개인정보 처리 시스템에서의 공유폴더 설정 사용 여부 - 개인정보보호법

 

 

개인정보가 포함되어 있는 시스템의 경우에는 공유폴더를 생성하여 사용하지 않아야 합니다.

 

다만, 정말 업무상 필요한 경우에는 권한 분리를 확실히 하여 권한이 있는 계정만 접근이 될 수 있도록 조치되어야 하며, 권한이 없는 계정에 공개되거나 유출되지 않도록 접근 통제가 필요합니다.

업무상 필요한 경우라 할지라도 공유폴더를 통해 개인정보가 포함되어 있는 파일이 공유폴더를 통해 전송되지 않도록 유의를 해야 합니다.


관련법령

개인정보의 안전성 확보조치 기준 - 제6조 (접근통제)

(제3항) 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인 정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.  

● 개인정보처리자는 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 P2P, 공유설정은 기본적으로 사용하지 않는 것이 원칙이나, 업무상 반드시 필요한 경우에는 권한 설정 등의 조치를 통해 권한이 있는 자만 접근할 수 있도록 설정하여 개인정보가 열람권한이 없는 자에게 공개되거나 유출되지 않도록 접근 통제 등에 관한 안전조치를 하여야 한다. 

- 업무상 꼭 필요한 경우라도 드라이브 전체 또는 불필요한 폴더가 공유되지 않도록 조치하고, 공유폴더에 개인정보 파일이 포함되지 않도록 정기적으로 점검이 필요하다.  


공유폴더 - SAMBA

공유폴더는 SAMBA라는 프로토콜을 통해 전송되는데, (이하 SMB) 이 SMB 프로토콜은 취약점이 자주 발생하기 때문에 사용하지 않는 것을 권장하며, 개인정보처리시스템과의 파일 전송은 sFTP를 통한 파일 전송을 권장합니다.

가장 널리 알려진 것으로는 워너크라이 (Wanna Cry)같은 랜섬웨어가 SMB의 취약점(SMBv2원격코드 취약점)을 통해 전파가 되는 경우로, 감염이 되면 감염된 컴퓨터에 연결되어 있는 네트워크 폴더, 쉽게 말해 연결 가능한 모든 공유폴더에 접근하여 파일을 암호화 시켜 버립니다. 기업 같은 경우 공유폴더를 많이 사용하고 있기 때문에 한명의 PC가 감염되더라도 치명적일 수 있습니다.





개인정보 국외 이전 관련 법령 | 정보통신망법 | 개인정보 국외 반출 / 해외 반출


클라우드 플랫폼이 활성화 되면서, 또한 외국계 기업의 한국 진출이 늘어나면서 개인정보가 국외로 이전되는 경우가 심심치 않게 발생하고 있다. 특히 AWS나 MS AZURE 등의 Cloud 기반 서비스가 늘어나면서 자연스럽게 고객 정보가 해외로 반출되는 경우도 많이 발생하고 있다. 국내에도 클라우드 데이터 센터가 있다고는 하지만 아직 모든 서비스가 제공되지 않아 MS Azure 같은 경우에는 서비스에 따라 일본이나 싱가포르에서 서비스 되는 경우도 있다. 


개인정보가 국외로 반출/이전되는 경우 해당 정보 주체 (예를 들어 고객정보인 경우 고객 당사자)에게 '당신의 어떠한 정보가 어떠한 목적으로 인하여 어느나라에 이전되었다'라는 내용을 고지 및 동의를 받아야 한다. 경우에 따라 고지가 필요하지 않는 예외의 경우도 있지만 어느 법령을 근거로 하여 고지 및 동의를 받아야 하는지를 보려고 한다.


정보통신망법 제63조(국외 이전 개인정보의 보호)

① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다.

② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.<개정 2016.3.22.>

③ 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 이전일시 및 이전방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

④ 정보통신서비스 제공자등은 제2항에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.

[전문개정 2008.6.13.]


일단 기본적으로는 해외 이전이 되면 이용자에게 고지 및 동의를 받아야 하지만 2항에 보면 '이용자 편의 증진 등을 위하여' 라는 내용으로 보면 경우에 따라 이용자에게 알린 경우에는 동의 절차를 거치지 않을 수 있다고 되어있다. (이 부분은 잘 해석을 해야 할 것 같다.)

클라우드 서비스를 도입 예정이라면 개인정보에 대하여 꼭 고려를 해야 하며 또한 KISA에서도 아래 첨부파일과 같은 클라우드 사용 시 기업에서 확인해야 하는 개인정보보호 수칙을 안내하고 있으니 참고하면 좋을 것 같다.








개인정보 수집 및 이용 동의서 - 수집 항목 구체적 명시



개인정보에 대하여 중요하게 여겨지는 요즘, 정말 많은 곳에서 개인정보 수집 및 이용에 대한 동의서를 작성받게 됩니다. 수집을 일단 하고 이용을 하게 되는데 개인정보 수집 최소화 가이드라인에는 동의서에 개인정보 수집 항목을 구체적으로 명시해야 하도록 안내되고 있습니다.


예를 들어 보도록 하겠습니다. 보통 마케팅 동의에 대한 개인정보 수집 동의를 받을 경우 필수가 아닌 선택으로 수집되게 됩니다. 동의서에 보면 수집되는 개인정보 항목에 이름, 전화번호, 이메일 등 이라고 되어 있는 경우가 종종 있는데요, 이렇게 '~등' 이라고 포괄적으로 명시가 되는 것이 아닌, 수집되는 모든 개인정보 항목을 고지해야 합니다. 


필수는 아니지만, 가이드라인에 그렇게 명시가 되어있으니 개인정보 수집 및 이용 동의서 작성 시 참고가 되면 좋겠습니다.





