2020년 7월 14일 퀴즈(난이도 2)

※ 신청기관은 온라인 여행업체로 고객센터와 회원제로 운영되는 홈페이지를 운영하고 있다.

---

개인정보관리지침

 

제28조(개인정보의 기술적 보호조치) 개인정보보호법에 따라 개인정보처리시스템의 개인정보 처리에 대한 안전성 확보조치를 위하여 다음 각 호의 방안을 강구하여야 한다.

4. 홈페이지 상에서의 개인정보 노출을 방지

5. 개인정보의 전송 시에 SSL보안서버 등을 적용하여 암호화

6. 인터넷 상의 본인확인 과정에서 주민등록번호 대체 수단 도입

7. 고유식별정보, 비밀번호 등 중요 개인정보는 안전한 알고리즘으로 암호화하여 저장

 

---

고객센터 업무용PC 보안관리지침

 

제20조(접근통제) 고객관리용 업무용PC는 다음 각 호의 단계별 접근통제 정책을 적용하여야 한다. 

1) 운영체제 로그인 패스워드 설정

2) 화면보호기 설정(10분)

3) 개인정보파일을 저장, 보관하여야 하는 경우는 암호를 설정하되, 개인정보관리지침 제28조에 따른 안전성 확보조치를 고려하여 적용

---

1. 적용 가능한 인증 심사 기준은 무엇인지 가장 적절한 것을 선택하시오.

 

심사팀장 : 웹서버는 제대로 확인하셨나요? 문제점이 있던가요?

심사원 : 전산실 내에 위치한 웹 서버의 홈페이지 로그인 페이지를 확인한 결과 홈페이지 메뉴 중, 아이디(ID), 비밀번호를 찾는 메뉴에서 요구하는 이름, 비밀번호 전송 시에 패킷이 암호화되지 않고 개인정보가 모두 평문으로 전송되는 것을 확인했습니다.

 

① 1.2.1 정보자산 식별

② 2.6.1 네트워크 접근

③ 2.6.6 원격접근 통제

④ 2.7.1 암호정책 적용

⑤ 2.7.2 암호키 관리

 

 

2. 적용 가능한 인증 심사 기준은 무엇인지 가장 적절한 것을 선택하시오.

 

심사원 : 고객센터 사무실 내에서 근무하고 있는 상담원 관리자 업무용PC의 보안 통제는 어떻게 하나요?

담당자 : 상담원 관리자의 업무용PC를 재부팅 해보겠습니다. 보시는 바와 같이 운영체제 로그인 패스워드는 설정되어 있었고 화면보호기도 10분으로 설정되어 있습니다.

심사원 : xls, doc, hwp 등 확장자를 갖는 파일을 검색해 주시겠습니까?

담장자 : 탐색기에서 찾아보면 되는거죠?

심사원 : 검색해 보니 올해 1월부터 5월까지 총 5건의 파일(민원내역)을 찾을 수 있었고 파일을 열자 암호 설정 요구 없이 이름, 계좌 번호, 연락처, 민원내역 등을 확인할 수 있었고, 파일 1개당 약 수 백 명의 민원인 목록이 있었습니다. 혹시 DRM 등의 암호화가 적용되고 있나요?

담당자 : 해당 PC는 별도의 암호화가 적용되고 있지 않습니다.

 

① 1.2.1 정보자산 식별

② 2.6.1 네트워크 접근

③ 2.6.6 원격접근 통제

④ 2.7.1 암호정책 적용

⑤ 2.7.2 암호키 관리

 

정답 : 4, 4