) Robots.txt Checker를통한적용유무확인홈페이지에적용된 robots.txt 파일의 URL 확인을한후 robots.txt 파일적용이문법적으로틀리지않고잘적용되었는지여부를확인합니다. 단, URL 이확인되더라도문법상오류가있는경우제대로동작하지않을수있으니유의해야합니다. robots.txt 파일이잘적용되었는지여부확인은 Robots.txt Checker 사이트에서확인할수있습니다. Robots.txt Checker 실행후화면에서입력란에웹서버에적용된 robots.txt 파일의전체 URL을입력합니다. 76

77 III 개인정보노출방지대책 3) 로봇배제표준대안가 ) HTML의 meta태그이용를이용하는방법입니다. html 문서의 <head> 와 </head> 사이에입력합니다. <meta name= Robots content= Noindex, Nofollow > 위방법은일부검색로봇에만지원가능합니다. 77

78 홈페이지개인정보노출방지가이드라인 [ 표 6] 검색엔진리스트 검색엔진다음구글야후네이버 Bing Microsoft 검색로봇 Daumoa Googlebot Yahoo! Slurp Naverbot Bingbot Msnbot 로봇배제표준적용시유의점로봇배제표준적용을홈페이지전체내용에대해검색엔진에노출되지않도록설정할경우, 일반검색포털사이트에서기관의홈페이지가검색되지않을수있으므로, 외부에비공개되어야할정보를포함하고있는폴더 ( 또는페이지 ) 혹은인증절차를거쳐접근되는폴더 ( 또는페이지 ) 등에제한적으로로봇배제표준을설정하여사용해야합니다. 78

79 Tip 2 홈페이지게시판에글을등록할경우개인정보가포함되어있는지를점검할수있도록구축할수있습니다. 이때정규표현식을이용해개인정보로간주되는항목을찾을수있습니다. 정규표현식은각각의버전마다지원하는함수및문법이상이할수있으므로, 사용하는프로그램환경에맞는정규표현식을사용하시기바랍니다. 가. 정규표현식 (Regular Expression) III 1) 정규표현식이란정규표현식은주로텍스트탐색과문자열조작을위해서특정한규칙이있는문자열의집합을표현하는데사용하는형식언어입니다. 정규표현식은많은텍스트편집기와프로그래밍언어에서문자열의검색과치환을위해지원하고있으며, 특히 Perl과 Tcl은언어자체에강력한정규표현식구현을내장하고있습니다. 개인정보노출방지대책 정규표현식은컴퓨터과학의정규언어로부터유래하였으나구현체에따라서정규언어보다더넓은언어를표현할수있는경우도있으며, 심지어정규표현식자체의문법도여러가지가있습니다. 이중표준화된것으로는 POSIX 의확장정규표현식이있으며, 표준화되지는않았지만 Perl의정규표현식과그대체구현인 PCRE도널리사용됩니다. 정규표현식은주로텍스트탐색과문자열조작에쓰입니다. 특정텍스트를탐색하여하나의문자와일치 (match) 시켜찾아내거나, 문자열의일부분 (substring) 혹은원하는문자열을조작하여특정문자열집합을찾아낼수도있습니다. 79

80 홈페이지개인정보노출방지가이드라인 나. 문법 ( 기본적인정규표현식문법 ) 일부문자는특정한논리적관계를나타내는기호로쓰입니다. 이를제외한나머지문자는일반적인문자로구분됩니다. 선택기호 : 기호는여러식중에서하나를선택합니다. 예 ) abc adc 는 abc 라는문자열과 adc 라는문자열을모두포함합니다. 묶기기호 : ( 와 ) 로여러식을하나로묶을수있습니다. 예 ) abc adc 와 a(b d)c 는같은의미를가집니다. 개수기호 : 문자뒤에붙어문자의개수를나타냅니다. - * : 0개이상. a*b 는 b, ab, aab, aaab 를포함합니다. - + : 1개이상. a+b 는 ab, aab, aaab 를포함하지만 b 는포함하지않습니다. -? : 0개또는1개. a?b 는 b, ab 를포함합니다. - {m, n} : m개이상 n개이하. a{1,3}b 는 ab, aab, aaab 를포함하지만, b 나 aaaab 는포함하지않습니다. 예 ) (fa mo b?o)ther 는 father, mother, bother, other 를나타냅니다. 일반적으로사용되는확장문법관련연산자들 - [] : [ 과 ] 사이의문자중하나를선택합니다. 를여러개쓴것과같은의미를가집니다. 예 ) [abc]d는 ad, bd, cd를뜻함. 또한, - 기호와함께쓰면문자의범위를지정할수있습니다. [a-z] 는 a부터 z까지중하나, [1-9] 는 1부터 9까지중의하나를뜻합니다. - [^] : [^ 과 ] 사이의문자를제외한나머지하나를선택합니다. 예 ) [^abc]d는 ad, bd, cd는포함하지않고 ed, fd 등을포함합니다. [^a-z] 는알파벳소문자로시작하지않는모든문자를나타냅니다. - ^, $ : 각각문자열의처음과끝을나타냅니다. 80

81 다. 개인정보패턴 1) 개인정보패턴예시 (linux/unix C - regex 버전 ) 주민등록번호 ([01][0-9]{5}[[:space:],~-]+[1-4][0-9]{6} [2-9][0-9]{5}[[:space:],~-]+[1-2][0-9]{6}) 여권번호 [a-za-z]{2}[-~.[:space:]][0-9]{7} III 운전면허번호 [0-9]{2}[-~.[:space:]][0-9]{6}[-~.[:space:]][0-9]{2} 핸드폰번호 01[016789][-~.[:space:]][0-9]{3,4}[-~.[:space:]][0-9]{4} 외국인등록번호 ([01][0-9]{5}[[:space:]~-]+[1-8][0-9]{6} [2-9][0-9]{5}[[:space:]~-]+[1256][0-9]{6}) 개인정보노출방지대책 신용카드번호 [34569][0-9]{3}[-~.[:space:]][0-9]{4}[-~.[:space:]][0-9]{4}[-~.[:space:]][0-9]{4} 건강보험번호 [1257][-~.[:space:]][0-9]{10} 계좌번호 ([0-9]{2}[-~.[:space:]][0-9]{2}[-~.[:space:]][0-9]{6} [0-9]{3}[-~.[:space:]]([0-9]{5,6}[- ~.[:space:]][0-9]{3} [0-9]{6}[-~.[:space:]][0-9]{5} [0-9]{2,3}[-~.[:space:]][0-9]{6} [0-9]{2}[-~.[:space:]][0-9]{7} [0-9]{2}[-~.[:space:]][0-9]{4,6}[-~.[:space:]][0-9] [0-9]{5}[-~.[:space:]][0-9]{3}[-~.[:space:]][0-9]{2} [0-9]{2}[-~.[:space:]][0-9]{5}[- ~.[:space:]][0-9]{3} [0-9]{4}[-~.[:space:]][0-9]{4}[-~.[:space:]][0-9]{3} [0-9]{6}[- ~.[:space:]][0-9]{2}[-~.[:space:]][0-9]{3} [0-9]{2}[-~.[:space:]][0-9]{2}[-~.[:space:]][0-9]{7}) [0-9]{4}[-~.[:space:]]([0-9]{3}[-~.[:space:]][0-9]{6} [0-9]{2}[-~.[:space:]][0-9]{6}[-~.[:space:]][0-9]) [0-9]{5}[-~.[:space:]][0-9]{2}[-~.[:space:]][0-9]{6} [0-9]{6}[-~.[:space:]][0-9]{2}[-~.[:space:]][0-9]{5,6}) 81

