-
IT·보안포스트 코로나 시대의 재택근무, 철저한 보안은 필수
코로나와 함께 찾아온 재택근무, 업무 효율은?코로나19 팬데믹으로 인해 우리의 일상에 많은 변화가 있는데요, 그중 하나는 재택·원격근무의 확산일 것입니다. 코로나 이후로 많은 기업들이 재택근무 제도 도입과 함께 회식 및 출장 자제, 비대면 온라인 회의 등 대면활동을 최소화하는 방안으로 나아가는 추세입니다. 고용노동부에서 재택근무 실시 현황에 대해 기업 인사담당자와 근로자들을 대상으로 조사한 ‘재택근무 활용실태 설문조사’에 따르면 기업 10곳 중 5곳은 재택근무를 도입하였으며, 재택근무로 인해 업무효율이 높아졌다는 응답이 66.7%이며 근로자의 91.3%가 만족한다고 답변하였습니다. 재택근무에 만족하는 주요 요인으로는 출퇴근 시간 경감, 여가시간 확보, 일·가정 양립 기여 등으로 나타났습니다. 새로운 근무방식으로 자리잡은 재택근무, 보안은?이처럼 이제 재택근무는 기업들이 일하는 방식 중 하나로 자리잡은 것 같은데요. 그러나 보안 위협에 대한 대비를 하지 않은 채 실시하는 재택근무는 해킹, 악성코드 감염 등의 사이버 공격에 취약할 수 있습니다. 실제로 보안에 취약한 근무환경에의 피싱 및 악성코드 감염이 이슈가 되고 있으며, 재택근무에 사용되는 원격 단말기의 해킹 등의 보안위협으로 기업의 랜섬웨어 감염이나 기업의 정보유출을 초래할 수 있습니다. 재택근무 체계를 안전하게 지속적으로 시행하기 위해서는 안전한 보안환경을 구축해야 할 것입니다. 그렇다면 안전하게 재택근무를 하기 위한 보안수칙에는 어떤 것들이 있을까요? KISA 한국인터넷진흥원에서는 재택·원격근무시 지켜야 할 정보보호 6대 실천수칙을 발표하였습니다. 사용자 실천 보안 수칙1.재택 근무 시 개인 PC를 업무에 사용하는 경우 응용프로그램을 최신 상태로 유지하고 주기적인 보안 업데이트를 해주어야 합니다.2.백신프로그램을 설치하여 주기적으로 업데이트 및 바이러스 검사를 해야 합니다. 또한 백신 업데이트설정 및 실시간 검사 기능은 반드시 켜두어야 합니다.3.가정용 인터넷 공유기를 최신 SW로 업데이트 하고 공유기 비밀번호를 유추하기 어렵도록 특수문자 등을 포함하여 설정해야 합니다. 또한 개인 영업장(카페, 식당 등)에 설치된 사설 와이파이 및 공용 PC를 이용한 재택근무는 자제해야 합니다.4.회사에서 제공하는 메일서비스를 사용하는 것이 안전하며, 목적 외 메일은 열람을 자제하고 링크, 파일 등을 함부로 클릭하거나 다운받지 않아야 합니다.5.업무를 위한 웹사이트 이외에 개인적인 목적의 웹사이트 접속은 자제해야 합니다.6.메일 또는 웹브라우저를 통해 파일 다운로드 시 랜섬웨어 감염 가능성이 있으므로 출처가 의심스러운 파일은 다운로드하지 않아야 하며 업무 파일은 별도의 저장장치에 주기적 백업을 실시해야 합니다. 보안관리자 실천 보안 수칙1.사내 보안정책에 따른 VPN사용이 권장되며, VPN미보유 기업의 경우 사내망 접속PC백신 최신화 및 수시 점검을 시행해야 합니다.2.PC 운영체제, 소프트웨어, 백신 최신화, 공유기 패스워드 설정, 웹사이트 이용 자제 등의 재택근무자 대상 보안지침을 마련하여 공지 및 교육을 실시해야 합니다.3.재택근무자의 비밀번호 설정 강화 및 재택근무시 접근권한 최소화 방안을 마련해야 하며 원격근무시스템 접근시 비밀번호 이외 OTP 등 2차 인증수단 적용이 필요합니다.4.재택근무자가 사내 네트워크 접속 후 부재 시 네트워크 접속 차단을 설정하며, 10분~30분 동안 부재 시 차단을 권장합니다5.재택근무자의 사내 네트워크 접속 현황 관리 및 우회 접속 집중 모니터링을 실시합니다.6.개인정보, 기업정보 등 데이터 보안을 위해 데이터 유출 방지대책을 마련하며, 재택근무자의 작업 파일 내부 반입 시 랜섬웨어 감염 여부 등 파일 검사가 필요합니다. 또한 기업의 중요한 데이터는 백업을 권장합니다. 코로나 확산 초기 카카오, 네이버, 삼성 등의 원격근무 환경이 갖추어진 대기업을 시작으로 이제는 중견, 중소규모의 기업들에서도 재택근무가 자리잡고 있습니다. 트위터는 코로나 사태가 종료되더라도 직원이 원하면 영구적으로 재택근무를 도입하겠다고 하였으며, 페이스북도 향후 10년간 재택근무를 중심으로 회사 운영 방식을 재조정한다고 발표하였습니다. 이처럼 코로나 사태를 계기로 앞으로는 재택근무가 새로운 근무방식 중의 하나로 자리잡을 것으로 예상됩니다. 재택근무를 실시하는 기업의 보안관리자는 주기적으로 보안을 점검하고 근로자들이 보안의식을 갖출 수 있도록 가이드라인을 철저하게 공지해야 하며, 업무 환경에 주기적인 보안 강화를 해주어야 할 것입니다. 또한 사용자는 보안에 관심을 갖고 조심하며 가이드라인을 잘 지켜 안전한 재택근무가 이루어질 수 있도록 해야 할 것입니다. 출처 및 참고자료고용노동부, 「재택근무 활용실태 설문조사 결과」 KISA 한국인터넷진흥원, 재택ㆍ원격근무 정보보호 6대 실천 수칙
-
- 22.03.09
-
IT·보안2030 미래 사회 변화 및 ICT 8대 유망 기술의 사이버 위협 전망
