hi.pe.kr 날으는물고기·´″°³о♡

1. 개정시행일 : 2014.12.30.

2. 주요 개정내용 
  - 카드사 개인정보 유출사고 등에 따른 관리적·기술적 보호조치 
  - 보안이 미흡한 모바일 단말기 및 통신망에 대한 보호조치 
  - 개인정보의 안전한 파기를 위한 세부기준 추가 


'개인정보의 안전성 확보조치 기준 해설서'가 개정되었습니다. 

업무에 참고하시기 바랍니다.

개인정보의 안전성 확보조치 기준 해설서.pdf

상황실 설치, 의사결정권자의 단일화 등 대응매뉴얼 신속히 마련해야

http://www.boannews.com/media/view.asp?idx=42138

▲개인정보 유출 규모

개인정보가 유출된 회사들은 고객 사과와 통지를 시작으로 각종 법령상 의무를 이행하고 주무부처의 현장조사와 국회 국정조사 등에 대응하기 위하여 전사적인 인적·물적·금전적 자원을 쏟아부었다. 개인정보가 유출되지 않도록 하는 것이 제일 중요하겠지만, 일단 개인정보가 유출되었다면 법령상 의무를 신속하고 정확하게 이행하고, 주무부처의 행정조사, 수사기관의 수사, 언론기관의 취재 등에 적절하게 대응함으로써 피해를 최소화하는 것이 매우 중요하다.

1. 상황실의 신속한 설치

개인정보 유출 사실을 인지하는 경로는 매우 다양하나, 일단 유출 사실을 알게 되었다면 회사 내규 또는 매뉴얼에 정해진 바에 따라 ‘상황실’을 신속하게 설치하는 것이 중요하다(대부분의 기업들은 보안사고를 등급화 하고 있으나, ‘개인정보’ 유출사고는 가장 심각한 상황으로 설정하고 있다). 개인정보 유출사고가 발생할 경우 민·형사적 이슈는 물론이고 주무부처의 현장 조사와 자료 요구, 언론기관의 취재, 상장기업의 경우 공시 업무까지 하루에도 수십 가지의 중요 의사결정사항이 발생하게 되는데, 평상시의 의사결정 조직으로는 이러한 상황을 감당할 수가 없다.

2. 의사결정자의 단일화

상황실의 경우 정보보호 전담조직이 주를 이루겠지만 그 밖에도 홍보팀, 법무팀 등 여러 부서 관계자가 참여를 하게 된다. 평소에는 별개의 ‘부문’ 또는 ‘본부’에 분산되어 있던 조직이 상황실을 통해 기능적으로 하나가 되기 위해서는 여러 조직을 아우를 수 있는 ‘리더’가 있어야 한다. 그 ‘리더’는 기민한 상황판단과 의사결정을 통해 상황실을 이끌고 대외적 단일 창구 역할을 해야 하며, 이를 위해서는 모든 정보가 상황실을 통해 리더에게 집적되어야 한다.

3. 명확한 권한 위임 체계 수립

명확한 권한 위임 체계가 마련되어 있지 않으면 업무를 지연시키고 오히려 혼란을 가중시키며 결국에는 적절하지 못한 대응을 통해 회사에 2차 피해를 입힐 수 있다. 평상시의 업무체계는 정확성과 신속성의 조화에 기반한 것이므로, 개인정보 유출사고와 같은 비상상황에는 적합하지 않다. 평소와 같이 정보보호 부서에서 현업에 협조전 등 공문을 보내 의견을 조율하는 등의 방식은 회사가 처한 상황에 비추어 볼 때 ‘사치(奢侈)’라고 할 수 있다. 비상(非常) 상황에는 그에 걸맞은 효율적인 업무분장과 간결한 위임체계가 필수적이다.

4. 대외적 접촉 창구 단일화

앞서 본 권한 위임 체계가 대내적 의사소통에 관한 것이라면, 대외적 접촉 창구의 단일화는 대외적 의사소통에 관한 것이다. 상황실이 마련되면 회사의 모든 대외접촉 창구는 상황실 또는 상황실장으로부터 권한을 위임받은 부서(주로 홍보팀)로 단일화 할 필요가 있다.

5. 외부 전문가의 도움 요청

개인정보보호를 관련 업계의 자율에 맡기고 있는 미국과 달리, 우리나라는 법령에서 개인정보보호에 관한 사항을 매우 상세히 규정하고 있고, 위반시 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하는 등 비교법적으로 가장 강력한 처벌규정을 마련하고 있다. 뿐만 아니라 개정 정보통신망법에는 법정손해배상제도도 도입되는 등 ‘개인정보보호’ 문제는 보안의 문제이기에 앞서 법률적 문제다.

출처 : 보안뉴스

1억 4백만건 대규모 개인정보 유출...2차 피해 우려

카드 비밀번호 알려달라 신종사기 기승 예상!

http://www.boannews.com/media/view.asp?idx=39380&kind=1

1억 4백만건의 대규모 개인정보 유출사고를 낸 KB국민카드·롯데카드·NH농협카드 카드사 홈페이지에서 자신의 정보 유출여부에 대한 실시간 확인이 가능하다.

유출된 정보에 카드 비밀번호는 포함되지 않았으나 주민번호·자택전화번호·이메일·자택주소·직장정보·카드번호·유효기간·카드정보·결제정보·신용한도·연소득 등이 포함돼 있으므로 이 정보를 이용해 카드비밀번호를 묻는 보이스피싱 등에 유의해야 한다.

[단독] NH농협카드·KB국민카드·롯데카드 아직 정신 못 차렸나?

개인정보 유출여부 조회하려다 정보유출 더 심해질 수도 
NH농협카드, 조회 서비스 시 개인 및 금융정보 평문으로 전송

http://www.boannews.com/media/view.asp?idx=39383&kind=0

▲NH농협카드 개인정보 유출 페이지에서 인증할 때 입력한 주민등록번호, 휴대폰번호, 본인인증번호 등이 암호회되지 않은 채 그대로 노출된 상태로 전송되는 것을 확인할 수 있다.

허술한 조회 절차로 2차 피해 우려

“NH농협카드의 경우 개인정보 유출조회 이용 시 입력한 개인정보와 금융정보가 모두 평문으로 전송된다”며, “사용자들 간에 같은 무선네트워크를 쓰는 상황에서 입력 문자(평문) 그대로 주요 개인정보가 전송될 경우 해커가 전송되는 모든 데이터를 볼 수 있어 위험하다”

출처 : 보안뉴스