슬라이드 1 -...

2014年 제1호

COPYRIGHT (C) 2012 LOTTE DATA COMMUNICATON COMPANY. ALL RIGHTS RESERVED.

2014년 청마의 해를 맞이하며…

롯데그룹 가족 여러분 안녕하십니까! 甲午年의 새 아침이 밝았습니다.

새해를 맞이하여 임직원 여러분의 가정에 사랑과 행복이 가득하시고,

모든 소망 이루시길 기원합니다.

지난해에는 그 어느 때보다 전국민을 떠들썩하게 만든 320, 625

사이버테러 등 대형 사건사고가 발생하였으며, 그 방법 또한 계획적이고

지능화되어 우리를 놀라게 하였습니다.

이러한 사고가 주는 시사점으로 기업의 정보보호는 단순히 IT인프라를 보호하는 차원을 넘어서,

기업 경영의 보호 뿐만 아니라 리스크를 대응하는 차원으로 변화하고 있다고 할 수 있겠습니다.

2014년을 시작하며 이러한 정보보호 위험은 더욱 광범위하고, 정교해질 것이라 예상되고 있습니

다. 이는 우리 그룹에게도 예외가 아님을 인지하고 기본에 충실하면서도 고객이 신뢰 할 수 있는

보안 서비스 제공을 통해 그룹의 성장을 더욱 공고히 하는 원동력으로 삼아야겠습니다.

이를 위하여 정보보호를 위한 기본과 원칙에 충실해야 하겠습니다.

우리가 할 수 있는 것, 우리가 보호해야 할 것, 우리가 해야 할 것에 대한 수준을 잘 파악하고

이에 대한 대책을 충실히 실행하여 만일의 보안사고와 위협에도 정상적으로 작동 될 수 있도록 만반

의 준비가 되어 있어야 할 것입니다.

또한, 국내외에서 우리가 운영하는 정보시스템의 중요성에 따라 모니터링, 내부정보 유출방지,

정보보호 관리체계(ISMS) 등 정보보호 대책의 견고성 강화를 위해 협업하고 확장해 나가는 데에

주력해 주시길 부탁 드립니다.

임직원 여러분들의 노고에 거듭 감사 드리면서, 새해에도 건강과 건승을 기원합니다.

감사합니다.

롯데그룹 정보보호위원회 위원장 채정병

2014년 1월 2일


매월 첫째 주 월요일은 롯데그룹 정보보호의 날!

롯데 임직원의 보안인식 제고와 고객 정보보호 활동 강화를 위하여

정보보호 위원회는 매월 첫째 주 월요일을 롯데그룹 정보보호의 날로

지정하여 운영하고 있습니다.

2014년 01월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터 및

활동 계획을 배포하오니 많은 관심과 실질적인 예방을 위한 활동

부탁드립니다.

2

3

4

1 정보보호 Hot 이슈

정보보호 NEWS

정보보호 연재 시리즈

① 알기쉬운 정보보호 이야기 ② 개인정보보호법! 이럴땐 이렇게…

2014년 청마의 해를 맞이하며… - 롯데그룹 정보보호위원회 채정병 위원장님 말씀

알림마당

① 그룹사 정보보호 動靜

*


정보보호 Hot 이슈 1 개인정보와 결합된 지능화된 형태로

진화하는 스미싱(Smishing)

할인쿠폰‧돌잔치 지고,

교통위반‧결제 스미싱 뜬다.

- 2013년 스미싱 악성앱, 전년에 비해 150배 이상 증가

- '확인하면 혜택 제공'에서 '미확인 시 불이익'으로 지능화

한국인터넷진흥원(KISA)은 2013년 한 해 동안 발견된 스미싱 문자메시지를 분석한 결과,

할인쿠폰, 돌잔치, 법원‧경찰 등으로 사칭 대상과 내용이 끊임없이 변화하고 있으며 특히

최근에는 교통위반, 카드결제 관련 내용이 급증하고 있다고 밝혔다.

KISA의 분석에 따르면 지난 26일까지 올해 접수된 스미싱 신종 악성앱은 총 2,278건으로

작년 15건에 비해 150배 이상 증가했다.

