정보 보안

1. 개인정보의 종류

개인정보 정의

• 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말함

개인정보의 종류

1. 일반적인 정보

• 주민등록 번호, 이름, 주소, 전화번호

2. 정신적 정보

• 기호, 성향, 신념, 사상

3. 통신 / 위치 정보

• 통화, IP주소, GPS 등

4. 사회적 정보

• 교육정보, 근로정보, 자격 정보

5. 신체적 정보

• 신체 정보, 의료 / 건강 정보

6. 재산적 정보

• 개인 신용 정보, 부동산, 주식

2. WAS 서버에서 개인정보를 보호하는 방법

보안서버 구축

• 보안서버란, 인터넷상에서 사용자 PC와 웹서버 사이에 송수신되는 개인정보를 암호화하여 전송하는 서버
• 해당 기관의 실존을 증명하여 사용자와 웹서버 간의 신뢰를 형성하고, 웹브라우저와 웹서버 간에 전송되는 데이터의 암/복호화를 통해 보안 채널을 형성하므로 사용자의 개인정보를 보호
• 개인정보 송/수신 대표적인 예 ==> 회원가입 시 주민번호 입력, 로그인 시 ID/PASS 입력 , 인터넷 뱅킹 이용시 계좌번호/계좌비번 입력
• 인터넷상에서 암호화 되지 않은 개인정보는 가로채기 등의 해킹을 통해 해커들에게 쉽게 노출 가능 ==> 보안서버 솔루션을 설치하면 해커가 중간에서 가로채기 해도 노출 안됨

보안서버 구축 관련 법령

• 『개인정보보호법』 제29조(안전조치의무)
  -개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
• 동법 시행령 제 30조(개인정보의 안전성 확보 조치)
  -개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

보안서버 필요성

1. 정보유출 방지 (sniffing 방지)

• 학교, PC방, 회사 등의 공용 네트워크를 사용하는 PC에서 보안 서버가 구축되지 않은 사이트로 접속 시 => 노출될 확률 높음!
• 악의적인 공격자(해커)가 스니이핑 툴을 사용할 경우 다른 사람의 개인정보를 손쉽게 얻을 수 있음

2. 위변조 방지(integrity 보장)

• 보안서버는 통신하는 메시지의 무결성을 보장
• 사용자의 웹브라우저와 웹서버 사이의 통신 데이터의 위변조를 막아 신뢰할 수 있는 데이터 통신을 보장

3. 위조사이트 방지(phishing 방지)

• 보안서버가 구축된 사이트를 대상으로 피싱 공격을 시도하기는 어렵
• 사용자가 접속하는 웹페이지의 보안서버 구축여부를 확인하는 방법 => 자물쇠 이미지, 암호화 호출[http://], 암호화 모듈 로딩등)을 통해 피싱 피해 줄일 수 있음

4. 기관의 신뢰도 향상

• 사용자의 개인정보를 안전하게 관리하는 기관이라는 이미지를 부각시킬 수 있음

참조 : https://www.epki.go.kr/sub/info.do?m=0601

---

관리자 페이지 안전하게 보호

• 관리자 페이지에서의 개인정보 노출을 방지하기 위해, 개인정보처리자는 외부에서 관리자페이지에 접속할 경우 안전한 접속수단 혹은 안전한 인증수단 마련
• 전용선 및 가상사설망(VPN)을 통해 관리자 페이지 접근 제어
• 휴대전화인증 및 공인인증서, OTP등 추가 인증을 통해 접속
• 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근 제한

POST 방식을 통해 URL 주소 노출 방지

• Form 태그 method 속성 값으로 POST를 지정할 경우 변수명, 변수 값이 URL 주소에 노출되지 않음
  

홈페이지 소스코드 보안설정

• 개발 단계에서부터 불필요한 개인정보가 소스코드에 포함되지 않도록 주의해야함
• 노출 페이지에 대한 접근 제어 - 마우스 우클릭 금지 설정 - 회원 구분 값 변경(개인정보가 포함되지 않은 식별자 이용)
  

참고 pdf : 홈페이지개인정보노출방지_안내서(2020.12월).pdf