Min
블로그 이미지

Home

Write

Setting

About Me
Dark
Security Study/Securiy News

20.09.22 ( 개인정보보호 연차보고서 - 침해사고 예방 강화 및 정보주체 권리 보장, 추석 전후 사이버사기 예방 집중, '2단계 인증' 우회용 악성코드)

HelloMG
|2020. 9. 22. 11:18

1. 개보위의 개인정보보호 연차보고서 - 침해사고 예방 강화 및 정보주체 권리 보장

 

보고서에는 개인정보보호 기반 강화에 대한 내용이 5가지로 소개되어 있습니다.

  • 개인정보 침해사고 예방 강화
  • 정보주체 권리 보장
  • 개인정보보호 실태 점검 및 개선
  • 개인정보 환경 개선과 기술 지원
  • 자율규제 촉진

이번엔 침해사고 예방 강화 및 정보주체 권리 보장 조치를 알아보도록 하겠습니다 :D

(1) 개인정보 침해사고 예방 강화

 

가. 개인정보 유출·노출 예방 및 대응

 

행정안전부는 정부 및 공공기관 등에서 운영하는 홈페이지를 상시 모니터링하며, 개인정보가 탐지되면 즉시 삭제·차단 조치를 한다고 합니다. 그리고 취약·영세 기관 등을 대상으로 노출 재발 방지를 위한 기술 지원을 실시하고 있다고 합니다.

 

개인정보 노출 예방 및 재발 방지를 위해 전국적으로 예방 교육을 실시하며 대상자의 역량 및 전문 교육 난이도 등을 고려하여 사례 중심의 교육 교재도 개발했다고 합니다.

 

그리고 행안부는 노출 모니터링 대상 홈페이지를 현행화하고 있으며, 집중 탐지 홈페이지를 선정하고 이에 대한 관리를 강화하고 있습니다. 더불어 기존에 개인정보 탐지 유형이 고유식별정보 4종이었지만 8종으로 확대하고 이미지 형태의 개인정보도 새로 탐지하기 시작했다고 합니다. 이에 875개 홈페이지에서 총 612,772건이 탐지되어 즉시 삭제조치를 했다고 하네요 :D

* 고유식별정보 4종(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)

  -> 고유식별정보 8종 확대(휴대전화번호, 계좌번호, 신용카드번호, 건강보험번호)

 

방송통신위원회(방통위)는 개인정보 침해사고의 2차 피해 확산을 방지하기 위해 정보통신서비스 제공자에 대한 법 보호 조치 여부를 모니터링하여 유출사고를 예방하고, 노출 대응 시스템을 운영해 국내·외 웹사이트에 노출된 개인정보와 불법 유통 게시물을 탐지·삭제·차단하고 있다고 합니다.

 

2019년부터 이미지 내 개인정보에 대한 탐지를 본격 실시하여 이미지 형태로 노출된 개인정보 2,890건을 탐지하였고 2,749건을 삭제하는 등 개인정보 탐지 사각지대를 축소했으며, 개인정보 노출된 게시물 12,895건을 탐지해 연락 불가건 등을 제외한 12,615건을 삭제했다고 합니다. 또한 개인정보 판매·구매 목적의 게시물을 121,714건을 탐지해 111,298건을 삭제·차단 조치하였다고 합니다.

 

방통위는 중화권 국가에서 발생하는 개인정보 침해에도 적극 대응했다고 합니다. 한중인터넷협력센터를 운영해 중화권 웹에서 노출된 개인정보와 불법 유통 게시물 삭제를 강화했으며, 한국인 개인정보 불법 거래가 지속되었던 타오바오와 핫라인을 구축하여 개인정보 판매 게시물 전체 삭제 조치 및 협력 관계를 공고히 했다고 합니다.

 

그리고 개인정보를 수집·이용하는 웹사이트, 스마트폰 앱(약 30,000개)를 대상으로 모니터링 및 개선 안내를 실시해 개선이 필요한 웹·앱 16,744개 중 12,857개의 개선을 유도하고 인식 제고 및 자발적인 참여를 독려했다고 합니다.

