개인정보 보호에 대한 관심이 높아지며 개인정보보호법의 시행과 정보통신망법 개정으로 인해 보안조치에 대한 의무가 법제화 되면서 법을 이행하지 않고 문제가 발생할 경우 해당법률의 벌칙 규정에 따라 과태료 및 형사,민사적인 처벌을 받을 수도 있습니다. 그렇기에 고객님이 법률에 따른 기본조치를 취할 수 있도록 도와 드리는 서비스입니다.
개인에 관한 성명, 주민등록번호, 및 영상 등을 통하여 개인을 알아볼 수 있는 모든 정보를 말하며 주민등록번호가 없더라도 전화번호, 주소, 성명 등으로 개별 정보를 결합하여 특정 개인을 식별할 수 있는 정보도 포함됩니다.
현재 데스크톱 PC를 벗어나 모바일, 태블렛PC 등의 인터넷이 가능한 매체가 늘어나면서 금융거래, 메일, 휴대문자, 온라인쇼핑 등의 이용 증가에 따른 개인정보의 노출도 증가하고 있으며, 스팸 문자 /보이스 피싱 / 메신저 사칭 등이 온라인 금융사기의 원인이 될 수 있습니다.
|
| 유형 구분 |
개인정보 항목 |
|
| 일반정보 |
이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적 |
|
| 가족정보 |
가족구성원들의 이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 |
|
| 교육 및 훈련정보 |
학교출석사항, 최종학력, 학교성적, 기술 자격증 및 전문 면허증, 이수한 훈련 프로그램, 동아리활동, 상벌사항 |
|
| 병역정보 |
군번 및 계급, 제대유형, 주특기, 근무부대 |
|
| 부동 정보 |
소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등 |
|
| 소득정보 |
현재 봉급액, 봉급경력, 보너스 및 수수료, 기타소득의 원천, 이자소득, 사업소득 |
|
| 기타 수익정보 |
보험 (건강, 생명 등) 가입현황, 회사의 판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 |
|
| 신용정보 |
대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록 |
|
| 고용정보 |
현재의 고용주, 회사주소, 상급자의 이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록 |
|
| 법적정보 |
전과기록, 자동차 교통 위반기록, 파산 및 담보기록, 구속기록, 이혼기록, 납세기록 |
|
| 의료정보 |
가족병력기록, 과거의 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트 등 각종 신체테스트 정보 |
|
| 조직정보 |
노조가입, 종교단체가입, 정당가입, 클럽회원 |
|
| 통신정보 |
전자우편(E-mail), 전화통화내용, 로그파일(Log file), 쿠키(Cookies) |
|
| 위치정보 |
GPS나 휴대폰에 의한 개인의 위치정보 |
|
| 신체정보 |
지문, 홍채, DNA, 신장, 가슴둘레 등 |
|
| 습관 및 취미정보 |
흡연, 음주량, 선호하는 스포츠 및 오락, 여가활동, 비디오 대여기록, 도박성향 |
|
|
기존 의무 대상의 범위를 확대하여 시행하였고, 의무 대상자(개인정보처리자)는 개인정보의 안정성 확보를 위해 이행해야 할 기술적·관리적 보호조치의 세부 기준에 따라 처리해야 합니다.
- 의무대상범위
- 정보통신서비스 제공자, 공공기관 등의 51만 곳의 기존 의무 대상에 민간사업자, 비영리 단체 등으로 310만 곳이 추가되어 2011년 9월 30일 시행 이후 7배 이상 의무 대상 범위가 확대되었습니다
- 주요 시행 내용
- 개인정보보호법의 시행 내용 중 호스팅 이용과 관련된 주요 사항을 요약하여 안내해 드립니다
① 개인정보보호법 의무 대상자 확대
사업 분야별 개별법으로 적용되던 의무 대상을 공공기관/민간 등 모든 사업자의 개인정보처리자로 적용 확대
② 개인정보보호법 보호 범위의 확대
데이터베이스 저장 정보 및 파일 등의 전산정보 이외에 종이 문서, 처리자 정보, 관리정보에 관한 사항도 보호 대상에 포함
③ 개인정보 수집·이용에 관한 기준
개인정보 수집과 이용 목적, 약관, 처리방침 등의 사항을 알 수 있도록 세부 기준 제시
④ 고유식별정보 처리 기준 강화
주민번호 같은 개인 식별할 수 있는 고유식별정보는 원칙적으로 처리가 금지이며 사전 규제 제도 확대하고 주민번호 외 회원 가입방법 제공, SSL 정보 전송, 데이터베이스 등의 고유식별 암호화에 관한 안전 조치 강화
- 개인정보의 안전성 확보 조치 기준
-
개인정보의 안전성 확보 조치 기준
제정 2011.09.30. 행정안전부고시 제2011 – 제43호
제1조(목적)
이 기준은 [개인정보 보호법] (이하”법”이라 한다) 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보 처리자가 개인정보를 처리함에 있어서 개인정보가 분실.도난.유출.변조.훼손되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 세부적인 기준을 정하는 것을 목적으로 한다.
