-
IT·보안이젠 신분증도 모바일 시대!
이제는 스마트폰 하나로 모든 것이 가능한 시대입니다. 실물 카드가 없어도 간편결제로 물건을 살 수 있고, 대중교통도 이용할 수 있습니다. 2025년부터는 스마트폰에 주민등록증이 담긴다는 사실, 알고 계셨나요?행정안전부에서는 모바일 주민등록증 발급 근거를 담은 「주민등록법」일부개정법률안이 국회 본회의에서 의결되었다고 밝혔습니다. 이번 개정안은 모바일 주민등록증 도입, 다른 사람의 주민등록증의 이미지 파일 또는 복사본을 부정하게 사용한 자에 대한 처벌 등의 내용입니다.2025년 1월부터 실물 주민등록증을 발급받은 사람이 희망하는 경우 가까운 주민센터를 방문해 무료로 모바일 주민등록증을 발급받을 수 있습니다. 모바일 주민등록증은 정부24앱에서 개인정보 확인절차를 밟은 뒤 서비스를 이용할 수 있습니다. 민원서류 접수·발급뿐만 아니라 성인 여부 확인, 공항 탑승, 개인간 본인여부 확인이 가능합니다. 모바일 주민등록증, 안전할까?모바일 운전면허증, 행정안전부모바일 주민등록증은 1인 1개의 단말기에만 암호화된 형태로 저장되며, 실물 주민등록증과 같은 효력을 가집니다. 따라서 생체인증 등 인증을 거치지 않은 경우 열람할 수 없도록 설계됩니다. 행정안전부에서는 스마트폰 분실을 대비하여 전용 콜센터와 홈페이지를 통해 분실 신고를 받고, 분실신고 즉시 사용을 중단시켜 도난과 도용을 예방할 예정입니다. 실제로 이미 상용화된 모바일 운전면허증에서는 개인정보 보호를 위해 사진과 성명, 생년월일만 표시됩니다. 또한 QR코드를 통해 진위를 검증하고 신원확인 기록이 남지 않습니다. 이처럼 모바일 신분증을 통해 모든 개인정보가 노출되는 것이 아닌 필요한 정보만 선택하여 제공할 수 있기 때문에 정보 주체로서의 권리를 실현할 수 있습니다.현재 스마트폰에 등록하여 사용 가능한 모바일 신분증은 모바일 운전면허증, 모바일 국가보훈등록증으로, 2025년부터 모바일 주민등록증으로 확대될 예정입니다. 17세이상 전 국민이 사용하는 주민등록증에 모바일 신분증을 도입하게 됨으로써 모바일 신분증의 대중화가 본격화될 것으로 기대됩니다. 출처 및 참고자료모바일 신분증 홈페이지행정안전부 보도자료, 「2025년부터 스마트폰에 주민등록증을 담는다」
-
- 24.02.27
-
IT·보안클라우드 네이티브란?
클라우드 네이티브(Cloud Native)에 대해 들어보셨나요? ‘영어를 네이티브(Native)하게 한다’는 표현은 영어를 원어민처럼 구사할 줄 안다는 표현입니다. 그렇다면 클라우드 네이티브는 무엇일까요? 클라우드의 이점을 최대한 활용하여 클라우드 환경에 최적화된 상태를 의미합니다. 디지털 네이티브, AI네이티브까지 다양한 용어들이 등장하고 있습니다. 오늘의 주제인 클라우드 네이티브는 기존의 IT 환경이 클라우드로 전환되면서 등장한 개념으로, 기업의 클라우드 도입과 디지털 전환이 확대되면서 함께 확산되고 있는 개념 중 하나입니다.클라우드 네이티브(Cloud Native)란?클라우드 네이티브란 클라우드 컴퓨팅 모델의 이점을 최대한 활용하여 정보시스템을 구축 및 실행하는 환경을 의미합니다. 즉, 단순히 기존 시스템을 클라우드 인프라로 옮기는 것이 아닌 애플리케이션을 클라우드 환경에 맞게 재설계해 개발하고 운영하는 방식입니다.2023년 10월, 행정안전부와 디지털플랫폼 정부위원회는 ‘클라우드 네이티브중심, 공공부문 정보자원 클라우드 전환 계획’을 발표하였습니다. 공공부문의 민간 SaaS활용을 촉진하고, 민간 클라우드 이용 촉진을 위한 제도 정비, 클라우드 전환 기관 역량 강화, 클라우드 민관 협력체계 구축 등도 추진할 계획이며 이를 통해 2026년에는 신규 시스템에 대한 클라우드 네이티브 적용률을 70%, SaaS적용률을 40%로 확대하는 것이 목표입니다.미국의 금융기업 S&P글로벌에서 실시한 설문조사에 따르면 클라우드 네이티브의 주요 장애물로 응답자 46%는 ‘보안’과 ‘컴플라이언스 우려’를 선정하였으며, ‘비용’이라 답한 응답자는 39%, ‘복잡성’이라 답한 응답자는 36%입니다. 또한 클라우드 네이티브 컴퓨팅 재단(CNCF)에서 진행한 설문조사 결과에 따르면 현업 부서의 65%는 클라우드 네이티브 환경을 사용한다고 답하였습니다. 클라우드 네이티브 환경은 이미 민간부문에서는 보편화되었으나, 공공부문에서는 이제 시작단계라고 합니다.NIA 한국지능정보사회진흥원1. 마이크로서비스 아키텍처(MicroService Architecture, MSA)는 애플리케이션을 독립적인 작은 기능으로 분해하여 구축하는 기술입니다.vs 컨테이너는 종속성을 가지는 기존의 VM방식에 비해 종속성 없는 애플리케이션 실행을 지원하여 다른 서비스에 영향을 주지 않고 독립적으로 관리·운영이 가능합니다.(VM)vs
-
- 24.02.14
-
IT·보안안전하게 생체정보를 활용하는 방법
이제는 중요 정보에 접근할 때 얼굴인식, 지문인식, 홍채인식 등을 통해 접근하곤 합니다. 신시웨이 뉴스룸에서는 ‘세상에 하나뿐인 비밀번호, 생체인식 정보’ 글을 통해 생체인식 정보란 무엇인지, 생체정보의 종류와 함께 개인정보보호위원회에서 공개한 「생체정보 보호 가이드라인」 을 통해 알아보았습니다. 이번 게시글에서는 생체인식정보 활용시 주의해야 할 사항과 해외에서는 어떻게 다루고 있는지를 중심으로 전달드리겠습니다. 생체정보(생체인식정보)란? 생체정보는 일반적인 ‘생체정보’와 특정 개인을 인증, 식별할 목적으로 처리되는 ‘생체인식정보’로 나눌 수 있습니다. 생체인식정보는 다시 ‘생체인식 원본정보’와 원본정보에서 일정한 기술적 수단을 통해 생성되는 ‘생체인식 특징정보’로 분류할 수 있습니다. 생체인식 원본정보와 생체인식 특징정보의 예시는 다음과 같습니다.[출처: 개인정보보호위원회 ‘생체정보 보호 가이드라인’]생체인식 사고 사례스마트폰 등 생체정보 이용 기기의 보급이 보편화되고, 코로나이후로 비대면 서비스의 활용이 증가하면서 다양한 분야에서 생체정보의 이용이 일상화되고 있습니다. 