발표순서 q 개인정보보호개요 q 담당실무자의고민 q 개인정보보호방법론 / 컨설팅 q 대응방안 q 기대효과 q 결론 2

Size: px

Start display at page:

Download "발표순서 q 개인정보보호개요 q 담당실무자의고민 q 개인정보보호방법론 / 컨설팅 q 대응방안 q 기대효과 q 결론 2"

기웅 신
6 years ago
Views:

1 개인정보보호대응방안 (for 실무자 )

2 발표순서 q 개인정보보호개요 q 담당실무자의고민 q 개인정보보호방법론 / 컨설팅 q 대응방안 q 기대효과 q 결론 2

3 개인정보보호의필요성 개인정보보호개요 개인정보유출및각종범죄행위증가 개인정보취급자에의한대량의개인정보유출사례증가 피싱기법을이용한금융사기범죄가작년대비 10 배이상으로급증 개인정보유출피해자의소송제기로기업의금전적인손해발생 개인의정신적, 경제적피해는물론사회적혼란야기및정보사회자체에대한신뢰성붕괴 개인정보유출시인터넷상의모든활동이중단될수있으며막대한경제적피해발생가능 단한번의개인정보유출사건만으로도기업신뢰성및이미지에치명적인타격 개인정보유출시피해자들의소송제기로기업에금전적인손해발생사례다수발생 3

4 침해기술및해킹트랜드 개인정보보호개요 단순웜 바이러스유포 금전적이익 홈페이지침입및변조 인터넷인프라발달 해킹기술력향상 도덕성상실 개인정보 / 내부기밀탈취 단순실력과시 시스템운영방해 / 파기 (2007 년국가정보보호백서, 국정원 ) 4

5 침해기술및해킹트랜드 개인정보보호개요 옥션천만명회원정보해킹 옥션해킹신고 : 2008 년 2 월초, 현재수사중 유출회원 : 1,081 만명 ( 옥션발표기준 ) 유출정보 : 이름, 주민번호, 주소, 이메일, 전화번호, 휴대폰번호, 카드번호, 비밀번호등 소송 : 명의도용 _1 인당 70 만원, 정보유출 _1 인당 200 만원, 기타 1 인당 100 만원 GS 칼텍스천백만명고객정보유출 자회사직원이고객 1,100 여만명의개인정보를금전적인목적으로유출 정보유출관련피해자들의잇따른소송진행 기업이미지실추따른지속적인피해예상 5

6 침해기술및해킹트랜드 개인정보보호개요 홈페이지해킹 L 전자, 입사지원자개인정보유출 L 전자채용에떨어진범인의 앙심해킹 으로 3600 여명의이력서및자기소개서를해킹하여취업동호회에유출. ( ) 피싱사이트 K 사카드사칭메일주의보 K 사카드를사칭한메일에 K 은행과유사한피싱사이트로링크시켜개인정보를입력하게함. ( ) 홈페이지설정오류 K 항공, 회원주민등본인터넷노출 일부회원에게보낸이메일의첨부파일명에적힌숫자를바꾸니다른사람의주민등록등본확인. ( ) 관리상부주의 S 통신부산대리점, 고객정보무단방치 S 통신사부산대리점, 2 톤분량의고객정보서류를고물상에넘겼다가회수하는소동을벌여구설수 ( ) 6

7 개인정보보호유출시피해형태 개인정보보호개요 개인정보유출시피해형태 피해형태 개인정보의부적절한이용및제공 (CP, 위탁회사, 제휴회사등 ) 부정유료사이트가입 부정금전결제 / 부정대출 / 금융거래 카드부정발급 개인정보의관리위험 (DB, 서버, PC) 부정보증약정 Web Site 회원가입불가 부당요금청구 개인정보보호정책의불이행 본인인증을위한입증책임부담 심리적, 정신적피해 7

8 법 제도의변화 개인정보보호개요 사이버공간을법, 제도에편입 ü 대한민국은영공, 영해, 영토및사이버공간으로구성된다. ü 정보보호예산확층 사이버공간에대한예산할당 ü 재판관할권내의사이버공간에 Offline 에걸맞는제도반영 사이버공간의탁성을반영한제도연구 ü 익명성을담보할수있는제도 ü 기술의발전에따른새로운서비스는새로운법, 제도에의하여관리 ü 규제보다는경쟁을촉진, 경쟁은최고의규제수단임 ü Policy Life Cycle을통한제도의유연한변화 ü 사이버공간에대한직업정의, 직무정의 제 3 자의독립적조정 ü 힘의규형을유지한독립적인제 3 자의조정 8

