-
IT·보안전세계 국가들의 개인정보보호 방법은?
개인정보는 이제 개인을 확인하는 수단이 되었으며, 우리사회의 핵심자원으로 발전하였습니다. 개인정보를 보유한 기업이 해외와 교류할 때 자국민의 개인정보를 해외 이전하거나 타국민의 개인정보를 처리해야 할 경우가 있을 것입니다. 그렇다면 이제는 하나의 생활권이 되어가고 있는 전 세계에서 개인정보보호는 어떻게 이루어지고 있을까요? 세계 각국에서는 개인정보 보호에 관련된 법제들을 정비해 나아가고 있습니다. 이번 포스팅에서는 전세계의 개인정보보호법에 대해 알아보겠습니다. 미국 미국은 캘리포니아주 프라이버시 권리법(California Consumer Privacy Act, CCPA), 버지니아주 소비자 데이터보호법(Consumer Data Protection Act, CDPA)등 주별로 개인정보 보호법이 제정되어있습니다. 미국에서 가장 강력한 개인정보보호법으로 평가받는 캘리포니아주 프라이버시 권리법에 대해 살펴보겠습니다. 캘리포니아주 프라이버시 권리법은 소비자 프라이버시 보호법에 나오는 정보주체의 권리 내용과 사업자의 준수 의무를 강화한 법안으로, 2020년 11월 3일 통과되어 2023년 1월 1일 본격 시행되었습니다. 캘리포니아 주민의 개인정보를 처리하는 경우 적용되며, 캘리포니아 소비자의 프라이버시 관련 권리와 사업자의 의무 등을 규정하고 있고, 미국 최초로 프라이버시 분야를 담당하는 규제기관의 설립의 근거를 마련했다는 점에 의의가 있습니다. 캘리포니아주 내에 사업장을 두고 있는지 여부와 관계없이 캘리포니아주 내에서 사업을 수행하는 주민의 개인정보를 처리하고 있다면 적용대상이며, 다음과 같습니다.2,5003) 법률행정법규에 규정된 기타 상황1) 조직기업 또는 개인이 베트남 국민의 개인정보를 데이터 주체가 동의한 목적에 따라 처리하기 위해 해외 조직기업 또는 관리부서에 전송하는 것2) 베트남 영토 외부에서 개인정보 처리자, 개인정보 처리자겸 수탁처리자, 개인정보 수탁처리자의 자동 시스템이 데이터 주체가 동의한 목적에 따라 베트남 국민의 개인정보를 처리하는 것 또한 개인정보의 국경 간 전송을 위해서는 정보 전송 주체가 개인정보 처리 개시 시점에 국경 간 정보 전송 영향평가 문서를 준비하여 공안부 DCHCP에 제출하여야 합니다. 이외에도 민감 개인정보 처리 전 정보주체에 대한 통지 필요, 개인정보 수집 및 처리시 정보주체의 동의 취득 등의 내용이 포함되어 있습니다. 베트남 역내 뿐만 아니라 역외 사업자의 경우에도 베트남의 개인정보 보호 시행령의 규칙이 적용되기 때문에 베트남의 개인정보보호 시행령에 대해 고려해야 합니다. 유럽연합(EU) 유럽 일반 개인정보 보호법(GDPR)은 기업 및 조직이 EU회원국 내에서 이루어지는 거래와 관련하여 EU시민의 데이터와 개인정보를 보호하도록 규정하는 데이터 보호법입니다. 적용 대상은 EU내의 개인정보 처리자와 EU시민을 대상으로 개인정보를 수집하고 처리하는 경우 모두 GDPR 준수 의무 대상입니다. GDPR규정을 위반한 기업은 2천만유로 또는 연간 매출의 4%에 해당하는 금액을 과징금으로 내는 등 법적 제재를 받게 됩니다. 2021년 12월 17일 한국에 대한 EU의 GDPR 적정성 결정이 채택되었습니다. EU가 한국의 개인정보보호 정책이 GDPR과 동등한 수준임을 인정한 것으로, 우리나라 기업은 EU회원국에 준하는 지위를 부여받게 됩니다. GDPR적정성 결정으로 인해 개인정보 국외이전에 있어 한국은 EU회원국에 EU시민의 개인정보를 추가적인 인증이나 절차 없이 자유롭게 국내로 이전 처리할 수 있게 되었습니다.
-
- 24.05.17
-
IT·보안개인정보위, 2023 개인정보보호 및 활용조사 발표
데이터와 개인정보보호의 중요성은 아무리 강조해도 부족합니다. 2011년에 개인정보보호법이 제정된 이후로 데이터 3법의 개정, 작년 9월 시행된 2차 개정안 등 변화하는 상황에 맞춰 개인정보를 보호하기 위한 노력은 지속되고 있습니다. 이번 글에서는 개인정보보호위원회에서 발표한 2023 개인정보보호 및 활용조사 결과를 통해 정보주체와 개인정보처리자의 개인정보 이용, 보호 현황을 살펴보겠습니다.개인정보보호 및 활용 조치란?해당 조사는 개인정보보호 정책의 효과분석 및 제도개선을 위한 기초자료로 활용하고자, 행정안전부와 방송통신위원회에서 별도로 실시하던 조사를 2021년부터 개인정보보호위원회가 통합하여 매년 실시하고 있습니다. 이번 조사는 공공기관 1,200개와 민간기업 6,000개, 정보주체(일반국민) 3,000명을 대상으로 실시하였으며, 민간기업에는 정보통신, 건설, 제조업 등 다양한 업종이 포함되어 폭넓은 산업 분야에서의 개인정보 현황을 파악 할 수 있습니다. 또한 개인정보보호 및 활용조사를 통해 공공기관 및 민간기업의 개인정보보호 현황 및 안전성 확보 조치 현황을 파악하고 정보주체의 개인정보보호에 대한 인식, 개인정보보호 취약 분야 및 업종 파악이 가능합니다. 