비밀번호 일방향 암호화 홈페이지 로그인
홈페이지의 로그인 비밀번호의 일방향 암호화 여부
회원가입한 협회 홈페이지에 방문하여 비밀번호 찾기를 진행하였더니, 제 비밀
번호 일부를 이메일로 알려주었습니다. 비밀번호는 일방향 암호화 한다고 들었
는데 위반 아닌가요?
개인정보처리자는 비밀번호가 복호화되지 않도록 반드시 일방향 암호화하여
저장하여야 하며, 이용자가 비밀번호 분실 등을 이유로 재발급을 원하는 경우에는
이용자에게 임의의 비밀번호를 부여하고, 회원정보에 등록된 이메일 등으로
부여된 임의의 비밀번호를 전송하고 이용자가 확인 후 사이트에 접속하여 비밀
번호를 다시 설정할 수 있도록 하여야 합니다.
상세설명
개인정보처리자는 비밀번호를 저장하는 경우, 복호화되지 않도록 일방향 암호화하여
저장해야 합니다.
암호화는 개인정보취급자의 실수 또는 외부 공격자의 침입 등으로 인해 개인정보가
비인가자에게 유·노출되더라도 그 주요 내용을 확인할 수 없게 하는 보안기술을 의미
합니다.
주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트워크를 통해
전송될 경우, 불법적인 노출 및 위·변조 등의 위험이 있으므로 암호화 등의 안전한
보호조치가 제공되어야 합니다.
일방향 암호화란 해쉬(Hash) 함수를 이용하여 암호화된 값을 생성하는 방식을 의미합니다. 즉, 암호화하여 저장한 값으로 다시 원본 값을 유추하거나 복호화 할 수 없는
방식을 말합니다.
예를 들어, 사업자가 회원들의 비밀번호를 일방향 암호화하였다면 어느 누구도 일방향
암호화된 비밀번호를 복호화하여 원래의 비밀번호를 확인할 수 없어야 합니다.
따라서 부득이하게 회원들이 비밀번호를 분실하거나 재발급을 요청하는 경우,
별도의
임시번호를 부여하여 비밀번호가 복호화 되지 않고 일방향 암호화하여 사용될 수
있도록 하여야 합니다.
출처: 2013 개인정보보호상담사례집 안행부, KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 병원 개인정보 (0) | 2017.01.12 |
|---|---|
| 개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부 (0) | 2016.12.17 |
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
동호회 개인정보보호 암호화
동호회의 경우, 수집한 개인정보를 암호화 저장해야 하는지 여부
동호회의 경우, 친목도모를 위해 이름과 연락처 정도만을 수집하고 있는데,
이를 암호화 저장해야 하나요?
동호회, 동창회 등 친목도모를 위한 단체를 운영하기 위해서 이름과 연락처
정도만의 개인정보를 처리하는 경우에는 별도의 암호화 저장 의무는 없습니다.
상세설명
개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인
정보를 처리하는 경우에는 개인정보의 수집·이용, 개인정보처리방침의 수립 및 공개,
개인정보보호책임자의 지정 등은 적용하지 아니합니다. 친목단체는 업무적 성격
보다는 사적 모임의 성격이 강하기 때문에 이 법의 일부 적용을 배제한 것입니다.
따라서 친목단체는 목적범위 내에서 정보주체의 동의 없이 회원의 최소한의 개인정보를
수집·이용하는 것이 가능하지만, 친목단체의 설립 목적을 벗어난 이용·제공에 대해서는
「개인정보 보호법」일반원칙에 따라 처리하여야 합니다.
친목단체의 설립 목적 범위 내에서 개인정보를 처리하는 경우에도 개인정보의 최소
수집 원칙, 개인정보의 기술적·관리적 보호조치, 고유식별정보 및 민감정보의 처리 제한,
수탁자에 대한 관리·감독, 개인정보 유출 통지 및 신고 의무, 개인정보 파기, 정보주체의
권리보호 등의 규정은 모두 그대로 적용됩니다.
