CONTENT Ⅰ. 개요 Ⅱ. 개인정보노출사례및긴급조치 Ⅲ. 개인정보노출예방
1 2 3 4 개인정보 노출 과 유출 의차이개인정보노출의문제점개인정보노출관련제재개인정보노출모니터링
개인정보 유출 과 노출 의차이 (1) 개인정보 유출 이란? 정보주체의 개인정보 에대하여개인정보처리자가통제를상실하거나 또는권한없는자의접근을허용한경우 ( 고의 + 부주의 ) 개인정보노출 은유출의한부분 노출 게시판상담요청및처리시, 개인정보가포함된내용을그대로답변등으로게시할경우 검색엔진등을통한사이트내에개인정보가수집 / 저장되어일반인이노출된개인정보에접근하게하는경우 개인정보가저장된 DB 등개인정보처리시스템에정상적인권한이없는자가접근한경우 유출 개인정보처리자의고의또는과실로인해개인정보가포함된파일, 문서, 저장매체등이잘못전달된경우 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터등을분실하거나도난을당한경우 - 4 -
개인정보 유출 과 노출 의차이 (2) 홈페이지를통한 개인정보 노출 이란? 홈페이지이용자가해킹등특별한방법을사용하지않고, 인터넷을이용하면서 타인의개인정보를취득할수있도록인터넷상에서관련 정보가방치 된상태 주로홈페이지관리자및이용자의부주의로발생 게시글등록 노출되면안되는항목 고유식별정보 - 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호 첨부파일등록 그외개인정보 - 전화번호, 휴대폰번호, 이메일주소, 민감정보등 - 5 -
개인정보노출모니터링 정기적인개인정보노출모니터링실시 공공분야노출모니터링 민간분야노출모니터링 시행주체 : 행정안전부, 한국인터넷진흥원 모니터링대상 - 공공분야 : 20만개 - 검색엔진 : KISA에서개발한탐지엔진을이용하여웹페이지직접탐지및검색키워드를활용한간접탐지 대상정보 - 홈페이지 : 고유식별정보 4종주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 시행주체 : 행정안전부, 한국인터넷진흥원 모니터링대상 - 민간분야 : 320만개 - 검색엔진 : KISA에서개발한탐지엔진을이용하여웹페이지직접탐지및검색키워드를활용한간접탐지 대상정보 - 홈페이지 : 고유식별정보 8종주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 건강보험등록번호, 계좌번호, 휴대전화번호 노출기관에대한조치 개인정보가노출된기관에삭제등조치하도록통보 - 공공기관의경우, 상급기관에통보노출된기관의담당자에게 개인정보노출재발방지 교육실시 ( 필수 ) 행정안전부의 개인정보관리실태특별점검 대상에포함 - 6 -
개인정보노출의문제점 고유식별정보등사생활침해가우려되는정보가노출 노출되어서는안되는고유식별정보 ( 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 ), 신용카드번호, 계좌번호, 바이오정보등이노출 - 주민등록번호는본인의동의가있더라도법적근거가없으면처리불가, 여권번호등은처리시본인의동의필요및암호화보관하여야하는중요정보 - 노출시법적제재의대상이될수있음 홈페이지에노출된개인정보는구글등검색엔진에 2 차노출 홈페이지에노출된개인정보를신속히삭제하지않을경우, 구글등검색엔진에의해노출이확산되거나, 제3자에의해수집됨 - 개인은명의도용, 보이스피싱등범죄에악용, 대량스팸수신등피해 * 노출된정보는수집되어개인을분석하는자료로악용 ( 프라이버시침해 ) - 기업은이미지실추, 다수피해자에의한손해배상소송제기 - 7 -
검색엔진의위험 (1) 검색로봇이사이트주소및사이트내용을수집 / 저장 www.kisa.or.kr http://webcache.googleusercontent.com/search?q=cache:co9sqt ZpZ78J:www.kisa.or.kr/+&cd=1&hl=ko&ct=clnk&gl=kr [ 현재사이트 ] [ 캐시에저장된페이지 ] - 8 -
검색엔진의위험 (2) 홈페이지에노출된개인정보를삭제했더라도, 검색엔진은삭제하기이전의홈페이지 정보 ( 캐시 ) 를저장하고있음 => 구글등검색엔진에별도로삭제를요청하여야함 www.kisa.or.kr http://webcache.googleusercontent.com/search?q=cache:co9sqt ZpZ78J:www.kisa.or.kr/+&cd=1&hl=ko&ct=clnk&gl=kr [ 삭제조치후, 현재사이트 ] [ 캐시에저장된페이지 ] - 9 -
개인정보노출관련제재 안전조치의무 개인정보또는고유식별정보가분실 도난 유출 변조 훼손되지않도록안전성확보에필요한기술적 관리적 물리적조치이행 ( 개인정보보호법제 24 조제 4 항, 제 29 조 ) 안전성확보조치 안전성확보조치에필요한세부사항은행정안전부장관이정하여고시 번호고시조항조치할사항비고 1 고시제 6 조제 3 항 2 고시제 6 조제 4 항 - 취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망이용등을통하여열람권한이없는자에게공개되거나유출되지않도록접근통제등에관한조치시행 - 인터넷홈페이지를통해고유식별정보가유출, 변조, 훼손되지않도록연 1 회이상취약점을점검하고필요한보완조치시행 3 고시제 7 조제 1 항 - 고유식별정보, 바이오정보, 비밀번호의암호화 4 고시제 7 조제 2 항 - 비밀번호및바이오정보암호화 ( 단, 비밀번호는단방향처리 ) 5 고시제 7 조제 3 항 - 인터넷구간및인터넷구간과 DMZ 구간의전송구간암호화 처벌규정 미이행시, 3 천만원이하의과태료 미이행으로인한유출시, 2 년이하징역또는 1 천만원이하벌금 정보통신망법 개인정보기술적관리적보호조치기준 에서는고유식별정보외에신용카드번호, 계좌번호, 바이오정보를암호화하도록규정 - 10 -