‘ICT’란 Information Communication Technology의 약자로, 정보를 가공· 유통하는 데 통신이 차지하는 중요성이 높아지면서 정보를 뜻하는 IT에 통신의 개념이 추가된 단어로 ‘정보통신기술’을 뜻합니다. 즉, ICT기술은 핸드폰, 스마트 워치, 테블릿 등의 스마트 기기들을 포함한 인공지능, 빅데이터, 클라우드 서비스까지 모든 정보통신기반의 기술을 뜻하며, 이미 우리 생활 깊숙이 들어와 실생활에 많은 영향을 미치고 있습니다. 코로나 팬데믹으로 인해 재택근무, 원격 교육 등의 비대면·비접촉 일상이 증가하면서 ICT기술의 파급력 또한 확산되고 있습니다. 한국인터넷진흥원(KISA)에서는 이러한 ICT기술의 급격한 확산과 파급력으로 인해 디지털 격차, 디지털 기기에의 의존도 증가, 소프트웨어 보안 취약점 노출 등의 사회문제가 발생함을 지적하였습니다. 특히 디지털 환경의 증가에 따른 보안 위협, 개인정보 유출 등 프라이버시 침해 발생 가능성을 높다고 평가하며 이러한 문제에 대비하기 위해 「2030 미래사회 변화 및 ICT 8대 유망기술의 사이버 위협 전망」 보고서를 발표하였습니다. 보고서에서는 2030 미래사회 변화에 가장 영향을 미칠 것이며 중요하다고 전망되는 ICT 8대 유망기술로 ‘AI, IoT, 클라우드, 차세대 네트워크, 빅데이터, 블록체인, 메타버스, 디지털 트윈’을 선정하였습니다. KISA에서는 국내외 사이버위협 전망 보고서 주요내용 분석을 통해 비대면을 통한 사이버 사기, 재택근무, 원격의료 시스템에 대한 악성코드 공격 등의 문제가 있음을 발표하였습니다. 즉, 코로나19를 계기로 산업·경제·일상생활 모든 분야가 디지털화됨에 따라 사이버위협 가능성이 높아지며 이를 위한 분석 프레임워크 기반의 전문가 설문을 실시하였습니다. 다음은 사이버 위협 평가결과를 기반으로 각 기술 별 위협 이슈와 대응준비를 위한 필요사항 등을 분석한 내용입니다.AI(Artificial Intelligence)AI(인공지능)이란 광범위하게 기계 또는 시스템이 하는 인간과 같은 모든 행동을 의미합니다. AI에서 발생하는 사이버위협은 AI자체와 활용하는 시스템에 대한 취약한 보안, AI 학습데이터에 대한 위·변조 또는 탈취와 개인정보유출 등의 위험이 있을 것으로 전망하였습니다. IoT(Internet of Things)IoT란 사물인터넷을 의미하며, 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하여 사용하는 기술입니다. IoT 기기와 시스템의 SW와 운영체제 등의 낮은 버전 사용, 보안 패치 미적용, 이용자의 저사양 기기 사용 등의 원인으로 사이버위협이 발생하며 네트워크로 연결되는 다양한 기기에서 생성·수집되는 정보 중 개인정보, 기업정보 등의 유출 위험이 있을 것으로 전망하였습니다. 차세대 네트워크(5G, 6G)차세대 네트워크란 단일 통합망에서 음성, 데이터, 멀티미디어 등을 모두 수용하는 고도로 지능화된 미래형 네트워크를 뜻합니다. 차세대 네트워크의 상용화에 따라 네트워크 장비, 시스템에 대한 보안 취약점, DDoS 공격 등으로 인한 사이버위협이 지속적으로 증가하여 미래에도 위험도가 높을 것으로 전망하였습니다. 빅데이터(Big-data)빅데이터란 기존의 데이터 처리 능력을 넘어서는 대량의 데이터, 또는 그 데이터를 분석하고 가치를 창출하는 기술입니다. 대량으로 수집·관리되는 시스템, DB, 빅데이터 처리 네트워크 등에 대한 보안 취약점으로 사이버위협이 발생하며, 광범위한 데이터 수집에 따른 정보보호 위험도가 높을 것으로 전망하였습니다. 클라우드(Cloud)클라우드란 기능과 서비스를 물리적인 매체가 아닌 인터넷에 접속하여 사용하는 이용형태를 말합니다. 대부분의 기업에서 클라우드 중심 업무 환경으로의 변화에 따라 외부에서 기업 내부 정보에 접근하는 경우가 발생하여 중요 정보 유출의 위험이 증가할 수 있으며, 오픈소스 기반 클라우드를 대상으로 DDoS 공격, 악성코드 유포 등의 사이버공격이 지속적으로 증가함에 따라 개인정보 유출 및 서비스 마비와 같은 피해가 발생할 수 있음을 전망하였습니다. 블록체인(Block Chain)블록체인이란 데이터 분산 처리기술로, 네트워크에 참여하는 사용자의 거래내역 등의 데이터를 분산, 저장하는 기술을 지칭합니다. 블록체인 기술 덕분에 가상자산을 활용한 경제활동이 증가하였으나 개인 전자지갑과 개인키에 대한 보안 위협 및 오픈소스 기반 블록체인 플랫폼·네트워크 구축에 따른 보안 취약점과 블록체인 네트워크에서 공유되는 데이터 내 악성코드 유포, 합의 알고리즘에 대한 공격 등에 있어 위험도가 높을 것으로 전망하였습니다. 메타버스(Metaverse)메타버스란 현실을 디지털 기반의 가상 세계로 확장하여 가상공간에서 모든 활동을 할 수 있게 만드는 시스템입니다. 게임, 문화, 경제 등 다양한 환경에서의 메타버스 활용을 통해 새로운 경제, 사회적 가치를 창출할 수 있지만, 메타버스를 이용하기 위해 사용되는 AR/VR 기기의 보안 취약점, 무선통신 이용에 따른 패킷 탈취 가능성 증가로 인한 보안 위협 가능성도 있다고 밝혔습니다. 디지털트윈(Digital Twin)디지털 트윈은 실제 장비나 공간을 가상세계에 쌍둥이처럼 똑같이 구현하는 기술입니다. 디지털 트윈의 데이터가 유출될 경우, 개인의 위치나 사생활 등이 침해될 수 있기 때문에 이를 예방하기 위해 철저한 암호화, 마스킹 또는 가명처리를 통한 정보보호가 필요하며, 개인정보 오남용, 데이터 위·변조 등이 발생하지 않도록 수집된 데이터에 대한 접근 통제가 필요함을 강조하였습니다. KISA에서는 ICT기술의 발전과 디지털 중심의 사회변화로 인해 사이버 위협은 점차 국가 시스템, 공급망 등으로 확대되고 있기 때문에 철저한 보안관리 및 모니터링이 필요함을 강조하였습니다. 또한 재택·원격근무가 확산됨에 따라 비대면 업무환경을 대상으로 하는 해킹, 악성코드 유포 등의 사이버위협이 지속될 것으로 전망하였습니다. 따라서 이를 예방하기 위해서는 정보보안기술개발과 함께 기업과 개인의 준비 또한 필요하다고 발표하였습니다. 출처 및 참고자료한국인터넷진흥원(KISA), 「2030 미래사회 변화 및 ICT 8대 유망기술의 사이버 위협 전망」 경찰청(2021), 2020년 사이버범죄 동향 분석 보고서
-
- 22.03.07
-
IT·보안내 개인정보는 안전할까? ‘털린 내 정보 찾기 서비스’
