PART 4
< 안전성 확보조치 >
개인정보 보호조치 안에 안전성 확보조치가 있음.
안전성 확보조치는 2023년 9월 22일부터 시행되고, 개인정보처리자와 정보통신서비스 제공자로 이원화 되어있던 것을 개인정보처리자로 통합해 일원화시킨 것
개인정보처리자로 확대 적용되면서 새롭게 적용을 받는 자는 2024년 9월 15일부터 적용
| 개인정보처리자 -> 정보통신서비스 제공자 | 정보통신서비스 제공자 -> 개인정보처리자 |
| 일정 횟수 인증 실패시 조치 | 인터넷망 구간 전송시 암호화 |
| 접속기록 점검 | 출력 복사시 보호조치 |
| 암호키 관리 절차 수립 | |
| 재해 재난 대비 안전조치 |
> 잘 안외워진 용어
접속기록 : 개인정보처리시스템 접속자가 수행한 업무내역(식별자, 접속일시 등)을 전자적으로 기록한 것
공유설정 : 컴퓨터 소유자의 파일을 타인이 조회,변경,복사 등을 할 수 있도록 설정한 것
모바일 기기 : 무선망을 이용 개인정보 처리에 이용되는 기기 -> “업무 목적” , “개인정보 처리”
생체인식정보 : 특정 개인을 인증 or 식별을 위해 처리되는 정보
인증 정보 : 접속을 요청하는 자의 신원을 검증하는데 사용되는 정보 -> 관리자가 부여한 고유한 문자열 (식별자)
보조저장매체 : HDD,USB 등 개인정보처리시스템 or 개인용 컴퓨터와쉽게 연결 및 분리가 가능한 저장매체 -> 스마트폰도 경우에 ᄄᆞ라 보조저장매체가 될 수 있음
개인정보처리를 위해 DB를 사용하는 컴퓨터가 아니다 -> 업무용이더라도 개인정보처리시스템이라고 하지않는다.
비밀번호는 일방향(해시함수)을 이용해야함.
특정개인(인가된) 확인 ->인증 / 그중에 정확히 누구 -> 식별
-----------------------------------------------------------------------------
< 내부관리계획의 수립 및 시행 > -> 여기서 배운 16가지 항목들이 들어가야함.
1만명 미만의 정보주체에 관해 개인정보를 처리하는 소상공인, 개인, 단체의 경우는 생략가능
내부관리계획를 변경하는 경우 즉시변경, 수정이력을 관리
개인정보보호책임자는 내부 관리계획의 이행 실태를 연1회이상 점검 및 관리
문서는 “내부관리계획”이라는 용어를 사용하는 것이 바람직하지만 안해도 괜찮음.
내부관리계획은 조직(회사)전체를 대상
내부관리계획은 관련자들에게 전파
개인정보처리방침을 내부관리계획으로 사용할 수 없다.
이행 점검은 독립성이 보장되는 부서나 개인정보보호 관련 부서 전문 업체등에서 수행가능
-----------------------------------------------------------------------------
< 개인정보보호 교육 >
연1회이상 개인정보 보호책임자 및 개인정보 취급자에게 실시
교육 내용은 지위 직책, 담당 업무의 내용 ,업무 숙련도에 따라 각기 다르게 할 필요가 있다.
-----------------------------------------------------------------------------
< 접근 권한 >
- 개인정보처리자는 개인정보취급자에게 최소한의 범위로 접근 권한을 차등 부여해야함.
- 권한 부여, 변경 , 말소에 대한 기록을 최소3년간 보관
일정 횟수 이상 실패시 접속 제한 조치
취급자에게 접근을 재부여하는 경우, 다시 취급자인지 확인
-----------------------------------------------------------------------------
< 비밀번호 작성규칙 적용 >
DB 관리자는 비밀번호를 복잡하게 구성, 자주 변경
비밀번호 이외 추가인증(OTP,휴대폰 인증 등)는 작성규칙을 지키지않아도 됨.
두종류는 10자리이상 / 세종류는 8자리이상
-----------------------------------------------------------------------------
< 접근 통제 >
개인정보처리자는 개인정보취급자가 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰 등 인증수단을 이용 -> 이용자가 아닌 정보주체의 처리를 하는 시스템인 경우 안전한 접속수단 or 안전한 인증수단을 적용할 수 있음.
클라우드 서비스를 이용해서 개인정보처리시스템을 운용하는 경우 시스템 사용 이외의 인터넷은 차단
물리적 망분리 : 업무 효율 저하 | 근본적 차단 (보안성 높음)
논리적 망분리 : 관리 효율 좋음 | 보안성 상대적으로 낮음
< 침입차단 및 침입탐지 장비 >
스위치 등의 ACL
단순 시스템 설치만으로는 부족, 신규 위협 대응 및 정책의 관리또한 필요
IP주소 등에는 IP주소, 포트뿐만 아니라 해당 IP주소의 행위(과도한 접속성공 및 실패, 부적절한 명령어 등) 포함
개인정보 처리자 : 안전한 인증수단 or 안전한 접속수단
정보통신서비스 제공자 : 안전한 인증수단
-----------------------------------------------------------------------------
< 망분리(정보통신서비스 제공자) >
정보통신 서비스 제공자 : 3개월간 100만명
매출액 100억원
개인정보를 다운로드, 파기, 접근권한을 설정 가능한 개인정보취급자 컴퓨터 망분리 적용 대상
외부 인터넷망 차단 의무
정보통신서비스 제공자(개인정보취급자)비밀번호는 반기별 1회 이상 변경
-----------------------------------------------------------------------------
< SSL/TLS 취약점 >
OpenSSL – HeartBleed
MITM 공격 – Poodle
HTTPS -> HTTP로 벗긴다 – SSLStrip
화면보호기는 접속차단 조치가 아니다.
