-
IT·보안
개인정보의 안전성 확보조치 기준 개정
개인정보 수집 및 이용에 동의합니다.새로운 사이트 혹은 서비스에 가입할 때 우리는 ‘개인정보 수집 및 이용에 동의합니다’라는 문구에 동의 표시를 해야 가입할 수 있습니다. 이처럼 기업이나 정부에서는 다양한 서비스 제공을 목적으로 개인정보를 수집 및 활용하고 있습니다.그러나 뉴스에서 빈번하게 등장하는 개인정보 유·노출 사고는 수없이 많은 개인정보를 제공한 우리를 불안하게 만듭니다. 한국인터넷진흥원(KISA)에 따르면 2022년 기업의 개인정보 위반 사례 중 안전조치 의무 위반 행위가 2022년 기업의 개인정보 위반 사례 중 가장 높은 비율을 차지하였습니다. 특히 안전조치 의무 위반 유형 중에서도 개인정보 문서를 저장, 전송 시 암호화하지 않는 것과 접속기록을 보관, 점검하지 않는 행위가 많은 비중을 차지하였습니다. 개인정보의 안전성 확보조치 기준 개정수많은 개인정보를 처리하는 기업에서는 안전한 조치방안과 보안시스템을 구축해야 하는데요, 개인정보 보호위원회에서는 기업이 개인정보를 안전하게 처리할 수 있도록 ‘개인정보 안전성 확보 조치 기준’을 제시하였습니다. 개인정보 안전성 확보 조치 기준은 개인정보 암호화와 접속기록을 안전하게 보관할 수 있는 방안을 마련하고, 유출 사고 대응 계획 수립 등을 담은 기준입니다. 또한 조치 기준을 지키지 않아 개인정보 유출, 노출, 위변조 등을 행한 기업에게는 법적 제재를 가하고 있습니다. 지난 9월 22일 개정된 개인정보의 안전성 확보조치 기준이 시행되었습니다. 이번 개정을 통해 개인정보처리자와 정보통신서비스 제공자로 이원화 되어있는 안전조치고시를 통합하여 공공시스템 운영기관의 안전조치를 강화하였습니다. 개정된 개인정보의 안전성 확보조치 기준에서는 어떤 점이 달라졌을까요? 개인정보의 안전성 확보조치 기준 제5조 4항에서는 개인정보처리자에게 개인정보처리시스템에 대한 접근 계정을 발급할 때 각 개인정보취급자별로 계정을 발급하여야 하고, 발급된 계정은 타인과 공유하여서는 안된다고 명시하고 있습니다. 개정안에서는 다음 4항에 “정당한 사유가 없는 한”이라는 단서가 추가되었습니다. 이에 따라 정당한 사유가 있는 경우에는 개인정보 취급자 간 계정공유가 가능하게 되었습니다. 5, ‘’. 또한 제6항에서 일정 횟수 이상 비밀번호를 잘못 입력하였을 때 접근을 제한하도록 했으나 ‘일정횟수’ 이상 ‘인증에 실패한 경우’로 개정되었습니다.이에 따라 개인정보처리자는 정당한 권한을 가진 개인정보취급자임을 인증하기 위해 비밀번호가 아닌 생체 인증, SMS 인증 등 상황에 적절한 인증수단을 도입하여야 합니다.개인정보에 대한 접근통제와 관련해서는 ‘개인정보의 기술적·관리적 보호조치 기준’을 통해 정보통신서비스 제공자에게만 적용되던 망분리 조항이 ‘개인정보의 안전성 확보조치 기준’의 제6조 제6항으로 추가되어, 망분리 의무 대상자가 전체 개인정보처리자로 확대되었습니다.이에, 전년도 말 기준 직전 3개월간 개인정보가 저장, 관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보에 대한 다운로드, 파기, 접근권한 설정이 가능한 개인정보취급자의 PC등에 대해 인터넷 망 차단 조치가 필요하게 되었습니다. 다만 이는 ‘이용자 수’를 기준으로 하고 있으며, 여기서 ‘이용자’란 ‘정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자’를 뜻하므로, 제6조 제6항은 모든 개인정보처리자가 아닌 정보통신서비스 이용자의 개인정보를 처리하는 개인정보처리자에게 한정하여 적용됩니다. 