인사이트

(긴급)우리 회사는 데이터에 접근 통제·권한 관리를 설정하고 있는지 확인해 보세요.

안녕하세요. 캐치시큐입니다.
기업은 많은 고객의 개인정보를 수집 및 보관하며 이를 안전하게 보관해야 할 의무가 있습니다.
보통 수집한 개인정보는 관리자 페이지에 저장하게 되는데요.
수집되는 개인정보의 양은 갈수록 증가하지만, 관리자 페이지의 보안 수준을 높이는 것은 막막한 것이 현실입니다.
이번 글을 통해 우리 회사는 관리자 페이지에 대한 보안을 잘 지키고 있는지 확인하세요.

접근 통제란 무엇인가?

정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 조치입니다.
접근 통제에는 대표적으로 세 가지 방법이 있습니다.
2단계 보안 인증, 접속지 IP 제한 그리고 자동 접속을 차단하는 것인데요.

2단계 보안 인증이란 아이디, 비밀번호 외 이메일, OTP 등을 통해 인증 절차를 한 번 더 추가하는 것입니다.
이 기능을 설정해 두면 해킹을 통해 아이디, 비밀번호 유출이 되었을 경우 로그인을 막을 수 있습니다.

접속지 IP 제한은 말 그대로 접속할 수 있는 IP를 제한하는 것입니다.
주로 근무하는 근무지의 IP에서만 관리자 페이지 등에 접속할 수 있도록 하여 외부에서의 접근을 막아 개인정보가 유출되는 것을 방지할 수 있습니다.

자동 접속 차단은 일정 시간 활동이 없는 경우 로그아웃 등의 조치를 자동으로 실행하여 접속을 차단하는 것입니다.

권한 관리란 무엇인가?

개인정보처리시스템에 대한 접근 권한을 세부적으로 설정하는 것입니다.

예를 들어, 직급별로 취급할 수 있는 개인정보 범위를 나누는 것이 있는데요.
팀장의 경우 수집한 개인정보의 전체, 사원의 경우 수집한 개인정보에서 이름, 휴대전화 번호만 취급할 수 있도록 설정하는 것입니다.

해당 기능을 통해 개인정보의 종류에 따라 접근하는 사람을 필요 최소한으로 관리할 수 있습니다.

접근 통제·권한 관리를 설정해야 하는 이유

개인정보보호법에서 명시한 안전성 확보조치 기준 중의 하나입니다.
기업이 처리하는 개인정보의 규모가 1만 명 이상이 되면 필수적으로 준수해야 할 사항인데요.
해당 조치가 없는 경우 개인정보보호법에 따라 과태료 등의 처분을 받을 수도 있습니다.
실제로 해당 조치를 취하지 않아 개인정보가 유출되어 과징금·과태료 처분을 받은 기업이 많습니다.

또한 기업 내에서 특정 부서는 개인정보를 적극적으로 활용하는 부서가 있을 수도 있어 개인정보 보호와 활용의 적절한 밸런스가 중요합니다.
이러한 밸런스를 접근 권한 관리를 통해 충족할 수 있습니다.

실제 과징금·과태료 부과 사례

해당 조치 미흡으로 개인정보가 유출된 기업은 중소기업뿐만 아니라 규모가 큰 기업, 인지도가 있는 기업 등 다양했습니다.

  • 유명 명품 기업
    누구나 아는 유명 명품 기업으로 관리자 계정의 접근 권한의 제한 조치와 접근 통제를 소홀히 하였습니다.
    이로 인해 해커가 관리자 페이지에 접속하여 데이터베이스에 저장된 개인정보 81,654건을 유출하였습니다.
    개인정보보호위원회는 과징금 1억 2,616만 원과태료 1,860만 원을 부과했습니다.
  • 숙박 예약 플랫폼
    많은 이용자를 보유하던 플랫폼을 가진 기업으로 AWS 관리자 접근 권한을 IP로 제한하지 않았습니다.
    이로 인해 해커가 접근 권한을 탈취하여 데이터베이스에 접속할 수 있었고, 개인정보 52,132건을 유출하였습니다.
    개인정보보호위원회는 과징금 5,670만 원과태료 3,000만 원을 부과했습니다.
  • 교육업 계열사
    교과서 제작 등 교육업과 관련된 기업으로 모기업이 계열사의 개인정보처리시스템에 접근할 수 있도록 허용하는 등 허술하게 관리했습니다.
    이로 인해 해커에게 해킹을 당해 2만 3,624명의 개인정보가 유출되었습니다.
    개인정보보호위원회는 과징금 9억 335만 원과태료 1,740만 원을 부과했습니다.

