개인정보보호법 vs 정보통신망법 vs 신용정보보호법 비교

  개인정보보호법 정보통신망법 신용정보보호법
행정규칙

- 개인정보의 안전성 확보조치 기준

- 표준 개인정보 보호 지침

- 개인정보의 암호화조치 안내서

- 개인정보의 기술적 관리적 보호조치기준

- 정보보호 사전점검에 관한 고시

- 기술적 물리적 관리적 보안대책 마련 기준

-신용정보 제공 계약에 포함될 신용정보 보안관리대책

- 개인정보 비식별 조치
법 수검자 명칭 개인정보처리자(공공기관, 법인, 단체, 사업자, 개인 등) 정보통신서비스 제공자(기업, 포털, 전자화폐거래서, 인터넷쇼핑몰, 방송 등을 이용한 전기통신사업법상의 전기통신사업자 및 정보제공하는자) 신용정보제공이용자(은행권, 증권, 보험, 카드, 대부, 협동조합, 공공기관 등)
개인정보의 범위 살아있는 개인에 대한 정보로서 다른정보와 쉽게 결합하여 개인의 식별되는 정보를 포함 살아있는 개인에 대한 정보로서 부호, 문자, 음성, 음향, 영상 등의 정보

개인신용정보도 포함됨

가. 특정 신용정보주체를 식별할 수 있는 정보

나. 신용정보주체의 거래 내용을 판단할 수 있는 정보

다. 신용정보주체의 신용도를 판단할 수 있는 정보

라. 신용정보주체의 신용거래 능력을 판단할 수 있는 정보
개인정보 이용내역 통지

수집시 이용동의를 받았으면 정기적으로 통지하지 않음

단, 연2회이상 정보주체이외로부터 개인정보를 제공받은 경우는 어디에서 왜 수집하였는지 연1회 이상 통지

 무조건 연1회 이상 개인정보 이용내역 통지  
암호화

주민등록번호는 무조건 암호화

그외의 고유식별정보는 암호화 적용등을 하여야함

 

단, 개인정보 보유량에 따라 완화 적용 있음

 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 바이오정보 모두 암호화  
수집 이용 동의 규정

1. 이용동의

2. 3자제공동의

3. 민감정보 동의

4. 고유식별정보 동의

 

별도로 구분하고 동의를 받아야한다.

 

※ 처리 위탁에 대해서 동의는 없으나 개인정보처리방침에 현황 명시

 처리 위탁시 개인정보의 수집동의와는 별개로 구분하여 받아야함(제24조의 2)  
저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 개인정보' 카테고리의 다른 글

개인정보 영향평가 수행 안내서  (0) 2019.08.26

개인정보 영향평가 관련 자료는 개인정보종합포털(https://www.privacy.go.kr) 자료실에 있으며

2018년 4월 23일에 배포된 수행안내서가 가장 최신이다.

 

전체 평가 영역은 아래와 같다

 

1. 대상기관 개인정보보호 관리체계

  - 개인정보보호 조직

  - 개인정보보호 계획

  - 개인정보 침해대응

  - 정보주체 권리보장

2. 대상시스템 개인정보보호 관리체계

  - 개인정보취급자 관리

  - 개인정보파일 관리

  - 개인정보처리방침

3. 개인정보 처리단계별 보호조치

  - 수집

  - 보유

  - 이용 및 제공

  - 위탁

  - 파기

4. 대상시스템 기술적 보호조치

  - 접근권한 관리

  - 접근통제

  - 개인정보의 암호화

  - 접속기록의 보관 및 점검

  - 악성프로그램 방지 등

  - 물리적 접근방지

  - 개인정보의 파기

  - 기타 기술적 보호조치

  - 개인정보처리구역보호

5. 특정IT 기술 활용 시 개인정보보호

  - CCTV

  - RFID

  - 바이오정보

  - 위치정보

저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 개인정보' 카테고리의 다른 글

개인정보보호 관련 법령 차이  (0) 2019.08.26

ISMS-P_인증기준_세부점검항목(2019.01.17).xlsx
0.05MB
인증기준_신구_비교표v1.2(수정).pdf
0.21MB

KISA 정보보호 및 개인정보보호관리체계 인증 사이트에는 최근 개정된 ISMS-P에 대한 내용이 자료실에 포함되어있다.

