정보보호 뉴스레터2016年

2月

매월첫째주월요일은롯데그룹정보보호의날!

롯데 임직원의 보안인식 제고와

개인 정보보호 활동 강화를 위하여 정보보호 위원회는

매월 첫째 주 월요일을

롯데그룹 정보보호의 날로 지정하여 운영하고 있습니다.

2016년 2월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터를 배포하오니

많은 관심과 실질적인 예방을 위한 활동 부탁 드립니다.

Contents

개인정보 제3자 제공1

개인정보 유효기간제2

침해사고 대응3

모바일 보안사고4

2016년 예상 보안 키워드5

비밀번호 설정 TIP6

Security TIP! TIP! TIP!7

정보보호위원회 활동8

정보보호 교육 및 세미나 안내9

2月 정보보호 Report

정보보호 TIP

정보보호 활동 및 교육

1月 정보보호 이슈

재판부는 고지 의무를 다했다고 판단하여 무죄 선고

1mm 글자 크기는 복권 등 다른 응모권과 비슷한

수준이라는 것이 재판부의 입장

3

2011년부터 2014년까지 경품행사 등으로 수집한

개인정보 2400만 여건을 판매

총 231억 7천만원의 금전적 이익 발생

2

응모권에 ‘보험사 마케팅용 정보 제공’ 문구를

1mm 글자 크기로 기재

경품은 지인에게 당첨시켜 빼돌림

1

“면죄부 된 1mm 활자크기… 개인정보 장사한 홈플러스 무죄”

1

4

사건 개요

개인정보 제3자 제공 고지 시 주의사항

① 제공하는 개인정보내역 명시

② 필수 동의 항목과분리하여 동의 수집

③ 정보주체가 확인하기 쉽게 명시

필수 동의

동의 거부

선택 동의

동의 거부마케팅용정보제공

1月정보보호이슈 - ①개인정보제3자제공

총 1억 1천만원의 과태료 처분 및 시정조치 부과

8개 사업자 중 7개 주요 사업자는 현행 법령 최고

금액인 1,500만원씩 부과

3

통신ㆍ포털ㆍ미디어ㆍ게임ㆍ쇼핑 등 5개 업종 대상

방송통신위원회 조사

조사대상 27개 사업자 중 8개 사업자 적발

2

서비스 미이용자의 개인정보 보관기간

3년에서 1년으로 단축

2015년 8월 18일부터 시행

1

“개인정보 불법보관 8개 사업자 과태료 처분”

2

5

사건 개요

개인정보 유효기간제 대처 방안

서비스 이용자개인정보

서비스 미이용자개인정보

① 서비스 미이용자 개인정보 파기

OR서비스 미이용자

개인정보

② 서비스 미이용자 개인정보 분리보관

1月정보보호이슈 - ②개인정보유효기간제

해킹 단서를 파악할 수 있는 중요 증거물 유실

서울시는 같은 해 서울메트로의

사이버 위기관리 점수를 100점으로 평가

3

해킹 사실 파악 직후 90분 만에 PC 포맷

일부 보안 전문가 “사건 축소 시도 가능성” 제기2

2014년 7월 북한 추정 사이버테러 조직의 해킹

내부 핵심 전산망 서버의 관리자 권한 탈취1

“서울메트로 해킹 피해 발생 90분 만에 PC포맷… 해커 단서 유실”

3

6

1月정보보호이슈 - ③침해사고대응

사건 개요

Windows 설치(85%)

침해사고 발생 시 수칙

① 네트워크 분리 ② PC 전원 끄지 않기

시스템을 종료할까요?

③ PC 격리 보존

“한국인터넷진흥원 설문조사 결과 55.1%가 모바일 보안사고 경험”

4

7

2月정보보호 Report - ①모바일보안사고

모바일 보안사고 경험 유형

※ 복수응답 가능

■ 악성코드 감염

■ 스미싱 피해

■ 개인정보 유출

■ 경험 없음

사고 대처 유형 Top 3

악성 앱 삭제1

모바일 백신 설치2

통신사 문의3

스마트폰 3대 안전수칙

출처가 불분명한 문자,

URL 클릭 금지1

신뢰할 수 없는 웹사이트

방문 및 앱 다운로드 금지2

백신프로그램 설치 및

주기적 업데이트3

32.0%28.9%

24.4%

44.9%

※ 한국인터넷진흥원 인터넷통계정보검색시스템(http://isis.kisa.or.kr/) 보도자료 2015년 정보보호실태조사 결과 발표

5 2月정보보호 Report -② 2016년예상보안키워드

“2016년 예상 보안 키워드 Top5”

※ 자료출처 : 알약(Alyac)

8

윈도OS 대상 공격만 발생됨

랜섬웨어 공격대상 증가 예상

리눅스 OS, 모바일 기기 OS

- 주기적 데이터 백업

- 외부저장장치에 2차 백업

- 중요 문서는 ‘읽기전용’ 설정

IE11버전 외 기술지원 종료

구 버전의 제로데이 공격 예상

- IE11 버전으로 업데이트

- 상위 IE 버전에 대한 웹사이트

호환성 검토

- 공유기 초기 비밀번호 변경 필수

- 모바일 기기 임의 개조 금지

인터넷전문은행 시작

핀테크 산업 고도화

- 공인인증서와 보안카드는

PC·모바일에 보관 금지

- 공용 PC에서의 금융거래 금지

- 보안 플러그인 설치

- 패치 즉시 적용

- 관리자페이지 접근권한 최소화

전세계 웹사이트의 25%는

워드프레스로 구축

워드프레스 취약점 공격 증가

랜섬웨어 범위 확대

현황 및 예상 이슈 대응방안

Jan.

