창업초기기업을 위한 정보보호 가이드라인 - kisaÜÜÜ 02 창업 프로세스별...

정보보호 가이드라인 Security Guide for Start-up

창업초기기업을 위한

정보보호 가이드라인 창업초기기업을 위한

Security Guide for Start-up

개요…………………………………………………… 05

1. 배경 ……………………………………………………………………… 06

2. 목적 및 구성 …………………………………………………………… 07

창업 프로세스별 정보보호 체크리스트 ………… 09

1. 중소기업의 정보보호현황 ……………………………………………… 10

2. 프로세스별 주요 체크리스트 ………………………………………… 11

2.1창업예비단계……………………………………………………… 13

2.1.1창업아이템및지식재산권 …………………………………… 13

2.1.2지식재산권보호방법 ………………………………………… 14

2.2회사설립및신고단계…………………………………………… 14

2.2.1사업자등록및업종별확인사항 …………………………… 14

2.2.2정책수립및관리적보호조치사항 ………………………… 15

2.3개업준비단계……………………………………………………… 18

2.3.1홈페이지구축…………………………………………………… 18

2.3.2스마트폰앱서비스제공……………………………………… 25

2.3.3외부수탁업체관리 …………………………………………… 25

2.4사업운영단계……………………………………………………… 28

2.4.1고객관리 ………………………………………………………… 28

2.4.2광고성정보전송………………………………………………… 28

2.4.3기술적·관리적·물리적보호조치…………………………… 31

2.4.4글로벌시장진출………………………………………………… 33

01

02

침해사고 예방법 및 정보보호 사이트 소개 ……… 361. 인터넷 침해사고 사례 및 예방법 ……………………………………… 36

1.1인터넷침해사고사례 …………………………………………… 36

1.1.1악성코드…………………………………………………………… 36

1.1.2Webshell ………………………………………………………… 37

1.1.3이메일무역사기 ………………………………………………… 38

1.1.4DDoS공격 ……………………………………………………… 38

1.2인터넷침해사고예방법………………………………………… 39

2. 기술안내서 가이드 ……………………………………………………… 40

3. 알아두면 유용한 사이트 ……………………………………………… 42

3.1KISA보호나라……………………………………………………… 42

3.2온라인개인정보보호포털 ……………………………………… 43

3.3개인정보보호종합지원포털 …………………………………… 44

3.4정보보호산업진흥포털 …………………………………………… 45

4. 별첨 ……………………………………………………………46

4.1[별첨1]개인정보취급자정보보호서약서(예시)………………… 46

4.2[별첨2]개인정보처리시스템접속기록점검표 ……………… 47

4.3[별첨3]개인정보보호관련법률준수사항위반시처벌규정 ……………… 48

03

그림목차

그림1 규모별침해사고피해경험…………………………………………10

그림2 창업프로세스………………………………………………………… 11

그림3 창업프로세스별정보보호체크리스트…………………………… 12

그림4 개인정보최소수집검토절차……………………………………… 19

그림5 필수동의항목과선택동의항목예시……………………………… 19

그림6 주민등록번호대체수단적용검토 ………………………………… 21

그림7 저장시암호화알고리즘예시 ……………………………………22

그림8 홈페이지SW개발정보보호가이드…………………………………24

그림9 앱실행시접근권한고지및동의예시 …………………………25

그림10 단계별외부수탁업체관리사항 ……………………………………26

그림11 전자우편을통한광고성정보전송시명시사항및명시방법…………29

그림12 모사전송(팩스)을통한광고성정보전송시명시사항및명시방법……30

그림13 음성형태의광고성정보전송시명시사항및명시방법…………30

그림14 그밖의형태로전송되는광고성정보의전송시명시사항및명시방법… 31

그림15 사업자별침해사고경험유형………………………………………36

그림16 악성코드를통한해킹공격흐름도 …………………………………37

그림17 웹쉘(Webshell)공격흐름도…………………………………………37

그림18 이메일해킹을통한무역사기흐름도………………………………38

그림19 DDoS공격흐름도……………………………………………………38

그림20 KISA보호나라…………………………………………………………42

그림21 온라인개인정보보호포털……………………………………………43

그림22 개인정보보호종합지원포털…………………………………………44

그림23 정보보호산업진흥포털 ………………………………………………45

표목차

표1 산업재산권주요내용…………………………………………………… 13

표2 신고·등록·허가필요업종…………………………………………… 15

표3 개인정보보호책임자및정보보호최고책임자지정요건및주요업무 …… 16

표4 내부관리계획포함사항………………………………………………… 17

표5 국내주요정보보호·개인정보보호법령별준용대상…………… 18

표6 개인정보수집시고지사항……………………………………………20

표7 비밀번호사용정책………………………………………………………22

표8 개인정보처리방침기재항목……………………………………………23

표9 개인정보처리방침공개방법……………………………………………23

표10 개인정보안전조치의무사항……………………………………………24

표11 운영단계의정보보호대책……………………………………………27

표12 광고성정보전송시유의사항…………………………………………28

표13 업무시정보보호행동수칙……………………………………………32

표14 개인정보유출통지및신고항목 ……………………………………33

표15 개인정보이용내역통지,망분리,ISMS의무적용기준……………33

표16 주요국가별법률…………………………………………………………34

표17 정보보호및개인정보보호관련기술안내서………………………… 41

개 요01

6 창업기업을 위한 정보보호 가이드라인

개 요01▶▶▶

1. 배경

2017년초발생한숙박시설관련업체Y사의고객정보유출사건으로스타트업(창업초기기업)

및중소기업의정보보호현황에적신호가커졌다. Y사개인정보유출사고는유사규모

기업들의정보보호및개인정보보호의현황이적나라하게드러나는계기가되었다.

특히Y사의대규모개인정보유출사고의과정은‘SQL인젝션’과 ‘세션하이재킹’이라는해킹

공격을사용했으며,이두가지공격은웹에서가장빈번하게일어나는공격방식중하나로

알려져있다.

이처럼스타트업및중소기업을대상으로발생하는해킹또는유출사고의경우 ‘지능형

지속공격(APT)’과같이공격자의고도화된공격방법에의한불가피한사건이라기보다는

해당업체가피해를사전에막기위한기본적인보호조치들을제대로하지않은것이

원인이었다.

스타트업의경우,창업을위한준비단계에서정보보호에대한투자보다는사업홍보를위한

광고에더많은비용을투자할것이다.그래서해당기업들은정보보호및개인정보보호에

대한중요성및인식이부족한실정이다.

최근정보보호실태조사에따르면,10인미만의기업10곳중,6곳은IT예산에정보보호예산

자체가없으며이와같이스타트업이나중소기업들의정보보호수준은현저히낮은편이다.

정보보호및개인정보보호는이제특정개인,특정기업의문제가아닌사회적,국가적인

이슈가되고있으며,해킹,악성코드등과같은피해도증가하고있는상황이다.창업단계별

준비를통해기업의정보보호수준을높여기업의정보보호및개인정보보호에힘써야할

것이다.

Security Guide for Start-up 7

2. 목적 및 구성

Y사의개인정보유출사건을계기로스타트업(창업초기기업)의정보보호에대한투자확대와

정보보호역량강화를위한지적들이대두되고있다.

본가이드라인은스타트업이창업준비및운영단계에서개인정보보호및정보보호관련

법률에서요구되는사항을안내하고사전체계구축을통해고객의신뢰를얻을수있는

기업이될수있도록돕기위함이다.

가이드라인의적용대상은창업을준비하거나이미스타트업을운영하는사업자이다,

본자료는1장부터3장까지구성되어있다.제1장에서정보보호필요성인식에대해간략한

배경을소개했으며,제2장은스타트업의초기단계,회사설립및신고단계,개업과사업을

운영하는단계까지의과정별로확인해야할정보보호내용을담고있다.제3장은실제

정보보호침해사고사례와이에따른예방법을소개하며,업무담당자들이실제로참고할수

있는KISA기술안내서가이드정보,유용한사이트목록으로구성되어있다.

창업 프로세스별 정보정보보호 체크리스트

02

창업 프로세스별 정보보호 체크리스트 02▶▶▶


1. 중소기업의 정보보호현황

한국인터넷진흥원과과학기술정보통신부에서실시한‘2017년정보보호실태조사1)’에따르면지난

해침해사고피해경험이있다고답한기업중50인미만의기업이전체의약31%를차지한다.

그림1규모별침해사고피해경험

침해사고유형별로는‘악성코드’에의한공격이75.5%로가장많았고,다음으로‘랜섬웨어’(22.5%)

였으며,그외애드웨어/스파이웨어,해킹등의유형순으로나타났다.