- 내부관리계획의 수립·시행
-
제3조(내부관리계획의 수립·시행)
① 개인정보처리자는 개인정보의 안전한 처리를 위하여 다음 각 호의 사항을 포함하는 내부관리계획을 수립·시행하여야 한다.
1. 개인 정보 보호책임자의 지정에 관한사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보의 안전성 확보에 필요 한 조치에 관한 사항
4. 개인정보취급자에 대한 교육에 관한 사항
② 소상공인은 제1항에 따른 내부관리계획을 수립하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부관리계획을 수정하여 시행하고 , 그 수정 이력을 관리하여야 한다.
-
- • 정보주체의 개인정보를 보호하기 위해 조치를 적절히 시행하기 위해서는 개인정보 처리자 전체에 통용되는 내부규정이 필요하게 된다. 이를 기초로 세부 지침이나 안내서를 마련하여 개인정보 취급자 전원이 같은 행동을 취할 수 있도록 할 필요가 있다.
- 접근 권한의 관리
-
제4조(접근 권한의 관리)
① 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
-
- • 접근권한 관리의 목적은 개인정보처리시스템에 대하여 업무목적 외 불필요한 접근을 최소화하고, 인사 이동 발생 시 인가되지 않는 접근을 차단하는 데 있다. 이를 위해 업무 범위별로 권한은 차등부여되어야 하며 인사이동 발생 시 바로 권한을 변경하되, 내부직원 개인정보 유출 예방 및 대응 등을 위해 1인 1계정 발급하여 관리하여야 한다
- 비밀번호 관리
-
제5조(비밀번호 관리)
개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
-
- • 안전하지 못한 비밀번호를 사용하면 정보가 노출될 위험성이 있다. 안전한 비밀번호란 제3자가 쉽게 추측할 수 없으며 비밀번호 해킹 등을 통해서도 비밀번호를 얻어낼 수 없거나 얻어내는데 많은 시간이 요구되도록 조치를 해야 한다.
- 접근통제 시스템 설치 및 운영
-
제6조(접근통제 시스템 설치 및 운영)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
1. 개인정보 처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및업무용 컴ㅈ퓨터에 조치를 취하여야 한다.
④ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터만을 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있다.
-
- • 사업자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 IP 주소를 통해 비인가자의 접근을 차단할 수 있는 보안시스템을 설치·운영해야 한다. 또한, 인가된 사용자가 정보통신망 외부에서 개인정보처리시스템을 접속하는 경우에는 가상사설망(VPN) 등 안전한 보호 대책을 마련하여야 한다.
- 개인정보의 암호화
-
제7조(개인정보의 암호화)
① 영 제25조 및 영 제33조에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.
② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화 하여야 한다.
③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
④ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
⑤ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 위험도 분석에 따른 결과
⑥ 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑦ 개인정보처리자는 제3항, 제4항 및 제 5항에 따른 개인정보 저장시 암호화를 적용하는 경우, 이 기준 시행일로부터 3개월 이내에 다음 각호의 사항을 포함하는 암호화 계획을 수립하고, 계획 수립일로부터 12개월 이내에 암호화를 적용하여야 한다. 단 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우 위험도 분석과 관게없이 암호화를 적용하여야 한다.
1. 개인정보의 저장 현황분석
2. 개인정보의 저장에 따른 위험도 분석절차(또는 영향 평가 절차) 및 방법
3. 암호화 추진 일정 등
⑧ 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화 저장하여야 한다.
-
- • 비밀번호, 바이오정보, 주민등록번호 등과 같은 주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트워크를 통해 전송될 경우, 불법적인 노출 및 위·변조 등의 위험이 있으므로 암호화 등의 안전한 보호조치가 제공되어야 한다. (‘암호화’는 개인정보취급자의 실수 또는 해커의 공격 등 때문에 개인정보가 비인가자에게 유·노출되더라도 그 내용을 확인할 수 없게 하는 보안 기술임)
- 접속기록의 보관 및 위·변조 방지
-
제8조(개인정보의 암호화)
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
-
- • 접속기록은 개인정보의 입·출력 및 수정사항, 파일별·담당자별 데이터접근이력 등을 자동으로 기록하는 로그 파일을 생성하여 불법적인 접근 또는 행동을 확인할 수 있는 중요한 자료이며, 접속기록의 일정 기간 백업하여 개인정보 데이터베이스의 무결성을 유지할 수 있도록 해야 한다.
