-
IT·보안온라인에서 개인을 식별하는 방법, CI
은행에서 시행하는 마이데이터(MyData)란 개인의 동의하에 여러 금융사에 흩어진 금융 내역을 통합 관리할 수 있는 서비스입니다. 마이데이터 서비스에서는 어떻게 다른 은행의 정보를 가져올 수 있을까요? 어떤 데이터를 통해 다른 기관에서 한 개인을 특정지을 수 있을까요? 정답은 CI에 있습니다.CI(연계정보)란?연계정보를 뜻하는 CI란 Connecting Information의 약자로 온라인상 이용자 식별과 데이터 연계 및 개인정보를 효율적으로 관리하기 위해 사용되는 고유식별자를 의미합니다. 온라인 주민등록번호라고 볼 수 있기도 한데요. 서로 다른 인터넷 업체 간 동일인을 식별하기 위해 사용되며 온라인상에서 주민등록번호의 유출, 남용 등의 사고를 방지하고, 주민등록번호의 수집 및 이용을 최소화하기 위해 만들어진 대체 수단입니다. CI(연계정보)는 온라인 서비스상에서 이용자를 식별해야하는 다양한 상황에 활용되고 있습니다. 특히 은행, 카드, 보험, 증권 등 다양한 금융회사 간 동일 고객을 식별하고 데이터를 전송하는 과정에서 활용됩니다. CI 생성과정, 출처: KISACI(연계정보)는 주민등록번호를 일방향 암호화하여 생성되는 개인식별용 고유한 범용 Key값입니다. 개인별로 고유하게 생성된 주민등록번호를 일방향 암호화하기 때문에 원래의 데이터로 복원이 불가능하다는 특징이 있습니다. CI(연계정보)는 본인확인기관에 의해서 생성됩니다. 본인확인기관이란 가입자를 대신하여 정보를 제공하는 기관으로, 이용자의 주민등록번호를 사용하지 않고 대체수단을 제공하는 기관입니다. 특히 온라인·비대면 사회에서 이용자를 식별하기 위해 회원가입, 아이디 및 비밀번호 찾기, 금융거래 및 결제 등 다양한 분야에서 본인확인 서비스가 활용되고 있으며, 이용자는 주민등록번호를 사용하지 않더라도 본인을 식별하고 인증하는 서비스를 제공받습니다. CI 발급과정, 출처: KISA정부는 이용자의 주민번호를 사용하지 않고 본인을 확인하는 방법(대체수단)을 제공하는 본인확인기관을 방송통신위원회가 지정하도록 하였습니다. 방송통신위원회는 이용자의 개인정보를 안전하게 보호하기 위해 매년 적합성 심사를 통해 본인확인기관을 지정하고 있습니다. 대체수단으로는 아이핀, 휴대폰, 신용카드, 인증서가 있으며, 이를 제공하는 본인확인기관으로는 아이핀 기관, 이동통신3사, 신용카드사 등이 있습니다. 본인확인기관에서는 대체수단을 통해 확인되어 CI가 포함된 본인확인결과를 온라인 사업자에게 제공합니다.「정보통신망 이용촉진 및 정보보호 등에 관한 법률」방송통신위원회는 온라인에서 연계정보를 활용한 서비스가 안전하게 운영될 수 있도록 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 개정안을 마련하였습니다.개정안에서는 본인확인기관이 CI를 생성, 처리하는 경우 안전성 확보를 위한 물리적, 기술적, 관리적 조치를 의무화하였습니다. 이를 위반하는 경우 최대 3천만원 이하의 과태료를 부과하도록 하였습니다.제9조의 12(본인확인기관의 물리적·기술적·관리적 보호조치 등)① 본인확인기관은 법 제23조의6제1항에 따른 연계정보 생성ㆍ처리의 안전성 확보를 위하여 다음 각 호의 물리적ㆍ기술적ㆍ관리적조치를 해야 한다.1. 제9조의3제1항제1호 각 목에서 정한 사항2. 법 제23조의5제1항제4호에 따른 연계정보 생성·처리를 위한내부규정 수립 및 시행3. 연계정보의 안전한 생성·처리를 위한 보호조치4. 연계정보 생성 및 처리 사실확인자료의 기록ㆍ보관5. 그 밖에 방송통신위원회가 정하여 고시하는 사항② 연계정보 이용기관은 법 제23조의6제2항에 따른 다음 각 호의안전조치를 취해야 한다.1. 연계정보의 안전한 처리를 위한 내부규정의 수립 및 시행2. 목적 범위 내 연계정보 처리3. 연계정보와 주민등록번호의 분리보관 조치4. 연계정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용5. 이용자 보호 및 불만처리에 관한 계획의 수립 및 시행6. 연계정보의 수집 출처, 수집 시기 등에 관한 자료의 기록·보관7. 그 밖에 방송통신위원회가 정하여 고시하는 사항CI vs DICI와 비교되는 개념으로는 DI(Duplicated Joining Information)가 있습니다. DI는 ‘중복가입 확인정보’라고도 하며, CI와 마찬가지로 본인확인기관에서 대체수단을 통한 본인확인의 경우에 생성됩니다. DI는 하나의 서비스 안에서 사용자의 중복 가입을 막기 위한 고유 값입니다. DI는 특정 서비스 내에서만 유효하며, 같은 사용자가 여러 계정을 만들지 못하도록 중복을 방지하는 목적으로 사용됩니다. 인증 업체마다 같은 개인이라도 다르게 발급되기 때문에 서로 다른 서비스에서 공유할 수 없습니다. DI 또한 CI와 마찬가지로 영어대소문자와 숫자로 이루어져 있으나, CI는 88byte키값으로 구성되어 있는 반면 DI는 66byte로 구성되어 있다는 차이점이 있습니다. 또한 CI는 어느 웹사이트에서든 동일한 값이 제공되는 반면, DI는 웹사이트별로 다른 값이 생성됩니다. 따라서 CI는 온라인에서 서로 다른 사이트 간 동일인을 식별하기 위해 사용되지만, DI는 인증 업체마다 다르게 발급되기 때문에 서로 다른 사이트에서 공유할 수 없습니다.CI와 DI의 차이점, 출처:KISA온라인서비스에서 이용자를 식별해야하는 경우에 CI가 활용되는 경우가 많습니다. 특히 개인의 금융정보를 통합 및 관리하여 주는 금융 마이데이터 서비스에 적극 활용되고 있습니다. 마이데이터 서비스는 시행 이후 2년만에 1억 1,787만명의 가입자를 돌파하는 등 국민들의 일상에 정착되어 있습니다. 개인정보보호위원회는 마이데이터 선도서비스 지원사업으로 의료, 통신 등 여러 분야를 선정하였으며, 이에 따라 마이데이터의 활용 범위를 점진적으로 확대할 계획임을 밝혔습니다. 이처럼 마이데이터 사업이 더욱 확장됨에 따라 CI의 활용도도 더욱 높아질 것으로 예상됩니다. 출처 및 참고자료방송통신위원회, ‘연계정보’, 활용성과 안전성 동시에 잡는다 KISA 한국인터넷진흥원, CI에 대한 현황 및 논의 필요사항
-
- 25.01.03
-
신시스토리신시웨이 12월 소식
