SSI : 삼성 보안 체계 150개 중 13개 항목 만

PIMS : 그래도 개인 정보는 관리하고 있음을 인증



 CCTV 운영 : 사각지대 미존재. 영상은 100만 화소 이상으로 24시간 녹화, 30일 이상 보관

              - CCTV 는 이동하면 안된다.


개인정보 보안 12개 항목과 물리적 보안 1개 항목 결과, 개인정보현황, 암호화, 개인정보 문서보관실 관리가 미흡한 상태로 관리되고 있음.


14년 대비 개인 정보보호 조직구성 개인정보 파기 외 8 개 항목 실성

* 개인정보관리 점검항목 강화로

* 현황 관리가 어렵다.

* 관리 계획 중심은 개인정보보호 활동이 이루어 지고 있다.

* 8개 주민변호 -> 암호화 -> 30개 증가 (용량 증가,메모리 증가, 암호화등 증가. 즉 30% 용량 증가)



SSI 개인 정보보호 점검항목 이해 > (2) 삼성 보안지수 측정 결과 요약


전자 및 금융 계열사는 개인정보 관리 상태가 우우하나, 제조 계열사는 개인정보 파기, 암호화 개인정보 보호 조치가 미흡한 상태임


특하 개인 정보 수집 후 목적 달성 후 파기 항목 취약함

일부 금융 관계사의 임시로 사용되는 임직원 개인 정보문서고 관리가 미흡함

- 통제구역 미지정 및 타 비품(탕비실)과 같이 보관하고 있음


SSI 개인 정보보호 점검항목 이해 > (3) 개인정보 미흡사례

*개인정보는 업무 달성 후 지체 없이 파기해야 하나 일부 관계사에서는 방치 또는 즉시 파기하지 않고 있음 (개인정보보호법 제 29조, 개인정보 파기)


사례1 : 구 인사 시스템 (HR-HUB) 에 개인정보 방치

        -사업부 통합 작업을 위해 임시로 사용한 임직원의 급여 및 연말 정산 .

        - 폐기 대상이라 보안 설정이 없는 상태이며 비인가자에 의한 접근가능


아시아나 항목 개인정보 유출 사례


사례2 : 온라인 쇼핑몰에 고객정보 삭제 미흡

      - 1년 이상 서비스를 이용하지 않은 온라인 쇼핑몰 고객에 대해 장보 주체에게 삭제 30 이전 통지하여하나 삭제 3일전에 통보


사례3 : 대외 서비스의 회원정보 삭제 일부 누락

   - 서비스 미 이용 회원 정보 5일 내 파기 또는 분리 보관 미흡 <수준2>

   - 인터넷 홈페이지는 1년 이상 로그인 없는 회원 정보를 1개원 주기로 삭제하고 있고 일부 고객정보는 미삭제

   - 웹 홈페이지도 1개월 주기로 삭제.


사례4 : 미사융 회원정보 삭제 시, 연계된 개인정보 삭제 미흡

  - 1년 이상 서비스 미사용 회원을 삭제하고 있으니, 14세 미만 회원정보 가입을 위해 입력한 10만여건의 부모 개인정보 (이름, 전화번호) 는 삭제하지않고 방치하고있음



사례5 : 일부 고객정보가 삭제에서 누락되거나 백업 테이블에 보관

  - 대표 홈페이지에 1년간 사용 이력이 없는 일븐 회원 가입자 정보 2,177건이 삭제 되지 않고 보관되어 있었으며, 개벙 백업 테이블에 37,453 건 개인정보가 방치됨


사례6 : 홈페이지에서 개인정보 삭제가 미흡함

 - 사업장 갠학시 스집하는 개인정보 중 보관기간이 지난 만료된 개인정보 7,527건 보유

 - 고객 개인정보 및 내방객/협력직원 개인정보 관리 미흡


 -사례9 : 고객 조민번호가 이ㅕㄹ부 평문으로 저장되어 있음


그것이 알고 싶다. >  DB 접근 제어는 어떻게 적용되는가?


인가된 인원에게만 접근을 허용하여 비인가가자에 의한 개인 정보 유출방지


도입 : 개인정보는 DB 담당자는 모든 정보 접근 가능, 개발자는 업무 정보 및 개인정보 모두 접근 가능

도입후 : 개발자, DB 담장자는 DB 접근 제어를 통해서만 개인정보를 접근 가능. 보안관리자는 DB 접근 제어가 남기는 정보 로그를  정보 오남용 모니터링



관계사 점검 사례 (1) 개인정보 진단 방안 (수집 & 저장)


관련 Compliance 규정에 맞도록 개인정보를 수집하고 안전하게 저장 여부를 확인함


KAIST 개인정보 사례 https://www.kaist.ac.kr/html/kr/kaist/kaist_010506_privacy003.html#a4



관계사 점검사례 - (3) 개인정보 미흡 사례 (암호화 적용 관리 미흡)

- 개인정보는 SQL 문으ㅔ key 를 노출된 하드 코디 하면 안된다.


키 관리는 하드코딩 하면 안되고 별도의 키 서버를 통해 관리 해야 한다.

.


안정하지 않은(MD5,) 는 사용하지 않는다.



ESCORT 차단 정책이 예외 처리된 시스템 운영자 PC 에 mp3 영화 파일 등 인가되지 않은 USB 에서 파일 복사하여 랜섬웨어 등에 취약한 상태

- 태더링을 사용하는 문제점.



(3) 개인정보 미흡사례 (개발사 보안관리 미흡)

 - 운영 서버의 로그파일에 개발시 디버깅용으로 남긴 고객이 주민번호, 계죄번호 등 개인 정보 주요정보가 평문 저장되어 개발자 PC, 파일서버 등에 보관하고 있음

- 로그정보는 별도 서버에 보관





개인정보 보호

[개인정보 파기 관리]



소속 : 화재 정보보호파트



신용 정보법 (제 20조의 2)

개인정보보호법 (제 21조 개인 정보 파기)

정보통신망법 (제29조 개인정의 파기)


대내외 환경

- 실제 14년 3사에서 카드사에서 유출된 개인 정보도 상당수가 탈퇴회원 정보임

- 금융회사 개인정보 특성

-  금융거래 내역, 금융자산 정도, 계좌번호, 상병명, 신용도 정보등

--> 금융사에 대해서는 더욱 엄격한 법령준수 및 도덕적 잣대 적용

--> 불필요한 개인정보를 보유함으로써 발생하는 유출 및 오남용 Rick 제거



개인정보 보호

[위수탁업체 관리]

위수탁업체 == 위탁 + 수탁 업체

위수탁  관리 업체 : 80개~6만 5천건


http://www.boannews.com/media/view.asp?idx=50623


http://www.koreatimes.co.kr/www/news/nation/2016/07/119_209650.html

신고

댓글을 달아 주세요

티스토리 툴바