개인정보보호법 추진체계 (개인정보보호위원회,행안부)

개인정보보호법의 일원화된 운용을 위해 공공/민간분야의 운용체계를 아래와 같이 일원화하여 운영하고 있다.

보호위원회(심의/의결) – 행정안전부(총괄 집행) – 부처(소관 집행)

※ 예외적 적용사항
– 헌법기관(국회/법원/헌재/선관위):기본계획 및 시행계획의 수립시행 권한
– 방통위, 과학기술정보통신부: 정보통신분야에서의 개인정보보호관련 집행
– 금감위:  금융/신용 분야의 개인정보보호관련 집행

2016년 7월 25일 시행된 개정법에 의해 개인정보보호위원회의 총괄조정이 강화되어 개인정보보호위원회가 개인정보 침해요인 평가, 기본계획 수립·자료제출 진술요구권한과 분쟁조정위원회의 위원 임명(위촉)권한을 갖게 됨

■ 개인정보보호위원회

개인정보보호위원회는 법이 정하는 개인정보보호에 관한 사항을 심의·의결하기 위하여 대통령소속으로 설립된 독립적인 감독기구로 법 제 7조가 정한바에 따라 그 권한에 속하는 업무를 독립하여 심의·의결함

1. 개인정보보호위원회의 구성
– 대통령이 위촉한 위원장 1명 (공무원이 아닌 사람)
– 대통령이 임명하거나 위촉한 15명이내의 위원
(상임위원은 정무직 공무원으로 임명)
※ 위원장과 위원의 임기는 3년, 1차에 한하여 연임 가능
※ 위원장이 필요하다고 인정하거나 제적 위원 1/4이상의 요구가 있을 때 위원회가 소집되며 재적위원 과반수 출석과 출석위원 과반수 찬성으로 의결함

– 심의·의결사항에 대해 전문적으로 검토하기 위하여 분야별 전문위원회를 둘 수  있음
– 사무지원을 위해  사무국을 운영

2. 개인정보보호위원회의 주요 업무
– 기본·시행계획의 심의·의결
– 개인정보보호와 관련된 정책, 제도 개선, 권고 등에 대한 심의·의결
– 개인정보 오·남용 감시
– 이행실태 조사
– 공공기관 간의 의견조정
– 법령해석·운용에 대한 심의·의결
– 연차보고서의 작성·제출
– 영향평가결과에 대한 의견제시
– 개선방안 연구
– 개인정보 침해요인 평가
– 기본계획 수립·자료제출 진술요구 권한
– 분쟁조정위원회의 위원 임명(위촉) 권한

3. 개인정보보호 기본 계획의 수립
개인정보보호위원회는 개인정보 보호와 정보주체의 권익보장을 위해 3년마다 아래 내역이 포함된 개인정보 기본계획을 관계 중앙행정기관장과 협의하여 수립하고 있음

– 개인정보 보호의 기본목표와 추진방향
– 개인정보  호호와 관련된 제도 및 법령의 개선
– 개인정보 침해 방지를 위한 대책
– 개인정보 보호 자율규제의 활성화
– 개인정보 보호 교육·홍보의 활성화
– 개인정보 보호를 위한 전문인력의 양성
– 그밖의 개인정보 보호를 위하여 필요한 사항

※ 매년 12월 31일까지 차차년도 시행계획의 작성방법 등에 대한 지침을 마련하여 관계 중앙행정기관장에게 통보해야 함
※ 관계중앙행정기관장은 지침에 따라 기본계획중 차년도에 시행해야할 소관분야의 시행계획을 작성하여 매년 2월말까지 보호위원회에 제출해야 함
※ 보호위원회는 시행계획을 4월30일가지 심의·의결해야 함

