march 03. 2014 -...
TRANSCRIPT
March 03. 2014
롯데 임직원의 보안인식 제고와
개인 정보보호 활동 강화를 위하여 정보보호 위원회는
매월 첫째 주 월요일을 롯데그룹 정보보호의 날로
지정하여 운영하고 있습니다.
매월 첫째 주 월요일은
롯데그룹 정보보호의 날!
2014년 03월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터 를 배포하오니 많은 관심과 실질적인 예방을 위한 활동 부탁 드립니다.
정보보호뉴스레터 | Security Information Newsletter
정보보호 동향 1
윈도우 XP 지원 종료에 따른 대응 2
핵심 기술 유출 ‘초비상’ 3
정보보호 위원회 활동 6
Contents
정보보호 세미나 및 교육 안내 7
Security TIP! TIP! TIP! 5
업무상 개인정보보호 Q&A 4
정보보호뉴스레터 | Security Information Newsletter
1. 정보보호 동향
2月 정보보호 관련 주요 기사 (1/2)
3. 안행부·방통위·금융위, 개인정보보호 법 통일한다 (전자신문)
금융위, 안행부, 방통위 등 정부 부처별 별도 관리하던 개인정보보호 유관
법을 통합하는 전담기구 설치 방안이 유력하게 논의 중
2. 안행부, 대량 개인정보 취급기관 실태점검 (안전행정부, 2/17)
개인정보를 대량으로 수집·보유하는 공공민간분야에 대해 한국인터넷진
흥원과 합동으로 6주간(2.17∼3.25) 전면적인 개인정보관리실태 특별
점검을 실시
유통업, 숙박업, 온라인쇼핑물, 서비스업 등 국민생활과 밀접한 민간분야
에 대해서 개인정보보호법 위반여부에 대한 온라인 점검을 대대적으로 실
시하고 그 결과, 개인정보 관리실태가 미흡한 업체에 대해서는 특별 현장
점검을 실시 예정
1. 정부, 온라인게임·쇼핑몰 개인정보 관리 점검 (YTN, 2/25)
정부는 개인정보보호 태스크포스 2차 회의를 열고 3월부터 온라인게임과
쇼핑몰 등의 개인정보 관리 실태 집중 점검 예정
점검은 오는 3월부터 6월까지 안전행정부와 방송통신위원회가 주축
3월에는 온라인 쇼핑몰과 대량의 문자서비스 발송사업자를, 4월에는
CCTV를 주로 설치·운영하는 대형마트를 대상으로 점검을 하고 6월에는
온라인 게임사가 점검 대상
정보보호뉴스레터 | Security Information Newsletter
1. 정보보호 동향
5. ‘금융전산보안 전담기구’ 2015년 설립 (한국경제)
금융위원회는 20일 업무보고에서 ‘금융전산보안 전담기구’를 내년 중 설립
하겠다고 밝힘
금융보안연구원, 금융결제원, 코스콤 등에 흩어져 있는 침해대응, 정책연구
등 금융전산 보안 관련 기능을 신설되는 전담기구로 일원화할 방침
금융전산보안 전담기구는 해킹 등을 예방·경보·분석·대응할 수 있는 일관
체계를 구축한 뒤 모니터링 범위를 전 금융회사로 확대할 계획
4. 웹사이트 해킹으로 개인정보 1700만건 유출 (KBS)
불법 도박사이트, 의료 협회 사이트, 부동산, 증권 정보 등 인터넷사이트
225개를 해킹해 1700만건의 개인정보를 불법 유출
해킹으로 관리자 권한을 확보해 승부를 조작했는가 하면 사이트 운영자에
게 ‘각종 데이터를 삭제해 폐쇄시키겠다’고 협박해 금품을 갈취
경찰은 최근 개인정보 대량 유출 사건과 관련해 개인 정보 침해 사범에 대