82 홈페이지개인정보노출방지가이드라인 2) 개인정보패턴적용예시 (Linux/Unix C - regex 버전 ) int main(int argc, char *argv[]) { // 주민등록번호정규표현식 char *ssn_regex= ([01][0-9]{5}[[:space:],~-]+[1-4][0-9]{6} [2-9][0-9]{5}[[:space:],~- ]+[1-2][0-9]{6}) ; // 테스트용문자열 char *sample= 테스트중인주민등록번호는 입니다. ; char *p=null; regex_t *re; regmatch_t match; int ret; ret = regcomp(re, ssn_regex, REG_EXTENDED); if(ret) return 0; while(sample && *sample) { // 정규표현식으로주민번호패턴에맞는문자열이존재하는검사 ret = regexec(re, sample, 1, &match, 0); // 정규표현식에매치되는문자열이없으면중단 if(ret) break; // 검색한문자열을출력 p = (char *)calloc(match.rm.eo-match.rm_so+1, sizeof(char)); memcpy(p, sample+match.rm_so, match.rm_eo - match.rm_so); p[match.rm_eo - match.rm_so] = 0x00; printf( 주민등록번호 : %s, p); sample += match.rm_eo-1 if(p) { free(p); p = NULL; } - 이하생략 - 82

83 3) 정규표현식관련참조사이트 참조 : 정규표현식소개 ( 영문 ) : en.wikipedia.org/wiki/regular_expression (POSIX 기본정규표현식과 POSIX 확장정규표현식, POSIX 캐릭터클래스 ) 참조 : 정규표현식레퍼런스홈페이지 ( 영문 ) : 참조 : 정규표현식엔진비교 ( 영문 ) : en.wikipedia.org/wiki/comparison_of_regular_expression_engines 참조 : Ruby 정규표현식문법확인홈페이지 : rubular.com ( 영문 ) III 개인정보노출방지대책 83

84 홈페이지개인정보노출방지가이드라인 Tip 3 개인정보가구글 (Google) 에서저장된페이지로노출될경우, 구글에서제공하고있는웹마스터도구를이용하여개인정보가노출된페이지 ( 캐쉬 25) 페이지 ) 를삭제요청할수있습니다. 웹마스터도구삭제요청절차를하나씩살펴보도록하겠습니다. 구글 (Google) 웹마스터도구란사용자페이지의게재빈도와관련된자세한보고서를제공하고사이트에대한정보를확인할수있는도구입니다. 참조 : 구글웹마스터도구도움말 : 25) 캐쉬 (Cache) : 컴퓨터의처리성능을향상시키기위하여, 속도가빠른중앙처리장치 (CPU) 와상대적으로속도가느린주기억장치사이에서입출력되는데이터를임시로저장하는고속의기억장치. 자주사용되는데이터를미리읽어와서캐쉬메모리에보관하고, 중앙처리장치의요구가있을때즉시데이터를제공함으로써중앙처리장치가상대적으로빠른처리를할수있도록하는것이다. 즉중앙처리장치의처리속도를빠르게하기위한버퍼링기술이라할수있다. 84

85 가. 구글검색에서주민등록번호삭제하기 1) 구글검색창에홈페이지제거요청도구를클릭하여검색합니다. III 개인정보노출방지대책 참조 : 2) 삭제요청을하기위해서는먼저구글회원가입이필요하며, 기존구글계정이있으면로그인을합니다. 85

86 홈페이지개인정보노출방지가이드라인 3) 새로운삭제요청작성하기 를클릭합니다. 4) 삭제할 URL 을입력후계속을클릭합니다. 주의사항 URL 에대한 삭제를요청할때검색결과에표시되는정확한 URL 을입력해야합니다. URL 의작은차이 ( 예 : ww.example.com/dragon) 가중요하지않게보일수있지만, 예로든두 URL 은실제로다른 URL 이며일부서버에서는다른콘텐츠를가리킬수있습니다. Google에서원하는콘텐츠를삭제하려면검색결과에표시되는정확한 URL 을입력해야합니다. 86

87 5) 캐쉬페이지에남아있는개인정보를입력하고 페이지의저장된버전삭제 클릭 III 6) 요청이잘되었는지확인후요청결과를기다립니다. 개인정보노출방지대책 87

88 홈페이지개인정보노출방지가이드라인 삭제페이지의 URL 을찾는방법 1 대문자표시 URL 삭제도구는대소문자를구분합니다. 즉, 입력하는 URL 은 Google 검색결과에나타나는 URL 과대문자또는소문자조합이동일해야합니다. 다시한번강조하지만, 페이지를열고주소표시줄에서 URL 을복사하는것이정확한 URL 을얻을수있는가장확실한방법입니다. 2 줄임표검색결과페이지의녹색 URL 에줄임표 (... ) 가포함되어있으면대개화면표시를위해 URL 을짧게표시한것입니다. 줄임표가있는 URL 은복사하여붙여넣지마세요. 대신해당검색결과제목 ( 위의이미지에서 1로표시 ) 을클릭합니다. 페이지가열리면브라우저의주소표시줄에서 URL 을복사합니다. URL 을찾는다른방법은검색결과의링크를마우스오른쪽버튼으로클릭한다음 URL 을복사하는것입니다. 복사한 URL 을 URL 삭제도구에붙여넣으면 URL 이표시됩니다. Google에서올바른 URL 을식별할수있으므로 URL 이길어도걱정하지마세요. 3 여러 URL 특히포럼또는대화목록기반웹사이트에서동일한콘텐츠가여러 URL 에나오는것이일반적입니다. 예를들면다음과같습니다. :// d/123?post=456&sessionid= URL 하나의삭제요청을완료한경우에도삭제하려는콘텐츠가 Google 검색결과의다른 URL 에나타날수있습니다. 이경우에는이콘텐츠를표시하는각 URL 에대해삭제요청을추가로제출하면됩니다. 88

89 삭제요청중하나가 삭제됨 으로표시되었지만검색결과에해당콘텐츠가계속표시되면검색결과에나타나는 URL 이삭제를위해제출한 URL 과대문자를포함하여정확하게동일한지확인해보세요. 동일하지않으면검색결과에계속나타나는추가 URL 의삭제를요청해야합니다. 참조 : 웹마스터도구사용도움말 : er=63758 III 나. 구글검색에서사이트제거하기 ( 사이트관리자일경우에만유효 ) 1) 구글검색창에구글웹마스터도구입력하여검색합니다. 참조 : 개인정보노출방지대책 89

90 홈페이지개인정보노출방지가이드라인 2) 삭제요청을하기위해서는먼저구글회원가입이필요하며, 기존구글계정이있으면로그인을합니다. 3) 콘텐츠삭제를위해원하는사이트를클릭합니다. 90

