-
IT·보안모든 것을 의심하라, 제로 트러스트(Zero Trust)
‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 뜻의 제로트러스트에 대해 들어보셨나요? 제로트러스트는 명확한 인증을 거치기 전까지는 모든 사용자, 기기를 신뢰하지 않고 신뢰성을 검증하여 기업의 정보를 보호하는 보안모델입니다. 세계 3개 리서치 기업 중 하나인 포레스터 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 최초로 제안하였으며, 최근 사이버 보안업계에서 가장 화두가 되고 있기도 합니다.전통적인 보안모델에서는 조직의 내·외부를 구분하여 내부자를 신뢰하였습니다. 그러나 제로트러스트는 내·외부 모두 공격자가 존재할 수 있다고 보며 모든 접근을 잠재적 보안 위협으로 바라보는 방식입니다. 따라서 내부 사용자 및 보안 시스템을 통과한 단말기라도 신뢰하지 않는다는 것이 기본 전제입니다. 제로트러스트 도입 현황가트너에서 실시한 ‘2024년 제로트러스트 도입 현황’에 관한 설문조사 따르면 전세계 기업의 63%가 제로트러스트 전략을 완전히 혹은 부분적으로 도입한 것으로 나타났습니다. 제로트러스트는 세계 각국에서 새로운 보안 패러다임으로 자리잡고 있으며, 이를 가장 빠르게 구현하고 있는 국가는 미국입니다. 미국은 2014년과 2015년도에 두차례 연방정부 인사관리처에서 발생한 대량 개인정보 유출사고를 계기로 제로트러스트 보안 모델을 도입하였습니다. 2019년도에는 미국의 국립표준기술연구소(NIST)에서 제로트러스트의 정의, 원칙 등을 기술한 제로트러스트 아키텍처를 발표하였습니다. 2021년도에 바이든 정부의 행정명령을 통해 연방 부처와 기관에게 제로트러스트 모델을 도입하도록 하며 도입을 본격화하였습니다.싱가포르는 ‘싱가포르 사이버 보안 전략 2021’을 통해 사이버 보안 현대화 전략으로 제로트러스트 도입원칙을 발표하였습니다. 영국은 2021년 7월 제로트러스트 아키텍처 설계 원칙을 발표하였으며, 일본은 2022년 6월 제로트러스트 아키텍처 적용 정책을 발표하였습니다. 제로트러스트 가이드라인이처럼 세계 주요 국가에서 적극적으로 제로트러스트의 도입방안을 마련하고 있으며, 우리나라에서도 도입을 위한 가이드라인을 발표하였습니다. 과학기술정보통신부·한국인터넷진흥원(KISA)·한국제로트러스트포럼에서는 이번 12월 가이드라인 2.0을 공개하였습니다. 지난해 7월 공개된 제로트러스트 가이드라인1.0에서는 제로트러스트의 기본 개념과 원리, 핵심 원칙 등에 대한 설명을 통해 도입 필요성을 강조하였습니다. 이번에 발표된 가이드라인2.0에서는 도입을 위한 세부절차, 구체적 방법론 등 기업에서 제로트러스트 도입 시 실질적인 도움이 될 수 있는 내용들로 구성하였습니다. 제로트러스트 아키텍처기업에서 제로트러스트 도입을 통해 달성하고자 하는 최종적인 목표는 기업망 및 내부 리소스에 대한 보호입니다. 제로트러스트 가이드라인에서는 제로트러스트 아키텍처의 기본 원리를 다음과 같이 정리하고 있습니다.제로트러스트 아키텍처제로트러스트 아키텍처 보안모델을 구성하는 논리구성요소인 정책결정지점(정책 엔진 및 관리자), 정책시행지점, 정책정보지점의 기능과 역할은 다음과 같습니다.정책관리자(PA)는 정책엔진과 함께 정책결정지점(PDP)을 구성하며, PEP에 명령하여 접근주체와 리소스 사이의 통신 경로를 생성하거나 폐쇄합니다. 또한 세션에 대한 인증·인가 토큰을 생성하여 접근주체가 기업 리소스에 접근하는데 사용하도록 합니다. 정책시행지점(PEP)은 접근주체와 기업 리소스를 연결하고 모니터링하며 최종적으로 연결을 종료하는 논리 구성 요소입니다. 정책정보지점(PIP)은 신뢰도 판단에 도움이 될 수 있는 정보를 생성하는 시스템을 뜻합니다. 제로트러스트 아키텍처를 실행하는 기업이 접근 결정을 위해 활용할 수 있는 정보를 생성·전달하는 요소로, 기업 내부에서 운영하는 시스템과 외부 시스템 모두 가능합니다.제로트러스트 아키텍처 보안 모델 및 논리 구성 요소기업이 제로트러스트를 도입해야 하는 이유제로트러스트 가이드라인에서는 기업이 제로트러스트를 도입해야 하는 이유에 대해서 다음과 같이 설명하고 있습니다. 1. 안전한 비즈니스 목표 달성기업에서는 보안성을 유지하면서도 새로운 비즈니스 모델에 유연한 제로트러스트 아키텍처를 설계·도입함으로써 안전한 비즈니스 목표를 달성할 수 있습니다. 지속적으로 변화하는 IT환경, 원격·재택근무의 증가, 클라우드환경의 확대 등의 급변하는 상황에서 보안을 유지하는 것은 중요합니다. 제로트러스트 아키텍처를 통해 안전한 환경을 제공하면서도 비즈니스 목표를 달성할 수 있도록 도움을 줄 수 있습니다. 2. 비용 절감 효과 및 ROI(투자 대비 수익)기업에 제로트러스트 아키텍처를 도입하는 경우 초기에는 투자 및 관리비용이 필요합니다. 그러나 장기적인 관점으로 볼 때 기업의 중요한 정보 및 디지털자산을 보호하고 보안사고를 대비할 수 있을 뿐만 아니라 인적자원 및 보안 관리비용을 절감할 수 있습니다. 3. 현재 보안 환경의 취약점 및 한계 개선을 통한 위험 관리미국 연방정부에서는 연방 인사관리처의 개인정보 유출 사고를 계기로 지속적인 검증을 통해 대응 능력을 강화하는 보안체계가 필요함을 확인하였습니다. 제로트러스트 아키텍처는 내부시스템이 공격받더라도, 접근에 대한 접속IP주소, 접속시간 등을 분석하여 비정상적 접근을 차단할 수 있습니다. 이러한 방식으로 제로트러스트는 기존의 보안체계의 한계를 보완할 수 있으며, 미래에 발생할 수 있는 보안사고에 대한 대응이 가능합니다. 4. IT환경 변화에 대한 적응력제로트러스트는 기업이 다른 환경에 빠르게 적응하고 변화할 수 있는 환경을 만들어줄 수 있습니다. 제로트러스트에서는 데이터에 대한 접근제어, 접근 기록 유지, 지속적 모니터링 등을 중요시하기 때문에, 이를 통해 법적 규제 및 보안 통제에서의 요구사항을 준수할 수 있습니다. 개인정보보호와 데이터 보안 규제들이 강화되고 있는 상황에서 규제 및 법에 대한 기업의 적응력과 신뢰성을 높일 수 있습니다. 5. 기업 이미지 개선기업은 제로트러스트 아키텍처를 도입함으로써 주요 정보를 보호할 수 있을 뿐만 아니라 이를 통해 기업에 대한 고객 신뢰도를 강화하고 긍정적인 이미지를 구축할 수 있습니다. 마치며클라우드, 빅데이터, AI, IoT 등 핵심 IT기술들의 발전에 따라 보안의 중요성도 함께 확대되고 있습니다. 특히 비대면, 원격접속, 클라우드의 등장으로 보안 경계가 확대되었고, 검증된 대상에게만 최소 권한을 허용하는 제로 트러스트가 주목받고 있습니다. 제로트러스트 보안모델은 등장한지 14년이 지났지만 여전히 중요성이 확대되고 있으며, 사이버보안 분야에서 가장 주목받고 있는 개념입니다. 세계 주요 국가뿐만 아니라 우리나라에서도 기업·기관들의 제로트러스트의 적용을 권하고 있습니다. 기업에서는 제로트러스트의 적용을 통해 보안문제 해결 뿐만 아니라 비용절감과 비즈니스 목표까지 달성할 수 있을 것입니다. 출처 및 참고자료국회입법조사처, 제로트러스트 새로운 보안 패러다임으로의 전환 과학기술정보통신부, KISA한국진흥원, 제로트러스트 가이드라인2.0
