[자격증] 정보보안기사.07

1. 정보통신기반보허법에 따르면 금융/통신 등 각 분야별 정보통신기반시설을 보호하기 위하여 정보공유/분석센터를 구축/운영할 수 있다. 정보공유/분석센터가 하는 역할 2가지 서술하시오.

 

- 취약점 및 침해요인과 그 대응방안에 관한 정보 제공

- 침해사고가 발생하는 경우 실시간 경보/분석체계 운영

 

2. K사는 법에서 요구하는 기술적/관리적 조치 의무들을 이행하고 있지 아니한 것으로 확인되었다. 고객정보의 분실/도난/누출/변조 또는 훼손을 방지하기 위해 K사가 개인정보보호법에 따라 취해야할 핵심적인 기술적/관리적 조치를 5개 이상 약술하시오.

 

*개인정보보호법 제29조(안전조치의무)

- 개인정보를 안전하게 처리하기 위한 내부 관리계획의 수립/시행

- 개인정보에 대한 불법적인 접근을 차단하기 위한 조치

- 접속기록의 위조/변조 방지를 위한 조치

- 개인정보를 안전하게 저장/전송할 수 있도록 하기 위한 조치

- 개인정보처리시스템 및 개인정보취급자가 개인정보처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검/치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신 / 점검 조치.

- 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치.

 

3, 정보통신서비스 제공 사이트 개인정보 관리 실태를 점검한 결과 개인정보파일에 다음 항목이 모두 암호화되지 않은 것을 확인하였다 이 중 최소한 암호화가 필요한 항목과 대상별 안전성 기준 및 암호 알고리즘에 대해 서술하시오.

 

*개인정보의 기술적/관리적 보호조치 기준 제 6조(개인정보 암호화)

- 정보통신서비스 제공자등은 비밀번호는 복호화되지 아니하도록 일방향 암호화하여 저장한다.

- 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장한다.

1.주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7.생체인식정보

 

대상별 안전성 기준 및 암호 알고리즘은 다음과 같다.

비밀번호 - 복호화 되지 않도록 안전한 일방향 암호화 알고리즘을 사용하여 암호화 한다. sha-224 이상 알고리즘 이 있으며 암호화시 솔트, 반복횟수 등을 추가하여 암호 강도를 높이도록 한다.

주민등록번호, 여권번호, 신용카드번호는 안전한 암호화 알고리즘을 사용하여 암호화한다. 주요 권장 대칭키 암호화 알고리즘에는 SEED, ARIA, AES 등이 있으며 공개키 암호화 알고리즘에는 RSA가 있다.

 

4. 개인정보보호법에 따르면 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선사항 도출을 위한 영향평가를 수행하고, 그 결과를 보호위원회에 제출하도록 되어있다. 여기에서 개인정보 영향평가의 대상에 관하여 대통령으로 정하는 기준이란 어떤것인지 모두 기술하시오.

 

*개인정보보호법 시행령 제 35조

개인정보파일

1. 구축/운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

2. 구축/운용하고 있는 개인정보 파일을 해당 공공기관 내부 또는 외부에서 구축 운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

3. 구축/운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일

4. 제 33조 1항에 따른 개인정보 영향평가를 받은 후에 개인정보 검색체계등 개인정보파일의 운용처계를 변경하려는 경우 그 개인정보 파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

 

*개인정보보호법 제22조(동의를 받는 방법)

- 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.

 

*개인정보보호법 제23조(민감정보의 처리 제한)

- 개인정보처리자는 사상 신념, 노동조합, 정당의 가입/탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.

1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

- 개인정보처리자가 제 1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.

 

*개인정보보호법 제15조(개인정보의 수집/이용)

1. 개인정보의 수집/이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

*개인정보보호법 제17조(개인정보의 제공)

1. 개인정보를 제공받는 자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보의 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용.