홈페이지개인정보노출실태 (1) 개인정보노출관련언론보도 (jtbc, 2019. 2. 17.) - 12 -
홈페이지개인정보노출실태 (2) 최근 5 년간개인정보노출추이 ( 공공 ) [ 노출홈페이지 ] 727 687 774 528 단위 : 홈페이지개수 [ 노출건수 ] 182,44308,48 130,26 4 5 0 56,226 단위 : 건수 14,868 398 357 7,306 2013 2014 2015 2016 2017 2018 2013 2014 2015 2016 2017 2018 개인정보노출경향 [ 검색정보 ] 고유식별정보 4종 1 주민등록번호 2 여권번호 3 외국인등록번호 4 운전면허번호 최근 6 년간개인정보노출홈페이지수는 50.9% 정도감소했다. 노출건수는 16 년도까지지속적증가추세를보였다. 17 년노출건수가급격히감소했지만, 18 년노출건수가작년에비해두배정도늘었다. 노출홈페이지는작년보다모니터링대상이 2 만여개가감소했고, 노출건수는작년 OO 시청사이트에서약 7 천건의개인정보가대량노출되작년대비 2 배로증가하였다. - 13 -
개인정보노출형태 ( 공공기관 ) 대분류중분류주요노출형태노출원인 - 참여마당 자유게시판 글에서주민등록번호노출 - 정보조회의 일반정보 글에서운전면허번호노출 게시글노출 중앙행정기관 - 합격자발표게시판의 OO 시험합격자명당 첨부파일에서여권번호노출 - 임대안내게시판의신청서류첨부파일에서주민등록번호노출 - 시험공고 / 공지사항게시판의 공채임용유예자명단 첨부파일에서주민등록번호노출 첨부파일노출 - 개별공시지가이의신청 첨부파일에서주민등록번호노출 - 과제검색게시판의첨부파일에서주민등록번호와외국인등록번호노출 첨부파일노출 공공기관 지방자치단체 - 정보공개창게시판의 배출업소현황 첨부파일에서주민등록번호노출 - 우리동소식게시판의 알선대상자명단 첨부파일에서주민등록번호노출 - OO 시선수명단 파일에서주민등록번호노출 - 행정처분명령서파일에서주민등록번호노출 첨부파일노출 초중고 - 급식행정공개, 가정통신문 에서주민등록번호노출 - 행정실게시판의 운영위원회 파일에서주민등록번호노출 - 부별업무자료의 스카우트 알집파일내에존재하는첨부파일에서주민등록번호노출 첨부파일노출 - 민원센터의 학사 / 학적변동 글에서주민등록번호노출 - 사이버강좌의 개설강좌 글에서주민등록번호노출 게시글노출 대학교 - 어학원수강신청 파일에서외국인등록번호노출 - 행정실공지사항게시판의첨부파일에서주민등록번호와외국인증록번호노출 - OO 대학교관리자페이지에서주민등록번호노출 첨부파일노출 홈페이지설계및관리미흡 - 14 -
개인정보노출형태 ( 비영리ㆍ법인단체 ) 대분류중분류주요노출형태노출원인 여행업 - 여행예약확인요청 글에서주민등록번호, 여권번호노출 - 현금영수증요청 글에서주민등록번호노출 - 고객센터의 질문과답변 글에서주민등록번호노출 - 이용안내의 자주묻는질문 FAQ 글에서주민등록번호노출 게시글노출 게시글노출 - 건강상담의 복약상담 글에서주민등록번호노출게시글노출 비영리 법인단체 의료업 협회 - 정보광장의 채용공고 파일에서주민등록번호노출 - 요양급여비용청구서파일에서주민등록번호노출 - 건강진단결과표에서주민등록번호노출 - 개인성적기록 조회게시판에서주민등록번호노출 - 참가팀소개 게시판에서주민등록번호노출 - 자원봉사신청서 첨부파일에서주민등록번호노출 - 내용증명서파일에서주민등록번호노출 첨부파일노출 홈페이지설계및관리미흡 홈페이지설계및관리미흡 첨부파일노출 단체 - 본회소개의 회원명단 글에서주민등록번호노출게시글노출 - 자료실게시판의 경매실적 첨부파일에서주민번호와외국인등록번호노출 - 재단소개의 정관 / 이사회 첨부파일에서주민등록번호노출 첨부파일노출 - 15 -
개인정보노출사례 (00 구청, 2018. 6) 1 2 3 google 검색중구청홈페이지접속 URL 주소한자리만바꾸면타인의문서다운로드 개인정보가담긴파일을 ( 신분증, 이력서등 ) 누구든지확인가능 - 16 -
개인정보노출원인 홈페이지관리자부주의 관리자페이지접근제어미흡 개인정보가포함된게시물등록 개인정보가포함된댓글게시 개인정보가포함된첨부파일게시 홈페이지설계및개발오류 홈페이지접속경로 (URL) 관련오류 홈페이지소스코드보안설정미흡 임시저장페이지미삭제 디렉터리리스팅보안설정미흡 홈페이지이용자부주의 개인정보가포함된게시글및댓글작성 개인정보가포함된첨부파일게시 검색엔진에의한 2 차노출 개인정보가노출된페이지를검색엔진의검색봇 (Bot) 이자동검색저장하였다가, 해당키워드검색시개인정보가저장된정보를노출시키는경우 2018 년도홈페이지노출유형 Top 3 01 첨부파일노출 (95.1%) 02 홈페이지이용자부주의 (3.7%) 03 게시글노출 (0.7%) - 17 -
첨부파일에의한노출사례및조치
첨부파일노출유형 2018 년첨부파일노출유형 Top 3 01 PDF, WORD(.***) 84.53% 02 엑셀파일 (.xls) 9.11% 03 한글파일 (.hwp) 6.36% Sheet 숨기기처리 함수치환처리 행 / 열숨기기 엑셀 Sheet 보호처리 글자색을배경색과같게처리 메모에 개인정보 입력 개인정보 가포함된개체삽입 (OLE 개체 ) 한글 한글파일 ( 서식 ) 에서노출된 개인정보 이미지 이미지파일에 개인정보 포함 편리하게주어진 기능 과 옵션 을통해노출이되고있음. 그리고일부 잘못된사용 - 19 -