또한정보보호또는개인정보보호정책을수립한50인미만의규모는21%로전년대비하락

했으며,정보보호전담조직(8.4%)및전담인력(16.9%)운영,예산확보(46.6%)등정보보호수준이

50인이상(51.5%,75.7%,88.5%)에비해열악한것으로나타났다.

이러한기업들의대부분은정보보호분야의요구사항에대해실효성있는대비책을마련하지

못한것으로나타났으며,정보보호분야투자에소극적인이유는비용에대한부담뿐만아니라

정보보호전문가의부재나기술적분야에대한낮은이해때문인것으로나타났다.

제2장에서는스타트업(창업초기기업)이창업준비및운영단계에서겪는정보보호투자및전문인력

배치등현실적인어려움에서도출된문제점에대해실직적인도움이될수있는내용들을담았다.

1)정보보호실태조사는한국인터넷진흥원과과학기술정보통신부가매년실시하고있으며,종사자1인이상9,000개기업과개인4,000명을대상으로면접조사로실시함


2. 프로세스별 주요 체크리스트

창업을준비하고운영하기위해서는준비하고고려해야할사항들이많다.

사업을구성하고사업의핵심요소를결정하는(1)창업예비단계,사업자를등록하고사업장입지

등을고려하는(2)회사설립및신고단계,실질적인사업운영에앞서운영에필요한사항들을

준비하는(3)개업준비단계,마지막으로사업운영을위한상품/기술개발과실운영단계인(4)

사업운영단계로나누어볼수있다.

창업 예비단계

회사설립 및 신고단계

개업준비단계

사업 운영단계

고객관리

마케팅 및 홍보

글로벌 시장 진출

기술적·관리적·물리적 보호조치

홈페이지 구축

모바일 앱 개발

외부 수탁업체 관리

창업 아이템 구상

사업계획서 구성

특허 및 지식재산권 확보

사업핵심요소결정

•업종,아이템선정

•사업규모/업형태결정

•멤버및조직구성

•상품개발(시제품제작)

•기타사업핵심요소결정

사업자 등록

사업장(공장)입지 결정

회사규정 제정

계약조건 및 하자 확인

•사업장등기부등록열람

•임차료/관리비확인

•임차기간/명도일확인

•기타특별조건확인

그림2창업프로세스


12 창업기업을위한정보보호가이드라인

START ▶

창업준비를위한아이템을구상하였는가?

회사에필요한정책및규정을만들었는가?

홈페이지를통해수집한고객의개인정보의유효기간제를인지하고

있는가?

해외시장에서비스제공시

국가별요구사항을검토하였는가?

홈페이지또는모바일APP개발에필요한보호조치를적용하였는가?

2.1.1창업아이템및지식재산권이해하기

2.2.2정책수립및

관리적보호조치

2.4.1개인정보유효기간제이해하기

2.4.4글로벌시장진출시국가별법률

검토

창업기업에게필요한정보보호준수사항

완료!

2.3.1홈페이지구축시보호조치사항

2.3.2모바일APP구축시보호조치사항

2.1.2특허및지식재산권보호방법알아보기

2.2.1사업자등록및업종별필요사항

2.4.2광고성정보전송시

유의사항

2.4.3-(1)홈페이지취약점

진단

2.4.3-(2)접속기록및접근권한검토

2.4.3-(4)개인정보유출통지신고

2.4.3-(5)망법대상자이용내역통지·망분리·SNS

2.4.3-(3)업무시행동수칙

2.3.3외부수탁업체관리하기

아이템에필요한특허및

지식재산권확보를하였는가?

회사설립을위한사업자등록및

업종별확인사항을파악하였는가?

고객정보를이용하여광고성정보전달시

필요한조치를하고있는가?

법률에서요구하는기술적·물리적인

보호조치를적용하였는가?

개인정보처리업무를

외부업체에위탁시관리·감독하고

있는가?

YES

YES

YES

YESYES

NO

NO

NO

NO

NO

NONO

NO

YES

YES

YES

YES

NO

NO

그림3창업프로세스별정보보호체크리스트

창업을준비하는사업자는아래의정보보호및개인정보보호를위한주요체크리스트를통해창업

준비과정에서의관련사항들을체크해보고필요한사항에대해서조치하여야한다.


창업초기및운영단계에서자체적으로정보보호요구사항에대한보완이어려운기업의

경우에는한국인터넷진흥원을통한 ‘중소기업정보보호지원서비스’를이용하거나정보보호

컨설팅서비스가가능한업체를통해정보보호컨설팅을받을수있다.

정보보호컨설팅서비스를위한업체선정시에는정보보호장비및솔루션판매를위한업체가

아닌개인정보영향평가지정기관,컨설팅전문업체등을선정하여현실적으로우리회사에

필요한적절한컨설팅을수행할수있도록해야한다.

2.1 창업 예비단계

2.1.1 창업 아이템 및 지식재산권

창업예비단계는창업을위한아이템을결정하는단계로아이템이확정되면동일업종내에서

차별화되는핵심기술이도출될수있다.이러한핵심기술은특허및지식재산권확보를위한

필요한조치를하여야한다.

1) 지식재산이란?보호하면돈이되는지식,정보,기술,표현,표시로써타인이쉽게모방할수

있는무형재산이어서보호하지않으면재산적가치가없어지는것을말한다.

2)지식재산권이란?법에의하여보호받는지식재산으로관련법률에따라절차와요건을

충족하여야보호받을수있다.

3)산업재산권이란?지식재산권중특허,실용신안,디자인및상표등산업분야권리에대한

것을말한다

구분 특허 실용신안 디자인 상표

정의

자연법칙을이용한기술적사상의

창작으로써발명수준이고도한것(대발명)

물품의형상·구조·

조합에관한실용성있는고안(소발명)

물품의형상·모양·

색채또는결합한것으로

시각을통하여미감을느끼게하는것

타인의상품과식별하기위하여상용되는기호·문자·도형·입체적

형상이나이들을결합한것

보호

기간20년 10년 15년

10년

(10년마다갱신가능

반영구적관리)

표1산업재산권주요내용



2.1.2 지식재산권 보호 방법

지식재산의종류는등록해야보호받는지식재산,감춰야보호받는지식재산,나타내야

보호받는지식재산으로나눠볼수있다.

(1)등록해야보호받는지식재산은산업재산권으로특허권,실용신안권,상표권,디자인권등이있다.

특허권등산업재산권은특허청에신청(출원)하여,심사를거쳐등록되어야권리를주장할수있으며,

보호기간이10-20년으로등록료를계속납부해야권리가유지되므로지속적인관리가필요하다.

(2)감춰야보호받는지식재산은영업비밀이있다.영업비밀은남들에게알려지면더이상영업비밀이

아니기때문에철저히감춰야할뿐만아니라,감추려는노력이없으면영업비밀로인정받을수

없다.또한원래부터자신의영업비밀이라는것을입증해줄수있는수단이필요하며이를증명하는

방법으로영업비밀원본증명서비스1)나기술자료임치센터2)를이용하는방법이있다.

(3)나타내야보호받는지식재산은저작권이있다.저작권으로보호받기위해서는다른사람이느껴야알

수있을정도로외부에나타내어야한다.머릿속에있는구상,아이디어등은바깥으로나타나지않는

것이므로저작권으로인정되지않으며저작권으로보호받으려면다른사람이느낄수있도록어떠한

형식으로든지나타내어야한다.

2.2 회사 설립 및 신고단계

2.2.1 사업자 등록 및 업종별 확인 사항

창업을시작하기위해서는반드시사업자등록이필요하며,사업자등록은사업개시일로부터

20일이내사업자등록신청을하여야한다.

또한어떤업종의창업을준비하느냐에따라사업자등록뿐만아니라법률에따라필수적으로

해야하는사항들이존재한다.창업업종에따라추가적으로신고·등록·허가되어야할

사항이있는지반드시확인하여야한다.

