2011. 6. 26. 00:48ㆍ카테고리 없음
@ 개인정보 기술적, 관리적
보호 조치
1. 법의 구성
A.
헌법 >
법률 > 시행령 > 시행
규칙 > 조례 > 고시
※ 고시의 경우 ‘의무’
B. 상위법에는 중요하고 원칙적인 것만 명시, 하위법에서 세부 사항을 규정함
C.
명확한 개인정보 취급을 위한 기술적, 관리적 조치 기준을 고시
2.
정보통신망법 시행령
대통령령으로 제정,
정보통신망법 상 법률을 시행하는데 필요한 규정
CPPG - 개인정보 기술적 관리적 보호조치
3.
정보통신망법 시행 규칙
총리령 혹은 부령으로 제정
4.
정보통신망법 고시
행정기관에서 단순히 알리는 기능
5. 기준의 법적 성격
A. 지침이나 권고가 아닌, 법률에 의해 반드시 준수해야 하는 의무사항을 구체화
B. 위반할 경우, 법률에 근거한 형사처벌이나 행정처분 부과
i. 형사 처벌 : 징역, 벌금
ii. 행정 처분 : 과태료, 과징금
1.
기준을 따르지 않아 이용자 개인정보 분실, 도난, 누출,
변조, 훼손 시
2년 이하의 징역 또는 1천만 원 이하의 벌금, 매출 1%
과징금(1억 원 이하)
2.
내부 관리 계획 수립/시행하지 않을 경우, 3천만 원 이하의 과태료
CPPG - 개인정보 기술적 관리적 보호조치
6. 정보통신망법의 대상
A. 이용자의 개인정보를 취급하는 정보통신 서비스 제공자 등
i. 정보통신 서비스 제공자
ii. 정보통신 서비스 제공자로부터 개인정보를 제공 받은 자
iii. 정보통신 서비스 제공자가 아니면서, 법의 개인정보보호 규정을 준수해야 하는 준용사업자 (행정안전부 고시 따름)
iv. 개인정보의 수집, 취급 및 관리 등을 위탁 받은 자
i. 다른 법률에서 법의 개인정보보호 규정을 준수하도록 의무화한 자
B. 정보통신망법에서 규정한 민간부분 개인정보보호 법률 적용 범위
ii. 정보통신 서비스 제공자
iii.
22개
업종의 준용사업자
7. 정보통신 서비스 제공자
A. 영리를 목적으로 전기통신사업자의 전기통신 역무를 이용하여, 정보를 제공하거나 정보의 제공을 매개하는 자
i. 기간통신 사업자 : KT, SK 텔레콤, LG U+, SK 브로드 밴드
ii.
별정통신 사업자 :
일부 회선을 빌려 전화 서비스 제공
인터넷 폰,
콜백, 국제전화
iii. 부가통신 사업자 : 인터넷 포털, 쇼핑몰, 블로그, P2P, VAN, 음성 서비스
iv.
영리를 목적으로 전기통신 역무(통신 서비스)를 이용하여 정보를 제공하거나 매개하는 자 (홈페이지 개설, 회원 가입)
8. 준용사업자
A.
전기통신 사업자가 아니고 홈페이지를 운영하지
않더라도, 법의 개인정보보호
규정을 준수하여야 하는 자
B. (온라인/오프라인 통해) 개인정보를 다량으로 보유/취급하는 업종
C.
행정안전부에서 관할 (고시에는 해당하지 않음)
CPPG - 개인정보 기술적 관리적 보호조치
9. 개인정보 관리 책임자
A. CPO (Chief Privacy Officer)
B.
지정 범위는 임원,
부서의 장, 대표자
대표자 :
개인정보 관리 책임자를 지정하지 않은 소규모 사업장
C. 정보통신 제공자의 사업장 내에서 이용자의 개인정보보호 업무를 총괄하거나 업무 처지를 최종 결정하는 임직원
D. 대표이사 CPO 겸임 조건
i. 5인 이하의 사업장
ii.
1일
평균 방문객 1,000명 이하 (직전 3개월 간)
10. 개인정보 취급자
A. 개인정보에 접근할 수 있는 모든 사람 (유출 가능한 자)
B. 개인정보를 개발/테스트 목적으로 변환하여 사용하는 개발자라면 개인정보 취급자가 아님, 변환하는 사람은 취급자 임
C.
효과적인 개인정보 취급자 최소화, 개인정보 접근을 최소화
(시스템 구축/Process 개선)
D.
