사례로 본 개인정보보호 2013. 6.10 교육정보부.

Presentation on theme: "사례로 본 개인정보보호 2013. 6.10 교육정보부."— Presentation transcript:

1 사례로 본 개인정보보호 교육정보부

2 목 차 개인정보보호 개요 개인정보 유출사고 개인정보 안전성 확보조치 개인정보 업무처리 사례 개인정보보호 수칙

3 1 개인정보보호 개요

4 개인정보보호(security, protection, 보안)
두절 송신자 인증 보 무결성 보 주민등록번호 , ID, 비밀번호 지문, 진료기록 유전자 정보 장애등급, 사상, 신조, 종교, 정당 병역여부, … 가로채기 비밀성 정 접근제어 호 전자서명 가용성 술 기 변조 위조

5 개인정보 자기결정권 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리 정보주체의 개인정보를 누가 왜 수집하고 이용하는지를 정보제공 이전에 정보주체는 명확하게 인지할 수 있어야 하고, 그렇게 제공된 개인정보를 정보주체는 언제든지 열람/정정할 수 있어야 하며 , 더 이상 필요치 않을 경우 이용에 대한 동의 철회나 파기를 요청할 수 있는 권리

6 개인정보 보호법 처벌규정 구분 주요내용 처벌 및 벌칙 구분 주요내용 처벌 및 벌칙 구분 주요내용 처벌 및 벌칙
동의없는 개인정보 제3자 제공 5년 이하 또는 5천 만원 이하 정보주체의 동의 없이 제3자 제공 개인정보의 정정·삭제요청에 대한 필요 조치를 안하고, 계속 개인정보를 이용 또는 제3자에게 제공자 2년 이하 또는 1천 만원 이하 5년 이하 또는 5천 만원 이하 개인정보의 목적 외 이용·제공 개인정보의 목적 외 이용·제공 제공 · 위탁 업무위탁으로 인한 개인정보 제공시 정보주체에게 알려야 할 사항을 알리지 아니한 자 3천 만원 이하 개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자 2년 이하 또는 1천 만원 이하 민감정보 처리기준 위반 1천 만원 이하 고유식별정보 처리기준 위반 업무위탁 시 공개의무 위반 3천 만원 이하 5년 이하 또는 5천 만원 이하 개인정보 유출사실 미통지 개인정보의 누설 또는 타인에 제공 부정한 방법으로 개인정보를 취득하거나 개인정보처리에 관한 동의를 얻는 행위를 한 자 3년 이하 또는 3천 만원이하 개인정보의 훼손, 멸실, 변경, 유출 정보주체의 열람 요구를 부당하게 제한하거나 거절한 자 영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추거나 녹음기능을 사용한 자 정보주체 권익보호 개인정보의 수집기준 위반 3년 이하 또는 3천만원 이하 정보주체의 정정삭제요구에 따라 필요조치를 취하지 아니한 자 수집 · 이용 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의획득의무 위반 5천 만원 이하 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자 개인정보 안전관리 안전성 보호조치를 취하지 않아 개인정보를 도난·유출·변조 또는 훼손당하거나 분실한 자 탈의실·목욕실 등 영상정보처리기기 설치 금지 위반 2년 이하 또는 1천 만원 이하 1천 만원 이하 과태료 시정명령 불이행 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자 안전성 확보 조치의무 불이행 정보주체의 열람, 정정·삭제, 처리정지 요구 거부 시 통지의무 불이행 3천 만원 이하 영상정보처리기기 설치·운영기준 위반 최소한의 개인정보 외 정보의 미동의를 이유로 재화 또는 서비스 제공을 거부한 자 3천 만원 이하 개인정보를 분리해서 저장․관리하지 아니한 자 관계물품·서류 등의 미제출 또는 허위 제출 개인정보처리방침 미공개 1천 만원 이하 주민등록번호를 제공하지 아니할 수 있는 방법 미제공 출입·검사를 거부·방해 또는 기피한 자 개인정보관리책임자 미지정 1천 만원 이하 영상정보처리기기 안내판 설치 등 필요조치 불이행 파기 3천 만원 이하 동의획득방법 위반하여 동의 받은 자 개인정보 미파기