'개인정보 유출' 쇼핑몰 등 3개 업체에 과태료 2천680만원 (연합뉴스, 2022-01-26) 2022년에도 계속되는 다크웹의 한국사랑? 랜섬웨어부터 개인정보 판매까지 (보안뉴스, 2022-02-22) 해킹된 ‘상위 1% 소개팅 앱’ 14만명 정보 유출··· 개인정보위 “사생활 침해 심각” (디지털 데일리, 2022-02-23) ‘개인정보 유출’ 키워드로 검색했을 때 노출되는 최근 기사들인데요, 코로나로 인해 온라인에서 보내는 시간이 증가함에 따라 사이버 범죄, 특히 개인정보 유출 범죄에 관한 기사를 자주 접할 수 있습니다. 경찰청 통계자료에 따르면 코로나19의 영향으로 정보통신망 침해형 범죄가 증가하는 추세이며, 2021년에는 정보통신망 침해형 범죄 중 해킹 범죄가 차지하는 비율이 2128건으로 전체의 75.3%를 차지한다고 합니다. 다크웹 또한 사이버 범죄의 한 축으로 떠오르고 있습니다. 다크웹이란 특수한 브라우저를 통해서만 접속할 수 있는 웹으로, 최근 웰컴투 비디오, N번방 사건으로 대중들에게 알려졌으며 개인정보 거래, 성 착취물 등의 심각한 범죄가 다크웹을 통해 이루어지고 있습니다. 실제로 작년 한 해동안 다크웹에 한국인의 개인정보 수억건을 판매하는 게시글이 반복적으로 올라오는 사건이 발생하며 다크웹은 사회적 문제로 떠오르고 있습니다. 이렇듯 나날이 증가하는 사이버 범죄에 속수무책으로 당하고 있기 보다는 사전에 예방할 수 있는 방안을 찾아보는 건 어떨까요? 개인정보보호위원회와 한국인터넷진흥원(KISA)은 온라인에서의 내 정보 유출여부를 확인할 수 있는 털린 내 정보 찾기 서비스’를 제공하고 있습니다. ‘털린 내 정보 찾기 서비스’는 2021년 11월 시작된 서비스로, 개인정보보호위원회와 한국인터넷진흥원(KISA)가 자체 확보한 다크웹 등의 음성화 사이트에서 불법 유통되고 있는 국내 계정정보 약 2,300만여 건 과 구글의 비밀번호 진단 서비스 약 40억여 건을 활용해 유출여부를 확인할 수 있습니다. 털린 내 정보 찾기 서비스 사용방법 ① 털린 내 정보 찾기 사이트(https://kidc.eprivacy.go.kr)에 접속하여 유출 여부 조회하기 메뉴를 클릭합니다. ② 개인정보 수집·이용 동의 및 사용자 인증을 진행합니다.1차 인증은 이메일 인증으로, 입력한 이메일 주소로 인증번호를 발송한 후 받은 인증번호를 입력합니다.1차 인증 완료 후, 계정탈취를 방지하는 2차인증을 실시합니다. ③ 자주 이용하는 계정정보(아이디, 비밀번호)를 최대 5개까지 입력합니다. 서로 다른 5개의 계정정보를 입력해야 합니다.④ 결과 안내 해당 아이디 및 비밀번호가 유출되지 않았을 경우에는 ‘유출되지 않았습니다’ 라고 메시지가 나오며, 유출되었을 경우에는 ‘유출이력이 있습니다’라는 메시지가 나옵니다.유출 이력이 존재하는 경우에는 즉시 패스워드를 변경하여 2차 유출 피해를 방지해야 합니다. 사이트 내 공지사항에 게시된 ‘패스워드 선택 및 이용 안내서’를 참고하여 안전한 패스워드로 변경하여 개인정보 보안을 위해 노력해야 할 것입니다. 명의도용이 의심되거나 ‘아이디, 패스워드’를 알지 못해 회원탈퇴가 어려운 경우 개인정보위원회에서 운영 중인 e프라이버스 클린서비스(www.eprivacy.go.kr)를 통해 장기간 미사용 및 미접속한 웹사이트에 대한 회원 탈퇴 등을 통해 개인정보를 안전하게 관리할 수 있습니다. ‘털린 내 정보 찾기 서비스’에서 사용하는 계정정보는 익명성, 폐쇄성이 높아 추적이 어려운 다크웹, 딥웹 등을 포함해 온라인 상에 유출됐다고 인지되거나 공개된 정보를 기반으로 적법하게 수집하였다고 합니다. 또한 계정정보를 평문으로 보관하지 않고, 즉시 일방향 암호화함으로써 단순 조회정보 제공 목적으로만 활용하고 있으며, 조회 후에 즉시 파기됩니다. 개인정보위원회에 따르면 ‘털린 내 정보 찾기’ 서비스 시행 이후 지난해 12월까지 약 28만명이 계정정보의 유출 여부를 조회했으며, 약 2만명이 계정정보의 유출 사실을 확인한 것으로 나타났습니다. 개인정보위원회는 개인정보 유출로 인한 2차 피해를 방지하기 위해 털린 내 정보 찾기 서비스를 확대하여 아이디와 패스워드에 이메일, 전화정보, 여권번호 등을 추가해 유출 여부를 확인할 수 있는 범위를 늘리겠다는 계획을 발표하였습니다. 이른바 ‘언택트 시대’라 불리는 요즘, 사이버 상에서 보내는 시간이 증가하면서 자연스레 개인정보의 노출도 확대되고 있습니다. 이렇게 노출된 개인정보는 불법적인 용도로 사용될 수 있기 때문에 사전에 예방하는 것이 가장 중요합니다. 비밀번호를 주기적으로 변경하고, 불필요한 사이트는 탈퇴하는 등의 조치를 통해 개인정보를 안전하게 지키고 난 후 온라인 생활을 즐기는 건 어떨까요? 출처 및 참고자료털린 내 정보 찾기 서비스(https://kidc.eprivacy.go.kr/)
-
- 22.03.04
-
IT·보안개정위, 2021년 개인정보보호 실태조사 결과 발표
‘개인정보의 이용 및 수집에 동의합니다’ 라는 문구는 새로운 서비스를 가입하거나 이용하기 위한 절차에서 항상 마주하는 문구입니다. 대부분의 사용자들은 개인정보 관련 약관을 자세하게 읽고 확인하기 보다는 무심코 체크하며, 개인정보의 수집 및 제공에 동의함으로써 개인정보 처리자가 개인정보를 활용할 수 있도록 데이터를 제공합니다. , , . (25) 개인정보처리자는 다음의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며그 수집목적의 범위에서 이용할 수 있습니다「개인정보보호법」 제조 제항 3, , . 개인정보위원회 보도자료공공기관인 이상 민간기업가만명 이상의 대규모 개인정보 보유 개인정보보호위원회, 2021 결과개인정보보호위원회 보도자료공공기관인 이상 민간기업가만명 이상의 대규모 개인정보 보유
-
- 22.02.23
-
IT·보안대체 불가능 토큰, NFT는 무엇인가?