동호회, 동창회 등 친목도모를 위한 단체를 위해서 이름과 연락처를 수집하는 경우에
해당 개인정보는 암호화 저장 대상이 아니므로 암호화 저장 의무가 없습니다.
출처: 2013 개인정보보호상담사례집 안행부, KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부 (0) | 2016.12.17 |
|---|---|
| 비밀번호 일방향 암호화 홈페이지 로그인 (0) | 2016.11.03 |
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의
- < 개인정보 자기결정권 > - 인간의 존엄과 가치, 행복추구권을 규정한 「헌법」 제10조제1문에서 도출되는 일반적 인격권 및 「헌법」 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리 - 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리 - 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한 되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함함. - 또한 그러한 개인정보를 대상으로 한 조사 ․ 수집 ․ 보관 ․ 처리 ․ 이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당함 (헌재 2005. 5. 26. 99헌마513등, 공보 105, 666, 672)
- OECD 가이드라인
OECD 가이드라인
목적에 필요한 최소한 범위안에서 적법하고 정당하게 수집
수집 제한의 원칙
처리목적 범위 안에서 정확성·완전성·최신성 보장 정보 정확성의 원칙
처리목적의 명확화 목적 명확화 원칙
필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지 이용 제한의 원칙
정보주체의 권리침해 위험성 등을 고려, 안전성 확보 안전성 확보 원칙
개인정보 처리사항 공개(처리방침 공개, 법 제30조) 공개의 원칙
열람청구권 등 정보주체의 권리보장 정보주체 참여 원칙
개인정보처리자의 책임준수·실천, 신뢰성 확보 노력 책임의 원칙
- 신입사원 채용을 위해 입사지원서를 받으려고 합니다. 개인정보를 얻기 위해서 지원자의 동의를 받아야 하나요?
답변) 민감정보, 고유식별정보를 제외하고 채용을 위해 필요한 최소한의 개인정보에 관하여는 동의 없이 수집할 수 있습니다. ○ ‘계약의 체결’에는 계약 체결을 위한 준비단계도 포함됩니다. 회사가 근로계약 체결 전에 지원자의 이력서 등을 수집 ․ 이용하는 경우가 이에 해당됩니다. ○ 일반적으로 주민번호는 채용 전형을 위해서는 수집할 수 없으며, 법령에 구체적인 근거가 있는 경우에만 수집 가능합니다. ○ 최소한의 개인정보 예시 - 지원자를 확인하는데 필요한 이름, 생년월일 - 지원자와 연락하는데 필요한 연락처, 주소 - 지원자의 직무수행능력을 평가하는데 필요한 학력, 성적, 자격사항 등 (채용예정 직위의 직무수행을 위해 관련 학력, 경력이 요구되는 경우) ○ 참고로 온라인 채용사이트 운영자 및 채용대행사 등은 구직자에게 개인정보 처리에 대해 구체적으로 안내하고 동의를 받은 후 동의 받은 범위에서만 관련 정보를 활용 ․ 제공하여야 합니다. ※ 관련법률 : 개인정보 보호법 제15조(개인정보의 수집․ 이용) 제1항 제4호, 위반 시 5천만원 이하의 과태료
출처: 개인정보보호 가이드라인 – 인사・노무편 행정자치부・고용노동부(2015)
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 비밀번호 일방향 암호화 홈페이지 로그인 (0) | 2016.11.03 |
|---|---|
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
퇴직급여, 연말정산, 카드회사 관련 개인정보
사용자가 「근로자퇴직급여 보장법」에 따라 퇴직연 금사업자와 퇴직연금운용관리계약 또는 자산관리 계약을 체결하여 연금 또는 자산을 관리하도록 하 는 경우, 직원의 개인정보를 퇴직연금사업자에게 제공할 때 직원의 동의가 필요한가요?
o 사용자가 퇴직연금운용관리계약 또는 자산관리계약을 체결하여 퇴직금제도에 관한 자신의 업무를 퇴직연금사업자에게 위탁하고 근 로자의 개인정보를 제공하는 경우 「개인정보 보호법」 제26조에 따른 업무위탁에 따른 것으로 직원의 동의를 받지 않아도 됩니다. o 다만, 이 경우에도 퇴직연금사업자는 퇴직연금가입자의 성명, 주소 등의 개인정보를 퇴직연금의 운용과 관련된 업무수행에 필요한 범위 에서만 사용하여야 합니다.