첨부파일에노출된예시 개인정보가포함된엑셀파일을첨부하여게시판에게시 < 클릭시, 저장 가능 > - 20 -
첨부이미지파일에노출 첨부된이미지파일 (PDF, JPG 등 ) 에개인정보포함 개인정보가포함된 PDF 이미지 개인정보가포함된 JPG 이미지 예시 예시 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 이미지파일삭제또는개인정보부분을마스킹처리후, 업로드 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 21 -
첨부엑셀파일에노출 > Sheet [ 숨기기 ] 처리 확인방법 : 하단 Sheet 선택 > 오른쪽마우스클릭 > 숨기기취소 Sheet 가숨겨져있는파일 Sheet 숨기기취소한파일 3 2 숨기기취소 1 현재, 보이는 sheet 1 개 숨겨져있던 sheet 가나타남 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 숨겨진 Sheet 삭제 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 22 -
첨부엑셀파일에노출 > 행 / 열 [ 숨기기 ] 처리 확인방법 : 열 (A,B ) 또는행 (1,2 ) 전체선택 > 오른쪽마우스클릭 > 숨기기취소 행 / 열숨기기처리 B 다음 E? 행 / 열숨기기취소 숨어있던 C 와 D 가나타남 숨기기취소 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 숨기기취소후 행 / 열 에기록된개인정보삭제또는마스킹처리 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 23 -
첨부엑셀파일에노출 > Sheet 보호처리 확인방법 : 해당시트오른쪽마우스클릭 > 시트보호해제 (P) Microsoft Excel! 변경하려는셀또는차트가보호되어있으며읽기전용입니다. 보호된셀이나차트를수정하려면먼저 [ 검토 ] 탭의 [ 변경내용 ] 그룹에서 [ 시트보호해제 ] 명령을사용하여보호를제거하십시오. 암호를입력하라는메시지가표시될수있습니다. 확인 Sheet 보호상태 ( 내용수정불가 ) Sheet 보호해제 ( 내용수정가능 ) 시트보호해제 보호된시트우클릭 시트내용수정가능 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 시트보호해제후 개인정보 삭제또는마스킹처리 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 24 -
첨부엑셀파일에노출 > 치환함수 확인방법 : 마스킹된부분을마우스로클릭하여 함수 확인후, 참조된셀의개인정보육안확인 개인정보를치환함수로마스킹 B 다음 D? 치환된필드를해제 / 취소한경우 숨어있던 C 열확인가능 해제 마스킹취소 직접치환 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 노출된개인정보삭제혹은 직접치환 ( 마스킹 ) 처리 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 25 -
첨부엑셀파일에노출 > 객체 (OLE) 삽입 확인방법 : 문서내의 표 클릭 > OLE 객체내 개인정보 포함여부확인 OLE 객체가삽입된파일 OLE 객체에포함되어있던엑셀시트 개인정보발견 그래프더블클릭 x2 그래프내편집시트나타남 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 문서내, 표 더블클릭후, OLE 객체 ( 엑셀시트 ) 에나타난개인정보삭제 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 26 -
첨부엑셀파일에노출 > 메모 확인방법 : Sheet 의 메모표시 확인 > 메모에 개인정보 포함여부확인 메모가삽입된파일 메모에기록된개인정보 B C D E F 급식거래처 메모 표시가된셀업체명대표자전화번호주소품목 OO유통 이OO 10 서울성동구 OO유통 원OO 1313221 서울마포구 OO식품 황OO 23142355 대전둔산 OO조음 이OO 070-00000 서울내곡 OO식품 윤OO 031-E8382 일산동구 OO사업장염OO 031-druiedf 경기가평 메모표시 숨겨진메모는셀모서리에빨간색표시가있음 B C D E F 급식거래처 업체명대표자전화번호주소품목 주민등록번호 OO유통 이OO 760419-1111111 10 서울성동구 OO 유통원 OO 1313221 서울마포구 OO 식품황 OO 23142355 대전둔산 OO 조음이 OO 070-00000 서울내곡 OO 식품윤 OO 031-E8382 일산동구 OO 사업장염 OO 031-druiedf 경기가평 메모 에기록된개인정보 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. Sheet 의 메모표시 확인후메모에포함된 개인정보 삭제 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 27 -