요즘 가장 핫한 키워드인 NFT란 ‘Non Fungible Token’의 약자로, 우리말로는 ‘대체불가 토큰’ 혹은 ‘대체불가능 토큰’으로 번역됩니다. 즉, 토큰마다 고유한 인식값이 있어 상호교환이 불가능하며, 위변조 혹은 복제가 불가능해 원본의 가치를 인정해주는 '디지털 등기부등본'이라 볼 수 있습니다. NFT는 비트코인과 같이 블록체인을 기반으로 하는 암호화폐의 일종이지만, 비트코인과 다른 점은 '대체불가능성'입니다. 비트코인이나 이더리움 등 대체 가능한 토큰은 한개당 동일한 가치를 지니고 있으며, 상호교환이 가능합니다. 그러나 대체불가능 토큰 NFT는 ‘A’라는 NFT와 ‘B’라는 NFT가 서로 다르기 때문에 상호교환이 불가능합니다. NFT는 디지털 자산에 고유한 인식 값을 부여하여 디지털 자산을 안전하게 소유, 거래, 인증할 수 있도록 하는 것이 특징입니다. NFT가 등장하기 전에는 디지털파일의 복제, 배포, 소유권 등의 관리가 되지 않았으나 NFT의 등장으로 디지털 파일에 소유권을 부여하여 타인과 디지털 파일을 공유하더라도 소유권은 원작자에게 있음을 보장할 수 있게 되어 자산으로서의 가치도 인정받게 되었습니다.출처: 크립토키티NFT의 시초는 2017년 캐나다의 신생 기업 Dapper Labs가 출시한 게임 '크립토키티'의 성공이었습니다. 크립토키티(Crypto Kitties)는 가상고양이 육성 게임으로 가상 고양이를 수집하여 자신만의 희귀한 고양이를 만들 수 있으며, 고유의 일련번호가 부여된 고양이들을 암호화폐로 사고 팔 수 있습니다. 크립토키티에서 가장 비싸게 거래된 '드래곤'이라는 고양이 캐릭터는 현재 시세로 13억원 정도에 거래되었다고 합니다. NFT거래는 빠른 성장세를 보이고 있으며, 특히 실물로 수집해야 했던 예술작품을 디지털로 소유할 수 있게 됨에 따라 예술작품에서 거래가 많이 일어나고 있습니다.출처: 그라임스 인스타그램실제로 테슬라 CEO 일론머스크의 아내이자 가수인 그라임스가 암호화기술이 적용된 디지털 그림 컬렉션 10종을 '워 님프(Wae Nymph)'라는 제목으로 온라인 경매에 내놓자 20분만에 총 580만달러(약 65억원)에 낙찰되었습니다. 출처: Beeple2021년 3월 11일 미국 디지털 아티스트 Beeple(Mike Winklemann)의 ‘Everydays : The First 5000 Days’라는 작품이 크리스티 경매에서 무려 6930만 달러(한화 약 784억 원)에 낙찰되며 화제가 되기도 했습니다. NFT는 미술작품이 아니라도 디지털 콘텐츠라면 무엇이든 적용하여 거래할 수 있습니다. 트위터의 창립자 잭 도시는 ‘just setting up my twttr(지금 막 내 트위터 계정을 설정했다)’이라고 자신이 쓴 역대 첫 트윗에 NFT를 적용해 290만 달러(약 32억 7000만 원)에 판매했습니다. 영국의 일렉트로닉 뮤직 듀오 디스클로저(Disclosure)는 트위치에서 실시간으로 신곡을 제작하고 이를 NFT로 만들었습니다. MBC가 자사 NFT전용 플랫폼인 아카이브by MBC를 통해 '무한도전 무야호'영상의 NFT를 경매에서 950만원에 판매되기도 했습니다. 국내외 기업들의 NFT 사업으로의 진출도 활발히 일어나고 있습니다. 마이크로소프트는 엔진코인을 만든 기업과 협력하여 게임 이용자들에게 NFT를 보상하는 브라우저를 출시했으며, 카카오 역시 자회사 그라운드 X를 통해 NFT 플랫폼 사업에 집중하고 있습니다. 방탄소년단(BTS)소속사 하이브는 자사 아티스트들을 NFT와 연계해 포토카드 등의 굿즈를 제작하였습니다. 이처럼 미래 핵심 산업으로 떠오르고 있는 NFT는 디지털 세계에서의 원본의 가치를 인정하고, 소유권을 보호해줌으로써 디지털 자산의 가치를 높이는 역할을 하고 있습니다. 앞으로 새로운 가상 자산으로 계속해서 성장할 것으로 보이는 NFT산업에 꾸준히 관심을 가져야 할 것입니다.