[월별 신종 악성앱 신고 건수]


최근 크리스마스 및 연말연시를 맞아 선물 구입 및 배송, 각종 모임 등이 많은 점을 노린

것으로 미루어, 곧 다가올 연말과 설 등에는 지인을 가장한 안부인사나 대학입시 결과,

입학금 통지와 같은 내용도 나타날 수 있으므로 각별한 주의가 필요하다.

특히 앞으로 스미싱은 개인정보와 결합된 지능화된 형태로 진화할 수 있는 만큼 더욱

주의해야 한다. 자신의 차량번호가 명기된 교통단속 문자나, 자신이 사용하고 있는

신용카드 번호가 결합된 결제 관련 문자를 받는다면 이용자들이 스미싱 여부를 구별하기

쉽지 않기 때문이다.

새롭게 등장하는 스미싱 문자 내용을 알아두어 사전에 스미싱을 예방하고 싶다면,

보안점검 앱 ‘폰키퍼’를 사용하면 된다. KISA는 악성앱 유포 사이트 및 정보 유출 서버에

대한 접속 차단은 물론, 폰키퍼를 통해 스마트폰 팝업창으로 신종 스미싱 문구를

실시간으로 공지한다. 그간 어떤 내용의 스미싱이 있었는지도 한 눈에 확인할 수 있다.

악성앱 설치 여부 점검은 물론, 악성앱이 다운로드 되었다 하더라도 설치 시 이용자에게

악성앱 여부를 알려주어 피해를 예방할 수 있다.


전길수 KISA 침해사고대응단장은 “스미싱이 사람들의 관심사를 반영해 새로운 내용으로

지속 유포되고 있는 만큼 항상 주의를 기울이는 것이 중요하다”며 “문자메시지에 포함된 의

심스러운 링크는 클릭하지 말고 국번없이 118번으로 전화해 신고할 것”을 당부했다.

이밖에도 KISA는 스미싱 피해 예방을 위해서는 안드로이드 단말기의 경우 스마트폰 환경

설정에서 ‘알 수 없는 출처’ 체크를 해제하고, 필요한 앱은 공식 마켓에서만 다운로드 할 것,

정기적인 스마트폰 백신 검검 등을 조언했다.


정보보호 NEWS 2 특정분야 정보탈취 노린 타겟형 악성코드

발견

특정분야 정보탈취 노린 타겟형 악성코드 발견

- '印 ICBM 로켓과 韓 우주항공', '한미관계' 등 정상적인 한글 문서 위장

최근 우주항공과 외교 등 사회적 이슈가 된 사안에 대한 내용으로 악성코드가 삽입된 한글파일이 첨부된 이메일이 발견되었다며 아래 한글 프로그램 사용자의 주의를 당부했다. 이번에 발견된 메일의 첨부문서의 제목은 ‘印 ICBM 로켓과 韓 우주항공기술.hwp’, ‘한반도와 한미관계.hwp’, ‘초청장.hwp’ 등이다. 파일 실행 시 정상적인 문서로 보이지만 실제로는 PC에 악성코드가 설치돼 사용자가 입력한 정보와 PC에 저장된 자료가 해커에게 전송된다. 최근 아래한글을 이용한 사이버 공격 시도 중 상당수는 보안패치가 발표된 취약점을 이용하고 있어, 프로그램을 최신으로 업데이트하기만 해도 피해를 예방할 수 있다.

[출처] http://www.kisa.or.kr/notice/pressView.jsp?cPage=1&mode=view&p_No=8&b_No=8&d_No=1226&ST=&SV=

최근, 사회적 이슈, 업무와 연관성이 있을만한 제목의 한글문서를 통한 사이버

공격시도가 지속되고 있습니다. 관심이 갈만한 제목의 이메일이나 첨부파일에

대해서는 열람 전 보안 담당자에게 문의하거나, 백신으로 검사하는 등 더욱 주의해 줄

것을 당부드리며, 정보보호위원회에서는 2014년부터 모의바이러스메일 훈련을

강화하여 진행할 예정입니다. 상세 내용은 4. 알림마당_그룹사 정보보호 動靜 을

참고하시기 바랍니다.


정보보호 NEWS 2 ISMS 인증 의무화·주민번호 수집금지…

2014년 바뀌는 정보보호제도

올해는 3.20, 6.25 사이버공격으로 인해 보안에 대한 정부와 기업의 관심이 최고조로 올

랐던 한 해였다.

