개인정보 처리 시스템에서의 공유폴더 설정 사용 여부 - 개인정보보호법

 

 

개인정보가 포함되어 있는 시스템의 경우에는 공유폴더를 생성하여 사용하지 않아야 합니다.

 

다만, 정말 업무상 필요한 경우에는 권한 분리를 확실히 하여 권한이 있는 계정만 접근이 될 수 있도록 조치되어야 하며, 권한이 없는 계정에 공개되거나 유출되지 않도록 접근 통제가 필요합니다.

업무상 필요한 경우라 할지라도 공유폴더를 통해 개인정보가 포함되어 있는 파일이 공유폴더를 통해 전송되지 않도록 유의를 해야 합니다.


관련법령

개인정보의 안전성 확보조치 기준 - 제6조 (접근통제)

(제3항) 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인 정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.  

● 개인정보처리자는 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 P2P, 공유설정은 기본적으로 사용하지 않는 것이 원칙이나, 업무상 반드시 필요한 경우에는 권한 설정 등의 조치를 통해 권한이 있는 자만 접근할 수 있도록 설정하여 개인정보가 열람권한이 없는 자에게 공개되거나 유출되지 않도록 접근 통제 등에 관한 안전조치를 하여야 한다. 

- 업무상 꼭 필요한 경우라도 드라이브 전체 또는 불필요한 폴더가 공유되지 않도록 조치하고, 공유폴더에 개인정보 파일이 포함되지 않도록 정기적으로 점검이 필요하다.  


공유폴더 - SAMBA

공유폴더는 SAMBA라는 프로토콜을 통해 전송되는데, (이하 SMB) 이 SMB 프로토콜은 취약점이 자주 발생하기 때문에 사용하지 않는 것을 권장하며, 개인정보처리시스템과의 파일 전송은 sFTP를 통한 파일 전송을 권장합니다.

가장 널리 알려진 것으로는 워너크라이 (Wanna Cry)같은 랜섬웨어가 SMB의 취약점(SMBv2원격코드 취약점)을 통해 전파가 되는 경우로, 감염이 되면 감염된 컴퓨터에 연결되어 있는 네트워크 폴더, 쉽게 말해 연결 가능한 모든 공유폴더에 접근하여 파일을 암호화 시켜 버립니다. 기업 같은 경우 공유폴더를 많이 사용하고 있기 때문에 한명의 PC가 감염되더라도 치명적일 수 있습니다.





2차인증, 추가인증 관련 법령 | 개인정보보호법 | 전자금융감독규정


개인정보 보호에 대한 법률 규정이 강화되면서 2차인증 (추가인증)에 대한 부분은 거의 필수가 되어 가고 있는 것 같습니다. 금융권 같은 경우에는 진작부터 전자금융감독규정에서 더 강하게 규정하고 있어서 많이 적용되어 있지만 그와 비교해서 비 금융권은 조금 약한 편입니다. 많이 강화되가고 있는 중인 것 같습니다.

그럼 먼저, 국내 법령에서 2차인증 관련하여 어떤 법령이 있는지, 또한 법령을 어떻게 해석하느냐에 따라서 어떻게 적용을 해야 하는지도 있는데 그것도 한번 간단하게 (개인적인 사견으로) 보도록 하겠습니다.


먼저, 개인정보보호법에서 요구하는 2차인증 관련하여서는 아래 법령이 있습니다.

개인정보 보호법 제4조 (접근통제)

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.

<해설>

인터넷 구간 등 외부로부터 개인정보처리시스템에 접속은 원칙적으로 차단하여야 하나, 정보통신서비스 제공자 등의 업무 특성 또는 필요에 의해 개인정보취급자가 노트북, 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통해 개인정보처리 시스템에 접속이 필요할 때에는 안전한 인증수단을 적용하여야 한다.

- 안전한 인증 수단의 적용 : 개인정보처리시스템에 사용자계정과 비밀번호를 입력하여 정당한 개인정보취급자 여부를 식별․인증하는 절차 이외에 추가적인 인증 수단의 적용을 말한다.

안전한 인증 수단을 적용할 때에도 보안성 강화를 위하여 VPN, 전용선 등 안전한 접속수단의 적용을 권고한다.

법령을 살펴보자면, [개인정보취급자가 정보통신망을 통해 ‘외부에서’ 개인정보처리시스템에 접속]이기 때문에 만약 내부에서 접속을 하는 경우에는 꼭 추가적인 인증을 하지 않아도 된다는 의미이지만 요즘 대부분 내부이던 외부이던 개인정보처리시스템에 접속을 하는 경우에는 거의 약간 안전빵으로 추가인증을 적용하는 추세인 것 같습니다.


개인정보의 안전성 확보조치 기준 제 5조 (접근 권한의 관리) (6항)

개인정보처리자는 개인정보처리시스템에 권한 없는 자의 비정상적인 접근을 방지하기 위하여 계정 정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우에는 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.

- 계정정보 또는 비밀번호를 일정 횟수(예: 5회) 이상 잘못 입력한 경우 사용자계정 잠금 등의 조치를 취하거나 계정정보·비밀번호 입력과 동시에 추가적인 인증수단(공인인증서, OTP 등)을 적용하여 정당한 접근 권한자임을 확인하는 등의 조치를 취하는 것을 말한다.

또한 하위 법령인 개인정보 안전성 확보조치 기준에서는 안전한 접근 통제를 위하여 비밀번호를 일정 횟수 이상 틀리면 계정을 잠그거나 접속 시 추가 인증을 적용하라고 되어 있습니다. 

특히 [개인정보처리자는 개인정보처리시스템에 ~ 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.] 이기 때문에 결국 개인정보처리시스템에 접속을 하여 개인정보를 처리 하면 조금 크게 해석하면 역시 안전빵으로 추가인증을 적용하는 것이 안전하다고 생각됩니다.


여기에 추가적으로, 금융권은 전자금융감독규정을 적용받는데 여기서는 한층 더 까다로운 조건이 있습니다.

전자금융감독규정 제 14조 (정보처리시스템 보호대책)

9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것 

<해설>

정보처리시스템의 운영체제 계정에 대한 보안강화를 위하여 로그인시 계정 및 비밀 번호 이외의 별도의 안전한 추가인증 절차를 반드시 시행하고, 운영체제 계정의 작업 수행에 대한 이상 징후 발생 시 필요한 통제 조치가 즉시 시행될 수 있도록 모니터링 체계수립(제9호, 제10호)

[정보처리시스템의 ‘운영체제’ 계정에 대한 보안강화]이기 때문에 예를들어 IT Administrator가 정보처리시스템에 원격데스크탑으로 접속을 하는 경우도 2차인증을 적용해야 한다고 나와 있습니다. 조금 더 까다롭죠.


2차인증, 추가인증 관련하여 찾아본 관련 법령은 이 정도가 될 것 같습니다. 추가적으로 다른 법령이 있을지는 모르겠지만... 위 정도면 충분하지 않을까 싶네요.

+ Recent posts