 

전체 항목은 102개의 영역으로 구성되어 있으며 ISMS 만 해당되는 항목은 80개 항목이다.

 

1. 관리체계 수립 및 운영 (16개)

2. 보호대책 요구사항(64개)

3. 개인정보 처리단계별 요구사항(22개)

 

기존의 ISMS 및 PIMS에 포함되지 않았던 새로 생긴 항목 정리

 

2.3 외부자 보안 2.3.1 외부자 현황 관리 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부 에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비 스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구 사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책 을 마련하여야 한다. 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가?
          업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하였는가?
2.10 시스템 및 서비스 보안관리 2.10.2 클라우드 보안 클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접 근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다. 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?
          클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립‧이행하고 있는가?
          클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가?
          클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?
3.1 개인정보 수집 시보호조치 3.1.7 홍보 및 마케팅 목적 활용 시 조치 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인 정보를 수집·이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인 지할 수 있도록 고지하고 동의를 받아야 한다. 정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체(이용자)가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가
          전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가?
          전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가?
          영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가?
2.1 개인정보 보유 및 이용 시 보호조치 3.2.4 이용자 단말기 접근 보호 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있 도록 알리고 정보주체(이용자)의 동의를 받아야 한다. 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받고 있는가?
          이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않도록 하고 있는가?
          이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회방법을 마련하고 있는가?
3.4 개인정보 파기 시 보호조치 3.4.2 처리목적 달성 후 보유 시 조치 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으 로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?
          개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장‧관리하고 있는가?
          분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?
          분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?
    3.4.3 휴면 이용자 관리 서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조 치를 이행하여야 한다. 정보통신서비스 제공자등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가?
          휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하려는 경우 이용자에게 알리고 있는가?
          분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가?
          분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

 

저작자표시 비영리 변경금지 (새창열림)

shodan

- url을 통해 해당 라우터, 스위치, FTP, 특정 웹서버의 정보(IIS, Apache등등)을 수집하고 알려주는 사이트


http://shodanhq.com


SSL Servet Test

- 인증서 정보, 서버정보 확인


https://www.ssllabs.com/ssltest/



패스워드 안전성검사

- 입력하는 패스워드의 안전성을 임의로 검사해보는 사이트

https://howsecureismypassword.net/

http://password-checker.online-domain-tools.com/



URL, Base64 인/디코드 MD5, SHA1 해쉬(암호화)

모음사이트 : http://serpongs.net/tools/endecode/





URL, HEX, BASE64 인코딩/디코딩

http://ostermiller.org/calc/encode.html

 

 

 

MD5 암호화

http://www.md5encryption.com

 

MD5 복호화

http://www.hashkiller.co.uk/md5-decrypter.aspx

http://md5decryption.com

 

 

 

SHA-1 암호화

http://www.sha1-online.com

 

SHA-1 복호화

http://www.hashkiller.co.uk/sha1-decrypter.aspx



저작자표시 비영리 변경금지 (새창열림)

1. 디렉터리 리스팅 취약점

홈페이지의 속성을 설정하는 웹서버 설정에서


- IIS 웹 서버 : '디렉터리 검색' 항목이 체크
- Apache 웹 서버 :  'httpd.conf 파일'에서 'Indexes'옵션이 On


되어 있는 경우에 인터넷 사용자에게 모든 디렉터리 및 파일 목록이 보여지게 되고, 파일의 열람 및 저장도 가능하게 되어 비공개 자료가 유출될 수 있습니다.