그러나 생체정보가 유출되거나 위·변조되는 사례가 발생하면서 생체정보 활용에 대한 우려가 높아지고 있습니다. 실제로 최근에는 수만건의 생체인식 데이터가 다크웹2에서 유통되고 있다는 내용이 보도되기도 했습니다. 안면인식 데이터뿐만 아니라 지문, 사용자 이름과 비밀번호가 저장되어있는 DB가 암흑의 경로에서 공유되고 있는 셈입니다. 미국에서는 과거 몇 년 동안 여러 대규모 개인정보 유출사고가 발생해 큰 이슈가 되기도 했습니다. 대표적인 사례로 바이오스타 침해사건이 있습니다. 바이오스타 침해사건은 생체인증을 저장하고 있던 서버가 보호되어있지 않고, 데이터 또한 암호화되어있지 않아 백만명의 정보가 고스란히 노출되었던 사건입니다. DB에는 23GB의 안면인식정보, 지문정보, 사용자 이름, 비밀번호가 저장되어있었다고 합니다. 이외에도 삼성전자의 갤럭시S10 지문스캐너 해킹사건이 있었습니다. 갤럭시S10 시리즈에 실리콘 케이스를 끼운 채 지문인식을 시도할 경우 기기에 저장된 지문이 아니더라도 잠금이 해제되어 논란이 있었습니다. 단계별 생체인식정보 보호조치우리나라는 2017년 바이오정보 보호 가이드라인을 발표했으며, 2021년 9월 8일 생체정보 보호 가이드라인으로 이름을 바꿔 개정하였습니다. 개정된 가이드라인에서는 생체인식정보를 처리하는 개인정보처리자의 의무를 규정하고 있습니다.[출처: 개인정보보호위원회 ‘생체정보 보호 가이드라인’]이번 글에서는 생체정보 보호 가이드라인을 통해 수집단계, 이용단계, 저장·파기단계에서 생체인식정보를 어떻게 보호해야 하는지 알아보겠습니다. 1. 수집단계 특징정보는 민감정보로 분류되기 때문에 수집 시 다른 개인정보와는 별도로 동의를 받아야 합니다. 수집 이용 동의서에는 ①수집 이용·목적, ②수집 항목, ③보유·이용기간, ④동의를 거부할 권리가 있다는 내용이 들어가야 합니다. 동의 거부에 따른 불이익이 있는 경우, 그 불이익의 내용도 포함되어야 합니다. 원본정보는 개인정보 침해 위험성이 크기 때문에, 특징정보 생성이 완료돼 원본정보의 수집·이용 목적이 달성되면 이를 지체없이 파기하는 것이 원칙입니다. 그러나 필요에 따라 원본정보를 보관해야 하는 경우, 수집·이용 동의를 받을 때 다음과 같이 목적과 보유기간, 동의여부를 구분하여 안내해야 합니다.법적 의무 사항은 없지만, 생체인식정보가 수집·입력될 때 위·변조된 생체인식정보를 이용한 공격에 대한 보안대책을 마련하는 것이 권고됩니다. 여기서 말하는 위·변조된 생체인식정보의 예시로는 인공 지문, 캡처된 얼굴·홍채 이미지, 녹음된 음성 등이 있습니다.2. 이용단계이용단계에서는 수집된 생체인식정보에 대해 사용자가 제공 및 이용 여부를 스스로 결정할 수 있도록 열람·정정·삭제 등의 통제 수단을 제공해야 합니다. 기기 제조사나 서비스 제공자는 사용자의 등록된 생체인식정보를 수정·삭제할 수 있도록 하는 기능을 제공해야 합니다. 또한 생체인식정보를 직접 수집하지 않고 스마트폰 등 기기내에서 처리된 결과를 전송받는 경우에는 이를 해지할 수 있는 기능을 제공해야 합니다. 생체인식정보를 서버로 전송해 처리할 경우, 개인정보 침해사고 발생 시 대규모 피해의 위험이 있으므로 생체인식정보를 수집·입력하는 기기 내의 안전한 영역에서 저장·처리하는 방식을 먼저 고려해야 합니다. 정보통신망을 통해 생체인식정보를 전송해야 하는 경우, 안전한 알고리즘으로 암호화한 후 전송해야 합니다. 3. 저장·파기단계생체인식정보는 저장 시 안전한 알고리즘으로 암호화해 저장해야 합니다. 암호화를 할 때 사용한 암호키는 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립하고 이에 따라 관리해야 합니다. 또한 보유·이용기간이 지나거나 처리 목적이 달성된 경우, 해당 생체인식정보는 지체없이 파기되어야 합니다.특징정보 생성 이후 예외적으로 원본정보를 파기하지 않고 보관하는 경우에는 다른 개인정보와 물리적/논리적으로 분리해 별도로 저장하는 것을 권고합니다. 이는 원본정보가 유출되었을 때 발생할 수 있는 피해를 최소화하기 위함인데요. 관리시에도 원본정보와 다른 개인정보를 매핑하는 공통 식별자는 임의의 값을 사용하도록 권고합니다. 이는 식별자를 통해 원본정보에 해당하는 개인정보가 식별되지 않도록 하기 위한 것입니다. 생체인식정보 관련 해외 입법 동향 미국은 연방차원의 법률은 아직 없으나, 생체정보 및 안면인식 규제·금지를 위한 법안이 다수 발의되었습니다. 미국 일리노이주에서는 2008년 미국 최초로 생체정보 관련 법률을 제정하였습니다. 미국 일리노이주에서 채택한 「생체인식정보 보호법」에 따르면 민간기업이 생체인식정보를 수집·거래하려면 정보주체의 서면 동의가 필요합니다. 미국의 「공무원의 안면감시 시스템 사용규제를 통한 개인정보 보호 및 보안강화에 관한 법률」은 현재 미국 내에서 안면인식정보 관리가 가장 엄격한 법률로 알려져 있습니다. 공무원이 안면감시 시스템 및 데이터를 수집·보유·사용 등을 하거나, 제3자에게 수집·사용 등을 허가하는 것을 금지하고 있으나, 중대범죄수사 등에는 예외를 두고 있습니다. 유럽연합(EU)의 개인정보보호법 GDPR에서는 생체정보를 별도로 정의하고 있으며, 생체인식정보를 민감정보의 하나로 규정하고 있습니다. GDPR 제9조 제1항에서는 개인을 고유하게 식별할 수 있는 생체정보를 민감정보 중 하나로 규정하고 있습니다. 또한 민감정보는 정보주체의 명시적 동의 획득 등의 경우를 제외하고는 원칙적으로 처리가 금지됩니다.유럽의회는 2023년 6월 14일 「인공지능에 관한 통일규범의 제정 및 일부 연합제정법들의 개정을 위한 법안」의 수정안을 채택하였습니다. 수정안에서는 공공장소에서 생체인식기술을 사용해 시민을 감시하거나 수사에 활용하는 것을 전면 금지하였습니다. 지금까지 생체인식정보의 안전한 활용 방안과 국내외 입법 동향에 대해 알아보았습니다. 정보통신산업진흥원의 보고서에 따르면 글로벌 생체인식 시장은 2028년까지 연평균성장률 15%를 기록하며 약 1,050억 달러 규모로 성장할 것으로 전망하였습니다. 