[개인정보 수집 항목을 포괄적으로 고지한 사례]


- 개인정보 수집, 이용 동의

xxxx는 "개인정보 보호법"에 따라 본인의 동의를 얻어 맞춤형 광고, 이벤트, 타깃 마케팅 서비스 제공을 위한 개인정보를 수집, 이용합니다.


1. 개인정보 수집 목적: 맞춤서비스, 이벤트, 타깃 마케팅

2. 개인정보 수집 항목: 휴대전화번호, 쿠키, 이메일

3. 보유 및 이용기간: 회원탈퇴시


* 귀하는 개인정보 수집 동의를 거부할 권리가 있으며, 거부에 따른 불이익은 없습니다.

위 개인정보 수집, 이용에 동의합니다. (선택)     동의함  /  동의하지 않음









ESP (Enterprise Security Planning) | 전사적 정보보안 계획


ESP란, Enterprise Security Planning의 약자로 전사적 정보보안 계획 혹은 전사적 통합보안관리 시스템이라는 의미를 가진다.
관리자는 보안지침을 등록하고 등록한 보안지침을 기준으로 운영중인, 도입 예정인 시스템의 보안 수준을 점검한다. 그리고 그 점검 결과 및 이력, 통계, 증적을 관리하고 비즈니스의 핵심 가치에 보안적인 측면에서 기여할 수 있도록 정보보안 프로세스를 통합하여 관리할 수 있다.

IT, Security, CCAMI, ESP, Enterprise Security Planning, 정보보안, 정보, 보안, 전사적 정보보안 계획, 전사적 통합보안관리 시스템, 보안 의식, 정보보안 투자, 전사 차원 정보보안 전략 실행, 비즈니스, 까미, 개인정보


ESP의 목표와 역할은 아래와 같다.

- 효율적인 정보보안 투자 (중복 방지)

- 전사 차원의 정보보안 전략 실행

- 정보보안의 비즈니스 기여에 대한 투명성 확보

- 개인정보 등 비즈니스 정보의 Life Cycle 관리

- 정보보안 활동의 자동화 및 이력관리

- 외부 규제 대응

- 정보보안 자원의 현황 파악 및 효율적 투입, 활용

- IT 자산의 효과적인 보안관리 및 통제



  1. 2017.12.05 16:45

    비밀댓글입니다




개인정보 보호법 | 개인정보 보호법 시행령 - 2017년 7월 




보안에 대한 이슈가 계속 발생하면서 개인정보 보호법도 계속해서 개정되고 있다. 대부분 발생하는 보안 사고가 개인정보 유출에 대한 사고가 많기 때문이다.


찾으려면 항상 국가법령정보센터 (Link - 바로가기) 를 접속해서 찾아야 해서 번거롭기 때문에 다운로드를 받아 업로드 해 놓는다.

개인정보 보호법은 공개된 자료이며 hwp, pdf, doc 형태로 다운로드도 제공하고 있다. 다만 개정이 자주 되기 때문에 종종 국가법령정보센터에 접속하여 업데이트 된 문서를 확인하는 것이 좋다.


* update : 행자부 의무신고대상인 대형유출사고 범위를 기존1만명 이상에서 1천명 이상 유출사고로 확대



개인정보 보호법 시행령_170330.pdf

개인정보 보호법_171019.pdf



국민카드, 농협카드, 롯데카드사의 개인정보가 유출되었다.


유출된 경로는 내가 알고 있는게 확실치 않지만

카드사의 보안을 담당한 하청업체의 직원에 의하여 USB 복사로 인해 유출된 것이라고 알고 있다.


모든 개인정보가 담겨있는 중요한 정보를, 그것도 돈하고 가장 관련이 많은 곳이

보안을 하청업체에다가 맡기다니...


이러니 우리나라 IT 업계가 그지같은거다.

좀 돈을 써야할 곳에다가는 자체 보안팀을 운영을 해서 제대로 보안을 해야지

전 고객의 개인정보가 담겨있는 PC를(서버를) 하청업체에 맡기다니...






최대 19개의 항목까지 유출되었다고 하고 보통 10가지 항목

(성명, 이메일, 휴대전화, 직장전화, 자택전화, 주민번호, 자택주소, 주거상황, 결제계좌, 결제일)

이 유출되었다고 한다.


금융권에서는 원본파일을 압수했고 추가 유통되지 않았다고 하지만,


디지털 파일은 얼마든지 변조, 복조가 가능하다.


라는 말이 있다.



추가 유통되지 않았다는 것이 확인이 되는 기술이 있다면

추가 유통되지 않았다고 속일수 있는 기술도 분명 있을 것이다.


그리고 이미 갑자기 스팸메세지가 오기 시작하였다.




같은 내용과 같은 번호로 두번이나 오다니..

4년 넘게 사용한 번호지만 여태까지 스팸메세지, 전화도 오지 않는다.



이로인한 2차 피해로는,


벌써 신종 스미싱, 피싱 메세지가 돌고 있다고 한다.

카드사임을 사칭하여 '개인정보 유출 조회'를 링크로 연결시켜서 누르면 소액결제가 되는 방식이다.


대단한 사람들이다. 머리도 좋다. 참...



그러나 카드사는 반응이 약하다.



계좌번호를 바꾸어 피해를 예방할 수 있는데,

계좌번호를 바꾸면 자동이체라던지 카드번호가 바뀌니까 고객들이 불편할거란다.


그러니까 신청하는 사람에 한해서만 바꿔주겠다.

너네가 털린것 때문에 은행까지 가서 직접 바꿔야 한다... (아...)



그럼 유출된 휴대전화 번호는? 집주소는? ㅋㅋㅋㅋㅋㅋㅋㅋ











+ Recent posts