2017년 정보보호 실무 요령 (정보보안, 개인정보보호, 인증서 관리) 2017. 4.

Contents 1. 개인정보 보호 실무 2. 정보보안 실무 3. 인증서 관리 및 가입자 유의사항 4. 자주묻는질문(FAQ) 및 가입자 지원

1. 관련 근거 [상위 법령 및 지침] [충청북도교육청 보안내규] 국가 정보보안 기본지침 (2014. 4. 1. 개정) 교육부 정보보안 기본지침 (2016. 4. 6. 개정) 보안업무규정 시행규칙 (국가정보원, 2017. 2.22. 개정) 보안업무규정 시행세칙 (교육부, 2015. 9.30. 개정) 교육부 개인정보 보호지침 (교육부, 2015. 4. 20. 개정) [충청북도교육청 보안내규] 충청북도교육청 정보보안 기본지침 (2015. 6. 1. 개정) (업무관리시스템>업무지원>알림판>정보보안/개인정보보호 게시판 15-4102 게시물) 충청북도교육청 개인정보 보호지침(2016. 5. 17. 개정) (업무관리시스템>업무지원>알림판>정보보안/개인정보보호 게시판 16-6550 게시물)

2. 주요 수행 업무(1/2) • 개인정보 보호 업무 추진계획 수립 구 분 수행업무 3월 • 정보보안 업무 추진계획 수립(보안업무 추진계획에 포함) - 『사이버보안 진단의 날』 운영 계획 • 개인정보 보호 업무 추진계획 수립 - 2017년 충청북도교육청 개인정보 보호 업무 추진계획 알림(과학국제문화과-1903, 2017.1.24.) 4월~6월 • 정보보호 감사 진행 - 직속기관, 교육지원청, 고·특 : 도교육청 - 교육지원청 소속기관, 유·초·중 : 교육지원청 일정에 따라 추진 • 개인정보 파일 전수조사 실시 - 대상: 본청 및 각급기관(학교) - 개인정보종합지원시스템 및 Privacy-i 프로그램 이용한 개인정보 파일 정비 6월~7월 • 정보보안 업무 심사분석·평가(전년도3/4분기~금년도 2/4분기)

3. 주요 수행 업무(2/2) 구 분 수행업무 9월 • 각급기관(학교) 업무담당자 하반기 연수(전달연수 실시) 10월~11월 • 정보보안 지도·점검 수검(대상기관에 한함, 별도 통보) - 직속기관, 교육지원청, 고·특 : 도교육청 - 교육지원청 소속기관, 유·초·중 : 교육지원청 일정에 따라 추진 매월 • 매월 세번째 수요일 : 사이버보안 진단의 날 운영 - 내PC지키미를 통한 점검 및 조치 - 월별 사이버보안 진단일지 작성, 휴대용 저장매체 관리상태 점검 등 기타 • 분기별 : PC 비밀번호 변경(부팅/윈도우 암호) • 소속직원 대상 정보보안(개인정보보호 포함) 교육: 연 2회 - 신규자/전입자 보안교육 실시(수시)

정보보안 실무

1. 정보보안담당관 지정 및 운영 정보보안담당관 지정 정보보안담당관 변동사항 통보 - 정보보안 조직 지휘 및 업무 총괄자(관련 부서의 장) - (정보)보안업무 추진계획 또는 업무분장에 명시 정보보안담당관 변동사항 통보 - 임면(변동) 시 7일 이내 지도감독 기관의 장에게 통보 정보보안담당관 주요활동 - 정보보안 정책 및 기본계획 수립/시행 - 정보통신실, 정보통신망 및 정보자료의 보안관리 -‘사이버보안 진단의 날’계획 수립/시행 등 기관(학교)명 직 책(위) 직 급 성 명 연 락 처 전화번호 전자우편