회사가 직원교육, 연말정산업무를 외부교육업체, 연 말정산업체에 위탁하는 경우 직원의 개인정보를 제 공할 때 동의를 받아야 하는지?
o 회사는 「개인정보 보호법」 제26조에 따라 개인정보처리가 수 반되는 업무인 직원교육 및 직원의 연말정산업무를 외부 업체에 위탁할 수 있으며, 위탁업무 수행을 위해 직원의 개인정보를 제 공하는 경우 직원의 동의를 필요로 하지 않습니다. o 다만, 이 경우에도 직원교육, 연말정산 등 근로자 개인정보처 리가 수반되는 업무의 위탁은 반드시 문서에 의하여야 하며, 위 탁업무 내용을 직원이 언제든지 쉽게 확인할 수 있도록 내부 게 시판 등을 통해 직원들에게49 공개하여야 합니다.
카드회사로부터 직원의 재직유무, 근무부서, 직위 등의 개인정보를 문의하는 경우 알려줄 수 있는지?
o 회사는 「개인정보 보호법」 제18조제2항제1호에 따라 재직유무, 근무 부서, 직위 등을 카드회사에게 알려주기 위해서는 해당 직원의 별도의 동의를 받아야 합니다. o 신용카드사업자는 「여신전문금융업법」 제14조 및 동법 시행령 제6 조의7에 따라 신용카드 또는 직불카드를 발급하기 전에 카드신청자의 재직여부 등을 확인할 필요가 있는 경우 카드신청자에게 재직증명서 등을 제출하도록 한 후 제출된 재직증명서의 진위여부를 회사에 확인 할 수 있습니다.
출처: 개인정보보호종합포털
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
|---|---|
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 운영모드 정리 (0) | 2016.10.26 |
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다.
회사가 복지서비스를 제공하기 위해 근로자 또는 근로자 가족의 개인 정보를 수집하면서 동의를 얻어야 하는지 여부 회사가 근로자의 복리후생을 위해 가족의 이름, 생년월일, 연락처 등의 개인 정보를 수집하는 경우, 가족구성원의 동의를 받아야 하나요?
「근로복지기본법」상 회사는 근로자 및 근로자의 가족에 대한 복리후생 제공을 위하여 가족의 개인정보를 가족구성원의 동의 없이 수집·이용할 수 있습니다. 상세설명 사업자가 정보주체의 개인정보를 이용하여 서비스를 제공하기 위해서는 정보주체로부터 개인정보 수집·이용 동의를 획득하여야 하며, 법률의 특별한 규정이 있는 경우, 법령상 의무를 준수하기 위하여 불가피한 경우, 계약의 체결·이행에 불가피한 경우 등에는 정보 주체의 동의 없이도 개인정보를 수집·이용할 수 있습니다.
본 사안의 경우, 회사에서는 「근로복지기본법」에 따라 자녀 학비 지원, 직계존속 건강 진단, 주택지원 등 근로자 및 근로자 가족에 대한 복지를 제공해야 합니다. 또한, 복지 제공이 근로조건에 포함되어 있다면, ‘근로 계약의 체결·이행에 필요한 경우’에도 필요합니다. 따라서 근로자 가족의 개별적 동의가 없더라도 개인정보 수집·이용이 가능합니다. 그러나 주민등록번호 등 고유식별정보는 법령에서 구체적으로 요구 및 허용하는 경우를 제외하고 정보주체의 별도 동의를 받아야 합니다. 23 다만, 부득이하게 가족관계 및 연령확인 등을 위한 가족관계증명서 등을 확인할 경우 에는 가족의 주민등록번호 뒷자리가 노출되지 않도록 처리한 후, 제출하는 것이 바람직 합니다.