■ 행정안전부

① 개인정보관리 수준 및 실태파악을 위한 조사를 실시할 수 있음
②  시행계획의 효율적인 수립,추진을 위해 자료제출이나 의견의 진술을 요구할 수  있음
– 개인정보처리자가  처리하는 개인정보 및 개인정보파일의 관리와 영상정보처리기기의 설치,운영에 관한  사항
– 개인정보 보호책임자의 지정여부에 관한  사항
– 개인정보의 안전성확보를 위한 기술적,관리적,물리적 조치에 관한  사항
– 정보주체의 열람, 개인정보의 정정·삭제·처리정비의 요구 및 조치현황에 관한 사항
– 그밖의 법령의 준수에 관한 사항 등 기본계획의 수립·추진을 위해 필요한 사항
③ 표준개인정보보호 지침을 정하여 개인정보처리자에게 준수를 요구할 수 있음
④ 개인정보처리자의 자율적인 개인정보보호활동을 촉진하고 지원하기 위해 다음의 필요한 시책을 마련해야 함
– 개인정보 보호에 관한 교육,홍보
– 개인정보 보호와 관련된 기관,단체의 육성 및 지원
– 개인정보 보호 인증마크의 도입,시행 지원
– 개인정보 처리자의 자율적인 규약의 제정, 시행 지원
⑤ 공공기관과 민간분야의 개인정보를 총괄 집행
⑥ 행정안전부의 주요 업무
– 표준개인정보보호지침의 제정
– 개인정보처리방침 작성지침의 제정,권고
– 개인정보열람창구 구축,운영
– 개인정보유출신고제도 운영
– 개인정보파일 등록 접수 및 현황 공개
– 자율규제 촉진 및 지원 시책
– 개인정보영향평가 관리,운영
– 법 위반행위 조사, 시정권고 및 명령, 과태료 부과

■ 기타 부처

각 소관부야의 개인정보처리와 관련된 개인정보 보호치침을 정하여 그 준수를 권장하고 개인정보 시행계획을 수립,시행함

※ 소관법률에 따라 소관분야의 개인정보처리실태 개선을 위한 권고 및 시정조치, 감독기능 수행
– 소관분야 법령등의 개선추지 평가
– 소관분야 자율규제 촉진 및 지원
– 법 위반행위 조사, 시정권고 및 명령, 과태료 부과

개인정보 분쟁조정 위원회

개인정보보호위원회의 산하에 있으며 개인정보침해와 관련된 분쟁을 당사자 사이의 합리적이고 신속하게 해결하기 위한 기구로 심의를 통하여 손해배상을 결정하며 개인정보피해예방 활동, 법제도 개선 건의, 시정권고등을 통해 국민의 권리 보호 및 건전한 개인정보보호 이용환경 구축 등의 업무를 담당

 개인정보 침해신고 센터

개인정보침해와 관련된 신고접수와 상담을 수행하고 신고된 개인정보처리자의 법률위반 여부를 조사하여 후속조치 지원

핀테크 현황과 전망, 주요이슈 (금보연 자료)

금융보안연구원에서 2015년 1월에 배포했던 핀테크 현황과 전망, 주요이슈」를 공유해봅니다.  내용을 일부 발췌해서  소개합니다.    핀테크의 정의, 발전단계, 해외 주요국의 적용사례 등이 소개되어 있으며  국내 서비스 현황과 이슈등이 잘 정리되어 있습니다.  참고하시기 바랍니다.

문서 맨 마지막 페이지의 국내외 쇼핑몰 결제 절차는 국내와 해외의 결제에 관련한 보안의 시각차를 잘 보여주는 그림 같습니다.

