개인정보 노출 점검

Download Report

Transcript 개인정보 노출 점검

행정자치부
홈페이지 개인정보 노출방지 주요시책
2007.11
전자정부본부 제도정책팀
- 홈페이지 개인정보노출 상시모니터링 추진배경
대통령님 말씀(’07. 8. 16, 국무회의)
확고한 신뢰를 확보할수있도록 다시한번 전부 전부 점검하고, 각 부처의 정
보보호 시스템에 부실함은 없는지 전문가검증을 실시….
수시로 공공기관 사이트에 대한 불시 점검을 계속해서 정보보호 확실하게
해 주시고, 민간부문도 확실하게 할것
추진배경
이에, 공공기관 홈페이지에 대한 상시 모니터링 및 지속적인 컨설팅 등을
통한 개인정보보호의 인식제고 등을 통하여 개인정보 노출의 사전 방지가
필요
2
개인정보의 노출 및 오·남용 위험 증대
홈페이지를 통한 민원처리, 행정
처분 결과 고시 및 공고, 행정
자료의 공개 등 중가
언론 및 국회등을 통하여 정보보호
관련 문제가 집중적으로 제기
특히, 홈페이지 상의 개인정보 노출 실태
관련하여 지속적으로 언론에 보도
언론보도 내용
41개 공공기관의 홈페이지에서 11,035건의 주민번호 노출(’06.4 동아일보)
노무현 대통령의 주민번호가 인터넷에서 416건 도용(’06.6 MBC)
452개 공공기관의 5,400여건의 개인정보가 노출(’07.1 한겨례)
황당한 개인정보노출(’07.7 KBS)
국민연금공단 홈페이지 개인정보 누출 심각(’07.10 연합뉴스)
중앙행정기관 9곳서 446명 주민번호 노출(’07.18 아이뉴스24) 등
3
- 홈페이지 개인정보노출 상시모니터링 주요내용
개인정보
노출 점검
홈페이지 취약점
점검
원인분석 및
 홈페이지 직접 점검 및 구글(Google) 등의 검색엔진을 활용한
간접점검을 병행하여 개인정보 노출내역을 점검
※ 개인정보 점검내역 : 주민등록번호, 신용카드번호, 여권번호 등
 개인정보의 노출/유출 등의 위험 방지를 위한 홈페이지 취약점 점검
※ 취약점 점검내역(6가지 항목) : 디렉토리리스팅, 파일 다운로드,
파일 업로드, XSS, SQL Injection, 접근통제
방지대책 마련
 모니터링 결과를 기반으로 개인정보 노출내역 등의 원인분석,
해결방안 등 마련 및 컨설팅 수행
사업성과 분석
 상시 모니터링 사업 성과분석
4
- 그 간 추진실적
구 분
대상
개인정보 노출
점검
항목
홈페이지
취약점
개인정보항목
점검일
내 용
700여개 주요기관 및 일반 공공기관
홈페이지 및 구글상의 개인정보 노출 점검
디렉토리 리스팅, 파일 다운로드, XSS, 파일 업로드,
SQL Injection, 접근통제 취약점
주민등록번호
1차 : 2007년 7월 1일 ~ 8월 30일,
2차 : 2007년 9월 1일 ~ 10일 4일
5
그 간 추진실적2
모니터링 결과
점검대상
홈페이지 노출
구글 노출
보안 취약점
기관
Site
기관
Site
건수
기관
Site
건수
기관
Site
건수
1차
결과
721
800
222
234
47,029
115
119
1,379
117
117
153
2차
결과
700
779
83
83
9,184
23
23
62
미시행
모니터링 결과 분석
1차 모니터링 결과 분석
- 기관 유형별 개인정보 노출 위험 수준은 지방자치단체(52.9%), 교육기관
(42.6%, 학교제외), 중앙행정기관(3%), 기타의 순으로 나타남
2차 모니터링 결과 분석
- 기관 유형별 개인정보 노출 위험 수준은 교육기관(69.5%, 학교제외), 지
방
자치단체(19.2%),
기타의
순으로 나타남
※첨부파일(한글,
엑셀 등)에
의한 개인정보의
대량노출이 전체 노출 중 70% 이상을 차지
6
- 홈페이지 상의 개인정보 노출 원인 분석
개인정보 노출 원인
첨부파일에 의한
노출
노출유형
개인정보가 포함된 파일(hwp, xls, doc 등)
게시
업무담당자 부주의
HTML 노출
게시판 게시(답변글 포함) 등
관리자 페이지 노출(인증우회 등)
설계오류
소스코드 상의 개인정보 노출
홈페이지 이용자 부주의
구글(Google) 등의 검색엔진에 의한 노출
개인정보가 포함된 민원자료 게시
홈페이지에 이미 노출된 대부분의 개인정보
7
- 홈페이지 상의 개인정보 노출 원인 분석
(첨부파일에 의한 노출)
개인정보가 포함된 첨부파일(hwp, doc, xls 등)을 여과없이 홈페이지에 게시
- 첨부파일에 의한 노출은 대부분 다수의 개인정보 노출 피해를 야기 함
하나의 첨부파일에 의한 다수 개인정보 노출 화면
8
(첨부파일에 의한 노출)
교사 명단 노출(예시)
