개인정보보호

컨텐츠 바로가기 기능

상단영역

개인정보보호법 시행에 대비하는 가장 스마트한 방법, 이웃닷컴 학교홈페이지로 지금 대비하세요.

본문영역

  이웃닷컴은 「개인정보보호법」 및 「정보통신망 이용촉진 및 정보보호에 관한 법률」, 각종 고시 및 지침들의 내용을 만족하는 보안정책을 수립·관리·적용하고 있으며, 보다 안전한 학교 홈페이지를 제공해드리고자 노력하고 있습니다.
  이러한 학교 홈페이지 내(內) 개인정보 및 보안에 대한 대책으로 개인정보 내부관리계획 수립 등 관리적 조치를 적용하고 있으며 또한, 개인정보 접근통제 · 암호화 등 기술적 조치, 개인정보 보관장소의 출입통제 등 물리적 조치를 취하고 있습니다. 보다 안전하고 신뢰있는 학교 홈페이지를 서비스해드리기 위한 이웃닷컴의 개인정보 보호 및 보안에 대한 주요 사항을 안내드립니다.

1관리적 보호 조치

㈜이웃닷컴의 개인정보 내부관리계획 수립 완료 및 운용

  • 2011년 9월 ISO/IEC 20000 지식경제부 시범 사업 대상자로서, ITSM 체계 절차서 중 「정보 보안 절차서」에 개인정보 내부관리 계획을 준용하여 실제 업무에 적용·운용 중입니다.

지식경제부 산하 한국인정원 ITSM 도입 사례(이웃닷컴)의 유인물 및 PT모습

<지식경제부 산하 한국인정원 ITSM 국제 세미나의 도입사례 발표(이웃닷컴) : 유인물 및 프레젠테이션>
2011.09.28 / 한국인정원 / 웨스턴 뉴서울 호텔

내부 임직원의 개인정보 보호교육 참여

  • 행정안전부 주관 한국인터넷진흥원(KISA)의 개인정보보호 전문/일반 교육 수료
  • 2010년 12월~2011년 10월 현재, 총 7명 교육수료 (전문교육 3명 / 일반교육 4명)

행정안전부 주관, 한국인터넷진흥원(KISA) 주최, 개인정보보호 전문/일반교육 수료

<행정안전부 주관, 한국인터넷진흥원(KISA) 주최, 개인정보보호 전문/일반교육 수료>
2010.12 ~ 2011.10 / 2011.10.17 현재 총 7명 수료

「회원가입 항목의 선택 및 표출」 기능 적용 완료

  • 2010년 8월, 회원가입 시 수집되는 회원의 개인정보 항목을 선택할 수 있는 기능 적용
  • 학교의 운용 방침에 따라 조절 가능

회원가입 항목의 선택 및 표출 기능 적용

<회원가입 항목의 선택 및 표출 기능>
2011.08 업그레이드 반영분

개인정보 접근 통제

  • ㈜이웃닷컴의 개인정보 내부관리 계획에 따라, 개인정보 취급 시스템의 접근 통제를 관리·운용 중임.

개인정보 내부 관리계획

< (주)이웃닷컴의 개인정보 내부 관리계획>
2011.09 적용

2기술적 보호 조치

암호화 알고리즘의 적용

  • AES 암호화 알고리즘의 적용
    (AES : Advanced Encryption Standard / 국제 표준 암호화 알고리즘으로서 대표적 대칭형 암호 알고리즘)
  • User의 비밀번호에 단방향 암호화 적용완료
    (개인정보보호법의 필수 기준 충족-단방향/일방향 암호화, 해쉬함수)

고급 암호 표준 | Advanced Encryption Standard

고급 암호 표준(AES, Advanced Encryption Standard)은 미국 정부 표준으로 지정된 블록 암호 형식으로, 이전의 DES를 대체하며, 미국 표준 기술 연구소(NIST)가 5년의 표준화 과정을 거쳐 2001년 11월 26일에 연방 정보 처리 표준(FIPS 197)으로 발표하였다. 2002년 5월 26일부터 표준으로 효력을 발휘하기 시작하였으며, 현재는 국제 표준 암호화 알고리즘으로 사용된다. 유사 알고리즘 중 SEED는 AES와 흡사하며 대한민국에서 개발한 블록 암호 형식이다.

SSL 보안서버의 적용

  • SSL 보안서버(Secure Sockets Layer) 적용 및 2009년12월 행정안전부 SSL 보안서버 구축사업단 테스트 통과
  • 전세계 최초로 SSL인증서를 제작한 thawte사(社)의 SSL 보안서버 인증서 적용
  • 웹 브라우저 지원시 최고 256Bit의 암호화 가능(기본 : 128Bit)

SSL | Secure Sockets Layer

SSL protocol은 connection-oriented network layer protocol (e.g. TCP/IP)와 Application protocol layer (e.g. HTTP) 사이에 위치하는 Protocol Layer 상에서 상호 인증, 무결성을 위한 전자 서명의 사용, privacy를 위한 암호화 등을 이용하여 클라이언트와 서버간의 안전한 통신을 제공한다. TCP/IP 프로토콜, 즉 일반적인 웹 프로토콜 자체는 제 3자의 도청(eavesdropping)에 거의 무방비이며, 이로인한 스누핑이 발생되는데, 개인 PC와 Server 사이의 정보가 송수신되는 구간을 공개키로 암호화하기에, 중간에 정보가 유출되어도 복호화를 하기가 매우 힘들기 때문에 개인정보 및 보안을 위하여 전자상거래 등에 적용되고 있다.

