1 / 69

사이버위협 대응방법

2007 년 6 월 혁신아카데미. 사이버위협 대응방법. 부산광역시교육청. 1. 사이버침해 위협 동향. 위협 동향. 금전적 이익을 목적으로 하는 웜 · 바이러스 증가 - 금전적 이익을 목적으로 한 트로이목마 , 스파이웨어 등 출현 증가 ☞ 게임 ID/ 비밀번호 , 개인정보 등을 유출 - 웹 사이트 초기화면 , 게시판 , 자료실 등을 주요 전파수단으로 악용 - 불특정 다수보다 특정 그룹을 겨냥하여 공격 ☞ 온라인 커뮤니티 , 게임사용자 , 응용 프로그램 사용자를 겨냥

konala
Download Presentation

사이버위협 대응방법

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 2007년 6월 혁신아카데미 사이버위협 대응방법 부산광역시교육청

  2. 1. 사이버침해 위협 동향 위협 동향 • 금전적 이익을 목적으로 하는 웜·바이러스 증가 • - 금전적 이익을 목적으로 한 트로이목마, 스파이웨어 등 출현 증가 • ☞ 게임 ID/비밀번호, 개인정보 등을 유출 • - 웹 사이트 초기화면, 게시판, 자료실 등을 주요 전파수단으로 악용 • - 불특정 다수보다 특정 그룹을 겨냥하여 공격 • ☞ 온라인 커뮤니티, 게임사용자, 응용 프로그램 사용자를 겨냥 • - 루트킷을 이용한 감염사실 은폐 및 백신프로그램에 의한 탐지 우회

  3. 1. 사이버침해 위협 동향 위협 동향 • 중국발 악성코드 유포 사례 증가 • - 웹 서버를 해킹한 후 웹 사이트 초기화면에 악성코드를 은닉하는 사례가 많이 발생 • - 보안이 취약한 PC를 사용하는 인터넷 사용자가 악성코드가 은닉된 웹사이트를 방문할 경우 악성코드에 감염되어 온라인 게임 ID/비밀번호 등이 유출되는 피해 사례가 빈번히 발생

  4. 1. 사이버침해 위협 동향 위협 동향 • 보안 취약점을 이용한 제로데이(Zero-day) 공격 • - 해킹에 악용될 수 있는 시스템 취약점에 대한 보안패치가 발표되기도 전에, 이 취약점을 악용해 악성코드를 유포하거나 해킹을 시도하는 사이버 공격

  5. 1. 사이버침해 위협 동향 보안 이슈 • P2P(파일공유프로그램)를 통한 자료 유출 • - P2P란 사용자와 사용자간의 통신이 서버를 통하지 않고 개인과 개인이 직접 연결되는 서비스(Peer-to-Peer) • - 대표적 서비스 형태 : 소리바다, 파일구리 등의 응용 프로그램 • - P2P접속 문제 : 공공기관의 내부 직원이 업무용 컴퓨터를 이용하여 P2P접속을 할 경우 접속 컴퓨터에 보관되어 있는 비공개되어야 할 문서나 개인정보 노출 우려가 높음

  6. 시작 → 제어판 → 자동 업데이트를 클릭 → "자동(권장)"을 선택 2. 사이버위협 대응방법 정보보호 실천수칙

  7. http://virus.pen.go.kr접속 → 백신 자동업데이트 해주는 Agent 설치 2. 사이버위협 대응방법 정보보호 실천수칙

  8. 2. 사이버위협 대응방법 정보보호 실천수칙

  9. 2. 사이버위협 대응방법 정보보호 실천수칙

  10. 2. 사이버위협 대응방법 정보보호 실천수칙

  11. 2. 사이버위협 대응방법 정보보호 실천수칙

  12. 2. 사이버위협 대응방법 정보보호 실천수칙

  13. 2. 사이버위협 대응방법 정보보호 실천수칙

  14. 2. 사이버위협 대응방법 정보보호 실천수칙

  15. 2. 사이버위협 대응방법 ※수칙별 자세한 내용은 보호나라(http://www.boho.or.kr)참조 정보보호 실천수칙 • 한글 파일: 파일 → 문서암호 • 엑셀 파일: 도구 → 옵션 → 보안 탭 선택하여 설정

