Professional Documents
Culture Documents
특화2. (KISA) 2020 정보통신서비스 제공 사업자 대상 개인정보보호 특화 교육 - 중소 사업자
특화2. (KISA) 2020 정보통신서비스 제공 사업자 대상 개인정보보호 특화 교육 - 중소 사업자
정보통신서비스 제공 사업자 대상
개인정보신고 사례를
통해살펴보는
사업자를위한개인정보
Case study!
정보통신서비스제공 사업자 대상
개인정보 Case study!
I 개인정보 침해 신고 및 상담 접수 개요
CONTENTS
Ⅲ 개인정보 유출 신고 현황 및 원인
Ⅳ 해킹 유형별 침해 사례 및 대응 방안
I
개인정보 침해 신고 및 상담 접수 개요
정보통신서비스 제공 사업자 대상 개인정보 Case study!
1 개인정보침해 신고센터 소개
정보통신서비스 제공 사업자 대상 개인정보 Case study!
개인정보침해 신고센터 설립 근거 및 조사 권한
신고·상담 신청 대상
신고·상담 신청 방법
전화 국번없이 118
전자우편 118@kisa.or.kr
개인정보침해 신고 및 상담 접수
Q Questions
온라인쇼핑사이트에서 SNS를 통한
이벤트를 진행하는데 이용자의 이름,
이벤트 참여시 개인정보를 수집한다면
반드시 개인정보 수집·이용에 대한
A
이메일 등을 요구하는데 개인정보 수집에
동의를 받아야 합니다.
대한 어떠한 동의절차가 없어도 되나요?
Answers
개인정보 보호법
Q Questions
A
수집과 개인정보 제공 및 처리 위탁의 내용에 수집·이용에 대한 동의와 구분하여
대해 한꺼번에 동의를 요구합니다. 받아야 합니다.
Answers
개인정보 보호법
결혼사진업체의 홍보 목적 고객 결혼사진 이용
Q Questions
A
호의로 승낙을 하였으나 실명까지 공개할 거라 또한 정보통신서비스 제공자는 이용자의
생각하지 못해서 게시글의 삭제를 요청하였으나 삭제 요구에 신속하게 조치를 하여야 합니다.
업체에서 삭제를 하지 않습니다.
Answers
개인정보 보호법
Q Questions
A
이렇게 홍보문자를 보낼 수 있는 건가요? 받아야 합니다.
Answers
개인정보 보호법
Q Questions
초등학교 앞에서 지나가는 초등학생을
대상으로 사탕을 주며 학생들의 이름, 학년,
부모의 휴대전화 번호를 동의 없이 수집하고,
만 14세 미만 아동의 개인정보를
수집·이용하는 경우에는 부모 등의
A
다음날 부모들에게 허락 없이 홍보 문자를 법정대리인의 동의를 받아야 합니다.
보냈습니다.
Answers
개인정보 보호법
Q Questions
A
되었습니다. 등록 신청자들의 주민등록번호
등의 보호조치를 하여야 합니다.
등의 개인정보를 볼 수 있습니다.
Answers
개인정보 보호법
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등
대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
홈페이지 증명서 발급 시 타인 정보 노출
Q Questions
○○공사 홈페이지에서 증명서 발급 시 해당
증명서 미리보기 화면에서 새로고침을
하면 다른 사람의 증명서(성명, 주소,
정보주체의 개인정보가 조회 가능한 페이지는
이용자 본인만 확인할 수 있도록
A
인증정보 확인 등의 방법으로
주민등록번호 앞자리, 증명내용 등 포함)가
접근 통제를 하여야 합니다.
보입니다.
Answers
개인정보 보호법
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등
대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
다수인에게 서비스 홍보 단체 메일 발송
Q Questions
A
4,000여명 정도이고, 이메일 주소가 모두 보여 전자우편주소가 공개되는 경우 개인정보
집니다. 유출에 해당될 수 있습니다.
Answers
개인정보 보호법
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등
대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
개인정보 확인 시 보호조치 미흡
Q Questions
마라톤 대회 홈페이지에서 참가 관련 물품
배송조회를 확인하는 경우 이름만 입력하면
집주소와 휴대전화번호를 볼 수 있습니다.