1)영업비밀원본증명서비스:한국특허정보원의영업비밀보호센터에서운영(https://www.tradesecret.or.kr)

2)기술자료임치센터:대·중소기업협력재단에서운영(http://www.kescrow.or.kr)


구분 업종 유관법률 주요내용

신고

부가통신사업 전기통신사업법부가통신사업신고서에통신망구성도를첨부하여과학기술정보통신부에제출

통신판매업전자상거래등에서의

소비자보호에관한법률

전기통신매체,광고물등을통해소비자와직접상거래가이루어지는통신판매업을하고자하는경우신고

소프트웨어

사업자

소프트웨어산업

진흥법

소프트웨어산업의진흥을위하여기술인력,사업수행실적등관리에필요한사항을신고

등록

인터넷발송

문자사업자전기통신사업법

인터넷으로문자를발송하는서비스를

제공하는경우등록

게임제작업/배급업 게임산업진흥에관한법 게임물을제작(배급)하고자할때등록

허가 위치정보사업자위치정보의보호및

이용등에관한법률

위치정보및개인위치정보를직접수집하여

위치기반서비스사업자에게제공하는

형태의사업을하고자하는경우허가

표2신고·등록·허가필요업종

▶ 신고 : 형식적 서류 심사, 일정한 요건 충족 및 영업신고증 필요

▶ 등록 : 실질적 심사가 이루어지며 자격증이나 영업등록증 필요

▶ 허가 : 실질적 심사 및 허가 요건을 충족해야 하며 영업 허가증 필요

2.2.2 정책 수립 및 관리적 보호조치 사항

기업의정보보호는단순히기술적인문제가아닌경영상의문제로,경영진의책임하에

정보보호에대한방향을제시,지속적인달성목표관리등정보보호실무자들에게어떻게

정보를보호할것인지에대한방침및인적·물적지원,정기적인검토를수행하여야만

실무진들이자신의책임을명확히알수있으며목표를달성할수있게된다.

따라서정보보호를위해가장중요한업무중하나인정보보호및개인정보에대한책임자를

지정하고정책을수립하여전반적인목표와방침을명확하게제시하여야한다.

또한내부개인정보취급자에대한정보보호서약서(별첨1.참고)징구등적절한관리·감독을

수행하여야한다.



(1) 개인정보보호 및 정보보호 책임자 지정

개인정보보호법및정보통신망이용촉진및정보보호등에관한법률(이하 ‘정보통신망법’)

적용대상사업자는법률에서요구하는지정요건및업무,자격요건등을확인하고

개인정보보호책임자및정보보호최고책임자를지정하여야한다

구분 개인정보보호법 정보통신망법

개인정보보호

책임자

(CPO)

지정요건

사업주또는대표자

임원(임원이없는경우에는개인정보처리관련

업무를담당하는부서의장)

-임원

-개인정보와관련하여이용자의고충처리를

담당하는부서의장

※상시종업원수가5명미만일경우

개인정보보호책임자를지정하지않을

수있음

업무

-개인정보보호계획의수립및시행

-개인정보처리실태및관행의정기적인조사및개선

-개인정보처리와관련한불만의처리및

피해구제

-개인정보유출및오용·남용방지를위한

내부통제시스템의구축

-개인정보보호교육계획의수립및시행

-개인정보파일의보호및관리·감독

-그밖에개인정보의적절한처리를위하여

대통령령으로정한업무

-개인정보보호조직구성및운영의총괄

-내부관리계획의수립및승인

-개인정보기술적·관리적보호조치기준이행총괄

-소속직원또는제3자에의한위법·부당한

개인정보침해행위에대한점검

-정보주체로부터제기되는개인정보에관한

고충이나의견의처리및감독

-임직원,개인정보취급자및수탁자,대리점등에

대한교육등인식제고

-기타정보주체의개인정보보호에필요한사항

정보보호최고

책임자

(CISO)

지정요건

해당없음

(정보통신망법적용사업자만해당)

-임원

※지정및신고상세사항은정보통신망법참고

업무

-정보보호관리체계의수립및관리·운영

-정보보호취약점분석·평가및개선

-침해사고의예방및대응

-사전정보보호대책마련및정보보호조치

설계·구현등

-정보보호사전보안성검토

-중요정보의암호화및정보보호서버적합성검토

-그밖에이법또는관계법령에따라

정보보호를위하여필요한조치의이행

표3개인정보보호책임자및정보보호최고책임자지정요건및주요업무


(2) 정보보호 및 개인정보보호 정책

개인정보가분실·도난·유출·변조또는훼손되지않도록내부관리계획(정책및규칙)을

마련하여야한다

구분 개인정보보호법 정보통신망법

포함

사항

-개인정보보호책임자의지정에관한사항

-개인정보보호책임자및개인정보취급자의역할및

책임에관한사항

-개인정보취급자에대한교육에관한사항

-접근권한의관리에관한사항

-접근통제에관한사항

-개인정보의암호화조치에관한사항

-접속기록보관및점검에관한사항

-악성프로그램등방지에관한사항

-물리적안전조치에관한사항

-개인정보보호조직에관한구성및운영에관한사항

-개인정보유출사고대응계획수립·시행에관한사항

-위험도분석및대응방안마련에관한사항

-재해및재난대비개인정보처리시스템의물리적

안전조치에관한사항

-개인정보처리업무를위탁하는경우수탁자에대한관리

및감독에관한사항

-그밖에개인정보보호를위하여필요한사항

※1만명미만의정보주체에관한개인정보를보유한

소상공인및단체,개인의경우내부관리계획을

수립하지않을수있음

-개인정보보호책임자의자격요건및지정에

관한사항

-개인정보보호책임자와개인정보취급자의

역할및책임에관한사항

-개인정보내부관리계획의수립및승인에

관한사항

-개인정보의기술적·관리적보호조치이행

여부의내부점검에관한사항

-개인정보처리업무를위탁하는경우

수탁자에대한관리및감독에관한사항

-개인정보의분실·도난·누출·변조·훼손등이

발생한경우의대응절차및방법에관한사항

-그밖에개인정보보호를위해필요한사항

표4내부관리계획포함사항

☞내부관리계획작성예시https://www.privacy.go.kr/inf/rfr/selectBoardArticle.do?nttId=8543&bbsId=

BBSMSTR_000000000044



2.3 개업 준비단계

2.3.1 홈페이지 구축

회사및서비스홍보,고객관리등을위한홈페이지제작및관리시정보보호및개인정보

보호와관련하여유의해야할사항은다음과같다.

먼저홈페이지구축시우리가운영하게될시스템이준용해야할법률이무엇인지검토하고

법률주요내용을적용하여야한다.

국내주요정보보호및개인정보보호법령에는 ‘개인정보보호법’, ‘정보통신망법’등으로

사업자는운영할시스템에맞는법령을검토하고위반사항이없도록검토·적용하여야한다.

구분 명칭 대상

법령

개인정보보호법 모든사업자

정보통신망이용촉진및정보보호등에관한법률(정보통신망법) 정보통신서비스제공자

전기통신사업법 전기통신사업자

전자상거래등에서의소비자보호에관한법률 통신판매업자

위치정보의보호및이용등에관한법률 위치정보사업자

신용정보의이용및보호에관한법률 신용정보업자

고시

개인정보의안전성확보조치기준(행정자치부고시,제2014-7호) 모든사업자

표준개인정보보호지침(행정안전부고시,제2011-45호) 모든사업자

개인정보의기술적·관리적보호조치기준(방송통신위원회고시,제2012-50호)

통신사업자,방송사업자

표5국내주요정보보호·개인정보보호법령별준용대상

☞법령및고시정보는’18.05월기준으로기타관련법령및개정사항은https://www.kisa.or.kr/public/laws/laws1.jsp참조

개인정보보호관련법령을적용함에있어서다른법률에특별한규정이있는경우를제외

하고는‘개인정보보호법’에서정하는바를따라야한다.

(1) 기획

홈페이지시스템구축에앞서구축할시스템에서처리될개인정보에대한명확한목적을정의

하여야한다.또한처리하는개인정보에대한파기방법을결정하는것도필요하다.


① 개인정보 수집 최소화 방안 마련

홈페이지회원가입등고객의개인정보수집시에는불필요한개인정보가과도하게수집되지

않도록필요최소한의정보만수집할수있도록검토하여야한다.

그림4개인정보최소수집검토절차

필수동의항목이란서비스를제공하기위해반드시필요한정보로정보주체에게필수적으로

동의요구가가능하다.

반면,선택동의항목은사업자의필요에의해추가적인서비스를제공하기위해필요한

정보로써정보주체가동의여부를선택가능하여야한다.

▶ 인터넷 회원제 서비스

구분 필수동의 선택동의

목적 회원의신원및관리 상품등에대한홍보및마케팅

수집항목 아이디,비밀번호,이름,이메일 휴대전화번호,생년월일,성별,결혼여부,사용자선호도등

▶ 온라인 결제 서비스




▶ 이동통신 서비스




그림5필수동의항목과선택동의항목예시

서비스에 필요한

개인정보 종류조사③

필수 동의 항목

검토 구성②

서비스에 필요한

개인정보 종류조사①



② 동의 획득 시 유의사항

개인정보수집최소화방안을마련한다음은수집동의획득시필요한고지사항을알리고동의

받을수있도록설계및개발하여야한다.

개인정보수집동의는이용자가개인정보를입력하기전단계에동의사항을명확히이해할수

있도록‘중요한내용’을명확히표시하여알아보기쉽게표시하고,동의여부를선택할수있도록

구현되어야한다.