정보통신 서비스 제공자의 사업장 내에서 이용자의 개인정보를
수집, 보관, 처리,
이용,
제공, 관리, 파기 등 업무를 하는
자
11. 개인정보 처리 시스템
A. 대표적으로 DBMS
B. 개인정보의 보관/처리를 하는 시스템을 포함
C.
개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스
시스템
12. 비밀번호
A. 식별자는 ID/계정 등을 의미
B. ‘타인에게 공개되지 않은’ 의미는 알 수 없어야 함 (시스템/책임자 등)
C. 일방향 암호화, 해쉬, SHA
D. 비밀번호 분실 시 원래의 비밀번호 일부 등 알려주는 서비스는 위법
E.
고유의 문자열로써 타인에게 공개되지 않은
정보
CPPG - 개인정보 기술적 관리적 보호조치
13. 접속 기록
A. 수행한 업무 내역
i. 이용자 측면 : 개인정보 조회, 수정, 삭제(탈퇴)
ii. 취급자 측면 : 개인정보 수집, 보관, 처리, 이용, 제공, 관리, 파기
iii. 전자적으로 기록 → 수기가 아니라 시스템에 의해 자동적으로 생성
B.
이용자 또는 개인정보 취급자 등이 개인정보 처리 시스템에
접속하여, 수행한 업무 내역에 대해서 식별자, 접속
일시, 접속지(IP)를 알 수 있는 정보, 수행 업무 등 접속한 사실을 전자적으로 기록한 것
CPPG - 개인정보 기술적 관리적 보호조치
14. 개인정보 유출 통지
A. 유출된 개인정보의 항목
B. 유출이 발생한 시점과 그 경위
C. 유출로 인하여 발생할 수 있는 피해를 최소화 하기 위하여 정보주체가 취할 수 있는 방법 등에 관한 정보
D.
개인정보 처리자의 대응 조치 및 피해 규제
절차
15. 바이오 정보
A. 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함
B. 신체적 특징 : 지문, 얼굴, 홍채, 정맥, 음성, 망막, 손 모양, 손가락 모양, 열상 등
C. 행동적 특징 : 필적, 키보드 타이핑, 입술 움직임, 걸음걸이
D.
유전자(DNA)를
이용한 개인 식별은 ‘생명 윤리 및 안전에 관한 법률’을
적용
16. P2P
A. P2P 서비스 : eDonkey, GnuTella, BitTorrent 등
B. P2P 뿐만 아니라 일부 인스턴트 메신저, 웹 하드 등
C.
정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접
연결되어 파일을 공유하는 것
17.
공유 설정
컴퓨터 소유자의 파일을 타인이 조회, 변경, 복사 등을 할 수 있도록 설정하는 것
18. 보안 서버
A. 정보통신망에서 송/수신하는 정보를 암호화하여 전송하는 웹 서버
B.
SSL /
HTTPS 이용
19. 인증 정보
A. 개인정보 처리 시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말함
B.
신원을 검증하는데 사용되는 정보 → 비밀번호, 바이오 정보, 전자 서명 값 등
20. 전자적, 조직적, 체계적 관리 규정 필요
A. 최고 경영층 승인 받아 전 직원이 준수할 수 있는 관리계획의 수립 필요
B. 개인정보 관리 책임자 없을 시 대표이사가 그 역할에 해당
C.
정보통신망법 위반 시 형벌 → 회사와 개인정보 관리 책임자가
짐
21. 개인정보 관리 책임자
A. 직계를 신설하거나 기존 부서의 장 등이 겸임
B. 겸임 시, 개인정보 관리 업무에 소홀할 수 없으며, 타 직책의 임직원과 업무가 혼재되지 않도록 경계를 명확히 할 필요가 있음
C. CPO는 정보보안 뿐 아니라 법과 제도 등 관련한 다양한 지식이 필요
D. 임원, 담당 부서의 장 중에 최소 1인을 공식적으로 지정 (책임과 역할을 명확히)
E.
사업주 또는 대표자가 CPO
: 5인 미만, 직전 3개월 일일
평균 1천명 이하
22. 개인정보 관리 책임자 역할 및 책임 → 주체
A. 기술적/관리적 보호 조치 실시
B. 이용자의 불만사항 접수 및 처리에 대한 책임
C. 개인정보 취급자에 대한 교육 훈련
D.
개인정보를 외부 위탁할 경우,
수탁자의 개인정보 관리 확인 및 감독
23. 개인정보 취급자 역할 및 책임 → 취급 실무
A. 개인정보보호 활동 참여
B.
