시장 1 위! PC 내개인정보보호솔루션 법규준수 개인정보보호법고시 개인정보의안전성확보조치기준 법규준수 정보통신망법고시 개인정보의기술적관리적보호조치 내 PC 에개인정보가얼마나있는지모른다 직원 PC 에서어떤개인정보가얼마나어디로유출되고있는지모른다? PC 내개인정보보호경우의수 =Φ 많은 PC Χ 많은사람 Χ 개인정보파일 Χ 출력 Χ 네트워크 Χ USB Χ 법 Privacy-i V4.0 for DLP CC 인증획득 (2012.10) 미래창조과학부지정정보보안컨설팅전문기관 행정자치부지정개인정보영향평가전문기관 조달청조달등록기업 창립이래무차입경영, 12년간흑자기업 신용평가등급 A0로중소기업중재무안정성상위2.5% 개인정보보호분야특허 20 여개획득 ( 타기업대비 3 배이상지적재산권확보 ) 특허 1 엔드포인트 DLP 시스템에서개인정보보호및정보유출방지를위한내용기반의출력물보안시스템및방법 ( 출원번호 : 10-2011-0142526) 특허 2 개인정보보호방법및이를위한프로그램을기록한컴퓨터로판독가능한기록매체 ( 출원번호 : 10-2008-0090247) 특허 3 단말에보관된개인정보보안시스템및방법 ( 출원번호 : 10-2009-0079347)
PC 내개인정보보호! 무엇이문제인가? PC 가너무많다 수만대 PC 내수백만개개인정보마다파기날짜가다르다 직원 PC에개인정보파일이쌓였는데고객개인정보인지, 내부직원개인정보인지, 동창회개인정보인지알방법이없다 직원들의반발이많다 개인정보보호법위반 누가무엇을출력해서어디로보냈는지모른다 정보통신망법위반 PC 도사람도개인정보도너무많다예측할수없다복잡하다 PC 마다사용자가다르다 많은 PC Χ 많은사람 Χ 개인정보파일 Χ 출력 Χ 네트워크 Χ USB Χ 법 PC 내개인정보보호경우의수 =Φ 직원천명당 PC 내개인정보파일평균 3 만건, 주민번호평균천만건이상방치 보유개인정보의 90% 가업무상쓰지않는파기대상정보 출력, 이메일, 악성코드, 실수등으로유출 해답은시장점유율 1 위솔루션! 시장 1 위란단순히숫자가아닙니다남들은예측조차못한, 복잡한문제를해결해왔다는의미입니다 고객사가하나늘어날때마다 Privacy-i 는발전합니다 공공경기도교육청 PC 12 만대보안 금융 KB 은행지점 PC 3 만 5 천대보안 기업 LG 전자 PC 4 만대출력물보안구축 가장많은 PC, 직원, 개인정보파일, 출력물을보호 행자부, 대검찰청, 금감원, 교과부, KISA, NIA 등감사기관이선택한시장점유율 1 위솔루션 300 여고객사, 직원 1 만명이상고객사에서안정성이검증 공공 공공기관지방자치단체 행정자치부, 대검찰청, 헌법재판소, KISA, NIA, 국무조정실, 국방부, KTL, 우정사업본부, 건강보험공단, 한국도로공사, 한국가스공사, 교통안전공단, 농촌진흥청, 대한적십자사, 인천국제공항공사, 공무원연금공단, 한국보훈복지의료공단, 한국조폐공사, SH공사, 문화재청, 대한민국해군, 한국감정원대구시청, 대전시청, 울산시청, 고양시청, 안양시청, 성남시청, 군산시청, 보령시청, 파주시청, 문경시청, 안동시청, 평택시청, 광명시청, 안산시청, 동두천시청, 남양주시청, 양주시청, 서초구청, 구로구청, 영등포구청, 성동구청, 은평구청, 서대문구청, 유성구청, 연수구청, 부산 ( 사하구청, 영도구청, 중구청, 진구청, 북구청, 남구청, 수영구청, 사상구청, 강서구청 ), 음성군청 공공기관교육 교육과학기술부, 교과부학술원사무국, 경기도교육청, 부천교육청, 김포교육청, 용인교육청, 대전교육청, 세종시교육청, 경남교육청, 충북교육청, 전남교육청, 제주교육청, 무주교육청, 김제교육청, 군산대학교, 공주대학교, 한밭대학교, 