정보보안 및 개인정보 보호의 이해 2017. 3. 충청북도교육청
Ⅰ 개 요 Ⅱ 정보보안의 이해 Ⅲ 개인정보 보호의 이해
Ⅰ. 개 요
1. 정보보호의 의미 정보보호 = 정보보안 + 개인정보 보호 정보보안(Information Security) : 정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미 개인정보 보호(Privacy): 정보주체의 자기정보 결정권을 지키는 것 공급자 측면 : 내ㆍ외부의 위협요인들로부터 네트워크, 시스템 등의 HW, DB, 통신 및 전산시설 등 정보자산을 안전하게 보호ㆍ운영하기 위한 일련의 행위 사용자 측면 : 개인정보 유출, 남용을 방지하기 위한 일련의 행위
2. 관련 근거 충청북도교육청 정보보안 기본지침 (2015. 6. 1. 개정) (업무관리시스템>업무지원>알림판>정보보안/개인정보보호 게시판 15-4102 게시물) 충청북도교육청 개인정보 보호지침(2016. 5. 17. 개정) (업무관리시스템>업무지원>알림판>정보보안/개인정보보호 게시판 16-6650 게시물) [상위 법령 및 지침] 국가 정보보안 기본지침 (2014. 4. 1. 개정) 교육부 정보보안 기본지침 (2016. 4. 6. 개정) 보안업무규정 시행규칙 (국가정보원, 2015. 4.13. 개정) 보안업무규정 시행세칙 (교육부, 2013. 5.13. 개정) 개인정보 보호법(행정자치부, 2016. 3. 29. 개정) 교육부 개인정보 보호지침 (교육부, 2015. 4. 20. 개정)
Ⅱ. 정보보안의 이해
학교에서의 가장 기본적이고 중요한 정보보안 방법은 1. 정보보안의 중요성 학교에서의 가장 기본적이고 중요한 정보보안 방법은 바로 PC 보안입니다. Messenger 사기 아이템 해킹 위조 계좌 개설 신용카드 발급 ID, Password 유출 개인금융정보를 통한 공인인증서 재발급 개인기본정보 유료 컨텐츠 도용 스팸 메일 위조 휴대폰 발급 타인명의로 인터넷 회원가입 개인금융정보 유출된 개인정보 E-mail을 통한 피싱(Phishing) 신분증 위조
2. PC 보안관리(1/2) 단말기 관리책임자 지정 및 고정IP 부여 단말기 비밀번호 설정 및 관리 - 모든 PC에 고정된 IP를 부여하여 운용(학생용 10.x.x.x / 교사용 172.x.x.x) - 비인가 무선인터넷 사용 금지(스마트폰 테더링 등을 통한 사용 금지) 단말기 비밀번호 설정 및 관리 - 장비(CMOS 관리자/사용자용)ㆍ사용자(로그인 시)ㆍ자료별(중요문서) 암호 설정 - 숫자, 문자, 특수문자 등을 혼합하여 9자리 이상 으로 설정 - 분기 1회 이상 주기적 변경 사용, 인사이동에 따른 사용자 변동 시 즉시 변경 PC 등 전산장비(디지털 복합기 등 포함) 반출·입 관리 - 고장, 교체 등으로 외부 반출·입 시 정보보안담당관 승인 및 대장 관리 - 반입 시 백신 프로그램 등을 통해 바이러스,악성코드 감염여부 점검 - 불용처리 시 하드디스크 저장 자료에 대해 완전삭제 등 보안조치 실시 - 휴대용 저장매체(USB 등)에 중요 업무자료, 개인정보포함 자료 반출 주의
2. PC 보안관리(2/2) 업무와 무관하거나 보안에 취약한 프로그램 사용 및 유해사이트 접근 금지 - 업무와 무관한 P2P, 게임, 증권, 도박 등 유해사이트 접근 금지 - 상용 클라우드/웹하드/인터넷 문서작성 서비스 등 사용 금지 · 예외: 클라우드 서비스의 경우 기관(학교)장 책임하에 한시적 허용 ※ 차단/예외 처리 요청: 관할 지역 교육지원청, 웹사이트 예외처리요청서 제출 - 상용 메일(네이버, 다음 등) 사용 금지 · 충청북도교육청 웹메일시스템, 공직자 통합메일 사용(상용메일과 송수신 가능) ※ 2017. 3월 이후 교육용 PC 대상 상용 메일, 클라우드, 메신저 접속차단 해제 개인별 이메일 사용 시 보안관리 철저 - 상용 메일을 통한 업무자료, 개인정보포함 문서 송·수신 금지 ※ 웹메일로 송·수신한 업무자료도 확인 후 즉시 삭제 - 출처가 불분명하거나 의심되는 제목의 이메일 열람 및 링크 클릭 금지 - 메일 첨부파일 다운로드 시 최신 백신으로 악성코드 감염 여부 검사