고지사항 예시

수집하는개인정보항목 이름,전화번호,이메일주소

개인정보수집·이용목적 본인확인,고지사항전달,물품배송

개인정보보유·이용기간 회원탈퇴시,배송완료후1개월

동의거부사실및

불이익의내용개인정보수집동의거부시,상품구매서비스를이용할수없습니다.

표6개인정보수집시고지사항

중요한내용에대해서는글씨크기는최소9포인트이상,다른내용보다20퍼센트크게하여

알아보기쉽게하고,글씨색깔,굵기또는밑줄등명확히표시되도록하여야한다.내용이

많아중요내용이명확히구분되기어려운경우에는중요한내용이쉽게확인될수있도록

별도로구분하여표시한다.

중요한 내용이란?

-개인정보의수집·이용목적중재화나서비스의홍보또는판매권유등을위하여해당

개인정보를이용하여연락할수있다는사실

-민감정보(종교,사상,건강등),여권번호,운전면허번호,외국인등록정보

-개인정보의보유및이용기간

-개인정보를제공받는자및개인정보를제공받는자의이용목적

또한개인정보수집동의시,개인정보처리방침에대해동의받는형식은허용되지않으므로

주의하여야한다.

☞개인정보수집·제공동의서작성가이드라인(’18.3개정)https://www.privacy.go.kr/inf/gdl/selectBoardArticle.do?nttId=8389&bbsId=BBSMSTR_000000000044


③ 개인정보 파기 방안

개인정보수집및동의에대한방안마련후수집한개인정보의목적달성및이용기간종료시

파기방법을결정하여야한다.

개인정보수집목적달성및이용기간종료또는폐업시에는보유하고있는개인정보를

지체없이파기하여야한다.그러나,법령에따라계속보관이필요할경우에는다른정보와

분리하여별도DB에저장될수있도록구성한다.

또한회원가입을통해정보주체의개인정보를수집할때에는회원가입시회원탈퇴방법을

정보주체가알기쉽도록알려야한다.예를들어회원탈퇴를신청할수있는메뉴를눈에띄게

설정하거나개인정보처리담당자의연락처를이용자가찾기쉬운곳에공지하는방법이있다.

④ 주민등록번호 대체수단 적용 검토

홈페이지등을통해주민등록번호를수집하는경우에는법령에서구체적으로주민등록번호

처리근거가있는경우를제외한주민등록번호수집은금지하고있다.

따라서,회원가입및서비스제공시주민등록번호이외의대체수단을적용하여야한다.

그림6주민등록번호대체수단적용검토

주민등록번호대체수단으로는온라인의경우,휴대폰인증,공인인증서,아이핀(I-PIN)이

있으며오프라인은마이핀(My-PIN)등의대체수단을제공하면된다

주민등록번호 처리법령근거 유무

불가피성 유무(대체 불가능)

현행유지(별도조치 불필요) 법령근거 마련 대체수단 도입

YES

YES

NO

NO

※법령(법률,시행령,시행규칙)상주민번호처리근거가있는경우

※법정서식에서주민번호기재된공부의첨부,제출,확인을요하는경우

※관련부처에의견제시,해당법령에근거마련(소관부처)

※주민번호삭제,생년월일,등록번호,회원번호,I-PIN등으로대체



⑤ 개인정보 처리시 적용할 암호화 방식 결정

홈페이지에서의개인정보저장및전송시개인정보의노출또는위·변조방지를위해적절한

암호화방식을결정하여암호화하여야한다.

먼저저장시에는이용자의고유식별정보(주민등록번호,여권번호등),신용카드번호,계좌번호,

바이오정보,비밀번호등에대한안전한암호화알고리즘을적용하고,비밀번호의경우

복호화되지않도록일방향암호화(SHA-256등)을적용해야한다.

그림7저장시암호화알고리즘예시

다음으로전송시에는전송구간암호화를적용하여야한다.전송구간암호화에는SSL방식이나

응용프로그램방식을적용하면된다.

⑥ 비밀번호 정책 수립 및 반영

홈페이지관리자및이용자의안전한비밀번호사용을위한정책을수립하여개발시

적용하여야한다.비밀번호사용정책은법령상관련근거에따른요구사항을기본적으로

반영하여야한다.

구분 비밀번호 정책

비밀번호최소길이영문자(대/소)+숫자+특수문자중

2가지조합10자리이상,3가지조합8자리이상

추측하기어려운비밀번호생성12345와같이연속된번호,전화번호등과같은쉬운문자열포함금지

잘알려진단어또는키보드상나란히배열된문자열포함금지

주기적인변경 유효기간설정(3개월)하여유효기간경과시비밀번호변경하도록유도

동일한비밀번호사용제한 이전비밀번호를교대로사용하지못하도록개발

표7비밀번호사용정책

SED, AES-256 등

고유식별 정보

금융 정보

바이오 정보

비밀번호

안전한 암호 알고리즘

일방향암호화

SHA-224 / 256 / 384 / 512


⑦ 개인정보 처리방침 작성

법률에서요구하는개인정보처리방침의포함사항을작성하여개인정보처리방침을수립하고,

언제든지쉽게확인할수있도록공개하여야한다

개인정보보호법 정보통신망법

①개인정보의처리목적

②개인정보의처리및보유기간

③개인정보의제3자제공에관한사항(해당되는경우만적용)

④개인정보처리의위탁에관한사항(해당되는경우만적용)

⑤정보주체와법정대리인의권리·의무및그행사방법에관한사항

⑥처리하는개인정보의항목

⑦개인정보의파기에관한사항

⑧개인정보보호책임자성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과전화번호등연락처

⑨개인정보처리방침의변경에관한사항

⑩개인정보보호법시행령제30조제1항에따른개인정보의안전성확보조치에관한사항

⑪개인정보파일현황(공공기관의경우)

⑫인터넷접속정보파일등개인정보를자동으로수집하는장치의설치·운영및그거부에관한사항(해당하는경우만적용)

①개인정보의수집·이용목적,수집하는개인정보의항목및수집방법

②개인정보를제3자에게제공하는경우제공받는자의성명(법인인경우에는법인의명칭을말한다),제공받는자의이용목적과제공하는개인정보의항목

③개인정보의보유및이용기간,개인정보의파기절차및파기방법(제29조제1항각호외의부분단서에따라개인정보를보존하여야하는경우에는그보존근거와보존하는개인정보항목을포함한다)

④개인정보처리위탁을하는업무의내용및수탁자(해당되는경우에만처리방침에포함한다)

⑤이용자및법정대리인의권리와그행사방법

⑥인터넷접속정보파일등개인정보를자동으로수집하는장치의설치·운영및그거부에관한사항

⑦개인정보보호책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과그전화번호등연락처

표8개인정보처리방침기재항목

☞개인정보처리방침예시https://www.kisa.or.kr/customer/privacy.jsp

개인정보처리방침은인터넷홈페이지첫화면또는첫화면과의연결화면을통해글자크기,

색상등을다른내용과구분하여이용자가쉽게확인할수있도록한다.

홈페이지를운영하지않는사업자의경우에는점포·사무소안의보기쉬운장소에써붙이거나

비치하여야한다.

표9개인정보처리방침공개방법

개인정보 처리방침 이메일무단 수집 거부 RSS

크기, 색상 등을 구분하여

쉽게 찾을 수 있도록 표시



(2) 개발·구축

① ‘홈페이지 SW 개발정보보호 가이드’를 고려한 홈페이지 개발

홈페이지 개발시에는 한국인터넷진흥원과 행정안전부가 발간한 ‘홈페이지 SW

정보보호가이드’를참고하여개발하여야한다. 해당가이드에서는홈페이지개발시

개발정보보호에참조할수있도록 ‘웹개발정보보호방안’, ‘웹 정보보호관리방안’,

‘웹정보보호취약점진단방법’을제시하고있다.

그림8홈페이지SW개발정보보호가이드

☞가이드보러가기:http://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000045&nttId=34439

② 정보보호대책 마련

홈페이지기획시개인정보분실·도난·유출·변조및훼손방지를위해개인정보보호법및

정보통신망법에서요구하는접속기록위조및변조방지,접근통제장치설치운영등개인정보

안전조치의무사항에대해필요한조치를강구하여야한다.

구분 안전조치 의무사항

1 개인정보를안전하게처리하기위한내부관리계획의수립및시행

2 개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치및운영

3 접속기록의위조및변조방지를위한필요한조치방안강구

4 개인정보를안전하게저장및전송할수있는암호화기술등을이용한정보보호조치

5 백신소프트웨어의설치·운영등바이러스에의한침해방지조치

6 그밖에개인정보의안전성확보를위하여필요한보호조치강구

표10개인정보안전조치의무사항

☞개인정보보호법/정보통신방법대상안전조치의무사항가이드라인:https://www.kisa.or.kr/public/laws/laws2.jsp


정보통신서비스제공자가아닌일반사업자의경우에는1만명미만의정보주체에관한개인정보를

보유한소상공인,단체,개인은안전조치의무사항1번의내부관리계획을수립하지않을수있다.

