031 druiedf \uacbd\uae30 \uac00\ud3c9 \uc8fc\ubbfc\ub4f1\ub85d\ubc88\ud638 760419 1111111 \uba54\ubaa8\uc5d0 \uae30\ub85d\ub41c \uac1c\uc778\uc815\ubcf4 \uc228\uaca8\uc9c4 \uba54\ubaa8\ub294 \uc140 \ubaa8\uc11c\ub9ac\uc5d0 \ube68\uac04\uc0c9 \ud45c\uc2dc\uac00

031 druiedf 경기 가평 주민등록번호 760419

This preview shows page 26 - 43 out of 79 pages.

031-druiedf 경기 가평 주민등록번호 760419-1111111 “메모”에 기록된 개인정보 숨겨진 메모는 셀 모서리에 빨간색 표시가 있음 26 Step 1. Sheet의 “메모 표시” 확인 후, “개인정보” 포함 여부 확인 Step 2. 메모에 포함된 “개인정보” 삭제 또는 마스킹 처리 조치
Image of page 26
엑셀 파일에 노출 Step 1. 문서 내의 “표” 더블 클릭 후, OLE 객체 내 “개인정보” 포함 여부 확인 Step 2. OLE 객체(엑셀시트)에 나타난 개인정보 삭제 또는 마스킹 처리 조치 OLE 객체에 포함되어 있던 엑셀시트 OLE 객체가 삽입된 파일 객체(OLE) 삽입 x2 그래프 더블클릭 그래프 내 편집시트 나타남 개인정보 발견 27
Image of page 27
한글의 개인정보 보호 기능을 이용 개인정보가 포함된 한글문서 한글파일에 노출 개인 정보 보호 기능 이용 첨부된 한글파일(HWP , DOC)에 개인정보 노출 28 문서에 포함된 “개인정보” 삭제 또는 “개인정보 보호” 기능으로 마스킹 조치
Image of page 28
홈페이지 이용자 부주의
Image of page 29
비공개게시판운영및개인정보노출주의안내 게시글에 게인정보 노출 게시글에 개인정보 노출 이용자가 문의 글 등을 게시하며 개인정보 노출 안내 비공개 운영 30 Step 1. 비공개 게시판 운영 Step 2. 게시물 비공개로 전환 또는 삭제 Step 3. 이용자에게 개인정보를 입력하지 않도록 홈페이지 등에 안내 조치
Image of page 30
게시판글작성시안내문구삽입및비공개설정 이미지형 PDF 파일에 의한 노출 개인정보가 포함된 첨부파일 게시 이미지 파일(JPG, PDF 등)을 통한 개인정보 노출 Step 1. 비공개 게시판 운영 Step 2. 게시물 비공개로 전환 또는 삭제 Step 3. 이용자에게 개인정보를 입력하지 않도록 홈페이지 등에 안내 조치 비공개 설정 31
Image of page 31
홈페이지 설계 개발 오류
Image of page 32
전용망 사용 또는 인증서비스 적용 쉽게 유추 가능한 관리자페이지 인증없이 접속 관리자페이지 접근제어 미흡 관리자만 볼 수 있는 페이지 가 인증 과정을 거치지 않고 방치되어 일반 이용자 에게 노출 전용망 구성 VPN 인증 관리자 페이지 접속 시 “ VPN ”이나 전용망 ” 에서만 검색 작성된 웹 페이지 마다 관리자 “ 세션 ” 확인 인증/세션 정보 VPN 33 Step 1. 올바른 관리자 페이지 설정 관리자 페이지 접속 시 “VPN”이나 “전용망“ 등 안전한 접속수단 활용 “OTP”, “휴대폰”, “공인인증서” 등 안전한 인증수단 적용 관리자 페이지는 특정 IP 인가된 IP 만 접근 가능토록 설정 일반 이용자가 접근 가능한 관리자 페이지 링크 삭제 관리자 페이지 주소는 추측하기 어려운 명칭으로 작성 주기적인 홈페이지 관리자 비밀번호 변경 및 로그인 시 안전한 비밀번호 사용 미사용 페이지는 즉시 삭제 Step 2. 검색엔진에 노출여부 확인 및 저장된 페이지 삭제 조치 1 2 3 4 5 6 7
Image of page 33
파라미터 값이 보이지않게 POST 방식 사용 URL값 변경 시 다른 회원의 정보가 노출 Step 1. 이용자 자신의 정보만 조회 가능하도록 접근제어 Step 2. 회원 구분 값을 개인정보로 활용하는 경우 변경 필요 Step 3. 홈페이지 설계 변경(GET 방식에서 POST 방식으로) 등을 통해 개인정보 노출 방지 조치 파라 미터 방식 변경 홈페이지 접속 경로(URL) 관련 오류 홈페이지 URL 값 변경 시 개인정보 노출 34
Image of page 34
홈페이지 소스코드 보안설정 미흡 홈페이지 설계 오류로 홈페이지 소스코드에 노출 예시 소스코드에 주민등록번호 사용 35 Step 1. 인터넷 브라우저의 소스코드 보기 기능을 통해 개인정보가 있는지 확인 Step 2. 불필요한 개인정보는 소스코드에서 삭제하고 꼭 필요한 정보는 암호화하거나 개인 식별용 구분자를 변경 Step 3. 검색엔진에 노출여부 확인 및 저장된 페이지 삭제 조치
Image of page 35
디렉터리 리스팅 취약점이 있는 홈페이지 검색(예시) 디렉터리 리스팅 보안설정 미흡 디렉터리 리스팅 취약점으로 인해 노출 서버관리자가 사이트 테스트 목적으로 사용하는 설정으로 인터넷 사용자에게 웹 서버 내 디렉터리와 파일 목록을 보여주는 기능 웹서버의URL로“도메인네임+ 디렉터리”경로를입력했을때, 웹브라우저에해당디렉터리내, 모든파일목록이노출되는보안취약점 예시 예시 개인정보 대량 노출 위험 36 Step 1. 운영체제 등 서비스 환경에 맞도록 디렉터리 리스팅 취약점 조치 필요 ※ KISA 홈페이지( ) > 자료실 >관련법령∙기술안내서 > 기술안내서 가이드 > 시큐어 코딩 가이드 참고 Step 2. 접근제어 설정 Step 3. 디렉터리 설정 및 변경 조치
Image of page 36
1. 개인정보 노출 예방수칙 2. 운영자 개인정보 노출 예방수칙 5계명 3. 개발자 개인정보 노출 예방수칙 6계명
Image of page 37