‘가족친화 우수기업’ 재인증 획득신시웨이가 가족친화우수기업 재인증을 획득하였습니다. 여성가족부가 주관하는 가족친화인증제도는 자녀출산양육 및 교육지원제도, 유연근무제도, 근로자 및 부양가족 지원 등 가족친화제도를 모범적으로 운영하는 기업 및 공공기관을 대상으로 심사를 통해 인증을 부여합니다. 신시웨이는 유연근무제, 육아 재택근무 시행, 생일자 휴가 부여, 가족 휴양시설 제공 등 임직원들이 일과 가정의 균형을 이룰 수 있도록 다양한 지원제도를 운영하고 있습니다.유경석 대표이사 과기정통부장관 표창 수상신시웨이가 ICT중소기업 발전에 기여한 공로를 인정받아 2024 정보통신 중소기업 발전 유공포상을 수여하였습니다. 정보통신 중소기업 발전 유공자 포상은 ICT 중소·벤처기업의 건전한 발전을 촉진하고, 우수한 경영성과와 성공 사례를 발굴하기 위해 마련된 제도입니다. 신시웨이는 조직 개편 및 고용 확대를 통해 중소기업의 일자리 창출 정책에 적극 참여하였으며, 국내 고객사의 해외법인을 통한 수출 확대 및 글로벌 경쟁력 강화, 직무발명 보상제도를 통한 혁신 기술 창출 등의 기여를 인정받았습니다.2024년 벤처창업진흥 유공포상 장관표창 수상신시웨이는 2024 정보통신중소기업발전 유공포상 장관표창을 수여하게 되었습니다. 이번 표창은 정보통신 중소기업의 발전에 공로가 있는 모범ICT 중소 또는 벤처기업인을 발굴하여 업계의 건전한 발전을 도모하는데 목적이 있습니다. 신시웨이는 지속적인 연구개발과 혁신기술을 통해 국가ICT산업발전에 기여했다는 평가를 받았습니다. 또한 신시웨이는 2023년 11월 코스닥 상장 달성 이후 아테네 교통공사에 DB보안 솔루션을 공급하는 등 글로벌 경쟁력을 강화하며 국내외에서 성장을 이어가고 있습니다.신시웨이 기술지원팀 채용지난 11월 25일~12월 18일까지 신시웨이는 자사 보안솔루션 기술지원을 수행할 엔지니어를 채용하였습니다. 약 1주일간의 모집공고 및 서류접수 이후 12월 18일 문정동 본사에서 대면 면접이 진행되었으며, 합격하신 분들은 1월 2일부터 본사로 첫 출근을 하게될 예정입니다. 또한 첫날 간단한 OT 진행 후 3주간 인재교육팀 소속으로 제품교육을 받게 됩니다.
-
- 24.12.23
-
S-Mart2024년 주요 이슈 돌아보기
2024년이 어느덧 마무리되며 2025년을 맞이할 준비를 하고 있습니다. 여러분의 한 해는 어떠셨나요? 2024년에는 어떤 이슈들이 있었는지 사회, 경제 이슈들을 중심으로 정리하였습니다. 이번 콘텐츠에서는 함께 지난 1년을 정리하고 돌아보도록 하겠습니다.중대재해처벌법1월 27일부터 기존에 50인 이상 사업장에만 적용되었던 중대재해처벌법이 5인 이상 모든 사업장에 적용되기 시작했습니다. 중대재해처벌법은 현장의 근로자가 크게 다치거나 사망하면 사업주·경영책임자가 1년이상의 징역이나 10억원 이하의 벌금 등 형사처벌 받도록 규정하고 있습니다. 노동자의 생명과 안전을 지킬 수 있는 안전장치를 마련하고 사업주들의 책임을 회피하는 것을 방지하는 법입니다.중대재해처벌법이 최초로 시행된 것은 2022년 1월이나, 50인 미만 사업장은 2년의 유예기간이 적용되었으며, 유예기간이 종료되면서 올해 1월 27일부터 5인이상 모든 사업장에 적용되었습니다. 영세 기업을 대상으로 적용 준비기간을 주었으며, 앞으로는 5인이상의 모든 사업장의 근무현장에서 노동자의 안전을 지킬 수 있도록 노력해야 합니다. 전공의 집단 파업 정부에서 2025학년도 입시부터 의대 증원 방침을 발표한 후 의사와 정부의 대립이 지속되었습니다. 의대 증원에 반대하는 전공의들이 집단으로 사직·파업하면서 의료공백이 생기기도 했습니다. 정부에서는 비수도권 지역의 의료 인력 부족과 내과·외과·산부인과·소아청소년과같은 필수 의료분야의 인력 부족 문제를 해결해야한다는 입장이었습니다. 의료계는 의대 증원으로는 의료부족이 해결되지 않으며, 지역의료 및 필수의료에 대한 보상을 늘리고 의료사고에 따른 법적 분쟁 부담 문제를 먼저 해결해야 한다는 입장입니다. 정부와 의료계는 끝내 합의하지 못했으며, 갈등은 지금까지 이어지고 있습니다.세계 최초로 ‘AI규제법’가결 3월 13일에는 유럽연합(EU)에서 세계 최초로 AI를 규제하는 법안이 통과되었습니다. AI규제법의 등장 배경으로는 생성형 AI의 등장으로 인해 AI의 활용이 확대되면서 범죄 및 오남용 우려 확대가 있습니다. AI규제법에서는 AI활용분야를 네단계의 위험등급(허용불가능한 위험, 고위험, 제한된 위험, 최소한의 위험)으로 나눠 규제하고 있습니다. AI법은 EU회원국에 진출한 모든 AI기업이 대상이며, EU외부 기업들도 EU고객의 데이터를 AI플랫폼에서 사용할경우 AI규제법을 준수해야 합니다. EU에서 AI규제법을 규정함에 따라 다른 국가에서도 AI규제에 관한 움직임이 있을 것으로 보입니다.대중교통을 저렴하게, 기후동행카드·K-패스 2023년도에 대중교통요금은 16년만에 최고상승률을 기록하였습니다. 이에 정부와 각 지방자치단체는 정책교통할인카드를 출시하며 대중교통 요금에 대한 부담을 덜 수 있도록 했습니다. 서울시내 지하철·시내버스를 월 6만2,000원에 무제한 이용 가능한 기후동행카드를 1월 선보였으며, 4월 24일부터는 알뜰교통카드를 대체하는 대중교통 지원정책 K-패스가 시행되었습니다. K-패스는 전국에서 월 15회이상 전국에서 대중교통 탑승 시 교통비를 20% 환급받을 수 있으며, 최대 60회까지 이용요금을 환급받을 수 있습니다. 코로나 펜데믹 종료 정부에서는 5월 1일부터 코로나19의 위기 경보 단계를 가장 낮은 단계인 ‘관심’으로 내렸습니다. 우리나라에서 첫 코로나19 환자가 발생한 이후로부터 4년 3개월간의 긴 여정에 마침표를 찍게 되며, 독감 수준으로 관리하게 되었습니다. 또한 코로나19 대응에 앞장서온 중앙방역대책본부와 중앙사고수습본부도 운영을 종료하였습니다.34년만에 최저가 기록한 엔화 엔화가 100엔당 860원대까지 내려가며 34년만에 최저가를 기록했습니다. 엔화가치 하락은 일본의 마이너스 금리, 미국과의 기준금리 격차, 일본의 1분기 국내총생산(GDP)성장률 마이너스 등이 원인이며, 한국과 일본 경제에 큰 영향을 미치고 있습니다. 특히 올해에는 엔저현상으로 인해 일본으로 향하는 여행객들이 증가하기도 했습니다. 국토교통부의 항공통계에 따르면 올해 1~3월 전체 국제선 여객 중 일본으로 향한 여객수는 186만여명으로 1위를 기록하였으며, 이는 23년도 1분기 대비 39%가량 증가한 것으로 나타났습니다.