개인정보 라이프사이클에 걸친 기술적 보호대책 - DB방화벽과 PC내 개인정보 무단 저장 검출 및 암호화솔루션 2009.10
소만사 소개
소만사 [소프트웨어를 만드는 사람들 ] 개인정보보호 토털 솔루션 전문업체, 해외수출 기업 금융/통신/대기업/공공 600여 고객 보안1세대 기업 97년 창립(13년) 마이크로소프트 선정 - 10년 후 세계적 소프트웨어 기업 장영실상(IR52), 대한민국 소프트웨어 대상 국무총리상 수상 개인정보 라이프사이클에 걸친 기술적 보호대책 제공 - DB방화벽, 엔드포인트, 유출통로 3단계 보안 보유
국내 최고 600여사 고객 보유기업 공공 인터넷/통신 금융사 LG/GS그룹 SK 그룹 삼성그룹 기업/연구소 Hi Tech 산업
개인정보보호의 필요성
정보통신망 이용촉진 및 정보보호에 관한 법률 1) (형사처벌 확대) 기술적인 보호조치가 미흡하여 개인정보가 유출될 경우에는 형사처벌에 해당 2) ((준용기관의 확대 ) 정유, 병원 등 35만개 준용사업자확대, 실제적으로 모든 대기업에 해당 3) (양벌제 도입) 양벌제가 도입되어, 기업의 CEO/CPO가 형사적 책임 구분 주요 내용 이전 개정 수집 이용 제공 동의 없는 개인정보 수집(제22조) 민감한 개인정보 수집(제23조) 법정대리인 동의 없는 아동 개인정보 수집(제31조) 동의 받은 목적과 다른 목적으로 개인정보 이용(제24조) 이용자 동의 없는 개인정보 제3자 제공(제24조의2) 과태료 (1천만원 이하) 벌칙 (5년 이하 징역 또는 5천만원 이하 벌금) 취급 위탁 이용자 동의 없는 개인정보 취급 위탁(제25조) 과태료 (1천만원 이 하) 개인 정보 이전 개인 정보 관리 영업양수자 등이 당초 목적과 다른 목적으로 개인정보 제3자 제공 (제26조) 기술적 관리적 조치 미이행 (제28조) 이용 기술적 관리적 조치 미이행으로 인한 누출 (제28조) - 개인정보 취급자의 개인정보 훼손 침해 누설 (제28조의2) 개인정보 오류정정 요청에 대한 필요조치를 이행하기 전에 개인정보 제3자 제공 이용(제30조) 벌칙(5년 이하 징역 또는 5천만원 이하 벌금) 과태료(1천만원 이 하) 벌칙(5년 이하 징역 또는 5천만원 이하 벌금) 과태료 (1천만원 이 하) 벌칙 (5년 이하 징역 또는 5 천만원 이하 벌금)및 과징금 벌칙(현행유지) 및 과징금 벌칙(5년 이하 징역 또는 5천만원 이하 벌금) 및 과징금 벌칙(현행유지) 과태료(3천만원 이하) 벌칙(2년 이하 징역 또는 1 천만원 이하 벌금) 및 과징금 (1억 이하) 벌칙 (현행유지) 벌칙 (5년 이하 징역 또는 5천만원 이하 벌금)
법적용대상 준용사업자 증가중 유무선통신 항공운송사 자동차매매업 주택관리업 결혼중개업 초고속인터넷 학원 의료기관 부동산중개업 주택건설사업 포털 교습소 서점업 비디오대여점 영화관 호텔 대형마트 건설기계 사업 자동차 대여사업 정유사 여행업 휴양 콘도 직업소개소 체육시설업 영리목적으로 정보통신망을 이용하여 서비스하는 모든 사업자가 대상입니다.
