정보보호 뉴스레터 2013年

10月

매월 첫째 주 월요일은 롯데그룹 정보보호의 날!

롯데 임직원의 보안인식 제고와 고객 정보보호 활동 강화를 위하여 정보보호 위원회는 매월

첫째 주 월요일을 롯데그룹 정보보호의 날로 지정하여 운영하고 있습니다.

2013년 10월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터 및 활동 계획을 배포하오니

많은 관심과 실질적인 예방을 위한 활동 부탁드립니다.

1. 정보보호동향 개인정보보호법 위반한 기업 명단 공개

2. ICT & 정보보호 포커스

3. 개인정보보호 판례

4. 정보보호 위원회 활동 및 계획

대기업 표적공격 성공 시 피해액…건당 평균 27억 원!

체인사업자 직원이 이용자의 개인정보를 열람 및 오용

무선랜 보안이란?

아래한글 보안 업데이트 권고

5. 10月 정보보호 교육 및 세미나 안내

개인정보보호법 위반한 기업 명단 공개

정부는 개인정보보호법 발효 2년이 경과되었기 때문에 기업의 개인정보 유출 책임을 더욱 높

인다는 방침이다.

기업들의 정보보호 기반구축, 제도안정화를 거쳐 이제는 보호수준을 끌어올리겠다는 의지로

방송통신위원회, 미래창조과학부, 안전행정부, 금융위원회 등 정부 중앙부처들이 개인정보보

호 수준 강화를 위한 목표를 세우고 추진에 나선다.

개인정보보호법 행정처분 현황

구분 계

위반 내용별

CCTV 관리위반

안전조치 미흡

위수탁 위반

고지의무 불이행

기타

과태료 부과 119 23 35 27 14 20

시정조치 306 124 47 27 18 90

개선권고 173 102 39 10 1 21

계 598 249 121 64 33 131

(‘11.9 ~ ‘13.8 기준, 건)

* 총 460개 기관사업장 점검, 362개 기관사업장에 대해 598건 행정처분 실시

** 안행부, 방통위, 금융위 등의 인력으로 개인정보 합동점검단 운영 중 (‘12.11, 총리 훈령)

안전행정부

개인정보보호법에 대한 국민적 인식이 상당히 높아졌으나, 개인정보를 유출한 기업이

여전히 민•형사상 책임을 지지않는 경우가 존재

앞으로 법 위반 기관․업체의 명단을 적극적으로 공개해 국민의 알 권리와 기업의 책임

성을 강화 계획

1 최근 정보보호 동향 (1/2)

주민번호 유출 기업

과징금 부과 및 CEO

징계권고

주민번호를 유출한 기업에 대해서는 최고 5억원의 과징금을 부과하고

CEO 징계권고제 시행

개인정보

민원 예보제 도입

개인정보 침해신고와 상담 현황, 국민신문고 등 각종 민원 제기사항이나

언론보도 등을 종합적으로 분석해 개인정보 침해 우려가 큰 상황이나 기간에는

국민들이 이에 대응할 수 있도록 '개인정보 민원 예보제'도 도입

민간업종 각종 서식

일괄 정비 주요 민간업종의 계약서 등 163종의 각종 서식을 간소하게 정리해나갈 계획

법 위반 기관·기업

행정처분 결과 공표

개인정보보호법을 위반한 기관이나 기업은 위반행위 내용과 기간, 횟수,

피해범위, 과태료 부과 등 행정처분 내용 등을 개인정보보호위원회 심의·의결을

거쳐 전자관보와 홈페이지를 통해 공표

(많은 양의 개인정보를 반복해서 유출하거나 불법적으로 개인정보를 팔고

장기간 위반상태를 내버려둔 기관이나 기업의 명칭을 공개)

방송통신위원회

주민번호 미수집 우선전환에 주력.