 

2019년에 개선이 필요한 사업자를 대상으로 교육 및 안내 가이드 배포·전화 상담 등을 지원하고, 해외 앱에 대해서는 모니터링 결과보고서 및 개선 가이드라인, 국내 법령 해설서를 영문으로 지원했다고 합니다. 또한 관련 사업자들이 개선 조치를 할 수 있도록 협력을 강화했다고 합니다. 그리고 앱 미개선 사업자 6,489개에 대해 행정지도 시행을 했으며, 계속해서 미준수 사항을 개선하지 않는 사업자를 대상으로 현장조사를 실시하여 개인정보보호 규정 준수율을 제고했습니다.

 

나. 개인정보 영향평가제 운영

 

"개인정보보호법" 제33조에 따라 일정 규모 이상의 개인정보를 처리하는 개인정보파일을 구축·운영 또는 변경하려는 공공기관은 개인정보 침해가 우려될 시 개인정보 영향평가를 통해 위험요인을 사전 분석하고 개선하게 되어 있습니다.

 

행안부는 이를 위해 개인정보 영향평가 수행하는 신규 전문인력 양성을 위해 227명 대상으로 전문교육을 실시했으며, 53명에게 신규로 영향평가 인증서를 교부함으로서 총 1,213명의 영향평가 전문인력을 확보했다고 합니다. 또한 유효기간 만료 예정인 영향평가기관의 영향평가 수행역량을 전반적으로 심사해 6개 기관에 대한 영향평가기관 지정을 갱신했으며, 품질 검토를 통해 개인정보 영향평가기관의 영향평가 수행품질을 관리했다고 합니다.

 

다. 개인정보파일 등록 및 관리 강화

 

행안부는 "개인정보보호법" 제32조에 따라 공공기관이 운용하는 개인정보파일의 등록 현황을 누구나 열람할 수 있도록 종합포털에 공개하고 있습니다. 정보주체인 국민이 개인정보에 대한 권리를 행사할 수 있도록 보장하기 위한 것이라고 합니다 :D

 

(2) 정보주체 권리 보장

 

가. 개인정보침해신고센터 운영

 

2019년 센터에 접수된 신고·상담 건수는 총 159,255건이며 작년에 비해 3.2% 감소한 수치입니다. 이 중 '주민등록번호 등 타인 정보의 훼손·침해·도용'은 134,000 여건으로 전체의 약 84%에 달하는 수치라고 합니다.

 

밑의 정보는 신고·상담에서 지속적으로 나타나고 있는 것들이라고 합니다.

  • 보이스 및 메신저 피싱 등 전자통신 금융사기 관련 상담의 폭증
    ( 약 110,000건, 전체 건수 중 69% 차지 )
  • 개인정보 미파기 신고 및 상담 증가
    ( 1,214건, 작년 대비 17% 증가 )
  • CCTV 설치 및 운영 관련 신고 및 상담의 지속적 증가
    ( 약 4,800건, 작년 대비 10% 이상 증가 )
  • 적법하지 않은 주민등록번호 처리 관행 지속

나. 정보주체 권리 보장 시책 추진

 

나-1. 국내대리인 지정 및 개인정보 손해배상제도 지원

 

국내에 정보통신서비스를 제공하고 일정 기준을 충족하는 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법이 개정되었습니다. 그래서 방통위는 의무 대상 국외사업자의 세부기준을 정한 '국내대리인 지정제도 안내서'를 발간했다고 합니다.

 

그리고 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 이용자에게 손해를 입힌 경우 손해배상책임 이행을 위해 사전 조치를 하도록 정보통신망법이 개정되었습니다. 그래서 방통위는 이에 대응하기 위해 '개인정보 손해배상책임 보장제도 안내서'를 발간했다고 합니다.

 

그리고 정보통신서비스 제공자 등이 스스로 개인정보 손해배상 책임 보장제도("정보통신망법 제32조의 3) 적용 대상인지 쉽게 판단할 수 있도록 '개인정보 손해배상책임 보장제도 자가진단 안내'도 제공했다고 합니다. 이 안내서들은 한국인터넷진흥원(KISA) 온라인 개인정보보호 포털에서 열람이 가능합니다.

 

나-2. 프로파일링 대응권 강화

 

최근 인공지능, 빅데이터 등 기술이 발전함에 따라 다양한 영역에서 개인정보에 대한 프로파일링이 증가하고 있습니다. 그러나 무분별하게 이뤄질 경우 정보주체의 권리가 침해될 소지가 있으므로 이에 대한 적절한 보완 장치가 필요합니다.