2.3.2 스마트폰 앱 서비스 제공

(1) 스마트폰 앱 접근권한

스마트폰앱접근권한이란스마트폰앱서비스제공자가앱을통해이용자의스마트폰내에

저장되어있는정보및설치된기능에접근하거나해당기능을실행할수있는권한을말한다.

스마트폰앱서비스제공자는서비스제공을위하여앱설치시접근권한이필요한경우

필수적·선택적접근권한을분류후알리고동의를받아야한다.

앱접근권한획득시안내사항은①접근권한이필요한정보및기능의항목,②접근권한이

필요한이유,③접근권한허용에동의하지않을수있다는사실(해당접근권한이서비스

제공에반드시필요한경우생략가능)이다.

또한이용자가반드시필요하지않은접근권한을설정하는데동의하지않는다는이유로해당

서비스제공을거부해서는안된다.

그림9앱실행시접근권한고지및동의예시

☞ 스마트폰앱접근권한개인정보보호안내서(2017.03):http://www.kcc.go.kr/user.do?mode=view&page=A05030000&dc=K00000001&boardId=1113&boardSeq=44546

2.3.3 외부 수탁업체 관리

(1) 단계별 정보보호 위협

홈페이지구축및운영,고객정보를이용한홍보텔레마케팅,상품배송을위한택배사등

개인정보업무를외부업체에위탁할경우발생할수있는정보보호위협에대해서도정보보호

강화를위한방안을마련하여야한다.

접근권한 고지내용으로 볼 수없는 사례 접근권한 고지내용으로 볼 수있는 사례



그림10단계별외부수탁업체관리사항

① 입찰 및 계약 단계

입찰및계약단계에서는외주용역사업의정보보호요구사항을정의하여제안서상에

반영하고,실제사업계획서및계약서상에법적·기술적정보보호요구사항을반영하여야

한다.또한정보보호요구사항에대한자체적인보안성점검기준을마련하여입찰평가시

사업계획서검토및필요한정보보호대책을마련하여야한다.

정보보호을고려한계약체결을위해사업자체또는투입되는자료·장비등에대한범위및

책임을명확화하여별도의비밀유지계약서를작성한다.비밀유지계약서에는비밀정보의범위,

정보보호준수사항,위반시손해배상책임,지적재산권문제,자료의반환등을명시한다.

② 사업운영 단계

사업운영과정중에발생할수있는정보유출등정보보호위협요소의정보보호요구사항

도출및정보보호대책을반영하여야한다.

구분 정보보호활동 세부 내용

1 자료에대한정보보호 내부자료에대한관리계획을수립하여유출방지

2사무실·장비에대한

정보보호외주업체사무실의물리적정보보호조치에대해확인하고외주인력이반·출입하는장비에대한정보보호관리계획수립

정보보호활동

보안 요구 기준 마련보안을 고려한

계약 체결

외주인력신원조회

사무실·장비에대한 보안관리

자료에 대한보안 관리

사업 완료 시보안 대책

위탁 운영 시보안대책

내·외부망접근관리

1. 입찰 및 계약

2. 사업운영

3. 사업완료

4. 운영·유지보수


구분 정보보호활동 세부 내용

3 내·외부망접근관리 외주인력의내부시스템접근에대한관리및접근제어

4 외주인력신원조회 정보보호서약서작성및사전신원조사실시

표11운영단계의정보보호대책

③ 사업완료 단계

사업완료시최종결과물및사업중사용된장비,자료의외부유출을방지하기위하여

자료의수거및처리방법에대한대책마련이필요하다.

④ 운영·유지보수 단계

운영및유지보수에대한업무위탁시에는개인정보처리위탁계약서를작성하고,수탁자에

대한교육을실시해야한다.또한수탁자의재위탁시에는동의를받도록의무화하여야한다.

①위탁업무의범위와목적에관한사항 ②위탁목적외처리금지에관한사항

③재위탁제한에관한사항 ④위탁하는개인정보의안전성확보조치에관한사항

⑤개인정보관리현황점검등관리감독에관한사항 ⑥수탁자의손해바상등책임에관한사항

☞표준개인정보처리위탁계약서샘플다운받기http://www.kisa.or.kr/public/laws/laws3_View.jsp?mode=view&p_No=259&b_No=259&d_No=73

주의사항



2.4 사업 운영단계

2.4.1 고객관리

(1) 개인정보 유효기간제

정보통신서비스를제공하는사업자는1년동안서비스를이용하지않는고객의개인정보는

해당기간경과후즉시파기하거나다른이용자의개인정보와분리하여별도로저장·관리

하여야한다.

그러나다른법령에서별도기간을정하고있는경우나,이용자의요청에따라보유기간을

별도산정한경우에는예외적인사항으로볼수있다.

2.4.2 광고성 정보 전송

(1) 광고성 정보 전송 시 유의사항

구분 유의사항 주요내용

1사전수신동의

(Opt-in)

전자적전송매체를이용한모든영리목적의광고성정보는원칙적으로사전에수신자의명시적동의를받아야함

광고성정보를전송하기위해수신자의개인정보를수집·이용하는것과별개로전송자가보내는광고성정보를수신하겠다는것에대한동의를구분해서받아야함

2수신거부및

수신동의철회

수신자가수신거부의사를표시하거나사전수신동의를철회한경우광고성정보의전송금지

3 야간광고전송제한오후9시~다음날오전8시(야간시간)에광고성정보를전송하려는경우별도의사전동의필요

표12광고성정보전송시유의사항

☞불법스팸방지를위한정보통신망법안내서(’17.11)https://spam.kisa.or.kr/customer/sub2_R.do?boardNo=1004

유효기간만료30일전까지①개인정보가파기·분리되어저장·관리되는사실,

②기간만료일및③해당개인정보의항목을전자우편·서면·전화등의방법으로이용자에게통지

(예외)다른법령에서별도기간을정하고있는경우:해당법령에서정한기간

전자상거래법:거래기록(5년),소비자불만·분쟁처리에관한기록(3년)

②이용자의요청에따라기간을달리정한경우:달리정한기간


(2) 전자우편을 통한 광고성 정보 전송 시 표기의무 사항

누구든지전자우편을통해광고성정보를전달하는경우,제목이시작되는부분에

“(광고)”를표시하여야한다.

본문에는전송자의명칭·전자우편주소·전화번호및주소를표시하여야하며,발신

전자우편주소가회신이되어수신이가능한경우에는본문에전자우편주소를생략할수있다.

수신거부또는수신동의철회는수신자가본문내에 “[수신거부]”등을눌러곧바로

수신거부또는수신동의철회를간단히할수있도록기술적조치를하여야하며로그인을

요구하는등다른정보를요구하여절차를번거롭게해서는안된다.

그림11전자우편을통한광고성정보전송시명시사항및명시방법

(3) 모사전송(팩스)을 통한 광고성 정보 전송 시 표기의무 사항

광고성정보가시작되는부분에‘(광고)’,전송자의명칭,전화번호및주소를표시하여야

하며‘(광고)’,‘전송자명칭’,‘연락처’등은광고본문내용이나오기전에표시되어야한다.

[email protected]

[email protected]

추후메일수신을원하지않으시면여기[수신거부]를클릭하여주시기바랍니다.

Ifyoudon'twanttoreceivethise-mailanymore,[Click here]한국인터넷진흥원([email protected]

전라남도나주시진흥길9

(광고) 광고성 메일 전송방법 알려드립니다.



수신의거부또는수신동의의철회방식을해당광고에표시된최대글자의3분의1이상의

크기로명시하여야한다.또한수신거부또는수신동의철회시수신자가비용을부담하지않는

것을함께명시하여야한다.

그림12모사전송(팩스)을통한광고성정보전송시명시사항및명시방법

(4) 음성형태로 전송되는 광고성 정보 전송 시 표기의무 사항

광고성정보가시작되는부분에광고를의미하는음성,전송자의명칭,전화번호또는주소,

수신의거부또는수신동의의철회방식을안내하여야한다.

해당내용은광고본문안내가나오기전에안내해야하며,수신거부또는수신동의철회는

자동응답전화번호또는전화로쉽게할수있는방식을이용하여야하며,수신거부또는

수신동의의철회를하는때에수신자가비용을부담하지않음을함께안내하여야한다.

그림13음성형태의광고성정보전송시명시사항및명시방법

안녕하세요?

한국인터넷진흥원입니다.

본 음성메시지는 인터넷진흥원에서

안내하는음성광고 입니다.