-
- 24.12.16
-
IT·보안2024년 국내정보보호산업 실태조사 살펴보기
정보보호산업이란?정보보호산업법 제2조에서는 정보보호산업을 ‘정보보호를 위한 기술 및 정보보호기술이 적용된 제품을 개발, 생산 또는 유통하거나 이에 관련한 서비스를 제공하는 산업’으로 정의하고 있습니다. 4차산업혁명의 등장과 코로나 이후로 언택트 산업의 확장으로 디지털 전환이 가속화되면서 사이버 위협도 함께 정교해지고 있습니다. 따라서 정보보호산업의 중요성은 커지고 있으며, 시장규모 또한 확대되고 있습니다.정부에서는 2020년 제2차 정보보호산업 진흥계획(2021~2025)을 수립하였으며, ‘디지털 전환에 따른 정보보호 신시장 창출’, ‘민간 주도 사이버 복원력 확보를 위한 투자지원 확대’, ‘지속성장 가능한 정보보호 생태계 조성’을 중점으로 추진하고 있습니다. 이처럼 정보보호산업의 중요성이 증대되면서, 과학기술정보통신부와 한국정보보호산업협회(KISIA)는 매년 국내정보보호산업 실태조사 결과를 발표하고 있습니다. 국내정보보호산업 실태조사를 통해 국내 정보보호산업의 동향을 파악하고, 향후 전망을 예측할 수 있으며, 기업에서는 이를 바탕으로 향후 전략을 세우는 데에 중요한 지표가 될 수 있습니다. 정보보호산업은 크게 정보보안, 물리보안, 융합보안으로 구분할 수 있으며, 이번 글에서는 데이터보안기업 신시웨이가 속한 정보보안산업에 대해 주로 알아보도록 하겠습니다.정보보호산업 주요 현황국내 소재 정보보호 기업은 정보보안 814개, 물리보안 894개로 총 17,08개로 조사되었으며, 2022년도에 비해 7.2% 증가하였습니다.국내 정보보호산업의 매출액은 매년 성장하고 있습니다. 2023년 전체 정보보호산업 매출액은 총 16.8조원으로 2022년 대비 4.0% 증가하였습니다. 정보보안 매출액은 약 6조로 전년대비 9.4% 증가하였으며, 물리보안 매출액은 약 10조로 전년대비 1.2% 증가하였습니다. 정보보안제품에서는 네트워크 보안 솔루션이, 정보보안 관련 서비스에서는 보안시스템 유지관리/보안성 지속 서비스의 매출 비중이 높은 것으로 나타났습니다. 한편 정보보호산업의 전체 수출액은 약 1조 6800억원으로 전년대비 16.4% 감소하였습니다. 정보보안은 약 1478억원, 물리보안은 약1조5322억원으로 각각 전년 대비 4.8%, 17.2% 감소하였습니다. 수출 비중은 일본이 49.7%정도를 차지하고 있으며, 중국, 미국, 유럽 등의 국가들이 차지하고 있었습니다. 또한 정보보호산업의 인력은 2022년대비 2023년에 7% 감소하였습니다. 정보보안 기업의 80%는 정보보안 제품(솔루션)을 취급하고 있으며, 정보보안 관련 서비스를 취급하는 기업은 전체의 50%인 것으로 조사되었습니다. 제품별로는 네트워크보안, 데이터보안, 클라우드보안 등 다양한 품목들을 취급하고 있습니다. 정보보안관련 서비스는 보안시스템 유지관리/보안성 지속 서비스와 보안컨설팅에 주로 분포되어 있었습니다.정보보안제품(솔루션)분야와 서비스의 업종별 매출 비중은 일반기업이 가장 높았으며, 다음으로는 공공기관, 금융기관 순으로 나타났습니다. 공공기관과 금융기관은 민감한 개인정보, 금융정보 등 중요 정보들이 포함되어있기 때문에 정보보안제품이 반드시 필요한 기관이기도 합니다.한편 정보보안산업 기업의 34%는 매출이 전년도 대비 호전되었다고 응답하였으며, 20.5%는 악화되었다고 응답하였습니다. 매출 악화 이유로는 경기 위축을 가장 큰 요인으로 선정하였습니다. 그외에도 동일 업종간 경쟁심화, 신규 시장 부족 등을 선정하였습니다.정보보안산업 기술개발 및 동향정보보안기업에서 기업부설연구소를 운영하는 기업은 71%, 연구개발 전담부서만 운영하는 기업은 7.7%, 둘다 운영하는 기업은 7.7%로 나타나 80%가 넘는 기업들이 자체적인 기술개발 및 연구를 하고 있는 것으로 조사되었습니다.정보보안 기업의 기술개발 시 애로사항으로는 기술개발 인력 확보 및 유지 및 자금조달이 가장 높게 나타났으며, 정보보안산업의 시장 확대를 위해 자금지원 및 세제혜택, 전문인력 양성, 기술개발 지원 등의 정부지원이 필요하다고 응답하였습니다. 기술개발 인력 및 자금지원 부문에서 기업들은 어려움을 겪고 있으며, 이에 대한 적극적인 정부지원이 필요함을 알 수 있었습니다.또한 기업들의 해외진출이 어려운 요인으로는 판로개척의 어려움이 가장 높다고 응답하였으며 자금 유동성부족, 인력부족, 현지 법·제도 정보 부족 등이 있었습니다. 아직까지는 우리나라 보안기업들이 해외진출을 하는데에 어려움을 겪고 있으며, 판로개척·자금·인력 등의 문제가 해결되어야 할 것으로 보입니다. 마치며이제 정보보호는 우리 일상에서 빼놓을 수 없는 분야이며, 제로트러스트의 도입과 클라우드 서비스 확산 등으로 보안 패러다임이 변화하고 있다고 합니다. 또한 코로나 이후로 비대면 서비스 확산과 디지털 전환이 가속화되었고, 사이버 위협도 함께 증가하였습니다. 정보보호산업은 기술의 혁신과 인적자원의 고도화 등을 통해 IT산업분야에서의 입지와 파급력이 확대될 것입니다. 정보보호 기업들은 국내정보보호산업 실태조사를 통해 정보보안산업의 현황을 파악함으로써 기업들은 향후 산업의 방향을 물색하고 해외진출에도 한발짝 더 다가갈 수 있습니다. 출처 및 참고자료 한국정보보호산업협회, 2024년 국내 정보보호산업 실태조사 보고서
-
- 24.12.12
-
IT·보안개인정보위, 개인정보의 안전성 확보조치기준 안내서 발간
