발표순서 개인정보노출점검업무란? 개인정보노출발생원인 개인정보노출의문제점 개인정보노출대응방법
1. 개인정보 노출점검업무란?
1.1 개인정보개요 개인정보개요 개인정보란 개개인을증명하고식별할수있는주민번호, 이름, 전화번호, 주소, 전자메일, 직장명등개인의고유한신상정보가담긴데이터 개인정보노출판단조건 주민번호가노출된경우명백한개인정보노출로판단 개인을식별할수있는항목이 2 가지이상결합되었을경우 R&D MU 행안부 개인정보노출방지를위한정책수립 노출방지를위한가이드라인배포 전자정부본부. 행정안전부 - 공공기관 30,000 개대상상시모니터링체계구축 방송통신위원회. 한국인터넷진흥원 - 민간. 비영리. 단체개인홈페이지대상으로 p2p, 인터넷상시모니터링체계구축 금융감독원 - 보험, 금융기관대상 07 년하반기부터상시모니터링추진 교육인적자원부 - 각급학교및교육관련기관대상개인정보노출점검계획 청와대 - 대통령직속기관대상으로모니터링추진계획
1.2 개인정보노출점검필요성 개인정보침해로인한피해발생 35 30 25 20 개인정보침해유형 26.3 51.7 22.9 텔레마케팅목적의이용및무단회원가입동의없이이용하거나제 3자에게제공사업자관리소흘로유출 15 10 5 18.9 16.4 29.6 피해경험률 ( 단위 :%) 72.5 다중항목복수응답 58.4 주민번호도용으로인한회원가입불가및경제적피해 ID/ 비밀번호도용으로게임아이템등을도난 0 2006 년 2007 년 2008 년 출처 : 2008 년정보보호실태조사 ( 한국인터넷진흥원 ) 개인정보피해경험률이증가함에따라침해유형도다양해지고있음 사업자의고객정보관리소흘로개인정보유출피해를경험했다고응답한이용자가 72.5% 로 가장많았음 (ex: 옥션해킹사고, gs 칼텍스개인정보유출사고 )
1.3 개인정보관련법안 정통망법개인정보보호조치 제 28 조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여대통령령의정하는기준에따라다음각호의기술적 관리적조치를하여야한다. 1. 개인정보를안전하게취급하기위한내부관리계획의수립 시행 2. 개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치 운영 3. 접속기록의위조 변조방지를위한조치 4. 개인정보를안전하게저장 전송할수있는암호화기술등을이용한보안조치 5. 백신소프트웨어의설치 운영등컴퓨터바이러스에의한침해방지조치 6. 그밖에개인정보의안정성확보를위하여필요한보호조치 2 정보통신서비스제공자등은이용자의개인정보를취급하는자를최소한으로제한하여야한다.
1.4 개인정보노출점검업무 업무절차 6 자리숫자질의를통한점검검색어 ( 단어 ) 를통한점검 개인정보노출점검사무국 상시점검 구글검색 DB 개인정보 노출점검 S/W 적용 노출웹사이트취합 점검 콜센터 노출웹사이트삭제요청 메일발송 ( 노출정보및삭제방법포함 ) NO 구글노출 DB 삭제요청 삭제여부확인 YES 사후관리
1.5 구글검색 DB 삭제업무 구글 DB 삭제업무 개인정보노출점검사무국 상시점검을통해 노출리스트를 상시점검 데이터 대량노출건 대량노출및시급한사항은 구글에전달 핫라인을통하여 삭제요청 추가제안범위
1.6 노출홈페이지삭제업무 홈페이지삭제업무 삭제거부업체리스트전달 콜센터 개인정보노출점검사무국 삭제조치회신 노출웹사이트삭제요청 삭제조치미회신 삭제거부업체리스트전달및대책방법제시 행정처분 노출사이트
2. 개인정보 노출발생원인
2.1 개인정보노출원인 개인정보노출원인 홈페이지관리부재 휴면사이트이거나관리자연락처가미존재하거나오류인경우 게시판관리미흡 개인정보노출원인 웹페이지소스취약점 보안솔루션부재 구글캐쉬페이지노출 개인정보가마스킹처리되어있으나소스보기에노출 URL 에노출되는경우 웹방화벽, 필터링시스템의부재로내용이유출되는경우 원본은삭제되었으나구글캐쉬페이지에서계속노출되는경우 이용자인식부족 개인정보보호에대한의식이부족하여민원을게시하며노출
2.2 개인정보노출유형 관리자부재와웹소스취약점 관리자부재 소스코드노출
3. 개인정보 노출의문제점
3.1 개인정보노출피해 이용자측면 개인정보도용 사이트가입을목적으로하여자신이원하는사이트에가입을못하는경우발생 신분증위조에사용되어신용불량자혹은범죄자가되는경우발생 스팸및보이스피싱 원치않는안내메시지나정보를받는경우발생 금융사기등의표적이되는경우발생 기업측면 소 송 홈페이지운영및개인정보보호에관리적, 기술적책임이있음 미흡한개인정보관리로인하여회원가입자들에게집단소송의대상이됨 신뢰도감소 기업의이윤만을추구한다는이미지를주며이미지가실추됨 기업에대한믿음이감소하여제품구매등에도영향을주는경우발생 이용자탈퇴 이용자들의믿음을잃으며탈퇴하는이용자가발생 신규가입자가발생하지않거나요구사항이많아짐