첨부엑셀파일에노출 > 배경색과글자색동일 확인방법 : Sheet 의 셀전체선택 > 글자색을검은색으로변경 배경색과동일하게설정된글자색 글자색을검은색으로전환 B C D E F 방 - 지중해 3 개국 단체탐방조편성 B C D E F 단체탐방조편성 방 - 지중해 3 개국 개인정보발견 성명 성별 학과 ( 전공 ) 연락처 손가가 남 영어영문 016 1111 1111 양가가 남 정치외교 011 1111 1111 김가가 여 사회환경시스템 011 1111 1111 조가가 여 교육공학 010 1111 1111 김가가 여 부동산 010 1111 1111 이가가 남 건축공학 010 1111 1111 내용없음 글자색전환 성명 성별 학과 ( 전공 ) 연락처 주민등록번호 손가가 남 영어영문 016 1111 1111 940317- ******* 양가가 남 정치외교 011 1111 1111 940713- ******* 김가가 여 사회환경시스템 011 1111 1111 941110- ******* 조가가 여 교육공학 010 1111 1111 950213- ******* 김가가 여 부동산 010 1111 1111 950127- ******* 이가가 남 건축공학 010 1111 1111 940413- ******* 이가가여행정 010 1111 1111 이가가여행정 010 1111 1111 940413- ******* 김가가여영어영문 010 1111 1111 김가가여영어영문 010 1111 1111 941222- ******* 오가가여국제무역 016 1111 1111 오가가여국제무역 016 1111 1111 941222- ******* 박가가여건축 010 1111 1111 박가가여건축 010 1111 1111 941003- ******* 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 글자색변경후나타난 개인정보 삭제또는마스킹처리 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 28 -
첨부한글문서에노출 첨부된한글파일 (HWP) 에개인정보노출 개인정보가포함된한글문서 한글의개인정보보호기능을이용 조치 Step 1. 게시물을비공개로전환 ( 게시물작성자또는사이트관리자 ) Step 2. 문서에포함된 개인정보 삭제또는 개인정보보호 기능으로마스킹 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 29 -
게시글및댓글에의한노출
홈페이지게시글에노출 여행상담, 항공권문의, 자격증재발급요청등을하면서개인정보노출 개인정보가포함된상담글 개인정보가포함된게시글 조치 Step 1. 콘텐츠내, 개인정보 포함확인 Step 3. 게시글에포함된 개인정보 삭제또는마스킹처리, 비공개게시판으로전환 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 31 -
댓글에노출 공개게시판댓글에개인정보를남기도록유도 댓글에개인정보노출 개인정보가포함된댓글 저 ~ 홈페이지아시죠? 그곳에서 ID 는 ***1***, PW 는 ********* 를치고들어가세요. 그다음에는홍길동이주민등록번호 900101-4****** 을입력하시면다음창으로넘어갑니다. 조치 Step 1. 콘텐츠내, 개인정보 포함확인 Step 3. 댓글에포함된 개인정보 삭제또는마스킹처리, 비공개게시판으로전환 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 32 -
홈페이지설계및관리미흡에의한노출
홈페이지소스코드에노출 홈페이지설계오류로홈페이지소스코드에노출 예시 소스코드에주민등록번호사용 조치 Step 1. 인터넷브라우저에서소스코드를통해개인정보가있는지확인 Step 2. 불필요한개인정보는소스코드에서삭제하고꼭필요한정보는암호화하거나개인식별용구분자를변경 Step 3. 검색엔진에노출여부확인및저장된페이지삭제 - 34 -
디렉터리리스팅취약점으로노출 (1) 홈페이지설계오류인디렉터리리스팅취약점으로인해노출 서버관리자가사이트테스트목적으로사용하는설정으로인터넷사용자에게웹서버내디렉터리와파일목록을보여주는기능 웹서버의 URL 로 도메인네임 + 디렉터리 경로를입력했을때, 웹브라우저에해당디렉터리내, 모든파일목록이노출되는보안취약점 디렉터리리스팅취약점이있는홈페이지검색 ( 예시 ) 예시 예시 개인정보대량노출위험 - 35 -
디렉터리리스팅취약점으로노출 (2) 디렉터리리스팅올바른설정 : 윈도우인터넷정보서비스 (IIS) 제어판 > 관리도구 > 인터넷서비스관리자 > 기본웹사이트속성정보수정 디렉터리검색부분을비활성화 IIS 6.0 이하 IIS 7.0 이상 - 36 -
디렉터리리스팅취약점으로노출 (3) 디렉터리리스팅올바른설정 : UNIX / LINUX Apache 서버 : Indexes 의 문자열 제거 Tomcat 서버 : Param-value 의 False 설정 Indexes 문자열제거 Param-value False 설정 - 37 -
관리자페이지접근제한미흡으로노출 (1) 관리자만볼수있는페이지가인증과정을거치지않고방치되어일반이용자에게노출 예시 예시 - 38 -
관리자페이지접근제한미흡으로노출 (2) 관리자페이지주소 (URL) VPN LINK 바로가기삭제 유추가능한관리자페이지주소는변경 예시 ) /Manager_page, /admin ㆍㆍㆍ등 외부망검색은 VPN 이나 전용망 으로조치관리자페이지는내부망에서만검색 인증 / 세션정보 작성된웹페이지마다관리자 세션 및 쿠키 확인 조치 Step 1. 올바른관리자페이지설정 1 비인가자일경우, 접속시마다로그인페이지로리다이렉트조치 2 홈페이지의각페이지마다 세션 및 쿠키 확인구문입력 3 관리자페이지는특정 IP 및인가된 IP만접근가능토록설정 4 관리자페이지주소는추측하기어려운명칭으로작성 Step 2. 검색엔진에노출여부확인및저장된페이지삭제 - 39 -
