개인정보보호와 PC보안 2014. 05. 전남대 이영록.

Presentation on theme: "개인정보보호와 PC보안 2014. 05. 전남대 이영록."— Presentation transcript:

1 개인정보보호와 PC보안 전남대 이영록

2 목 차 개인정보보호와 개인정보 유출사고 개인정보 처리단계별 의무사항 및 공공정보 공유·개방 개인정보 업무사례 Q&A
목 차 개인정보보호와 개인정보 유출사고 개인정보 처리단계별 의무사항 및 공공정보 공유·개방 개인정보 업무사례 Q&A 개인정보보호 수준 인증제 사이버공격에 의한 정보 유출 시연과 PC 보안

3 1 개인정보보호

4 개인정보 정의와 개인정보자기결정권 개인정보 개인정보 자기결정권 1. 개인에 관한 정보 2. 생존하는 개인에 관한 정보
"자연인(自然人)에 관한 정보“. 법인(法人)이나 단체 정보는 해당되지 않음 2. 생존하는 개인에 관한 정보 "생존하는 자연인에 관한 정보”만 해당. 사망/사망 간주자는 해당되지 않음 3. 생존하는 특정 개인을 알아볼 수 있는 정보 "특정 개인을 알아볼(식별할)" 수 있는 정보(주민번호, 영상 등). 해당 정보만으로는 특정 개인을 식별할 수 없다 하더라도 "다른 정보와 쉽게 결합"하여 식별 가능한 정보(전화번호, 주소 등) 개인정보 자기결정권 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체 스스가 결정할 수 있는 권리 정보주체의 개인정보를 누가 왜 수집하고 이용하는지를 정보제공 이전에 정보주체는 명확하게 인지할 수 있어야 하고, 그렇게 제공된 개인정보를 정보주체는 언제든지 열람/정정할 수 있어야 하며 , 더 이상 필요치 않을 경우 이용에 대한 동의 철회나 파기를 요청할 수 있는 권리

5 보호(security, protection, 보안)
정당한 사용자 인증 두절 위협 보 무결성 보 가로채기 위협 주민등록번호 , ID, 비밀번호 지문, 진료기록 유전자 정보 장애등급, 사상, 신조, 종교, 정당 병역여부, … 보호해야 할 대상 정 호 기밀성 접근제어 서 스 부인방지 가용성 비 변조 위협 위조 위협

6 정보보호서비스 기밀성 가용성 무결성 접근제어 인증 부인방지 (confidentiality) (availability)
something you know 무결성 something you are something you have (integrity)

7 개인정보 보호법 처벌규정 구분 주요내용 처벌 및 벌칙 구분 주요내용 처벌 및 벌칙 구분 주요내용 처벌 및 벌칙
동의없는 개인정보 제3자 제공 5년 이하 또는 5천 만원 이하 정보주체의 동의 없이 제3자 제공 개인정보의 정정·삭제요청에 대한 필요 조치를 안하고, 계속 개인정보를 이용 또는 제3자에게 제공자 2년 이하 또는 1천 만원 이하 5년 이하 또는 5천 만원 이하 개인정보의 목적 외 이용·제공 개인정보의 목적 외 이용·제공 제공 · 위탁 업무위탁으로 인한 개인정보 제공시 정보주체에게 알려야 할 사항을 알리지 아니한 자 3천 만원 이하 개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자 2년 이하 또는 1천 만원 이하 민감정보 처리기준 위반 1천 만원 이하 고유식별정보 처리기준 위반 업무위탁 시 공개의무 위반 3천 만원 이하 5년 이하 또는 5천 만원 이하 개인정보 유출사실 미통지 개인정보의 누설 또는 타인에 제공 부정한 방법으로 개인정보를 취득하거나 개인정보처리에 관한 동의를 얻는 행위를 한 자 3년 이하 또는 3천 만원이하 개인정보의 훼손, 멸실, 변경, 유출 정보주체의 열람 요구를 부당하게 제한하거나 거절한 자 영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추거나 녹음기능을 사용한 자 정보주체 권익보호 개인정보의 수집기준 위반 3년 이하 또는 3천만원 이하 정보주체의 정정삭제요구에 따라 필요조치를 취하지 아니한 자 수집 · 이용 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의획득의무 위반 5천 만원 이하 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자 개인정보 안전관리 안전성 보호조치를 취하지 않아 개인정보를 도난·유출·변조 또는 훼손당하거나 분실한 자 탈의실·목욕실 등 영상정보처리기기 설치 금지 위반 2년 이하 또는 1천 만원 이하 1천 만원 이하 과태료 시정명령 불이행 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자 안전성 확보 조치의무 불이행 정보주체의 열람, 정정·삭제, 처리정지 요구 거부 시 통지의무 불이행 3천 만원 이하 영상정보처리기기 설치·운영기준 위반 최소한의 개인정보 외 정보의 미동의를 이유로 재화 또는 서비스 제공을 거부한 자 3천 만원 이하 개인정보를 분리해서 저장․관리하지 아니한 자 관계물품·서류 등의 미제출 또는 허위 제출 개인정보처리방침 미공개 1천 만원 이하 주민등록번호를 제공하지 아니할 수 있는 방법 미제공 출입·검사를 거부·방해 또는 기피한 자 개인정보관리책임자 미지정 1천 만원 이하 영상정보처리기기 안내판 설치 등 필요조치 불이행 파기 3천 만원 이하 동의획득방법 위반하여 동의 받은 자 개인정보 미파기