나사렛대학교, 한남대학교, 혜천대학교, 중부대학교, 대림대학교, 상명대학교, 대전대학교, 숙명여자대학교 금융 금융감독원, 금융보안연구원, 삼성생명, 삼성증권, 삼성카드, 삼성화재, 신한지주, KB은행, KB투자증권, KB생명, KB저축은행, NH농협, NH농협증권, NH생명, 수협중앙회, 대구은행, 교보생명, 한화생명, AIA생명, 푸르덴셜생명, 현대하이라이프생명, 하나생명, 비씨카드, 롯데캐피탈, 동부화재, 메리츠화재, 한화증권, 하이투자증권, 새마을금고, F&U신용정보, 한국신용정보, 에이앤디신용정보, 올크레딧, 산와머니, A&F파이낸셜 기업 삼성전자, 삼성물산, 삼성테스코, LG 전자, LG 화학, LG 패션, LG 텔레콤, 금호아시아나, 롯데백화점, 롯데호텔, SK 텔레콤, SK M&C, 한화건설, 현대 HCN, 엔씨소프트, NHN, 유한양행, 한국암웨이, 한국 IBM, 넥슨
도입효과 > 직원이자기 PC내방치된개인정보를직접검출, 보안할수있습니다 강점 01 방치된개인정보검출, 개인정보의최소화달성 이메일, 휴지통, 숨기기셀, 메타파일까지 PC 내모든개인정보검출 암호화사규를위반한파일검출 ( 패스워드걸린파일검출 ) 20 가지파일포맷분석 ( 훈민정음파일포함 ) 개인정보취급자 개인정보비취급자 S 모사의경우도입후사내개인정보파일이 70% 감소 (6 개월간주기적으로개인정보검출결과 ) 검출하여파기 장기간활용하지않고방치된개인정보 암호화하지않은개인정보 검출하여암호화 검출하여파기 PC 에저장된개인정보 왜 DRM 파일내개인정보를검출해야하는가? DRM 되었다할지라도권한이상의개인정보를보유해서는안됨 DRM 복호화권한을가진내부자에의한오용가능성존재 비취급자는 DRM 되었다할지라도, 개인정보를보유해서는안됨 강점 02 자가진단 & 자율분류 & 유효기간지정 직원이직접자기 PC 내개인정보를검출, 분류, 유효기간을지정할수있습니다. 수만대 PC 내수천만개인정보마다파기날짜가다다르다고? PC 내개인정보를중앙서버로끌고가서기계적으로분류하면과연정확할까? 01 자가진단 직원이자기 PC내개인정보직접검출 02 직원이직접 자율분류 직원이자기 PC내개인정보파일을직접분류 개인정보 03 04 05 유효기간지정 직원이직접 개인정보유효기간지정 보안팀의주기적인샘플검수 직원이제대로분류했는지 샘플링검수 보안팀의관리 파기대상파일만검출하여직원에게통보 만료일자 30 일남은 고객정보파일만검출해서파기 권고혹은강제파기 자가진단, 자율분류의 3대 유효기간지정의 3대 1 보안팀리소스절감 2 내부직원과의마찰없음 3 중앙분류보다분류결과가더정확함 내 PC 에있는개인정보를제대로분류할수있는사람은나밖에없지 1 개인정보보호법 2 정보통신망법시행령 21조준수 16조의 2,4항준수보유기간경과시 3년간서비스미이용자지체없이개인정보즉시파기 ( 혹은분리보관 ) 복구, 재생되지 미이용자에게않도록파기파기 30일전통지 3 파기대상개인정보만검출, 파기함으로써개인정보의최소화달성 강점 03 국정원인증받은암호화알고리즘 (SEED 등 ) 으로암호화 국정원인증받은암호화알고리즘으로암호화 암호화의 3 대 1 개인정보취급자라도회사외부에서개인정보파일복호화불가능 암호화의 3 대 2 노트북, USB 를분실해도외부에서개인정보파일복호화해서볼수없음 국정원인증암호화검증모듈탑재 3 개인정보보호법고시준수 ' 개인정보의안전성확보조치기준 ' 제 7 조 ( 개인정보의암호화 ) 1 항 - 암호화하여야하는개인정보는고유식별정보, 비밀번호및바이오정보를말한다 8 항 - 개인정보처리자는업무용컴퓨터에고유식별정보를저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장하여야한다 강점 04 ( 파기된개인정보화면 ) 복구재생이불가능한방식으로영구파기 파일파기시미국방성기준만족 (U.S Department of Defense Security Standards) 사용자정의의임의문자와횟수를지정하여표준알고리즘덮어쓰기 7 회실시 개인정보보호법준수제 21 조 ( 개인정보의파기 ) 1 항 - 개인정보처리자는보유기간경과, 처리목적달성등개인정보가불필요할시지체없이파기하여아한다 2 항 - 파기시복구또는재생되지아니하도록조치하여야한다
