슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

규진 명
5 years ago
Views:

고객정보못지킨죄, 보안담당혼자져라? 한국일보, 2010. 3. 24. 해킹당하면무조건보안담당자책임? 보안뉴스, 2012. 10.

3 고객정보못지킨죄, 보안담당혼자져라? 한국일보, 해킹당하면무조건보안담당자책임? 보안뉴스, 보안업체에사고책임전가하는 OO, 면피할생각만! 데일리시큐, 출처 : 개인정보침해사고를막지못한자의형사책임, 전현욱, 형사정책연구, 제 25 권제 4 호 ( 통권제 100 호, 2014)

2010 년개인정보의암호화등기술적보호조치를이행하지않은인터넷중고자동차사이트와네비게이션업체의보안담당팀장과대표등에게처음실제로적용 2014.

4 2010 년개인정보의암호화등기술적보호조치를이행하지않은인터넷중고자동차사이트와네비게이션업체의보안담당팀장과대표등에게처음실제로적용 월검찰은개인정보유출 고의 가없었으며, 타통신사의개인정보보호조치수준과비교하여 KT 의조치수준이미흡했다고보기어렵다는이유로무혐의처분 ( 연합뉴스, ) 2008 년 6 월개정된정보통신망법 73 조 1 호에정보보호조치의무미이행자에대한구성요건의형태로처음도입 정보관리소홀드러나면 KT 경영진도형사처리방침 ( 경향신문, )

5 임직원의보안교육을담당하는개인정보보호및 보안담당자에게정작필요한교육은? 11% 보안정책수립등관리적 기법이중요 19% 43% 관련법률해석및적용 27% 네트워크 IT 전반에대한교육이필요악성코드분석등보안기술습득이중요 출처 : 개인정보보호 보안담당자들 그것이알고싶다, 보안뉴스 ( )

6 1. 회사는위기대응체계의즉각적가동 조직 ( 위기관리위원회 ) 프로세스 ( 상황발생, 상황분석, 상황통제및대응, 상황관찰및보고 ) 내부커뮤니케이션 Plan 2. 위기관리조직가동 법무, IT, 홍보, 정보전략등전사차원의비상 TF 팀의가동 필수인원으로제한 3. 초동대응및피해규모파악 위기유형및인지경위파악 초동대응상황파악 경위파악및증거수집 위기대응활동의증거역시수집필요

8 개인정보처리자가온 오프라인에서개인정보를처리함에있어서개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성을확보하기위하여취하여야하는세부적인기준 영세사업자, 공공기관등이개인정보보호를위해준수해야하는의무조치기준 ( 개인정보보호법의하위규정 ) 으로내부관리계획의수립 시행, 접근권한의관리, 접근통제등 10 개조항으로구성

9 정보통신서비스제공자등이정보통신망을이용한환경에서이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조 훼손등이되지아니하도록안전성을확보하기위하여취하여야하는기술적 관리적보호조치의구체적인기준

10 은행, 카드등전자금융거래환경에서금융감독원의검사를받는기관의정보기술부문안전성확보등을위하여필요한사항을규정

12 스마트폰접근권한에대한이용자동의권강화 스마트폰에대한접근권한필요시필수적권한과선택적권한을구분하여이용자의동의를받도록함 법률간유사용어조정 취급 을 처리 로, 누출 을 유출 로, 개인정보관리책임자 를 개인정보보호책임자 로변경하는등개인정보보호법과의용어를통일 개인정보처리위탁제개선 개인정보처리위탁시, 위탁자에게수탁자에대한교육의무부여 개인정보처리위탁을하는경우문서에의하도록하고, 수탁자는위탁자의동의를받은경우에한하여위탁받은업무를제 3 자에게재위탁가능 기업의임원에대한책임강화 ( 시행 ) 기업의개인정보보호책임자는법위반사항발견시개선조치후대표자에게보고 방통위는정보통신망법을위반한기업의임원에게징계권고가능