3. 사이버 보안 진단의 날 수 행 일 : 매월 세 번째 수요일 (자동수행) 내PC지키미를 이용한 PC 점검 및 조치 철저: - 설치파일 : 교육지원청별 백신프로그램(Agent) 설치 시 자동으로 내PC지키미 설치 PC 점검 이후 취약 등 조치사항 발견 시 반드시 처리하여 결과 확인(전송 유무)
4. 사이버 침해사고 시 대응 사이버위기 경보 사이버 위기 경보 발령 시 대응요령 - 상위기관에서 전파된 위기 상황을 전 교직원에게 전파 및 공유 - 개인 사용 PC, 노트북 등에 보안관리 철저 ※ 백신 점검, 윈도우 최신업데이트, 이메일 열람 주의 등 - 사이버 침해사고 인지(발생) 시 즉시 신고 * 신 고 처 : 충청북도교육청 통합보안관제센터 * 전화번호 : 043-290-2245 ~ 2248 * 전자우편 : cert@cbe.go.kr
Ⅲ. 개인정보 보호의 이해
1. 개인정보 정의 유형별 개인정보 (예시) 살아있는 개인에 관한 정보로서 성명, 주민번호, 영상 등을 통하여 · 개인정보 보호법 및 같은 법 시행령, 시행규칙 · 충청북도교육청 개인정보 보호지침 살아있는 개인에 관한 정보로서 성명, 주민번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보 * 고유식별정보: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 2014. 8.7. 이후부터 주민등록번호 수집 법정주의 시행 2016. 8.6. 유예기간 종료 후 주민번호 파일 관리 철저 다른 정보와 쉽게 결합하여 알아볼 수 있는 것도 포함 * 이름+주소 “ ~ 에 거주하는 누구”, 이름+전화번호 “ ~ 의 전화번호” 유형별 개인정보 (예시) 인적사항: 성명, 주민등록번호, 주소, 전화번호, 생년월일, 출생지, 가족관계 등 신체적정보: 얼굴, 지문, 홍채, 유전자정보, 키, 몸무게, 건강상태, 진료기록, 장애등급 등 정신적정보: 물품구매기록, 웹사이트 검색기록, 사상, 종교, 가치관 등 재산적정보: 소득, 신용카드번호, 통장계좌번호, 부동산내역, 신용평가정보 등 교육정보: 학력,성적, 출석상황, 생활기록부, 상벌기록 등 근로정보: 직장, 고용주, 근무처, 근로경력, 직무평가기록 등 사회적정보: 법적정보(전과, 법죄기록, 재판기록, 과태료 내역 등), 병역정보(군번, 계급 등)
2. 개인정보 생명주기 처리목적 명확화, 필요 최소 범위 수집 수 집 기술적관리적 조치 의무 준수 저장 및 관리 개인정보파일의 등록 및 공개 이용 및 제공 목적 범위 내 처리, 목적 외 처리 금지 개인정보의 제 3 자 제공 금지 목적 달성된 개인정보파일의 파기 파 기
3. 개인정보 보호 수집 시 고려사항 주민등록번호 법정주의 시행 동의에 의한 수집 시 필수/선택 항목 구분하여 별도 동의 - 법령에 근거가 없을 경우, 주민번호 수집 금지 동의에 의한 수집 시 필수/선택 항목 구분하여 별도 동의 - 동의서 포함내용: 목적, 수집항목, 보유(이용) 기간, 동의거부 권리 및 거부 시 불이익 ※ 14세 미만 아동일 경우 법정대리인 동의 필요 민감정보, 고유식별정보(주민번호 제외) 처리 제한 - 정보주체에게 동의를 받거나, 법령에서 허용된 경우, 단 별도 동의 필요 * 사상, 신념, 정당의 가입/탈퇴, 정치적 견해, 건강, 유전정보, 범죄경력 등
4. 개인정보 보호 저장 및 관리 시 고려사항 개인정보 저장 시 안전성 확보 조치 PC 내 개인정보 암호화 방법 - 개인정보 암호화 저장, 불필요 시 즉시 파기 ※ 암호화 의무 대상: 고유식별정보, 비밀번호, 바이오정보 - 개인정보 저장 PC의 보안관리: 주기적 백신 점검, 비밀번호 변경, 윈도우 업데이트 등 PC 내 개인정보 암호화 방법 - PC 개인정보 보호프로그램(Privacy-i, ) 활용, 또는 문서자체 암호(한글, 엑셀 등) ① Privacy-i 배포사이트 접속 - Privacy-i Agent 설치 ② Privacy-i 파일 실행
5. PC 개인정보 보호프로그램 설치 방법 ③ Privacy-I 로그인 - 신규자, 전입자는 비밀번호 초기화 됨 <초기 로그인 정보 > 사용자 ID : 나이스 ID 비밀번호 : 개인pie0! ④ 개인정보 암호화 및 삭제 [암호화] [삭제] 불필요한 개인정보 완전 삭제(복구불가) 사 항 내 용 공용키 암호화(*.PIA) 임의로 생성된 공용키로 파일을 암호화 함 (개별 비밀번호 불필요) 개인키 암호화(*.PIE) 문자+숫자+특수문자 =8자리 이상 (비밀번호 알아야 복호화 가능, 비밀번호 분실시 파일 복구 불가)