관련법령
「개인정보 보호법」 제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리 할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
「근로복지기본법」[법률 제11845호, 2013.5.28.] 제5조(사업주 및 노동조합의 책무) ① 사업주(근로자를 사용하여 사업을 행하는 자를 말한다. 이하 같다)는 해당 사업장 근로자의 복지증진을 위하여 노력하고 근로복지정책에 협력하여야 한다. ② 노동조합 및 근로자는 근로의욕 증진을 통하여 생산성 향상에 노력하고 근로복지정책에 협력하여야 한다.
「표준지침」 제6조(개인정보의 수집) ⑥ 근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」제2조제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.
출처 개인정보 상담사례집, 안전행정부/KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 운영모드 정리 (0) | 2016.10.26 |
| 암호문 공격 분류 (0) | 2016.10.25 |
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다
TS Comment:
cctv 영상정보도 개인정보에 해당하므로, 무단으로 제3자 제공은 금지됩니다.
1. 사건의 개요
◦신청인들은 피신청인이 관리하는 아파트에 거주하는 선거관리위원으로 주민의 요청에
따라 뇌물을 수수한 입주자대표의 해임투표를 진행하고 이 결과를 아파트 게시판에
부착하였다.
◦피신청인은 신청인들이 아파트게시판에 해임투표결과를 부착하는 내용이 촬영된
CCTV정보와 선거인명부를 동의 없이 제3자인 입주자대표에게 제공하였고, 입주자
대표는 피신청인이 제공한 정보를 이용하여 신청인들을 명예훼손으로 고소하였다.
◦이에, 신청인들은 정보주체의 동의 없이 CCTV영상정보 및 선거인명부를 제3자
(입주자대표)에게 제공한 아파트관리사무소에 대한 손해배상 및 제도개선을 요구하는
분쟁조정을 신청하였다.
2. 피신청인의 주장
◦피신청인은 입주자대표에게 CCTV영상정보를 제공한 것은 「주택법」 시행규칙 제24조의
3 및 아파트관리규약에 따라 ‘범죄의 수사와 공소의 제기 및 유지에 필요한 경우’에
해당된다고 판단하였기 때문이라고 하고, 선거인명부는 제공하지 않았다고 소명함
◦또한, 신청인들이 불법선거를 저질러 입주민간의 질서를 어지럽히고도 선거 목적을
달성하지 못하자 이해당사자가 아닌 관리사무소에 개인에 대한 손해를 주장하고
있는바, 이는 신청인들의 분풀이라고 보여 진다고 주장함
3. 사실조사
가. 피신청인에 대한 법률적용 여부
◦피신청인은 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른
사람을 통하여 개인정보를 처리하는 자로서, 「개인정보 보호법」의 “개인정보처리자”에
해당하여 이 법의 적용을 받음
나. 신청인들과 피신청인과의 관계
◦신청인들은 OOOOO아파트의 입주민으로 입주자대표회의의 선거관리위원이며, 피
신청인은 동 아파트의 관리주체인 관리사무소임
다. 피신청인이 CCTV영상정보를 수집 및 입주자대표에게 제공한 경위
◦피신청인은「주택법」제55조, 동법 시행규칙 및 관리규약에 의하여 아파트단지내의
질서를 유지하도록 되어있으며, 이에 따라 CCTV를 설치해서 운영하고 있음
◦신청인들이 입주자대표 해임투표결과를 게시한 행위는 피신청인의 아파트관리규약을
위반한 행위이기 때문에 게시행위가 촬영된 CCTV영상정보를 저장 및 해당 게시물을
철거하였고, 그 사실을 서면으로 기록하여 보관하였다고 소명함
◦또한, 피신청인은 이 사안의 CCTV영상을 입주자대표의 요청에 따라 제공하였다고
소명함
