2017 年 3 月 정보보호뉴스레터
매월첫째주월요일은롯데그룹정보보호의날! 롯데임직원의보안인식제고와개인정보보호활동강화를위하여정보보호위원회는매월첫째주월요일을롯데그룹정보보호의날로지정하여운영하고있습니다. 2017 년 3 월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니 많은관심과실질적인예방을위한활동부탁드립니다.
Contents 2 月정보보호이슈 1 개인정보의암호화조치안내서개정 2 유명게임의인기를악용한해킹공격 3 月정보보호 Report 사용자인증과보안 3 다양한인증수단및활용방법 4 6 7 다양한방식으로발전하는인증기술인증과사용자계정사고사례 Security Tip! Tip! Tip! 정보보호활동및교육 8 정보보호교육및세미나안내
1 2 月정보보호이슈 개인정보의암호화조치안내서개정 개인정보를안전하게저장 전송하는데사용되는암호화기술안내서 고유식별정보, 비밀번호, 바이오정보등암호화대상개인정보의저장 전송시 적용할수있는암호알고리즘, 수행방식, 사례등을제시 < 개정 2017.01> 주요개정사항 1 공공기관과민간부문 ( 법인 단체 개인 ) 으로 나뉘어진안전한암호알고리즘방식 2 공공기관 민간부문 4 주민등록번호, 민감정보처리의제한에대한 [ 개인정보보호법시행령제 21 조의 2] 암호화적용시기 - 100 만명미만주민등록번호저장시, 2017.01.01-100 만명이상주민등록번호저장시, 2018.01.01 암호화근거법률추가 1 준비단계 문서도구자체암호화 DRM 업무용컴퓨터 보조저장매체 암호화방식추가 디스크암호화 2 4 운영단계 6 3 3 Q A 정지단계 7 폐기단계 암호화방법에대한실질적인예시및 FAQ 추가 암호키수명주기에따른 관리방안 4
2 2 月정보보호이슈 유명게임의인기를악용한해킹공격 유명게임이비공식경로를통해배포되고있어사용에주의가필요함 보안위협 유형 악성코드유포 세부내용 설치파일, GPS 조작앱등에악성코드삽입가능성有 이메일피싱 고객님의게임이유료로전환됩니다. 이용하시겠습니까? www.abc.co.kr ( 해외사례 ) 게임이유료전환된다는이메일로피싱사이트접속유도 인터넷사기 인터넷상에서아이템등지급대가로금전편취사례우려 예방수칙 사이버안전국홈페이지 (http://cyberbureau.police.go.kr) 공식적인앱스토어이용 대면거래및사기피해신고내역사전확인필요 알수없는출처 허용금지 ( 안드로이드용 )
3 3月 정보보호 Report 다양한 인증수단 및 활용방법 다양한 인증수단 방법을 통하여 강화되는 인증 오프라인(집, 은행 회사 등) 및 온라인에서 비밀번호, 휴대폰, 바이오정보 등의 다양한 수단을 이용하여 본인을 인증하고 있음 다양한 인증종류 What You Know What You Have What You Are 스마트카드, 마그네틱카드, 사원증 등 지문, 서명, 음성 등의 신체적 특성을 이용 P a s s w o rd ********* 패스워드, OTP, 개인식별번호(PIN) 등 인증 방법 투팩터 인증 (Two-factor authentication) <1차 인증> ID: Pw: 투채널 인증 (Two-channel authentication) <2차 인증> <1채널> ***** <2채널> ID: Pw: 인터넷뱅킹과 같은 금융 거래 시 PC(1채널)에서 이뤄지는 본인인증 과정을 스마트폰이나 유선전화(2채널)로 확대하여 인증 강화 기존 로그인방식에 인증 수단(OTP 바이오정보 등)을 추가하여 강화
4 3 月정보보호 Report 다양한방식으로발전하는인증기술 홍채, 정맥등의바이오정보, 사람들의행동패턴을이용한다양한인증 FIDO (Fast Identity Online) 생체정보기반인증 지문, 홍채, 얼굴등다양한바이오정보혹은사람들이가지고있는행동패턴을이용한인증기술행동패턴 1 2 바이오정보 홍채 억양 금융거래본인인증 3 4 심전도 지문 바이오정보기반인증 걸음걸이 타이핑리듬 행동패턴기반인증 출입통제 활용 타인식별 IAM (Identity Access Management) 통합계정관리 조직이필요로하는보안정책에따라자동으로사용자의계정과권한을관리하는솔루션 싱글사인온권한관리보안정책 Provisioning 웹패이지 시스템 계정명 Ahn Kim Jang Lee 접근권한 시스템 O, 웹 X 시스템 O, 웹 O 시스템 X, 웹 X 시스템 X, 웹 O 관리자 임직원 웹관리시스템 IAM SSO 웹서비스임직원외주직원임직원 단일로그인권한관리접근제어계정관리
3 月정보보호 Report 인증과사용자계정 인증과사용자계정보안강화 계정관리 본인 & 사유확인 계정변경적절성검토 계정등록 / 삭제 / 권한변경 등록, 삭제, 권한변경등사유가발생한경우, 공식승인절차를통해계정관리수행 임직원들 ID PW 공용 * * * * DB/ 시스템 / 웹 공용계정의발급및비밀번호공유사용금지 ( 불가피한경우별도승인후사용 ) 계정신청서계정계정명계정 : ABC신청서계정명 : ABC 계정명 : CDE 사용기간 : 사용기간 : 2017년 2017 사용기간년 : XX월 ~ XX월 XX월 2017 ~ XX 년월 XX월 ~ XX월 계약 / 파견 / 외주직원 계약 / 파견 / 외주직원등외부사용자에게계정을부여할경우사용기간을지정하여관리 사용자계정 정보보호담당자 퇴직자계정점검 계정회수 정보보호담당자는퇴직, 계약만료, 부서이동시계정회수에관한점검을수행 변경전 : fht@1731 관리자 XXX 임직원 변경후 : lotte!2017 계정삭제가불가능한경우에는반드시비밀번호와계정사용자의이름을변경 출입 시스템접근 출입 시스템접근 X 업무수행에필요한최소한의범위로업무담당자에따라권한차등부여 6
