원문:    http://blog.ahnlab.com/ahnlab/1320

안철수연구소의 블로그에서 제안하는 개인정보보호 5대 체크리스트를 소개합니다.

개인정보보호 5대 체크리스트 

1.  동일한 사용자 계정과 패스워드를 여러 사이트에서 이용하지 말 것 

동일한 계정을 여러 인터넷 사이트에서 사용하는 것은 피하는 것이 좋다. 동일한 계정을 사용하는 개인을 추적해 사생활을 까발리는 ‘신상털기’는 이미 ‘개*녀’ 사건 등으로 널리 알려진 바다. 아이디만 해도 그런 위험이 있을진대 패스워드까지 동일하다면 그 위험은 말할 나위가 없다. 또한 어떤 패스워드든지 최소 6개월에 한 번 바꿔주는 것은 기본이 되겠다.  
  문제는 다양한 계정과 패스워드를 기억할 수 없다는 것입니다.  ^^  사람의 기억력에 한계가 있다는 것이지요..  다양한 계정을 사용하는 상황에서  패스워드를 변경했는데  기억이 나지 않는다면…  ㅋㅋ  패스워드 변경후에  기억이 나지않아서 곤혹스러워했던 경험들이 한번쯤을 있으시죠?  또 어렵다고 해서 적어 놓거나 하면  또 다른 위험이 발생할 수 도 있구요..  그래서  중요도에 따라  계정을 다르게 사용하는것이 현실적입니다. 자신만 아는 계정 사용규칙을 개발해보세요  ^^

2. 패스워드는 영문소문자, 대문자, 숫자, 특수문자 등을 조합하여 8자리 이상으로 설정할 것 
해킹을 막기 위한 성공요소는 ‘해커를 얼마나 짜증나게 하느냐에 달려있다’라는 말도 있다. 
패스워드를 설정할 때는 8자리 이상으로 설정하는 습관을 들이자. 
     패스워드를 길고 복잡하게 사용하는 것은 가장 간편하면서도 효과가 좋은 보안대책입니다.  패스워드(password)보다 패스구문(passphrase)을 사용하시면 매우 효과적입니다. 재미있는 사투리 문장을 passphrase로 사용하면  나는 쉽게 입력이 가능하지만 해커입장에서는 난공불락의 복잡한 패스워드가 되는 것이지요…  

3. 법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하지 말 것 
정통망법 22조는 정보통신서비스 제공자가 이용자로부터 개인정보를 수집할 때 다음 3가지 
사항에 대해 별도 동의를 받도록 규정하고 있다. ‘개인정보보호법’은 기존 사항에 더하여 
‘이용자의 거부권에 대한 명시’가 추가되어 있다.

[1] 개인정보의 수집ㆍ이용 목적
[2] 수집하는 개인정보의 항목
[3] 개인정보의 보유ㆍ이용 기간 

온라인 사이트에서 경품이벤트 등을 할 때 회원이 아닌데도 경품 배송 시 연락처가 필요하다는 
이유로 동의절차 없이 개인정보 입력을 요구하는 경우를 보곤 한다. 이런 경우엔 불법수집이므로 
응하지 않는 것이 바람직하다. 표현 그대로 ‘법적 절차가 있는 경우’를 제외하고는 개인정보를 제공하지 않는 것이 최선인 것이다.

4. 개인정보를 제공할 때는 내가 필요한 목적 하에서 최소한의 정보만 제공할 것 
정통망법 제23조는 서비스제공을 위하여 필요한 최소한의 정보를 수집하여야 하며 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다.’라고 밝히고 있다. 필수항목만 입력하고 웬만하면 선택항목은 넣지 말자. 만약 선택항목과 필수항목의 구분을 해놓지 않았거나 선택항목을 입력하지 않았다고 서비스 제공을 거부한다면 그 업체는 법을 위반한 것이니 당당하게 권리를 요구하자.

5. 개인용 정보기기에 대해 적극적으로 보호할 것 
집에 있는 컴퓨터나 노트북, 스마트폰 등 개인기기에 저장한 정보의 보안은 본인이 책임져야 할 부분이다. PC에 백신을 설치하고 중요한 자료는 패스워드를 걸어서 보관하는 정도는 꼭 지켜주자. 분실의 우려가 높은 스마트폰이라면 더욱 신경 쓸 필요가 있겠다. 귀찮더라도 패스워드를 설정하여 사용하고 스마트폰에 다운받아 사용한 정보(문서, 메일 등)는 최대한 빨리 삭제하는 편이 안전하다.