8 2 개인정보 유출 사고

9 개인정보 침해 현황

10 신용카드사 개인정보 유출(‘14.1) 개요 유출과정 KB국민카드, NH농협카드, 롯데카드가 가지고 있던 개인정보 유출
2012년 10월부터 2013년 12월까지 1억 4백만건이 지속적 유출 유출과정 아이핀을 관리하는 신용평가회사 코리아크레딧뷰로(KCB)의 직원 박모 차장이 USB에 담아 유출 박씨는 각 카드사의 분실·위변조 탐지 시스템 개발 프로젝트(FDS) 책임자로 시스템 테스트에 이용된 개인 정보를 USB에 담아 빼냄 네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

11 신용카드사 개인정보 유출(’14.1) 유출된 정보 개인 신상정보 국민카드의 경우 롯데카드의 경우 사망한 사람의 개인정보도 포함
기본적인 개인정보인 이름, 주민등록번호, 연락처, 집 주소 세부 개인정보인 결혼 여부, 자동차 소유 여부 민감한 금융정보인 결제일, 신용한도 금액, 신용등급 국민카드의 경우 동일 계열사인 국민은행 사용자 정보도 유출 롯데카드의 경우 롯데카드 미소지자인 단순 롯데멤버쉽카드 소유자의 개인정보도 유출 사망한 사람의 개인정보도 포함 네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

12 KT 개인정보 유출(’14.3) 개요 전문해커 김모씨(29세)와 이 개인정보를 사들여 부당 수익을 올린 텔레마케팅 대표 박모씨(37세)등 3명을 검거 유출된 개인정보는 1,200만여 건. KT의 가입자는 총 1,600만명. 대부분 가입자 정보가 유출 유출과정 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위 자동 입력시켜 KT 가입 고객의 9자리 고유번호를 맞춰 개인정보를 탈취 고유번호가 맞을 때 홈페이지로 전달하는 패킷을 변조해서 사용자 정보를 수집. 김씨가 사용한 해킹 툴(파로스 프록시(Parosproxy))은 초보 수준 네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

13 KT 개인정보 유출(’14.3) 유출원인 유출된 정보
이름, 주소, 주민등록번호, 전화번호, 이메일, 신용카드번호, 카드유효기간, 은행계좌번호, 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 관련정보 등 신용카드 비밀번호와 CVC 번호는 KT가 처음부터 보관하지 않아 유출되지 않음 네이트·사이월드 인터넷 서버 해킹 ▲정보 관리자 등 내부인 PC 해킹과 ▲오프라인상에서 내부인이 USB나 CD 등 저장장치를 활용해 유출하는 시나리오

14 메신저 피싱 해킹된 개인정보로 네이트온 메신저에 접속 지인인 것처럼 속여 돈을 빌리는 수법
13년 4월 9일 현재 1358건에 걸쳐 41억의 피해 발생 아내: 지금 뭐해? 남편: 일하지 아내: 공인인증이 계속 오류가 나서 계좌이체가 안돼. 남편: 그래? 아내: 언니가 급하게 300만원만 빌려달라는데, 자기가 좀 보내줄래? 응? 자기 내 마음 알지? ♡♥♡ 남편: 계좌번호를 주면 내가 그리로 송금할께!

