개인정보보호 3주차_STUDY : 개인정보 유노출예방

Contents

1. 개인정보 유 노출 개념
2. 개인정보 유 노출 원인 및 사례
3. 개인정보 유 노출 예방

 

 

📌 개인정보 유·노출 개념

 

🔻 개인정보 유출이란?

정보주체의“개인정보”에 대하여 개인정보 처리자가 통제를 상실하거나 또는 권한없는 자의 접근을 허용한 경우

 

🔻 개인정보 노출이란?

홈페이지상 개인정보가 공개되어 누구든지 알아볼 수 있는 상태

 

🔻 개인정보 유·노출 시 조치사항 (제 3자 접근 시)

 

🔻 개인정보 유·노출 후속조치

노출 기관에 대한 조치

 

• 개인정보가 노출된 기관에 삭제 등 조치하도록 즉시 통보(이메일, 전화 등)
• 노출 정부·공공기관 대상‘개인정보 노출 모니터링 결과 통보 및 재발방지 협조 요청‘공문 발송(매월)
• 노출 기관 담당자 대상“개인정보 노출 재발방지”교육 실시(필수)
  •  권역별 집합교육 참석 요청 공문 발송
    

반복·대량 노출 기관 및 교육 미참석 기관의 경우,
“개인정보 관리 실태 특별점검” 대상에 포함 가능

 

 

안전조치 의무

개인정보 또는 고유식별 정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 이행

 

안전성 확보 조치

안전성 확보 조치에 필요한 세부사항은 개인정보보호위원회가 정하여 고시

 

 

📌 개인정보 유·노출 사례 및 조치

 

✅외부공격 : DB 관리자페이지 공격으로 인한 유출 , 지능형지속공격(APT, Advanced Persistent Threat)

✅ 고의(내부직원 유출) : 업무 담당자가 지인의 부탁을 받고 고객정보 유출 , 퇴사한 직원이 개인정보처리시스템에서 개인정보 유출

✅ 과실(담당자 업무 관련) : 업무 담당자 행사 안내메일 단체발송

✅ 개인정보가 포함된 게시글 및 댓글 게시 : 이용자 문의 댓글에 개인정보 노출

✅ 개인정보가 포함된 첨부파일 게시 : 개인정보가 포함된 파일을 첨부하여 게시판에 게시, 이미지 파일(JPG, PDF 등)을 통한 개인정보 노출

✅ 이미지 파일 노출 : 첨부된 이미지 파일(PDF, JPG 등)에 개인정보 포함

✅ 엑셀 파일에 노출 : Sheet [숨기기] 처리 , 행/열 [숨기기] 처리, Sheet 보호 처리 , 외부파일 참조, 객체(OLE) 삽입

✅ 한글파일에 노출 : 첨부된 한글파일(HWP, DOC)에 개인정보 노출

✅ 관리자페이지 접근제어 미흡 : 관리자만 볼 수 있는 페이지가 인증 과정을 거치지 않고 방치되어 일반 이용자에게 노출

✅ 홈페이지 접속 경로(URL) 관련 오류 : 홈페이지 URL 값 변경 시 개인정보 노출

✅ 홈페이지 소스코드 보안설정 미흡 : 홈페이지 설계 오류로 홈페이지 소스코드에 노출

✅ 디렉터리 리스팅 보안설정 미흡 - 디렉터리 리스팅 취약점으로 인해 노출: 디렉터리 리스팅 취약점으로 인해 노출

 

➡️ 위의 사례를 함께 살펴보는 시간 가지기 ( 생각보다 우리가 쉽게 사용하는 엑셀, 한글 파일을 통해 개인정보를 담은 문서를 만들다보니 쉽게 문제가 발생하는 것을 확인할 수 있었다. )

 

 

📌 개인정보 유·노출 예방

 

안전성 확보 조치

안전성 확보에 필요한 기술적·관리적 및 물리적 조치

 

 

 

개인정보 노출 예방 수칙

 

 

운영자

• 게시판 운영 시 개인정보 노출 주의 안내
• 개인정보가 포함된 게시글 및 댓글 작성 시비 공개 설정
• 불가피하게 개인정보가 포함된 게시물 생성 및 게시글ᆞ댓글작성시마스킹등비식별처리
• 첨부파일을 등록하기 전개인 정보 유무 확인
• 주기적인 개인정보 노출 점검

 

개발자

 

• 관리자 페이지 접근제어 설정
• 게시판을 비공개 또는 비밀 글 설정이 가능하도록 구축
• 접속경로(URL) 설정, 소스코드 등에 개인정보 사용 금지
• 접속경로(URL) 식별자는‘숨김’처리하여 보호
• 홈페이지 개발 및 개편 시 웹ᆞ소스코드 취약점 점검
• 디렉터리 리스팅 여부를 점검

 

운영자 개인정보 노출 예방수칙 5계명

1. 게시판 운영 시 개인정보 노출 주의 안내하세요
2. 개인정보가 포함된 게시글 및 댓글 작성 시 비공개 설정하세요
3. 불가피하게 개인정보가 포함된 게시글·댓글 작성시에는 마스킹 등 비식별 처리하세요
4. 첨부파일을 등록하기 전에 개인정보 유무 확인하세요
5. 주기적으로 개인정보 노출 여부를 점검하세요

 

 

개발자 개인정보 노출 예방수칙 6계명

1. 관리자페이지를 안전하게 보호하세요
2. 게시판은 비공개 또는 비밀글 설정이 가능하도록 구축하세요
3. 접속경로(URL) 설정, 소스코드 개발 등에 개인정보를 사용하지 마세요
4. 접속경로(URL) 식별자는 ‘숨김’ 처리하여 보호하세요
5. 홈페이지 개편 시 웹ᆞ소스코드 취약점 점검하세요
6. 디렉토리 리스팅 여부를 점검하세요

 

 

오늘은 입문 3교시로 마지막 입문 수업을 진행했다.

비교적 간단한 양의 내용을 다뤘고, 하지만 매우 중요한 내용으로 느껴졌다.

앞 주차에는 법조항 위주로 학습을 했다면, 해당 주차는 정말 개인정보보호가 유출, 노출되는 상황과 그에대한 예비, 조치 ( 사전적, 사후적 관리) 에 관해 학습하면서 다양한 사례를 살펴볼 수 있었다.

 

더불어 운영자 뿐 아니라 개발자가 가져야하는 자세도 학습할 수 있는 시간이었다.

다음주차부터 초급을 진행하면서 입문을 통해 조금이나마 개인정보의 전반적인 부분을 살펴보았으니, 좀더 심도있는 학습이 이루어지길 바란다. 

 

https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=36

개인정보 포털