2. INDEX
하
이
라
인
닷 Presenter
(주)하이라인닷넷
넷 마케팅 전략사업부
박 훈 이사
홈페이지 : www.hilineisp.net
이메일 : pinokio@hilineisp.net
대표번호 : 1544-4450
연락번호 : 010-2363-4450
3. ㈜하이라인닷넷
시스템 개발 파트너
네트워크 및 IDC 공급 네트워크 공급 보안장비 / 솔루션 공급
서버 및 보안장비 공급 보안장비 / 솔루션 공급
보안컨설팅 및 관제 지원 보안컨설팅 및 관제 지원
고객사 소개
유아이크래디트대부 그룹사 나이스대부 원캐피탈대부
미래크래디트대부 헬로크래디트대부 삼신저축은행
태강대부 지우자신관리대부 신한상호저축은행
조이크래디트대부 로얄캐피탈대부 엠에스상호저축은행
콜렉트대부 엘씨대부 외환캐피탈
베르넷크래디트대부 원더풀대부 오릭스캐피탈
에이원캐피탈대부 스타크레디트대부 걸스카우트연맹
4. 법령 및 사회적 배경
개인정보 보호법이란 ?
개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고,
나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적
[ 제정 2011.3.29 법률 제10465호 / 시행일 2012.3.30 ]
공공기간 및 민간기업을 포함하여 약 350만 기관 및 기업에 적용(2012.3.30기준)
개인정보 보호법안의 적용대상을 공공ㆍ민간부문의 모든 개인정보처리자로 함.
개인정보 보호위원회를 설치하고, 개인정보의 수집, 이용, 제공 등 단계별 보호기
준을 마련함.
개인정보 영향평가제도, 개인정보 유출사실의 통지/신고제도, 집단분쟁조정제도
및 단체소송 등을 도입함.
5. 법령 및 사회적 배경_정리
개인정보보호
관리적 측면 기술적 측면 물리적 측면
보안책임담당자 지정 시스템 접근계정 관리 시스템 보안 솔루션
내부 관리지침 수립 사내 패스워드 규격 사용자 보안 솔루션
개인정보 동의안 수립 사내 개인정보 교육 물리적 출입통제
6. 개인정보보호법 시행으로 달라진 점
개인정보 수집 및 이용 제공기준
개인정보 수집*이용 개인정보 제공 목적외 이용*제공
1. 정보주체의 동의를 받은 경우
2. 법률의 특별한 규정, 법령상 1. 정보주체의 별도 동의를 받은 경
의무준수를 위해 불가피한 경우 1. 정보주체의 동의를 받은 경우 우
3. 공공기관이 법령에서 정한 소관 2. 법률의 특별한 규정,법령상 의 2. 다른 법률의 특별한 규정
업무를 위해 불가피한 경우 무준수를 위해 불가피한 경우 3. 명백히 정보주체 또는 제3자의 생
4. 정보주체와의 계약 체결이행에 3. 공공기관이 법령에서 정한 소 명,신체,재산의 이익에 필요한 경
불가피한 경우 관업무를 위해 불가피한 경우 우
5. 정보주체 등의 생명,신체,재산 4. 정보주체 등의 생명,신체,재산 4. 통계작성 및 학술연구 목적에 필
의 이익보호 의 이익 보호 요한 경우로 특정개인을 알아볼
6. 개인정보처리자의 정당한 이익 수 없는 형태로 제공하는 경우
달성을 위해 필요한 경우
위반 시 5년 이하의 징역 위반 시 5년 이하의 징역
위반 시 5천만원이하의 과태로
또는 5천만원 이하의 벌금 또는 5천만원 이하의 벌금
7. 개인정보보호법 시행으로 달라진 점
필수 조치사항에 대한 이행현황
개인정보 수집시 동의서식 정비 조치(58.6%)
법령 근거 없는 주민등록번호 수집 개선 조치(66.1%)
인터넷 상 주민등록번호 대체수단의 제공 조치(62.9%)
개인정보 처리방침의 수립*공개 조치(72.8%)
위탁계약 시 개인정보 책임 명시 및 위탁사실 공개 조치(57.5%)
영상정보처리기기 안내판 및 관리지침 게시 조치(71.5%)
개인정보관리책임자 지정 조치(89.7%)
내부관리계획의 수립*시행 조치(66.9%)
개인정보처리시스템에 대한 접근 통제 조치(68.8%)
방화벽, 백신 등 보안 프로그램 운영 조치(89.1%)
8. 개인정보보호법 시행으로 달라진 점
중점 개선 필요사항
무분별한 개인정보 수집 자제정비
불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로
서비스 제공에 필요한 최소한의 개인정보만 수집해야 한다.
