개인정보보호교육(사업자- 고급)

hoegon kim·2022년 12월 19일
0

정보보안교육

목록 보기
10/22
post-thumbnail

개인정보보호교육 전문과정

1. 최신 동향에 따른 개인정보 책임자 주요업무

지정의무를 재대로 하지않은 기업 사례

  1. 개인정보와 데이터를 수집하는 이유,
    개인정보보호 설정과 정보보안 등을 소개하지만,
    개인정보 보호책임자를 지정한 항목이 없음

  2. 정보보호 책임자를 지정하는 대신 편법적으로 온라인과 우편으로 문의하도록 본사 프라이버시 팀 주소를 명시함

  3. 개인정보 처리방침에 대한 질문이나 회원 개인정보, 쿠키 또는 유사 기술 이용에 관해 질문이 있는 경우 개인정보 취급 관련 부서에 문의하라며 이메일 계정만 공개함

학습 목표
1.주요사례를 통하여 최신 정보보호 동향을 알 수 있다.
2.정보보안 위협 및 특징을 알 수 있다.
3.개인정보 보호책임자의 주요 업무를 알 수 있다.
4.개인정보 처리단계를 이해할 수 있다.

학습내용
1. 주요사례를 통하여 최신 정보보호 동향
2. 정보보안 위협 및 특징
3. 개인정보보 보호책임자의 주요 업무
4. 개인정보 처리단계의 이해

KEY WORD

개인정보
: 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정 개인을 알아 볼 수 있는 부호, 문자, 음성 및 영상 등의 정보를 말함

개인정보 책임자
: 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말함

개인정보처리시스템
: 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말함

랜섬웨어
: '몸값(Ranson)'과 '소프트웨어(Software)'의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫음

복호화
: 암호화 과정의 역과정으로 암호 알고리즘에 의하여 암호문을 평문으로 바꾸는 과정을 말함

정보보안
: 정보통신수단에 의하여 처리, 저장, 소통되는 정보를 보호하거나 도청 및 해킹 등 외부위협으로부터 취약요인을 제거하기 위한 각종 수단과 방법을 말함

1.주요사례를 통하여 최신 정보보호 동향

1) 침해사고로 인한 랜섬웨어 감염

홈페이지 제작 전문업체 | 호스팅 업체 사례

  • 해외 해커 그룹의 랜섬웨어 공격을 당해 전용 서버가 암호화

  • 가장 중요한 DB영역이 최신기술로 암호화되어 복구에 차질이 있는 상태

  • 보안 시스템이 제대로 갖춰져 있지 않아 보안에 취약함

  • 해커가 로그기록 등 흔적을 지워 해킹경로 추적도 어려운 상황

2) 랜섬웨어 유포를 위한 악성메일 활용

공공 거래 위원화를 사칭한 악성메일 사례

  • 공정거래위원회를 사칭한 악성메일을 통해 갠드크랩 랜섬웨어 유포

  • 경찰 검찰 우체국 등 공신력 있는 기관을 사칭하여 이메일 문자 등으로 랜섬웨어 감염 유도

3) 부주의로 인한 환경설정 미흡으로 개인정보 노출

여행사의 실수 및 부주의로 인한 개인정보 노출 사례

  • 특정 여행사에서 여권번호, 카드번호, 카드 유효기간, 비밀번호 앞 2자리 등 개인정보를 웹사이트에 그대로 노출

  • 중요 개인정보가 암호화 조치 없이 관리되고 있어 개인정보보호법 안전성 확보조치 위반에 해당

  • 중요한 개인정보를 다루는 여행 업종에서 개인정보 유/노출 사고가 반복적으로 발생하고 있어 개인정보 관리 부실과 자율 규체의 문제점 제기

4) 무역대금 사기(사회 공학적 공격)

  • 글로벌 기업인 G기업의 비밀번호 재설정 기능을 악용하는 것을 악용하여, 공격자가 사용자에게 정보를 획득하는 사회 공학적 공격 사례 발생

2. 정보보안 위협 및 특징

1) 해킹도 비즈니스?

