<정보 보안> 담당 교수: 박용대 2018년 1학기 4차 산업과 직업기초능력 <정보 보안> 담당 교수: 박용대

1. 정보 보안 정보 보안이란 정보 보안에서 문제가 되는 정보 유형 해당 정보를 공유하는 일이 허락되지 않은 타인들에게 공개되지 말아 야 할 정보를 지킴. 정보 보안에서 문제가 되는 정보 유형 가. 해당 정보가 정치, 경제, 사회, 문화적으로 매우 중요한 ‘독점적 가 치’가 있어 타인들이 불법적 방법으로라도 이를 얻고자 노력하는 경 우 나. 해당 정보가 원치 않는 상황에서 공개됨으로써 이에 관계된 개인 이나 조직에 해가 되는 경우

1. 정보 보안 정보 보안의 3대 요소 기밀성 특정 정보에 대한 접근이나 열람, 사용이 허용되지 않은 사용 자나 객체가 해당 정보의 내용을 알 수 없도록 하는 것. 해당 정보의 존재를 알고 있는 사람의 수를 최소화할수록 기밀성 을 유지하는 데 유리. 정보에 접근할 수 있는 권한 및 등급을 엄격하게 설정.

1. 정보 보안 무결성 특정 정보에 대한 접근이나 열람, 사용이 허용되지 않은 사용 자나 객체가 정보를 함부로 수정할 수 없도록 하는 것. 비밀번호나 접근 코드, 생체 정보 등을 사용할 수 있음. 가용성 특정 정보에 대한 접근이나 열람, 사용이 허용된 사용자나 객 체가 해당 정보에 접근하고자 할 때 이것이 방해받지 않도록 하는 것. 정보의 가용성을 확보하기 위한 보안 백업 시스템 마련.

1. 정보 보안 정보 보안 대처 유형 물리적 보안 비물리적 보안 해당 정보에 대한 공간적 접근을 관리하고 차단하는 방법. 정보 관리 시스템에 대한 출입 통제 시설 설치 등 비물리적 보안 해당 정보에 대한 온라인 접근을 관리하고 차단하는 방법. 정보에 대한 암호화 기술 적용, 접근 차단 프로그램 설치 및 운용.

1. 정보 보안 정보 보안 피해 유형 위조- 허위로 만들어진 자료를 마치 정상적인 자료인 것 처럼 보이게 만드는 것. 신분증, 자격증, 학력 사항 등의 사회 활동 관련 정보를 허위 로 작성하는 경우가 대표적. 변조- 원래의 정상적 자료 중 일부나 전부를 다른 내용으 로 바꾸는 것. 허가된 정보 사용자의 정보 활용에 혼선을 주기 위한 악으적 의도로 시도되는 경우가 많음.

1. 정보 보안 유출- 해당 정보에 접근하는 것이 허용되지 않은 사용자 가 해당 정보의 내용을 열람, 확인, 복제, 반출하여 자신 의 목적에 악용하는 것. 해킹으로 인한 개인 정보나 기업 기밀 등의 유출. 훼손- 정보 시스템 내부의 정보 자료, 특정 소프트웨어나 어플리케이션 또는 컴퓨터 오퍼레이팅 시스템(OS)의 일 부나 전부를 변경하거나 파괴하는 것. 정보의 저장, 관리, 사용 시스템을 의도적으로 교란하여, 사 용자가 이를 활용할 수 없도록 만드는 데 목적이 있음.

1. 정보 보안 개인 정보 보안 개인 정보 보호와 제도적 장치 개인의 신상 정보, 금융 및 자산 정보, 사회 활동 정보 등을 남들에 게 부당하게 탈취, 도용당하지 않도록 하는 부분에 초점을 두는 개 념. 개인 정보 보호와 제도적 장치 정보통신기술 발달의 반대 급부로 개인의 신상 정보, 금융 정보, 등을 악용한 사기, 신분 도용 등의 사회적 피해가 두드러지기 시작. 정부는 공공기관에 보관되어 잇는 개인 정보의 불법 유출 및 활용을 막 기 위해 1995년 1월 ‘공공기관의 개인정보보호에 관한 법률’을 제정. 2000년 1월에 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제 정. 2011년 3월 개인 정보의 개념 및 보호 범위를 대폭 강화한 ‘개인정보 보호법’을 제정하여 시행.

