기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
돈으로 막을 수 있는 것들을 걱정하지 마세요. 돈으로도 막을 수 없는 것들을 걱정하세요.
지능적 사이버 위협/랜섬웨어 대응 DAMBALLA
전세계에서 담발라만이 내부 네트워크로 침입된 악송코드를 모두 오진없이 탐지하여 대응합니다.
그것은 수년간 축적해온 빅데이터가 있기에 가능합니다.
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
돈으로 막을 수 있는 것들을 걱정하지 마세요. 돈으로도 막을 수 없는 것들을 걱정하세요.
지능적 사이버 위협/랜섬웨어 대응 DAMBALLA
전세계에서 담발라만이 내부 네트워크로 침입된 악송코드를 모두 오진없이 탐지하여 대응합니다.
그것은 수년간 축적해온 빅데이터가 있기에 가능합니다.
Monitoring solution for all action in enterpriseslunchNtouch
Monitoring solution for all action in enterprises
You can also check it in Sales Sharing Site "www.lunchntouch.com"
If you want a brochure in your language,
send E-mail below E-mail address unquestioningly!
(English, Chinese, Japanese, french, Portuguese, Spanish, etc)
Import & Export discussion Welcome, too!
Thank you for your touch!
E-mail address : yun@lunchntouch.com
"We can Make happy place for small business! Let's do it!!"
= Lunch N Touch =
법무법인 민후의 김경환 대표변호사가 2017. 10. 26. 개최된 금융정보보호컨퍼런스에서 강연한 자료입니다.
김 변호사는 해당 강연을 통해 각 나라의 빅데이터 조문의 비교, EU GDPR에 규정된 빅데이터 관련 조문에 대한 소개와 우리나라의 빅데이터 조문에 대한 소개까지 개인정보 활용과 보호에 대해 설명하였습니다.
금융당국이 올해 초 카드사태 이후 벌인 ‘개인정보 특별감사’에서 우리·BC·하나SK카드도 개인정보 관리가 부실한 것으로 나타났으며, 지난 11월 11일 금융감독원은 이들 카드사에 ‘개인정보 보호 대책을 강화하라’는 내용의 경영유의·개선 명령을 내렸습니다.
고객정보인 주민등록번호, 카드번호 등 이용자 정보 약 5만건을 예외적으로 부하 테스트 등에 변환하지 않고 사용하다 적발된 은행, 회원 가입신청 시 수집한 고객정보를 제휴업체에 제공하면서 신용카드 유효기간 등의 이용자정보를 제공하였다 적발된 카드사를 비롯 하여, 개인정보가 포함된 데이터를 전체 사용자 공유폴더에서 열람할 수 있도록 방치했다 적발된 카드사도 있었으며, 웹 회원 비밀번호를국가에서 권고하는 보안강도에 미달(이 경우해킹 등에 의해 비밀번호가 노출될 위험성이 큰)하는 암호 알고리즘을 사용하고 있다 적발된 카드사가 적발되기도 했습니다.
앞서 보았듯이 개인정보를 취급하거나 처리하는 기관 혹은 기업들은 개인정보 처리 실태 전반을 점검하고 불필요하게 개인정보를 수집하는 각종 업무절차 및 관행 등을 반드시 개선해야 합니다.
이에, 금번 세미나에서는 고객정보보호를 위한 테크앤로의 VDI 도입 사례를 비롯 CISO와 CPO 기업내 역할과 책임을 위한 제언, 개정 정보통신망법의 핵심과 실무적 대응 방안, 개정 전자금융거래법의 핵심과 실무적 대응 요령에 대한 고퀄리티 정보를 여러분과 공유할 각오입니다.
2. INDEX
하
이
라
인
닷 Presenter
(주)하이라인닷넷
넷 마케팅 전략사업부
박 훈 이사
홈페이지 : www.hilineisp.net
이메일 : pinokio@hilineisp.net
대표번호 : 1544-4450
연락번호 : 010-2363-4450
3. ㈜하이라인닷넷
시스템 개발 파트너
네트워크 및 IDC 공급 네트워크 공급 보안장비 / 솔루션 공급
서버 및 보안장비 공급 보안장비 / 솔루션 공급
보안컨설팅 및 관제 지원 보안컨설팅 및 관제 지원
고객사 소개
유아이크래디트대부 그룹사 나이스대부 원캐피탈대부
미래크래디트대부 헬로크래디트대부 삼신저축은행
태강대부 지우자신관리대부 신한상호저축은행
조이크래디트대부 로얄캐피탈대부 엠에스상호저축은행
콜렉트대부 엘씨대부 외환캐피탈
베르넷크래디트대부 원더풀대부 오릭스캐피탈
에이원캐피탈대부 스타크레디트대부 걸스카우트연맹
4. 법령 및 사회적 배경
개인정보 보호법이란 ?