최저임금 1만원시대 개막 2025년도 최저임금이 결정되었습니다. 7월 12일 최저임금위원회에서는 올해(9860원)보다 1.7% 오른 10,030원으로 확정하였습니다. 시간당 최저임금이 1만원을 넘은 것은 최저임금제 도입 이후 37년만에 처음입니다. 최저임금제도는 임금의 하한선을 규정해 최소한의 생활 안정을 보장하기위한 제도입니다. 최저임금은 여러 사회보장제도에 따른 지급액·납입액에도 적용되고 있습니다. 실업급여, 지역고용촉진지원금, 출산전후휴가급여 등이 최저임금을 기준으로 산정됩니다. 따라서 최저임금은 ‘전국민 임금협상’이라 불리기도 합니다.2024 파리 올림픽 7월 26일에 개막하여 약 2주간 진행되었던 2024 파리올림픽이 8월 12일 막을 내렸습니다. 우리나라는 금메달 13개, 은메달9개, 동메달 10개를 수확하며 종합 7위로 올림픽을 마무리하였습니다. 2012년 런던올림픽 이후로 12년만에 최대 성과였으며, 특히 우리나라 올림픽 역사상 첫 메달을 다양한 분야에서 획득하였는데요. 여자 복싱, 사격 속사권총, 남자 태권도 58kg급, 남자유도 100kg등이 각 종목에서 첫 메달을 획득하였습니다. 딥페이크 성범죄 공포 확산그동안 AI를 활용한 딥페이크 범죄에 대한 우려가 9월에 현실로 드러났습니다. 연예인은 물론 대학생, 교사, 군인, 미성년자까지 딥페이크 성범죄 피해를 입었고, 성범죄물을 제작·유포하는 텔레그램 대화방이 발견되어 딥페이크에 대한 공포가 확대되었습니다. 경찰에서는 딥페이크 성범죄 특별 집중단속에 나섰으며, 국회에서 발의한 ‘딥페이크 성범죄 방지법’이 본회의를 통과하였습니다. 해당 법안에서는 딥페이크 성 착취물을 소지·구입·저장·시청하면 3년이하 징역 또는 3,000만원 이하 벌금에 처하는 내용이 담겨있습니다. 한강 노벨문학상 수상 10월 10일, 한국 소설가 한강이 대한민국 최초이자 아시아 여성 최초로 노벨문학상을 수상하였습니다. 노벨문학상은 후보 목록을 철저히 비밀로 하며, 한강작가가 수상할 것이라 예측하지 못하였던 결과였습니다. 따라서 수상자가 발표되자마자 한강작가의 작품은 온라인서점 1~20위에 올랐으며, 온·오프라인 서점에서 품절되기도 했습니다. 한강의 노벨문학상 수상으로 인해 그동안 낮아졌던 국민들의 독서량이 다시 증가할 것으로 기대되기도 합니다.유엔기후변화협약 당사국총회(COP29) 개최 온실가스 감축을 위한 회의 유엔기후변화협약 당사국총회(COP29)가 개최되었습니다. 이번 COP29는 아제르바이잔에서 열렸으며, 기후위기 대응에 필요한 예산 문제에 대한 논의가 있었습니다. 개발도상국에서는 지금까지 경제발전을 명목으로 화석연료를 사용한 선진국의 책임이 크기 때문에 더 많은 부담을 져야 한다는 주장을 했습니다. 선진국은 많이 부담하는 것에 동의하지만 온실가스 배출량이 많은 중국 및 신흥경제국들이 함께 부담할 것을 요구하였습니다.금융투자소득세 폐지 12월 10일, 국회 본회의에서 소득세법 개정안이 통과되면서 금융투자소득세가 4년여의 논의 끝에 폐지되었습니다. 금융투자소득세는 주식·채권·펀드 등 금융투자소득이 일정금액을 넘으면 초과한 소득에 대해 20~25%의 세금을 부과하는 제도입니다. 최근 국내 증시 상황이 얼어붙으며 금융투자소득세 폐지에 대한 목소리가 커졌고, 결국 폐지하는 것으로 결론이 내려졌습니다.
-
- 24.12.23
-
이벤트2024 수고했어 올해도!
2024년 한해동안 모두들 수고하셨습니다!수고한 나 자신을 위한 셀프칭찬을 남겨주세요추첨을 통해 7분께 기프티콘을 드립니다.*당첨자 발표*김*훈(6293) / 김*수(4249) / 우*아(4785)이*민(5125) / 정*원(3866) / 정*교(2610) / 최*진(9619)
-
- 24.12.23
-
IT·보안AI 열풍, 이젠 보안까지?
ChatGPT의 부상으로 인공지능(AI)은 현재 기술분야에서 가장 화두가 되고 있는 주제 중 하나입니다. AI의 발전에 따라 이를 악용한 공격이 증가하고 있습니다. 그러나 AI를 다양한 보안기술에 활용한다면, 각종 사이버 위협으로부터 보다 안전할 수 있습니다. AI는 피싱탐지, 사용자 행동분석, 악성코드 탐지, 이상 탐지 등에 활용될 수 있습니다. 해외뿐만 아니라 국내에서도 AI를 보안기술에 적용하려는 움직임이 있는데요. 과연 AI를 보안기술에 어떻게 활용할 수 있을까요? 전통 사이버 보안 VS AI 사이버 보안우선 사이버 보안이란 사이버 공격을 예방하거나 완화하기 위한 모든 기술, 관행, 정책을 뜻합니다. 사이버 보안은 랜섬웨어, 피싱사기, 데이터 유출 등의 사이버 위협으로부터 컴퓨터 시스템, 데이터 및 자산 등을 보호하는 것을 목표로 합니다. 전통 사이버보안은 사이버 위협에 대한 탐지, 대응 등을 뜻하며 수동적이라는 특징이 있습니다. 기업 네트워크의 경계에서 외부의 위협을 차단하는 방식으로 방화벽, 소프트웨어, VPN 등을 사용하여 네트워크 내부를 보호합니다.AI 사이버 보안은 자동화 매커니즘을 통해 인간의 개입을 최소화하고 위협 탐지 정확도를 높일 수 있습니다. 사이버보안에 AI를 활용함으로써 기존의 보안체계에 있었던 단점을 보완하고 악성공격에 보다 효율적으로 대응할 수 있습니다.AI를 활용한 보안 기술1. 이상 탐지이상 탐지란 일반적인 데이터의 정상 패턴에서 벗어난 데이터를 식별하기 위한 것을 뜻합니다. AI를 통해 정상적인 패턴과는 다른 비정상적인 행동을 식별하고 경고를 줄 수 있습니다. 이상탐지는 다양한 산업에서 활용되고 있습니다.금융·보험·증권사에서는 이상거래탐지시스템을 업무 전반에 적용하여 효율성과 정확성을 높이고 보안사고를 방지하고 있습니다. 이상거래탐지시스템(FDS, Fraud Detection System)은 전자금융거래시 단말기 정보와 거래정보 등을 수집 및 분석하여 이상 금융거래를 차단하는 기술입니다. 은행에서는 이상거래탐지시스템을 통해 신용카드 거래 데이터에서 일반적이지 않은 패턴을 발견하여 카드 사기 행위를 탐지할 수 있습니다.국내 의료산업에서도 적극 활용되고 있는데요. 국내의 한 병원에서는 AI로 낙상 이상징후를 탐지하는 시스템을 구축하여 의료진이 낙상 사고 발생 후 현장에 도착하는 시간을 앞당겼습니다. 또한 환자의 병원 내 위치를 추적하여 환자가 의료진의 동행 없이 낙상 고위험 지역으로 이동시 담당 의료인에게 알람이 울려 빠른 대응이 가능하도록 하였습니다. 