클라우드 서비스 보안인증제도(CSAP)란?

국내 공공기관 클라우드 공급에의 필수 관문이라 불리는 클라우드 서비스 보안 인증제도란 무엇일까요?클라우드 보안 인증제도 CSAP는 Cloud Security Assurance Program의 약자로 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다. CSAP는 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고 이용자에게 안전한 클라우드 서비스를 제공하기 위한 목적으로 시행되었습니다.클라우드 서비스 보안인증을 받은 경우 다음과 같은 인증 마크를 문서ㆍ송장ㆍ광고 등에 표시할 수 있으며 보안인증을 받은 사업자의 클라우드 서비스가 100%안전한 것은 아니지만, 클라우드 서비스를 이용하기 위한 최소한의 정보보호 요건을 충족했음을 의미합니다.법령에서 규정하고 있는 클라우드 서비스 보안인증제도「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 제4장에서는 클라우드 서비스의 신뢰성 향상과 이용자 보호를 위한 법령을 규정하고 있으며, 클라우드 컴퓨팅 서비스의 보안인증에 관해서는 23조의 2항에서 자세히 규정하고 있습니다.제23조의 2(클라우드컴퓨팅서비스의 보안인증)① 과학기술정보통신부장관은 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 대통령령으로 정하는 바에 따라 인증을 할 수 있다.② 보안인증의 유효기간은 인증 서비스 등을 고려하여 대통령령으로 정하는 5년 내의 범위로 하고, 보안인증의 유효기간을 연장받으려는 자는 대통령령으로 정하는 바에 따라 유효기간의 갱신을 신청하여야 한다.③ 클라우드컴퓨팅서비스 제공자는 보안인증을 받은 클라우드컴퓨팅서비스에 대하여 보안인증을 표시할 수 있다.④ 누구든지 보안인증을 받지 아니한 클라우드컴퓨팅서비스에 대하여 보안인증 표시 또는 이와 유사한 표시를 하여서는 아니 된다.⑤ 과학기술정보통신부장관은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원 또는 대통령령에 따라 과학기술정보통신부장관이 지정한 기관으로 하여금 보안인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다.1. 보안인증기준에 적합한지 여부를 확인하기 위한 평가(이하 “인증평가”라 한다)2. 인증평가 결과의 심의3. 보안인증서의 발급ㆍ관리4. 보안인증의 사후관리5. 보안인증평가원의 양성 및 자격관리6. 그 밖에 보안인증에 관한 업무클라우드 서비스 보안인증제도의 종류클라우드 서비스 보안인증제도의 인증 유형은 laaS, SaaS, DaaS이며, 인증 등급은 상ㆍ중ㆍ하로 구분됩니다.평가의 종류에는 최초평가, 사후평가, 갱신평가가 있습니다. 최초 평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가입니다. 사후평가는 보안인증을 취득한 이후 지속적으로 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(5년)안에 매년 시행해야 합니다. 갱신평가는 보안인증 유효기간(5년)이 만료되기 전 보안인증의 유효기간 연장을 원하는 경우에 실시하는 평가입니다.클라우드서비스 보안인증 대상클라우드 서비스 보안인증 대상은 클라우드 기술을 이용하여 정보시스템의 인프라, 응용프로그램, 개발환경 중 어느 하나 이상을 제공하는 클라우드 서비스에 해당하며 클라우드 컴퓨팅법에서는 다음과같이 보안인증 대상을 정의하고 있습니다.제3조(클라우드컴퓨팅서비스) 법 제2조제3호에서 “대통령령으로 정하는 것”이란 다음 각 호의 어느 하나에 해당하는 서비스를 말한다.1. 서버, 저장장치, 네트워크 등을 제공하는 서비스2. 응용프로그램 등 소프트웨어를 제공하는 서비스3. 응용프로그램 등 소프트웨어의 개발·배포·운영·관리 등을 위한 환경을 제공하는 서비스4. 그 밖에 제1호부터 제3호까지의 서비스를 둘 이상 복합하는 서비스제20조(국가기관등의 클라우드컴퓨팅서비스 이용 촉진)①국가기관등은 업무를 위하여 클라우드컴퓨팅서비스를 이용할 수 있도록 노력하여야 한다.② 국가기관등은 제1항에 따른 클라우드컴퓨팅서비스 이용에 있어서 제23조의2제1항에 따른 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려하여야 한다.인증제도 실시를 통한 기대효과는?공공기관은 행정업무를 다루는 만큼 민감정보를 많이 보유하고 있어 클라우드를 도입할 때 가장 우려되는 것이 보안입니다. KISA는 정보보호 기준 준수 여부 확인을 위한 인증 제도를 만들어, 공공기관에서 해당 인증 심사를 통과한 클라우드 서비스만 사용하도록 하고 있습니다.이를 통해 클라우드 서비스 이용자(공공기관)은 인증받은 클라우드 서비스를 이용함으로써 보안 우려를 해소하고, 안전한 클라우드서비스 구축 및 이용 활성화를 기대할 수 있습니다.또한 클라우드 서비스 제공자(민간 사업자)는 객관적이고 공정한 클라우드 서비스 보안인증을 통해 이용자 신뢰도 향상 및 클라우드 서비스 제공자의 정보보호 수준 향상을 기대할 수 있습니다. 지난1월 과학기술정보통신부에서는 공공부문에의 클라우드 시장 전반을 활성화하기 위해 보안인증 체계를 개선하여 상·중·하 등급제를 도입하였습니다.클라우드를 이용하고자 하는 공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상·중·하등급으로 분류하여 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류할 예정입니다. 클라우드 사업자에 대한 보안인증 평가기준은 등급별로 차등화하여 기존 평가항목 기준으로 상등급 평가기준은 보완, 강화하고 하등급 평가기준은 합리적으로 완화합니다. 특히 국내 서비스형 소프트웨어(SaaS) 사업자가 공공 시장에 신규진입할 수 있도록 기존의 민간·공공 영역간 물리적 분리 요건을 완화합니다. 과학기술정보통신부에서의 보도자료에 따르면 구체적인 세부 내용등은 디지털플랫폼정부위원회와 관계부처의 공동 실증, 검증을 통해 평가기준을 보완하여 2023년 이내로 시행할 예정임을 밝혔습니다.출처 및 참고자료대한민국정책브리핑, 클라우드 보안인증 등급제 고시 개정안 행정예고「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」KISA-클라우드 보안인증제 KISA, 클라우드 컴퓨팅 보안인증제도 안내서

