정보보호 뉴스레터2017年

12月

매월 첫째 주 월요일은 롯데그룹 정보보호의 날!

롯데임직원의보안인식제고와

개인정보보호활동강화를위하여정보보호위원회는

매월첫째주월요일을

롯데그룹정보보호의날로지정하여운영하고있습니다.

2017년 12월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니

많은관심과실질적인예방을위한활동부탁드립니다.

Contents

개인정보 유출 사건(우버)1

물리적 보안이란2

주요 물리적 보안위협들3

12月정보보호 Report –기업의 물리적 보안

정보보호 활동 및교육

피해사례4

예방수칙5

정보보호 교육 및세미나안내8

11月정보보호 이슈

7 정보보호위원회 활동

Security Tip!Tip!Tip!6

“1년간 5,700만명우버고객개인정보유출사실 ‘은폐’”

1 11月 정보보호 이슈 –개인정보 유출 사건

4

사건개요 및경위

글로벌차량호출서비스 ‘우버’는 고객과운전기사 5천700만 명의개인정보가

유출되었으나, 이를덮기위해해커에게돈을지급하고고객에게유출사실을숨김

개발자가사용하는민간코드사이트접속

해커 웹사이트접속후,개인정보유출성공

우버관리자계정정보(ID/PW)

획득

유출데이터삭제를위해해커에게돈지불

① 해커의 정보유출 경위

②우버 측의 고객정보 유출 사실 ‘은폐’

우버측

해커

예방및유출 시대응법

① 예방법 ② 유출사고 시 대응법

5,700만명개인정보유출!

“정보유출사고에대해

고객에게알리고

관련기간에신고없이

약 1년간고객정보유출사실은폐!”

개인정보 분실•도난 •유출 시, 24시간 내해당기관에 신고신고기관: 방송통신위원회 또는 KISA

고객에게 유출된 항목, 시점 및경위, 피해 최소화 방법에대해 알려야 함※정보통신망법 제27조의3(개인정보유출등의통지•신고)

주기적인 비밀번호 변경비밀번호 생성규칙준수및분기1회 이상변경(숫자, 문자, 특수문자 3종조합 8자리이상, 2종 조합 10자리이상)

개인정보처리시스템 외부 접속시, 안전한 인증 수단사용ID/비번 외이메일, SMS 추가인증 적용

“물리보안의정의와영역”

2 12月 정보보호 Report –물리적 보안이란?

5

직원 •데이터 • 시설 •설비등의기업의자산에대한물리적보호

물리적 보안관리의 영역

물리적보안이란?

영역 관리방법

외부인

출입관리

비인가자로부터 정보유출 방지를 위한 외부인 출입통제

① 외부인 방문 시,방문증작성 및 방문증 패용

② 임직원 동행 하에,접견실등 지정된 장소만 이용

회의실

중요

정보자산 관리

기업 내 중요 정보자산을 보호하기 위한 정보자산 관리

중요 정보자산폐기 시, 완전 폐기 수행

정보보호담당자

① 정보자산반∙출입 시, 담당자 검토 수행 ② 정보자산완전 폐기 수행

주요시설

통제및보호

보호구역(제한구역, 통제구역)에 따른 강화된 통제절차 수행

제한구역

임직원 업무에 따라 제한구역, 통제구역출입 권한 분리

통제구역

외부인의출입통제가요구되는모든 구역

회사에서지정된 중요정보자산이운영 및보관되는구역

“다양한 물리적보안위협”

3 12月 정보보호 Report –주요 물리적 보안 위협

6

출입통제 미흡

정보자산 관리 미흡

CCTV 관리미흡

①정보자산 반출입통제 미흡 ②클린데스크 수행 미흡

- 인가되지않은정보자산사용을통한정보유출

① CCTV 계정관리미흡_공용계정사용

- 임직원출입시, 꼬리물기를이용하여외부인출입

- 통제구역권한이있는직원의출입카드를이용하여출입

중요정보다운로드!

- 시스템계정(ID/PW) 포스트잇부착등패스워드방치로인한정보유출

ID: adminPW: 1234

- CCTV 관리자공용계정사용으로인한보안사고발생시사용자추적어려움

② CCTV 계정관리미흡_초기패스워드 사용

- IP CCTV 초기패스워드사용으로외부에서영상유출위협증가

영상노출!

통제구역출입성공!

