<4D F736F F F696E74202D20352EB0B3C0CEC1A4BAB8C0C75FB1E2BCFAC0FB5F5FB0FCB8AEC0FB5FBAB8C8A3C1B6C4A15FB1B8C7F65FBBE7B7CA284E484E5F5

Size: px

Start display at page:

Download "<4D F736F F F696E74202D20352EB0B3C0CEC1A4BAB8C0C75FB1E2BCFAC0FB5F5FB0FCB8AEC0FB5FBAB8C8A3C1B6C4A15FB1B8C7F65FBBE7B7CA284E484E5F5"

찬환 시
5 years ago
Views:

1 개인정보의기술적, 관리적 보호조치구현사례 발표자 : 조태희 NHN c 2010 NHN CORPORATION

2 목차 1. NHN 개인정보보호개요 2. 개인정보의기술적, 관리적보호조치개요 3. 개인정보의기술적, 관리적보호조치구축사례

3 1. NHN 개인정보보호개요

4 1.1 회사소개 NHN 는국내제 1 위의 Portal Service 인 네이버 와 최고의게임포털 한게임 등을서비스하는 온라인기업입니다. 4 / PIMS - NHN

5 1.2 정보보호목표 안전하고신뢰할수있는 NHN 서비스를지향합니다. 고객개인정보의유출방지및안전한관리방안을수립 실행하고, 각종해킹, 어뷰징으로부터이용자와서비스를보호합니다. 안전하고신뢰할수있는 NHN 서비스 Security & Privacy Convergence Privacy 고객개인정보유출방지 Security 서비스안전성유지 보안정책 기획과보안기술서비스의두가지기능으로구성됩니다. 정책과기술의상호보완적기능성확보하고 보안업무의체계성과전문성추구합니다. 보안정책 기획 보안기술서비스 5 / PIMS - NHN

6 1.3 정보보호세부기능 정보보호정책수립, 교육및이행검토 보안시스템의통합관제및침해사고대응 정보보호컨설팅 인프라보안 Web, Game, Application 보안위협분석및대응 임직원 / 기업자산보호및위기대응 기업자산보호 보안정책 기획 보안기술서비스 보안분석 개인정보보호 보안개발 개인정보보호대책수립및실행 이용자 PC 보호를위한 Application 개발 6 / PIMS - NHN

7 1.4 정보보호방향성 서비스이용자의관점에서보안의방향성을잡고있습니다. 서비스를이용하는고객의보안인식강화및서비스이용환경 (PC등) 보호 서비스기반요소의보안을강화하여이용자에게편안한서비스를제공 개인정보노출, 악성코드삽입등과같은이용자에게위해가되는정보의노출방지 Response User Input / Request Service Infra. Processing Information 이용자보호서비스가용성정보무결성 데이터기밀성 7 / PIMS - NHN

8 1.5 NHN 정보보호관련외부점검활동 NHN 인증취득현황 정보보호인증 개인정보보호인증 ISO-27001( 국제 ) ISMS ( 국내 ) e-privacy PIMS 개요 ISO 국제표준규격정보보호관리체계점검 국내 IT 환경에적합, 정통망법기반 홈페이지의개인정보보호점검 개인정보관리영역개인정보보호법규기반 인증기관 BSI ( 영국표준협회 ) KISA ( 한국인터넷진흥원 ) KAIT ( 한국정보통신진흥협회 ) KISA 취득시기 2006 년 2010 년 2003 년 2011 년 인증범위 NHN 및관계사 NHN 및관계사 NHN NHN 및관계사 점검방법관리체계점검관리체계점검체크리스트점검법적요구사항충족 특징 인증기준심사를통해법적강제화보다는자율적인정보보호활동지원 법적요건을충족할경우에만인증취득 8 / PIMS - NHN