참여자의 경기 물품 배송 조회 정보를
확인하기 위해서는 별도의 인증절차나 조회
되는 개인정보 일부의 마스킹 처리 등을 통해
A
같이 참가하는 동료의 이름으로 검색하니 타인이 개인정보를 확인할 수 없도록
동명이인의 전화번호와 주소를 확인할 수 있습니다. 하여야 합니다.
Answers
개인정보 보호법
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등
대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
참가자 중 동명이인이 있거나 의도적으로 타인의 성명으로 물품 배송 조회를 한다면 타인의 집주소와
사업자 휴대전화번호를 홈페이지를 통해 조회할 수 있으므로 개인정보 침해의 우려가 발생될 수 있습니다.
! 조치요령
따라서 열람 가능한 정보주체의 개인정보 항목을 조회의 목적을 달성할 수 있을 정도로 일부 마스킹
처리하여 보여 주거나 별도 인증절차(예로, 배송 조회 확인을 위한 비밀번호 설정 등)를 마련하는
것이 바람직할 것입니다.
3 개인정보 파기
정보통신서비스 제공 사업자 대상 개인정보 Case study!
호텔 고객 정보 문서 무단 방치
Q Questions
A
있습니다. 문서에는 호텔 투숙객 이름,
복구 또는 재생되지 않는 방법으로
전화번호, 투숙내역 등이 포함되어 있습니다. 파기하여야 합니다.
Answers
개인정보 보호법
Q Questions
SNS소셜 로그인을 통해 몇 년 전에 이용하고
최근 2년 이상 이용하지 않은 온라인
사이트에서 ‘개인정보 이용내역 통지’를
1년의 기간 동안 이용하지 않은 경우 즉시
파기하거나 개인정보를 분리하여 별도로
저장·관리하여야 하고, 법률에 특별한
메일로 보냈습니다.
A
규정이 있는 경우를 제외하고는 해당 개인
1년 이상 서비스를 이용하지 않으면 정보를 이용하여서는 안 됩니다.
개인정보를 파기하여야 하는 거 아닌가요?
Answers
개인정보 보호법
자기게시물에 대한 접근배제 요청
Q Questions
A
당했고, 저는 회원탈퇴와 제 개인정보가 포함된
있습니다.
게시글 삭제를 요청하였으나 거절당했습니다.
Answers
• (이용자) 우선 이용자 본인이 직접 해당 게시물을 삭제할 수 있는지 시도한 후 직접 삭제가 어려운 경우, 사업자에게
자기게시물의 접근배제 요청
요청 시 제출자료 : 접근배제 게시물의 위치자료(URL) 요청인 자신의 게시사실 입증자료, 접근배제 사유
• (사업자) (게시판 관리자) 요청인이 제출한 입증자료를 종합적으로 고려하여 해당 게시물에 대한 블라인드 처리방법으로
지체업이 접근배제 조치 실시
Q Questions
가상통화취급업소에 회원가입 후 개인적인
사정이 생겨 회원탈퇴를 하려고 하는데 회원
가입 시에 요구하지 않았던 신분증 사진과
회원탈퇴 방법은 회원가입 방법보다
A
쉽게 하여야 합니다.
신분증을 들고 얼굴이 보이는 사진을
요구합니다.
Answers
개인정보 보호법
제39조의7(이용자의 권리 등에 대한 특례)
① 이용자는 정보통신서비스 제공자 등에 대하여 언제든지 개인정보 수집〮이용〮제공 등의 동의를 철회할 수 있다.
② 정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는
방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
모바일앱에서 회원 탈퇴
Q Questions
A
쉽게 하여야 합니다.
회원탈퇴 기능이 없네요.
Answers
개인정보 보호법
제39조의7(이용자의 권리 등에 대한 특례)
① 이용자는 정보통신서비스 제공자 등에 대하여 언제든지 개인정보 수집〮이용〮제공 등의 동의를 철회할 수 있다.
