2014. 04
매월첫째주월요일은롯데그룹정보보호의날! 롯데임직원의보안인식제고와개인정보보호활동강화를위하여정보보호위원회는매월첫째주월요일을롯데그룹정보보호의날로지정하여운영하고있습니다. 2014 년 04 월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니많은관심과실질적인예방을위한활동부탁드립니다.
Contents 1 2 3 4 5 6 정보보호동향 POS 악성코드국외에서지속발견새롭게바뀌는정보보호관련법업무상개인정보보호 Q&A Security TIP! TIP! TIP! 정보보호위원회활동
1. 정보보호동향 3 月정보보호관련주요기사 (1/2) 1. KT 홈페이지해킹으로고객개인정보유출 (YTN, 3/07) KT 홈페이지해킹으로 981만명의이름, 주소, 주민등록번호, 신용카드번호, 카드유효기간, 서비스가입정보, 요금제관련정보등유출 해커는이용대금조회란을통해고유숫자 9개를무작위로자동입력시키는방법으로 3개월간 1,266만번정도접속하여개인정보탈취 탈취한고객정보를휴대전화개통 판매영업에활용하여 115억원의부당이득을취함 2. 미래부, 민간자율보안등급제도입추진 ( 연합뉴스, 03/12) 기업의정보보안등급을매기는제도를민간자율로운영할방침으로이달중방안을확정하고올해안에제도를시행할계획 기존제도와중복될수있다는지적에관리등급제와민간자율보안등급제를연계하는방안도고려하고있다고밝힘 3. CJ 대한통운고객개인정보유출 (YTN, 3/17) 심부름센터업주 A가 CJ대한통운택배기사 B의아이디와비밀번호를이용하여지난해 9월부터지난 2월까지 382차례에걸쳐개인정보를수집한뒤유출 유출된개인정보는택배서비스를이용한고객들의이름, 전화번호, 주소등포함
1. 정보보호동향 3 月정보보호관련주요기사 (2/2) 4. 100억원대제조업체신기술빼돌린전직원 ( 연합뉴스, 3/23) 제조업체설계팀장이던김씨는상사와갈등을빚어 2010년퇴사하면서인쇄회로기판 (PCB) 검사장치핵심기술을외장하드에담아유출 유출된정보로회사를차리고최근까지검사장치 7대를만들어시가보다 1억원이상싼대당 1억 8천만원에팔아 13억여원을챙긴혐의
2. POS 악성코드국외에서지속발견 악성코드에의한국외해킹발생 POS 결제정보유출방지대책 악성코드에의한국외 POS 해킹사례 '13 년도 12 월미국의대형유통할인마트타겟 (Target) 에서 약 1 억, 1,000 만건카드결제정보유출 고객이름, 카드번호, 카드만료날짜, CVC/CVV 비밀번호등 러시아해커가개발한악성코드가타겟 (Target) 社에설치된 POS 를 감염시키고신용카드정보를유출 당시 2 차피해까지감안한추정피해액은 180 억달러, 한화약 19 조원 유출된정보를이용하여신용카드를복제한일당 2 명이체포되기도함 지난 1 월, 미국보안회사는 POS 악성코드가미국뿐만아니라러시아, 캐나다, 호주등 11 개국가에서광범위하게발견되었다고발표 POS(Point-of-sale terminal) : 마트, 백화점등상품명이나가격등에관한데이터를기계에판독시켜데이터처리를수행하는시스템 POS 결제정보유출사고방지대책 POS 단말기의업무외인터넷사용금지 음악다운로드, 웹서핑등악성코드유입경로차단 보안솔루션 ( 백신 ) 의설치 POS 단말기의운영체제업그레이드및관리 SW 보안패치적용 카드사및밴사의통신목적의 IP 및포트를제외한통신통제및차단 POS 단말기와서버간의통신시송수신데이터암호화
3. 새롭게바뀌는정보보호관련법 개인정보보호법개정안시행 주민등록번호수집및관리강화 주민등록번호수집금지, 위반시과태료 3천만원 2014년 8월 7일부터시행 주민등록번호는법령에수집근거가구체적으로있는경우또는급박한재해, 재난상황에서생명, 신체, 재산상이유로필요한경우를제외하고원칙적으로수집이나이용할수없음 주민등록번호입력외의본인확인방법을제공하지않으면 3천만원이하의과태료부과 적법하게주민번호가수집되었다고하더라도분실, 도난, 변조, 유출시에는 5억원이하의과징금부과 이미수집된주민등록번호는어떻게해야하나요? 이미보유하고있는주민등록번호는 2016 년 8 월 6 일까지모두파기해야합니다. 주민등록번호의무적으로암호화보관 2016년 1월 1일부터시행 개인정보처리자는주민등록번호를의무적으로암호화하여보관해야함 [ 개인정보보호법 ] 제24조 2항 ( 고유식별정보의처리제한 ) 개인정보처리자는주민등록번호가분실 도난 유출 변조또는훼손되지아니하도록암호화조치를통하여안전하게보관하여야한다. 이경우암호화적용대상및대상별적용시기등에관하여필요한사항은개인정보의처리규모와유출시영향등을고려하여대통령령으로정한다.
