개인정보보호 공공기관에서의 개인정보보호 본 자료는 개인정보보호를 위한 교육용 자료로 활용 가능 합니다 개인정보보호 공공기관에서의 개인정보보호 본 자료는 개인정보보호를 위한 교육용 자료로 활용 가능 합니다 지속적인 자료요청 및 문의가 가능 합니다. 신상윤 comwoo@gmail.com
Contents 개인정보의 정의 개인정보 유출 사고 사례 개인정보보호를 이루기 위한 방법 개인정보보호법 결론
개인정보 유출 사고 사례 개인정보 개인 정보(個人情報)는 개인에 관한 정보 가운데 각 개인을 식별할 수 있는 정보를 가리킨다. 식별 가능성이 없는 정보는 개인 정보로 보지 않는다. 협의의 개인정보 : 주민등록번호 광의의 개인정보 : 계좌번호, 여권번호, 군번, 얼굴사진, 식별가능 동영상, ID 메일ID, 핸드폰번호(전화번호), 주소 ( 한가지 이상의 정보로 유추 가능한 식별정보 )
개인정보 유출 사고 사례 개인정보의 유출 개인정보의 유출로 인한 사고 사례는 최근 급격히 언론의 주목을 받고 있으며, 이는 강화된 개인정보의 중요성에 대한 인식과, 이에 대한 보호 의지가 표출된 현상임 담당자의 부주의에 의한 유출 해킹에 의한 유출 시스템의 미비로 인한 유출 고의적 유출
개인정보 유출 사고 사례 사례 1 : 옥션 사고유형 : 해킹에 의한 악의적 유출 규모 : 1080만명 주민번호, 계좌번호, 전화번호, 비밀번호(암호화) 등 노출 발생일 : 2008년 상반기 진행사항 : 집단소송, 이미지실추 참고사항 : 국내 인력 의 사주로 중국 해커에 의한 정보수집
개인정보 유출 사고 사례 사례 2 : GS칼텍스 사고유형 : 관련자의 고의적 유출 규모 : 1125만명 주소, 인적사항, 전화번호, 주민번호 등 노출 발생일 : 2008년 중반기 진행사항 : 집단소송, 이미지실추 참고사항 : 관련자가 개인정보의 중요성을 인지, 이에 대한 이익추구가 목적
개인정보 유출 사고 사례 사례 3 : 정부 00부 사고유형 : 관련자의 실수에 의한 유출, 시스템 미비로 인한 유출 규모 : 수천명 공직자 주민번호, 이름, 핸드폰번호, 행망ID 등 노출 발생일 : 2008년 중반기 진행사항 : 보안감사, 관련자 문책? 참고사항 : 관련자가 연수대상 인적사항 파일로 공지 후 삭제하였으나 삭제후 검색엔진을 통해 검색 및 유출
개인정보 유출 사고 사례 사례 4 : 정부 00기관 사고유형 : 시스템 미비로 인한 유출 규모 : 수천명 공직자 주민번호, 이름 등 노출 발생일 : 2007년 ~2008년 중반기 진행사항 : 보안감사, 시스템 보완 참고사항 : 시스템 구축시, 개인정보보호에 대한 고려 미흡
개인정보보호를 이루기 위한 방법 개인정보 중요성 교육 개인정보 보호를 위한 체계적 매뉴얼 시스템 투자
개인정보보호를 이루기 위한 방법 개인정보의 중요성 교육 개인정보의 이용 범위 개인정보의 정의, 범위 개인정보의 중요성 : 개인정보 유출로 인한, 피해 가능성에 대한 유출 책임 개인정보 보호 소홀로 인한 규제, 문책, 법규 교육 개인정보의 이용 범위 계좌 탈취, 납치, 스팸(메일,전화)발송, 메일해킹, 사이트 임의가입, 위조(여권,주민증,ID카드) 등
개인정보보호를 이루기 위한 방법 개인정보 보호를 위한 체계적 매뉴얼 담당업무별 개인정보 관련 업무 파악 개인정보의 취급범위 기관 전체의 개인정보보호 매뉴얼 담당부서 개인정보보호 매뉴얼 담당자별 개인정보보호 매뉴얼 담당업무별 개인정보 관련 업무 파악 개인정보의 취급범위 개인정보의 취급절차 개인정보의 공지에 대한 보호, 제한에 대한 규정