15 법원의 배상 판결 예 (약 553억원, 1인당 12,000원) (약 8만3천원) (약 159억원)

16 3 개인정보 처리단계별 의무사항

17 주민번호 수집 법정 주의 모든 개인정보처리자 원칙적 주민번호 처리 금지, 다음 경우 예외적 처리 허용
모든 개인정보처리자 원칙적 주민번호 처리 금지, 다음 경우 예외적 처리 허용 CEO 등에 징계권고 신설 안행부장관의 징계권고 대상에 개인정보처리자의 대표자(CEO) 및 책임 있는 임원이 포함됨을 명시(제65조제2항)

18 민감정보 수집제한 위반 사례 ① 개인정보의 수집·이용 목적, ② 수집하려는 개인정보의 항목, ③ 개인정보의 보유 및 이용 기간, ④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용 Enterprise Data Leak Prevention

19 개인정보 수집 시, 별도 동의 참고 사례 ① 개인정보의 수집․이용 동의(제15조 제1항 제1호)
② 제3자 제공 동의(제17조 제1항 제1호) ③ 국외 제3자 제공 동의(제17조 제3항) ④ 고유식별정보 처리 동의(제24조 제1항 제1호) ⑤ 법정대리인의 동의(제22조 제5항) ⑥ 민감정보의 처리 동의(제23조 제1항 제1호) ⑦ 마케팅 목적 처리 동의(제22조 제3항) ⑧ 목적 외 이용․제공 동의(제18조 제2항 제1호) Enterprise Data Leak Prevention

20 개인정보 암호화 조치 위반 사례 바이오 정보도 암호 Enterprise Data Leak Prevention

21 4 공공정보 공유·개방

22 개인정보 제3자 제공 절차 및 체크사항

23 개인정보 포함된 공공정보의 비식별화 조치

24 비식별화 위한 개인식별요소 제거 기법(예시)

25 비식별화 위한 개인식별요소 제거 기법(예시)

26 5 개인정보 보호수준 인증제

27 개인정보 인증 마크 시행 기관(기업)의 홈페이지 또는 홍보책자 등에 사용 가능

28 개인정보 인증 심사 기준 심사기준1 : 개인정보보호 관리체계
인증유형별 심사 : 소상공 0개, 중소기업 8개, 대기업(공공기관) 15개

29 개인정보 인증 심사 기준 심사기준 2 : 개인정보 보호대책 구현
인증유형별 심사 : 소상공 33개, 중소기업 44개, 공공(대)기관 50개

30 6 개인정보 업무처리 문답

31 개인정보보호 업무 사례로 본 Q&A 홈페이지에 사진을 게시할 때 학교 전체 행사의 경우 외부인이 사진에 나타날 때가 있습니다. 이때 이들의 동의를 받기 어려운데 어떻게 해결해야 하는가? 개인정보의 수집·이용, 목적 외 이용 및 제3자 제공이 허용되는 경우는 “명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우”에 한함. 그 밖의 경우에는 사전 동의를 받아야 하며, 동의를 받을 수 없는 경우 에는 해당 개인정보를 처리할 수 없음. 시간(기간제)강사의 재직, 경력 등 각종 증명서에 ‘주민등록번호’ 전체를 표기해도 되는가? 증명서의 양식은 교육공무원 인사기록 및 인사사무 처리 규칙 제23조에 정의되어 있으며, 재직증명서나 경력증명서 등의 양식을 보면 주민등록번호 대신 생년월일을 표기하도록 정의하고 있음. 따라서 학교 내부의 양식에 주민등록번호를 표기토록 하고 있다면 수정하여 주민등록번호가 표기되지 않도록 조치 필요함

