ch1 개인정보보호의 이해
중요도 순서
★ << ★★ << ★★★ << ★★★★
스미싱(smishing)-기출 ★★
정의: 문자메세지(sms)와 피상(phishing)의 합성어
① 무료쿠폰제공, 돌잔치 초대장, 모바일청첩장 등을 내용으로 하는 문자메세지이며 인터넷을 클릭하면 ② 악성코드가 스마트폰에 설치되어 ③ 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인 금융정보 탈취
피해유형
스미싱에 이용된 변종 악성코드는 소액결제 인증번호를 가로채는 것에 그치지 않음
최근에는 피해자 스마트폰에 저장된 주소록 연락처, 사진(주민등록증보안카드사본),공인인증서,개인정보 등까지 탈취
파밍(pharming)- 기출 ★★
악성코드에 감염된 pc를 조직해 이용자가 인터넷 즐겨찾기 또는 포털사이트 검색을 통해 금융회사 등의 정상적인 홈페이지 주소로 접속하여 피싱(가짜) 사이트로 유도되어 범죄자가 개인 금융정보를 몰래 빼가는 기법
피싱(phishing)
개인정보와 낚시의 합성어로 개인정보를 낚는다는 소리
금융기관 또는 공공기관을 가장해 전화나 이메일로 인터넷 사이트에서 보안카드 일련번호와 코드번호 일부 또는 전체를 입력하도록 해 금융정보를 빼가는 수법
ch2 개인정보보호제도
출처: 개인정보보호법 시행령
개인정보처리자는 5만명 이상의 정보주체에 관해 민감정보 또는 고유식별정보를 처리하는 자
100만명이상의 정보주체에 관해 개인정보를 처리하는 자
정보주체의 동의를 받은 범위에서 (연2회이상) 주기적으로 개인정보를 제공받아 처리하는 경우 개인정보를 제공받은 날로부터 (3개월) 이내에 정보주체에게 알림 동의 받은 날로부터 가산하여 (연 1회이상) 정보주체에게 알려야 한다.-기출 ★★
ch3 개인정보라이프사이클
개인정보처리자는 개인정보보호책임자를 지정하려는 경우 다음의 사람들중에서 정함
★ 공공기관
국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원 또는 그에 상당하는 공무원
정무직공무원을 장으로 하는 국기관: 3급 이상의 공무원 또는 그에 상당하는 공무원
고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관 4급 이상 공무원 또는 그에 상당하는 공무원
국가기관 외의 국가기관(소속기관포함) 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
시ㆍ도 및 시ㆍ도 교육청 3급 이상 공무원 또는 그에 상당하는 공무원
시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원 -기출 ★ ★
★ 집단소송 VS 단체소송 차이점
집단소송: 이해관계가 밀접한 다수의 피해자집단(대표당사자가 소송수행)
소송목적: 금전적 피해구제(손해배상청구
기대효과: 피해의 사후적 구제
판결의 효과: 모든 피해자에게 판결의 효과가 미침(단, 제외 신청을 한 사람은 제외)
단체소송: 일정 요건을 구비한 소비자단체 등(단체가 소송진행)
소송목적: 위법행위의 금지 중지
기대효과: 피해자의 확산방지 및 예방
판결의 효과: 다른 단체에게도 판결의 효력이 미침
개인정보 단체소송의 원고적격
개인정보 단체소송을 제기할 수 있는자는 등록 소비자단체와 비영리민간단체로 한정되어 있음
소비자단체가 개인정보 단체소송을 제기하기 위해서는 소비자기본법 제29조에 따라 공정거래위우너회에 등록한 소비자단체로서 정관에 따라 상시적으로 정보주체의 권익증진을 주된 목적으로 하는 단체
단체의 정회원수가 1천명이상
소비자기본법 제29조에 따른 등록후 3년이 경과
비영리 단체가 개인정보 단체소송을 제기하기 위해서는 비영리민간단체 지원법 제2조에 따른 비영리단체로서 ① 법률상 또는 사실상 동일한 침해를 입은 100명 이상의 정보주체로부터 단체소송을 요청받고 ② 정관에 개인정보보호단체를 목적으로 명시한 후 최근 3년 이상 이를 위한 활동 실적이 있으며, ③ 단체의 상시 구성원수가 5천명 이상으로 ④ 중앙행정기관에 등록되어 있어야 함
원고의 청구를 기각하는 판결이 확정된 경우, 이와 동일한 사안에 대해 다른 ㅅ비자단체나 비영리단체도 다시 단체소송을 제기할수 없다.