7 개인정보보호법 상의 개인정보 정의 1. 개인에 관한 정보 2. 생존하는 개인에 관한 정보
"자연인(自然人)에 관한 정보“. 법인(法人)이나 단체의 정보는 개인정보의 범위에 해당되지 않음 2. 생존하는 개인에 관한 정보 "생존하는 자연인에 관한 정보”만 해당. 사망하였거나 사망한 것으로 간주되는 자의 정보는 해당되지 않음 3. 생존하는 특정 개인을 알아볼 수 있는 정보 "특정 개인을 알아볼(식별할)" 수 있는 정보(주민번호, 영상 등). 해당 정보만으로는 특정 개인을 식별할 수 없다 하더라도 "다른 정보와 쉽게 결합"하여 식별 가능한 정보(전화번호, 주소 등)

8 개인정보(제공 정보) 예시 “개인의 사적 영역과 관련된, 개인을 식별할 수 있는 일체의 정보” 통신· 위치정보 정신적 정보
통화·문자내역, IP주소 화상정보, GPS 등의 정보 기호, 성향 신념, 사상 종교, 노조활동 가치관 등 주민등록번호 본적, 가족관계 이름, 주소 전화번호 등 정신적 정보 일반적 정보 재산적 정보 개인 금융정보 개인 신용정보 사회적 정보 교육(학력, 성적 등) 정보 근로(직장, 근로경력 등) 정보 병역여부, 군번, 계급 등 신체정보 의료·건강정보 신체적 정보

9 2 개인정보 유출 사고

10 국내 주요 개인정보 유출사고 사건 유출인원(명) 시기 KT 870만 2012년 7월 EBS 400만 2012년 4월
2012년 7월 EBS 400만 2012년 4월 메이플스토리 1320만 2011년 11월 네이트온 3500만 2011년 8월 현대캐피탈 175만 2011년 4월 신세계몰 330만 2010년 3월 GS칼텍스 1125만 2009년 9월 옥션 1860만 2008년 2월

11 우리은행 피싱사이트(2013. 4) www.wooribanc.uy.to
네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

12 3·20 대란 주요 언론사 및 금융기관 통신망 마비 사태 KBS, MBC, YTN, 신한은행, 농협 등 전산망 마비
악성코드에 의해 감염된 PC에서 파일 삭제 현상 발생 PC의 부팅영역 파괴로 PC 재부팅 불가능, 업무 마비 네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

13 3·20 대란(2) 과거 DDoS 공격과의 차이점 단순한 서비스 장애 유발이 아닌 자료삭제 및 컴퓨터 재부팅을 불가능하게 함으로써 업무 마비 목적 APT 공격을 통한 치밀한 사전 공격 기획 (Advanced Persistent Threat) 정부는 북한 정찰총국에 의한 공격인 것으로 발표 경찰, 일부 보안전문가 그룹은 공격 주체에 대한 이견 제시 네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

14 네이트와 싸이월드 해킹( ) 네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

15 네이트와 싸이월드 해킹(2)

16 네이트와 싸이월드 해킹사고 개요(3) (㈜이스트)

17 네이트와 싸이월드 해킹사고 최근 판결

18 옥션 해킹( )

19 옥션 해킹 사건 개요( ) 메일에 첨부된 fuckkr 악성코드를 열어본 직원 PC에 설치된 키로거를 통한 관리자 ID와 패스워드가 해킹당함 중국측 해커들이 옥션 직원들에게 해킹 프로그램을 내장한 메일 100여개 발송 옥션 직원들이 메일 확인한 순간 직원의 ID와 패스워드가 해커들에게 넘어감 중국측 해커들, 옥션직원들의 사내 ID로 옥션 서버에 접속 옥션의 고객 개인 정보(이름, 주민번호, ID, 주소, 이메일, 전화번호 등) 유출 옥션 본사 4일 오후 해킹에 의한 고객정보 유출 최종확인 후 대책 회의 옥션 5일 낮 가입자- 언론에 고객정보 유출사실공지

