정보보호 뉴스레터2016年

8月

매월 첫째 주 월요일은 롯데그룹 정보보호의 날!

롯데 임직원의 보안인식 제고와

개인 정보보호 활동 강화를 위하여 정보보호 위원회는

매월 첫째 주 월요일을

롯데그룹 정보보호의 날로 지정하여 운영하고 있습니다.

2016년 8월 그룹 정보보호의 날을 맞이하여 정보보호 뉴스레터를 배포하오니

많은 관심과 실질적인 예방을 위한 활동 부탁 드립니다.

Contents

I 쇼핑몰 개인정보 유출 사건1

개인정보란?4

정보보호 위원회 활동9

8月 정보보호 Report – 개인정보(일반)

정보보호 활동 및 교육

7月 정보보호 이슈

개인정보 유출 사고 유형5

개인정보 지키기 (기업)6

개인정보 지키기 (개인)7

정보보호 교육 및 세미나 안내10

Security TIP! TIP! TIP!8

A 항공사 개인정보 유출 사건2

Malvertising3

4

“I 쇼핑몰, 개인정보 천만 건 유출”

1 7月 정보보호이슈 –① I쇼핑몰 개인정보 유출 사건

사건 개요

2016년 5월, 인터파크가 해외 IP를 경유한 외부세력에게 APT 공격

(스피어 피싱 공격)을 받아 1,030여만 건의 개인정보가 유출됨

대응 방안

의심스러운 이메일 수신 시 즉시 신고 (신고전화 | Tel 02-2626-3640)1

메일 내 첨부된 파일 다운로드 및 실행 금지, 본문에 포함된 링크 클릭 금지2

S/W 최신 보안 패치 유지 (Windows, 백신, MS-Office, 플래쉬 플레이어 등)3

공격자

내부 네트워크 해킹4DB 관리자 PC 해킹5DB 서버 접근6고객정보 DB 접근 후 탈취7

1해커가 일반인 A씨의포털 메일 계정 탈취

탈취된 A씨의 포털 메일주소록으로 대량의피싱 메일 발송

2임직원 B씨는업무PC로 해당(외부)메일사용 중 피싱 메일 열람

3

임직원 B씨

악성코드감염

업무 PC로 외부메일 열람 금지4

“웹사이트 취약점을 통한 개인정보 유출사고”

2 7月 정보보호이슈 –② A 항공사 개인정보유출 사건

홈페이지의 고객센터(FAQ) 게시판에서 이용자가 올린

개인정보가 다른 이용자에게 노출되는 사고가 발생함

홈페이지를

사용하지

않는 경우

- 고객 민원 처리 시 중요 고객정보는 홈페이지에 업로드

하지 않고 메일로 수신 민원 처리 후 반드시 삭제

예방법

- 파일 업로드 시 순차적인 파일명이나 파라미터 값을

사용하지 않고, 랜덤한 값으로 저장

5

① A씨가 올린 게시글의 첨부파일

URL을 B씨가주소창에그대로입력

www.aa.co.kr/aa...123

www.aa.co.kr/aa...123

유출 사례

www.aa.co.kr/aa...123

주민등록증, 가족관계증명서, 여권, 전자항공권 사본 등

홈페이지를

꼭 사용해야

하는 경우 - URL 요청 시 반드시 요청한 사용자의 권한을 확인하여

접속 허용 (본인이 작성한 게시글이 아니면 접속 차단)

② B씨는 A씨의 게시글과 첨부파일

등을 그대로 확인 가능함

“광고를 이용한 악성코드 공격, Malvertising”

3 7月 정보보호이슈 –③ Malvertising

6

01. Malvertising이란?

Malware + Advertising 합성어로, 광고를 이용한 악성코드 공격.

광고 서버에 악성코드를 주입하여 광고가 포함된

웹사이트 방문만으로도 악성코드에 감염될 수 있음.

플래시(실버라이트) 광고로 인해

자동으로 악성코드 다운로드3

02. 공격 프로세스

광고에 악성코드가

삽입된 사이트 방문2배너

1 광고 서버 해킹 후악성코드 삽입

악성코드삽입사용자

시스템 감염4

03. 대응 방안

백신 실시간 감시, 네트워크 침입탐지, 행위기반탐지 기능 사용 및

최신 업데이트 적용

광고에 주로 사용되는 Adobe Flash player, MS Silverlight 최신 패치 적용

공격자

“개인정보의 정의 및 유형”

4

7

살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여

개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수

없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)

개인정보의 유형별 분류

8月 정보보호 Report – ① 개인정보란?