도입효과 > 보안팀에서직원 PC 내개인정보를통합관리할수있습니다 강점 05 중앙검출 & 원격암호화 & 원격파기 3 대 직원이자율분류한개인정보를보안팀에서중앙검출 유효기간이만료되어불법저장상태인개인정보를보안팀에서중앙검출 직원PC내개인정보를보안팀에서원격암호화및원격파기 1 2 3 보안규정을따르지않는직원대상으로보안팀에서중앙검출, 원격파기, 원격암호화실시 직원동의를거칠수있음 ( 선택사항 ) 원격파기, 원격암호화보안조치를취하지않는직원 만료일자 30 일전개인정보파일만검출해서파기안내 30 일 정보통신망법시행령제 16 조 4 항 ' 준수정보통신서비스제공자등은개인정보만료 30 일전까지파기사실을이용자에게통지 유효기간이만료되어불법화된개인정보, 장기보관개인정보를전사적으로검출하여파기 ( 파일생성일기준, 최초검출일기준모두가능 ) 개인정보보호법제 21 조준수개인정보처리자는보유기간경과, 처리목적달성등개인정보가불필요할시지체없이파기 정보통신망법시행령제 16 조 2 항준수정보통신서비스제공자등은 3 년간서비스미이용자개인정보즉시파기 ( 혹은분리보관 ) 강점 06 로그위변조방지컴플라이언스스토리지자체탑재 ( 추가비용없음 ) 기존문제점 WORM 스토리지추가구입가격 1 TeraByte 당 = 수천만원 CD 및 DVD 구매비용및교체시간, 느린검색으로인한업무효율저하 추가비용없이로그위변조방지구현 업무효율상승으로인건비절감! 로그위변조시도 개인정보보호법, 정보통신망법, 금감원모범규준준수 위변조방지컴플라이언스스토리지로위변조불가능 개인정보보호법고시 8 조 2 항준수 ' 개인정보처리자는개인정보취급자의접속기록이위변조및도난분실되지않도록해당접속기록을안전하게보관 ' 정보통신망법고시제 5조 3항준수 ' 정보통신서비스제공자등은개인정보취급자의접속기록이위변조되지않도록해야한다 ' 금감원내부통제모범규준 9 조준수로그기록보관상태를연 1 회점검, 점검결과 5 년기록및관리 강점 07 빠른검출속도 PC 내파일중오직, 개인정보만선별인덱싱 초기에 Full 인덱싱, 이후엔추가분만인덱싱 멀티쓰레딩 (Multi Threading) 기법으로속도 2 배이상상승 개인정보 100 만개 Full 인덱싱 7 분, 추가인덱싱 20 초만에완료 [Test 조건 ] 주민번호계좌번호신용카드번호가뒤섞여있음 / Intel Pentium D CPU 3.41GHz, 2GB RAM, HDD 320GB, 압축파일없고 PC 내전체문서파일검색조건으로검출 강점 08 모두가능 다양한라이선스지원 향후 MS CAL 라이선스정책변화에도문제없음 * MS CAL - Microsoft Client Access License 강점 09 개인정보패턴이외의키워드검색금지기능 동의없는원격파기, 원격업로드방지기능 개인정보패턴만선별인덱싱 직원프라이버시존중기능 내부직원의프라이버시를존중하므로노조와의갈등방지 개인정보야법으로보호해야하고고객것이니까회사에서관리할수있지만내 PC내다른정보까지봐서는안되지! 개인정보보호법상직원의프라이버시역시보호대상이므로개인정보보호법준수기능
