정보보호 뉴스레터 -...

2014. 06

롯데 임직원의 보안인식 제고와

개인 정보보호 활동 강화를 위하여 정보보호 위원회는

매월 첫째 주 월요일을 롯데그룹 정보보호의 날로

지정하여 운영하고 있습니다.

매월 첫째 주 월요일은

롯데그룹 정보보호의 날!

2014년 06월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터 를 배포하오니 많은 관심과 실질적인 예방을 위한 활동 부탁 드립니다.

정보보호뉴스레터 | Security Information Newsletter

최근 정보보호 동향 1

영업기밀 유출 판례 사례 2

CCTV 설치 운영시 이것만은 꼭 3

정보보호 위원회 활동 7

Contents

Security TIP! TIP! TIP! 6

업무상 개인정보보호 Q&A 5

새롭게 바뀌는 정보보호 관련 법 4

정보보호 세미나 및 교육 안내 8


6月 정보보호 관련 주요 기사

1. 최근 정보보호 동향

3. 美, 해킹혐의로 중국군 관계자 기소 (국민일보, 05/20)

인민해방군 61398부대가 초보적 수준의 ‘이메일 피싱’을 통해 내부정보

를 해킹한 것으로 추정

처음으로 외국 정부 인사를 사이버 스파이 혐의로 기소한 것으로 국가 간

사이버 전쟁이 더욱 정교화 되고 가속화 될 것으로 예상됨

1. 해킹당한 토니모리 ‘50만 명 개인정보 유출’(KBS, 5/09)

화장품업체 토니모리 홈페이지 해킹으로 아이디와 이름, 휴대전화번호, 비

밀번호, 이메일의 정보 유출

회사 측은 5/2일 해킹으로 유출된 사실을 확인했으며 피해 예방을 위해

관계기관에 조사를 의뢰함

2. ‘행정자치부’로 바뀌는 안전행정부, 개인정보보호 업무는 지속

(디지털데일리,5/27)

안전행정부가 안전, 인사 기능을 분리하고 조직 기능만 남긴채 행정자치부

로 변경

조직 기능이 안행부에 남음에 따라 개인정보보호 등 관련 업무도 행정자치

부에서 맡게됨


2. 영업기밀 유출 판례 사례

기업 핵심기밀 유출했어도

77.9% ‘무혐의’ (1/2)

* 자료 : 한국경제 (2012.1)

삼성LG '아몰레드 핵심기술' 해외유출

일당 대부문 '무죄' 판결 (2013. 12. 10)

국내 소재 기업 해외 진출 기업

국내 1위 : 퇴직직원에 의한 영업비밀 유출

해외 1위 : 협력 및 경쟁업체 종사자, 고용 외국인에 의한 유출

연도 건수 (명) 검찰처리내역 (명)

구속 기소유예 무협의

2011년 439 (942) 15 82 648

2012년 448 (1,063) 19 63 807

2013년 459 (1,156) 15 65 901

(출처: 특허청)

(출처: 대검찰청)


기업 핵심기밀 유출했어도 77.9% ‘무혐의’

회사의 보안활동이 충분해야 처벌가능 !(2/2)

회사는 비밀유지계약을 체결하며 업무상 필요한 때는

회사 내부에서 정보를 공유할 수 있게 규정하는 등

정보 공유를 충분히 예견할 수 있었음

* 회사의 비밀정보를 상시적인 보안 수준의 내외부인

출입을 엄격히 차단한 정도의 비밀관리성 보호

노력으로 인정 안 됨

회사는 비밀정보의 경쟁가치에 따라

상당한 비밀유지를 위한 충분한 노력이

필요함

부정경쟁방지법 제2조 2호는 영업비밀을 '독립된 경제적 가치를 가지는 것으로 상당한 노력에 의해 비밀로 유지된 생산.판매 방법 등 영업활동에 유용한 기술상.경영상 정보'로 규정

2. 영업기밀 유출 판례 사례


3. CCTV 설치 운영시 이것만은 꼭

회사 CCTV 운영, 이것만은 꼭 !! (1/2)

회사, 사업장, 점포에서도 CCTV는 범죄예방 및 수사,

시설안전 등 매우 우용한 수단으로 자리매김하고 있지

만 그만큼 개인의 사생활 노출 등의 위험이 따르고 있

습니다.

CCTV를 안전하게 운영하는 방법은 무엇일까요?

전국에 설치된 CCTV는 396만대, 하루 평균 83번 노출된다는 통계도 있습니다.

