정보보호 뉴스레터2016年

1月

매월첫째주월요일은롯데그룹정보보호의날!

롯데임직원의보안인식제고와

개인정보보호활동강화를위하여정보보호위원회는

매월첫째주월요일을

롯데그룹정보보호의날로지정하여운영하고있습니다.

2016년 1월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니

많은관심과실질적인예방을위한활동부탁드립니다.

Contents

12月 정보보호 관련 주요 기사1

사진파일 메타정보에 포함된 개인정보2

직원들의 비밀번호 관리 현황3

네트워크 공유기의 보안 위협 증가4

버려지는 항공권을 통해 유출되는 개인정보5

Security TIP! TIP! TIP!6

정보보호위원회 활동7

정보보호 교육 및 세미나 안내8

1 12月정보보호관련주요기사

4

해킹된 전 세계 CCTV 영상 또 실시간 노출...한국 542건

15.12.07. 보안뉴스

- 식당, 미용실 등 다양한 장소의 영상이 노출되었으며 구글지도 서비스와 연계하여

위치정보까지 제공함

- 해당 웹사이트의 서버가 해외에 있기 때문에 국내법상으로 처벌하거나 제재를

가하기 어려운 상황●LIVE

●LIVE

개인정보 동의서 쉽고 간결하게

15.12.16. 전자신문

- 기존 동의서는 내용이 복잡하고 이해하기 어려워 고객이 내용을 확인하지 않고

동의하는 형식적 활용에 그침

- 행정자치부는 고객 동의서 가이드라인(안)을 만들었고 전문가 자문을 거쳐 내년

상반기에 확정할 예정

- 정보주체가 내용을 명확히 이해하고 불필요한 동의는 하지 않도록 동의서 내용을

표준화하며, 기업 측면에서도 법령 사항을 쉽게 적용할 수 있도록 함

“제조사, 기기명, 촬영날짜, GPS 위치정보 등 확인 가능”

2

5

사진파일메타정보에포함된개인정보

사진파일의 메타정보란?

EXIF(Exchangeable Image File format)정보라고 하며,

메타정보에 포함되어 있는 기기정보, 촬영날짜, 위치정보 등의 개인정보가

노출될 경우 사생활 침해를 당할 수 있습니다.

개인정보 노출 예방법

___카메라_____________________

제조업체 Apple

모델명 iPhone 6s

플래시 모드 자동

…

___GPS______________________

위도 2°17'40.1"E

경도 48°51'30.9"N

…

EXIF 정보

1. 메타정보 삭제 후 사진 공유 2. 카메라의 위치정보 저장 옵션 끄기

EXIF

3

6

직원들의계정관리현황 (1/2)

“기업 보안의 가장 큰 문제 ‘계정 설정 및 관리 습관’”

1. 일과 생활의 균형이 가진 아이러니

• 개인용 기기로 업무를 보는 직원의 비중 : 60%

• 업무용 기기로 개인 업무를 보는 직원의 비중 : 55%

2. 지속적으로 늘어나는 BYOD

• 직원의33%가 하루에 한 번 이상 개인 기기로업무용 데이터에접속

3. 알고는 있지만 실행하지 못하는 것

• 가족들과비밀번호를공유하는것에 대한 위험을 알고 있는 직원의비중 : 78%

• 자신의 컴퓨터, 스마트폰, 태블릿 등의 비밀번호를

가족들과 공유하고 있는 직원의 비중 54%

*****Password

해외 리서치 업체의 계정 관리 실태 조사 결과

3

7

직원들의계정관리현황 (2/2)

*****Password

5. 같은 비밀번호 돌려쓰기

• 업무관련된여러계정에같은비밀번호재사용하는직원의비중 :50%

• 개인 계정과업무 계정에 같은 비밀번호를사용하는직원의 비중 : 66%

4. 낮은 비밀번호 변경률

• 최근한달사이에개인용기기의비밀번호를변경한적없는직원의비중 : 66%

• 최근한달사이에업무용기기의비밀번호를변경한적없는직원의비중 : 48%

DANGER

주기적 비밀번호 변경, 계정별 다른 비밀번호 사용 등

안전한 계정 관리를 생활화한다면

정보보호를 실천하는 롯데그룹을 만들 수 있습니다.

