Q. 최근에 해킹을 통한 개인정보 유출사례가 언론에 많이 보도되고 있는데, 우리 회사의 개인정보 DB에 대한 해킹을 차단하려면 어떤 조치를 취해야 하나요?
A. 정보통신망을 통해 개인정보에 불법적으로 접근하는 행위를 방지하기 위해서 침입차단시스템∙침입탐지시스템 등 접근 통제장치를 설치하여야 합니다.
법령에서 규정하고 있는 필수 보호조치 내용을 알아보도록 하죠.
<정보통신망 이용촉진 및 정보보호 등에 관한 법률>
법령에서 규정하고 있는 필수 보호조치 내용을 알아보도록 하죠.
<정보통신망 이용촉진 및 정보보호 등에 관한 법률>
제28조 (개인정보의 보호조치) ① 정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손을 방지하기 위하여 대통령령 으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다.
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제 장치의 설치ㆍ운영
<정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙>
<사업자의 개인정보 보호조치 기준 (제정 2010.12.30. 행정안전부 고시 제2010-86호)>
<정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙>
제9조(개인정보의 보호조치) ② 법 제28조제1항 및 제67조제1항에 따른 개인정보의 안전성 확보에 필요한 기술적 조치는 다음 각 호와 같다.
2. 개인정보에 대한 권한 없는 접근을 차단하기 위한 암호화와 방화벽 설치 등의 조치<사업자의 개인정보 보호조치 기준 (제정 2010.12.30. 행정안전부 고시 제2010-86호)>
제11조(접근통제) ① 사업자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치∙운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
[접근 통제장치의 종류]
정보통신망을 통한 불법적인 접근을 차단∙통제할 수 있는 장치로는 침입차단 시스템, 침입탐지시스템, 침입방지시스템 등이 있습니다.
[접근 통제장치의 종류]
정보통신망을 통한 불법적인 접근을 차단∙통제할 수 있는 장치로는 침입차단 시스템, 침입탐지시스템, 침입방지시스템 등이 있습니다.
- (침입차단시스템) 일반적으로 방화벽(firewall)이라고도 부르며, “개인정보 처리시스템에 대한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 차단∙제한할 수 있는 시스템”을 말합니다.
- (침입탐지시스템) 사업자의 개인정보처리시스템에 접속한 IP, 트래픽 등을 재분석하여 불법적인 정보 유출시도를 탐지할 수 있는 시스템을 말합니다.
- (침입방지시스템, 기타) 최근에는 침입차단시스템과 침입탐지시스템이 동시에 구현되어 있는 침입방지시스템(IPS; Intrusion Prevention System)이나 웹 방화벽, 보안 운영체제(Secure OS) 등도 널리 이용되고 있다.
[설치 방법]
[설치 방법]
다양한 상용 침입차단∙탐지시스템 및 공개∙무료 S/W 등이 있으므로, 해당 사업자의 규모, 서비스 유형, 개인정보처리시스템 특성 등에 따라 접근 통제장치를 설치∙운영하면 됩니다.
[관련 상식 - 정보보호제품 평가∙인증제도]
[관련 상식 - 정보보호제품 평가∙인증제도]
정보보호제품 평가∙인증제도는 민간업체가 개발한 정보보호제품의 안정성∙신뢰성을 정부가 보증함으로써 사용자들이 안심하고 제품을 사용할 수 있도록 지원하는 제도를 말합니다. 우리 나라에서는 1998년부터 정보보호제품 평가∙인증제도를 도입했으며, 2002년부터는 국제 공통평가기준(Common Criteria)에 따라 정보보호제품을 평가∙인증하고 있습니다.
[벌칙]
[벌칙]
접근 통제장치의 설치∙운영 등 기술적∙관리적 조치를 하지 아니하여 이용자의 개인정보를 분실∙도난∙누출∙
변조∙훼손한 자에 대해서는 2년 이하의 징역 또는 1천만원 이하의 벌금 부과
일정규모 이상의 기업체들은 이러한 보안 제품을 구비할 충분한 여력이 있지만, 중소 업체들은 사실상 보안시스템에 자원을 투입할 여력이 부족하거나 거의 없다고 봐야 합니다. 중소 업체들이 할 수 있는 보안 방식은 없을까요?
[관련 Q&A]
Q. 소규모 사업자는 별도의 개인정보처리시스템 없이 PC만 이용해서 업무를 처리하는 경우가 많습니다. 이런 경우에도 침입차단∙탐지시스템을 설치∙운영해야 하나요?
일정규모 이상의 기업체들은 이러한 보안 제품을 구비할 충분한 여력이 있지만, 중소 업체들은 사실상 보안시스템에 자원을 투입할 여력이 부족하거나 거의 없다고 봐야 합니다. 중소 업체들이 할 수 있는 보안 방식은 없을까요?
[관련 Q&A]
Q. 소규모 사업자는 별도의 개인정보처리시스템 없이 PC만 이용해서 업무를 처리하는 경우가 많습니다. 이런 경우에도 침입차단∙탐지시스템을 설치∙운영해야 하나요?
A. 소규모 사업자의 경우에는 해당 사업자의 규모에 맞게 시스템을 운영하면 됩니다.
- (자체 시스템 및 서버가 없는 중소∙영세 사업자) 인터넷데이터센터(IDC)나 호스팅 업체 등에서 제공하는 보안서비스를 이용
- (개인사업자) PC를 이용해서만 업무를 처리하는 경우에는 PC운영체제에서 자체 제공하는 방화벽 기능을 이용하거나 PC용 침입차단시스템 등의 S/W를 이용
※ Windows XP에서의 방화벽 설정 방법
※ Windows XP에서의 방화벽 설정 방법
시작 → 설정 → 제어판 → 보안센터 → Windows 방화벽 → ‘사용’에 체크 → 확인 클릭
※ 공개용(무료) S/W를 사용하는 경우에는 보안 수준을 사전 점검할 필요가 있음
(한국인터넷진흥원 ‘공개용 웹방화벽을 이용한 홈페이지 보안’ 참조, http://www.krcert.or.kr/firewall2/)
개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)
개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)
'개인정보 보호방법 알아보기' 카테고리의 다른 글
| 보안프로그램은 어떻게 설치 이용 하면 될까? (0) | 2011.08.08 |
|---|---|
| 개인정보 암호화 꼭 해야 하나? (3) | 2011.08.05 |
| 개인정보취급방침을 변경할 때는 (0) | 2011.07.19 |
| 개인정보취급방침을 알리는 방법 (1) | 2011.07.18 |
| 개인정보보호 시작은 개인정보취급방침 작성으로부터 (2) | 2011.07.13 |