 

EU GDPR은 프로파일링의 근거 및 기준, 개인에게 미치는 영향도 등 정보주체에게 알기 쉽게 전달하고, 거부권 도입으로 프로파일링 과정 및 결과의 투명성을 제고하고 적극적인 대응권을 보장하도록 했습니다.

 

국내에서도 정보주체의 대응권을 보장하기 위해 개인신용평가와 관련해 설명요구·의견표현·이의제기권 등의 제도를 일부 도입했으며, 마케팅거부권 등 일반적으로 보장되고 있다고 합니다.

 

개정된 신용정보법은 개인신용평가 관련 금융거래 거절 여부와 관계없이 설명요구, 이의제기권을 폭넓게 인정하고 자동화된 개인평가를 기초로 하는 금융거래에 대한 개인의 적극적 대응권을 도입했습니다.

 

나-3. 개인신용정보 전송요구권 도입

 

개인신용정보 전송요구권이란 정보주체가 본인의 개인신용정보를 보유한 기관으로 하여금 본인정보를 제3자에게 이동시키도록 할 수 있는 권리입니다. 자신의 긍정적인 정보 제공 시 평가상 가점제도가 있지만, 개인이 직접 주기적으로 정보를 수집·제출해야 하는 절차가 번거로워 활용도가 낮다고 합니다. 하지만 이러한 전송요구권을 행사한다면 편하게 가점 혜택을 받을 수 있습니다.

 

또한, 다양한 기관에 분산되어 있는 본인 신용정보를 본인정보관리업자에 제공해 쉽게 정보관리서비스에 접근할 수 있다고 합니다.

 

나-4. 정보활용 동의서의 실질화·단순화

 

개정된 신용정보법은 개인정보 수집·활용에서 투명성을 높이고 정보주체를 보호하기 위해 정보활용 동의제도의 개선, 정보활용 등급제 도입 등 금융소비자가 '알고 하는 동의'를 할 수 있게 했습니다.

 

그리고 금융기관 등이 수집·이용·제공하는 정보의 내용에 대해 요약 정보를 우선 제공하고, 고객이 요구할 경우 상세 정보도 함께 제공하도록 했다고 합니다.

 

 

2. 경찰청, 추석 전후 사이버사기 예방 집중

 

추석 연휴를 앞두고 다양한 추석 선물을 준비하는 과정에서 고가의 상품을 저렴하게 사고자 하는 심리를 이용한 다양한 사이버사기 피해가 증가할 것으로 예상됩니다.

 

이에 경찰청은 선세적 예방활동을 위해 관련 기관과 기업들이 강력 대응하기로 했습니다. 또한, 사이버 사기 단속 강화를 위해 '물품거래사기 등 4대 사이버사기 특별단속·서민경제침해사범 집중단속 기간( ~ 20.12.31)을 운영하고 있다고 합니다.

 

경찰청은 9월 11일 KISA 및 주요 중고거래 기업들이 참여하는 간담회를 개최하였으며, 추석 연휴기간을 전후로 사이버 사기 범죄 예방을 위해 온라인상 집중 예방 홍보 활동을 약속했다고 합니다. 그리고 사이버사기 예방을 위한 자체 정책들을 공유하고 협업을 지속적으로 유지하기로 했다고 하네요 :D

 

이번 협의를 바탕으로, 예방콘텐츠를 제작한다고 합니다. 그리고 사이버사기 예방에 대한 국민인식을 높이기 위해 경찰청 앱(사이버캅)을 통해 피해경보도 발령할 예정이라고 합니다.

 

최근 주요 범죄 수법으로는 '중고거래 사이트를 벗어나 다른 메신저로 대화 유도', '거래 시 안전거래사이트를 빙자한 가짜 인터넷주소'가 있다고 합니다.

 

특히, 가짜 안전거래사이트 사용을 유도하는 범죄 수법에 대응하기 위해 주요 안전거래 업체의 '공식 예금주명 리스트'를 제작하여 앱에 공지할 계획이라고 합니다.

 

또한 기본보안수칙인 출처가 확인되지 않는 메시지 및 인터넷 주소 클릭 주의, 확인되지 않은 앱 설치 금지, 보안 설정 강화 등 예방수칙 준수가 매우 중요합니다.

