기업의 개인정보보호 전략 및 실천방법. 기업의 개인... · 2010-12-13 ·...
TRANSCRIPT
기업의 개인정보보호 전략 및 실천방법
발표자 : LG전자 김재수 부장([email protected])
2010. 12.132010. 12.132010. 12.132010. 12.13
Contents
1. Strategy
2. Road Map
3. Structure
4. Management
5. Solution-DB Encryption/ I-Pin-PC/DB Data Audit-SSL(Secure Socket Layer)
6. 접근이력접근이력접근이력접근이력 관리관리관리관리
7. 개인정보노출탐지개인정보노출탐지개인정보노출탐지개인정보노출탐지
8. 국가별국가별국가별국가별 관련법률관련법률관련법률관련법률 & 사례사례사례사례
LG전자전자전자전자 / 본사본사본사본사 정보보안그룹정보보안그룹정보보안그룹정보보안그룹
2
개인정보보호개인정보보호개인정보보호개인정보보호 정책정책정책정책 및및및및 관리체계관리체계관리체계관리체계 정비를정비를정비를정비를
통한통한통한통한 정보보호정보보호정보보호정보보호 관리능력관리능력관리능력관리능력 제고제고제고제고
전사전사전사전사 개인정보보호개인정보보호개인정보보호개인정보보호 교육교육교육교육 강화를강화를강화를강화를 통한통한통한통한
임직원임직원임직원임직원 정보보호의식정보보호의식정보보호의식정보보호의식 제고제고제고제고
전사전사전사전사 개인정보보호개인정보보호개인정보보호개인정보보호 진단을진단을진단을진단을 통한통한통한통한
Compliance Risk 최소화최소화최소화최소화
개인정보개인정보개인정보개인정보 온라인온라인온라인온라인 감사를감사를감사를감사를 통한통한통한통한 개인정보개인정보개인정보개인정보
대량대량대량대량 유출유출유출유출 예방예방예방예방 및및및및 이용현황이용현황이용현황이용현황 통제통제통제통제
온라인온라인온라인온라인 보안보안보안보안 모니터링을모니터링을모니터링을모니터링을 통한통한통한통한
개인정보개인정보개인정보개인정보 유출유출유출유출 예방예방예방예방
문서보안문서보안문서보안문서보안 강화를강화를강화를강화를 통한통한통한통한 개인정보의개인정보의개인정보의개인정보의
이용이용이용이용·제공제공제공제공·폐기폐기폐기폐기 Process 통제통제통제통제 강화강화강화강화
주민번호주민번호주민번호주민번호 대체방안대체방안대체방안대체방안 도입을도입을도입을도입을 통한통한통한통한
법적법적법적법적 요구사항요구사항요구사항요구사항 준수준수준수준수
개인정보보호개인정보보호개인정보보호개인정보보호 인증인증인증인증 마크마크마크마크 획득을획득을획득을획득을 통한통한통한통한
대외대외대외대외 신뢰도신뢰도신뢰도신뢰도 향상향상향상향상
개인정보관리체계의개인정보관리체계의개인정보관리체계의개인정보관리체계의 해외해외해외해외 전파를전파를전파를전파를 통한통한통한통한
Global 개인정보보호개인정보보호개인정보보호개인정보보호 수준수준수준수준 향상향상향상향상
개인정보개인정보개인정보개인정보 취급에취급에취급에취급에 대한대한대한대한 법률법률법률법률 위반위반위반위반 최소화최소화최소화최소화
개인정보개인정보개인정보개인정보 관리수준관리수준관리수준관리수준 향상향상향상향상
개인정보개인정보개인정보개인정보 취급에취급에취급에취급에 대한대한대한대한 법률법률법률법률 위반위반위반위반 최소화최소화최소화최소화
개인정보개인정보개인정보개인정보 관리수준관리수준관리수준관리수준 향상향상향상향상
추진추진추진추진 Road Map 을을을을 통한통한통한통한
전략적전략적전략적전략적 과제과제과제과제 진행진행진행진행
추진추진추진추진 Road Map 을을을을 통한통한통한통한
전략적전략적전략적전략적 과제과제과제과제 진행진행진행진행
수행과제수행과제수행과제수행과제 Customizing 을을을을 통한통한통한통한
적용적용적용적용 효과효과효과효과 최적화최적화최적화최적화
수행과제수행과제수행과제수행과제 Customizing 을을을을 통한통한통한통한
적용적용적용적용 효과효과효과효과 최적화최적화최적화최적화
1. Strategy
3
1. Strategy CSR(Corporate Social Responsibility)
