pages.kr 날으는물고기·´″°³о♡

To disable writing access to USB drives and make all USB drives has only read-only access, follow these steps:

1. Run Registry Editor (regedit).
2. Navigate to the following registry key:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

3. Create a New Key named as StorageDevicePolicies.
4. Highlight StorageDevicePolicies, and then create a New DWORD (32-bit) Value named as WriteProtect.
5. Double click on WriteProtect, and set its value data to 1.

   

Once set, all users on the computer is now blocked and prevented from copying, transferring or writing any files, documents and data to the USB disk drives, without the need to restart or reboot computer. Any attempt to download or copy files to USB drive will return the following error message:

The disk is write protected.
The media is write-protected.
Remove the write protection or use another disk.

To revert and remove the blocked write access to USB drivers, just delete the StorageDevicePolicies registry key, or delete the WriteProtect registry entry, or change the value data for WriteProtect to 0.

The trick works in Windows XP SP2 and SP3, Windows Vista, Windows Server 2003 and 2008.

출처 : mydigitallife.info

정부는 『경제혁신 3개년 계획』 의 "원칙이 바로 선 시장경제" 분야 핵심과제 중 하나로 ｢금융분야 개인정보 유출 재발방지 종합대책｣을 관계부처 합동으로 마련하였습니다. 이번 대책은 최근 발생한 카드사 정보유출과 과거 해킹사고 등에서 드러난 문제점에 대한 근본적․종합적 재발방지 방안을 마련하여 부분적․단편적 대응에 따른 반복적인 정보유출․해킹사고를 차단하고자 합니다.  이번 사고를 계기로 ICT에 기초한 신용사회의 기반을 재구축한다는 차원에서 금융분야 개인정보 보호 및 사이버안전을 획기적으로 제고할 수 있는 방안을 강구하는데 중점을 두었습니다.

이번 "종합대책"은 다음 4가지 기본방향에 따라 마련하였습니다.

1. 개인정보의 '수집-보유·활용-파기' 등 단계별로 금융소비자의 권리 보호 및 금융회사 책임을 대폭 강화합니다.

구체적인 기술적 보안방안에 있어서는 자율권을 부여하되, 유출사고 발생시에는 금융회사에 엄정히 책임을 물어 형식적 기준과 절차만 준수하면 사고가 발생해도 제재를 받지 않는 문제를 방지할 수 있습니다. 

금융회사의 정보슈집을 최소화하고 보관기간을5년으로 단축하는 등 정보를 체계적으로 엄격하게 관리합니다. 주민등록번호는 최초 거래시에만 수집을 하되, 번호 노출이 최소화되는 방식으로 수집하고, 암화화여 제대로 보관하도록 합니다. 또 정보 제공 등의 동의서 양식을 중요사항은 잘 보이도록 글씨를 크게 하고, 필수사항에 대한 동의만으로 계약이 체결되도록 전면개편합니다. 

(자세히 보기 : 정보 처리 관계별 금융소비자의 권리 및 금융회사 책임을 강화합니다.)

2. 금융회사가 확실하게 책임지는 구조를 확립합니다.

CEO 등의 책임을 강화하고 모집인과 제3자에게 제공한 정보에 대해서도 금융회사에 관리책임을 부과합니다. 또한 징벌적 과징금 도입, 형벌과 행정제재 상향을 통해 개인정보보호법 등 정보보호의 일반법보다 책임을 한층 강화하고자 합니다.

(자세히 보기 : 금융회사가 확실하게 책임지는 구조를 확립합니다)​

3. 해킹 등 외부로부터의 전자적 침해행위에 대해서도 기존 대책('13.7월 발표)을 대폭 보강합니다.

주기적인 보안 이행실태 점검․보안전담기구 설치 등으로 상시적인 보안체계 구축합니다. 금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제를 강화하는 한편, 카드결제 정보가 안전하게 처리되도록 단말기를 전면교체합니다. 특히 해킹에 철저히 대응하고, 카드결제과정에서의 정보보호도 한층 강화할 예정입니다.