라. 피신청인이 선거인명부를 수집한 경위
◦신청인들은 입주자대표 해임투표를 아파트관리사무소 선거관리위원회의 승인을 받지
않고 진행한 후에, ‘선거실시’의 승인을 요청하기 위해 선거인명부를 포함한 선거관련
문서를 피신청인에게 제공하였고 피신청인은 이를 보관함
제1절 침해유형별조정사례 81
마. 피신청인이 선거인명부를 제3자에게 제공하였는지 여부
<신청인 주장>
◦신청인들은 피신청인에게 선거인명부, 해임투표결과공고 등 해임투표와 관련된 자료를
제공했으며 피신청인은 이 자료를 보관하던 중에 정보주체의 동의 없이 해당자료를
입주자대표에게 제공하였다고 주장함
<피신청인 주장>
◦피신청인은 신청인들로부터 선거인명부와 해임투표 관련자료를 제공받았지만 선거인
명부는 입주자대표에게 제공하지 않았다고 소명함
<사실조사결과>
◦피신청인이 입주자대표에게 선거인명부를 제공하였는지 여부에 대하여는 양 당사자가
주장하는 바가 다르고, 이를 입증할 만한 자료가 없어 진위여부를 확인할 수 없었음
바. 피신청인이 CCTV영상정보를 제3자에게 제공한 경위
◦피신청인은 「주택법」 시행규칙 제24조의3 제3호 ‘범죄의 수사와 공소의 제기 및
유지에 필요한 경우’에 해당한다고 판단하여 촬영 자료를 열람·제공했다고 소명함
4. 위원회 의견
가. 피신청인이 신청인들의 개인정보를 동의 없이 제3자(입주자대표)에게 제공한 행위에
대한 책임유무
◦「개인정보 보호법」 제18조(개인정보의 목적 외 이용·제공 제한) 에서는 “개인정보
처리자는 개인정보를 최초 개인정보의 수집·이용에 따른 범위를 초과하여 이용하거나
제3자에게 제공하여서는 아니된다”고 규정한다.
「주택법」 시행규칙 제24조의3(촬영자료 열람·제공 등의 제한) 에서는 “관리주체는
폐쇄회로 텔레비전의 촬영자료를 보안 및 방범 목적 외의 용도로 활용하거나 타인에게
열람하게 하거나 제공하여서는 아니 된다”고 규정한다.
「표준 개인정보 보호지침」 제44조 제1항에서는 “영상정보처리기기운영자는 ① 정보
주체에게 동의를 얻은 경우 ② 다른 법률에 특별한 규정이 있는 경우 ③ 정보주체
또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전
동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,
재산의 이익을 위하여 필요하다고 인정되는 경우 등을 제외하고는 개인영상정보를
수집 목적이외로 이용하거나 제3자에게 제공하여서는 아니된다”고 규정한다.
[민간분야 영상정보처리기기 설치·운영 가이드라인](행정자치부)에서는 “범죄수사와
공소제기 유지를 위해 수사기관 등에서 개인정보가 포함된 자료제출을 요구하는 경
우 원칙적으로 법관의 영장이나 법원의 제출명령이 있는 경우에만 본인 동의 없이
제공할 수 있다”고 설명한다. 이는 CCTV영상정보 유출시 그 위험성이 크기 때문에
일반 개인정보 제3자 제공의 요건보다 엄격하게 규제하여 CCTV영상정보의 보호를
두텁게 하기 위한 것으로 해석된다.
◦사안에서 피신청인이 신청인들의 모습이 담긴 CCTV영상정보를 제3자인 입주자대표
에게 제공하기 위해서는 정보주체인 신청인들로부터 동의, 다른 법률의 특별한 규정이
있거나, 또는 법관의 영장이나 법원의 제출명령이 있어야 하나, 그러한 절차를 거치지
아니하였으므로 피신청인이 입주자대표에게 개인정보를 제공한 행위는 「개인정보
보호법」 제18조 및 「주택법」 시행규칙 제24조의3 규정을 위반하였다고 판단되어
아래와 같이 결정한다.
5. 위원회 결정
◦이 사건에서 피신청인은 신청인들의 개인정보가 포함된 영상정보를 신청인들로부터
동의를 받지 않고 제3자에게 제공함으로써, 신청인들로 하여금 자신의 개인정보에
대한 오·남용 우려 등 정신적 피해를 입혔음이 인정되므로, 신청인들에게 각각 금
200,000원의 손해배상금을 지급하여야 한다.