즉, 단체소송의 확정판결 효과는 다른 단체에게까지 미친다.
원고 패소 판결뿐만 아니라 승소 판결의 경우에는 판결의 효과는 전체 소비자단체 및 비영리단체에 미친다. 그러나 개별 정보주체들은 개인정보 단체소송의 결과에 관계없이 권리침해 행위와 금자, 중지를 구하는 소송 또는 손해배상 청구를 구하는 소송을 제기할수 있다.
ch1 개인정보보호의 이해
출처: 개인정보보호법 제22조
동의를 받는법 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 ★(필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할수 있다.)
출처: 개인정보보호법 제28조
개인정보취급자에 대한 감독- 기출 ★★
개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될수 있도록, 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 감독을 받아 개인정보를 처리하는 자
출처: 개인정보보호법 34조의 2
행정자치부장관은 개인정보처리자가 처리하는 주민등록번호가 분실,도난,유출,위조,변조 또는 훼손된 경우 5억원이하의 과징금을 징수 할수 있다.
과징금을 내지 아니하면 100분의 6범위내에서 대통령령으로 정하는 가산금을 하고, 그 개월수는 60개월을 넘지 못한다.
ch3 개인정보 라이프사이클관리
출처: 정보통신망법-29조(개인정보의 파기)
정보통신제공자 등은 정보통신서비스를 1년의 기간동안 이용하지 않았을때 이용자의 개인정보를 보호하기 위해 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취해야 함
정보통신정보제공자등은 기간만료 30일 이전에 개인정보가 파기되는 사실을 이용자에게 알려야 함- 기출 ★★
출처: 표준개인정보보호지침
제10조-개인정보의 파기방법 및 절차
개인정보가 불필요하게 되었을때 정당한 사유가 없는한 5일 이내에 개인정보를 파기해야 함
제13조- 법정대리인의 동의
법정대리인의 동의거부가 있거나 법정대리인의 동의의사가 확인되지 않은경우 5일 이내에 파기- 기출 ★★
ch2 개인정보보호제도
개인정보보호법에서 개인정보가 유출 5일 이내 신고- 행정안전부,KISA
정보주체 통지-7일이상 인터넷 홈페이지등 게재
개인정보유출 1만명이상---> 1천명이상 변경 - 기출 ★★
정보통신망법 24시간 이내에 신고- 방송통신위원회, KISA
개인정보 1건이라도 유출되면 신고 - 기출 ★★
출처: 표준개인정보보호법 제32조
개인정보삭제요구할때 정당한 사유가 존재하여 삭제할수 없다면 10일이내에 삭제를 요구할수 없다는 근거법령으로 하는 내용을 정보주체에게 알림
ch3 개인정보 라이프사이클관리
출처: 표준개인정보보호지침
영상정보처리기기 보관 및 파기-41조(보관 및 파기)
보관 기간을 영상정보 수집후 30일 이내로 한다.