20 해킹을 통한 유출 (조직폭력배, 2011. 2. 17) OO지역 조직폭력배 일당이 해킹을 통해 수집한 개인정보 이용,
공인인증서 발급을 통해 대출, 보험 해약 등으로 금융자산 취득 구 속 신분증 위조를 통해 공인인증서 발급 PC해킹을 통한 개인정보 수집 은행 신용카드 부정 발급 조직폭력배 보험 해약 범죄에 이용 피해자 게임 머니 구입 불법 대출

21 '주민정보' 스캔한 외장하드 도난(2011.9) 서울 ○○구청에 근무하던 공익요원A는 근무지에서 출처를 알 수 없는 외장하드를 발견하고 집으로 가져왔으나, 해당 외장하드에는 구민 60만 명의 호적등본을 스캔한 이미지가 저장되어 있었음

22 ATM 기기를 이용한 유출 (유지보수 업체, 2011. 2) 은행 ATM기기 운송·폐기업체 대표가 구형 ATM을 신규기기로
교체하면서 2천여만건의 개인금융정보가 담긴 하드디스크 유출 불구속 입건 기기 교체과정에서 하드디스크 유출 용산전자상가 등 중고부품업체에 판매 소비자에게 재판매 신형ATM ATM 업체대표 구형ATM

23 위탁직원에 의한 유출 (전자도서관, 2010. 9.) 00부처의 전자도서관 시스템 관리업체에서 보안 취약점을
이용하여 해킹 프로그램 설치 후, 학생정보 유출 및 판매 불구속 입건 시스템 점검 중 방화벽이 일시적으로 해제된 틈을 노려 해킹 프로그램 설치 교육프로그램 업체 2억원에 판매 위탁업체 사들인 개인정보를 활용(독서통장 판매) 30억원 부당이득 전국 초중고생 636만명 개인정보 유출 (전국 초중고생의 85%, 2008년 3월 ~ 2009년 5월)

24 관세청9급공무원 출입국정보유출로 해임 국세청 직원이 검찰총장후보자와 가족의 출입국내역을 청문회 정보로 제공 후 해임( )

25 5급공무원 연예인정보 열람,감봉3개월/전보 행안부 전산망으로 연예인을 비롯 60명의 주민등록사진 및 정보, 병역정보를 열람( )

26 메신저 피싱 해킹된 개인정보로 네이트온 메신저에 접속 지인인 것처럼 속여 돈을 빌리는 수법
13년 4월 9일 현재 1358건에 걸쳐 41억의 피해 발생

27 법원의 배상 판결 예 (약 553억원, 1인당 12,000원) (약 8만3천원) (약 159억원)

28 개인정보 보호법 구성 체계 제 2 장 개인정보 보호정책의 수립 등 개 인 제 3 장 개인정보의 처리 정 보 호
제 1 장 총칙 - 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등 제 3 장 개인정보의 처리 - 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등 제 6 장 개인정보 분쟁조정위원회 - 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등 제 2 장 개인정보 보호정책의 수립 등 - 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등 제 4 장 개인정보의 안전한 관리 - 안전조치의무, 개인정보파일 등록·공개, 개인정보영향평가, 유출통지제도 등 제 5 장 정보주체의 권리 보장 - 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등 제 8 장 보칙 - 적용제외, 금지행위, 침해사실신고, 시정조치 등 제 9 장 벌칙 – 벌칙, 과태료 및 양벌규정 등 부칙 : 시행일, 경과조치, 다른 법률의 개정 등 제 7 장 개인정보 단체소송 – 단체소송 대상, 소송허가요건, 확정판결의 효력 등 개 인 정 보 호 법 본문9장75개조문, 부칙