3.2 개인정보노출사례 옥션개인정보추가피해
3.2 개인정보노출사례 스마트폰개인정보
3.2 개인정보노출사례 개인정보소송
3.2 개인정보노출사례 개인정보불법거래
4. 개인정보 노출대응방법
4.1 로봇배제표준적용 (1) 검색로봇배제방법 로봇배제표준은검색로봇이웹서버에접근했을때검색여부및조건을정해놓은규약으로 robots.txt 와 meta tag 가있음 robots.txt : 검색엔진이웹서버에방문했을때가장먼저확인하는사항 ( 파일 ) 으로홈페이지의디렉터리와파일에대한검색조건을지정 meta tag : 검색엔진이특정페이지에접근했을때해당페이지와그페이지에링크된페이지의검색조건을지정하는규약 [Check Point] 로봇배제표준은검색엔진에대한정보수집차단기술이아닌자율적인규약이므로악의적인로봇은검색배제표준을준수하지않을수있음. 따라서, 접근통제등인증을정확히실시한후만일을위한보조수준으로활용하는것이바람직함
4.1 로봇배제표준적용 (2) 로봇배제표준제시 robots.txt 파일을사이트의최상위주소 ( 서버루트디렉토리 ex: www.naver.com/robots.txt) 에저장 robots.txt 파일수정을통해적용범위선정가능 적용범위 모든로봇을배제하고싶을경우 User-agent: * Disallow:/ 모든로봇에게서버의일부분만을배제하고싶을경우 특정로봇만배제하고싶은경우 특정로봇만접근을허용하고싶은경우 적용방법 User-agent: Disallow: /my photo/ Disallow: /my daily/ ( 로봇은 my photo 와 my daily 폴더에속한웹문서접근안됨 ) User-agent: evilrobot Disallow:/ User-agent: Cowbot Disallow: User-agent:* Disallow:/ (Cowbot 만이웹문서를수집해갈수있음 )
4.1 로봇배제표준적용 (3) 로봇배제설정예시
4.1 로봇배제표준적용 (4) 메타태그사용예시 [ 메타태그적용방법 ] HTML 문서의 <HEAD> 와 </HEAD> 태그사이에 <META NAME= ROBOTS CONTENT= NOINDEX, NOFOLLOW > 라는메타태그를추가 소스상에수정을해야하지만 robots.txt 적용보다확실한방법 로봇배제관련사이트정보 -http://www.robotstxt.org ( 로봇배제에관한자세한내용설명 ) - http://www.mcanerin.com/en/search-engine/robots-txt.asp ( 외국사이트지만 robots.txt 를제작하여줌, 고르기만하면자동으로파일을생성해주며가져와서메모장에붙여넣고저장후 FTP 로올리면됨 - http://tool.motoricerca.info/robots-checker.phtml ( 만들어진 robots.txt 파일이잘작성되었는지검사해주는사이트 )
4.1 로봇배제표준적용 (5) 메타태그화면예시
4.2 구글캐시삭제방법 구글웹페이지삭제필연성 민원인이원치않는정보가담긴구글의저장페이지가노출되는경우해당정보가노출된페이지를삭제하였음에도불구하고구글검색로봇이재검색하여저장하기때문에계속하여노출이됨 그러므로더이상민원인이정보가노출되기를원치않는경우구글 (Google) 에요청하여구글캐시삭제요청을해야함 원노출사이트의관리자와연락이닿지않아원본삭제가힘든경우에는구글측에서캐시페이지를삭제하더라도 6 개월후재수집되어노출될수있음 구글측에서삭제요청을모두수용한다는보장은없으며. 원본이삭제되었을경우가장확실하게구글삭제페이지가삭제됨
4.2 구글캐시삭제방법 (1) 구글캐시삭제요청방법 1. 구글 (www.google.co.kr) 로접속 2. 구글에로그인 3. https://www.google.com/webmasters/tools/removals?hl=ko( 주소창에입력 ) 4. 3 가지항목중선택 - Google 검색결과에서표시되는정보또는이미지 : 제 3 자웹화면에있는경우이용 ( 민원들의주이용대상 ) - Google 검색결과에서시한이지났거나 사용하지않는 링크로,404( 찾을수없음 ) 또는 401( 사라짐 ) 오류를표시 : : 정상적인구글캐쉬가보이지않는것으로수정된화면이보이기를원하는경우에신청합니다. - SafeSearch 필터링결과에표시된부적절한웹페이지또는이미지 : 성인용화면이나검색시노출되는부적절한이미지 ( 얼굴사진등의이미지제거에적절함 ) 의삭제를원하는경우에신청합니다.
