Min
블로그 이미지

Home

Write

Setting

About Me
light
Security Study/Securiy News

20.10.06 ( 개인정보보호 연차보고서 - 헌법기관 주요 실적, 금융사 및 기업 대상 DDoS 공격 확산, '데이터 3법' 해설서 초안 공개 )

HelloMG
|2020. 10. 6. 11:08

1. 개보위의 개인정보보호 연차보고서 - 헌법기관 4곳의 주요 실적

(1) 국회

 

가. 개인정보보호시스템 강화

 

국회는 매년 정보보호 컨설팅을 실시하며, 각종 사이버 침해 대응 체계를 확보하기 위해 노후 정보보호시스템을 교체 및 증설하고 있습니다. 이와 관련하여 2019년에는 신규 정보보호시스템을 도입, 노후 정보보호시스템 교체를 12월에 실시하여 국회 정보보호시스템의 보안성을 강화했습니다. 또한, 6월에 백신 소프트웨어 및 보안서버 연간사용권을 구매 및 적용하여 백신 및 서버의 안정성을 유지하고 있습니다.

 

나. 개인정보보호 관련 교육 및 홍보

 

매년 소속 직원들의 정보보호 인식 제고를 위한 교육을 실시하고 있습니다. 2019년에는 정보보호 관련 외부 전문가를 통해 '공직자가 알아야 할 사이버 안전수칙'을 주제로 11월에 교육을 실시했습니다. 또한, 포스터 게시 및 리플릿 배포 등 정보보호 홍보 활동을 했습니다. 이 외에도 개인정보보호 업무담당자가 보안 관련 외부 세미나 및 교육에 참석해 정보보호 의식과 역량을 강화했으며 모의훈련을 매달 실시하여 안전성 및 신뢰성을 제고했습니다. 

 

(2) 법원

 

가. 개인정보보호 정책 및 제도 개선

 

대법원은 개인정보 최소수집의 원칙에 따라 업무 수행에 '불가피한 경우'에 한해 민감정보 및 고유식별정보를 처리할 수 있으며, '법원 개인정보보호에 관한 규칙' 일부를 개정했습니다. 각급 법원에서 운용하는 개인정보파일 삭제 권한을 사법부 개인정보보호책임자에서 각급 법원 개인정보보호 담당자의 권한으로 변경하는 내용으로 '법원 개인정보보호 지침'을 개정했습니다. 2019년에는 법원행정처 개인정보보호 시행계획을 수립·시행하고, 사법부 안전성 확보 조치에 대한 개인정보보호 내부관리 계획을 2차례 개정했습니다. 이 외에 가이드라인 재정비, 침해·유출사고 대응 메뉴얼을 작성했습니다.

 

나. 개인정보보호 교육·홍보

 

법원 직원의 인식 제고 및 개인정보 처리 업무의 전문성과 숙련도 향상을 위해 각급 법원에서 교육 계획을 수립·시행했습니다. 또한 사법부 개인정보보호담당자는 개인정보취급자의 역량 강화를 위해 신규 직원과 법원 관리자에 대한 강사 활동을 지원했습니다. 더불어 콘퍼런스 참석하고 국가 공무원인재개발원에서 주관하는 개인정보보호 실무교육을 2회 이수했습니다. 또한 개인정보보호 및 보안관리를 내용으로 하는 웹툰을 게시하여 직원들의 인식을 향상시키며, 보안의 중요성을 강조하고 경각심을 줄 수 있도록 노력했습니다.

 

(3) 헌법재판소

 

가. 개인정보보호 기본계획 및 시행계획 수립

 

개인정보보호 규칙 및 지침등에 따라 지속적으로 기본계획과 시행계획을 수립·시행하고 있으며, 개인정보 보유현황을 주기적으로 점검하고 있습니다. 2019년에는 제4차 기본계획 및 시행계획을 수립했고, 현황과 관리실태 점검 결과를 개인정보 처리방침 개정에 적용했습니다. 개인정보보호 기본계획에서 4개의 과제를 선정해 추진했습니다.

  • 개인정보보호 제도 운영
  • 개인정보보호 역량 강화
  • 개인정보 침해 예방 및 권리 보장
  • 개인정보보호 안전성 조치 강화

나. 개인정보 침해 예방 및 개인정보보호 역량 강화

 

개인정보파일 보유현황 조사 및 정비를 실시해 개인정보파일을 검토하여 홈페이지의 개인정보파일 목록을 현행화했으며, 개인정보 검출시스템을 통해 관리실태를 점검하고 보안 조치를 취했습니다. 헌법재판소 직원의 인식 제고를 위해 개인정보 처리담당자를 대상으로 교육 및 세미나에 참석하도록 했고, 부서별 개인정보취급자 및 개인정보수탁자를 대상으로 교육을 실시했습니다.