2. 정보보안(개인정보 보호 포함) 교육 전 직원 대상 교육 실시(정기 교육) 전입자·신규자 교육 실시(수시 교육) - 자체 정보보안 교육계획 수립(정보화 계획, 직장교육 계획 등에 포함 가능) - 연 2회 이상 실시, 교육 실적(관련 공문, 교육자료 등) 확보 ※ 상ㆍ하반기 정보보안 담당자 연수 후, 전달연수 실시 전입자·신규자 교육 실시(수시 교육) - 시 기 : 전입자·신규자 발령 시 - 내 용 : 정보보안(개인정보 보호 포함) 사항, 기관(학교) 내 지켜야 할 보안 사항 등 정보보안담당자 교육 이수 - 연간 15시간 이상 이수 (개인정보 보호 교육 포함) ※ 상·하반기 정보보안·개인정보보호 담당자 연수 참석도 교육이수시간 인정 - [참고] 정보보호 교육센터 (http://sec.keris.or.kr): 사이버/집합 교육 신청 가능 - [참고] 개인정보보호 종합포털(www.privacy.go.kr): 배움터>사이버교육 신청 가능

3. 정보통신실 보안관리 정보통신실 등은 보호구역으로 설정ㆍ관리(보안업무 규정/보안업무 실무편람 참고) - 관리책임자 표지 및 보호구역(제한구역/통제구역) 표지 부착 - 이중 잠금장치 설치, 출입문은 한곳으로 지정, 소화기 비치 등 보안대책 강구 - 통제구역 출입자명부 비치ㆍ작성 관리(통제구역 출입 인가자 외 작성) ※ 정보통신실이 별도로 없을 경우 주요전산장비가 들어있는 랙(RACK)에 대한 보안대책 - 잠금장치, 랙문에 경고문 부착, 장비 접근자에 대해 통제구역 출입자명부로 관리 등

4. 정보보안 분야 대외비 문서 대외비 문서 보안관리 철저 - 정보통신망 구성도 : 기관 전체 전산망 및 네트워크 연결 현황 관리 - IP관리대장 : 기관 내 모든 PC의 IP/MAC주소 등 대장으로 관리·현행화

5. PC 등 단말기 보안 관리(1/2) 단말기 관리책임자 지정 및 고정IP 부여 단말기 비밀번호 설정 및 관리 - 모든 PC에 고정된 IP를 부여하여 운용(학생용 10.x.x.x / 교사용 172.x.x.x) - 비인가 무선인터넷 사용 금지(스마트폰 테더링 등을 통한 사용 금지) 단말기 비밀번호 설정 및 관리 - 장비(CMOS 관리자/사용자용)ㆍ사용자(로그인 시)ㆍ자료별(중요문서) 암호 설정 - 숫자, 문자, 특수문자 등을 혼합하여 9자리 이상 으로 설정 - 분기 1회 이상 주기적 변경 사용, 인사이동에 따른 사용자 변동 시 즉시 변경 PC 등 전산장비(디지털 복합기 등 포함) 반출·입 관리 - 고장, 교체 등으로 외부 반출·입 시 정보보안담당관 승인 및 대장 관리 · 관련대장 : 휴대용 저장매체(전산장비 포함) 반출·입 대장 - 반입 시 백신 프로그램 등을 통해 바이러스,악성코드 감염여부 점검 - 불용처리 시 하드디스크 저장 자료에 대해 완전삭제 등 보안조치 실시 - 휴대용 저장매체(USB 등)에 중요 업무자료, 개인정보포함 자료 반출 주의

5. PC 등 단말기 보안 관리(2/2) 업무와 무관하거나 보안에 취약한 프로그램 사용 및 유해사이트 접근 금지 - 업무와 무관한 P2P, 게임, 증권, 도박 등 유해사이트 접근 금지 - 상용 클라우드/웹하드/인터넷 문서작성 서비스 등 사용 금지 · 예외: 클라우드 서비스의 경우 기관(학교)장 책임하에 한시적 허용 - 상용 메일(네이버, 다음 등) 사용 금지 · 충청북도교육청 웹메일시스템, 공직자 통합메일 사용(상용메일과 송수신 가능) - 학교 예외/차단 요청: 관할 지역 교육지원청 · 웹사이트 차단 정책 예외처리 요청서 작성하여 공문 제출 ※ 2017. 3월 이후 교육용 PC 대상 상용 메일, 클라우드, 메신저 접속차단 해제 개인별 이메일 사용 시 보안관리 철저 - 상용 메일을 통한 업무자료, 개인정보포함 문서 송·수신 금지 ※ 웹메일로 송·수신한 업무자료도 확인 후 즉시 삭제 - 출처가 불분명하거나 의심되는 제목의 이메일 열람 및 링크 클릭 금지 - 메일에 포함된 첨부파일 다운로드 시 최신 백신으로 악성코드 감염 여부 검사