2) 랜섬웨어

  • 최근 취약점 공격 도구 매그니튜드 익스플로잇 킷을 이용한 매그니베르 랜섬웨어 변종이 나타나 국내에 피해를 주었음

  • 복호화가 불가한 랜섬웨어 제작

3) 개인정보 불법 유통

4) 개인정보 유출

3. 개인정보 보호책임자의 주요업무

1) 개인정보 보호책임자의 지정

정보통신서비스 제공자는 소비자의 개인정보를 보호하고 고충을 처리하기 위해 개인정보 보호 책임자를 지정

  • 개인정보보호 계획의 수립 및 시행
  • 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  • 개인정보처리와 관련한 불만의 처리 및 피해 구제
  • 개인정보 유출 및 오용 남용 방지를 위한 내부통제시스템의 구축
  • 개인정보보호 교육 계획의 수립 및 시행
  • 개인정보파일의 보호 및 관리 감독
  • 개인정보 처리방침의 수립 변경 및 시행
  • 개인정보보호 관련 자료의 관리
  • 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

지정 면제 사유가 있는 경우

  1. 상시 종업원 수가 5명 미만인 경우
  2. 전년도 말 기준으로 직전 3개월간의 일일 평균 이용자가 1천명 이하인 자의 경우

4. 개인정보 처리단계의 이해

1) 개인정보 처리 단계

개인정보 수집
: 이용자의 개인정보를 '이용자의 동의', '법률에 근거' 하는 등 법률에서 명시하고 있는 방식으로 적법한 절차를 거친 후 수집하는 행위

개인정보 이용 및 제공
: 수집한 이용자의 개인정보를 내부에서 업무 목적으로 이용하거나 법률에서 명시하고 있는 방식으로 적법한 절차를 거친 후 제3자 혹은 제3의 기관에 제공하는 행위

개인정보 저장 및 관리
: 개인정보처리시스템에 대한 접근권한 등 기본적인 보안대책으로 기술적 관리적 물리적 조치를 마련하는 행위

개인정보 파기
보유기간이 만료되거나 이용목적을 달성한 이용자의 개인정보를 안전한 방식으로 파기하는 행위

2) 개인정보 처리단계별 주요 요구사항

3) 개인정보 처리단계의 주요 문제점

2. 개인정보 처리단계별 조치사항

학습목표

  1. 개인정보 수집단계 조치사항
  2. 개인정보 이용 및 제공 단계 조치사항을 알 수 있다.
  3. 개인정보 저장 및 관리단계 조치사항을 알 수 있다.
  4. 개인정보 파기 단계 조치사항을 알 수 있다.

학습내용

  1. 개인정보 수집 단계 조치사항
  2. 개인정보 이용 및 제공 단계 조치사항
  3. 개인정보 저장 및 관리단계 조치사항
  4. 개인정 파기 단계 조치사항

키워드

고유식별정보
법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호등을 말함

내부관리계획
정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말함

민감정보
사상, 신념, 노동조합/정당의 가입정보, 정치적 견해, 건강 등에 관한 정보로 정보주체의 사생활을 현저히 침해할 우려가 있는 정보를 말함

소셜플랫폼
SNS가 정치, 경제, 사회, 문화 같은 일상생활의 자리매김하면서 모든 서비스를 제공하는 플랫폼으로 발전한 것을 말함

  1. 개인정보 수집 단계 조치사항

1) 이용자의 동의
개인정보 수집 시 고지사항
01. 개인정보의 수집 이용 목적
02. 수집하는 개인정보의 항목
03. 개인정보의 보유 및 이용 기간