개인정보보호를 이루기 위한 방법 시스템 투자 관련시스템 개인정보 필터링 솔루션 기 구축 시스템 평가 시스템 구축을 위한 필요 시스템 우선순위 선정 지속적인 시스템 보완 관련시스템 개인정보 필터링 솔루션 SBC (Server Base Computing) DRM (웹DRM, 문서DRM) DB보안 (DB접근제어, DB암호화)
개인정보보호를 이루기 위한 방법 시스템 투자 실패 사례 개인정보보호 솔루션을 도입 했으나, 웹Page 소스의 주민번호 노출 개인정보보호 솔루션 도입했으나, 문서상에 포함된 정보 유출 개인정보보호 솔루션을 기 도입했으나, 웹상에 문서 노출되었고, 웹상에서 삭제 했으나, 서버상에 존재하는 파일에 포함된 정보가 검색엔진을 통해 유출 DB암호화 솔루션을 도입했으나, 성능저하로 적용하지 못함
참고 3.1 DB 보안 3.1.1 접근제어 방법 - 네트워크상에서 DB쪽으로 가는 쿼리에 대해 감사 또는 제어를 수행 . 감사만 수행 : 스니핑 방식 . 제어도 수행 : 인라인 방식 . 감사 및 제어 수행 : 게이트웨이 방식 - 장점 : 네트워크상에 위치 하며, 접근에 대한 통제는 보안담당자가 총괄 가능 - 쓸만한 제품 : 가디움, DBSafer, 샤크라 외 2종 3.1.2 암호화 방법 - DB 자체에서 주요 필드에 대한 암/복호화 수행 . 컬럼 암/복호화 . 인덱스 암/복호화 . 인덱스 검색 - 장점 : 외부 해킹으로 인한 유출 시 안전 - 쓸만한 제품 : 큐브원 외 1종 3.2 개인정보보호 필터링 솔루션 - 다수에 대한 웹 게시시 개인정보가 포함된 자료(문서 포함) 차단 . 개인정보 온라인 공개 입력시 차단 . 개인정보 온라인 노출시 차단 . 개인정보포함 문서 온라인 공개 업로드 차단 . 개인정보포함 문서 노출시 차단 - 장점 : 공개되는 화면 및 모든 문서에 대해서 가장 빠르고 정확하게 차단 효과를 얻을 수 있음 - 쓸만한제품 : 스마트엑스필터 외 2종 3.3 DRM 3.3.1 웹DRM - 웹 브라우저 통제 . 웹브라우저 조작 통제 3.3.2 문서DRM - 문서 통제 . 문서사용 - 쓸만한제품 : 마크애니 외 2종 3.4 SBC (서버베이스 컴퓨팅) - 서버를 통해 모든 작업 수행 (PC 는 단말 역할만 수행) . 원격 근무자 등 내부 사용자 유출 보안용 - 장점 : 원격지에서 실수 또는 악의적인 내부자에 의한 문서 유출 불가능 - 쓸만한제품 : 세이프데스크 ** 정보 유출의 가장 심각한 부분은 실수 또는 악의에 의한 대량유출임을 감안하면 상당한 의미가 있음
개인정보보호법 개인정보보호법 발효 ( 2008년 8월 행안부) 개인정보보호법 발효 및 정부정책에 따르면, 모든 공공기관은 개인정보취급에 따른 관리 책임을 중히 묻고 있고, 이의 대비에 대해서는 개인정보보호 필터링 솔루션 및 DB암호화 까지 구축할 것을 권고 하고 있으며, 이의 조기 수행을 위해 아래와 같은 방안을 제시하고 있음 IT적 DATA는 물론, 수기로 작성한 문서 및, CCTV 등에 대해서도 보호할 것을 명시하고 있음 행안부, ‘공공기관 홈페이지 개인정보 노출 방지 대책’ 마련 ( 2008/08/26 ) - 중앙ㆍ지자체 홈페이지 대상 365일 상시 개인정보 노출 감시체계 구축 - 개인정보 노출을 사전에 차단할 수 있도록 필터링 시스템을 조기 도입 - 정보화 평가 시 정보보호 분야의 비중 확대 - 개인정보보호 교육강화
결론 개인정보는 이에 대한 악용과 오용의 위험성을 항상 지니고 있으며, 이에 대한 정보 관리 책임자는 개인정보 보호에 대해 체계적인 관리와 투자 계획을 수립하여야 함 세부 실천 계획 담당자별 개인정보 관리, 유통 매뉴얼 작성 시스템 투자 지속적인 교육 실시
T h a n k Y o u