7조 개인정보의 암호화 개인정보의 암호화 조항에도 ‘개인정보의 기술적·관리적 보호조치 기준’에 있던 내용이 옮겨오며 추가된 내용이 있습니다.제7조 제2항의 개인정보처리자가 암호화하여 저장해야 하는 개인정보 유형에 신용카드번호와 계좌번호가 추가되었습니다. 따라서, 개인정보처리자는 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 생체인식정보 뿐만 아니라 신용카드번호와 계좌번호까지 안전한 알고리즘을 통해 암호화하여 저장해야 합니다. 두번째로는 정보통신망을 통하여 인터넷망으로 개인정보를 송·수신할 때 개인정보를 암호화하도록 하는 조항이 제4항으로 신설되었습니다. 신설된 제7조 제1항 및 4항에 따르면 “정보통신망을 통해 인터넷망 구간으로 개인정보를 송·수신할 때”와 “정보통신망을 통해 인증정보를 저장 또는 송·수신할 때” 암호화가 필요하다고 명시하고 있습니다.즉, 개인정보처리자는 개인정보를 인터넷망 구간 전송 시 암호화를 해야 하고, 인증정보에 대해서는 구간 불문하고 정보통신망을 이용해 전송하는 경우 암호화를 해야하게 된 것인데요. 기존 개인정보의 기술적·관리적 보호조치 기준에 비해 개인정보 및 인증정보 송·수신 시 암호화 기준을 한층 더 명확하게 한 것으로 볼 수 있습니다. 개인정보의 기술적관리적 보호조치 기준에는 없던 내용이었지만개인정보의 안전성 확보조치 기준의 수범자 확대로 인하여 정보통신서비스 제공자가 새롭게 부담하게 된 의무도 있습니다제조 제항의암호 키를 안전하게 보관하기 위해 암호 키 생성이용파기 등에 대한 절차를 수립 및 적용해야 한다는 의무입니다다만이번에 개정된개인정보의 안전성 확보조치 기준에서는 본 조항의 대상이 되는 개인정보처리자 기준을 정의하여모든 개인정보처리자가 아닌 고시에서 정한 일정 기준에 해당하는 개인정보처리자에게만 준수 의무가 부여되도록 하였습니다*만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업·중견기업·공공기관 또는만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업·단체에 해당하는 개인정보처리자 신시웨이의 DB보안 솔루션신시웨이의 데이터 베이스 접근제어 솔루션 Petra와 암호화 솔루션 Petra Cipher를 통해 개인정보 안전성 확보조치 기준에 효과적으로 대응할 수 있습니다. Petra는 데이터가 유출되거나 훼손되는 것을 방지하기 위해 개인정보 취급자 등 권한이 있는 사람에게만 데이터에 접근할 수 있도록 통제 및 관리하는 솔루션입니다. 다양한 환경에서의 최적화된 구성을 위해 Gateway, Sniffing, Agent, Hybrid 방식을 지원하고 있으며 자체 개발한 DBMS를 사용한 빠른 규칙처리가 가능합니다. ID, IP및 접속 Tool기반 접근통제, 역할기반 접근통제, SQL단위 통제 등 세분화된 사용자별 접근통제 기능 외에도 편리한 UI, 실시간 모니터링, 보고서 생성, 감사, SQL Masking 등 데이터를 지키기 위한 다양한 기능을 제공합니다. 신시웨이의 데이터베이스 암호화 솔루션 Petra Cipher는 암호화를 통해 중요 데이터의 손실을 방지하고, 기업의 재산과 브랜드 가치를 보호합니다. 암호화로 발생할 수 있는 문제들을 사전에 분석하여 시스템의 가용성을 보장하고, 키서버 3중화·중복 암호화 방지 등 고도화된 기술을 통해 높은 기밀성과 무결성 및 안정적인 서비스를 지원합니다.