개인정보의 안전성 확보조치 기준 안내서 발간개인정보의 안전성 확보조치 기준은 기업, 공공기관 등의 개인정보처리자가 개인정보를 안전하게 관리하기 위해 취해야 하는 기술적·관리적·물리적 보호조치를 규정하고 있는 기준입니다. 개인정보 처리자라면 개인정보보호 관련 규정을 완벽하게 이해하여 실무에 적용해야 하지만 부가적인 설명 없이는 이해하기 어려운 경우가 많습니다. 개인정보보호위원회에서는 안전성 확보조치 기준 안내서를 발간하여 보다 쉽게 해석하고 이해할 수 있도록 돕고 있습니다. 또한 이전에는 정보통신서비스 제공자는 개인정보의 기술적·관리적 보호조치 기준을 적용받고, 그 외 개인정보 처리자는 개인정보의 안전성 확보조치 기준을 적용받았습니다. 그러나 지난해 9월 개인정보보호법 개정으로 인해 법령의 대상이 모든 개인정보처리자로 통일됨에 따라 개인정보의 기술적·관리적 보호조치 기준이 폐지되고 개인정보의 안전성 확보조치 기준(행정 규칙)으로 통합되었습니다. 통합으로 인해 기존 두가지 법령을 숙지해야 했던 개인정보처리자들은 일원화된 법령으로 보다 쉽고 명확하게 보호 조치 기준을 이해할 수 있게 되었습니다. 개인정보의 안전성 확보조치 기준 안내서개인정보의 안전성 확보조치 제5조① 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.② 개인정보 처리자는 개인정보취급자 또는 개인정보 취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.③ 개인정보처리시스템 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.④ 개인정보처리시스템에 접속할 수 있는 사용자 계정은 사용자 별로 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다.⑤ 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.⑥ 일정 횟수 이상 인증에 실패한 경우 개인정보처리 시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.*개인정보의 안전성 확보조치기준 해설* 개인정보의 안전성 확보조치 기준 제5조에 따르면, 개인정보처리시스템에 대한 접근 권한은 개인정보를 처리하는 개인정보취급자에게만 부여하여야 합니다. 권한을 차등화 한다는 것은 업무를 수행하기 위한 권한을 등급별로 나누어 개별적으로 접근 권한을 부여하는 것을 말합니다.② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보취급자의 퇴직, 휴직, 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체없이 계정 또는 접근권한을 변경·회수하는 등의 필요한 조치를 하여야 합니다. 또한 조직변경 등으로 인해 개인정보취급자의 업무가 변경되었을 경우에도 접근 권한을 회수하는 등의 조치가 필요합니다. ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.*개인정보의 안전성 확보조치기준 해설*제1항 및 제2항에 의한 접근 권한 부여, 접근 권한 변경, 말소시에는 접근권한의 발급 과정과 이력 등을 확인할 수 있는 정보를 포함하여 기록하여야 합니다. ④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자별로 계정을 발급하고 다른 개인정보취급자와 공유하지 않도록하여야 한다.*개인정보의 안전성 확보조치기준 해설*‘정당한 사유’란 기술적으로 계정의 개별 발급이 불가능한 경우를 말합니다. 그러나 이러한 경우에도 접근제어 시스템 도입 등 기술적 통제를 적용하여 실제 개인정보처리시스템에 접속한 자를 식별할 수 있어야 합니다. 또한 다수의 개인정보취급자가 하나의 계정을 공유하지 않도록 취급자별로 계정을 발급하여 사용하여야 하며, 개인정보 처리내역에 대한 책임추적성을 확보해야 합니다. ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보처리자는 환경에 맞는 인증수단을 적용하여 개인정보취급자 또는 정보주체를 인증하여야 합니다. 여기서 인증수단은 개인정보보호를 위해 필요한 개인정보처리시스템, 접근통제시스템 등에 적용하여야 하며, 비인가자가 접근할 수 없도록 관리하여야 합니다. 인증수단의 예시로는 비밀번호, 일회용 비밀번호(OTP), 생체인증 등이 있습니다. ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한접근을 제한하는 등 필요한 조치를 하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보처리자는 권한이 없는 자의 접근을 방지하기 위해 인증에 실패한 경우 접근을 제한하는 조치를 취해야 하며, 인증 실패 횟수는 개인정보처리시스템의 특성 등을 고려하여 정할 수 있습니다. 인증에 실패하여 접근이 제한된 이후 접근을 재부여하는 경우에는 타당 여부를 확인한 후 재부여해야 합니다.개인정보의 안정성 확보조치 제6조① 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한 개인정보처리시스템에 접속한 인터넷프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응④ 개인정보취급자가 일정시간 이상 업무 처리를 하지 않을 때에는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다.① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 안전조치를 하여야 한다.1. 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출시도 탐지 및 대응*개인정보의 안전성 확보조치기준 해설*여기서 말하는 IP주소에는 IP주소, 포트 그 자체뿐만 아니라 이상행위(과도한 접속성공 및 실패, 부적절한 명령어 등 패킷)을 포함합니다. 불법적인 접근 및 침해사고 방지를 위해서는 침입차단 및 침입차단 기능을 포함하는 안전조치를 실시해야 하며, 개인정보처리시스템에 접속한 이상행위 대응, 로그 훼손 방지 등의 관리가 필요합니다. ④ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되게하는 등 필요한 조치를 하여야 한다.*개인정보의 안전성 확보조치기준 해설* 접속차단이란 개인정보처리시스템의 연결이 완전히 차단되어 정보의 송수신이 불가능한 상태를 뜻하며, 컴퓨터의 화면보호기 등은 접속차단에 해당하지 않습니다. 또한 개인정보처리시스템에 다시 접속할 때의 방법·절차는 처음 차단되었을때의 방법·절차와 동일한 수준 이상이 되도록 조치를 취해야 합니다.개인정보의 안정성 확보조치 제8조① 개인정보처리자는 개인정보처리시스템에 대한 접속기록을 1년이상 보관·관리하여야 하며, 5만명 이상의 개인정보를 처리하는 등의 경우에는 2년 이상 보관·관리하여야 한다.② 개인정보의 오‧남용, 분실, 도난, 유출 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월
