개인정보 보안 교육 자료
1. 개인정보 이해하기
- 개념
① 개인정보 : 살아 있는 개인에 관한 정보, 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
② 개인정보 자기결정권 : 자신에 관한 정보가 언제, 누구에게, 어느 범위까지 알려지고 이용될지 정보주체가 스스로 결정할 수 있는 권리
③ 개인정보 취급자 : 개인정보를 다루는 주체 중에 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자
- 개인정보의 범위
① 특정 개인을 알아볼 수 있는 정보 : “다른 정보와 쉽게 결합”하여 식별 가능하다면 개인정보에 해당됨
(금융기관에서의 개인 신용도 평가, 개인의 진료 및 건강 상태, 직원에 대한 근무평가)
(1) 개인의 정체성을 구별하거나 밝혀낼 수 있는 정보 : 성명, 메일, 주소, 주민등록번호, 바이오 정보
(2) 개인의 과거 및 현재의 상황이나 상태를 나타낼 수 있는 정보 : 통장의 잔고 등 재정상황 학력 등 교육의 정도, 건강검진 등 진료 결과
② 자연인에 관한 정보 : 법인이나 단체의 정보는 개인정보의 범위에 포함되지 않음
③ 정보 처리 형식 및 매체에 제한이 없음(개인을 알아볼 수 있는 모든 종류 및 모든 형태의 정보)
– 컴퓨터 등에 저장된 문서·파일 등 전자기적 형태의 정보, 종이문서에 기록된 수기형태의 정보, 녹음된 음성정보 등의 형태로 처리된 정보
2. 개인정보의 유형
교육 및 훈련정보 : 학교출석사항, 최종학력, 학교성적, 기술 자격증 및 전문 면허증, 동아리 활동, 상벌사항
신용정보 : 대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록
위치정보 : GPS나 휴대폰에 의한 개인의 위치정보
신체정보 : 지문, 홍채, DNA, 신장, 가슴둘레 등
조직정보 : 노조가입, 종교단체가입, 정당가입, 클럽회원
소득정보 : 현재 봉급액, 봉급경력, 보너스 및 수수료, 기타소득의 원천, 이자소득, 사업소득
병역정보 : 군번 및 계급, 제대유형, 주특기, 근무부대
3. 개인정보 노출이 미치는 영향
개인 : 정신적 피해, 명의도용, 보이스피싱에 의한 금전적 손해, 유괴 등 각종 범죄에 노출
기업 : 기업의 이미지 실추, 소비자단체 등의 불매운동, 다수 피해자에 대한 집단적 손해배상시 기업 경영에 큰 타격
국가 : 프라이버시 라운드의 대두에 따른 IT산업의 수출애로, 전자정부의 신뢰성 하락, 국가브랜드 하락
4. 개인정보보호법의 중요 조항
개인정보보호법은 개인정보 수집과 이용이 보편화됨에 따라 그 처리원칙을 규정하여 국민의 사생활의 비밀을 보호하고 개인정보에 대한 권리 및 이익을 보장하기 위해 제정
보호의무 적용대상 : 개인정보 보호의무 적용대상을 공공/민간 부문의 모든 개인정보처리자로 확대 적용
보호 범위의 확대 : 컴퓨터 등에 의해 처리되는 정보 외 동사무소 민원신청서류 등 종이문서에 기록된 개인정보도 포함
보호의무 적용대상의 확대 : 주민번호 등 고유식별정보는 원칙적 처리 금지, 사전 규제제도, 주민번호 외 회원가입방법 제공 의무화 및 암호화 등의 안전조치 의무화
영상정보 처리기기 규제 : 공개된 장소에 설치·운영하는 영상정보처리기기 규제를 민간까지 확대
개인정보 수집·이용 제공기준 : 공공·민간 통일된 처리원칙과 기준 적용, 개인정보 수집·이용 가능 요건 확대
개인정보 유출 통지 및 신고제 도입 : 정보주체에게 유출 사실을 통지, 대규모 유출 시에는
행정자치부 또는 전문기관에 신고
1. 개인정보를 다루는 주체
개인정보처리자 : 업무를 목적으로 개인정보파일을 다루기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