개인정보 처리자(공공, 민간) 개인정보 처리자는 공공기관과 민간기업으로 분리하여 조사하였는데요, 공공/민간으로 비교하여 살펴보겠습니다.개인정보 수집과 관련하여, 공공/민간부문에서 개인정보 수집 시 가장 많은 비중을 차지하는 개인정보는 인적사항이었습니다. 그 뒤로는 주민등록번호 등을 뜻하는 고유식별정보가 2위를 차지하였으며, 금융정보가 3위를 차지하였습니다. 공공부문에서는 교육정보, 가족정보가 민간부문에서는 직업정보, 교육정보가 각각 4,5위를 차지하였습니다. 수집한 개인정보의 목적 외 이용하는 근거는 공공, 민간 모두 대부분 목적 외의 용도로 이용하거나 제3자에게 제공한 사례가 없는 것으로 나타났습니다. 그러나 정보주체로부터 별도의 동의를 받은 경우, 다른 법률에 근거가 있는 경우에는 목적 외 이용하는 경우가 있는 것으로 나타났습니다.개인정보보호법 제29조(안전조치의무)에 따르면 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 조치를 취해야 합니다. 이에 따르면 공공, 민간 모두 내부관리계획의 수립·시행을 가장 많이 수행하고 있었습니다. 또한 접근권한 최소화 및 차등 부여, 개인정보에 대한 접근통제, 암호화 기술을 통해 개인정보를 보호하고 있는 것으로 나타났습니다.차 산업혁명 시대에서 가장 중요한 자원은 데이터입니다데이터법의 개정 등과 함께 개인정보보호법에 가명정보의 특례규정이 신설되면서 가명정보가 주목받고 있습니다가명정보란 데이터를 가명처리한 것을 의미하며가명처리 하는 것은 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 의미합니다가명처리가명정보 제공활용 경험에 관하여 공공에서는 약 가 경험이 있거나 향후 계획이 답하였으나민간에서는 에 불과한 것으로 나타났습니다아직까지 민간 기업에서는 가명처리가명정보의 활용 및 계획이 공공부문에 비해 적은 것으로 보입니다출처 및 참고자료 2023 개인정보보호 및 활용조사 보고서
-
- 24.04.29
-
IT·보안CSAP 인증시 반드시 필요한 DB접근제어와 암호화
코로나 팬데믹으로 기존에 없었던 새로운 시스템의 등장과 사무실에 출근하지 않고 언제 어디서든 원격 근무과 회의를 할 수 있는 스마트 오피스(Smart Office)가 필요해지면서 기존의 온프레미스 기반의 시스템들은 보다 유연한 확장성과 고가용성을 제공하는 클라우드로 인프라 시스템을 전환하거나 새로 도입하기 시작하였습니다. 글로벌 시장 조사 업체인 스테티스타(Statista)에 따르면 전 세계 퍼블릭 클라우드 시장은 2019년 2599억 달러에서 2024년 6900억 달러로 성장할 것으로 예측하고 있으며, 서비스형 소프트웨어(Software as a Service, SaaS)는 2,822억 달러로 가장 큰 시장 규모를 성장할 것이라고 내다봤습니다. 또한, 2028년 퍼블릭 클라우드의 전체 시장 규모는 1조 620억 달러까지 성장하여 2024년부터 2028년까지 연간 11.37% 성장하며, 서비스형 소프트웨어 시장은 지속적으로 가장 큰 규모의 시장을 형성할 것으로 전망하였습니다.(Public Cloud – Worldwide, Staticta)전 세계 클라우드 수요에 맞춰 국내 클라우드 시장도 지속적으로 성장하여 2022년 국내 클라우드 전체 매출액은 5조 4백억원으로 2021년 대비 18.6% 증가하였습니다. 다만, ‘2023년 클라우드 산업 실태조사 보고서’에 따르면 코로나 19 팬데믹 상황이 종식되면서 지금까지의 성장세 보다는 다소 둔화될 것으로 전망하고 있습니다. 국내 클라우드 제공 서비스별로 매출 비중으로는 퍼블릭 클라우드 44.2%, 프리이빗 클라우드 15.7%, 하이브리드 클라우드가 40.1%로 나났으며, 하이브리드 클라우드는 퍼블릭 클라우드가 22.3%, 프라이빗 클라우드가 17.8% 비중인것으로 조사되며, 초기 클라우드에서 제기되었던 안정성, 보안성등의 인식이 개선되며 서비스 운영 및 사용에 많은 장점을 갖고 있는 퍼블릭 클라우드의 전환이 많은 것으로 분석되고 있습니다. 이렇게 지속적으로 증가하는 클라우드 수요로 인해 2016년 1건에 불과했던 클라우드 서비스 보안 인증(CSAP) 기업은 2023년 44건까지 증가하였으며, 2024년에는 4월 현재까지 12개의 서비스가 인증을 받았습니다. SaaS 클라우드 서비스 보안 인증(CSAP)클라우드 서비스 보안인증 제도는 클라우드컴퓨팅 기술을 이용하여 정보 시스템의 인프라, 응용프로그램, 개발환경 제공시 받을수 있는 인증제도로 클라우드서비스 제공자가 제공하는 서비스에 대해 보안인증기준에 적합한 서비스를 제공하는지 인증하는 제도로 상,중,하등급으로 구분하고 SaaS의 보안 인증은 표준등급과 간편등급으로 구분됩니다.