(자세히보기 : 외부로부터 전자적 침해행위에 대해서도 기존 대책을 대폭 강화합니다)​

4. 이미 계열사와 제3자에 제공되었거나 외부유출된 정보로 인해 잠재적으로 피해가 발생할 가능성에 대해서도 대응방안을 강구합니다.

금융회사가 보유 또는 제공한 정보도 불필요한 것은 즉시 삭제하고, 정보 유출시 대응 매뉴얼을 마련하고, 비상 대응 체계를 구축합니다. 기존 정보로 인한 잠재적 피해 가능성을 차단하고, 신속하고 세밀한 대응을 통해 피해 최소화 및 확산을 억제하도록 합니다.

(자세히보기 : 잠재적으로 피해가 발생할 가능성에 대해서도 대응방안을 강구합니다)​

출처 : http://blog.naver.com/blogfsc/

“개인정보보호 위한 개인정보 취급자의 자발적인 참여가 중요”

[보안뉴스=이규정 NIA 개인정보보호정책단장] 개인정보 취급자는 개인정보를 활용하여 기관의 부가가치를 향상시키고자 하는 노력과 더불어 처리 부주의로 인한 개인정보 유출·침해 등에 대한 사회적 책임도 동시에 가지고 있음을 인지하고 주의 깊은 개인정보 처리가 요구된다.

최근 언론에 자주 등장하는 이슈 중 하나는 외부로부터의 해킹이나 취급자 관리 부주의로 인한 개인정보 유출사고이다. 사이버 공격이나 관리 소홀로 인한 공공·민간기관의 개인정보 유출사고, 피싱, 스미싱 혹은 본인 모르게 공인인증서 재발급로 인한 침해사고 등이 언론에 빈번하게 보도되고 있다.

2011년 ‘개인정보보호법’이 제정·시행되고 있으나 개인정보보호에 대한 사회적 인식 제고나 홍보 노력이 더욱 필요함을 보여주는 사례이다. 개인정보를 처리하는 기관에서는 개인정보 유출·침해사고가 발생하지 않도록 더욱 주의를 기울여야 하고 개인정보보호에 대한 사회적 책임이 무엇보다도 더욱 강조되고 있다. 특히 개인정보를 수집·이용·조회·관리 등 처리하는 내·외부 직원 및 위탁업체 직원 등의 역할이 매우 중요한 상황이다.

개인정보의 가치

일상의 생활에서 처음 대하는 사람과 혹은 어떤 목적을 가진 모임을 하기 위해서 또는 우리는 만나는 사람이 어떤 사람인가를 미리 알아보기 위해 그 사람의 개인정보를 수집하여 확인하게 된다.

만나는 상대방의 개인정보를 기반으로 그 사람의 특징, 지위 및 최근 동향 등을 확인하여 대응함으로서 상대방에게 좋은 인상을 주거나 만족할 만한 결과를 얻으려고 노력한다. 상대방의 개인정보를 수집하여 좋은 결과가 나올 수 있도록 미리 준비를 하는 것이다. 이때 개인정보는 아주 중요한 가치를 가지게 된다.

이와 마찬가지로 개인정보 취급자는 기관의 목적 달성을 위해 다양한 서비스를 고객에게 제공하고자 서비스를 이용하는 정보주체의 개인정보를 가능한 한 많이 확보하여 편하고 손쉽게 서비스를 제공하려고 노력한다. 그러나 정보주체들은 최소한의 개인정보를 공공 혹은 민간기관에게 제공하고자 하는 경향이 있다.