개인정보 위탁시 정보주체에게 고지하고 관리책임을 이행
1) 개인정보 처리 위탁사실을 홈페이지 등에 공개해야 한다.
2) 홍보 또는 조사목적의 위탁은 서면 등의 방법으로 정보주체에게 고지해야 한다.
<< 주의 >> 수탁자의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 함.
위탁자는 수탁자를 관리감독 할 책임이 있음.
도입이 의무화된 시스템 및 프로그램의 설치
1) 홈페이지 회원가입을 받는 경우 주민등록번호 대체수단(I-Pin 등) 도입
2) 개인정보시스템에 접근제어, 방화벽, 백신 등 필수 보안프로그램 설치
3) 개인정보 시스템이 설치되니 장소에 대한 물리적 보안조치
주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지
1) 정보주체의 별도의 동의.
2) 법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없음.
<< 주의 >> 수집 시 법령에 근거가 있는지, 홈페이지 또느느 서식에 별도의 동의서식을 갖추고 있는지 점검
9. 개인정보보호법 시행으로 달라진 점
정보처리자 개인정보 활용 수칙
생활수칙 필수 이행사항
1. 개인정보는 수집하지 않거나 최소한만 수집
1. 개인정보 수집 최소화 2. 주민등록번호화 민감정보는 수집 금지
2. 개인정보 수집 제공시 3. 목적과 다르게 이용하거나 제3자 제공 금지
에는 꼭 동의받기 4. 처리방침을 인터넷이나 사업장에 공개
5. 내부관리계획, 방화벽 등 안전성 확보 조치
3. 목적을 달성한 개인정
보는 즉시 파기 6. 홈페이지 회원가입시 주민번호 대체수단 도입
7. 이용이 끝난 후 반드시 파기
4. 개인정보파일의 암호 8. 개인정보 유출시 정보주체에게 통지
설정 등 안전한 관리
9. CCTV를 운영할 경우 안내판 설치
10. 정보처리자 보안처리 행동강령
일상업무와 연계된 행동강령 _ 일일 점검사항
안티바이러스 설치 및 관리
* 실시간 감시 기능을 꼭 ON 하세요
* 최신 버전으로 엔진을 업데이트 유지 하세요
사용자 PC 환경 개선
* 윈도우 보안패치를 꼭 수행하세요.
* 윈도우 업데이트를 자동으로 설정하세요.
PCScan 스케줄링
* 스케줄 기능을 통해 매일 개인정보 파일을 관리하세요.
* 정기검사를 통해 불필요한 파일을 영구삭제 하세요.
11. 정보처리자 보안처리 행동강령
일상업무와 연계된 행동강령 _ 주간 점검사항
안티바이러스 설치 및 관리
* 주간 바이러스 탐지현황 체크
* 주기적 검역소 현황을 통한 바이러스파일 검출 및 삭제
사용자 PC 환경 개선
* 온라인 및 시스템 접속계정 활성화 정지
* 쿠키 및 임시인터넷접속 파일 관리 및 삭제
PCScan 스케줄링
* 격리 폴더의 파일이 암호화 되어 있는지 확인하세요
* 중요 파일에 대한 암/복호화 기능을 이용하세요
12. 정보처리자 보안처리 행동강령
일상업무와 연계된 행동강령 _ 월간 점검사항
안티바이러스 설치 및 관리
* Active-X 프로그램 검출 및 삭제
* 매월 바이러스 탐지 및 애드웨어 현황 파악
사용자 PC 환경 개선
* 불필요한 프로그램 운영정지 및 설치제거
* 사용자 패스워드 변경( EX. 사용자명+해당월 )
PCScan 스케줄링
* 매월 정기 리포팅 출력 및 현황 파악
* 최소한의 개인정보 파일만을 제외한 영구 삭제
13. 솔루션 소개 및 예산
바이러스 백신(소개)
법 제28조제1항제5호에 따라 정보통신서비스 제공자등은
개인정보처리시스템 및 개인정보취급자가 개인정보 처리
법령근거 에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등
악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도
록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로
갱신ㆍ점검하여야 한다.
구분 항목 내용 비고
설치본 크기 약 5 MB
설치 후 크기 약 250 MB 의 HDD 사용
CPU : 펜티엄 III 700 MHz
설치 PC 최저 Win XP 최저 사양
V3 MSS Desktop RAM : 256 MB 이상
사양 에 따름
(Client 설치) HDD : 300 MB 이상의 여유분
한글 Windows 2000
64bit, Server군 제
지원 운영 체제 한글 Windows XP (32bit)
외
한글 Windows VISTA (32bit)
웹 브라우저 Internet Explorer 6.0 이상 IE 8.0 까지
Security Center 웹 사이트 형태로 제공되며, 해당 인프라는 안철수연구소 에서 운
(웹 서비스) 영하는 서비스 형태.