* 상/중등급은 공공 부문의 민간 클라우드 서비스 이용 활성화를 위해 2023년 1월 도입되었으며 현재 시행 예정SaaS 표준등급은 전자결재, 인사 및 회계관리, 보안서비스, PaaS 등 주요 데이터를 다루는 SaaS 서비스를 인증 대상으로 하고 있으며, 인증 유효 기간은 5년으로 총 79개의 통제 항목을 평가하고 최초평가와 4회의 사후평가 그리고 갱신 평가가 있습니다. 간편 등급은 표준등급과는 달리 31개의 통제 항목으로 최초평가, 사후 평가 2회, 갱신 평가로 구분되며 표준등급 대상 이외의 SaaS 서비스를 인증 대상으로 하고 있으며 유효기간은 표준 등급보다 2년 짧은 3년의 기간을 부여받습니다.(클라우드 보안 인증 유형)최초평가는 처음 인증을 신청하거나, 인증 범위에 중요한 변경이 있어 인증을 다시 신청한 경우에 실시되며, 사후평가는 최초 평가 후 1년뒤 시행되며 보안인증 취득 후 보안인증기준을 준수하고 있는지 확인하기 위한 평가로 인증 유효기간 안에 매년 시행되는 평가입니다. 갱신 평가는 보안인증 유효기간이 만료되기 전 유효기간 연장을 원하는 경우에 실시하는 평가로 갱신평가를 통과하는 경우 5년의 유효기간을 다시 부여받게 됩니다. SaaS 클라우드 서비스의 보안 인증은 기본적으로 클라우드 서비스 보안인증을 받은 IaaS, PaaS 서비스 환경에 구축되어야하며, 다수의 기관을 대상으로 퍼블릭(Public)한 형태로 소프트웨어를 제공해야합니다. CC인증, 보안기능확인서가 필요한 정보보호제품을 포함하고 있는 서비스형 보안서비스(Security as a Service, SECaaS)의 경우, 2024년 12월 31일까지 사전인증 없이 보안 인증이 가능하고 인증 획득시 공공기관 도입이 가능합니다.클라우드 서비스 보안 인증(CSAP) - 접근통제기본적으로 클라우드 서비스 보안 인증을 받기 위해서는 비인가자의 접근을 통제할 수 있도록 접근 통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야합니다. 또한, 접근 기록 대상을 정의하고 서비스 통제, 관리, 사고 발생 책임 추적성 등을 보장할 수 있도록 모든 행위를 기록하여 유지하여야 합니다.IaaS, SaaS, DaaS 보안인증의 접근 통제 기술적 조치로 접근 통제 정책, 접근 권한 관리, 사용자 식별 및 인증 3가지 항목으로 구분하고 9가지의 세부 조치사항을 인증 기준으로 제시하고 있습니다. 신시웨이의 DB접근제어 솔루션 Petra와 DB권한결재 솔루션 Petra Sign은 DB에 저장된 주요 정보를 허가 받지 않는 사용자의 접근하고 그 행위를 모두 기록함으로써 사고 발생시 철저한 책임추적성을 제공하고 있습니다. 또한 기록된 정보는 로그 관리에 최적화된 소프트웨어 레파지토리에 저장되어 위,변조 및 삭제가 불가능하고 기업이 보유하고 있는 각 종 인사시스템, 로그 관리시스템 등과의 연동이 가능하여 관리 및 운영의 편리성을 제공합니다.접근통제 기술적 보호조치 인증 항목★ ISMS 인증시 점검대체 가능 항목클라우드 서비스 보안 인증(CSAP) – 데이터보호 및 암호화현대 사회에서 데이터 보안은 중요한 요소가 되었습니다. 데이터 소유자는 데이터의 유형, 법적 요구사항, 민감도 및 중요도에 따라 데이터를 분류하고 관리해야하며, 데이터의 무결성을 항상 유지하여야 합니다. 특히, 데이터데 대한 접근제어, 위·변도 방지 등에 대한 보호 기능을 제공해야합니다. 또한 데이터 분류에 따른 암호 강도, 키 관리 등의 정책을 마련하고 암호키 생성부터 파기까지 암호키에 대한 모든 사항들에 대한 절차를 수립하고 암호키는 안전한 장소에 별도 보관해야합니다. 신시웨이의 페트라 사이퍼는 인증 받은 안전한 암호화 알고리즘을 사용하여 데이터를 암호화하고 암,복호화에 필요한 암호화 키를 PBKDF2(PASSWORD-BASED KEY DERIVATION FUNCTION2) 알고리즘을 통해 생성된 마스터키로 안전하게 보관함으로써 데이터가 유출되더라도 개인정보 즉, 평문(Plan Text) 데이터를 알 수 없도록 하여 높은 기밀성을 유지하여 실질적인 기업의 피해를 최소화할 수 있습니다.데이터보호 및 암호화 보호조치 인증 항목★ ISMS 인증시 점검대체 가능 항목신시웨이의 DB접근제어솔루션 Petra와 DB암호화 솔루션 Petra Cipher는 CSAP인증 뿐만 아니라 개인정보보호법을 포함한 각종 보안 관련 법률 및 컴플라이언스를 준수하고 있으며, 공공·금융 등 다양한 분야로 레퍼런스를 확장하고 있습니다. 또한 클라우드 시장이 확대되는 만큼 클라우드 분야에서의 확장을 지속적으로 이어갈 것이며, 클라우드에 적합한 제품 개발을 진행하고 있습니다. 클라우드 서비스를 안심하고 사용하기 위해 반드시 필요한 CSAP 인증을 획득하기 위해서는 신시웨이의 DB보안 솔루션을 통해 기본 요건을 충족할 수 있습니다.