정부에서는 국가간 사이버공격에 대응하기 위해 사이버테러 컨트롤타워를 청와대에서 맡

기로 결정했고, 금융당국은 물리적 망분리와 같은 강력한 보안대책 마련을 금융회사에 주

문하기도 했다.

또 개정 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)과 개인정보보호

법이 본격 시행됨에 따라 국민들의 개인정보보호를 위한 다양한 장치와 가이드라인이 등장

하기도 했다.

내년부터는 개인정보보호를 비롯해 각종 정보보호와 관련된 제도가 더욱 강화된다. 먼저

새해 첫날부터는 정보보호관리체계(ISMS) 인증제도가 의무화된다.

개인정보보호법 개정으로 내년 8월부터는 주민번호 수집이 전면 금지되는 것도 주목할 만

하다. 올해는 정보통신망법 개정으로 인터넷사업자의 주민번호 수집이 금지시켰고, 2014

년부터는 백화점, 대형마트 등 오프라인 매장에서도 주민번호 수집이 금지된다.

가. ISMS 인증 의무화 시작

내년 1월부터 정보보호관리체계(ISMS) 인증이 의무화된다. ISMS는 개정 정보통신망법

시행에 따라 ‘정보보호 안전진단제도’가 폐지되고 의무화되는 인증제도다.

ISMS 인증 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따른 허가를 받은자로서 대통

령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 사업자와 집적정보통신시설 사

업자, 연간매출액, 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자 등이다.

이동통신사, 인터넷서비스사업자 등 대부분의 정보통신서비스 사업자들이 의무적으로 인

증을 받아야한다. 특히, 전년도 매출액 100억원 이상의 방통위가 고시하는 기준에 해당하

는 경우, 전년도말 기준 3개월간의 일일평균 이용자수가 100만명 이상의 경우도 포함된다

제도는 경영진 책임 강화, 정보보호조직 구성 강화, 외부자 보안 강화, 모바일 기기 보안 강

화 등 환경 변화에 따른 보안트렌드를 적극 반영한 것이 특징이다.

ISMS 인증 의무제도 시행에 따라 인증 의무사업자들은 올해까지 반드시 인증을 취득해야

한다. 현재 148개 업체 중 133개 업체가 인증을 취득하거나 심사를 진행하고 있다.

이와는 별도로 ISMS 인증 의무 대상자이지만 2013년 정보보호 안전진단제도 인증을 획

득한 기업은 2014년 2월 18일까지 인증을 획득해야 한다.


나. 오프라인 매장에서도 주민번호 수집금지

2014년 8월부터는 인터넷뿐만 아니라 오프라인에서도 주민번호 수집과 이용이 금지된다.

8월부터는 개정 개인정보보호법이 시행되기 때문이다.

이에 따라 지금까지 주민번호 등 개인정보를 수집한 기관, 기업들은 8월부터 주민번호 수

집이 원칙적으로 금지된다. 다만 정보주체나 제3자의 급박한 생명·신체·재산상 이익을 위

해 명백히 필요한 경우 등 예외적인 경우는 인정한다.

따라서 대형마트나 백화점 등 회원제로 운영되는 각종 사업장에서 고객정보를 수집하기 위

해서는 주민번호 대신 아이핀(i-Pin) 인증이나 휴대전화 인증을 사용해야 한다. 또 수집해

둔 개인정보 중 주민번호에 대한 부분을 2016년 8월까지 모두 삭제해야 한다.

안전행정부와 한국인터넷진흥원은 오프라인 사업장의 주민번호 수집금지를 보다 효율적으

로 운영하기 위해 전담지원반을 내년부터 운영할 계획이다.

이 외에도 금융회사 전산실 물리적 망분리 의무화, 파이낸셜(금융) ISMS 제도 등이 도입될

계획이다.


정보보호 연재 시리즈 3

[1] 알기쉬운 정보보호 이야기

전자금융사기 3종 세트, 스미싱ㆍ파밍ㆍ피싱에 대해 알고 싶어요.