4중기중기중기중기 과제과제과제과제중기중기중기중기 과제과제과제과제단기단기단기단기 과제과제과제과제단기단기단기단기 과제과제과제과제 장기장기장기장기 과제과제과제과제
Y+2Y+1Y
Phase I :
환경환경환경환경 수립수립수립수립 단계단계단계단계
Phase I :
환경환경환경환경 수립수립수립수립 단계단계단계단계
2단계단계단계단계: 개인정보보호개인정보보호개인정보보호개인정보보호
관리체계관리체계관리체계관리체계 개선개선개선개선
2단계단계단계단계: 개인정보보호개인정보보호개인정보보호개인정보보호
관리체계관리체계관리체계관리체계 개선개선개선개선
1단계단계단계단계: 개인정보보호개인정보보호개인정보보호개인정보보호
관리체계관리체계관리체계관리체계 수립수립수립수립
1단계단계단계단계: 개인정보보호개인정보보호개인정보보호개인정보보호
관리체계관리체계관리체계관리체계 수립수립수립수립3단계단계단계단계: 개인정보보호개인정보보호개인정보보호개인정보보호
정착정착정착정착 및및및및 성숙화성숙화성숙화성숙화
3단계단계단계단계: 개인정보보호개인정보보호개인정보보호개인정보보호
정착정착정착정착 및및및및 성숙화성숙화성숙화성숙화
Y+3
보안수준보안수준보안수준보안수준성숙도성숙도성숙도성숙도
Phase II : 중중중중/장기장기장기장기 정보보호정보보호정보보호정보보호 추진추진추진추진 전략에전략에전략에전략에 따른따른따른따른
환경환경환경환경 개선개선개선개선 및및및및 성숙화성숙화성숙화성숙화 단계단계단계단계
Phase II : 중중중중/장기장기장기장기 정보보호정보보호정보보호정보보호 추진추진추진추진 전략에전략에전략에전략에 따른따른따른따른
환경환경환경환경 개선개선개선개선 및및및및 성숙화성숙화성숙화성숙화 단계단계단계단계
개인정보보호수준보안활동
기본적인기본적인기본적인기본적인 관리체계관리체계관리체계관리체계 구축구축구축구축
(정책정책정책정책/조직조직조직조직/현황분석현황분석현황분석현황분석 등등등등)
Compliance Risk 대응대응대응대응
(관리관리관리관리/기술적기술적기술적기술적 보호조치보호조치보호조치보호조치)
Globalization
(LGE Standard=Global Standard)
단계별단계별단계별단계별
연도별연도별연도별연도별
기간별기간별기간별기간별
2. Road Map
5
개인정보개인정보개인정보개인정보 취급자취급자취급자취급자 관리강화관리강화관리강화관리강화
•국내전사업장개인정보취급자선정
및정기교육실시
• PC 내개인정보보유여부점검및
감사/모니터링실시
•개인정보실무자역량강화
(개인정보관리사자격증취득)
기술적기술적기술적기술적 보호대책보호대책보호대책보호대책
• B2C 웹사이트 : I-Pin/SSL적용
• DB: 암호화및모니터링시스템
구축및운영
•기타 : Masking
개인정보보호개인정보보호개인정보보호개인정보보호 관리체계관리체계관리체계관리체계
•사전영향평가체계구축및적용
•국제표준(BS10012)을적용한
진단체계구축
•해외법인관리체계점검/지원
•개인정보보호인증마크취득
3. Structure
6
4. Management
7
5. Solution 적용적용적용적용
개인정보보호개인정보보호개인정보보호개인정보보호
DB dataAudit
DB
Encryption
PC data
Audit
Web site
i-Pin
Web site
SSL
8
DB Encryption 5. Solution 적용적용적용적용
암호화암호화암호화암호화 구성도구성도구성도구성도
응용 프로그램을 통한 접근
(복호화 및 접근 권한 보유 시)
710700710700710700710700---- 1234567123456712345671234567
************************ ---- ****************************개발자, DB관리자 등의 접근
(접근 권한만 보유 시)
Error! Error! Error! Error! 기타 인가되지 않은 접근
(접근권한 없는 경우)
SOC_NOSOC_NOSOC_NOSOC_NO
710100710100710100710100---- 1234567123456712345671234567
SEC_SOC_NOSEC_SOC_NOSEC_SOC_NOSEC_SOC_NO
AB1D2FCD121E35DC2AB1D2FCD121E35DC2AB1D2FCD121E35DC2AB1D2FCD121E35DC2