개인정보 보호책임자 : 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자 지정
개인정보취급자 : 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자, 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리함
2. 개인정보 고지사항
- 개인정보를 수집할 때의 고지사항
① 개인정보의 수집·이용 목적
② 수집 개인정보 항목
③ 개인정보의 보유 및 이용시간
④ 동의를 거부할 권리가 있다는 사실
⑤ 동의 거부에 따른 불이익 내용
- 개인정보 유출이 발생했을 때 정보주체의 조치사항
개인정보가 파괴되어야 하는 때는 개인정보 수집의 목적이 달성되었을 때 지체 없이 5 일 이내 고객(정보주체)에게 내용 고지
① 유출항목
② 유출시점 및 경위
③ 유출에 따른 피해 최소화 방법
④ 개인정보처리자의 대응조치
⑤ 피해신고부서 및 연락처 등
3. 개인정보 유출방지 예방법
개인정보취급방침 및 약관을 꼼꼼히 살필 것
비밀번호는 영문(소문자/대문자), 숫자, 특수문자 중 2 종류 이상 조합, 최소 10 자리 이상 / 또는 3 종류 이상을 조합하여 최소 8 자리 이상 설정(제 3 자가 쉽게 추측할 수 없는 것)
사이트 비밀번호를 주기적으로 변경(변경주기는 6 개월)
대체수단(아이핀, CI, DI)으로 회원가입을 하고, 꼭 필요하지 않은 정보는 입력하지 말 것
① i-PIN (아이핀, Internet Personal Identification Number): 인터넷 개인 식별 번호
② CI (Connecting Information): 서비스 연계를 위해 본인확인기관에서 부여하는 개인식별정보
③ DI (duplication information): 중복가입 확인정보
5) 타인이 자신의 명의로 회원가입 시 즉각 차단하고, 이를 통지받을 수 있는 명의도용확인 서비스를 이용
6) 인터넷에 올리는 데이터, 특히 P2P로 제공하는 자신의 공유폴더에 개인정보 파일이 저장되지 않도록 함
7) 금융거래 시 금융정보 등을 저장할 경우 암호화해 저장하고, 되도록 개방환경을 이용하지 말 것
1. 개인정보 수집·이용단계에서의 보호 원칙
- 개인정보의 수집
– 정보주체로부터 직접 이름, 주소, 전화번호 등 정보주체에 대한 모든 형태의 개인정보를 얻는 것
– 개인정보 수집 시, ‘법령 또는 계약에 따라 정당한 이익을 달성하기 위해 필요한 경우’에 가능 이때, 전제조건은 정보주체의 권리보다 정당한 이익 달성이 우선된다는 것
개인정보의 이용 : 정보주체에 대해 얻은 개인정보를 재화·서비스의 제공을 위해 활용하는 것을 말함
개인정보의 수집·이용 원칙
① 개인정보처리자가 정보주체의 동의를 받은 경우 다음의 내용을 알려야 함
– 개인정보 수집·이용목적, 수집하고자 하는 개인정보의 항목, 개인정보의 보유 및 이용기간,
동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익 시 불이익의 내용
② 법률에서 개인정보 수집·이용을 구체적으로 명시 및 허용하는 경우
– 만 14 세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받기 위해서는 그 법정대리인의 동의를 받아야 함
③ 법령에서 개인정보처리자에게 의무를 부과하고 있고, 수집·이용 없이는 의무 이행이 불가능하거나 곤란한 경우
④ 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
⑤ 개인정보 수집·이용 없이 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
- 무단 수집 · 이용에 해당하는 경우