   회사내의 보안정책 및 절차서 들이 잘 정리되어 있고, 갖가지 값비싼 보안시스템이 도입되어 운영되고 있다 하더라도 실제 현장에 이루어지는 보안 수준은 기대에 훨씬 못미치는 경우가 있다. 외형적으로는 보안이 잘 되는 것 같지만 보안의 실효성이 떨어진다면 언제 사고가 날지 불안할 수밖에 없다. 이러한 원인은 경영자와 보안관리자, 직원들이 보안에 대해서 느끼는 온도가 다르기 때문이라고 생각한다. 모든 임직원이 보안에 대해 느끼는 온도가 같다면 어떤 보안시스템을 도입하는 것보다 더 좋은 정보보호 효과를 거둘수 있을 것이다. 보안을 통해 무엇을 하려고 하는지 서로 이해하고 같은 방향을 바라보며, 같은 온도로 느껴야 원하는 결과를 얻을 수 있을 것이고 힘도 덜 들게 된다. 이렇듯 보안의 온도차를 없애는 방법으로 보안관리자가 염두에 두어야 할 몇 가지를 살펴보면 다음과 같다.

    첫째, 보안관리자는 책상에서 보안을 해서는 안된다. 현장의 생 소리에 귀를 기울여야 하는 것이다. 사람들의 핑계라고만 생각하지 말고 뭐가 불편한지 알아보고 어떻게 보안 절차가 이행되고 있는지 살펴봐야 한다. 현장에서 직접 지켜보면 애써 구축해 놓은 보안시스템이 쉽게 허물어져 있는 것을 알 수 있다. 사실 대부분의 보안 솔루션에는 취약점이 있다. 직원들이 설마 이런 것까진 모르겠지 하는 것들도 알고 있다는 사실을 인식해야 한다, 중앙 관제 모니터에 뜬 보안온도와 현장에서 직접 마주치는 보안 온도가 많이 다를 수 있는 것이다. 현장의 보안 온도를 감지하고 직원과 소통하는 것이 매우 중요하다.

   둘째, 보안관리자는 서비스마인드로 무장해야 한다. 사용자를 의심하고 통제하려고 한다는 그 어떤 잠재적인 표현도 해서는 안되고 스스로도 절대로 그런 생각을 해서는 안된다고 본다. “보안은 비즈니스 성공초을 지원하기 위한 것이다”라는 대전제를 잊어서는 안된다. 그래서 보안관리자는 어떤 서비스 부서의 직원보다 친절해야 한다.

   셋째, 보안관리자는 얼리어답터가 되어야 한다. 위험=자산*취약성*위험이라고 한다. 스마트워크를 지원하는 스마트폰이 대중화되고, 클라우드 기반의 각종 서비스들이 등장하고 있는 것과 비례해 새로운 취약성과 위협이 함께 발생하고 있다. 이 때문에 보안관리자에게 새로운 것은 그다지 반갑지 않는 것이라고 할 수 있다. 하지만 보안관리자는 새로운 것에는 눈과 귀가 열려 있어야만 한다. 스마트폰을 사용하지 않고 있는 보안관리자는 빨리 사용하길 권고하고 싶다. 스마트폰을 사용해 보면 변화되는 정보의 흐름을 직접 체감할 수 있게 된다.

   마지막으로 하고 싶은 말은 보안관리자는 돌다리도 두들겨보고 건너야 한다는 것이다. 새로운 기술에만 현혹되어서는 안될 것 같다. “안정성 보장이 보안의 생명”이라는 원칙을 잊어서는 안된다. 새로운 기술과 더 많은 서비스를 제공하려다가 사용자 불편과 서비스장애 또는 정보 유출사고가 초래된다면 잘 항해하던 ‘보안호’가 좌초될 수 있음을 명심해야 한다.

▶ 효과적인 정보보호 정책 구현을 위해 필수적인 것 ?

  조직들은 단순히 다른 조직의 정보보안 정책을 모방한 후 조직의 이름만 바꿔 결과 문서를 발표하고는 한다. 이는 보안 정책의 수립 및 공표 여부 확인만을 우선적인 목표를 두고 있는 일부 감사원들은 만족시킬 수는 있을 것이다. 그러나 장기적인 측면에서 이것은 결코 제 역할을 할 수가 없다. 이것은 결국 보안의 겉치레일 뿐, 실제가 아니기 때문이다. 이보다는 공식적인 위험 관리의 일환으로써 규칙적인 위험 사정을 수행해야 한다.
  위험 평가(risk assessment)은 조직이 직면하고 있는 고유의 위험들을 명확히 드러내준다. 이후 이러한 고유의 위험들을 문제의 조직에 효과적인 조건들로 맞춰진 정보보안 정책으로 해결해야만 할 것이다. 나는 지금 조직이 종속된 법률이나 규제 사항에 대한 단순한 반응 이상의 것을 말하고 있는 것이다. 즉, 정보보안에 어떤 일이 벌어지고 있는지에 관해 명백한 그림을 경영진에게 제공해주는 규칙적인(이상적으로는 연간) 프로세스에 관해 말하고 있는 것이다. 위험 평가 리포트에 나타나는 이 명백한 그림을 통해 경영진은 리소스들이 어디로 가야하는지, 어떤 문제에 좀 더 관심을 기울여야 하는지, 어떤 프로젝트가 수립되는지 등에 관해 가장 훌륭한 결정을 내릴 수 있게 될 것이다. 따라서 위험 평가야말로 최적화된 정보보안 정책 작성에 길잡이가 될 수 있다 할 것이다.