한 특별단속을 펴는 과정에서 이들을 검거
2月 정보보호 관련 주요 기사 (2/2)
정보보호뉴스레터 | Security Information Newsletter
2. 윈도우 XP 지원 종료에 따른 대응
Windows XP 및 Office 2003 지원 종료
: 잔여기간 : 1개월 10일 8시간 (1/2)
MS社가 ‘14.4.8부로 PC 운영체제인 윈도우 XP에 대한 기술지원
종료 발표
프로그램 오류, 보안 업데이트 지원 종료에 따라 윈도우 XP의 안전한
서비스 제공에 한계가 발생 할 것으로 예상
’13년 12월 기준 금융회사 전체 단말기 79.4만대 중 51.4만대
(약 64.7%)가 윈도우 XP이하 버전 사용 중이고 CD/ATM의 경우 전체
8만대 중 7.8만대(약 86.4%)가 해당
문제점
윈도우 XP 지원 종료 시 보안 패치가 이루어지지 않아 악의적
공격에 상대적으로 취약
윈도우 XP는 상위버젼에 비해 악성코드 감염률이 2배 가량 높고,
상위버젼의 IE설치가 불가하여 웹페이지를 통한 악성코드 유포에 취약
정보기술부문 장애 가능성 증가
하드디스크, 네트워크 카드 등 PC, 단말기 주요 부품에 대한 교체 및
신규 설치 시 윈도우 XP가 인식하지 못하여 운용 시 장애 가능성 증가
정보보호뉴스레터 | Security Information Newsletter
2. 윈도우 XP 지원 종료에 따른 대응
Windows XP 및 Office 2003 지원 종료
잔여기간 : 1개월 10일 8시간 (2/2)
대응방안
윈도우 XP 이하 운영체제를 상위 버전 운영체계로 전환
윈도우 XP 이하 단말기는 ‘14.4.8일 이전까지, 서버 (윈도우 서버
2003)는 ‘15.7.13까지 전환을 완료
기한 내 전환 미이행시 위험 최소화 대응 대책
외부망과 분리된 폐쇄망을 이용하여 인터넷 접속 원칙적으로 차단
PC용 윈도XP뿐 아니라 CD/ATM, POS 등 산업용 기기에 들어가는
일부 임베디드 윈도XP 계열 OS도 기술 지원이 종료 됨
폐쇄망이라 성대적으로 위험이 적을 수 있지만 전환 이행이 필요
컴퓨터에 기밀 정보가 없는데, 사용해도 괜찮지 않을까요?
메일 주소록에 있는 다른 사람의 연락처같은 정보들도 중요한 기밀 정보입니다.
특히 윈도우 XP에 대해 보안 업데이트가 안된다는 점은 해커들도 알고 있기 때문에 해킹 공격
을 할 때 윈도우XP 사용자들이 주요 대상이 될 것은 당연한 일이 될 것입니다.
따라서 악성코드 감염이나 해킹 위협이 급증하게 될 수 있습니다.
정보보호뉴스레터 | Security Information Newsletter
3. 핵심 기술 유출 ‘초비상’
중국 산업스파이
국내 기업 핵심 산업 기술 유출 심각… (1/2)
‘애미콜(amycall)’, ‘한(韓)이슬’, ‘코코파이’ 라고 들어보셨나요?
어딘가 친숙한 이름인듯 하고…
삼성 ‘애니콜’, 참이슬, 초코파이 등 한국의 유명 제품을 판박이처럼 모방하던 중국이 이러한
‘카피캣(copycat)’을 지나 ‘한국 주요 대기업의 기술 헌터(hunter)’로 핵심 산업 기술을 ‘쏙쏙’
빼내 이를 활용한 제품 개발에 나서며, 한국의 산업 경쟁력을 위협하고 있습니다.
자료 : 국정원 기밀보호센터
중국이 한국 기술을 빼내는 수법으로는 ‘인력 유출형(Humanware)’과 ‘기술 유출형
M&A(인수·합병)’로 구분 할 수 있습니다.