기존기존기존기존 TableTableTableTable 암호화암호화암호화암호화 적용된적용된적용된적용된 TableTableTableTable
Console업무
서버
사용자
클라이언트
암호화암호화암호화암호화 Agent 설치설치설치설치
구성도구성도구성도구성도 암호화암호화암호화암호화 구성도구성도구성도구성도적용결과적용결과적용결과적용결과
9EncryptionEncryptionEncryptionEncryption
I-Pin 5. Solution 적용적용적용적용
I- PIN 을 통한 실명 인증 기능 추가 [인증 처리] [인증 확인]
암호화암호화암호화암호화 구성도구성도구성도구성도적용화면적용화면적용화면적용화면 암호화암호화암호화암호화 구성도구성도구성도구성도적용결과적용결과적용결과적용결과
10
사업장별사업장별사업장별사업장별사업장별사업장별사업장별사업장별
보안담당자보안담당자보안담당자보안담당자보안담당자보안담당자보안담당자보안담당자
SecuritySecuritySecuritySecuritySecuritySecuritySecuritySecurity
PortalPortalPortalPortalPortalPortalPortalPortalADADADADADADADAD
메인메인메인메인메인메인메인메인
DBDBDBDBDBDBDBDB
사업장사업장사업장사업장사업장사업장사업장사업장
DBDBDBDBDBDBDBDB
사업장사업장사업장사업장사업장사업장사업장사업장
DBDBDBDBDBDBDBDB
사업장사업장사업장사업장사업장사업장사업장사업장
DBDBDBDBDBDBDBDB
사용자사용자사용자사용자 정보정보정보정보
사업장사업장사업장사업장 정보정보정보정보
( 일1회 )
계정계정계정계정 정보정보정보정보
PC PC PC PC 정보정보정보정보
( 일1회 )
사업장별사업장별사업장별사업장별
DB DB DB DB 분할분할분할분할
( 일1회 )
개인정보개인정보개인정보개인정보 현황현황현황현황////정책정책정책정책 관리관리관리관리 (Console)(Console)(Console)(Console)
PC Data Audit5.Solution 적용적용적용적용
암호화암호화암호화암호화 구성도구성도구성도구성도구성도구성도구성도구성도 암호화암호화암호화암호화 구성도구성도구성도구성도적용결과적용결과적용결과적용결과
11
DB Data Audit
시스템시스템시스템시스템 구성도구성도구성도구성도
DBDBDBDB
DBDBDBDBDBDBDBDB
내부사용자내부사용자내부사용자내부사용자웹웹웹웹/App/App/App/App외부사용자외부사용자외부사용자외부사용자
DBDBDBDB Data AuditData AuditData AuditData Audit
외부사용자외부사용자외부사용자외부사용자 접근경로접근경로접근경로접근경로
내부사용자내부사용자내부사용자내부사용자 접근경로접근경로접근경로접근경로
방화벽방화벽방화벽방화벽
TAP TAP TAP TAP
� 외부외부외부외부 사용자의사용자의사용자의사용자의 WebWebWebWeb서버를서버를서버를서버를 통한통한통한통한 DB DB DB DB 접근을접근을접근을접근을 모니터링모니터링모니터링모니터링---- WAS, WEP APPWAS, WEP APPWAS, WEP APPWAS, WEP APP의의의의 정형정형정형정형QueryQueryQueryQuery를를를를 사용한사용한사용한사용한 접근을접근을접근을접근을
제외한제외한제외한제외한 모든모든모든모든 접근에접근에접근에접근에 대해대해대해대해 감사감사감사감사
• 내부사용자의내부사용자의내부사용자의내부사용자의 DB DB DB DB 접근을접근을접근을접근을 모니터링모니터링모니터링모니터링---- DB DB DB DB 서버로의서버로의서버로의서버로의 SQL SQL SQL SQL 명령어명령어명령어명령어 수행수행수행수행 이력이력이력이력 감사감사감사감사---- Telnet, FTP Telnet, FTP Telnet, FTP Telnet, FTP 를를를를 사용한사용한사용한사용한 원격원격원격원격 접속접속접속접속 모니터링모니터링모니터링모니터링
▷▷▷▷▷▷▷▷개인정보개인정보개인정보개인정보 접속접속접속접속 현황현황현황현황 ((((전체전체전체전체))))