관리자페이지접근제한미흡으로노출 (3) 구글은검색의속도및정확도확보를위해구글봇크롤링 (Crawling) 과색인기 (indexer) 를이용하고 있다. 구글검색엔진의특징 세계최고의강력한성능을갖는웹검색엔진 1 일약 8 억개의웹페이지를수집저장 가장관련성높은결과를순위높고빠르게제공 국외법인으로국내개인정보보호관련법의치외법권 서버의오류때문에접속을못할경우대비수집웹문서저장함 01 수집정보의과다 02 삭제된정보저장 주요문제점 구글크롤링은검색차단이되어있지않은모든웹정보를수집하며, 이로인해노출되지않아야하는비공개사이트노출이발생예 ) 과거로그인정보가존재하는관리자페이지유출 구글은검색된색인정보를별도의저장공간에저장하고서버오류등연결이안될경우제공하고있다. 이로인해삭제된페이지등에대한노출이발생예 ) 삭제된게시판개인정보등의유출 - 40 -
관리자페이지접근제한미흡으로노출 (4) 홈페이지관리자페이지노출 < 출처 : http://blog.naver.com/voltheeone/220951695931> - 41 -
검색엔진에저장된페이지삭제방법
검색엔진에저장된페이지삭제 (1) 검색엔진 ( 구글, 네이버, 다음등 ) 에노출된값을입력하여검색결과값확인 검색엔진에노출확인 조치 Step 1. 홈페이지에노출된개인정보페이지를삭제 Step 2. 검색엔진에홈페이지의노출개인정보 URL 또는노출된값을입력하여검색결과값확인 Step 3. 검색결과캐시페이지에개인정보가존재할경우해당페이지삭제요청 - 43 -
검색엔진에저장된페이지삭제 (2) 검색엔진별캐시페이지삭제요청주소 https://www.google.com/webmast ers/tools/removals 오래된콘텐츠삭제 https://help.naver.com/support/home.nhn 웹마스터도구 https://cs.daum.net/redbell/top.html 권리침해신고 네 ~ 삭제하겠습니다. 고객센터 (CS) - 44 -
구글저장된페이지삭제방법 (1/4) Step1) https://www.google.com/webmasters/tools/removals 접속 Step2) 삭제하려는 URL 을입력하고 삭제요청 클릭 예시 개인정보 가노출된 URL - 45 -
구글저장된페이지삭제방법 (2/4) Step3) 두화면중해당하는화면에맞게진행 원본정보가삭제된경우 ( 원본삭제, 캐시미삭제 ) 원본정보가남아있는경우 ( 원본, 캐시모두미삭제 ) 예시 예시 삭제요청 을클릭하면삭제요청완료 다음페이지로이동 - 46 -
구글저장된페이지삭제방법 (3/4) Step4) 첫번째항목을선택하고 다음 클릭 예시 Step5) 캐시페이지에서표시되는내용의일부단어를입력하고 삭제요청 클릭 노출된개인정보입력 ( 예 : 123456-7891011) 예시 - 47 -
구글저장된페이지삭제방법 (4/4) Step6) 상태가 접수중 으로되어삭제요청처리진행 ( 처리기간 2~3 일소요 ) 예시 - 48 -
e 프라이버시클린서비스를통한 본인개인정보삭제방법
e 프라이버시클린서비스 (www.eprivacy.go.kr) 소개 주요서비스 ( 본인확인내역조회 ) 인터넷에서회원가입, 연령확인 ( 성인인증 ), 실명인증등을위해실시된주민번호및아이핀, 휴대폰, 신용카드등의주민번호대체수단을통한본인확인내역통합조회제공 ( 회원탈퇴지원 ) 명의도용이의심되거나아이디 비밀번호등을알지못해회원탈퇴에어려움이있는경우, 더이상이용을원하지않는불필요한웹사이트에대한회원탈퇴처리대행 - 50 -
e 프라이버시클린서비스 _ 추진배경 / 절차 추진근거 제4조 ( 정보주체의권리 ) 정보주체는자신의개인정보처리와관련하여다음각호의권리를가진다. 1. 개인정보의처리에관한정보를제공받을권리 2. 개인정보의처리에관한동의여부, 동의범위등을선택하고결정할권리 3. 개인정보의처리여부를확인하고개인정보에대하여열람을요구할권리 4. 개인정보의처리정지, 정정 삭제및파기를요구할권리 5. 개인정보의처리로인하여발생한피해를신속하고공정한절차에따라구제받을권리 - 51 -
e 프라이버시클린서비스 (1/5) 본인확인내역조회화면 본인확인내역조회종류 구분주민번호휴대폰아이핀 제공기간 5 년 1 년 1 년 ( 공공 ) 5 년 ( 민간 ) 정보제공신용평가 3 사이통 3 사신용평가 3 사 & KLID 신용평가사 (3): SCI 평가정보, NICE 평가정보, 코리아크래딧뷰로 (KCB) 이동통신사 (3) : SK, KT, LGU+( 알뜰폰포함 ) 추진근거제37조 ( 개인정보의처리정지등 ) 1 정보주체는개인정보처리자에대하여자신의개인정보처리의정지를요구할수있다. 이경우공공기관에대하여는제32조에따라등록대상이되는개인정보파일중자신의개인정보에대한처리의정지를요구할수있다. - 52 -
e 프라이버시클린서비스 (2/5) 회원탈퇴신청 회원탈퇴유형 회원탈퇴신청가능 직접회원탈퇴 회원탈퇴신청불가 회원제사이트간편회원가입비회원제사이트 회원탈퇴시불이익발생복수아이디보유온-오프라인연계회원인트라넷 ( 비공개 ) 접속불가 ( 또는폐업 ) 단순연결사이트 부정확한 URL 해외사이트 소재불명 추진근거제38조 ( 권리행사의방법및절차 ) 1 정보주체는제35조에따른열람, 제36조에따른정정 삭제, 제37조에따른처리정지등의요구 ( 이하 " 열람등요구 " 라한다 ) 를문서등대통령령으로정하는방법 절차에따라대리인에게하게할수있다.