91 관리할사이트를추가하는방법 사이트관리를위해서는다음방법에따라사이트를추가해야합니다. 1. Google 계정으로 Google 웹마스터도구에로그인합니다. 2. 사이트추가를클릭하고추가할사이트의 URL 을입력합니다. 처럼전체 URL 을입력해야합니다. 3. 계속을클릭합니다. 사이트확인페이지가열립니다. 4. ( 선택사항 ) 이름입력란에사이트이름 ( 예 : 내블로그 ) 을입력합니다. 5. 원하는확인방법을선택하고도움말을따릅니다. 참조 : 웹마스터도구도움말URL ( 사이트추가하기 ), cbid=-511n524v4w7&ctx=cb&answer=34397&src=cb III 개인정보노출방지대책 4) 왼쪽메뉴에서 사이트구성 > 크롤러엑세스 26) 를클릭한후화면오른쪽의메뉴중 robots.txt 생성을클릭합니다. 모두차단 을선택하면 3번에있는네모창안의코드가자동으로수정이됩니다. 이후네모창아래에있는다운로드버튼을클릭하여 robots.txt 파일을다운받은후제거하고자하는사이트계정의루트폴더에업로드합니다. 26) 크롤러엑세스 : 검색엔진의사이트접근을제어한다는의미입니다. robots.txt 파일을활용하여검색엔진사이트의접근제어가가능합니다. 91

92 홈페이지개인정보노출방지가이드라인 5) 맨오른쪽의 URL 제거 를클릭합니다. 사이트자체를제거하려면 를제외한나머지주소를입력한후 계속 버튼을클릭합니다. 92

93 III 주의사항 URL 에대한 삭제를요청할때검색결과에표시되는정확한 URL 을입력해야합니다. URL 의작은차이 ( 예 : 가중요하지않게보일수있지만, 예로든두 URL 은실제로다른 URL 이며일부서버에서는다른콘텐츠를가리킬수있습니다. Google에서원하는콘텐츠를삭제하려면검색결과에표시되는정확한 URL 을입력해야합니다. 개인정보노출방지대책 6) 캐쉬 URL 을삭제하고자하는이유를선택합니다. (3 가지선택항목중선택 ) 93

94 홈페이지개인정보노출방지가이드라인 6)-1 검색결과및캐쉬에서페이지삭제 선택후결과확인 94

95 6)-2 캐쉬에서만페이지삭제 선택후결과확인 III 개인정보노출방지대책 95

96 홈페이지개인정보노출방지가이드라인 6)-3 디렉토리삭제 선택후결과확인 96

97 [ 표 7] 캐쉬 URL 을삭제하고자하는사유에대한설명 항목 검색결과및캐쉬에서페이지삭제 캐쉬에서만페이지삭제 디렉토리삭제 설명 내사이트 URL 을검색결과및캐쉬페이지를전부삭제할때신청합니다. 콘텐츠를영구적으로삭제하려면, 삭제를요청한지 90일이내에다음중하나를수행해야합니다. 그렇지않을경우, 콘텐츠가나중에검색결과에다시표시될수있습니다. 1. 페이지가존재하지않는경우서버에서 404 (Not Found) 또는 410 (Gone) HTTP 상태코드를표시하는지확인합니다. HTML이아닌파일 ( 예 : PDF) 은서버에서완전히삭제해야합니다. 2. robots.txt를사용하여 Google의크롤링을차단하세요. robots.txt를사용하여 URL이허용되지않도록한경우에도 Google이다른사이트에서 URL을찾게되면페이지의색인을생성할수있습니다. 하지만 robots.txt에서페이지를차단하고페이지에대한 URL 삭제를요청하면 Google은페이지의색인을생성하지않습니다. 3. noindex 메타태그를사용합니다. 다른페이지에연결되어있는경우에도페이지에이메타태그가있으면 Google은검색결과에해당페이지를표시하지않습니다. 사이트에서페이지를업데이트하면, 다음에크롤링할때 Google은캐쉬된버전을비롯하여색인을업데이트합니다. 업데이트가완료될때까지는원본콘텐츠가캐쉬에포함되어검색결과에해당콘텐츠가표시될수있습니다. 캐쉬된버전의삭제를요청할수있으며이경우페이지미리보기도삭제됩니다. 예를들어내사무실주소를표시하는페이지가있다고가정해보겠습니다. 사무실을이전하는경우, 이전주소를표시하는기존의캐쉬된버전이더이상 Google에표시되지않도록해야합니다. 디렉토리나사이트를영구적으로삭제하려면 robots.txt를사용하여크롤러가디렉토리에액세스하지못하게차단하고, 사이트를삭제하는경우에는전체사이트에대한액세스를차단해야합니다. 이작업은디렉토리삭제를요청하기전이나요청한후곧바로수행하는것이좋습니다. 그렇지않을경우, 콘텐츠가나중에검색결과에다시표시될수있습니다. 404 HTTP 상태코드를표시하는것만으로는문제가해결되지않습니다. 디렉토리가 404 상태코드를표시하고있어도포함된파일은여전히제공되고있기때문입니다. III 개인정보노출방지대책 97

98 홈페이지개인정보노출방지가이드라인 다. URL 삭제도구사용시유의사항 페이지가업데이트되거나삭제되면자동으로 Google 검색결과에서삭제됩니다. 이경우다른조치를취하실필요가없습니다. 하지만 Google에서신용카드및주민등록번호노출등긴급하게콘텐츠를삭제해야하는경우노출된페이지를이미삭제, 업데이트또는차단한경우에해당 URL 의신속한삭제를요청할수있습니다. URL 삭제도구는실수로노출된기밀데이터와같이긴급하게삭제해야할페이지에사용합니다. URL 삭제도구를다른목적으로사용하면사이트에문제가생길수있습니다. 주의사항 [ 구글웹마스터도구 ] 를통해구글검색결과나캐쉬페이지삭제요청은가능하나, 요청을한다고해서반드시삭제되는것은아니며, 구글의판단에따라요청이거부될수도있습니다. 구글의개인정보보호정책은주민등록번호와같은국가발급번호에대한개인정보가노출되었을경우만삭제혹은마스킹 (*) 처리가가능하며, 주민번호이외의정보에대해서는삭제가되지않을수있습니다. 참조 : 구글웹마스터도구 FAQ : [ 표8] 의상황에해당하는경우에한해서는 URL 도구를사용하여페이지를삭제하면안됩니다. 참조 : ( py?answer= ) 98