정보보호뉴스레터 | Security Information Newsletter
3. 핵심 기술 유출 ‘초비상’
중국 산업스파이
국내 기업 핵심 산업 기술 유출 심각… (2/2)
인력 유출형’은 말 그대로 사람을 통해 기술을 빼가는 수법으로 주로 기업의 전·현직 직원을
매수하거나 중국인 산업스파이를 동원하는 식입니다.
최근 5년간 기술 유출 기도 사건을 적발한 내용을 보면,
전직 직원이 연루된 경우가 127건으로 전체의 61%에 달하며, 현직 직원이 직접 빼돌리려다
붙잡힌 경우도 41건(20%)이나 되었습니다.
2007년 삼성중공업 LNG선 카고탱크 기술을 빼내려 했던 선주감독관과 2011년 삼성전자
백색가전 소음 방지 기술을 빼내려 했던 수석연구원 모두 중국인 산업 스파이에 의한 것들
이었습니다.
투자를 빌미로 외국 기업을 인수해 기술만 교묘하게 빼 가는 이른바 ‘먹튀’ 수법도 있습니다.
먼저 중국 기업 A가 투자를 빌미로 기술력이 좋은 한국 기업 B를 헐값에 매입하고, 그 후
중국에 똑같은 업종의 회사 C를 설립해 기술 공유를 명분으로 B와 전산망을 공유합니다.
공유한 전산망을 통해 ‘합법적으로’ 기술을 빼낸 후 이 기술로 중국 현지 기업인 C에서 제품을
생산합니다.
동시에 B에서 제품 생산을 점차적으로 줄여 결국 B는 만성적인 적자 상태로 부도를 맞게
되는 게 대표적인 사례입니다.
2002년 하이닉스의 자회사였던 하이디스, 2005년 오리온전기, 2009년 쌍용자동차를
혼란으로 빠뜨린 상하이자동차의 ‘먹튀’ 사건 등이 대표적 사례로 볼 수 있습니다.
자료 : 국정원 기밀보호센터
정보보호뉴스레터 | Security Information Newsletter
4. 업무상 개인정보보호 Q&A
직원의 성명 및 내선번호를 웹사이트에 공개하려고 하는데,
이러한 경우에도 개인정보 보호법에 따라 동의를 받아야 하나요?
개인정보처리자의 내부 구성원의 소속, 성명, 내선번호 등을 공개하는 것은 일반적으로
해당 구성원(정보주체)의 동의 없이도 공개 가능합니다.
개인정보처리자(기업 등)의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정
보주체의 권리보다 우선하는 경우에는 정보주체의 동의 없이도 개인정보를 수집・이용할
수 있습니다.
기업의 내부 구성원의 성명, 소속, 내선번호 등을 웹사이트나 조직도 등을 통하여 공개하
는 것은 사회 통념상 공공기관이나 기업 등의 업무처리의 일환으로 이해되고 있습니다.
즉 이 경우에는 개인정보처리자의 정당한 이익(업무수행 등)달성을 위해 필요한 경우로
보아 동의 없이도 기본적 개인정보를 공개할 수 있다고 판단됩니다.
[개인정보 보호법] 제15조제1항제6호(개인정보의 수집ㆍ이용)
개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선
하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니
하는 경우에 한한다.
정보보호뉴스레터 | Security Information Newsletter
5. Security TIP! TIP! TIP!
정보보호 내가 아는 만큼 지킨다. (1/2)
아무리 외부로부터 철통 보안책을 썼다 하더라도 내부자에 의한 정보 유출은 한 순간 허무하
게 뚫립니다. 그래서 내부자 정보 유출을 막기 위한 1차적인 방법은 정보를 담고 있는 PC를
지키는 것입니다. 그 방법을 다같이 해볼까요?
윈도에 암호 걸기
아무리 절친한 동료라 하더라도 타인이 내 PC를 들여다 보는 것이 과히 기분 좋지만은 않을
것입니다. 번거롭다는 이유로 이용하지 않는 사람들도 있지만 윈도에 암호만 걸어 둔다면 사
장님이 오셔도 볼 수 없습니다. 물론 암호는 남들이 알 수 없도록 하셔야 겠죠?