 

2. 파일 다운로드 취약점 

게시판 등에 저장된 자료에 대해 '다운로드 스크립트'를 이용하여 다운로드 기능을 제공하는 경우, 대상 자료파일의 위치 지정에 제한조건을 부여하지 않았다면 URL필드의 다운로드 스크립트의 인수 값에 '../'문자열 등을 입력하여 시스템 디렉터리 등에 있는 /etc/passwd와 같은 비공개 자료들이 유출될 수 있습니다


3. 크로스사이트 스크립트 취약점 
게시판에 새 게시물을 작성하여 등록할 때와 같이 사용자의 입력을 받아 처리하는 경우가 많습니다. 웹 응용프로그램에서 입력 내용에 대해 실행코드인 스크립트의 태그를 적절히 필터링하지 않을 경우 악의적인 스크립트가 포함된 게시물을 등록할 수 있습니다. 악의적인 스크립트가 포함되어 있다면 게시물을 열람하는 일반 사용자의 pc로 부터 개인정보인 쿠키를 유출할 수 있는 등의 피해를 초래할 수 있습니다.

 


4. 파일 업로드 취약점 
첨부파일 업로드를 허용하는 홈페이지 게시판에서 .php, .jsp등의 확장자 이름의 스크립트 파일의 업로드를 허용할 경우 해커가 악성 실행 프로그램을 업로드한 후에 홈페이지 접속방식으로 원격에서 서버컴퓨터의 시스템 운영 명령어를 실행 시킬 수 있습니다.

   

 

5.WebDAV 취약점- 원격 실행
윈도우 서버 컴퓨터에서 기본으로 설치되는 원격관리기능인 WebDAV가 계속 사용 가능하도록 설정되어 있고, WebDAV 라이브러리 파일의 속성 및 홈페이지 디렉토리에 쓰기 권한이 모두 허용되어 있는 경우, 해커가 WevDAV도구를 사용, 원격에서 홈페이지 디렉터리에 임의의 파일을 삽입하여 화면을 변조할 수 있습니다.

 


6. 테크노트(Technote) 취약점
'테크노트'의 일부 CGI프로그램들에서 인수 값 처리시에 'ㅣ'문자 이후에 나오는 컴퓨터 운영 명령어가 실행될 수 있는 결함이 있습니다. 해커는 홈페이지접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할 수 있습니다.
- Linux 및 Unix계열의 컴퓨터에 주로 사용
- Windows 계열에서 'Perl'이 지원될 경우 사용

 


7. 제로보드(Zeroboard) 취약점
- '제로보드'의 일부 php프로그램이 원격에 있는 php파일을 실행할 수 있는 결함이 있어 해커는 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할 수 있습니다.
- Linux 및 Unix 계열의 컴퓨터에 주로 사용
- Windows 계열에서 'php'가 지원될 경우 사용

 


8. SQL Injection 취약점 
웹 브라우저 주소 창 또는 사용자 ID 및 패스워드 입력화면에서 데이터베이스 SQL문에 사용되는 문자기호(' 및")의 입력을 적절히 필터링 하지 않은 경우에 해커가 SQL 문으로 해석될 수 있도록 조작한 입력으로 
데이터베이스를 인증 절차 없이 접근, 자료를 무단 유출하거나 변조할 수 있습니다.

저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 정책 및 동향' 카테고리의 다른 글

방통위, '개인정보 유출 대응 매뉴얼' 확정  (0) 2016.08.31

방송통신위원회와 한국인터넷진흥원에서 개인정보 유출사고 발생 시 준수해야할 '개인정보 유출 대응 매뉴얼'을 발표 했다.


기존 개인정보 유출사고는 지체없이(5일 이내)였는데 본 매뉴얼에는 즉시(24시간)이내로 되어 있다.


URL : http://www.kcc.go.kr/user.do?mode=view&page=A02030700&dc=K02030500&boardId=1099&cp=1&boardSeq=42741


여기에 가면 다운로드 받을수 있다.

저작자표시 (새창열림)

'정보보안 > 정책 및 동향' 카테고리의 다른 글

국정원 8대 취약점  (0) 2016.08.31

+ Recent posts

티스토리툴바