9 2. 개인정보의기술적, 관리적보호조치 개요

10 2.1 개인정보의기술적, 관리적보호조치개요 : 정보통신망이용촉진및정보보호등에관한법률제 28 조제 1 항근거 ( 방송통신위원회고시제 호, ) 구분 목적 개인정보의기술적ㆍ관리적보호조치기준 이용자개인정보를취급함에있어서개인정보가분실ㆍ도난ㆍ누출ㆍ변조ㆍ훼손등이되지아니하도록안전성을확보하기위함 관련근거 법제 28 조 ( 개인정보의보호조치 ) 법시행령제 15 조 ( 개인정보의보호조치 ) 이용자개인정보의안전한취급을위한내부관리계획의수립ㆍ시행의보호조치 이용자개인정보에대한불법적인접근을차단하기위한접근통제규칙, 침입차단시스템및침입탐지시스템의설치ㆍ운영등보호조치 주요내용 개인정보취급자의개인정보처리시스템에대한접속기록의위조ㆍ변조방지를위한보호조치 이용자의개인정보가안전하게저장ㆍ전송될수있도록보호조치 악성프로그램의침투여부를항시점검ㆍ치료할수있도록백신소프트웨어의설치ㆍ운영등보안조치 기타개인정보의안전성확보를위해필요한보호조치 정보통신서비스제공자 대상사업자 성격 강제여부 정보통신서비스제공자로부터개인정보를제공받은자 개인정보수집ㆍ취급등을위탁받은자 준용사업자 반드시준수해야하는최소한의기준 3천만원이하의과태료 ( 법제76조제1항제3호 ) 2년이하의징역또는 1천만원이하의벌금 ( 법제73조제1호 ) 10 / PIMS - NHN

11 2.2 개인정보의기술적 관리적보호조치 (1/2) 통제항목조항내용비고 내부관리계획의 제3조2 개인정보취급자교육시행 ( 연 2회 ) 수립및시행 접근통제 제4조1 개인정보관리책임자, 개인정보취급자지정 제 4 조 2 인사이동시개인정보취급권한변경 제 4 조 3 개인정보취급권한부여, 변경에대한기록보관 (5 년 ) 제 4 조 4 제 4 조 5 외부에서개인정보처리시스템접근시안전한인증수단적용 개인정보처리시스템에불법적접근, 침해사고방지를위한시스템설치 운영 제 4 조 6 비밀번호작성규칙수립 이행 ( 이용자대상 ) 제 4 조 7 비밀번호작성규칙수립 이행 ( 취급자대상 ) 제 4 조 8 개인정보유출방지를위한개인정보처리시스템 / 개인정보취급자 PC 내보안조치 11 / PIMS - NHN

12 2.2 개인정보의기술적 관리적보호조치 (2/2) 통제항목조항내용비고 접속기록의위 변조방지 개인정보의암호화 제5조1 제5조3 제6조1 제6조2 제6조3 제6조4 개인정보처리시스템접속기록검토 ( 월 1 회이상 /6 개월이상보관 ) 개인정보처리시스템접속기록의정기적백업 비밀번호, 바이오정보는일방향암호화 주민등록번호, 신용카드번호, 계좌번호암호화 개인정보, 인증정보송수신시보안서버구축등의조치를통한암호화 개인용 PC 에개인정보저장시암호화 악성프로그램방지출력 복사시보호 제 7 조백신, 보안패치를주기적으로점검 업데이트 ( 월 1 회 ) 제 8 조 1 제 8 조 2 개인정보출력 ( 인쇄, 화면, 파일등 ) 시출력항목최소화 개인정보출력 복사보호조치 개인정보표시제한 제 9 조 개인정보표시제한조치를취하는경우참고 12 / PIMS - NHN

13 2.3 개인정보정의및분류기준 기준 : 개인정보를취급하는사용자를추출하여개인정보취급자로분류개인정보취급자를최소화시킴으로써집중관리가능케해야함단일항목또는최소항목으로제3자식별가능한우선순위를책정함으로써관리가능케해야함개인정보를 Level 색상으로구분, 관리하여색상별보호조치를차별하여관리 Level 1 단독으로개인을식별할수있거나, 법령에서암호화대상으로지정된항목 - 주민등록번호, 계좌번호, 신용카드번호, 바이오정보등 Level 2 2 가지이상의정보가결합하여개인식별이가능한것으로인정되는항목 - 이름 + 신분정보, ID + 신분정보. ( 신분정보란? : 휴대전화, 주소등완전한개인식별정보 ) Level 3 개인의신상을파악하기어려우나, 1,2 Level 과조합될경우, Risk 가존재하는항목 - 직업, 최종학력, 졸업학교이름등 Level 4 개인정보로써가치가매우낮은정보 - 우편번호, 취미, 사용 OS, 통신환경등 13 / PIMS - NHN

