슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

양호 석
4 years ago
Views:

3 모든유출사고가같은비중을차지하는것은아니지만암호화등올바른보안기술이적재적소에배치되어중요하고민감한데이터를보호해준다면 사고가발생한다해도개인정보유출을막을수있을것 원인별유형별산업별 58% 53% 43% * 출처 : Findings from the 2015 BREACH LEVEL INDEX Gemalto

5 * 출처 : 2015 년개인정보보호실태조사 ( 행자부, 보호위 )

6 * 출처 : 2015 년개인정보보호실태조사 ( 행자부, 보호위 )

7 * 출처 : 2015 년개인정보보호실태조사 ( 행자부, 보호위 )

8 주민번호암호화보관의무시행대응 안정성확보조치강화대응 공공기관관리수준진단대응 개정된고시의무조치대응

9 금융 주민번호암호화조치미이행시 3 천만원이하의과태료부과 공공 보건의료? 업무용 PC 에서 Hwp, Excel 파일등으로저장된주민등록번호는? 현재도암호화하고있어야함 외부망, 인터넷구간, DMZ 에저장된주민등록번호는? 현재도암호화하고있어야함

10 민감정보가분실 유출, 훼손되지않도록안정성확보조치를하도록함 고유식별정보에대한암호화등안정성확보조치수행여부를정기적으로조사

11 개인정보책임자의역할수행, 개인정보파일관리등은양호 개인정보영향평가수행, 안전한이용및관리등은개선필요 분야 (3) 진단지표 (12) 중앙 광역 기초 공기업 산하 평균 개인정보보호기반마련 ( 전담조직, 인력, 예산 ) 관리체계 구축및운영 위탁업무에따른개인정보보호활동 개인정보보호교육추진 개인정보보호책임자의역할수행 개인정보이용절차운영 보호대책 수립및시행 개인정보파일관리 개인정보영향평가수행 영상정보처리기기설치및운영 개인정보노출방지및자율개선 침해대책 수립및이행 개인정보침해사고대응절차수립 개인정보처리시스템의안전한이용및관리 주민등록번호의처리제한

12 ( 대상 ) 총 750개기관 ( 평가반영 : 427개, 시범진단 : 323개 ) 기관유형중앙부처광역자치단체기초자치단체지방공기업산하기관 기관수 45개 17개 226개 139개 323개 결과반영 정부업무평가 지자체평가 지자체평가 지방공기업평가 추진일정 일정 추진내용 4월중 관리수준진단계획 ( 안 ) 대상기관의견수렴 4월말 관리수준진단계획통보및설명회개최 7월 기관별실적등록 (intra.privacy.go.kr 온라인등록 ) 8월 ~9월 진단수행 10월 ~11월 진단결과통보및조정 12월 최종진단결과통보및개선조치수행

13 변별력이낮은지표삭제 ( 개인정보처리방침수립 공개등 ) 정책방향을반영한지표신설 ( 개인정보수집의최소화및동의절차이행등 ) 분야 12개지표 (24개항목 ) 1. 개인정보보호기반마련관리체계구축및운영 2. 업무위탁에따른개인정보보호활동 (30점) 3. 개인정보보호교육추진 4. 개인정보보호책임자의역할수행 5. 개인정보수집보호대책수립및이행 6. 개인정보목적외이용 제3자제공절차운영 (30점) 7. 개인정보영향평가수행 8. 영상정보처리기기설치및운영 9. 개인정보유 노출방지및자율개선침해대책수립및이행 10. 개인정보침해대응절차서수립 (40점) 11. 개인정보처리시스템의안전한이용및관리 12. 주민등록번호의처리제한

14 사람, 홈페이지에의한개인정보유출사고대응강화수탁자관리 감독및 USB 등보조저장매체반출 입통제홈페이지취약점점검 ( 연 1회이상 ) 및접속기록점검 ( 반기 1회이상 ) 개인정보취급자별로사용자계정을발급및공유금지성명, 주민등록번호로본인확인시추가적인정보확인 신규보안위협대응조치강화 신규악성코드대응을위한보안프로그램업데이트 ( 일 1 회이상 최신상태 ) 모바일기기이용확대에따른보호조치강화 공개된무선망사용시모바일기기등의보호조치 스마트폰, 태블릿 PC 등모바일기기분실 도난시개인정보유출방지조치 적용이어려운불합리한제도개선 매체 ( 디스크 ) 재사용, 일부파기가가능한개인정보파기방법제시

15 개인정보처리수탁자의관리 감독계획수립 운영 ( 제 3 조 1 항 5 호 ) < 용역기관 > 개인정보취급자별계정발급 ( 제 4 조 4 항 ) <A 업무계정 > <A 업무 > <1 계정 > <A 업무 > <B 업무 > <B 업무계정 > <B 업무 >