보안 담당자라면 알아야 할 개인정보보호법 개정안 총정리

개인정보보호법은 정보주체를 보호하고, 개인정보 처리자가 개인정보 보호의 책임을 질 수 있도록 제정된 법령입니다. 2011년 개인정보보호법이 제정된 이후 개인정보 침해로 인한 피해로부터 정보주체를 보호해왔습니다.개인정보보호위원회는 2021년 9월 정부안을 국회에 제출하였고, 그 이후에 관계 부처, 학계, 산업계, 시민단체 등 국내외 여러 이해관계자들과 소통을 통해 이견을 조정하였으며, 2년여에 걸친 심도 있는 논의 끝에 국회를 통과하였습니다. 개정법은 2023.03.14에 공포되어 6개월 후인 2023.09.15부터 시행될 예정입니다.개인정보보호법 개정 추진 배경2020년 8월 시행된 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)의 개정은 주로 개인정보보호 컨트롤 타워 구축 및 데이터 경제 활성화에 초점을 두었지만, 이후 변화하는 데이터 환경에서 국민의 권리 강화가 필요하다는 논의가 있었습니다.따라서 이번 개인정보보호법 2차 개정안은 개인정보보호법 제정 이래 관계 부처, 학계, 산업계, 시민단체 등의 의견을 반영한 첫번째 정부안으로, 정보주체의 권리보호를 강화하고 글로벌 규범과의 상호운용성을 확보하려는 취지에 따라 실질적인 전면개정이라는 점에서 의미가 있습니다.23년 개인정보 보호법 개정안에서 달라지는 것정보주체의 권리 확대이번 개인정보 보호법 개정안에서는 정보주체의 권리 확대를 위해 개인정보의 전송 요구권이 신설되었습니다. 개인정보의 전송요구권 신설로 정보 주체는 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송요구할 수 있게 되었습니다. 개인정보 전송요구권의 신설로 한정되었던 마이데이터 서비스가 확장될 수 있는 근거가 마련되었습니다.개인정보보호법 제35조의 2(개인정보의 전송 요구)① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다. [본조신설 2023.3.14]또한 자동화된 결정에 대한 설명요구권 및 거부권 신설로 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정에 대한 거부 및 설명을 요구할 수 있는 조항이 신설되었습니다.개인정보보호법 제37조의 2(자동화된 결정에 대한 정보주체의 권리 등)① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. <개정 2023. 3. 14.>② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. <개정 2023. 3. 14.>불합리한 동의제도 완화기존에는 개인정보 처리자가 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에는 정보주체의 동의없이 개인정보를 수집할 수 있었습니다. 그러나 개정안에서는 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우에 수집·이용이 가능한 것으로 개정되었습니다.개인정보보호법 제15조(개인정보의 수집·이용)<개정 2023.3.14>① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우정보통신서비스 제공자에 대한 특례규정 삭제기존에는 동의없이 개인정보를 수집한 경우, 오프라인 기업은 5천만원 이하의 과태료를, 온라인 기업은 관련 매출액의 3%이하 과징금을 부과할 수 있었습니다.그러나 개정된 법에서는 온·오프라인에 관계없이 모든 개인정보처리자를 대상으로 동일행위-동일규제 원칙을 적용하였습니다.또한 ‘개인정보처리자’와 ‘정보통신서비스제공자’로 이원화 되어있던 현행 체계를 일원화하고, 개인정보 수집·이용 동의, 14세미만 아동의 개인정보 수집, 개인정보 유출 시 통지신고 등 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비하여 모든 분야로 확대 적용하였습니다.이동형 영상정보처리기기 운영 기준 마련CCTV, 드론, 자율주행 자동차 등 다양한 이동형 영상정보처리기기의 사용이 증가함에 따라 이에관련한 법령이 신설되었습니다. 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 공개된 장소에서 사람 또는 그 사람과 관련된 사물의 영상 촬영에 대해 일정한 요건을 갖춘 경우에만 허용하도록 하였습니다.개인정보보호법 제25조의 2(이동형 영상정보처리기기의 운영 제한)① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다.형벌 중심의 제재에서 경제제재 중심으로개정법에서는 개인에 대한 형벌을 기업에 대한 경제제재 중심으로 전환하여 과도한 형벌 규정은 정비하고 과징금 상한 및 대상을 확대하였습니다.위반행위의 심각성에 비례하여 과징금을 부과하기 위해 과징금 산정 기준을 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액으로 규정하였습니다.또한 기존 과징금은 위반행위 관련 매출액의 3%이하였으나 개정안에서는 연간 총 매출액의 3%이하 과징금으로 개정되어 더욱 강력한 경제제재로 변경되었습니다.개인정보보호법 제64조의 2(과징금의 부과)① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.[본조신설: 2023.3.14]개인정보의 국외 이전 및 국외 이전 중지 명령 이전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있었습니다. 그러나 개정된 법에서는 개인정보가 이전되는 국가가 동등한 수준의 보호 수준을 갖추었다고 인정되는 곳에는 별도 동의가 없어도 개인정보를 국외로 이전 가능하도록 하였습니다. 개인정보의 국외 이전으로 정보주체에게 피해가 발생할 우려가 있는 경우에는 국외이전을 중지할 것을 명할 수 있도록 하였습니다.개인정보보호법 제4절 개인정보의 국외 이전<신설 2023.3.14>제28조의 8(개인정보의 국외 이전)① 개인정보처리자는 개인정보를 국외로 제공·처리위탁·보관하여서는 아니된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.제28조의 9(개인정보의 국외 이전 중지 명령)① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.이번 개인정보보호법 개정을 통해 디지털 전환이 빨라지는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 산업과 기업이 성장할 수 있는 발판이 될 것으로 개인정보보호위원회에서는 전달하였습니다.

