A. 내부정보 유출방지를 위한 자가수준진단 및 준수사항
1. 정보유출사고 현실
부동의 1위 악성코드 유형은 금융정보 유출
한국인터넷진흥원이 발표한 '월간 악성코드 은닉사이트 탐지 동향 보고서 5월에 따르면' 악성코드 유형으로는 정보유출 (금융정보)이 68%로 가장 높게 나타났다. 악성코드 유포에 악용된 SW 취약점은 Java Applet 취약점이 38%의 비율로 가장 높게 나타났으며, 이외에도 Adobe Flash Player 취약점, MS OLE 취약점 취약점 등의 순으로 나타났다.
2. 사이버 보안위협의 진화
해커의 능력 과시형을 넘어 금전적 목적의 해킹 그리고 국가 차원의 위협이 되는 해킹으로 변화
2-1. 최근 침해사고 특징
지능형 지속공격(APT)으로 기업대상 침해사고 발생
DDoS 공격은 과거부터 지금까지 지속적으로 발생하나 공격목적은 변화됨
인기 키워드, 사회이슈등을 악용해 악성코드 유포증가
공공기관 사칭 피싱사이트 증가
대규모 개인정보 유출사고 지속 발생
2-2. 침해사고 경로
스팸메일, 프리서버, SNS, 네트워크, 웹사이트, 업데이트 서버, 피싱, 이동형 저장장치, 불법 프로그램, OS/프로그램 취약점 등등 다양한 경로를 통해 침해사고가 발생할 가능성이 존재
3. 정보보호와 개인정보보호
3-1. 각 용어별 의미
- 침해사고 : 정보통신망이나 관련 정보시스템에 해킹, 서비스거부 등으로 발생한 사태
- 정보보안 : 침해로부터 자산을 보호하기 위한 일체의 행위
- 정보보호 : 자산으로서의 정보를 내부&외부 위협으로부터 보호
- 개인정보보호 : 개인 사생활 및 개인정보 자기 결정권 보장
3-2. 개인정보의 개념
사전적 정의로는 "개인을식별할 수 있는 생존하는 자연인에 관한 일체의 정보"
사회적 정보 | 교육정보 근로정보 자격정보 |
정신적 정보 | 기호, 성향 신념, 사상 |
일반적 정보 | 이름, 주소 가족관계 등 |
재산적 정보 | 개인 금융정보 신용정보 |
통신&위치정보 | 문자내역, IP주소 화상정보, GPS 등의 정보 |
신체적 정보 | 신체정보 의료&건강정보 |
* 해당 정보만으로 특정 개인 식별이 불가하여도 다른 정보와 결합 시 식별이 가능하면 개인정보로 간주함
3-3. 개인신용정보
개인신용정보란 신용정보법 제2조 제2호에 의거해 법률상으로 "개인의 신용도와 신용거래능력 등을 판단할 대 필요한 정보로서 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보"를 의미한다.
신용정보의 예시로는 하기와 같다.
- 특정 신용정보 주체를 식별할수 있는 정보
- 신용정보주체의 거래내용을 판단할 수 있는 정보
- 신용정보주체의 신용도를 판단할 수 있는 정보
- 신용정보주체의 신용거래 능력을 판단할 수 있는 정보
개인신용정보 보호대책 소홀로 인한 개인신용정보 등의 부당이용, 유출행위에 대한 제재를 받을 수 있어 금융회사 등은 전자금융거래가 안전하게 처리될 수 있도록 전자적 전송이나 처리를 위한 인력, 시설등에 관하여 기준에 준수하는 의무를 부담하여야 한다.
3-4. 새로운 개인정보의 등장
개인정보의 범위
- 과거 : 주민등록번호, 운전면허증, 학번, 이름, 연락처 등
- 현재 : 기본적인 신상정보 외 위치정보, 영상정보, 인터넷 접속기록 등
새로운 개인정보 위협
IoT를 통해 사이버 상에서 해킹, 정보유출, 금전피해를 일으키고, 현실에서는 시스템 정지, 생명위협등을 일으킬 수 있다.
[금융보안] 안전한 소프트웨어를 위한 시큐어코딩의 이해 - 시큐어코딩, SQL인젝션, URL파라미터 조작, 보안취약점, 보안약점, COQ절감, 시큐어소프트웨어
[용어/개념] DOI, INDECS - URN 이용한 디지털 위치 추적 기술
[용어/개념] 개인정보보호법 개념, 구성도 및 주요 조항