9 관련법률체계 개인정보보호개요 공공기관의개인정보보호에관한법률 공공행정 공공기관의정보공개에관한법률 전자정부법 주민등록법, 호적법등 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 정보통신기반보호법 전기통신사업법등 정보통신 관련법. 제도 교육 교육기본법 초중등교육법 교육정보시스템의운영등에관한규칙등 금융 / 신용 신용정보의이용및보호에관한법률 금융실명거래및비밀보장에관한법률, 전자거래기본법 전자상거래등에서의소비자보호에관한법률 의료 보건의료기본법, 의료법 생명윤리및안전에관한법률 장기등이식에관한법률 응급의료에관한법률 9

10 Web 2.0 上에서의개인정보보호 issue 개인정보보호개요 ( 기존 ) 전기통신사업자, 인터넷사업자 ( 개정 ) 준용사업자추가 준용사업자 : 회원제를통하여개인정보를많이취급하는백화점, 할인점, 여행사 정보통신망법제 67 조 약 12 만개 (2008 년 5 월기준 ) 개인정보보호관련법륙적용확대 개인정보에대한해석확대 개인정보에대한사용동의, 활용의제한 ID가개인정보인가? 일본의경우이름을표현하는 - 개인정보정의 (2007년, kyungho.lee@mic.go.kr) CCTV화면에나타난안면인식 인터넷검색정보수집통한개인별식별 포괄적동의 vs. 인지적동의 대량개인정보활용시동의방안 개약이행을위하여불가필할경우의활욜 10

11 미래 U- 환경에서의보안 Issue 역시존재 개인정보보호개요 USIM 개요 기본형 USIM 콤비형 USIM 대용량 USIM 고성능 USIM 인증, 로밍, PIMS(SMS, Phonebook) 멤버쉽, 교통, 신용, 증권 SCWS(Smart Card Web Server), DRM 공인인증서, VPN 플랫폼, 브라우져, MMS USIM 서비스분야 Mobile Ticketing RFID/Tag Read 교통서비스 Mobile Access ID 정보검색 휴대폰결제 USIM 폰 / 카드 게임, 음악, 캐릭터교환 11

12 정보보호담당실무자의고민 담당실무자의고민 개인정보가기타사례없이도사업을할수는없을까? ü 인터넷서비스의익명성강화 ü 개인정보의제 3 자위탁관리 ( 결제시에만이용 ) ü 분쟁발생시신속한처리가능한분쟁조정기관의톡립및전문화 해외기타 Global 사례기업과의경쟁에서의형평성 ü Global Standard 에준비하는정책의균형 ü 경쟁과독점의밸런스를유지한정책 ü 정책이행에따른시장상황을실시간으로반영할수있는법, 제도의유연성 사고기타발생사례시최선을다한사업자에대한책임경감방안 ü 현행법률준수시사업제의책임을명확히구분 ü 사업인가시허가제또는인증제도입 12

13 개인정보의라이프사이클 담당실무자의고민 동의없는개인정보수집시고지사항불이행 조직내부취급자에의한개인정보의유출, 훼손, 변경등 동의없는개인정보의무단제공및공유 수집및목적달성후개인정보의미파기 동의및고지없는개인정보주체외로부터의수집 외부인의불법적접근에의한개인정보유출및훼손, 변경 당초수집시에고지한이용목적을넘어서는개인정보의이용 개인정보삭제요구불응 법정대리인의동의없는개인정보의수집 사업자의인식부족, 과실등으로인한개인정보의공개 타인의개인정보를무단으로이용하는경우 서비스이용과관련없는과도한개인정보의수집 기술적, 관리적조치미비로인한개인정보의유출 해킹등불법수단에의한개인정보의수집 고객의개인정보 claim 에대한불응또는미조치 기망에의한개인정보의수집 13

경영진의실천의지 정책 / 절차 / 지침수립 전담조직 ( 책임과역할 ) 임직원교육훈련 영업비밀파악 / 평가 통제활동 ( 설계 / 운영 )