-----------------------------------------------------------------------------
< 개인정보의 암호화 >
암호화 대상
-> 이용자는 고유식별정보,신용카드번호,계좌번호,생체인식정보 다 암호화 해야함.
-> 이용자가 아닌 정보주체는 인터넷망,DMZ에서는 고유식별정보 저장시
내부망 고유식별정보 저장시(공공기관인 경우, 개인정보 영향평가의 결과 / 위험도 분석 결과에 따라 내부망에서는 설정 안할 수 도 있음.)
-> 주민등록번호는 무조건 암호화
-----------------------------------------------------------------------------
< 암호화 방식 >
응용프로그램 자체 -> 암복호화 모듈이 API 라이브러리 형태
DB서버 –> 기존 Plug-in 방식과 유사
DBMS 자체 -> 기존 커널방식 (TDE 방식과 유사)
DBMS 암호화 기능 호출 -> DBMS커널이 제공하는 암복호화 API 호출
운영체제 -> OS
-----------------------------------------------------------------------------
< 알고리즘 (취약 / 안전) >
대칭키 -> DES,AES,SEED | AES –128/192/256 등
> 여러사람과 키 공유시 많은키를 유지 및 관리하기에 어려움 ,대량 암호화 유리,
해쉬 -> MD5,SHA-1,HAS-160 | SHA-256 등
대칭키 처리속도 > 공개키 처리속도
-----------------------------------------------------------------------------
< 접속기록 보관 >
접근권한 기록 : 3년
접속기록 보관 : 1년 or 2년(5만명 개인정보 or 고유식별정보, 민감정보 or 기간통신사업자)
접속기록 검토 : 월1회
접속 기록 위변조 방지를 위해 CD-ROM,DVD-R,WORM 등의 덮어쓰기 방지 매체 사용 -> 기록을 HDD에 저장, 위변조 여부 확인 정보를 별도의 HDD 또는 관리대장에 보관 관리 가능
개인정보취급자 이외의 이용자의 접속기록 보관 의무는 안전성확보조치안에 없음. 하지만, 통신비밀 보호법에 있어 3개월 이상 보관해야함.
악성 프로그램 방지를 위해 보안 프로그램은 일 1회 이상 업데이트
보조저장매체 반출입도 보안대책 마련해야함.
개인정보 처리시스템을 이용하지 않고 모바일 기기나 업무용 컴퓨터로 처리하면 물리적 안전조치를 취하지않아도 됨.
-----------------------------------------------------------------------------
< 재해,재난 대비 안전조치 >
10만명 대기업 중견기업 공공기관 / 100만명 중소기업 단체
-----------------------------------------------------------------------------
< 백업 >
백업 속도 -> 증분 백업 > 차등 백업 > 전체 백업
데이터 복원속도 -> 전체 백업 > 차등 백업 > 증분 백업
증분과 차등 구분하기
차등은 풀백업 이후 파일이나 데이터블록단위
증분은 풀백업 이후 데이터단위
차등이 더 저장공간을 많이 먹음
-----------------------------------------------------------------------------
< 출력 복사시 보호조치 >
엑셀 등 오피스 , 웹페이지 소스보기에서 숨김 or 개인정보가 출력되지 않도록 함.
-----------------------------------------------------------------------------
< 공공시스템 안전성 확보조치 >
2개이상의 기관이 단일 접속 시스템을 구축해 이용하는 경우 중
100만명 이상 정보주체
개인정보취급자 수 200명 이상
민감정보 처리
2개 이상의 기관이 표준 접속 시스템을 이용하는 경우
기관 고유 업무 개별 시스템 중
100만명 이상 정보주체
개인정보취급자 수 200명 이상
주민등록정보시스템과 연계
총 사업비 100억원 이상
개인정보 검색이 어려운 경우와 같이 유출 가능성이 낮은 경우 공공시스템으로 지정되지 않을 수 있다.
공공시스템 별로 내부 관리계획 수립
재해재난 -> 10만명, 100만명
내부관리 계획 -> 1만명, 연1회이상 점검
접근권한 -> 3년 보관
망분리 -> 100만명,100억
접속기록 -> 1년 or 2년(5만명, 고유식별정보, 민감정보, 기간통신사업자)
보안프로그램 업데이트 -> 일1회
'자격증' 카테고리의 다른 글
| [CPPG] PART 2 (정밀본) (0) | 2024.05.29 |
|---|---|
| [CPPG] PART 5 (0) | 2024.05.29 |
| [CPPG] PART 3 (0) | 2024.05.29 |
| [CPPG] PART 2 (0) | 2024.05.29 |
| [CPPG] PART 1 (0) | 2024.05.29 |