일자일자일자일자일자일자일자일자 2009.10.26 16:362009.10.26 16:362009.10.26 16:362009.10.26 16:362009.10.26 16:362009.10.26 16:362009.10.26 16:362009.10.26 16:36접근자정보접근자정보접근자정보접근자정보 - 사용자사용자사용자사용자 정보정보정보정보 : : : :
. IP : XX.XXX.XXX.49 / . IP : XX.XXX.XXX.49 / . IP : XX.XXX.XXX.49 / . IP : XX.XXX.XXX.49 / 마루치마루치마루치마루치 / / / / sbluemongsbluemongsbluemongsbluemong
....조직명조직명조직명조직명 : XX: XX: XX: XX그룹그룹그룹그룹 000Part000Part000Part000Part
---- DB ID : DB ID : DB ID : DB ID : custXXXcustXXXcustXXXcustXXX / Local ID : / Local ID : / Local ID : / Local ID : sbluXXXXsbluXXXXsbluXXXXsbluXXXX
---- Program : Program : Program : Program : plsqldev.exeplsqldev.exeplsqldev.exeplsqldev.exe
▷▷▷▷▷▷▷▷개인정보개인정보개인정보개인정보 접속접속접속접속 Data logData logData logData log
5. Solution 적용적용적용적용
암호화암호화암호화암호화 구성도구성도구성도구성도구성도구성도구성도구성도 암호화암호화암호화암호화 구성도구성도구성도구성도적용결과적용결과적용결과적용결과
12
구분구분구분구분 SSL SSL SSL SSL 방식방식방식방식
개요
특징
• 사용자 컴퓨터에 별도 보안 프로그램 설치 불필요• Web Server에 설치된 SSL 인증서를 사용하여
개인정보를 암호화 전송
장점 • 적용 및 사용자 편의성 높음
단점 • 매년 인증서 갱신 비용 발생
공급업체 • 한국전자인증, 한국정보인증 등
확인방법• 브라우저 주소 창에 “ https:/ / ”
• 브라우저 하단에 자물쇠 표시
주주주주 적용적용적용적용
대상대상대상대상
• 회원가입회원가입회원가입회원가입 등의등의등의등의 절차가절차가절차가절차가 존재하는존재하는존재하는존재하는 일반적인일반적인일반적인일반적인 웹웹웹웹 사이트사이트사이트사이트
Web
Server
일반정보는일반정보는일반정보는일반정보는 non-SSL 통신통신통신통신
중요중요중요중요정보는정보는정보는정보는 SSL 통신통신통신통신
SSL(Secure Socket Layer)5. Solution 적용적용적용적용
구성도구성도구성도구성도 적용결과적용결과적용결과적용결과
13
•관련관련관련관련 근거근거근거근거
−정통망법정통망법정통망법정통망법 시행령시행령시행령시행령 제제제제15151515조조조조 3333항항항항
개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독
−개인정보의개인정보의개인정보의개인정보의 기술적ㆍ관리적기술적ㆍ관리적기술적ㆍ관리적기술적ㆍ관리적 보호보호보호보호 조치조치조치조치 기준기준기준기준 고시고시고시고시 해설서해설서해설서해설서
DB DB DB DB 모니터링모니터링모니터링모니터링 솔루션은솔루션은솔루션은솔루션은 어플리케이션을어플리케이션을어플리케이션을어플리케이션을 통해통해통해통해 개인정보에개인정보에개인정보에개인정보에 접근하는접근하는접근하는접근하는 경우에경우에경우에경우에 대한대한대한대한 모니터링모니터링모니터링모니터링 필요필요필요필요
정보주체정보주체정보주체정보주체 식별번호식별번호식별번호식별번호 취급자취급자취급자취급자 식별번호식별번호식별번호식별번호 접속일시접속일시접속일시접속일시 접속지접속지접속지접속지 수행업무수행업무수행업무수행업무123456789123456789123456789123456789 홍길동홍길동홍길동홍길동(HGD)(HGD)(HGD)(HGD) 2009.06.03, 15:00:002009.06.03, 15:00:002009.06.03, 15:00:002009.06.03, 15:00:00 172.168.168.11172.168.168.11172.168.168.11172.168.168.11 조회조회조회조회((((고객응대고객응대고객응대고객응대))))