피해를 예방하려면…

1.지인 에게 서 온 문 자메 시지 라도 출 처 가 확 인 되 지 않 은 문 자 메시지의 인터넷주소를 클릭 금지

2.악성코드 등 미확인 앱이 함부로 설치되지 않도록 스마트폰의 보안 설정 강화

3.이동 통신 사 고 객 센터 나 인터 넷 홈 페 이 지 를 통 해 소 액 결 제 를 원천적으로 차단하거나 결제금액 제한

4.스 마 트 폰 용 백 신 프 로 그 램 을 설치하고 주기적으로 업데이트

5.T스토어·올레마켓·LGU+앱스토어 등 공인된 오픈마켓을 통해 앱 설치

6.보 안 강 화 · 업 데 이 트 명 목 으 로 금융정보를 요구하는 경우 절대 입력 금지

대처 요령

1.피해구제

경찰서(신고전화 112)에 스미싱 피해 내 용 을 신 고 하 여 ' 사 건 사 고 사실확인원'을 발급받아 이동통신사, 게임사, 결제대행사 등 관련 사업자에 제출

2. 악성파일 삭제

스마트폰 내 '다운로드' 앱을 실행해 문자를 클릭한 시점 이후로 다운로드 된 apk 파일을 찾아 삭제

문자메시지(SMS)와 피싱(Phishing)의 합성어로 '무료쿠폰 제공',

'돌잔치 초대장' 등을 내용으로 하는 문자메시지 내 인터넷주소 클릭하면

악성코드가 설치되어 피해자가 모르는 사이에 소액결제 피해 발생 또는

개인·금융정보 탈취하는 수법

스미싱


악성코드에 감염된 PC를 조작해 이용자가 인터넷 '즐겨찾기 ' 또는

포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로

접속하여도 피싱(가짜)사이트로 유도되어 범죄자가 개인 금융 정보 등을

몰래 빼가는 수법


1.OTP( 일 회 성 비 밀 번 호 생 성 기 ), 보 안 토 큰 ( 비 밀 정 보 복 사 방 지 저장매체) 사용

2.컴퓨터·이메일 등에 공인인증서, 보안카드 사진, 비밀번호 저장 금지

3.보안카드번호 전부를 절대 입력하지 말 것

4.사이트 주소의 정상 여부 확인

※ 가짜 사이트는 정상 사이트 주소와 유사하나, 문자열 순서·특수문자 삽입 등에서 차이 있음

5.윈 도 우 , 백 신 프 로 그 램 을 최 신 상 태 로 업 데 이 트 하 고 실 시 간 감시상태 유지

6.전자금융사기 예방서비스 적극 가입 (2013. 9. 26 전면 시행)

7. '출처불명 ' 한 파일이나 이메일은 즉시 삭제 및 무료 다운로드 사이트 이용 자제

대처 요령

1.피해구제

경찰서 (신고전화 112)나 금융기관 콜센터를 통해 지급정지 요청 후 파밍 피 해 내 용 을 신 고 하 여 ' 사 건 사 고 사실확인원'을 발급받아 해당 은행에 제출하여 피해금 환급 신청

2. 악성파일 삭제

KISA '보호나라' 서비스, 백신프로그램 을 이용하여 치료하거나 피해 컴퓨터 포맷 조치

파밍


개인 정 보 (Private data)와 낚 시 (Fishing) 의 합성 어 로 개인 정 보를

낚는다는 의미. 금융기관 또는 공공기관을 가장해 전화나 이메일로 인터넷

사이트에서 보안카드 일련번호와 코드번호 일부 또는 전체를 입력하도록

요구해 금융 정보를 몰래 빼가는 수법


1.OTP( 일 회 성 비 밀 번 호 생 성 기 ), 보 안 토 큰 ( 비 밀 정 보 복 사 방 지 저장매체) 사용

2. '출처불명' 또는 금융기관 주소와 '다른 주소'로 발송된 이메일은 즉시 삭제하거나 확장자가 exe, bat, scr 등 실행파일이거나 압축파일이면 열람 금지

3.보안카드번호 전부를 절대 입력하지 말 것

4.사이트 주소의 정상 여부 확인

※ 가짜 사이트는 정상 사이트 주소와 유사하나, 문자열 순서·특수문자 삽입 등에서 차이 있음

5.전자금융사기 예방서비스 적극 가입 (2013. 9. 26 전면 시행)

대처 요령

1.피해구제

경찰서(신고전화 112)나 금융감독원 신 고 센 터 ( 신 고 전 화 1332) 를 통 해 지급정지 요청 후 피싱 피해 내용을 신고하여 '사 건사 고 사실 확인원 ' 을 발급받아 해당 은행에 제출하여 피해금 환급 신청

2. 관련신고

인터넷침해대응센터 (콜센터 118), 금융감독원 보이스피싱 지킴이 (콜센터 1332)

피싱

매월 뉴스레터에 ‘알기쉬운 정보보호 이야기’를 연재할 예정입니다.