 

다. 개인정보보호 안전성 조치 강화

 

사이버안전센터를 24시간 운영하여 개인정보 유·노출을 사전에 탐지·차단하고, 모의훈련 등 침해사고 예방 절차를 점검하여 침해사고 발생 시 신속하게 대응할 수 있게 하고 있습니다. 또한 보안취약점 점검 사업을 매년 추진하여 개인정보 보안사고 예방에도 힘쓰고 있습니다.

 

(4) 중앙선거관리위원회

 

가. 개인정보보호 정책 및 제도 개선

 

'선거관리위원회 개인정보보호에 관한 규칙'을 개정하여 민감정보 및 고유식별정보 처리 규정을 정비하고, 안전성 확보 조치 대상에 민감정보를 추가했으며, 개인정보파일의 등록 및 공개대상 제외 규정을 신설하여 개인정보파일 상세내역서의 홈페이지 등록 및 공개에 관한 사항을 반영했습니다. 이에 홈페이지 내 '개인정보 보유현황'부분을 신설하여 개인정보파일 상세내역서를 등록 및 공개함으로써 정보주체의 권리를 보장하고 체계적으로 관리하는 등 개인정보보호를 위해 노력했습니다. 또한, '선거관리위원회 개인정보보호 지침'을 정비해 체계 정합성을 확보하는 등 개인정보보호 기반을 강화했습니다.

 

나. 개인정보 영향평가 실시

 

현재 운영 중인 시스템에 대해 잠재적 위험 및 침해요인을 식별·분석하고 정보주체의 프라이버시에 미치는 영향을 파악하여 권리 침해를 최소화하기 위해 개인정보 영향평가를 실시했습니다. 영향평가 결과 시스템별 69개의 평가항목에 대해 평균 97.8%의 이행률을 기록해 우수한 평가의견을 획득했으며, 이행 결과 점검을 통해 침해사고를 미연에 방지하고 개인정보보호 인식 제고 및 수준 향상을 위해 노력했습니다.

 

다. 개인정보보호 지도·점검

 

정보주체의 개인정보보호 안전성을 강화하고 인식을 확산하기 위해 개인정보 취급실태를 파악하고 '개인정보보호법' 위반 사항을 점검했습니다. 특히 5개반 12명의 점검반을 편성해 9개 시·도위원회를 대상으로 지도·점검을 했으며,  모든 시·도위원회는 관할 구·시·군위원회가 보유한 업무용PC에 대해 개인정보 유출 방지 시스템을 실행 하도록 하고 실행 기록 요약서를 제출받는 자체 점검을 실시했습니다.

 

 

 

2. 금융사 및 기업 대상 DDoS 공격 확산

 

최근 국내외 금융사 및 기업 등을 대상으로 비트 코인을 요구하는 협박성 DDoS 공격이 지속적으로 발생하고 있어 보안 점검과 대비가 필요하다고 합니다.

 

최근 사례를 보면 해외 특정 해커그룹 Fancy Bear, Armada Collective 등이 공격을 수행하고 있다고 합니다. 공격자들은 요구한 기일 내 비트코인 미 입금시 추가 공격을 예고하는 등 지속적으로 협박한다고 합니다.

 

특히 해외에서는 'Fancy Bear'라고 주장하는 해커그룹이 뉴질랜드 증권거래소를 DDoS 공격해 거래 중단 사태가 발생한 바 있다고 합니다.

 

공격자로부터 협박 메일을 받거나 피해 발생 시 한국인터넷진흥원(KISA)에 즉시 신고를 해야하며, 사전 대비 및 공격 발생 시 DDoS 방어서비스를 이용해야 한다고 합니다.

 

영세기업 및 중소기업은 KISA에서 무료로 제공하는 DDoS 방어서비스를 신청해도 되며, 그 외 기관 및 기업은 통신사 등에서 제공하는 DDoS 공격 방어 서비스를 활용하면 된다고 합니다. 금융사는 금융보안원 방어 서비스를 이용할 수도 있다고 하네요🤩

 

특히 중소기업은 'DDoS 공격 대응 가이드'를 참고해 대비하는 것이 안전하다고 하며 홈페이지 및 주요 시스템에 대한 모니터링 등 보안 강화에 각별히 신경 쓰는 것이 좋다고 합니다!