내부 관리 계획과 기술적/관리적 보호조치 준수 및 이행
24. 내부 관리 계획
A. 다음 사항에 대해 ‘문서화’
i. 개인정보 관리 책임자가 누구/어떤 업무와 책임
ii. 개인정보 취급자가 누구/어떻게 교육
iii.
기술적 관리적 보호 조치 어떻게 이행
25. 내부 관리 계획 수립 및 승인
A. 개인정보 취급자 및 책임자가 이용자 개인정보를 어떻게 관리할 것인지에 관한 규정문서를 작성
B.
내부 관리 계획의 승인에 관한 내용과 이에 대한 주기적인
검토 방법 포함
(연
1회 보완 및 검토)
예시>
‘XX회사가 개인정보 관리 책임장의 승인을 거쳐 XX회사 전 임직원에게 공표’ 규정
26. 점검에 대한 사항 (내부 점검)
A. 점검은 정기적 → 최소 연 1회 권고
B. 점검 방법 : 점검 시기, 대상, 내용 등 포함
C. 점검반 : 사업장 내 개인정보보호 관련 부서의 감사자 또는 유관 부서의 전문가
D.
점검 절차 :
범위, 대상, 기간, 점검 수행자 등의 내용,
점검 결과
어떻게 처리할 것인지 내용을 포함
E.
점검 결과 자료 관리 :
점검 시 생성된 모든 자료와 결과 보고서 관리
점검 결과 자료에 대한 접근은 점검반으로
제한
27. 개인정보보호 위해 필요한 사항
A. 보안 서약서 작성
i. 신규 채용 직원은 인력관리 부서에서 수행될 수 있음
ii. 일반적으로 ‘고객 개인정보보호, 회사 영업 비밀 보호 등의 의무’에 관한 내용과 서명 날짜, 서명자 정보 및 서명을 포함
B. 임직원 개인정보보호 인식 제고 → 관련 지침 및 규정을 배포하고 알림
C. 중고 PC 하드디스크 폐기 방법
i. 저장 매체에 따라 폐기 방법 다름
ii. 완전 파괴(소각/파쇄/용해), 전용소자장비 이용 삭제, 완전 포맷
iii.
반도체 메모리(EEPROM
등) → 전용소자장비 이용하면 안됨,
완전 포맷 및 완전
파괴만 이용 가능
28. 개인정보보호 교육
A. 대상 : 개인정보 관리 책임자, 개인정보 취급자
B. 교육 계획서 포함 내용 → 교육 대상, 교육 목적, 교육 내용, 교육 일정 및 방법
C. 교육은 온라인으로도 가능, 외부 기관이나 전문 요원에 위탁하여 진행할 수도 있음
D.
특히 수탁자와 대리점에 대한 교육이 중요 → 연 2회 이상
위탁자에게 관리/감독 의무 있으며,
수탁자에 의한 유출 발생시에도 책임 있음
E. 교육 계획 수립 및 연 2회 이상의 교육 실시
F.
수탁자의 손해배상 책임에 있어서 정보통신 서비스 제공자 등의
소속 직원으로 봄
29. 접근 통제
A. 개인정보 처리 시스템에 대하여 인가되지 않은 접근을 차단
B.
인가된 접근에 의해서도
2차적 불법 사용, 누출, 변조, 훼손 가능성 있음
→ 접근 내용 기록해야 하는 이유
C. 인증/식별 → 비 인가자 접근 차단 → 인가자라 하더라도 권한에 따라 접근 제어
D.
개인정보를 취급하는 자를 최소한으로
제한
→ 개인정보 직접 접근하는
사람 : 개인정보 취급자 및 책임자
E. 공용 계정의 경우 비밀번호를 즉시 변경하도록 지침
F. 계정의 폐쇄 여부 확인(퇴직자) 및 비밀 유지 등에 대한 서약서
G.
인사이동 발생하여 개인정보 취급자가 변경되었을 경우 지체
없이 개인정보 처리
시스템
접근권한을 변경 또는 말소
→ 정보통신 서비스 제공자 등은 권한부여, 변경 또는 말소에 대한 내역을 기록하고
그 기록을 최소 5년간
보관
30. 불법적인 접근 차단
A. 체계적으로 구성한 DBMS의 접근 권한 부여/변경/말소 등 관한 기준 수립 및 시행
B. 개인정보 처리 시스템에 대한 침입차단 시스템 및 침입탐지 시스템 설치 및 운영
C. 비밀번호 생성 방법 및 변경 주기 등 기준 설정 및 운영
D.