-
- 24.11.22
-
IT·보안가트너, 2025년 10대 전략 기술 트렌드 발표
기술 혁신은 그 어느때보다 빠르게 진행되고 있으며, 기업들의 디지털 전환 또한 빨라지고 있습니다. 글로벌 IT 컨설팅 기업 가트너에서는 매년 기술 트렌드에 대해 예측한 보고서를 통해 CIO와 IT기업이 앞으로의 전략을 세우는 데 필요한 지침을 제공하고 있습니다. 보고서를 통해 기업들은 앞으로의 기술적 전략을 짜거나 비즈니스모델을 만들어가는데에 도움을 줄 수 있습니다. 가트너에서 이번에 발표한 ‘2025년 10대 전략 기술 트렌드’는 크게 ‘인공지능(AI)필수요소와 위험 관리’, ‘컴퓨팅의 새로운 경계’, ‘인간-기계의 협력강화’로 나눌 수 있습니다. (출처: 가트너 홈페이지)인공지능(AI)필수요소와 위험 관리에이전틱 AI(Agentic AI)챗GPT와 같은 ‘생성형’AI’는 인간을 대신하여 글을 쓰고, 그림을 그리는 등 빠른 속도로 발전해왔습니다. 그러나 이제는 생성형 AI를 넘어 에이전틱 (Agentic AI)의 시대가 온다고 합니다. 에이전틱 AI(Agentic AI)는 사용자의 목표와 의도에 맞춰 스스로 계획을 세우고 시행하는 자율형 인공지능 시스템으로 데이터기반의 생성형 AI의 한계점을 극복할 수 있을 것으로 기대되고 있습니다. 가트너에 따르면 현재 에이전틱AI에 의해 이루어지는 업무는 거의 없지만 2028년에는 업무의 약 15%가 에이전틱AI를 통해 이루어질 것으로 예측하였습니다. AI 거버넌스 플랫폼(AI Governance Platforms)AI가 다양한 산업에서 활용되면서 이에 따라 윤리적, 사회적 문제 등이 발생하기도 합니다. AI 거버넌스 플랫폼은 기업이 AI시스템의 법적, 윤리적 성과를 관리할 수 있는 AI시스템의 위험 및 보안 관리 프레임워크의 일부입니다. 기업에서는 AI거버넌스 플랫폼을 통해 AI관련 윤리적 사고를 줄이는 데 기여할 수 있습니다. 가트너에서는 AI거버넌스 플랫폼을 적용한 기업은 AI 관련 윤리적 사고 발생이 그렇지 않은 기업에 비해 40% 적을 것으로 전망하였습니다. 컴퓨팅의 새로운 경계허위 정보 보안(Disinformation Security)허위 정보 보안은 잘못된 정보나 조작된 정보가 유포되는 것을 방지하고, 정보의 기밀성, 무결성, 가용성을 보장하기 위한 정보 보안의 한 부분입니다. 가트너는 허위 정보 보안에 특화된 제품, 서비스, 기능을 도입하는 기업이 2024년 5% 미만에서 2028년에는 50%까지 급격히 증가할 것으로 예측하였습니다. 또한 AI를 악의적인 목적으로 활용함에 따라 발생하는 허위 정보 사고도 증가할 것으로 예상하였습니다. 포스트 양자 암호화 (Post-Quantum Cryptogrphy)포스트 양자 암호화란 양자컴퓨팅에 대응하는 새로운 암호화 기법을 뜻합니다. 현재 대부분의 데이터는 일반적인 암호화 방식을 적용하고 있으나, 양자컴퓨팅 기술을 사용하여 기존 암호화 방식을 쉽게 해독할 수 있습니다. 가트너는 2029년까지 양자컴퓨팅의 발전으로 인해 기존의 비대칭 암호화 방식이 안전하지 않게 될 것이라고 예측하고 있습니다. 따라서 기업들은 양자암호화 기술을 통해 데이터 보호를 강화해야 하며, 미래에는 포스트양자 암호화 기술이 필수 요소가 될 것입니다. 앰비언트 인비저블 인텔리전스(Ambient Invisible Intelligence)앰비언트 인비저블 인텔리전스는 다양한 사물과 환경의 위치 및 상태를 추적하기 위해 태그와 센서를 활용하는 기술입니다. 이를 통해 초저가의 소형 스마트 태그와 센서를 통해 대규모 추적 및 감지가 가능하며, 특히 재고관리와 물류 최적화를 위해 활용할 수 있습니다. 앰비언트 인비저블 인텔리전스는 사용자의 생활을 보다 편리하고 효율적으로 만들어주는 기술로 앞으로 다양한 산업에서 활용될 것으로 전망됩니다. 에너지 효율적 컴퓨팅에너지 효율적 컴퓨팅은 에너지 소비를 줄이고 지속가능한 기술 발전을 위한 중요한 요소입니다. 에너지 효율적 컴퓨팅을 통해 기업에서 발생하는 불필요한 에너지 소비를 줄일 수 있습니다. 구글, 마이크로소프트, 엔비디아 등 글로벌 IT기업들은 데이터 센터의 에너지 소비를 줄이고 재생가능 에너지를 사용하여 전력을 공급하는 등의 방식으로 에너지 효율적 컴퓨팅을 실현하고 있습니다. 가트너는 AI최적화와 같은 특수목적의 작업을 위해 광학, 뉴로모픽 등 새로운 컴퓨팅 기술이 등장할 것이며, 이는 훨씬 적은 에너지를 사용하여 에너지 효율을 향상할 것으로 예측하였습니다. 하이브리드 컴퓨팅하이브리드 컴퓨팅은 CPU, GPU, 엣지컴퓨팅 등 다양한 컴퓨팅 자원을 결합하여 문제를 해결하는 방식으로, 단일 컴퓨팅 환경에서 달성하기 어려운 성능을 제공하고 비용과 에너지효율성을 높입니다. AI 및 빅데이터 분석, 실시간 데이터 처리 등의 응용분야에서 활용될 수 있습니다. 또한 기업은 하이브리드 컴퓨팅 도입을 통해 비용 절감, 보안 강화, 데이터 관리의 효율성을 높일 수 있습니다. 인간-기계의 협력강화공간 컴퓨팅(Spatial Computing)공간 컴퓨팅은 사용자가 있는 물리적 공간에서 디지털 정보를 활용하여 상호작용하는 기술입니다. 공간 컴퓨팅은 증강 현실(AR)과 가상 현실(VR)을 통해 물리적 세계와 가상 환경을 융합시키고 다양한 방식으로 상호작용할 수 있도록 합니다. 가트너에서는 공간컴퓨팅을 통해 워크플로우를 간소화하여 향후 5~7년 내에 기업의 효율성을 높일 것이며, 2023년 1,100억 달러에서 2033년까지 1조 7,000억 달러 규모로 성장할 것으로 예측하였습니다. 다기능 로봇(Polyfunctional Robots)다기능 로봇은 하나 이상의 작업을 수행할 수 있는 스마트 로봇으로, 단일 작업을 반복적으로 수행하도록 맞춤 설계된 작업 전용 로봇을 대체합니다. 다기능 로봇을 통해 다양한 작업을 자동화하고 인공지능과의 통합으로 더욱 발전할 수 있습니다. 가트너에서는 현재는 스마트 로봇의 사용 비율이 10% 미만이지만, 2030년에는 80%의 인간이 매일 스마트 로봇을 사용할 것으로 예측하였습니다. 신경학적 향상(Neurological Enhancement)신경학적 향상은 뇌 활동을 읽고 해독하는 기술입니다. 인간의 뇌를 읽기 위해 단방향 또는 양방향 뇌-기계 인터페이스(Bidirectional Brain-Machine Interface, BBMI)를 사용할 수 있으며, 주로 인력 업스킬링과 마케팅에서 폭넓게 활용될 수 있습니다. 