  16. 2. 사이버위협 대응방법 ※수칙별 자세한 내용은 보호나라(http://www.boho.or.kr)참조 정보보호 실천수칙

  17. 개인정보보호의 주요내용 부산광역시교육청

  18. 목 차 1. 일반사항 2. 개인정보 개념 3. 개인정보 유출 사례 및 원인 4. 학생 개인정보의 이용 및 제공 제한 5. 개인정보의 수집·보유·이용 ·제공 제한 6. 단위기관(학교)에서 조치할 사항 7. 개인정보보호를 위한 준수사항 8. 벌칙규정 및 처벌사례

  19. 1. 일반사항 개인정보의 중요성 • 개인정보 = 정보사회의 핵심 인프라 • - 인터넷 뱅킹, 신용카드, 공인인증서 등 • 개인정보 유출시 피해 심각 • 정보주체에게 되돌릴 수 없는 피해를 줌은 물론, • 사회혼란 야기, 정부에 대한 신뢰 손상 ☞야누스의 두 얼굴 - 개인정보, 잘 활용하면 큰 도움, 잘못 이용하면 큰 피해

  20. 1. 일반사항 개인정보보호 법체계 ☞학생 개인정보은 「교육기본법」및「초․중등교육법」이 우선 적용

  21. 1. 일반사항 주요 개인정보 관련 법령 • 교육기본법, 초․중등교육법 • 공공기관의 개인정보 보호에 관한 법률 • - 공공기관의 개인정보 보호에 관한 법률시행령(대통령령) • - 공공기관의 개인정보 보호에 관한 법률시행규칙(총리령) • 지침 및 업무편람 - 공공기관의 개인정보보호를 위한 기본지침(행정자치부, 2006) - 교육(행정)기관의 개인정보보호 업무편람(교육인적자원부, 2006) • - 교육기관 및 교육행정기관의 개인정보보호 업무지침 • (교육인적자원부, 2005)

  22. 적용 범위 • - 컴퓨터에 의하여 처리되는 개인정보 • 컴퓨터 파일의 출력물(인쇄물 포함)도 적용 • -개정안 : 폐쇠회로 텔레비젼에 의해 처리되는 정보(화상)도 추가 1. 일반사항 공공기관의 개인정보 보호에 관한 법률 적용 대상 기관 - 시․도 교육청, 지역교육청 및 소속기관 - 초․중등교육법, 고등교육법 기타 다른 법률에 의하여 설치된각급 학교 등 ☞수작업에 의한 개인정보는 형법 및 기타 개별법에 의함

  23. 2. 개인정보 개념 개인정보의 개념 <공공기관의 개인정보 보호에 관한 법률> • 생존하는 개인에 관한 정보로서 ① 당해 정보에 포함되어 있는 성명ㆍ주민등록번호 등의 사항에 의하거나, 예) 성명, 주민등록번호, 지문, 운전면허번호, 얼굴(초상) 등 ② 다른 정보와 결합하여당해 개인을 식별할 수 있는 정보 예) 학년, 반, 번호 학교명= 학생개인정보 ☞ 특정인을 식별할 수 없는 통계정보는 개인정보에서 제외

  24. 2. 개인정보 개념 개인정보 예시 • 신분정보 : 성명, 주소, 주민등록번호, 본적, 가족사항 등 • 심신정보 : 신장, 체중, 건강상태, 병력, 장애여부 등 • 내면정보 : 사상, 신조, 종교, 정치적 성향 등 • 사회경력 : 학력, 범죄경력, 직업, 자격, 소속정당 등 • 경제정보 : 소득, 재산현황, 거래내역, 신용등급, 채권/채무 • 새로운 유형: 생체정보, 위치정보, 화상정보 ☞ 개인정보는 사회변화와 함께생성ㆍ확대되는 개념

  25. 3. 개인정보 유출사례 및 원인 유출사례1 • 학생 및 학부모 동의없이 학생자료 제공(사설 온라인학교) • - 초등학교에서 학교 홈페이지를 대신 관리․운영해 주는 사설업체에 • 초등학생의 개인정보(학교명, 학년, 반, 번호, 이름)를 • 학생 및 학부모 동의 없이 제공하여 준회원으로 가입토록 함 ☞ 교육적 차원의 운영이지만 학부모 및 학생 개별 서면동의서 필요 ☞ 사설 온라인업체와 계약 시 개인정보보호를 위한 협정서 및 보안 서약서 체결이 필요