개인정보에 대한 접근통제를 위하여 필요한
조치
31. 안전한 인증 수단
A.
개인정보 취급자가 정보통신망 통해 외부에서 개인정보 처리
시스템에 접속이
필요한 경우에도
공인인증서 등 안전한 인증수단을 적용
B.
보안토큰, 휴대폰
인증, OTP, 바이오 정보, 단말기 IP 인증도 고려 가능
32. 네트워크 보안
A.
침입 차단(Firewall),
침입 방지(IPS), 침입 탐지(IDS),
서버 보안(Secure OS),
시스템의 도입 및 운영 고려
B. SOHO 등 소기업 경우 인터넷 데이터 센터(IDC) 등 제공하는 보안 서비스 활용
i. 방화벽
ii. 침입 탐지
iii. 웹 방화벽
C. 정책 설정 및 로그 분석 운영이 중요
D. 접속 권한을 IP 주소로 제한하여 인가 받지 않은 접근을 제어
E.
개인정보 시스템에 접속한 IP
등을 재분석하여 불법적 개인정보 유출 시도 탐지
33. 비밀번호 작성 규칙
A. 개인정보 이용하여 추측, 사전 공격, Brute Force 공격
B. 2종류 이상 조합 시 최소 10자리, 3종류 이상 조합 시 최소 8자리 길이
C. 문자 종류 : 영문 대소문자(26개), 숫자(10개), 특수 문자(32개)
D.
비밀번호 유효 기간 :
반 기별(6개월) 1회 이상
변경
34. 접속 기록
A.
개인정보 취급자가 개인정보 처리 시스템에 접속한 기록을
월 1회 이상 정기적으로 확인, 감독해야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상
접속
기록을
보관, 관리하여야 함
B. 기간통신 사업자의 경우 보존, 관리해야 할 최소기간을 2년
C. 개인정보 취급자의 접속기록이 위·변조 되지 않도록, 별도의 물리적인 장치에 보관하여야 하며 정기적인 백업을 수행
D. 접속기록을 남기는 것을 기본 가정
E. 내용 [최소내용] : 개인정보 취급자 식별(누가), 언제, 어디서(IP), 무엇(어떤 개인정보)
F. 확인/감독 : 이상 여부 확인
i. 유출 X : 접근자 경고, 징계
ii. 유출 가능성 : 이용자 알림, 신고
G.
접근 내역 기록 시스템 :
DB 방화벽(접근 통제), 개인정보
검출/관리 솔루션
35. DB 방화벽
A. 접근 내역 기록 및 접근 내역 감사 (접근 내역 조회, 검색, 통계 가능)
i.
접근 제어 :
개인정보 취급자에 따른 DBMS 접근 정책
예시> 접근 권한 IP 주소 : DB
방화벽
ii.
권한 제어 :
개인정보 취급자의 권한에 따른 DBMS
내 접근 정책
예시>
개인정보 처리 시스템(DBMS) : DB접근제어 시스템
B.
스니핑,
프록시, 인라인,
하이브리드
36. DB 방화벽 이슈 기능
A.
Telnet/SSH/Recommand
원격에서 쿼리틀 대신
DBMS가 동작되는 서버로 원격 접속하여 데이터 조회 및
조작 가능
B.
FTP
DBMS에서 조회, 가공된 파일을 PC로 다운 받을 수 있음
C.
결재 기능
강력한 접근 통제가 필요한 중요 정보에 대해 상위자의
결제를 득한 경우 접근
D.
정보 조작 시 사전/사후 비교
변경(modify), 삭제(delete)
→ 변조 및 훼손 막음
E.
QTC (Query
Tool Control)
PC와 같은 단말에서 조회한 정보를 2차적으로
저장, 전송하지 못하도록 하는 기능
강력한 통제가 필요한 개인정보 취급자
적용 (아웃 소싱)
37. 기간통신 사업자
A. 다른 사업자보다도 대량의 개인정보를 취급
B.
최소 6개월 이상
보관하는 것보다 최소 2년 이상 보관
38. 접속 기록 위·변조 방지
A. 별도의 물리적인 저장 장치에 보관하여야 하며, 정기적인 백업을 수행
B. WORM 성격의 장치 사용 : CD/DVD, WORM 전용장비
C.