* 제3자 제공, 위탁, 파기 사실 공개 : 홈페이지‘개인정보처리방침’ 6. 개인정보 보호 이용·제공 및 파기 시 고려사항 * 제3자 제공, 위탁, 파기 사실 공개 : 홈페이지‘개인정보처리방침’ 목적 외 제3자 제공 가능 범위 - 정보주체의 별도 동의를 받은 경우 ※ 동의서 포함내역: 제공받는 자, 목적, 제공항목, 보유기간, 동의 거부권 및 미동의 시 불이익 - 법률에 규정이 있거나 통계작성 등을 목적으로 개인을 알아볼 수 없는 형태로 제공 시 개인정보 업무 위탁 시 - 위탁 업무: 졸업앨범, 전자학생증 제작 등 - 문서(계약서)에 의한 위탁: 위탁 목적 외 처리 금지, 기술적/관리적 보호조치 등 포함 - 개인정보 분실·도난 ·유출 ·위조되지 않도록 수탁자 교육 및 관리감독 개인정보 파기 - 보유기간 만료 및 수집·이용 목적 달성 시 지체 없이(5일 이내) 파기 - 파기방법 ·출력물, 서면 등: 파쇄 및 소각처리 ·전자적 파일: 복원이 불가능한 방법으로 영구 삭제(Privacy-i 의 삭제 기능 활용)
7. 홈페이지에서의 개인정보 보호 채용 공고 시 게시물 등록 시 - 관행적인 개인정보 수집 지양: 이력서, 주민등록등본 등 - 채용단계별 수집내용 구별: 서류전형, 면접전형, 최종합격자단계 - 합격자 공고 시 주의사항 · 수험(접수)번호 있을 경우 수험(접수)번호로만 합격공고 · 수험(접수)번호 없을 경우 이름(* 표시) 또는 전화번호 뒷자리 등 활용 예시) 홍*동, 1234 게시물 등록 시 - 중요 업무문서, 개인정보 포함 문서는 게시 금지 예시) 비밀문서, 반평성표, 학교운영위원회 선출자 명단 등(필요시 *표시) - 엑셀 파일 등 숨겨진 부분이 있는지 확인 후 게시 ※ 홈페이지 공개된 개인정보처리방침 및 행정자치부 개인정보포털에 공개 내용 확인 (개인정보파일 담당자, 보유기간, 정보주체수, 관리부서명 등)
8. 개인정보 유(노)출 사례 사례 : 개인정보취급자의 개인정보보호 인식 부족 초등학교 가정통신문 발송시, 기초생활수급자의 개인정보 노출
8. 개인정보 유(노)출 사례(계속) 사례 : 게시자의 업무 부주의 엑셀에서 개인정보 포함 셀을 셀숨기기 기능으로 숨기고 게시 보고서 작성시 그래프를 엑셀 OLE객체로 삽입한 경우 등
8. 개인정보 유(노)출 사례(계속) 내부인사 자료 블로그 게재 도서관 홈페이지 자료 노출
9. 개인정보 보호법을 잘못 해석한 사례 채용관련 서류를 채용 직후 모두 파기한 사례 - 처리목적 달성으로 오해 보존기간 경과 후에 파기 * 합격자와 탈락자 서류 모두 보존 대상에 포함됨 홈페이지 교직원 소개 메뉴를 비공개 처리한 사례 - 교직원의 직, 성명을 개인정보로 오해 직, 성명은 공개가능한 정보(공공기관의 정보공개에 관한 법률) 개인정보 수집 시에는 무조건 동의서 징구 - 동의서 필수 징구 오인 법률에 의한 경우는 동의 없이 수집 가능 * 법률에 규정이 있어 수집하는 경우는 수집 근거를 명시
◇ 기타 사항 안내◇ 인증서 관리 철저 (인증서 유효기간: 2년 3개월) - 하드디스크 저장 지양 및 인증서 비밀번호 주기적 변경 권장 ※ 전자서명인증센터: www.epki.go.kr ※ 비밀번호 변경: 인증서발급/관리>관리기능>관리>변경 - 하드디스크 저장 시 전출 또는 취급PC 변동 시 인증서 삭제 후 이동 ※ 전임자 인증서 존재할 경우도 삭제 처리 - 타인에게 인증서 및 로그인 정보 양도(노출) 금지 권한 관리 철저 - 사무분장에 따른 최소한의 권한 부여: 조회권한, 쓰기권한 구분 부여 - 업무변경 등 변동사항 발생 시 즉시 권한 회수
◇ 기타 사항 안내◇ 업무관리시스템 공문작성 시 개인정보 보호 - 대상: 개인정보가 포함된 공문(본문 및 첨부파일 포함) - 방법: [결재정보]에서 ‘대국민공개여부’에 비공개(6호) 체크 ※ 주민번호 등 고유식별번호, 민감정보, 개인연락처 등 중요 개인정보 포함 시 ‘직원열람제한(영구)’ 체크
※ 정보보호 관련 자료 탑재 - 업무관리시스템 > 업무지원 > 알림판 > 정보보안/개인정보보호 게시판