슬라이드 1

2013 年 9 月 정보보호뉴스레터

매월첫째주월요일은롯데그룹정보보호의날! 롯데임직원의보안인식제고와고객정보보호활동강화를위하여정보보호위원회는매월 첫째주월요일을롯데그룹정보보호의날로지정하여운영하고있습니다. 2013년 9월그룹정보보호의날을맞이하여정보보호뉴스레터및활동계획을배포하오니많은관심과실질적인예방을위한활동부탁드립니다. 1. 추석前... 장기연휴기간보안예방활동강화 2. 최근정보보호동향 3. 비밀번호딜레마 쉽고안전한방법없을까 4. 악성코드가내 PC, 스마트폰에? 5. GS칼텍스개인정보유출사건의미와시사점 6. 정보보호커뮤니티 ( 홈페이지 ) 개설 7. 9 月정보보호행사및세미나안내

1 추석前... 장기연휴기간보안예방활동강화 (1/2) 더도말고덜고말고한가위만같아라. 모두가기다려온추석이한발앞으로다가왔습니다. 특히이번추석은주말과이어지면서긴연휴가시작됩니다. 연휴기간을노린악성코드유포자나해커가보낸추석이벤트, 쿠폰, 선물등을가장한악성메일의첨부파일도각별한주의가필요하겠습니다. 다시한번, 장기간의연휴를앞두고개인정보유출등정보보호예방활동에각별한관심과점검부탁드립니다. 임직원명절연휴기간보안체크포인트 (1) 사내모든컴퓨터의운영체제, 바이러스백신등응용소프트웨어는최신보안패치로적용되어있도록합니다. (2) 중요한자료는안전한곳에백업해두어만일의상황에대비하여야합니다. (3) 이메일확인시발신인이모르는사람이거나불분명한경우열람하지않도록합니다. 특히, 제목이나첨부파일명이선정적이거나관심을유발한만한내용인경우함부로첨부파일을실행하거나링크주소를클릭하지않도록합니다. (4) 개인PC 및응용프로그램로그온패스워드는철저히관리되어야합니다.. 패스워드는주기적으로변경하고영문 숫자 특수문자조합으로 6자리이상설정. 개인PC 로그인패스워드는반드시설정하며, 화면보호기및잠금기능사용. 스마트폰의잠금기능 [ 암호설정 ] 을이용, 주요 ID, 패스워드등저장금지 (5) 정품소프트웨어를사용하여야합니다. (6) 개인정보등주요문서및이동저장장치는시건장치가되어있는서랍또는캐비닛에보관하도록합니다. (7) 불건전한웹사이트나비인가된 P2P 파일공유프로그램을사용하지않도록합니다. (8) 스마트폰의보안소프트웨어 ( 바이러스백신 ) 를설치하고, 엔진을항상최신으로유지하며불필요한기능은꺼놓도록합니다. 3

1 추석前... 장기연휴기간보안예방활동강화 (2/2) IT 전산보안체크포인트 (1) 네트워크보안장비 ( 방화벽, DDoS, VPN 장비등 ) 의보안정책과 ACL[Access Control List], 임계치 (Allow/Deny) 등이올바르게설정되어있는지확인합니다. (2) 연휴동안서비스하지않는시스템의경우, 네트워크보안장비에서 ' 차단 ' 으로정책변경을권고합니다. (3) 사용하지않는서버는네트워크에서분리해외부의침입으로안전한환경을구축합니다. (4) 주요 IT장비에대한불필요한사용자계정및서비스를제거합니다. (5) 사용중인애플리케이션의로깅가동, 중요파일에대한무결성점검, 감사기능등을설정해두고, 중요서버의보안상태를사전점검하도록합니다. 그룹정보보호비상연락망 (1) 각사는개인정보의유출및해킹등침해사고대응을위한전사비상연락체계를구축하여야합니다. (2) 해킹, 개인정보유출등의보안사고발생시롯데그룹정보보호규정에의거정보보호위원회로신속하게알려주시길바랍니다. 구분담당이름연락처 롯데그룹 정보보호위원회 롯데그룹정보보호비상대응 TF 팀장 최동근이사 010-3471-3900 보안정책담당최승식매니져 010-3296-0827 CERT 총괄김계근팀장 010-4516-5457 4