또한 코로나19 펜데믹으로 인한 비대면 서비스로의 전환 확대와 기술 발달 등으로 생체정보의 활용 분야가 다양해지고 있습니다. 그러나 동시에 개인의 자유와 권리 침해에 대한 우려도 높아지고 있는데요. 생체정보는 그 자체로 개인식별이 가능한 유일성과, 변경이 불가능한 불변성을 지닌 정보이기 때문에 다른 개인정보보다 더욱 안전하게 취급해야 합니다. 우리나라는 아직 미국, 유럽 등 해외 주요국에 비해 생체정보 보호와 관련한 법률이 충분하지 않지만, 정부에서는 2023년 6월 발표한 개인정보보호 기본계획(2024~2026)의 과제 중 하나로 ‘생체인식 서비스 활성화에 따른 개인정보 법제도 기반 마련’을 포함하였습니다. 생체정보의 활용이 증가하는 만큼 생체정보를 안전하게 활용하기 위한 법령과 가이드라인이 지속적으로 업데이트 되고 있으니, 기업 내부에서도 생체정보 처리에 대한 적절한 관리체계를 수립해야 하며, 생체정보를 제공하는 개인도 이에 대한 숙지가 필요합니다.출처 및 참고자료개인정보보호위원회, 「생체정보 보호 가이드라인」 국회입법조사처, 「생체정보의 안전한 활용을 위한 입법 과제」
-
- 24.02.01
-
IT·보안AI시대, 인공지능의 규제
2023년은 AI에 대한 관심이 그 어느때보다 뜨거웠습니다. 특히 챗GPT를 시작으로 각종 빅테크 기업에서 생성형(Generative)AI에 대한 연구·개발이 이루어지기도 했습니다.AI는 우리 삶을 편리하게 해주지만, 예기치 못한 변수를 만들기도 합니다. 대표적으로 AI를 통한 허위정보 생성, 차별적 발언, 개인정보 유출, 딥페이크 피싱, 보안이슈 등의 문제가 있습니다. 이러한 문제들 때문에 세계각국에서는 AI로 인한 문제들을 예방하고, AI를 올바르게 사용하기 위한 규제를 시행하고 있습니다.생성형 AI, 어떤 문제가 있을까?생성형 AI의 가장 큰 문제는 환각 현상(할루시네이션, Hallucination)입니다. 환각 현상은 생성형 AI가 사실과 관련 없는 정보를 생성하는 것을 뜻하며, AI가 정보를 처리하는 과정에서 발생하는 대표적 오류입니다. 특히 챗GPT에 일어난 적이 없는 역사적 사건을 질문하면 챗GPT는 그 사건과 유사한 사건을 학습한 데이터를 기반으로 그럴듯하지만 잘못된 대답을 생성합니다. 이러한 할루시네이션은 잘못된 정보의 확산 및 윤리적·도덕적 문제로 이어질 수 있습니다.이에 세계적인 국제학술지 네이처(Nature)에서는 지난 6월 생성형AI를 사용한 사진, 비디오, 일러스트, 그래프 이미지 등의 게재를 금지하였습니다. 네이처에서는 법적 저작권 문제 및 허위 정보 확산이 가속화될 수 있어 생성형 AI를 활용해 얻은 데이터나 이미지 사용을 금지하였습니다.생성형AI를 통해 제작된 허위 뉴스를 통한 거짓 정보 확산의 위험도 있습니다. 실제로 미국에서는 특정 집단이 생성형 AI를 통해 바이든 대통령의 음성을 조작하였습니다. 원본 비디오 영상에서는 “우크라이나를 돕기 위해 탱크를 지원하자”는 발언이었으나, 음성 생성AI기술을 통해 트랜스젠더에 대해 비난하는 발언으로 변형되었습니다. 출처: Youtube, SBS뉴스이렇듯 AI로 인해 파생되는 다양한 문제를 해결하기 위해 국제기구·각국의 정부·기업 차원에서 노력을 기울이고 있습니다.유럽의 AI Act2021년 유럽연합위원회(EC)는 AI를 위한 규제 및 법적 프레임워크를 처음으로 제안하였습니다. 이후 2023년 12월 8일 유럽연합 집행위원회(EC)와 유럽의회, EU 27개 회원국 대표는 AI법안에 합의하며 세계 최초로 인공지능 규제를 위한 법 ‘AI Act’를 통과시켰습니다. AI Act는 오는 2026년부터 시행 예정이며, AI를 겨냥한 첫 법률로, 챗GPT와 같은 생성형 AI를 포함한 얼굴 인식, 지문스캔 등 생체인증 툴에 대한 규제도 포함하고 있습니다. AI Act는 AI의 위험성을 분류하고, 투명성을 강화하며, 규정을 준수하지 않는 기업에 벌금을 부과하는 내용 등이 담겨습니다. 이외에도 AI에 대한 포괄적인 규제를 위해 기업에서 준수해야할 내용으로 기술문서작성, EU저작권법 준수, 훈련에 사용된 콘텐츠에 대해 요약을 구체적으로 제공하는 것 등을 포함하고 있습니다. 규정을 위반하는 기업은 750만 유로(약 107억원)에서 최대 3500만유로(약497억원)또는 전 세계 매출 대비 7%에 이르는 벌금을 부과받습니다. 이를 구글이나 마이크로소프트와 같은 기업에 적용할 경우 벌금만 수십억달러(수조원)에 이르는 금액입니다.국내의 인공지능관련 규제 개인정보보호위원회는 2023년 ‘인공지능시대 안전한 개인정보 활용 정책방향’을 발표하였습니다. 해당 정책은 AI를 통한 프라이버시 침해 위험은 최소화하면서, AI의 발전에 필요한 데이터는 안전하게 활용하는 것에 중점을 둔 정책입니다. 이외에도 인공지능 데이터에 관한 개인정보 강화 및 고위험군 인공지능에 대한 규제 필요성에 따라 아래와 같은 법안들이 발의되기도 했습니다.이외에도 미국에서는 AI가 미칠 사회·경제적 타격을 줄이기 위해 연방정부 차원의 조치를 도입한다고 발표하였습니다. AI로 인해 대체될 인간의 일자리에 대해 조사하고, AI가 주도하는 채용 시스템이 각종 차별을 만들지 못하도록 방지하는 지침을 작성할 것으로 보입니다. 또한 개인정보 보호와 관련하여 연방정부가 AI를 활용해 시민들의 정보를 수집할 때 AI기술이 어떻게 사용되는지 공개하도록 하는 내용이 담길 예정이라고 합니다.구글, 메타, MS 등 AI기업7곳에서는 AI로 생성·변조된 음성·영상 콘텐츠를 사용자가 구별할 수 있도록 도와주는 ‘디지털 워터마킹’시스템을 개발할 것임을 밝혔습니다. 디지털 워터마킹이란 사진 등의 데이터에 저작권 등의 정보를 삽입하여 관리하는 기술을 뜻합니다. 특히 AI를 활용한 거짓 사진이나 영상이 다가오는 미국 대선에 영향을 미칠 수 있어 구글에서는 미국 대선 콘텐츠에 AI기술이 쓰였을 경우 이를 밝히도록 요구할 예정입니다.
-
- 24.01.23
-
IT·보안개인정보 처리방침이란?