2. AI 피싱 탐지보이스피싱을 비롯한 각종 피싱을 AI를 통해 탐지할 수 있습니다. 우리나라 이동통신사에서는 지능화되고있는 보이스피싱의 피해예방을 위해 AI 보안 연구를 더욱 강화하고 있습니다. 이동통신사 K사에서는 보이스피싱탐지 AI에이전트를 통해 통화음성을 실시간으로 텍스트로 바꾸고 이를 AI소형언어모델이 금융 사기와 연관된 문맥을 탐지하는 기술입니다. L사에서는 실시간 통화내용에서의 문장과 의도를 분석하여 보이스피싱 상황으로 의심될 경우 경고하는 통화비서를 출시하기도 했습니다.3. 사용자 행동 분석AI기반 행동분석은 AI를 통해 사용자의 행동 데이터를 수집하고 분석하는 것을 뜻하며, 이를 통해 비정상적인 행동을 탐지할 수 있습니다. 사용자 행동 분석을 통해 사용자가 비정상적으로 행동하는 것을 탐지하여 내부자 위협, 도용된 계정 등을 포착할 수 있습니다. 또한 데이터를 기반으로 사용자의 행동을 연구, 해석, 예측하기 위해 AI를 사용할 수 있습니다. AI를 보안에 활용한다면 갈수록 지능화되어가는 사이버 위협에 효과적으로 대응할 수 있습니다. 그러나 AI를 보안기술에 활용 시 고려해야 할 점들이 있습니다. 우선 데이터의 품질과 양을 고려해야 합니다. AI가 효과적으로 작동하기 위해서는 신뢰할 수 있는 양질의 데이터가 필요합니다. 데이터의 출처를 꼼꼼히 검토하고 검증할 수 있는 데이터인지 확인해야 합니다. 또한 AI를 통해 개인정보 등 중요 데이터를 처리할 때 부적절하게 사용되거나 유출되지 않도록 주의해야 하며, AI 모델의 성능을 지속적으로 모니터링하고, 업데이트하는 작업도 필요합니다.
-
- 24.12.20
-
IT·보안모든 것을 의심하라, 제로 트러스트(Zero Trust)
‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 뜻의 제로트러스트에 대해 들어보셨나요? 제로트러스트는 명확한 인증을 거치기 전까지는 모든 사용자, 기기를 신뢰하지 않고 신뢰성을 검증하여 기업의 정보를 보호하는 보안모델입니다. 세계 3개 리서치 기업 중 하나인 포레스터 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 최초로 제안하였으며, 최근 사이버 보안업계에서 가장 화두가 되고 있기도 합니다.전통적인 보안모델에서는 조직의 내·외부를 구분하여 내부자를 신뢰하였습니다. 그러나 제로트러스트는 내·외부 모두 공격자가 존재할 수 있다고 보며 모든 접근을 잠재적 보안 위협으로 바라보는 방식입니다. 따라서 내부 사용자 및 보안 시스템을 통과한 단말기라도 신뢰하지 않는다는 것이 기본 전제입니다. 제로트러스트 도입 현황가트너에서 실시한 ‘2024년 제로트러스트 도입 현황’에 관한 설문조사 따르면 전세계 기업의 63%가 제로트러스트 전략을 완전히 혹은 부분적으로 도입한 것으로 나타났습니다. 제로트러스트는 세계 각국에서 새로운 보안 패러다임으로 자리잡고 있으며, 이를 가장 빠르게 구현하고 있는 국가는 미국입니다. 미국은 2014년과 2015년도에 두차례 연방정부 인사관리처에서 발생한 대량 개인정보 유출사고를 계기로 제로트러스트 보안 모델을 도입하였습니다. 2019년도에는 미국의 국립표준기술연구소(NIST)에서 제로트러스트의 정의, 원칙 등을 기술한 제로트러스트 아키텍처를 발표하였습니다. 2021년도에 바이든 정부의 행정명령을 통해 연방 부처와 기관에게 제로트러스트 모델을 도입하도록 하며 도입을 본격화하였습니다.싱가포르는 ‘싱가포르 사이버 보안 전략 2021’을 통해 사이버 보안 현대화 전략으로 제로트러스트 도입원칙을 발표하였습니다. 영국은 2021년 7월 제로트러스트 아키텍처 설계 원칙을 발표하였으며, 일본은 2022년 6월 제로트러스트 아키텍처 적용 정책을 발표하였습니다. 제로트러스트 가이드라인이처럼 세계 주요 국가에서 적극적으로 제로트러스트의 도입방안을 마련하고 있으며, 우리나라에서도 도입을 위한 가이드라인을 발표하였습니다. 과학기술정보통신부·한국인터넷진흥원(KISA)·한국제로트러스트포럼에서는 이번 12월 가이드라인 2.0을 공개하였습니다. 지난해 7월 공개된 제로트러스트 가이드라인1.0에서는 제로트러스트의 기본 개념과 원리, 핵심 원칙 등에 대한 설명을 통해 도입 필요성을 강조하였습니다. 이번에 발표된 가이드라인2.0에서는 도입을 위한 세부절차, 구체적 방법론 등 기업에서 제로트러스트 도입 시 실질적인 도움이 될 수 있는 내용들로 구성하였습니다. 제로트러스트 아키텍처기업에서 제로트러스트 도입을 통해 달성하고자 하는 최종적인 목표는 기업망 및 내부 리소스에 대한 보호입니다. 제로트러스트 가이드라인에서는 제로트러스트 아키텍처의 기본 원리를 다음과 같이 정리하고 있습니다.제로트러스트 아키텍처제로트러스트 아키텍처 보안모델을 구성하는 논리구성요소인 정책결정지점(정책 엔진 및 관리자), 정책시행지점, 정책정보지점의 기능과 역할은 다음과 같습니다.정책관리자(PA)는 정책엔진과 함께 정책결정지점(PDP)을 구성하며, PEP에 명령하여 접근주체와 리소스 사이의 통신 경로를 생성하거나 폐쇄합니다. 또한 세션에 대한 인증·인가 토큰을 생성하여 접근주체가 기업 리소스에 접근하는데 사용하도록 합니다. 정책시행지점(PEP)은 접근주체와 기업 리소스를 연결하고 모니터링하며 최종적으로 연결을 종료하는 논리 구성 요소입니다. 정책정보지점(PIP)은 신뢰도 판단에 도움이 될 수 있는 정보를 생성하는 시스템을 뜻합니다. 제로트러스트 아키텍처를 실행하는 기업이 접근 결정을 위해 활용할 수 있는 정보를 생성·전달하는 요소로, 기업 내부에서 운영하는 시스템과 외부 시스템 모두 가능합니다.제로트러스트 아키텍처 보안 모델 및 논리 구성 요소기업이 제로트러스트를 도입해야 하는 이유제로트러스트 가이드라인에서는 기업이 제로트러스트를 도입해야 하는 이유에 대해서 다음과 같이 설명하고 있습니다.안전한 비즈니스 목표 달성기업에서는 보안성을 유지하면서도 새로운 비즈니스 모델에 유연한 제로트러스트 아키텍처를 설계·도입함으로써 안전한 비즈니스 목표를 달성할 수 있습니다. 지속적으로 변화하는 IT환경, 원격·재택근무의 증가, 클라우드환경의 확대 등의 급변하는 상황에서 보안을 유지하는 것은 중요합니다. 제로트러스트 아키텍처를 통해 안전한 환경을 제공하면서도 비즈니스 목표를 달성할 수 있도록 도움을 줄 수 있습니다.