※ 출처 : 핑 아이덴티티(Ping Identity)의 ‘기업들의 기밀문서 관리정책 및 직원들의 보안의식 실태에 대한 설문조사’ 재구성

4

8

네트워크공유기의보안위협증가

“무선 공유기는 해커들의 또 다른 공격통로!”

공유기 업데이트도 중요하다 전해라~

공유기의 취약점을 통해 악성코드 감염, 파밍(Phaming)사이트 접속 유도,

DDoS 공격 시도 등의 피해가 지속적으로 발생하고 있기 때문에

반드시 공유기 펌웨어 업데이트가 필요합니다.

구○ 사이트에 접속되지 않아이상함을 느낀 L씨

X

PC 백신을최신으로업데이트하고검사를통해악성코드검출후치료

공유기 피해 사례

며칠 뒤, 다시 구○ 사이트에접속이되지않고 악성코드감염알림표시

자세히 보니 컴퓨터에 연결된 공유기를통해 감염된 악성코드!!

악성코드 주의!

1

3 4

2

5

9

버려지는항공권을통해유출되는개인정보

“항공권 바코드를 읽어 개인정보 탈취 가능”

항공권 겉면에는 이름, 항공편 등의 기본 정보만 보이지만

바코드에는 회원번호, 전화번호 등 개인정보가 담겨 있습니다.

① 항공권을 그대로 버림 ② 버려진 항공권의 바코드를통해 개인정보 탈취

개인정보 탈취 과정

이 것 만 은 꼭 !

① 항공권의 SNS 게시 금지 ② 항공권은 파쇄하여 폐기

6

10

Security TIP! TIP! TIP!

의심스러운 URL, 파일을 열람하기 전 VirusTotal를 통해

검사를 한다면 랜섬웨어 감염을 예방할 수 있습니다.

1. URL주소 입력 또는 파일 업로드

2. 웹사이트, 파일분석

3. 분석 결과 확인 후URL, 파일 열람

검사 방법

http://www.virustotal.com/

최신 랜섬웨어인 크립토락커, 테슬라크립트 변종은

웹사이트 방문, 파일 열람만으로도 감염될 수 있습니다.

“URL과 파일을 열기 전 검사할 수 있는 VirusTotal”

7

11

정보보호위원회활동

1. 2015년 12월 정보보호 실무위원회

일 시 : 2015년 12월 17일(木), 14:00 ~ 18:00

장 소 : 롯데면세점 센터플레이스 20층 교육장 비젼룸

참석자 : 계열사 정보보호 담당자 61명 (41개社)

내 용 : ’16년 수준진단 계획 및 보안정책사무국 업무 공유

개인정보 위탁관리 진단 결과 공유 및 의견 수렴

8 정보보호교육및세미나안내

1) [정보보호 교육] 한국정보보호심사원협회 ISMS 강좌

구분 세부내용

교육명 ISMS 인증심사 기업 담당자 실무반

교육일시

2015년 1월 16일 (토) ~ 31일 (일) (주말반 40시간 / 300,000원)

2015년 1월 18일 (월) ~ 29일 (금) (주중 야간반 30시간 / 200,000원)

2015년 1월 18일 (월) ~ 22일 (금) (주중 주간반 40시간 / 300,000원)

URL http://kangnamit.choongang.co.kr/html/m2/m2_s01.asp?cs=I04

2) [세미나] IE11로의 업그레이드 방안

구분 세부내용

일시 2016년 1월12일 (화) 14:00 ~ 15:30

장소 온라인

주최 마이크로소프트 코리아

내용 IE 지원 정책 변경에 따른 IE11 업그레이드 준비 및 질의응답

참관방법

https://msevents.microsoft.com/CUI/default.aspx?culture=ko-KR

⇒Live 웹캐스트

⇒보안과 기능이 강화된 최신 브라우저로, IE11로의 업그레이드 방안

⇒등록 후 세미나 당일 이메일 링크를 클릭하여 참석 가능

12

* 참가비 무료

발행처 : 롯데그룹 정보보호위원회

Homepage: http://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) – 2626-5939

정보보호뉴스레터