2017.9.23 부터 시행되는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 변경 내역 입니다.

1. 개인정보 파기 관련 타 법령 준용

1년간 이용하지 않은 개인정보 별도 분리/파기 조항에 다른 법령에서 정하는 기간이 있는 경우 별도 분리 보관하도록 명시.

제16조(개인정보의 파기 등) ① 삭제   
② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제29조제2항의  기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다. 다만, 법 제29조제2항 본문에 따른 기간(법 제29조제2항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존하여야 하는 경우에는 다른 법령에서 정한 기간이 경과할 때까지  다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다.  
③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장·관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 
④ 법 제29조제3항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다.   
1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 
2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장·관리하는 경우: 개인정보가 분리되어 저장·관리되는 사실, 기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목 
⑤ 법 제29조제3항에서 "전자우편 등 대통령령으로 정하는 방법"이란 전자우편·서면·모사전송·전화 또는 이와 유사한 방법을 말한다.

가령 '전자금융거래법 시행령'의 경우 금융거래를 5년간 보존하도록 하는 조항이 있습니다. 이런 케이스의 경우, 사용자가 1년간 서비스를 이용하지 않더라도 무조건 파기가 아니라 별도 분리해서 보관해야 합니다. 

제12조(전자금융거래기록의 보존기간ㆍ보존방법 및 파기 절차ㆍ방법 등) ①법 제22조제1항 및 제3항에 따른 전자금융거래기록의 종류별 보존기간은 다음 각 호와 같다.  <개정 2008.2.29, 2015.4.14> 
1. 다음 각 목의 전자금융거래기록은  5년간 보존하여야 한다. 
가. 제7조제4항제1호 내지 제5호에 관한 사항 
나. 해당 전자금융거래와 관련한 전자적 장치의 접속기록 
다. 전자금융거래의 신청 및 조건의 변경에 관한 사항 
라. 건당 거래금액이 1만원을 초과하는 전자금융거래에 관한 기록
2. 개인정보 국외 제공 시 통지방법

사용자의 편의를 위해 별도 동의를 거치지 않고 국외 개인정보 제공 시 전자우편, 서면, 모사전송, 전화 등을 이용하여 통지하도록 명시.

<정보통신망법 시행령>
제67조(개인정보 국외 이전시 보호조치) ① 법 제63조제2항 단서에서 "전자우편 등 대통령령으로 정하는 방법"이란  전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법을 말한다.    
② 법 제63조제4항에 따라 개인정보를 국외로 이전하는 경우에 하여야 하는 보호조치는 다음 각 호와 같다.    
1. 제15조에 따른 개인정보보호를 위한 기술적·관리적 조치 
2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 사항 
3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치 
③ 정보통신서비스 제공자등은 제2항 각 호의 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 한다.
<정보통신망법>
제63조(국외 이전 개인정보의 보호)  ① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다. 
   ② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한  계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.
3. 과태료 관련 규정

1) 개인정보 처리업무를 위탁하는 경우 문서에 의하지 아니한 자에 대하여 1회 위반인 경우에는 300만원, 2회 위반인 경우에는 600만원, 3회 이상인 경우에는 1,000만원의 과태료를 부과
2) 본인확인기관의 지정을 받지 아니하고 본인확인업무를 한 자 등이 시정조치명령을 이행하지 아니한 경우에는 500만원의 과태료를 부과
3) 그 밖의 시정조치명령을 이행하지 아니한 경우에는 300만원의 과태료를 부과하도록 하는 등 과태료 부과기준


위반행위 
근거 법조문 
위반횟수별 
과태료 금액 
1  
2  
3 회 이상 
 . 법 제 23 조의 3  1 항을 위반하여 본인확인기관의 지정을 받지 않고 본인확인업무를 한 경우 
법 제 76 조제 3 항제 2 호의 2 
1,000
1,000 
1,000 
 . 법 제 25 조제 6  (  67 조에 따라 준용되는 경우를 포함한다 ) 을 위반하여 개인정보 처리위탁을 할 때에 문서에 의하지 않은 경우 
법 제 76 조제 3 항제 2 호의 5 
300 
600 
1,000 
 . 이 법을 위반하여 법 제 64 조제 4 항에 따라 과학기술정보통신부 장관 또는 방송통신위원회로부터 받은 시정조치 명령을 이행하지 않은 경우 
법 제 76 조제 1 항제 12  
  
  
  
7) 법 제 76 조제 3 항의 위반행위에 대한 시정조치 명령을 이행하지 않은 경우 
  
500 
500 
500 
8) 그 밖의 시정조치 명령을 이행하지 않은 경우 
  
300 
300 
저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

개인정보 영향평가에 관한 고시가 9.25 자로 개정되었습니다.
주요 변경 사항은 다음과 같습니다.

1. 영향평가 시점 명시

영향평가 수행시점, 영향평가 결과 반영시점, 개선계획 반영 확인시점을 명확하게 하였습니다.

제9조의2(영향평가 수행) ① 공공기관의 장은 별표4의 필요한 사항이 반영될 수 있도록 대상시스템의 설계완료 전에 영향평가를 수행하여야 한다. 
②  영향평가 결과는 시스템 설계·개발 시에 반영하여야 한다. 