수집한 정보주체의 개인정보를 활용하여 개인정보 취급자는 다양한 목적으로 이를 이용한다. 그런데 대부분의 개인정보 취급자는 서비스 제공과 직접적으로 관련이 없는 필요 이상의 개인정보를 보유하고 있다. 이러한 특성은 ‘개인정보보호법’ 시행과 함께 개인정보 유출사고가 발생하는 경우 처벌의 대상이 될 수 있다는 사실을 인지한다면, 분명히 개선되어야 할 부분이 되었다.

각 기관에서 정보주체의 개인정보는 해당 기관의 목적 달성에 반드시 필요한 자원임과 동시에 기관의 가치 자체를 결정짓는 중요한 요소라고 할 수 있다. 그러나 원하지 않는 개인정보 유출·침해사고가 발생할 경우 기관의 손실을 발생시킬 수 있는 매우 위험한 요소로 작용할 수도 있다.

개인정보 취급자의 개인정보 활용 및 관리

기관에서의 정보주체 개인정보의 활용은 다양한 서비스 제공을 위한 불가피한 수단으로, 개인정보 취급자는 고객의 개인정보를 수집·이용할 때는 항상 오·남용 및 유출·침해에 대한 주의와 개인의 사생활 비밀보호 및 존엄성을 존중하는 자세로 업무에 활용해야 한다.

개인정보 취급자는 개인정보를 수집·이용·제공할 때 법률에 특별한 규정이 있는 경우를 제외하고는 반드시 정보주체의 동의를 받아야 하며 이에 동의하지 않을 경우 서비스 제공의 불이익을 알려주고 개인정보가 필요하지 않은 최소한의 기본 서비스를 제공해야 한다.

개인정보 수집·이용·제공 동의를 받을 때는 최대한 넓게 포괄적인 동의를 받아서는 아니 되며, 동의를 하지 않는 경우라도 서비스 제공 등을 거부해서는 아니 된다. 고객 이외로부터 수집·이용하는 개인정보에 대해서는 고객의 요구가 있는 경우 그 수집 출처, 수집시 이용목적을 알려야 한다.

또한 개인정보를 저장·보관하는 PC 등에 대해서는 안전성 확보조치가 이루어져야 한다. 주민등록번호 등의 고유식별정보나 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 민간정보는 법령에서 요구하는 사항을 만족하고 있는지 확인하고 PC 등에 보관·저장할 때 암호화 등의 필요한 안전한 보호조치를 하고 있는지 등 관리를 게을리 하지 않도록 주의를 기울여야 한다.

개인정보 취급자들이 사적 목적에 개인정보를 이용하지 않도록 권한을 차등 부여하고, 개인정보의 오·남용을 방지하기 위한 로그기록(이력관리)은 위·변조 및 분실되지 않도록 최소 6개월 이상 안전하게 관리해야 한다.

개인정보 취급자는 영문·숫자·특수문자 등을 조합하여 8자리 이상 안전한 비밀번호를 설정해야 하며, 사용하고 있는 PC 등에 보안프로그램을 설치해 자동 또는 일 1회 이상 업데이트가 되도록 설정해 악성코드가 설치되지 않도록 해야 한다. 또한 기관에 보관하고 있는 개인정보가 이용목적을 달성하여 불필요한 경우 복구 또는 재생이 불가능하도록 개인정보를 파기해야 한다.

한편, 개인정보를 기관 내부에서 처리하기에는 어려워 외부 위탁을 하는 경우 문서에 의해서 이루어져야 하며 위탁업무 목적 및 범위, 재위탁의 제한, 안전성 확보 조치, 손해배상 등의 책임사항을 분명히 하여 위탁에 대한 관리·감독을 해야 한다.

또한 외부 위탁업체에 대해서 개인정보 유출·침해가 발생하지 않도록 특별히 주의해야 한다. 법률상 양벌규정에 의해 위탁업체에 대한 관리책임이 업무 용역을 위탁한 개인정보 취급자에게도 있기 때문이다.