비용 절감 효과 및 ROI(투자 대비 수익)기업에 제로트러스트 아키텍처를 도입하는 경우 초기에는 투자 및 관리비용이 필요합니다. 그러나 장기적인 관점으로 볼 때 기업의 중요한 정보 및 디지털자산을 보호하고 보안사고를 대비할 수 있을 뿐만 아니라 인적자원 및 보안 관리비용을 절감할 수 있습니다.현재 보안 환경의 취약점 및 한계 개선을 통한 위험 관리미국 연방정부에서는 연방 인사관리처의 개인정보 유출 사고를 계기로 지속적인 검증을 통해 대응 능력을 강화하는 보안체계가 필요함을 확인하였습니다. 제로트러스트 아키텍처는 내부시스템이 공격받더라도, 접근에 대한 접속IP주소, 접속시간 등을 분석하여 비정상적 접근을 차단할 수 있습니다. 이러한 방식으로 제로트러스트는 기존의 보안체계의 한계를 보완할 수 있으며, 미래에 발생할 수 있는 보안사고에 대한 대응이 가능합니다.IT환경 변화에 대한 적응력제로트러스트는 기업이 다른 환경에 빠르게 적응하고 변화할 수 있는 환경을 만들어줄 수 있습니다. 제로트러스트에서는 데이터에 대한 접근제어, 접근 기록 유지, 지속적 모니터링 등을 중요시하기 때문에, 이를 통해 법적 규제 및 보안 통제에서의 요구사항을 준수할 수 있습니다. 개인정보보호와 데이터 보안 규제들이 강화되고 있는 상황에서 규제 및 법에 대한 기업의 적응력과 신뢰성을 높일 수 있습니다.기업 이미지 개선기업은 제로트러스트 아키텍처를 도입함으로써 주요 정보를 보호할 수 있을 뿐만 아니라 이를 통해 기업에 대한 고객 신뢰도를 강화하고 긍정적인 이미지를 구축할 수 있습니다. 마치며클라우드, 빅데이터, AI, IoT 등 핵심 IT기술들의 발전에 따라 보안의 중요성도 함께 확대되고 있습니다. 특히 비대면, 원격접속, 클라우드의 등장으로 보안 경계가 확대되었고, 검증된 대상에게만 최소 권한을 허용하는 제로 트러스트가 주목받고 있습니다. 제로트러스트 보안모델은 등장한지 14년이 지났지만 여전히 중요성이 확대되고 있으며, 사이버보안 분야에서 가장 주목받고 있는 개념입니다. 세계 주요 국가뿐만 아니라 우리나라에서도 기업·기관들의 제로트러스트의 적용을 권하고 있습니다. 기업에서는 제로트러스트의 적용을 통해 보안문제 해결 뿐만 아니라 비용절감과 비즈니스 목표까지 달성할 수 있을 것입니다.출처 및 참고자료국회입법조사처, 제로트러스트 새로운 보안 패러다임으로의 전환 과학기술정보통신부, KISA한국진흥원, 제로트러스트 가이드라인2.0
-
- 24.12.16
-
IT·보안2024년 국내정보보호산업 실태조사 살펴보기
정보보호산업이란?정보보호산업법 제2조에서는 정보보호산업을 ‘정보보호를 위한 기술 및 정보보호기술이 적용된 제품을 개발, 생산 또는 유통하거나 이에 관련한 서비스를 제공하는 산업’으로 정의하고 있습니다. 4차산업혁명의 등장과 코로나 이후로 언택트 산업의 확장으로 디지털 전환이 가속화되면서 사이버 위협도 함께 정교해지고 있습니다. 따라서 정보보호산업의 중요성은 커지고 있으며, 시장규모 또한 확대되고 있습니다.정부에서는 2020년 제2차 정보보호산업 진흥계획(2021~2025)을 수립하였으며, ‘디지털 전환에 따른 정보보호 신시장 창출’, ‘민간 주도 사이버 복원력 확보를 위한 투자지원 확대’, ‘지속성장 가능한 정보보호 생태계 조성’을 중점으로 추진하고 있습니다. 이처럼 정보보호산업의 중요성이 증대되면서, 과학기술정보통신부와 한국정보보호산업협회(KISIA)는 매년 국내정보보호산업 실태조사 결과를 발표하고 있습니다. 국내정보보호산업 실태조사를 통해 국내 정보보호산업의 동향을 파악하고, 향후 전망을 예측할 수 있으며, 기업에서는 이를 바탕으로 향후 전략을 세우는 데에 중요한 지표가 될 수 있습니다. 정보보호산업은 크게 정보보안, 물리보안, 융합보안으로 구분할 수 있으며, 이번 글에서는 데이터보안기업 신시웨이가 속한 정보보안산업에 대해 주로 알아보도록 하겠습니다.정보보호산업 주요 현황국내 소재 정보보호 기업은 정보보안 814개, 물리보안 894개로 총 17,08개로 조사되었으며, 2022년도에 비해 7.2% 증가하였습니다.국내 정보보호산업의 매출액은 매년 성장하고 있습니다. 2023년 전체 정보보호산업 매출액은 총 16.8조원으로 2022년 대비 4.0% 증가하였습니다. 정보보안 매출액은 약 6조로 전년대비 9.4% 증가하였으며, 물리보안 매출액은 약 10조로 전년대비 1.2% 증가하였습니다. 정보보안제품에서는 네트워크 보안 솔루션이, 정보보안 관련 서비스에서는 보안시스템 유지관리/보안성 지속 서비스의 매출 비중이 높은 것으로 나타났습니다. 한편 정보보호산업의 전체 수출액은 약 1조 6800억원으로 전년대비 16.4% 감소하였습니다. 정보보안은 약 1478억원, 물리보안은 약1조5322억원으로 각각 전년 대비 4.8%, 17.2% 감소하였습니다. 수출 비중은 일본이 49.7%정도를 차지하고 있으며, 중국, 미국, 유럽 등의 국가들이 차지하고 있었습니다. 또한 정보보호산업의 인력은 2022년대비 2023년에 7% 감소하였습니다. 정보보안 기업의 80%는 정보보안 제품(솔루션)을 취급하고 있으며, 정보보안 관련 서비스를 취급하는 기업은 전체의 50%인 것으로 조사되었습니다. 제품별로는 네트워크보안, 데이터보안, 클라우드보안 등 다양한 품목들을 취급하고 있습니다. 정보보안관련 서비스는 보안시스템 유지관리/보안성 지속 서비스와 보안컨설팅에 주로 분포되어 있었습니다.정보보안제품(솔루션)분야와 서비스의 업종별 매출 비중은 일반기업이 가장 높았으며, 다음으로는 공공기관, 금융기관 순으로 나타났습니다. 공공기관과 금융기관은 민감한 개인정보, 금융정보 등 중요 정보들이 포함되어있기 때문에 정보보안제품이 반드시 필요한 기관이기도 합니다.한편 정보보안산업 기업의 34%는 매출이 전년도 대비 호전되었다고 응답하였으며, 20.5%는 악화되었다고 응답하였습니다. 매출 악화 이유로는 경기 위축을 가장 큰 요인으로 선정하였습니다. 그외에도 동일 업종간 경쟁심화, 신규 시장 부족 등을 선정하였습니다.정보보안산업 기술개발 및 동향정보보안기업에서 기업부설연구소를 운영하는 기업은 71%, 연구개발 전담부서만 운영하는 기업은 7.7%, 둘다 운영하는 기업은 7.7%로 나타나 80%가 넘는 기업들이 자체적인 기술개발 및 연구를 하고 있는 것으로 조사되었습니다.