개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고,
나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적
[ 제정 2011.3.29 법률 제10465호 / 시행일 2012.3.30 ]
공공기간 및 민간기업을 포함하여 약 350만 기관 및 기업에 적용(2012.3.30기준)
개인정보 보호법안의 적용대상을 공공ㆍ민간부문의 모든 개인정보처리자로 함.
개인정보 보호위원회를 설치하고, 개인정보의 수집, 이용, 제공 등 단계별 보호기
준을 마련함.
개인정보 영향평가제도, 개인정보 유출사실의 통지/신고제도, 집단분쟁조정제도
및 단체소송 등을 도입함.
5. 법령 및 사회적 배경_정리
개인정보보호
관리적 측면 기술적 측면 물리적 측면
보안책임담당자 지정 시스템 접근계정 관리 시스템 보안 솔루션
내부 관리지침 수립 사내 패스워드 규격 사용자 보안 솔루션
개인정보 동의안 수립 사내 개인정보 교육 물리적 출입통제
6. 개인정보보호법 시행으로 달라진 점
개인정보 수집 및 이용 제공기준
개인정보 수집*이용 개인정보 제공 목적외 이용*제공
1. 정보주체의 동의를 받은 경우
2. 법률의 특별한 규정, 법령상 1. 정보주체의 별도 동의를 받은 경
의무준수를 위해 불가피한 경우 1. 정보주체의 동의를 받은 경우 우
3. 공공기관이 법령에서 정한 소관 2. 법률의 특별한 규정,법령상 의 2. 다른 법률의 특별한 규정
업무를 위해 불가피한 경우 무준수를 위해 불가피한 경우 3. 명백히 정보주체 또는 제3자의 생
4. 정보주체와의 계약 체결이행에 3. 공공기관이 법령에서 정한 소 명,신체,재산의 이익에 필요한 경
불가피한 경우 관업무를 위해 불가피한 경우 우
5. 정보주체 등의 생명,신체,재산 4. 정보주체 등의 생명,신체,재산 4. 통계작성 및 학술연구 목적에 필
의 이익보호 의 이익 보호 요한 경우로 특정개인을 알아볼
6. 개인정보처리자의 정당한 이익 수 없는 형태로 제공하는 경우
달성을 위해 필요한 경우
위반 시 5년 이하의 징역 위반 시 5년 이하의 징역
위반 시 5천만원이하의 과태로
또는 5천만원 이하의 벌금 또는 5천만원 이하의 벌금
7. 개인정보보호법 시행으로 달라진 점
필수 조치사항에 대한 이행현황
개인정보 수집시 동의서식 정비 조치(58.6%)
법령 근거 없는 주민등록번호 수집 개선 조치(66.1%)
인터넷 상 주민등록번호 대체수단의 제공 조치(62.9%)
개인정보 처리방침의 수립*공개 조치(72.8%)
위탁계약 시 개인정보 책임 명시 및 위탁사실 공개 조치(57.5%)
영상정보처리기기 안내판 및 관리지침 게시 조치(71.5%)
개인정보관리책임자 지정 조치(89.7%)
내부관리계획의 수립*시행 조치(66.9%)
개인정보처리시스템에 대한 접근 통제 조치(68.8%)
방화벽, 백신 등 보안 프로그램 운영 조치(89.1%)
8. 개인정보보호법 시행으로 달라진 점
중점 개선 필요사항
무분별한 개인정보 수집 자제정비
불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로
서비스 제공에 필요한 최소한의 개인정보만 수집해야 한다.
개인정보 위탁시 정보주체에게 고지하고 관리책임을 이행
1) 개인정보 처리 위탁사실을 홈페이지 등에 공개해야 한다.
2) 홍보 또는 조사목적의 위탁은 서면 등의 방법으로 정보주체에게 고지해야 한다.
<< 주의 >> 수탁자의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 함.
위탁자는 수탁자를 관리감독 할 책임이 있음.
도입이 의무화된 시스템 및 프로그램의 설치
1) 홈페이지 회원가입을 받는 경우 주민등록번호 대체수단(I-Pin 등) 도입
2) 개인정보시스템에 접근제어, 방화벽, 백신 등 필수 보안프로그램 설치
3) 개인정보 시스템이 설치되니 장소에 대한 물리적 보안조치
주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지
1) 정보주체의 별도의 동의.