151006-fin01

<< 핀테크 현황과 전망, 주요이슈 다운로드 >> 

■ 핀테크의 정의

‘Financial’ + ‘Technique’의 합성어*로 금융서비스(결제, 송금, 투자,대출, 자산관리 外)에 IT기술을 결합한 ‘금융IT융합’을 의미
– 과거 금융전산화 등 ‘서버 단의 기술도입’을 의미하였으나 최근에는 결제, 플랫폼 등 ‘소비자단의 기술접목’으로 주목을 받고 있으며 이로 인해 최근에는 ‘혁신 기술’, ‘소비자 중심 서비스’의 이미지가 강함

■ 핀테크의 발전단계

실생활과 밀접하고, 기술접목이 쉬우며, 진입장벽이 낮은 ‘전자결제’ 분야에서 시작되어 점차로 예금, 대출, 투자 등 금융본연 업무로 확대되고 있음
– 국내는 전자결제 시장 중심으로 서비스가 제공 중이며 해외는 순수금융서비스까지 진행


151006-fin02

 

암호화 대상과 근거

■ 개인정보보호법에서 명시한 암호화 대상

주민번호
외국인등록번호
여권번호
운전면허번호
비밀번호 (일방향 암호화)
바이오정보 (일방향 암호화)

개인정보보호법 시행령  [시행 2015.3.11.]
[대통령령 제26140호, 2015.3.11., 타법개정]

법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보(이하 “고유식별정보”라 한다)를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.
1. 「주민등록법」 제7조제3항에 따른 주민등록번호
2. 「여권법」 제7조제1항제1호에 따른 여권번호
3. 「도로교통법」 제80조에 따른 운전면허의 면허번호
4. 「출입국관리법」 제31조제4항에 따른 외국인등록번호

 

■ 정통망법에서 명시한 암호화 대상

주민등록번호
비밀번호(일방향 암호화)
신용카드번호
계좌번호
바이오정보 (일방향암호화)

전자금융감독규정   거래로그

개인정보의 기술적·관리적 보호조치 기준
[시행 2013.2.18.] [방송통신위원회고시 제2012-50호, 2012.8.23., 일부개정]

① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
④ 정보통신서비스 제공자등은 이용자의 개인정보를 개인용컴퓨터(PC)에 저장할 때에는 이를 암호화해야 한다.

DB테이블관련 용어 (Relation, Tuple, Attribute, Degree, Cardinality)

DB테이블 관련 용어를 정리해봅니다.

  • 릴레이션, 튜플, 디그리, 애트리뷰트, 카디널러티

[table width=”100%” colalign=”left|left”]
용어,설명
릴레이션 Relation,같은 성격을 갖는 데이터들의 집합 =테이블. 튜플과 애트리뷰트로 데이터 관리
애트리뷰트 Attribut,릴레이션에서 이름을 가진 하나의 열 =컬럼
디그리 Degree,에트리뷰트의 수
튜플 Tuple,릴레이션의 각 행  =record
카디널러티 Cardinality,튜플들의 수
[/table]

 

산업스파이 식별 요령

  산업기밀보호 센터에서 제공하는 산업스파이 식별 요령입니다. 그림으로 설명되어 쉬우면서도 좀더 현실감 있게 느껴지네요.   주요 사업기술을 보유한 기업에서는 기밀자산 보호가 매우 중요한데요..   아래 케이스에 해당하는 사람이 있다면 관리가 필요할 듯합니다. 

산업기밀 보호센터의 산업스파이 식별요령 웹페이지: http://service4.nis.go.kr/page?cmd=measure&cd_code=ckeck_1&menu=CAA00