14 개인정보보호 - 기업대응전략 담당실무자의고민 개인정보유출에대한기업의대응전략 영업비밀관리체계수립 기업은법적으로실효성이있는영업비밀관리체계 Best Practice 를구축해야함 영업비밀관리체계 Best Practice 경영진의실천의지 영업비밀관리정책 / 절차 / 지침 구조적요소 경영진의실천의지 정책 / 절차 / 지침수립 전담조직 ( 책임과역할 ) 임직원교육훈련 영업비밀파악 / 평가 통제활동 ( 설계 / 운영 ) 제보및보고시스템 모니터링활동 운영적요소 전담조직 ( 책임과역할 ) 임직원에대한교육훈련 영업비밀유형파악 통제활동 ( 설계 / 운영 ) 제보및보고시스템 모니터링활동 14

15 개인정보보호컨설팅의필요성 개인정보보호방법론 / 컨설팅 어플리케이션정밀진단 개인정보영향평가 개인정보유출경로분석 개인정보영향평가 마스터플랜수립 개인정보침해요인 기술적 관리적 체계적 불법적인해킹을통한개인정보의유출위험존재 개인정보를보유한서버및 DB 에대한접근통제확인필요 유 / 무선네트워크망을통한개인정보노출경로파악 PC 및단말기로부터의개인정보관리상태분석필요 관리소홀로인한개인정보유출위험존재 협력사및직원에대한개인정보인식분석필요 정책및지침수립, 개인정보보호에대한가이드라인확립필요 종합적개인정보보호체계수립필요 개인정보보호를프로세스체계구축필요 개인정보유출경로에대한위험관리체계구축필요 15

개인정보보호컨설팅목적 개인정보보호방법론 / 컨설팅 개인정보영향평가 어플리케이션정밀진단

개인정보보유최소화방안수립 업무시스템을통한개인정보수집, 가공, 저장, 폐기여부점검 관리

16 개인정보보호컨설팅목적 개인정보보호방법론 / 컨설팅 개인정보영향평가 어플리케이션정밀진단 고객 DB 분석 개인정보보호컨설팅 개인정보유출경로분석 마스터플랜수립 개인정보영향평가 어플리케이션정밀진단 고객 DB 분석 개인정보유출경로분석 마스터플랜수립 개인정보취급현황및관리체계를분석 / 평가 최적화된관리방안을수립 기술적보안취약성을분석 서버, WEB, DB, PC 진단 보안취약성을최소화할수있는대응방안제시 개인정보를보유하고있는 DB(Table) 현황을조사 불필요한개인정보보유여부분석 개인정보보유최소화방안수립 업무시스템을통한개인정보수집, 가공, 저장, 폐기여부점검 관리 / 물리 / 기술적관점에서개인정보유출가능성분석 현재서비스의개인정보보호문제점에대해중장기개선과제를수립 최신이슈에대한지속적인대응전략수립 16

17 개인정보보호컨설팅수행범위 개인정보보호방법론 / 컨설팅 구분 개인정보보호영향평가 어플리케이션정밀진단 고객 DB 분석 개인정보 유출경로분석 대상 개인정보를포함하는모든자산 - 개인정보관련정책및법규 - 개인정보를다량보유 관리하는정보시스템 - 개인정보를취급하는인력 개인정보를포함하고, 처리하고있는어플리케이션 - 서버 - 웹어플리케이션 - 데이터베이스 - 소스코드 - PC - 무선환경 고객정보를보유하고있는데이터베이스 개인정보보호영향평가결과 어플리케이션정밀진단결과 고객 DB 분석결과 - 개인정보관련정책, 법규및사업내용검토 - 정보흐름분석 - 개인정보침해요인분석및위험평가 - 개선계획수립및위험관리 - 서버진단 -WEB 진단 -DB 보안진단 - 모의해킹 - 소스코드 -PC 진단 - 무선진단 - 고객 DB 분석 내역 - 관리적 / 기술적 / 물리적개인정보유출경로분석 개인정보보호마스터플랜수립 개인정보를취급하는관리적, 물리적, 기술적, 인적자산 개인정보보안정밀진단 / 유출경로분석 / 영향평가결과 위험평가결과 - 관리적 / 물리적개인정보보호대책수립 - 기술적개인정보보호대책수립 - 이행계획수립및이행로드맵정의 개인정보보호 보안관리 개인정보와관련된모든인력 최고의사결정권자 - 개인정보보호보안교육 - 이행정검 - 개인정보보호기술자문 17