6. 단말기 비밀번호 관리 【 비밀번호 공격시간 】 비밀번호 설정 및 관리 - 장비(CMOS 관리자/사용자), 사용자(로그인) ,자료별(문서자료) 비밀번호 설정 - 분기 1회 이상 주기적 변경, 인사이동 시 즉시 변경 사용 안전한 비밀번호 설정 - 숫자와 문자, 특수문자를 혼합하여 9자리 이상으로 설정 【 비밀번호 공격시간 】 ※ 내PC지키미의 [패스워드 점검도구]를 이용하여 안전성 체크

7. 휴대용 저장매체 보안대책 등록: HDD, USB메모리, CD/DVD 등 PC와 분리되는 저장 매체는 관리대장에 등록 - 일반용: 일반업무문서 저장용 - 비밀용: 비밀・대외비 문서 저장용 ※ 휴대용 저장매체 관리대장 작성 저장 매체의 식별을 위하여 [정보보안담당관 직인 날인] 표지 부착 주기적 점검 및 반/출입 통제 - 매체 수량 및 보관상태 점검(월1회, 사이버보안 진단의 날) - 반출/입 통제(전산장비 포함): PC, 노트북, 디지털복합기 등

8. 저장매체 불용처리 목적: 저장매체에 기록된 중요자료를 복구할 수 없는 상태로 처리하여 불용하기 위함 대상: PC, 하드디스크가 내장된 복합기 등의 전산장비 시기: 대상 장비의 고장 또는 노후로 인한 저장매체 교체 또는 불용 시 데이터 영구삭제 요청 절차 및 서식 - 본청, 직속기관, 교육지원청, 청주 소재 고등학교 - 교육지원청 소속기관, 유ㆍ초ㆍ중ㆍ고(청주 제외)ㆍ특수학교 ※ 단, 불용 PC 재구성 사업으로 수거되는 PC는 도교육청 일괄 처리 (별도 삭제 생략)

9. 정보화 사업 용역업체 보안 관리 정보화 사업: PC 등 시스템 유지관리, 정보시스템(홈페이지) 구축 ·위탁운영 등 업체 직원 보안관리 철저 - 사업 수행 전 보안서약서 징구, 보안교육 실시 - 업체에 전산장비 반출 ·입 시 관련내용 기록 [정보보안 기본지침 별지 제20호 서식] 자료 보안관리 철저 - IP현황 등 업체에 자료 제공 시 제공내역 기록 및 사업 완료 후 회수 및 확약서 징구 별지 제24호 서식]

9. 정보화 사업 용역업체 보안 관리 용역업체 보안사고 유형 유 형 보 안 사 고 내 용 해킹 유 형 보 안 사 고 내 용 해킹 기관의 정보시스템 계정, 비밀번호 절취 후 내부 침투 또는 유지 보수용 노트북 해킹, 기관 주요 정보시스템 파괴 자료 무단 반출 용역업체 직원이 개인 USB에 전산망 구성도 등 업무 중요자료 저장 또는 정보화 용역사업 후 프로그램의 소스코드 등 자료 무단 반출 인터넷 자료 유출 기관의 민감자료를 인터넷PC에 무단 저장하여 악성코드 감염으로 유출되거나 P2P, 웹하드 등 무분별한 인터넷 사용에 따른 내부자료 유출

