20.10.19 ( 개인정보보호 연차보고서 - 위원회 4곳, 배송 실패 관련 DHL 사칭 악성메일, 보안 강화 2단계 인증 및 주요 IT 서비스 인증방법 )
1. 개보위의 개인정보보호 연차보고서 - 공정거래위원회·금융위원회·국민권익위원회·원자력안전위원회
(1) 공정거래위원회
가. 개인정보처리시스템 안전성 확보
공정거래위원회(공정위)는 개인정보 처리 시 안전성 확보를 위해 개인정보처리시스템에 대한 관리실태 점검을 하여 불필요한 개인정보 백업파일을 삭제하고 개인정보가 저장되는 데이터베이스에 대한 취약점 여부도 점검해 점검 결과 나타난 문제점을 보완 조치했습니다.
개인정보의 접속기록 수집, 보관, 통합 관리를 위한 개인정보 접속기록관리시스템을 도입하여 개인정보처리시스템을 대상으로 모든 접속로그를 저장하고 정기적으로 부정행위를 점검하는 등 관리 수준을 강화했습니다. 또한, 개인정보처리시스템 외에 개인별 업무용 PC에 보관 중인 개인정보에 대한 일제정비를 통해 보유 목적을 달성한 개인정보는 파기하고 업무처리 등을 위해 보유 중인 개인정보는 DRM(Digital Rights Management) 후 보관하도록 조치했습니다.
나. 개인정보 침해대응 및 유출, 노출 예방 활동
공정위는 24시간 보안관제를 실시하는 사이버안전센터를 운영하고 있으며, 이를 통해 위원회 및 소속·산하기관의 홈페이지를 통한 상시 점검을 하고 있습니다. 이와 함께 각종 홈페이지의 보안취약점을 정기적으로 점검 조치함으로써 보안수준을 강화하고, 침해사고 발생에 대비한 침해사고 위기대응 훈련을 매년 실시하고 있습니다.
다. 개인정보보호 교육 및 홍보
공정위는 대상별 개인정보보호에 대한 인식 향상을 위한 교육을 진행했으며, 용역사업자 대상으로 개인정보 업무처리 기준사항에 따른 맞춤형 교육을 실시하여 개인정보보호 관련 업무를 체계적으로 관리했습니다. 또한, 외부 전문교육이나 워크숍 등 외부 활동으로 개인정보보호 역량을 강화했으며, 직원들의 개인정보보호 인식 제고를 위해 노력하고 있습니다.
(2) 금융위원회
가. 개인정보보호 정책 및 제도 개선
금융위원회는 개인정보 수집현황을 주기적으로 조사하여 과대하게 보유하거나 불필요한 개인정보파일을 정비함으로써 개인정보 처리의 적정성과 투명성을 확보했습니다. 개인정보처리시스템상 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기하고, 개인정보파일대장을 현행화했습니다. 업무용 PC에 보유하고 있는 불필요한 개인정보를 삭제하고, 업무에 필요한 개인정보는 암호화 조치했습니다.
나. 개인정보보호시스템 운영체계 강화
금융위 및 산하기관의 개인정보 관리실태 자가진단을 실시하고 미흡한 사항에 대해서는 보호대책을 수립했습니다. 개인정보 수집현황을 전수 조사하여 불필요한 개인정보 수집을 중단하고, 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기했으며, 개인정보파일대장을 현행화했습니다. 또한, 개인정보파일을 점검하여 불필요한 개인정보를 삭제하고 업무에 필요한 개인정보는 암호화를 실시했습니다. 그리고 정보화 조직 및 개인정보보호 전담인력 확보를 위해 관련 기관 및 부서와 지속적으로 협의하고, 정보화 예산 편성 시 개인정보보호 활동을 위한 소요비용을 산정하여 사업 추진 기반을 확보하는데 노력했습니다.
다. 개인정보보호 교육 및 홍보
대상별로 차별화된 교육 계획을 수립하여 자체 집합교육을 실시하고, '금융정보보호 콘퍼런스 2019'를 개최하여 금융보안에 대한 최신 정보와 지식을 공유했습니다. 또한, 개인정보보호 관리수준 향상과 상호 정보 공유를 위해 산하기관과의 워크숍을 정기적으로 개최하고 있습니다.
(3) 국민권익위원회
가. 개인정보보호 인프라 강화를 통한 개인정보 유출 및 노출 방지
국민권익위원회(권익위)는 개인정보 처리 업부 수탁자를 통한 개인정보 유출 및 노출을 방지하고 사이버보안을 강화하기 위해 기관 내에 상주하는 외부업체 직원 인터넷용 PC를 대상으로 VDI(Virtual Desktop Infrastructure) 체계를 구축했습니다. 또한, 업무망 PC에 개인정보를 보유하는 것을 지양하고 불가피하게 보유해야할 경우 암호화 조치를 할 수 있는 솔루션을 적용하여 매월 개인정보 보유현황을 전수조사하고 고유식별정보에 대해 암호화 조치를 취하고 있습니다. 이러한 조치를 통해 불필요한 개인정보를 보유하지 않도록 하며 개인정보 유출 및 노출 방지를 강화했습니다.