어플리케이션어플리케이션어플리케이션어플리케이션시스템시스템시스템시스템 개인정보개인정보개인정보개인정보DBDBDBDB사용자사용자사용자사용자 AAAA DB DB DB DB 모니터링모니터링모니터링모니터링솔루션솔루션솔루션솔루션
현현현현 DBDBDBDB----i i i i 모니터링모니터링모니터링모니터링 범위범위범위범위 (DB (DB (DB (DB 로깅로깅로깅로깅))))추가추가추가추가 모니터링모니터링모니터링모니터링 필요필요필요필요 범위범위범위범위 ((((어플리케이션어플리케이션어플리케이션어플리케이션 로깅로깅로깅로깅))))
• DB DB DB DB 관점에서의관점에서의관점에서의관점에서의 모니터링모니터링모니터링모니터링 수행수행수행수행
•시스템시스템시스템시스템 실사용자실사용자실사용자실사용자, , , , 수행업무에수행업무에수행업무에수행업무에 대한대한대한대한 식별식별식별식별 불가불가불가불가
※※※※ 현재현재현재현재 DBDBDBDB모니터링모니터링모니터링모니터링 솔루션솔루션솔루션솔루션 중중중중 상기상기상기상기 기능의기능의기능의기능의지원이지원이지원이지원이 가능한가능한가능한가능한 제품은제품은제품은제품은 없음없음없음없음
사용자사용자사용자사용자 BBBB사용자사용자사용자사용자 CCCC•어플리케이션어플리케이션어플리케이션어플리케이션 사용자사용자사용자사용자, , , , 수행업무에수행업무에수행업무에수행업무에 대한대한대한대한 로깅로깅로깅로깅 필요필요필요필요
•사용자와사용자와사용자와사용자와 어플리케이션어플리케이션어플리케이션어플리케이션 시스템간에시스템간에시스템간에시스템간에 암호화암호화암호화암호화(SSL)(SSL)(SSL)(SSL)가가가가 적용된적용된적용된적용된경우경우경우경우 복호화복호화복호화복호화 처리처리처리처리 후후후후 로깅로깅로깅로깅 적용적용적용적용 필요필요필요필요
DBA,DBA,DBA,DBA,개발자개발자개발자개발자ID : ID : ID : ID : 어플리케이션어플리케이션어플리케이션어플리케이션IDIDIDIDID : AAAAID : AAAAID : AAAAID : AAAAID : BBBBID : BBBBID : BBBBID : BBBBID : CCCCID : CCCCID : CCCCID : CCCC
6. 접근이력 관리 필요성필요성필요성필요성
14
구분구분구분구분 어플리케이션별어플리케이션별어플리케이션별어플리케이션별 수정수정수정수정 솔루션솔루션솔루션솔루션 적용적용적용적용
방안방안방안방안
내용내용내용내용
•개별 어플리케이션을 수정, 개인정보 접근이력 기록
•별도의 로그 저장서버가 기록된 접근이력에 대한
위변조 처리 및 저장
•상용 어플리케이션 모니터링 솔루션 출시 시 제품
기능 검토 후 적용
•현재 P사, S사 등 다수 업체에서 제품 개발 중
비용비용비용비용•개별 어플리케이션에 대한 수정 인건비 필요
•별도의 로그 저장 및 분석을 위한 비용 필요
•솔루션 적용 비용 필요
•어플리케이션 수정 인건비 불필요
확산확산확산확산•기존 시스템에 대한 확산 시 어플리케이션에 대한
수정 인건비 필요
•구성 방식에 따라 추가 Agent 개발,
별도 미러링 장비의 추가가 필요할 수 있음
•솔루션 라이센스 정책에 따라 확산에 따른
라이센스 추가 비용 발생할 수 있음
장점장점장점장점
•OS, 솔루션에 독립적인 적용 가능
•신규 시스템 개발 과정에서 표준안 적용 시 별도
추가 비용 불필요
•상대적으로 단기간 내에 적용이 가능
•어플리케이션 수정 불필요
단점단점단점단점 •단기간 내에 적용 곤란
•기존 Agent와 충돌 발생 시 Agent 수정 필요
•별도 미러링 장비 방식으로 구성된 경우,
Location 추가 또는Traffic 증가 시 장비 증설 필요
적용사례적용사례적용사례적용사례•LG 생활건강, 서브원
•LG U+ (적용 중)•없음
개인정보개인정보개인정보개인정보 접근이력에접근이력에접근이력에접근이력에 대한대한대한대한 관리방안은관리방안은관리방안은관리방안은 어플리케이션어플리케이션어플리케이션어플리케이션 수정수정수정수정, , , , 향후향후향후향후 솔루션솔루션솔루션솔루션 개발개발개발개발 후후후후 적용방안이적용방안이적용방안이적용방안이 있음있음있음있음....