-
- 24.04.24
-
IT·보안그림도 알아보는 AI, LMM
2023년을 뜨겁게 달군 ChatGPT에 대한 관심은 여전히 뜨겁습니다. 원하는 질문에 대한 빠른 답변과 창작, 코딩까지 가능하여 인간을 대체할 수도 있다는 우려가 나오기도 했습니다. ChatGPT에 텍스트를 입력하면 원하는 답변을 얻을 수 있지만, 이미지를 공유하는 것으로 대체할 수 있다면 좀더 편리하지 않을까요? 최근 출시된 ChatGPT-4와 ChatGPT-4V는 시각기능이 추가되어 텍스트와 이미지를 함께 처리할 수 있습니다. 이처럼 텍스트, 이미지, 음성 등 다양한 형태를 지원하는 것을 ‘멀티 모달’이라고 하며, 멀티모달이 가능한 거대언어모델을 LMM(Large Multi-modal Model)또는 MLM(Multi-modal Large Model)이라고 합니다. 오픈AI의 ChatGPT와 마이크로소프트의 Copilot과 같은 생성형AI는 모두 거대 언어모델(LLM)을 기반으로 구현되어 있습니다.거대언어모델(LLM) = ChatGPT?ChatGPT가 주목받으면서 거대 언어 모
-
- 24.03.20
-
IT·보안인공지능(AI)시대, 개인정보 안전장치 시행
인공지능(AI)은 이제 인간의 업무를 대신 수행하고, 인간과 유사한 지능적인 행동을 수행하는 정도까지 발전해가고 있으며, 광고, 금융, 의료, 공공 등 다양한 분야에서 활용되고 있습니다. 이렇게 가까워진 인공지능시대를 맞이하여 개정된 개인정보보호법이 3월 15일 시행 예정입니다. 개정된 법안에는 인공지능 등 자동화된 결정에 대한 권리, 개인정보 보호책임자(CPO)의 자격요건 강화, 공공분야 개인정보 보호수준 평가 확대 등의 내용이 담겨있습니다.1. 인공지능(AI)등 자동화된 결정에 대한 정보주체 권리 구체화자동화된 결정이란 인공지능(AI)을 포함한 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정을 의미합니다. 자동화된 결정이 이루어지는 대표적인 사례는 사람의 개입 없이 AI면접을 통해 지원자의 당락 여부를 결정하는 경우입니다.개정된 개인정보보호법 제37조의2에서는 자동화된 결정이 생명과 신체, 재산의 이익 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 해당 결정을 거부하면, 이를 적용하지 않도록 했습니다.또한 자동화된 결정을 통해 기준과 절차 등을 투명하게 공개하고, 정보주체인 국민의 요구가 있는 경우에는 어떤 기준과 절차에 따라 개인정보를 처리하고 결정이 이루어졌는지를 설명하거나 제출된 의견에 대한 반영 여부 및 결과를 알려주도록 하였습니다.① 정보주체의 권리가 인정되는 대상: 자동화된 결정자동화된 결정이란 사람의 개입 없이 완전히 자동화된 시스템으로, 개인정보를 분석하는 등 처리하는 과정을 거쳐, 개인정보처리자가 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정을 한 경우를 말합니다.즉, 결정이 이루어지는 과정에서 사람의 개입 없이 이루어진 결정은 완전히 자동화된 결정에 해당합니다. 또한, 정보주체인 국민의 권리 또는 의무에 영향을 미치는 최종적인 결정인 경우에는 자동화된 결정의 범위에 포함됩니다. 다만, 개인정보처리자가 추천하고 정보주체가 선택·결정하는 맞춤형 광고·뉴스 추천, 본인확인을 위한 단순 사실의 확인과 같은 경우는 자동화된 결정에 해당하지 않습니다. ② 설명 및 검토 요구: 자동화된 결정이 있는 경우정보주체는 자신의 권리 또는 의무에 영향을 미치는 경우에는 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해줄 것을 요구할 수 있습니다. 이때 개인정보처리자는 해당 결정의 기준 및 처리 과정 등에 대해 설명해야 하며, 정보주체가 의견을 제출하는 경우 해당 의견을 반영할 필요가 있는지 검토하고, 반영여부와 결과를 알려야 합니다. ③ 자동화된 결정에 대한 거부: 중대한 영향을 미치는 경우정보주체는 자동화된 결정이 자신의 권리 또는 의무에 대해 본질적인 제한·박탈 등 중대한 영향을 미치는 경우에는 해당 자동화된 결정에 대해 거부할 수 있습니다. 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알렸거나 법률에 명확히 규정이 있는 경우에는 거부는 인정되지 않고 설명 및 검토 요구만 가능합니다.④ 개인정보처리자의 거절사유: 정당한 사유개인정보처리자는 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명 등 요구를 거절할 수 있고, 거절하는 경우에는 그 사유를 정보주체에게 지체없이 알려야 합니다.2. 개인정보 보호책임자의 전문성·독립성 강화개인정보보호법 제31조(개인정보 보호책임자의 지정 등)에서는 개인정보 보호책임자에 관련한 내용이 개정 및 신설되었습니다.개인정보 보호책임자 CPO는 Chief Privacy Officer의 줄임말로, 개인정보의 처리에 관한 업무를 총괄해서 책임지는 직책을 뜻하며, CPO를 의무로 지정해야하는 대상은 다음과 같습니다. 개인정보 보호책임자가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할수 있도록 CPO의 자격 요건을 강화하고, CPO협의회 신설을 통해 CPO상호 간 협력이 긴밀하게 이루어질 수 있도록 하였습니다. 또한 CPO의 전문성 강화를 위해 일정 기준 이상의 매출액, 개인정보를 보유한 개인정보처리자는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상 갖추는 것을 CPO의 필수 요건으로 지정하였습니다.3. 공공분야 개인정보 보호수준 평가 확대개인정보법 제11조의 2항에서는 개인정보 보호수준 평가에 대한 법적 근거를 신설하여, 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 공개 및 개선을 권고할 수 있도록 하였으며, 평가결과에 따라 우수기관 및 소속직원에 대해 포상할 수 있는 근거를 마련하였습니다.또한 시행령 개정을 통해 개인정보 보호수준 평가를 수행하기 위한 기준 등 근거 규정을 마련하였으며, 필요시 평가대상 기관을 방문하여 평가할 수 있도록 정비하였습니다.4. 손해배상책임 보장 의무대상자 변경개인정보보호법 제39조의7항에서는 정보주체에 대한 손해배상책임을 이행해야하는 대상을 조정하였고, 이에 대한 구체적인 기준을 마련하였습니다.정보주체에 대한 손해배상책임 의무를 이행해야 하는 대상이 온라인사업자에서 전체 개인정보처리자로 변경되었습니다. 연 매출액 5천만원 이상, 이용자 수 1천명 이상인 온라인 사업자 대상에서 연매출 10억원 이상, 정보주체 수 1만명 이상인 개인정보처리자로 기준을 조정하였습니다.5. 기타 개정사항 및 향후 계획개인정보위원회의 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정하고, 개인정보 보호수준 평가, 개인정보보호인증(ISMS-P), 다른 법률에 따라 점검이 이루어지는 경우에는 정기조사 대상에서 제외할 수 있도록 하였습니다.또한 국외이전의 경우 그 법적 근거를, 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우에는 처리하는 국가명을 개인정보 처리방침에 기재하여 공개하도록 하였습니다.출처 및 참고자료개인정보보호위원회 보도자료, 인공지능(AI)시대, 개인정보 안전장치 시행된다
-
- 24.03.13
-
IT·보안2024년도 가트너에서 선정한 사이버 보안 트렌드는?