-
- 22.02.16
-
IT·보안내부회계관리제도 적용 기업의 ITGC 대응 방안 (상)
「주식회사의 외부감사에 관한 법률」 즉, 외감법은 외부감사를 받는 회사의 회계처리와 회계의 투명성, 외부감사의 신뢰성제고를 목적으로 제정된 법입니다. 2018년 11월부터 새롭게 시행된 ‘신(新)외감법’이라 불리는 「주식회사 등의 외부감사에 관한 법률」에서는 상장회사의 내부회계관리제도에 대해서도 외부감사를 받도록 하였습니다. 신외감법의 대표적인 항목들은 다음과 같습니다. 1. 외부감사 대상 확대 신외감법 이전에는 자산·부채·종업원수를 기준으로 외부감사가 이루어졌으나, 신외감법에서는 외부감사 기준에 기업의 매출액을 포함시켜 기업의 규모와 재무상황을 고려하고자 했습니다. 주식회사 등의 외부감사에 관한 법률 시행령 제5조(외부감사의 대상) 다음 각 호의 어느 하나에 해당하는 회사는 외부감사 대상이 된다. <개정 2020.10.13> 1. 직전 사업연도 말의 자산총액이 500억원 이상인 회사 2. 직접 사업연도의 매출액이 500억원 이상인 회사 3. 다음 각 목의 사항 중 2개이상에 해당하는 회사 가. 직전 사업연도 말의 자산총액이 120억원 이상 나.직전 사업연도 말의 부채총액이 70억원 이상 다. 직전 사업연도의 매출액이 100억원 이상라. 직전 사업연도 말의 종업원이 100명 이상2. 내부회계관리제도 실효성 강화 내부회계관리제도는 신뢰성 있는 회계정보의 작성과 공시를 위해 회사가 갖추고 지켜야할 재무보고에 대한 내부통제제도를 의미합니다. 신외감법에서는 내부회계관리제도에 대해서도 ‘검토’가 아닌 ‘감사’를 받도록 하여 외부감사인의 감사를 의무화하였고, 기존에는 회계감사인이 내부회계관리제도에 대한 감사의견을 소극적으로 표명했다면, 신외감법 이후에는 적극적으로 표명하게 되었습니다. 내부회계관리 제도 감사 대상은 상장기업의 자산 총액을 기준으로 2019년부터 순차적으로 적용하고 있으며, 2023년에는 모든 상장기업이 내부회계관리제도의 대상이 됩니다.개별기준 외부 감사 적용 시점 연결기준 외부 감사 적용 시점 *연결재무제표: 모회사와 자회사의 사업실적포함3.
-
- 22.01.28
-
IT·보안정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도
ISMS-P란? ISMS-P는 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 증명하는 제도로, 국내 최고 권위의 정보보호 및 개인정보보호 관리체계 통합 인증 제도입니다. 2018년 11월 복수의 인증제도에 따른 혼란을 해소하고, 인증에 소요되는 비용, 행정, 인력 등의 부담을 절감하고자 ISMS인증과 PIMS인증의 행정 및 인증심사 절차가 통합되었습니다. 통합된 인증은 ISMS와 ISMS-P로 이루어지며, ‘ISMS 인증’은 정보보호 중심의 인증, ISMS-P인증은 개인정보의 흐름과 정보보호 영역을 모두 인증하고 있습니다. ISMS 인증은 정보보호관리체계 수립 및 운영 16개 항목과 보호대책 요구사항 64개 항목과 개인정보 처리 단계별 요구사항 22개 항목까지 총 102개 항목을 모두 갖춰야 취득할 수 있습니다. 최초 심사를 통해 인증을 취득하면 3년의 유효기간이 부여되며, 인증 유효기간 중 매년 1회 이상 사후 심사가 시행됩니다. ISMS-P의 목적 및 기대효과 -일회성 정보보호 대책에서 벗어나 체계적, 종합적인 정보보호 관리체계를 구현함으로써 기업의 정보보호 및 개인정보보호 관리수준을 향상시킬 수 있습니다. -기업은 지속적이고 체계적인 ISMS-P 구축을 통해 해킹, DDoS 등의 침해사고 및 개인정보 유출사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화할 수 있습니다. -기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있습니다. -ISMS-P 인증을 취득한 기관은 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지를 제고할 수 있습니다. -ISMS-P 인증을 취득한 기관은 공공부문 사업 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있습니다. ISMS-P인증대상 <임의신청자> ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있습니다. 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있습니다. 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일합니다. <의무대상자> ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자 *정보통신망 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말합니다. *집적정보통신시설사업자 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말합니다.출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)ISMS-P 인증절차 ISMS-P의 인증심사 절차는 다음과 같이 1) 준비 및 신청단계, 2) 심사단계, 3) 인증단계로 나눌 수 있으며 사후관리를 위해서는 4) 사후심사 및 갱신심사를 시행해야 합니다.출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)1) 준비 및 신청단계에서는 인증심사 신청 전 취득하고자 하는 인증의 종류에 따라 ISMS 혹은 ISMS-P 관리체계를 구축하고 최소 2개월 이상 운영한 증거자료를 준비해야 합니다. 인증심사 신청 시 취득하고자 하는 인증에 따라 ISMS 단일 인증, ISMS-P 단일 인증, 다수 인증 중 하나를 정하여 신청할 수 있습니다.신청기관은 안내된 심사계획에 따라 심사장소, 심사대응 담당자 지정 및 심사 대응 협조 등을 사전에 준비해야 합니다. 2)심사단계에서는 관리체계 수립 및 운영, 보호대책 요구사항 및 개인정보 처리단계별 요구사항의 인증항목에 맞는 체계를 구축하고 적절하게 운영하고 있는지 확인합니다.인증준비 미흡 또는 인증심사팀 요청사항(추가자료 요청, 현장실사 및 인터뷰 요청 등) 대응이 미흡한 경우, 심사의 신뢰성을 확보할 수 없기 때문에 인증심사 중단 및 심사팀 철수가 이루어질 수 있다는 점에 유의하여야 합니다. 3)인증단계에서는 인증위원회에서 심사결과를 심의·의결하며, ISMS-P인증기준에 적합한 경우 인증서를 발급하며, 신청기관은 이의신청을 할 수 있습니다.4)ISMS-P 사후관리 단계는 사후심사와 갱신심사로 나뉩니다.사후심사는 인증취득기관이 수립하여 운영 중인 정보보호 및 개인정보보호 관리체계가 인증기준에 적합한 수준으로 유지되는지 확인하기 위해 인증 유효기간 중 매년 1회 이상 시행하는 인증심사를 말합니다. 인증발급일 기준으로 매 1년 이전에 심사를 완료해야 하며, 인증유효기간 내 사후심사를 받지 않을 경우 인증이 취소됩니다.ISMS-P 인증의 유효기간은 3년이며 인증 유효기간이 만료될 때 유효기간 연장을 위해서는 갱신심사를 시행해야 합니다.갱신심사는 유효기간(인증발급일 기준) 만료 전에 심사를 받아야 하며, 인증유효기간 내 심사를 받지 않을 경우 인증은 효력을 상실합니다. 갱신심사를 통해 연장되는 인증 유효기간은 3년이며, 최초심사와 마찬가지로 인증위원회에서 인증 유효기간 연장에 대한 심의·의결을 받아야 합니다. ISMS-P인증제도에 대한 자세한 정보는 개인정보보호위원회(https://www.privacy.go.kr/)와 한국인터넷진흥원(https://isms.kisa.or.kr/main/)의 정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)에서 확인하실 수 있습니다. 출처 및 참고자료개인정보보호위원회(https://www.privacy.go.kr/) KISA 한국 인터넷 진흥원(https://isms.kisa.or.kr/main/) 정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)
-
- 21.12.31
-
IT·보안본인이 가입한 모든 사이트를 알고 계신가요?
