6월 12일 데일리 시큐 주최로 한 개인정보 위험도 분석 컨퍼런스에서 행정안전부 박사님이 말씀하신 Q&A,
그 중 몇가지 추려서 정리합니다.
Q 8. 서비스 제공이나 상담 등을 위해서는 회원들의 주민등록번호 앞 6자리(생년월일)를 활용할 경우가 많은데,
주민등록번호를 모두 암호화하면 암호화/복호화에 따라 시스템에 상당한 부하가 발생한다. 별다른 방법이
없는가?
A. 개인정보의 일부만을 암호화할 수 있다.
생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리 6개 번호 이상을 암호화
주민번호가 key 로 잡혀 있다면 이럴 경우 부분 암호화 한다면 select 등에서 cost 가 높지 않을까
생각이 든다.
별도의 고객식별번호 구현이 적당해 보인다.
Q 17. 개인정보취급담당자의 정확한 기준
A, "개인정보취급자" 란 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 임직원, 파견근로자,
시간제근로자 등을 말한다.
"개인정보처리자" 란 업무를 목적으로 개인정보파일을 운용하기 위해서 스스로 또는 다른 사람을
통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 말한다.
즉, 개인정보처리자 = 회사, 팀장, 파트장, 리터, 업무담당자, 개발자
개인정보취급자 = 업무담당자, 개발자 등
Q 25. 임직원의 주민번호도 모두 암호화 대상입니까?
A, 임직원의 주민번호도 암호화 대상입니다.
Q 26. 오라클이나 MS 에서 제공하는 TDE 방식의 DB 암호화가 법적 요건을 충족할 수 있는지?
A. 일반기업의 경우 암호화 요건을 충족합니다.
공공기관은 국정원의 인증을 받은 제품을 사용해야 한다.
금융기관은 '전자금융 감독규정' 보면 정보보호제품은 국가기관의 평가/인증을 받은 제품을 쓰라고 명시되어 있다.
금감원 트위터로 어느 정도 답은 보인다.
Q 30. DB 서버에 접속하는 단말의 경우 인터넷을 제한하는 경우 보안 패치도 업데이트 할 수 없기에 이런 경우
는 어떻게 해야 하는지?
A. USB 통해서 한다.
Q 35. 위험도 분석 기준 및 해설서 기준으로 자사에서 점검하여 부서장의 결재를 득하여 보관하도록 되어
있는데 그렇다면 제대로 분석이 되었는지에 대한 검증절차가 있어야 하는 것 아닌가요?
A. 담당자가 제대로 분석을 하면 된다.( ㅜㅜ )
Q 40. 위험도 분석을 어떻게 해야 하나요? 위험도 분석 전문가의 자격 기준이 있나요?
A. 별도로 없다. 내부 책임자가 한다.
'My Security Study > Review' 카테고리의 다른 글
| 보안사고 역사 새로 쓸 초대형 보안 사고 (0) | 2013.04.22 |
|---|---|
| 방송통신위원회과 금융위원회의 금융회사에 대한 정보통신망법 견해 (0) | 2013.03.09 |
| 개인정보보호법, 정보통신망법, 신용정보법에서의 개인의 차이 (2) | 2013.03.06 |
| 개인신용정보와 개인정보와의 관계 (0) | 2013.03.05 |
| 개인정보의 정의 (0) | 2013.03.04 |
| 행정안전부 SW보안약점 진단원 만남 후기 (0) | 2013.02.19 |
| (2012.08.29) 해킹당한 고객의 접속 차단, 모니터링의 관리적 조치 (0) | 2012.08.29 |
| 정보보안기사 출제기준(필기, 실기) (0) | 2012.08.23 |
| 사내 리소스 활용으로 저비용 개인정보파일 통제 방법 (0) | 2012.07.18 |
| (2012.07.13) 전자금융거래법 규정해설 (0) | 2012.07.15 |