4.2 구글캐시삭제방법 (2) 구글캐시삭제요청방법 1. Google 검색결과에서표시되는정보또는이미지 - 사이트소유자가이페이지 / 이미지를삭제했거나 robots.txt 또는메타태그를사용해색인이생성되지않도록차단했습니다. : 사이트관리자가민원인의요청에의해해당페이지를삭제하거나로봇배제표준을이용하여더이상검색이되지않도록조치한경우에신청합니다. - 사이트소유자가해당페이지를수정하여해당페이지에더이상문제가되는정보또는이미지가없습니다. : 해당페이지에서민원인이요청한정보만삭제하고페이지정보가살아있고구글캐쉬에서만노출되는경우구글측에서새로운정보 ( 구글캐쉬 ) 를수집하기를요청할때신청합니다. - 사이트소유자와연락이닿지않아조치를취하지못하였습니다. : 노출된웹사이트의관리자가없거나연락이닿지않아원본삭제가원활하지않은경우에신청합니다.
4.2 구글캐시삭제방법 (3) 구글캐시삭제요청방법 1-1 사이트소유자가이페이지 / 이미지를삭제했거나 robots.txt 또는메타태그를사용해색인이생성되지않도록 - Google 웹검색결과혹은 Google 이미지검색결과 로수집되었는지를체크후웹페이지또는이미지 URL 을입력. - 구글캐쉬 URL 이아닌해당정보가처음에노출된원본페이지의 URL 을입력. - 요청제출을클릭
4.2 구글캐시삭제방법 (4) 구글캐시삭제요청방법 1-2 사이트소유자가해당페이지를수정하여해당페이지에더이상문제되는정보또는이미지가없습니다. - 구글캐쉬 URL 이아닌해당정보가처음에노출된원본페이지의 URL 을입력. - 페이지에서제거된용어를입력 -> 의견을적은후요청제출을클릭 - 페이지에서제거된용어를입력하면이용어에대한결과값으로원본페이지가검색되지만해당페이지나구글캐쉬페이지를열었을경우에정보가노출되지않음
4.2 구글캐시삭제방법 (5) 구글캐시삭제요청방법 1-3 사이트소유자와연락이닿지않아조치를취하지못했습니다. - 노출사이트의웹마스터이메일주소를입력후개인정보유형을선택.(whois 나홈페이지에노출된관리자이메일주소 ) - 주민번호의경우미국사회보장번호를선택 - 웹페이지의 URL 을입력후해당정보를찾은검색어를입력 - 어떤정보가노출되어삭제를희망하는지등의사유를상세히ㅇ입력.( 영어사용 ) - 이후요청을제출
4.2 구글캐시삭제방법 (6) 구글캐시삭제요청방법 2. Google 검색결과에서시한이지났거나 사용하지않는 링크로 404( 찾을수없음 ) 또는 401( 사라짐 ) 오류를표시. - 검색시선택하였던옵션을선택후정보가있는원본페이지의 URL을입력후요청제출.
4.2 구글캐시삭제방법 (7) 구글캐시삭제요청방법 3. SafeSearch 필터링결과에표시된부적절한웹페이지또는이미지 - 검색시선택하였던옵션을선택후정보가있는원본페이지의 URL을입력후입력한검색어를입력, 요청제출
감사합니다