온라인 쇼핑, 비대면 금융서비스..요즘 웹이나 모바일로 서비스되지 않는 것이 없을 정도로 인터넷은 우리의 삶에 깊숙하게 자리하고 있습니다. 다만, 편리함만큼이나 개인정보 유출이 염려되기도 합니다. 나에 대한 신상정보를 아는 듯한 사람에게서 보이스피싱 전화를 받은 경험, 모르는 사이트에서 온 광고 문자를 받은 경험 모두 한번쯤 있으실 것입니다. 또한 모두가 알만한 기업에서 개인정보 유•노출 사고가 발생하기도 합니다.이렇듯 기술의 발전과 함께 내 개인정보가 어디까지 흘러갔는지에 대한 불안감도 갖게 됩니다. 개인정보를 보호하는 가장 기본적인 방법은 개개인의 보안의식을 강화하고 개인정보의 보호•관리에 대한 중요성을 상기할 필요가 있습니다. 개인정보를 제공할 시 동의 약관을 꼼꼼히 살피고, 비밀번호를 주기적으로 변경하며, 반드시 필요한 사이트만 가입하는 등 개인정보에 대한 철저한 사전 관리가 이루어져야 합니다. 개인정보보호위원회와 한국인터넷 진흥원(KISA)에서는 개인정보의 보호를 위해 프라이버시 클린서비스’를 무료로 제공하고 있습니다. 개인정보를 보호하고 명의도용, 사생활침해 등의 피해를 예방하기 위해 2010년부터 시작된 e프라이버시 클린서비스는 가입했던 사이트들을 확인하고, 사용하지 않는 사이트는 탈퇴할 수 있도록 도와줍니다. 또한 개인정보 수정, 삭제, 처리, 정지 등을 요청할 수도 있습니다. 이를 통해 불필요한 서비스에서 탈퇴하여 개인정보를 보호할 수 있으며, 개인정보 유출 피해를 막을 수 있습니다. e프라이버시 클린서비스는 본인확인이 이루어진 웹사이트를 조회하기 때문에, 직접 회원가입을 하지 않았던 사이트도 조회될 수 있습니다.e프라이버시 클린서비스에서 제공하는 서비스는 다음과 같습니다.1. 본인확인 내역 조회2. 웹사이트 회원 탈퇴3. 개인정보 열람 등 신청본인확인 내역 조회 서비스는 인터넷에서 회원가입, 연령확인(성인인증), 실명인증 등을 위해 실시한 본인확인 내역을 제공합니다.웹사이트 회원탈퇴 서비스는 본인인증을 했던 웹사이트 중 명의도용이 의심되거나 더 이상 이용을 원하지 않는 불필요한 웹사이트에 대해 회원탈퇴처리를 진행합니다.개인정보 열람 등 신청 서비스는 웹사이트에서 수집된 개인정보를 열람하고, 해당 개인정보 정정/삭제/파기 등의 처리를 대행해줍니다.각각의 서비스 이용를 이용하기 위해서는 개인정보 수집·이용에 대한 동의를 위해 개인정보 수집·이용 목적 및 수집 항목, 보유·이용기간 등에 대한 내용을 확인합니다. 이후 본인확인을 위해 본인명의로 발급·가입된 ①디지털 원패스, ②공동인증서, ③아이핀, ④휴대폰, ⑤신용카드 중 하나를 선택하여 본인확인 절차 후 실명인증을 진행합니다. 우리나라는 개인정보 보호법 제4조에서 정보주체의 개인정보 처리에 관한 권한을 명시하고 있습니다. 나아가 개인정보 보호법 제35조(개인정보의 열람) 1항에서 정보 주체의 개인정보에 대한 열람 요구권한을 명시하고 있으며, 36조와 37조에서 개인정보의 정정·삭제에 대한 권한, 개인정보의 처리정지에 대한 요구권한 38조에서는 이에 대한 권리행사의 방법 및 절차에 대해 명시하고 있습니다. 개인정보 보호법 제4조(정보주체의 권리) ① 개인정보의 처리에 관한 정보를 제공받을 권리② 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리③ 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리④ 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리⑤ 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 개인정보 보호법 제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다. ② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26> ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다. ④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 개인정보 보호법 제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. ③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다. ⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다. 개인정보 보호법 제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. ② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 ③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다. ④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. 개인정보 보호법 제38조(권리행사의 방법 및 절차) ① 정보주체는 제35조에 따른 열람, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 등의 요구(이하 "열람등요구"라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. ② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다. ③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. ④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. e프라이버시 클린서비스를 통해 불필요한 사이트를 탈퇴하여 개인정보의 유출을 막고 명의도용, 사생활침해 등의 피해 또한 예방할 수 있을 것입니다. 소중한 내 개인정보, 조금 더 신중하게 다뤄주면 어떨까요? 출처 및 참고자료개인정보 보호법 e프라이버시 클린서비스 https://www.eprivacy.go.kr/main.do
-
- 21.12.23
-
IT·보안유럽 내 개인정보 및 공공데이터 자유롭게 국외이전 가능해졌다.