IT분야의 연구와 자문을 담당하고 있는 글로벌 연구조사 기업 가트너(Gartner)에서는 매년 IT분야의 비즈니스에 중요한 기술을 발표하고 있습니다. 올해에는 2024년도 사이버 보안 트렌드 6가지를 발표하였습니다. 가트너에서 발표한 자료들은 많은 기업과 정부의 참고자료가 되기도 하는데요, 가트너에서 발표한 2024년 사이버 보안 트렌드를 함께 살펴보겠습니다.생성형 인 결정을 내릴 수 있는 역량을 갖추게 되면서 사이버 보안 리소스를 보다 효과적으로 활용할 수 있게 되었다”라고 밝혔습니다.회복탄력성 중심의 서드파티 위험 관리서드파티의 사이버보안 사고가 불가피해짐에 따라, 보안 리더는 복원력 중심의 투자에 더 집중하고 선제적 실사 활동에서 벗어나도록 압력을 받고 있습니다. 이러한 상황에서는 서드파티 서비스의 리스크 관리를 강화하고 중요한 외부파트너와 상호이익이 되는 관계를 구축하여 가장 중요한 자산을 지속적으로 보호해야 합니다. 애디스콧 애널리스트는 “사이버보안 위험이 가장 높은 서드파티와의 계약에 대한 비상 계획을 강화하는 것부터 시작해야 한다”며, “서드파티별로 인시던트 플레이북(Incident Playbook)을 만들고, 테이블탑 훈련(Tabletop Exercise)을 실시하며, 적시에 엑세스 권한을 취소하고 데이터를 파기하는 등의 명확한 오프보딩 전략(Offboarding Strategy)을 정의해야 한다”고 조언했습니다.지속적인 위협 노출 관리 프로그램의 추진력 확보지속적인 위협 노출 관리(Continuous Threat Exposure Management, 이하 CTEM)는 조직이 디지털 및 물리적 자산의 접근성, 노출 및 악용 가능성을 지속적으로 평가하는 데 사용할 수 있는 실용적이고 체계적인 접근방식입니다. 평가 및 수정 범위를 인프라 구성 요소가 아닌 위협 요소 또는 비즈니스 프로젝트에 맞춰 조정함으로써 취약성과 패치불가한 위협을 강조할 수 있습니다.가트너는 2026년까지 CTEM 프로그램을 기반으로 보안 투자에 우선순위를 두는 기업은 침해사고의 2/3을 줄일 수 있을 것으로 예측합니다. 보안 리더는 하이브리드 디지털 환경을 지속적으로 모니터링하여 취약점을 조기에 식별하고 최적의 우선순위를 지정하여 기업이 공격받을 수 있는 표면을 강화할 수 있도록 지원해야 합니다.사이버보안 성과 개선을 위한 IAM역할 확대더 많은 기업이 보안에 대한 ID우선 접근 방식으로 전환함에 따라 네트워크 보안 및 기타 기존 제어에서 ID및 액세스 관리(Identity & Access management, IAM)로 초점이 옮겨지면서 사이버보안 및 비즈니스 성과에 중요한 역할을 하고 있습니다. 보안 프로그램에서 IAM의 역할이 더욱 강조될 것으로 전망되지만, 동시에 복원력 향상을 위해 근본적인 보안과 시스템 강화에 집중해야 합니다.
-
- 24.03.07
-
IT·보안QR함부로 찍지 마세요! 큐싱(Qshing) 사기
QR코드, 얼마나 자주 사용하세요?중국에서는 QR코드를 통해 결제가 이루어지곤 합니다. 현금보다는 QR코드 사용이 활성화되었는데요, 지갑없이도 어디서든 휴대폰만 있으면 결제가 가능하다고 하니 간편하겠죠? QR코드는 중국뿐만 아니라 전세계적으로 상용화되어 있습니다. QR을 이용한 티켓으로 활용되기도 하고, 식당에서는 QR코드를 찍으면 메뉴판을 보여주기도 합니다. QR코드는 특히 코로나팬데믹 시기에 방역패스로 활용되며 사용범위가 확대되었고 우리에게 익숙해졌습니다. 그렇다면 일상속에서 접하게 되는 QR코드는 아무거나 스캔해도 괜찮은 걸까요? 최근 QR코드를 활용한 사기수법 큐싱(Qshing) 범죄가 늘어나고 있다고 합니다.큐싱(Qshing) 사기큐싱(Qshing)이란 QR코드와 피싱(Phishing)의 합성어로, QR코드를 이용한 사기 수법을 말하며, QR코드를 스캔하면 개인정보와 금융정보를 빼가는 방식입니다. 이전에는 문자를 이용한 스미싱 사기가 대부분이였지만, 문자를 이용한 사기는 이미 보편화되어 상대적으로 덜 알려진 큐싱사기가 다양한 형태로 나타나고 있습니다. 자영업자 A씨는 ‘소상공인 저금리 대출’과 관련한 메일을 받았고, 메일에는 대출 안내와 함께 금융사기 예방 앱 설치를 위해 QR코드를 촬영하라는 내용이 있었습니다. 스마트폰으로 QR코드를 촬영한 A씨의 휴대전화에는 악성 앱이 설치되었고, 개인정보가 유출되어 1000만원이 넘는 금전적 피해를 입었습니다.B씨는 모 은행의 스마트 뱅킹 앱을 이용해 자금 이체를 진행하던 중, 추가 인증이 필요하다며 QR코드가 담긴 문자 메시지를 받았습니다. B씨는 은행에서 보낸 메시지라고 생각하여 지시에 따라 앱을 설치하고 은행 보안카드를 촬영하였습니다. 