개인정보보호컨설팅개요 개인정보보호방법론 / 컨설팅 개인정보현황분석 어플리케이션정밀진단 고객 DB 분석 개인정보유출경로분석 개인정보위험평가 수행내역 개인정보보호표준보안통제항목 ( 국내외각종법령, 지침, 표준문서, 개인정보영향평가기준점검표포함 ) 을통한고객의개인정보지침, 정책, 현황등을분석 개인정보를수집, 이용하는정보시스템및 APP

18 개인정보보호컨설팅개요 개인정보보호방법론 / 컨설팅 개인정보현황분석 어플리케이션정밀진단 고객 DB 분석 개인정보유출경로분석 개인정보위험평가 수행내역 개인정보보호표준보안통제항목 ( 국내외각종법령, 지침, 표준문서, 개인정보영향평가기준점검표포함 ) 을통한고객의개인정보지침, 정책, 현황등을분석 개인정보를수집, 이용하는정보시스템및 APP 등의운영현황및물리적보안현황분석 개인정보자산조사 개인정보흐름분석 개인정보보호수준분석 개인정보가포함된 Application 탑재서버진단 개인정보저장및관리되는 DB 진단 웹어플리케이션진단 소스코드분석 개인정보관련시나리오점검을통한모의해킹 개인정보를취급하는사용자 PC 점검 개인정보관련무선환경점검 고객정보저장및관리에대한분석 - 고객 DB 보유현황조사및삭제 - 고객 DB 관련실태조사 - 복사또는추출프로그램조사및삭제 - 방치된고객정보및 DB file 조사및삭제 기술적분석 - 정밀진단, 고객 DB 분석, PC 진단결과등개인정보유출가능성을분석 관리적분석 - 인식제고및기준수립, 정보자산관리등개인정보유출가능성을분석 물리적분석 - 인원출입통제, 인쇄물통제등개인정보유출가능성을분석 개인정보위험평가 - 개인정보자산식별 - 개인정보자산그룹핑 - 개인정보자산민감도평가 - 위협 / 취약성도출 - 위험평가 개선계획및위험관리 - 위험도산정 - 보호대책선정 산출물 개인정보현황분석보고서 개인정보보안진단보고서 고객 DB 분석보고서 개인정보유출경로분석보고서 위험평가분석보고서 18

19 개인정보보호방법론 개인정보보호방법론 / 컨설팅 고객사의개인정보보호수준을분석하고개인정보의유출가능성을점검하여개인정보 관리체계수립 개인정보요건분석 개인정보수준분석 개인정보유출경로분석 개인정보관리체계수립 개인정보관련개인정보관련요구사항분석요구사항분석 개인정보개인정보취급업무파악취급업무파악 개인정보흐름파악개인정보흐름파악 개인정보보호개인정보보호관리전략수립관리전략수립 개인정보개인정보취급인프라파악취급인프라파악 시나리오기반의시나리오기반의침해요인점검침해요인점검 개인정보보호개인정보보호정책 / 지침제 개정정책 / 지침개정 개인정보보호개인정보보호수준측정수준측정 19

20 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보현황분석 개인정보보호현황분석방안 개인정보보호현황진단 개인정보흐름분석 개인정보보호수준측정 취급하는개인정보및개인정보자산확인 개인정보가활용도표화 개인정보보호수준종합적도식화 보안영역별개인정보보호수준파악 개인정보보호표준보안통제항목수립 개인정보보호관리현황진단 개인정보보호표준보안통제항목 SAMPLE 개인정보표준보안통제항목을통한개인정보현황분석 수행방법 개인정보보호표준보안통제항목을기반으로개인정보취급문서, 개인정보취급정보시스템에대한운영, 물리적환경검토 개인정보보호담당자들에대한인터뷰및설문수행 개인정보흐름의도표화 개인정보보호현황에대한정량적분석 20