14 2.4 개인정보흐름도 개인정보생명주기에맞게서비스별개인정보유통경로를수집부터파기까지흐름을파악하고관리가필요 수집저장이용파기 회원가입 회원탈퇴 홈페이지, 고객센터회원 DB 개인정보처리시스템개인정보취급자홈페이지, 고객센터 14 / PIMS - NHN

15 3. 개인정보의기술적, 관리적보호조치 구현사례

16 3.1 제 3 조내부관리계획의수립 / 시행 ( 교육 ) 개인정보취급자교육시행현황 2011년도상반기개인정보취급자교육 일정 : 2011.XX.OO ~ 2011.XX.OO 대상 : 00명 이수자 : 00명 / 미이수자 : 0명 ( 휴직 ) 온라인교육컨텐츠 (ABC 교육시스템 ) [ 상반기개인정보취급자교육현황 ] 이수자미이수자권한반납자 16 / PIMS - NHN

17 3.2 제 4 조접근통제 ( 개인정보처리시스템, 개인정보취급자정의 ) 개인정보분류기준을기반으로개인정보를취급하는시스템을정의하고시스템에접근가능한취급자를분류 개인 / 위치정보취급자 개인정보의수집, 활용, 보관및파기등의업무를수행하는회사의근무인력을의미한다 개인 / 위치정보처리시스템 개인정보를전자적으로처리하고있는모든 DB 및서비스관리시스템을포함하는사내시스템을의미한다 개인정보등급기준에따라일정레벨이상의개인 / 위치정보를 취급하는경우 개인 / 위치정보취급자, 개인 / 위치정보처리시스템으로분류함 17 / PIMS - NHN

18 3.3 제 4 조접근통제 ( 개인정보처리시스템분류방법 ) 1. 검수대상메뉴검토 2. 검토완료된메뉴는 완료 표시확인으로써검수종료 Level 1 Level 1 Level 2 Level 1 3. 신규및수정된메뉴를정기적으로검토하여등급분류 18 / PIMS - NHN

19 3.4 제 4 조접근통제 ( 접근권한변경, 말소 ) 적용대상 : NHN 을포함한관계사모두 적용시스템 : 개인정보취급시스템 퇴직 / 휴직자관리 - 권한관리도구, 인사 DB 가연동되어퇴직 / 휴직자권한삭제처리 업무변경자관리 - 업무변경자또는업무변경자의조직장이삭제처리이행 권한관리도구 권한삭제 Sync 인사 DB 퇴직자 / 휴직자 전배자관리 장기미사용자관리 - 매월 1 일인사발령에따라부서코드변경발생하는임직원대상 권한삭제또는연장 확인메일발송 - 30 일이상접속내역이존재하지않을경우권한갱신메일발송 19 / PIMS - NHN

20 3.5 제 4 조접근통제 ( 외부접속에안전한인증수단 ) 외부에서개인정보처리시스템접근시 2-Factor 인증을거친후접속이가능하도록함 외부에서개인정보처리시스템접속경우 SSL VPN 을이용하여아이디 / 비밀번호인증 (1 차 ) 와 인증서 / 휴대폰을통한 2 차인증후개인정보처리시스템에접근가능 20 / PIMS - NHN

21 3.6 제 4 조접근통제 ( 이용자의비밀번호작성규칙 ) 서비스내비밀번호작성규칙적용 비밀번호안전진단기준이존재하여, 취약한비밀번호를사용하지않도록사전에차단함 비밀번호작성기준 최소 6자리이상사용 (6 ~ 16자리 ) 영문자, 숫자, 특수문자조합하여사용 사용불가기준 아이디, 생일, 주민등록번호 공백, 연속된숫자, 동일한문자여러개 현재사용중인비밀번호재사용 21 / PIMS - NHN

22 3.7 제 4 조접근통제 ( 개인정보취급자의비밀번호작성규칙 ) 사내비밀번호작성규칙적용 사내비밀번호작성규칙 최소 8자이상영대 / 소문자, 숫자, 특수문자조합 최대 180일이내변경 연속비밀번호오류시로그인계정일시잠금 / 최근사용한비밀번호사용금지 주기적인이행점검 ( 최소분기별 1회이상 ) 22 / PIMS - NHN

23 3.8 제 4 조접근통제 (P2P, 공유설정등외부유출방지조치 ) 내부자료외부자료유출방지 P2P, 공유설정등의기능차단 P2P 사이트의주기적인검토를통해서사전차단 자료공유등방법가이드 비인가 SW 사용금지 23 / PIMS - NHN