6. 접근이력 관리 관리방안관리방안관리방안관리방안
15
6. 접근이력 관리 인터넷진흥원인터넷진흥원인터넷진흥원인터넷진흥원 FAQ
16
인터넷인터넷인터넷인터넷
검색엔진
P2P
국내 포털/ 인터넷카페
기업기업기업기업////개인정보노출개인정보노출개인정보노출개인정보노출모니터링모니터링모니터링모니터링 시스템시스템시스템시스템
검색엔진 정보수집시스템
P2P 정보수집 시스템
분석/모니터링 시스템
통합보안관제센터통합보안관제센터통합보안관제센터통합보안관제센터
기업/개인정보노출전담모니터링 요원배치
LGLGLGLG전자전자전자전자
대외기관대외기관대외기관대외기관
기업기업기업기업/ / / / 개인정보개인정보개인정보개인정보노출노출노출노출
자동화자동화자동화자동화 시스템에시스템에시스템에시스템에 의한의한의한의한
노출정보노출정보노출정보노출정보 수집수집수집수집
분석분석분석분석////수동점검수동점검수동점검수동점검 통한통한통한통한노출사고노출사고노출사고노출사고 탐지탐지탐지탐지
LGLGLGLG전자전자전자전자 담당자담당자담당자담당자
확인확인확인확인////조치조치조치조치
대외기관대외기관대외기관대외기관
정보공조정보공조정보공조정보공조
자동수집 수동분석모니터링모니터링모니터링모니터링 시스템시스템시스템시스템자동수집결과자동수집결과자동수집결과자동수집결과 분석분석분석분석
인터넷카페인터넷카페인터넷카페인터넷카페 등등등등커뮤니티영역커뮤니티영역커뮤니티영역커뮤니티영역수동점검수동점검수동점검수동점검
모니터링시스템
인터넷에인터넷에인터넷에인터넷에 노출된노출된노출된노출된 기업기업기업기업////개인정보를개인정보를개인정보를개인정보를 자동으로자동으로자동으로자동으로 수집하고수집하고수집하고수집하고 점검활동을점검활동을점검활동을점검활동을 수행함수행함수행함수행함
자동수집
8. 개인정보 노출탐지 통합통합통합통합보안보안보안보안관제관제관제관제센타센타센타센타
17
3333개개개개 검색엔진검색엔진검색엔진검색엔진((((포탈포탈포탈포탈) ) ) ) 및및및및
20202020개개개개 P2P SiteP2P SiteP2P SiteP2P Site 대상대상대상대상
Keyword Match Keyword Match Keyword Match Keyword Match 방식방식방식방식
웹페이지/블로그
점검영역점검영역점검영역점검영역
인터넷 카페
P2P
G Potal
N Potal
D Potal
점검대상점검대상점검대상점검대상 검색엔진검색엔진검색엔진검색엔진
P2P
: 솔루션에 의한 자동수집및 수동점검
: 운영요원 수동점검
: 운영요원 수동점검
P2P (D site 등 19개) : 운영요원 수동점검
�해당 접근경로(URL)에 별도의 인증 없이 접근 가능한 경우
�해당 접근경로(URL) 일반적인 경로로 접근 시 인증이 필요하나 이미지 검색, 카페 검색 등 인증 없는 접근
경로가 존재하는 경우
�해당 접근경로(URL) 접근 시 기본적으로 인증이 필요하나 링크속성보기, 주소창 인자 값 변조 등 간단한 우회로
손쉽게 접근이 가능한 경우
� 노출노출노출노출 URL URL URL URL 판단기준판단기준판단기준판단기준
: 솔루션에 의한 자동수집및 수동점검
8. 개인정보 노출탐지 통합통합통합통합보안보안보안보안관제관제관제관제센타센타센타센타
18
8. 개인정보 노출탐지 사례사례사례사례
SampleSampleSampleSample
19
7. 국가별 개인정보보호 수준
출처 : http:/ / www.privacyinternational.org
우리나라의우리나라의우리나라의우리나라의 개인정보보호개인정보보호개인정보보호개인정보보호 수준은수준은수준은수준은, , , , 2007200720072007년년년년 이후이후이후이후 지속적이고지속적이고지속적이고지속적이고 비약적인비약적인비약적인비약적인 발전이발전이발전이발전이 되었음되었음되었음되었음....