- 보안프로그램 설치 및 운영
-
제9조(보안프로그램 설치 및 운영)
개인정보처리자는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수 하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시
2. 악성 프로그램관련 경보가 발령된 경우 또는 사용중인 응용프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
-
- • 악성 프로그램이란 제작자가 의도적으로 피해를 주고자 악의적 목적으로 만든 프로그램 및 실행 가능한 코드를 의미하는 것으로 악성 코드라고 불리기도 한다. 컴퓨터 바이러스(Computer Virus), 인터넷 윔(Internet Worm), 트로이목마, 스파이웨어 등의 형태의 악성코드에 대해 예방/치료할 수 있도록 조치해야 한다.
개인정보의 침해는 개인의 정신적 피해뿐만 아니라 명의 도용과 금전적 문제에 관한 범죄에 노출됩니다. 기업에서는 이미지 실추와 집단소송에 의한 손해배상으로 매출의 직접적인 손해가 발생하여 기업 경영에 타격을 입게 됩니다. 기업과 개인의 피해는 국가의 IT산업 및 전자정부의 신뢰성을 잃게 하고 국가브랜드를 하락을 시킬 수 있습니다.
- 호스팅 광련 침해 유형
• 대형 쇼핑몰 A 업체는 홈페이지 해킹당한 이후, 고객의 개인정보가 외국 컨설팅 회사로 이용되고 있는 것을 확인
• 홈페이지 유지보수 B 업체 담당자는 유지보수 의뢰를 요청하는 회사의 데이터베이스에 접근하여 고객의 개인정보 건당 2,000원씩 마케팅 업체로 판매
• 홈페이지 개발 C 업체의 서버관리 직무를 해오던 개발자는 퇴사한 이후, 주기적으로 회원정보 데이터베이스에 접근하여 고객의 불법 가입, 타 업체로 유출 등 개인적인 목적으로 이용
• 컨텐츠 개발 D 업체 직원이 홈페이지에 자료를 올리는 중, 제휴업체 담당자의 명단파일까지 업로드 되어 홈페이지에 공개
• 마케팅 E 업체의 직원은 개인정보가 있는 문서 파일을 업무 파일로 오인하여 메일에 첨부 후, 다수 업체로 발송
• 의류 쇼핑몰 가장한 F 업체는 개인정보와 금융사기 등의 목적으로 특정 기간 이벤트를 진행하여 회원가입을 유도 후, 홈페이지를 중단하고 잠적
보안서버 구축은 현행법상 개인정보를 취급하시는 영리 목적의 사업자 분들은 필수적으로 구축하셔야 하는 의무조항으로 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의해 보안서버가 구축되지 않은 사이트에 대해서는 1천 만원 이하의 과태료 등 행정조치가 있을 수 있습니다.
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
제28조
(개인정보의 보호조치) 정보통신서비스 제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다. < 개정 2004.1.29 >
제55조
(자료제출 등) ④정보통신부장관은 이 법에 위반한 정보통신서비스 제공자등에 대하여 필요한 시정조치를 명할 수 있다.
< 개정 2005.12.30 >
제67조
(과태료) ②다음 각 호의 어느 하나에 해당하는 자는 1천 만원 이하의 과태료에 처한다. < 개정 2005.12.30 >
8의2. 제28조의 규정을 위반하여 기술적·관리적 조치를 하지 아니한 자
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙
제3조의2 (개인정보의 보호조치)
① 법 제28조의 규정에 의한 개인정보의 안전성 확보에 필요한 기술적·관리적 조치는 다음 각호와 같다.