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 어플리케이션정밀진단 유선 모의해킹 웹진단 서버진단 DB 진단 PC/ 단말기진단 모의해킹 : 주요서비스에대하여침해가능성이존재하는시나리오를바탕으로웹을통한콘텐츠정보획득, 인증및주요정보에대한권한획득등을이용하여고객정보유출가능유무점검 웹진단 : 웹페이지상에서노출될수있는고객정보취약점에대하여점검 서버진단 :

21 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 어플리케이션정밀진단 유선 모의해킹 웹진단 서버진단 DB 진단 PC/ 단말기진단 모의해킹 : 주요서비스에대하여침해가능성이존재하는시나리오를바탕으로웹을통한콘텐츠정보획득, 인증및주요정보에대한권한획득등을이용하여고객정보유출가능유무점검 웹진단 : 웹페이지상에서노출될수있는고객정보취약점에대하여점검 서버진단 : 시스템을통한고객정보유출가능유무점검 소스진단 : 고객정보를포함하는주요어플리케이션소스를분석하여, 현재취약점및향후발생가능한위협을점검 무선진단 : 무선망에서고객정보유출가능유무점검 소스진단 무선 무선진단 DB 진단 : 고객정보를저장하는데이터베이스에대한계정및접근통제, 환경설정등 DB 취약점에대하여진단 PC/ 단말기진단 : 고객정보를다루는 PC 및단말기를통한고객정보유출가능성을점검 21

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 고객 DB 분석 분석대상 분석내역 DB 관리현황 고객 DB Table 백업 / 로그파일 고객정보복사및추출현황 고객정보관리현황을파악 - 고객정보관리시스템보유현황점검 - 고객정보를보유하고있는데이터베이스현황점검 고객정보가포함된 DB 의개인정보현황점검 - 고객정보 ( 주민등록번호등 ) 보유현황 -

22 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 고객 DB 분석 분석대상 분석내역 DB 관리현황 고객 DB Table 백업 / 로그파일 고객정보복사및추출현황 고객정보관리현황을파악 - 고객정보관리시스템보유현황점검 - 고객정보를보유하고있는데이터베이스현황점검 고객정보가포함된 DB 의개인정보현황점검 - 고객정보 ( 주민등록번호등 ) 보유현황 - 고객정보암호화현황점검 - 고객정보가포함된임시 / 중복테이블관리현황점검 - 취약한패스워드를가진 DB 의고객정보현황점검 고객정보 DB 의백업 / 로그데이터관리현황점검 - 고객정보가포함된백업데이터점검 - 고객정보가포함된로그데이터점검 고객 DB 로부터고객정보를복사 / 추출현황점검 - 메인고객 DB 로부터고객정보를복사하여보존유무점검 - 고객 DB 추출프로그램에서의저장여부점검 비밀번호카드번호백업주민번호복사로그추출 고객정보 : 주민등록번호, 이름, 사용자계정, 패스워드, 전화번호, 주소, , 카드번호, 계좌번호 22

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보유출경로분석 정밀진단영역 고객 DB 분석내역 PC 진단내역 ( 단말기 ) 기술적 웹페이지노출 소스노출 복사및다운로드 화면덤프 백업파일 FTP/Telnet 고객DB 관리현황 고객DB 테이블 고객정보복사및추출현황 백업 / 로그파일 보안프로그램우회 - DRM

23 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보유출경로분석 정밀진단영역 고객 DB 분석내역 PC 진단내역 ( 단말기 ) 기술적 웹페이지노출 소스노출 복사및다운로드 화면덤프 백업파일 FTP/Telnet 고객DB 관리현황 고객DB 테이블 고객정보복사및추출현황 백업 / 로그파일 보안프로그램우회 - DRM 네트워크를통한우회 - p2p - messenger - remote connection - 이동형저장장치연결 - USB 모바일장치 - PDA - 핸드폰 관리적 인식제고및기준수립, 외주 / 협력업체관리, 정보자산관리, 침해사고대응 물리적 인원출입통제, 인쇄물통제, 시건장치, FAX 전송통제 외부자정보유출 내부자정보유출 23