② 정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는
방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
티켓 불법 예매 확인을 위한 신분증 사본 요구
Q Questions
온라인 티켓 예매 사이트에서 불법 예매가 의심되니
신분증과 아이디, 전화번호, 주소 등의 개인정보를
소명하고 그렇지 않으면 티켓 예매를 취소할 수 밖에
법령상 처리 근거가 없는 한 신분증 사본
제출을 통한 주민등록번호 수집은
A
없다는 문자를 받았습니다. 요구하는 개인정보의 수집
목적을 문의하였으나 알려 줄 수 없다는 답변을 하네요.
허용되지 않습니다
과도한 정보 수집 아닌가요?
Answers
개인정보 보호법
개인정보처리방침 공개 의무
Q Questions
보험 비교사이트에서 회원 가입을 하려고
개인정보처리방침을 살펴 보았는데 방침이 이상합니다.
개인정보 보유기간 등의 특정 기간, 연락처 등의 숫자가
개인정보처리방침은 알기 쉬운 용어로
구체적이고 명확하게 표현하여
A
표시되어야 하는 부분이 ‘0년’, ‘0개월’ 등으로 표시되어
있습니다. 개인정보처리방침을 제대로 공개했다고 볼 수
공개하여야 합니다.
있나요?
Answers
개인정보 보호법
개인정보취급자의 개인정보 누설
Q Questions
모르는 분이 전화가 와 본인이 제 변경 전 번호를 사용하는데
여러 곳에서 전화가 온다고 저의 변경 전 번호를 현재 번호로
변경해 달라고 요청하였습니다.
개인정보를 처리하는 자는 직무상 알게 된
개인정보를 다른 사람에게 알려줘서는
A
어떻게 제 번호를 알았냐고 묻자 지인이 통신사 대리점에서
근무하는데 그 분에게 연락처를 받았다고 하네요.
안 됩니다.
대리점 직원이 사적인 이유로 정보를 알려줘도 되나요?
Answers
개인정보 보호법
제59조(금지행위)
개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
② 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
Q Questions
기업 개인정보보호 담당자인데 경찰로부터 우리 회사
고객 개인정보가 해킹 당해 조사 중이라는 연락을
받았습니다.
개인정보가 유출되었음을 알게 되었을 때 해당
이용자에게 유출 관련 사실을 알리고, 일정 규모
이상의 개인정보가 유출된 경우라면 관계기관에
A
개인정보가 유출된 경우 업체는 해킹 대상 정보의 신고하여야 하며, 그 피해를 최소화하기 위한
고객에게 어떤 조치를 취해야 하나요? 대책을 마련하고 필요한 조치를 하여야 합니다.
Answers
개인정보 보호법
사업자
!
개인정보의 유출 사실을 안 때에는 24시간 내 이용자에게 통지하고, 유출된 개인정보의 이용자 수를
조치요령 불문하고 개인정보보호위원회 또는 한국인터넷진흥원에 신고하여야 합니다.
Ⅲ
개인정보 유출 신고 현황 및 원인
정보통신서비스 제공 사업자 대상 개인정보 Case study!
1 개인정보 유출 신고 현황
정보통신서비스 제공 사업자 대상 개인정보 Case study!
233건
140건
64건
31건 40건
13건 25건
유출 유형별 원인
4)관리자부주의,
1) 웹쉘 업로드, 파라미터 변조, 지능지속형
9.50% 5)기타, 2%
공격, SQL 인젝션 등 해킹
3)내부직원 유출,
1.60% 2) 인트라넷 게시글이 구글 검색엔진에 노출,
2)시스템 오류, 접근통제 등 보안조치 미흡 등
6.90%
3) 퇴사 시 USB로 다운로드, 흥신소를 통한
판매, 지인에게 무단 제공 등
1)외부공격, 80%
4) 이메일 오발송, 처방전 등 개인정보가 담긴
서류 방치 등
5) 관련 로그 등이 없어 원인 확인 불가 등
지능형 지속 공격(APT)란?
개인정보
유출
해커 직원A 파일공유 서버 직원B DB 서버
(DBA)
1 지능형 지속 공격
정보통신서비스 제공 사업자 대상 개인정보 Case study!
대응방안
중앙관리 시스템이란?
중앙관리서버 Agent
인증우회 SW 취약점
계정 탈취 설정 오류
인증서 유출 인증절차 미흡
2 중앙관리 시스템 침입
정보통신서비스 제공 사업자 대상 개인정보 Case study!
