2016年 정보보호뉴스레터 8月 -...
TRANSCRIPT
정보보호 뉴스레터2016年
8月
매월 첫째 주 월요일은 롯데그룹 정보보호의 날!
롯데 임직원의 보안인식 제고와
개인 정보보호 활동 강화를 위하여 정보보호 위원회는
매월 첫째 주 월요일을
롯데그룹 정보보호의 날로 지정하여 운영하고 있습니다.
2016년 8월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터를 배포하오니
많은 관심과 실질적인 예방을 위한 활동 부탁 드립니다.
Contents
I 쇼핑몰 개인정보 유출 사건1
개인정보란?4
정보보호 위원회 활동9
8月 정보보호 Report – 개인정보(일반)
정보보호 활동 및 교육
7月 정보보호 이슈
개인정보 유출 사고 유형5
개인정보 지키기 (기업)6
개인정보 지키기 (개인)7
정보보호 교육 및 세미나 안내10
Security TIP! TIP! TIP!8
A 항공사 개인정보 유출 사건2
Malvertising3
4
“I 쇼핑몰, 개인정보 천만 건 유출”
1 7月 정보보호이슈 –① I쇼핑몰 개인정보 유출 사건
사건 개요
2016년 5월, 인터파크가 해외 IP를 경유한 외부세력에게 APT 공격
(스피어 피싱 공격)을 받아 1,030여만 건의 개인정보가 유출됨
대응 방안
의심스러운 이메일 수신 시 즉시 신고 (신고전화 | Tel 02-2626-3640)1
메일 내 첨부된 파일 다운로드 및 실행 금지, 본문에 포함된 링크 클릭 금지2
S/W 최신 보안 패치 유지 (Windows, 백신, MS-Office, 플래쉬 플레이어 등)3
공격자
내부 네트워크 해킹4DB 관리자 PC 해킹5DB 서버 접근6고객정보 DB 접근 후 탈취7
1해커가 일반인 A씨의포털 메일 계정 탈취
탈취된 A씨의 포털 메일주소록으로 대량의피싱 메일 발송
2임직원 B씨는업무PC로 해당(외부)메일사용 중 피싱 메일 열람
3
임직원 B씨
악성코드감염
업무 PC로 외부메일 열람 금지4
“웹사이트 취약점을 통한 개인정보 유출사고”
2 7月 정보보호이슈 –② A 항공사 개인정보유출 사건
홈페이지의 고객센터(FAQ) 게시판에서 이용자가 올린
개인정보가 다른 이용자에게 노출되는 사고가 발생함
홈페이지를
사용하지
않는 경우
- 고객 민원 처리 시 중요 고객정보는 홈페이지에 업로드
하지 않고 메일로 수신 민원 처리 후 반드시 삭제
예방법
- 파일 업로드 시 순차적인 파일명이나 파라미터 값을
사용하지 않고, 랜덤한 값으로 저장
5
① A씨가 올린 게시글의 첨부파일
URL을 B씨가주소창에그대로입력
www.aa.co.kr/aa...123
www.aa.co.kr/aa...123
유출 사례
www.aa.co.kr/aa...123
주민등록증, 가족관계증명서, 여권, 전자항공권 사본 등
홈페이지를
꼭 사용해야
하는 경우 - URL 요청 시 반드시 요청한 사용자의 권한을 확인하여
접속 허용 (본인이 작성한 게시글이 아니면 접속 차단)
② B씨는 A씨의 게시글과 첨부파일
등을 그대로 확인 가능함
“광고를 이용한 악성코드 공격, Malvertising”
3 7月 정보보호이슈 –③ Malvertising
6
01. Malvertising이란?
Malware + Advertising 합성어로, 광고를 이용한 악성코드 공격.
광고 서버에 악성코드를 주입하여 광고가 포함된
웹사이트 방문만으로도 악성코드에 감염될 수 있음.
플래시(실버라이트) 광고로 인해
자동으로 악성코드 다운로드3
02. 공격 프로세스
광고에 악성코드가
삽입된 사이트 방문2배너
1 광고 서버 해킹 후악성코드 삽입
악성코드삽입사용자
시스템 감염4
03. 대응 방안
백신 실시간 감시, 네트워크 침입탐지, 행위기반탐지 기능 사용 및
최신 업데이트 적용
광고에 주로 사용되는 Adobe Flash player, MS Silverlight 최신 패치 적용
공격자
“개인정보의 정의 및 유형”
4
7
살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여
개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수
없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)
개인정보의 유형별 분류
8月 정보보호 Report – ① 개인정보란?
※ 개인정보란?