목욕실, 화장실 , 탈의실 등 사생활 침해 장소 설치 금지

5천만원 이하 과태료

범죄예방, 시설

안전, 화재예방

설치 가능

설치목적, 촬영장소, 범위, 관리책임자 연락처

- 매장 내부 전체가 설치지역임을 표시하여 출입구 부착

- 주차장 등 동선이 분리된 장소 출입구에도 안내판 부착


CCTV 안내판

알아보기 쉬운

장소 부착

당초 설치 목적을 벗어나 함부로 조작하거나 다른 곳을

비추는 행위 금지

3년 이하 징역 또는 3천만원 이하 벌금

녹음 금지 및

임의조작 금지

대부분의 귀찮다는 이유로 비밀번호 변경을 소홀히 하는 경우

가 많습니다. 특수문자를 포함하여 8자리 이상으로 비밀번호를

자주 변경하는 것이 좋습니다.

CCTV 운영관리

방침수립․공개


3. CCTV 설치 운영시 이것만은 꼭

회사 CCTV 운영, 이것만은 꼭 !! (2/2)

개인의 사생활 침해에 대한 우려가 있는 CCTV 운영 관리는

개인정보보호법에 의해 철저히 준수되고 안전하게 관리되여야 합니다.

그룹내 CCTV를 운영 중인 계열사는

법령을 철저히 준수하여 영상정보를 안전하게 관리하여 주시기 바랍니다.

관리자 외 접근 통제, 관리자별 개별 ID 발급,

잠금장치 마련 등


영상정보

무단 유출 및

공개 금지

개인영상정보관리책임자 지정

CCTV 운영관리 방침을 홈페이지 등에 공개


CCTV

운영관리 방침

수립 및 공개


2014년 11월 개정 정보통신망법 시행(1/2)

변화 1

유출사고 발생 시 고객 1인당 최대 300만원 손해배상

기술적관리적 보호조치 위반하여

개인정보 분실, 도난, 누출의 경우

고의 과실 없음을 입증 못하면..

고객 1인당 최대 300만원

손해배상 가능

1천만명 X 300만원 = 30조원

변화 2

유출사고 발생 시 2년 이하의 징역 또는 2천만원 이하 벌금


정보유출사고 발생의 경우

2년이하 징역 또는 1천만원이하 벌금

2년이하 징역 또는

2천만원이하 벌금

개정전 개정후

변화 3

유출사고 발생 시 매출액 3% 과징금


정보유출사고 발생의 경우

매출액 1% 또는 1억원 이하 과징금

매출액 3% 과징금

매출 1조 기업?

개정전 개정후

300억원

4. 새롭게 바뀌는 정보보호 관련 법


변화 4

유출사고 발생 시 24시간 이내 이용자 고지 및 기관 신고

개인정보 분실, 도난 누출시

• 지체없이 해당 이용자에게 고

지

• 방송통신위원회 신고

24시간이내 유출사고 고지

방통위(www.kcc.go.kr) 또는

한국인터넷진흥원

(www.i-privacy.kr)에 신고

기타

개정전 개정후

민감정보

사상, 과거병력 등 사생활을 뚜렷

하게 침해할 우려가 있는 개인정보

가족 및 친인척 관계, 학력

기타 사회활동경력 포함

개정전 개정후

민감정보 수집조건

정보주체의 수집동의 후 수집

수집동의를 받아도

필요한 범위에서 최소한 수집

개정전 개정후

정보보호 최고책임자(CISO) 지정

(의무화 아님)

기준에 따라

정보보호 최고책임자 지정

미래부장관에 신고

개정전 개정후 재안내 예정

4. 새롭게 바뀌는 정보보호 관련 법

2014년 11월 개정 정보통신망법 시행(1/2)

※ 사고 발생시 그룹 정보보호 주관부서 신고 바랍니다.


5. 업무상 개인정보보호 Q&A

퇴사한 직원의 개인정보를 보관할 수 있는지요?

만약 보관할 수 있다면 언제까지 보관할 수 있는지요?

퇴사 직원의 개인정보는 원칙적으로 퇴사 이후에도 보관할 수 있습니다.

｢근로기준법｣에 따른 퇴직근로자 개인정보의 보존연한은 최소 3년이며, 보다 장

기간 보관 필요성이 있을 경우에는 근로자의 동의를 받아 보관할 수 있습니다.

개인정보처리자는 보유기간 경과, 개인정보 처리목적 달성 등 개인정보가 불필

요하게 되었을 때에는 지체 없이 개인정보를 파기하며, 다만 다른 법령에 따라

보존 근거가 있는 경우에는 보존이 가능합니다.

기업에서 직원이 퇴사하였더라도 그것으로 바로 직원 개인정보의 처리목적이 달

성되어 파기하여야 한다고 볼 수는 없으며, 경력 증빙 등을 위해 일정 기간 보관

필요성이 있다고 하겠습니다.

[근로기준법 제39조(사용증명서)]

① 사용자는 근로자가 퇴직한 후라도 사용 기간, 업무 종류, 지위와 임금, 그 밖에 필요한 사항

에 관한 증명서를 청구하면 사실대로 적은 증명서를 즉시 내주어야 한다.