이후 금융사기라고 의심하여 동작을 중단하였지만, 순식간에 통신사 소액결제로 게임머니 35만원이 결제되어 있었습니다.두 사례 모두 신용보증재단중앙회와 금융감독원이 발표한 큐싱 사기 피해사례입니다. 이처럼 큐싱은 주로 피해자가 QR코드를 찍게 한 뒤 악성 앱을 설치하거나 개인정보를 탈취합니다. 최근에는 가상화폐를 이용한 큐싱 사례도 등장했습니다. 가상화폐를 무료로 주겠다고 유인하며 악성 QR코드를 제공하는 사례가 발견되고 있는데요, QR코드를 스캔한 뒤 가상화폐를 받기 위해 코인 지갑을 인증하면 지갑의 주소와 가상화폐를 탈취해가는 수법입니다.큐싱 사기, 어떻게 예방해야 할까?보안기업 SK쉴더스에 따르면 지난해 국내에서 탐지된 온라인 보안 공격 중 17%가 큐싱 사기 범죄였으며, 큐싱 사기 범죄는 전년 대비 60%증가한 것으로 추정되었습니다. QR코드의 이용이 보편화되어있고, 사용하는 빈도가 늘어나면서 아무런 의심 없이 QR을 촬영하는 피해자들이 많을 텐데요. QR코드는 코드에 악성 링크를 삽입하더라도 인터넷주소가 직접 노출되지 않아 스마트폰 백신을 설치하더라도 완벽하게 차단하기 어렵다고 합니다. '일단 찍어봐야'알 수 있기 때문에 피해를 예방하는 것이 쉽지 않다고 하는데요, 그럼에도큐싱 범죄 피해를 예방하려면 출처가 불분명하거나 의심스러운 QR코드는 촬영하지 않아야 합니다. 특히 공공장소에 공개되어있는 QR코드를 스캔할 때에는 신중해야 합니다. 최근에는 중국에서 공공자전거의 QR코드에 악성 QR코드가 덧붙여진 사례가 발견되기도 했습니다.스마트폰으로 QR코드를 스캔할 경우 연결할 사이트 주소가 알림으로 오게 되는데, 주소가 정확한지 확인해야 합니다. 사이트 주소 중 스펠링만 바꿔 접속을 유도하는 사례도 있기 때문입니다. 또한 QR을 통해 연결된 링크로 앱을 다운받는 것 보다는 검증된 공식 마켓에서 다운받는 것이 안전합니다.만약 QR코드를 스캔한 뒤 접속된 링크를 통해 앱을 설치했을 경우 즉시 휴대전화를 비행기모드로 바꿔 통신 기능을 차단해야 합니다. 피싱범들이 스마트폰을 통해 원격으로 제어하는 것을 막아야 하기 때문입니다. 만약 앱이 지워지지 않는 다면 휴대폰 데이터를 백업한 뒤 초기화하는 것이 좋습니다. 개인정보를 이미 입력했다면 금융회사 콜센터 혹은 금융감독원 콜센터에 연락하여 계좌 지급정지를 요청하고 피해구제를 신청해야 합니다.출처 및 참고자료QR코드 찍었더니 개인정보 탈탈…늘어나는 큐싱 사기
-
- 24.02.28
-
IT·보안이젠 신분증도 모바일 시대!
이제는 스마트폰 하나로 모든 것이 가능한 시대입니다. 실물 카드가 없어도 간편결제로 물건을 살 수 있고, 대중교통도 이용할 수 있습니다. 2025년부터는 스마트폰에 주민등록증이 담긴다는 사실, 알고 계셨나요?행정안전부에서는 모바일 주민등록증 발급 근거를 담은 「주민등록법」일부개정법률안이 국회 본회의에서 의결되었다고 밝혔습니다. 이번 개정안은 모바일 주민등록증 도입, 다른 사람의 주민등록증의 이미지 파일 또는 복사본을 부정하게 사용한 자에 대한 처벌 등의 내용입니다.2025년 1월부터 실물 주민등록증을 발급받은 사람이 희망하는 경우 가까운 주민센터를 방문해 무료로 모바일 주민등록증을 발급받을 수 있습니다. 모바일 주민등록증은 정부24앱에서 개인정보 확인절차를 밟은 뒤 서비스를 이용할 수 있습니다. 민원서류 접수·발급뿐만 아니라 성인 여부 확인, 공항 탑승, 개인간 본인여부 확인이 가능합니다. 모바일 주민등록증, 안전할까?모바일 운전면허증, 행정안전부모바일 주민등록증은 1인 1개의 단말기에만 암호화된 형태로 저장되며, 실물 주민등록증과 같은 효력을 가집니다. 따라서 생체인증 등 인증을 거치지 않은 경우 열람할 수 없도록 설계됩니다. 행정안전부에서는 스마트폰 분실을 대비하여 전용 콜센터와 홈페이지를 통해 분실 신고를 받고, 분실신고 즉시 사용을 중단시켜 도난과 도용을 예방할 예정입니다. 실제로 이미 상용화된 모바일 운전면허증에서는 개인정보 보호를 위해 사진과 성명, 생년월일만 표시됩니다. 또한 QR코드를 통해 진위를 검증하고 신원확인 기록이 남지 않습니다. 이처럼 모바일 신분증을 통해 모든 개인정보가 노출되는 것이 아닌 필요한 정보만 선택하여 제공할 수 있기 때문에 정보 주체로서의 권리를 실현할 수 있습니다.현재 스마트폰에 등록하여 사용 가능한 모바일 신분증은 모바일 운전면허증, 모바일 국가보훈등록증으로, 2025년부터 모바일 주민등록증으로 확대될 예정입니다. 17세이상 전 국민이 사용하는 주민등록증에 모바일 신분증을 도입하게 됨으로써 모바일 신분증의 대중화가 본격화될 것으로 기대됩니다. 출처 및 참고자료모바일 신분증 홈페이지행정안전부 보도자료, 「2025년부터 스마트폰에 주민등록증을 담는다」
-
- 24.02.27
-
IT·보안클라우드 네이티브란?