6 3 月정보보호 Report 사고사례 인증과관련된다양한보안사고 사례 1 ( 지문인식 ) 계정탈취! 복제 A 씨는고해상도사진을이용실리콘으로위조지문제작 위조지문을이용하여모바일기기에지문인식잠금장치해제 잠금이해제된모바일기기에서 A 씨는금융 & 개인정보를탈취 사례 2 ( 출입증 ) 공무원출입증 별일있겠어나중에신고하지뭐 성적 김 OO 안 XX 이 60 40 7 성적 김 OO 안 XX 이 60 80 7 공시생 B 씨는정부청사내체력단련장에서공무원출입증을탈취 사례 3 ( 패스워드 1) 취업준비생 C 씨는모산부인과홈페이지에접속 사례 4 ( 패스워드 2) XX 산부인과 출입증을분실한공무원은이사실을알리지않음 ID PW admin * * * * 로그인성공! 관리자계정으로로그인하여환자이름, 나이등개인정보를탈취 결국분실된출입증을통해서내부로침입해자신의성적을조작함 계정관리계정명 admin Hospital Doctor 패스워드 1111 * * * * * * * * 알고보니비밀번호가 1111 로허술하게관리되고있었음 로그인해주세요! 모든웹사이트에동일한패스워드를사용하고있는 D 씨 ID, 패스워드등탈취 해외유명사이트인 Y 사이트가해킹당해 D 씨의개인정보가유출됨 탈취 금융 & 개인정보 같은패스워드를사용하고있는타사이트도해킹당해추가피해발생
7 Security TIP! TIP! TIP! ex) Q1! Q1! 안전한패스워드설정하여 PC 모바일지키다 안전한패스워드를만드는 가지방법 1. 문자와숫자, 기호를조합하여사용 2. 외우기쉬운문장형태로생성 단순한숫자나문자패스워드보다문자등을조합한패스워드의해독시간이더오래걸림 ex) Q1 help me! 아무관련없는문자, 숫자조합등을사용하여생성하기보다는문장형태로만들어기억하기쉽게생성 3. 사이트별로다른패스워드사용 ex) Q1helpme! + LD 4. 복잡하기보다는길게생성 완전히다르게만들기보다는사이트와관련있는문자등을추가하여생성 (www.lottedfs.com 인경우 lottedfs 의약어인 LD 를추가하여생성 ex) Q1helpme!LD 복잡하게만들기보다는기억하기쉬우면서길게만든패스워드가보안성이더높음. 패스워드안전검사 아래사이트를통해생성한패스워드안전성확인! https://howsecureismypassword.net/ ( 패스워드해독시간을통해패스워드가얼마나안전한지알려주는사이트 ) 8
7 Security TIP! TIP! TIP! 안전한패스워드설정하여 PC 모바일지키다 모바일기기인증설정법 ( 안드로이드 /ios) 아이폰 (ios 10 기준 ) 1) 설정 >Touch ID 및암호 ( 터치 ID 기능지원시 )/ 암호 ( 터치 ID 기능미지원시 ) > 암호켜기 > 암호설정 지문추가 ( 지원시 ) 혹은패스워드등록 ( 알파벳숫자코드 / 사용자지정숫자코드 /4자리숫자코드 ) 2) 설정 > Touch ID 및암호 ( 터치 ID 기능지원시 )/ 암호 ( 터치 ID 기능지원시 ) > 암호요구 > 즉시 안드로이드 (6.0.1 버전기준 ) 1) 설정 > 잠금화면및보안 > 화면잠금방식 > 화면잠금기능에따라암호설정 8
8 정보보호교육및세미나안내 1) 세계보안엑스포 2017 (SECON 2017) * 온라인사전등록및초청장소지자무료 구분 세부내용 교육명세계보안엑스포 2017 (SECON 2017) 교육일시 2017 년 03 월 1 일 ( 수 ) ~ 17 일 ( 금 ) 교육장소 등록기간 URL 일산킨텍스 - 사전등록 : 2017.03.10( 금 ) 18:00 접수마감 - 현장등록 : 2017.03.1( 수 ) ~ 17일 ( 금 ) * 현장등록시 1,000원등록비필요 http://www.seconexpo.com/2017/ 온라인사전등록 2) [KITRI] 네트워크 & Security 교육 * 수강료무료 구분 세부내용 교육명 소프트웨어개발보안실무자과정 교육일시 2017 년 03 월 20 일 ( 월 ) ~ 21 일 ( 화 )(16 시간 /2 일 ) 교육장소한국정보기술연구원 ( 서울특별시구로구디지털 34 길 43 코오롱사이언스벨리 1 차 ) 교육대상 URL SW 분야재직자, 응용프로그램보안설계 구축자 http://estudy.kitri.re.kr/ 교육과정 네트워크 &Security 12
정보보호뉴스레터 발행처 : 롯데그룹정보보호위원회 Homepage: https://secupolicy.net E-mail: secu_policy@lotte.net Tel: (02) 2626-946