접근 통제·접근 권한 관리 쉽게 설정하는 방법

회사 내부에서 관리자 페이지에 이러한 기능들을 설치하는 것이 가장 좋은 방법이지만 비용, 인력 등 고려해야 할 사항이 많습니다.
규모가 큰 대기업의 경우 이러한 기능을 이미 사용 중이거나 구축이 어렵진 않지만, 스타트업, 중소기업 등은 쉽지 않은 상황입니다.
그래서 추천해 드리는 방법은 캐치시큐를 도입하는 것입니다.

캐치시큐의 경우 2단계 보안 인증, 접속지 IP 제한, 구성원 접근 권한 관리의 보안 조치가 적용되어 있으며, 구축 없이 즉시 이용이 가능한 서비스입니다.
또한 서비스별로 접근 권한을 부여할 수도 있어 여러 부서에서도 이용할 수 있습니다.

이 외에 수집한 개인정보의 보유기간 만료 시 자동으로 파기해 미 파기한 개인정보가 유출되는 사고 발생도 예방할 수 있으며,
개인정보 모니터링 기능도 제공하여 누가, 언제, 무엇을 했는지 파악할 수 있어 수탁사 점검 시 근거 자료 등으로 활용할 수 있습니다.

개인정보 캐치시큐로 간편하게 보호하고 관리하세요!


# 인사이트

관련 최신글

안녕하세요. 캐치시큐입니다.
기업은 많은 고객의 개인정보를 수집 및 보관하며 이를 안전하게 보관해야 할 의무가 있습니다.
보통 수집한 개인정보는 관리자 페이지에 저장하게 되는데요.
수집되는 개인정보의 양은 갈수록 증가하지만, 관리자 페이지의 보안 수준을 높이는 것은 막막한 것이 현실입니다.
이번 글을 통해 우리 회사는 관리자 페이지에 대한 보안을 잘 지키고 있는지 확인하세요.

접근 통제란 무엇인가?

정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 조치입니다.
접근 통제에는 대표적으로 세 가지 방법이 있습니다.
2단계 보안 인증, 접속지 IP 제한 그리고 자동 접속을 차단하는 것인데요.

2단계 보안 인증이란 아이디, 비밀번호 외 이메일, OTP 등을 통해 인증 절차를 한 번 더 추가하는 것입니다.
이 기능을 설정해 두면 해킹을 통해 아이디, 비밀번호 유출이 되었을 경우 로그인을 막을 수 있습니다.

접속지 IP 제한은 말 그대로 접속할 수 있는 IP를 제한하는 것입니다.
주로 근무하는 근무지의 IP에서만 관리자 페이지 등에 접속할 수 있도록 하여 외부에서의 접근을 막아 개인정보가 유출되는 것을 방지할 수 있습니다.

자동 접속 차단은 일정 시간 활동이 없는 경우 로그아웃 등의 조치를 자동으로 실행하여 접속을 차단하는 것입니다.

권한 관리란 무엇인가?

개인정보처리시스템에 대한 접근 권한을 세부적으로 설정하는 것입니다.

예를 들어, 직급별로 취급할 수 있는 개인정보 범위를 나누는 것이 있는데요.
팀장의 경우 수집한 개인정보의 전체, 사원의 경우 수집한 개인정보에서 이름, 휴대전화 번호만 취급할 수 있도록 설정하는 것입니다.

해당 기능을 통해 개인정보의 종류에 따라 접근하는 사람을 필요 최소한으로 관리할 수 있습니다.