가정의 달 4행시 이벤트

*당첨자*당첨을 축하드립니다!권*보(7001) 김*훈(6293) 김*수(4249) 서*민(6260) 송*민(4650) 전*영(8613) 조*근(1403)

2023년도 신입사원 공채3기 인터뷰 -고객본부 편-

지난 공채3기 인터뷰 개발직군 편에 이어 오늘은 고객본부에서 고객지원을 담당하고 있는 엔지니어 두분 문경현, 이용규 선임 매니져 두분의 이야기를 들어보았습니다. 입사 4개월차에 접어든 신입사원의 그간 신시웨이에서의 회사생활은 어땠을까요?문경현 선임 매니져: 안녕하세요! 저는 고객사업 1부 지원1팀에서 근무하고 있는 문경현입니다. 자사제품인 PETRA 접근제어, 암호화 제품 설치 및 점검과 이슈해결을 담당하는 업무를 하고 있습니다.이용규 선임 매니져: 안녕하세요 고객사업 2부 지원2팀에서 근무하고 있는 이용규입니다. 고객사에 PETRA제품을 설치 및 유지보수하는 엔지니어 업무를 맡고 있습니다.문경현 선임 매니져: 2개월의 교육을 거쳐 실무를 맡아보니 교육과는 또 다른 실무의 환경이 낯설고 어렵지만 선임님들과 팀장님들이 많이 챙겨주셔서 금방 적응할 수 있었습니다. 또 서울에 혼자 올라와 힘든 부분도 있었지만 그럴 땐 입사 동기들과 의지하며 잘 지내고 있습니다.이용규 선임 매니져: 약 2개월 동안 인프라와 신시웨이의 제품들의 대해서 배우는 교육과정을 마친 후, 지금은 실무에 적응하는 중입니다. 교육할때 배웠던 내용들과 선임분들의 가이드 덕분에 업무에 잘 적응해 나가고 있는 것 같습니다.문경현 선임 매니져: 첫 월급이자 첫 직장이었는데요. 그간 말없이 기다려 주신 부모님께 용돈 이벤트도 해드리고 동생과 제 스스로에게도 선물을 해줬습니다. 가족과 나에게 선물을 했던 게 가장 특별했던 것 같아요.이용규 선임 매니져: 첫 직장에서 첫번째 월급을 받고 부모님들께 특별한 이벤트를 해드렸습니다. 부모님에게 상소문에 용돈을 담고, 상소를 올리는 것처럼 이벤트를 해드렸습니다!문경현 선임 매니져: 교육 내용에 맞춰서 공부하고 PT발표 준비를 했던 게 기억에 가장 남습니다. 취업준비가 끝나고 취업을 한 후에는 공부할 일이 없을 것이라 생각했는데, 제 착각이였습니다. 발표를 위해 밤늦게까지 복습하고 고민했던 시간들이 돌이켜 생각해보니 가장 먼저 떠오르는 기억입니다.이용규 선임 매니져: 교육기간이 거의 끝나갈 무렵 교육을 함께 받았던 동기분들 모두와 함께 횟집을 갔던 것이 기억에 남습니다. 횟집에서 술한잔 하며 이런저런 이야기를 하다보니 동기들과 더 가까워질 수 있었던 것 같습니다.문경현 선임 매니져: 실무에서는 세세한 내용들과 오류, 설치 시 신경 써야 할 문제들이 더 많습니다. 교육만 듣던 때와 달리 책임져야 할 고객사가 생기니 책임감을 갖고 더욱 집중하게 되는 것 같습니다.이용규 선임 매니져: 교육을 받을 때는 실제 고객사분들과 소통하는 것이 아니었기 때문에 긴장감이 많이 들지는 않았습니다. 실무에 투입된 후에는 고객사 분들과 소통을 해야하고, 메뉴얼에 없는 상황들이 발생하기 때문에 그부분이 가장 어려운 것 같습니다.문경현 선임 매니져: 상황을 알맞게 대처할 수 있는 센스와 포기하지 않는 끈기라고 생각합니다. 끈기는 제가 아직 부족해서 더 노력해야 할 부분인데, 이슈 해결에 있어 포기하지 않고 해보려는 자세가 엔지니어로서 반드시 필요하다고 생각합니다.이용규 선임 매니져: 자신감, 탐구역량 그리고 Linux와 Shell script, SQL 역량과 다양한 DBMS, DB TOOL 경험이 실무에 많이 도움이 될 것 같습니다. 또 고객을 응대하는 스킬도 필요한 것 같습니다.문경현 선임 매니져: 저는 프론트엔드 개발자를 준비하다가 엔지니어로 입사한 케이스입니다. 지금은 엔지니어로 입사한 게 오히려 좋다는 생각이 들어요. 특히 가만히 오래 앉아있지 못하는 저 같은 사람에게는 외근이 많은 엔지니어가 적성에 잘 맞습니다. 외향적인 성격, 실내에만 있는 게 답답하신 분들께는 엔지니어 직무를 조심스레 추천드립니다.이용규 선임 매니져: 회사의 복지가 정말 좋고, 무엇보다 선임분들이 친절하게 가이드 해주셔서 빠르게 적응할 수 있었고, 업무하면서 어려운 부분들을 해결해나갈 수 있었습니다. 복지와 사람, 이 두가지가 회사의 가장 큰 장점 인 것 같습니다.지금까지 열정 넘치는 엔지니어 두분의 이야기를 들어보았는데요, 고객과의 소통과 이슈해결부분에 있어 아직은 어려운점도 있지만, 활기차고 긍정적으로 회사생활을 하고 계신 것 같았습니다. 앞으로도 신시웨이에서 훌륭한 엔지니어로 성장할 두분께 많은 응원 부탁드립니다.

