구 분 | 법규 위반 내용 | 관련조문 |
처분사유 1 (최대 접속시간 제한 등) | o(최대 접속시간) 개인정보처리시스템에 최대 접속시간 제한 조치를 하지 않은 행위 | - 법 §28①2호 - 령 §15②5호 - 고시 §4⑩항 |
- 2016. 5. 2.∼5. 9.까지(7일간) 개인정보처리자 PC를 켜둔 상태에서 퇴근 후에도 업무망 및 DB계정 관리프로그램에 접속*을 유지한 채로 방치한 행위
* 이로 인해 해커가 사내망에서 별도의 인증절차 없이도 서버망(DB서버 등)에 손쉽게 접속이 가능하였음 | ||
- 작업일지에 기록도 하지 않고 2016. 5. 1.∼8. 11.까지 DB서버에 12시간 이상 접속한 횟수가 19회{최대 89시간(3일 17시간) 접속} 있었음에도, 이를 차단하지 않은 행위 | ||
o 그 밖에 접근통제가 미흡한 사항(망분리 등 5건) | ||
-(망분리) 보안성이 떨어지는 가상화 방식을 적용하여 운영한 행위 | ||
-(백업파일 관리) 개인정보처리시스템으로부터 백업받은 이용자의 개인정보 미암호화 및 이를 별도 분리 보관하지 않은 행위 | ||
-(원격데스크톱 설정) 개인정보처리자 PC에 원격데스크톱 방식의 공유설정을 허용한 행위 | ||
-(공용계정) 공용계정의 아이디와 비밀번호를 동일하게 설정한 행위 | ||
-(접속기록) 공휴일, 연휴기간 이후 접속기록의 재분석 등 보안관제 소홀 | ||
처분사유 2 (비밀번호 암호화 조치) | o DB서버, 웹서버 등을 포함한 시스템 비밀번호 관리를 소홀히 한 행위 |
|
①(업무용 PC) 최초 감염 PC에 내부 서버 및 PC 등에 접속할 수 있는 비밀번호*를 평문으로 기록하여 텍스트 파일 형태로 저장 * 해킹에 사용된 inter****를 포함한 다수의 비밀번호 존재 | - 법 §28①4호 - 령 §15④1호 - 고시 §6①항 | |
②(NAS 서버) 사내 전산장비(DB서버, 웹서버 등)의 IP, 비밀번호 등이 기록된 엑셀파일 형태의 패스워드 관리대장과 동 엑셀파일의 비밀번호를 텍스트 파일형태로 평문으로 기록하여 함께 저장 | ||
처분사유 3 (신고 지연) | o 정당한 사유 없이 개인정보 유출사실 이용자 통지 및 신고를 지연한 행위 | - 법§27의3①항 |
'Security_News > 국내보안소식' 카테고리의 다른 글
| Evernote 클라우드 이전에 따른 서비스 사용 장애 공지 (0) | 2016.12.07 |
|---|---|
| [정보통신망법⌋ 개정('16.3.22 공포) 주요 내용 (0) | 2016.12.07 |
| 방통위, ㈜인터파크 개인정보 유출사고 엄정 제제 사항 보도자료 (0) | 2016.12.07 |
| 방통위, 정보통신망법·위치정보법 개정안 의결 (0) | 2016.12.07 |
| 사이버사령부 '뚫렸다', 사상 초유 해킹에 비상 (0) | 2016.12.05 |