e 프라이버시클린서비스 (3/5) 회원탈퇴신청유형 (3) - 회원탈퇴가능, 직접회원탈퇴, 회원탈퇴불가 직접 회원탈퇴 필요 간편회원가입회원탈퇴시불이익발생인트라넷 ( 비공개 ) 복수아이디보유온-오프라인연계회원 회원제로운영되는웹사이트이나, 이메일, ( 휴대 ) 전화번호등단일정보만으로회원가입이되어, 회원 ( 신청인 ) 본인을명확히 확인할수없는경우 ( 타인에의한회원탈퇴신청우려가있음 ) 웹사이트내부정책이나이용약관등에따라회원탈퇴처리시회원 ( 신청인 ) 에게불이익이발생하는경우 -------------------------------------------------------------------------------------------------------------------------------------------- < 회원탈퇴시발생할수있는불이익예시 > 하나의 ID( 계정 ) 로복수의웹사이트가연동되는통합회원제사이트로, 하나의웹사이트회원탈퇴시타웹사이트이용에영향을받는경우 이메일, 블로그등의서비스를제공하는웹사이트로회원탈퇴시송수신이메일및첨부자료, 각종게시물등의자료 ( 정보 ) 손실이 우려되는경우 아이템, 사이버머니, 캐시, 쿠폰, 포인트, 마일리지, 적립금등이남아있거나요금등이미납상태인경우 ( 소멸, 정산문제발생 ) 봉사확인서, 기부명세서, 교육수료증, 장기기증, 개인회생및파산, 민형사상소송기록등의자료가포함된경우 서비스이용대상이특정기업 ( 기관 ) 의임직원이나관계자등으로제한 ( 비공개운영 ) 되고, 이용 ( 접속 ) 권한의부여와상실도해당 기업 ( 기관 ) 에서직접관리 ( 통제 ) 하는경우 신청인이해당웹사이트의아이디 ( 계정 ) 를복수 (2 개이상 ) 로발급 보유하고있어, 회원탈퇴대상아이디 ( 계정 ) 을특정할수없 는경우 온라인뿐만아니라오프라인서비스 ( 인터넷, 휴대폰, 렌탈, 학습지등 ) 를동시에이용하는회원으로회원탈퇴시오프라인회원자 격도함께상실 ( 오프라인서비스이용중지 ) 되는경우
e 프라이버시클린서비스 (4/5) 회원탈퇴신청유형 (3) - 회원탈퇴가능, 직접회원탈퇴, 회원탈퇴불가 회원탈퇴 재신청 필요 신청인확인 ( 식별 ) 불가서비스일시중지웹사이트운영자비협조회원탈퇴일시보류 회원탈퇴신청서에기재한기본정보 ( 이름, 생년월일, 이메일, 전화번호등 ) 만으로는웹사이트운영자가신청인과자사회원의일치여부를명확히확인할수없는경우 ( 동명이인등으로타인에의한회원탈퇴신청우려가있음 ) 해당웹사이트에등록한 ID, 이메일, 전화번호등의추가정보확인이가능한경우, 홈페이지 (eprivacy.go.kr) 를통해회원탈퇴를재신청해주시면탈퇴지원이가능합니다. 웹사이트점검, 리뉴얼 ( 개선 ) 등의이유로웹사이트운영이일정기간중지 ( 접속불가 ) 되어, 일시적으로회원탈퇴를요청할수없는경우 해당웹사이트운영이정상화된이후홈페이지 (eprivacy.go.kr) 를통해회원탈퇴를재신청해주시면탈퇴지원이가능합니다. 웹사이트운영자에게회원탈퇴처리를수차례요청하였으나운영자의비협조, 불응등으로지연되어처리기한 ( 최대 90일 ) 을초과한경우 웹사이트운영자비협조로회원탈퇴처리가매우어려운상황이나, 홈페이지 (eprivacy.go.kr) 를통해회원탈퇴를재신청해주시면다시한번요청토록하겠습니다. 회원탈퇴신청서작성시 선택정보 의 비고 란에 비협조웹사이트탈퇴재신청 을기재바랍니다. 기업 ( 기관 ) 이채용 ( 모집 ) 및법령 ( 계약 ) 에서정한사유등 ( 이하, 업무 ) 을목적으로회원가입을받은후, 회원정보를바탕으로일정기간동안업무를계속진행 ( 처리 ) 중인상황으로, 해당업무가종료되어야회원탈퇴가가능한경우 내부정책이나이용약관등에따라일정기간불가피하게회원탈퇴처리가어려운경우로, 해당웹사이트의업무가종료된이후홈페이지 (eprivacy.go.kr) 를통해회원탈퇴를재신청해주시면다시한번요청토록하겠습니다.
