실질적인 첫 수업.
수업의 주요 내용은 오늘 발표한 "금융분야 개인정보 유출 재발방지 종합대책" 을 설명
아래 내용은 수업 내용을 포함하여 종합대책을 별도로 정리
보도자료_금융분야_개인정보_유출_재발방지_종합대책.hwp
1. 수집정보의 필요최소화
1) 금융업권별, 상품별로 30~50여개인 수집정보 항목을 필수항목(6~10개)과 선택
항목으로 구분, 최소화
항목 |
내용 |
|
필수항목 |
공통 필수정보 | 이름, 고유식별정보, 주소, 연락처, 직업군, 국적 |
상품별 필수정보 | 금융업권, 상품별 특수성에 따른 필수정보 해당 상품을 이용하는 고객에 대해서만 별도로 수집 예) 연소득, 병력사항 등 | |
선택항목 | 수집목적, 제공처, 정보 제공시 혜택 설명 및 고객동의 선택항목의 동의거부에 따른 불이익 없도록 함 계약 체결에 필수적이지 않음을 충분히 고지 | |
금지항목 | 예) 결혼기념일, 종교, 배우자 및 가족 정보 등 | |
2. 주민번호 과다노출 관행 개선
1) 최초 거래시에만 주민번호 수집
-> 계좌 개설, 상품 가입 등 화면에서만 주민번호 입력값을 둬야함.
2) 이후에는 주민번호 기입없이 신원확인 절차 거치도록 하여 노출 최소화
-> 백오피스 등에서 고객 확인용 주민번호 입력박스 제거
3) 수집한 주민번호는 내외부망 모두 암호화 저장
4) 주민번호를 불법활용 또는 유출한 경우에는 과태료 및 과징금 가중
-> 내부, 외부에서 주민번호를 입력값으로 하여 조회시 모니터링 필요
-> 출력 결과값에 주민번호 제거
-> 자료출력 업무는 보안팀, 컴플라이언스팀의 승인, 통제 프로세스 필요
3. 제3자 정보제공의 구체화
1) 제공되는 정보의 내용, 이용목적, 정보가 제공되는 업체명 및 업체 수, 제공기간,
및 파기계획을 구체적으로 적시
->1년, 2년 등 명확한 제공기간 적시 후 모니터링 통해 해당 기간 도래시
파기할 수 있도록 개발
4. 무차별 비대면 방식의 개인정보 활용 엄격화
1) 무차별적 문자전송을 통한 권유, 모집 등 영업행위 금지
-> 지점, 마케팅에서의 상품 안내 SMS 발송 금지
2) 이메일, 전화 등 비대면 영업에 대한 엄격한 통제방안 마련
- 이메일의 제목, 전화상담시 우선적으로 "소속회사, 송부인, 연락목적 및 정보획
득경로" 등을 명확히 안내
-> 고객의 연락처, 상품만기 등에 대해 정보를 어디서 획득했는지 DB 에
보관하도록 개발
5. 신입금계좌지정 서비스 : 금융사기 피해를 최소화하고자 미지정 계좌로는 소액이체
-> 소액이체를 하루에 한번 허용할건지, 매 이체마다 소액만으로 하면 여러번
가능한건지 등 개발 검토 필요
-> 기존 전자금융사기 예방서비스에 적용 검토, 금액은 유동적으로 개발
-> 이상금융거래탐지 시스템과 충돌 검토
6. 필요한 기간만 엄격히 보관 후 파기
1) 거래종료 후 3개월후에 원칙적으로 필요한 정보(식별정보, 거래정보 등)만 보관하
하고 파기(예 : 학력, 직업, 직위 등) (1단계 보호조치)
-> 별도 Table 에 파기될 정보를 보관하도록 개발
-> 파기할 대상 선정하고 이체, 로그인, 주문, 보험료 납입, 카드 결제 등 이
후 3개월동안 거래 없는지 조회 후 조치. 일상 배치
-> 다시 거래가 일어나면 복원 검토
2) 거래종료 후 5년이 경과한 정보는 원칙적으로 모두 파기 (2단계 보호조치)
-> 해당 고객들의 정보는 별도 DB 로 모두 이관
-> 전체 정보를 암호화 -> 주민번호 외 모든 정보 암호화 확인 필요
7. 본인정보 이용, 제공 현황 조회 요청권
- 고객이 본인의 신용정보가 이용, 제공되고 있는 현화(이용/제공주체, 목적, 날짜 등)
을 언제든지 확인할 수 있는 조회시스템 구축
-> 입력값으로 주민번호는 사용 불가
-> 개인별로 정보제공 상세 정보(업체, 기간, 목적, 파기여부 등)를 웹, 업무
시스템에 개발
8. 연락중지 청구권
-> 자료출력, 지점, 본사에서 전화, SMS 발송 대상 조회 시 이 값을 확인해야함
9. 정보 보호 청구권
- 고객이 거래종료 이후 본인정보를 보호할 것을 요청할 경우 금융회사는 파기 및
보안조치를 취하고 그 결과를 즉시 통보
-> 해당 고객의 정보를 DB 에서 발췌해서 바로 별도 DB 로 이관하고 암호화
하도록 개발
10. 정보보안 주기적 점검 강화
- 금융회사별 "보안점검의 날"을 지정하여 CISO 책임하에 매월 보안점검을 실시하고
CEO에게 점검결과 및 보완계획을 보고. 금감원에 제출
-> 매년 취약점 점검하는 것처럼 한다면 매달 엄청한 작업
-> 금융보안 표준 체크리스트 기준으로 한다고 해도 557 규정 인력으로는 부담
'My 고려대 정보보호대학원 > 06. (전공) 전자금융보안론' 카테고리의 다른 글
| (2014.06.15) 요점 정리 (0) | 2014.06.15 |
|---|