2023년도 신입사원 공채3기 인터뷰 -R&D본부 편-

지난 1월 입사한 공채3기는 어느덧 2개월간의 인재교육팀에서의 신입교육을 마친 후 각 부서로 배치되었습니다.입사한지 4개월차인 이들에게 신시웨이에서의 신입생활은 어떠한지, 어떤 직무를 수행하고 있는지 등 다양한 이야기를 직접 들어보았습니다. 오늘의 주인공은 R&D본부 WEB-UI팀 개발자 송지민, 최서은 선임매니져를 집중 인터뷰해보았습니다. 송지민 선임 매니져: 안녕하세요! 저는 WEB-UI팀에서 백엔드 개발자로 일하고 있는 송지민입니다. 현재는 자사 제품을 웹 브라우저를 통해 사용할 수 있도록 하는 웹 애플리케이션을 개발하고 있습니다.최서은 선임 매니져: 안녕하세요 저는 WEB-UI팀에서 프론트앤드 개발자로 일하고 있는 최서은입니다. 저희 제품을 사용하는 사람들이 직접 마주하는 화면을 개발하며, 사용자가 편리하게 사용할 수 있도록 구현을 하고 있습니다. 송지민 선임 매니져: 교육을 받을 때는 동기분들과 항상 수업도 같이 듣고 퇴근도 같이 하다보니 마치 대학생때로 돌아간 느낌을 받았습니다. WEB-UI팀에 배치된 후에는 새로운 것을 많이 배우며, 적당히 긴장감을 유지한 채로 적응해 나가고 있습니다.최서은 선임 매니져: 신입교육이 끝난 후 이제 막 팀에 들어와 아직 적응하는 단계이지만 밝고 자유로운 회사 분위기로 인해 회사에 금방 적응할 수 있었습니다. 송지민 선임 매니져: 부모님께 용돈을 조금 드렸고, 그 외에는 크게 지출한 일이 없는 것 같습니다. 쓰는 것도 좋아하지만 모으는 것을 좋아해서 늘어나는 통장 잔고를 보는 게 요즘 저의 소소한 행복입니다.최서은 선임 매니져: 가족 및 친적들에게 용돈을 드리고, 집 인테리어를 위한 가구와 인테리어 소품을 구매하기도 했습니다. 월급이 반토막이 나버렸지만 아주 뿌듯했고, 특히 집을 예쁘게 인테리어 하고 나니 퇴근 후 집에 갈때마다 행복합니다.송지민 선임 매니져: 교육 중에 실제로 자사 제품을 설치하고 사용하는 실습을 주로 했는데, 인원이 많다보니 발생하는 오류가 다양해서 팀장님께서 상당히 힘들어 하셨던 기억이 납니다. 이 자리를 빌려서 죄송하고 감사하다는 말씀을 드리고 싶습니다. 그리고 제 생일 때 동기분들이 깜짝 파티를 해주었던 에피소드도 있었는데, 정말 감동이었습니다.최서은 선임 매니져: 입사하자마자 4일만에 갔던 킥오프가 기억에 남습니다. 괌 여행상품이 걸린 퀴즈에서 동기분이 1등을 하여 괌여행을 다녀오셨는데 너무 부럽고 신기했습니다. 이외에도 교육 중 동기들과 팀프로젝트도 하고 함께 오류도 해결해가며 자연스럽게 돈독해진 것 같습니다. 송지민 선임 매니져: 교육이 자사 제품 설치, 인프라 위주로 진행되어서 개발 직무와 관련된 부분은 다를 수 있지만, 현재 팀에서도 제품을 설치하고 테스트를 하거나 팀 공용 서버를 관리할 일이 있어 교육 때 배웠던 내용이 큰 도움이 되고 있습니다.최서은 선임 매니져: 아무래도 교육은 자사 제품 위주로 진행되어서 개발 직무와는 조금은 다른 교육이었지만, 팀에 배정되고 나서 제품에 관한 오류 테스팅을 진행해야 할 일이 있어서 도움이 되었습니다. 송지민 선임 매니져: 단순히 코더가 아니라 설계자의 마인드를 가지고 프로그램의 전반적인 구조를 파악하는 통찰력과 탐구심이 필요한 것 같습니다. 오류가 발생하면 원인을 찾아내고 고치기 위한 근성과 체력도 빼놓을 수 없는 요소입니다.최서은 선임 매니져: 프론트 직무는 화면 상에서 조금 틀어진 레이아웃도 잘 보고 수정해야 하기 때문에 꼼꼼함이 필요한 역량인 것 같습니다. 또한 사용자의 입장에서 사용하기 편하고 예쁜 화면을 만들기 위해 고민하는 자세가 가장 중요한 것 같습니다. 송지민 선임 매니져:저도 아직 부족한 게 많아서 조금 민망하지만, IT 비전공자라서 입사를 망설이고 계신다면 포기하지 마시고 도전해 보시라고 말씀드리고 싶습니다. 신시웨이는 열정 있는 지원자들에게 항상 열려 있습니다. 저도 했으니 여러분들도 하실 수 있습니다!최서은 선임 매니져: 아직 입사한지 4개월차라 후배들에게 조언을 하는 것이 굉장히 부끄럽습니다. 하지만 비전공자이고 프론트분야 밖에 몰랐던 저도 입사 후에 리눅스, 데이터베이스 등을 배우면서 많은 도움이 됬습니다. 신시웨이에서 많은 것들을 같이 배워나갔으면 좋겠습니다. 지금까지 R&D본부 WEB-UI팀의 송지민, 최서은 선임 매니져 두분을 만나보았는데요. 두분의 개발자로서, 신입사원으로서의 진솔한 이야기 감사합니다. 신시웨이에서 훌륭한 개발자로 성장해 나아갈 두분께 앞으로도 많은 응원 부탁드립니다.