나. 개인정보 수집 최소화를 통한 개인정보보호 강화
권익위는 행정규칙을 제·개정함에 있어 관행적인 개인정보 수집실태를 점검하여 불필요하거나 반복적인 개인정보 수집을 제한하고 업무 수행 시 필요한 최소한의 개인정보만 수집하도록 개선 권고하는 개인정보 수집 최소화를 지속적으로 추진했습니다. 이를 통해 4개 예규 29종 서식에서 수집하는 주민등록번호를 생년월일 등으로 대체하도록 관련 규칙을 개정해 정보주체의 개인정보보호를 강화했습니다.
다. 개인정보보호 의식 고취를 위한 개인정보보호 교육 추진
권익위는 개인정보취급자의 개인정보보호 의식을 고취하기 위해 전 직원을 대상으로 2회에 걸쳐 594명이 참여하는 집합교육을 실시했으며, 개인정보 처리 업무 수탁자를 대상으로 총 35회에 걸쳐 연인원 2,014명이 참여하는 개인정보보호 교육을 실시했습니다.
(4) 원자력안전위원회
가. 개인정보보호 기준 마련·보급 및 법·제도 개선 연구
원자력안전위원회(원안위)는 개인정보 침해유출사고에 대한 신속 대응으로 피해를 최소화하기 위해 '개인정보 침해유출사고 대응 절차서'와 수집한 개인정보를 목적과 다르게 이용하거나 제3자에게 제공하는 경우 준수사항 및 제공방법 등을 담은 '개인정보 목적 외 이용 및 제3자 제공 절차서'를 개인정보보호 관련 법률의 개정 내용에 맞춰 개정했습니다. 또한 '개인정보보호 내부관리계획'을 보완하여 개인정보 누출사고 방지를 위한 기반을 마련했습니다.
나. 개인정보보호시스템 강화 및 개인정보 모니터링 시스템 개선
2019년에 신설된 행정사무정보화 사업을 통해 원안위의 개인정보보호시스템 강화를 위한 홈페이지 개편·매체제어 시스템 고화를 추진했으며, 개인정보보호시스템을 강화했습니다. 또한, 비예산 분야에서도 불필요하게 수집되는 개인정보가 최소화되도록 노력했습니다.
다. 개인정보보호 교육 및 홍보 강화
원안위는 개인정보보호 관련 인식 제고를 위해 교육 대상별 차별화된 개인정보보호 교육 계획을 수립하고 시행하고 있습니다. 개인정보보호책임관과 개인정보보호담당자는 전문 교육 및 워크숍에 참석하여 역량을 강화했으며, 전 직원을 대상으로 사이버 교육과 전문강사 초청 개인정보보호 교육을 실시했습니다. 그리고 수탁기관 근무자를 대상으로 시스템 관리 방안, 침해사고 유형과 예방 및 대응 방안에 대한 교육을 실시했습니다.
2. 배송 실패 관련 DHL 사칭 악성메일
배송 분야 세계 1위 업체인 DHL 익스프레스를 사칭한 악성 메일이 유포 중이라고 합니다.😐
발신자 이름은 DHL 코리아이며 한국어를 사용하고 있으며 DHL 배송 실패 관련 내용으로 국내 이용자들을 노린것으로 보인다고 합니다.😮
DHL 이미지와 배송조회, 배송실패 등의 문구를 사용하여 속기 쉬우며, 첨부된 링크는 클라우드 서비스인 '드롭박스'로 연결되어 악성 HTML 파일을 다운하게 만든다고 합니다.
다운로드된 HTML 파일을 실행하면 브라우저 알림창이 생성되고 배송확인을 위해 로그인을 하라고 합니다.
알림창을 닫은 후 가짜 DHL 로그인 화면을 볼 수 있습니다. 여기서 로그인을 하면 공격자의 서버로 유출이 된다고 합니다. 이 때 사용자는 운송장정보가 표시된 페이지로 연결되어 피해 사실을 알아채기도 힘들다고 하네요.😣
DHL은 암호 및 기타 개인정보를 이메일로 요청하지 않는다고 합니다. 의심스러운 이메일을 받게 되면 DHL 고객 서비스나 경찰청, KISA 118센터에 신고하라고 권고하고 있다고 합니다.😀
3. 보안 강화 2단계 인증 및 주요 IT 서비스 인증방법
비밀번호는 각종 서비스를 이용할 때 인증하는 기본 수단입니다. 보통은 대소문자, 숫자, 특수문자를 포함한 암호가 쓰이죠. 하지만 비밀번호를 복잡하게 설정하더라도 부주의로 인해 노출되거나 키로깅 같은 공격으로 유출될 가능성이 존재합니다.😀
이러한 위험을 방지 방법이 2단계 인증(2채널 인증)이라고 합니다. 비밀번호를 입력하여 1차 인증을 하고 ARS, 보안카드, OTP, 이메일 등 여러 수단을 활용하여 이루어지는 방식이죠.😁
2단계 인증을 사용하게 된다면 1차 인증 수단인 비밀번호를 유출하더라도 자신의 계적을 안전하게 보호할 수 있습니다. 또한 자신이 로그인 시도를 하지않았을 때 2차 인증과 관련한 메시지를 받을 경우 노출되었다는 사실도 인지할 수 있습니다. 그래서 많은 인터넷 서비스 기업이 2단계 인증 기능을 갖추고 있다고 합니다.😀
우선 네이버 같은 경우에는 밑의 그림과 같이 2차 인증을 설정할 수 있습니다. 기본적으로 네이버 앱을 스마트폰에 설치한 후 앱에 로그인 해야 하며, 이후 등록절차를 통해 앱과 스마트폰을 2단계 인증에 사용할 수 있다고 합니다. 향후 네이버 계정에 로그인을 시도할 경우 앱을 통해 2단계 인증 요청 메시지가 전달된다고 합니다.
