정보보호 뉴스레터2016年

4月

매월첫째주월요일은롯데그룹정보보호의날!

롯데 임직원의 보안인식 제고와

개인 정보보호 활동 강화를 위하여 정보보호 위원회는

매월 첫째 주 월요일을

롯데그룹 정보보호의 날로 지정하여 운영하고 있습니다.

2016년 4월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터를 배포하오니

많은 관심과 실질적인 예방을 위한 활동 부탁 드립니다.

Contents

개정 개인정보보호법 국회 통과1

사무실 보안의 중요성3

사무실 보안 수칙4

Security TIP! TIP! TIP!5

정보보호 교육 및 세미나 안내7

4月 정보보호 Report

정보보호 TIP

정보보호 활동 및 교육

3月 정보보호 이슈

정보보호위원회 활동6

2 꿀뷰 악성코드 감염 주의

“개인정보 수집출처 고지 의무 및 주민번호 수집근거 법령 상향”

1

4

3月정보보호이슈 –① 개정개인정보보호법국회통과

현 행 개정안

주민번호 수집 근거 법령,

시행령에 따른 근거보유

주민번호 수집 근거 법령은

법률, 시행령, 시행규칙에 근거해 수집

개인정보보호법 개정안의 시행 전

관련 업무를 수행하는 임직원의 내용 숙지와 조치 필요함

구 분

개인정보의제3자

제공시고지

의무 강화

주민등록번호수집 근거법령 축소

정보주체 사전 동의 시

개인정보 제3자 제공 가능

개인정보제3자

제공 동의서동의

- 법률

- 시행령

- 시행규칙

法- 법률

- 시행령

- 시행규칙

法

고객 제공받는 자

제공하는 자② 제3자에게고객 정보 제공

① 제3자 제공에대한 동의

고객 제공받는 자

제공 사실 고지

<신설. 16.09.30 시행>

개인정보 제공받은 사업자가 그 사실을

정보주체에게 직접 통지

①수집출처 ②처리 목적

③ 개인정보 처리정지 요구 권리

<개정. 17.03.30 시행>

이 기간동안 ‘꿀뷰’를 다운로드 받은 약 200여명에게 꿀뷰 설치 파일

대신 악성코드가 다운로드 됨2

3월 26일, 반디소프트 홈페이지가 외부로부터 2시간 동안 공격 받음1

“‘꿀뷰’ 다운받으려다 악성코드 감염”

2

5

사건 개요

꿀뷰 악성코드 감염 여부 확인 방법

3月정보보호이슈 –② 꿀뷰악성코드감염주의

1) 작업 관리자 실행(Ctrl+Alt+Del) → 프로세스 목록

→ cacls.exe 포함 확인 → 해당 프로세스 강제 종료 후

백신 프로그램으로 시스템 점검하기

2) 컴퓨터를 시작하자마자 꿀뷰 설치 프로그램이 실행되는

경우, cacls.exe 프로세스 종료 후 시스템 점검

출처 : 반디소프트 블로그

3) 레지스트리 에디터 실행 (프로그램 검색창에 ‘regedit’)

→ HKLM\Software\Microsoft\Windows\CurrentVersion

\Run → HONEYVIE-SETUP-KR.EXE 있는 경우, 삭제 후

시스템 점검

“중요정보 파기 않고 이면지 사용 등 고객정보 관리 허술해”

3

6

사무실에는 수많은 중요 정보를 보관하고 있습니다.

보안을 생활화하여 회사의 정보를 지키는 롯데인이 됩시다

사무실 보안 위반 사례

4月정보보호 Report –①사무실보안의중요성

누락된 마일리지 적립을

위해 A항공사 측이 발송한

서류를 받은 L씨는 당황함

A항공 측이 발송한 서류의

뒷면에는 다른 사람의 개인

신상정보가 노출돼 있었음

알고 보니 파기되어야 할

고객관련 문서들이

이면지로 활용되고 있었음

출입 보안 문서 보안 정보자산 보안

GATE

이면지

A사 L씨 A사 L씨

4

7

4月정보보호 Report –②사무실보안수칙 (출입보안)

내부인 출입 보안 외부인 출입 보안

사원증 항시 패용,

사원증 대여 및 양도 금지

앞사람을 따라 들어

가는 ‘꼬리물기‘ 금지

3출입문에 포스트잇

부착 금지

방문록 작성 및

방문증 패용1 안내자와 동행2

접견실 등

지정된 장소 이용4

“내부인 및 외부인 출입 보안”