우리가 인터넷 서비스를 이용할 때 개인정보와 관련하여 ‘동의’와 더불어 가장 많이 접하는 항목은 ‘개인정보 처리방침’ 입니다. 개인정보 처리방침이란 무엇이며, 개인정보 처리 방침 작성 시 법적으로 준수해야 할 사항에는 어떤 것들이 있을까요?개인정보 처리방침이란?개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 개인정보보호법에 따른 기재사항을 포함하여 문서화한 것을 말합니다. 개인정보보호법 제30조에 따르면 모든 개인정보처리자에게는 개인정보 처리방침을 수립 및 공개할 의무가 있습니다. 또한 고객 개인정보를 보유한 개인정보 처리자뿐만 아니라 내부 임직원의 개인정보를 수집 및 이용하는 개인정보 처리자의 경우에도 반드시 개인정보 처리방침을 수립해야 합니다.개인정보 보호법에서는 개인정보 처리자와 개인정보 처리방침에 대해 다음과 같이 명시하고 있습니다.개인정보보호법 제2조 제5호5. ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.개인정보보호법 제30조 제1항① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다.) 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.개인정보 처리방침 필수 내용개인정보보호법 제30조 제1항 및 시행령 제31조 제1항에 따라 처리방침에 필수적으로 포함되어야 하는 내용은 다음과 같습니다.1. 개인정보의 처리 목적2. 처리하는 개인정보의 항목3. 개인정보의 처리 및 보유 기간4. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만)5. 개인정보의 파기절차 및 파기방법(다른 법령에 따라 개인정보를 보존하여야 하는 경우에는 보존 근거와 보존하는 개인정보 항목)6. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만)7. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항8. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처9. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만)10. 개인정보의 안전성 확보조치에 관한 사항개인정보 처리방침 공개개인정보보호법 제30조 제2항과 개인정보보호법 시행령 제31조 제2항에 따라 개인정보처리자는 개인정보 처리방침을 인터넷에 지속적으로 게재해야 합니다. 만약 인터넷 홈페이지에 게재할 수 없는 경우에는 사업장에 게시하거나, 개인정보보호법 시행령 제31조 제3항에 명시되어 있는 대로 관보·간행물·계약서 등에 싣는 방법이 있습니다. 고객 개인정보 없이 내부 임직원의 개인정보만을 수집·이용하고 있는 개인정보 처리자의 경우에는 별도로 임직원용 개인정보 처리방침을 게재해야 합니다. 또한 수립하거나 변경한 개인정보 처리방침은 지속적으로 게시해야 하므로 개인정보처리방침을 개정한다면 이전 버전의 개인정보 처리방침도 확이 가능하도록 링크 등을 통해 공개해야 합니다. 개인정보보호법 제30조 제2항② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.개인정보보호법 시행령 제31조 제2항, 제3항③ 개인정보처리자는 법 제30조 제2항에 따라 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다.1. 개인정보 처리자의 사업장 등의 보기 쉬운 장소에 게시하는 방법2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법개인정보 처리방침은 어떻게 만드나요?개인정보 처리방침 작성이 어려운 개인정보 처리자들을 위해 개인정보 포털에서는 ‘개인정보 처리방침 만들기’ 서비스를 제공하고 있습니다. ‘개인정보 처리방침 만들기’서비스를 통해 목적과 범위에 맞는 개인정보 처리방침을 쉽게 작성할 수 있습니다. 또한 개인정보 처리방침 작성시 개인정보보호위원회와 KISA에서 공개한 개인정보처리방침 작성 가이드라인을 참고할 수 있습니다.
-
- 24.01.18
-
IT·보안2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망
과학기술정보통신부, 한국인터넷진흥원은 사이버 위협 인텔리전스 네트워크와 함께 사이버 위협에 대한 선제적 예방 및 대응체계 강화를 위해 「2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망」을 발표하였습니다. 2023년 사이버 보안 위협 보안프로그램 취약점과 SW개발자 대상 공급망 공격 확대국내에서는 온라인 금융거래를 이용하기 위해 개인용 컴퓨터에 보안 인증 프로그램을 설치해야 합니다. 또한, 기업에서 보안 강화를 위한 프로그램을 안전하게 사용하려면 수시로 보안 업데이트를 해야 합니다. 이때 필요한 프로그램을 대상으로 하는 소프트웨어 공급망 공격이 올해 특히 많이 발생하였습니다.SW공급망 공격은 초기 탐지와 조치가 어렵고 그 파급력도 크기 때문에 공격자들에게는 매우 효율적인 공격으로 이용되고 있고, 이러한 SW공급망 공격은 앞으로도 계속 증가할 것으로 예측됩니다. 개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산‘Meta’ 사칭해 기업 페이스북 계정 노리는 피싱 메일 유포텔레그램’ 업데이트 메시지? 개인정보 빼가는 해킹 메시지경찰관까지 당하는 ‘부고장 스미싱’…피해액 4년간 8배 급증포털이나 메신저 등 이용자가 많은 서비스를 정교하게 사칭하여 이용자 개인정보를 노리는 사회공학적 기법의 피싱 공격이 갈수록 진화하고 있으며, 유출된 개인정보를 이용하여 또 다른 피해로 연결되는 사례도 급증하였습니다. 실제로 2023년 피싱 사이트의 탐지 및 차단 건수는 전년대비 약 1.8배 증가하였습니다.지난 7월 텔레그램 공식 계정인 것처럼 위장한 피싱사이트를 통해 개인정보와 인증번호 입력을 요구하여 계정을 탈취하고, 탈취한 계정에 등록된 지인들에게 마치 본인이 보낸 것처럼 피싱사이트 주소를 전달하는 새로운 해킹 수법이 나타났습니다. 또한 택배 배송이나 교통범칙금, 지인부고 등을 사칭하는 문자메시지에 링크주소(URL) 클릭을 유도하여 악성파일을 설치하려는 스미싱 문자가 올해 대량 유포되는 등 문자나 메신저 채팅을 이용한 해커들의 공격도 끊임없이 확산되고 있습니다.크리덴셜 스터핑(Credentail Stuffing)이란 타 사이트에서 수집한 사용자의 계정정보를 무작위로 대입하여 로그인을 시도하는 공격방식입니다. 크리덴셜 스터핑을 통해 하나의 로그인 정보만 탈취하면 다른 계정도 함께 유출되기 때문에 위험할 수 있습니다.2023년에는 국내 기업과 기관들을 대상으로 하는 크리덴셜 스터핑 공격이 연이어 발생하였습니다. 인터파크 78만건, 한국고용정보원에서 23만건의 개인정보가 유출되었으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산되기도 했습니다. 각 기업, 기관들은 로그인 시도 횟수 제한, 2차 인증 기능 도입 등 이용자 인증 관련 보안성을 더욱 강화할 필요가 있습니다.랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박기업 내부의 산업 기밀정보 유출과 함께 데이터 암호화를 통한 복구 비용 지불을 요구하는 금전 취득 목적의 공격이 지속적으로 발생하였으며, 국가 배후의 해킹 그룹이 상대국의 중요 인프라의 운영을 방해할 목적으로 랜섬웨어 공격을 실행하기도 했습니다. KISA 침해사고 신고를 분석해보면 사이버 보안 위협은 매년 지속적으로 증가했지만 랜섬웨어 공격 건수는 작년대비 감소하였습니다.하지만 최근 랜섬웨어 공격은 주로 중소기업과 제조업종을 대상으로 하여 먼저 기업의 기밀정보를 빼내고, 운영서버와 백업서버 자료까지 찾아 암호화하여 금전을 요구하는 복합적인 방식으로 이루어졌습니다.KISA 침해사고 신고를 분석해보면, 사이버 보안 위협은 매년 지속적으로 증가했지만 랜섬웨어 공격 건수는 작년대비 감소하였습니다. 하지만 최근 랜섬웨어 공격은 주로 중소기업과 제조업종을 대상으로 기업의 기밀정보를 빼내고, 운영서버와 백업서버 자료까지 찾아 암호화하여 금전을 요구하는 복합적인 방식으로 이루어져 공격 양상이 더욱 악랄해졌습니다. 