http://www.boannews.com/media/view.asp?idx=29337&page=1&kind=2&search=title&find=

PIMS 인증제도 법적근거 마련한 ‘정보통신망법’ 개정안 통과



 

[보안뉴스 김정완] 의원안으로 국회에 계류 중이던 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(이하 정보통신망법 개정안)’ 7개 안이 폐기되고 이를 수용해 제안된 대안이 29일, 제304회 국회 제2차 본회의에서 원안대로 통과됐다.


정보통신망법 개정안은 대규모 개인정보 유출사고가 발생하는 것을 방지하기 위해 주민등록번호의 무분별한 수집과 이용을 제한하고, 개인정보 누출시 이용자에게 해당 사항을 통지하고 방송통신위원회에 신고하도록 했다. 또한, 중대한 개인정보보호법규 위반행위가 있는 경우에는 방송통신위원회가 해당 정보통신서비스 제공자 등을 수사기관에 고발할 수 있도록 하는 등 개인정보보호 체계를 전반적으로 강화하고자 했다.


또한, 기업의 정보보호를 체계적으로 관리 및 지원할 수 있는 정보보호 관리체계 인증제도로 일원화하기 위해 현행 정보보호 안전진단제도를 폐지하고, 정보보호 사전점검 제도와 개인정보보호 관리체계 인증제도에 대한 법적 근거를 마련했다. 이 밖에 침해사고에 대한 신고의무를 이행하지 아니한 자에 대하여 과태료를 부과하는 등 실질적인 정보보호체계를 확립하기 위한 내용들이 포함됐다. 그 내용은 다음과 같다.

 

- 정보통신서비스 제공자가 본인확인기관으로 지정받거나 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우 등을 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없도록 함(안 제23조의2).

- 정보통신서비스 제공자등은 개인정보의 분실·도난·누출 사고 발생시 해당 이용자에게 통지 및 방송통신위원회에 신고하여야 하고 피해를 최소할 수 있는 조치를 강구하여야 함(안 제27의3 신설).

- 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 수집한 이용자 개인정보의 이용내역을 주기적으로 이용자에게 통지하여야 함(안 제30조의2 신설).

- 정보보호 사전점검제도의 법적 근거를 마련하고, 정보통신서비스 제공자가 임원급의 정보보호 최고책임자를 지정할 수 있도록 함(안 제45조의2 및 제45조의3 신설).

- 정보보호 안전진단제도를 폐지하고, 정보보호 관리체계 인증제도로 일원화하며, 개인정보보호 관리체계(PIMS) 인증제도의 법적 근거를 마련함(제46조의3 삭제 및 안 제47조, 안 제47조의3 신설).

[김정완 기자(boan3@boannews.com)]

Posted by secu153

댓글을 달아 주세요


내부정보유출방지SAC(System Access Control) 솔루션 소개 자료 입니다.
 
외부 및 내부 사용자에 의한 중요 내부정보 유출사고 증가로 / 시스템 접근 강화 및 자원보호, 권한관리, 행위 데이터를 저장하는 솔루션 입니다.
 


 
[기능 및 특징]
- 내부직원, 벤더직원, 협력업체직원에 대한 시스템접근 인증강화
- 시스템 사용자의 Human error 대비 및 데이터유출 방지
- CLI 접속 및 모든 Recording(RDP) 접속에 대한 로그를 제공
- 암호화통신을 통한 데이터 보호 및 시스템 사용 자료 보관(각종 로그 및 레코딩 데이터를 암호화하여 저장하는 기술)
- SystemAccess Control에서 System은 모든 서버, 스위치, 제어장비, 보안제품 등 네트워크에
   연결된 모든 시스템을 의미합니다. 따라서 SAC는 모든 시스템에 대하여 그리고 모든 사용자에 대한 통합적 제어 가능
 
 
[사례]
가.농협
 2011 4월에 발생한 농협 전산망 장애사고는 악성코드 감염으로 인한 해킹 형태의 사이버 테러라고 검찰 발표가 있었다.
특히 농협의 전산마비 사고가 단순 시스템 오류가 아닌 계획적인 의도를 가지고 내부 시스템에 접근해 서버를 파괴토록 한 범죄행위였다.

전산장애의 발생 원인은 농협중앙회 IT본부 내에서 상주 근무하던 협력사 직원의 노트북PC를 경유하여 각 업무시스템을 연계해 주는 중계서버에서 시스템 파일 삭제 명령이 수행되었으며, 명령이 실행된 약 5분 동안 275개의 서버에서 데이터 일부가 삭제되는 피해를 보게 됐다고 농협은 발표했다.

 

. 현대캐피탈

 2011 4월에 발생한 현대캐피탈 고객정보 유출사고는 내부망 관리부주의로 인한 사고로 경찰이 내부 직원이 해킹에 연루됐는지 조사하는 과정에서 현대캐피탈에서 근무하다 지난해 12월 경쟁사로 옮긴 김모(36)씨가 두 달여 동안 내부 정보를 빼낸 사실을 확인했다.

전산개발 담당자로 근무했던 김씨는 현대캐피탈 내부 시스템에 관리자 계정으로 들어가거나, 동료에게서 캡처된 화면을 문서 형식으로 전달받았다. 김씨는 경쟁사의 전산시스템 개발에 참고하기 위해 자료를 유출했다고 해명했지만 경찰은 시기가 겹치는 만큼 해커와의 공모 가능성을 수사하고 있다. 해커인 신씨가 김씨를 통해 현대캐피탈 서버의 취약한 부분을 전달받았을 가능성이 있다는 것이다.

 
다. SK커뮤니케이션즈(네이트온, 싸이월드)
 2011 7월에 발생한 네이트온 고객정보 유출사고는 서비스 취약점 및 악성코드 감염으로 인한 사고였다.

경찰은 이스트소프트社의  공개용 알툴즈의 보안취약점을 이용하여 알툴즈 서비스를 위한 서버를 해킹한 후, 악성코드 유포지로 악용했을 가능성이 있다고 발표했다.

해커는 알툴즈 자동갱신 프로그램을 가장한 악성코드를 심어 놓았고, 알툴즈가 설치된 SK커뮤니케이션즈 직원의 PC가 이를 내려받아 악성코드에 감염되면서 해커의 조종을 받아 고객 정보를 유출한 것이다.

Posted by secu153

댓글을 달아 주세요


행정안전부가 발행한 개인정보 보호법령 및 지침 고시 해설서 입니다.(2011.12월)




Posted by secu153

댓글을 달아 주세요