▶ 기업의 정보보호에 가장 심각한 위협이 되는 것은 ?

  우리가 직면하고 있는 가장 심각한 위협은 바로 정보보호에 대한 경영진의 인식 부족이다. 경영진과 결정권자로서의 그들의 위치는 종종 위험을 실제적으로 이해하지 못하게 하기 때문에 그들은 정보보호에 충분한 관심과 리소스를 쏟지 않는다. 결과적으로 심각한 문제들이 계속해서 발생하고 이러한 문제들은 현재 취해놓은 대응책들의 결함을 계속해서 강조하게 된다. 정책은 인식의 수준을 높이는 가장 중요한 방법 중 하나다. 정보보호 정책은 모든 직원들이 참여해야하는 인식 프로그램의 요건 사항을 정의할 뿐만 아니라 경영진이 선택한 위험 수준을 명백히 설명한다. 특히 이러한 명백함은 경영진이 처음부터 어느 정도의 위험을 수용하는 것에 대한 찬반양론을 이해하기 위해 시간을 가졌을 경우에만 필연적으로 확보할 수 있다.

▶ 기업 보안 정책과 관련해 경영진의 역할은 ?

  언스트앤영(Ernst & Young)의 연구 결과에 따르면 정책의 명료화와 기타 정보보호 컴플라이언스에 대한 투자는 100%에서 1,000%의 ROI(return on investment)를 가져오는 것으로 나타났다. 낭비할만한 자금의 여유가 없는 요즘, 기업의 정보보호 정책 구축은 정보보호 비용 감소 등 많은 이익을 가져온다.  그러나 최고 경영진은 너무 바쁘기 때문에 정보보안 정책을 작성하기 어렵다. 경영진의 역할은 적합하게 훈련되고 자격을 갖춘 사람들이 이러한 문제를 처리하고 있는지 확인하는 것이다. 이어 이들의 작업에 대한 지원 또한 최고 경영진들의 몫이다. 정보 자산을 포함한 자산을 보호하는 책임은 궁극적으로 최고 경영진의 몫이다. 그러나 수많은 기업들이 아직까지 정보보호와 관련해 최고 경영진이 무엇을 해야 하는지 파악하지 못하고 있다.

▶ 안전한 정책(Sound policy)의 기본은 ?

  좋은 시스템 설계의 가장 기본적인 측면들 중 하나는 요건 사항을 분명히 하는 것이다. 정보보호 정책과 관련해 오늘날 많은 업체들은 여전히 그들이 무엇을 하고 있어야만 하는지에 대해 뚜렷하게 알지 못하고 있다. 또한 무엇을 하고 있어야만 하는지 모르는 것과 마찬가지로 자신의 조직을 적절히 보호하지 못하는 시스템을 만든다. 이 외에도 감사와 컴플라이언스 체크 등과 같은 기본들도 잘 지켜지지 않고 있다. 또한 경영진이 강요하지 않는, 또는 관심을 기울이지 않는 정책은 오히려 역효과를 가져온다.

▶ 정보보호 정책이 실제 조직에 적용되는데 있어 가장 큰 어려움은?

  개인적인 생각도 그렇지만 여러 조사의 결과들에 따르면 필요한 것을 하기 위해 충분한 투자를 하는 것이 가장 어려운 점으로 드러났다. 특히 현재의 경제적 어려움이 이 분야를 더욱 악화시키고 있다. 경기 침체 상황이라고 해서 인터넷상의 맬웨어 프로그램이 감소한다거나 인터넷 기반 신용카드 사기에 관련된 범죄 조직의 활동 등이 감소하는 것은 아니다.

▶ 한국 기업 내에는 아직 기업의 정보보호 정책에 대한 제언

  무언가를 얻으려면 다른 것을 포기해야만 한다. 만일 세계 최대 금융 업체들 중 하나의 증권거래인이 되고 싶다면, 그것을 직업으로 삼고 싶다면 마지못해서라도 어느 정도의 감시를 수용하게 될 것이다. 이러한 감시는 온당한 것이다. 특권과 권한에는 대가가 있기 마련이며 감시와 어느 정도의 프라이버시 침해가 바로 그러한 대가인 것이다. 보안과 프라이버시는 때로는 상충되기도 하고 때로는 조화를 이루기도 한다. 이러한 점을 비롯해 여러 가지 충돌을 해결하고 적절한 균형을 잡아 특정한 조직의 요구(need)를 고유의 방법으로 반영하는 것이 바로 CISO(chief information security officer : 정보보안 담당이사)의 역할이다.

전자책 보기  http://www.boho.or.kr/etc/library/ebook001/viewer.html

쉽게 만들어져 있으며  만화까지 곁들여져 있어서 보안 교육자료로 쓰시기에 매우 유용할 듯합니다.
페이지 상단의  프린트 버튼을 누르시면  해당 페이지를 출력할수 있게 만들어져 있더군요..
부분적으로 사내에 게시판에  교육용으로 부착해두셔도 매우 좋을 것 같습니다.