※ 개인정보란?

[개인정보보호법 제2조 제1호]

유형 개인정보의 예

인적 사항성명, 주민등록번호, 주소, 본적지, 연락처, 생년월일,

출생지, 이메일 주소, 가족 정보 등

신체적 정보 얼굴, 지문 등의 신체정보 / 의료·건강정보

정신적 정보 대여기록 등의 성향정보 / 사상, 종교 등의 내면의 비밀

재산적 정보 소득, 신용카드번호 등의 개인금융정보 / 신용정보

사회적 정보 교육정보 / 법적정보 / 근로정보 / 병역정보

기타통화내역, IP주소, 웹사이트 접속내역, 이메일 또는

전화메시지, 개인위치정보 등

[2009, ‘행정안전부’ 기준]

5

8

8月 정보보호 Report –② 개인정보유출 사고 유형

“개인정보 유출 3가지 유형 및 사례”

해커에 의한사고

내부자에 의한사고

본인 실수로인한 사고

해커가 악성코드를 포함한 메일을 통해

개인정보 유출

SNS에 기업 정보가 포함된 사진 및

관련된 글을 올림으로써 기업정보 유출

카드사에 파견근무를 하며 고객 개인정보를

USB에 담아 유출

6

9

8月 정보보호 Report –③ 개인정보지키기 (기업)

“기업의 개인정보 유출 예방법”

1

2

3

4

5

개인정보취급자 연 2회 이상 교육

[그룹 정보보호 규정 제21조 제2항]

개인정보 저장·전송 시 암호화

[그룹 정보보호 규정 제46조 제1항]

개인정보 접근 권한 최소화 및

접근 권한 관리 내역 최소 5년 보관

개인정보처리시스템 접근 기록

최소 6개월 이상 보존 및 관리

[그룹 정보보호 규정 제53조 제7항]

개인정보처리시스템 신규 개발 및

리뉴얼 시 보안성 심의 받기

[그룹 정보보호 규정 제21조 제2항]

[그룹 정보보호 규정 제32조 제5항]

2+α

접근 권한

관리 내역

5년

개인정보

처리시스템

6개월

7

10

8月 정보보호 Report –④ 개인정보지키기 (개인)

“개인의 개인정보 유출 예방법”

1

2

3

4

5

비 업무용 사이트 접속 금지

인가되지 않은 이동식 저장매체 사용 금지

개인정보 유출 시

각 사 정보보호 담당자에게 신고

스마트폰

잠금 설정 비밀번호 설정

모바일 앱 설치 전

접근권한 확인하기

위치접근허용?

YES NO

※ 정보보호담당자는 포털 및 secu_policy@lotte.net 에 신고

8

“e프라이버시 클린서비스”

행정자치부와 KISA가 인증기관과 함께 제공하는 인터넷

이용자의 주민등록번호/I-PIN 이용내역을 확인할 수 있는 서비스

Security TIP! TIP! TIP!

① www.eprivacy.go.kr 접속 및 ‘이용내역 조회 서비스’ 바로가기 클릭

② 약관 동의 및 본인인증,

실명인증③ 주민등록번호/I-PIN 이용내역 조회

11

9

12

정보보호위원회활동

1. 2016년 7월 정보보호 실무위원회

일 시 : 2016년 7월 7일(木), 14:00 ~ 18:00

장 소 : 롯데면세점 센터플레이스 20층 교육장 비젼룸

참석자 : 계열사 정보보호 부서장 및 담당자 96명 (49개社)

내 용 : 멤버스 회원정보 동기화 프로세스 소개

정보보호 수준진단 결과 및 개선과제 계획 공유

16년 하반기 정보보호 업무 계획 공유

10 정보보호교육 및 세미나 안내

1) [KISA 아카데미] 최신 보안기술

구분 세부내용

교육명 최신 보안기술

교육일시 2016년 8월 3일(수) ~ 8월 4일(목) (16시간/2일)

교육장소 통계교육원(대전)

교육대상기업체 보안 담당자

보안 신기술 도입 직무 관련자 등

URL http://academy.kisa.or.kr/main.kisa

13

*수강료 무료

2) [KISA 아카데미] 침해사고 분석대응 전문가

구분 세부내용

교육명 침해사고 분석대응 전문가

교육일시 2016년 8월 23일(화) ~ 25일(목) (21시간/3일)

교육장소 사이버보안인재센터

교육대상 기업체 보안 담당자

URL http://academy.kisa.or.kr/main.kisa

*수강료 무료

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) – 2626-4193

정보보호뉴스레터