1. 본인의 업무와 관련 없는 다른 직원들의 업무에 대해 수시로 질문하는 사람
image

2. 디지털 카메라 등 업무와 관계없는 영상장비를 사무실에 반입하는 사람
image

3.본인의 업무와 관련이 없는 다른 부서 사무실을 빈번히 출입하는 사람
image

4. 연구실, 실험실 등 회사기밀이 보관되어 있는 장소에 주어진 임무와 관계없이 접근을 시도하는 사람
image

5. 평상시와 다르게 다른 동료와의 접촉을 회피하는 증 최근 정서 변화가 심한 사람
image

6. 주요 부서에서 근무하다 이유 없이 갑자기 사직을 하는 사람
image

7. 업무를 빙자 주요 기밀자료를 복사, 개인적으로 보관하는 사람
image

8. 주어진 임무와 관련 없는 DataBase에 자주 접근하는 사람
image

9.사람이 없을 때 동료컴퓨터에 무단 접근하여 조작하는 사람
image

10. 특별한 사유 없이 일과 후나 공휴일에 빈 사무실에 혼자 남아 있는 사람
image

11. 기술습득보다 고위 관리자나 핵심 기술자등과의 친교에 관심이 높은 연수생
image

12.  자기 주거지에 동료가 방문하는 것을 지나치게 기피하는 연구원
image

13. 연구활동보다 연구성과물 확보에 지나치게 집착하는 연구원
image

14. 시찰,견학을 하면서 지정된 방문코스 외에 다른 시설에 관심을 갖고 있는 방문객
image

 

 

.

[CleanAX] 쉽고 빠른 ActiveX 삭제프로그램

  인터넷을 하다 보면 다양한 ActiveX 프로그램들이 설치됩니다.  이런 ActiveX 프로그램들은 컴퓨터를 느려지게 하는 원인이 되고 있으며  이중 일부는  PC 내부의 정보를 노리는 악성프로그램도 포함되어 있어 특별한 관리가 필요합니다. 

  오늘은 이런 ActiveX 프로그램을 간편하고 안전하게 삭제할 수 있는 프로그램을  소개해드립니다.   CleanAX라는 프로그램으로서  국가 사이버 안전센타 (NIS) 에서 제공하는 믿을만한  프로그램이랍니다.

프로그램명: CleanAX  (아래 링크에서 다운로드하실 수 있습니다.)
http://service1.nis.go.kr/safe/securityRecomm.jsp?pArticleNo=1357&pListNo=121&mode=view

■ 장점
1. ActiveX 프로그램을 간편하고 빠르게 삭제할 수 있음
2. ActiveX 프로그램의 세부정보를 쉽게 알 수 있다.
    – 파일의 절대 경로
    – 다운로드받은 사이트 URL
    – 게시자 정보 
3. 잘 사용되지 않는 ActiveX 프로그램을 구분할 수 있다.

■ 사용방법
1. CleanAX를 실행합니다. 국가 사이버 안전센타 로고가 보입니다.
    – 월단위로 주기적으로 정리하기를 권장하고 있네요
    – 삭제된 ActiveX control을 해당 사이트 접속 시 자동 설치되므로 
       잘못 삭제하더라도 걱정할 필요는 없답니다. ^^
image
 
2. 30일동안 사용하지 않는 ActiveX Control 조회를 클릭합니다.
   – 주의점: 해당하는 모든 컨트롤이 선택되어 있으며 삭제를 누르면 한꺼번에 삭제
image

3. 특정 ActiveX control 의 세부정보를 확인할 수 있습니다.  
   – 해당 ActiveX control을 더블클릭하면  파일절대경로,다운로드받은 사이트, 게시자를 확인할 수 있어서 필요여부를 판단할 수 있도록 도와줍니다.
image

[이끄는 보안, 이끌리는 보안]을 읽으며 커뮤니케이션에 대해 생각해봅니다.

  오늘 국회도서관에 와서  책을 좀 읽고 있는데요..   손에 잡힌 책이 이상호님이 쓰신 [이끄는 보안 이끌리는 보안] 와우북스   2011입니다.   기술적으로 접근하지 않고 조직적인 면에서의 접근을 시도하고 있어서 더 신선하고 눈에 들어오네요.  “보안은 소통이다”라는 글이  책 앞면 디자인에 들어가 있는데  이 책에서 커뮤니케이션을 여러차례 강조하는것을 볼 수있었고  실제로 저두 현장에서 보안관리를 하는 사람으로써 정말 공감이 가는 내용이었습니다.
 