백업 시 위·변조 탐지 가능하나 무단 삭제 막지
못함
39. 암호화
A. 이용자의 개인정보를 개인용 컴퓨터(PC) 저장 시 이를 암호화
B. 비 인가자의 정보 접근에 대한 보안 수단
C.
인가자의 오용 및 유출은 해결할 수 없는
단점
→ 접근 통제, 접근 내역 감사와 함께 암호화를 병행
40. 비밀번호 및 바이오 정보
A. 그 어떤 개인정보 보다 중요
B. 일방향 암호화 : 해쉬 함수 사용
C. 비밀번호 (일부) 알려주는 서비스 등은 법에 위배 됨
D.
복호화 되지 아니하도록 일방향 암호화하여
저장
41.
공인된 해쉬 함수
SHA-1, HAS-160, SHA-256/384,
RIPEMD-160, Whirlpool
42. 주민등록 번호, 신용카드 번호 및 계좌번호
A. 개인정보 중 중요성 높고 유출 피해 크고, 2차 피해 큰 정보
B. DB 암호화 솔루션 도입/운영 고려
C. DBMS 저장 시 전부 암호화 하는 것이 원칙, 부분 암호화도 가능
i. 주민번호 : 뒷 6자리 번호 암호화
ii. 신용카드 번호 : 앞 6자리를 제외한 나머지 번호 암호화
D.
안전한 암호 알고리즘으로 암호화 하여
저장
AES, SEED, ARIA, MISTY.
KASUMI, Blowfish, Camelia, 3TDEA
43. DB 암호화
A. 비 인가자의 DB 해킹/절도 시 보안
B.
권한자의 정보접근과는 무관
44. 암호화
A.
이용자의 개인정보 및 인증 정보 송·수신 시 안전한 보안
서버 구축 등의 조치를
통해 이를
암호화 함
B. 암호화 되지 않은 전송에 대한 공격 : Sniffing, 위·변조
C. 다음 중 하나의 기능을 갖추어야 함
i. 웹 서버에 SSL 인증서를 설치하여 전송
ii.
웹 서버에 암호화 응용 프로그램을 설치하여 전송하는 정보
암호화
45. PC 암호화
A. 이용자의 개인정보를 개인용 컴퓨터(PC)에 저장할 때는 이를 암호화
B. 업무상 필요 없는 개인정보의 PC 저장을 금지 → 삭제
C.
업무상 필요한 경우 암호화 저장 →
암호화
46. 전문적인 솔루션 도입 고려
A. 개인정보 검사/관리 솔루션
B. 문서 암호화 솔루션
C.
소규모 사업장의 경우
Window OS에 지원하는 암호화 기능이나 문서 편집 프로그램
(MS Office, 한글
등) 암호화 사용
47. 악성 프로그램 방지
A. 악성 프로그램(=악성 코드) : 바이러스, 웜, 백도어, 스파이웨어
B.
최신의 상태로 update
해야 할 뿐만 아니라, 주기적으로 검사
: 매일 점심시간, 매월 15일
민방위의 날(개인정보보호의 날)
C. 백신 소프트웨어를 월 1회 이상 주기적 갱신 및 점검
D.
악성 프로그램 침투 시 백신 소프트웨어 설치 및 운영 등
보안 조치
48. 출력 및 복사 시 보호 –시험에는 출제 안됨, 참고용-
A. 용도를 특정, 용도에 따라 출력 항목을 최소화
B. 인쇄, 화면 표시, 파일생성 용도 특정
C. 개인정보 처리 시스템의 접근권한에 따라 보여지는 출력 항목을 다르게 설정하거나 최소화 하는 것을 의미
D. 2011년 1월 5일 자 개정 고시에, 출력 및 복사 시에 개인정보 책임자의 사전 승인 의무와 특정 항목 삭제 (고시 해설서에는 존재)
E.
출력, 기록 등
필요한 보호 조치 갖추어야 함
49. Masking
A. 데이터 일부를 드러내지 않는 것
B. 일관성을 위해 의무사항이 아닌 권고사항
i. 성명 : 첫 번째 글자 이상 → 홍*동
ii. 생년월일 : 전체 → ****년 *월 *일
iii. 전화번호 및 휴대폰 전화번호 국번 → 02-***-1234 / 010-****-1234
iv. 주소 : 읍·면·동 → 서울 종로구 **동 123-4
v. 인터넷 주소
1. IPv4 : 17 ~34 비트 영역 → 123.123.***.123
2. IPv6 : 113 ~ 128 비트 영역 → 123.123.***.123