랜섬웨어 피해를 신고한 중소기업의 약 50.3%는 데이터 백업체계를 구축하였으나, 나머지 기업들은 여전히 데이터 복구에 어려움을 겪고 있는 것으로 보입니다.2024년 사이버 보안 위협 전망피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격해킹 그룹은 인터넷에 무상으로 공개된 소스 코드나 SW들을 프로그램 개발자들이 많이 이용하는것을 악용해 유명한 오픈소스를 사칭하거나 변조된 코드를 배포하여 개발자 대상 공격을 확대해 나갈 것입니다. SW공급망을 통한 공격 시도도 계속 증가할 것으로 보이며, SW제작과 운영단계에서 악성코드가 포함되어 배포되면 고객사 등 다른 이용자에게도 연쇄적인 피해를 줄 수 있습니다.생성형 AI를 악용한 사이버 범죄 가능성 증가챗GPT를 화두로 한 생성형 인공지능(AI)기술의 급속한 발전은 다양한 분야에서 혁신을 가져왔습니다. 그러나 생성형 AI는 사용자가 보안에 대한 전문적인 지식이 없더라도 손쉽게 악성코드 제작뿐 아니라 취약점 확인, 음성 위변조 등 다양한 사이버 공격에 악용될 수 있는 위험성도 내포하고 있습니다.실제로 공격 대상이 쉽게 속을 수 있도록 정교하게 이메일 본문을 작성하고, 악성 프로그램을 제작해주는 등 피싱 이메일 공격을 도와주는 생성형 인공지능(AI)기반의 사이버 범죄 도구가 최근 발견되기도 했습니다. 이에 따라 생성형 인공지능(AI)을 악용하는 사이버 범죄에 적극적으로 대응할 수 있는 관련 보안기술의 필요성도 높아지고 있습니다.정치, 사회적 이슈를 악용하는 사이버 위협 고조2024년은 국내외 대규모 정치적 행사가 예정되어있습니다. 한국의 국회의원 총선거, 미국의 대통령 선거 등이 예정되어 있어 그 어느 해보다도 정치, 사회적으로 많은 이슈와 관심이 집중될 것으로 예상됩니다. 이처럼 국가적인 중요한 행사가 있을 때 사회 혼란을 노리는 사이버 위협 가능성도 함께 높아집니다. 해킹 그룹은 목표물을 공격하기 위한 사전작업으로 목표 관계자와 주변을 SNS로 확인하고, 피싱 공격, 악성코드 감염, 해킹 등을 통해 얻은 시스템 관리자 등의 계정정보를 이용합니다. 지금까지 과학기술정보통신부와 KISA에서 발표한 2023년 사이버 보안 위협 분석 및 2024년 전망에 대해 알아보았습니다. 공격자들은 사회, 경제 전반의 디지털 전환 흐름에 따라 새로운 취약점을 찾아 진화하고 있다고 합니다. 따라서 기관, 기업 등 조직은 단순히 보안시스템을 도입하는 것을 넘어 만일의 상황에 대비하여 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 반복하여 점검하고 강화해야 할 것입니다.출처 및 참고자료2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망
-
- 24.01.02
-
IT·보안잊고있던 인터넷 서비스, 탈퇴해야 할까?
회원가입 후 오랫동안 로그인하지 않은 서비스나 앱에서 휴면전환 혹은 탈퇴 대상이라는 메일을 받으신 적 있으실텐데요, 이제는 휴면 전환 혹은 탈퇴가 아닌 ‘휴면 계정 해제 안내’ 메일을 받게 될 것입니다.개인정보 유효기간제 폐지2023년 9월 시행된 개인정보보호법 개정안에서는 1년동안 인터넷 서비스를 이용하지 않을 경우 의무적으로 파기되던 유효기간제가 폐지되었습니다. 기존에는 개인정보보호법 제39조의 6항과 48조의 5항에 의거하여 장기 미접속 사용자의 계정을 다른 이용자의 개인정보와 분리하여 별도로 저장, 관리하거나 개인정보를 파기해야 했고, 이를 시행하지 않을 경우 과태료 등의 패널티를 받아야 했습니다.개인정보보호법 제39조의6(개인정보의 파기에 대한 특례)① 정보통신서비스 제공자 등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. ② 정보통신서비스 제공자 등은 제1항의 기간 만료 30일전까지 개인정보가 파기되는 사실, 기간만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다. 개인정보보호법 제48조의 5(개인정보의 파기 등에 관한 특례)① 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제39조의6제1항의 기간 동안 이용하지 않는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장 · 관리해야 한다. 다만, 법 제39조의6제1항 본문에 따른 기간(법 제39조의6제1항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존해야 하는 경우에는 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장 · 관리해야 한다.② 정보통신서비스 제공자등은 제1항에 따라 개인정보를 별도로 저장 · 관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공해서는 안 된다.③ 법 제39조의6제2항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다.1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장 · 관리하는 경우: 개인정보가 분리되어 저장 · 관리되는 사실, 기간 만료일 및 분리 · 저장되어 관리되는 개인정보의 항목개정된 법령에서는 위의 법령이 폐지되어 장기 미접속 유저일지라도 개인정보를 함부로 삭제할 수 없습니다. 즉, 온라인 서비스 업체에서는 회원이 자발적으로 탈퇴하지 않는 이상 개인정보를 삭제할 수 없게 되었습니다.개인정보 유효기간제 폐지 배경개인정보 유효기간제에서는 정보주체와 개인정보처리자의 의사와 무관하게 1년이 지나면 무조건 파기 또는 별도 분리 보관하도록 함으로써 정보주체의 개인정보 자기결정권을 제한하는 문제가 있었습니다. 특히 코로나 19상황에서 해외여행이 제한되어 1년동안 면세점 온라인 서비스 미이용자의 경우, 관련 개인정보가 파기되어 이용자와 기업 모두 불편을 겪는 사례가 발생하기도 했습니다. 온라인 사업자와 이용자의 주의사항온라인 사업자는 개별 서비스의 특성에 맞게 미이용 기준기간을 조정하는 등 휴면정책을 개편하고 이를 이용자들에게 안내해야 합니다. 또한 기존에 별도로 분리 보관하던 정보를 이용고객의 개인정보와 통합 관리하되 휴면고객의 특성에 맞는 안전조치 방안이 필요합니다.이용자들에게 알릴 때에는 해당 개인정보를 파기하는 것인지, 별도 분리하여 보관하던 개인정보를 통합하려는 것인지를 명확하게 기재하여 알리고, 정보주체가 이의를 제기할 수 있는 방법도 함께 알려야 합니다. 특히 개인정보보호법 개정으로 인해 휴면정책을 변경한다는 사실과, 이에 따라 정보주체가 개인정보 파기 또는 서비스 계속 이용 여부를 선택할 수 있다는 사실을 명확히 알려야 합니다. 또한, 일반회원과 휴면회원의 데이터베이스를 통합할 때에는 다음과 같은 사항들을 주의해야 합니다. 1) 회원가입 시 동의받은 내용과 현재 내용간 변경된 사항이 있는 경우, 변경된 사항에 대한 추가 동의, 2) 마케팅을 위한 광고성 정보를 전송하려는 경우 수신 동의 여부 확인, 3) 다른 법률에 따라 개인정보를 일정기간 이상 보관해야 하는 경우 분리 보관 유의, 4) 휴면상태 이용자의 경우 본인 여부 확인 절차 마련 등의 보호조치들을 검토하여야 합니다.한편, 이용자들은 온라인사업자로부터 오랫동안 미이용한 서비스에 대한 유효기간제 폐지 관련 안내를 받았다면 해당 안내 내용을 꼼꼼히 살펴보고 자신이 이용하지 않는 인터넷 서비스를 계속해서 이용할지, 탈퇴하여 개인정보를 파기할지 신중하게 결정해야 합니다. 사용하지 않는 웹사이트 탈퇴 방법 더 이상 이용하지 않는 사이트를 탈퇴하려면 개인정보보호위원회에서 운영하는 웹사이트 회원탈퇴 서비스를 이용해보는 것은 어떨까요? 개인정보보호 종합 포털> 개인서비스 > 웹사이트 회원탈퇴에서 가능합니다.웹사이트 회원탈퇴 서비스는 명의도용이 의심되거나 더 이상 이용을 원하지 않는 불필요한 웹사이트를 탈퇴처리 가능합니다. 본인인증 및 실명인증을 진행한 후 조회되는 리스트에서 원하는 웹사이트를 탈퇴처리 할 수 있습니다. 출처 및 참고자료 개인정보보호위원회 – (보도참고) 오랫동안 이용하지 않는 인터넷서비스, 계속 이용할지, 탈퇴할지 꼭 확인하세요!