  26. 3. 개인정보 유출사례 및 원인 유출사례2 • 홈페이지내 정보의 관리 부적절(반편성 정보) • - 초등학교 홈페이지에 "서울○○초등학교 1학년 2반 4번 남자 김○○보호자 김○○" 등 신입생 반편성 정보가 게재하여 유괴 등에 악용될 우려가 있다고 언론에 보도 • ※ 정보공개의 반편성정보 공개 관련 • ☞ 반편성 원칙과 담당교사는 정보공개 하지만 학생정보는 공개하지 않음

  27. 3. 개인정보 유출사례 및 원인 유출사례3 • 소리바다, 파일구리 등 P2P 사이트에 개인정보가 유출 • - PC(업무용, 자택용)에 P2P 프로그램을 설치하여 개인정보파일이 유출됨으로써 민원이 제기됨 • ☞ 가능하면 P2P를 사용하지 않도록 함 • - 불가피할 때 공유할 폴더를 최소한으로 지정 • - 그 폴더에는 중요한 자료를 저장하지 않음 • -공유목적을 완료한 후에는 반드시 P2P 접속을 종료

  28. 3. 개인정보 유출사례 및 원인 유출의 주요원인 • 개인정보 보호에 대한 인식 부족 • - 교육적 목적, 즉 목적이 타당하면 학생자료를 재량껏 처리해도 무방하다는 인식 존재 • - 개인정보의 이용 및 제공에 대한 법령 및 절차에 이해 부족 • 기술적 보호 조치 미흡 • - 홈페이지 보안설계 미숙으로 인한 기술적 취약점 존재 • - 악성코드(바이러스, 스파이웨어 등)에 의한 자료 유출

  29. 교육기본법 • 학생정보의 제공 • - 학생정보는 법률이 정하는 경우 또는 당해 학생의 동의 • (미성년자의 경우, 학생와 학부모의 동의 필요)에만 • 제3자에게 제공가능 4. 학생개인정보의 이용 및 제공 제한 제23조의3 (학생정보의 보호원칙) • 학생정보의 이용 • - 학생정보는 교육적 목적으로 수집·처리·이용 및 관리되어야 함

  30. 초·중등교육법 4. 학생개인정보의 이용 및 제공 제한 제30조의6 (학생 관련 자료제공의 제한) • 학생의 동의없이 제3자에게 제공할 수 있는 경우 • - 학교에 대한 감독·감사의 권한을 가진 행정기관이 그 업무를 처리하기 위해 • - 학교생활기록을 상급학교의 학생선발에 이용하기 위하여 제공하는 경우 • - 통계작성 및 학술연구 등의 목적을 위한 경우로서 특정 개인을 식별할 수 없는 형태로 제공하는 경우 • - 범죄의 수사와 공소의 제기 및 유지에 필요한 경우 • - 법원의 재판업무수행을 위하여 필요한 경우 • - 그 밖에 관계법률의 규정에 의하여 제공하는 경우

  31. 초·중등교육법 4. 학생개인정보의 이용 및 제공 제한 제30조의6 (학생 관련 자료제공의 제한) • 제3자 정보 제공 시 점검(유의)사항 • - 학생정보의 제공요청은 이용목적을 구체적으로 명기한 문서로 요청 • - 학교의 장은 학생자료를 제3자에게 제공시 이용 목적ㆍ방법 그밖에 필요한 사항에 대한 제한 가능 • - 당해 자료의 안전성 확보를 위하여 필요한 조치 강구를 요청할 수 있음 • - 학생정보를 제공받은 자는 그 본래의 목적(제공받은 목적)으로만 이용 • - 학생 및 보호자의 동의는 명시적인 서면으로 처리 • - 학생자료를 제3자에게 제공한 경우 제공사실을 당해 학생 및 보호자에 통보

  32. 개인정보의 수집범위 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 원칙 • 사상·신조 등 개인의 기본적 인권을 현저하게 침해할 우려가 있는 개인정보는 수집 금지 • ☞ 정보주체의 동의 또는 법률에 근거하여 적법하고 공정한방법에 • 의해 수집 가능 • 그 이외의 개인정보는 소관업무 수행에 필요한 범위 내에서 • 최소한 수집ㆍ보유(목적 타당성 및 최소한의 원칙)

  33. 개인정보의 수집범위 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 수집가능한 개인정보 • 정보주체의 동의가 있는 경우 • - 개인정보를 제공함으로써 일어날 수 있는 상황 등에 대한 • 충분한 설명 후 자발적·명시적 동의가 전제 • 다른 법률에 수집대상 개인정보가 명시되어 있는 경우 • - (예) 의료법 제20조(열람기록등) ③의료인은 응급환자를 다른 의료기관에 이송할 때에는 환자이송과 동시에 초기기록을 송부하여야 한다.