2 최근정보보호동향 ' 개인정보보호수준인증제 ' 추진 ( 안전행정부 ) 안행부는개인정보를취급하는기관이전사차원에서개인정보보호조치체계를구축했는지점검해일정수준이상기관에개인정보보호인증마크를부여하는제도를시행할방침입니다. 인증유형을대기업, 중소기업, 소상공인으로구분하여인증을신청할수있고심사항목은개인정보보호관리체계와개인정보보호대책구현영역으로구성됩니다. 또한인증취득기관에게 개인정보보호법 에따라실시하는기획점검대상제외또는실시유예, 행정처분감경등의혜택을계획하고있습니다. 정보보호관리등급제도공포예정 ( 미래창조과학부 ) 올해말부터정보보호체계가잘갖춰져있는기업을대상으로 최우수, 우수 등의등급을부여하는 정보보호관리등급제도 를시행합니다. 우수 단계는기업에내재된정보보호통제와프로세스를지속적으로측정, 관리하는단계로정기적으로정보보호상태를점검하며 최우수 단계는정보보호통제활동에서얻어진문제점을지속적으로개선해반영함으로써기업의정보보호수준을최적화하는단계입니다. 구분정보보호관리체계 (ISMS) 정보보호관리등급 제도성격의무 + 권고권고 도입취지정보통신서비스안정및신뢰성기업의통합적정보보호관리수준제고 대상자 정보통신망법에따른의무대상자및자율신청기업 정보보호관리체계 (ISMS) 인증을받은자 (ISMS 인증 3 년이상유지, ISMS 인증을전사범위로 1 년이상운영 ) 유효기간 3 년 ( 매년사후심사 ) 1 년 범위 의무대상 : 법적대상서비스 (ISP, IDC, 정보통신서비스운영및개발부문 ) 권고대상 : 자율선정 서비스단위의전사 ( 전체사업 ) 5

3 비밀번호딜레마 쉽고안전한방법없을까 고객정보시스템등주요업무시스템의비밀번호는숫자와문자뿐아니라특수기호까지섞어서 8자리이상, 3개월이나 6개월에한번씩변경... 기억하기쉬우면서안전한비밀번호는없을까? 기억하기쉽도록간단히만들자니불안하고, 보안을위해복잡하게만들면정작본인이기억하지못하는어이없고허무한상황이발생하기도합니다. 이제는비밀번호를만드는일은이제개인적으로도사회적으로도하나의고민거리로떠올랐습니다. 본레터에서는임직원이주요업무용비밀번호및 PC 설정비밀번호를활용하는데기억하기쉬우면서보다안전한비밀번호를만드는방법을소개드립니다. (1) 익숙한문장의앞글자를따서비밀번호를만드는법 즉, 'I have lunch at 12' 라는문장을기억한다면이문장의앞글자를따서비밀번호는 'ihla12' 로생성하도록하는것. 대소문자구분, 특수문자를포함시키면더효율적입니다. (2) 영문타자를기준으로한글을사용해비밀번호를생성하는방법 영문타자를기준으로 ' 롯데 ' 을쳐서나열된의미없는영문단어 (fhtep) 를비밀번호로 활용. 단이름, 회사명등유추가쉬운단어로만은불가, 2 개이상단어, 숫자, 특수문자조합 6

4 악성코드가내 PC, 스마트폰에? (1/2) 프로그램설치시다음버튼만클릭하시나요? 동영상플레이어등을설치할경우제휴프로그램이나애드웨어등눈에띄지않고숨어있는 제휴프로그램들이떼거지로설치되는경우가빈번히발생하고있습니다. 특히제휴프로그램설치목록들이주프로그램설치단계중 2~3단계맨아래쪽에숨에있는경우가대부분이어서, 발견하지못하고넘어가기쉽게만들어놓았습니다. 이런악성프로그램은컴퓨터를사용하는내내메모리를소모, 많이설치될경우컴퓨터속도는눈에띄게느려지게됩니다. 악성코드는이메일, 메신저등을다양한방법으로침투하지만, 습관적인프로그램설치승인 이가장큰원인이라고할수있습니다. 프로그램설치시각단계별로세부사항을파악하고만약잘모르겠거나악성코드로의심이 된다면아예프로그램을설치하지말아야합니다. 또한반드시공식사이트에서프로그램을 다운받도록합시다. 7

4 악성코드가내 PC, 스마트폰에? (2/2) 돌잔치초대장등사기문자급증 돌잔치초대장, 모바일청첩장 등으로가장해스마트폰에악성앱을설치하는문자메시지가유포되어피해가발생하고악성앱설치후핸드폰주소록에저장된지인들에게도동일한문자가발송되어 2차피해가우려되고있습니다. 예방법 : 출처가확인되지않은링크는클릭금지, 각통신사고객센터및홈페이지를통해소 액결제금액을제한해두거나원천적으로차단 메모리상주악성코드 에의한해킹주의최근금융관련악성코드는 PC 메모리에상주하며사용자가정상적으로인터넷뱅킹을마무리한이후추가적으로보안강화설정이라는팝업창을띄워계좌이체비밀번호, 보안카드번호등을재입력받아정보를탈취하는것으로확인되었습니다. 예방법 : OTP( 일회성비밀번호 ), 보안토큰 ( 비밀정보장치외부복사방지 ) 사용전자금융사기예방서비스 ( 공인인증서 PC지정등 ) 가입하여인증절차강화 < 신종금융사기메모리해킹수법개요도 > 8

