개인정보 처리 시스템에서의 공유폴더 설정 사용 여부 - 개인정보보호법
개인정보 처리 시스템에서의 공유폴더 설정 사용 여부 - 개인정보보호법
개인정보가 포함되어 있는 시스템의 경우에는 공유폴더를 생성하여 사용하지 않아야 합니다.
다만, 정말 업무상 필요한 경우에는 권한 분리를 확실히 하여 권한이 있는 계정만 접근이 될 수 있도록 조치되어야 하며, 권한이 없는 계정에 공개되거나 유출되지 않도록 접근 통제가 필요합니다.
업무상 필요한 경우라 할지라도 공유폴더를 통해 개인정보가 포함되어 있는 파일이 공유폴더를 통해 전송되지 않도록 유의를 해야 합니다.
관련법령
개인정보의 안전성 확보조치 기준 - 제6조 (접근통제)
(제3항) 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인 정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
● 개인정보처리자는 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 P2P, 공유설정은 기본적으로 사용하지 않는 것이 원칙이나, 업무상 반드시 필요한 경우에는 권한 설정 등의 조치를 통해 권한이 있는 자만 접근할 수 있도록 설정하여 개인정보가 열람권한이 없는 자에게 공개되거나 유출되지 않도록 접근 통제 등에 관한 안전조치를 하여야 한다.
- 업무상 꼭 필요한 경우라도 드라이브 전체 또는 불필요한 폴더가 공유되지 않도록 조치하고, 공유폴더에 개인정보 파일이 포함되지 않도록 정기적으로 점검이 필요하다.
공유폴더 - SAMBA
공유폴더는 SAMBA라는 프로토콜을 통해 전송되는데, (이하 SMB) 이 SMB 프로토콜은 취약점이 자주 발생하기 때문에 사용하지 않는 것을 권장하며, 개인정보처리시스템과의 파일 전송은 sFTP를 통한 파일 전송을 권장합니다.
가장 널리 알려진 것으로는 워너크라이 (Wanna Cry)같은 랜섬웨어가 SMB의 취약점(SMBv2원격코드 취약점)을 통해 전파가 되는 경우로, 감염이 되면 감염된 컴퓨터에 연결되어 있는 네트워크 폴더, 쉽게 말해 연결 가능한 모든 공유폴더에 접근하여 파일을 암호화 시켜 버립니다. 기업 같은 경우 공유폴더를 많이 사용하고 있기 때문에 한명의 PC가 감염되더라도 치명적일 수 있습니다.