13 노출된개인정보삭제차단조치강화 정보통신망을통하여개인정보가노출된경우방통위또는 KISA 는해당정보의삭제차단을정보통신서비스제공자등에게요청가능 텔레마케팅시개인정보수집출처고지의무화 전화권유판매자가수신자에게개인정보의수집출처를고지해야만수신자의명시적인사전동의없이텔레마케팅을할수있도록함 사기성정보를받은이용자에대한통지조치근거마련 속이는행위로개인정보를수집하는등의위반행위가확인된경우정보통신서비스제공자로하여금다른사람을속이거나위해를줄수있는정보를받은이용자에게알리도록하는조치의근거를마련

14 개인정보국외이전유형구체화등 개인정보국외이전의유형을 제공 ( 조회되는경우를포함 ), 처리, 위탁, 보관 으로명시하고, 원칙적으로이용자의동의를받도록함 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서개인정보처리방침등에공개한경우에는처리위탁, 보관에따른동의불요 개인정보관련범죄에대한몰수 추징도입 개인정보관련범죄로인한이익을환수하기위해몰수하거나그가액을추징 징벌적손해배상제도입 ( 시행 ) 고의또는중과실로개인정보를유출한경우가중된책임을물어 피해액의 3 배까지배상액을중과

15 징벌적손해배상제도입 정보통신서비스제공자등의 중대과실로개인정보가 분실 도난 유출 위조 변조또는훼손된 경우로서이용자에게손해가발생한 때에는법원은그손해액의 3 배를넘지 아니하는범위에서손해배상액을정할 수있음 일부터개정 시행되는개인정보보호법에서도 개인정보유출에대한징벌적손해배상제도 가반영됨 피해자가손해액을입증하지않아도 300 만원까지는법원에서배상 을판결받을수있게됨 정의및목적 민사재판에서가해자에게징벌을가할 목적으로부과하는손해배상으로, 실제손해액을훨씬넘어선많은 액수를부과하는제도 손해액수준에서만처벌을가하면 예방적효과가충분치않다고판단할 경우에적용 가해자가똑같은불법행위를반복하지못하도록막는동시에다른기업또는단체가유사한부당행위를저지르지않도록예방하는데에목적이있음

16 정보의특성에따라암호화방식은양방향암호화와일방향암호화로구분되어다른암호화알고리즘을활용 그외의개인을고유하게식별할수있거나민감한개인정보암호화할수있음 인터넷구간, DMZ 구간에개인정보를저장하는경우에는분석과관계없이 DB 암호화를진행해야하며내부망일경우위험도분석결과에다라적용여부나범위를결정할수있으나내부망에 DB 암호화를적용할경우송 수신되는내부자및이용자의비밀번호또는바이오정보는반드시암호화 단순히내부망에저장된고유식별정보는암호화대상에서제외할수있으나이를송수신할경우에는내부자에의한개인정보유출에대비하기위해암호화적용필요

17 DB보안 ( 접근제어, 암호화 ) 모두해야하는근거조항은? 개인정보보호법의안전성확보조치기준고시에서는제4조,6조,8조에서는접근권한의관리와접근통제시스템의설치및운영, 접속기록의보관및위 변조방지에대한 DB접근제어 요구를하고있으며, 고시제7조개인정보의암호화에서는개인정보처리시스템 (DB등) 에개인정보가있을경우암호화하도록하는 DB암호화 에대한요구를하고있습니다.

18 I. TDE 방식 & 파일암호화방식 TDE방식이란 DBMS에내장또는옵션으로제공되는암호화기능을활용하는방식 암복호화위치는 DB서버이며 DBMS 종류및버전에따라지원이가능 해당 DBMS Kernel 레벨에서처리되므로응용프로그램에대한수정이없고인덱스의경우 DBMS 자체인덱스기능과연동이가능 TDE방식의경우국정원인증암호화알고리즘여부, 일방향암호화지원여부, 암호화권한제어가제공되지않을수있어이를체크해야함 파일암호화방식은 OS상의개체인파일을통째로암호화하는방식 DBMS 및 OS에대한의존도가높고 DB파일등을암호화하며, 암 복호화위치는 DB서버 이방식으로구성하면응용프로그램의수정이없고인덱스의경우 DBMS 자체인덱스기능과연동이가능하며모든 DBMS에적용이가능하나, 일부 OS 경우암호화적용여부확인필요