- 보호구역통제미흡(보호구역모호, 권한설정미흡등)으로인한외부인출입

사원증대여지정된장소외에보호구역출입

회의실 사무실

①외부인 출입 통제 미흡 ②내외부인 보호구역 출입통제 미흡

4 12月 정보보호 Report –피해사례

“물리적 보안의주요피해사례”

7

① 외부인정보자산반•출입통제미흡

② 통제구역에대한출입관리미흡

③내부인정보자산관리미흡

A 은행에서는통신회선∙장비관리를위해용역업체

직원3명을고용

용역업체직원들은업무를위해이은행의전산망∙백본(통신회선)∙서버구성도, 내부지도등을노트북에저장

A 은행은중요정보가용역업체직원노트북에저장되어있음에도불구하고

별도보안조치를취하지않음

고용

전산망

내부지도

서버구성도

보안솔루션설치미흡

철수시PC 포맷미흡

투입시PC 점검미수행

정보자산에대한보안절차미수행

보안담당자

보호구역관리현황검토미흡 통제구역

통제구역출입시출입대장기록

통제구역

B 연구소에서는중요문서를지하기밀문서고에보관하여

보안담당자를지정하여출입관리

보안담당자는월1회보호구역관리현황을확인해야하나실제수행미흡하여외주업체직원무단으로침입하게됨

외주업체직원은7개월동안아무런제지없이자유롭게출입하여문서고내

자료들을업체업무용으로사용

프로젝트팀장인C씨는프로젝트를수행하면서주요산출물을개인노트북에저장 (DRM 암호화적용)

C씨는프로젝트를수행후자가해제권한을이용하여

DRM 해제수행

DRM 해제된자료는사용허가된USB로이동시킨후외장형디스크로

2차이동하여정보유출시도

중요문서PC 저장

DRM 문서자가해제

승인된USB로산출물1차저장

외장형디스크2차저장

5

“임직원들은다음과같은예방수칙을통해보안사고를예방해야함”

8

12月 정보보호 Report –예방수칙

내∙외부인출입시

사원증분실시비인가자의출입을

예방하기위해즉시보안담당자에게신고

외부인원사내출입시반드시방문증을

패용하도록하고임직원과동행

내방객의사무실출입을최대한제한및

면회실등지정된장소이용

1

2

3

중요정보자산에대한보호대책수립

장시간자리이석시중요문서

잠금장치있는서랍에보관

외부인출입시정보자산

반출입사항기록및검토

1

2

3

정보자산관리

사원증분실 정보보호담당자 출입통제시스템

신고 권한삭제

외부인

임시출입증발급 임직원동행

외부인&

임직원

면회실

출입

내방객접견

안내

관리등급 : 상 관리등급 : 상 관리등급 : 하

제안서 고객정보

…

자산반출입대장

반출입사항기록및검토

정보자산(노트북등)

기록

정보자산반출입시검사

사무실출입차단!

6

“개인정보노출자사고예방시스템파인”

9

Security TIP! TIP! TIP!

FINE 금융소비자정보포털 : 신분증분실등으로인한개인정보노출등록및해제서비스제공

Step 1 : 금융소비자종합포털(http://fine.fss.or.kr) 접속후

소비자보호신분증분실등록클릭

Step 3 : 성명, 주민번호, 휴대폰번호입력후

본인인증 진행 (휴대폰혹은아이핀)

Step 2 : 유의사항에대해숙지후

아래안내사항확인체크박스란클릭

등록방법(공통사항)개인정보노출자등록방식

신분증분실명의도용금융사개인정보유출

개인정보노출사고발생

개인정보노출자사고예방시스템금융소비자

개인정보노출등록

6

“개인정보노출자사고예방시스템파인”

10

Security TIP! TIP! TIP!

등록사유선택후등록신청

시스템등록시

해제사유선택후해제신청

개인정보노출시신속하게등록하여추가피해방지!

시스템해제시

FINE 금융소비자정보포털 : 신분증분실등으로인한개인정보노출등록및해제서비스제공

정보보호위원회 활동7

1. 2017년 11월정보보호위원회

일 시 : 2017년 11월 22일(水), 07:30 ~ 10:50

장 소 : 잠실롯데호텔월드사파이어볼룸(B1F)

참석자 : 지주사및각 社정보보호/개인정보보호담당인원등 (88명)

내 용 : 새로운시대의보안, 경영의관점에서대응필요

롯데그룹정보보호거버넌스강화전략

‘17년정보보호추진경과

그룹정보보호거버넌스강화방안

정보보호위원회총평

11

8정보보호 교육 및 세미나 안내

12

1) 우리기업을위한 GDPR 세미나

구분 세부내용

교육명 우리기업을위한 GDPR 세미나

교육일시 2017년 12월 11일(월) 오후 1시 ~ 5시

교육장소 프레지던트호텔 (서울중구을지로 1가 31층슈벨트홀)

등록방법사전등록사이트(https://onoffmix.com/event/121167) 접속사전등록

정보입력등록완료 (12월 11일까지선착순등록)

URL https://onoffmix.com/event/121167

*참가비무료

2) 제4차산업혁명과프라이버시(개인정보보호)의미래

구분 세부내용

교육명 제4차산업혁명과프라이버시(개인정보보호)의미래

교육일시 2017년 12월 20일(수) 오후 3시 ~ 5시 30분

교육장소 아모리스강남메리츠타워 (서울강남구역삼동강남역네이버 D2 스타트업팩토리)

등록방법온오프믹스(https://onoffmix.com/event/119713) 접속신청하기버튼클릭후

사전등록정보입력등록완료 (12월 19일까지선착순등록)

URL https://onoffmix.com/event/119713

*참가비무료

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) 2626-5946

정보보호 뉴스레터