14. 개인정보 운영센터

 

◎ 개인정보 운영센터(POC)

개인정보 운영센터의 필요성

개인정보 운영센터(POC,Privacy Operation Center)란 기업의 주요 정보를 취급하거나, 고객들의 개인정보를 취급하는 시스템에 접근할 수 있는 관리적, 기술적, 물리적 접근 경로를 일원화하여 체계적으로 통제∙관리하는 형태를 말한다. POC는 IT분야에서의 정보 및 개인정보유출 가능성을 원천적으로 차단하여, IT운영 업무의 투명성 및 신뢰성을 확보하는 효과를 가진다.

 

국내 최근 3년간 보안 사고의 36% 이상이 외부인이 아닌 전∙현직 내부 직원에 의한 것으로, 내부정보 유출은 신뢰도 저하 및 상당한 피해를 초래할 수 있기 때문에 최근 기업들은 내부정보 유출방지 및 데이터 보안에 더욱 촉각을 곤두세우고 있다.

 

기업의 중요 정보시스템에 대한 접근을 관리하는 POC의 구축은 정보자산의 내부유출 및 외부 침해사고에 대응할 수 있는 하나의 방향이 되고 있다.

POC 도입 시 장점

• 정보의 기밀성∙무결성을 보장
• 대외 신뢰도 향상을 도모하여 기업 정보의 보안수준을 향상
• 기업 경쟁력의 핵심인 중요정보의 대량유출 및 오남용 사전방지
• 고객정보관련 업무를 수행하는 담당자들의 보안의식 고취 및 제고에 효과

 

 

◎ 개인정보 운영센터(POC)의 구축

POC는 고객의 개인정보가 통합 관리되므로, 다른 어떤 조직보다 최상위 수준으로 물리적, 관리적, 기술적 보안조치가 이루어져야 한다. POC를 물리적으로 인터넷과 분리하여 운영함으로써 외부에 의한 해킹을 원천적으로 방지할 수 있는 것이 한 예다.

 

○ 물리적 보안

구분	주요내용
인적출입통제	• 비보호구역, 제한통제구역은 물리적으로 분리 • 출입인증시스템 등 자동화된 출입인증시스템 적용 • 불필요한 출입문, 유리창 폐쇄 또는 시건장치 부착 • 24시간 365일 출입보안요원 상주
미디어 반출입 통제	• 문형 금속 탐지기, 핸드 스캐너를 통한 반출입 검색 • 보안 스티커를 통한 매체 봉인 (반입이 인가된 휴대전화, 저장매체 등의 인터페이스) • 시건장치가 부착된 사물함을 통해 반입금지품목 보관
출입감시	• 내외부로부터 침입, 반출입 모니터링을 위해 주요 출입구, 유리창 CCTV 설치 • 주요 출입구, 유리창 사각영역 폐쇄 • 출입기록 검토를 위해 출입내용을 기록 관리하는 자동출입관리 시스템 설치 • 출입감시시스템 영상정보 접근통제 적용

○ 기술적 보안

구분	주요내용
PC/문서 보안통제	• POC 내에서 사용되는 모든 PC는 POC PC 보안정책을 따라야 함 • PC봉인, 기타 보안솔루션 적용, PC 반출 시 포맷(재생 불가능한 포맷방법)
네트워크 접근통제	• POC 내에서는 승인된 시스템 및 영역으로의 접근만 허용 • 고정 IP 사용 및 IP 변경이 불가능하도록 보안솔루션 적용 • 외부망 접근 필요시 신청을 통해 보안성 검토 및 승인 후 접근 기능
기타	• 바이러스 백신프로그램, NAC(Network Access Control) 등

○ 관리적 보안

구분	주요내용
근무인력 통제	고객정보와 관련된 업무를 파악, 관련 근무자 중 최소한의 근무자만 POC에 출입하여 고객정보 유출을 원천적으로 차단함
업무운영 프로세스 통제	출입, 반출입, 근무신청, 내/외부망 접속 신청, 메신저 접속 신청, 보안통제 변경/적용 신청 등 각종 업무프로세스를 통한 운영 통제