12

IE 구버전 지원 종료

1

2

4

5

가상화폐 시장 확대

워드프레스 취약점

IoT

IoT 보안위협 증가

3 IoT 산업의 확장

모바일이 IoT의 컨트롤러 역할

모바일 보안 위협 증가

>>>

6

9

비밀번호설정 TIP

“2015년 최악의 비밀번호는 여전히 ‘123456’”

흔하게 사용되는 허술한 비밀번호 유형

PQ W E R T Y U I O

연속된 숫자

" 123456 "

키보드 최상단 키 나열

" football "" baseball "

" abc123 "기본적 문자 숫자 조합

스포츠 관련 단어

※ 자료출처 : 스플레시데이터(SplashData), 안철수 연구소

2015년 유출된

비빌번호 200만개 분석 결과,

비밀번호의 길이는 길어졌지만

여전히 단순한 비밀번호 사용

안전한 비밀번호 만드는 방법

연관 없는 단어를 합쳐라 한글 자판을 보고 쳐라 숫자·기호를 섞어라

1 2 3

wit + car → witcar witcar → 위트카[dnlxmzk] 위트카[dnlxmzk] → 위트카12[dnlxmzk12]

dnlxm ! zk 12단어 사이 기호 넣음

한글로 ‘위트’

한글로 ‘카’

생일·전화번호 등 의미 있는번호는 피해야 함

안전한 비밀번호는 길고, 무작위로 생성되어

추측하기 힘든 비밀번호 입니다.

7

10

Security TIP! TIP! TIP!

Microsoft에서 제공하는 악성 소프트웨어 제거 도구를 통해

기본적인 악성코드를 제거할 수 있습니다.

“Windows에 포함된 악성 소프트웨어 제거 도구”

※ Windows Update를 통해 매달 두번째 화요일에 버전 업데이트

사용 방법

① 윈도우키 mrt검색 실행 ② 검사할 악성코드 목록 확인 가능

③ 검사 유형 선택 ④ 검사 완료 후 결과 확인

8

11

정보보호위원회활동

1. 2016년 1월 정보보호 실무위원회

일 시 : 2016년 1월 28일(木), 15:00 ~ 18:00

장 소 : 롯데월드타워 홍보관 교육장

참석자 : 계열사 정보보호 담당자 61명 (43개社)

내 용 : 1~2月 정보보호 업무 실적 및 계획 공유

그룹 정보보호 규정 개정(案) 공청회

‘16년 정보보호 수준진단 계획 및 자가점검 설명

해외법인 정보보호 현황 및 강화 소개

9 정보보호교육및세미나안내

1) [정보보호 교육] KMU·KISIA 정보보안 아카데미 재직자교육

구분 세부내용

교육명 웹해킹방어를 위한 자바시큐어코딩

교육일시 2016년 2월 17일 (수) ~ 19일 (금) (3일/24시간)

교육장소 서울시 강남구 테헤란로 127 그레이스타워 6층 쎄임페이지

교육대상 정보보안 분야 재직자

URL http://www.kisia.or.kr/ 커뮤니티 협회공지/행사 (2월 12일 까지 신청)

12

3) [컨퍼런스] 스마트 금융 & 정보보호 페어 2016 (SFIS 2016)

구분 세부내용

일시 2016년 2월 25일 (월) 09:00 ~ 17:30

장소 종각 그랑서울 3층 나인트리 컨벤션

주최 머니투데이, 데일리시큐

대상 금융권 의사결정궈너자 및 금융권 현업 실무자, IT 전문가, 기업 및 기관 보안담당자

내용 모바일 정보보호 관련 보안이슈 및 대응방안 발표

참가문의 데일리시큐 길민권 기자 / mkgil@dailysecu.com

*수강료 무료

2) [정보보호 교육] KMU·KISIA 정보보안 아카데미 재직자교육

구분 세부내용

교육명 악성코드 사례 분석을 통한 모바일 보안 실무

교육일시 2016년 2월 24일 (수) ~ 26일 (금) (3일/24시간)

교육장소 서울시 강남구 테헤란로 127 그레이스타워 6층 쎄임페이지

교육대상 정보보안 분야 재직자

URL http://www.kisia.or.kr/ 커뮤니티 협회공지/행사 (2월 18일 까지 신청)

*수강료 무료

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) – 2626-5931

정보보호뉴스레터