정보보호에 대해 궁금한 내용이 있으시다면, 메일이나 롯데그룹 정보보호 커뮤니티

자료실> Q&A로 올려주세요.

• Mail : [email protected]

• 정보보호 커뮤니티 : https://secupolicy.net/ (가입 승인 필요)

mailto:[email protected]





https://secupolicy.net/






정보보호 연재 시리즈

3 [2] 개인정보보호법! 이럴땐, 이렇게…

00외식업체 매장에 방문했는데, 입구에 경품행사를 위한 명함 통이 설치되어 있었습니다. 명함 통 앞에는 '추첨을 통해 쿠폰을 선물로 드리며, 휴대폰 문자 또는 이메일을 통해 다양한 소식을 알려드립니다.’라는 문구가 붙어있습니다. 이벤트를 통해 수집한 명함정보를 개인 동의 없이 홍보 마케팅에 이용해도 되는 건지요?

개인정보처리자(외식업체)는 원칙적으로 정보주체의 동의를 받아 개인정보를 수집하고

이용해야 합니다.

그러나 일상적인 생활 및 거래 현장에서 매번 정보주체의 명시적 동의를 받아 개인정보를

수집하는 것이 현실적으로 곤란한 경우가 있는데, 명함을 주고받거나 명함 통에 명함을

투입하는 경우가 이에 해당합니다.

표준 개인정보보호지침 제6조제3항에 따라 명함 등을 제공받아 개인정보를 수집하는 경

우에는 정보주체의 동의를 받지 않고 수집할 수 있으나, ‘사회 통념상으로 동의의사가 있

었다고 인정되는 범위’ 내에서만 이용할 수 있습니다. 또한 개인정보의 수집·이용목적 등

은 최대한 상세하고 명확히 알려야 합니다.

따라서 매장에서 명함 통을 통해 개인정보를 수집하는 경우에는 정보주체로부터 명시적

동의를 받지 않아도 됩니다. 다만 명함 투입에 대한 개인정보 수집·이용목적, 수집 항목,

명함으로 수집된 개인정보의 보유 및 이용기간, 명함투입거부권리 및 거부시의 불이익 등

을 명함 통 등에 명확히 게시하여 정보주체에게 알려야 합니다. 또한 이렇게 명함을 통해

수집된 개인정보는 명함 투입 시 정보주체에게 알려진 수집·이용목적 범위 내에서만 이용

되어야 할 것입니다.

[관련규정] 개인정보보호법 제15조, 표준 개인정보보호 지침 제6조제3항


알림마당

4 [1] 그룹사 정보보호 動靜

지속적으로 진화되는 악성코드 메일을 통한 악의적인 침투에 대비하여 모의바이러스

메일 훈련 강화 예정

• 시기 : 2014년 1월부터

• 내용 :

現) 이메일 보안 수칙 준수를 통한 임직원의 악성코드 메일 분별/대응 능력 훈련

後) 유입된 악성코드 메일에 대한 회사 차원의 대응 훈련

악성바이러스 메일 발송

As-Is To-Be

메일 열람, 첨부파일 실행 여부점검

악성코드 메일 수신 후 신고 및 대응 체계 점검

구분 역할 비고

보안

정책담당

‐ 악성코드 메일 수신 시 신고 및 대응 체계 기준 수립

‐ 매월 모의바이러스 메일 훈련 실시

社별 5~10人

샘플링 진행

계열사 정보

보호 담당자

‐ 각 사 별 악성코드 메일 수신 시 신고 및 대응 체계

수립

‐ 임직원 대상 교육 및 지속적인 인식 강화 활동

임직원 ‐ 악성코드 메일 수신 시 신고 및 대응 체계 습득

‐ 메일 수신 시 수립된 대응 체계에 따라 행동

지속적인 훈련을 통한 개인별·팀별 역할과 책임 재확인

위기대응 체계 종합적 점검 가능


발행처 : 롯데그룹 정보보호위원회

Homepage: http://secupolicy.net

E-mail: [email protected]

Tel: (02) – 2626-5945


슬라이드 1 -...

Documents