[개인정보보호법 제2조 제1호]
유형 개인정보의 예
인적 사항성명, 주민등록번호, 주소, 본적지, 연락처, 생년월일,
출생지, 이메일 주소, 가족 정보 등
신체적 정보 얼굴, 지문 등의 신체정보 / 의료·건강정보
정신적 정보 대여기록 등의 성향정보 / 사상, 종교 등의 내면의 비밀
재산적 정보 소득, 신용카드번호 등의 개인금융정보 / 신용정보
사회적 정보 교육정보 / 법적정보 / 근로정보 / 병역정보
기타통화내역, IP주소, 웹사이트 접속내역, 이메일 또는
전화메시지, 개인위치정보 등
[2009, ‘행정안전부’ 기준]
5
8
8月 정보보호 Report –② 개인정보유출 사고 유형
“개인정보 유출 3가지 유형 및 사례”
해커에 의한사고
내부자에 의한사고
본인 실수로인한 사고
해커가 악성코드를 포함한 메일을 통해
개인정보 유출
SNS에 기업 정보가 포함된 사진 및
관련된 글을 올림으로써 기업정보 유출
카드사에 파견근무를 하며 고객 개인정보를
USB에 담아 유출
6
9
8月 정보보호 Report –③ 개인정보지키기 (기업)
“기업의 개인정보 유출 예방법”
1
2
3
4
5
개인정보취급자 연 2회 이상 교육
[그룹 정보보호 규정 제21조 제2항]
개인정보 저장·전송 시 암호화
[그룹 정보보호 규정 제46조 제1항]
개인정보 접근 권한 최소화 및
접근 권한 관리 내역 최소 5년 보관
개인정보처리시스템 접근 기록
최소 6개월 이상 보존 및 관리
[그룹 정보보호 규정 제53조 제7항]
개인정보처리시스템 신규 개발 및
리뉴얼 시 보안성 심의 받기
[그룹 정보보호 규정 제21조 제2항]
[그룹 정보보호 규정 제32조 제5항]
2+α
접근 권한
관리 내역
5년
개인정보
처리시스템
6개월
7
10
8月 정보보호 Report –④ 개인정보지키기 (개인)
“개인의 개인정보 유출 예방법”
1
2
3
4
5
비 업무용 사이트 접속 금지
인가되지 않은 이동식 저장매체 사용 금지
개인정보 유출 시
각 사 정보보호 담당자에게 신고
스마트폰
잠금 설정 비밀번호 설정
모바일 앱 설치 전
접근권한 확인하기
위치접근허용?
YES NO
※ 정보보호담당자는 포털 및 [email protected] 에 신고
8
“e프라이버시 클린서비스”
행정자치부와 KISA가 인증기관과 함께 제공하는 인터넷
이용자의 주민등록번호/I-PIN 이용내역을 확인할 수 있는 서비스
Security TIP! TIP! TIP!
① www.eprivacy.go.kr 접속 및 ‘이용내역 조회 서비스’ 바로가기 클릭
② 약관 동의 및 본인인증,
실명인증③ 주민등록번호/I-PIN 이용내역 조회
11
9
12
정보보호위원회활동
1. 2016년 7월 정보보호 실무위원회
일 시 : 2016년 7월 7일(木), 14:00 ~ 18:00
장 소 : 롯데면세점 센터플레이스 20층 교육장 비젼룸
참석자 : 계열사 정보보호 부서장 및 담당자 96명 (49개社)
내 용 : 멤버스 회원정보 동기화 프로세스 소개
정보보호 수준진단 결과 및 개선과제 계획 공유
16년 하반기 정보보호 업무 계획 공유
10 정보보호교육 및 세미나 안내
1) [KISA 아카데미] 최신 보안기술
구분 세부내용
교육명 최신 보안기술
교육일시 2016년 8월 3일(수) ~ 8월 4일(목) (16시간/2일)
교육장소 통계교육원(대전)
교육대상기업체 보안 담당자
보안 신기술 도입 직무 관련자 등
URL http://academy.kisa.or.kr/main.kisa
13
*수강료 무료
2) [KISA 아카데미] 침해사고 분석대응 전문가
구분 세부내용
교육명 침해사고 분석대응 전문가
교육일시 2016년 8월 23일(화) ~ 25일(목) (21시간/3일)
교육장소 사이버보안인재센터
교육대상 기업체 보안 담당자
URL http://academy.kisa.or.kr/main.kisa
*수강료 무료
발행처 : 롯데그룹 정보보호위원회
Homepage: https://secupolicy.net
E-mail: [email protected]
Tel: (02) – 2626-4193
정보보호뉴스레터