24 3.9 제 5 조접속기록의위변조방지 ( 접속기록모니터링 ) Monitoring 항목 : 접근메뉴및 URL, 개인정보조회내역및 Download 내역, 비정상행위내역등 접속기록확인기준 (1) 접속자식별정보 ( 사번, 이름등 ) (2) 접속일시 (3) 접속IP (4) 클릭메뉴 ( 메뉴ID) (5) 메뉴수행을위한접속URL 대용량개인정보조회 심야 / 주말시간조회 원격접속조회등 24 / PIMS - NHN

25 3.10 제 5 조접속기록의위변조방지 ( 로그백업 ) 개인정보처리시스템접속기록및개인정보접근권한관리기록에대해별도의물리적인공간에백업함 백업정책수립및가이드배포 개인정보처리시스템에서로그가생성되면별도의물리적인장치에보관하도록가이드 백업방법 로그파일을암호화한후파일을백업 백업주기 가이드된주기에따라백업 백업장소 백업한파일은별도의물리적위치에저장 보관주기 최소 6개월이상접속기록을보존, 관리 25 / PIMS - NHN

26 3.11 제 6 조개인정보암호화 ( 일방향, 양방향암호화 ) 비밀번호, 바이오정보는복호화되지않도록일방향암호화하여저장 주민등록번호, 신용카드번호및계좌번호는양방향암호화하여저장 [ 출처 : 개인정보의기술적, 관리적보호조치해설서 ] 26 / PIMS - NHN

27 3.12 제 6 조개인정보암호화 ( 보안서버구축 ) 이용자의개인정보및인증정보를송 / 수신할때에는안전한보안서버구축 27 / PIMS - NHN

28 3.13 제 6 조개인정보암호화 ( 개인용 PC 저장시암호화 ) 개인정보취급자의업무용단말기는침해사고및악성코드감염등으로개인정보가유 / 노출되는것을 방지하기위하여암호화프로그램설치 개인정보모니터링시스템 개인정보가담긴 파일탐색기능 점검대상 점검내역조회 검색된파일의 암 / 복호화기능 PC, 노트북등에개인정보관련파일을탐색하여찾아내는기능 MS 오피스, 아래한글, PDF, 메모장등파일스캔 주민등록번호, 카드번호, 계좌번호등의패턴등록 조회된모든파일명과디렉토리까지확인이가능함 통계기능제공 공통키를활용한자동암호화 / 복호화 암호화하지않고불필요한파일은삭제할수있는기능 28 / PIMS - NHN

29 3.14 제 7 조악성프로그램방지 ( 백신소프트웨어, 패치시스템운영 ) 개인정보취급자의업무용단말기는침해사고및악성코드의피해를최소화하기위해백신, 패치관리, 문서보안과관련된필수보안프로그램을설치 백신 / 패치관리시스템 (PMS) 적용 백신점검 일별점검 : OO시일별점검수행 주별점검 : 매주특정요일 (OO:XX) 월별점검 : 매월 OO일월간점검수행 (OO:XX) 패치관리시스템 (PMS) 정책적용 정기 : 매주특정요일OO:XX 긴급패치적용시 29 / PIMS - NHN

30 3.15 제 8 조출력복사시보호조치 개인정보취급자가개인정보를출력으로인하여외부에정보가노출될수있는피해를최소화하기위해 PC 문서보안프로그램을설치 개인정보취급자 PC 문서보안프로그램적용 개인정보는출력을원칙적으로금지 개인정보처리시스템중다량의고객정보다운로드기능이포함된시스템에대해 DRM 적용 30 / PIMS - NHN

31 Q & A

Microsoft PowerPoint - Ppt [읽기 전용]

Microsoft PowerPoint - Ppt [읽기 전용] I. 개요 II. 개인정보의기술적 ᆞ 관리적보호조치기준 공공기관의개인정보보호에관한법률 공공기관의정보공개에관한법률 전자정부법 주민등록법, 호적법등 공공행정 교육 정보통신 우리나라개인정보보호법률체계 초중등교육법 교육정보시스템의운영등에관한규칙등 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 정보통신기반보호법 전기통신사업법등 금융 / 신용 의료 신용정보의이용및보호에관한법률