16 주민번호로본인확인시추가정보확인 ( 제 5 조 3 항 ) [ 주민번호본인확인 ] [ 아이핀 ] [ 휴대폰 ] [ 공인인증서 ]

17 공개된무선망사용시개인정보유출방지조치 ( 제 5 조 4 항 ) < 홈페이지 > <P2P> < 공유설정 > < 홈페이지 > <P2P> < 공유설정 > < 공개된무선망 > 홈페이지에서고유식별정보처리시연 1 회취약점점검 ( 제 5 조 5 항 )

18 업무용모바일기기분실 도난시개인정보유출방지조치 ( 제 5 조 7 항 ) 접속기록등을반기별로 1 회이상점검 ( 제 7 조 2 항 )

19 보안프로그램을최신의상태로유지 ( 제 8 조 1 호 ) 개인정보가포함된보조저장매체의반출 입통제 ( 제 9 조 3 항 )

20 개인정보파기시, 삭제후복구 재생되지않도록관리 ( 제 10 조 ) 전부파기 [ 파쇄, 소각, 소거, 초기화, 덮어쓰기 ] 일부파기 [ 천공, 마스킹 ] 일부파기 [ 삭제후, 관리및감독 ]

21 접속기록해설명확화

제 29 조 ( 안전조치의무 ) 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록 내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한 기술적 관리적및물리적조치를하여야한다. 제30조 ( 개인정보의안전성확보조치 ) 1 개인정보처리자는법제29조에따라다음각호의안전성확보조치를하여야한다. 1. 개인정보의안전한처리를위한내부관리계획의수립 시행 2.

22 제 29 조 ( 안전조치의무 ) 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록 내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한 기술적 관리적및물리적조치를하여야한다. 제30조 ( 개인정보의안전성확보조치 ) 1 개인정보처리자는법제29조에따라다음각호의안전성확보조치를하여야한다. 1. 개인정보의안전한처리를위한내부관리계획의수립 시행 2. 개인정보에대한접근통제및접근권한의제한조치 3. 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4. 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5. 개인정보에대한보안프로그램의설치및갱신 6. 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 3 제1항에따른안전성확보조치에관한세부기준은행정자치부장관이정하여고시한다. 개인정보의안전성확보조치기준 ( 행정자치부고시제 호 )

구분 주요내용 ( 제 3 조 ) 내부관리계획수립 시행 보호책임자지정및역할과책임, 취급자교육, 수탁자관리 감독등 ( 제 4 조 ) 접근권한관리 업무수행에필요한최소한의범위로차등부여, 취급자별계정발급 접근권한부여기록은최소 3 년간보관 ( 제 5 조 ) 접근통제 방화벽등접근통제시스템설치 운영, 공개된무선망이용시보호조치 고유식별정보수집홈페이지취약점점검 1 회 /

23 구분 주요내용 ( 제 3 조 ) 내부관리계획수립 시행 보호책임자지정및역할과책임, 취급자교육, 수탁자관리 감독등 ( 제 4 조 ) 접근권한관리 업무수행에필요한최소한의범위로차등부여, 취급자별계정발급 접근권한부여기록은최소 3 년간보관 ( 제 5 조 ) 접근통제 방화벽등접근통제시스템설치 운영, 공개된무선망이용시보호조치 고유식별정보수집홈페이지취약점점검 1 회 / 년이상, 모바일기기 보호조치, 외부에서접속시 VPN 등안전한접속수단사용 ( 제 6 조 ) 암호화 암호화대상 : 고유식별정보, 비밀번호, 바이오정보 암호화기준 - ( 전송시 ) 정보통신망송수신등의경우암호화 - ( 저장시 ) 1 비밀번호및바이오정보암호화 ( 비밀번호일방향암호화 ) 2 고유식별정보는인터넷구간, DMZ 구간저장시암호화하고내부망저장시위험도분석에따라암호화적용여부, 적용범위결정 ( 제 7 조 ) 접속기록보관및점검 최소 6 개월이상보관, 반기별 1 회이상점검 ( 제 8 조 ) 악성프로그램등방지 백신등보안프로그램설치, 자동또는일 1 회이상최신업데이트 ( 제 9 조 ) 물리적접근방지 물리적보관장소출입통제, 보조저장매체반 출입통제절차등 ( 제 10 조 ) 개인정보의파기 개인정보완전파기및부분파기 2 년이하징역또는 1 천만원이하벌금 3 천만원과태료

24 < 직원 > < 이용자 > < 사무실 : 내부망 > < 내부망 > < 직원 > < 웹서버 > < 직원 > 인터넷 < 파견직원 > <DMZ 구간 > < 아르바이트 > < 직원 > < 직원 > < 제 3 자 > < 자료보관실 > < 전산실 > < 관리자 > < 개인정보처리시스템 > (DBMS)

