[금융IT] 보안 지식

 

개인정보

데이터 그 자체로, 또는 다른 데이터와 결합하여 개인을 식별할 수 있는 데이터 또는 정보. 

ex) 개인마케팅 프로필, 은행 계좌번호, 소매고객 전화번호, 행원급여, 카드지출내역 .. 

* 고객명 - 단순 성명만으로는 개인정보 아님. 

 

민감한 개인정보

인종 또는 민족, 정치적 견해, 종교 또는 철학, 노조가입 여부, 유전자 정보, 신체 또는 정신겅강, 성적 취향, 위법 행위 또는 위범 혐의를 나타내는 정보입니다. 민감한 개인정보를 처리할 때 따라야하는 추가적인 규칙이 있다. 

ex) 노동조합가입, 종교적신념 .. 

 

 

개인정보 vs 은행기밀정보 vs 사이버보안 

 

개인정보: 개인과 관련된 정보만을 의미.

은행 기밀정보: 고객과 관련된 개인정보를 포함한 모든정보를 포함.

사이버 보안: 사이버 환경에서 네트워크를 통해 연결된 자산을 보호하기 위해 사용되는 기술적인 수단, 보안정책, 개념 등의 기술들의 집합으로 정의된다. 

 

개인정보 보호 원칙

1. 투명성

은행은 본인의 개인정보가 어떤 비즈니스 목적으로 어떻게 처리되는지에 대한 명확한 정보를 개인에게 제공해야 한다.

 

2. 목적 및 사용

개인정보는 명시된 비즈니스 목적에 따라 합당하고 적법하게 처리되어야 하며, 해당 목적과 다른 방식으로 이용되거나 공개되어서는 안된다.

 

3. 최소화

명시된 비즈니스 목적을 위해 절대적으로 필요한 최소한의 개인정보만을 처리해야 한다. 

 

4. 정확도와 관련성

개인정보는 정확해야하며 정보 처리의 이유가 되는 특정한 비즈니스 목적과 관련성이 있어야 한다.

 

5. 개인의 권리

마케팅 선택과 자신의 개인정보에 접근하고 이를 수정할 수 있는 능력을 포함하여 개인적인 권리를 존중해야 한다.

 

6. 보안

정보 및 사이버 보안에 관한 그룹 방침을 준수하여 권한이 없거나 불법적이거나 우연적인 접근, 사용, 공개, 전송, 유실, 변경 또는 파기로 부터 개인정보를 보호해야 한다. 

 

7. 보유 및 파기

개인정보는 그룹기록 관리 방침에 따라 보유 및 폐기해야 한다. 

 

8. 전송 

은행을 대신하여 개인정보를 처리하는 외주업체와 그 외 제 3자에게 적절한 통제수단을 적용해야 한다.

은행 내 전송을 포함하여 국가 간에 개인정보를 전송하는 경우 관련 법규와 규정을 준수해야한다. 

 

개인정보를 보유한 은행이 개인정보보호와 관련하여 하지 말아야 할일

• 개인정보를 노트북 C:드라이브 보관 금지
• 명확한 업무상 목적없이 개인정보 보호 조회 및 처리 금지
• 호기심 또는 개인목적을 위해 은행 기밀정보 이용 금지
• 개인정보 기록을 재활용 또는 일반휴지통에 넣지 말 것
• 권한이 없는 사람에게 개인정보 공유 금지
• 사적 또는 개인적인 이메일 계정에 개인정보 발송 금지
• 인터넷 또는 기타 소셜 네트워크 및 블로그 사이트 이용 시 개인정보 공개 금지
• 본인의 아이디와 비밀번호 공유 금지
• 자동응답기 등의 음성메일에 개인정보가 포함된 메세지를 남기지 말것 

 

자금세탁

최종적으로 자금이 합법적인것처럼 보일 때까지 일련의 거래를 사용하여 범죄 자금의 실체 출처를 위장하는 행위. 

 

멀웨어

다음목적을 위해 의도적으로 설계된 소프트웨어

• 컴퓨터, 서버 또는 네트워크에 피해 유발
• 정보 도용
• 컴퓨터 활동 감시
• 사이버 범죄자가 피해자의 컴퓨터를 사용할 수 있도록 원격접속 제공 

 

멀웨어 종류

 

-스파이웨어

사용자가 모르는 사이에 사용자의 정보를 감시 및 수집

-랜섬웨어

몸값은 지불하지 않으면 개인정보를 퍼드리겠다거나 컴퓨터에 엑세스를 차단하겠다고 위협

-바이러스

컴퓨터의 기능을 손상시키며, 감염되지 않은 다른 컴퓨터로 퍼질 수 있음

-트로이 목마

이를 통해 사이버범죄자가 감시하거나, 정보 도용, 기타 멀웨어가 컴퓨터에 쉽게 엑세스하도록 백도어를 생성