✓ 외부 인터넷망에서 접속이 가능한 DMZ 영역에 위치한 중앙관리 서버의 PC 자산관리 솔루션의 관리자
계정을 이용하여 접속(관리자 계정 유출 경위 파악 불가)
✓ - 해커는 자신이 이용할 별도의 관리자 계정 생성
✓ - PC 자산관리 솔루션 사용자 관리 메뉴의 일반 배포 기능을 이용하여 업무용 PC 및 서버에
원격제어 악성코드를 유포 → 28대 악성코드 감염
✓ - DB 운영 및 관리업무를 담당하는 개발자 PC에 악성코드 설치
✓ - 윈도우 계정의 비밀번호를 탈취할 수 있는 mimikatz를 이용하여 개발자 PC 비밀번호 등 수집
✓ - 서버접근제어 프로그램을 통해 개발자의 권한 범위 내에 있는 DB서버에 접속하여 개인정보를
외부로 유출
2 중앙관리 시스템 침입
정보통신서비스 제공 사업자 대상 개인정보 Case study!
대응방안
조작된 Request
조작된 SQL 실행
Response
공격자 웹서버 DB 서버
✓ 파급효과
✓ 데이터베이스 정보 노출
✓ 데이터 삽입, 삭제 및 변경
✓ 데이터베이스 서비스 중지
✓ 사용자 인증 우회 등
3 SQL Injection
정보통신서비스 제공 사업자 대상 개인정보 Case study!
대응방안
세션 ID 개요
✓ 정의
✓ - 웹 통신 환경에서 사용자와 서버 간의 통신을 위한 논리적 연결로,
✓ - 사이트 접속 또는 로그인 시 사용자만의 고유 세션값이 할당되어 사용자 인증 및 구분
✓ - 세션 ID를 이용한 인증방식을 사용하는 경우, 세션 ID 유출 시 공격자가 사용자 권한 획득
JSESSIONID=F09101010101220
사용자
웹서버
동일한
세션 허용
JSESSIONID=F09101010101220
공격자
4 세션 ID 탈취
정보통신서비스 제공 사업자 대상 개인정보 Case study!
대응방안
파라미터(매개변수)
공격자
대응방안
사전 대입 공격
사전 대입 공격에 의한 개인정보 유출 사례
대응방안
✓ 웹 방화벽에서의 대응
✓ 특정 시간 내 특정 IP에서 동일한 웹 요청이 반복되지 않도록 시간 제한 설정
✓ 자동화 공격에 의한 시스템 과부하를 방지하기 위해 다량의 패킷 유입 시 접속 차단 권장
✓ 웹 어플리케이션 소스 코드 시큐어 코딩 적용
✓ 동일한 아이디로 로그인 시도 시 로그인 시도 횟수를 저장하여 횟수를 증가시키고,
✓ 일정 횟수 이상이 되면 자동화 공격으로 인식하여 로그인을 할 수 없도록 차단
✓ → CAPCHA나 시간 지연 등 사업자 환경에 맞는 정책 적용
7 웹쉘 업로드
정보통신서비스 제공 사업자 대상 개인정보 Case study!
웹쉘(Web Shell)
✓ 원격에서 웹서버에 명령을 수행할 수 있도록 작성한 스크립트(asp, php, jsp, cgi…)
✓ 웹서버에 명령을 실행해 관리자 권한을 획득
✓ 웹 소스코드 수정, 서버내 자료의 유출, 백도어 프로그램의 설치 등 다양한 공격
✓ 웹쉘의 업로드 경로
✓ 웹사이트 게시판의 파일 업로드 취약점
✓ 웹에디터의 이미지 업로드 취약점
✓ HTTP 1.1 취약점(PUT)
✓ SQL Injection, XSS 등
웹서버
필터링 미흡
웹쉘 Upload
웹쉘 실행
공격자
7 웹쉘 업로드
정보통신서비스 제공 사업자 대상 개인정보 Case study!
대응방안
지역정보보호센터 지원 요청
정보보호 시스템 관리
개인정보보호 관련 참고자료