다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-10784 결재일자 2019.5.14. 공개여부 부분공개(5) 방침번호 시 민 실무사무관 개인정보보호팀장 정보통신보안담당관 서재호 도찬구 05/14 김완집 협조 주무관 오지성 개인정보보호 기술 설명회 결과보고 추진근거 대내(외) 협력 현황 사 업 비 부서(단체)명 협의내용 협의결과 자체방침 - 개인정보보호와 관련된 기술 전반에 대한 설명 기회를 다시 가지면 좋겠음 추가 설명회 개최 - 정보통신보안담당관 (개인정보보호팀) 개인정보보호 기술설명회 결과 보고 ？？ 회의개요 ○ 일 시 : 2019.5.14(화) 09:00 ~ 11:00 ○ 장 소 : 정보통신보안담당관 집무실 ○ 참 석 : 6명 - 서울시(4) : 정보통신보안담당관, 개인정보보호팀장, 서재호, 오지성 - 기업체(2) : ？？ 회의안건 ○ 정보보호 법규, 인증제품 및 보안시스템의 구성 - 정보보호 법규 및 국가정보원 인증 제품 소개 - 네트워크, 서버, WAS, DB, AP, 사용자 구간 보안시스템 구성 ○ 차세대 기술에서 정보보안 구성 - 클라우드 컴퓨팅에서 정보보안 구성 ？？ 주요내용 ○ 정보보호 관련 법규와 관련 기술 - 정보보호 관련 법규로는 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 가장 먼저 생겼으며, 주로 침입차단과 관련된 기술들이 적용 - 개인정보보호법이 제정되면서 정보의 보호를 위한 암호화 등의 기술이 적용 - 장애인 차별금지 및 권리구제 등에 관한 법률 제정과 관련하여 ActiveX 기술이 사라지고 웹표준화 방향으로 가게 되었음 - 은행의 경우 아직 개인인증을 위해 ActiveX 기술을 사용하고 있으나, 점차 생체인증 등 대체수단이 적용되고 있음 ○ 국가정보원 인증 대상 제품 목록 - 망간 자료전송 제품의 경우 내부와 외부 연계뿐아니라 대외기관간 자료 전송과 같이 보안수준이 다른 영역간 데이터 및 정보흐름의 통제에 대한 내용이 있음 - 소스코드 보안약점 분석도구는 OWASP TOP 10과 같은 보안취약점에 대하여 검색하여 해결하기 위한 도구이며, 소프트웨어 소스코드 분석 및 보안 약점 식별을 위해 시큐어코딩을 통해 프로그램의 보안취약점을 제거함 - ActiveX를 사용하면 키보드 입력정보를 암호화하는 키보드 보안이 필수이며, 모바일의 경우는 가상키보드 사용으로 대체하고 있음 - 개인정보보호 관련 국가정보원 인증 제품은 1개가 있음. ○ 표준 보안시스템 구성 - 소개되는 구성은 한국교육학술정보원에 구축하여 18개 시도 교육청에 활용하고 있음 - 네트워크에서는 UTM, IPS, 방화벽, 가상사설망 정도를 기본으로 구성하고 있음 - 서버보안으로는 서버보안OS, Log관리, SMS를 구성하고 있음. - 웹서버 단에서는 웹구간 암호화, DRM, 웹쉘탐지, 비정형 암호화 기술을 적용하고, WAS에서는 웹구간 암호, DRM, 출력물위변조, DB암호, 비정형 암호기술이 적용되고, DB서버는 DB암호와 비정형 암호화, AP서버는 DB암호, 비정형 암호, 구간암호 등의 기술이 적용되고 있음. ○ 차세대 기술에서 정보보안 구성 - 클라우드 컴퓨팅에서 적용되는 정보보안 구성으로 응용프로그램단의 SaaS(Software as a Service), 플랫폼을 제공하는 PaaS(Platform as a Service), 서버와 스토리지, 네트워크 장비 등의 IT인프라 장비로 구성된 IaaS(Infrastructure as a Service)로 구성됨 - 정보보안 및 개인정보보호 관련 제품들은 PaaS 영역에 포함되어 운영됨 ？？ 향후계획 ○ ‘19. 5월 : 비식별화기술에 대한 기술 설명회 ○ ‘19. 7월 : 비정형데이터 개인정보보호에 대한 검토 및 예산확보 ○ ‘20. 1월 : 비정형데이터 개인정보보호 추진 붙임 : 1. 개인정보보호 기술설명 자료 1부. 끝.

17805131

20210929114155

본청

정보통신보안담당관-10784

D0000036235532