29 3 개인정보 안전성 확보조치

30 개인정보의 안전성 확보조치 기준 물리적 접근 방지 내부관리계획의 수립·시행 비밀번호 관리 저장정보 암호화
도난, 파기 개인정보 무단 방치/ 유출 / 악성코드 물리적 접근 방지 내부관리계획의 수립·시행 관리부재 개인정보 보유통제/E-DLP 인증 비밀번호 관리 내부사용자 방화벽 Router 인터넷 DB방화벽/ DB접근통제 E-DLP, 파일 암호화 DRM 유출 외부 전송정보 보호 암호화 / 무단 유출방지 무단접근 용역업체 협력업체 사고추적 저장정보 암호화 Enterprise Data Leak Prevention 개인정보 접속기록 관리 DB 접근권한관리 접근권한 변경 이상징후 개인정보 접근통제 시스템 설치 및 운영

31 접근 권한의 관리 개인정보처리시스템 접근권한을 업무수행에 필요한 최소한 범위로 업무담당자별 차등부여
개인정보처리시스템 접근권한을 업무수행에 필요한 최소한 범위로 업무담당자별 차등부여 - 예) 개인정보 보호책임자에게는 전체권한(읽기/쓰기/변경)을 부여하거나, 개인정보 취급자에게는 읽기 권한만 제공하는 등 권한에 차등 개인정보취급자 변경 시 지체 없이 개인정보처리시스템의 접근권한 변경 또는 말소 권한부여, 변경, 말소 내역 기록 및 최소 3년간 보관 개인정보취급자별 한개의 사용자 계정 발급 및 공유금지

32 비밀번호 관리 개인정보취급자 또는 정보주체가 안전한 비밀 번호를 설정할 수 있도록 비밀번호 작성 규칙 수립 및 적용
개인정보취급자 또는 정보주체가 안전한 비밀 번호를 설정할 수 있도록 비밀번호 작성 규칙 수립 및 적용 - 비밀번호 최소 길이 · 최소 9자리 : 영어 대/소문자, 숫자, 특수문자 중 2종류 이상으로 구성 - 추측하기 어려운 비밀번호 사용 · love, happy, , qwerty (X) - 비밀번호의 주기적인 변경 · 유효기간 설정 및 분기별 1회 이상 주기적으로 변경 - 비밀번호 변경 시 두 개의 비밀번호로 교대 사용 제한

33 접근통제 시스템 설치 및 운영 접속권한 제한(IP/ID 등) 및 불법유출시도 탐지 기능 포함하는 접근통제 시스템 설치 및 운영
- DB방화벽, 일반 방화벽, 웹방화벽 등 활용 - 예 : DB방화벽(접근통제) 시스템의 접근통제 기능 개인정보 처리 시스템에 대한 접근권한관리(1인 1ID부여, 사용자 인증) 개인정보 과다 조회 이상징후 탐지(예 : 주민번호 1만건 조회) 개인정보 접근 기록 저장 개인정보 재가공 통제 ( DB접속 후 PC 보관, 출력, 복사 통제) 개인정보 처리 시스템 접근시 암호화 통신(VPN)채널 제공

34 개인정보의 암호화 고유식별정보(주민번호,여권번호,운전면허번호,외국인등록번호), 비밀번호, 바이오 정보는 암호화
고유식별정보(주민번호,여권번호,운전면허번호,외국인등록번호), 비밀번호, 바이오 정보는 암호화 PC에 저장된 개인정보 암호화, DBMS에 저장된 개인정보의 암호화, 화일서버/웹서버에 보관된 개인정보의 암호화 안전한 암호 알고리즘으로 암호화 저장 - 미국NIST 등 국내외 암호 연구기관에서 권고하는 알고리즘 사용 전송시 암호화 (보안서버 등 활용) 2012년 12월까지 암호화 적용 (소상공인) 업무용 컴퓨터는 상용 암호화 SW 또는 안전한 암호화 알고리즘을 사용하여 저장 선한 관리자인지 아닌지 판단하는 기준은 첫째, 법에서 정한 보호조치를 수행하고 있었느냐, 둘째 동종업계 평균 이상의 보호조치를 하고 있었느냐