정보보안 기업의 기술개발 시 애로사항으로는 기술개발 인력 확보 및 유지 및 자금조달이 가장 높게 나타났으며, 정보보안산업의 시장 확대를 위해 자금지원 및 세제혜택, 전문인력 양성, 기술개발 지원 등의 정부지원이 필요하다고 응답하였습니다. 기술개발 인력 및 자금지원 부문에서 기업들은 어려움을 겪고 있으며, 이에 대한 적극적인 정부지원이 필요함을 알 수 있었습니다.또한 기업들의 해외진출이 어려운 요인으로는 판로개척의 어려움이 가장 높다고 응답하였으며 자금 유동성부족, 인력부족, 현지 법·제도 정보 부족 등이 있었습니다. 아직까지는 우리나라 보안기업들이 해외진출을 하는데에 어려움을 겪고 있으며, 판로개척·자금·인력 등의 문제가 해결되어야 할 것으로 보입니다. 마치며이제 정보보호는 우리 일상에서 빼놓을 수 없는 분야이며, 제로트러스트의 도입과 클라우드 서비스 확산 등으로 보안 패러다임이 변화하고 있다고 합니다. 또한 코로나 이후로 비대면 서비스 확산과 디지털 전환이 가속화되었고, 사이버 위협도 함께 증가하였습니다. 정보보호산업은 기술의 혁신과 인적자원의 고도화 등을 통해 IT산업분야에서의 입지와 파급력이 확대될 것입니다. 정보보호 기업들은 국내정보보호산업 실태조사를 통해 정보보안산업의 현황을 파악함으로써 기업들은 향후 산업의 방향을 물색하고 해외진출에도 한발짝 더 다가갈 수 있습니다. 출처 및 참고자료 한국정보보호산업협회, 2024년 국내 정보보호산업 실태조사 보고서
-
- 24.12.12
-
신시스토리복지 끝판왕! 신시웨이 사내 복지를 소개합니다.
회사를 선택할 때 중요하게 생각하는 요인은 어떤 것들이 있으신가요? 위치, 연봉, 직무 적합성 등 여러가지가 있겠지만 이제는 복리후생도 중요한 요인이 되었습니다. 시장조사 전문기업 엠브레인에서 진행한 설문조사에 따르면 응답자의 82%가 좋은 복지제도가 회사를 오래 다닐 수 있도록 하는 유인책이라고 응답하였습니다. 신시웨이는 ‘복지 끝판왕’ 이라 불릴정도로 임직원들의 행복하고 유익한 회사생활을 위해 다양한 복지제도를 시행하고 있습니다. 또 현재 시행중인 복지제도 외에도, 추가로 필요하거나 건의하고 싶은 사항이 있는 경우 자유롭게 노사위원회에 제안할 수 있습니다. 그렇다면 신시웨이에서 현재 시행하고 있는 복지제도에는 어떤 것들이 있을까요?회사에서 취미활동을 즐겨요, 동호회신시웨이의 다양한 동호회 활동신시웨이는 동일한 관심사나 취미를 가진 임직원들끼리 모여 활동할 수 있는 동호회 제도를 운영하고 있습니다. 최소 4인이상 인원이 모일 경우 자유롭게 신설할 수 있으며 현재 13개의 다양한 동호회가 개설되어 있으며, 각 동호회별로 활동이 활발히 이루어지고 있습니다. 또한 별도의 시간을 내지 않아도 한달에 한번 근무시간을 이용하여 활동할 수 있으며, 이를 통해 다양한 추억을 쌓을 수 있습니다. 등산, 문화활동, 낚시, 캠핑 등 각자의 취미생활을 함께 공유하고, 업무 스트레스 해소도 할 수 있는 동호회는 임직원들이 만족하는 복지제도 중 하나입니다. 제주도로 떠나요신시웨이 제주도 사택제주도는 많은 사람들이 찾는 국내 여행지 중 한 곳으로, 신시웨이는 제주도 한라산 아래 R&D센터를 운영하고 있습니다. 본사와 대전지사에서 근무하고 있는 분들도 ‘워케이션’으로 제주R&D센터 사무실에서 일정 기간동안 업무를 진행할 수 있는데요. 새로운 환경인 제주도에서 업무를 진행함으로써 업무에 활력을 불어넣고 효율성을 높일 수 있습니다. 또한, 신시웨이 임직원이라면 누구나 제주도에 위치한 3개의 방이 있는 30평대 사택과 SUV 법인차량을 이용하여 여행을 즐길 수 있습니다. 다른 임직원과 예약만 겹치지 않는다면 사전 예약 후 자유롭게 이용할 수 있습니다. 실제 이용한 임직원들은 제주도 여행시 가장 큰 부분인 숙소와 차량 렌트 비용을 아낄 수 있어 가장 크게 만족하는 복지 혜택 중 하나라고 이야기하는데요. 여름철 성수기에 사택과 차량 이용시에는 4박 5일 기준 많게는 약 200만원 정도 절약할 수 있다고 하니 정말 큰 복지 혜택 중 하나겠죠?장기근속 포상2023년도 장기근속 포상신시웨이에서는 오랫동안 신시웨이와 함께해주신 임직원분들의 수고를 기념하고 보답하기 위한 장기근속 포상제도를 운영하고 있습니다. 3년 근속 3일, 5년근속 5일, 7년근속 7일, 10~20년 근속자에게는 10일의 유급휴가가 제공되며, 7년/10년/15년/20년 근속자에게는 100만원/200만원/300만원/500만원의 포상금이 제공됩니다. 특히 올해부터는 기존에 근속 포상에 포함되지 않았던 3년, 7년 근속자에게도 포상휴가와 포상금이 신설되어 많은 임직원들이 휴가를 여유롭게 즐길 수 있었습니다. 특히 신시웨이는 10년이상 장기근속자를 많이 보유하고 있어, 포상과 휴가를 받으신 분들이 많습니다. 일·가정 양립이 가능한 회사신시웨이는 일과 가정의 양립 문화를 추구하며, 자유로운 육아휴직과 단축근무 사용과 더불어 영·유아기의 자녀가 있는 임직원은 주 3회 육아기 재택근무가 가능합니다. 육아기 재택근무는 일과 가정의 양립이 중요할 시기의 자녀를 둔 임직원들이 만족하고 있는 복지제도 중 하나인데요특히, 신시웨이에는 남직원이 육아기 재택근무를 사용하는 비율이 높으며, 이러한 점들을 인정받아 가족친화인증기업 및 청년친화 강소기업으로 선정되기도 했습니다. 생일엔 회사 오지 마세요, 생일휴가 일년중에 단 하루뿐인 생일에는 특별하게 보내고 싶지 않으신가요? 신시웨이는 생일휴가제도를 운영하고 있어 생일에는 의무적으로 생일휴가를 사용하도록 하고 있습니다. 생일휴가는 생일 당일에 연차와 별도로 사용할 수 있으며, 생일이 주말 혹은 공휴일일 경우 전/후 평일에 사용 가능합니다. 생일휴가를 통해 임직원들은 생일을 알차게 보냈으며, 오히려 휴식 후 복귀했을 때 업무효율이 증진되었다고 합니다.신시웨이는 이외에도 경조사 지원, 명절 상여금 지급, 주택자금 대출 지원 제도, 기술직무 신규입사자 교육 시행, 자격증 등 업무관련 도서비 지원, 제휴 콘도 할인 지원, 전 직원 통신비 지원, 자격증·업무 개발비 지원 등 수많은 복지혜택을 제공하고 있습니다. 복지는 회사에 대한 애착과 자부심을 높여주는 요인 중 하나이며, 임직원들의 일의 효율과 생산성을 높이는 데 기여하기도 합니다. 신시웨이는 매년 임직원들의 만족도를 더 높이고 업무의 효율을 높이기 위해 개선·노력하고 있습니다.