도입효과 > 국내유일 출력물을 통한 개인정보유출을 방지합니다 개인정보, 출력물로 어떻게 유출되나? VIP 1인당 출력비용 연30만원? 첨단 보호시스템을 구축해도 출력물을 통해 개인정보 유출사고 발생 강점 쓰레기통 뒤지기로 민감개인정보 백만건 유출 VIP고객 주민번호 출력물을 갖고 있어도 검색시스템 무사통과 개인정보출력물 방치했다가 민원인이 촬영, 인터넷에 공개 개인정보출력물 파쇄하지 않고 버렸다가 공터에서 발견 반 호법 위 보 반 보 개인정 망법 위 신 통 정보 한번 방치되면 현황분석도 보안도 불가능 10 출력물워터마크 삽입 기능 내 이름 써있으니 규정대로 잘 보관하고 잘 파기해야지 보안팀 선택문구 출력일시 출력물마다 출력자의 이름표가 붙어있으므로 출력물 통제 가능 출력자부서&이름 출력물 실명제로 개인정보출력 최소화 효과 출력물방치 및 미파쇄 방지효과 QR코드 워터마크 내용 선택가능 로고 강점 QR코드 삽입가능 11 개인정보출력물 로깅 : text와 jpg로 저장 개인정보출력시 이미지형태로 로그를 저장하여 원본상태 확인 가능 개인정보출력시 텍스트를 추출하여 사후감사자료 활용 출력이 차단되었을 경우 차단로그 기록 3대 2 개인정보 포함 출력물은 다 저장하므로 직원들의 유출이나 프린트오용을 사전에 막는 효과 3 출력물에서 텍스트를 추출하여 로깅하므로 사후 검색가능 정보통신망법 고시 '개인정보의 기술적 관리적 보호조치' 8조 준수 '출력시 용도를 특정하고 출력항목 최소화 및 출력내역을 기록' jpg로그로 원본 상태 확인 Text로그로 검색 가능 강점 12 개인정보출력시 경고, 차단, 차단로그저장 개인정보보호법 및 정보통신망법 준수 정보통신망법 고시 '개인정보의 기술적 관리적 보호조치' 8조 준수 출력시 용도를 특정하고 출력항목을 최소화 및 출력내역을 기록할 것 비권한자의 개인정보 출력시 정책 이상의 개인정보 출력시 출력차단 출력경고 차단로그 저장 개인정보보호법 26조에 해당하는 유출을 차단함 개인정보의 유출예 : 개인정보가 포함된 서면, 이동식 저장 장치, 휴대용 컴퓨터 등을 분실하거나 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 종이문서 등이 비권한자에게 잘못 전달된 경우 개인정보보호지침18조 '개인정보취급자 최소화규정' 준수 ① 개인정보취급자를 업무한도내에서 최소화 및 개인정보처리범위최소화 개인정보보호법 28조 '개인정보취급자감독규정' 준수 보조저장매체를 통한 유출통제 네트워크를 통한 유출통제 보조저장매체에 개인정보저장시 차단/기록/경보 네트워크를 통해 개인정보전송시 차단/기록/경보 별도 모듈로 구성되어 가격체계가 다릅니다
사용을규정하고있는법규정 모든공공기관, 기업, 단체에적용 개인정보보호법법조항만족 조항법규정 Privacy-i 법규준수기능 1 조 ( 목적 ) 2 조 ( 정의 ) 28 조 ( 취급자감독 ) 21 조 ( 파기 ) 24 조 ( 고유식별정보 ) 국민의권리와이익을증진하기위하여개인정보처리에관한사항을규정한다 내부직원은국민에속하므로내부직원의프라이버시까지보호대상으로확대 개인정보의처리 : 개인정보수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 모두 PC 에서발생하는일임 개인정보취급자 ( 개인정보를처리하는자 ) 에게적절한관리, 감독을행하여야한다. PC 에개인정보를저장, 보유만해도개인정보취급자에해당됨 1 개인정보유효기간만료시지체없이파기 2 항 ) 복구 / 재생되지않도록파기조치 개인정보유효기간지정및영구파기기능필요 3 항 ) 고유식별정보 ( 주민 / 여권 / 운전면허 / 외국인등록번호 ) 처리시암호화 안전한암호화알고리즘적용필요 PC 내사전정의된개인정보패턴만을인덱싱하므로내부직원의프라이버시를보호 외산제품은 PC 내모든키워드를인덱싱 1. 