전자금융데이터

전자금융데이터
 - 금융정보 : 고객에게 부여하는 유일한 정보 
                상호공유와 협의 절차를 통해 신뢰성 부여
 - 금융거래정보 : 하나의 항목필드 개념이 아닌 해당거래에 대한 흐름을 나타낼 수 있는 전반적정보 송수신 정보(금융정보와 개인정보가 묶여져있음) , 로그형태의 정보
- 개인(신용)정보 : 개인정보를 이용하여 거래 당사자를 식별하고 인증을 완료 후 금융서비스 제공

개인정보 : 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해서 개인을 알아볼 수 있는 정보
개인신용정보 : 신용정보 중 개인의 신용도와 신용거래능력등을 판단할 때 필요한 정보
신용정보 : 개인신용정보를 포함한 거래 상대방의 신용도 판단

개인정보의 생명주기
*개인(신용정보) 수집, 
*개인(신용) 정보 저장 - 일방향 및 양방향 암호화 하여 저장되고 명시된 보존기간을 초과하지 않음, DMZ 구간에는 개인정보 보관이 불가 
*개인(신용)정보 이용 - 동의서에 명시된 목적에 한해서만 이용하여야 하며 목적에 적합하게 이용되는지를 확인 , 외부 반출되는 경우 개인정보보호책임자의 승인 여부 확인 등의 절차, 직원 업무용 pc에 개인 정보를 탐지할 수 있는 시스템을 적용(DLP), 개인 신용정보 취급자가 아닌 직원 이용여부 확인
*개인(신용) 정보 파기-분리보관 포함- 개인(신용)정보 동의서에 따라 명시된 종료 또는 금융거래 등 상거래 관계가 종료된 날로부터 5년 이내 원칙적으로 개인(신용)정보를 파기 , 개인(신용)정보를 다른 법률에 따른 의무를 이행하기 위해서나 정보주체의 생명,신체,재산의 이익을 위해 필요하다고 인정되는 경우에는 개인신용정보를 파기아닌 분리 보관 할 수 있음

단말기 : 데이터 암호화 하여 유출시 열람불가 (DRM 문서 보안) , 중요한 데이터 PC등에 저장 불가 (DLP 이용 중요 정보 탐지 및 삭제 = 유통 통제, 디스크 삭제 완전삭제를 통한 전자금융 데이터 복구 차단, 보안매체 접근 - 매체제어를 통한 접근제어 , 전송 - L7 레이어 통제나 방화벽 + L4 방화벽 조합으로 통제 , 웹필터를 통한 비인가 site 접속을 불허, 데이터 유출은 DLP를 이용한 차단

안전한 금융데이터 보호를 위해 전자금융데이터 암호화, 암호화 키관리 및 개인(신용)정보 확인

전자금융데이터 암호화 규정
 전자 금융거래, 무선통신망 이용, 개인신용정보보호는 암호호 필요

데이터 서버(plug-in) :  DB 자체에 모듈을 연동하여 사용이 용이하고 처리속도가 느림                                  어플리케이션(API) : DB와 분리되어 처리속도가 빠름 프로그램수정 범위가 넓어지고 복호화 query 뷰가 일부 불가능할 수 있음                                                                                    TDE : DBMS 커널 자체 암호화 빠름 DBMS가 지원해야하며 사용자별 접근제어가 어려움       파일암호화 : os 자체가 지원해야함 응용프로그램수정이 거의 없음

금융회사 또는 전자금융업자는 암호화 프로그램에 대하여 담당자 지정 담당자 이외의 이용통제 및 원시프로그램 별도 보관등을 준수하여 유포 및 부당 이용이 발생하지 않도록 하영야 한다  암호프로그램과 암호화 키는 전담 담당자 지정하고 담당자 이외에는 접근을 통제

고유식별정보, 바이오 정보 : AES-256 데이터 암호화                                                   비밀번호 : sha-256 일방향 암호화                                                                           이름 전화번호 계좌번호 카드번호 : 마스킹
개인 신용정보 수집 : 수집동의 항목을 명확히 구분
개인(신용)정보 저장 이용 : 암호화 , 일방향 암호화 ,명시된 목적으로 이용
개인(신용)정보 제공 : 적법하게 최소한의 정보만 제공 , 외부 반출 시 관리 절차 준수 등
개인(신용)정보 파기 : 보존기간 준수하여 파기 (이중화 시스템 파기 확인)

===========================================================
네트워크 접근 통제(NAC)
 목적 : 접근제어 강화, 인증강화, 단말 무결성 강화, 보안 위반행위 차단
 802.1x : 사용자 및 MAC 프로토콜이며 , 요청자,인증자,인증서버로 구성
VLAN(Virtual) : 인가와 비인가를 가상네트워크로 분리한 후 단말기의 MAC 인증을 통해 인가된 단말기를 인가된 네트워크로 이동시키는 방식으로 동장 - 인가와 비인가로 구분한 네트워크 보안 제공으로 보안성이 우수
DHCP(Dynamic Host configuration Protocol) : Mac 인증을 통해 인가된 단말기와 비인가된 단말기의 네트워크 IP대역을 분리하여 할당하는 방식 , 표준 기술로 구현이 쉬우나 고정아이피로 우회를 할 수 있음
ARP(Address Resolution protocol) : 비인가된 단말기의 ARP 통신을 방해하여 네트워크를 차단하는 방식, 비인가 단말기 차단  속도가 빠르며 네트워크 스위치별 NAC통제가 필요
Agent 방식 : 네트워크 특성을 제한되지 않음, 에이전트를 통한 세밀한 제어가 가능 모든 곳에 에이전트 설치가 필요하며 사용자게 에이전트를 제어하지 못하게 접근제어 필요

===========================================================
문서 암호화 (DRM)