35 시스템 접속 기록 관리 개인정보취급자 개인정보 처리 시스템 접속 기록 최소 6개월 이상 보관·관리
개인정보취급자 개인정보 처리 시스템 접속 기록 최소 6개월 이상 보관·관리 개인정보 처리 어플리케이션(웹어플리케이션 포함)에 대한 접속기록도 보관 접속기록 위·변조, 도난, 분실되지 않도록 안전하게 보관 (소상공인) 개인정보취급자가 1인(Root, Admin 등)인 경우 전자적 로그 남기지 않고 접속기록 수기 작성 후 상급자 승인 가능 필수기록 항목 설명 ID 개인정보취급자 식별정보 날짜 및 시간 접속 일시 접속자 IP 주소 접속지 정보 수행업무 열람,수정,삭제,인쇄,입력 등 선한 관리자인지 아닌지 판단하는 기준은 첫째, 법에서 정한 보호조치를 수행하고 있었느냐, 둘째 동종업계 평균 이상의 보호조치를 하고 있었느냐

36 보안프로그램의 설치 운영 및 물리적 접근방지 보안프로그램 설치 운영 물리적 접근방지
백신 소프트웨어 등의 보안 프로그램 설치·운영 자동 업데이트 기능 사용 또는 일 1회 이상 업데이트 보안 업데이트 공지가 있는 경우, 즉시 업데이트 실시 물리적 접근방지 별도의 물리적 보관장소(전산실, 자료보관실)에 대한 출입통제 절차 수립 및 운영 개인정보 문서, 보조저장매체 등은 잠금장치가 있는 안전한 장소 보관 선한 관리자인지 아닌지 판단하는 기준은 첫째, 법에서 정한 보호조치를 수행하고 있었느냐, 둘째 동종업계 평균 이상의 보호조치를 하고 있었느냐

37 4 개인정보 업무처리 사례

38 개인정보 업무처리 Q&A 동의받을 개인정보 항목을 열거한 후 마지막에 그 외 이에 준한다는 의미로 ‘~등’의 용어를 사용할 수 있는가? 등의 용어를 써서 추가적인 개인정보를 받을 수 있도록 한다면 무분별한 개인정보 수집으로 이어질 소지가 있음. 따라서 정보주체 동의시 수집할 구체적인 개인정보 항목을 나열해야 하며 ‘~등’을 사용해선 안됨. 민원 업무(행정정보열람, 제증명 발급 등) 처리 시 민원인(본인 또는 제3자)을 확인하기 위해 주민등록번호, 주소, 전화번호 등을 수집하고 있습니다. 수집에 대한 동의를 받아야 하나요? ｢민원사무처리에 관한 법률｣ 제15조에 따라 행정기관의 장은 민원사항에 대한 처리결과를 민원인에게 통지하여야 하므로, 민원인의 개인정보를 수집할 수 있음. 따라서 학교 등 공공기관이 접수된 민원을 처리하기 위해 신고자를 확인하는 경우 동의 없이도 본인확인을 위한 개인정보의 수집이 가능함.

39 개인정보 업무처리 Q&A 고등학교 학생이 교내에서 교사에 대한 불손한 태도로 인하여
학칙에 따라 교내 징계위원회를 거쳐 징계 처분한 내용(성명, 학년, 반 정보)을 교내 게시판에 게시한 사항으로, 대다수 학교가 학생 선도 목적으로 교육효과를 높이기 위해 관례대로 교내 게시판에 학생 및 교직원이 볼 수 있도록 실시해온 바, 개인정보보호법에 위배되는지요? 위배된다면, 처분 수위는 어느정도인지요? 징계처분 후 징계받은 학생의 개인정보를 교내 게시판에 공개하는 것은 개인정보보호법 제18조 제2항에 따른 예외적 사유 및 초중등교육법 시행령 제31조에 따른 학생의 징계 범위에 해당한다고 할 수 없으므로 해당 법 조항에 위배된다고 볼 수 있음.

