Ⅰ Ⅱ Ⅲ Ⅳ 국가정보화의현위치 사이버침해동향 정보통신기반보호및개인정보보호법제정내용 주요정책과제
국가정보화의현위치 1. 대한민국 Smart 정부 2. NCIA 의개요 3. 국가정보통신망이용기관 4. NCIA 의정보보호역활 1/26
1. 대핚민국 Smart 정부 (1) Ⅰ. 국가정보화의현위치 스마트정부 서류개인용컴퓨터스마트폰등모바일기기 직접방문초고속인터넷망유무선통합망 Off-line 1way / 홈페이지 2way / 모바일웹ㆍ앱 내부전산화 공급자중심 / DB 화, 전산화 소비자중심 / 플랫폼화 2/26
1. 대핚민국 Smart 정부 (2) Ⅰ. 국가정보화의현위치 과거 현재 미 래 위치통합 H/W 통합 클라우드컴퓨팅 HW,S/W, 데이터통합 클라우드컴퓨팅 모바일플랫폼 위치의통합 서버 / 스토리지통합 IaaS PaaS 서비스 / 데이터통합 IaaS PaaS SaaS DaaS 모바일서비스모바일앱 통합 소통 3/26
2. NCIA 의개요 Ⅰ. 국가정보화의현위치 심장 - 10,371 대 (4,320 서버 ) - 7,891 대 (3,464 서버 ) 24 시간 X 365 일, 중단없는행정서비스제공 4/26
4. NCIA 의정보보호역홗 Ⅰ. 국가정보화의현위치 NCIA (e- 안시성 ) 6/26
3. 국가정보통신망이용기관 Ⅰ. 국가정보화의현위치 업무망 19,877 회선 (40G) 인터넷망 616 회선 (74G) 중앙부처 4,939 개 ( 소속기관포함 ) 자치단체 3,509 개 ( 읍면동포함 ) 기타 522 개 ( 공공기관 ) 5/26
< 참고 1> e- 안시성 Ⅰ. 국가정보화의현위치 의미 : 삼국시대에당나라의 10만대굮을물리친고구려의안시성과같이전자정부의보안을최전방에서수행하는통합센터보안체계의전략적위치와역량을표현 7/26 7/28
< 참고 2> 안시스대응체계 Ⅰ. 국가정보화의현위치 People( 인력 ) P, System( 시스템 ) ANSIA Cube 8/26
사이버침해동향 1. 세계의사이버침해동향 2. 국내의사이버침해동향 3. 대규모개인정보유출 9/26
1. 세계의사이버위협동향 Ⅱ. 사이버침해동향 DDoS 등사이버공격지속 ( 09 년 7.7 DDoS, 11 년 3.4 DDoS) 스턱스넷등신종사이버위협증가 ( 10 년스턱스넷이란핵시설침투 ) GPS 교란, 사회기반시설스턱스넷공격등사이버전양상예상 에스토니아사태 (2007.4) 그루지아정부사이트공격 (2008.8) 미국 - 중국사이버전쟁 (2001.5) 중동전사이버전 (2000.1) 중국 - 티벳사이버전쟁 GhostNet (2009.3) 한국정부 7.7DDoS 3.4DDoS GPS 교란 난징대학살왜곡일본공격 (2001.1) 미국펜타곢해킹 (2007.6) 뉴질랜드 - 호주정보망해킹 (2007.9) 10/26
< 참고 > 스마트시대, 사이버보안위협 Ⅱ. 사이버침해동향 네트워크경계모호 모든기기서비스가스마트폰으로대표되는모바일기반으로통합되어시간 공간의제약없이항상접속되어서비스이용 네트워크 (WIFI, 3G, 블루투스등 ) 와기기 (iphone, GPS, MP3 등 ) 컨버전스 스마트폰가입자증가추이 ( 11.3 월방통위 ) ( 09.12 월 )80 만명 ( 10.6 월 )247 만명 ( 10.12 월 ) 722 만명 ( 11.3 월 )1,002 만명 보안위협범위가전방위로확대 단말및컨텐츠, 네트워크, 서버등전방위로보앆위협확대 스마트폰이인터넷접속, 위치정보활용등복합기능수행에따라서 해킹, 악성코드등보앆사고로인한피해발생우려증가 7.7 DDoS 와같은사고가모바일환경에서재현될가능성증가 11/26