19 II. TDE(Transparent Data Encryption, 투명한데이터암호화 ) TDE를이용해데이터베이스수준의암호화를하게되면데이터베이스백업파일이나원본파일이외부로유출된다하더라도복원이나연결이차단되어정보유출문제를방지할수있음. 암호화및복호화함수를사용하는것이아니라데이터베이스엔진이암호화및복호화를자동으로수행해주기때문에응용프로그램이나관련쿼리를수정할필요가없음. 개인정보암호화조치안내서 ( , KISA) 를참고하면일반기업, 공공기관, 금융기관에대해 TDE 방식을사용한암호화가개인정보보호법에위반되지않다고안내하고있음. TDE 사용시데이터베이스엔진에의해자동으로암호화, 복호화됨. TDE 암호화는페이지수준에서수행되고메모리로읽어들일때암호가해독됨.

20 망분리대상및적용범위는아래와같이산업별근거법률에따라다름

일부회사의경우외부인터넷망에서접근이가능한업무망 PC 에서메일서버, 웹서버를비롯하여 DB

메일서버, 웹서버등에접근이필요한경우에는인터넷망 PC( 또는가상영역 ) 를이용하여접근할수있음

기술를선택하고있으나, VDI 의장점으로꼽히는중앙화된관리나스마트워크, 보안등의혜택은개인용 VDI

21 일부회사의경우외부인터넷망에서접근이가능한업무망 PC 에서메일서버, 웹서버를비롯하여 DB 서버등인터넷망으로접속가능하였음. 메일서버, 웹서버등에접근이필요한경우에는인터넷망 PC( 또는가상영역 ) 를이용하여접근할수있음 현재망분리사업을진행중인대부분의공공기관을비롯한기업들은망분리솔루션으로가상데스크톱 (VDI) 기술를선택하고있으나, VDI 의장점으로꼽히는중앙화된관리나스마트워크, 보안등의혜택은개인용 VDI 에는해당안됨 PC 기반논리적망분리개념도 ( 출처 : 정보통신서비스제공자등을위한외부인터넷망차단조치안내서 ( )) 개인용 VDI 전환을통한망분리개인용으로활용하는부분만을가상화하는것이라상대적으로비용이저렴 이같은 VDI 컨셉트는우리나라에만존재하는것으로 VDI 구축벤더들이만들어낸정책임 VDI, 망분리분야에적용보안성논란 `( ), 디지털타임즈

22 경영진의의무 보안사고의공개여부결정, 언론대응 침해사고의대외적응대, 법령상사후조치의무준수 개인정보유출통지의무등민형사상대응 보안실무자의의무 포렌식기법을활용한침해사고대응및초동조치 최초인지시팀장등신속보고체계구축 정보보호이슈탐지및조기대응 관련법률해석및적용 적극적방어체계구축 관련법령의개정안등지속적관심 정통망법및개인정보보호법의기술적안전조치 암호정책수립기준안내, 암호알고리즘및키길이이용안내서등 암호화정책, 망분리정책등법령기준의방어적준수가아닌업종에특화된실질적보안체계구축노력 경영진의정책수립의조력적지위가아닌선도적자구노력

23 본발표의 Extended Version 은 KISA 보호나라 &KrCERT 의 사이버위협동향보고서 (2016 년 3 분기 ) 의전문가기고를참고하시기바랍니다. 감사합니다

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2)

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2) DB 암호화상식백과 한권으로끝! DB 암호화구축담당자를위한 DB 암호화 상식백과 책속부록 DB 보안관련법정리본 DB암호화컨설팅책속문의부록이규호컨설턴트 DB 관련법 khlee@comtrue.com 정리본 02-396-7005(109) 박동현컨설턴트 dhpark@comtrue.com 02-396-7005(106) 컴트루테크놀로지서울시마포구성암로 330 DMC 첨단산업센터