1. 정보 보안 개인 정보의 유형 인적 사항 정보 신체적 정보 해당 인물의 성명, 주민등록번호, 주소, 출생지 및 본적지, 전화번 호, 전자우편 주소, 생년월일, 가족관계 등의 정보. 신원파악, 진학, 취업 등의 과정에서 가장 기본이 되는 정보. 국가 행정 기관에서 집중적으로 관리하는 중요 정보 신체적 정보 해당 인물의 얼굴(사진, 초상화 포함), 지문, 홍체, 음성, 유전자 정 보, 키, 몸무게, 건강 상태, 병원 진료 기록, 신체적 장애 및 장애 등 급 등의 정보. 범죄 수사, 보험 처리, 중요 시설 출입 보안 수단, 병역이나 장애 관 련 행정 처리 등에 활용.

1. 정보 보안 정신적 정보 재산적 정보 인물의 사상, 신조, 신념, 종교, 가치관, 정당 및 노조 가입 여 부 등의 정보. 민주주의 국가에서는 이를 이용해 해당 인물을 탄압하거나 불이 익을 주는 행위를 헌법으로 엄격하게 금지. 재산적 정보 인물의 소득 금액, 신용카드 번호, 계좌 번호, 거래 중인 금융 상품 내역, 신용 평가 등급, 대출 또는 부채 등의 정보. 금융, 국가 행정적 영역에서 활용.

1. 정보 보안 사회적 정보 통신, 위치 정보 인물의 학력, 성적, 자격증 보유, 전과 기록, 직장, 근로 경력 등의 정보. 인물의 학력, 성적, 자격증 보유, 전과 기록, 직장, 근로 경력 등의 정보. 특정한 직업이나 직책, 공직자 선출 등의 자격 사항 관련 정보로 서 중요. 통신, 위치 정보 전화통화 내역, 인터넷 접속 IP 주소, GPS 정보, 특정 점포나 상점의 결제 내역, 교통카드 이용 내역 등의 정보.

1. 정보 보안 개인 정보 보호 수칙 개인 정보 오남용 피해 예방 10계명 -한국인터넷진흥원(KISA)- ① 회원 가입, 어플리케이션 이용 당시 개인 정보를 제공할 때에는 개인 정보 취급 방침 및 이용 약관을 꼼꼼히 살펴라. ② ‘비밀번호는 타인이 유추하기 어렵도록 영문과 숫자, 특수문자 등을 조합하여 최소한 8자 이상으로 만들라.’ ③ ‘가급적 안정성이 높은 아이핀 등의 주민등록번호 대체 시스템을 활용하고, 꼭 필요하지 않은 개인 정보는 입력하지 말라.’

1. 정보 보안 ④ ‘비밀번호는 주기적으로 변경하라.’ ⑤ ‘명의도용 확인 서비스를 활용하라.’ ⑥ ‘자신의 아이디와 비밀번호, 주민등록번호 등의 신상정보는 친구나 지인에게 도 공개하지 말라.’ ⑦ ‘본인의 개인 정보를 P2P 공유폴더나 인터넷 업로드 자료에 포함시키지 않도 록 유의하라.’ ⑧ ‘금융거래 관련 신용카드 번호나 계좌번호 등은 암호화하여 관리하고, 공용 PC에서는 금융거래 등의 중요 업무를 되도록이면 하지 말라.’ ⑨ ‘인터넷에서 아무 자료나 함부로 다운로드하지 말라.’ ⑩ ‘개인 정보가 유출되면 해당 사이트에 즉시 삭제를 요구하고, 문제가 생기면 즉시 개인정보침해 신고센터에 신고하라.’