2) 법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없음.
<< 주의 >> 수집 시 법령에 근거가 있는지, 홈페이지 또느느 서식에 별도의 동의서식을 갖추고 있는지 점검
9. 개인정보보호법 시행으로 달라진 점
정보처리자 개인정보 활용 수칙
생활수칙 필수 이행사항
1. 개인정보는 수집하지 않거나 최소한만 수집
1. 개인정보 수집 최소화 2. 주민등록번호화 민감정보는 수집 금지
2. 개인정보 수집 제공시 3. 목적과 다르게 이용하거나 제3자 제공 금지
에는 꼭 동의받기 4. 처리방침을 인터넷이나 사업장에 공개
5. 내부관리계획, 방화벽 등 안전성 확보 조치
3. 목적을 달성한 개인정
보는 즉시 파기 6. 홈페이지 회원가입시 주민번호 대체수단 도입
7. 이용이 끝난 후 반드시 파기
4. 개인정보파일의 암호 8. 개인정보 유출시 정보주체에게 통지
설정 등 안전한 관리
9. CCTV를 운영할 경우 안내판 설치
10. 정보처리자 보안처리 행동강령
일상업무와 연계된 행동강령 _ 일일 점검사항
안티바이러스 설치 및 관리
* 실시간 감시 기능을 꼭 ON 하세요
* 최신 버전으로 엔진을 업데이트 유지 하세요
사용자 PC 환경 개선
* 윈도우 보안패치를 꼭 수행하세요.
* 윈도우 업데이트를 자동으로 설정하세요.
PCScan 스케줄링
* 스케줄 기능을 통해 매일 개인정보 파일을 관리하세요.
* 정기검사를 통해 불필요한 파일을 영구삭제 하세요.
11. 정보처리자 보안처리 행동강령
일상업무와 연계된 행동강령 _ 주간 점검사항
안티바이러스 설치 및 관리
* 주간 바이러스 탐지현황 체크
* 주기적 검역소 현황을 통한 바이러스파일 검출 및 삭제
사용자 PC 환경 개선
* 온라인 및 시스템 접속계정 활성화 정지
* 쿠키 및 임시인터넷접속 파일 관리 및 삭제
PCScan 스케줄링
* 격리 폴더의 파일이 암호화 되어 있는지 확인하세요
* 중요 파일에 대한 암/복호화 기능을 이용하세요
12. 정보처리자 보안처리 행동강령
일상업무와 연계된 행동강령 _ 월간 점검사항
안티바이러스 설치 및 관리
* Active-X 프로그램 검출 및 삭제
* 매월 바이러스 탐지 및 애드웨어 현황 파악
사용자 PC 환경 개선
* 불필요한 프로그램 운영정지 및 설치제거
* 사용자 패스워드 변경( EX. 사용자명+해당월 )
PCScan 스케줄링
* 매월 정기 리포팅 출력 및 현황 파악
* 최소한의 개인정보 파일만을 제외한 영구 삭제
13. 솔루션 소개 및 예산
바이러스 백신(소개)
법 제28조제1항제5호에 따라 정보통신서비스 제공자등은
개인정보처리시스템 및 개인정보취급자가 개인정보 처리
법령근거 에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등
악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도
록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로
갱신ㆍ점검하여야 한다.
구분 항목 내용 비고
설치본 크기 약 5 MB
설치 후 크기 약 250 MB 의 HDD 사용
CPU : 펜티엄 III 700 MHz
설치 PC 최저 Win XP 최저 사양
V3 MSS Desktop RAM : 256 MB 이상
사양 에 따름
(Client 설치) HDD : 300 MB 이상의 여유분
한글 Windows 2000
64bit, Server군 제
지원 운영 체제 한글 Windows XP (32bit)
외
한글 Windows VISTA (32bit)
웹 브라우저 Internet Explorer 6.0 이상 IE 8.0 까지
Security Center 웹 사이트 형태로 제공되며, 해당 인프라는 안철수연구소 에서 운
(웹 서비스) 영하는 서비스 형태.
14. 솔루션 소개 및 예산
PCScan Solution(소개)
<개인정보보호법>
법령근거 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목
적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체
없이 그 개인정보를 파기하여야 한다.
15. 솔루션 소개 및 예산
UTM_FGT Solution(소개)
<정보통신망이용촉진 및 정보보호 등에 관한 시행령>
법령근거 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을
이용한 보안조치
UTM이란?