전사적으로 PC 내개인정보검출 2. 업무를위해 PC 에개인정보를저장하는자는개인정보취급자로지정및개인정보암호화 3. 비취급자경우 PC 내개인정보파기 4. 주기적으로개인정보검출, 관리 5. 부서별, 개인별별도정책적용 1. 개인정보유효기간지정 2. 유효기간만료및장기방치된개인정보검출 3. 복구, 재생되지않도록파기 1. 국정원인증암호화알고리즘으로암호화 32 조 ( 개인정보파일등록 ) 공공기관은개인정보파일명칭, 운영근거, 목적, 항목, 처리방법, 보유기간, 제공받는자를안행부에등록 전사적개인정보파일검출및전자적파일대장작성필요 1. DB, 서버, PC, USB 내개인정보전사적검출 2.< 안행부개인정보파일관리지침 > 대로파일대장작성 34 조 ( 유출통지 ) 1 유출인지시지체없이해당정보주체에게통지 ( 유출된개인정보항목, 유출시점, 경위등 ) 상시적인개인정보현황분석및 Flow Control 필요 1. 개인정보보유현황관리, 흐름통제 2. 개인정보출력시출력자정보, 출력시간, 출력물로그기록 개인정보보호법고시 ' 개인정보의안전성확보조치기준 ' 만족 1. 고시는법의일부분으로법적강제력을가집니다 2. 미이행으로인하여유출시 2 년이하징역, 1 천만원이하벌금의형사처벌을받을수있습니다 조항법규정 Privacy-i 법규준수기능 7 조 8 항 ( 암호화 ) 8 조 2 항 ( 위변조방지 ) 업무용컴퓨터에고유식별정보저장시안전한암호화알고리즘으로암호화저장 개인정보취급자의접속기록이위변조되지않도록안전하게보관 1. PC 내암호화되지않은개인정보검출 2. 국정원인증암호화알고리즘으로암호화 위변조방지컴플라이언스스토리지자체탑재 정보통신서비스제공자에적용 정보통신망이용촉진및정보보호등에관한법률만족 조항법규정 Privacy-i 법규준수기능 23조의 2 1 주민등록번호를수집, 이용할수없다 DB, 서버, PC, USB내전사적주민번호검출및파기 ( 주민번호제한 ) 27 조의 3 ( 누출통지신고 ) 30 조의 2 ( 이용내역통지 ) 1 누출시이용자에게통지 ( 유출된개인정보항목, 유출시점등 ) 및방통위에신고 상시적개인정보현황분석및 Flow Control 필요 1 이용자에게이용내역 (3 자제공및위탁포함 ) 주기적통지 상시적개인정보현황분석및 Flow Control 필요 1. 전사적개인정보현황분석 2. PC 에서개인정보의보조저장매체이동및출력시내역기록 29 조의 2 ( 파기 ) 제 69 조의 2 ( 고발 ) 2 3 년이상휴면사용자개인정보파기 유효기간지정및만료된개인정보검출파기프로세스필요 접속기록위 변조방지, 전송및저장시암호화를하지않아개인정보유출시방통위는기업을검찰고발 1. 개인정보유효기간지정 2. 만료된개인정보검출 3. 복구재생불가한방법으로파기 1. 위변조방지컴플라이언스스토리지자체탑재 2. 국정원암호화모듈탑재개인정보암호화 정보통신망법고시 ' 개인정보의기술적관리적보호조치 ' 만족 조항 법규정 Privacy-i 법규준수기능 5조 ( 접속기록위 변조방지 ) 접속기록이위 변조되지않도록별도의저장장치보관 위변조방지컴플라이언스스토리지자체탑재 6 조 ( 암호화 ) 주민번호, 카드번호, 계좌번호는 PC 에저장할때에는안전한알고리즘으로암호화 국정원인증암호화알고리즘으로암호화 8 조 ( 출력 복사시보호조치 ) ^ 개인정보의출력최소화 ^ 인쇄, 저장매체복사시내역기록및사전승인 1. 개인정보포함파일은결재후출력허용 2. 개인정보포함파일출력로그저장 (txt, jpg) 서울특별시영등포구영신로 220 KnK 디지털타워 9 층 TEL 02)2636-8300 FAX 02)2636-8181 www.somansa.com