32 개인정보보호 업무 사례로 본 Q&A 학교 신문에 실리는 홍보기사에서 홍보와 관련된 아동명이나 학년, 반을 기재할 때는 동의를 받아야 합니까? 인터뷰를 했다는 것은 인터뷰 정보가 신문에 개제되는 것을 인식하였다는 것으로 볼 수 있으므로 개인정보 수집/이용에 동의하였다고 불 수 있을 것임. 하지만, 14세 미만 아동의 경우에는 법정대리인의 동의를 받아야 함. 학생의 정신질환에 대해 교직원회의에서 반, 번호, 이름을 알려 수업 시 고려하도록 해도 되는가? 학생의 병력정보는 건강정보로서 민감정보인 개인정보에 해당함. 하지만, 그 정보를 학생 지도 및 안전관리를 목적으로 사용하는 것은 개인정보를 수집한 목적 범위 내에서 이용된다고 할 수 있으므로 별도 동의가 필요 없음. 목적 외 이용이라 하더라도 학교보건법 제12조에서 학교장은 학생의 안전사고를 예방하기 위하여 필요한 조치를 하여야 하도록 규정하고 있으므로 교직원 회의를 통해 다른 교사에게 알려 이용하도록 하는 것이 가능하다고 할 수 있음

33 개인정보보호 업무 사례로 본 Q&A 담임을 하면서 알게 된 업무용 수첩 등으로 관리하던 개인정보 (인적사항뿐만 아니라 생활지도에 관련하여 누가 기록한 상담 기록부 등)를 다음 담임에게 인계해도 되는가? 담임으로서의 역할이 끝나는 경우 소속 반 학생의 지도를 위한 목적이 달성되어 종료된 상태임. 또한 상담내용을 기록한 사항 중에는 담임교사의 주관적인 생각과 판단이 포함되어 있을 수도 있음. 따라서 인계하지 않도록 해야 함 병무청 및 수사기관 등 공공기관에서 긴급한 업무로 정식절차 없이 유선상 개인정보 확인 요청이 있을 시 회신가능한가? 개인정보의 목적 외 제3자 제공 허용 사유에 해당하는 경우에는 개인정보의 목적 외 제공이 허용되지만, 유선전화 등 공공기관 여부를 확인할 수 없는 경우에는 가능한 공문으로 요구를 받아 처리할 것을 권장

34 개인정보보호 업무 사례로 본 Q&A 학년 초 학급 아동에 관한 개인 신상을 조사하여 그 중 집전화번호, 부모님 휴대폰 번호를 정리한 비상연락망을 만들어 아동들에게 배포하는데 이 경우 법에 위반되지 않는가? 학생의 연락처 등 개인정보를 타학생 또는 타학생 가정에 배포하기 위해서는 개인 정보 수집․이용 및 제공 목적을 알리고 동의를 받아야 함. 다만, 다만, 교원이 학생과의 비상연락을 위해 학생의 집 전화번호, 부모님의 휴대폰 번호 등을 수집·이용하는 경우 ｢개인정보 보호법｣ 제15조 및 제17조, ｢교육기본법｣ 제16조제2항에 따라 정보주체의 동의 없이 개인정보를 수집·이용할 수 있음. 학생들 간에 학생들 간에 문제가 생겼을 경우 피해자 측의 학부모가 가해 학생의 개인정보를 요구하는 경우, 가해학생의 개인정보를 제공할 수 있는가? 피해자 측의 학부모가 가해 학생의 개인정보를 요구하는 경우 학교는 가해 학생의 동의를 받고 제공하여야 하며, 가해 학생의 학부모의 연락처 등 개인정보를 제공하는 경우에도 당해 학부모의 동의를 받아야 함

35 개인정보보호 업무 사례로 본 Q&A 교육청에서는 출입 언론기자들의 정보를 수집하여 기관을 홍보할 내용이 있을 때 연락하는 등 홍보 수단으로 활용하고 있고, 이 명단이나 파일을 내부업무로 보고 개인정보파일대장으로 등록하지 않았는데 등록해야 하는가? 교육청이 출입기자의 명단을 작성하여 이를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성하는 경우 ‘개인정보파일’을 생성하는 것임 교육청이 출입기자 명단을 작성하기 위해서는 해당 기자의 동의를 받아야 함. 즉, 교육청의 홍보활동을 위한 출입기자 명단을 작성하여 이를 활용하는 것을 내부업무로 보기는 어려움 개인정보에 암호가 설정된 USB를 분실했을 때 개인정보노출 신고 의무 대상에 해당하는가? 1만명 이상의 정보주체에 관한 개인정보가 포함된 이동식 저장장치를 분실하거나 도난당한 경우에는 행정안전부장관 또는 한국정보화진흥원･한국인터넷진흥원에 신고하여야 함