[광고내용 안내]

본광고의수신을원하지않는분은무료전화080-1234-5678로

연락주시기바랍니다.

광고성 정보가

시작되는 부분에서

안내하여야 함.


(5) 그 밖의 형태로 전송되는 광고성 정보 전송 시 표기의무 사항

문자광고,앱푸쉬광고,모바일메신저광고등이이에해당한다.

광고성정보가시작되는부분에(광고)를표시하고,수신자가어디에서온광고인지인지할수

있도록전송자의명칭,전화번호또는주소를표시하여야한다.

수신거부또는수신동의철회할수있는방식을광고성정보가끝나는부분에명시해야하며,

수신자가비용을부담하지않는다는것을함께안내하여야한다.

그림14그밖의형태로전송되는광고성정보의전송시명시사항및명시방법

☞불법스팸대응센터(영리목적광고성정보전송관련자료제공):https://spam.kisa.or.kr

2.4.3 기술적·관리적·물리적 보호조치

개인정보처리자는개인정보의분실·도난·누출·변조또는훼손을방지하기위해필요한

기술적·관리적·물리적조치를마련하여야한다.

(1) 취약점 진단 수행

운영하고있는시스템은 ‘개인정보의안전성확보조치기준’고시에따라연 1회이상

취약점점검을실시하여야한다.

중소기업및비영리단체는한국인터넷진흥원이제공하는원격웹취약점점검서비스를

이용해무료로웹사이트취약점진단을받아볼수있다.

☞한국인터넷진흥원웹취약점점검:https://www.krcert.or.kr/webprotect/webVulnerability.do

[광고]

마스터대리운전

1588-2894

시원한맥주한잔후엔

10%적립

무료수신거부

080-1234-5678

“[광고]” 표기를

시작되는 부분에

명시되도록 삽입



(2) 접속기록 및 접근권한 주기적 검토

접속기록은반기별 1회이상(정보통신서비스사업자의경우월 1회)정기적으로확인및

감독(별첨2.참고)해야하며,최소6개월이상접속기록을보존·관리한다.

-일반서비스제공자:반기별1회이상접속기록점검

-정보통신서비스제공자:월1회이상접속기록점검

-전기통신사업법상기간통신사업자:최소2년간접속기록보존·관리

(3) 업무 시 정보보호 행동 수칙

구분 업무 정보보호 행동 수칙

1 출/퇴근시-정보저장매체(PC,외장형HDD,USB,CD/DVD)의무단반·출입금지퇴근시(자리이석시)에는PC종료(또는잠금)및클린데스크

2사내생활및

문서정보보호

-비밀내용이포함된문서나자료는반드시파쇄하고이면지등사용금지서버실등출입이금지된통제구역은인가된사람만출입할수있도록관리

3컴퓨터사용정보보호

-PC부팅,윈도우,화면보호기암호를설정하고주기적변경

-공유폴더사용시반드시암호설정및최소인원설정

-백신소프트웨어설치및항상최신버전유지(자동업데이트설정)

표13업무시정보보호행동수칙

(4) 개인정보 유출 통지·신고

개인정보의유출이발생했을경우에는유출사실을인지후정보주체또는이용자에게지체

없이알리고,관련기관에신고하여야한다.

-정보통신서비스사업자:고객에게유출사실통지및방송통신위원회또는한국인터넷

진흥원에신고(24시간이내)

-기타사업자:1천명이상의정보유출시고객에게유출사실통지및행정안전부장관또는

한국인터넷진흥원에신고(5일이내)

①기록유지관리가필요한주요접속기록식별 ②개인정보처리시스템에서생성되는접속기록파일내용

③접속기록파일의생성및생성주기 ④요구되는정보보호에따른분석주기

⑤접속기록파일생성및보관정책등

주의사항


통지 및 신고 항목

개인정보보호법 정보통신망법

1.유출된개인정보의항목

2.유출된시점과그경위

3.유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보

4.개인정보처리자의대응조치및피해구제절차

5.정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처

1.유출등이된개인정보항목

2.유출등이발생한시점

3.이용자가취할수있는조치

4.정보통신서비스제공자등의대응조치

5.이용자가상담등을접수할수있는부서및연락처

표14개인정보유출통지및신고항목

☞개인정보유출신고:https://www.privacy.go.kr/wcp/dcl/spl/splRptInfo.do

(5) 개인정보 이용내역 통지 / 망분리 적용 / ISMS 의무대상

개인정보이용내역통지,망분리적용,정보보호관리체계인증(ISMS)의경우에는정보통신

서비스제공자가적용해야하나스타트업(창업초기기업)의경우아직은적용필수대상이

아닐수있다.그러나향후기업의성장에따라적용여부를판단하여조치해야할사항이므로

가이드라인에포함하였다.

구분 적용사항 의무 적용 기준

1 개인정보이용내역통지 전년도말기준직전3개월간개인정보가저장·관리되고있는이용자수가일일평균100만명이상

정보통신서비스부문전년도매출액이100억원이상

2 망분리적용

3 정보보호관리체계인증

표15개인정보이용내역통지,망분리,ISMS의무적용기준

2.4.4 글로벌 시장 진출

스타트업(창업초기기업)은사업소재지또는서비스제공대상이해외에있을경우해당국가의

정보보호및개인정보보호법을검토하여적용하여야한다.

특히2018년5월25일시행된유럽일반개인정보보호법(GDPR)모든EU회원국에대한

강행규정으로위반시과징금등행정처분이부과될수있어주의할필요가있다.

뿐만아니라민간부문에개별법률및특정분야에대한법률이있는경우,각개별법률에

대한검토도필요하다.



구분 국가 주요 법률

1 유럽 유럽일반개인정보보호법(GDPR,GeneralDataProtectionRegulation)

2 중국 네트워크안전법(中华人民共和国网络安全法)

3 홍콩 개인정보(프라이버시)법령(PersonalData(Privacy)Ordinance)

4 일본 개인정보보호에관한법률(個人情報の保護に関する法律)

5 미국프라이버시법(PrivacyActof1974)

민간부문의경우각개별법검토필요

6 캐나다 프라이버시법(ThePrivacyAct)

7 영국 정보보호법(DataProtectionAct)

8 독일 연방정보보호법(Bundesdatenschutzgesetz)

9 프랑스 개인정보보호규제(InformationTechnology,DataFilesandCivilLiberty)

표16주요국가별법률

침해사고 예방법 및 정보보호 사이트 소개

03


1. 인터넷 침해사고 사례 및 예방법

‘2017년정보보호실태조사’의약9천여개유효응답업체중2016년1년간침해사고를경험한

사업체는약2.2%이다.

이들이경험한침해사고는악성코드에의한공격(75.5%),랜섬웨어(25.2%),애드웨어/스파이웨어

감염(13.0)%순으로나타났다.

그림15사업자별침해사고경험유형

1.1 인터넷 침해사고 사례

1.1.1 악성코드

악성코드에의한공격은주로악성코드가첨부된메일을열람하거나메일에포함된첨부파일

실행등으로악성코드에감염된다.악성코드에감염되면전산망을통해다수의내부PC에

악성코드가확산되고감염된PC를통해해커는DB에접속하여정보가유출할수있게된다.

랜섬웨어25.5%

애드웨어/스파이웨어

13.0%

악성코드

75.5%

Dos 공격8.5%

해킹9.1%

침해사고 예방법 및 정보보호 사이트 소개03▶▶▶

침해사고 경험

2.2%


악성코드에감염된PC를통해기업의고객정보뿐만아니라기업내부정보의유출로까지

이어질수있다.

1.1.2 Webshell

웹쉘(Webshell)공격이란공격자가원격에서대상웹서버에웹스크립트파일을전송하여

관리자권한을획득한후DB에접근하여개인정보및주요정보유출,소스코드열람,홈페이지

위/변조,악성코드유포지로악용하는공격기법이다.

그림17웹쉘(Webshell)공격흐름도

공격자는공격대상웹사이트의게시판,자료실등과같은파일업로드기능을이용해

공격코드를업로드해놓은후해당웹서버정보를수집하여공격한다.

웹쉘공격의경우,일반적인서버관리자들이해킹여부를확인하기힘들고다양한탐지

우회기법이적용되어백신프로그램으로도탐지가어려워모니터링및대응에한계점이있다.

그림16악성코드를통한해킹공격흐름도

① 악성코드가 첨부된 메일 발송

② 해커가 발송한메일 열람 및 악성코드 감염

③ 전산망을 통해 다수의 내부 PC에 악성코드 확산

④ 감염된 PC 중 DB관리 PC를 이용하여 DB접속⑤ DB에서 고객정보 유출

웹쉘 악용 피해사례

엡쉘업로드 악성코드 유포

Watering Hole

악성코드 업로드 피해서버 장악 후

지속적인 관리 가능



1.1.3 이메일 무역사기

이메일을이용한무역사기가2013년이후매년꾸준히증가하고수법이갈수록정교해지고

있다.코트라(대한무역투자진흥공사)가지난해발간한‘무역사기대표사례및대응책’보고서를

보면최근3년간접수·보고된139건의사기사례중이메일해킹관련건수는58건에달한다.