이용자 동의 없이 수집할 수 있는 경우
01. 계약 이행을 위해 필요한 경우로, 경제적 기술적 사유로 동의 획득이 곤란한 경우

  1. 요금정산을 위해 필요한 경우

  2. 다른 법률에 특별한 규정이 있는 경우

2) 민감정보의 수집
민감정보의 처리 기준

  • 개인의 기본적 인권을 현저하게 침해할 우려가 있는 개인정보 수집 금지

  • 민감정보는 원칙적으로 처리금지

예외
이용자의 별도 동의
법령에서 구체적으로 처리를 요구하거나 허용하는 경우

3) 고유식별정보 처리제한

  • 고유식별정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 안전성 확보 조치

  • 주민등록번호를 대체할 수 있는 수단 제공

01 대상
모든 개인정보 처리자의 제공의무

02 방법
휴대폰 인증, 공인인증서 등으로 대체수단 제공

4) 만 14세 미만 아동
만 14세 미만 아동의 개인정보를 수집 이용 제공하는 경우

법정 대리인 (부모 등)의 동의가 필요함

  1. 지정후견인
  2. 법정후견인
  3. 선정후견인

5) 필요최소한의 개인정보 수집

  • 최소한의 개인정보는 '해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보'를 말함

  • 이용자가 최소정보 외의 정보를 제공하지 않음을 이유로 서비스 제공 거부 금지

  • 본질적 기능수행과 상관없는 개인정보 수집은 선택동의 항목으로 구분

  1. 개인정보 이용 및 제공 단계 조치사항

1) 개인정보 목적외 이용금지

2) 처리위탁과 제3자 제공 구분

3) 개인정보 처리위탁

4) 개인정보 제3자 제공

정보통신서비스 제공자 외에 제3의 이익이나 사업목적 달성을 위해 개인정보를 제공하는 경우

제3자 제공시 의무사항

고지의무

  • 제3자에 대한 제공시 이용자에게 고지
  • 동의 거부 시 불이익 사실 고지 의무
  • 목적 외 이용 및 제공 금지

동의의무

  • 제3자 제공에 대한 이용자의 동의 획득
  • 동의항목 : 제공받는 자, 개인정보 항목, 목적, 보유 및 이용기간

예외

  • 요금정산을 위해 필요한 경우나 법률에 특별한 규정이 있는 경우 제3자 제공에 관한 이용자의 동의를 받지 않아도 됨

개인정보 저장 및 관리 단계 조치사항

1) 저장 및 관리 시 보호조치

정보통신서비스 제공자는 개인정보처리시스템에 대한 접근권한 등 기본적인 보안대책 마련 필요!

개인정보 보호조치 의무사항

  1. 개인정보 저장 및 관리 단계 조치사항

1) 저장 및 관리 시 보호조치

  • 개인정보 보호책임자의 지정에 관한 사항
  • 개인정보 보호책임자와 개인정보 취급자의 역할 및 책임에 관한 사항
  • 개인정보의 안전성 확보에 필요한 조치에 관한 사항
  • 개인정보 취급자에 대한 교육에 관한 사항
  • 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  • 그 밖에 개인정보 보호를 위하여 필요한 사항

수립된 내부관리 계획의 내용에 중요한 변경이 발생한 경우, 즉시 반영하여 내부관리 계획을 수정 시행하고, 수정이력을 관리함.

  1. 개인정보 파기단계 조치사항

1) 파기 단계 보호조치

개인정보 이용 후 수집 및 이용 목적이 달성되었거나 보유기간이 경과 되었을 때에는 적절한 방법으로 파기 및 보관을 하여야 함

3. 사업 기획 및 구축시 체크포인트

학습목표

  1. 개인정보 수집 최소화 방안에 대해 알 수 있다.

  2. 기획시 개인정보 저장 방안을 검토에 대해 알 수 있다.

  3. 기획시 개인정보 파기 방안을 고려사항에 대해 알 수 있다.

  4. 사업 개발 및 구축 시 개인정보 유의사항을 알 수 있다.

학습내용

  1. 개인정보 수집 최소화 방안 기획
  2. 기획 시 개인정보 저장 방안 검토
  3. 기획 시 개인정보 파기 방안 고려
  4. 사업 개발 및 구축 시 유의사항