25 고유식별정보, 비밀번호바이오정보전송시암호화 안전한비밀번호작성규칙수립운영 (PC, 홈페이지, 개인정보처리시스템 응용프로그램, 운영체제의즉시보안업데이트 개인정보가포함된서류, 보조저장매체의안전한보관 내부관리계획수립 운영 보호책임자지정및역할수행 정기적인개인정보보호교육실시 개인정보처리업무를수행하는수탁자관리 감독 보유기간경과등불필요하게된개인정보파기

26 완전파괴 ( 소각, 파쇄등 ) 전용소자장비를이용하여삭제 데이터가복원되지않도록초기화또는덮어쓰기수행 전체파기 전체파기 [ 소각 ] [ 파쇄 ] [ 덮어쓰기, 완전포맷, 암호화등 ] [ 디가우저 ] 전자적파일형태 : 개인정보를삭제한후복구및재생되지않도록관리및감독 기록물, 인쇄물, 서면등 : 해당부분을마스킹, 천공등으로삭제 일부파기 [ 천공 ] 일부파기 [ 삭제후, 관리및감독 ]

27 < 개인정보처리시스템 > (DBMS) 접근권한관리 ( 권한변경, 말소, 3 년간기록보관 ) 사용자별계정발급 비인가접근에대한통제및비밀번호작성규칙수립ㆍ운영 외부에서 DBMS 접속시 VPN 등안전한접속수단적용 고유식별정보, 비밀번호, 바이오정보저장, 전송시암호화 ( 내부망에고유식별정보저장시에는영향평가, 위험도분석결과에따른암호화 ) 개인정보취급자접속기록 6 개월이상안전하게보관및반기별 1 회이상점검 보유기간이경과한개인정보파기 ( 전체, 일부파기 )

28 공개된무선망이용시 DBMS, 업무용 PC, 모바일기기에개인정보유출방지조치 (SSL 적용, 콘텐츠암화, WPA2/ 보안업데이트 / 신뢰된주체가운영하는 AP 접속등 ) 고유식별정보, 비밀번호, 바이오정보전송시암호화 ( 공통 ) 인터넷 <DMZ 구간 > < 내부망 > < 공개된 AP> 비인가접근통제, 유출시도탐지기능을포함한조치 (Firewall, IPS, UTM 등활용가능 ) < 직원 > < 직원 > < 제 3 자 > 외부에서 DBMS 접속시 VPN 등안전한접속수단적용

29 < 파일암호화저장 > ( 고유식별정보, 바이오정보, 비밀번호 ) < 업무용 PC, 노트북 > ( 개인정보취급자 : 임직원파견근로자, 아르바이트등 ) < 로그인비밀번호설정 > < 백신설치ㆍ운영 > ( 최신업데이트 ) < 개인정보파기 > ( 불필요한, 보유기간지난개인정보주기적점검후전체, 일부파기 ) < Windows 방화벽설정 >

고유식별정보, 바이오정보, 비밀번호 ) < 백신설치ㆍ운영 > ( 최신업데이트 )

30 < 신뢰할수있는무선망이용 > ( 관리자비밀번호, WPA2 암호화채널등이설정된무선망이용, 개인정보송 / 수신시파일암호화조치등 ) < 분실도난으로인한유출방지보안설정 > ( 화면잠금, USIM 카드잠금설정, 원격잠금,MDM 적용등 ) < 업무용모바일기기 > < 파일암호화저장 > ( 고유식별정보, 바이오정보, 비밀번호 ) < 백신설치ㆍ운영 > ( 최신업데이트 ) < 개인정보파기 > ( 불필요한, 보유기간지난개인정보주기적점검후전체, 일부파기 )

31 개인정보유ㆍ노출방지조치 ( 홈페이지 Secure Coding, 취약점점검, 웹서버보안설정등 ) 고유식별정보처리시, 연 1회이상취약점점검성명, 주민번호로본인확인시, 추가적인정보확인 (i-pin, 공인인증서등 ) 비밀번호, 바이오정보, 고유식별전송ㆍ저장시암호화비밀번호작성규칙수립ㆍ운영 홈페이지웹서버를개인정보처리시스템으로활용시 개인정보취급자별계정발급 일부 반기별점검

32 < 자료보관실 > < 전산실 > 출입통제절차수립ㆍ운영 서류, 보조저장매체는시건장치가있는곳에보관 보조저장매체반ㆍ출입통제보안대책마련및운영 보유기간이경과한개인정보파기 ( 전체, 일부파기방법사용 )

34 감사합니다

슬라이드 1

슬라이드 1 2016 년개인정보보호법기술적 관리적조치방앆 김종표 ( 한국인터넷짂흥원개인정보기술팀장 ) 1 CONTENTS 1 개인정보유출및기술적 관리적보호조치통계 2 개인정보기술적 관리적보호조치분야 3 개인정보의안전성확보조치사항 4 의료기관의개인정보안전성확보조치사항 2 원인별유형별산업별 58% 53% 43% * 출처 : Findings from the 2015 BREACH