  34. 개인정보의 보유범위 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 • 해당 기관의 소관업무를 수행하기 위해 필요한 최소한의 범위내에서 보유 • - 개인정보화일을 보유하지 않고는 법령상의 기능과 활동을 • 수행할 수 없을 때 • - 기록항목, 개인의 범위, 보유기간을 필요한 범위 내에 한정하여 • 수집·보유

  35. 개인정보 보유 공공기관의 의무 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 • 보유정보의 명칭, 목적, 항목의 범위 등을 행정자치부장관에 통보 • 개인정보화일대장의 작성·비치, 보안조치, 정확성 및 최신성확보 등 • 개인정보의 열람, 정정 및 불복 청구 등 정보주체의 권익보장 등

  36. 개인정보의 이용 및 제공 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 원칙 • 보유목적 외 이용·제공의 원칙적 금지 • - 개인정보를 수집·보유하는 기관이 보유목적에 맞게 • 조직내부에서만 활용하는 것을 의미

  37. 개인정보의 이용 및 제공 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 이용·제공 가능한 경우 • 다른 법률의 규정에 의하여 내부 이용 • - 동일기관내 다른 부서에서 개인정보를 보유목적 외로 이용하고자 할 경우에도 법률적 근거 필요 • 다른 법률의 규정에 의하여 타 기관 제공 • - 이용목적 및 범위를 명시하여 보유기관의 장에게 문서로 처리 • - 개인정보를 제공할 때 「처리정보제공대장」에 기록·관리

  38. 개인정보의 이용 및 제공 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 < 시행규칙, 별지 3호 서식 > 처리정보 제공대장

  39. 개인정보의 이용 및 제공 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 • 타 기관에 제공은 다음 상황을 확인 후 종합적으로 판단 • - 법령상 요청 근거 또는 이용목적 • - 요청목적에 따른 제공항목의 적정성 • - 적절한 보안대책 등 • 타 기관에 제공시 사용목적 및 방법 등에 대한 제한 • - 당해 정보를 이용할 업무를 구체적으로 명시하여 그 외에는 사용제한 • - 다른 개인정보화일 등과의 결합사용(데이터 매칭) 제한 • - 제공된 처리정보의 폐기방법 및 확인에 관한 사항 • - 이용부서나 취급자의 범위 제한 등

  40. 개인정보 이용·제공 제한의 예외 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 • 공공기관의개인정보보호에관한법률 제10조2항 • - 정보주체의 동의가 있거나 정보주체에게 제공하는 경우 • - 다른 법률에서 정하는 소관업무를 수행하기 위하여 당해 처리정보를 • 이용할 상당한 이유가 있는 경우 • - 통계작성 및 학술연구등의 목적을 위한 경우로서 특정개인을 식별할 수 없는 형태로 제공하는 경우 • - 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 • 주소불명등으로 동의를 할 수 없는 경우로서 정보주체외의 자에게 • 제공하는 것이 명백히 정보주체에게 이익이 된다고 인정되는 경우

  41. 개인정보 이용·제공 제한의 예외 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 • 공공기관의개인정보보호에관한법률 제10조2항 (계속) • - 범죄의 수사와 공소의 제기 및 유지에 필요한 경우 • - 법원의 재판업무수행을 위하여 필요한 경우 • - 기타 대통령령이 정하는 특별한 사유가 있는 경우 ☞ 최소한의 자료만 제공 ☞ 다만, 정보주체 또는 제3자의 권리와 이익을 부당하게 침해할 우려가 있다고 인정되는 때에는 예외가 인정되지 않음

  42. 개인정보의 이용 및 제공 5. 개인정보 수집 ·보유 ·이용 ·제공의 제한 • 처리정보의 재제공 금지 • - 제공받은 기관은 보유기관의 동의 없이 처리정보를 • 다른 기관에 제공할 수 없음 • 보유 목적 달성 등 보유가 불필요하게 된 경우 지체없이 파기

  43. 개인정보 보호를 위한 체제 정비 < 계획에 포함될 내용 > - 당해연도 개인정보보호 기본방향 - 개인정보 보유현황 - 개인정보보호책임관 및 정보관련 담당자 변동사항 - 직원 교육계획 등 6. 단위기관(학교)에서 조치할 사항 • 기관별 자체계획 수립·시행 • 개인정보 보호 책임관 지정·운영 • 개인정보 침해신고의 신속한 처리 • 개인정보처리시스템에 대한 조치사항 • 개인정보보호에 관한 교육 실시