클라우드 네이티브(Cloud Native)에 대해 들어보셨나요? ‘영어를 네이티브(Native)하게 한다’는 표현은 영어를 원어민처럼 구사할 줄 안다는 표현입니다. 그렇다면 클라우드 네이티브는 무엇일까요? 클라우드의 이점을 최대한 활용하여 클라우드 환경에 최적화된 상태를 의미합니다. 디지털 네이티브, AI네이티브까지 다양한 용어들이 등장하고 있습니다. 오늘의 주제인 클라우드 네이티브는 기존의 IT 환경이 클라우드로 전환되면서 등장한 개념으로, 기업의 클라우드 도입과 디지털 전환이 확대되면서 함께 확산되고 있는 개념 중 하나입니다.클라우드 네이티브(Cloud Native)란?클라우드 네이티브란 클라우드 컴퓨팅 모델의 이점을 최대한 활용하여 정보시스템을 구축 및 실행하는 환경을 의미합니다. 즉, 단순히 기존 시스템을 클라우드 인프라로 옮기는 것이 아닌 애플리케이션을 클라우드 환경에 맞게 재설계해 개발하고 운영하는 방식입니다.2023년 10월, 행정안전부와 디지털플랫폼 정부위원회는 ‘클라우드 네이티브중심, 공공부문 정보자원 클라우드 전환 계획’을 발표하였습니다. 공공부문의 민간 SaaS활용을 촉진하고, 민간 클라우드 이용 촉진을 위한 제도 정비, 클라우드 전환 기관 역량 강화, 클라우드 민관 협력체계 구축 등도 추진할 계획이며 이를 통해 2026년에는 신규 시스템에 대한 클라우드 네이티브 적용률을 70%, SaaS적용률을 40%로 확대하는 것이 목표입니다.미국의 금융기업 S&P글로벌에서 실시한 설문조사에 따르면 클라우드 네이티브의 주요 장애물로 응답자 46%는 ‘보안’과 ‘컴플라이언스 우려’를 선정하였으며, ‘비용’이라 답한 응답자는 39%, ‘복잡성’이라 답한 응답자는 36%입니다. 또한 클라우드 네이티브 컴퓨팅 재단(CNCF)에서 진행한 설문조사 결과에 따르면 현업 부서의 65%는 클라우드 네이티브 환경을 사용한다고 답하였습니다. 클라우드 네이티브 환경은 이미 민간부문에서는 보편화되었으나, 공공부문에서는 이제 시작단계라고 합니다.NIA 한국지능정보사회진흥원1. 마이크로서비스 아키텍처(MicroService Architecture, MSA)는 애플리케이션을 독립적인 작은 기능으로 분해하여 구축하는 기술입니다.vs 컨테이너는 종속성을 가지는 기존의 VM방식에 비해 종속성 없는 애플리케이션 실행을 지원하여 다른 서비스에 영향을 주지 않고 독립적으로 관리·운영이 가능합니다.(VM)vs
-
- 24.02.14
-
IT·보안안전하게 생체정보를 활용하는 방법
이제는 중요 정보에 접근할 때 얼굴인식, 지문인식, 홍채인식 등을 통해 접근하곤 합니다. 신시웨이 뉴스룸에서는 ‘세상에 하나뿐인 비밀번호, 생체인식 정보’ 글을 통해 생체인식 정보란 무엇인지, 생체정보의 종류와 함께 개인정보보호위원회에서 공개한 「생체정보 보호 가이드라인」 을 통해 알아보았습니다. 이번 게시글에서는 생체인식정보 활용시 주의해야 할 사항과 해외에서는 어떻게 다루고 있는지를 중심으로 전달드리겠습니다. 생체정보(생체인식정보)란? 생체정보는 일반적인 ‘생체정보’와 특정 개인을 인증, 식별할 목적으로 처리되는 ‘생체인식정보’로 나눌 수 있습니다. 생체인식정보는 다시 ‘생체인식 원본정보’와 원본정보에서 일정한 기술적 수단을 통해 생성되는 ‘생체인식 특징정보’로 분류할 수 있습니다. 생체인식 원본정보와 생체인식 특징정보의 예시는 다음과 같습니다.[출처: 개인정보보호위원회 ‘생체정보 보호 가이드라인’]생체인식 사고 사례스마트폰 등 생체정보 이용 기기의 보급이 보편화되고, 코로나이후로 비대면 서비스의 활용이 증가하면서 다양한 분야에서 생체정보의 이용이 일상화되고 있습니다. 그러나 생체정보가 유출되거나 위·변조되는 사례가 발생하면서 생체정보 활용에 대한 우려가 높아지고 있습니다. 실제로 최근에는 수만건의 생체인식 데이터가 다크웹2에서 유통되고 있다는 내용이 보도되기도 했습니다. 안면인식 데이터뿐만 아니라 지문, 사용자 이름과 비밀번호가 저장되어있는 DB가 암흑의 경로에서 공유되고 있는 셈입니다. 미국에서는 과거 몇 년 동안 여러 대규모 개인정보 유출사고가 발생해 큰 이슈가 되기도 했습니다. 대표적인 사례로 바이오스타 침해사건이 있습니다. 바이오스타 침해사건은 생체인증을 저장하고 있던 서버가 보호되어있지 않고, 데이터 또한 암호화되어있지 않아 백만명의 정보가 고스란히 노출되었던 사건입니다. DB에는 23GB의 안면인식정보, 지문정보, 사용자 이름, 비밀번호가 저장되어있었다고 합니다. 이외에도 삼성전자의 갤럭시S10 지문스캐너 해킹사건이 있었습니다. 갤럭시S10 시리즈에 실리콘 케이스를 끼운 채 지문인식을 시도할 경우 기기에 저장된 지문이 아니더라도 잠금이 해제되어 논란이 있었습니다. 단계별 생체인식정보 보호조치우리나라는 2017년 바이오정보 보호 가이드라인을 발표했으며, 2021년 9월 8일 생체정보 보호 가이드라인으로 이름을 바꿔 개정하였습니다. 개정된 가이드라인에서는 생체인식정보를 처리하는 개인정보처리자의 의무를 규정하고 있습니다.[출처: 개인정보보호위원회 ‘생체정보 보호 가이드라인’]이번 글에서는 생체정보 보호 가이드라인을 통해 수집단계, 이용단계, 저장·파기단계에서 생체인식정보를 어떻게 보호해야 하는지 알아보겠습니다. 1. 수집단계 특징정보는 민감정보로 분류되기 때문에 수집 시 다른 개인정보와는 별도로 동의를 받아야 합니다. 수집 이용 동의서에는 ①수집 이용·목적, ②수집 항목, ③보유·이용기간, ④동의를 거부할 권리가 있다는 내용이 들어가야 합니다. 