2) 개인정보보안 분석 절차
1. 개인정보보안 운영체계 진단
Ⅴ. 고객센터 시스템 고도화• 정보통신망에서는 수많은 사람들의 다양한
개인정보가 수집,
활용되므로 개인정보 침해 사건이 발생하고 있으며 피해규모 또한 커지고 있음
• 실제로 2010년에
35,167건이었던 개인정보 침해신고 상담건수는 2013년에 166,801건으로 5배 가량 증가하였음
개인정보 유출 사례 ISSUE
스마트폰의 보급, 클라우드 컴퓨팅, SNS, 모바일 오피스 등 최근 정보환경이 급속히 변화하면서 보안문제에 대한 우려 증가
대부분 개인정보 유출에 대한 사례를 분석하면 협력 사 또는 내부 직원 등에 의한 유출 사례가 가장 많이 발생하고 있음 시사점
정보통신망에서의 개인정보 수집, 활용이 크게 늘어나면서 개인정보 침해의 위험성도 커지고 있음
3) 개인정보 유출사례 분석
1. 개인정보보안 운영체계 진단
Ⅴ. 고객센터 시스템 고도화• 분야별 개별 법에 따라 시행되던 개인정보 보호의무 적용대상을 공공/민간부문의 모든 개인정보처리자로 확대 적용
• 고객센터에서의
개인정보보호법 시행에 따라 주민번호 수집 및 활용이 전면 금지 됨
개인정보보호법 및 정보통신망법 개정 진행 경과 ISSUE
고객센터 시스템 내 개인정보를 활용한 본인 확인 또는 상담업무 서비스는 없음.
시사점
4) 개인정보보호법에 따른 고객센터 개인정보 활용 범위(1/2)
"개인정보보호법"은 세계 각국과의 FTA 대비 및 IT 강국으로서의 위상확보와 개인정보의 유출 및 오∙남용 등의 근절을 통해 안전하고 신뢰받는 정보사회를 구현을 위해 실행
개정 년도 내용
1 2011년 7월 네이트, 사이월드 등 대형 포털사 사이트 해킹 사고
2 2012년 4월 주민번호수집이용 최소화 정부 종합대책 발표
- 안전행정부, 방송통신위원회, 금융위원회 공동수립 3 2012년 8월 온라인상의 주민등록번호 수집금지 등 개정 정통망법 시행
- 6개월간 계도기간 운영 후 2013년 2월 본격 시행 4 2013년 8월 주민등록번호 수집금지 등 개정 개인정보보호법 개정 공포 5 2014년 8월 7일 시행 개정 개인정보보호법 전면 시행
개인정보보호법 개정 핵심 – 주민번호 수집 법정주의
- 규모 개인정보 유출사고가 발생하는 것을 방지하기 위하여 법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우를 제외하고 주민등록번호의 무분별한 수집과 이용을 제한함
개인정보보호법 개정 내용 – 주민등록번호 수집ㆍ이용 제한 (14년 8월 7일 시행) - 주민등록번호 처리의 제한 (개정 개인정보보호법 제24조의 2)
1) 법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우에는 수집ㆍ이용 가능
2) 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우 3) 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우
※ 원칙적으로 이용자의 주민등록번호를 수집 이용할 수 없음
1. 개인정보보안 운영체계 진단
Ⅴ. 고객센터 시스템 고도화• 고객 또는 민원인 확인 시 주민번호를 활용할 수 없음
• 공 기관이 개인정보 처리업무를 위탁하고 있는 경우에는 그에 관한 사항을 기재하고, 만일
개인정보처리의 위탁이 없을 경우에는 본 항목은 기재하지 않음
안전행정부 해석 - 고객센터에서의 주민번호 처리 기준 ISSUE
고객 또는 민원인 확인 시 주민번호를 활용할 수 없음
기재 내용 : “개인정보 처리업무 위탁”이란 개인정보처리자(공공기관 등)의 목적을 위하여 개인정보를 외부의 제3자에게 맡겨 업무를 처리하는 것을 말함 (고객센터, A/S센터, 배송 등)
시사점
4) 개인정보보호법에 따른 고객센터 개인정보 활용 범위(2/2)
"개인정보보호법"은 세계 각국과의 FTA 대비 및 IT 강국으로서의 위상확보와 개인정보의 유출 및 오∙남용 등의 근절을 통해 안전하고 신뢰받는 정보사회를 구현을 위해 실행
구분 검토내용
사례 고객센터 상담 시 민원인(고객)본인 확인을 위한 주민번호 처리
구분 검토내용
안전행정부 검토기준
주민번호 처리
법령 근거 유무 법령근거 없음
고객센터 업무 중 주민번호 처리 근거 없음
주민번호 처리 불가피성 유무
불가피성 없음
고객센터 상담 시 단순 본인확인(대체 주민번호 키값이용)용 도
주민번호 처리에 대한 불가피성 없음
생년월일, 휴대폰번호, 기타 기 등록된 정보 확인으로 대체 가능
안전행정부 해석 및 조치 주민번호 삭제 및 생년월일 등 대체 수단 도입
※ 텔레뱅킹 통한 금융업무시에는 주민번호 처리가능 금융실명제법 제 2조 4호
1. 개인정보보안 운영체계 진단
Ⅴ. 고객센터 시스템 고도화• 상담어플리케이션에서 조회 가능한 고객정보 화면의 주민번호 항목에 대해서 주민번호를 확인 할 수 없도록 암호화 처리가 되어있음
• 생년, 주민번호 뒷 첫 한자리로 표시되어 고객정보에 잘 관리되고 있음
• 분석 결과 ISSUE 사항 존재 하지 않음
상담어플리케이션 진단 ISSUE
상담어플리케이션의 주민번호 조회 등 개인정보 활용에 대한 진단 결과 특이 사항 없음
보안적용이 잘되어 있으며, 데이터베이스 암호화로 구현되어 복사 등에 의한 유출 등에 대해서도 보안적용이 잘되어있음 시사점
5) 상담어플리케이션
고객센터에서 운영중인 상담어플리케이션에서의 “개인정보보호법”에 의한 주민번호 처리는 이미 시행 하고 있으며 상담사 또는 상담관리자가 주민번호를 볼 수 없도록 보안적용이 잘되어 있음
• 생년, 주민번호 뒷 첫 한자리로 표시되어 고객정보에 잘 관리되고 있음
• 예: 00****-1******
1. 개인정보보안 운영체계 진단
Ⅴ. 고객센터 시스템 고도화• 물리적 보안 저장 장치 등에 대한 차단이 잘되어있으며 본원 전산실에서
실시간관리 중
• 기본적으로
상담어플리케이션의 보안이 잘되어 있음
윈도우 7로 일괄적
업그레이드 실시 예정(10월
~ 11월)
상담사 PC 진단 ISSUE
상담사 PC의 물리적 보안은 잘되어있음. DRM 디지털 문서 보안에 대한 검토가 필요함.