24 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보흐름파악 개인정보흐름표 관계법률의수집근거확인 정보주체동의확인 개인정보수집사실안내 수집 업무별개인정보흐름도 개인정보파일의보유 개인정보파일대장관리 개인정보파일열람조치 사전협의 / 심의수행 Sample 분류 / 분석 폐기 보유 도식화 Sample 개인정보파기및파일삭제 개인정보파일파기사실기록관리 개인정보파일파기사실안내 이용 / 제공 보유목적의이용 제공 문서에의한이용 제공요청 이용 제공대장관리 이용 제공사실안내 24

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보위험평가 개인정보보호위험평가방안

이상인위험에대한보호대책선정 개인정보현황분석 고객 DB 분석 어플리케이션정밀진단 개인정보유출경로분석

25 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보위험평가 개인정보보호위험평가방안 개인정보자산민감도평가 1 단계 자산의가치평가자산그룹핑분류 위협 / 취약성분석 2 단계 위협및취약성평가자산별위협, 취약성매핑 위험도산정 3 단계 자산, 위협, 취약성등급을기반으로자산의위험관리지수 (DoA) 산정 보호대책선정 4 단계 위험허용기준치 (DoA) 이상인위험에대한보호대책선정 개인정보현황분석 고객 DB 분석 어플리케이션정밀진단 개인정보유출경로분석 위협, 취약성평가지표로활용 수행방법 위험평가를통한취약한영역분석취약한영역보완을위한보호대책제시비용및기타요인대비효과를분석한보호대책선정보호대책을선정하여마스터플랜수립에활용 25

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 마스터플랜수립 마스터플랜수립방안 관리,

1단계보호대책수립결과이행과제목록작성위험평가결과도출된및우선순위평가보호대책에대한구현

ROAD MAP 정의 4 단계 마스터플랜이행에따른개인정보보호관리체계이미지제시

물리적보호대책 기술적보호대책 수행방법 도출된보호대책에대한이행과제목록작성및우선순위평가 (

26 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 마스터플랜수립 마스터플랜수립방안 관리, 물리기술보호대책구현 이행과제목록작성, 우선순위평가 2 단계 1단계보호대책수립결과이행과제목록작성위험평가결과도출된및우선순위평가보호대책에대한구현 이행과제일정, 비용산정 3 단계 이행과제별추진주체, 세부일정, 소요비용고려사항등정의 이행 ROAD MAP 정의 4 단계 마스터플랜이행에따른개인정보보호관리체계이미지제시 위험평가를통한보호대책선정 Sample 개인정보보호측면에서보호대책구현 관리적보호대책 물리적보호대책 기술적보호대책 수행방법 도출된보호대책에대한이행과제목록작성및우선순위평가 ( 단기, 중기, 장기 ) 이행과제수행에대한세부일정계획수립및고려사항분석 이행과제수행에대한소요비용및고려사항분석 최근기술동향및개인정보보호환경을반영한이행 ROAD MAP 정의 26

27 개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 마스터플랜수립 / 세부수행내역 관리 / 물리 / 기술적보호대책구현 위험평가단계에서도출된보호대책을기반으로관리적보안, 물리적보안, 기술적보안측면의개인정보보호대책구현 관리적보안대책구현 물리적보안대책구현 기술적보안대책구현 이행과제일정, 비용산정 이행과제별추진주체, 세부일정, 소요비용, 고려사항등에대한정의 이행과제별소요비용산정 - 투입인력, 솔루션, 관리비용등포함 - 분기 / 년간계획별예산산정 - 개인정보보호조직체계강화 - 개인정보보호정책, 지침, 개선 - 개인정보보호교육체계강화 - 개인정보침해사고대응방안수립 - 출입통제강화 - 시설 / 환경보안 - 장비보안관리강화 - 반출입통제강화 - 문서 (Paper) 보안관리강화 - 서버, 네트워크,DB 보안강화 - 어플리케이션보안강화 -PC 보안강화 - 개인정보유출경로에대한보안강화 SAMPLE 이행과제목록작성, 우선순위평가 개인정보보호대책에대한추진이행과제목록작성 이행 ROAD MAP 정의 향후수행해야할개인정보보호활동들의 Roadmap 이미지제시 SAMPLE SAMPLE 정보보호이행과제 SAMPLE 27