◦또한, 피신청인이 처리하고 있는 입주민들의 개인정보를 보호하기 위한 방안을 마련
해야 할 것이며, 개인정보를 취급하는 직원에 대한 개인정보보호 관련 법령 및 인식
제고 교육을 실시해야 하고, 재발방지를 위해 필요한 계획을 수립하고 이행하여야
한다. 해당계획서는 서면으로 우리 위원회에 제출하고, 이행이 완료되는 시점에 그
이행 결과를 통보하여야 한다.
출처: 개인정보보호 분쟁사례집
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 운영모드 정리 (0) | 2016.10.26 |
| 암호문 공격 분류 (0) | 2016.10.25 |
운영모드 정리
|
|
ECB |
CBC |
CFB |
OFB |
CTR |
|
장점 |
- 간단하고 신속한 장점 - 기밀성 낮음 |
패턴반복성X |
패팅불요 |
패팅불요 |
패딩불요 고속처리 OFB와 같은 스트림 암호 |
|
에러전이 |
X |
O 2개의 평문블록) |
O 그 후의 모든 암호문에 대한 에러전이 |
X |
X |
|
병렬처리 |
암호화, O 복호화 O |
암호화 병렬X 복호화병렬 O |
복호화병렬 O 암호화병렬 X |
암호화X 복호화X |
암호화O |
|
구조 |
|
|
|
암/복호화 같은 구조
|
암/복호화 같은 구조
|
|
|
|
|
|
위성과 같은 NOISY채널에 사용 |
|
|
단점 |
기밀성이 낮음 |
|
|
|
|
|
패턴 |
패턴 O |
패턴반복성 X |
|
|
|
|
공격 |
암호문 삭제, 교체에 의한 평문조작 |
|
|
적극적 공격자가 암호문 비트반전시키면 대응 평문블록이 비트 반전 |
암호문 비트반전시키면 대응 평문블록이 비트 반전 |
|
재전송 공격 |
O |
|
O |
|
|
|
초기화 벡터 |
|
비밀일 필요는 없으나 무결성 (미리약속) 초기화벡터에 대한 공격 가능 |
1단계 앞에 블록이 없으므로
|
랜덤비트열 사용 |
|
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 암호문 공격 분류 (0) | 2016.10.25 |
암호문 공격 분류
암호문에 대한 공격은 다음과 같이 구분할 수 있습니다.
|
|
|
|
암호문단독공격 (COA) Ciphertext only Attack |
- 공격자가 암호키를 사용하여 같은 알고리즘으로 암호화된 암호문 집합보유한 경우 이용합니다. - 평문을 찾거나, 암호키를 찾거나, - 암호화할수 있는 새로운 알고리즘을 발견하는 것을 목적으로 합니다. |
|
기지평문공격 (KPA) Known plain text Attack |
- 암호문 뿐만 아니라 대응되는 평문을 보유한 경우 사용합니다. - 암호문/평문쌍을 선택할 수는 없다는 것이 선택평문공격과의 차이점 입니다. - 암호키를 찾거나 암혹문을 복호화할수 있는 새로운 알고리즘을 발견하는 것을 목적으로 하는 점은 동일합니다. |
|
선택평문공격 (CPA) Chosen Plaintext Attack |
- 공격자가 평문과 암호문쌍의 유한집합을 의미합니다. - 차이점은 공격자는 자신이 원하는 평문과 암호문쌍을 가질수 있으므로, 기지평문공격과 차이점이 있습니다. - 다만, 공격이 시작된 이후에는 새로운 쌍을 얻을 수 없습니다. - 하지만, 적응적 선택평문공격(Adaptive CPA)에서는 공격을하면서 평문과 암호문 쌍 얻을 수 있습니다. |
|
선택암호문 공격 (CCA) Chosen Cipher text Attack |
- 암호문에 대응하는 평문을 얻을 수 있습니다. - 주로 공개키 알고리즘을 분석할 때 사용하며 가장 강력한 공격방법에 해당합니다. |
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 운영모드 정리 (0) | 2016.10.26 |