그림18이메일해킹을통한무역사기흐름도

해커는이메일해킹을통해이메일에포함된문서를위조하여바이어및거래처등에결제대금

요청메일을보내게된다.사업자의이메일해킹과이메일에포함된사문서등의위조하여

사업자가바이어에게보낸계좌번호변경내용을보내게되고,변경된해커의계좌로입금을

하여금전적피해가발생하게된다.

1.1.4 DDoS 공격

DDoS(Distribute Denial of Service attack,분산서비스거부)란여러대의컴퓨터(일명

좀비PC)를일제히동작하게하여특정웹사이트를공격하는해킹방식의하나이다.

즉특정사이트를공격하기위해해커가서비스공격을위한악성프로그램또는코드를여러

좀비PC에심어놓고목표가되는사이트의컴퓨터시스템(또는서버)이처리할수없는과도한

접속(트래픽)을유발하여시스템을마비시키는것이다.

그림19DDoS공격흐름도

셀러

2.E-mail해킹

1.계좌번호통보메일4.송금

3.변경계좌전송

①최초전파

②다른시스템으로전파

악성봇 ③해커로연결 ④원격에서해커에의조정

⑤취약점공격등각종악성행위


국내에서는2007년에7.7DDoS사건으로국내정부기관사이트를비롯하여네이버,농협등주요

사이트들에대한접속장애가유발된바있다.

대기업이나포털이아닌중소기업의경우DDoS공격에대한경험이없고대부분의기업이공격에

대한방어준비가되어있지않으며좀비PC에감염되어도인지가어렵기때문에평소에예방하는

것이필요하다.

1.2 인터넷 침해사고 예방법

다양한원인에의해발생하고있는개인정보침해,기업정보유출,DDoS공격등의침해사고를

예방하기위하여정보보호침해사고를예방하기위한수칙을숙지하고준수하여야한다.

공유폴더 사용 최소화하고 사용시

비밀번호 설정

모르는 사람이 보낸 이메일,

파일은 열어보지 않기

공식마켓에서 앱다운로드 하기

신뢰할 수 없는 웹사이트 방문하지 않기

최신 버전의 운영체제 SW

사용하기

비밀번호 설정하고

주기적으로 변경하기

백신프로그램 설치하고 바이러스 검사하기

의심스러운 메시지는 바로

삭제하기

공인인증서는 별도의

저장매체에 보관

정품 프로그램 사용하기



2. 기술안내서 가이드

한국인터넷진흥원에서는기업이정보보호및개인정보보호관련IT시스템관리자,정보시스템개발,

운영자및일반업무관계자를위하여정보보호및개인정보보호에필요한기술안내서를제공하고있다.

분류 기술안내 가이드 대상 수준

정보보호

시스템

관리

모바일앱소스코드검증가이드라인 업무관계자 초급

소프트웨어개발정보보호가이드정보시스템

개발,운영자

중급

공개SW를활용한소프트웨어개발정보보호검증가이드

중급

무선랜정보보호안내서 일반 중급

정보보호서버구축안내서 IT시스템관리자 중급

신규

서비스

정보보호

IPv6정보보호기술안내서 일반 중급

와이브로정보보호기술안내서 IT시스템관리자 중급

VoIP정보보호권고해설서 업무관계자 중급

모바일오피스정보보호안내서 일반,업무관계자 중급

멀티미디어방송서비스정보보호안내서 업무관계자 초급

IoT공통정보보호가이드 정보시스템개발,제조기업의IT시스템관리자및정보보호담당자,운영자,업무관계자

중급

스마트공장중요정보유출방지가이드 초급

홈ㆍ가전IoT정보보호가이드홈ㆍ가전IoT제품

개발자및제조사중급

암호정책수립기준안내서IT시스템관리자

중급

암호기술구현안내서 중급

개인정보

우리기업을위한GDPR안내서

업무관계자

중급

개인정보처리방침작성예시(공공,민간,소상공인) 중급

표준개인정보처리위탁계약서(샘플) 중급

개인정보기술적보호조치(행안부) 중급

개인정보의기술적·관리적보호조치기준해설서 중급

위치정보의관리적·기술적보호조치권고해설서(방통위)

중급

개정정보통신망법개인정보보보호신규제도안내서 일반 초급

스팸·발신

번호변작

인터넷발송문자사업자를위한발신번호사전등록구현가이드

인터넷발송문자사업자 고급

불법스팸방지를위한정보통신망법안내서 일반,업무관계자 초급


개인정보처리시스템 접속기록 점검표

대상시스템명 XX시스템

점검일자 20XX년X월X일

접속기록점검대상기간 20XX년X월X일~20XX년X월X일

대상로그건수 X,XXX건

점검자소속:직급:

성명:(인)

확인자소속:직급:

성명:(인)

점검항목 결과(O·X)

개인정보처리시스템에대한최근6개월간의접속기록보유여부

접속기록보관에필요한필수항목(4가지)보유여부

(계정,접속일시,접속자정보,수행업무등)

대량의개인정보조회/다운로드이력점검결과

심야/주말시간대의개인정보조회이력점검결과

원격지(외부)접속을통한개인정보조회이력점검결과

비인가자에대한불법접속이력점검결과

개선조치사항

표17정보보호및개인정보보호관련기술안내서

☞참고:KISA기술안내서가이드(https://www.kisa.or.kr/public/laws/laws3.jsp)



3. 알아두면 유용한 사이트

3.1 KISA 보호나라

보호나라는한국인터넷진흥원이운영하는정보보호사이트로해킹·바이러스,개인정보침해,

불법스팸신고에대한정보를제공한다.

또한예산·인력이부족하여정보보호에취약한중소기업을대상으로원격으로웹취약점점검

및고수준의정보보호컨설팅지원과정보보호조치를위한솔루션구입비용을지원한다.

그림20KISA보호나라

☞KISA보호나라-https://www.boho.or.kr/


3.2 온라인 개인정보보호 포털

온라인개인정보보호포털은한국인터넷진흥원과방송통신위원회가운영하는사이트로

정보통신서비스사업자를위한정보통신망법개정안내,위치정보보호교육,주민등록번호

대체수단등에대한정보를제공한다.

또한사업자및주요업종별개인정보보호교육을무료로제공한다.

그림21온라인개인정보보호포털

☞온라인개인정보보호포털-www.i-privacy.kr



3.3 개인정보보호 종합지원 포털

한국인터넷진흥원과행정안전부가운영하는개인정보보호종합지원포털은개인정보보호법관련

법·제도·교육정보를제공한다.

그림22개인정보보호종합지원포털

☞개인정보보호종합지원포털-www.privacy.go.kr


3.4 정보보호산업진흥포털

한국인터넷진흥원에서운영하는정보보호산업진흥포털은정보보호산업에대한종합적인지원및

핀테크기술지원등을제공한다.

그림23정보보호산업진흥포털

정보보호산업진흥포털-https://www.kisis.or.kr


별 첨04▶▶▶

4.1 [별첨1] 개인정보취급자 정보보호서약서(예시)

개인정보취급자 보안서약서(예시)

※OOOO의개인정보취급자는본서약서가근무기간뿐아니라퇴직후에도적용될수있음을

인식하고숙독하신후서명하여주시기바랍니다.

1.나는OOOO으로부터취득한모든개인정보를업무에한해이용할것이며,타기관의보호대상

정보를OOOO내보관치않겠다.

2.나는상대가누구이건간에(내부직원,외부고객혹은계약직사원등)알필요가없는자에게

직무상알게된개인정보를누설하지않을것이다.

3.나는명백히허가받지않은정보나시설에는접근하지않으며,관련업무를수행시OOOO에는

지정한데이터처리시설및설비만을이용할것이다.

4.나는업무와관련한개인정보의수집,생성,기록,저장,보유,가공,편집,검색,출력,정정,복구,

이용,제공,공개,파기및그밖에이와유사한일체의행위에대하여OOOO의규정과통제

절차를준수할것이다.

5.나는나에게할당된사용자ID,패스워드,출입증,개인정보처리시스템을타인과공동사용하거나

관련정보를누설하지않겠다.

6.나는OOOO으로부터제공받은개인정보자산(서류,사진,영상,전자파일,저장매체등)을

무단변조,복사,훼손,분실등으로부터안전하게관리하겠으며승인받지않은프로그램,

정보저장매체(외장Drive,CD-ROM,외장HDD등)을기관내부에서사용하지않겠다.

