개인정보보호법시행에따른 기업의대응방안 2011 년 10 월 이기혁박사 /SKTelecom
Agenda I. 개인정보유출사고사례 II. 개인정보보호법의이해 III. SKT 대응방안 2
1. 개인정보유출사고사례 최근보안사고는공격목적이금전, 테러등으로변화하고해킹성공시피해규모가커짐에따라기업이 감내할수있는 Risk 의범위를넘어서생존의문제로대두됨 보안사고사례사고사례피해규모 현대캐피탈 ( 11.4) 신원미상해커 한국 필리핀 고객정보 43 만건유출 신용대출정보 1.3 만건유출 사고경과 / 원인 웹취약점을이용한공격 시스템로그를장기간획득 웹취약점대응체계부족 일회성보안점검실시 고객정보 43 만건유출 ( 보상액최대약 3,000 억규모가능 ) 日소니 ( 11.4) 전문해커조직 폐쇄망인 PSN 의개인정보, 카드번호 7,700 만건유출 16 차례반복해킹 사고경과 / 원인 발견된결함에대한조치미흡 : 취약점발견이후관리및조치부족 보안 Hole, 취약점에대한지속적인탐지및조치미흡 서비스중단영업손실 10 억 $ ( 보상액 20 억 $ 소송진행중 ) 삼성카드 ( 11.8) 내부직원 이름, 전화번호, 직장, 주민번호앞두자리등 80 만건유출 사고경과 / 원인 고객정보접근권한이있는내부직원의보안의식미흡 고객정보접근에대한불법오용탐지및대응미흡 고객정보 80 만건유출 ( 집단소송준비중 ) 3
Agenda I. 개인정보유출사고사례 II. 개인정보보호법의이해 III. SKT 대응방안 IV. 맺음말 4
2. 개인정보보호법의이해 개인정보보호법주요법령 2011 년 9 월 30 일부터개인정보보호법이전면시행됐으며개인정보보호법내용이강화됨. 개인정보보호법주요조항 1. 보호의무적용대상의확대 4. 영상정보처리기기규제 - 공공 / 민간부문의모든개인정보처리자로확대적용. - 영상정보처리기기규제를민간까지확대. - 카메라임의조작, 다른곳을비추는행위, 녹음금지. 2. 보호범위의확대 - 컴퓨터등에의해처리되는정보외종이문서에기록된개인정보도보호대상에포함. 5. 개인정보수집 이용제공기준 - 공공민간통일된처리원칙과기준적용, 개인정보수집 이용가능요건확대. 3. 고유식별정보처리제한 - 주민번호등고유식별정보원칙적처리금지, 사전규제제도신설. - 주민번호외회원가입방법제공및암호화등안전조치의무화. 6. 개인정보유출통제및신고제도입 - 정보주체에게유출사실을통지. - 대규모유출시에는행정안전부또는전문기관에신고. 5
2. 개인정보보호법의이해 개인정보보호법주요변경사항 구분 적용대상 변경전 ( 공공기관개인정보법, 정보통신망법 ) 분야별개별법이있는경우에한하여적용 - 공공기관, 정보통신사업자, 신용정보제공 이용자 변경후 ( 개인정보보호법 ) 공공 민간통합규율로법적용대상확대 - 오프라인사업자, 국회, 법원, 의료기관, 동창회등 보호범위컴퓨터등에의해처리되는개인정보파일종이문서 ( 민원서류등 ) 에기록된개인정보포함 개인정보수집, 이용, 제공기준 고유식별정보처리제한 영상정보처리기기규제 공공, 정보통신등분야별개별법산재 고유식별정보민간사용의사전적제한규정없음 인터넷상주민등록번호외회원가입방법제공의무 - 정보통신서비스제공자에한함 공공기관이설치 / 운용하는 CCTV 에한하여적용 공공, 민간통합개인정보처리원칙및기준제시 고유식별정보 ( 주민등록번호등 ) 의원칙적처리금지 - 정보주체의별도동의, 법령근거존재시예외인터넷상회원가입방법제공의무화대상확대 - 공공, 일부민간분야개인정보처리자고유식별정보처리시암호화등안전조치확보의무 공개된장소에설치 / 운용하는민간까지확대적용규율대상에 CCTV 외네트워크카메라포함 텔레마케팅등규제정보통신서비스제공자에한하여규제모든개인정보처리자로규제대상확대 - 정보주체에게위탁업무내용및수탁자고지 - 다른개인정보처리에대한동의와별도로고지 개인정보영향평가 관련제도없읍 공공기간에한해침해위험이높은경우사전영향평가실시의무화 개인정보유출통지관련제도없읍개인정보유출사실통지의무화 6
2. 개인정보보호법의이해 위치정보의보호및이용등에관한법률 위치정보보호법의주요내용 사업자는정보보호수단을갖추고방통위신고허가를받아야함. 위치정보수집및이용사례 연인의위치정보를알려주는 오빠믿지 아이폰어플리케이션개발자가위치정보보호법위반으로불구속입건됨. 개인은자신의위치정보수집및이용중지를사업자에게요구할수있으며사업자는이를거절할수없음. 위치정보사업자는서비스제공후위치정보를수집 이용 제공사실확인자료외의개인위치정보는즉시파기해야함. 7
Agenda I. 개인정보유출사고사례 II. 개인정보보호법의이해 III. SKT 대응방안 8
3. SKT 대응방안 개인정보보호법은고객뿐만아니라모든개인정보가보호대상이고다른법률에특별한규정이있는경우를제외하 고는개인정보보호법을적용받음 9