▶ 보안담당자를 위한 13가지 실천 덕목
1. 커뮤니케이션은 보안에서 더욱 필요하다
2. 보안에서 타협과 양보는 미덕이 아니다.
3. 상대방의 업무를 인정하고 이해하라
4. 정보의 수집과 활용은 정요한 업무중 하나다
5. 보안담당자의 열정에 따라 조직내 보안운명이 결정된다.
6. 보안은 100%가 없다.
7. 윤리적인 책임과 도덕적 마인드를 겸비하라
8. 신뢰와 믿음을 통한 인적 자원 네트워크를 형성하라
9. 올바른 의사결정을 위해 인터뷰를 적극 활용하라
10. 조직문화를 이해하고 보안정책을 구현하라
11. 보안은 내,외부 환경변화에 따라 지속적인 관리가 필요하다.
12. 자신만의 브랜드가치를 향상하라
13. 3-Tier 구조를 파악하고 이해하라

첫장에 에 보안담당자의 이미지를 어떤가라는 설문조사 결과를 소개하는것이 인상깊습니다. 
1. 독단적이고 권위적이다. (28%)
2. 커뮤니케이션이 다소 불편하고 부담스럽다(26%)
3. 까칠하고 깐깐하다 (22%)
4. 조직에서 반드시 필요한 사람으로 철밥통이다 (12%)
5. 전문적인 지식을 가지고 있어서 부럽다(8%)
6. 냉철하고 객관적인 사람이다(4%)

위 결과는 보안부서가 커뮤니케이션을 잘 못하고있다는 반증이네요.  정책이 그러니까 “NO” 라고 바로 말하면 커뮤니케이션이 안되겠죠?   무엇이 필요한지.. 혹시 현재의 정책에 개선사항이 필요한건 아닌지.. 새로운 해결방안은 없는지 열린마음으로 그리고 객관적인 시각으로 고민해보고 답해주는 태도가 필요한 것 같습니다.  경영자들이 현장을 돌아보며 문제를 해결하는 MBWA를 하는데  그에 못지않게 보안책임자,담당자도 MBWA를 해야할 것 같습니다.
MBWA란? 의사결정권을 가진 리더(경영층)가 직접 현장을 방문하여 업무수행의 진척도, 중요한 과제 해결을 위한 의사결정을 3현주의(현장에서, 현물을 보고, 현상을 파악하여)에 의하여 빠르게 처리하는 현장경영의 기술이자 경영혁신활동에 있어 계층간 의사소통을 원활히 하는 효과적인 방법이다. 이 방법을 통해 조직의 방침이 조직하부로 자연스럽게 전파되게 되며, 또한 현장의 체질을 강화하는 효과를 거둘 수 있다.  (네이버 지식사전에서…)
 
또 다음장에서  “타협과 양보는 미덕이 아니다”라고 바로 나오는 것을 볼 수 있었네요..  커뮤니케이션은 하되 타협과 양보는 하지 말라는 말씀…..  원칙을 가지고 있지만  열린마음으로  커뮤니케이션하고   설득하고  협업하는  보안전문가가 되어야겠다는 결심이 … 

김병만과 함께하는 “정보보호 달인되기” 동영상입니다.

정보보호를 재밌게 공부할 수 있게 해주는 유투브 동영상입니다.  달인 김병만 선생과 함께  정보보호의 세계로 떠나볼까요? 행정안전부와 한국인터넷진흥원이 공동으로 제작했으며  정보보호 생활수칙 홍보 동영상입니다.    3분정도 분량으로 분리된  동영상도 아래쪽에  리스트했습니다.  참고하세요  ^^

Part 1. (8:22)

Part 2. (7:09)

 
분리형 – 안전한 컴퓨터 이용 (2:43)

 
분리형 – 안전한 인터넷 이용 (2:16)

 
분리형 – 인터넷 사기 예방편 (2:57)

 
분리형 – 안전한 스마트폰 이용편 (3:26)