-
- 23.10.13
-
IT·보안
EU, 디지털 시장법 발표
애플, 구글, 아마존, 메타 등 세계적으로 거대한 빅테크 기업들에 대해 EU에서 규제할 법을 만들었습니다. 잘못하면 벌금만 수십조원 낼 수 있는 강력한 법안이라고 합니다. 바로 디지털 시장법(Digital Markets Act)인데요, 어떤 법안이기에 수십조원의 벌금까지 부과할 수 있다고 하는 걸까요? 디지털 시장법, DMA란?DMA는 소비자와 판매자간 ‘관문’역할을 하는 기업, 즉 ‘게이트키퍼(GateKeeper)’들의 시장지배력 남용을 방지하기 위한 법률입니다. 디지털시장에서 큰 영향력을 가지는 대기업을 규제하고, 디지털 업체들의 행동을 모니터링하여 시장에서의 공정한 경쟁을 촉진하기 위한 목적으로 제정되었습니다. 특히 애플, 구글, 아마존, 메타와 같은 미국의 대기업들이 유럽 시장에 진출하여 수익을 내면서 유럽사람들의 개인정보까지 가져가는 것에 대한 견제이기도 합니다. DMA의 주요 내용DMA의 주요 내용은 명시적인 동의 없는 개인정보 처리 금지 및 데이터 이동권 보장 의무, GDPR과의 조화 및 협력 명시 등이 있으며, 다음과 같이 크게 4가지로 정리할 수 있습니다.1. 자사 제품, 서비스 추천 금지IT플랫폼 기업들은 검색 결과에 자사의 제품이나 서비스를 먼저 띄우는 것이 불가능해집니다. 예를들면, 구글에서 특정 제품을 검색했을 때 구글이 운영하는 서비스인 유튜브의 콘텐츠를 우선순위로 올릴 수 없습니다.2. 앱 마켓 독점금지애플과 구글은 스마트폰 앱 마켓에서 막대한 영향력을 미치는데, 각각 고유의 앱 마켓에서만 사용자가 앱을 받을 수 있도록 하였습니다. 그리고 앱 마켓에서 다운받은 앱을 통해 소비자가 디지털 상품을 결제할 때 앱 개발사들이 받는 결제 금액 중 일부를 수수료로 걷어갔습니다. 그러나 디지털 시장법이 시행되면 다른 업체에서 만든 앱 마켓에서도 스마트폰 앱을 다운받을 수 있게 되며, 결제 수수료를 강제로 부과할 수 없게 됩니다.3. IT플랫폼 기업들이 제공하는 메신저 서비스가 통합될 수 있습니다. 플랫폼 기업들은 메신저 서비스를 무상으로 제공하여 영향력을 더욱 키울 수 있었는데요. 디지털 시장법이 시행되면 어떤 메신저를 쓰는지에 구애받지 않고 메시지를 주고받을 수 있습니다. 예를 들면 유럽에서는 페이스북 메신저로 보낸 메시지를 카톡으로도 받을 수 있게 됩니다. 이를 통해 이용자가 많지 않아 대중적이지 못했던 메신저도 경쟁력을 가질 수 있게 될 것입니다.4. 디지털 시장법에서는 스마트폰 종류에 구애받지 않고 사용자가 원하는 서비스나 앱을 탑재할 수 있게 됩니다. 예를 들어 아이폰의 인공지능인 ‘시리’를 삼성 스마트폰에서도 사용 가능해집니다. 스마트폰에 기본으로 탑재되어있어 지우고 싶어도 지울 수 없었던 기본 앱 또한 사라진다고 합니다. 적용 대상, 시기는?2024년 3월부터 시행 예정인 EU 디지털 시장법 적용 대상은 유럽 경제지역 내 매출이 연간 75억유로 이상, EU 내 월간 사용자 4500만명 이상 또는 연간 이용 기업 1만곳 이상인 플랫폼을 한 개 이상 보유하고 있는 기업입니다. 미국의 알파벳, 아마존, 애플, 메타, 마이크로소프트, 바이트댄스 등 6개 기업의 22개 서비스가 규제 대상으로 선정되었으며, 우리나라 기업인 삼성도 규제 대상 후보였으나 상대적으로 개방적으로 운영되고 있어 경쟁 위해 요소가 없다고 판단되어 제외되었습니다.게이트키퍼로 선정된 기업은 6개월동안 디지털 시장법의 전체 조항을 준수하고, 디지털 시장법에 명시된 각 의무를 이행할 방법을 자세히 기술한 보고서를 제출해야 합니다. 디지털 시장법을 위반할 경우 연 매출액의 최대 10%규모의 과징금이 부과될 수 있으며, 위반이 반복되면 과징금 최대 20%까지 상향될 수 있습니다.