. 대응 가이드는 아래의 링크를 이용하시면 됩니다😊↓

 

www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=35135

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

 

 

 

 

3. 개인정보보호위원회, '데이터 3법' 해설서 초안 공개

 

개인정보보호위원회(개보위)는 '데이터 3법' 내용을 반영한 개인정보 보호법 해설서를 사전 공개하고 주요 고객의 의견을 수렴한다고 합니다😁

 

해설서에 추가된 내용은 다음과 같다고 합니다.

  • 정보주체의 동의 없이 추가적인 이용 및 제공
  • 가명정보 도입을 통한 데이터 활용성 제고
  • 개인정보처리자의 책임 강화
  • 등등

법 개정에 따라 보호법에 특례 규정으로 포함된 정보통신망법 중 개인정보 보호 관련 조항과 신용정보법 등 다른 법률과의 관계를 상세히 설명하면서, 지난 2016년 이후 개인정보와 관련된 판례 38건과 보호위 결정례 23건 뿐만 아니라 Q&A도 수록해 국민들이 해당 법을 쉽게 이해할 수 있도록 했다고 합니다.

 

GDPR도 이번 해설서와 유사한 해석 기준과 적용 안내서가 배포하고 있다고 하며 공공기관, 기업 등에서 이를 개인정보를 처리하는데 중요한 판단 기준으로 활용하고 있다고 합니다😊

 

의견 수렴은 10.06 ~ 10.15까지 개보위 홈페이지와 개인정보 보호포털을 통해 이루어진다고 합니다👀 

해설서는 아래의 링크에서 보실 수 있습니다↓

www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=6857

 

개인정보보호위원회

해당 페이지의 만족도와 소중한 의견 남겨주세요.

www.pipc.go.kr

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91559&page=1&mkind=1&kind=2

 

[개인정보보호 연차보고서 톺아보기-12] 기관별 주요 실적: 헌법기관 4곳

2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적도 정리돼 있다. 먼저 헌법기관인 △국회 △법원 △헌법재판소 △중앙선거관리위원회의 개인정보보호 주요 실적을 소개한다.

www.boannews.com

www.dailysecu.com/news/articleView.html?idxno=114548

 

금융사·기업 대상 협박성 DDoS 공격 확산…보안점검·대비 필요 - 데일리시큐

최근 국내·외 금융사 및 기업 등을 대상으로 비트코인을 요구하는 협박성 DDoS 공격이 지속적으로 발생하고 있어 각 기업 담당자들의 철저한 보안점검과 대비가 필요하다.최근 사례를 보면, 해��

www.dailysecu.com

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29583&key=&dir_group_dist=&dir_code=&searchDate=

 

보호위, '데이터 3법' 해설서 초안 공개

개인정보보호위원회는 개정 개인정보보호법 등 '데이터 3법' 내용을 반영한 개인정보 보호법 해설서를 사전 공..

www.ahnlab.com

 

'Security Study > Securiy News' 카테고리의 다른 글

20.10.08 ( 이란 해커들의 제로로그온 공격, 부산항만공사 개인정보보호의 날 운영, 맥 OS의 보안 T2 칩 취약점 발견, 유럽연합의 암호화 약화 실행 )  (0) 2020.10.08
20.10.07 ( 개인정보보호 연차보고서 - 중앙행정기관, 통일부 북한인권기록센터 위장 공격, 랜섬웨어에 의해 백신 임상 진척 조저 )  (0) 2020.10.07
20.10.05 ( 개인정보보호 연차보고서 - 교육 및 홍보 활동, 북한 해킹그룹 '비글보이즈' 금융권 사이버공격 주범으로 지목, 페이스북 무허가 개인정보 수집한 개발사 고소 )  (0) 2020.10.05
20.09.29 ( 인스타그램 취약점 발견, 떠오르는 EAMS 재택근무 솔루션, 암호화 트래픽에 숨겨진 사이버위협! 대처법은? )  (0) 2020.09.29
20.09.28 ( 개인정보보호 연차보고서 - 환경개선·기술지원·자율규제, '보건의료 데이터 활용 가이드라인' 공개, QR코드 방문 인증 시 동의 1번으로 변경 )  (0) 2020.09.28

티스토리툴바