99 [ 표 8] URL 삭제도구가불필요한경우 상황 오류가표시되는오래된페이지등의쓸모없는자료를정리하려는경우 2. 웹마스터도구계정에서크롤링오류를제거하려는경우 내용 최근에사이트를변경하여오래된 URL 이색인에남은경우는 Google 크롤러가다음에 URL 을크롤링할때반영되므로결국자연스럽게검색결과에서사라집니다. 따라서긴급히삭제해달라고요청하지않아도됩니다. URL 삭제도구는웹마스터도구계정이아닌 Google 검색결과에서 URL 을삭제합니다. 보고서에서직접 URL 을삭제하지않으셔도됩니다. 시간이지나면서자연스럽게삭제되기때문입니다 III 3. 사이트를 처음부터새롭게시작 하려는경우 4. 해킹된사이트를 오프라인 으로전환하려는경우 사이트에위반사항이있을지우려되거나다른사용자로부터도메인구입한후처음부터다시시작하려는경우, 재검토요청을제출하여우려되는사항과변경된항목에대해 Google 에알려주는것이좋습니다. 사이트가해킹되어색인생성된잘못된 URL 을제거하려는경우 URL 삭제도구를사용하여해커가만든새 URL 을모두삭제할수있습니다. 그러나사이트전체를삭제하거나색인을생성하고싶은 URL 을삭제하는방법은좋지않습니다. 대신해킹된내용을삭제한뒤 Google 이다시사이트를크롤링하도록해주세요. ( 개인정보노출방지대책 5. 사이트를올바른 버전 으로색인생성하려는경우 대부분의사이트에서는동일한 HTML 콘텐츠또는파일을다양한 URL 을통해제공합니다. 이경우검색결과에중복된콘텐츠가표시되지않기를원한다면권장하는표준화방식을검토하시기바랍니다. 검색결과에표시되기원하지않는 URL 을삭제하기위해 URL 도구를사용하지마세요. URL 삭제도구는페이지의원하는버전을남기지않고 URL 의모든버전 (http/https 및 www 가있는버전과없는버전모두 ) 을삭제합니다. 99

100 홈페이지개인정보노출방지가이드라인 Tip 4 홈페이지의개인정보가노출된경우, 해당파일을삭제조치하더라도구글캐쉬에저장된내용이남아있어지속적으로외부에노출될수있습니다. 구글고급연산자를활용하여구글에남아있는정보를찾아내는방법을설명하고있습니다. 가. 단어검색연산자단어검색연산자의활용방법은아래와같습니다. [ 표 9] 구글검색연산자활용방법구분연산자사용예 둘다포함 and, 공백 구글검색 둘중에하나포함 OR( 대문자 ), 구글 검색 특정단어제외 - 구글-검색 나. 유용한고급연산자 1) Site : 검색범위를특정사이트나도메인으로제한합니다. 특정사이트로검색범위를좁혀검색하는연산자로노출발생시기관의도메인으로검색을제한하여검색결과를줄일수있으며, 다른연산자와결합하여사용할수있습니다. 유의할점은 URL 인식방향이오른쪽에서왼쪽이므로 site: 과 site:example.com 의검색결과가다르므로, 사이트와도메인을모두검색해보는것이좋습니다. 2) Cache : 구글의캐쉬에저장된페이지를보여줍니다. 기관에서노출된페이지가있을경우, 세부URL까지 ( cache: 이아닌 cache: ) 정확한주소를입력해야합니다. 홈페이지나파일에대한 URL 도구글캐쉬에서확인가능합니다. 3) Inurl : 문자열을페이지의 URL 에서찾습니다. Allinurl : 연산자뒤에나온모든단어를페이지의 URL 에서찾습니다. 위두연산자는기관의 URL 에포함된단어를검색할수있으며, site 연산자와함께결합하여사용할수있습니다. 100

101 예 ) site:example.com inurl:list 는 expmple,com 도메인세부 URL 중 list 를포함한 URL 을검색하게됩니다. 4) Filetype : 특정한확장자를가진파일을찾습니다. 다양한파일확장자의검색이가능하며주요파일유형은다음과같으며, 연산자활용방법은 filetype : 파일확장자 입니다. 특정기관에서특정개인정보가노출된파일이있을경우, site 연산자와활용하면검색시간을줄일수있습니다. 예 ) site:example.com filetype:pdf III [ 표 10] 구글고급검색파일확장자 파일유형파일확장자파일유형파일확장자 Adobe Portable Document Format pdf Microsoft Word doc, docx Adobe PostScropt ps 한글워드프로세스 hwp 개인정보노출방지대책 Microsoft Excel xls, xlsx 압축파일 zip, rar... Microsoft PowerPoint ppt, pptx 텍스트 ans, txt 다. 특정디렉토리노출여부점검방법디렉토리리스팅취약점이게시판에서발견될경우, 노출된페이지와파일을삭제하더라도외부검색엔진에서첨부파일이업로드되는디렉토리의읽어갈수있기때문에반복적으로개인정보노출이발생할가능성이높습니다. intitle:index.of.admin, inurl: admin 등을활용하여기관에서운영중인홈페이지의디렉토리리스팅취약점으로인한노출이발생하는지확인할수있습니다. 예 ) site:example.com intitle:index.of inurl: admin 101

102 홈페이지개인정보노출방지가이드라인 디렉토리리스팅이발견될경우, 웹서버에서해당디렉토리를외부에서읽지못하도록반드시디렉토리의권한을변경해줘야합니다. 또한, 해당파일이올라가는디렉토리에로봇베제표준을적용하여외부검색엔진에서정보를수집하지못하도록제안하여야합니다. 실제페이지나파일을삭제하였다면구글웹마스터도구를이용하여구글캐쉬에노출된페이지를삭제요청해야합니다. 참조 : 검색로봇배제표준적용방법 (p.73) 참조 : 구글에노출된개인정보확인및삭제방법 (p.84) 102

103 부록 1 홈페이지 10대보안취약점 2 무료원격웹취약점점검 3 웹사이트보안도구 4 한국인터넷진흥원암호이용활성화 5 개인정보유출통지제도

104 홈페이지개인정보노출방지가이드라인 홈페이지를통한개인정보노출발생원인은관리적, 기술적원인으로나눌수있습니다. [ 표 11] 개인정보노출발생의관리적, 기술적원인 구분 관리적인원인 기술적인원인 설명 홈페이지관리자의관리소홀과이용자의개인정보에대한인식부족으로발생 홈페이지설계및구축단계에서개인정보노출이나보안취약점을고려하지않아서발생 기술적인원인중보안취약점을고려하지않고설계, 구축된홈페이지는개인정보노출의간접적인원인을제공합니다. 예를들어, 웹서버디렉토리및파일목록을보여주는디렉토리인덱싱과같은보안취약점이존재하는경우, 구글검색엔진은디렉토리인덱싱홈페이지를검색에활용하므로웹서버내에존재하는개인정보가그대로노출될위험이있습니다. OWASP에서발표한웹어플리케이션보안취약점을관리자가자체적으로점검할수있는점검및조치방법과홈페이지변조 악성코드삽입 피싱사이트악용등인터넷침해사고피해를사전에예방하기위한웹취약점점검및도구소개, 개인정보유노출시 2차피해방지를위한암호화부분, 유출신고안내및내용에대해간략하게알아보도록하겠습니다. OWASP(Open Web Application Security Project) 어플리케이션소프트웨어보안취약점결과에대해개발자와, 설계자, 아키텍트등이보안적으로안전한프로그램을코딩하는데있어취약점을방어할수있는기본적인방법을제공하는전세계적인비영리오픈커뮤니티 104