소비자의 생각과 감정을 파악하고 최적의 결과물을 도출하는데에 도움을 줄 수 있습니다. 가트너에서는 AI의 부상에 따라 신경학적 향상 기술을 사용하는 인구가 2024년에는 1% 미만에서 2030년에는 30% 이상 증가할 것으로 전망하였습니다. 지금까지 가트너에서 제시한 2025년에 기업에서 주목해야 할 10대 전략 기술 트렌드에 대해 알아보았습니다. 가트너에서 2024년도에 제시한 10의 트렌드 중 3개가 AI와 연관되었고, 실제로 AI가 노벨 물리학상과 화학상을 수상하며 AI의 시대가 오고있음을 알렸습니다. 이번 보고서에서도 ‘AI 에이전트’를 시작으로 10대 기술 중 9개가 AI와 관련된 기술로 구성되어있을 정도로 AI는 여전히 중요한 기술임을 알 수 있었습니다. 가트너의 수석 VP애널리스트 진 알바레즈(Gene Alvarez)는 “이번 연도의 주요 기술 트렌드는 기업의 AI 활용 방향, 컴퓨팅 진화, 인간과 기계의 융합을 다룬다. 이러한 트렌드를 면밀히 추적하면 기업의 미래를 책임감 있고 윤리적으로 설계할 수 있으며, 이 기술들은 C레벨 임원들이 반드시 주목해야 할 중요한 요소"라고 말하며 IT 리더들에게 미래를 준비할 수 있는 전략적 로드맵의 필요성을 강조했습니다. 출처 및 참고자료 Gartner, 「Gartner Top 10 Strategic Technology Trends for 2025」, Gartner 홈페이지, https://www.gartner.com/en/articles/top-technology-trends-2025
-
- 24.11.13
-
IT·보안진짜 같은 가짜 딥페이크
딥페이크를 활용한 범죄가 최근 사회적으로 크게 문제가 되고 있습니다. 딥페이크를 악용하여 여성을 대상으로 한 성적 합성물이 텔레그램 메신저를 통해 무차별적으로 유포되었습니다. 피해자는 초·중·고교생의 미성년자를 비롯한 교사, 군인까지 포함된 것으로 알려졌으며, 내 주변 친구나 가족의 사진이 이용된 것은 아닐까 하는 불안감이 생기기도 합니다. 딥페이크란 무엇이며 최근 딥페이크로 인해 발생하고 있는 문제와 이에 대한 대응 방안에는 어떤 것들이 있을까요? 딥페이크(Deepfake)란 컴퓨터가 스스로 외부 데이터를 조합, 분석하여 학습하는 기술인 딥러닝(Deep learning)과 가짜를 뜻하는 페이크(Fake)의 합성어입니다. 즉, 인공지능 기술을 이용하여 진위 여부를 구별하기 어려운 가짜 이미지나 영상물을 뜻합니다. 생성형 AI가 발달하면서 이제는 진짜 영상과 딥페이크로 만든 가짜 영상을 구별하기가 어려울 정도로 정교해지고 있습니다. 딥페이크는 원본 영상에서 얼굴 부분을 추출한 후 합성하고자 하는 얼굴 데이터를 학습시킨 후 GAN기술을 이용하여 원본 영상의 얼굴을 대상의 얼굴로 대체합니다. 이후 자연스러운 연결을 위해 세부적인 조정 작업을 거치면 실제 인물이 말하는 것처럼 보이는 영상이 완성됩니다. GAN(Generative Adversarial Network) 기술은 생성적 적대 신경망’이라는 딥러닝 알고리즘으로 진위를 감별하는 알고리즘과 새로운 이미지를 만드는 알고리즘이 경쟁을 통해 학습하며 실제에 가까운 거짓 데이터를 만드는 기술입니다. 딥페이크 기술을 목적에 맞게 사용한다면 긍정적인 사례로 활용할 수 있습니다. 역사적 인물을 재현함으로써 생생한 역사교육을 진행할 수 있으며, 영상제작 비용을 절감할 수 있습니다. 딥페이크를 통한 영상으로 감동을 주었던 사연도 있었습니다. 드라마 전원일기에 출연했던 故박윤배 배우를 대역을 맡은 사람에게 얼굴과 목소리를 합성하여 가상인간으로 구현하였습니다. 출연 배우들은 가상인물임을 알면서도 지난 시간을 회상하고 생전에 하지 못했던 말들을 하며 위로를 나누었고, 이 모습은 대중들에게 큰 감동을 주었습니다.그러나 딥페이크 기술과 음성 복제 기술이 발전함에 따라 이를 악용하는 사례들이 점점 많아지고 있습니다. 딥페이크 기술을 나체 영상 등 음란물에 불법 합성하여 유통하는 범죄에 사용하면서 논란이 되고 있습니다. 딥페이크 성범죄 사태는 인하대 및 서울대에서 여학생의 얼굴을 음란물에 합성한 딥페이크 영상물이 텔레그램에서 유포한 사건이 알려지면서 시작되었습니다. 이후에 전국적으로 수천명이 참여하고 있는 사실이 알려졌고, 기술의 발전으로 인해 디지털 성범죄가 증가한다는 논란이 확대되기도 했습니다.이처럼 계속해서 증가하는 딥페이크 피해를 방지하기 위해 세계 각국에서는 다양한 노력을 기울이고 있는데요. 대표적으로 논의되고 있는 방안 중 하나는 워터마크 의무화입니다. AI워터마크는 AI기술로 제작한 콘텐츠에 삽입되는 표식입니다. 눈에 띄는 표식을 넣을수도 있고, 보이지 않는 정보를 심는 방법도 있습니다. 실제와 구분하기 어려운 이미지와 영상, 음성을 동원한 가짜뉴스가 범람하고 성착취물 피해가 커지면서 세계 각국은 AI워터마크 도입을 검토하고 있습니다. 우리나라에서도 지난 5월 ‘새로운 디지털 질서 정립 추진계획’의 일환으로 AI생성물 워터마크 의무화를 논의하기도 했습니다. 또한 지난 6월 AI로 만든 음향, 영상, 이미지 등 콘텐츠에 가상 정보임을 명확하게 표시하도록 의무화하는 정보통신망법 개정안을 발의하였습니다. 개정안에서는 위반 시 정보제공자에게 1,000만원 이하의 과태료 및 플랫폼 기업은 표시 없는 AI생성물 삭제 의무를 부과하도록 하였습니다.최근 미국, 유럽 등에서는 딥페이크 성범죄에 대한 경각심이 커지면서 관련 법안이 만들어지고 있습니다. 미국 캘리포니아주에서는 딥페이크 성착취물을 배포·소지한 이들도 처벌할 수 있게 하는 법안이 추진중입니다. 호주, 영국 등에서도 최대 2년형의 징역형을 부과할 수 있는 법안이 제정되기도 했습니다.우리나라에서는 지난 9월 25일, 아동·청소년을 대상으로 한 딥페이크 성범죄 처벌을 강화하는 ‘딥페이크 성범죄 방지법’이 국회에서 의결되기도 했습니다. 이 법안은 딥페이크를 이용한 디지털 성범죄에 대한 처벌 강화를 골자로 한 법으로, 불법 딥페이크 성 착취물을 소지, 구입, 저장, 시청만 하더라도 징역 3년이하 또는 3,000만원 이하의 벌금형 등의 형사처벌을 받게 됩니다. 딥페이크를 이용한 범죄가 사회적 문제로 대두되면서 이를 막기위한 예방과 처벌도 중요하지만, 때문에 이러한 영상을 퍼뜨리지 못하게 막는 것 또한 중요합니다. 딥페이크의 순기능을 강화하면서 긍정적인 사례로 활용한다면 예술, 의료 등 다양한 분야에서 혁신적인 변화를 가져올 수 있을 것입니다. 딥페이크 기술을 악용하는 사례는 엄중히 처벌하고, 긍정적으로 활용할 수 있는 방안을 더 모색해보는 것은 어떨까요?