동의 거부에 따른 불이익이 있는 경우, 그 불이익의 내용도 포함되어야 합니다. 원본정보는 개인정보 침해 위험성이 크기 때문에, 특징정보 생성이 완료돼 원본정보의 수집·이용 목적이 달성되면 이를 지체없이 파기하는 것이 원칙입니다. 그러나 필요에 따라 원본정보를 보관해야 하는 경우, 수집·이용 동의를 받을 때 다음과 같이 목적과 보유기간, 동의여부를 구분하여 안내해야 합니다.법적 의무 사항은 없지만, 생체인식정보가 수집·입력될 때 위·변조된 생체인식정보를 이용한 공격에 대한 보안대책을 마련하는 것이 권고됩니다. 여기서 말하는 위·변조된 생체인식정보의 예시로는 인공 지문, 캡처된 얼굴·홍채 이미지, 녹음된 음성 등이 있습니다.2. 이용단계이용단계에서는 수집된 생체인식정보에 대해 사용자가 제공 및 이용 여부를 스스로 결정할 수 있도록 열람·정정·삭제 등의 통제 수단을 제공해야 합니다. 기기 제조사나 서비스 제공자는 사용자의 등록된 생체인식정보를 수정·삭제할 수 있도록 하는 기능을 제공해야 합니다. 또한 생체인식정보를 직접 수집하지 않고 스마트폰 등 기기내에서 처리된 결과를 전송받는 경우에는 이를 해지할 수 있는 기능을 제공해야 합니다. 생체인식정보를 서버로 전송해 처리할 경우, 개인정보 침해사고 발생 시 대규모 피해의 위험이 있으므로 생체인식정보를 수집·입력하는 기기 내의 안전한 영역에서 저장·처리하는 방식을 먼저 고려해야 합니다. 정보통신망을 통해 생체인식정보를 전송해야 하는 경우, 안전한 알고리즘으로 암호화한 후 전송해야 합니다. 3. 저장·파기단계생체인식정보는 저장 시 안전한 알고리즘으로 암호화해 저장해야 합니다. 암호화를 할 때 사용한 암호키는 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립하고 이에 따라 관리해야 합니다. 또한 보유·이용기간이 지나거나 처리 목적이 달성된 경우, 해당 생체인식정보는 지체없이 파기되어야 합니다.특징정보 생성 이후 예외적으로 원본정보를 파기하지 않고 보관하는 경우에는 다른 개인정보와 물리적/논리적으로 분리해 별도로 저장하는 것을 권고합니다. 이는 원본정보가 유출되었을 때 발생할 수 있는 피해를 최소화하기 위함인데요. 관리시에도 원본정보와 다른 개인정보를 매핑하는 공통 식별자는 임의의 값을 사용하도록 권고합니다. 이는 식별자를 통해 원본정보에 해당하는 개인정보가 식별되지 않도록 하기 위한 것입니다. 생체인식정보 관련 해외 입법 동향 미국은 연방차원의 법률은 아직 없으나, 생체정보 및 안면인식 규제·금지를 위한 법안이 다수 발의되었습니다. 미국 일리노이주에서는 2008년 미국 최초로 생체정보 관련 법률을 제정하였습니다. 미국 일리노이주에서 채택한 「생체인식정보 보호법」에 따르면 민간기업이 생체인식정보를 수집·거래하려면 정보주체의 서면 동의가 필요합니다. 미국의 「공무원의 안면감시 시스템 사용규제를 통한 개인정보 보호 및 보안강화에 관한 법률」은 현재 미국 내에서 안면인식정보 관리가 가장 엄격한 법률로 알려져 있습니다. 공무원이 안면감시 시스템 및 데이터를 수집·보유·사용 등을 하거나, 제3자에게 수집·사용 등을 허가하는 것을 금지하고 있으나, 중대범죄수사 등에는 예외를 두고 있습니다. 유럽연합(EU)의 개인정보보호법 GDPR에서는 생체정보를 별도로 정의하고 있으며, 생체인식정보를 민감정보의 하나로 규정하고 있습니다. GDPR 제9조 제1항에서는 개인을 고유하게 식별할 수 있는 생체정보를 민감정보 중 하나로 규정하고 있습니다. 또한 민감정보는 정보주체의 명시적 동의 획득 등의 경우를 제외하고는 원칙적으로 처리가 금지됩니다.유럽의회는 2023년 6월 14일 「인공지능에 관한 통일규범의 제정 및 일부 연합제정법들의 개정을 위한 법안」의 수정안을 채택하였습니다. 수정안에서는 공공장소에서 생체인식기술을 사용해 시민을 감시하거나 수사에 활용하는 것을 전면 금지하였습니다. 지금까지 생체인식정보의 안전한 활용 방안과 국내외 입법 동향에 대해 알아보았습니다. 정보통신산업진흥원의 보고서에 따르면 글로벌 생체인식 시장은 2028년까지 연평균성장률 15%를 기록하며 약 1,050억 달러 규모로 성장할 것으로 전망하였습니다. 또한 코로나19 펜데믹으로 인한 비대면 서비스로의 전환 확대와 기술 발달 등으로 생체정보의 활용 분야가 다양해지고 있습니다. 그러나 동시에 개인의 자유와 권리 침해에 대한 우려도 높아지고 있는데요. 생체정보는 그 자체로 개인식별이 가능한 유일성과, 변경이 불가능한 불변성을 지닌 정보이기 때문에 다른 개인정보보다 더욱 안전하게 취급해야 합니다. 우리나라는 아직 미국, 유럽 등 해외 주요국에 비해 생체정보 보호와 관련한 법률이 충분하지 않지만, 정부에서는 2023년 6월 발표한 개인정보보호 기본계획(2024~2026)의 과제 중 하나로 ‘생체인식 서비스 활성화에 따른 개인정보 법제도 기반 마련’을 포함하였습니다. 생체정보의 활용이 증가하는 만큼 생체정보를 안전하게 활용하기 위한 법령과 가이드라인이 지속적으로 업데이트 되고 있으니, 기업 내부에서도 생체정보 처리에 대한 적절한 관리체계를 수립해야 하며, 생체정보를 제공하는 개인도 이에 대한 숙지가 필요합니다.출처 및 참고자료개인정보보호위원회, 「생체정보 보호 가이드라인」 국회입법조사처, 「생체정보의 안전한 활용을 위한 입법 과제」
-
- 24.02.01
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.