105 1 홈페이지보안취약점 (OWASP) 가. SQL 인젝션 (SQL Injection) 1) 개요 웹브라우저주소창, ID 및패스워드입력화면등에서데이터베이스 SQL 문에이용되는특수문자를필터링하지않아데이터베이스의인증절차를무시또는우회하여자료를무단유출하거나변조할수있게하는취약점을말합니다. 2) 점검범위사용자인증이필요한웹사이트페이지를점검합니다. (ex 관리자페이지, 내부사용자페이지 ) 부록 3) 점검방법 1 인증이필요한페이지 (ex 관리자페이지 ) 로이동합니다. 2 로그인모듈을점검합니다. 검색어필드및로그인아이디, 패스워드필드에큰따옴표 ( ), 작은따옴표 ( ), 세미콜론 (;) 등을입력한후 DB error 가일어나는지확인하는방법이다. MS-SQL인경우 - ID 필드에 or 1=1 ;--, 패스워드필드에는아무값이나입력한후로그인을시도합니다. Oracle인경우 - ID 필드에 or 1=1 --, 패스워드필드에는아무값이나입력한후로그인을시도합니다. 기타 - ID필드에 or =, 패스워드필드에 or = 을입력한후로그인을시도합니다. 105

106 홈페이지개인정보노출방지가이드라인 점검결과로그인이될경우인증실패메시지가나타날경우홈페이지오류메시지가나타날경우 취약점여부 SQL Injection 취약점존재 SQL Injection 취약점존재하지않음 SQL Injection 취약점가능성이있으므로세부적인점검이필요 4) 조치및예방방법 1 ID, 패스워드란에특수문자 ( 따옴표, 공백등 ) 가입력되지않도록소스코드를수정합니다. 2 SQL 서버의에러메시지를사용자에게보여주지않도록설정합니다. 3 소스코드가수정된후에다시한번취약점점검을실시하여취약점이존재하지않는지확인합니다. 참조 : SQL 인젝션예방방법 ( 영문 ), SQL_Injection_Prevention_Cheat_Sheet 나. 크로스사이트스크립트 (XSS : Cross-Site Scripting) 1) 개요악의적인스크립트등록을통해일반이용자또는내부사용자의 PC로부터쿠키 (cookie) 등의개인정보유출가능성이존재하는웹취약점입니다. 2) 점검범위홈페이지내글쓰기가가능한게시판 ( 내부사용자게시판포함 ) 을점검합니다. 3) 점검방법 1 게시판, 의견쓰기, 게시마당, 민원신청, 여론마당등과같이일반사용자들이글을게시할수있는기능이있는지점검합니다. 글쓰기기능이없으면 XSS 취약점 은존재하지않습니다. 106

107 2 글쓰기기능이있는게시판에다음과같은스크립트문장을입력하여확인합니다. <script>alert( XSS 취약점존재 );</script> 점검결과 윈도우경고창을통해 XSS 취약점존재 나 XSS 취약점 존재 와같은형태의팝업창이뜸 스크립트태그사용에대한에러나경고메시지가뜨면서등록이안됨 글본문에스크립트문장이입력한대로나옴 취약점여부 XSS 취약점이존재 XSS 취약점이존재하지않음 부록 4) 조치방법 1 홈페이지의이용자들이글쓰기가가능한게시판페이지에스크립트태그를필터링합니다. 스크립트문장에존재할수있는 <, >, (, ), #, & 등의메타문자를다른문자로변환하거나 글게재시점에서스크립트가있는경우에는게재를차단한다. 2 웹소스코드수정이된후다시취약점점검을하여취약점이존재하는지확인합니다. 참조 : 크로스사이트스크립트예방방법 ( 영문 ) ention_cheat_sheet 107

108 홈페이지개인정보노출방지가이드라인 다. 취약한인증및세션관리 1) 개요인증, 세션관리와연관된어플리케이션기능이올바르게구현되지않아, 공격자로하여금다른사용자로가장하여패스워드, 키, 세션, 토큰체계를위태롭게하거나, 다른결함들을악용할수있는웹취약점입니다. 2) 점검범위운영중인홈페이지및어플리케이션의인증구간을점검합니다. 3) 점검방법 1 로그인기능 URL 에서로그인후세션 ID가발행되는지확인합니다. 2 세션 ID를확보한후로그아웃합니다. 3 테스트할 URL 의파라메터에확보한세션ID를삽입하여세션으로사용되는지확인합니다. URL Rewriting을지원하고 URL 상에세션 ID가포함된시스템이있으면세션이 URL 에서노출되면서악의적으로사용자가이용자의세션을가로챌수있음예 ) DLPSKHCJUN2JV?dest=Hawaii 4) 조치방법 1 강력한인증및세션관리통제의단일체계를구축합니다. 2 OWASP의어플리케이션보안검증표준 (ASVS) 항목의인증및세션관리요구사항을모두충족시킵니다. 참조 : OWASP의어플리케이션보안검증표준 (ASVS) 항목 ( 영문 ), curity_verification_standard_project 3 개발자를위한간단한인터페이스를갖춥니다. 4 세션 ID를도용하는데사용될수있는 XSS 취약점을막습니다. 참조 : 세션관리 ( 영문 ), ment_cheat_sheet 108

109 라. 불안전한직접객체참조 (Insecure Direct Object Reference) 1) 개요첨부파일, 파일경로등에대한접근에대한권한확인이이뤄지지않으면이러한경로를조작함으로써다른객체 ( 시스템파일등 ) 에인증없이접근할수있는웹취약점입니다. 홈페이지구성시파일, 디렉토리, 데이터베이스값을 URL 이나폼매개변수로노출시킬때발생가능성이존재합니다. 2) 점검범위 모든웹어플리케이션및홈페이지를점검합니다. 3) 점검방법 1 파일경로등을수정하여권한없는객체 ( 시스템파일등 ) 에접근할수있는지확인합니다. 부록 정상경로 변조경로 사용자가특정파일이름이나경로를사용자가입력하도록되어있는지확인합니다.../../../../etc/passwd%00 같은문자열을입력 ( 널바이트인젝션 ) 하여공격받을수있다. 3 권한없는데이터베이스키에대한참조가가능한지확인합니다. cartid를외부 ( 웹 ) 에서임의로수정할수있는소스코드예 int cartid = Integer.parseInt( request.getparameter( cartid ) ); String query = SELECT * FROM table WHERE cartid= + cartid; 4) 조치방법 1 사용자가직접객체참조에노출되는것을방지합니다. 인덱스, 간접참조또는검증이쉬운다른간접적인방법을사용합니다. 109