개인정보 유출·침해 방지를 위한 자세

지금 사회는 개인정보보호가 기관의 생존에 관한 중요한 문제로 부각되기 시작했다. 기관의 개인정보 취급자의 보호조치를 위해 단순히 기술적 보호 제품을 설치함으로써 개인정보보호 문제가 해결될 수는 없으며 기관의 모든 구성원의 개인정보보호 환경 및 안전한 관리 문화가 어우러진 종합적인 대응 조치가 필요하다.

최근 개인정보 유출·침해사고에 대한 법원의 판결사례에서 보듯이 개인정보 유출·침해는 기관의 사활을 좌우할 정도로 피해 보상, 과징금 부담 등 경제적 손실이 발생되고 있으며 또한 유출·침해사고로 인한 기관의 이미지 실추는 고객의 신뢰 상실은 물론 회복하기 힘든 상황으로 진행될 수 있다.

각 기관의 개인정보 보호책임자는 개인정보보호법령을 위반하지 않도록 관리·감독을 철저히 해야 하며, 내부 취급자에 의한 유출·침해가 발생하지 않도록 정기적으로 보호 점검하는 등 각종 보호조치를 취해야 한다.

개인정보가 목적 외의 이용이나 부주의로 인한 유출이 발생되지 않도록 모니터링 및 접속기록 관리 등을 지속적으로 수행함으로서 사고를 미연에 방지하는 효과도 기대할 수 있으며 위반사항이 발견되는 경우 즉시 시정조치 할 수가 있다.

또한 사고발생에 대한 대응조치를 마련하여 기관 내부직원 및 관련 위탁업체 직원에게 사고발생에 대한 신속한 대응이 이루어질 수 있도록 정기적으로 숙지시켜 고객에 대한 불편함을 최소화 하도록 노력해야 한다.

개인정보를 활용하여 기관의 부가가치를 높이기 위해서는 개인정보에 대한 안전한 보호조치가 우선 이루어져야 하는 시대이다. 기관이 보유하고 있는 개인정보가 유출·침해사고가 발생하지 않도록 지속적인 투자와 관심을 가져야 한다. 비록 예기치 않은 해킹사고 등의 외부 공격으로 개인정보 유출·침해사고가 발생하더라도 개인정보 취급자는 이 사실을 숨기려 하지 말고 신속하고 공개적으로 피해를 최소화 할 수 있도록 보호조치를 강구해야 한다.

개인정보의 유출·침해사고는 해커에 의한 외부 공격인 경우보다 기관 내부의 관리 소홀·부주의로 인해 발생하는 경우가 더욱 많음으로 개인정보보호 책임자 및 취급자는 업무와 관련한 개인정보를 처리함에 있어서 유출·침해사고가 발생하지 않도록 주의해야 하며, 기관의 개인정보 처리방침 및 보호규정 등을 준수하도록 해야 한다. 특히 보호조치 활동은 개인정보를 취급하는 담당자가 상사의 지시나

강요에 의한 것이 아닌 스스로의 자발적인 활동으로 이루어질 수 있도록 하는 것이 바람직하다. 개인정보의 유출·침해사고로 인해 발생하는 범죄행위 등은 기관의 경제적 손실뿐만 아니라 국가 차원의 엄청난 사회적 손실 비용과 개인의 정신적·경제적 피해를 발생시키는 주요 위험요인이므로 개인정보를 취급하는 모두가 사전에 이를 방지하려는 노력과 관심이 절실히 필요한 시점이다.

기관에 있어서 개인정보의 안전한 관리는 단순히 고객관리 보호차원을 넘어 기관의 지속 가능한 성장을 위한 핵심요소라 할 수 있다. 이러한 보호활동은 모든 개인정보 취급자가 자발적으로 참여하는 보호환경 속에서 이루어질 것이다.

[글_이 규 정 한국정보화진흥원 개인정보보호정책단장(lkj@nia.or.kr)]

출처 : 보안뉴스