윈도우 7로 일괄적 업그레이드 실시 예정(10월 ~ 11월)
인터넷 미 연결 환경으로 외부 보안 문제점 없음 시사점
6) 상담사 단말(PC)
고객센터에서 운영중인 상담사 PC에 대한 진단 결과 물리적 보안은 되어 있으나, 서비스 지원이 종료된 윈도우 XP 환경으로 향 후 바이러스 등 보안상에서 취약한 상태임
* 디지털 권리 관리(Digital rights management, DRM)는 출판자 또는 저작권자가 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록
프린트 진단 상담PC에 프린트 설정은
안되어있으나 개인이 설정 할 수 있는 환경
디바이스 진단 USB를 이용한 자료 이동 및 외부 메일 전송 등에 대한 보안 적용되어있음
화면캡처 프린트 스크린 활성화로 인한 화면캡처 기능 활성화로 화면 정보 저장 가능
PC 진단
운영체제(OS)진단구분 내용
질문 지원이 종료된 후에도 계속 사용하게 된다면 어 떤 문제가 발생할 수 있나?
답변
Windows XP의 지원과 업데이트가 종료되어도 계 속 사용은 하시는데 있어서 아무런 제약이나 문제 는 없음
Microsoft로 부터 중요한 업데이트 프로그램등 을 제공 받을 수 없게 되어, 이후 악성코드 및 해킹, 보안, 바이러스 등에 더욱 쉽게 노출 될 수 있음.
서비스가 종료된 윈도우 XP 환경으로 상담석 PC가 구성되어있 어 권고안 수준으로 업그레이드가 필요함.
1. 개인정보보안 운영체계 진단
Ⅴ. 고객센터 시스템 고도화• 물리적 보안에 대해서는 지침서 운영과 시건 장치 운영 등으로 이슈사항 없음
• 또한 CCTV 운영으로 물리적 보안 사항 잘 되어있음
고객센터 물리적 공간 진단 ISSUE
물리적 고객센터 공간에 외부인의 접근을 차단하는 시건 장치 및 CCTV 운영으로 물리적 보안 적용이 잘 이루어져 있음
방문객 접근 시 방문 목적 등에 대한 지침서 운영으로 방문 기록 등에 대한 보안 지침서 활용 운영을 잘 시행하고 있음 시사점
7) 물리적 공간 진단(상담센터)
고객센터의 물리적 공간 및 외부 인력(방문자)등에 대한 물리적 보안은 시건 장치 및 보안 규정 관리 지침서 등을 활용하여 물리적 공간에 대한 보안 이슈가 없음
보안지침서 운영 및 관리
물리적 보안(시건 장치 및 CCTV)• 분야별 보안지침서 및 방문기록, 사유 등에 대해서
관리규정 집 운영하고 있음 • 외부인 접근 제안 및 CCTV 설치 운영으로 물리적 환경
보안을 시행하고 있음
1. 개인정보보안 운영체계 진단
Ⅴ. 고객센터 시스템 고도화 상담어플리케이션은 데이터의 물리적 보안 및 상담화면에서의 육안 확인에 대한 보안이 잘되어있 음
향후 정책 변화 등의 환경 변화 시 동일 환경 적용으로 운영 하는 것을 제언
상담어플리케이션상담사 PC
물리적 보안
외부 저장 장치 및 외부(메일 등)에 대한 보안적용 잘되어있음
윈도우 7로 일괄적 업그레이드 실시 예정(10월 ~ 11월)
외부 방문객 차단 및 방문 허가 시 지침서 관리가 잘되고 있음
외부 접근 차단 및 방문객 사전 점검 등을 위한 CCTV운영 등 물리적 보안 부분에서 큰 이슈가 없음
기본적인 보안 지침 활동 등 에 큰 이슈가 없음
윈도우 7로 일괄적 업그레이 드 실시 예정(10월 ~ 11월)
단기적 목표 현황 분석 결과 장기적 목표로 개선 할 부분은 없음
단. 향후 정책 변화 등의 환경 변 화 시 DRM 적용 및 내부 IT 보안 정책을 고객센터에도 동일 적용 필요(키보드 제어,화면캡쳐 방지 프로그램 도입 등)
장기적 목표 진단결과 및 개선 방향성
개인정보보안에 대해서는 내부 규정 및 일반적 권고 사항에 준하여 운영하고 있음.
향후 정책 변화 등의 환경 변화 시 상담사 PC에 대해서도 내부 보안 규정과 동일하게 운영하는 것을 제언 함