3. SKT 대응방안 정통망법에따른고객정보보호관련적용현황에추가로개인정보보호법시행에따른추가사항수행준비 구분현재적용현황준비사항 주민등록번호이외의회원가입방법제공 Tworld, 11 번가등해당사이트적용완료 신규구축웹사이트적용의무화 주민번호등고유식별정보처리에대한동의 일반고객정보와통합하여동의 고유식별정보처리동의구분 개인정보접속기록보관및위 / 변조방지 중요개인정보암호화 고객정보통합로그서버구축완료 주민번호, 금융정보등중요고객정보암호화완료 임직원, BP 등개인정보시스템대상통합로그서버구축및암호화필요 개인정보접근권한관리 영업전산시스템, T-World, 인사, 재무, 그룹웨어등주요시스템접근권한관리적용 전체개인정보시스템접근권한재점검 10
3. SKT 대응방안 개인정보보호법시행에따라법과고시에따른의무사항은기본적으로모두수행하고 SK 텔레콤은추가적으로다음 3 대영역을강화하여개인정보보호를선도함 개인정보보호센터 (SOC) 개인정보유출이차단된보안환경에서개인정보취급 시스템접속을위한전용공간 개인정보영향평가 (PIAS) 민간기관대상권고사항인개인정보영향평가를전면적으로 시행하고관리시스템구축 개인정보유출모니터링 사내구축된보안시스템과개인정보취급시스템대상 시나리오기반의유출징후를모니터링 11
3. SKT 대응방안 1) 개인정보보호센터 (SOC) 개인정보취급자의 Security Level 을분류하고그중정보대량유출가능성을원천적으로차단할수있도록개인정보의내외부접근을단일화한개인정보보호센터 (SOC:Security Operation Center) 구축 개인정보취급자 Security Level 구분 개인정보대량접근가능자 Level 물리적격리 보안통제사항 네트워크격리 모니터링 PC 보안문서보안 1 개인정보 시스템접근 2 가능자 물리적통제 관리적통제 개인정보 (SOC) 기술적통제 개인정보접근가능자 3 SOC 보안원칙 SOC 는개인사무공간이아니라개인정보의직접접근을단일화한보안영역임 SOC 에서외부로의모든자료발신 / 반출통제 필요시발신자및발신정보의로깅이가능한시스템이용 업무상예외사항은업무의중요도및필요도에따라서개별적으로적용 사전승인된반출건은보안성검토후반출가능 12
3. SKT 대응방안 1) 개인정보보호센터 (SOC) 개인정보보호강화를위해서 SOC 에서는다음과같이 5 가지의보안통제를중점적으로적용하여운영함 출입통제 가. 24 시간 365 일출입보안요원상주나. 개인소지품보관후승인된출입자만출입다. 금속탐지기를활용한반입 / 반출차단 PC 및문서통제 가. 업무용 PC 지급, 개인 PC 사용통제나. SOC내모든 PC에는 SKT의보안프로그램적용다. SOC에서생성되는모든문서는문서보안프로그램을통한자동암호화수행 금속탐지기 네트워크통제 가. 개인정보로의직접접근은 SOC 내에서만허용됨나. E-Mail, 메신저등 SOC 외부로의네트워크접속원천차단다. 개인업무처리를위한인터넷접속용 PC방운영 고객정보전송통제 가. 고객정보관련작업결과의외부전송통제나. 작업결과전송시스템을통하여작업요청자에게만결과전송 ( 결과파일자동암호화 ) 통제사항보안점검 가. SOC 보안담당자로전문보안인력상주나. SOC 보안정책준수현황에대한정기 / 비정기보안점검수행다. 개인정보유출감사 / 로그분석시스템을활용한개인정보오 남용점검라. 보안통제프로세스 ISO27001 인증 (2007.12) 13
3. SKT 대응방안 2) 개인정보영향평가시스템 (PIAS) 고객정보를취급하는서비스및이벤트기획시, 고객정보침해요소를점검하여사고발생전에개선및제거 1. 평가대상 - 서비스개발 / 시스템구축 - 영업전산시스템구축 / 변경 - 웹사이트 / 포털구축 / 변경 - 이벤트 / 프로모션 * 중요고객정보를취급할경우 2. 신청시점 - 서비스기획 ~ 시스템설계완료전 - 이벤트시행전 3. 신청방법 - Tnet > 업무지원 > 정보보안포탈 > 고객정보영향평가 14
3. SKT 대응방안 3) 개인정보유출모니터링 개인정보유출탐지를위해서사내보안시스템 00 종과개인정보취급시스템 00 종의시스템로그및접속로그를통합분석하여개인정보유출및오용시나리오를도출하여룰기반의모니터링시스템구축, 운영 고객센터룰 / 시나리오도출예시 시스템 Log 업무처리정보 고객정보조회 인입콜정보 고객상담정보 룰도출 룰도출 고객정보처리자 ( 고객센터 ) 업무처리자인입콜내역 ( 자사 ) 고객상담내역업무처리자 고객정보인증조회자 ( 고객센터 ) 시나리오도출 시나리오 고객인입콜대비업무처리가현저히많은상담원 고객인입콜대비고객조회가현저히많은상담원 사용룰 고객정보처리자 ( 고객센터 ) 업무처리자인입콜내역 ( 자사 ) 고객상담내역업무처리자 주요고객정보화면조회자 업무처리자인입콜내역 ( 자사 ) 고객정보인증조회자 ( 고객센터 ) 현업리뷰 현업리뷰결과룰 / 시나리오반영 현업요청 상담원업무레벨, 유형정보표시 당사서비스외인입콜된건수정보제공 특정개인, 대리점처리정보제공 인증후, 고객정보조회건체크 15
Thank you 16