공공 I-PIN의 적용

  • 가상대체주민번호 체계인 행정안전부 공공i-PIN 적용(희망학교)
  • 개인정보 보호 체계 확산을 위하여 학교 희망시 무상 탑재·적용 (2009년 12월 부터)
  • 웹 브라우저 지원시 최고 256Bit의 암호화 가능(기본 : 128Bit)

i-PIN | Internet Personal Identification Number

아이핀은 인터넷 개인 식별번호(Internet Personal Identification Number)의 영문 머리글자를 따 만든 용어 이다. 웹사이트에 주민등록번호 대신 이용할 수 있는 사이버 신원확인번호로서 인터넷 상에서 주민등록번호가 무단으로 유출되어 도용되는 부작용을 막기 위해 만들어진 서비스이다.

<아이핀과 주민등록번호 실명확인과의 비교>
구분 아이핀 인증 주민등록번호 실명확인
검증방법 주민등록번호 실명확인 및 신원확인 주민등록번호 실명확인
주민등록번호 저장 웹 사이트에 저장 안됨 개별 웹 사이트에 저장
(근래에는 저장 안하는 추세 /
이웃닷컴은 원래 안함)
유출위험 주민등록번호 외부노출 가능성 낮음 주민등록번호 외부 노출 가능성 높음
사용방법 신원확인 후 본인확인 기관에서 아이핀 발급
웹사이트 본인확인 시 아이핀 ID/PW 사용
웹사이트 본인확인 시 주민등록번호 사용

검색엔진차단 Bot 설치

  • 검색엔진 크롤링봇(CrawlingBot / SpideringBot)을 차단하는 국제 표준 기법 적용
  • 크롤러는 조직적/ 자동화된 방법으로 월드 와이드 웹을 탐색하는 프로그램으로 앤트(ants), 자동 인덱서(automatic indexers), 봇(bots), 웜(worms), 웹 스파이더(web spider), 웹 로봇(web robot)등으로 불립니다.
  • 이러한 크롤링 봇은 검색엔진에 더 확실하게 노출이 되도록 유익하게 활용을 할 수 있으나, 공공기관의 경우, 행정/민원관련 컨텐츠의 개인정보 유출이 우려 되는바, 교육과학기술부(구:교육인적자원부)의 공문에 따라 크롤링 봇 차단을 적용하였습니다.

Robots exclusion standard

The Robot Exclusion Standard, also known as the Robots Exclusion Protocol or robots.txt protocol, is a convention to prevent cooperating web crawlers and other web robots from accessing all or part of a website which is otherwise publicly viewable. Robots are often used by search engines to categorize and archive web sites, or by webmasters to proofread source code. The standard is different from, but can be used in conjunction with, Sitemaps, a robot inclusion standard for websites.

Open Source 웹 취약점 점검툴을 통한 솔루션 취약점 점검

  • ㈜이웃닷컴은 계속적으로 발전과 진화를 하고 있는 다양한 웹취약점을 식별하고, 식별된 취약점을 보완하기 위하여 지속적인 노력을 하고 있습니다.
  • Open Source 진영의 Nikto Tool과 OSVDB(Open Source vulnerability Database)을 수시로 활용하며,
  • 한국정보통신기술협회의 Testbed Lab에서 세계 정상의 웹취약점 점검툴인 IBM의 App Scan™ 을 지원받아 이슈발생시 Lab 지원 후 취약점 테스트를 진행하고 있습니다.
  • 아울러, 대표적 웹취약점 리스트인 「OWASP Top 10」를 참고하여 Secure Service를 실현하고자 노력을 하고있습니다. (OWASP : The Open Web Application Security Project / ver.2010,2007,2004)

Open Web Application Security Project | OWASP TOP 10

OWASP(The Open Web Application Security Project)는 국제 웹 보안 표준 기구이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표하였다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년을 기준으로 발표되었고, 문서가 공개되었다.(http://goo.gl/kcY7I)

Top Ten Overview (2010)

  1. A1: Injection
  2. A2: Cross-Site Scripting (XSS)
  3. A3: Broken Authentication and Session Management
  4. A4: Insecure Direct Object References
  5. A5: Cross-Site Request Forgery (CSRF)
  6. A6: Security Misconfiguration
  7. A7: Insecure Cryptographic Storage
  8. A8: Failure to Restrict URL Access
  9. A9: Insufficient Transport Layer Protection
  10. A10: Unvalidated Redirects and Forwards

3물리적 보호 조치

개인정보 보관장소의 출입 통제

  • 현재 제공중인 서비스는 ㈜효성 ITX의 CDN IDC(Internet Data Center)에 Server를 입주하여, 운영중이며 IDC의 경우 국가의 IDC 가이드에 따라, 출입통제가 여러 단계에 걸쳐 이루어집니다.
  • 물리적으로 폐쇄되어 있는 Server Room에 입실하기 위해서는 개인 신분증을 제출하여, 본인확인을 거친 뒤, 시건 장치가 장착된 개폐문을 통과하여야 합니다.

IDC의 물리적 보호조치 : FMS(Facility Management System)

<IDC의 물리적 보호조치 : FMS(Facility Management System) >
24시간 통합 모니터링 관리 시스템

IDC의 물리적 보호조치

<실제 IDC의 물리적 보호 기기 및 구조 >

상단으로

하단 영역

이웃닷컴