#유럽에 지사를 둔 한국 기업 A는 유럽 소비자를 대상으로 한국 상품 쇼핑 대행업을 하고 있다. 선호 예상 상품을 선정하기 위해 소비자 정보를 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰했다. 그러나, 유럽 소비자 정보를 한국으로 이전하기 위해서는 표준계약조항(SCC)을 활용할 수밖에 없으며, 현지 법을 위반할 경우 전체 매출의 4%까지 부과되는 과징금 때문에 시간과 비용 측면에서 부담을 느낄 수밖에 없었다. 2017년 1월 GDPR적정성 협의가 시작된 이후, 약 5년여만에 한국에 대한 유럽연합(EU)의 GDPR적정성 결정이 통과되면서 A와 같은 기업들이 유럽의 고객정보를 수월하게 가져올 수 있게 되었습니다. 2021.12.17(금) 오후 6시(한국시간) 한국에 대한 유럽연합(EU) 일반 개인정보보호법(GDPR) 상의 적정성 결정이 채택되었습니다. 이는 EU가 한국의 개인정보보호 정책이 GDPR과 동등한 수준임을 인정한 것입니다. 이에 따라 앞으로 우리나라 기업은 EU회원국에 준하는 지위를 부여받게 됩니다. 표준 계약 등 기존의 까다로운 절차가 면제되고, EU시민의 개인정보를 추가적인 인증이나 절차 없이 자유롭게 국내로 이전 처리할 수 있게 되었습니다.GDPR(General Data Protection Regulation) 은 2018년 5월 25일부터 시행된 EU연합의 개인정보보호법으로 EU를 대상으로 비즈니스를 진행하는 모든 곳에 적용됩니다. GDPR은 DPO(개인정보보호책임자)지정, 영향평가 등을 추가하여 기업의 책임성을 강화했다는 특징이 있습니다. 처리제한권, 정보이동권, 삭제권, 프로파일링 거부권 등을 신설·강화하여 정보주체 권리 또한 강화하였습니다. 또한 모든 회원국을 대상으로 전체매출액 4%의 과징금을 부과하도록 하는 등 강력한 처벌조항을 통해 개인정보를 보호하고 있습니다.GDPR적정성 결정은 EU역외 국가가 EU와 동등한 수준의 개인정보보호 제도를 운영하고 있는지 확인하는 제도입니다. EU와 동등한 수준의 개인정보 보호 조치를 갖췄는지를 평가하여 적정성 결정 국가로 지정하고 있으며, 지정된 국가는 EU회원국처럼 자유롭게 EU 시민의 개인정보 이전이 허용됩니다.2017년 1월 우리나라에 대한 GDPR적정성 검토가 시작되었으나 핵심 요건인 '개인정보 감독기구의 독립성' 미충족으로 협의가 2차례 중단되었습니다. 그러나 지난해 데이터 3법 개정으로 개인정보보호위원회가 독립감독기구로 확대·출범함에 따라 논의가 재개되며 협의가 급진전 되었습니다. 한국과 EU는 5년여간 비대면 회의를 포함한 총 60회 이상 회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층 검토를 거쳐 한국의 개인정보보호 법체계가 'EU 일반개인정보보호법(EU GDPR)과 동등한 수준임을 확인하였습니다. 그 결과, 유럽정보보호이사회(EDPB)는 한·EU 법제 간 차이를 조정하기 위한 개인정보위의 고시 제·개정 등 한국정부의 노력을 높이 평가하며 한국 법제의 우수성을 언급하였으며, EU집행위의 회원국 승인절차(커미톨로지)에서 만장일치로 한국 적정성 결정을 승인하였습니다.EU적정성 진행절차- EU집행위(사법총국)가 초기결정, 의견수렴, 최종결정의 3단계를 진행합니다.윤종인 개인정보보호위원회 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너는 “한국과 EU간의 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호법제가 이번 적정성 결정의 토대” 임을 밝혔습니다. 나아가 개인정보위는 이번 결정이 “개인정보보호 강화가 국제무역 활성화에 기여할 수 있음을 보여주는 사례로서, 한-EU 자유무역협정(FTA)을 보완하여 디지털분야의 양측 간 협력을 강화”할 것이라고 평가하였습니다.그간 EU진출 한국 기업들은 GDPR과 현지 국가 법제를 면밀히 검토하고 실사 및 행정절차를 거쳐 SCC를 체결해야 유럽 시민 정보를 국내로 이전할 수 있었습니다. 이런 과정에서 3개월 이상의 시간과 3천만원~1억원 상당의 비용이 소요될 뿐만 아니라, 규정 위반에 따른 과징금부과 등에 대해 기업들은 큰 부담을 안고 있었습니다. 또한 중소기업은 표준계약절차 자체가 어려워 EU 진출을 포기하기도 했습니다.GDPR 적정성 결정으로 개인정보 국외이전에 있어 한국은 EU회원국에 준하는 지위를 부여받게 되며, 기존의 까다로운 절차가 면제됩니다. 이에 따른 국내 기업들의 활발한 EU진출이 예상되는 가운데, 특히 국내 데이터 분석 회사들의 넓어질 것으로 예측됩니다. 개인정보위 보도자료에 소개된 독일 기업 ㄱ사의 사례를 보면, 마케팅 전략 수립을 위해 한국의 전문 업체에 자사 고객 개인정보 분석을 의뢰하려 했으나 현지 당국의 개인정보 이전 승인을 받는 과정이 복잡해 제한적인 연구만 맡겼습니다. 그러나 적정성 결정 이후에는 ㄱ사가 표준계약 등의 절차 없이 한국 회사에 데이터를 보낼 수 있기에 보다 수월한 마케팅 전략을 세울 수 있을 것입니다.다만, 역외이전 관련 의무 부담만 경감되므로 EU 시민의 개인정보를 직접 수집하고 처리하는 사업자의 전반적인 GDPR 준수 의무가 없어지는 것은 아니라는 점은 꼼꼼히 상기해야 할 것 같습니다. 또한 개인정보위는 한-EU 기업 간 데이터 교류·협력 강화로 국내 데이터 경제가 보다 활성화될 것이라고 전망하였습니다. 민간데이터 이전에 국한되었던 일본에 대한 적정성 결정과는 달리, 이번 적정성 결정은 공공데이터 이전에도 적용됨으로써 한국-EU 정부간의 공공분야 협력도 강화될 것으로 전망하였습니다. 개인정보위는 EU 외 국가 국민의 개인정보를 한국으로 이전할 수 있도록 추가 국제 협상을 추진할 계획이며, 영국을 우선 대상으로 선정하였습니다. 기업의 GDPR 적용대상 여부- EU내에 사업장을 운영하며, 개인정보 처리- EU거주자에게 재화나 서비스를 제공- EU거주자의 EU내 행동을 모니터링*GDPR적용대상은 ‘국적’이 아닌 ‘EU거주자’에 해당하는지 고려-> 따라서 EU 국적자의 개인정보가 한국에서 수집∙처리되는 경우, GDPR이 적용되지 않을 수 있지만,한국인의 정보가 EU 역내에서 수집∙처리되면 EU 거주자에 해당되며 GDPR이 적용될 수는 있음.* ‘명백히’ EU 시장을 염두에 두고 있을때 적용되며, 단순 접근 가능성은 GDPR 적용의 근거가 되지 않음-> 기업이 재화나 서비스를 유로화로 유통하거나 프랑스어∙독일어 등으로 홈페이지를 구성할 경우명백한 타겟팅의 근거가 되지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제대상이 되지 않을 수 있음출처 및 참고문헌개인정보보호위원회 보도자료, 한국 EU 「개인정보보호 적정성 결정」 최종 통과KISA GDPR대응지원 센터, https://gdpr.kisa.or.kr/