14. 솔루션 소개 및 예산
PCScan Solution(소개)
<개인정보보호법>
법령근거 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목
적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체
없이 그 개인정보를 파기하여야 한다.
15. 솔루션 소개 및 예산
UTM_FGT Solution(소개)
<정보통신망이용촉진 및 정보보호 등에 관한 시행령>
법령근거 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을
이용한 보안조치
UTM이란?
- ‘통합보안장비’ 로서 Unified Threat Management의 약어
- 다기능 보안제품을 하나의 장비에 축약시킴
- Firewall, IPS, AntiVirus, VPN, Spam Filter, Web Filter로 대표됨
- 장애포인트 단순화, TCO절감의 효과
16. 솔루션 소개 및 예산
DB암호화 Solution(소개)
<개인정보보호법>
법령근거 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는
훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관
등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한
기술적·관리적 및 물리적 조치를 하여야 한다.
17. 솔루션 소개 및 예산
DLP Solution(소개)
< 정보통신망이용촉진 및 정보보호 등에 관한 시행령 >
법령근거 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
개인정보취급자가 개인정보처리시스템에 접속하여 개인
정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이
의 확인ㆍ감독
국내 최초 클라이언트 기반 CC 인증획득 DLP 솔루션
18. 솔루션 소개 및 예산
보안서버 Solution(소개)
< 정보통신망이용촉진 및 정보보호 등에 관한 시행령 >
법령근거 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은
개인정보가 안전하게 저장ㆍ전송될 수 있도록 다음 각 호
의 보안조치를 하여야 한다.
2. 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장
19. 솔루션 소개 및 예산
웹방화벽 (소개)
< 정보통신망이용촉진 및 정보보호 등에 관한 시행령 >
법령근거
개인정보에 대한 불법적인 접근을 차단하기 위한 침입차
단시스템 등 접근 통제장치의 설치·운영
20. 보안관제 서비스
보안관제
24시간 365일 실시간 모니터링 및
신속한 침입탐지/대응
보안솔루션 운영 및 산출물 제공
보안장비 성능 관리
보안장비 정책 관리 산출물 제공
CPU 임계치 설정
시스템 이벤트 정책 메모리 임계치 설정
디스크 임계치 설정 정기 / 비정기 산출물 리스트
보안장비 수집정책
프로세스 임계치 설정 ISAC을 통한 산출물 제공
ACL 이벤트 수집정책
보안이벤트 수집정책
24*365 실시간 Monitoring
침해위협 도출 및 기준안 마련 단위 보안솔루션 이벤트 커스터마이징
침해사고 예방 침해사고 탐지
최신 보안이슈 및 보안자료 제공(ISAC) ESM 연동 위협 감지(연관분석)
유관기관과 협조하여 경보기능 강화 SecuPlat Web eyes를 통한 서비스 감시
침해 단계별 대응 방안
이벤트 분석 프로세스(방법론) 침해사고 분석 침해사고 대응 전담체제 / History 관리
진탐/오탐 시 대응 프로세스
재발방지안 마련
21. Project Manager
PM
점검 기준 상세 조건 점검 기준 상세 조건
보안규정을 보호하고 있는가?
보안정책/지침/절차 등의 내용 사내 공지 체크 개인정보취급자 PC 패스워드 관리 체크
개인정보취급자 조직도 체크 주요 시스템 패스워드 관리 체크
시스템 접근 권한 계보 체크 개인정보취급자 개인정보 파기 및 격리 검사 수행체크
입사자 / 퇴직자 계보 체크 및 보안서약서 수령 체크 입출입 시스템 가동 여부 체크
내부 정보의 외부 유출 차단 정책 체크 퇴사자의 계정 삭제 체크
관리적 측면 매월 정기 체크리스트 작성 기술적 측면 백신의 운영 현황 및 실태 조사 체크
검토 시스템 정보자산 관리 목록 체크 검토 네트워크 취약점 분석 및 서버 취약점분석
워터마크 체크 ( 서버 취약점 분석은 최초 1회 2개 서버에 한 하며,
최고보안책임담당자 선임 및 서약서 체크 보안관제 서비스 채택시에 기술지원이 가능합니다.)
개인정보취급자 보안서약서 체크 로그 및 시스템 정보 백업 여부 체크
외부 협력사 보안서약서 체크 임직원 자리 이석시 화면보호기 동작 여부 체크
개인정보 활용에 따른 동의사항 체크 윈도우 업데이트 체크
내부 보안교육 연 2회 시행
도입 시스템의 발주 및 일정 수립 매월 원격 시스템 점검 지원
물리적 측면
도입에 따른 테스트 수행(선택 옵션) 정기 점검 분기별 현장 방문 점검
검토
도입 시스템의 검수 지원 상시 보안 컨설팅 지원