 

 

◎ POC의 PC 보안정책

• 문서보안, PC보안, CIAS, V3, NAC 등의 보안솔루션 설치를 하거나 적용
• 할당된 POC 전용 고정 IP를 사용
• POC 전용 PC에서는 인가된 고객정보영역 외 외부 인터넷망 및 사내 인트라넷 등으로의 접근을 차단
• POC 내에서 사용되는 PC의 관리책임은 사용자 본인에게 있음
• PC에 설치 또는 부착된 하드웨어를 임의로 변경, 추가설치, 제거 등을 금지
• 모뎀, 착탈식 디스크, USB 하드 및 메모리 스틱 등의 통신장비, 저장기기 및 매체를 임의로 설치하거나 이용을 금지
• POC의 정보시스템을 침해하거나 우회할 수 있는 프로그램을 PC에 임의로 설치하는 행위를 금지
• 모든 사용자는 인가된 업무상의 목적을 위해서만 PC 및 PC 내의 정보를 사용
• POC에서 사용되는 PC는 타인이 추측하기 어려운 패스워드를 사용

+ 패스워드 관리정책

구 분	내 용
패스워드 관리정책	• 문자, 숫자를 조합하여 최소 8자리 이상으로 한다. • 동일한 문자 또는 숫자의 3자 이상 금지한다. • 사용자 ID와 동일한 패스워드 금지한다. • 생년월일, 전화번호, 이름 등과 동일한 패스워드 금지한다. • 주기성 문자를 포함한 패스워드 금지한다. • 패스워드는 최대 1개월 주기로 변경한다. • POC 내 모든 업무용 PC는 화면보호기(10분)를 설정한다.

 

◎ POC의 네트워크 보안정책

• 고객시스템으로의 접근은 POC 내에서만 허용하는 것을 원칙으로 한다.
• POC 영역은 외부 인터넷, 인트라넷 등의 접근이 차단된 POC 전용망을 사용해야 한다.
• 업무상 불가피하게 고객정보 외 외부망 접근이 필요한 경우 외부망 접근 신청서를 통해 해당 업무 부서장 및 POC 보안관리자의 승인을 얻어 접근할 수 있다.
• POC영역과 외부영역 간 데이터송수신이 필요한 경우 POC 운영관리시스템 및 인가된
  송수신 방법을 이용해야 한다.
• POC보안관리자는 해당 시스템을 통해 송수신된 데이터이상 유무를 정기적으로 감사하여 POC보안책임자에게 보고해야 한다.
• POC 출입, 근무자 및 유관 인력은 보안취약점 발견 시 이를 악용해서는 안 되며, 지체없이 POC 보안관리자에게 해단 내역을 보고해야 한다.
• 인가되지 않은 정보자산으로의 접근을 시도하거나, 보안정책을 우회해서는 안된다.

 

◎ POC의 내의 업무 보안정책

• 고객정보의 출력은 최소한으로 이루어져야 하며, 출력 즉시 회수하고 불필요한 문서는 문서 세단기를 통해 파쇄해야 한다.
• 고객정보관련 서류 및 기타 자료를 근무자 책상에 방치해서는 안 되며, 보관이 필요할 경우, 시건장치가 부착된 공용 서류함에 보관해야 한다.
• POC 내 업무수행을 위해 할당 받은 전용 PC를 사용하여 업무를 수행함을 원칙으로 하며, 할당된 고정 IP를 임의로 변경해서는 안 된다.
• POC 근무자는 본인 PC에 화면보호기를 설정하고 윈도우, 문서보안, 사내 메신저 등의 각종 패스워드가 노출되지 않도록 관리해야 한다.
• POC 근무자, 출입자는 출입 시 휴대전화 봉인, 기타 반출입 금지품목 등의 신고 및 보안통제가 누락 또는 적절히 적용되지 않는 경우, 출입 보안요원에게 보안 스티커 부착 등의 보안통제가 정상적으로 적용되지 않는 사항은 보안통제 위반으로 간주된다.