20
7. 국가별 개인정보보호 수준
출처 : http:/ / www.privacyinternational.org
21전자기록정보전자정보법
근로자정보
통화정보
통신정보
금융정보
아동정보
의료정보
차량정보
TM정보
컴퓨터 정보
전자기록정보
출간정보
모든개인정보
신용정보
모든개인정보
보호대상보호대상보호대상보호대상
케이블통신정책법
금융개인정보법
아동온라인개인정보법
전기통신법
거짓말탐지기보호법
프라이버시보호법
정보공개법
컴퓨터보안법
전자통신개인정보법
운전자개인정보법
전화소비자보호법
건강정보관리및책임법
공정신용평가법
Privacy Act
미국미국미국미국
법률법률법률법률 명명명명국가명국가명국가명국가명
주요주요주요주요국가별국가별국가별국가별법률법률법률법률현황현황현황현황
모든개인정보
모든개인정보
모든개인정보
신용정보
금융정보
모든개인정보
전자기록정보
모든개인정보
모든개인정보
경찰기록정보
신용정보
모든개인정보
모든개인정보
보호대상보호대상보호대상보호대상
연방정보보호법
연방데이터보호법독일독일독일독일
Kreditupplysningslag
(신용정보법)
연방 Privacy Act호주호주호주호주
경찰법
소비자신용법
연방 Privacy Act캐나다캐나다캐나다캐나다
개인정보의 보호에 관한 법일본일본일본일본
Personuppgiftslag
(개인정보보호법)스웨덴스웨덴스웨덴스웨덴
개인정보보호 및 전자문서법
Inkassolag(채권회수법)
정보공개법
데이터보호법
영국영국영국영국
법률법률법률법률 명명명명국가명국가명국가명국가명
7. 국가별 개인정보보호 수준
국가별로국가별로국가별로국가별로 개인정보보호개인정보보호개인정보보호개인정보보호 관련법률관련법률관련법률관련법률 외외외외 신용신용신용신용////데이터데이터데이터데이터////회계회계회계회계 등등등등 관련관련관련관련 법률에법률에법률에법률에 의해서도의해서도의해서도의해서도 보호하고보호하고보호하고보호하고 있음있음있음있음....
22
� 民法總則民法總則民法總則民法總則 第第第第120120120120條條條條
자신의 성명권, 초상권, 명예권, 영예권의 침해를 받은 경우, 그 침해의 정지, 명예의 회복, 영향의 제거, 사과 및손해배상을손해배상을손해배상을손해배상을 요구할요구할요구할요구할 수수수수 있다있다있다있다
� 최고인민법원의최고인민법원의최고인민법원의최고인민법원의 해석해석해석해석((((한국의한국의한국의한국의 대법원대법원대법원대법원))))
타인의 동의를 구하지 않고, 임의로 타인의 privacy관련 자료를 공포하거나, 구두 또는 서면으로 타인의 privacy를선전하여 타인의 명예에 손해를 입히는 경우, 타인의타인의타인의타인의 명예권의명예권의명예권의명예권의 침해에침해에침해에침해에 따라따라따라따라 처리하여야처리하여야처리하여야처리하여야 한다한다한다한다."."."."
� 刑法刑法刑法刑法 253253253253條條條條
국가기관에서 근무하는 직원이 개인의 정보를 판매하거나, 위법하게 타인에게 제공하는 경우, 3333년이내의년이내의년이내의년이내의 유기징역유기징역유기징역유기징역 및및및및 벌금벌금벌금벌금 부과부과부과부과
中國中國中國中國
� 侵權責任法侵權責任法侵權責任法侵權責任法
제2조: 본 법의 민사권익은 생명권, 건강권, 성명권, 명예권, 영예권, 초상권, privacyprivacyprivacyprivacy권권권권, 혼인자주권 등
인신, 재산과 관련된 권익 보장관련 법률
제20조: 타인의 인신권을 침해하여, 침해를 한자는 침해를 받은 자의 손실을 배상하여야 한다.
privacy권이 인정되고, 손실 입증이 어려운 경우, 침해한 자의 이익을 기준으로 결정한다는 규정존재.
7. 국가별 개인정보보호 수준
23
- 계약건수계약건수계약건수계약건수 : 27: 27: 27: 27만건만건만건만건---- 계약금액계약금액계약금액계약금액 : 14,200(RMB): 14,200(RMB): 14,200(RMB): 14,200(RMB)
((((한화한화한화한화 250250250250만원만원만원만원))))* * * * 약약약약 5RMB(8505RMB(8505RMB(8505RMB(850원원원원)/100)/100)/100)/100건건건건
中國中國中國中國7. 국가별 개인정보보호 수준
� 문자메세지문자메세지문자메세지문자메세지 서비스서비스서비스서비스 제공업체가제공업체가제공업체가제공업체가 타사타사타사타사((((백화점백화점백화점백화점 등등등등))))의의의의 고객정보를고객정보를고객정보를고객정보를 이용하여이용하여이용하여이용하여 홍보홍보홍보홍보 MessageMessageMessageMessage 전송전송전송전송....
