[어니스트뉴스=손시훈기자] 행정안전부는 공공기관 홈페이지를 통해 개인정보가 노출되는 것을 방지하기 위해 ‘공공기관 홈페이지 개인정보 노출방지 가이드라인’을 개정하여 전 공공기관에 배포한다고 13일 밝혔다.

지난해 행안부가 개인정보 노출 조기경보시스템을 통해 약 34만개의 웹사이트를 모니터링 한 결과, 노출된 경우가 점검 웹사이트 대비 0.1%의 수준으로 나타났다.(2009년 0.7%와 비교해 볼 때 대폭 개선)

 개인정보 노출 사례

노출된 경우는 그 주요 원인이 업무담당자 부주의(65.0%) 또는 홈페이지 설계 오류(32.2%) 등으로 나타나 각 기관에서 개인정보를 취급하고 있는 업무담당자의 개인정보에 대한 인식제고가 무엇보다도 중요한 것으로 파악되었다.

이에 따라 행안부는 업무담당자의 인식제고와 업무 역량 강화를 위해 개인정보 노출원인과 조치방법, 홈페이지 보안취약점에 따른 점검방법 등을 반영하여 가이드라인을 개정하게 되었다고 밝혔다.

이번 가이드라인은 공공기관의 홈페이지를 통한 개인정보 노출을 사전에 방지하고 효율적인 점검·관리를 위한 기준을 제시하고자  2008.2월에 제정되었으며, 2009년에 한차례 개정된 바 있다.

이번 가이드라인의 주요 개정내용으로는 담당자 혹은 민원인의 부주의로 개인정보가 포함된 게시물이 홈페이지에 등록되는 것을 원천 차단하기 위해 주민번호 등의 포함여부 점검 방법을 게시판 프로그램에 반영하도록 했다.
기관 홈페이지에 노출된 개인정보가 구글 등 검색엔진을 통해 수집되어 제공되고 있는 경우, 이를 삭제하기 위한 구체적인 방법과 절차 안내를 포함했다.
또한, 공공기관에서 자주 발생하고 있는 개인정보 노출 사례와 노출유형에 따른 조치방법 등을 제시하여 공공기관 업무담당자가 보다 쉽게 개인정보 보호조치를 취할 수 있도록 했다.

개인정보 노출의 간접적인 원인이 되는 홈페이지 서버 보안취약점을 제시하고 각 취약점별로 점검 및 조치 방법을 자세하게 설명했다.

한편, 이 가이드라인은 행정안전부 홈페이지(http://www.mopas.go.kr)와 개인정보보호 종합지원시스템(http://www.privacy.go.kr)에서 내려 받을 수 있다.

장광수 행정안전부 정보화전략실장은 “이번 가이드라인 개정과 지속적인 담당자 교육으로 각급 공공기관의 개인정보 보호에 대한 인식 및 보호조치 수준이 한 단계 업그레이드 되기를 기대하며,  앞으로도 우리부는 개인정보 노출 상시 점검을 실시하여 국민들의 개인정보가 노출되는 것을 막기 위해 지속적으로 노력해 나갈 것이다”고 밝혔다.

공공기관 홈페이지 개인정보 노출방지 가이드라인

개요
    1. 개인정보 노출이란 무엇인가요?
    2. 개인정보 노출이 왜 문제가 되나요?
    3. 침해사고 위험이 높은 개인정보는 어떤 것인가요?
    4. 개인정보 노출을 방지하기 위해서는 어떻게 관리해야 하나요?
개인정보 노출유형 및 조치방법
    1. 업무담당자 부주의
    2. 민원인 부주의
    3. 홈페이지 설계오류
    4. 외부 검색엔진 노출 유형
개인정보 노출 방지대책
    1. 개인정보 노출방지를 위한 종합 대책
    2. 홈페이지 관리자 유의사항
    Tip-1 구글에 노출된 개인정보 삭제 방법
    Tip-2 로봇 배제 표준 적용 방법
    Tip-3 홈페이지 게시판글 등록시 주민번호 등 개인정보 필터링 적용방법
OWASP 홈페이지 보안 취약점 및 기술적 보안 조치
    1. 인젝션(SQL Injection)
    2. 크로스사이트 스크립트(XSS)
    3. 취약한 인증과 세션관리
    4. 불안전한 직접객체 참조
    5. 크로스사이트 변조요청(CSRF)
    6. 보안상 잘못된 구성
    7. 불안전한 암호화 저장
    8. URL 접근 제한 실패
    9. 불안전한 통신
   10. 검증되지 않은 리다이렉트와 포워드

어니스트뉴스 web@honestnews.co.kr
저작권자 ⓒ HNN 어니스트뉴스 (www.Honestnews.co.kr) 무단전재 및 재배포 금지