2. 국내의사이버위협동향 Ⅱ. 사이버침해동향 사이버공격형태분석 홈페이지변조 20.3% 기타 14.3% 스팸릴레이 47.8% 피싱경유지 4.7% [2010 국가정보호백서 ] 최근사이버공격피해사례 시기 피해내용 2010. 6 월우리군의고고도무인정찰기인 HUAV 도입계획을북한에서해킹 2011. 3 월 2011. 3 월 2011. 3 월 국내주요국가기관, 금융회사, 포털사이트에대한 DDoS 공격 ( 최초공격시 29 개사이트대상으로공격및좀비 PC, 하드디스크파괴 ) 수도권서북부일부지역에서북한군에의한 GPS 교란전파발생 (2 세대이동통신에대한시간정보오류및음성통화장애발생 ) EBS( 한국교육방송공사 ) 에대한 DDoS 공격 ( 대입수험생회원 5 만여명의수능강의청취방해 ) 2011. 4. 7 현대캐피털고객정보 175 만여건을탈취, 금전요구 2011. 4. 12 협력업체직원의노트북에서삭제명령을실행 275 개서버를공격전산마비 12/26
< 참고 > 해킹, DDoS 등사이버침해동향 Ⅱ. 사이버침해동향 불특정대상, 과시형공격 ( 과거 ) 특정타겟, 융합형공격 ( 현재 ) 3.4 포럼방식의 DDoS 공격미정착발생구성원의현대캐피탈자발적개인정보 적극적참여유출미흡 농협매뉴얼의서버해킹사건활용도저하발생 사이버공격에교육과의연계미사일미흡응징 13/26
3. 대규모개인정보유출 Ⅱ. 사이버침해동향 14/26
< 참고 > 개인정보유출관련언론보도 Ⅱ. 사이버침해동향 15/26
정보통신기반보호및개인정보보호법제정내용 1. 기반시설보안요구사항증대 2. 주요정보통신기반시설보호현황 3. 개인정보보호법현황 4. 개인정보보호법제정으로달라지는점 16/26
1. 기반시설보안요구사항증대 Ⅲ. 정보통신기반보호및개인정보보호법제정내용 17/26
2. 주요정보통신기반시설보호현황 Ⅲ. 정보통신기반보호및개인정보보호법제정내용 18/26
3. 개인정보보호현황 (1) Ⅲ. 정보통신기반보호및개인정보보호법제정내용 최근의개인정보침해는대형화 지능화 다양화추세 - '10 년에도약 1 억건이상의개인정보침해사고발생 - 해킹, 내부직원유출, 담당자부주의등이주요원인 쇼핑몰등 6,950만건 ( 10. 4월 ) 고교생해커 760만건유포 [ 11.2월] 경매사이트 1,800 만건 ( 08. 3 월 ) 총 67 건 소송액 2,100 억원 (195,150 명 ) 19/26
3. 개인정보보호현황 (2) Ⅲ. 정보통신기반보호및개인정보보호법제정내용 공공기관개인정보보호법 ( 공공기관 ), 정보통신망법 ( 정보통신사업자, 준용사업자 ) 등개별법체계로헌법기관, 오프라인사업자, 비영리기관등은관련법부재 - 현행개별법체계에서는법적용의사각지대발생 - 개별법간보호원칙, 처리기준및추진체계가상이하여국민혼란, 일관된정책추진에한계 19,665 건증가, 56% 증가 2010 년개인정보침해신고 : 총 54,832 건 법적용제외사업자 73.7% (40,431 건 ) 법적용사업자 26.3% (14,401 건 ) 2009 년개인정보침해신고 : 총 35,167 건 20/26
< 참고 1> 추짂경과 Ⅳ. 개인정보보호법제정내용 17 대국회에서 3 개 ' 개인정보보호법 ( 안 )' 의원발의 - 노회찬의원 ( 민노당, 04.11), 이은영의원 ( 우리당, 05.7), 이혜훈의원 ( 한나라당, 05.12) - 17 대국회임기만료로 3 개발의법안자동폐기 행안부 ' 개인정보보호법제정 T/F' 에서 11 차례논의 ('08.3) - 2 회공청회개최 (08.6.27, 08.8.28) 개인정보보호법정부안국회제출 ('08.11.28) - 이혜훈의원안 (08.8.8), 변재일의원안 (08.10.27) 국회상정 ('09.2.20) 및본회의통과 ( 11.03.11), 공포 ( 11.3.29] 개인정보보호법시행 ( 11.9.30] 21/26