① 회사 고객 정보를 정보 주체의 동의 없이 보험설계사인 친구에게 제공해주는 행위
② 안내사항을 고지하지 않고 경품 응모권에 적힌 개인정보를 마케팅사에 넘기는 행위
③ 회사의 업무효율성을 위해 정식으로 권한을 부여받지 못한 자가 직원 업무처리 내역과 인터넷 접속 내역을 모니터링하는 행위
2. 개인정보 수집 제한
- 최소수집의 원칙 및 입증책임의 부담
– 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개인정보를 수집하여야 함(입증책임은 개인정보처리자가 부담)
예를 들면 취업희망자의 경력, 전공, 자격증 등에 관한 정보는 업무능력 판단을 위한 최소한의
정보라고 할 수 있지만, 가족관계, 결혼유무 등의 정보는 최소한의 개인정보 범위를 벗어난 것으로 볼 수 있음
- 동의 거부권의 고지
– 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 함
– 홍보/마케팅을 위해 필요한 개인정보가 있고, 마땅히 제공 받아야 할 재화 또는 서비스를 위해 필요한 개인정보가 있는데, 이 두 가지를 구분하여 정보주체에게 알리는 것이 필요
- 재화 등 제공 거부의 금지
– 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 됨
– 정보주체의 동의를 받으면서 선택정보에 대한 동의를 거부할 경우 재화 또는 서비스의 이용이
제한될 수 있다고 알리는 것은 가능
3. 개인정보 수집 및 이용 시 세부 주의사항
필수정보만 필요 최소한으로 수집 : 추가적인 정보 수집 시, 반드시 동의 얻기
민감정보 수집 금지 : 주민등록번호와 같은 고유식별정보는 법령에 근거가 아니면 수집하지 않음
목적과 다르게 사용하거나 제 3 자 제공 금지 : 법령의 근거 없이 다른 용도로 사용하거나 외부로 유출하지 않도록 주의하기
개인정보 처리방침 공개 : 개인정보 위탁사실을 포함한 처리방침을 홈페이지나 사업장에 공개하기
안전성 확보 조치 : 내부관리계획, 방화벽·백신·접근통제 등을 통해 해킹 등으로 개인정보가 유출되지 않도록 보호조치 이행하기
개인정보 이용 후 반드시 파기 : 수집 목적이 달성된 후(서비스 기간 경과 등)에는 즉시 파기하기
개인정보 유출 시 정보주체에게 알림 : 유출 인지 시, 5일 이내에 서면·전화·이메일 등으로 통보하기
CCTV운영 시 안내판 설치 : 설치목적, 장소, 촬영범위, 담당자를 안내, 운영방침을 수립하여 공개하기
1. 개인정보 제공·위탁단계에서의 보호 원칙
개인정보를 내·외부의 침해로부터 보호되도록 적절하게 조치하여 안전하게 관리하는 이유는 국민의 권익을 보호하기 위한 것
- 개인정보 제공·위탁의 의미
① 개인정보 제공 : 개인정보처리자가 정보주체의 개인정보를 제 3 자에게 제공하는 것으로
개인정보처리자 외에 제 3 자에게 개인정보의 지배·관리권이 이전되는 것
② 개인정보 위탁 : 개인정보처리자가 개인정보의 처리 업무를 위탁하기 위해 제 3 자(수탁자)에게 개인정보를 제공하는 것
- 정보의 ‘제 3 자 제공’과 개인정보처리 업무 ‘위탁’의 공통점
- 개인정보를 다른 사람에게 이전하거나 다른 사람과 공동으로 이용하게 된다는 측면
- 정보의 ‘제 3 자 제공’과 개인정보처리 업무 ‘위탁’의 차이점
① 제공
(1) 제공받는 자의 업무를 처리할 목적 및 이익을 위해 개인정보가 이전됨
(2) 개인정보가 제공된 이후에는 제 3 자가 자신의 책임 하에 개인정보 처리
② 위탁
(1) 개인정보처리자의 이익을 위하여 처리업무를 대행하게 함
(2) 개인정보처리자의 관리와 감독을 받음
- 개인정보의 제 3 자 제공이 가능한 경우
① 정보주체의 동의를 받은 경우