110 홈페이지개인정보노출방지가이드라인 2 직접객체참조를사용해야한다면, 사용이전에사용자가권한을부여받았는지확인합니다. 3 웹어플리케이션참조에대한표준을정립합니다. 직접객체참조 (DB 키또는파일명 ) 가사용자에게노출되지않도록설정 모든참조된객체에대한권한검증 매개변수변조공격방지를위해인덱스값이나참조맵을사용 직접경로참조 인덱스이용 참조 : OWAPS 테스트가이드, 경로탐색테스트 ( 영문 ), ASP-AZ-001) 마. 크로스사이트변조요청 (CSRF : Cross Site Request Forgery) 1) 개요악의적인웹사이트 ( 이메일, 블로그, 인스턴트메시지 ) 또는프로그램을통해사용자가자신의의지와는무관하게공격자가의도한행위 ( 수정, 삭제, 등록등 ) 를특정웹사이트에요청하게하는공격을말합니다. 2) 점검범위모든웹어플리케이션을점검합니다. 3) 점검방법 1 인증이필요한 URL 또는웹어플리케이션을확인합니다. 2 요청범위내에기본로그인정보가주어지면요청을처리하는지확인합니다. 참조 : 로그인정보제공샘플, &passwd=admin 3 자동으로제출된자격인증만을기반으로요청에대한권한판단을수행하는지확인합니다. 110

111 예 ) 자동으로제출된자격인증 통합된인트라넷의일부로서제출된커버로스토큰 웹어플리케이션에로그인시제공되는세션쿠키 참조 : CSRF 테스트프로그램활용 ( 영문 ), 4 해당홈페이지가 XSS 공격에취약한지확인합니다. 4) 조치방법 1 웹어플리케이션내에 XSS 취약점이없도록확인합니다. 2 모든폼과 URL 내에브라우저에의해자동으로제출되지않도록특별히설계되고불규칙한토큰을삽입하여제출된토큰이현재사용자에게적합한지검증합니다. 부록 예 ) 불규칙한토큰삽입 <form action= /transfer.do method= post > <input type= hidden name= value= > </form> 3 민감한데이터나값에대한처리시재인증프로세스를구현합니다. 을이용한확인페이지요청이나휴대폰 SMS 인증프로세스구현 참조 : 크로스사이트변조요청예방방법 ( 영문 ), Site_Request_Forgery_(CSRF)_ Prevention_Cheat_Sheet 111

112 홈페이지개인정보노출방지가이드라인 바. 보안상잘못된구성 1) 개요보안은어플리케이션, 프레임워크, 어플리케이션서버, 웹서버, 데이터베이스서버와플랫폼에대해보안구성이정의되고적용하기를요구합니다. 대부분보안이기본적으로탑재되지않기때문에이모든설정은정의, 구현, 유지되어야하는데, 어플리케이션에서사용되는코드라이브러리를포함하여모든소프트웨어가최신의상태를유지하는것을포함하는것입니다. 2) 점검범위운영중인모든어플리케이션, 아키텍처구조등을파악하고적절한보안여부를수행하고있는지점검합니다. 3) 점검방법 1 모든소프트웨어를최신버전으로유지하기위한프로세스를수립하고있는지확인합니다. 2 불필요한서비스 ( 포트, 페이지, 권한, 계정등 ) 가제거되거나설치되지않았는지확인합니다. 3 수립된프로세스가운영체제, 웹, 어플리케이션서버, 데이터베이스등모든것들이프로세스에반영될수있는지확인합니다. 4 운영중인시스템의계정중디폴드계정및패스워드설정여부를확인합니다. 5 개발프레임워크내에보안설정및구성된라이브러리들이적절한지확인합니다. 6 운영중인시스템의에러가확인및관리되는지확인합니다. 4) 조치방법 1 적절한시스템구축프로세스수립이필요하며이는개발, 품질보증, 생산환경모두에서동일하게구성되어적용될수있어야합니다. 2 모든새로운소프트웨어업데이트와패치를각각의환경에서시기적절하게배포및최신수준으로유지하기위한프로세스가정의되어야합니다. 3 향후보안문제를확인및조치하기위해정기적으로시스템에대한스캐닝및보안감사를수행하여야합니다. 112

113 사. 불안전한암호화저장 1) 개요악의적인공격자가암호화되지않은데이터를획득하여명의도용이나신용카드사기등의범죄에악용될수있습니다. 2) 점검범위개인정보를취급하는모든시스템을점검합니다. 3) 점검방법 1 백업 DB와같이장기간보관하고자하는데이터가암호화되어있는지확인합니다. 2 허가된사용자만이복호화된데이터에접근할수있는지확인합니다. 3 표준암호화알고리즘이적용되어있는지확인합니다. 부록 개인정보의기술적 관리적보호조치기준 ( 개정 ) 해설서 암호정책수집기준설명서 암호알고리즘및키길이이용안내서 4 보안강도에따른키를생성하고있는지, 비인가접근자로부터보호되고있는지확인합니다. 5 패스워드는표준알고리즘과적절한 salt 27) 를사용하여해시되었는지확인합니다. 4) 조치방법참조사이트참조 : 암호화에대한 ASVS 요구사항 _V7( 영문 ), 27) salt : 패스워드해시를변환하는데사용되는무작위문자열 113

114 홈페이지개인정보노출방지가이드라인 참조 : ESAPI Encryptor API( 영문 ), java.googlecode.com/ svn/trunk_doc /latest/org/owasp/esapi/encryptor.html 참조 : OWASP 개발가이드 -암호화 ( 영문 ), 참조 : OWASP 코드검토가이드-암호화 ( 영문 ), 아. URL 접근제한실패 1) 개요비인가사용자의허용되지않은 URL 접근에대한통제정책및기술조치가필요합니다. 2) 점검범위모든웹애플리케이션에대한 URL 접근통제여부를점검합니다. 3) 점검방법 1 홈페이지접근을위해인증절차가필요한지먼저확인합니다. 2 /admin/adduer.php 나 /approvetransfer.do 등과같이숨겨진 URL(ex. 일반이용자화면에서접근할수없는 URL 등 ) 접근시인증받은관리자나허가받은사용자만접근할수있는지확인합니다. 3 웹취약점분석도구등을통해서는 URL 접근통제에대한검증이어려움이있기때문에소스코드에서확인및테스트를병행하는것이필요합니다. 4 모의침투테스트를통해적절한보호가적용되는지확인합니다. 4) 조치방법 1 접근통제메커니즘을검증하기위해코드검토와보안테스트를병행합니다. 2 각페이지별접근통제강제성을확인하며모든 URL 이사용자의역할 / 권한부여여부를확인하는지점검합니다. 3 숨겨진 URL, API 등에대한무작위적접근허용금지및권한설정을확인하며알려진값이나파일타입이외의것은접근을금지합니다. 114

115 자. 불안전한암호화통신 (SSL : Secure Socket Layer) 1) 개요비밀번호, 바이오정보, 주민등록번호등과같은개인정보가암호화되지않고저장및전송되는경우, 노출및위 변조등의위험이있으므로개인정보처리시스템에저장하거나네트워크를통해전송할때에는해당정보의불법적인노출또는위 변조방지를위한일방향함수, 암호화등의방법이제공되어야합니다. 2) 점검범위운영중인모든홈페이지에서주민등록번호, 비밀번호, 민감정보등의개인정보를전송할때암호화여부와암호화한다면안전한알고리즘으로하는지를점검합니다. 부록 3) 점검방법 1 운영하는모든홈페이지에서주민등록번호, 비밀번호, 민감정보등의개인정보를전송하는구간여부를확인합니다. 2 SSL 을사용하여개인정보를전송하는구간에서암호화시실제암호화여부를패킷분석을통해확인합니다. 3 SSL 인증서가유효한지확인합니다. 4 개인정보를전송하는구간에서 SSL 를통해암호화전송하고있다면강력하고안전한알고리즘인지확인합니다. 5 홈페이지와세션으로생성되는쿠키에 secure 플래그가설정되어있는지확인하며평문으로전송되는지여부를확인합니다. 4) 조치방법 1 모든홈페이지에서개인정보를 (ID/PW, 주민등록번호등 ) 전송하는경우 SSL 을적용합니다. 2 개인정보를전송하는페이지에대한 non-ssl 요청시 SSL페이지로연결되도록조치합니다. 3 모든민감한쿠키에 secure 플래그를설정합니다. 115