10. 사이버 침해사고 시 대응 사이버위기 경보 발령 사이버 위기 경보 발령 시 각급기관(학교) 대응요령 - 상위기관에서 전파된 위기 상황을 전 교직원에게 전파 - 개인 사용 PC, 노트북 등 전산장비에 대한 백신 점검, 윈도우 최신업데이트 등 수행 - 출처가 불분명한 이메일 열람 금지 - 사이버 침해사고 인지(발생) 시 즉시 신고 * 신 고 처 : 충청북도교육청 통합보안관제센터 * 전화번호 : 043-290-2245 ~ 2248 * 전자우편 : cert@cbe.go.kr

11. 정보보안 사고 사례(1/2) 정보보안 사고의 유형별 사례 디도스 해킹 공격 피싱/ 악성코드 파밍 감염 컴퓨터, 시스템의 정당한 접근권한 없이 또는 허용된 접근 권한을 초과하여 정보통신시스템에 침입하는 행위 농협전산망 마비(‘11.4) 중앙일보 내부서버파괴(‘12.6 방송 및 금융사 전산망 파괴(‘13.3) 청와대 홈페이지다운(‘13.6) 악성코드에 감염된 다수의 PC를 이용하여, 특정시스템에 대량의 트래픽을 전송하여 운영을 방해하는 행위 청와대, 정보기관 홈페이지 공격(‘09) 중앙선관위 홈페이지 공격‘11.2) 유명 사이트를 사칭한 가짜 사이트를 만들어 개인 정보, 금융정보 등을 갈취하는 행위 대검찰청, 금감원, 은행 등 사칭 (‘11년 1,849건 → 12년 6,944건) 이용자 몰래 컴퓨터에 설치 되어, 자료 유출, 시스템 파괴 등을 수행하는 컴퓨터 프로그램 농협 전산망 장애(‘11.4), SK컴즈 개인정보 유출(‘11.7)

11. 정보보안 사고 사례(2/2) 랜섬웨어(Ransomware) 공격 랜섬웨어(Ransomware) 침해 예방 사용자의 문서 등 중요 파일을 사용할 수 없게 만든 후 암호를 풀어주는 대가로 금품을 요구하는 사이버 공격 랜섬웨어(Ransomware) 침해 예방 PC 상태 최신 업데이트 및 데이터 백업 - Windows Update, 백신 Software 최신상태 유지 접속하고자 하는 사이트의 안전 확인 - 『한국랜섬웨어 침해대응센터』 - 『사이트안전진단』 메뉴에서 안전상태 체크 후 접속 공유폴더 사용 금지 등

12. 사이버 보안 진단의 날(1/4) 수 행 일 : 매월 세 번째 수요일 (자동수행) 내PC지키미를 이용한 PC 점검 및 조치 철저: - 설치파일 : 교육지원청별 백신프로그램(Agent) 설치 시 자동으로 내PC지키미 설치 PC 점검 이후 취약 등 조치사항 발견 시 반드시 처리하여 결과 확인(전송 유무) ※ 점검결과를 사이버 보안진단일지에 등록 후 정보보안담당관 수기 결재 실시(매월)

12. 사이버 보안 진단의 날 (2/4) 내PC지키미 진단결과 확인 - 관리자 PC에 콘솔 프로그램 설치 - 다운로드 주소: http://지역별 관할지역IP/tool/adminconsole.zip 해제 설치 - 설치 시 안내(주의)사항 ᆞ설치 중 옵션에 IP등록은“지역별 관할지역IP”로 등록 지역 프로그램 설치주소 본청 http://210.106.100.93 영동 http://14.51.207.213 청주 흥덕구 http://14.51.128.145 상당구 http://14.51.128.146 진천 http://14.51.177.143 서원구 http://14.51.128.147 청원구 http://14.51.128.148 충주 http://211.185.228.18 괴산증평 http://14.51.177.142 제천 http://211.185.228.31 음성 http://14.51.177.144 보은 http://14.51.207.167 단양 http://211.185.228.43 옥천 http://14.51.207.178 직속기관 http://14.51.221.196