정보가 필요했는데, 유출까지? 챗GPT의 이면

인공지능(AI)에 관한 관심이 어느때보다 뜨거운 요즘,  '인공지능의 시대가 시작됐다'는 말이 나오고 있습니다.그중에서도 출시 2달만에 1억명이 가입한 인공지능 챗봇 챗GPT는 전세계적으로 인기를 얻으며 지난 2월 유료서비스 챗GPT를 시작하였습니다. 그러나 유료서비스 챗GPT 서비스 시작 한달여만에 유료가입자의 정보 유출사고가 발생하였습니다. 정보가 필요했는데, 유출까지?지난 3월 20일 챗GPT사용자의 이용 기록이 다른 사용자들에게 유출되는 사고가 발생하였습니다. 챗GPT를 쓰던 사용자 일부에게 다른 사용자의 대화 이력이 보이는 이상 현상이 발생하였고, 유료 버전 구독자들의 이름, 이메일 주소, 지불 주소, 신용카드 번호 마지막 4자리, 신용카드 유효 기간 등 개인정보 및 결제 관련 정보가 포함된 정보가 유출되었습니다. 이는 전체 유료 가입자의 1.2%에 해당하는 가입자들의 정보가 유출된 것으로 추정되었습니다. 이에 오픈AI는 자사 홈페이지 공지를 통해 유출 사고로 인해 영향을 받는 주체는 극소수이며, 추가적인 피해가 없을 것이라고 이용자들을 안심 시켰습니다.국내 기업들도 챗GPT에 대한 단속에 나섰는데요. 삼성전자의 한 직원이 반도체 생산 관련 프로그램의 오류를 해결하기 위해 코드를 챗GPT에 입력하였고, 이 과정에서 삼성전자의 정보가 챗GPT 개발사로 유출되었을 수 있습니다.오픈AI는 챗GPT에 입력된 내용을 학습 데이터로 활용하기 때문에 기밀 내용을 입력할 경우 추후 불특정 다수에게 해당 내용이 유출될 수 있습니다. 기업의 중요 정보일 경우 치명적인 사고이기에 삼성전자에서는 임직원에게 공지 및 주의를 당부하였습니다.이외에도 SK하이닉스, 포스코,LG디스플레이 등 국내 주요 기업에서는 챗GPT를 통한 핵심 정보 유출 가능성에 대해 우려하며 이에 대한 사내 임직원 대상 교육 및 사용 제한을 실시하고 있습니다.챗GPT를 통한 정보 유출이 발생하면서 기밀 정보 및 개인정보 유출에 대한 우려가 이어지며 안전성에 대한 논란이 이어지고 있는데요. 전세계 각 국가의 개인정보보호 기관에서는 오픈AI에 대한 조사를 시행하고 챗GPT를 규제하기 시작하였습니다. 챗GPT에 대한 전세계의 규제 동향은?이탈리아 내에서는 챗GPT의 사용이 잠정 중단되었는데요. 오픈 AI가 이탈리아 시민의 데이터를 AI모델 학습에 사용하는 것을 금지하였습니다. 이탈리아 데이터 보호 당국은 데이터 유출사건을 계기로 오픈 AI를 조사하기 시작하였으며, 챗GPT가 다음과 같은 이유로 유럽의 개인정보보호법 GDPR을 위반하고 있으며, Open AI를 상대로 GDPR 위반사항에 대한 개선 조치를 취할 것을 요구하였습니다.