36 개인정보 업무처리 Q&A 범죄예방의 CCTV 설치･운영을 위한 공청회에서 다수의 반대가 있거나, CCTV 설치장소 인근주민의 항의가 있는 경우 설치가 불가능한가? ｢개인정보 보호법｣은 원칙적으로 CCTV의 설치･운영을 금지하고 있습니다만, 범죄의 예방 및 시설안전을 위하여 필요한 경우 등에 있어서 CCTV의 설치･운영을 허용하고 있음 공공기관 등이 CCTV를 설치･운영하고자 하는 경우에는 설명회· 설문조사 또는 여론조사 등의 의견수렴이 필수적입니다만, 모든 이해관계인 또는 지역주민의 동의를 요건으로 하지는 않음 택시, 버스 등에 설치된 CCTV는 개인정보보호법 적용을 받나? 적용받음. 차량 내부는 일정한 공간에 지속성에 해당하고, 공개된 장소에 해당

37 기타 Q&A 택시, 버스 등에 설치된 블랙박스는 개인정보보호법 적용을 받나? CCTV 촬영화면을 공익목적으로 공개할 수 있나?
택시, 버스 등에 설치된 블랙박스는 개인정보보호법 적용을 받나? 적용받지 않음. 촬영하는 범위가 차량외부를 촬영하므로 일정한 공간이 아님. 다만, 버스/택시 회사 등에서 교통사고 대응을 위하여 블랙박스로 촬영된 영상정보를 사고일시, 피해자 등의 개인정보에 따라 배열/구성하여 쉽게 검색할 수 있도록 한 것은 개인정보파일에 해당하므로 이 법 적용을 받음. 개인승용차의 블랙박스는? 적용받지 않음. CCTV 촬영화면을 공익목적으로 공개할 수 있나? 공개하는 경우가 있음. 교통정보나 관광지 화면이 이에 해당. 이 경우에도 개인을 구체적으로 식별할 수 없을 정도여야 함. 아파트 차량 등록하는데 차량등록증 사본을 제출해야 하나? 제출할 필요 없음. 차량차량등록증에는 차주의 정보가 기재되어 있어서 업무 목적에 필요한 범위를 벗어난 과도한 개인정보 수집으로 볼 수 있음

38 기타 Q&A 고객만족도를 조사하기 위하여 예약접수 시 수집한 고객의 연락처를 이용해도 되나?
고객만족도를 조사하기 위하여 예약접수 시 수집한 고객의 연락처를 이용해도 되나? 서비스 이용자의 만족도 조사는 서비스계약의 일부에 해당하므로, 매장은 예약접수 시 수집한 개인정보를 이용하여 고객만족도 조사를 실시할 수 있으며, 고객의 동의는 필요 하지 않음 다만, 고객이 원하지 않거나 자신의 개인정보를 처리정지 및 파기하기를 요청하는 경우에는 지체 없이 필요한 조치를 취해야 함 합격자를 발표하는 경우 개인정보 공개 범위가 어떻게 되는지요? 홈페이지에 합격자 명단을 공개해야 하는 경우에는 지원자 본인만 확인할 수 있도록 응시번호 또는 수험번호만 기재하거나 성명의 일부분을 홍＊동( )처럼 마스킹 처리하는 것이 바람직함

39 7 사이버 공격 시연과 방어를 위한 PC 보안

40 USB에 숨겨져 있는 악성코드에 의한 공격

41 무선 AP 접속 해킹

42 시스템 유지 관리/보안 자동 로그온 비활성화 시작-> 실행 -> control userpasswords2
‘사용자의 이름과 암호를 입력해야 이 컴퓨터를 사용할 수 있음’ 선택

43 시스템 유지 관리/보안 화면 보호기 사용 및 잠금 바탕화면에서 오른쪽 마우스 클릭 -> 속성 선택 화면 보호기 탭 선택
원하는 화면 보호기 선택 원하는 대기시간 선택 다시 시작할 때 [시작화면] 표시 선택 (설정에 따라 ‘다시 시작할 때 암호로 보호’ 로 나올 수도 있음) 기능은 동일 확인 선택

44 시스템 유지 관리/보안 패치 업데이트 시작 -> 제어판 -> 보안센터 -> 자동업데이트로 이동
자동으로 되어있는지 확인

45 시스템 유지 관리/보안 USB 자동실행 금지(Windows 7) 선택하지 않음

46 시스템 유지 관리/보안 USB 자동실행 금지(Windows 7 이하) 국정원 제공 프로그램

47 감사합니다