카카오는 카카오 계정으로 정보를 통합했을 경우 카카오톡을 2단계 인증에 사용할 수 있다고 합니다. 방식은 네이버와 동일하다고 합니다.
구글은 더많은 방식을 지원한다고 합니다. 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다고 합니다. 안드로이드 스마트폰 사용자라면 구글앱과 스마트폰이 기본 설정이며, 추가적으로 문자메시지, 물리 보안키 등을 이용할 수 있다고 합니다. 물리 보안키 같은 경우는 USB 형태가 있지만, 일부 스마트폰에도 해당 기능이 내장되어 있다고 합니다. 만약 스마트폰을 물리 보안키로 등록해놨다면 새로 PC에서 로그인 시 블루투스를 켠 상태에서 진행해야 한다고 하네요.😁
애플 계정에도 2단계 인증을 설정하는 것이 가능하다고 합니다. 기본적으로 문자메시지를 이용하지만 아이폰 사용자가 자신의 단말기를 신뢰할 수 있는 기기로 등록할 경우 애플의 다른 기기에서 로그인 시도 시 아이폰 화면에 메시지가 즉시 나타난다고 합니다.😀
IOS 10.3 버전 이상 : 아이폰 설정 -> 사용자 이름 -> 암호 및 보안
IOS 10.2 버전 이하 : 설정 -> I-Cloud -> Apple ID -> 암호 및 보안
인스타그램은 우측 상단에 있는 자신의 프로필을 누른 뒤 설정을 선택하고 공개 범위 보안에서 2단계 인증 항목을 이용하면 설정할 수 있다고 합니다. 문자메시지나 인증 앱을 이용하며, 인증 앱의 경우 PC에서는 설정할 수 없다고 합니다. 인증 앱은 인스타그램이 권장하는 듀오 모바일 혹은 구글 OTP 등 외부 앱을 이용한다고 합니다.😀
게임 프로그램인 스팀은 OTP 방식의 2단계 인증 기능인 'Steam Guard'를 지원한다고 합니다. 설정 방법은 스마트폰에 스팀 앱을 설치하고 메뉴 상단에 있는 Steam Guard 항목을 선택하면 '인증기'를 추가할 수 있다고 합니다.
2단계 인증은 보안 성능을 크게 높여줄 수 있는 기능이며 설정만 해도 해킹으로부터 상당수 막을 수 있다고 합니다. 하지만 스마트폰을 분실하게 된다면 무용지물이 될 가능성이 높다고 합니다. 그렇기 때문에 스마트폰 화면 잠금을 단순 패턴 및 간단한 비밀번호로 설정하는 것보다는 생체인식 기능을 적극 활용할 필요가 있다고 합니다. 또한 원격에서 스마트폰을 찾아 기기를 잠그거나 초기화하는 킬 스위치 기능을 알아두는 것도 도움이 될거라고 합니다.😀😁
출처
www.boannews.com/media/view.asp?idx=91860&page=1&mkind=1&kind=2
[개인정보보호 연차보고서 톺아보기-15] 공정위·금융위·국민권익위·원안위
2020 개인정보보호 연차보고서에는 기관별 개인정보보호 주요 실적도 소개하고 있다. 중앙행정기관 중 △공정위 △금융위 △국민권익위 △원안위의 개인정보보호 주요 실적을 살펴본다.
www.boannews.com
배송 확인하려다 정보 '탈탈'…DHL 사칭 악성메일 '비상'
배송 분야 세계 1위 업체인 DHL익스프레스(이하 DHL)를 사칭한 악성 메일이 유포 중인 것으로 나타났다. 17일 국내 ..
www.ahnlab.com
www.boannews.com/media/view.asp?idx=91836&page=1&mkind=1&kind=5
보안 강화 2단계 인증, 주요 IT 서비스 인증방법 총정리
비밀번호는 각종 서비스를 이용할 때 본인에게 해당 서비스를 이용할 권한이 있다는 사실을 인증하는 수단이다. 짧은 4자리 숫자(PIN)에서부터 대/소문자, 숫자, 특수문자를 포함한 암호까지 다��
www.boannews.com