[근로기준법 시행령 제19조(사용증명서의 청구)]

법 제39조제1항에 따라 사용증명서를 청구할 수 있는 자는 계속하여 30일 이상 근무한 근로

자로 하되, 청구할 수 있는 기한은 퇴직 후 3년 이내로 한다.


6. Security TIP! TIP! TIP!

습관적으로 열어보는 이메일…

무서운 비밀이 있다는 사실

누군가를 따라다니며 일거수일투족을 감시하는 '스토킹'

오프라인 '스토킹', 온라인에는 '지능형 지속 위협(APT) 공격'이 있습니다.

APT 공격이 무서운 이유는 다양한 방법으로 지속적인 공격하기 때문입니다.

※APT(advanced persistent threat)

- 다양한 보안 위협에 대해 정부기관, 기업, 금융기관 등

공격 대상의 컴퓨터 등을 지속적으로 공격하는 것

실제로 지난해 언론사, 금융, 정부기관에 대한 동시다발적 사이버테러는…

APT 공격에 의한 것으로 나타났습니다.

당시 지상파 방송 기자는 "취재 자료가 수십개씩 메일로 들어오는데, 의심없이 해

당 메일(첨부파일)을 열어본다면서, 당시 해커가 악성코드를 숨겨 보낸 메일을 읽

어 감염이 되고 사내 다른 시스템에도 확산됐다" 라고 말했습니다.

스토커와도 같은 해커의 APT 공격을 막을 수 있는 방법이 없는 것은 아닙니다.

아래의 실천수칙을 통해 APT 공격으로부터 우리 모두를 지키도록 합시다.

출처가 불분명한 이메일 열람/링크이동/첨부파일 실행하지 말고 삭제

백신 프로그램 실시간 검사 활성화 및 정기적 상세(수동) 검사 시행

패스워드는 최소 분기 1회 이상 변경할 것

악성코드, 계정 도용 의심 등 이상 징후 발견 시 주관부서에 즉시 신고


7. 정보보호위원회 활동

1. 그룹사 개인정보 위탁업체 점검

목적 : 개인정보 활용 협력업체의 개인정보 처리 적정성, 법규 준수 점검

주요내용

1. [1차] 425개 개인정보 위탁업체 개인정보보호 서면 점검 완료

2. [2차] 74개 주요 개인정보 위탁업체 방문 실사 점검 (~ 6월)

(1) 대상 : 고객 주민번호 취급, 자체 고객정보 DB 저장업체 등

2. 6월 정보보호 실무위원회 예정

대상 : 그룹사 정보보호 부서장 및 담당자

내용 : 그룹 보안 업무 계획 공유 (가제)

그룹사 정보보호 강화 전략 (가제)

일정 : 6월 4주차 (추후 공지)


8. 정보보호 세미나 및 교육 안내

1) [정보보호 교육] KISA 아카데미 정보보호 6월 교육

구분 세부내용

교육명 정보통신기반시설 정보보호 업무실무_6월 접수 (07.24 ~ 25, 16시간/2일, 서울)

위험분석을 통한 정보 Risk관리 (06.11 ~ 13, 24시간/3일, 부산)

내용 정보통신기반시설의 정보보호를 위한 관리체계 수립 이해

위험분석의 절차와 세부사항 이해, 위험관리를 위한 대책 및 정보보호 계획 수립

URL http://academy.kisa.or.kr/

* 참가비 무료 (지식정보보안 협약 기업)

3) [세미나] PIS FAIR 2014 (개인정보보호 페어 & CPO 2차 워크숍)

구분 세부내용

일시 2014년 6월 24일(화) 09:00~18:00

장소 서울 삼성동 COEX 1층 그랜드볼룸

주최 안전행정부, 개인정보보호위원회

내용 개인정보보호 맞춤형 구축전략 매뉴얼이 필요하다

URL http://www.pisfair.org/2014/

2) [정보보호 교육] 2014년 사업자 개인정보보호 교육

구분 세부내용

일시 2014년 4월 ~ 11월(매월 개최)

대상 정보통신서비스 제공자(기업별 개인정보 취급자 등)

내용 정보통신망법 주요내용 및 기업별 개인정보 취급자가 알아야 할 기술적‧관리적 보호조

치 등

접수방법 교육 신청서 작성 후 이메일([email protected]) 접수

http://www.i-privacy.kr

* 참가비 무료

* 참가비 무료

http://www.pisfair.org/2014/


발행처 | 롯데그룹 정보보호위원회

Homepage | http://secupolicy.net

E-mail | [email protected]

Tel | (02) – 2626-5945

정보보호 뉴스레터 -...

Documents