  44. 개인정보 보호를 위한 체제 정비 • 개인정보보호책임관: • 기관의 장 • 총괄보호책임관: • 정보화 총괄부서의 장 • (학교의 경우, 교감) • 분야별보호책임관: • 개인정보 보유부서의 장 • <개정안> • - 개인정보관리책임관 지정 6. 단위기관(학교)에서 조치할 사항 • 기관별 자체계획 수립·시행 • 개인정보 보호 책임관 지정·운영 • 개인정보 침해신고의 신속한 처리 • 개인정보처리시스템에 대한 조치사항 • 개인정보보호에 관한 교육 실시

  45. 개인정보 보호를 위한 체제 정비 < 기본지침, 별지 1호 서식 > 개인정보 침해신고 처리대장 6. 단위기관(학교)에서 조치할 사항 • 기관별 자체계획 수립·시행 • 개인정보 보호 책임관 지정·운영 • 개인정보 침해신고의 신속한 처리 • 개인정보처리시스템에 대한 조치사항 • 개인정보보호에 관한 교육 실시

  46. 개인정보 보호를 위한 체제 정비 • 업무별 접근권한 설정 및 • 주기적인 비밀번호 변경 • 단말기·시스템 등 사용하지 • 않을 경우 반드시 전원차단, • 화면보호기 비밀번호 설정 • 데이터 접근내역 등을 • 자동기록하는 로그파일 생성 6. 단위기관(학교)에서 조치할 사항 • 기관별 자체계획 수립·시행 • 개인정보 보호 책임관 지정·운영 • 개인정보 침해신고의 신속한 처리 • 개인정보처리시스템에 대한 조치사항 • 개인정보보호에 관한 교육 실시

  47. 개인정보 보호를 위한 체제 정비 • 개인정보취급자 뿐 아니라 • 전직원에게 전달교육 6. 단위기관(학교)에서 조치할 사항 • 기관별 자체계획 수립·시행 • 개인정보 보호 책임관 지정·운영 • 개인정보 침해신고의 신속한 처리 • 개인정보처리시스템에 대한 조치사항 • 개인정보보호에 관한 교육 실시

  48. 보유 개인정보의 대국민 조치사항 <사전통보 목적> - 보유․관리하고 있는 개인정보 고시 - 국민이 자신과 관련된 개인정보의 기록을 열람, 정정 청구 가능토록 함 - 개인정보 신뢰성 확보,국민 권익보호 <개정안> - 사전통보 ⇒ 사전협의 6. 단위기관(학교)에서 조치할 사항 • 개인정보화일의 사전통보 • 개인정보보호화일대장 작성 • 개인정보화일의 열람 • 개인정보 정정 • 개인정보화일대장의 열람장소 지정

  49. 보유 개인정보의 대국민 조치사항 6. 단위기관(학교)에서 조치할 사항 ※ 사전통보의 적용 제외 - 보유기관의 내부적 업무처리만을 위하여 사용되는 개인정보화일 ·급여관리, 인사관리 등 업무효과가 기관내부나 기관의 직원에게만 미치고 기관외부의 개인․단체에는 미치지 않는 파일 ☞ 학생정보는 교육 등을 목적으로 하는 것으로 내부적 업무처리를 위한 정보가 아님 - 다른 법령에 의하여 비밀로 분류된 개인정보화일 - 다른 법령에 의하여 일반에게 공개하도록 되어있는 처리정보기록 파일 - 자료, 물품 또는 금전의 송부 등의 목적만을 위한 개인정보화일

  50. 보유 개인정보의 대국민 조치사항 6. 단위기관(학교)에서 조치할 사항 ※ 사전통보 제외대상 개인정보화일의 관리 ☞ 사전통보대상에서 제외되는 개인정보화일은 - 관보공고대상(법 제7조)과 - 개인정보화일대장 작성․비치(법 제8조)에서 제외 ☞ 그러나, 아래의 적용을 받음 - 개인정보의 안전성확보에 관한 규정(법 제9조) - 처리정보의 이용 및 제공의 제한에 관한 규정(법 제10조) - 개인정보취급자의 의무에 관한 규정(법 제11조) - 벌칙에 관한 규정(법 제23조) 등

More Related