40 개인정보 업무처리 Q&A 학교 홈페이지 운영과 관련하여 교육활동사진, 학교행사사진, 수업동영상, 대회입상자 공개 등을 게시할 때 학생, 학부모, 교직원 등의 동의를 받아야 하나요? 또 일부 학생과 학부모가 동의하지 않을 경우 홈페이지에 게시할 수 없나요? 단체사진일 경우에는 동의를 거부한 사람이 있다면, 그로 인해 해당 사진은 게시를 하면 안 되는 것인가요? 비공개 게시판이라면 동의 없이 가능한가요? 학교 홈페이지에 사진을 올리는 경우에는 정보주체의 동의를 얻어야 함. 동의를 얻지 못한 경우에는 홈페이지에 올릴 수 없음. 단체 사진의 경우 동의를 거부한 사람에 대해 식별할 수 없도록 처리 후 게시가능. 학생의 활동사진을 홈페이지에 게시하는 경우에는 로그인 등의 방법으로 제한된 사람만 이용할 수 있는지 여부와 관계없이 정보주체인 학생 본인 또는 그 법정대리인의 동의를 받아야 함.

41 개인정보 업무처리 Q&A 담임교사가 관리하는 교무수첩 관리
1. 담임교사가 교무수첩에 수기로 작성한 학생 개인정보의 경우 동의서를 받아야 하는가? 2. 교무수첩 보유기간은 어떻게 정해야 하는가? 3. 교무수첩에 수기로 기록된 상담일지도 동의서를 받아야 하는가? 4. 수기 상담일지의 경우 민감정보로 처리 해야 하는가? 5. 교무수첩의 개인적 소장이 가능한가?" 학생정보는 교육적 목적으로 수집·처리·이용 및 관리되는 경우, 동의를 구하지 않더라도 수집이 가능함 학생지도와 교육목적을 넘지 않는 범위 내에서 수집되어야 할 것임 보유기간은 그 목적에 따라 결정됨 민감정보는 ｢개인정보 보호법｣ 제23조에서 명시적으로 열거하고 있는 사항들에 대해서만 해당됨. ※ 민감정보 : 사상･신념, 노동조합･정당의 가입･탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료 교무수첩은 교육적 목적 범위에서만 이용되어야 하고, 개인 소장은 금지됨

42 개인정보 업무처리 Q&A 홈페이지에 사진을 게시할 때 학교 전체 행사의 경우에는 외부인이 사진에 나타날 때가 있습니다. 이때 이들의 동의를 받기 어려운데 어떻게 해결해야 하는가? 개인정보의 수집·이용, 목적 외 이용 및 제3자 제공이 허용되는 경우는 “명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우”에 한함. 그 밖의 경우에는 사전 동의를 받아야 하며, 동의를 받을 수 없는 경우 에는 해당 개인정보를 처리할 수 없음. 같은 반 학생의 성적이 모두 출력되어 있는 일람표로 성적을 확인 하는 것이 개인정보 침해에 해당되는가? 성적의 열람은 본인의 학업성취도를 확인하기 위한 목적이므로 본인이 아닌 제3자가 해당 정보를 열람하게 하는 행위는 개인정보의 보유 목적 외 제공임. 그러므로 해당 정보주체로부터 별도의 동의가 있는 경우를 제외하고는 제3자가 성적일람표 로 다른 사람의 성적을 확인하도록 하여서는 안 됨

43 개인정보 업무처리 Q&A 각종 시험 및 경시대회 후 합격자를 홈페이지나 현수막을 통해 게시하는 경우에도 정보주체의 동의를 받아야 하나요? 받아야 한다면, 개인정보 이용 동의서를 받는 시점은 원서접수 할 때인가요, 합격자 발표 시점인가? 합격자를 홈페이지나 현수막을 통하여 게시하는 경우에도 정보주체인 합격자의 동의를 받아야 함. 동의는 사전 동의를 원칙으로 하기 때문에 게시 또는 공개 전에만 받으면 됨. 저소득층 관련 업무를 하다 보면 통신사에 학생 주민등록번호나 학부모 주민등록번호를 제공할 때가 있는데 어떤 절차 거치나요? ｢전기통신사업법｣에 따른 보편적 역무의 내용 가운데 ‘장애인·저소득층 등에 대한 요금감면 전화 서비스’가 시행되고 있음. 서비스 대상자 여부를 확인하기 위하여 통신사는 주민등록번호를 수집하게 됩니다. 이 경우 서비스 대상자의 동의를 받아 주민등록번호를 통신사에 제공하여야 함