② 법률에 특별한 규정이 있거나 법령상 의무준수를 위해 불가피하여 수집한 경우로, 그 수집 목적 범위 내에서 개인정보를 제공하는 경우
③ 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피하여 수집한 경우로, 그 수집 목적 범위 내에서 개인정보를 제공하는 경우
④ 급박한 생명·신체·재산상 이익을 위하여 필요한 경우
- 개인정보(처리)의 위탁
① 위탁의 방법 : 다음의 사항을 정보주체에게 알리고 동의를 얻어야 함
(1) 개인정보를 제공받는 자
(2) 제공받는 자의 이용 목적
(3) 제공하는 개인정보 항목
(4) 제공받는 자의 보유·이용기간
(5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우, 그 불이익의 내용
② 위탁에 관한 사항 공개
위탁업무 내용과 개인정보 처리업무 수탁자를 정보주체가 언제든지 쉽게 확인 가능하도록 공개
③ 개인정보처리의 위탁에 관한 사항을 ‘개인정보 처리방침’으로 수립
- 개인정보 처리방침의 내용은 다음과 같음
(1) 개인정보 처리목적이나 보유기간
(2) 제 3 자 제공에 관한 사항
(3) 위탁에 관한 사항
(4) 개인정보 항목
(5) 파기에 관한 사항 등
④ 수탁자에 대한 감독
수탁자가 개인정보를 안전하게 처리할 수 있도록 수탁자 교육을 실시하고, 처리현황을 점검해야 하며 수탁자 교육은 업무 위탁 시 개인정보 분실이나 도난, 유출, 변조 또는 훼손을 방지하기 위한 목적
2. 개인정보 관리·파기의 의미
개인정보 관리
– 개인정보처리자가 수집, 보유, 이용 및 제공, 파기하는 개인정보를 내·외부의 침해로부터 보호되도록 적절하게 조치하여 안전하게 관리하는 것을 말함개인정보 파기
– 개인정보처리자가 보유기간이 경과되고 개인정보 처리의 목적을 달성하여 그 개인정보가 불필요하게 되었을 경우 지체 없이 그 개인정보를 없애는 것을 말함
– 개인정보 파기 시에는 복구 또는 재생되지 않도록 철저하게 조치해야 함
3. 개인정보 파기단계에서의 보호 원칙
- 개인정보의 파기
① 개인정보의 생명주기 : 생성 관리 이용 파기(개인정보가 소멸되는 단계)
② 개인정보의 파기 시점 : 개인정보의 수집∙이용목적이 달성된 경우에는 해당 개인정보를 ‘지체없이’ 파기(소각, 분쇄, 물리적 파기)
③ 개인정보의 파기 사유
(1) 이용자가 회원 및 멤버십에서 탈퇴한 경우
(2) 이용자가 참여한 이벤트가 종료된 경우
(3) 이용자가 동의한 홍보 및 마케팅이 종료된 경우
(4) 수집 시 동의 받은 보유 및 이용기간, 이용목적이 달성된 경우
(5) 다른 법률에 따라 보관해야 하는 기간이 종료된 경우
(6) 회사의 파산 및 청산 등 사업이 폐지 또는 종료된 경우
(7) 해당 서비스 폐지
④ 개인정보의 파기 절차
개인정보처리자는 파기에 관한 사항을 기록하고 관리해야 한다. 보유목적을 달성한 개인정보 파기는 의무사항이고 위반 시 벌칙이 부과되므로, 파기 시에 개인정보 보호책임자의 책임 하에 수행되어야 하고 파기 결과까지 확인
1. 기업의 정보유출
- 문서보안시스템 DRM
PC에서 생성되는 모든 문서를 암호화하여 허가된 사용자만 문서의 본문에 접근할 수 있도록 통제
- 보호해야 하는 기업의 자산
구분 | 대상 | 세부내용 |
---|---|---|
정보자산 | 기업이 보유 관리하는 모든 종류의 정보 | 기술정보, 업무관련 정보, 세일즈/마케팅 정보, 개인정보, 조직정보, 데이터베이스 정보 |
문서자산 | 기업이 보유 관리하고 있는 모든 문서 | 정책·지침, 인사기록, 업무관련 문서, 송장 등 |
물리적 자산 | 업무에 활용되는 하드웨어 | 설비, 서버, 책상, 의자 등 |
인적 자산 | 기업에 속해 있는 모든 인원 | 내부직원, 제 3 자(외주업체, 컨설턴트 등), 아웃소싱 직원, 퇴직자, 고객 등 |
