카테고리 없음

SK쉴더스 성동캠퍼스 2기 클라우드 보안 컨설팅 실무 Day 3: 클라우드 서비스 이용자를 위한 보안 컨설팅

news6001 2024. 12. 19. 17:00

간략 흐름도

지원자 -> 신입학 지원 -> 대학홈페이지 -> 종합정보시스템DB -> 파일 서버(백업) -> 10년 지원자(정보)

합격자 -> 증빙서류 제출 -> 입학처 -> 서류철 -> 20년(입시관련 서류)

 

개인정보를 수집하는 경우 법률에 근거하거나 정보주체의 동의를 받고 있는가? Y

수집근거에 보면 정보주체 동의를  알 수 있다.

개인정보를 수집하는 경우 목적에 필요한 최소한의 범위에서만 수집하는가 Y

입시업무에 필요한 최소한의 범위에서 개인정보를 수집하고 있음.

 

주민등록번호는 법적 근거가 있는 경우에 한하여 수집하고 있는가? Y

 

고등교육법

시행령 73

 제73조(고유식별정보의 처리) ① 교육부장관(제4조의10에 따라 교육부장관의 업무를 위탁받은 자를 포함한다), 대학의 장 및 학교협의체는 다음 각 호의 사무를 수행하기 위하여 불가피한 경우 「개인정보 보호법 시행령」 제19조제1호에 따른 주민등록번호 또는 같은 조 제4호에 따른 외국인등록번호가 포함된 자료를 처리할 수 있다.  <개정 2013. 3. 23., 2017. 6. 20., 2018. 12. 18., 2019. 10. 22., 2022. 2. 28., 2024. 2. 20.>

1.  제11조의3제1항에 따른 교육통계조사에 관한 사무

2.  제34조제1항에 따른 학생 선발에 관한 사무

3.  제34조제3항에 따른 시험에 관한 사무

3의2.  제34조의2제3항에 따른 입학사정관의 학생 선발 업무 배제에 관한 사무

4. 제42조의2에 따른 입학지원방법 위반자의 처리에 관한 사무

② 학교의 장은 「교육기본법」 제16조제2항에 따른 학적부 작성ㆍ관리 등 교육의 과정 기록에 관한 사무를 수행하기 위하여 불가피한 경우 「개인정보 보호법 시행령」 제19조제1호에 따른 주민등록번호가 포함된 자료를 처리할 수 있다.

 

개인정보의 보유기간을 법령 기준 및 보유목적에 부합된 최소한의 기간으로 산정하고 있는가? P

 

대학기록물 보존기간 책정기준에서 신입생 선발엄무의 공정성과 투명성 증빙을 위한

보유기간은 10년으로 규정하고 있다

 

개인정보를 제3자에게 제공하는 경우 법률에 근거하거나 정보주체의 동의를 받고 있는가? Y

 

대행사에서 수집근거로  정보주체 동의를 받고 있다.

 

개인정보처리시스템에 대한 개인정보취급자의 권한을 조회, 입력, 변경, 삭제, 출력, 다운로드 등 그 역할에 따라 최소한으로 부여하고 있는가? N

 

합격자 조회 후 엑셀로 다운로드 한다고 하였는데, 합격자 외 다른 학생들도 조회해서 다운로드 할 수 있다.

개선사항으로는 다른 학생들의 조회를 못하게 하고 관계자만 다운로드 하며

그 다운 기록을 로그에 저장 시키고 별도의 DB에 보관한다.

 

고유식별정보, 바이오정보, 비밀번호 등 중요 개인정보를 저장하는 경우, 안전한 방식으로 암호화 저장하고 있는가? N

 

AES-256 알고리즘을 사용하여 불합격자 데이터를 암호화 저장.

MD5 해시 암호 알고리즘 해시값이 짧기에 안전하지 않은 암호 알고리즘

해시 충돌성

29(안전조치 의무):

개인정보처리자는 개인정보를 안전하게 관리하기 위해 기술적,

관리적 조치를 의무적으로 취해야 합니다.

시행령 제30:

암호화를 통해 개인정보가 유출되더라도 쉽게 식별되지 않도록 해야 함.

 

고유식별정보, 바이오정보, 비밀번호 등 중요 개인정보를 정보통신망을 통해 송ㆍ수신하거나 보조저장매체 등을 통해 전달하는 경우 암호화하고 있는가? N

 

은행으로 주민등록번호가 포함된 파일을 이메일로 전송하고 있으며 전송 시 암호화 조치를 적용하고 있지 않음.

 

개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하고, 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책을 마련하고 있는가? N

 

개인정보의 안전성 확보조치 기준

10(물리적 안전조치)

① 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립ㆍ운영 

별도의 보관장소를 마련해야한다.

② 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관

아니요. 저기 보이는 수납장에 모아놓고 있습니다.

③ 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책을 마련

별도의 서류를 보관하는 장소를 마련하고 잠금장치를 구축하여 시건하는 대책을 마련한다.

 

클라우드 보안 이슈

1. 클라우드 보안 위협과 사례https://www.lgcns.com/blog/cns-tech/cloud/18395/

 

클라우드 보안 위협CSA 클라우드서비스의 보안위협 현황Tux Care

 

1.불충분한 자격증명, 액세스 및 키 관리2.잘못된 설정과 부적절한 변경관리3.안전하지 않은 인터페이스 및 API4.클라우드의 비 가시성5.메타스트럭처 설계 미흡

 

 

 

 

'카테고리 없음'의 다른글

  • 현재글SK쉴더스 성동캠퍼스 2기 클라우드 보안 컨설팅 실무 Day 3: 클라우드 서비스 이용자를 위한 보안 컨설팅

티스토리툴바