< 참고 2> 개인정보보호법체계일원화 Ⅳ. 개인정보보호법제정내용 초중등교육법 교육정보시스템의운영등에관한규칙등 생명윤리및안전에관한법률 장기등이식에관한법률 응급의료에관한법률 교육 공공행정 현재 공공기관의개인정보보호에관한법률 전자정부법, 주민등록법 가족관계의등록등에관한법률 공공기관의정보공개에관한법률등 의료 우리나라개인정보보호법률체계 정보통신 신용정보의이용및보호에관한법률 금융실명거래및비밀보장에관한법률, 전자거래기본법 전자상거래등에서의소비자보호에관한법률 금융 / 신용 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 정보통신기반보호법 전기통신사업법등 교육 제정안 의료 금융 / 신용 개인정보보호법 공공행정 정보통신 22/26
4. 개인정보보호법제정으로달라지는점 Ⅲ. 정보통신기반보호및개인정보보호법제정내용 구분 현행개인정보보호법 ( 11.9 월시행 ) 규율대상 보호범위 주민등록번호등고유식별정보처리제한 공공기관, 정보통신사업자등개별법이규정하고있는경우 (51 만개사업자 ) 컴퓨터등에의해처리되는개인정보파일 고유식별정보의민간사용에대한사전적제한규정없음 공공 민간의모든개인정보처리자 (350 만개사업자 ) 종이문서에기록된개인정보도포함 원칙적처리금지 정보주체의별도동의, 법령의근거가있는경우등은예외허용 유출통지 관련제도없음 개인정보유출통지의무화 집단분쟁조정 관련제도없음 집단분쟁제도도입 ( 재판상화해효력부여 ) 단체소송 관련제도없음 단체소송 ( 권리침해중지 ) 도입 위원회 국무총리소속개인정보보호심의위원회 대통령소속개인정보보호위원회 23/26
주요정책과제 1. 사이버침해대응체계개선 2. 유기적인사이버보안체계구축 24/26
1. 사이버위협대응체계개선 Ⅲ. 주요정책과제 ㆍ좀비 PC 제거및확산방지를위핚 [ 좀비 PC 방지법 ] 제정 ㆍ안전하고깨끗핚인터넷홖경조성을위핚정부차원의 [ 정보보호의날 ] 제정 ㆍ국가 공공기관에 정보보호관리체계 (G-ISMS) 도입의무화등법제정 민간분야는 KISA 에서기도입 ㆍ정보보호인프라에대핚지속적인확충 - 신 변종사이버위협에대응할수있도록장비및인력보강 ㆍ EMP(Electro Magnetic Pulse) 에대핚대응방안마련 ㆍ국가사이버침해대응협의체구성ㆍ운영 - 주기적모의훈렦실시및보완 - 단계별대응매뉴얼작성및공동대응 ㆍ민ㆍ관정보공유및공동대응협력체계구축 (MOU) - ISP, SI 사업자, 정보보호전문업체참여 ㆍ학생및교사를대상으로사이버윢리교육강화 - 사이버공격의국가ㆍ사회적위험성, 법적처벌등 ㆍ좀비 PC 방지범국민캠페인전개 - 악성코드감염의위험성안내및보안패치생활화등 ㆍ UN 산하세계정보보호기구창설 - 한ㆍ중ㆍ일정보보호협의회활성화 ㆍ정보보호국제수사공조체계구축 - 좀비 PC 차단및수사협조 25/26
3. 유기적인사이버보안체계구축 Ⅲ. 주요정책과제 사이버침해는시스템만으로완벽한대처곤란 => 조직, 시스템, 프로세스, 협력체계구조화필요 - PEOPLE( 인력 조직 ) + PROCESS( 절차 ) + SYSTEM( 보안장비 ) + COLLABORATION( 협력 ) 이유기적으로결합하여야효과적대처가능 PROCESS 정보보호전담조직 보안분석 운영 관제 NCIA-CERT ( 정보시스템 통신포함 ) 정보보호정책 규정 지침 위기상황단계별대응매뉴얼 모의훈련, 평가 검증 개선홗동등 유형별다단계공격 방어시스템등 통합보안 유해트래픽 악성코드분석시스템등 SYSTEM COLLABORATION ( 수사기관, 보안전문업체, 외부관제센터등 ) 26/26