영상정보처리기기
누구든지 공개된 장소에 영상정보처리기기를 설치 운영하는 것은 원칙적으로 금지되며 다른 법익의 보호를 위하여 필요한 경우 예외적으로 허용
목욕실, 화장실, 발한실 영상정보처리기기 운영 X
교도소, 정신건강보건시설(정신병원)등은 영상정보처리기기 운영 O
영상정보처리기기는 녹음 X
● 비식별화조치방법 - 기출 ★★
가명처리: 홍길동 35세, 서울거주, 한국대 재학
-->임꺽정 30대, 서울거주, 국제대 재학
총계처리: 임꺽정 180cm. 콩쥐 160cm
물리학과 학생 키 합 340cm,평균 170cm
데이터삭제: 주민등록번호:872157-1547895
80년생 , 남자
데이터범주화: 홍길동 35세
홍씨 30~40세
데이터마스킹: 홍XX,35세,서울거주,XX대학재학
ch3 개인정보보호조치
기출 ★★★
공개된 무선망이란?
모바일기기란?
바이오정보란?
보조저장매체란?
내부망이란?
접속기록이란?
관리용단말기란?
출처: 개인정보안전성확보조치
제5조- 접근권한의 권리
개인정보처리자는 권한부여, 변경 또는 말소에 대한 기록을 기록하고 최소 3년간 보관
제6조- 접근통제- 기출 ★★★
개인정보처리시스템에 대한 접속권한을 IP등으로 제한하여 인가받지 않은 접근을 제한
개인정보처리시스템에 접속한 IP주소등을 분석하여 불법적인 유출시도 탐지 및 대응
고유식별정보를 처리하는 개인정보처리자는 연1회 이상 취약점을 점검
개인정보취급자가 일정시간 업무처리를 하지 않는 경우 자동으로 시스템접속이 차단
제8조- 접속기록의 보관 및 점검
개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관,관리 해야 한다.
개인정보처리자는 개인정보처리시스템의 기록을 반기별로 1회 이상 점검
개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치
- 몇명이고 어느 유형에 해당하는지 물어봄
유형1,유형2,유형3에 따른 소상공인,중소기업,공공기관 구분을 알아야 함
기출 ★★★
개인정보처리자가 직원의 업무처리를 목적으로 사무실 회의실 등에서 무선접속장치(AP)를 설치해 운영하는 경우 공개된 무선망에서 제외
CDMA,WCDMA등 이동통신망은 공개된 무선망에서 제외
접속기록이란?개인정보취급자가 개인정보처리시스템에 접속한 기록을 알수 있는 것인데 ① 계정 ② 접속일시 ③ 접속자정보 ④ 수행업무- 각 ①④까지의 용어를 물어보고 접속기록의 정의
비밀번호작성 규칙- 기출 ★★★
개인정보처리자가 계정정보 또는 비밀번호를 잘못 입력 한 경우 5회 이상 잘못
추가적인 인증수단 공인인증서, OTP를 통해 정당한 접근 권한을 확인
다수의 개인정보취급자가 동일한 업무를 수행한다해도 사용자계정을 공유하지 않도록, 개인정보취급자 별로 아이디를 발급하여 사용하고, 각 개인정보취급자별 개인정보 처리내역에 대한 책임 추적성을 확보
침입차단 및 침입탐지 기능을 갖춘 장비의 설치 방법 예시
스위치 등의 네트워크 장비에서 제공하는 ACL등 기능을 이용하여 IP 주소 등을 제한함
ACL이란 무엇인가? 정의를 써놓은후 무엇인지 고르는 객관식문제- 기출 ★★★
보기항 ① vpn ② acl ③ mdm ④ ssl
인증수단 종류- 기출 ★★★★ 개인정보처리자가 외부에서 접속을 할때 사용하는 인증수단의 종류로 옳바른것을 모두 고르시오?
인증서(PKI)-전자상거래 등에서 상대방과의 신원확인, 거래사실 증명 문서의 위ㆍ변조 여부 검증 등을 위해 사용하는 전자서명으로서 해당 전자서명을 생성한 자의 신원을 확인하는 수단
보안토큰- 암호 연산장치 등으로 내부에 저장된 정보가 외부로 복사, 재생성 되지 않도록 공인인증서 등을 안전하게 보호할수 있는 수단으로 스마트카드, USB 토큰 등이 해당
일회용 비밀번호(OTP)- 무작위로 생성되는 난수를 일회용 비밀번호로 한 번생성하고, 그 인증값이 한번만 사용하도록 하는방식
암호화 하는 방식으로 옳바른 것은? 최근에 가장 많이 사용하는 암호화 방식은 무엇인가? RSA방식
다음 랜섬웨어의 이름은 무엇인가? 워너크라이
개인정보처리자는 개인정보를 파기하는 방법에 어느 하나의 조치를 해야 하는가?