7.나는퇴직시OOOO에서제공받은모든정보자산을반드시반납할것이며,퇴직후에도퇴직

전알게된모든개인정보는물론이고업무상비밀등기타누설됨으로인하여경기도교육청에

손해가될수있는각종정보에대하여는일체누설하지않겠다.

상기사항을숙지하고이를성실히준수할것을동의하며서약서의정보보호사항을위반하였을

경우에는“개인정보보호법률”, “정보통신망이용촉진및정보보호등에관한법률”등관련법령에

의한민/형사상의책임이외에도,회사의사규나관련규정에따른징계조치등어떠한불이익도

감수할것이며경기도교육청에끼친손해에대해지체없이변상/복구할것을서약합니다.

20년월일

소속:

직위:

성명:(인)


개인정보처리시스템 접속기록 점검표

대상시스템명 XX시스템

점검일자 20XX년X월X일

접속기록점검대상기간 20XX년X월X일~20XX년X월X일

대상로그건수 X,XXX건

점검자소속:직급:

성명:(인)

확인자소속:직급:

성명:(인)

점검항목 결과 (O · X)

개인정보처리시스템에대한최근6개월간의접속기록보유여부

접속기록보관에필요한필수항목(4가지)보유여부

(계정,접속일시,접속자정보,수행업무등)

대량의개인정보조회/다운로드이력점검결과

심야/주말시간대의개인정보조회이력점검결과

원격지(외부)접속을통한개인정보조회이력점검결과

비인가자에대한불법접속이력점검결과

개선조치사항

4.2 [별첨2] 개인정보 처리시스템 접속기록 점검표


별 첨04▶▶▶

4.3 [별첨3] 개인정보보호 관련 법률 준수사항 위반 시 처벌규정

수

집 및 이

용

1개인정보수집시특별한근거없이동의받지않은경우

제15조1항5천만원이하

과태료제22조1항

5년이하의징역또는5천만원이하의벌금

2만14세미만의법정대리인동의를받지않은경우




3개인정보수집시정보주체에게수집사실을고지하지않은경우


과태료- -

4선택적동의항목에동의하지않는다는이유로서비스를거부하는경우

제16조3항

제22조5항

3천만원이하과태료

제22조의

22항3천만원이하과태료

5정보주체이외로부터개인정보를수집한사실을정보주체에게통지하지않은경우

제20조

1,2항


- -

6개인정보수집시법령에서정의한

동의방법을따르지않은경우

제22조1~4항


- -

7개인정보를최초목적을초과하여이용한경우

제18조

1,2항


제24조5년이하의징역또는5천만원이하의벌금

8정보통신망을속이는행위로개인정보를수집한경우

- -제49조의

21항


9정보통신망을속이는행위로타인의

개인정보제공을유인하는경우- -

제49조의

21항


10모바일기기에대한이용자의접근권한을획득시법률규정을준수하지않은경우

- -제22조의


제

공

11개인정보제3자제공시정보주체에게제공사실을고지하지않은경우

제17조2항


- -

12합병등사유로개인정보를이전하는사실을정보주체에게알리지않은경우

제27조1,2항


제26조1,2항


13정보주체동의없이개인정보를제3자에게제공또는제공받는행위

제17조1항


- -

14개인정보를최초목적을초과하여제3자제공한경우

제18조1,2항

제19조


제24조의21항



제

공

15영업양수자등이최초목적을벗어나개인정보를이용·제공하는경우

- -제26조3항


16제3자제공시개인정보수집동의와구분하여별도동의받지않은경우

- -제24조의3

1항3천만원이하

과태료

17개인정보의국외처리위탁등을이용자에게알리지않은경우

- -제63조3항


위

탁

18서비스홍보를위한개인정보위탁사실을정보주체에게알리지않은경우


과태료- -

19업무위탁시수탁사와계약서를작성하지않은경우




20개인정보위탁사실을정보주체에게공개하지않은경우




21개인정보를위탁받은자가목적이외로개인정보를이용·제공한경우

제26조5항5년이하의징역또는5천만원이하의벌금

- -

22정보주체에게개인정보위탁을동의받지않은경우

- -제25조1항


23수탁사가위탁사의동의를받지않고재위탁을하는경우

- -제25조항


보

유

및

파

기

24보유목적이달성된개인정보를파기하지않은경우

제21조1항 3천만원이하과태료제29조1항


25보유목적달성후일정기간보유해야하는개인정보를분리보관하지않은경우

제21조3항 1천만원이하과태료 - -

261년이상서비스를미이용한이용자정보의파기를하지않은경우

- -제29조2항


고유식별정보 및 민감정보처리

27정보주체동의,법령근거없이민감정보를처리한경우


제23조1항


28정보주체동의,법령근거없이고유식별정보(주민번호제외)를처리한경우


- -

주

민29

법령근거등근거없이주민번호를처리한경우

제24조의21항 3천만원이하과태료제23조의21항



별 첨04▶▶▶

주

민

29법령근거등근거없이주민번호를처리한경우

제24조의21항

3천만원이하과태료제23조의21항


30주민번호를암호화조치하지않은경우

제24조의22항

3천만원이하과태료제23조의21항


31회원가입시주민번호대체수단을제공하지않은경우

제24조의23항

3천만원이하과태료 - -

권

리

보

장

32 정보주체의열람요구를거절한경우 제35조3항 3천만원이하과태료 - -

33정보주체의정정·삭제요구를이행하지않은경우

제36조2항 3천만원이하과태료제30조3,4항


34정보주체의처리정지요구를이행하지않은경우

제37조4항 3천만원이하과태료제30조3,4항


35정보주체의열람,정정·삭제,처리정지요구의거부시해당사실을정보주체에게알리지않은경우

제35조3,4항제36조2,4항제37조3항

1천만원이하과태료 - -

36정보주체의정정·삭제요구를이행하지않고지속적으로개인정보를이용및제공한경우


제30조5항


37정보주체의처리정지요구를이행하지않고지속적으로개인정보를이용및제공한경우


제30조5항


381년마다이용자에게개인정보처리이용내역을알리지않은경우

- -제30조의21항


안

전

조

치

39 안전성확보조치를따르지않은경우 제29조 3천만원이하과태료 제28조 3천만원이하과태료

40안전성확보조치를따르지않아개인정보가분실,도난,유출등경우



41악성프로그램을전달또는유포하는경우

- -제48조2항


42정당한접근권한없이정보통신망에침입하는행위

- -제48조1항


유출대응

43개인정보유출사실을정보주체에게통지하지않은경우

제34조1항 3천만원이하과태료 - -


유

출

대

응

44개인정보유출이후사후조치결과를상위기관에신고하지않은경우

제34조3항 3천만원이하과태료제27조의31항


45업무상알게된개인정보를제공하거나제공받은경우

제59조2호5년이하의징역또는5천만원이하의벌금

제28조의22항


46타인의개인정보를훼손,위조,유출등경우


제28조의21항


47부정한수단이나방법으로개인정보를취득하거나제공받은자



48직무상알게된비밀을누설또는목적외이용한경우



관

리

체

계

49개인정보처리방침을수립·공개하지않은경우

제30조1,2항 1천만원이하과태료제27조의21항


50개인정보보호책임자를지정하지않은경우

제31조1항 1천만원이하과태료제27조의21항


51정보보호최고책임자의지정사항을신고하지않은경우

- -제45조의


불

법

스

팸

52사전수신동의없이광고성정보를전송한경우

- -제50조제1항


53수신거부및수신동의철회후광고성정보를전송한경우

- -제50조제2항


54야간시간에별도의동의를받지않고광고성정보를전송한경우

- -제50조제3항


55표기의무사항을준수하지않고광고성정보를전송한경우

- -제50조제4항


56수신거부및수신동의철회방법을비용이발생하지않는방법으로제공하지않은경우

- -제50조제6항


57사전수신동의없이광고성정보를게시한경우

- -제50조의


58법에서금지하는재화및서비스에대한광고성정보를전송한경우

- -제50조의

8

1년이하의징역또는

1천만원이하의벌금

발행일 :2018년11월

발행처 :한국인터넷진흥원|www.kisa.or.kr

주 소 :경기도성남시수정구대왕판교로 815

판교테크노벨리기업지원허브혁신기술존4층493-1(KISA경기정보보호지원센터)

전 화 :031)698-4705

디자인 및 인쇄 :(사)한국장애인상생복지회

02)2644-2911

정보보호 가이드라인 창업초기기업을 위한

Security Guide for Start-up

정보보호 가이드라인 Security Guide for Start-up

창업초기기업을 위한

창업초기기업을 위한 정보보호 가이드라인 - kisaÜÜÜ 02 창업 프로세스별...

Documents