1. 정보 보안 사물 인터넷과 개인 정보 보안 사물 인터넷(IOT)란. 정보통신기술 기반으로 모든 사물을 연결해 사람과 사물, 사 물과 사물 간에 정보를 교류하고 상호 소통하는 지능형 인프 라 및 서비스 기술. 사물 인터넷은 주로 사람 및 그가 활용하는 기기에만 부여하던 IP 주소를 일반적인 사물에 할당한 뒤 이들 사이를 인터넷으로 연결한다는 의미.

1. 정보 보안 사물 인터넷의 필요성 및 목적 ○ 기기의 원격 제어 및 조종 ○ 별도의 기기가 필요 없는 인터넷 정보 교류 : 직접 조작하던 기기를 인터넷으로 조작 ○ 별도의 기기가 필요 없는 인터넷 정보 교류 : ‘웨어러블 디바이스(Wearable Device: 몸에 부착하거나 착용하여 사용하 는 전자장치.)’ ○ 자율 작동 기기의 활용 : 공장 완전 자동화 기술, 자동차의 자율 주행 기술 등 ○ 생활 가전 기기의 작동 및 보안 관리 : '스마트 홈(Smart Home: 가전제품을 비롯한 집안의 모든 장치를 연결해 제어하는 기술.)' 시스템 등

1. 정보 보안 사물 인터넷의 위험성 -> 해킹 가. 사물 인터넷 기술 적용 기기에 저장된 개인 정보의 유 출. 나. 악의적 목적을 지닌 사람이 해당 기기를 원격 조작하 여 원래 사용자에게 해를 입힘

1. 정보 보안 사물 인터넷 기기 사용자의 행동 수칙 ① 사물 인터넷 보안의 필요성과 그 중요성을 반드시 인식한다. ② 사물 인터넷 기기를 구입할 때, 해당 생산 업체의 정보 보안 대책이 있는 지 확인한다. 이것이 확실하지 않다면 해당 제품을 구입하지 않는다. ③ 사물 인터넷 기기의 펌웨어 및 보안 솔루션 S/W를 항상 최신 버전으로 유지한다. ④ 무선 공유기(라우터)에는 해킹이 어려운 비밀번호를 반드시 설정하여 관 리한다. ⑤ 사물 인터넷 기기를 없애거나 바꿀 때에는 반드시 여기에 저장된 데이터 를 영구 삭제한다.

1. 정보 보안 기업 정보 보안 개인의 정보 가치도 크지만 기업의 정보 가치는 상상을 초월. 기업 차원에서 보안이 필요한 정보 이러한 정보를 빼오기 위해 범죄 조직들도 체계적이고 전문적인 기 술을 동원. 따라서 기업의 보안 대책은 개인의 보안 대책과 차원이 다른 기술 과 조직 관리가 필요. 기업 차원에서 보안이 필요한 정보 가. 기업의 경쟁력이 되는 핵심 기술 내지 경영 노하우 정보 나. 기업의 영업 및 마케팅과 관련한 고객 정보(특히 고객 개인 정보)

1. 정보 보안 기업에서 시행하는 보안 대책의 유형 ○ 모든 기밀 및 업무 정보를 사내 ‘인트라넷(intranet)’ 등의 폐쇄적 통신망에서만 유 통한다. 아무리 업무를 위한 경우라 하더라도 사외에서 이에 접속하는 것도 금지하는 경우가 대부분이다. ○ 업무 정보 및 기밀에 ‘접근 등급’을 설정하여 해당 정보에 접근할 수 있는 권한을 제한한다. ○ 업무용 PC는 물론 노트북이나 태블릿 등의 모바일 기기 또한 외부 반출을 철저히 제한하거나, 정보 유출 제한을 위한 보안 S/W 등을 2중, 3중으로 설치하여 관리한다. ○ USB 등의 이동식 저장장치가 업무용인 경우 이를 사외로 반출하지 못하도록 한다. 부득이한 경우는 반드시 결재 및 허가를 받도록 하고, 복귀 이후에는 부당한 사용 흔 적에 대한 감사를 받는다.