① 완전파괴 ② 전용소각장비를 이용해 삭제 ③ 데이터가 복원되지 않도록 삭제
완전파괴의 정의: 개인정보가 저장된 회원가입신청서 등의 종이문서, 하드디스크, 자기테이프를 파쇄기로 파기, 용해 또는 소각장, 소각로에 태워서 파기
전용소각장비를 이용해 삭제
디가우저를 이용해 하드디스크나 자기테이프에 저장된 개인정보 삭제
개인정보가 저장된 하드디스크에 대해 완전포맷(3회) 이상 권고, 데이터 영역에 무작위 값(0,1)으로 덮어쓰기 3회 권고, 해당 드라이브를 안전한 알고리즘 및 키 길이로 암호화 저장 후 삭제하고 암호화에 사용된 키 완전 폐기-기출 ★★★★ 삭제시 몇회 덮어쓰기 해야 하는지 출제
내부관리 계획 수립시 제목을 반드시 내부 관리계획을 해야 하는가?- 정답 X - 기출 ★★
내부관리계획이란 용어로 사용하는 것이 바람직하나 개인정보처리자의 내부방침에 따라 다른 용어 사용가능
망분리가 적용되는 대상자? - 기출 ★★ -출처: 개인정보의 기술적 괸리적 보호조치 기준
전년도 말 기준 직전 3개월간 일일평균 100만명이상이거나 정보통신부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등 개인정보처리시스템에서 개인정보를 다운로드 또는 파기 할수 있거나 개인정보처리시스템에 대한 접근권한을 설정할수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
개인정보의 암호화- 주민등록번호, 여권번호, 운전면허번호,외국인등록번호,신용카드번호,계좌번호,바이오정보-기출 ★★
ch5 개인정보보호관리체계
PIMS의 소관부처는 어디인가? 행정안전부, KISA<----> ISMS의 소관부처와 비교해서 출제
ISMS의 신청기관은 어디인가? ① 정보통신망서비스 제공자 ISP ② 집적정보통신시설 사업자 IDC ③ 집적정보통신시설 일부를 임대하여 서비스를 재판매하는 사업자 VIDC ④ 전년도(법인의 경우, 전 사업연도) 매출액 또는 세입 등이 1500억원 이상인 자(상급종합병원, 직전연도 12월 31일 기준 재학생 수 1만명 이상 학교)
인증기관: 한국인터넷진흥원, 금융보안원
인증심사기관: 정보통신진흥협회,, 정보통신기술협회(심사만 가능, 도장을 찍을수 없다)
일일평균 이용자 수는 PV를 말함
pv: 홈페이지에 들어온 접속자가 둘러 본 페이지 수
pc, 스마트폰 등이 네트워크 운영을 위해 운영하는 경우 DNS,query,기지국 등록 등의 접속은 제외-보기항으로 출제
자체적 또는 공식적으로 이용자 수 확인 어려운 경우, 민간 통계기관 등의 데이터 활용-보기항으로 출제
'23.12.24 삭제예정 > cppg준비' 카테고리의 다른 글
| 2017.07월 새롭게 개정된 개인정보보호법 (0) | 2017.08.01 |
|---|---|
| 상황별 맞춤 100건 (0) | 2017.07.31 |
| cppg 상황별 맞춤 100건 (0) | 2017.07.27 |
| 개인정보보호법 적용별 사례 100개 (0) | 2017.07.19 |
| ★★★★cppg 시험준비★★★★ (0) | 2017.07.04 |