제9조의3(영향평가 개선계획 반영여부의 확인) 공공기관의 장은 개인정보 영향평가 수행 후,  영향평가 개선계획의 반영여부를 정보시스템 감리 시 확인하여야 한다. 단, 감리를 수행하지 않은 경우에는 정보시스템 테스트단계에서 영향평가 개선계획의 반영여부를 확인하여야 한다.
2. 영향평가기관 유효기간 연장, 지정심사위원회 위원 임기 연장

-영향평가기관 유효기간 연장(2년→3년) 
-영향평가기관 지정심사위원회 위원 임기 연장(2년→3년)
-지정심사위원의 최소 인원 수 명시(5인 이상)

<개정 전>
제3조(평가기관 지정절차) 
⑥ 평가기관의 유효기간은 행정안전부장관이 평가기관으로 지정한 날로부터  2년으로 한다. 
<개정 후>
제3조(평가기관 지정절차)  
⑥ 평가기관의 유효기간은 행정안전부장관이 평가기관으로 지정한 날로부터  3년으로 한다 .
<개정 전>
제4조(지정심사위원회의 구성 및 운영) ① 제3조에 따른 지정심사위원회는 다음 각 호의 자격을 가진 자 중에서 행정안전부장관이 위촉하는  15인 이내의 위원으로 구성한다. 
1.「고등교육법」제2조제1호·제2호 또는 제5호에 따른 학교나 공인된 연구기관에서 조교수 이상의 직 또는 이에 상당하는 직에 있거나 있었던 자로 개인정보 보호 연구경력이 8년 이상인 사람 
2. 개인정보 보호 관련 업체, 기관 또는 단체(협회, 조합)에서 8년 이상 개인정보 보호 업무에 종사한 사람 
3. 그 밖에 개인정보 보호에 관한 학식과 경험이 풍부한 사람 
② 지정심사위원회는 영 제37조제1항에 따른 신청한 법인의 자격 및 업무수행능력 등을 검토한다. 
③ 지정심사위원회의 위원 임기는  2년으로 하되, 연임할 수 있다. 
<개정 후>
제4조(지정심사위원회의 구성 및 운영) ① 제3조에 따른 지정심사위원회는 다음 각 호의 자격을 가진 자 중에서 행정안전부장관이 위촉하는  5인 이상 15인 이내의 위원으로 구성한다. 
1.「고등교육법」제2조제1호·제2호 또는 제5호에 따른 학교나 공인된 연구기관에서 조교수 이상의 직 또는 이에 상당하는 직에 있거나 있었던 자로 개인정보 보호 연구경력이 8년 이상인 사람 
2. 개인정보 보호 관련 업체, 기관 또는 단체(협회, 조합)에서 8년 이상 개인정보 보호 업무에 종사한 사람 
3. 그 밖에 개인정보 보호에 관한 학식과 경험이 풍부한 사람 
② 지정심사위원회는 영 제37조제1항에 따른 신청한 법인의 자격 및 업무수행능력 등을 검토한다. 
③ 지정심사위원회의 위원 임기는  3년으로 하되, 연임할 수 있다.
3. 기타 개정 사항

영향평가 전문인력이 기간내 갱신 못한 경우 기존 인증서의 ‘효력상실’에서 ‘효력정지’로 변경 

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

가짜 iOS 응용 프로그램은 이미지 권한을 얻고 로컬에 저장된 사진에서 GPS 좌표를 추출하여 제한된 지리적 위치 정보에 액세스 할 수 있다.

 Fastlane Tools (현재 Google의 일부) 설립자인 Felix Krause는 지난 주 iOS 권한 모델에서 이 허점을 발견했다. 모바일 개발 전문가는 

Apple에 연락하여 문제에 대해 회사에 알렸다. iOS는 사진 선택 권한과 이미지를 관리하거나 편집하는 앱을 구분하지 않는다. 

그들은 모두 동일한 허가하에 묶여 있다. 단순한 응용 프로그램은 로컬 라이브러리에서 사진을 선택해야하는 이유로 이미지 관리 권한에 액세스하도록 

사용자를 속일 수 있지만 백그라운드에서는 모든 이미지에 액세스하여 EXIF메타 데이터를 추출할 수 있다. 이미지의 EXIF메타 필드에 저장된 데이터 중에는 

사진을 찍은 GPS 좌표에 대한 세부 정보뿐만 아니라 사진/비디오를 찍은 실제 속도와 정확한 시간과 날짜가 포함되어 있다. 

이를 발견한 연구원은 사진을 선택하고 사진 라이브러리에 대한 모든 권한을 부여하는 별도의 권한이 있어야 한다고 강조

https://www.bleepingcomputer.com/news/apple/permissions-loophole-lets-ios-apps-extract-location-details-from-image-metadata/

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

보안이 되어 있지 않은 아마존 웹서비스(AWS) S3 서버는 100MB의 버라이존 와이얼리스의 내부 회사 데이터를 노출시켰다. 

노출된 정보에는 서버 로그 및 버라이존 네트워크의 다른 부분에 접근하는 데 사용할 수 있는 내부 인증정보가 포함되어 있다.


http://www.zdnet.com/article/another-verizon-leak-exposed-confidential-data-on-internal-systems/

http://www.cyberscoop.com/verizon-wireless-s3-bucket-public-access-kromtech/

http://threatpost.com/verizon-wireless-internal-credentials-infrastructure-details-exposed-in-amazon-s3-bucket/128108/

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

딜로이트社는 이메일 시스템이 침해된 것을 인정했다. 침입자는 패스워드로만 보호되어 있었으며 2단계 인증이 없는 관리자 계정을 통해 시스템에 접근할 수 있었다. 

해킹된 데이터는 마이크로소프트의 Azure 클라우드 서비스에 저장되어 있었다. 이 침해사고는 2017년 3월에 발견되었으며, 

2016년 10월 또는 11월에 시작된 것으로 추정된다.


http://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails


저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바