� 형법의형법의형법의형법의 규정에규정에규정에규정에 따라따라따라따라 개인정보를개인정보를개인정보를개인정보를 무단무단무단무단 제공제공제공제공////이용이용이용이용 했을했을했을했을 시시시시 형사형사형사형사 처벌처벌처벌처벌(3(3(3(3년년년년 이내이내이내이내 징역징역징역징역 및및및및 벌금벌금벌금벌금) ) ) ) 가능가능가능가능
고객정보고객정보고객정보고객정보 제공업체제공업체제공업체제공업체 계약내용계약내용계약내용계약내용 SMSSMSSMSSMS를를를를 통한통한통한통한 홍보홍보홍보홍보 MessageMessageMessageMessage 전송전송전송전송
24
� 정보보호정보보호정보보호정보보호 기술법기술법기술법기술법
제제제제 21212121조조조조. . . . 네트워크네트워크네트워크네트워크 환경에서환경에서환경에서환경에서 개인개인개인개인 정보의정보의정보의정보의 수집수집수집수집////이용이용이용이용////처리처리처리처리
1.특별하게 명시되지 않는 한 단체 및 개인의개인의개인의개인의 정보를정보를정보를정보를 네트워크네트워크네트워크네트워크 상에서상에서상에서상에서 수집수집수집수집/ / / / 이용이용이용이용////처리시에는처리시에는처리시에는처리시에는 동의를동의를동의를동의를 얻어야얻어야얻어야얻어야 합니다합니다합니다합니다....
2.단체 및 개인의 정보 수집/이용 시에는 하기와 같이 책임을 가지게 됩니다.
a)해당 개인정보를개인정보를개인정보를개인정보를 수집수집수집수집 시에는시에는시에는시에는 개인정보의개인정보의개인정보의개인정보의 이용목적이용목적이용목적이용목적, , , , 항목항목항목항목, , , , 이용범위등을이용범위등을이용범위등을이용범위등을 고객에게고객에게고객에게고객에게 알려줘야알려줘야알려줘야알려줘야 합니다합니다합니다합니다....
b)동의 후 수집된 정보는 보유기간에 대해 법적 명시된 사항을 준수 해야 합니다.
c)개인정보가 파괴, 도난, 유출, 변경되지 않도록 기술적 보호조치를 해야 합니다.
제제제제 22222222조조조조. . . . 네트워크네트워크네트워크네트워크 환경에서환경에서환경에서환경에서 개인개인개인개인 정보의정보의정보의정보의 제공제공제공제공 및및및및 저장저장저장저장
1.네트워트 환경에서 개인정보 주체인 단체 또는 개인은 정보에 대한 수정, 검사, 취소 등을 결정할 수 있습니다.
2.수집된 개인정보는 제 3자에게 제공되어서는 안됩니다.
3.개인정보의개인정보의개인정보의개인정보의 피해가피해가피해가피해가 발생하였을발생하였을발생하였을발생하였을 경우경우경우경우 단체단체단체단체 및및및및 개인은개인은개인은개인은 손해배상을손해배상을손해배상을손해배상을 청구할청구할청구할청구할 수수수수 있습니다있습니다있습니다있습니다....
� 형법형법형법형법제제제제 125125125125조조조조. . . . 타인의타인의타인의타인의 전화전화전화전화////편지편지편지편지////메시지메시지메시지메시지 등에등에등에등에 대한대한대한대한 침해침해침해침해 시시시시
1.침해 사고 발생 시 벌금형 또는 최대 1년 구금형.
2.상기 범죄에 해당되는 경우 1~2년 구금형 또는 3개월에서 2년 사이의 징역형.
� 민법민법민법민법
제제제제 38383838조조조조. . . . 사생활사생활사생활사생활 보호보호보호보호
2.개인의 사생활 정보는 개인이 죽거나, 시민으로써 권리가 사라진 경우 외에는 동의를 받고 사용해야 함
베트남베트남베트남베트남7. 국가별 개인정보보호 수준
� 전자전자전자전자 상거래를상거래를상거래를상거래를 중요시중요시중요시중요시 하고하고하고하고 있으나있으나있으나있으나 개인정보에개인정보에개인정보에개인정보에 대해서는대해서는대해서는대해서는 290290290290개개개개 기업기업기업기업 중중중중 ¼¼¼¼ 만만만만 보호의사를보호의사를보호의사를보호의사를 표명표명표명표명
� 개인정보개인정보개인정보개인정보 유출유출유출유출 시시시시 벌금은벌금은벌금은벌금은 32~125$(6032~125$(6032~125$(6032~125$(60만만만만~240~240~240~240만만만만 DONG)DONG)DONG)DONG) 부과부과부과부과((((미국의미국의미국의미국의 경우경우경우경우 500500500500만만만만$) $) $) $)