1. 개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치
5. 백신소프트웨어의 설치·운영 등 컴퓨터바이러스 방지 조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신부장관은 제1항 각호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다. [본조신설 2004.7.30]
- 개인정보의 기술적·관리적 보호조치 기준
제5조 (개인정보의 암호화)
②정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인정보를 암호화하여 송수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 개인정보를 암호화하여 송수신하는 기능
- 호스팅 이용자의 책임과 의무
-
개인정보의 안전성 확보조치 기준 고시 제4조(접근권한의 관리)
① 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
개인정보의 안전성 확보조치 기준 고시 제5조
개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
개인정보의 안전성 확보조치 기준 고시 제6조(접근통제 시스템 설치 및 운영)
데이터베이스 저장 정보 및 파일 등의 전산정보 이외에 종이 문서, 처리자 정보, 관리정보에 관한 사항도 보호 대상에 포함
FTP, DB 등 접근 가능한 보안 정보는 담당자별 차등 권한을 부여하여 관리할 수 있도록 내부 수립을 진행해야 합니다. 개인정보가 있는 정보 또는 문서, 파일들을 처리하기 위해서는 외부에 유출되지 않도록 안전한 확보 조치가 되어 있는 업무 전용 컴퓨터를 이용해야 합니다. 개인정보가 있는 전산 정보는 암호화 저장하고, 문제 시 추적을 할 수 있도록 사용자별 이용 로그를 일정 기간 보관하도록 조치해야 합니다.
- 외부 접근을 가장 효율적으로 통제하는 네트워크 보안
개인정보의 안전성 확보조치 기준 고시 제6조(접근통제 시스템 설치 및 운영)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치․운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가 받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속 수단을 적용하여야 한다.
개인정보처리자는 불법적인 접근 및 침해사고 방지를 위해 침입차단시스템(Firewall) 또는 칩입방지시스템(IPS) 등을 설치하여 운영해야 합니다.
- 안정적인 웹서비스를 위한 웹서버 관리
-
개인정보의 안전성 확보조치 기준 고시 제7조(개인정보의 암호화)
① 영 제25조 및 영 제33조에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.
② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송․수신하거나 보조 저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
- 개인정보처리자는 주민등록번호, 비밀번호 등 정보통신망 내외부로 송·수신할 모든 개인정보에 대해서 암호화하여야 하며, 보안전송을 위해 보안서버(SSL)를 활용할 수 있습니다.
개인정보의 안전성 확보조치 기준 고시 제9조(보안프로그램 설치 및 운영)
개인정보처리자는 개인정보처리시스템 또는 업무용컴퓨터에 악성 프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시
2. 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
- 악성 프로그램이란 제작자가 의도적으로 피해를 주고자 악의적 목적으로 만든 프로그램 및 실행 가능한 코드를 의미하는 것으로 악성 코드라고 불리기도 한다. 컴퓨터 바이러스(Computer Virus), 인터넷 윔(Internet Worm), 트로이목마, 스파이웨어 등의 형태의 악성코드에 대해 예방/치료할 수 있도록 조치해야 합니다.
- 회원가입과 개인 정보 처리 방침을 위한 홈페이지 개선
- 회원가입을 위해서는 개인정보 수집/이용목적 등의 알리고 동의를 받도록 해야 하며, 14세 미만 미성년자는 최소한의 정보에 제공에 따라 법적 대리인의 동의를 받도록 회원가입 부분을 개선해야 합니다.
개인정보보호법 제15조(개인정보의 수집·이용)
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집·이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
개인정보보호법 제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제5항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.
⑤ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다
- 개인정보처리방침에 관한 사항을 법에서 정한 기준에 따라 알 수 있도록 홈페이지에 공개하도록 개선을 해야 합니다.
제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
-
- 개인정보는 보유기관 경과 및 목적 달성 등의 불필요하게 되면, 보유 중인 개인정보는 파기해야 합니다.(회원 탈퇴/ 해지 등)
제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
- 고유식별정보를 저장하는 DB서버 관리
-
개인정보의 안전성 확보조치 기준 고시 제7조(개인정보의 암호화)
① 영 제25조 및 영 제33조에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.�
② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
- 개인정보보호법에서는 주민등록번호뿐만 아니라 이름, 이메일, 주소, 전화번호 등의 결합하여 개인을 식별할 수 있는 모든 정보에 대해 암호화하여 적용해야 합니다.
- 비밀번호 관리
-
개인정보의 안전성 확보조치 기준 고시 제5조(비밀번호 관리)
개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
-
- 안전하지 못한 비밀번호를 사용할 경우, 정보가 노출될 위험성이 있다. 안전한 비밀번호란 제3자가 쉽게 추측할 수 없으며 비밀번호 해킹 등을 통해서도 비밀번호를 얻어낼 수 없거나 얻어내는데 많은 시간이 요구되도록 조치를 해야 합니다.
- 비밀번호 최소길이 8자리 또는 10자리 이상의 길이로 설정해야 한다.
- 최소 10자리 이상 : 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 2종류 이상
- 최소 8자리 이상 : 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 3종류 이상