5 개인정보보호판례 (2) GS 칼텍스개인정보유출사건의미와시사점 정보보호법분야에서도개인정보에관한판례가많이축적되어개인정보를처리하는기업에많은시사점을주고있습니다. 최근의개인정보보호분쟁과관련한법원판결을중심으로그의미와시사점을정리하여연재하도록하겠습니다. 'GS 칼텍스개인정보유출사건 ' ( 대법원 2012. 12. 26. 선고 2011 다 59834 판결 ) 출처 : 법률사무소민후김경환대표변호사 GS 칼텍스의회원을관리하는 GS 넥스테이션직원이던정씨는 2008 년 7 월회사서버에접속해보 사안 개요 너스카드회원 1,151 만여명의이름, 주민번호등회원정보를사무용컴퓨터에내려받은뒤 DVD 에복사해집단소송을의뢰받은변호사등몇몇지인에게건넸는바, 이에 GS 칼텍스회원들이개인 정보를허술하게관리한 GS 칼텍스등을상대로손해배상을청구 개인정보가담긴 CD 등이집단소송을위한사전작업으로언론관계자등에게유출됐지만언론보 판결 내용 도직후개인정보가저장된저장매체등을소지하고있던사건관련자들로부터모두압수 임의제 출되거나폐기되었는바, 개인정보유출로인해회원들에게신원확인 명의도용이나추가적인개 인정보유출등후속피해가발생했다고볼만한상황이발견되지않는점등을고려하면위자료로 배상할만한정신적손해가발생했다고볼수없다 ( 원고패소 ). 판결해설 이판결은개인정보가담긴 CD 등이외부로빠져나가기이전에전부회수된경우라면정신적피해 가발생했다고볼수없다는의미의판결임 개인정보유출확인시대응체계가동및유출된정보회수필요 시사점 회원정보관리자회사 (GS넥스테이션) 에서내부자에의해개인정보가유출되었고회사에큰피해발생 ( 내부직원및위탁사관리감독 ) 1,151만명의개인정보가한사람에의해 9 유출. 개인정보책임자및취급자등개인정보관련 Compliance 교육을수행하여인식제고의노력필요 ( 개인정보보호교육수립및시행 ) 9

6 정보보호커뮤니티 ( 홈페이지 ) 개설 정보보호위원회에서는정보보호담당자간의사소통채널강화및보안관련정보전달등의활동을위해정보보호커뮤니티를운영합니다. 공지사항, 게시판, Q&A, 자료실등을통해정보보호실무담당자의업무효율성증가와담당자간유대감이증가될것으로기대하며많은활동을부탁드립니다. 홈페이지주소 (URL) : http://secupolicy.net (13 년 9 월 6 일 OPEN 예정 ) 대상 : 정보보호실무담당자, 개인정보보호실무담당자, 전산실정보보호담당자 회원신청방법 : 사전승인제 (9 월 6 일부터 ) ( 홈페이지접속후 계정발급신청 메뉴에서신청, 확인후계정발급 ) 10

7 9 月정보보호행사및세미나안내 1) 제 7 회금융정보보호컨퍼런스 (FISCON) * 참가비무료 구분 세부내용 일시 2013 년 9 월 4 일 ( 수 ), 10:00~17:00 장소주최내용 URL ( 서울 ) 한국과학기술회관금융보안연구원, 금융정보보호협의회금융감독원의금융전산보안정책추진방향등 14개강연진행 www.fsa.or.kr 2) 2013 ISACA Korea Conference 구분 * 사전 ( 회원 2 만 / 일반 4 만 ), 현장 ( 회원 4 만 / 일반 6 만 ) 세부내용 일시 2013 년 9 월 6 일 ( 금 ), 08:30~17:10 장소 주관 내용 ( 서울 ) 신촌연세대학교새천년관 ISACA 빅데이터시대의 IT Governance 와정보보호 URL http://www.isaca.or.kr/ ( 공지사항 ) 3) 2013 년국방정보화컨퍼런스 * 참가비무료 구분 세부내용 일시 2013 년 9 월 16 일 ( 월 ) 10:00 ~ 17:20 장소 COEX 그랜드볼룸 ( 서울삼성동 ) 주최 내용 URL 대한민국국방부 사이버안보패러다임변화와국방사이버방호정책의미래등 5 개트랙 30 여편발표 https://www.sek.co.kr/2013/nic2013 11

롯데정보보호뉴스레터 발행처 : 롯데그룹정보보호위원회 E-mail: secu_policy@lotte.net Tel: (02) 2626-5945