2. 기업의 정보유출 유형
(1) 사용자의 부주의 또는 입력 실수로 인한 잘못된 이메일 전송
(2) 외부 공격으로 인한 정보 유출
(3) 중요 정보가 든 스마트 기기 분실
(4) 내부자의 의도적인 정보유출
3. 기업의 정보유출 예방법
- 전직/경업 금지 약정 : 회사의 기술, 고객, 거래처 등의 정보를 이용해 다른 경쟁업체에 취업하거나 회사를 설립함으로써 손해가 발생하는 것을 막기 위해 일정기간 재직회사와 경쟁관계에 놓일 수 있는 업무를 하지 못하도록 금지하는 약정
주의) 전직금지 기간이 비밀의 정도, 시장성 등을 고려해 볼 때 과도하게 장기간일 경우에는 약정이 무효가 될 수 있음 (통상 6 개월1년 / 경업금지의 경우 2 년3년(이 기간동안 절절한 보상을 지급해야함)
- 퇴사자 관리
① 업무 인수인계 리스트 작성 및 서명
② 경업금지 및 비밀유지 특약이 포함된 퇴직서 제출
③ 재직 시 작성한 서약서나 프로젝트 투입 기록 등을 확인 및 보존
④ 사용하던 업무 관련 USB를 제출
1. 랜섬웨어의 개념
한번 감염되면 대부분 복구가 불가능한 악성코드이며 납치된 인질의 몸값을 뜻하는 ‘랜섬(Ransom)’과
소프트웨어 제품을 의미하는 ‘웨어(Ware)’의 합성어를 말함
① 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 함
② 풀어주는 대가로 금품을 요구(비트코인이라는 가상화폐는 어떻게 유통되는지 추적하기 힘들어
랜섬웨어를 퍼뜨린 해커가 보통 요구)
③ 클라우드나 파일 서버까지 감염이 확산
④ 이익을 위해 처음부터 사용자와 기업의 돈을 노리고 만든 악성 코드
⑤ 랜섬웨어 제작대행 흥행 at 암시장 규모가 커지면서 기승을 부림
⑥ 범인 추적이 어려움
- 랜섬웨어 증상
① 데이터(파일, 사진, 그림 파일, 음악 파일, 동영상 파일)는 암호화되어 활용할 수 없음
② 중요문서나 파일 등을 암호화 함(윈도우 백업 서비스를 강제로 종료하기도 함)
③ 일반적으로 사용자 동의 없이 컴퓨터에 설치됨
④ 암호화 되었음을 알리고 이를 해제하기 위한 몸값과 지불할 수 있는 방법 등을 보여줌
2. 랜섬웨어의 감염경로
- 웹서핑 : Drive-by Download’라는 공격기법에 의해 랜섬웨어가 PC에 다운로드 되고 실행된 것인데
악성코드가 담긴 웹 페이지를 열람만 해도 파일이 자동 다운로드 됨 - 첨부 URL 클릭 : 이메일이나 네이트온, 카카오톡과 같은 메신저 혹은 트위터나 페이스북 같은 SNS에
올려져 있는 URL을 여는 순간 랜섬웨어나 멀웨어에 감염되므로 부주의하게 열람하지 말아야 함
3. 예방수칙
- 중요 자료는 정기적으로 백업할 것
① 중요문서의 주기적 백업
② 외부 저장장치(외장하드, USB 등)로 별도 저장
③ ‘사용자 파일백업 및 복원기능’ 이용
④ PC 및 네트워크에서의 “공유 폴더” 사용 주의(공유폴더를 타 사용자에게 제공해야 한다면 ‘읽기
전용’으로 제공) - PC에서 사용 중인 소프트웨어는 정기적으로 최신버전으로 업데이트 할 것
① Flash Player의 주기적인 업데이트
② Java의 주기적인 업데이트
③ 운영체제(OS)와 응용 프로그램(SW)은 최신 보안 업데이트 상태로 인터넷 접속 - 출처가 불명확한 이메일과 URL 링크는 실행하지 말 것
① 보낸 사람의 이메일 주소가 처음 보거나 모르는 사람의 것일 경우, 메일에 첨부된 파일을 클릭하거나 URL 링크를 클릭하지 말 것
② 이메일을 통해 랜섬웨어가 유포되고 있어 실행 주의 필요
P2P 등 파일 공유 사이트 등에서 파일 다운로드 및 실행하지 말 것
파일공유 사이트 또는 중소규모 커뮤니티, 인터넷 카페 등 신뢰할 수 없는 사이트를 통한 파일 다운로드 및 실행 주의 필요안전한(보안성이 높은) 웹 브라우저를 사용해야 함