현재 일평균 방문자수가 1만명 이상인 웹사이트 대부분은 주민번호 수집을 전면 중단

방통위는 올해 하반기부터 1만명 이하 웹사이트들도 주민번호를 수집하지 않도록

지도할 계획

미래창조과학부

개인정보 수집 등의 처리근거 마련이 필요한 법령을 일괄 개정 추진 등

개인정보보호 정책과 제도를 정비하고 관리체계 강화할 방침

1 최근 정보보호 동향 (2/2)

참고 : 디지털데일리 이민형 기자 (2013.09.29) “개인정보보호법 시행 2주년…정부, 개인정보보호 수준 제고에 주력”

2 ICT & 정보보호 포커스 (I)

5

대기업 표적공격 성공 시 피해액…건당 평균 27억 원!

카스퍼스키 랩과 B2B International이 공동으로 최근에 수행한 2013년 글로벌 IT 보안 위험

조사에 따르면, 대기업을 상대로 한 표적 공격이 성공했을 경우 그 피해액이 최대 27억원에 이

르는 것으로 밝혔다.

표적 공격은 가장 위험한 종류의 사이버 보안위협 중에 하나이다.

전문 해커가 공격의 준비와 실행에 참여하게 되며 상당한 자금과 광범위한 IT 지식을 그 바탕으

로 하고 있다. 이러한 공격의 최종 목표는 일반적으로 특정 기업의 기밀 정보이기 때문에 기밀

데이터의 유출은 유/무형의 상당한 손실로 직결될 수 있다.

피해액이 많은 또 다른 공격의 유형은 네트워크 인프라 해킹으로 인한 공격이다

실제 조사에 응한 기업에서 약 9%만이 표적 공격에 노출되었으며 훨씬 높은 비율인 24%로 네

트워크 인프라가 해킹되었다고 말했으며 평균 18.6억 원의 손실이 발생하였다.

기업 데이터를 고의적으로 유출한 경우는 19%였으며 손실액은 평균 11억원,

소프트웨어 취약점을 악용한 공격은 기업의 39%에서 발생했으며 평균 7.3억원이 발생

최근 사이버 공격 트렌드는 금전적 이익을 노리면서 조직화된 범죄로 발전하고 있다.

기업에서는 내부 시설의 체계적 종합적 보안을 위한 관리 체계를 만들고 별도 인원과 예산을 배

정해 보안성을 높이고 최신의 사전 방지 및 탐지 기술 시스템 등을 도입하여 IT 보안위협으로부

터 회사를 보호해야 할 것이다.

참고 : 디지털시큐 호애진 기자 (2013.08.14) “기업 표적공격 성공시 피해액…건당 평균 27억 원!”

2 ICT & 정보보호 포커스 (II)

6

무선랜 보안이란?

보안을 설정하지 않은 무선랜은 외부인이 무선공유기를 무단으로 사용 할 수 있고, 해커가

접속하여 해킹, 개인정보유출 등 다양한 보안사고를 유발할 수 있습니다.

무선랜 이용을 위해 설치되는 무선공유기에는 대부분 자체 보안기술이 적용되어 있어서,

직접 보안설정을 할 수 있습니다.

구분 WEP (Wired Equivalent Privacy)

WPA (Wi-Fi Protected Access)

WPA2 (Wi-Fi Protected Access2)

인증 사전 공유된 비밀키 사용

(64비트, 128비트)

사전에 공유된 비밀키를 사용하거나 별도의

인증서버 이용

사전에 공유된 비밀키를 사용하거나 별도의

인증서버 이용

암호방법 고정 암호키 사용

RC4 알고리즘 사용 암호키 동적 변경(TKIP)