116 홈페이지개인정보노출방지가이드라인 4 표준알고리즘 (FIPS ) 호환 ) 을지원하는 SSL 를사용합니다. 5 SSL 인증서가유효한지, 모든도메인에적용되는지확인합니다. 참조 : 보안서버구축참조홈페이지, 차. 검증되지않은리다이렉트와포워드 1) 개요웹어플리케이션은간혹사용자를다른페이지로연결 ( 리다이렉트 29), 포워드 30) ) 등목적페이지를결정하기위해신뢰되지않은데이터를사용합니다. 적절한확인이없다면공격자는이용자를피싱, 악성코드사이트로연결시키며공격자는권한없는페이지접근을위해사용할수있습니다. 2) 점검범위모든홈페이지에대해승인되지않은파라미터로리다이렉트및포워드가발생하는지점검합니다. 3) 점검방법 1 리다이렉트및포워드사용에대한소스코드를검토합니다. 2 리다이렉트및포워드시목적 URL 에포함되는파라미터값을확인합니다. 3 확인한파라미터값이외에다른값들이포함되지않도록조치합니다. 4 리다이렉트및포워드시 HTTP 응답코드 (300~307) 를확인합니다. 5 리다이렉트및포워드발생을일으키는파라미터를제거및방지시킵니다. 예 ) URL 에서특정파라미터를가진 redirect.jsp 라는페이지가존재할경우, 점검자는 다른사이트로사용자를리다이렉트시키는테스트 URL 을생성하여연결되는지확인 테스트방법 : 28) FIPS( 연방정부정보처리표준 ) : IT 제품이민감한용도로사용될때충족해야할암호화및관련보안요건을규정한미정부표준 29) 리다이렉션 (Redirect) : 클라이언트에서해당페이지로재요청이발생하는경우 30) 포워드 (Forward) : 클라이언트가접속한서버에서다른서버로페이지변경이발생하는경우 116

117 4) 조치방법 1 단순히리다이렉트와포워드를사용하지않거나피해야합니다. 2 목적지를계산하는사용자파라미터를포함시키지말아야합니다. 3 목적파라미터를피할수없다면, 제공된값이유효한지, 그사용자에게허용된것인지를확인하여조치하여야합니다. [ 표 12] OWASP 10대보안취약점항목내용 01. SQL 인젝션 02. 크로스사이트스크립트 (XSS) 03. 취약한인증및세션관리 04. 불안전한직접객체참조 05. 크로스사이트변조요청 (CSRF) 06. 보안상잘못된구성 07. 불안전한암호화저장 08. 접근제한실패 09. 불안전한암호화통신 10. 검증되지않은리다이렉트와포워드 이용자가입력한데이터가명령어나질의문의일부분으로웹서버의데이터베이스나백엔드시스템의인터프리터에연결되어명령어실행및데이터변경이실행되는취약점 악의적인공격자가타인의브라우저내에서스크립트를실행하도록허용함으로써타인의세션을가로채거나웹사이트를손상하거나웜을삽입하는등을가능하게하는취약점 계정에대한증명과세션토큰이적절히보호되지못함으로인해패스워드나키, 세션쿠키, 다른토큰등을악용하여인증메커니즘을무력화시키거나다른사용자의아이디를추측할수있는취약점 파일, 디렉토리, 데이터베이스기록, 키등의내부구현객체에대한참조정보를 URL 또는폼파라미터로노출시켜서악의적인공격자가이를조작하여인증절차없이다른객체에접속할수있도록하는취약점 로그온을한이용자의브라우저가사전에승인된요청을웹서버에보내도록함으로써악의적인공격자가의도하는공격을수행하도록하는취약점 어플리케이션, 프레임워크, 어플리케이션서버, 웹서버, 데이터베이스서버와플랫폼에대한적절한보안구성에대한정의및적용여부, 어플리케이션코드라이브러리를포함한소프트웨어의최신업데이트유지 악의적인공격자가보호되지않은데이터를이용하여명의도용이나신용카드사기등의범죄를저지를수있도록하는취약점 URL 에대한직접적인접속으로인증절차없이중요한동작을하도록하는취약점 통신상의오류로중요한정보가암호화되지않아서악의적으로데이터가이용될수있는취약점 웹어플리케이션은목적페이지를결정하기위해신뢰되지않는데이터를사용하기때문에적절한확인이없다면, 공격자는피해자를피싱사이트나악의적인사이트로리다이렉트유도및권한없는페이지에포워드시도 부록 117

118 홈페이지개인정보노출방지가이드라인 2 무료원격웹치약점점검 toolbox.krcert.or.kr 한국인터넷진흥원침해대응센터에서제공하는원격웹취약점점검서비스는 SQL injection, Cross site scripting과기타웹공격에대한취약점을점검해주고있습니다. 본서비스는무료로제공되며, 홈페이지및웹사이트보호에필요한정보보호전문지식이나서버관리인력이없는중소기업또는비영리단체를대상으로하고, 홈페이지변조, 악성코드삽입, 피싱사이트악용등인터넷침해사고피해를사전에예방하기위한서비스입니다. 점검된결과는점검결과보고서로제공되며, 웹사이트의운영자및개발자는점검결과보고서를바탕으로발견된취약점에대한수정및보완을통해해당웹사이트의보안성을높일수있습니다. 다만, 원격에서탐지하는점검의특성상오탐지 / 미탐지의가능성이있으며, 점검결과는어떠한증빙자료로도사용하실수없습니다. 서비스제외대상국립대, 관공서, 공공기관, 공기업, 대기업, 외국계기업, 종합병원, 사이트유지보수이용업체, 금융권, 보안서비스이용업체, 그룹웨어, 웹메일서버등 문의및기술지원 ( toolboxadmin@krcert.or.k) 118

119 부록 웹사이트를통한회원가입및서비스신청에서신원확인을위한 I-Pin이나주민번호인증과같은설명인증절차를진행 신청한회원이웹사이트에대한적합한권한이있는지에대한적격심사후점검서비스를제공 적격심사내용 : 오프라인을통한점검대상서버에대한적합성 점검소요기간 : 서비스신청후 1~2 주소요 점검결과통보 : 점검완료후 통보및서비스점검이력메뉴의점검결과현황을확인 발견된취약점에대하여보완조치후재점검신청가능 동일점검사이트의 1단계점검, 2단계재점검보고서에대한비교보고서신청가능 119

