정보보호 뉴스레터fse.lotteins.co.kr/newsletter/201510_information... · 2015. 10. 1. · 7...
TRANSCRIPT
2015. 10
롯데 임직원의 보안인식 제고와
개인 정보보호 활동 강화를위하여 정보보호 위원회는
매월 첫째 주 월요일을 롯데그룹 정보보호의 날로
지정하여 운영하고 있습니다.
매월첫째주월요일은
롯데그룹정보보호의날!
2015년 10월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니많은관심과실질적인예방을위한활동부탁드립니다.
정보보호뉴스레터 | Security Information Newsletter
9月 정보보호관련주요 기사1
개인정보 유출 자진신고2
정보보호위원회활동6
Contents
Security TIP! TIP! TIP!5
정보보호교육및세미나안내7
그룹모의바이러스훈련3
유명 쇼핑정보사이트 해킹사고4
정보보호뉴스레터 | Security Information Newsletter
스마트폰 앱 개인정보보호 가이드라인 발표
방송통신위원회와 한국인터넷진흥원은 스마트폰 앱 관련
단계별·사업자별 개인정보보호 기준이 담긴 가이드라인 발표
- 앱 개발부터 각 단계별로 앱 개발자, 서비스
제공자 등 이 준수해야 하는 상세 내용 수록
- 앱 이용자가 취해야 할 보호조치 내용 포함
• 앱 설치 시, 사용되는 권한 확인
• 공식 마켓 통해 앱 다운로드
• 모바일 백신 앱으로 주기적 검사 -> 악성코드 제거
• ‘알 수 없는 출처의 앱 설치 허용’의 체크 해제
※출처: 보안뉴스
15.09.02. 보안뉴스
- 보건복지부가 추진하는 ‘사회보장정보시스템 주민번호 암호화 사업’
제안요청서 초안이 관련 업계에 유출되어 사업이 6개월째 지체
- 사회보장정보원 직원 부주의로 사업공고 전에 관련 업계로 유출
- 유출된 제안요청서 초안에는 사업내용과 사업자 선정과정 및 제안서
작성 지침 등의 내용이 포함
- 외부 보안업체 직원이 검토하는 과정에서 담당자가 자리를 비운 틈에
경쟁업체로 유출, 제 3의 업체가 사본을 입수하여 복지부에 제보
'주민번호 암호화' 100억대 프로젝트 사전 유출 '파장'
15.09.15. ZDNET
1. 9月정보보호 관련 주요 기사 (1/2)
정보보호뉴스레터 | Security Information Newsletter
1. 9月정보보호 관련 주요 기사 (2/2)
- 지난해 8월 코레일 해킹 방지 부서인 정보기획처 소속 컴퓨터 3대가
외부 공격에 의해 해킹
- 코레일 전산망 구성도, 주요정보통신 기반시설 점검계획을 포함한
공문서 53건 유출
- 사건 발생 4개월이 지나도록 인지 못하고 국정원이 유출된 자료를
발견하여 코레일에 통보
- 사건 이후 망분리를 완료하여 보안 강화
사이버테러 노출된 코레일, 자료 해킹당하고 4개월간 ‘깜깜’
15.09.15. 아시아투데이
지난 10년의 기록 : 침해사고 어떻게 일어났나?
- 2005년 1월 ~ 2015년 4월 사이 발생한 보안 침해 사고에 대한
분석 보고서 발표
- 주요 내용
• 침해사고 41%가 기기 분실로 인해 발생
• 침해사고 25%가 해킹 및 멀웨어로 인해 발생
• 침해사고 17.4%가 의도치 않은 실수로 인해 발생
(기기 분실 미포함)
• 침해사고 12%가 내부자로부터 발생
15.09.24. 보안뉴스
.. .
정보보호뉴스레터 | Security Information Newsletter
2. 개인정보 유출 자진신고
방송통신위원회는 8월 21일 ‘개인정보보호 법규 위반에 대한 과징금
부과기준’ 개정안을 심의·의결했습니다.
개인정보보호 법규를 위반하면 방송통신위원회가 기본 과징금을 산정 한
후 이를 일부 조정해 최종적으로 과징금을 산정하게 됩니다.
개정안은 ‘임의적 조정과징금’의 감경사유에 ‘개인정보 유출 사실을
자진신고한 경우’를 추가해 조정 범위를 30% 이내로 정했습니다.
(종전까지는 자진신소를 ‘기타사유’로 보고 최대 10% 범위에서만
과징금이 감경되었습니다)
그러나 이 제도는 감경제도이지 면책제도는 아님을 유의해야 합니다.