-
- 23.12.14
-
IT·보안세상에 하나뿐인 비밀번호, 생체 인식 정보
수많은 패턴의 비밀번호를 일일이 기억하던 때는 지났습니다. 세상에 하나뿐인 비밀번호 생체 인식으로 대체 가능하기 때문입니다. 생체인식은 1개 또는 그 이상의 본질적 또는 내재적인 신체, 행동양식에 기초하여 사람을 고유하게 식별하는 정보를 의미합니다. 생체인식 정보는 전통적인 인증방식 패스워드보다 안전하고, 따로 기억할 필요가 없어 편리하다는 장점이 있습니다. 우리가 알고있는 지문인식과 안면인식 이외에도 다양한 생체정보를 활용한 기술들이 확대되고 있는데요. 특히 코로나19 이후로 비대면 서비스 전환이 증가하면서 생체정보 인식 기술은 보편화되고 있습니다. 생체정보 보호 가이드라인 개정 2021년 9월 8일 개인정보보호위원회는 지문, 얼굴, 정맥, 홍체 등 생체정보의 보호와 안전한 활용을 위한 「생체정보 보호 가이드라인」을 개정하여 공개하였습니다. 생체정보 보호 가이드라인에서는 다음과 같은 내용들이 개정되었습니다.용어 및 개념을 명확화하였습니다. 기존 ‘바이오정보’에서 한글표현인 ‘생체정보’로 변경하였습니다. 또한 「개인정보의 안전성 확보조치에 관한 기준」에서 암호화 대상으로 규정하는 정보를 ‘생체인식정보’로 정의하여 암호화 범위를 명확하게 하였습니다. 생체정보란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증, 식별하거나 개인에 관한 특징(연령, 성별, 감정 등)을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보를 의미합니다. 생체 인식 정보란 생체정보 중 특정 개인을 인증, 식별할 목적으로 처리되는 정보를 의미합니다. 또한 생체 인식 정보는 개인을 인증 또는 식별하는 목적으로 수집,입력되는 ‘생체인식 원본정보’와 이로부터 특징점을 추출하는 등 기술적 수단을 통해 생성되는 ‘생체인식 특징정보’로 구분됩니다. 생체인식, 어디까지 사용해보셨나요? 지문인식 생체인식 정보 중 가장 먼저 상용화된 것은 지문입니다. 지문은 이전부터 서명을 대신해 사용해왔으며, 가장 널리 사용되고있는 생체인식정보 중 하나이기도 합니다. 현대모비스는 차량용 지문인식 스마트키 시스템을 선보이기도 했습니다. 운전석 손잡이의 지문 인식 센서로 문을 열고, 시동을 걸 땐 등록해둔 손가락으로 시동버튼을 누를 수 있습니다. 그러나 지문은 다른 생체인식 정보에 비해 유출과 복제가 쉽기 때문에 보안에 취약하다는 단점이 있습니다. 이제 생체인식은 지문을 넘어 홍채인식, 정맥인식, 음성인식 등으로 뻗어나가고 있습니다. 정맥 인식아마존에서는 아마존 원(Amazon One)이라는 손바닥 인식을 통한 결제시스템을 도입할 예정이라고 밝혔습니다. 손바닥을 이용해 결제하는 생체인식 기술로, 손바닥의 주름과 정맥을 통해 신원을 식별합니다. 결제 방법은 저장된 신용카드와 손바닥의 정보를 미리 연동시킨 후 카메라 센서에 손바닥을 스캐닝하는것입니다. 이미 시애틀지역의 스타벅스와 무인편의점 ‘아마존 고’ 등 일부 매장에는 시범운영중이며, 미국 전역에 약500개의 매장에서 이용할 수 있도록 확대적용할 예정임을 밝혔습니다. 홍채 인식사람의 홍채가 동일할 확률은 10억분의 1에 불과하며, 지문에 비해 정교한 인식이 가능합니다. 홍채 인식은 적외선 카메라로 홍채를 인식한 후, 홍채의 명암 패턴 등을 분석하여 이를 기존에 저장된 홍채 정보와 대치해 인식하는 형태입니다. 홍채 인식은 높은 보안성을 갖고 있지만, 다른 방식에 비해 인식 시간이 오래걸려 편의성이 떨어진다는 단점이 있습니다. 안면 인식우리에게 안면 인식 기술은 스마트폰의 잠금을 해제할 때 사용하는 기술(아이폰의 FACE ID)로 알려져 있습니다. 안면 인식은 카메라 촬영 또는 이미지/동영상 상의 사람 얼굴을 검출하고 특징 정보를 추출하여 신원을 식별하는 데에 사용되고 있습니다. 안면 인식 기술은 스마트폰 본인인증 이외에도 신분 확인용으로 널리 사용되고 있는데요. 일부 기업에서는 사원증 대신 안면 인식 키오스크를 회사입구에 설치하여 직원들의 근태를 확인하고 있습니다. 이외에도 경찰의 범죄자 색출, 공항/기차역 보안검색, 출입 통제 등 다양한 분야에서 활용되고 있습니다. 이제 복잡한 절차 없이 간단한 터치나 화면을 바라보는 것 만으로도 본인을 인증할 수 있게 되었습니다. 생체인증 시장은 앞으로도 확대되어, 향후에는 어떤 생체 정보가 활용될지 기대되기도 하는데요. 뛰어난 보안성과 편리성을 지닌 생체인식이지만, 변경이 불가능한 정보이며 신체 정보가 외부에 노출될 수 있는 우려점도 있습니다. 기업 내부에서도 생체정보 처리에 대한 적절한 보호조치가 필요하고, 사용자들도 주의를 기울인다면 앞으로 우리 삶에 큰 변화를 가져올 기술임은 확실합니다.출처 및 참고자료「생체정보 보호 가이드라인」, 개인정보 보호위원회
-
- 23.12.12
-
IT·보안가트너 선정 2024년 주목해야 할 주요 10개 기술 트랜드
글로벌 연구조사 기업 가트너(Gartner)에서는 ‘가트너 상위 전략 기술 트렌드’보고서를 통해 매년 주요 기술 트렌드를 발표하고 있습니다. 올해 10월 17일에 가트너가 발표한 2024년 기업들이 주목해야 할 10대 전략 기술 트렌드 보고서에서는 생성형 올해 가장 센세이션을 일으켰던 생성형 AI를 비롯한 다양한 기술 트랜드를 분석하였습니다. AI신뢰, 위험 및 보안 관리 (AI Trust, Risk and Security Management)생성형 AI의 대중화로 인해 기업뿐만 아니라 일반 대중들까지 AI에 대한 접근이 증가하고 있습니다. 그러나 AI는 아직 해결해야 할 윤리적, 사회적 문제들이 남아있습니다. AI를 이용한 가짜뉴스와 딥페이크 뿐만 아니라 챗GPT를 활용하여 팬데믹을 일으킬 수 있는 신종 감염병을 만들 수 있다는 논문이 발표되기도 했습니다. AI를 활용하여 위협적인 감염병까지 만들 수 있다는 것입니다.이와 같은 AI의 문제에 대응하기 위해 등장한 AI TRiSM은 AI Trust, Risk and Security Management의 준말로 AI의 신뢰성, 위험성 및 보안 관리를 중심으로 AI를 더욱 안전하게 활용할 수 있는 전략을 의미합니다. AI를 통제, 제어할 수 있는 적절한 안전장치가 없다면, AI가 주는 편리하고 긍정적인 면보다도 초래할 부정적 영향이 더 커질 수 있음을 고려해야 할 것입니다. 