Keyword

DBMS
데이터베이스를 직접 응용 프로그램들이 조작하는 것이 아닌, 데이터베이스를 조작하는 별도의 소프트웨어를 일컫음

데이터베이스
다종, 다수의 정보를 체계적으로 통합 및 정리하여 컴퓨터에 의해서 검색할 수 있는 시스템을 말함

로봇배제표준
웹사이트에 로봇이 접근하는 것을 방지하기 위한 규약으로, 일반적으로 접근제한에 대한 성명을 robot.txt에 기술함

복호화
암호화 과정의 역과정으로 암호 알고리즘에 의하여 암호문을 평문으로 바꾸는 과정을 말함

해쉬함수 (Hash Function)
임의의 길이를 갖는 메시지를 입력하여 고정된 길이의 해쉬값을 출력하는 함수를 말함

개인정보 수집 최소화 방안 기획

1) 개인정보 수집 최소화를 위한 방안 마련

개인정보 수집 최소화 검토 절차

필수동의 항목

  • 해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보

  • 본질적 기능은 사업자가 해당 서비스 제공 과정에서 업무처리에 반드시 필요한 기능

  • 이용자에게 필수적 동의 요구 가능

  • 이용자는 필수 동의 항목에 동의하지 않으면 서비스를 제공 받을 수 없음

선택동의 항목

  • 사업자의 필요에 의하거나 추가적인 서비스를 위해 필요한 정보

  • 이용자가 동의 여부 선택 가능

  • 선택 동의 항목에 동의하지 않는다고 해서 서비스 이용을 거부해서는 안됨

1) 개인정보 수집 최소화를 위한 방안 마련

주민등록번호 대체수단 적용 검토

  1. 기획 시 개인정보 저장 방안 검토

1) 개인정보 목적 외 이용금지 -DB

개인정보를 개인정보 처리시스템에 저장하거나 네트워크를 통해 전송할 때 개인정보의 노출 또는 위ㆍ변조 반지를 위해 암호화 해야함!

  • 기획단계에서 적절한 암호화 방식을 결정해야함

  • 암호화 방식과 암호화 위치에 따라 다양하게 적용할 수 있음

  • 대표적으로 DB 암호화, 디스크 암호화, 파일시스템 암호화 등을 개인정보처리시스템에 적용할 수 있음

디스크 암호화

디스크를 암호화하는 도구에는 대표적으로 마이크로소프트에서 제공하는 비트로커 드라이브 암호화(BitLocker Drive Encyption)가 있음

-> 윈도우 운영체제에 포함된 기능

파일 시스템 암호화

파일시스템 암호화 방식은 마이크로소프트 윈도우의 NTFS v3.0에서 추가된 파일시스템 단계 암호화를 하는 기능

전송구간 암호화 방식에는 SSL/TLS 또는 VPN 등을 이용하여 개인정보를 비롯한 주요 정보 등을 안전하게 송수신 할 수 있음

  1. 기획시 개인정보 파기방안 고려

1) 기획시 개인정보 파기방안 고려

개인정보의 수집 목적 달성 및 이용기간 종료 또는 폐업하는 경우에는 보유하고 있는 개인정보를 지체하지 않고 파기해야함

  1. 사업 기획 및 구축 시 유의사항

고지사항을 구체적으로 알리고, 동의 받을 수 있도록 설계 개발함

개인정보 수집 동의는 이용자가 알리고

개인정보 수집 동의 획득 구현 유의사항

필수 고지사항은 이용자가 명확히 이해할 수 있도록 쉽게 설명해야함

필수 고지사항

수집하는 개인정보 항목

개인정보 보유 이용 기간

개인정보 수집 이용 목적

2) 안전한 비밀번호 사용을 위한 정책 반영

개발 시 비밀번호 적용 규칙

  • 주기적으로 비밀번호 변경을 유도할 수 있어야 하며, 유출사고 등이 발생한 경우 비밀번호를 변경할 수 있도록 안내화면 개발

  • 비밀번호 변경 시, 현재 비밀번호와 확인하는 필드를 두어 변경하려는 비밀번호가 현재 비밀번호와 같은 경우 변경되지 않도록 개발

비밀번호 정책 적용 구현 예시

4. 사업 운영 시 체크포인트

학습 목표

  1. 개인정보 처리 위착 준수사항에 대해 알수 있다

  2. 개인정보 원격접속 보안조치에 대해 알 수 있다.

  3. 개인정보가 포함된 출력물 보안조치에 대해 알 수 있다.

  4. 개인정보처리시스템 취약점 진단에 대해 알 수 있다.

  5. 개인정보처리시스템 접속기록 관리에 대해 알 수 있다.

  6. 개인정보 유출 시 신고에 대해 알 수 있다.

  7. 개인정보 이용내역 통지에 대해 알 수 있다.

  8. 휴면 계정 파기에 대해 알 수 있다.

학습 내용

  1. 개인정보처리 위탁 준수사항

  2. 개인정보 원격접속 보안 조치

  3. 개인정보 포함된 출력물 보안조치

  4. 개인정보처리시스템 취약점 진단

  5. 개인정보처리시스템 접속기록 관리

  6. 개인정보 유출 시 신고

  7. 개인정보 이용내역 통지

  8. 휴면 계정 파기

keyword

휴면 계정

일정 기간동안 사용하지 않아 로그인 등 일부 기능이 제한된 계정

1) 개인정보의 이전

처리위탁 : A사의 업무 목적 내에서 활용
제3자 제공 : A사의 업무 목적에 없으며 B사의 독자적인 개인정보 처리

2) 개인정보 처리업무의 위탁

제3자에세 개인정보 수집, 보관, 처리, 이용, 제공, 파기 등을 위탁하는 경우 아래 사항을 이용자에게 동의를 얻어야 함

2-1) 개인정보 처리위탁을 받는 자(수탁자)
2-2) 개인정보 처리위탁을 하는 업무 내용

수탁자가 이용자의 개인정보를 처리할 수 있는 목적을 미리 정해야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 처리해서는 안됨