- ‘통합보안장비’ 로서 Unified Threat Management의 약어
- 다기능 보안제품을 하나의 장비에 축약시킴
- Firewall, IPS, AntiVirus, VPN, Spam Filter, Web Filter로 대표됨
- 장애포인트 단순화, TCO절감의 효과
16. 솔루션 소개 및 예산
DB암호화 Solution(소개)
<개인정보보호법>
법령근거 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는
훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관
등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한
기술적·관리적 및 물리적 조치를 하여야 한다.
17. 솔루션 소개 및 예산
DLP Solution(소개)
< 정보통신망이용촉진 및 정보보호 등에 관한 시행령 >
법령근거 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
개인정보취급자가 개인정보처리시스템에 접속하여 개인
정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이
의 확인ㆍ감독
국내 최초 클라이언트 기반 CC 인증획득 DLP 솔루션
18. 솔루션 소개 및 예산
보안서버 Solution(소개)
< 정보통신망이용촉진 및 정보보호 등에 관한 시행령 >
법령근거 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은
개인정보가 안전하게 저장ㆍ전송될 수 있도록 다음 각 호
의 보안조치를 하여야 한다.
2. 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장
19. 솔루션 소개 및 예산
웹방화벽 (소개)
< 정보통신망이용촉진 및 정보보호 등에 관한 시행령 >
법령근거
개인정보에 대한 불법적인 접근을 차단하기 위한 침입차
단시스템 등 접근 통제장치의 설치·운영
20. 보안관제 서비스
보안관제
24시간 365일 실시간 모니터링 및
신속한 침입탐지/대응
보안솔루션 운영 및 산출물 제공
보안장비 성능 관리
보안장비 정책 관리 산출물 제공
CPU 임계치 설정
시스템 이벤트 정책 메모리 임계치 설정
디스크 임계치 설정 정기 / 비정기 산출물 리스트
보안장비 수집정책
프로세스 임계치 설정 ISAC을 통한 산출물 제공
ACL 이벤트 수집정책
보안이벤트 수집정책
24*365 실시간 Monitoring
침해위협 도출 및 기준안 마련 단위 보안솔루션 이벤트 커스터마이징
침해사고 예방 침해사고 탐지
최신 보안이슈 및 보안자료 제공(ISAC) ESM 연동 위협 감지(연관분석)
유관기관과 협조하여 경보기능 강화 SecuPlat Web eyes를 통한 서비스 감시
침해 단계별 대응 방안
이벤트 분석 프로세스(방법론) 침해사고 분석 침해사고 대응 전담체제 / History 관리
진탐/오탐 시 대응 프로세스
재발방지안 마련
21. Project Manager
PM
점검 기준 상세 조건 점검 기준 상세 조건
보안규정을 보호하고 있는가?
보안정책/지침/절차 등의 내용 사내 공지 체크 개인정보취급자 PC 패스워드 관리 체크
개인정보취급자 조직도 체크 주요 시스템 패스워드 관리 체크
시스템 접근 권한 계보 체크 개인정보취급자 개인정보 파기 및 격리 검사 수행체크
입사자 / 퇴직자 계보 체크 및 보안서약서 수령 체크 입출입 시스템 가동 여부 체크
내부 정보의 외부 유출 차단 정책 체크 퇴사자의 계정 삭제 체크
관리적 측면 매월 정기 체크리스트 작성 기술적 측면 백신의 운영 현황 및 실태 조사 체크
검토 시스템 정보자산 관리 목록 체크 검토 네트워크 취약점 분석 및 서버 취약점분석
워터마크 체크 ( 서버 취약점 분석은 최초 1회 2개 서버에 한 하며,
최고보안책임담당자 선임 및 서약서 체크 보안관제 서비스 채택시에 기술지원이 가능합니다.)
개인정보취급자 보안서약서 체크 로그 및 시스템 정보 백업 여부 체크
외부 협력사 보안서약서 체크 임직원 자리 이석시 화면보호기 동작 여부 체크
개인정보 활용에 따른 동의사항 체크 윈도우 업데이트 체크
내부 보안교육 연 2회 시행
도입 시스템의 발주 및 일정 수립 매월 원격 시스템 점검 지원
물리적 측면
도입에 따른 테스트 수행(선택 옵션) 정기 점검 분기별 현장 방문 점검
검토
도입 시스템의 검수 지원 상시 보안 컨설팅 지원