· 챗GPT에 수집되는 데이터가 어떤 사용자 및 이해 당사자와 연관되었는지 확인할 수 있는 정보 부족· 알고리즘 훈련 목적으로 수집하는 개인 데이터에 대한 법적 근거 불충분· 챗GPT가 제공하는 정보가 항상 실제 데이터와 매치되지 않으며, 이에 따라 개인정보가 부정확하게 처리되는 것으로 판단· 챗GPT에 이용자의 나이를 확인하는 필터가 없어 미성년자에게 부적절한 답변을 제공할 수 있음이탈리아를 시작으로 EU국가들도 챗GPT에 관한 조사에 착수하기 시작했는데요, 유럽 의회에서는 인공지능법안에 챗 GPT의 위험 방지를 위한 법적 안전장치 도입을 협의중이며, 생성형 AI기술을 규제하는 법률의 초안을 공개할 예정입니다.캐나다 정부에서도 동의없이 개인정보의 수집, 사용 및 공개 혐의로 챗GPT에 대한 조사를 진행하였고, 조 바이든 미국 대통령은 백악관 회의에서 AI의 위험성을 직접 언급하며 IT기업의 개인정보 수집을 제한하는 법안 통과를 재촉하였습니다. 또한 미 상무부 산하 통신정보관리청(NTIA)은 언론과의 인터뷰에서 챗GPT와 같은 AI 출시 전 유해정보 확산, 개인정보 유출 등의 문제를 막기 위해 정부의 사전 인증 또는 허가 여부 등 관련 규정 도입의 필요성을 검토하고 있다고 밝혔습니다. AI개발, 잠시 쉬어야할까?생성형AI는 그림, 음악, 광고까지 만들며 눈부시게 발전하고 있지만 허점으로 인해 제동이 걸리고 있습니다. 출처: MBN NEWS Youtube 다음 영상에서는 AI가 짠 코딩으로 프로그램을 만들어 다른 컴퓨터에 설치하자, 곧바로 해커의 컴퓨터에 화면이 뜨는데요, 다른사람의 사생활을 몰래 볼 수 있도록 AI가 도움을 주고있습니다. 이처럼 생성형 AI의 도움을 받아 범죄에 악용될 수 있으며, 개발 지식이 없는 사람들도 코드를 만들 수 있기때문에 광범위하게 범죄에 악용될 수 있습니다.AI는 피싱(Phishing)범죄에 악용될 수도 있습니다. 피싱은 이메일이나 메신저를 통해 중요한 정보를 빼내는 수법을 의미합니다.피싱 범죄를 시도하는 이메일은 보통 어색한 문장이나 문법을 통해 구별할 수 있었으나, AI의 도움으로 이를 보완하여 정교하고 완벽한 메일을 통해 사용자를 속일 수 있습니다.미국의 비영리단체 '퓨처오브라이프'는 '강력한 AI시스템은 효과가 긍정적이고 그 위험이 관리 가능하다는 확신이 있을 때만 개발되어야 한다'라며 챗GPT4보다 강력한 생성형 AI의 개발을 6개월동안 중단할 것을 촉구하는 서명운동을 벌였고 테슬라 최고경영자 일론머스크, 애플 공동창업자 스티브 워즈니악  등 기업가와 정치인 등 1200여명이 서명하였습니다. AI기술이 따라잡기 힘든 속도로 발전하고 있지만 이를 뒷받침할 법적 기준과 제도는 미흡한 실정입니다. 특히 챗GPT와 같은 생성 AI의 경우 엄청난 양의 데이터를 수집하기 때문에 개인정보 침해에 대한 우려는 커질수밖에 없습니다. 하루빨리 AI분야에 특화된 개인정보 보호 대책 및 규제가 마련되어 모두가 안심하고 AI기술을 사용할 수 있는 날이 왔으면 좋겠습니다.