44 개인정보 업무처리 Q&A 방과 후 A학생이 귀가하지 않아 A학생의 학부모가 A학생 친구인 B학생의 전화번호를 문의할 때 알려 주어도 되는가? 객관적으로 정보주체의 급박한 생명 신체 재산상의 이익을 위하여 필요하다고 인정되는 경우에 한하여 정보주체의 동의 없이 제공할 수 있음 담임교사가 담임 학반의 학생의 개인정보(주민등록번호, 주소, 연락처, 부모 연락처 등)가 담긴 한글 파일을 개인 USB에 보관 하여도 되는가? 담임교사가 개인정보를 보조저장매체에 저장하여 관리하는 경우 잠금장치가 있는 안전한 장소에 보관하여야 함. “보조저장매체”라 함은 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 분리할 수 있는 저장매체를 말함.

45 개인정보 업무처리 Q&A CCTV 촬영화면을 공익목적으로 공개할 수 있나?
공개하는 경우가 있음. 교통정보나 관광지 화면이 이에 해당. 이 경우에도 개인을 구체적으로 식별할 수 없을 정도여야 함. 개인정보에 암호가 설정된 USB를 분실했을 때 개인정보노출 신고 의무 대상에 해당하는가? 1만명 이상의 정보주체에 관한 개인정보가 포함된 이동식 저장장치를 분실하거나 도난당한 경우에는 행정안전부장관 또는 한국정보화진흥원･한국인터넷진흥원에 신고하여야 함

46 5 사이버 공격 시연과 방어

47 5.1 신뢰못할 웹 사이트의 액티브 X 실행과 원격조정

48 5.2 e-메일에 첨부된 위장된 좀비PC 실행파일

49 5.3 윈도우 XP, 2008, 7 패스워드 크래킹 <3분지나면 크래킹 완료>
%systemroot%/system32/config/SAM <Cain & Abel을 이용한 무작위 대입 공격>

50 6 개인정보보호 안전수칙

51 6.1 내 개인정보는 내가 지킨다. 비밀번호는 숫자(0~9)와 영문자(대26개, 소26개), 특수문자(32개)를 섞어서 만들되, 2가지 조합은 10자 이상, 3가지 조합은 9자 이상으로 만들고 4개월에 1번 이상 정기적으로 변경하자. 주민등록 번호 대신 안전한 I-PIN 사용 중요한 문서나 파일은 암호화해서 저장. 공용컴퓨터는 사용 후 반드시 로그아웃. "내 PC 지키미" 실행 신뢰받지 못한 웹사이트의 프로그램설치(액티브 액스) 금지

52 6.2 내 개인정보는 내가 지킨다. 수신자가 불확실하거나 수상한 파일이 첨부된 메일 읽지 않기
백신 S/W를 설치하고 항상 작동시키고 자동 업데이트 옵션 선택하기 공용컴퓨터는 사용 후 반드시 로그아웃. 정품 소프트웨어 사용하기 . 메신저 이용 시 첨부된 파일의 실행이나 전달된 URL에 접속하지 않기 중요한 자료는 주기적으로 백업하기 .

53 6.3 개인정보보호 관련 사이트 ㆍ지침자료 - 표준개인정보보호지침 - 개인정보의 안전성 확보 조치 기준 및 해설서
6.3 개인정보보호 관련 사이트 ㆍ지침자료 - 표준개인정보보호지침 - 개인정보의 안전성 확보 조치 기준 및 해설서 - 개인정보 영향평가에 관한 고시 및 해설서 - 개인정보 처리단계별 의무조치사항 안내 등 개인정보보호법 시행령 개인정보보호법 시행규칙

54 감사합니다