법적용대상 영리목적으로 정보통신망을 사용하는 업체 정보통신서비스 제공자는 전기통신사업법에 의해 허가를 받거나(기 간통신사업자) 등록(별정통신사업자)신고(부가통신사업자)하고 전 기통신 역무를 제공하는 자와 영리를 목적으로 전기통신사업자의 전 기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자이다. 특히 영리 목적 은 자기 또는 제3자의 재산적 이익을 얻기 위한 목적 을 말하는 것으로 해석하고 있으며 여기서의 이익은 계속적, 반복적 일 필요는 없다. 영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보 의 제공을 매개한 자 는 인터넷 홈페이지 등을 이용하여 정보 및 서 비스를 제공하는 자를 의미하며, 보통 영업 행위를 하는 주체가 홈페 이지를 개설하는 경우에는 모두 적용 대상이 된다. 출처 : 개인정보의 기술적 관리조치 기준 고시해설서
정보통신망법 28조 기술적 관리적 보안조치 1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치 운영 3. 접속기록의 위조 변조 방지를 위한 조치 4. 개인정보를 안전하게 저장 전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치 운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
정보통신망법에 따른 고시 개인정보의 기술적 관리적 보호조치 기준 개정안 공표(08.07) 규정 개인정보취급자 한정 주요 내용 개인정보취급자와 관리책임자만이 개인정보처리시스템에 접근할 수 있도록 제한 개인정보처리시스템에 대한 접근통제, 유출징후탐지규정 비인가자의 접근통제(DB방화벽), DB VPN및 후 탐지 기능 개인정보 이상유출징 사용자인증 강화 사용자 인증 및 패스워드 규정 강화(DB방화벽외) 개인정보 유출방지 암호화 보관 개인정보 처리 시스템 접근 로그 저장 규정 및 위변조 방지 규정 개인정보 출력/복사물 관리 규정 P2P나 인터넷게시판 등으로 개인정보가 유출되지 않도록 설정 주민번호, 카드번호, 계좌번호는 암호화 보관 PC에 개인정보는 반드시 암호화 보관 외부 전송시 암호화채널 사용등 기간통신사업자는 2년, 일반 사업자는 최소한 6개월 이상 보관(DB 방화벽) 출력( 인쇄, 화면표시, 파일생성)시에 용도를 특정화하고 최소항목출력 의무화 이동식저장장치에 저장하거나 복사시에 사전 승인받고 대장관리함
고시에 부합하기 위한 기술적 보호대책 DB 방화벽 DLP 네트워크 보안 개인정보의 기술적 보호 대책 서버 (어플리 케이션) DB 암호화 일반 방화벽 IPS 보안 서버 미디어 통제 EndPoint 개인정보 보유통제 바이러스/ PC보안 DRM
고시에 부합하기 위한 기술적 보호대책 - 개인정보 라이프사이클에 걸친 기술적 보호대책 저장시 암호화 DB방화벽 개인정보 보유 통제 유출통제(DLP) Oracle Sybase DB-2 MS-SQL 어플리케이션 서버 평문 보관 장기 보관 삭제 정보보유 신규 생성 비취급자 보유 미디어 반출(PC보안) 인터넷 발신(DLP) 인터넷 개인정보 Query/OLAP tool 출력 복사(출력물 보안) 보관/저장 접근 활용/공유 전송/유출
개인정보보호 무엇을 주의해야 하는가. - 기술적 보호대책관점
1. 개인정보 접근 및 이동통로를 파악 (우회접속의 통제)
(예) 보안을 우회하는 개인정보유출 예 일반DB방화벽 Telnet으로 이웃서버 우회접속 웹메일/웹하드로 유출 개인정보DB FTP로 웹서버로 전송 이웃서버 Telnet으로 고객 DB서버 접속 이몽룡 740809-1407621 변학도 690428-1527117 고객정보백만건 취득 웹서버
(예) 우회접속에 대한 기술적 보호대책 (블랙박스기능) DB방화벽 agentless 기록된 화면을 DB방화벽으로 전송/증거 보안규정 위반이벤트 발생시 해당 화면기록 홍길동 600517-1428116 허균 730401-1231714 허난설헌 680101-2147154 김시습 550807-1247603 보안이벤트 발생시 사전, 사후 화면 이력 추적/ 블랙박스기능