2022 개인정보 보호 및 활용 조사, 그 결과는?

개인정보 처리자란 업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하며, 정보주체란 처리되는 정보에 의해 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다.개인정보보호법 제2조에서는 개인정보 처리자와 정보주체를 다음과 같이 정의하고 있는데요, 개인정보를 제공하는 정보주체와 개인정보를 처리하는개인정보처리자는 어떠한 목적으로 개인정보를 제공, 수집하며 안전한 개인정보 이용을 실천하고 있을까요? 개인정보보호위원회에서는 2021년부터 개인정보 관련 통계를 활용하여 개인정보 보호 및 활용 조사를 실시하고 있습니다. 올해 조사 대상은 공공기관 1천여개, 민간기업 8천여개 및 일반국민 4천여명입니다.개인정보 처리자(공공/민간)개인정보 처리자(공공)의 개인정보 수집 유형 및 목적개인정보 처리자(민간)의 개인정보 수집 유형 및 목적개인정보 수집과 관련하여 공공과 민간 모두 인적사항을 가장 많이 수집한 것으로 조사되었습니다. 이후로 공공부문에서는 고유식별정보, 민간 부문에서는 인사·채용을 위한 목적으로 수집하는 것으로 조사되었습니다. 마케팅을 위한 개인정보 수집이 민간 부문에서의 개인정보 수집 목적 3위를 차지하여 기업 홍보 등의 목적으로 개인정보가 수집되는 사례가 많은 것으로 확인되었습니다.  개인정보 처리자(공공)의 개인정보 관리를 위한 조치개인정보 처리자(민간)의 개인정보 관리를 위한 조치개인정보 침해와 관련한 조사에서는 지난 1년간 개인정보 무단 수집·이용을 13.7%가 경험하였으며, 개인정보 유출을 6.2%가 경험하였다고 응답하여 개인정보 무단 수집, 유출을 경험한 정보주체가 적지않게 있었음을 알 수 있었습니다.

지구의 날 EVENT

아시아 최대 규모의 통합 보안 전시회 SECON&eGISEC2023 현장

아시아 최대 규모의 통합 보안 전시회 세계 보안 엑스포가 3월 29일(수)~31일(금)에 일산 킨텍스 제2전시장에서 개최되었습니다. 올해로 22회를 맞은 세계 보안 엑스포는 전자정부 정보보호 솔루션 페어(Egisec)과 동시 개최되어 국내 유일 물리보안과 사이버 보안 솔루션을 한번에 접할 수 있습니다.이번 엑스포에는 총 10개국, 355개 기업이 참여하여 1,200개의 부스에서 최근 떠오르는 인공지능(AI), 빅데이터, 사물인터넷(IoT)등 최신 IT기술을 접목한 보안 기술과 트렌드를 선보였습니다.이번 전시회에서 특히 주목받은 부스는 최근 뜨겁게 화제가 되고 있는 챗GPT를 활용한 사물인터넷 기기 해킹과 양자 컴퓨터를 활용한 기존 암호 해킹 시연을 직접 선보이는 해킹존이었습니다. 챗GPT를 활용한 해킹 시연은 챗GPT에 대한 경각심을 가져야 함을 느끼게 되었는데요, 해커가 시스템 환경을 이해했다는 가정 하에 챗GPT가 제시한 코드를 그대로 입력하자 도어록이 열렸습니다. 4차 산업혁명과 디지털 전환에서 빼놓을 수 없는 키워드는 클라우드 인 것 같습니다. 이번 엑스포에서는 클라우드 컴퓨팅을 도입하는 기업이 계속해서 증가함에 따라 클라우드 환경내에서의 보안에 대한 관심이 증가하고 있음을 알 수 있었습니다. ‘클라우드 환경 지원’, ‘클라우드 보안’ 등 클라우드가 포함된 부스를 마주할 수 있었습니다.특히 클라우드 전환기업을 위한 클라우드 기반 보안 솔루션을 선보인 기업들을 볼 수 있었습니다. 실제로 이제 클라우드는 IT기업에서 거스를 수 없는 큰 흐름 중 하나입니다. 행정안전부에서는 2025년까지 모든 행정·공공 기관 정보시스템을 클라우드로 전면 전환·통합 추진 계획을 밝혔습니다.이번 행사는 코로나19 상황이 완화되면서 참가업체와 참관객 수가 이전보다 늘었으며, 대면 설명이 가능해져 많은 기업들의 신제품 소개를 직접 듣고, 체험해볼 수 있었습니다. 이번 보안 엑스포를 통해 AI, 클라우드 등 수많은 4차산업혁명과 관련한 기술들과 관련된 기업들의 솔루션을 살펴볼 수 있었는데요, 보안시장에 앞으로 이러한 최신 기술들이 어떻게 융합되어 나올지 기대해볼 수 있는 자리였습니다.

