금융 보안 교육 - 내부정보 유출방지를 위한 자가수준진단 및 준수사항

A. 내부정보 유출방지를 위한 자가수준진단 및 준수사항

1. 정보유출사고 현실

부동의 1위 악성코드 유형은 금융정보 유출

한국인터넷진흥원이 발표한 '월간 악성코드 은닉사이트 탐지 동향 보고서 5월 에 따르면' 악성코드 유형으로는 정보유출 (금융정보)이 68%로 가장 높게 나타났다. 악성코드 유포에 악용된 SW 취약점은 Java Applet 취약점이 38%의 비율로 가장 높게 나타났으며, 이외에도 Adobe Flash Player 취약점, MS OLE 취약점 취약점 등의 순으로 나타났다.

 

악성코드 유형별 비율 / 출처 : 한국인터넷진흥원, 월간 악성코드 은닉사이트 탐지 동향 보고서

 

2. 사이버 보안위협의 진화

해커의 능력 과시형을 넘어 금전적 목적의 해킹 그리고 국가 차원의 위협이 되는 해킹으로 변화

 

2-1. 최근 침해사고 특징

지능형 지속공격(APT)으로 기업대상 침해사고 발생

DDoS 공격은 과거부터 지금까지 지속적으로 발생하나 공격목적은 변화됨

인기 키워드, 사회이슈등을 악용해 악성코드 유포증가

공공기관 사칭 피싱사이트 증가

대규모 개인정보 유출사고 지속 발생

 

2-2. 침해사고 경로

스팸메일, 프리서버, SNS, 네트워크, 웹사이트, 업데이트 서버, 피싱, 이동형 저장장치, 불법 프로그램, OS/프로그램 취약점 등등 다양한 경로를 통해 침해사고가 발생할 가능성이 존재

 

3. 정보보호와 개인정보보호

3-1. 각 용어별 의미

• 침해사고 : 정보통신망이나 관련 정보시스템에 해킹, 서비스거부 등으로 발생한 사태
• 정보보안 : 침해로부터 자산을 보호하기 위한 일체의 행위 
• 정보보호 : 자산으로서의 정보를 내부&외부 위협으로부터 보호
• 개인정보보호 : 개인 사생활 및 개인정보 자기결정권 보장

 

3-2. 개인정보의 개념

사전적 정의로는 "개인을식별할 수 있는 생존하는 자연인에 관한 일체의 정보"

 

사회적 정보	교육정보 근로정보 자격정보	정신적 정보	기호, 성향 신념, 사상
일반적 정보	이름, 주소 가족관계 등	재산적 정보	개인 금융정보 신용정보
통신&위치정보	문자내역, IP주소 화상정보, GPS 등의 정보	신체적 정보	신체정보 의료&건강정보

* 해당 정보만으로 특정 개인 식별이 불가하여도 다른 정보와 결합시 식별이 가능하면 개인정보로 간주함

 

 

보다 개인정보에 대한 자세한 내용을 알고싶으면 하기의 링크를 참조

https://itofk.tistory.com/192

금융 보안 교육 - 개인정보 취급자를 위한 금융권 개인정보보호

 

3-3. 개인신용정보

개인신용정보란 신용정보법 제2조 제2호에 의거해 법률상으로 "개인의 신용도와 신용거래능력 등을 판단할 대 필요한 정보로서 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보"를 의미한다.

 

신용정보의 예시로는 하기와 같다.

• 특정 신용정보 주체를 식별할수 있는 정보
• 신용정보주체의 거래내용을 판단할 수 있는 정보
• 신용정보주체의 신용도를 판단할 수 있는 정보
• 신용정보주체의 신용거래 능력을 판단할 수 있는 정보

개인신용정보 보호대책 소홀로 인한 개인신용정보 등의 부당이용, 유출행위에 대한 제제를 받을 수 있어 금융회사 등은 전자금융거래가 안전하게 처리될 수 있도록 전자적 전송이나 처리를 위한 인력, 시설등에 관하여 기준에 준수하는 의무를 부담하여야한다. 

 

3-4. 새로운 개인정보의 등장

개인정보의 범위

• 과거 : 주민등록번호, 운전면허증, 학번, 이름, 연락처 등 
• 현재 : 기본적인 신상정보 외 위치정보, 영상정보, 인터넷 접속기록 등 

 

새로운 개인정보 위협

IoT를 통해 사이버 상에서 해킹, 정보유출, 금전피해를 일으키고, 현실에서는 시스템 정지, 생명위협등을 일으킬 수 있다.