1. 정보 보안 ○ 임직원 개인 휴대전화의 카메라가 사내에서 작동되지 못하도록 막 는 프로그램을 적용한다. ○ 업무 기밀이 담긴 서류 등을 담당자의 책상 위나 복사대 등에 방치 하지 않도록 한다. ○ 사내에서만 사용하는 보안 용지로 업무 서류를 인쇄하고, 이를 반출 할 때에는 경보 시스템이 작동하도록 한다. ○ 보존 기한이 지난 서류는 소각 내지 파쇄하여 완전히 없앤다.

1. 정보 보안 기업에서 보관 중인 고객 개인 정보 유출 사례 ○ 하나로텔레콤(2006~2008년) ○ 옥션(2008년) - 651만 명의 고객 정보를 텔레마케팅 회사에 팔아넘긴 사건 ○ 옥션(2008년) - 1863만 건의 고객 정보가 외부로 유출된 사건 ○ GS칼텍스(2008년) - 1119만 2097명의 고객 정보가 담긴 CD가 압구정동 골목에 버려져 방치된 사건

1. 정보 보안 ○ 네이트닷컴(2011년) ○ 넥슨코리아(2011년) ○ 국민카드, NH농협카드, 롯데카드(2014년) - 해킹으로 가입자 3500만 명의 개인 정보가 유출된 사건 ○ 넥슨코리아(2011년) - 해킹으로 가입자 1320만 명의 개인 정보가 유출된 사건 ○ 국민카드, NH농협카드, 롯데카드(2014년) - 해당 카드사와 협력 중인 신용평가 업체의 직원이 USB로 총 1 억 580만 건(중복 포함)에 해당하는 고객의 개인 정보를 반출하 여 광고 대행업체 등에 팔아넘긴 사건 ○ KT(2014년) - 해킹으로 1200만 건의 고객 개인 정보가 유출된 사건

1. 정보 보안 기업의 정보 보안 문제의 몇 가지 유형 ○ 고객 정보를 저장하고 있는 홈페이지 서버 및 저장 장치의 보 안 대책을 제대로 세우지 않음. 이들 기업은 이를 일종의 ‘비용’으로 보고, 이에 대한 투자를 꺼 리거나 소홀하게 여겼던 것. ○ 고객 정보를 관리하거나 이에 접근할 수 있는 내부 직원의 고 의적 반출을 막기 위한 관리 체계 부실. 특히 USB 등의 저장, 복사, 임의 반출에 대한 관리가 거의 없음. ○ 외부인이 고객 정보를 건드릴 수 있는 상황을 방치하여 고객 정보의 유출을 막지 못함.

1. 정보 보안 그러나 이러한 기업의 불법 행위 및 직무유기 행위에 대한 배상이나 처벌이 그다지 강력하지 않음. 그러나 이러한 기업의 불법 행위 및 직무유기 행위에 대한 배상이나 처벌이 그다지 강력하지 않음. 현행 개인정보보호법은 공공기관의 개인 정보 수집, 관리, 공개에 대한 규정이 중심이라 기 업에 대한 처벌 규정이 명확하지 않음. 이러한 이유로 기업의 관리 부실로 개인이 피해를 입어도 개인이 별도의 시간과 비용을 들여 소송을 진행해야 함. 이에 정부는 2001년에 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’을 제정. 2014년 기업의 개인 정보 유출에 대한 배상 및 처벌 조항을 대폭 강화한 개정안이 국회 본회의를 통과. ○ 고객 개인이 정보 유출 피해와 기업 관리 소홀의 인과관계를 일일이 증명하지 않더라도 이를 보 상하도록 하고, 그 과징금도 관련 매출액의 3%로 늘린다. ○ 고객 개인의 손해액 입증이 없어도 최대 300만 원의 손해배상액을 지급하도록 하는 법정 손해 배상제도를 도입한다.

개인정보보호

개인정보보호

수업 참여를 적극적으로 하면 평소 가점을 많이 받을 수 있으니 수업 때 능동적으로 참여하세요!