9
교사 명단 노출(예시)
10
부적절하게 조최된 첨부파일(예시)
개인정보 내역을 부적절하게 조치한 후 첨부파일 게시
- 엑셀의 숨기기, 수식 기능, hwp, pdf,ppt 등에서의 덧붙이기 기능 등
개인정보 내역의 부적절한 조치 파일
개인정보 노출 화면
감추기 적용
개인정보 노출
토지조서
소유자등록번호
450810--
11
HTML 페이지 노출
이용자 혹은 관리자가 홈페이지에 자료게제 시 HTML페이지(게시판 등)에
개인 정보를 포함하여 게시
HTML 개인정보 노출 화면
시스템 사용 질문에 대한 답변글 작
성
답변내용
질문사항은
최영호(471206-
)
질문내용
12
관리자 페이지 노출
관리자에게만 접근이 허용되어야 할 페이지가 인증 과정을 거치지 않아
일반사용자에게 노출되는 유형
※ 관리자페이지의 접근이 일반적이고 일률적일 것이라는 착오에 의한 문제
관리자 페이지 노출 화면
공무원 임용
시험 결과
13
노출 원인
게시판에 민원글 작성시 개인정보를 공개 작성함으로 인한 개인정보가 노출
민원인에 의한 개인정보 노출 화면 1
민원인에 의한 개인정보 노출화면 2
업무처리 개선 요구
자료검색을 위한 질문
성명 : 조만호
주민번호 :
350221-
환자는 윤여룡
(300228- )
14
- 홈페이지 상의 개인정보 노출 원인 분석
(구글 등 검색엔진에 의한 노출)
구글(Google) 개요
탄 생
어원 : Googol(10의 100제곱 : 무한대의 수)
의미 : 인터넷의 모든뜻을 구글에 담겠다는 의미
탄생 : 레리 페이지(Larry Page)와 세르게이 브린(Sergey Brin)이 개발
특 징
세계 최고의 강력한 성능을 갖는 웹 검색엔진
1일 약 8억 개의 웹페이지를 수집 저장
가장 관련성 높은 결과를 순위 높고 빠르게 제공
국외법인으로 국내 개인정보보호 관련 법의 치외법권
서버의 오류 때문에 접속을 못하실 경우를 대비해서 수집한 웹문서를 저장함
15
(구글 등 검색엔진에 의한 노출)
구글은 주기적으로 정보를 수집하여 자신의 DB에 저장
- 개인정보가 노출된 홈페이지를 구글이 수집함으로써 정보 검색이용시 구글검색
결과에 개인정보가 노출
구글 스니펫에 개인정보 노출 화면
구글 캐쉬DB에 개인정보 노출 화면
구글검색결과 리스트
**사이트에 오신것을
환영합니다.
650120…
구글 캐쉬 DB에 저장
주민등록번호 :
60112-
16
(구글 등 검색엔진에 의한 노출)
17
홈페이지 개인정보노출 방지대책1
단기적 관점
자료게시시 업무담당자의 주의 필요
공개되는 자료 게시시, 자료에 포함된 개인정보는 삭제(혹은 특수문자(*)로의 치환 등) 조치하여 게시함
※ 특히 첨부파일 게시시에는 불완전 조치가 이루어 지지 않았음을 다시 한번 확인(엑셀의 숨기기, pdf의
덧붙이기 등의 옵션)
홈페이지 개발 및 유지보수 시 설계상 오류가 없는지 확인
접근 통제가 옳바르게 구현되었는지 확인(인증우회가 없음을 확인)
소스코드 상에 개인정보가 없음을 확인(특히 주석처리 문구에 대한 확인 필요)
※ 홈페이지 개발 및 유지보수 사업자 선정시 발주기관의 개인정보보호관련 요청 제시 필요
게시판(글쓰기) 이용시 개인정보 작성 방지를 위한 경고 문구 삽입
홈페이지 이용자가 게시판 이용시 “주민등록번호” 등과 같은 개인정보를 등록할시 제 3자에 의하여 피해를 입을수
있다는 경고문구를 공지
※ 개인정보입력이 필요한 경우에는 비밀글쓰기 등을 이용하라는 안내문구 삽입 등
구글(Google) 등 검색엔진에 민감한 정보 노출 배제 및 지속적인 모니터링 수행
홈페이지 상의 민감한 정보가 검색엔진에 노출되지 않도록 Meta tag(필요시 로봇배제표준) 적용
기관 홈페이지 혹은 Google 등에 개인정보가 노출되지는 않았는지 지속적인 모니터링 수행
18
- 홈페이지 개인정보노출 방지대책2
장기적 관점
개인정보 입력 및 노출 방지를 위한 시스템 구축
개인정보의 입력 혹은 노출 등을 방지하기 위한 시스템(필터링 시스템, 웹방화벽 등) 구축ㆍ운영
상시 모니터링 체계 구축
홈페이지 상의 개인정보 노출 여부 및 홈페이지 취약점 존재 유무 등에 대한 상시 모니터링 수행
개인정보보호 관련 인식제고(사회적 공감대 형성)
다양한 교육프로그램을 통한 개인정보보호 관련 인식제고
시민단체ㆍ학회ㆍ언론 등과 합동으로 공청회ㆍ컨퍼런스 등을 개최하여 개인정보보호 사회적 공감대 제고
19
개인정보 보호철저
전자정부 신뢰쑥쑥
제도정책팀 박종각(2100-3543)
[email protected]
20