28 개인정보유출대응방안 대응방안 최근의내부자의정보유출에대응하는방안으로 DRM < 문서보안 >, IAM < 계정관리 >, Forensic < 디지털증거수집 > 등의솔루션중심으로발전되고있다. 내부환경 전자정보의접근통제 전산실 내부네트워크 ( 서버, DB) 해킹, 내부사용자 공유폴더, 바이러스감염 사무실 문서및출력물 PC 네트워크를통한해킹공격 외부환경 외부네트워크 ( 인터넷 ) PC보안솔루션 DRM < 문서보안 > 이동식저장매체제어 SSO < 사용자인증 > EAM < 접근통제 > 저장매체 저장매체 IAM < 계정관리 > 노트북 DB 보안솔루션 시스템실 사무실 디지털포렌식 물리적접근통제 / 반출입통제 정보자산관리 외주 / 협력업체관리 진단 / 감사 침해사고대응 28

29 개인정보유출대응을위한소요비용항목 대응방안 개인정보보호체계를위한필요소요비용항목 구분 개인정보보호컨설팅 PC보안솔루션 DRM 이동식저장매체제어 SSO EAM IAM DB보안디지털포렌식데이터삭제방화벽, Web 방화벽 IPS 메일방역백신관리 NAC 로그관리 내역 3-4개월, 컨설턴트 3~4명투입 PC 내개인정보관리통제문서보안, 출력물보안등 USB, 외장형하드등사용자인증관리서버및네트워크접근제어사용자및시스템계정관리접근통제및암호화모든보안관련로그관리데이터삭제통제통제용 Desk-Top PC 필요동일유형의해킹패턴인식및제어메일접근통제서버및 PC용백신 Network 접근통제향후포렌식등대응 비고 컨설팅결과에따라필요한솔루션구현바람직 소요수량산정은컨설팅및현황조사에따라변동 솔루션우선적구축은아무런효과를기대할수없음 29

CCTV, 생체, 지문, 의료정보등대상확대예상 개인정보 Life Cycle

30 개인정보유출대응방향 대응방안 사전개인정보보호조치후마케팅으로전환 업무편의성및마케팅우선정책개인정보보호사후처리 수익이손해배상비용으로지출 주민번호관리위주에서 Guaranteed Privacy 조치후마케팅실시 소비자의민사소송 (Civil Action) 을기업리스크관리의핵심요소로인식 CCTV, 생체, 지문, 의료정보등대상확대예상 개인정보 Life Cycle 을고려한보호관리체계강화 생성전송보관폐기 주민번호미수집주민번호대체수단 (i-pin) 암호화적용 개인정보노출방지장치 폐기확인및재사용금지 30

개인정보보호표준통제항목표 ( 국내외개인정보보호지침, 법령, 보안표준등포함 )

31 기대효과 개인정보보호컨설팅 개인정보보호관리체계수립 개인정보보호법령및지침준수 개인정보유출경로차단 개인정보보호관리체계수립을통한대외신뢰성향상 개인정보수집및이용하는정보시스템의보안진단을통하여정보시스템의취약점제거및보안성강화 개인정보보호표준통제항목표 ( 국내외개인정보보호지침, 법령, 보안표준등포함 ) 를이용한개인정보보호업무의준거성평가결과를정보보호정책및지침수립, 정보보호마스터플랜등에반영하여관련법률및기준의요규사항에부합한개인정보보호관리체계수립 개인정보흐름에따른개인정보유출분석을통해체계적인개인정보관리 31

32 결론 개인정보보호핵심영역을파악하고효율적인대응을위해정보보호솔루션구축및위험을관리하여비용대비효과를극대화한다. 기업정보보호핵심영역 사용자계정관리 문서보호 외부로데이터전송차단 기업핵심기술보호 보안솔루션의단순화 / 표준화 효율적인정보보호솔루션도입 침해사고대응 상시적인사내보안체계 디지털증거확보 지적재산관리 기업의위험관리 핵심영역보호를위한국 / 내외선진사례 통합사용자관리 (IAM) 시스템구축 산업기밀정보보호시스템구축 IT 컴플라이언스관리시스템구축 디지털포렌식시스템구축 위험관리시스템구축 기업정보보호강화 개인및기업정보유출방지 정보보호솔루션투자, 활용 위험관리및대응체계 32

Microsoft PowerPoint - 6.pptx

Microsoft PowerPoint - 6.pptx DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향