12. 사이버 보안 진단의 날 (3/4) 내PC지키미 관리자 콘솔 확인사항 - 콘솔(Policy Admin) 제품번호 입력: 87640050-29519302 로그인 계정 - ID는 각 학교 권한 부여 기관마스터 ID (Privacy-i의 접속 ID와 동일) ※ 초기 비밀번호: 개인pie0! - 비밀번호 분실시 해당 교육지원청 또는 본청 담당자에게 문의 - 기술지원: ㈜위포 / 042-484-5612 결과 확인 방법 - 콘솔 로그인 → 보고서 → 내PC지키미 보고서 → 에이전트별 점검 결과 현황 → 기간(월) 설정 → 안전/취약/미점검 PC 설정 → 보고서 보기 클릭

12. 사이버 보안 진단의 날 (4/4) 내PC지키미 보고서 에이전트별 점검 결과 현황 보고서 설정된 기간의 각 에이전트별 점검 결과를 표시합니다. 1)‘대상 선택’에서 출력을 원하는 학교명을 선택 2) 조회를 원하는 기간 및 기준을 설정 3) ‘보고서 보기’ 버튼을 통해 보고서 출력 * 상단의‘내보내기’,‘인쇄하기’통해 저장도 가능. [보고서 출력 예] ※ 상세 설명 매뉴얼: 업무관리시스템 → 업무지원 → 알림판 → 정보보안/ 개인정보보호 → 17-2635번 게시글

13. 개인정보보호 SW(Privacy-i) 지 역 설 치 주 소 Privacy-i 프로그램 설치 주소 • 바탕화면의 트레이 아이콘에서 설치 여부 확인 Privacy-I 프로그램 아이콘 지 역 설 치 주 소 본 청 (직 속) http://210.106.100.163/Agent 영 동 http://14.51.207.223/Agent 청 주 http://14.51.128.155/Agent 진 천 http://14.51.177.154/Agent 충 주 http://211.185.228.22/Agent 괴 산 증 평 http://14.51.177.171/Agent 제 천 http://211.185.228.34/Agent 음 성 http://14.51.177.168/Agent 보 은 http://14.51.207.222/Agent 단 양 http://211.185.228.46/Agent 옥 천 http://14.51.207.221/Agent

13. 개인정보보호 SW(Privacy-i) ① ② Privacy-I 전체검사(1/2) 전체 검사 실행 후 검출된 미암호화 파일을 암호화 및 삭제를 하고, 다시 전체검사를 하여야 DLPCenter(관리자페이지)에 결과가 반영(※ 다음 날) 됩니다. ① ②

13. 개인정보보호 SW(Privacy-i) ③ Privacy-I 전체검사(2/2) 전체 검사 실행 후 검출된 미암호화 파일을 암호화 및 삭제를 하고, 다시 전체검사를 하여야 DLPCenter(관리자페이지)에 결과가 반영(※ 다음 날) 됩니다. ③

13. 개인정보보호 SW(Privacy-i) 브라우저의 주소 입력창에 관리 웹 접속 주소를 입력하고 ENTER키 누름! 관리자 페이지(웹 콘솔) 접속 방법 구분 관리 웹 접속 주소 Privacy-i 관리 웹 http://지역서버IP:8080/DLPCenter 1 브라우저의 주소 입력창에 관리 웹 접속 주소를 입력하고 ENTER키 누름! 2 아이디/비밀번호 ID : 각 기관(학교)별 기관마스터 ID Password : 개인pie0! * 비밀번호 분실 시 본청 및 해당 교육지원청에 문의

13. 개인정보보호 SW(Privacy-i) 사용자계정 수정(암호 초기화) 초기 비밀번호 개인pie0!