접근 통제·권한 관리를 설정해야 하는 이유

개인정보보호법에서 명시한 안전성 확보조치 기준 중의 하나입니다.
기업이 처리하는 개인정보의 규모가 1만 명 이상이 되면 필수적으로 준수해야 할 사항인데요.
해당 조치가 없는 경우 개인정보보호법에 따라 과태료 등의 처분을 받을 수도 있습니다.
실제로 해당 조치를 취하지 않아 개인정보가 유출되어 과징금·과태료 처분을 받은 기업이 많습니다.

또한 기업 내에서 특정 부서는 개인정보를 적극적으로 활용하는 부서가 있을 수도 있어 개인정보 보호와 활용의 적절한 밸런스가 중요합니다.
이러한 밸런스를 접근 권한 관리를 통해 충족할 수 있습니다.

실제 과징금·과태료 부과 사례

해당 조치 미흡으로 개인정보가 유출된 기업은 중소기업뿐만 아니라 규모가 큰 기업, 인지도가 있는 기업 등 다양했습니다.

  • 유명 명품 기업
    누구나 아는 유명 명품 기업으로 관리자 계정의 접근 권한의 제한 조치와 접근 통제를 소홀히 하였습니다.
    이로 인해 해커가 관리자 페이지에 접속하여 데이터베이스에 저장된 개인정보 81,654건을 유출하였습니다.
    개인정보보호위원회는 과징금 1억 2,616만 원과태료 1,860만 원을 부과했습니다.
  • 숙박 예약 플랫폼
    많은 이용자를 보유하던 플랫폼을 가진 기업으로 AWS 관리자 접근 권한을 IP로 제한하지 않았습니다.
    이로 인해 해커가 접근 권한을 탈취하여 데이터베이스에 접속할 수 있었고, 개인정보 52,132건을 유출하였습니다.
    개인정보보호위원회는 과징금 5,670만 원과태료 3,000만 원을 부과했습니다.
  • 교육업 계열사
    교과서 제작 등 교육업과 관련된 기업으로 모기업이 계열사의 개인정보처리시스템에 접근할 수 있도록 허용하는 등 허술하게 관리했습니다.
    이로 인해 해커에게 해킹을 당해 2만 3,624명의 개인정보가 유출되었습니다.
    개인정보보호위원회는 과징금 9억 335만 원과태료 1,740만 원을 부과했습니다.

접근 통제·접근 권한 관리 쉽게 설정하는 방법

회사 내부에서 관리자 페이지에 이러한 기능들을 설치하는 것이 가장 좋은 방법이지만 비용, 인력 등 고려해야 할 사항이 많습니다.
규모가 큰 대기업의 경우 이러한 기능을 이미 사용 중이거나 구축이 어렵진 않지만, 스타트업, 중소기업 등은 쉽지 않은 상황입니다.
그래서 추천해 드리는 방법은 캐치시큐를 도입하는 것입니다.

캐치시큐의 경우 2단계 보안 인증, 접속지 IP 제한, 구성원 접근 권한 관리의 보안 조치가 적용되어 있으며, 구축 없이 즉시 이용이 가능한 서비스입니다.
또한 서비스별로 접근 권한을 부여할 수도 있어 여러 부서에서도 이용할 수 있습니다.

이 외에 수집한 개인정보의 보유기간 만료 시 자동으로 파기해 미 파기한 개인정보가 유출되는 사고 발생도 예방할 수 있으며,
개인정보 모니터링 기능도 제공하여 누가, 언제, 무엇을 했는지 파악할 수 있어 수탁사 점검 시 근거 자료 등으로 활용할 수 있습니다.

개인정보 캐치시큐로 간편하게 보호하고 관리하세요!


# 인사이트
관련 최신글
인기글
개인정보 유출 사고 발생 시…이렇게 대응하면 과태료 처분 안 받는다?
개인정보 처리실태 모니터링 바로 알고 대응하기

개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신가요? 언제든지 문의주세요!
개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신 가요? 언제든지 문의주세요!
메뉴
error: 컨덴츠는 보호됩니다.