지속적인 위협 노출 관리(Continuous Threat Exposure Management/CTEM)디지털 변환과 클라우드 기반 서비스의 증가로 기업과 개인 데이터를 이전보다 훨씬 많이 보호해야 합니다. 그러나 해커들의 공격 기법은 계속 발전하여 기존의 보안 대책만으로는 부족한 실정입니다.CTEM은 기업에게 위협이 될만한 요소들을 검토하고 관리하는 것을 목표로 하는 것을 뜻합니다. 즉, 기업의 디지털 및 물리적 자산의 접근성, 노출 및 악용 가능성을 지속적으로 평가하고 관리하는 방식을 말합니다. 특히 이제는 모든 데이터가 클라우드 형태로 보관, 활용되기 때문에 CTEM 프로그램을 기반으로 기업의 예상치 못한 위험들까지 관리해야 합니다. 지속가능한 기술 (Sustainable Technology)기술의 활용이 증가함에 따라, 기술이 환경에 미치는 영향에 대한 우려가 커지고 있으며, 지속가능한 기술이 중요해졌습니다. 기업들이 지속가능한 기술을 통해 사회적, 환경적 책임을 다하는 것이 기업의 가치평가에도 점점 중요한 요소로 부각되고 있습니다. 가트너는 2027년에는 기업들이 지속가능한 기술의 영향력에 따라 보상을 얻게 될 것으로 예측하기도 했습니다.플랫폼 엔지니어링(Platform Engineering)빠르게 변화하는 기술 트렌드에 따라 기업은 유연성이 높은 기술 플랫폼이 필요합니다. 이를 효과적으로 관리하기 위해 등장한 플랫폼 엔지니어링은 기업이 제품이나 서비스를 효과적으로 제공할 수 있도록 기술적 기반을 제공합니다. 플랫폼 엔지니어링을 활용하게 되면 하나의 공통된 플랫폼을 활용함으로써 불필요한 과정을 없애고 기업의 효율성을 높일 수 있습니다. AI증강 개발 (AI-Augmented Development)생성 AI가 등장했을 때, ‘프로그래머의 종말’이 우려되기도 했습니다. 그만큼 코드 작성 속도가 빠르고 정확도도 높기 때문인데요. 그러나 가트너는 생성 AI가 프로그래머의 자리를 대체하기 보다는 도우미로서의 역할을 할 것으로 보았습니다. 특히 코딩 및 테스트 과정, 애플리케이션의 설계 과정에서 작업 효율성을 향상하고 빠르고 정확한 개발을 도울 수 있습니다. 산업 클라우드 플랫폼(Industry Cloud Platform, ICP)산업 클라우드 플랫폼은 소프트웨어(SaaS), 플랫폼(PaaS), 서비스형 인프라(IaaS)기능을 결합하여 다양한 산업에 적합한 솔루션을 제공합니다. 이를 통해 기업들은 비즈니스의 변화, 데이터의 변화, 규제 변화 등에 빠르게 대응할 수 있게 됩니다. 가트너는 2027년까지 기업들은 산업 클라우드 플랫폼을 활용하여 기업 활동을 50%이상 가속할 것으로 예상하였습니다. 지능형 애플리케이션(Intelligent Application)지능형 애플리케이션은 AI기술을 활용하여 사용자의 요구 및 환경에 유연하게 적응하는 애플리케이션을 의미합니다. 지능형 애플리케이션을 통해 기업의 비즈니스 프로세스를 최적화하고 고객 경험을 향상시킬 수 있는데요, 가트너는 지능형 애플리케이션을 향후 3년 동안 가장 큰 영향을 미칠 기술로 지목하기도 했습니다.대중화된 생성 AI(Democratized Generative AI)생성 AI는 대화, 이미지, 동영상, 음악 등 새로운 콘텐츠와 아이디어를 만들어내는 인공지능입니다. 생성형 AI의 대표적인 사례 챗GPT는 올 한해 가장 큰 이슈가 되고 있기도 합니다. 가트너는 2026년까지 80%이상의 기업이 생성형 AI를 사용하거나 생성형 AI앱을 배포할 것으로 예측하고 있습니다. 이미 많은 기업에서는 생성형 AI를 활용하고 있으며, 이제는 대중들에게도 친숙하게 사용되고 있습니다.증강-연결된 인력 (Augmented Connected Workforce)증강 - 연결된 인력은 근로자의 가치를 최적화하기 위한 전략입니다. 증강 기술을 사용하여 사용자들의 능력을 강화하고 확장하는 것을 통칭하며, 여기에는 가상 현실, 컴퓨터 비전 등 다양한 기술이 포함됩니다. 이를 통해 업무에 필요한 기술이 더 빠르게 전파될수 있게 도움을 주어 기존 인력의 효율성과 기술 활용도가 크게 향상됩니다. 가트너는 2027년까지 기업의 25%가 증강 연결된 인력을 통해 효율성을 50% 높일 수 있을 것으로 예측하였습니다. 기계 고객 (Machine Customers)마지막으로 가트너는 미래엔 사람보다 커스토봇(Custobot)이라는 기계 고객이 거래를 주도하는 세상이 올 것으로 보았습니다. 커스토봇 즉, 기계 고객은 자율적으로 협상하고 대가를 지불해 상품과 서비스를 구매할 수 있는 비인간 경제 행위자를 말합니다. 이들은 정교한 AI를 기반으로 개인의 사용자 행동, 선호도, 피드백을 적극적으로 학습하고 소비자들이 실제 제품을 소비하는 데에도 결정적인 역할을 하게 될 것입니다. 또한 이로 인해 기업들은 커스토봇을 대상으로 제품을 판매하는 등 새로운 시장이 만들어질 것입니다. 지금까지 가트너에서 제시한 2024년 전략 기술 트렌드에 대해 알아보았습니다. 가트너에서는 10가지 기술 트렌드를 아래 그림처럼 빌더의 부상(Rise of the Builders), 투자 보호(Protect Your Investment), 가치 전달(Deliver the Value)로 묶어서 설명합니다. 과거와 달리 이제는 기술 트랜드의 변화 주기가 짧아졌기 때문에 예측하는 것이 어려워졌습니다. 2023년 한해동안 큰 센세이션을 일으킨 생성형 AI 챗GPT가 대표적인 예측의 어려움을 보여줍니다. 챗GPT가 발표되기 한달 전인 2022년 10월 17일에 가트너에서 2023년 기술 트랜드 보고서를 발표했으나, 해당 보고서에서는 생성형 AI의 유행을 예측하지 못하였습니다. 그러나 가트너의 2024년 기술 예측 보고서를 통해 현재의 트랜드를 더욱 정밀히 분석하여 이를 바탕으로 미래의 변화에 대응할 수 있지 않을까요?출처 및 참고자료Your Detailed Guide to the 2024 Gartner Top 10 Strategic Technology Trends
-
- 23.11.30
-
