[목차]
Ⅰ. 개요
1. 개인정보 노출이란 무엇인가요?
2. 개인정보 노출이 왜 문제가 되나요?
3. 침해사고 위험이 높은 개인정보는 어떤 것인가요?
4. 개인정보 노출을 방지하기 위해서는 어떻게 관리해야 하나요?
Ⅱ. 개인정보 노출유형 및 조치방법
1. 업무담당자 부주의
2. 민원인 부주의
3. 홈페이지 설계오류
4. 외부 검색엔진 노출 유형
Ⅲ. 개인정보 노출 방지대책
1. 개인정보 노출방지를 위한 종합 대책
2. 홈페이지 관리자 유의사항
Tip-1 구글에 노출된 개인정보 삭제 방법
Tip-2 로봇 배제 표준 적용 방법
Tip-3 홈페이지 게시판글 등록시 주민번호 등 개인정보 필터링 적용방법
Ⅳ. OWASP 홈페이지 보안 취약점 및 기술적 보안 조치
1. 인젝션(SQL Injection)
2. 크로스사이트 스크립트(XSS)
3. 취약한 인증과 세션관리
4. 불안전한 직접객체 참조
5. 크로스사이트 변조요청(CSRF)
6. 보안상 잘못된 구성
7. 불안전한 암호화 저장
8. URL 접근 제한 실패
9. 불안전한 통신
10. 검증되지 않은 리다이렉트와 포워드
□ 행정안전부는 공공기관 홈페이지를 통해 개인정보가 노출되는 것을 방지하기 위해 「공공기관 홈페이지 개인정보 노출방지 가이드라인」을 개정하여 전 공공기관에 배포한다.
○ 지난해 행안부가 개인정보 노출 조기경보시스템을 통해 약 34만개의 웹사이트를 모니터링 한 결과, 노출된 경우가 점검 웹사이트 대비 0.1%의 수준으로 나타났다.(’09년 0.7%와 비교해 볼 때 대폭 개선)
- 노출된 경우는 그 주요 원인이 업무담당자 부주의(65.0%) 또는 홈페이지 설계 오류(32.2%) 등으로 나타나 각 기관에서 개인정보를 취급하고 있는 업무담당자의 개인정보에 대한 인식제고가 무엇보다도 중요한 것으로 파악되었다.
○ 이에 따라 행안부는 업무담당자의 인식제고와 업무 역량 강화를 위해 개인정보 노출원인과 조치방법, 홈페이지 보안취약점에 따른 점검방법 등을 반영하여 가이드라인을 개정하게 되었다.
- 본 가이드라인은 공공기관의 홈페이지를 통한 개인정보 노출을 사전에 방지하고 효율적인 점검·관리를 위한 기준을 제시하고자 ‘08.2월에 제정되었으며, ’09년에 한차례 개정된 바 있다.
[개인정보 노출 사례] 1) 아차하는 순간 개인정보는 여기 저기로!
홈페이지에서 대량의 중앙부처 공무원의 개인정보 노출모 중앙행정기관 홈페이지에 게시된 첨부파일을 통해 중앙부처 공무원의 소속기관, 직급, 이름, 주민등록번호 등이 포함된 다량의 개인정보가 노출됨
( 왜 이런일이? ) 담당자 A씨는 홈페이지에 급하게 자료를 게시하느라, 첨부파일에 공무원의 개인정보가 포함된 사실을 깜빡 잊었다. 자료를 홈페이지에 게시하는 순간, 개인정보가 포함된 파일은 검색엔진을 통해 수집되었고, 즉시 자료를 삭제했지만 이미 때는 늦었다.
2) 억울합니다! 강력한 검색엔진이 자료를 다 가져갔어요.
다량의 고객자료, 00검색엔진을 통해 노출모 기관에서 고객분석을 위해 저장해 놓은 관리자페이지의 고객정보가 OO검색 사이트상에 무방비로 노출되어 방치됨
( 어떻게 이런일이? ) 모 기관의 홈페이지 관리자페이지 일부에서 아이디와 패스워드 등의 인증 절차가 적용되어 있지 않아 OO검색엔진을 통해 해당 자료가 수집되어 인터넷에 노출되었다. 행정안전부로부터 개인정보 노출통지를 받고 나서야 홈페이지 관리자는 이 사실을 알게 되고 관련 조치를 취했으나, 그 정보는 이미 많은 사람들이 다운로드한 상태였다.
“개인정보 노출방지 가이드라인”을 담당자가 숙지하고 있었다면,위와 같은 사례는 발생하지 않았을텐데....
□ 행정안전부는 공공기관 홈페이지를 통해 개인정보가 노출되는 것을 방지하기 위해 「공공기관 홈페이지 개인정보 노출방지 가이드라인」을 개정하여 전 공공기관에 배포한다.
○ 지난해 행안부가 개인정보 노출 조기경보시스템을 통해 약 34만개의 웹사이트를 모니터링 한 결과, 노출된 경우가 점검 웹사이트 대비 0.1%의 수준으로 나타났다.(’09년 0.7%와 비교해 볼 때 대폭 개선)
- 노출된 경우는 그 주요 원인이 업무담당자 부주의(65.0%) 또는 홈페이지 설계 오류(32.2%) 등으로 나타나 각 기관에서 개인정보를 취급하고 있는 업무담당자의 개인정보에 대한 인식제고가 무엇보다도 중요한 것으로 파악되었다.
○ 이에 따라 행안부는 업무담당자의 인식제고와 업무 역량 강화를 위해 개인정보 노출원인과 조치방법, 홈페이지 보안취약점에 따른 점검방법 등을 반영하여 가이드라인을 개정하게 되었다.
- 본 가이드라인은 공공기관의 홈페이지를 통한 개인정보 노출을 사전에 방지하고 효율적인 점검‧관리를 위한 기준을 제시하고자 ‘08.2월에 제정되었으며, ’09년에 한차례 개정된 바 있다.
□ 이번 가이드라인의 주요 개정내용으로는
○ 담당자 혹은 민원인의 부주의로 개인정보가 포함된 게시물이 홈페이지에 등록되는 것을 원천 차단하기 위해 주민번호 등의 포함여부 점검 방법을 게시판 프로그램에 반영하도록 했다.
○ 기관 홈페이지에 노출된 개인정보가 구글 등 검색엔진을 통해 수집되어 제공되고 있는 경우, 이를 삭제하기 위한 구체적인 방법과 절차 안내를 포함했다.
○ 또한, 공공기관에서 자주 발생하고 있는 개인정보 노출 사례와 노출유형에 따른 조치방법 등을 제시하여 공공기관 업무담당자가 보다 쉽게 개인정보 보호조치를 취할 수 있도록 했다.
○ 개인정보 노출의 간접적인 원인이 되는 홈페이지 서버 보안취약점을 제시하고 각 취약점별로 점검 및 조치 방법을 자세하게 설명했다.
□ 장광수 행정안전부 정보화전략실장은 “이번 가이드라인 개정과 지속적인 담당자 교육으로 각급 공공기관의 개인정보 보호에 대한 인식 및 보호조치 수준이 한 단계 업그레이드 되기를 기대하며, 앞으로도 우리부는 개인정보 노출 상시 점검을 실시하여 국민들의 개인정보가 노출되는 것을 막기 위해 지속적으로 노력해 나갈 것이다”고 밝혔다.