14. 사이버보안 생활 수칙 로그인 패스워드 설정 - 9자리 이상 영문, 숫자, 특수문자 등을 조합하여 구성 최신 버전의 소프트웨어 사용 백신 설치 및 주기적 검사 휴대용 저장매체 보안관리 철저 - 등록된 저장매체 외 인가되지 않은 저장매체 사용 및 반입 금지 PC 보안 관리 철저 - 공유폴더 사용 금지, 비밀자료 암호화, 주기적 점검 및 백업 업무자료의 상용 메일 및 메신저릍 통한 송수신 금지 수상한 메일, 휴대폰 문자 등은 즉시 삭제 신뢰할수 있는 웹사이트만 방문

3.1 인증서 관리 미흡 사례 (1/2) 모 고교에서 동료교사에 인증서 양도 및 비밀번호 누설 양도받은 인증서를 이용하여 39차례에 걸쳐 학생 30명의 생활기록부 조작 ☞ 어떠한 경우에도 타인에게 인증서 양도 및 비밀번호 누설 금지! < ▲ KBS 보도화면 > 양도 교사 = 중징계 도용 교사 = 파면 및 형사고발 학교장 = 사임

3.1 인증서 관리 미흡 사례 (2/2) 기타 잘못된 인증서 양도 사례 업무 편의상 인증서 및 비밀번호 전달 출장 혹은 부재 중 결재 편의를 위해 결재권자의 인증서와 비밀번호를 직원에게 전달 퇴사 혹은 조직개편 등의 사유로 업무 담당자 변경 시 기존 담당자의 인증서를 인수받아 사용 행정업무 보조와 같이 업무수행을 위해 본인의 인증서를 복사하여 비밀번호와 함께 전달 위탁운영 또는 유지보수 업체 인력 등의 업무수행을 위해 본인 명의로 인증서를 발급받아 타인에게 양도 또는 대여 업무 편의상 인증서 및 비밀번호 전달 가입자는 인증서 발급 시 정확한 정보를 제공해야 하며, 업무상 필요한 경우, 용도에 적합한 인증서를 적법하게 발급 받아야 함. 타인에게 인증서 비밀번호 누설 및 인증서 [불법양도 금지] <교육부 행정전자서명 인증업무지침 제21조(가입자 의무) >

3.2 인증서 관리 방법 (권장사항) 인증서 저장/관리 인증서 효력정지 및 폐지 발급한 인증서는 분실∙훼손 또는 도난∙유출되지 않도록 안전하게 관리 ※ 보안USB(또는 일반USB)에 인증서 별도 저장 등 특목용(기관용) 인증서는 관리책임자를 별도 지정하여 관리 인증서 효력정지 및 폐지 장기간 인증서를 사용하지 않는 경우 효력정지 또는 폐지 서비스를 이용 ※ 미사용 기간에 따른 효력정지/폐지 구분은 기관 자체적으로 정하여 관리하며 (예:3개월/6개월) 추후 기준이 마련 될 경우 별도 안내 인증서 분실, 훼손 또는 재직상태 변경 등 폐지사유 발생 시 즉시 폐지 ※ 세부 폐지사유는 전자서명인증센터 홈페이지(www.epki.go.kr) 내 인증업무지침 참조

☞ 키갱신 및 재발급을 수행 할 경우, 기존 인증서 사용 불가 3.3 인증서 관리 방법 (분실, 도난, 유출 시) 인증서 분실, 도난, 유출 시 행동요령 (분실, 도난, 유출 시) 전자서명인증센터 홈페이지 상단의 인증서발급/관리–발급/재발급 메뉴의 인증서 재발급 기능을 이용하여 기존 인증서 폐지 후 새 인증서 발급(공문요청 필요) ※ 재발급 절차(공문발송, 정보등록 등)에 따른 업무 소요일 발생 (도난, 유출이 우려되는 경우) 전자서명인증센터 홈페이지 상단의 인증서발급/관리 –키갱신 기능을 이용하여 인증서의 키갱신 작업 수행 ※ 사용자의 키 쌍만 변경하는 작업이므로, 별도 업무 소요일 없음 ☞ 키갱신 및 재발급을 수행 할 경우, 기존 인증서 사용 불가

Q & A

※ 2017. 상반기 정보보안 및 개인정보보호 담당자 연수 자료 - 업무관리시스템 > 업무지원 > 알림판 > 정보보안/개인정보보호 게시판에 탑재