-
- 24.11.26
-
신시스토리기술지원팀에 대한 모든 것! 전부 파헤쳐 보자!
올해도 어김없이 신시웨이의 공채 시즌이 다가왔습니다! 신시웨이는 매년 12월 공채를 통해 신입사원을 채용하고 있는데요. 올해에는 기술지원을 담당하고 있는 고객지원팀에서만 채용을 진행하게 되었습니다. 하지만 신시웨이는 사세 확장, 결원 충원 등에 대한 수시 채용도 진행하고 있으니 내년에는 저희 팀에도 신입 사원이 들어오길 간절히 희망해 봅니다! 신시웨이는 모든 팀 구성원들이 각자 맡은 역할에 최선을 다하며 조직의 목표 달성을 위해 노력을 하고 있는데요. 오늘은 신시웨이의 핵심 부서 고객지원팀에 대해 자세히 알려드리도록 하겠습니다. 기술지원팀은 어디에 속해 있나요?신시웨이는 각자대표체제로, 회사 전체를 총괄하고 계신 정재훈 대표님과 주력 사업 분야 DB보안솔루션의 기술지원·영업부문을 총괄하고계신 유경석 대표님이 컨트롤 타워 역할을 하고 있습니다. 지원팀이 속한 정보보안IC - 사업부에서는 고객사업1부 및 2부에는 각각 기술지원 1팀과 클라우드 지원팀 그리고 기술지원2팀과 대전기술지원팀이 있습니다. 팀별 인원은 3~7명으로 지원하는 고객의 수와 역할에 맞게 분배가 되어 있고 매년 12월 신입사원 공채를 통해 채용을 진행하고 있습니다. 기술지원팀은 자기팀이 아니더라도 문제가 생기면 함께 도와주는 끈끈한 정을 느낄 수 있는 매력을 느낄 수 있는 팀이랍니다.정보보안 IC고객사업 1부기술지원 1팀, 클라우드 지원팀고객사업 2부기술지원 2팀, 대전 기술지원팀고객 지원팀은 어떤 업무를 하게 되나요?고객 지원팀의 주요 업무는 제품 기술 지원인데요 기술 지원의 종류에는 자시 보안 솔루션 점검, 트러블 슈팅, 인증 심사 및 감사 지원, 보안 컨설팅, 프로젝트 수행 등이 있습니다. IT시스템 환경에는 온프레미스와 클라우드 환경 2가지 환경이 대표적이라고 볼 수 있는데요. 온프레미스 환경과 클라우드 환경을 지원하는 고객지원 1, 2팀은 서울과 수도권, 강원도에 위치한 고객사를 지원하고 있습니다. 그 외 지역들은 대전 기술지원센터에서 근무하는 대전 기술지원팀에서 지원을 하는데요. 제주도는 제주 R&D센터의 연구원 분들의 도움을 받고 있지만 간혹 본사에서 지원하는 경우도 있습니다! 클라우드지원팀은 네이버클라우드, 케이티클라우드 등 주요 마켓플레이스를 통해 계약되는 고객의 클라우드 환경을 지원하고 있습니다. 또한 파트너사의 기술 문의 사항을 담당하며 파트너사와 연구소 사이에서 컨트롤 타워 역할도 하고 있습니다. 신시웨이에는 해외 고객과 클라우드를 포함하여 현재 700여개의 고객사가 있는데요. 신시웨이 뿐만 아니라 전국 각지에 있는 유능한 기술 파트너사들과 함께 고객을 지원하고 있습니다. 기술지원팀에 필요한 역량은 무엇이 있나요? 신시웨이 기술지원팀은 입사하게 되면 신시웨이의 DB보안 솔루션 구축 및 점검, 문제 해결 등의 기술지원 업무를 수행하게 됩니다. 이를 위해서는 컴퓨터공학과, 소프트웨어학과, 보안관련 학과 등 IT관련 학과를 졸업하거나 관련 학과가 아니더라도 IT관련 교육을 이수했다면 지원할 수 있습니다. 정보처리기사, 정보보안기사, SQLD 등 관련 자격증이 있다면 기술적으로 도움이 될 뿐만 아니라 향후 공공사업에도 참여할 수 있습니다. 기본적으로는 OS(Linux, Unix, Windows) 사용 능력, 쉘 스크립트 사용 능력, 다양한 DBMS에 대한 경험, 네트워크와 서버장비에 대한 지식도 있다면 좋습니다. 특히 솔루션 운영 간 네트워크 지식이 있다면, 다양한 이슈 상황에서 문제의 원인을 찾고 해결하는데 많은 도움이 될 수 있습니다. Java, Python, C 등 프로그래밍 언어에 대한 지식도 많은 도움이 됩니다. 특히 암호화는 개발 언어별 문법, SQL 문법 사용, 튜닝, Index 활용등에 많은 지식을 필요로 하며, 고객사 또는 개발사등의 개발자와의 소통도 매우 많기 때문에 개발 언어와 DBMS의 지식은 매우 중요한 요소이기도 합니다. DB보안 솔루션을 다루는 회사인만큼 보안관련 법령 및 컴플라이언스에 대해 정보 또한 업무 지식에 많이 활용되며, 관련 자격증으로는 개인정보관리사(CPPG) 취득이 도움이 될 수 있습니다. 더불어 기술지원팀은 실무에서 개발자뿐만 아니라 정보보안팀, 정보보호팀, 인프라팀 등 고객사의 많은 부서와 소통하기 때문에 기술 지식 외에도 커뮤니케이션이 중요한데요. 원활한 커뮤니케이션 능력은 현장에서 발생하는 문제파악 및 해결능력을 갖추고 있다면 보다 수월한 기술지원 업무를 수행할 수 있습니다. 아직 기술이 부족한데, 그럼 기술지원팀에는 갈 수 없는건가요?기술이 부족하다고 지원을 주저하지 마세요! 신시웨이의 인재교육팀에서는 매년 신입사원에게 업무에 필요한 전문 기술 교육을 진행하고 있습니다. 입사 1일차에는 회사소개, 동기들의 시간, 입사 서류 작성 등 회사에 빠르게 적응하기 위한 신입사원 OT를 진행하고 2일차부터는 기본적인 솔루션 교육과 Linux, 데이터베이스, 도커 등에 관한 교육도 진행하고 있어 다양한 실무역량을 갖출 수 있도록 지원하고 있습니다. 또한, 각 팀에 배치된 이후에도 직속 선임의 멘토링을 통해 업무 적응 및 원활한 기술지원을 위한 도움을 받을 수 있습니다. 기술적인 역량도 중요하지만 무엇보다도 배우려는 의지와 열정만 있다면 누구든 기술지원팀에 지원해볼 수 있습니다.