-
- 21.12.23
-
IT·보안클라우드 컴퓨팅법 개정안, 2023년 1월부터 시행
클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(약칭: 클라우드 컴퓨팅법)‘클라우드 컴퓨팅’이란 ICT자원을 소유하지 않고 인터넷에 접속해서 빌려쓰는 서비스 방식으로, 4차산업혁명의 핵심기술이자 다른 기술의 근간이 되는 기술입니다.「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」은 클라우드 컴퓨팅법은 클라우드 컴퓨팅의 발전 및 이용을 촉진하고 클라우드컴퓨팅 서비스를 안전하게 이용할 수 있는 환경을 조성하는 것을 목적으로 제정되었습니다.클라우드 컴퓨팅법의 히스토리2009년 행정안전부, 지식경제부, 방송통신위원회의 합동으로 범정부 클라우드컴퓨팅 활성화 종합계획의 수립·시행으로 준비되어 2012년 입법예고 및 공청회 등을 통해 이해관계자의 의견을 수렴하여 입법예고안을 수정하였습니다. 각계 의견을 반영한 정부안은 2013년 10월 국회에 제출되었으며, 2015년 3월 3일 국회 본회의를 통과하여 3월 27일 공포되었으며 2015년 9월에 시행되었습니다. 클라우드컴퓨팅법에서의 용어제2조에서는 클라우드컴퓨팅법에서 사용하는 용어들을 다음과 같이 정의하고 있습니다.클라우드 컴퓨팅법과 다른 법률과의 관계제4조에서는 다른 법률간의 관계에 대해 다루고 있습니다. 다른 법률과 중복되거나 충돌될 가능성이 높기 때문에 관련법률 사이에 우선 적용 순서를 정해 혼란을 최소화하기 위한 조항입니다. 클라우드 컴퓨팅법 제4조에서는 개인정보 관련 사항은 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」등 관련 법에서 정하는 바에 따르도록 하고 있습니다.제4조(다른 법률과의 관계) 이 법은 클라우드 컴퓨팅의 발전과 이용 촉진 및 이용자보호에 관하여 다른 법률에 우선하여 적용하여야 한다. 다만, 개인정보보호에 관하여는 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 에서 정하는 바에 따른다. 정보보호에 관한 기준 명시제23조 2항에서는 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 향상을 위해 정보보호에 관한 기준을 정하여 고시할 것을 명시하고 있습니다.제23조 ② 과학기술정보통신부장관은 클라우드컴퓨팅 서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준을 정하여 고시하고, 클라우드컴퓨팅 서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다. 이에 과학기술정보통신부, 한국인터넷진흥원에서는 공공기관에 검증된 클라우드 서비스를 공급하고 이용자의 보안 우려를 해소하기 위해 클라우드 보안 인증제도를 운영하고 있습니다.클라우드 컴퓨팅 서비스 정보보호에 관한 기준클라우드 컴퓨팅 서비스 정보보호에 관한 기준은 2017년 8월 24일 시행되었으며 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 23조 2항에서 명시된 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 향상을 위해 정보보호에 관한 기준을 정해야 하는 규정에 따라 마련된 행정규칙입니다.제23조 ② 과학기술정보통신부장관은 클라우드컴퓨팅 서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준(관리적·물리적·기술적 보호조치를 포함한다)을 정하여 고시하고, 클라우드컴퓨팅 서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다.2023년 1월, 클라우드 컴퓨팅법 개정안 시행과학기술정보통신부에서는 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’을 2022년 1월 개정하여 2023년 1월 시행 예정임을 밝혔습니다. 개정 사항에서는 클라우드 보안인증 제도 관련 사항을 법률로 상향입법 하였으며, 이번 고시 개정의 주요내용은 다음과 같습니다.제3조(국가 등의 책무) ① 국가와 지방자치단체는 클라우드컴퓨팅의 발전 및 이용 촉진, 클라우드컴퓨팅서비스 이용 활성화, 클라우드컴퓨팅 서비스의 안전한 이용환경 조성 등에 필요한 시책을 마련하여야 한다.② 클라우드컴퓨팅서비스 제공자는 이용자 정보를 보호하고 신뢰할 수 있는 클라우드컴퓨팅서비스를 제공하도록 노력하여야 한다.제20조(국가기관등의 클라우드컴퓨팅 서비스 이용 촉진) ② 국가기관등은 제1항에 따른 클라우드 컴퓨팅서비스 이용에 있어 제23조의2 제1항에 따른 보안인증을 받은 클라우드컴퓨팅 서비스를 우선적으로 고려하여야 한다.제37조 (과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다 (중략)출처 및 참고문헌클라우드컴퓨팅 주요법령 해설서, 과학기술정보통신부·정보통신산업진흥원클라우드컴퓨팅법 해설서, 정보통신산업진흥원
-
- 21.11.25
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.