 

예방홍보 컨텐츠는 전국 경찰관서, 관계기관·기업의 누리집(홈페이지) 등 다양한 채널을 활용하여 추석 전후로 게시하며, 각 기관·기업에서도 자체 홈페이지 등을 통해 자체 예방콘텐츠를 마련, 홍보를 병행할 예정이라고 합니다.

 

 

3. 이란 해커, '2단계 인증' 우히용 악성코드 사용

 

이란해커가 SMS로 전송된 2단계 인증 코드를 가로챌 수 있는 안드로이드 악성코드를 개발하여 사용한 것으로 나타나싸고 합니다.

 

글로벌 보안 기업 체크포인트 연구팀에서 밝혔으며, '램펀트 키튼(Rampant Kitten)'이 최소 6년간 활동해왔으며, 이산 소수 민족과 반체제 단체, 저항 운동을 감시해왔다고 언급했습니다.

 

안드로이드 앱 기반 악성코드는 피해자의 연락처 목록과 SMS 메시지를 탈취할 수 있었다고 합니다. 마이크를 몰래 사용해 피해자의 상황을 녹음하고, 피싱 페이지를 띄우는 것이 가능했으며, 2단계 인증 메시지를 가로채는 기능도 탑재되어 있다고 합니다. 이 악성코드는 "G-"(구글 계정 2단계 인증 코드 앞머리)라는 문자가 포함된 모든 SMS 메시지에 대해 전송을 차단하고 해커에게 전달하게 되어 있다고 합니다.

 

해커는 이뿐만 아니라 SNS 앱에서 피해자가 기기로 전송되는 SMS 메시지도 미리 입력해둔 전화번호로 전송되게 했다고 합니다. 이는 구글 계정외 다양한 2단계 절차를 우회하기 위한 것이라고 하네요 !

 

이에 미국 지디넷은 국가에 소속된 해커들이 2단계 인증을 우회할 수 있다는 점은 널리 받아들여지고 있지만, 그 과정과 절차에 대해 알게 되는 것은 매우 드문일이라고 언급했다고 합니다 :D

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91301&page=1&mkind=1&kind=2

 

[개인정보보호 연차보고서 톺아보기-8] 침해사고 예방 강화 및 정보주체 권리 보장

2020 개인정보보호 연차보고서에는 △개인정보 침해사고 예방 강화 △정보주체 권리 보장 △개인정보보호 실태 점검 및 개선 △개인정보 환경 개선과 기술 지원 △자율규제 촉진이라는 다섯 가�

www.boannews.com

www.dailysecu.com/news/articleView.html?idxno=113943

 

경찰청, 관계기관·기업과 힘 모아 추석 전후 사이버사기 예방 집중 - 데일리시큐

코로나19 상황이 장기화하면서 업무처리 방식, 거래형태 등 생활환경 전반이 비대면으로 전환하면서, 사이버범죄에 노출될 위험도 증가하고 있다.특히, 추석연휴를 앞두고 다양한 추석 선물을 �

www.dailysecu.com

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29553&key=&dir_group_dist=&dir_code=&searchDate=

 

이란 해커, '2단계 인증' 우회용 악성코드 썼다

이란 해커가 SMS로 전송된 2단계 인증 코드를 가로챌 수 있는 안드로이드 악성코드를 개발, 공격에 사용해온 것..

www.ahnlab.com

 

'Security Study > Securiy News' 카테고리의 다른 글

20.09.24 ( 기업들의 패치 취약점 미흡, Samba 취약점 주의, 클라우드 환경으로 이전되면 데이터센터는 필요한가? )  (0) 2020.09.24
20.09.23 ( 개인정보보호 연차보고서 - 실태 점검 및 개선, NSA 보안 지침서 발표, 안드로이드용 버전 파이어폭스 취약점)  (0) 2020.09.23
20.09.21 ( 개인정보보호 연차보고서 - 국제적 활동과 협력, 랜섬웨어 사망 사건, 블루투스 BLESA 취약점 )  (0) 2020.09.21
20.09.18 ( 개인정보보호 연차보고서 - 개인정보보호 관련 법·제도 개선, 백엔드 접근 기술 'h2c smuggling', MrbMiner 변종 악성코드 주의 )  (0) 2020.09.18
20.09.17 ( QR코드 해커들의 표적이 될까?, 채용 관련 랜섬웨어 주의, 개보위의 코로나19 개인정보 관리실태 비대면 현장 점검 실시 )  (0) 2020.09.17

티스토리툴바