-
- 24.11.26
-
IT·보안개인정보위, 개인정보의 안전성 확보조치기준 안내서 발간
개인정보의 안전성 확보조치 기준 안내서 발간개인정보의 안전성 확보조치 기준은 기업, 공공기관 등의 개인정보처리자가 개인정보를 안전하게 관리하기 위해 취해야 하는 기술적·관리적·물리적 보호조치를 규정하고 있는 기준입니다. 개인정보 처리자라면 개인정보보호 관련 규정을 완벽하게 이해하여 실무에 적용해야 하지만 부가적인 설명 없이는 이해하기 어려운 경우가 많습니다. 개인정보보호위원회에서는 안전성 확보조치 기준 안내서를 발간하여 보다 쉽게 해석하고 이해할 수 있도록 돕고 있습니다. 또한 이전에는 정보통신서비스 제공자는 개인정보의 기술적·관리적 보호조치 기준을 적용받고, 그 외 개인정보 처리자는 개인정보의 안전성 확보조치 기준을 적용받았습니다. 그러나 지난해 9월 개인정보보호법 개정으로 인해 법령의 대상이 모든 개인정보처리자로 통일됨에 따라 개인정보의 기술적·관리적 보호조치 기준이 폐지되고 개인정보의 안전성 확보조치 기준(행정 규칙)으로 통합되었습니다. 통합으로 인해 기존 두가지 법령을 숙지해야 했던 개인정보처리자들은 일원화된 법령으로 보다 쉽고 명확하게 보호 조치 기준을 이해할 수 있게 되었습니다. 개인정보의 안전성 확보조치 기준 안내서개인정보의 안전성 확보조치 제5조① 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.② 개인정보 처리자는 개인정보취급자 또는 개인정보 취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.③ 개인정보처리시스템 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.④ 개인정보처리시스템에 접속할 수 있는 사용자 계정은 사용자 별로 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다.⑤ 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.⑥ 일정 횟수 이상 인증에 실패한 경우 개인정보처리 시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.*개인정보의 안전성 확보조치기준 해설* 개인정보의 안전성 확보조치 기준 제5조에 따르면, 개인정보처리시스템에 대한 접근 권한은 개인정보를 처리하는 개인정보취급자에게만 부여하여야 합니다. 권한을 차등화 한다는 것은 업무를 수행하기 위한 권한을 등급별로 나누어 개별적으로 접근 권한을 부여하는 것을 말합니다.② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보취급자의 퇴직, 휴직, 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체없이 계정 또는 접근권한을 변경·회수하는 등의 필요한 조치를 하여야 합니다. 또한 조직변경 등으로 인해 개인정보취급자의 업무가 변경되었을 경우에도 접근 권한을 회수하는 등의 조치가 필요합니다. ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.*개인정보의 안전성 확보조치기준 해설*제1항 및 제2항에 의한 접근 권한 부여, 접근 권한 변경, 말소시에는 접근권한의 발급 과정과 이력 등을 확인할 수 있는 정보를 포함하여 기록하여야 합니다. ④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자별로 계정을 발급하고 다른 개인정보취급자와 공유하지 않도록하여야 한다.*개인정보의 안전성 확보조치기준 해설*‘정당한 사유’란 기술적으로 계정의 개별 발급이 불가능한 경우를 말합니다. 그러나 이러한 경우에도 접근제어 시스템 도입 등 기술적 통제를 적용하여 실제 개인정보처리시스템에 접속한 자를 식별할 수 있어야 합니다. 또한 다수의 개인정보취급자가 하나의 계정을 공유하지 않도록 취급자별로 계정을 발급하여 사용하여야 하며, 개인정보 처리내역에 대한 책임추적성을 확보해야 합니다. ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보처리자는 환경에 맞는 인증수단을 적용하여 개인정보취급자 또는 정보주체를 인증하여야 합니다. 여기서 인증수단은 개인정보보호를 위해 필요한 개인정보처리시스템, 접근통제시스템 등에 적용하여야 하며, 비인가자가 접근할 수 없도록 관리하여야 합니다. 인증수단의 예시로는 비밀번호, 일회용 비밀번호(OTP), 생체인증 등이 있습니다. ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한접근을 제한하는 등 필요한 조치를 하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보처리자는 권한이 없는 자의 접근을 방지하기 위해 인증에 실패한 경우 접근을 제한하는 조치를 취해야 하며, 인증 실패 횟수는 개인정보처리시스템의 특성 등을 고려하여 정할 수 있습니다. 인증에 실패하여 접근이 제한된 이후 접근을 재부여하는 경우에는 타당 여부를 확인한 후 재부여해야 합니다.개인정보의 안정성 확보조치 제6조① 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한 개인정보처리시스템에 접속한 인터넷프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응④ 개인정보취급자가 일정시간 이상 업무 처리를 하지 않을 때에는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다.① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 안전조치를 하여야 한다.1. 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출시도 탐지 및 대응*개인정보의 안전성 확보조치기준 해설*여기서 말하는 IP주소에는 IP주소, 포트 그 자체뿐만 아니라 이상행위(과도한 접속성공 및 실패, 부적절한 명령어 등 패킷)을 포함합니다. 불법적인 접근 및 침해사고 방지를 위해서는 침입차단 및 침입차단 기능을 포함하는 안전조치를 실시해야 하며, 개인정보처리시스템에 접속한 이상행위 대응, 로그 훼손 방지 등의 관리가 필요합니다. ④ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되게하는 등 필요한 조치를 하여야 한다.*개인정보의 안전성 확보조치기준 해설* 접속차단이란 개인정보처리시스템의 연결이 완전히 차단되어 정보의 송수신이 불가능한 상태를 뜻하며, 컴퓨터의 화면보호기 등은 접속차단에 해당하지 않습니다. 또한 개인정보처리시스템에 다시 접속할 때의 방법·절차는 처음 차단되었을때의 방법·절차와 동일한 수준 이상이 되도록 조치를 취해야 합니다.개인정보의 안정성 확보조치 제8조① 개인정보처리자는 개인정보처리시스템에 대한 접속기록을 1년이상 보관·관리하여야 하며, 5만명 이상의 개인정보를 처리하는 등의 경우에는 2년 이상 보관·관리하여야 한다.② 개인정보의 오‧남용, 분실, 도난, 유출 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월
-
- 24.11.22
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.