IT·보안챗GPT 등장 1년, 생성형 AI가 가져온 변화
지금까지 글쓰기, 그림 그리기, 코딩 등의 창작 행위는 인간만이 가능한 행위로 여겨졌습니다. 그러나 인공지능(AI)의 발전과 함께 생성형 AI가 인간의 영역을 넘보는 시대가 되었습니다. 이제 생성형 AI는 챗GPT를 시작으로 새로운 기술 패러다임으로의 전환을 이끌고 있습니다. 생성형 AI란? 생성형 인공지능을 뜻하는 생성형AI(Generative AI)는 인간이 대량의 데이터를 입력하지 않아도 이미지 또는 텍스트와 같은 독창적이고 사실적인 콘텐츠를 생성합니다. 생성형 AI가 화두로 떠오르게 된 이유로는 오픈AI의 챗GPT가 큰 역할을 하였습니다. 챗GPT는 작년 출시 이후로 2개월만에 한달에 1억 명이 사용하였으며, 이젠 1주일에 1억명이 사용한다고 합니다. 생성형 AI가 가져온 변화는?업무 생산성 향상챗GPT를 업무에 활용하여 생산성을 높이는 경우가 늘어났습니다. 미국의 유명 비즈니스 매거진 ‘포춘’이 선정한 500대 기업의 92%가 챗GPT를 사용한다고도 합니다. 또한 최근 마이크로소프트(MS)는 챗GPT형태의 생성형 AI 코파일럿(Copilot)을 출시하였습니다. 코파일럿은 코드를 대신 작성해줄 뿐만 아니라 MS프로그램과 연계하여 워드, 엑셀, 파워포인트 작업을 대신 해주기도 합니다. 앞으로는 이러한 생성형 AI기술을 활용하는 근로자와 그렇지 못한 근로자간 업무 생산성의 격차가 점점 벌어질 것이라는 전망이 나오기도 합니다. 코딩 몰라도 만드는 챗봇개발자가 아니라도 누구나 AI챗봇을 만들 수 있게 되었습니다. 오픈AI는 맞춤형 AI챗봇을 만들 수 있는 유료서비스인 ‘GPT빌더’라는 서비스를 11월 9일 공개하였습니다. 원하는 목적을 설정하고, 주제에 대해 AI가 학습할 자료를 입력하면 코딩 없이도 나만의 맞춤형 챗봇을 만들 수 있습니다.구글의 생성형 AI구글 또한 생성형 AI 기반 검색 서비스(Search Generative Experience,SGE)를 한국 등 120개 국가 대상으로 확대한다고 밝히기도 했습니다. 구글의 대화형 챗봇 ‘바드’가 첫 출시부터 한국어를 지원한 데 이어, 생성형 AI의 검색 서비스도 한국어로 쓸 수 있게 된 것입니다. 생성형 AI검색은 검색결과와 함께 출처 링크를 표시하여 이용자들이 직접 정보를 확인하게 해주는 신기능입니다. GPT-4 터보 11월 6일, 오픈AI가 컨퍼런스를 통해 최신 AI모델 GPT-4터보를 발표하였습니다. GPT시리즈는 챗GPT의 기반이 되는 대규모 언어 모델로, GPT-4터보는 지난 모델에 비해 성능이 크게 개선되었습니다. GPT-4 터보의 대표적인 개선사항은 다음과 같습니다. 한 번에 입력할 수 있는 정보량 최대 16배 증가 업로드한 이미지의 내용 분석, 이미지 응답 생성 가능 텍스트를 자연스러운 오디오로 만들 수 있음 기업을 위한 미세조정과 저작권 보호 시스템 도입 이외에도 2023년 4월까지의 데이터로 훈련되어있어, 2021년 9월까지의 데이터로 학습한 기존 모델 GPT-4보다 최신 답변이 가능합니다. 또한 오픈AI에서는 일반 사용자가 직접 나만의 챗GPT를 만들 수 있는 서비스 GPTs를 공개하였습니다. GPTs는 코딩없이 일상적인 언어로 프로그래밍 가능하며, 오픈 AI는 해당 서비스를 GPT스토어에 업로드하여 거래 가능하도록 할 예정임을 밝혔습니다. 생성형 AI의 문제 생성형 AI의 대중화로 인해 기업뿐만 아니라 일반 대중들도 AI에대한 접근이 활발해지고 있습니다. 그러나 생성형 AI는 개인정보보호 문제, 범죄적 활용 등 다양한 사회적 문제를 만들어내고 있습니다. 특히 AI를 활용한 해킹 및 개인정보 유출의 위험성이 커지고 있습니다. 오픈 AI는 지난 3월 챗GPT에 접속한 전세계 이용자 일부의 이름, 이메일주소, 신용카드 번호 등의 개인정보를 유출하였으며, 유출된 정보에는 한국 이용자 687명의 정보가 포함되어 있었습니다. 이에 개인정보위는 오픈AI가 국내 보호법 상 의무 준수가 미흡하다는 점을 지적하며, 유출 인지 후 24시간 내에 신고하지 않은 신고의무 위반에 대해 과태료를 부과하였습니다. 이외에도 AI를 활용한 피싱사기 ‘AI피싱’도 성행하고 있습니다. AI피싱은 딥보이스, 딥페이크 등 AI기술에 기반하여 얼굴과 음성을 사기 피해자의 지인으로 변조한 뒤 상대방을 속여 돈을 가로채는 수법으로, 전 세계에서 발생하고 있습니다. 생성형 AI를 활용한다면 사람 목소리와 영상을 만들어내는 것이 어렵지 않기 때문에 이를 활용한 범죄의 문턱이 낮아지고 있습니다. 이처럼 AI가 생활에 침투한 상황에서 AI기술의 인권적 함의를 고려하고 무분별한 활용으로 인한 부작용을 막기 위해 유엔에서는 ‘AI 시대 인권규범’ 결의안이 채택되었습니다. AI인권에 미칠 영향에 대한 책임있는 평가가 필요하고, AI기술이 투명성과 설명 의무를 지녀야 한다는 내용입니다. EU에서는 AI법 ‘AI Act’를 통과시키며 챗GPT와 같은 생성형 AI시스템을 구축하려는 기업은 머신러닝에 투입한 데이터의 출처와 저작권을 공개해야 하고, AI서비스를 판매하고자 할 때는 출시전에 EU에 먼저 제출하여 위험이 없는지 조사를 받아야 합니다. 이 법안이 타결되면 2026년부터 EU국가들에 규제가 적용될 예정입니다. 생성형 AI시장의 전망 시장조사업체 IDC는 초거대 AI를 포함한 전세계 AI시장 규모가 2024년에는 5,543억 달러(약 700조원)에 달할 것으로 내다보았습니다. 국내 AI시장 역시 24년 3조 662억원 규모로 예상되며, 2023년부터 연평균 14.9% 성장하여 2027년까지 4조 4,636억원 규모에 이를 전망입니다. 또한 다양한 산업에서 AI채택을 가속화하는 가운데 생성형 AI에대한 수요는 지속적으로 증가할 것으로 보입니다. 생성형 AI는 이미 우리의 생활에 큰 영향을 미치고 있고, 업무 효율성과 정보 접근성을 크게 향상시키는 중요한 역할을 하고 있습니다. 그러나 윤리적 문제, 범죄 악용 문제, 정보보안 문제 등 해결해야 할 문제들도 아직은 남아있는 것 같습니다. 출처 및 참고자료 오픈 AI 유튜브
-
- 23.11.28
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.