-
- 24.10.11
-
IT·보안9월 15일, 강화된 개인정보 안전성 확보조치 시행
지난해 9월 개인정보보호법 시행령과 개인정보의 안전성 확보조치기준의 개정안이 시행되었습니다. 23년도 개정안에서는 정보주체의 권리 확대, 불합리한 동의제도 완화 등 국민의 권리를 실질적으로 보장하기 위한 제도들이 개선되었습니다. 기존에 개인정보처리자와 개인정보의 기술적·관리적 보호조치 기준에 따른 정보통신서비스 제공자를 별도로 구분하였으나 개인정보처리자로 통합되기도 했습니다. 또한 온·오프라인 사업자에게 각각 다르게 적용되었던 개인정보 안전조치 기준을 일원화하여 모든 개인정보처리자를 대상으로 적용하게 되었습니다. 그러나 확대 적용되는 대상자에게는 1년간 적용을 유예하여 9월 15일, 강화된 개인정보 안전성 확보조치가 시행될 예정입니다.이번 개인정보 안전성 확보조치 기준 시행으로 인해 주요 개인정보 처리시스템을 보유·운영하고 있는 정부부처와 산하 공공기관은 기존 안전조치 의무 이외에 추가적인 안전조치 의무를 준수해야 합니다. 공공분야의 개인정보보호 의무 강화주요 개인정보를 대량으로 보유하고 있는 공공기관에서는 개인정보 유출사고가 발생할 경우 큰 피해로 이어질 수 있습니다. 개정된 개인정보 안전성 확보조치 기준에는 공공기관의 개인정보 유출을 방지하기 위한 내용들이 담겨있습니다.개인정보 보유량 100만건 이상, 개인정보 취급자 200명 이상, 민감·고유식별정보 등을 처리하는 공공시스템을 운영하는 주요 공공기관은 개인정보보호 책임자 외에도 해당 시스템별로 개인정보보호 책임자를 추가로 두어야 합니다. 또한 인사정보 자동연계를 통해 권한 없는 자의 시스템 접근을 원천 차단하는 조치를 취해야 합니다. 계정별 이용 권한은 업무 분장에 맞게 최소한으로 부여할 수 있도록 하였으며, 접속기록에 대한 점검 강화 등 추가적인 안전조치 의무를 수행해야 합니다. 이외에도 공무원이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 한번이라도 바로 파면·해임 가능하도록 하였으며, 형사처벌도 가능하게 하였습니다. 또한 개인정보 보호 전담인력 및 시스템을 확충하도록 하여 공공기관에서 개인정보보호를 위한 노력들이 적극적으로 이어질 것으로 예상됩니다.강화된 개인정보 안전성 확보조치개인정보 안전성 확보조치 기준에서는 공공기관·오프라인 개인정보처리자에게만 적용되었던 사항들이 전체 개인정보처리자로 확대 적용되었습니다.특히 일정 횟수 이상 인증 실패시 개인정보처리시스템 접근을 제한하는 것과, 개인정보처리시스템 접속기록 월 1회 이상 점검 의무가 전체 개인정보처리자로 확대되어 모든 개인정보 처리자들의 주의가 필요합니다. 제5조 (접근권한의 관리)6. 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다. 제8조 (접속기록의 보관 및 점검)2. 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. 또한 그동안 정보통신서비스 제공자에게만 적용되었던 인터넷망 구간으로 개인정보 전송 시 안전한 암호화 조치 의무와 개인정보가 포함된 인쇄물, 복사된 외부 저장매체 등을 안전하게 관리하기 위한 보호조치 마련 의무가 개인정보처리자에게 적용되었습니다. 제7조 (개인정보의 암호화)4. 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 2. 암호화 미적용시 위험도 분석에 따른 결과 제12조 (재해·재난 대비 안전조치)2. 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다. 이외에도 암호키관리 절차 수립·시행 및 재해·재난 대비 위기대응 매뉴얼 마련 및 개인정보처리시스템 백업·복구 계획을 포함하는 안전조치 등의 의무가 10만명이상의 개인정보를 처리하는 대기업·공공기관, 100만명 이상의 개인정보를 처리하는 중소기업의 개인정보처리자에게 적용됩니다. 신시웨이의 DB보안 솔루션 이처럼 전체 개인정보처리자로 대상이 확대됨에 따라 개인정보를 취급하는 기업에서는 의무규정을 위반하지 않도록 철저하게 대비해야 합니다. 신시웨이의 DB접근제어 솔루션 페트라(PETRA)와 DB암호화 솔루션 페트라 사이퍼(PETRA CIPHER)를 통해 기업에서는 개인정보보호법 등 관련 법률에 대비할 수 있습니다. DB접근제어 솔루션 페트라(PETRA)는 DB에 대한 불법적인 차단을 막고 데이터를 안전하게보호하여 개인정보보호법과 개인정보의 안전성 확보조치기준에 대비할 수 있는 솔루션입니다. 페트라는 DB사용자 인증, SQL데이터 마스킹, 완벽한 감사 및 로그관리 등의 차별화된 기능과 성능으로 완벽한 DB접근제어 통제를 제공합니다. 또한 다양한 환경에서의 최적화된 구성을 위해 Gateway, Sniffing, Agent, Hybrid 방식을 지원하며, 내부 업무 환경 변화에 따라 구성 변경을 지원합니다.[DB접근제어 솔루션 페트라(PETRA)]개인정보의 안전성 확보조치기준 제7조에서는 개인정보처리자의 개인정보의 암호화 의무에 대해 정의하고 있습니다. 신시웨이의 DB암호화 솔루션 페트라 사이퍼(PETRA CIPHER)는 기업이 보유한 개인정보를 다양한 방식으로 암호화하여 안전하게 보호하고, 이를 통해 법적 신뢰수준을 향상시킬 수 있는 솔루션입니다.[DB암호화 솔루션 페트라사이퍼(PETRA CIPHER) Plug - In방식][DB암호화 솔루션 페트라사이퍼(PETRA CIPHER) API방식]기업과 기관들은 보안 강화와 함께 안정적인 서비스와 성능을 고려하고 있습니다. 플러그 인 방식은 프로그램의 소스코드 변경을 최소화할 수 있다는 장점을 갖고는 있지만 데이터베이스 안에서 많은 절차를 거치기 때문에 API 방식 암복호화 속도가 느리고 관리 요소도 증가하게 되며, DB서버의 리소스를 사용하기 때문에 안정적인 서비스 운영을 고려하여 현재 플러그 인 방식은 많이 사용하지 않는 추세입니다. 따라서 암호화 구축에는 인프라 환경과 서비스 환경을 고려하여 각각의 방법(Pulg-in, SQL API, Language API, Hybrid)에 맞게 구축하는 것이 무엇보다 중요합니다. 개인정보 유·노출 사고 등 기업에서 발생한 보안사고 관련 뉴스를 종종 접할 수 있습니다. 개인정보 유·노출 사고로 인해 기업들은 수많은 과태료 혹은 과징금을 부과하게 되기도 합니다. 특히 공공기관이나 금융기관 등 다량의 개인정보를 처리하는 기업은 개인정보를 안전하게 보호하기 위한 기술적 조치가 필요합니다. 신시웨이의 DB보안 솔루션을 통해 소중한 개인정보들을 지켜나갈 수 있습니다.