방문록

VISITOR

접견실

동작 감지센서

1

2

5

“올바른 문서 관리 방법”

대외비 및 기밀 문서 출력 시 관리, 보관 및 파쇄를 철저히 해야 함

[ 올바른 문서 관리 방법 ]

4月정보보호 Report –②사무실보안수칙 (문서보안)

문

서

관

리

퇴근 시, 서랍 시건

장치 잠금 확인

문

서

보

관

문

서

파

쇄

용무가 끝난 중요

문서는 즉시 파쇄

팩스 및 프린터 주변

중요 문서 방치 금지

장기간 이석 시, 중요

자료 서랍 속 보관

대외비 및 기밀문서

이면지 활용 금지

8

정기적 ‘클린데스크’를

통한 책상 위 문서 정리

“정보자산 보안 수칙 4가지”

6

9

4月정보보호 Report –②사무실보안수칙 (정보자산보안)

노트북 시건 장치 설치 및

해제 시 비밀번호 노출 관리

1

2

3

4

화면보호기 적용 및

PC 비밀번호 설정※ 숫자,영문자 및 특수문자 3종 혼합 시 8자리 이상,

2종 이상 혼합 시 10자리 이상(주기적 설정 권고)

USB, 외장하드 사용 자제

필요 시 승인 필수

모바일 기기에

업무 파일 보관 자제

회사가 보유 및 운영하고 있는 컴퓨터,전산시스템,소프트웨어 등

정보를 관리하는데 필요한 모든 자산

정보자산이란?

P.W

7

10

Security TIP! TIP! TIP!

자리 이석 시 ‘ + L ’으로 잠금 설정을 합시다.

“ 업무용 PC 화면보호기 및 잠금 설정”

바탕화면 빈 공간에서

마우스 우클릭 → 개인설정

1

일정시간이 지나면 자동으로 암호가 걸리는

화면보호기 설정을 통해 정보유출을 미연에 방지합시다.

화면보호기 설정 방법

중간의 화면보호기 부분 설정 및대기시간 5분 이상 설정 권장

중간의 화면보호기 부분이 없음으로되어있을 경우, 화면보호기 해제 상태

‘윈도우 화면보호기’클릭

2

43

8

11

정보보호위원회활동

1. 2016년 3월 정보보호 실무위원회

일 시 : 2016년 3월 17일(木), 16:00 ~ 18:00

장 소 : 롯데센터 2층 대강당

참석자 : 계열사 정보보호 담당자 33명 (22개社)

내 용 : 개인정보 자가진단 시행 설명

제 14차 정보보호위원회 개최 계획 설명

보안성 심의 결과 공유

9 정보보호교육및세미나안내

1) [정보보호 교육] KMU·KISIA 정보보안 아카데미 재직자교육

구분 세부내용

교육명 서비스 연속성 보장을 위한 침해사고 분석/대응 실무

교육일시 2016년 4월 27일 (수) ~ 29일 (금) (3일/24시간)

교육장소 서울시 강남구 테헤란로 127 그레이스타워 6층 쎄임페이지

교육대상 정보보안 분야 재직자

URL http://www.kisia.or.kr/ 커뮤니티 협회공지/행사 (4월 15일 까지 신청)

12

3) [컨퍼런스] 개인정보보호 핵심 컨퍼런스 (G-Privacy 2016)

구분 세부내용

일시 2016년 4월 06일 (수) 09:00 ~ 17:30

장소 양재동 더케이호텔서울(구 서울교육문화회관) 가야금홀 및 로비

주최 데일리시큐

대상 전국 정부∙공공∙지자체∙교육기관, 일반기업 개인정보보호 실무자

내용 개인정보보호를 위한 기술적 관리적 조치 방안 및 최신 기술 소개

URL http://www.dailysecu.com/gprivacy2016/index.html참가신청

*수강료 무료

2) [정보보호 교육] KISA 아카데미 정보보호 4월 교육

구분 세부내용

교육명 정보통신 기반시설 정보보호 업무실무

교육일시 2016년 4월 19일 (화) ~ 21일 (목) (3일/24시간)

교육장소 사이버보안인재센터

교육대상주요정보통신기반시설 정보보호 담당자

기업체 정보보호 담당자

URL http://academy.kisa.or.kr/main.kisa

*수강료 무료

*참관비용 무료

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) – 2626-5931

정보보호뉴스레터