개인정보 처리 위탁시 유의사항

  1. 수탁사에 대한 관리 감독의 책임은 위탁사에 있음

  2. 개인정보 처리위탁시 문서에 의하여야 하며, 수탁자에 대한 교육을 실시해야함

  3. 수탁자가 재위탁시 위탁자의 동의 의무화

3) 개인정보 처리 위탁 시 준수사항

  1. 개인정보 원격 접속 보안조치

1) 관리자 페이지 원격접속 보안조치

  1. 개인정보가 포함된 출력물 보안조치

1) 개인정보 파기 방안 고려

  1. 출력항목 최소화방안
  2. 출력 및 복사물 반 출입 사항 기록
  3. 출력물 보안 조치 예시
  4. 개인정보 마스킹 처리화면 예시

개인정보 책임자 체크포인트

학습목표 :
1. 개인정보 침해상담 관련 Q&A에 대해 알 수 있다.
2. 온라인 개인정보보호 자율규제에 대해 알 수 있다.
3. 개인정보보호를 위해 유용한 웹사이트에 대해 알 수 있다.

학습내용 :
1. 개인정보 침해상담 관련 Q&A
2. 온라인 개인정보보호 자율 규제
3. 알쓸유웹-알아두면 쓸모 있는 유용한 웹사이트

키워드

민감정보
사상 신념 노동조합/ 정당의 가입 정보, 정치적 견해, 건강 등에 관한 정보로 정보주체의 사생활을 현저히 침해할 우려가 있는 정보를 말함

정보통신서비스 제공자
영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는자

개인정보 침해 상담 관련 Q&A

1) 수집
필수 수집 / 선택수집 -> 서비스 제공해야함

2) 목적 외
목적외에 사용하면 안됌

3) 목적 외 이용 (별도 동의)
활용하기 위해서는 별도의 동의를 받아야 한다

4) 이벤트 목록
마스킹 처리

5) 고지
고객정보를 제공받았을 때 고객에게 이 사실을 알려줘야 하나

5만명 이상의 민감정보 고유식별정보, 100만명 이상의 정보통신서비스 제공자라면 알려야 한다.

연락수단이 없는경우 알리지 않아도된다

6) 파기
법률 근거 확인후 처리결과 10일 이내 이용자에게 안내

7) 신고
정보통신망 사업자는 유출 시 반드시 신고해야 한다.

  1. 온라인 개인정보보호 자율 규제

1) 온라인 개인정보보호 자율 규제

자율규제 참여 시행 절차

1단계 : 자율 규제 제정

  • (협 단체& 사업자) 업종/서비스별 자율규약 제정
    • 자율규약의 목적 및 범위, 협회와 회원사의 역할 및 준수사항 등 명시

2단계 : 연간 시행 계획 수립

  • (협 단체) 연간 자율규제 시행계획 수립
    • 실행조직, 재원, 시행방식(ex. 체크리스트 기반 점검, 교육, 컨설팅 등) 포함

3단계 : 시행계획 이행 관리

  • 계획이행

    • (회원사) 시행계획에 따른 자율규제 이행
      • 영업점/수탁사 등 업무 관계를 고려하여 자율규제 방식 결정 및 이행

  • 이행관리

    • (협 단체)회원사의 자율규제 이행여부 점검 관리
      • 개선 필요 사업자 대상 개선 조치 권고 가능(해당 사업자는 기간 내 권고 이행)

4단계 : 결과보고

  • (협 단체) 연간 자율규제 시행결과 보고(심의평가 위원회)
    • (심의평가위원회) 활동 성과 검토 및 평가, 개선권고 등

자율규제 수행 방식

체크리스트 구성

수집 -> 이용 및 제공 ->

profile
hoegon kim
이전 포스트

개인정보보호교육(사업자- 중급)

다음 포스트

ISMS-P (제도이해)

0개의 댓글