e 프라이버시클린서비스 (5/5) 회원탈퇴신청유형 (3) - 회원탈퇴가능, 직접회원탈퇴, 회원탈퇴불가 회원탈퇴 지원불가 비회원제사이트접속불가 ( 또는폐업 ) 단순연결사이트부정확한 URL 해외사이트소재불명 회원가입절차없이운영되는비회원제웹사이트인경우 휴대폰, 아이핀등을통한본인확인 ( 인증 ) 은하였으나, 실제회원가입은받지않은웹사이트입니다. 서비스중지 ( 종료 ) 또는영업종료 ( 폐업 ) 등의이유로웹사이트를이용 ( 접속 ) 할수없는경우 일부웹사이트 (URL) 는웹서비스를제공하지않고해당 URL( 도메인 ) 판매목적으로연락처만을제공하고있어회원탈퇴지원이 불가한상황입니다. 웹사이트주소 (URL) 입력시해당 URL 이아닌다른웹사이트주소 (URL) 로자동연결 ( 리다이렉팅또는포워딩 ) 되어, 회 원탈퇴대상웹사이트를특정 ( 확인 ) 할수없는경우 웹사이트주소 (URL) 가부정확하여회원탈퇴대상웹사이트를특정 ( 확인 ) 할수없는경우 e 프라이버시클린서비스를통해조회되는웹사이트 (URL) 는해당웹사이트운영자가본인확인기관 ( 신용평가기관, 아이핀발급 기관, 이동통신사 ) 에직접등록한것으로, 임의로수정 ( 변경 ) 이불가한상황입니다. 웹사이트운영주체및서비스이용대상이내국인이아니거나, 해외에서운영되는웹사이트로국내법령에따라회 원탈퇴를요청할수없는경우 웹사이트운영자의연락처 ( 전화번호, 이메일등 ) 가부정확하거나허위로기재하여정확한소재를파악할수없는 경우
웹사이트회원탈퇴절차 (1/2) e 프라이버시클린서비스 (KISA) 대리인 www.[a].go.kr 사이트담당자, 개인정보담당자 2 탈퇴요청 ( 행안부공문발송 ) 처리결과회신 1 5 결과회신 4 3 내부절차에의한검토 정보주체 www.[a].go.kr www.[b].co.kr 탈퇴신청 신청불가 www.[a].go.kr 또는 www.[a].go.kr 탈퇴처리 탈퇴불가 절차 미회신기관은법적제재대상으로분류됨 - 57 -
웹사이트회원탈퇴절차 (2/2) 정보주체의권리보장 ( 개인정보처리자의무사항 ) 법률근거확인후처리결과 10 일이내정보주체에게통지 정보주체권리 개인정보처리자의무 열 람 요청 법률검토 정정 삭제 처리결과회신 (10 일 ) 법률근거존재 법률근거없음 처리정지 거절사유작성 열람, 정정삭제, 정지적용 미회신 법적근거 : 시행령제 41 조 ( 개인정보열람절차등 ) 제 5 호 5 항 이를위반할경우 2 년이하징역및 3 천만원과태료부과 ( 법 73 조, 법 75 조 ) - 58 -
회원탈퇴요청및결과회신 ( 공문예시 ) 웹사이트회원탈퇴처리 ( 요청 ) 회원탈퇴처리결과 ( 회신 )
( 참고 ) 관련법조문 개인정보보호법 제 45 조 ( 대리인의범위등 ) 1 법제 38 조에따라정보주체를대리할수있는자는다음각호와같다. 1. 정보주체의법정대리인 2. 정보주체로부터위임을받은자 2 제 1 항에따른대리인이법제 38 조에따라정보주체를대리할때에는개인정보처리자에게행정안전부령으로정하는정보주체의위임장을제출하여야한다. 제 62 조 ( 권한의위탁 ) 1 삭제 2 행정안전부장관은법제 24 조의 2 제 4 항에따른대체가입수단제공의지원에관한권한을다음각호의어느하나의기관에위탁할수있다. 1. 전자정부법 제 72 조제 1 항에따른한국지역정보개발원 2. 한국인터넷진흥원 3. 대체가입수단의개발 제공 관리업무를안전하게수행할수있는기술적 재정적능력과설비를보유한것으로인정되어행정안전부장관이고시하는법인 기관 단체 3 행정안전부장관은다음각호의권한을한국인터넷진흥원에위탁한다. 1. 법제 13 조제 1 호에따른개인정보보호에관한교육 홍보 2. 법제 33 조제 5 항에따른관계전문가의육성및영향평가기준의개발 3. 법제 35 조제 2 항에따른열람요구의접수및처리 4. 법제 63 조에따른자료제출요구및검사 ( 법제 62 조에따라개인정보침해신고센터에접수된신고의접수 처리및상담과관련된사항만해당한다 )
개인정보노출예방 6 계명 01 첨부파일업로드前, 개인정보확인하세요 02 관리자페이지가외부노출되지않도록사수하세요 03 홈페이지의개인정보노출여부를주기적으로점검하세요 04 홈페이지비공개게시판을운영하세요 05 개인정보노출주의안내문을게시하세요 06 개인정보노출예방기술지원을활용하세요 - 62 -
개인정보노출예방 6 계명 (1) 1. 첨부파일업로드前, 개인정보확인하세요 업무상불필요한내용은삭제하고, 필요한최소한의정보만게시 부득이개인정보게시할경우에는마스킹 (*****) 처리 엑셀등숨겨진기능을통해개인정보가숨겨져있는지확인 개인정보가포함된게시글은비밀글로설정 개인정보검색 S/W 를이용하여개인정보포함여부점검후, 게시 기존업무파일 업로드용 새파일 필요한항목 (1) (2) 필요한항목 (3) (4) 필요한내용만게시마스킹처리 새파일작성 - 63 -
개인정보노출예방 6 계명 (2) 2. 관리자페이지가외부노출되지않도록사수하세요 비인가자접근제한 - 비인가자접속시마다로그인페이지로리다이렉트조치 - 특정 IP, 전용선 또는 가상사설망 (VPN) 이용하여접근권한관리 홈페이지각페이지마다 세션 확인구문입력 관리자페이지주소를추측할수없도록수정 ( 개발업체에반드시확인 ) 사용금지 : test/admin, admin/manager 등 비인가자 각페이지마다 세션 확인 관리자페이지 VPN or 전용선 인증우회 외부직원 - 64 -