-
- 24.09.05
-
IT·보안어려운 개인정보보호법, 사례집으로 쉽게 알아보기
온라인 서비스의 발달로 각종 서비스를 이용하기 위해서는 개인정보의 수집 및 이용에 동의할 수밖에 없습니다. 따라서 개인정보를 수집 및 이용하는 개인정보 처리자와 개인정보를 보유한 사업장에서 개인정보보호법을 준수하는 것이 중요합니다. 또한 개인정보를 제공하는 정보주체도 개인정보를 신중하게 제공해야 합니다. 그러나 잦은 법령 개정과 어려운 법률 내용으로 인해 개인정보보호법을 올바르게 준수하고 있는지 판단하기 어려운 경우가 많습니다. 따라서 개인정보보호위원회에서는 개인정보보호법의 원활한 해석을 돕기 위해 매년 개인정보보호법 해석 사례집을 발간하고 있습니다. 이번 개인정보보호법 해석 사례집에서는 개인정보의 정의, 공공서비스, 민간서비스 등의 분야로 나누어 개인정보보호에 관련한 해석을 돕고 있습니다.정의ID와 결제상품정보가 개인정보에 해당하나요?개인정보보호법에 따른 개인정보의 정의는 다음과 같습니다. 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)제29조(안전조치의무)<개인정보의 안전성 확보조치기준>1. 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.5. 개인정보처리자는 제1항, 제2항, 제3항 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.민간 사업자민간의 일반회사는 개인정보파일 보유기간을 어떻게 정해야 하나요?민간기업은 공공기관과 달리 개인정보파일 보유기간을 별도로 규정하지 않고 있습니다. 개인정보보호법 제16조에 따라 수집목적에 필요한 최소한으로만 보유기간을 정하며, 입증책임은 개인정보처리자에게 있습니다.사례집에서는 아래와 같은 대표적인 사례를 참고사항으로 제시하고 있습니다.1. 홈페이지 회원가입의 경우 해당 사업자, 단체 회원탈퇴 시까지2. 홈페이지 이용과정에서 채권, 채무관계가 발생한 경우 해당 채권 채무관계 정산 시까지3. 재화 또는 서비스 제공의 경우 재화 또는 서비스 공급완료, 요금결제, 정산완료 시까지4. 관계 법령 위반에 따른 수사, 조사 등이 진행 중인 경우에는 해당 수사, 조사 등의 종료 시까지5. 「전자상거래 등에서의 소비자 보호에 관한 법률 시행령」 제6조 제1항에 따라 표시·광고에 관한 기록은 6개월, 소비자의 불만 또는 분쟁처리에 관한 기록은 3년, 계약 또는 청약철회, 대금결제, 재화 등의 공급기록은 5년 보존회원가입에 필요한 개인정보를 동의 없이 수집해도 되나요?기존의 개인정보보호법에서는 법에서 정한 특별한 경우를 제외하고는 정보주체의 동의를 얻은 경우에만 개인정보를 수집·이용할 수 있도록 규정하고 있어 대부분의 사업자는 이용자에게 동의를 받고 개인정보를 처리하고 있었습니다. 대부분의 경우 동의가 필요했기 때문에 이용자는 이에 대한 피로감을 느낄 수 있었습니다.그러나 개정된 개인정보보호법에서는 제 15조가 아래와 같이 개정되었습니다.4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우개정 전 개인정보보호법에서는 ‘불가피하게 필요한 경우’에만 정보주체의 동의없이 처리가 가능했습니다. 개정된 개인정보보호법에서는 이러한 단서를 삭제하여 계약 체결 및 이행을 위한 경우에는 동의를 받지 않고 개인정보의 수집 및 이용이 가능해졌습니다. 이처럼 개인정보보호법은 정보주체의 개인정보를 보호하기 위한 법이지만 올바르게 이해하지 못한다면 법을 올바르게 지키기가 어려울 것입니다. 사례집을 통해 개인정보보호법에 대한 어려움을 해소하고 정보주체와 개인정보처리자 모두 개인정보보호법을 준수할 수 있을 것입니다. 보다 많은 개인정보보호법 사례는 개인정보보호위원회 홈페이지에 기재된 개인정보보호법 해석 사례집(https://url.kr/z683ec)에서 확인하실 수 있습니다.출처 및 참고자료개인정보보호위원회, 개인정보보호법 해석 사례집
-
- 24.08.05
-
IT·보안해외직구시 개인정보 유출 조심하세요!
중국의 전자상거래 알리 익스프레스, 테무, 쉬인 등을 통해 물건을 구매해본 적 있으신가요? 위와 같은 중국의 전자상거래 업체들은 저가제품을 앞세우며 국내 온라인 시장 점유율을 확대하고 있습니다. 통계청에 따르면 올해 1분기 해외 직구 규모 중 중국은 9,384억원으로 전년대비 53.9% 증가하였습니다. 또한 시장분석업체 와이즈앱에 따르면 지난해 4월부터 올해 3월까지 알리, 테무 등 중국 쇼핑몰은 한국에서 2조 9,234억원의 결제액을 기록하였습니다. 알리 익스프레스는 지난해 국내에서 약 2조3000억원의 매출을 냈으며, 지난해 8월부터 한국 서비스를 시작한 테무는 5개월간 약 311억원의 매출을 냈습니다. 출처: 시장분석업체 와이즈앱그러나 해외직구가 국내 점유율을 빠르게 높여가면서 문제점도 함께 발생하였습니다. 한국 소비자원에 따르면 해외직구로 구매한 물품과 서비스 관련 상담이 지속적으로 증가하고 있다고 합니다. 지난해 접수된 국제 거래 소비자 상담 건수가 1만 9천 418건으로 전년대비 16.9% 증가하였습니다. 상담 내용에는 물품 거래에 관한 불만상담이 전년대비 136% 증가하였습니다. 상담 내용은 주로 미배송·배송지연 등 배송관련 불만 및 취소·환급 등의 지연 및 거부 등의 내용이었습니다.이외에도 가품과 유해상품 유통으로 인한 문제가 발생하기도 했습니다. 인천본부세관에서 알리익스프레스와 테무에서 판매하는 장신구 성분을 분석한 결과 404개 제품 중 96개에서 기준치를 초과하는 발암물질이 검출되었습니다.개인정보 유출 문제, 어떻게 해결해야 할까?이처럼 중국 전자상거래 기업들의 국내 진출로 인한 다양한 이슈가 있지만, 무분별한 개인정보 수집으로 인한 개인정보 유출이 가장 큰 이슈가 되고 있습니다. 실제로 중국 전자상거래 기업에서 약관 동의를 통해 수집한 국내 이용자 개인정보를 중국의 판매사 18만8432곳에 넘긴 것으로 확인되어 공정거래위원회에서는 불공정 약관 조사를 진행하였습니다. 조사는 소비자 개인정보 침해 및 해외 유출방지에 초점을 맞추어 진행되었습니다.알리 익스프레스와 테무는 ‘개인정보 처리방침’을 통해 수집된 개인정보를 개인정보 위탁업체를 비롯한 제3자 제공 및 국외 제3자 제공될 수 있다는 내용에 동의를 받고 있습니다. 개인정보 처리방침에 동의하지 않으면 서비스에 가입할 수 없도록 되어있어 가입하기 위해서는 반드시 동의해야 합니다. 또한 회원가입 시 약관 및 개인정보 수집 활용 등에 대해 선택동의를 받아야 합니다. 그러나 알리·테무의 경우 필수적으로 일괄 동의해야 상품 구입이 가능하도록 강제하고 있어 상품구매와 관련 없는 개인정보까지 과도하게 수집·활용하고 있습니다.또한 국내 온라인 쇼핑 플랫폼의 경우 제3자 로그인을 진행할 경우 이메일 주소 등 최소한의 정보만 제공할 수 있으며, 추가적으로 개인정보를 요구하는 경우 다시 이용자 동의를 받고 있습니다. 그러나 알리익스프레스와 테무의 경우 이러한 절차가 없기 때문에 로그인 했을 때 다량의 개인정보가 넘어갈 수 있다는 문제점이 있습니다.해외사업자의 개인정보보호법 적용 안내서개인정보보호위원회는 이와 같은 해외사업자의 개인정보 침해사례를 예방하기 위해 ‘해외사업자의 개인정보보호법 적용 안내서’를 4월에 발간하였습니다. 안내서에 따르면 해외사업자가 해외에서 한국인 또는 한국 정보주체의 개인정보를 처리하는 경우 개인정보보호법이 적용될 수 있습니다. 또한 안내서에서는 해외사업자가 준수해야 하는 사항에 대해 자세하게 안내하고 있습니다. 해외사업자가 한국 정보주체를 대상으로 하는 서비스에서 개인정보 유출 사고가 발생한 경우, 72시간 내에 정보주체에게 알려야 하고 1천명이상의 정보주체에 관한 개인정보가 유출된 경우, 민감정보 또는 고유식별정보가 유출된 경우라면 72시간 이내에 개인정보보호위원회에 신고해야 합니다. 이외에도 오는 9월 15일 시행되는 개인정보보호법 시행령 개정안에 맞춰 개인정보 수집 동의 절차와 동의 없이 수집 가능한 정보의 범위 등을 설명하는 안내서를 발간할 예정입니다.중국의 전자상거래 기업들은 저렴한 가격전략으로 한국 이용자 수를 폭발적으로 늘리고 있지만 개인정보보호 측면에서는 미흡한 실정입니다. 이에 개인정보보호위원회에서 다양한 조치를 취하고 있으나 개인이 온라인상에서 구매를 할 때에도 주의해야 합니다. 예를 들어 실물카드로 결제하기 보다는 가상카드번호를 발급받아 결제하는 등 스스로도 개인정보보호를 위해 노력해야 합니다.출처 및 참고자료개인정보보호위원회, 해외사업자 개인정보 보호법 적용 안내서
-
- 24.07.10
-
IT·보안생성형 AI 창작물의 주인은?