4. 업무상개인정보보호 Q&A 기업영업비밀보호를위해직원지문을이용한출입통제시스템 을구축하려고하는데법적문제는없는가요? 지문정보의수집동의를받아출입통제시스템을설치하면됩니다. 그러나기업에고용되어있는근로자의입장에서는출입등록시스템설치에대해자유로운의사에근거하여동의여부를선택하기가현실적으로곤란하고, 기업으로서도만일근로자 ( 정보주체 ) 1인이라도동의를거부하는경우에는사실상그출입통제시스템의설치 운영을포기하여야하는상황에이르게됩니다. 고용계약에기업영업비밀준수에관한사항이포함되어있다면 정보주체와의계약체결 이행에불가피한경우 로서지문정보수집 이용이허용된다고판단하여설치할수있습니다. 또한기업의사업특성이나영업비밀보호의필요성등 개인정보처리자 ( 기업 ) 의정당한이익달성에필요한경우 인지를검토하고, 이러한이익이정보주체 ( 근로자 ) 의권리보다우선하는지여부를판단하여설치할수있습니다. [ 개인정보보호법제15조 6항 ] 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다.
5. Security TIP! TIP! TIP! 지갑보다소중한스마트폰, 알아두면좋은보안상식 현재국내스마트폰가입자수는 3,782만명, 전국민의 3분의 2가스마트폰을사용하고있습니다. 인터넷검색에서금융활동까지생활밀착형기기로진화하였지만, 금전탈취 정보유출등악용되는피해도크게증가하고있습니다. 지갑보다소중한정보가담긴스마트폰의예방을위해서무엇보다악성앱에감염되지않도록 스스로주의하는것이중요합니다. 스마트폰을안전하게지킬수있는알아두면좋은보안상식 (7가지) 1 정식앱마켓이아닌다른출처 ( 블랙마켓 ) 의앱설치제한하기 : 대부분악성앱은구글 Play 와같은정식앱마켓이아닌웹사이트, SNS 등을통해유포 2 SMS 또는 SNS에포함된인터넷주소또는 URL 클릭하지않기 3 공인인증서는 USIM 등안전한저장장소에보관하기 : 스마트폰에공인인증서와보안카드를저장하는경우, 해커들의주요표적이될수있음 4 스마트폰내백신설치및실시간탐지기능활성화 5 스마트폰운영체제를항상최신으로업데이트 6 스마트폰보안잠금 : 스마트폰분실등으로중요한개인정보가노출되지않도록패턴및비밀번호를설정 7 스마트폰플랫폼의구조를임의로변경하지않기 : 루팅 (Rooting), 탈옥 (JailBreak) 등임의변경으로악성앱및외부공격에쉽게노출
6. 정보보호위원회활동 3 月부산 경남지역정보보호세미나개최 부산 경남소재계열사및영업점, 지점정보보호담당자, 개인정보취급 자등을대상으로정보보호세미나를다음과같이개최하였습니다. - 다음 - 1. 목적 : 부산 / 경남계열사및영업점정보보호강화를위한세미나개최 2. 일시 : 2014년 3월 28일 ( 금 ) 10:00 ~ 12:30 3. 장소 : 부산롯데호텔 15층창의룸 4. 참석자 : 부산 경남소재계열사및영업점, 지점정보보호담당자, 개인정보취급자총 24명 ( 부산 / 김해소재 9개社 ) 5. 주요내용 - 정보보호사고사례및시사점 - 개인정보보호 A to Z
발행처 롯데그룹정보보호위원회 Homepage http://secupolicy.net E-mail secu_policy@lotte.net Tel (02) 2626-5945