▲ 윈도 암호 설정을 하려면 시작 ▶ 제어판 ▶ 모든 제어판 항목 ▶ 사용자 계정
정보보호뉴스레터 | Security Information Newsletter
5. Security TIP! TIP! TIP!
정보보호 내가 아는 만큼 지킨다. (2/2)
중요한 문서에 암호 걸기 윈도 암호 설정은 이미 하셨다고요? 중요 파일을 암호화해서 보안을 강화하는 방법도 있습니
다. 특히 개인정보를 보관하시는 경우에는 필수로 암호화를 해야 합니다.
USB 오토런 기능 차단하기 요즘 USB메모리는 PC에 연결하자마자 자동 실행되다 보니 바이러스 피해를 입는 경우가 많
습니다. 그나마 다행인 것은 백신 프로그램이 USB 메모리를 인식해 자동으로 바이러스 검사
를 해준다는 점입니다. 그래도USB 메모리 자동실행 기능은 해제해야 한다는 사실 !
▲ 파일 암호 설정을 하려면 파일 ▶ 정보 ▶ 프리젠테이션(문서) 보호 ▶ 암호설정
▲ 자동실행을 해제하려면 제어판 ▶ 자동 실행 ▶ 모든 미디어 및 장치에 자동 실행 해제
정보보호뉴스레터 | Security Information Newsletter
6. 정보보호위원회 활동
1. 2月 정보보호 실무위원회 개최
그룹사 정보보호 부서장님 및 담당자 분들을 대상으로 2월 18일
2月 롯데그룹 정보보호 실무위원회가 개최되었습니다.
주요 내용
- 그룹 정보보호 강화 계획 소개
- 계열사 정보보호 점검 계획 및 일정 공유
2. 정보보호 인식강화 UCC 배포
보안의식이 전혀 없다고 소문난 못대리와
보안의식이 투철하다고 소문난 롯대리....
롯데인의 하루를 통해 우리모두 보안의식이
투철하다고 소문난 롯데人이 됩시다.
UCC 다운로드 : http://secupolicy.net/files/롯데인의 하루 정보보호 UCC.avi
정보보호뉴스레터 | Security Information Newsletter
7. 정보보호 세미나 및 교육 안내
3月 정보보호 세미나및 교육 안내
1) [세미나] G-PRIVACY 2014
구분 세부내용
일시 2014년 3월 20일 목요일(09시~오후 5시 30분)
장소 양재동 더케이서울호텔(구 서울 교육문화회관) 가야금홀
주최 데일리시큐
내용 관련 법령 이해 및 실질적 기술교육 기회 제공
URL http://dailysecu.com/gprivacy2014/intro.html
* 참가비 무료
2) [교육] 정보보안 책임자 과정
과정명 금융기업 정보보안 책임자 과정 1기 일반기업 정보보안 책임자 과정 1기
교육
기간
2014년 3월 25일(화) ~ 4월 26일(토), 35시간
- 화요일(야간) : 19:30 ~ 22:00(2.5시간) / 토요일(주간) : 13:30 ~ 18:00(4.5시간)
교육
대상
금융분야 기업체 보안업무 담당자/책임자
등 30명 기업체 보안업무 담당자/책임자 등 30명
※ 본 교육에 참여하기 위해서는, 국가인적자원개발컨소시엄 협약체결 필요
※ 본 교육은 민간부문 재직자만 참여 가능합니다.
수강
신청
- 2014년 2월 28일(금) 오후 4시부터 ~
- KISA아카데미 홈페이지 회원가입 후 수강신청
URL 및
문의 http://academy.kisa.or.kr/ (02)405-6365
* 교육비 무료
발행처 | 롯데그룹 정보보호위원회
Homepage | http://secupolicy.net
E-mail | [email protected]
Tel | (02) – 2626-5945