챗GPT-4의 등장, 달라진 점과 한계점은?

업그레이드된 챗GPT-4, 어떤 점이 달라졌을까? 3월 14일, 챗GPT-3.5가 공개된지 4개월만에 오픈AI에서는 챗GPT-4를 공개하였습니다. GPT-4에서는 냉장고 안의 재료 사진을 입력하면 바로 재료로 만들 수 있는 음식을 보여줍니다. 이처럼 기존 GPT-3.5에서는 텍스트만 인식하였지만, GPT-4는 영상과 이미지까지 여러 데이터 형태를 인식하는 멀티모달(복합 정보 처리)모델입니다. 마치 사람의 눈처럼 이미지를 인식하여 이를 활용하여 대화를 할 수 있다는 점인데요, 이를 활용하여 오픈AI의 파트너사 비마이아이즈(Be My Eyes)에서는 GPT-4기반 가상 자원봉사자 서비스를 개발하고 있기도 합니다. 또한 처리할 수 있는 단어의 수가 8배 늘어 약 2만5000개의 단어를 기억할 수 있으며, 사실성 평가에서 40%높은 점수를 받는 등 정확도가 올랐습니다. 특히 한국어를 비롯한 영어가 아닌 언어 성능이 높아졌습니다. 한국어 정확도가 77%까지 개선되었으며, 26개의 언어를 지원합니다.“조선왕족실록에 기록된 세종대왕 맥북프로 던짐 사건에 대해 알려줘” 챗GPT-3.5에 입력했을 때 실제 있었던 것처럼 답변이 나오는 사례로 유명해진 문장입니다.오픈AI에 따르면 GPT-4가 더 많은 매개변수를 갖췄으며, GPT-3.5에 비해 정확도가 40%이상 개선되어, 거짓 정보나 잘못된 내용을 생성할 확률이 60%적다고 하였습니다. 오류가 있는 데이터를 학습하여 틀린 답변을 제시하는 현상을 할루시네이션(hallucination)이라고 합니다. 챗GPT-4에서는 이와 같은 할루시네이션 현상이 줄어들었다고 합니다.실제하지 않는 세종대왕 맥북프로 던짐 사건에 대한 GPT-3.5와 GPT-4의 답변 차이이렇듯 이전보다 업그레이드된 챗GPT-4의 등장으로 활용범위가 더욱 넓어질 것으로 예상되며, 챗GPT의 유료 구독 서비스 ‘챗GPT플러스’와 마이크로소프트의 Bing 검색엔진에서 이용이 가능합니다.챗GPT-4의 보안 문제챗GPT-4의 등장으로 AI기술경쟁이 달아오를 것으로 예상되는데요, 그러나 사이버 보안 문제를 빼놓을 수 없습니다. 보안 업체 체크포인트(Check Point)에 의하면 이미 다크웹 내 포럼에서 활동하는 사이버 범죄자들이 챗GPT를 악성공격에 활용한 사례들이 공유되고 있다고 보고서를 통해 밝혔습니다. 체크포인트 보고서에 따르면 챗GPT를 통해 악성코드나 피싱 사이트 제작을 위한 코드를 만드는 방법이 다크웹에서 공유되었습니다. 악성코드나 해킹 프로그램을 제작해본 경험이 없는 사람도 챗GPT를 활용하여 생성할 수 있습니다. 따라서 코딩 경험이 없어도 챗GPT를 통해 파일을 암호화하고 해독하는 생성하며, 이를 랜섬웨어로 활용할 수 있습니다.또한 기업에서 프로젝트에 활용할 용도로 작업하는 과정에서 기밀성 내용을 언급할 경우 이러한 정보가 유출될 가능성이 있습니다. 이에 월마트 글로벌 테크에서는 챗GPT 등 AI챗봇과 회사에 대해 어떠한 정보도 공유하는 것을 금지하였습니다. 아마존에서는 이미 직원들에게 기밀정보나 자사에서 개발중인 프로그램을 입력하지 않도록 주의하였습니다.챗GPT-4의 등장이 우리의 삶을 더 편리하게 해줄 수 있겠지만, 아직까지는 부정확한 답변이 있을 수 있으며, 허위정보 유포, 사이버 공격에의 사용 등 해결해야 할 과제가 있습니다. 오픈 AI에서는 업그레이드된 GPT모델을 계속해서 발표할 것으로 예상되는데요, 앞으로 이런 점들이 어떻게 보완되어 다음 버전이 나타날지 지켜봐야 할 것 같습니다.OPEN AI