1. 사무실에서 지키는 정보보호
- 문서관리 및 출력물 보안
① 기업의 정보자산이 무분별하게 도난·유출되지 않도록 즉시 공용기기(프린터/스캐너/팩스 등)에서 문서를 찾아가야 함(프린트 및 복사기에 출력물이 남아 있지는 않은지 확인)
② 사용 목적이 달성된 문서의 경우, 가능한 파기(파기 문서는 누구라도 내용 파악이 힘들도록 확실히 파기)
③ 보관 필요 시에는 문서관리체계에 따라 체계적으로 보관
④ 문서관리 및 출력물 보안을 위해 퇴근 시 책상, 캐비닛의 시건장치 및 잠금장치를 활용하여 문서를 보관
⑤ 각 문서 별 담당자가 지정되어 관리가 이루어지고 있는지 확인
- 클린 데스크
출장, 회의나 외부 미팅을 위한 자리에 부재할 때, 타인이 중요한 정보에 함부로 접근하는 것을 예방하기 위하여 할 수 있는 기본적인 활동
① 개인 책상과 책꽂이, 캐비닛 정리정돈하기
② 아이디/비밀번호가 적힌 포스트잇, 메모지 없애기
③ 회의실을 정리정돈하고, 화이트보드에 작성된 정보 지우기
④ 프린트, 복사기, 팩스 등 사무기기에 중요 문서가 남아있지 않은지 확인하기
⑤ 컴퓨터 화면 보호기와 비밀번호는 필수로 설정하기
⑥ 자리를 비울 시 Windows키+L키를 눌러 화면 잠그기(그 외에도 지속적으로 윈도우 업데이트하기, 불법소프트웨어 근절하기 등이 있음)
- 인터넷 정보보안
다운로드 | 인터넷에서 자료나 프로그램을 함부로 다운로드 받지 않는다. |
---|---|
웹사이트 회원가입 | 필요 없는 웹사이트는 회원가입을 하지 않는다. 회원가입을 한 사이트라도 필요가 없을 시 바로 탈퇴한다. |
바이러스 백신 | 바이러스 백신을 설치하고 실시간 감지기능을 설정하며, 항상 최신 버전으로 업데이트 한다. |
보안경고창 | 사이트 방문 시 ‘보안경고’ 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의한다. |
비밀번호 | 영문이나 숫자, 특수문자를 조합해 10 자리 이상으로 설정하고 최소 6 개월에 한 번 이상 변경한다. 생년월일, 전화번호 등의 유추 가능한 비밀번호는 사용하지 않도록 한다. |
2. 생활 속에서 지키는 정보보호
- SNS사용 시
① 구체적인 개인정보(생년월일, 주소, 연락처 등)는 공개하지 않을 것
② 온라인상 다른 유저와 감정적으로 부딪히지 않을 것
③ 짧거나 쉬운 비밀번호를 사용하지 않으며, 주기적으로 SNS 계정 비밀번호를 변경
④ 출처가 불분명한 링크는 클릭 및 다운로드 하지 않을 것
⑤ 개인정보 공개설정(전체공개, 친구공개, 비공개 등)을 관리
⑥ 휴가 계획이나 약속장소 등 사적인 스케줄은 공개하지 않을 것
2) 일상생활
① 회원가입 시 약관 : 개인정보수집 동의 부분을 보고, 자신의 개인정보가 어디에 활용되는지 확인이 필요하며 필수 정보를 제외한 나머지 부분은 기재하지 않는 것이 좋음
② 신용카드 영수증 : 신용카드로 승인된 영수증에는 카드사명, 유효기간, 카드번호 등이 기재되어 있으므로 최대한 알아볼 수 없도록 철저하게 찢어서 버려야 함
③ 운송장 번호 : 우편 배달물, 택배 등 운송장에 있는 전화번호, 주소, 이름 등의 개인정보가 드러나지 않도록 따로 분리해서 파기해야 함
④ 명의도용 : 한국인터넷진흥원에서 운영하는 ‘e프라이버시 클린서비스’에서 자신이 가입한 사이트 조회가 가능하며, 이용하지 않는 사이트의 경우 탈퇴기능을 통해 탈퇴하고 의심스러운 사이트가 확인될 경우 1332 또는 경찰에 신고
1. 피싱
피싱은 개인정보를 낚는다는 의미로, 금융기관 또는 공공기관을 가장해 전화나 이메일로 인터넷 사이트에서 보안카드 일련번호와 코드번호 일부 또는 전체를 입력하도록 요구해 금융 정보를 몰래 빼가는 수법을 말함
- 피싱의 특징
① 기관사칭