RC4 알고리즘 사용 암호키 동적 변경 AES 등

강력한 암호 알고리즘 사용

보안성 가장 취약하여 널리

사용되지 않음 WEP 방식보다 안전하나

불완전한 RC4 알고리즘 사용 가장 강력한 보안기능 제공

<일반적으로 공유기에서 제공하는 보안기술>

안전한 무선랜(와이파이) 7대 이용수칙

1. 무선공유기 사용시 보안기능 설정하기

2. 무선공유기 패스워드 안전하게 관리하기

3. 사용하지 않는 무선공유기는 꺼놓기

4. 제공자가 불명확한 무선랜 이용하지 않기

5. 보안설정 없는 무선랜으로 민감한 서비스 이용하지 않기

6. 무선랜에 자동 접속 기능 사용하지 않기

7. 무선공유기의 SSID를 변경하고 숨김 기능 설정하기

2 ICT & 정보보호 포커스 (III)

7

아래한글 보안 업데이트 권고

현 정부의 외교정책을 제목으로 한 악성코드가 삽입된 한글문서 파일 발견

한글 관련 실행파일에 해커가 원격에서 임의의 코드를 실행할 수 있는 취약점이 있어 보안업데

이트가 필요합니다.

한글 취약점은 '한컴오피스 2010', '한/글', '한/셀', '한/쇼 2010' 에만 해당됩니다.

발견된 문서는 악성코드를 PC에 몰래 설치하고 개인정보를 유출하며 이메일을 통한 전파가능

성도 있어 유의해야 합니다

해결방안

• 한글과컴퓨터 홈페이지에서 보안업데이트 파일을 직접 다운로드 받아 설치

- 다운로드 경로 : http://www.hancom.co.kr/downLoad.downPU.do?mcd=001

• 한글과컴퓨터 자동 업데이트를 통해 한글 최신버전으로 업데이트

- 시작 → 모든 프로그램 → 한글과컴퓨터 → 한글과컴퓨터 자동 업데이트

사건

개요

신청인은 피신청인의 매장에서 주문한 음료수(쥬스)에 문제가 있어 이를 교환하는 과정에서 매장직

원과 마찰이 있었고 이 일이 있은 지 1시간 30분여 후, “미친”이라는 내용이 담긴 문자메세지를 수신

이동통신사에 확인한 바, 피신청인의 매장직원이 발신한 문자메세지를 확인

이에, 신청인은 피신청인의 매장에서 패밀리 포인트카드의 포인트 적립을 위해 알려준 자신의 전화번

호를 매장 직원이 쉽게 조회하여, 악용할 수 있게 함으로써 개인정보가 침해되었다고 주장하면서, 피

신청인에 대하여 처벌 및 손해배상을 신청하는 분쟁조정을 신청함

피신청인

주장

피신청인은 서비스 문제로 신청인과 직원 간에 다툼이 있은 뒤에, 해당 직원이 판매정보관리시스템

(POS; Point of Sale)에서 휴대전화번호를 조회하여 문자메세지를 보낸 사실을 인정함

신청인에게 폐를 끼친 사실에 대하여 사과를 하였으며 시스템 개선 조치를 취하고 있으며, 동일 또

는 유사한 사례가 재발하지 않도록 만전을 기하겠다고 소명함

위원회

의견

가. 신청인에게 “미친” 등의 문자메시지를 보낸 피신청인의 매장 직원이 한 언행이 고객정보의 목적 외

이용에 해당하는지 여부

- 욕설 문자메세지를 보낸 행위는 인정되지만 서비스 불친절에 대한 불만제기 과정에서 다툰 후에 문

자메시지를 보낸 행위를 고객 정보의 목적 외 이용 행위라고 단정할 수 없으므로 정보통신망법의 규

정을 적용하는 것은 타당하지 아니하다고 판단(다른 법률 영역에 해당)