“개인정보유출자진신고시과징금최대 30% 감경”
정보보호뉴스레터 | Security Information Newsletter
3. 그룹 모의바이러스 훈련 (1/2)
“15년 3분기모의바이러스훈련결과”
대상 : 47개 社 전 임직원 59,354 명
메일 內 URL 클릭 여부, 첨부파일 다운로드 후 실행 여부 측정 (다양한
시안으로 랜덤 발송)
변경 내용 : URL 클릭/첨부파일 실행 시 훈련 메시지 미 표기,
바탕화면에 바로가기 생성 등
의심 메일에 대한 신고 임직원 파악 ( 각 社 정보보호담당자가 신고자
취합 후 보고 )
목적
진화되는 악성메일에 대비하여 훈련을 통한 임직원 인식제고 강화
반복되는 동일한 패턴의 훈련에서 실제 발생할 수 있는 사례 위주로
훈련 시나리오 개선
구분 일시 내용
‘15년 3분기
08월 10일(월)
~ 08월 21일(금)사별 훈련 대상자 회신
08월 24일(월)
~ 08월 28일(금)
모의메일 훈련 시나리오 개선 /
사별 훈련 통보
09월 01일(화)
~ 09월 25일(금)전사 대상 모의훈련 수행
방법
훈련 일정
정보보호뉴스레터 | Security Information Newsletter
3. 그룹 모의바이러스 훈련 (2/2)
“15년 3분기모의바이러스훈련결과”
구분 대상 링크 이동 첨부파일 실행 전체 결과
'15년3분기
59,354명3,133명(5.28%)
1,271명(2.14%)
4,404명(7.42%)
훈련 결과
훈련 임직원의 7.42%가 모의 바이러스 메일에 적절히 대응하지 못함
예방법
백신을 항상 최신 상태로 유지하고 주기적인 바이러스 검사 실행
발신인이 불분명하거나 수상한 첨부파일은 실행 금지
메일, SNS 등으로 날아온 단축 웹 주소(URL)를 클릭 시 주의 필요
<인터넷 창에서 마우스 우클릭 상태 표시줄 체크>
<링크 이동 시 (클릭 전) 인터넷 창 하단 주소 확인>
정보보호뉴스레터 | Security Information Newsletter
4. 유명쇼핑정보 사이트 해킹 사고
“뽐뿌 해킹, 개인정보유출이어악성앱까지유포”
• 웹 사이트에
SQL Injection 공격
• 198만명 고객정보 유출
• 유출된 정보>ID, Password>생년월일>E-mail>닉네임 등
<뽐뿌 해킹사고 사과문>
15년 9월 11일
1차 사고
• 공격자는 웹 사이트의 특정
경로 통해 모바일 악성 앱
유포
• 노출계정 확인 위해 사이트
방문한 회원 피해
<악성 앱의 광고 노출 화면>
15년 9월 19일
2차 사고
SQL Injection 공격에 대한 정기 취약점 점검 부재
취약한 비밀번호 알고리즘(MD5) 사용
악성 앱은 원격조정 기능을 통해 특정 시스템 앱 패치 및 자동 업데이트
수행 => 향후 정보탈취 앱으로 변형 될 가능성 존재
사고 개요
원인 및 문제점
정보보호뉴스레터 | Security Information Newsletter
5. Security TIP! TIP! TIP!
“추석명절, 고향집 PC 점검간편팁”
1. 윈도우 ‘최신 보안 패치’ 반드시 설치
제어판 – Windows Update – 설정변경 – 중요 업데이트 – 업데이트
자동설치
2. 부팅 느리게 하는 시작프로그램 제거 등 ‘PC 최적화’
PC 최적화 프로그램 또는 PC 클리너로 불리는 프로그램 사용
3. 백신 프로그램 설치하고 ‘자동 업데이트’ 설정 확인
백신 환경설정 메뉴의 ‘실시간 감시’와 ‘자동 업데이트’를 켜두는 것이
안전
4. 무선 공유기에 비밀번호 설정하고 펌웨어 업데이트 하기
제어판 – Windows Update – 설정변경 – 중요 업데이트 – 업데이트
자동설치
정보보호뉴스레터 | Security Information Newsletter
6. 정보보호위원회 활동
1. 2015년 9월정보보호실무위원회
일 시 : 2015년 9월 8일(화), 15:00 ~ 17:30
장 소 : 롯데센터 2층대강당 (서울가산동)
참석자 : 계열사정보보호담당자 60명 (35개社)
내 용 : 보안정책사무국업무공유, 9月정보보호현황및계획공유,
수탁사보안점검계획공유,
침해사고대응지침개정내역및모의훈련소개
정보보호뉴스레터 | Security Information Newsletter
7. 정보보호 교육 및 세미나 안내
1) [정보보호교육] KISA 아카데미정보보호 10월교육
구분 세부내용
교육명 침해사고분석및대응 (접수: ~ 10.05/교육기간 10.12 ~ 10.16, 35시간)
교육목표 침해사고대응을위한보안대책이해및보안정책구성능력향상
URL http://academy.kisa.or.kr/
*수강료무료
구분 세부내용
교육명 기반시설네트워크인프라보안 (접수: ~ 10.14/교육기간 10.19 ~ 10.23, 35시간)
교육목표 정보통신기반시설유무선네트워크관리및운영담당자의침해사고대응역량강화
URL http://academy.kisa.or.kr/
*수강료무료
2) [세미나] 시큐업(Security IQ Up) 세미나 2015
구분 세부내용
일시 2015년 10월 14일 (수) 13:00 ~ 18:00 (접수 : ~ 10.08)
장소 삼성동코엑스컨퍼런스룸남 327호
대상 금융기관 / 공공기관보안및 IT 기획담당자
URL http://fidoforum.org/seminar/2015/
*등록비용무료
정보보호뉴스레터 | Security Information Newsletter
발행처 | 롯데그룹 정보보호위원회
Homepage | http://secupolicy.net
E-mail | [email protected]
Tel | (02) - 2626 - 5939