② 심리적 압박 : 개인정보노출, 범죄사건 연루, 자녀납치 등 거짓사실로 피해자를 심리적으로 압박함
③ 발신번호 조작 : 공공기관 및 금융기관의 전화번호가 발신번호 창에 나타나도록 조작함
④ 유창한 한국어 구사 : 피싱사기 초기처럼 사기범이 어눌한 우리말을 쓰는 경우는 거의 없으며, 유창한 한국어를 구사하여 피해자를 공략함
⑤ 직접 인출·이체 : 피해자의 금융거래정보(계좌번호, 카드번호, 인터넷뱅킹 정보, 텔레뱅킹 정보 등) 편취를 통해 직접 인출함
⑥ 대포통장 : 대출이나 취업 등을 미끼로 획득한 예금통장을 사기에 적용함
- 피싱사기의 유형
① 은행 사칭형 : 피해 대상자의 주민등록번호까지 파악하여 경찰관을 바로 연결해 피해자의 판단을 흐리게 하는 피싱 수법을 이용함
② 자녀 유괴형 : 학교에 있는 아이, 가출한 자녀 등을 이용하여 당황한 부모들의 심리를 이용하므로, 무엇보다 침착함이 필요함
③ 우체국 사칭형 : 우체국은 택배나 물건 배달 시 수취인이 없는 경우에는 다음날 방문을 예고함
④ 경찰 및 검찰청 사칭형 : 경찰을 이용한 피싱을 넘어 금융감독원을 함께 끌어들여 피해자의 실수를 유도하는 방향으로 이용됨
⑤ 기타 기관 사칭형 : 학교 행정실, 세무서, 국민보험공단, 이벤트 당첨 등을 사칭함
2. 파밍
파밍은 씨를 뿌려 수확하는 농사에서 유래된 말로, 악성코드에 감염된 사용자 PC를 조작하여 금융정보를 빼냄
- 파밍사기의 유형
① 공공기관/금융기관 사칭형
가짜 사이트에 ‘개인정보침해신고센터’ 메뉴를 설치해 이 해당 페이지에서 입력하는 모든 개인정보가 공격자에게 전송되도록 함
② 포털사이트 사칭형
송신자명이 naver.com
으로 되어있지만, 실제 이메일 주소는 @centurylink.net
과 같은 다른 계정의 주소일 경우, 이 사이트에 로그인하면 개인정보 유출 및 범죄 악용 가능성 높아짐
③ 즐겨찾기 위장형
공격자는 사용자가 자주 이용하는 포털사이트 및 금융사이트 등을 노려 가짜 페이지로 접속하도록 유도함
3. 스미싱
스미싱은 ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지 내에 인터넷 주소를 클릭하면, 악성코드가 스마트폰에 설치되어 피해자가 모르는 사이에 소액결제 피해가 발생하거나 개인금융정보가 탈취되는 방식
- 스미싱사기의 특징
스미싱은 문자메시지(SMS)에 포함되어 있는 URL을 클릭하면 거의 자동으로 APK 파일(안드로이드 응용 프로그램 패키지 확장자)을 포함한 악성 앱이 설치되는 수법으로 이루어짐
4. 전자금융사기 예방/대처 방법
- 피싱 예방 방법
- 웹사이트 방문 및 메일과 SNS의 URL 실행을 자제하는 것이 좋음
- 보안카드 전부를 절대 입력하지 않을 것
- 최신 버전의 백신으로 유지하고 주기적으로 검사
- 출처가 불분명하거나 금융기관 주소와 다른 주소로 발송된 이메일을 즉시 삭제
- OS(운영체제) 및 프로그램을 최신 버전으로 유지함
- 피싱 대처 방법
- 만약 금전피해가 발생하지 않았다면 입력한 금융정보들은 해당 금융기관을 통해 변경
- 일회성 비밀번호생성기인 OTP를 사용
- 금전피해 발생 시에는 112 나 금융기관 콜센터를 통해 지급정지를 요청한 후 해당 은행에 경찰이 발급한 ‘사건사고 사실확인원’을 제출하여 피해금 환급을 신청
- 파밍 예방 방법
- 컴퓨터/이메일 등에 공인인증서, 보안카드 사진, 비밀번호 저장을 하지 말 것
- 보안카드 전부를 절대 입력하지 말 것
- 윈도우, 백신 프로그램을 최신 상태로 업데이트하고, 실시간으로 감시상태를 유지
- 출처가 불분명한 파일이나 이메일은 즉시 삭제하고, 무료 다운로드 사이트 이용을 자제
- 전자서명 등을 이용하여 사이트의 진위 여부를 확실하게 가릴 수 있도록 해야 함