개인정보노출예방 6 계명 (3) 3. 홈페이지의개인정보노출여부를주기적으로점검하세요 1 웹사이트변경 ( 통합, 개선등 ) 시점검 - 웹취약점진단및시큐어코딩준수여부점검 - 회원식별자를개인정보로사용하고있는지점검 - 암호화대상인개인정보의암호화여부를점검 - 변경된웹사이트는외부에공개하기전, 반드시개인정보포함여부점검 2 주기적으로외부검색엔진에개인정보가수집되는지점검 - 웹검색엔진고급검색기능을이용하여개인정보를주기적으로점검 검색단어 ( 예 ) : 번호, 주민, 전화, 여권등으로검색 - 디렉터리리스팅여부점검 - 65 -
개인정보노출예방 6 계명 (4) 4. 홈페이지비공개게시판을운영하세요 게시판성격에따라일반공개게시판과 1:1 상담게시판을분리하여운영 - 공개게시판은담당자가관리하고누구나읽을수있도록공개하여운영 * 담당자는수시로개인정보가노출되지않는지관리 - 1:1 상담게시판은작성자와담당자만읽을수있도록비공개운영 예시 - 66 -
개인정보노출예방 6 계명 (5) 5. 개인정보노출주의안내문을게시하세요 인터넷이용자 ( 고객등 ) 가개인정보노출예방에대한안내를받을수있도록게시판에안내글이나팝업창제공 예시 - 67 -
개인정보노출예방 6 계명 (6) 6. 개인정보노출기술지원을활용하세요 개인정보노출모니터링 Help Desk 02-405-4844 privacy_edu@pdpc.or.kr - 68 -
개인정보노출예방 6 계명 (6) 개인정보노출기술지원을활용하세요 지역정보보호지원센터및 KrCERT 구분지역정보보호지원센터 KISA 보호나라 & KrCERT 지원내용지원대상연락처 웹취약점점검 웹보안도구배포 악성코드탐지, 웹방화벽설치 개인정보보호컨설팅및교육 세미나실시 ( 개인정보보호법준수사항 ) 지역소재중소기업및비영리단체 인천센터 : 032-250-2151, 070-4895-2783( 인천 ) 대구센터 : 053-957-4161 ( 대구 경북 ) 호남센터 : 062-350-1120 ( 광주 전남 전북 제주 ) 중부센터 : 043-210-0870 ( 충북 충남 대전 강원 ) 동남센터 : 051-746-4793 ( 부산 경남 ) 경기센터 : 031-698-4705 울산센터 : 웹취약점점검 웹보안도구배포 악성코드탐지, 웹방화벽설치중소기업및비영리단체 http://www.krcert.or.kr - 69 -
구글검색활용 Tip 및동영상
구글검색엔진활용 Tip 검색엔진이수집한내용찾기 연산자 설명 형식 키워드 정확한문구를포함한결과를검색 형식 : 검색어 물결무늬 검색어와비슷한결과를검색 형식 : ~ 검색어 Define 특정단어의정의를검색 형식 : Define: 검색어 Intilte 페이지의제목에서문자열을검색 형식 : Intitle: 검색어 Inurl 문자열을페이지의 URL에서검색 형식 : Inurl: 검색어 Filetype 특정한확장자를가진파일을검색 형식 : Filetype: 파일형식 [Site 검색 ] Site: 도메인.com 최 최 도메인.com 최이 이 [inurl 검색 ] inurl : 최 이 도메인.com 최이 김 구글검색 박 박 김 김 구글검색 박 박 김 최 [ 검색범위도메인 ] [ 검색범위 URL] - 71 -
구글검색 Tip > 정확한의미의검색 검색어의처음과끝에큰따옴표 ( ) 를입력하면해당단어나문장이반드시포함된사이트를검색할수있음 - 72 -
구글검색 Tip > 비슷한의미의검색 검색어앞에 물결표시 (~) 를입력하면검색어와비슷한의미를가진자료를보여줌 - 73 -
구글검색 Tip > 단어의정의검색 검색어창에 define: 특정단어 입력하면해당검색어의정의를보여줌 - 74 -
구글검색 Tip > 제목특정단어포함검색 검색어창에 intile: 특정단어 를입력하면제목에특정단어가포함된결과가검색됨 - 75 -
구글검색 Tip > 특정범위의결과검색 검색할숫자사이에마침표 2 개 (..) 를입력하여검색하면숫자범위내, 검색결과를보여줌 - 76 -
구글검색 Tip > 특정사이트문서검색 검색어창에 Inurl: 특정사이트 를검색하면검색어에해당하는사이트가검색됨 - 77 -
구글검색 Tip > 특정파일 type 문서검색 검색어앞에 filetype:ooo 를포함하면검색어에해당하는 file 이검색됨 파일타입 1.doc 2.xls 3.hwp 4.pdf 등 - 78 -
참고자료 No 자료명출처다운로드위치 1 홈페이지개인정보노출방지안내서 (2018.10) 행정안전부, KISA 2 개인정보의암호화조치안내서 (2017.01) 행정안전부, KISA 3 개인정보의안전성확보조치기준해설서 (2017.01) 행정안전부, KISA 4 개인정보보호법령및지침고시해설 (2016.12) 행정안전부 5 6 7 전자정부 SW 개발운영자를위한소프트웨어개발보안가이드 (2017.01) 전자정부개발 운영자를위한 C 시큐어코딩가이드 (2012.09) 전자정부개발 운영자를위한 JAVA 시큐어코딩가이드 (2012.09) 8 홈페이지개발보안안내서 (2010.01) 행정안전부, KISA 행정안전부 행정안전부 방송통신위원회, KISA 개인정보종합포털 > 자료마당 > 지침자료 개인정보종합포털 > 자료마당 > 참고자료 개인정보종합포털 > 자료마당 > 지침자료 개인정보종합포털 > 자료마당 > 지침자료 KISA > 자료실 > 기술안내서가이드 KISA > 자료실 > 기술안내서가이드 KISA > 자료실 > 기술안내서가이드 KISA > 자료실 > 기술안내서가이드 - 79 -
홈페이지개인정보노출예방
Internet On, Security In! Thank you 개인정보보호종합포털 www.privacy.go.kr e프라이버시클린서비스 www.eprivacy.go.kr 개인정보침해신고센터 ( 국번없이 ) 118 ( 홈페이지 ) privacy.kisa.or.kr