120 홈페이지개인정보노출방지가이드라인 3 웹사이트보안도구 toolbox.krcert.or.kr 최근공격자들이국내웹서버를해킹하여웹셀을업로드한후악성코드유포및개인정보탈취사례가지속적으로발생하고있습니다. 이에한국인터넷진흥원에서는공격자에의해생성된웹셀및악성코드은닉사이트를손쉽게탐지하고대응하기위하여기존배포중인웹셀탐지프로그램인휘슬과악성코드은닉사이트탐지프로그램 (MC-Finder) 를통합하여신규버전의휘슬을개발하여보급하고있으며, 홈페이지의보안성을강화하는웹방화벽인 홈페이지보안강화도구 (CASTLE) 을무료로보급하고있습니다. 또한, 보안부분에대한투자여력이부족한영세기업의웹보안강화를위해, 기본적인웹해킹을차단할수있는공개웹방화벽을추천하고있습니다. 사용을희망하는회사 ( 기관 ) 에서는사용신청서를작성하셔서전자우편으로첨부하여신청하시면됩니다. 1) 휘슬 (WHISTL) 문의및기술지원 ( whistl2010@krcert.or.kr) 2) 캐슬 (CASTLE) 문의및기술지원 ( castle@krcert.or.kr) 3) 공개웹방화벽문의및기술지원 ( web-fw@kisa.or.kr) 120

121 4 한국인터넷진흥원암호이용활성화 seed.kisa.or.kr 개인정보보호법시행령제4조 ( 개인정보처리자가수집 보유하고있는개인정보의암호화에관한경과조치 ) 에따르면개인정보를수집 보유하고있는개인정보처리자는전자매체에저장하는개인정보에대하여 2012년 12 월 31일까지제30조제1항제3호에따른암호화조치 ( 제21조에따라준용되는고유식별정보에관한암호화조치를포함한다 ) 를마쳐야합니다 부록 개인정보의종류, 저장위치에따라암호화필수여부가달라지게됩니다. 개인정보보호법에서비밀번호, 주민등록번호와같은개인정보에대해암호화하도록규정하고있어, 반드시암호화해야합니다. 비밀번호, 바이오정보는저장되거나송수신되는경우에모두암호화되어야합니다. 그외고유식별정보는정보통신망을통해송수신되거나보조저장매체등을통하여전달하는경우, 인터넷구간및인터넷구간과내부망의중간지점, 업무용컴퓨터에저장하는경우에는반드시암호화해야합니다. 그러나, 내부망에고유식별정보를저장하는경우자체적으로개인정보영향평가및위험도분석을통해암호화의적용여부와적용범위를결정할수있습니다. 개인정보보호법에서암호화를요구하는개인정보의종류와적용할수있는암호기술은아래와같습니다. 해쉬함수는비밀번호와같이정보주체를제외하고정보를다루는관리자조차암호화된정보의원래정보가무엇인지알수없어야하는정보들에대해서적용할수있습니다. 블록암호는주민등록번호와같은정보를저장하는경우에는암호화 121

122 홈페이지개인정보노출방지가이드라인 [ 표 13] 개인정보의종류별암호기술 암호화해야하는개인정보 개인정보보호법적용대상 적용암호기술 비밀번호 일방향암호화 바이오정보 주민등록번호 신용카드번호 계좌번호 양방향암호화 여권번호 운전면허번호 외국인등록번호 해야하나사용할때에는복호화해서원래정보를알수있어야하는정보들에대해서적용할수있습니다. 개인정보의안전한저장을위해암호기술을구현하고자하는업계실무자들에게암호를어떻게구현해야하는지, 암호이용활성화를통한안전한 IT환경조성에대한방법들을제시하고있습니다. KISA 암호이용활성화홈페이지에서는 SEED블록암호알고리즘 31), HIGHT블록암호알고리즘 32), ARIA블록암호알고리즘 33), 스마트폰용암호라이브러리 34), 패스워드안전성검증의보급신청을받고있으며, 해당소스코드는신청된 을통해서배포됩니다. 문의및기술지원 ( block128@kisa.or.kr) 31) SEED 는전자상거래, 금융, 무선통신등에서전송되는개인정보와같은중요한정보를보호하기위해 1999 년 2 월한국인터넷진흥원과국내암호전문가들이순수국내기술로개발한 128 비트블록암호알고리즘입니다. SEED 128 은 1999 년 9 월정보통신단체표준 (TTA) 으로제정되었으며, 2005 년에는국제표준화기구인 ISO/IEC 국제블록암호알고리즘, IETF 표준으로제정되었습니다. 32) HIGHT 암호알고리즘 HIGHT(HIGh security and light weight) 는 RFID, USN 등과같이저전력 경량화를요구하는컴퓨팅환경에서기밀성을제공하기위해 2005 년 KISA, ETRI 부설연구소및고려대가공동으로개발한 64 비트블록암호알고리즘입니다. 33) ARIA 는지난 2004 년에국가표준기본법에의거, 지식경제부에의하여국가표준 (KS) 으로지정되었습니다. ARIA 는경량환경및하드웨어에서의효율성향상을위해개발되었으며, ARIA 가사용하는대부분의연산은 XOR 과같은단순한바이트단위연산으로구성되어있습니다. 34) 스마트폰용국산암호라이브러리는각스마트폰운영체제별로앱개발프로젝트에라이브러리를추가한후, 국산암호알고리즘들을 API 형태로호출하여사용할수있는라이브러리입니다. 122

123 5 개인정보유출통지제도 가. 유출통지제개요 개인정보처리자는개인정보유출사고발생시해당정보주체에게유출사실을알려피해확산을방지하고권리구제를지원해야하며, 1만명이상의정보주체에관한개인정보유출시행정안전부또는전문기관 ( 한국인터넷진흥원, 한국정보화진흥원 ) 에신고하여야합니다. 행정안전부및전문기관은유출신고시원인분석, 피해확산방지등의기술을지원할수있습니다. 부록 123

124 홈페이지개인정보노출방지가이드라인 나. 유출시피해복구기술지원내용 1) 유출확인시대응조치기술지원 ( 현장방문, 컨설팅 ) 개인정보가유출되었거나, 유출되었을것으로의심되는개인정보처리시스템의접속권한삭제 변경또는폐쇄조치지원 네트워크, 방화벽등대 내외시스템보안점검및취약점조치지원 향후수사에필요한외부의접속기록등증거보존조치지원 정보주체에게유출관련사실을통지하기위한유출확인홈페이지제작등의통지방법마련지원 2) 사고원인분석및개선방안기술지원 ( 현장방문, 컨설팅 ) 유출발생또는유출의심시인력을파견, 해킹등원인분석지원 사고경로파악 ( 시스템분석, 접속로그분석등 ) 지원 주민등록번호삭제하는시스템구현방안지원 시스템구성문제점및네트워크이중화지원 암호프로그램변경지원 3) 추가유출및피해확산방지기술지원 해킹원인인악성코드분석및백신배포 개인정보보호협의회, 주요기업등과 Hot-line 구성하여해킹및유출사고정보공유 유관업체에대한비밀번호변경유도및사고사례전파 124

125