10년 전만 해도 인공지능은 단순 노동·반복형 기술만을 대체할 것으로 예측되었습니다. 그러나 생성형 인공지능이 등장하면서 창작의 영역까지 대신하고 있습니다. 그렇다면 인공지능이 만든 창작물의 주인은 누구일까요?생성형 AI 창작물 사례는?제이슨 앨런, 스페이스 오페라 극장, 2022, 이미지 출처: NY Times생성형 AI로 만든 그림 ‘스페이스 오페라 극장’이 콜로라도주 박람회의 연례 미술대회에서 1등 상을 수상하였습니다. 텍스트를 입력하면 그래픽으로 바꾸는 AI를 사용하여 제작한 이 작품에 대해 다른 예술가들은 부정행위라며 반발하기도 했습니다. 그러나 주 박람회를 감독하는 관계자는 창작의 일부로 디지털 기술을 사용하는 것은 예술적 관행으로 보기 때문에 수상에는 문제가 없다고 주장하였습니다.우리나라에서는 방탄소년단, 뉴진스, 블랙핑크 등 국내 유명연예인들의 사진을 학습한 AI이미지가 온라인에 확산되기도 했습니다. 이렇게 K-POP아티스트들의 실제 모습과 똑같이 재현된 이미지는 다른 곳에 활용되기도 합니다.이미지 뿐만 아니라 목소리도 AI를 통해 변조할 수 있습니다. 최근 인기를 끌었던 가수 비비의 ‘밤양갱’노래에 다른 가수의 목소리를 입힌 커버곡들이 유튜브에서 수백만에 이르는 조회수를 기록하기도 했습니다. 실제로 부른 것이 아닌 AI로 만들어진 커버곡이지만 기존 노래가 아닌 색다른 목소리를 입힌 영상으로 높은 조회수를 기록하며 인기를 끌었습니다. AI출처 및 참고자료
-
- 24.06.12
-
IT·보안온라인 지하세계 다크웹에서는 무슨 일이?
기업의 정보를 노리는 해커들의 서식지 다크웹(Dark Web)에 대해 들어보셨나요? 개인정보 유출사고나 해킹으로 노출된 개인정보와 기업의 기밀문서 등 중요 정보들이 다크웹을 통해서 거래되고 있다고 합니다. 다크웹(Dark Web)이란?인터넷 공간을 웹(Web)으로 통칭하지만, 접근 용이성을 기준으로 표면 웹(Surface Web), 딥 웹(Deep Web), 다크웹(Dark Web)으로 구분됩니다. 표면 웹(Surface Web)은 전체 인터넷세계의 4-5%에 해당하며 표면에 드러난 웹을 크롬, 엣지 등으로 접속이 가능하면서 구글, 네이버 등의 검색엔진에서 접근 가능한 웹을 뜻합니다. 딥 웹(Deep Web)은 일반 검색 엔진으로는 찾을 수 없는 모든 웹 페이지를 의미하며, 의도적으로 숨겨진 웹 페이지입니다. 보안성을 갖추고 있고, 접근 시 로그인 등 추가 조건을 충족해야 한다면 딥웹으로 구분됩니다. 예를 들어 인터넷 상 공개되어 있는 네이버에서 검색되는 글은 표면 웹이지만, 개인이 로그인 등의 절차를 거쳐 개인 메일함에 들어가거나 클라우드에 접속하는 것도 딥웹의 일종으로 볼 수 있습니다. 따라서 딥웹은 인터넷상에서 90%정도를 차지할 정도로 폭넓게 이용되고 있으며, 우리가 잘 알고있는 네이버나 구글에서도 보안을 통해 폐쇄되어있는 딥웹으로 구성되어있는 공간이 많습니다. 다크웹(Dark Web)은 딥웹의 일부로 구분할 수 있으나 토르(Tor)나 I2P등 특수한 브라우저를 이용하여 접속이 가능한 웹사이트입니다. 일반적인 검색엔진으로는 접근이 불가능하며, 의도적으로 숨겨진 웹을 뜻합니다. 증가하는 다크웹 범죄 다크웹의 원래의 목적은 인터넷 검열 없이 자유로운 정보나 자료를 공유하는 것이었으나, 최근에는 다크웹의 익명성을 악용하여 범죄에 이용되어 문제가 되고 있습니다. 다크웹을 통해 마약이나 포르노, 기업의 주요 기밀 등이 거래되어왔으며, 범죄현황은 점차 증가하고 있습니다.보안전문기업 S2W에서 발간한 ‘2023년 다크웹 트렌드 보고서’에 따르면, 지난해 일평균 다크웹 접속자 수는 약 227만명으로 2019년 대비 19.47% 증가하여 역대 최대 수준을 기록하였습니다. 또한 2019년부터 2023년까지 다크웹 접속자 수가 꾸준한 상승세를 이어가고 있는 것으로 나타났습니다. 보고서에 따르면 미국은 일평균 다크웹 접속자 수가 65만명으로, 가장 많이 이용하는 나라로 나타났습니다. 한국은 1만 8천명~1만 9천명으로 전 세계에서 26번째로 다크웹 이용자가 많은 나라로 분류되었습니다. 다크웹 내 한국 커뮤니티는 매년 성장세를 보이고 있으며, 국내에서는 다크웹을 통한 포르노, 개인정보, 마약 등이 다크웹 상에 불법 유통되면서 범죄가 성행하고 있습니다. IoT 범죄에 활용되기도 했는데요, 지난 2021년 아파트 월패드가 해킹되어 월패드내 이미지와 영상이 다크웹을 통해 유출되었습니다. 이외에도 국내 데이터 유출 사고의 상당수가 다크웹을 통해 거래되었으며 챗GPT의 유료계정을 유출하는 등 챗GPT를 악용하는 사례도 발견되었습니다. 다크웹 불법행위에 대한 대응방안은?그렇다면 다크웹에는 접속만 하지 않는다면 안전한 것일까요? 다크웹에 정보가 유출되는 것을 최소화하고, 공격에 대비하기 위해 기업은 보안 조치를 강화하고, 내부 시스템 및 네트워크에 대한 접근제어를 강화해야 합니다. 또한 개인은 다크웹으로 인한 개인정보 유출로 크리덴셜 스터핑 혹은 2차 공격으로 인한 피해를 최소화하기 위해 기본적인 보안 수칙을 준수해야 합니다. 사용하지 않는 홈페이지 탈퇴, 주기적인 패스워드 변경, 보안 업데이트 등을 통해 다크웹 불법 이용으로 발생할 수 있는 피해를 예방해야 합니다. S2W, 2023 다크웹 트랜드 보고서
-
- 24.06.03
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.