나. 매장직원이 고객정보를 열람할 수 있도록 시스템을 구성한 피신청인의 책임 유무

- 판매정보관리시스템(POS)은 가맹점의 점주 등 접근권한자만 로그인 할 수 있도록 구성되어 있지만

로그인한 상태에서는 매장 직원 누구라도 개인정보를 보고 이용 가능한 상태라 하겠음

- 결과적으로, 개인정보를 마스킹 처리하는 기본적인 보안조치도 마련하지 아니한 피신청인은 개인정

보 노출 및 유출 위험 방지를 위한 필요한 기술적․ 관리적 조치를 취하도록한 정보통신망법 제28 조

제1항 규정을 준수하지 않은 것으로 판단됨

위원회

결정

서비스 제공을 위하여 수집한 개인정보를 권한자 이외의 직원도 볼 수 있도록하여 개인정보를 노출시

키고 정신적․물질적 피해를 입힌 사실이 인정되므로, 신청인에게 손해배상금으로 금300,000원을

지급

개인정보를 안전하게 관리할 수 있도록 회원정보의 암호화 및 접근권한 등 회원정보시스템 및 관리체

계를 정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 규정에 따라 정비하는 제도 개선할 것을

조정 결정함

3

개인정보분쟁조정위원회 조정결정사례(기술적·관리적 보호조치 미비)

8

개인정보보호 판례(3)

- 체인사업자 직원이 이용자의 개인정보를 열람 및 오용 -

4

9

정보보호 위원회 활동 및 계획

1. 정보보호 커뮤니티(홈페이지) 개설

정보보호위원회에서는 정보보호 담당자간 의사소통 채널 강화 및 보안 관련 정보전달 등의 활

동을 위해 정보보호 커뮤니티를 운영합니다.

정보보호 실무 담당자의 업무 효율성 증가와 담당자간 유대감이 증가 될 것으로 기대하며 많

은 활동을 부탁 드립니다.

홈페이지 주소(URL) : http://secupolicy.net

대상 : 정보보호 실무 담당자, 개인정보보호 실무 담당자, 전산실 정보보호 담당자

회원 신청방법 : 홈페이지 접속 후 [계정 발급신청] 메뉴 이용

(승인 후 접속 가능하며, 신청 당일 처리됩니다)

2. 하반기 정보보호 위원회 개최

- 대상 : 그룹사 정보보호 담당 임원

- 일시 : 10/24(목)

5 10月 정보보호 교육 및 세미나 안내

3) [10월] 국가인적자원개발컨소시엄 교육

구분 세부내용

교육안내 • 제3기 컨설턴트 주니어/시니어 • 제3기 디지털포렌식 주니어/시니어 교육 • 금융보안 3기 과정

교육일정

• 금융보안 과정 : 10.21(월) ~ 10.25(금) (총 40시간 / 월~금 09:00 ~ 18:00) • 컨설턴트 주니어 3기 : 10. 28(월) ~ 12. 11(수) (총 50시간 / 월,수,금 19:30 ~ 22:00) • 컨설턴트 시니어 3기 : 10. 22(화) ~ 12. 07(토) (총 50시간 / 화 19:30 ~ 22:00 , 토 13:00 ~ 18:00)

• 포렌식 주니어 3기 : 10. 21(월) ~ 12. 04(수) (총 50시간 / 월,수,금 19:30 ~ 22:00) • 포렌식 시니어 3기 : 10. 22(화) ~ 12. 07(토) (총 50시간 / 화 19:30 ~ 22:00 , 토 13:00 ~ 18:00)

신청기간 2013년 9월 23일(월) ~ 수강정원 마감 시

교육장소 KISA아카데미 (강남역 플래티넘타워 12층)

URL http://academy.kisa.or.kr

10

* 무료

2) 2013 산업보안 국제 세미나

구분 세부내용

일시 2013년 10월 25일(화), 13:00~18:00

장소 르네상스호텔 다이아몬드홀 3F

주최 한국산업기술보호협회, 한국산업보안연구학회

내용 산업기술보호에 대한 국내외 최신 동향

URL http://www.kaits.or.kr

1) ICT 산업전망 컨퍼런스

구분 세부내용

일시 2013년 10월 8일(화)

장소 일산 킨텍스 3층 회의실

주최 정보통신산업진흥원, 한국인터넷진흥원 등

내용 정보보호 및 보안 시장 현황 및 전망

URL http://www.eif.kr/program/day3.it

* 참가비 무료

* 참가비 무료

발행처 : 롯데그룹 정보보호 위원회

E-mail: secu_policy@lotte.net

Tel: (02) – 2626-5945

롯데 정보보호 뉴스레터