2. 개인정보 접근 인원 최소화 업무상 개인정보가 꼭 필요한 사람으로 개인정보 접근자 최소화 개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제) 1 정보통신서비스제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보취급자, 또는 개인정보관리책임 자에게만 부여한다
(예) 개인정보 접근자 최소화 규정 위반 예 (대부분의 ) 개인정보가 업무에 필요한 사람은 감사 혹은 마케팅팀임 개인정보를 업무상 활용하지 않는 DB운영자가 개인정보를 대신 받아 감사/마케팅에게 전달하는 업무프로세스 존재 09/03 신용 담보대출 신 청한 20여고 객 리스트 자료 요청 SQL query (select from where) Mail로 전송 감사/ 마케팅 홍길동 600517-1428116 허균 730401-1231714 허난설헌 680101-2147154 김시습 550807-1247603 Query 결과값 DB운영자/외주직원 고객정보 데이터베이스 홍길동 600517-1428116 허균 730401-1231714 허난설헌 680101-2147154 김시습 550807-1247603 DB운영자가 개인정보를 PC에 저장해놓았다가 유출된다면? 내부 감사자료를 감사자 전에 DB운영자가 먼저 본다면?
(예) 개인정보 접근자 최소화 규정 준수를 위한 기술적 보호대책 -쿼리대리실행에 의한 직무분리 결제 승인시스템 (2)Query 실행승인 요청 (4)승인확인 DB보안 서버 고객정보 (5)Query (3)DB Query DB전문가 데이터활용자 결과 조회시스템 (6) Query 실행성공여부 (6)Query 결과값 (1)논리적 데이터 제안기능기술 홍길동 600517-1428116 허균 730401-1231714 허난설헌 680101-2147154 김시습 550807-1247603 (7) 데이터 조회 DB운영자는 개인정보를 접근하고 저장하고 활용할 권한이 없습니다. DB운영자도 SQL query의 결과값을 볼수 없습니다.
(예) 개인정보 접근자 최소화 규정 준수를 위한 기술적 보호대책 개인정보 PC저장 방지기능 개인정보 취급자가 아니면 개인정보를 PC에 저장할수 없습니다. COPY & PASTE EXPORT PRINT
3. EndPoint의 보호 대책 개인정보보호 규정에 명시된 개인정보취급자가 아니면 PC에 개인정보를 저장해서는 안됨 개인정보취급자라도 PC에 개인정보를 저장할 때는 암호화하여 저장해야 함
3. EndPoint의 보호 대책 도대체 개인정보는 어디에 있을까?(서버 or PC) 콜센터 대리점 DBMS Zone 서버 zone CRM/VOC 영업팀 협력업체 마케팅팀 지사 DBA/ 개발 1000명 임직원, PC에 평균 3만건 개인정보
예 ) EndPoint 개인정보 보유 통제 - PC내 불법저장된 개인정보파일 검출 화면 개인정보 취급자가 아니면 개인정보를 저장해서 보유해서는 안된다 개인정보 취급자라 하더라도 개인정보파일을 암호화 저장해야 한다
예 ) EndPoint 개인정보 보유 통제 - PC내 보유한 개인정보파일 추이분석기능 ->직원 한명 ( 그룹도 지원가능)에 대하여 2009년-9월22일 부터 2009년 9월 23일 사이에 개인정보파일의 신규 생성, 동 일파일 보유, 파일 변경 보유, 파일삭제 등의 추이를 분석
예 ) EndPoint 개인정보 보유 통제 - 장기보유 개인정보파일 통제 기능 기준 시점 대비 7개월 차이 주민번호 다량 포함 화일 장기 보유 개인정보 취급자의 장기간 특별히 활용도 하지 않은 상태로 장기보유 개인정 보 파일을 검출. 해당 파일은 삭제권고
4. 개인정보의 라이프사이클에 걸친 관리 기업내 개인정보 종합상황판 EPM(Enterprise Privacy Management) 조회 보드 보유 보드 전송 보드