-
- 23.09.22
-
IT·보안
2023년 국내 정보보호산업 실태조사 결과 발표
정보보호산업은 정보보호제품을 개발, 생산 또는 유통하거나 정보보호에 관한 컨설팅, 보안관제 등 서비스를 수행하는 산업으로서 기술의 적용영역, 제품의 특성 등에 따라 정보보안, 물리보안, 융합보안으로 분류됩니다. 우리나라의 정보보호시장은 정보보호 관련 수요의 증가와 기업들의 투자로 인해 꾸준히 성장하고 있습니다. 과학기술정보통신부와 한국 정보보호 산업협회에서는 정보보호산업의 동향을 파악하고, 향후 전망을 예측하기 위해 「23년 국내 정보보호 산업 실태조사」의 결과를 발표했습니다. 정보보호산업 매출 및 전망2022년도 정보보호산업 전체 매출액은 약 16조 2천억원으로 2021년 대비 16.7% 증가하였습니다. 정보보안 산업은 전년도대비 23.5% 상승, 물리보안 산업은 13.4% 상승하였습니다. 정보보호산업 중 가장 뛰어난 매출 성장을 보인 분야는 클라우드, 보안 솔루션으로, 356.8% 라는 높은 성장률을 기록하며 앞으로 클라우드 분야의 성장 가능성을 보여주었습니다. 정보보호산업 매출의 증가는 정보보호 의무공시 제도와 정보보호제품 신속 확인제 도입 등 정부의 정보보호 관련 정책의 확대에 영향을 받은 것으로 보입니다. 또한 코로나19 이후로 비대면의 확대에 따른 민간기업의 보안 관련 투자 증가 등이 정보보호매출의 상승세를 이끌었습니다.정보보호산업 수출 현황정보보안 수출액은 1.7% 증가하였으며, 물리보안 수출액은 6.6% 증가하였습니다. 정보보호산업 전체 수출액은 2022년에 6.2% 증가하였습니다. 정보보안 분야에서는 네트워크 보안 및 클라우드 보안 분야의 수출 실적이 강세를 보였으며, 물리보안 분야는 생체인식 보안시스템 및 출입통제 장비 부문이 높은 비중을 차지하였습니다. 정보보호산업 인력 현황2022년 정보보호 기업의 전체 종사자수는 64,831명으로 전년대비 2.0% 증가하였습니다. 정보보안 인력 수는 29.9% 증가하였으며, 물리보안 인력 수는 8.8% 감소하였습니다. 2018년도부터의 통계를 살펴보면, 2023년까지 지난 5년간 연평균 약 10.2%의 증가율을 보였으며, 특히 정보보안 분야의 인력 수요가 지속적으로 증가하고 있습니다. 과학기술정보통신부 정보보호네트워크 정책관은 “지난해 전 사회적으로 디지털 정보의 보호와 일상생활속 안전에 대한 사회적 관심이 강조된 만큼 정보보호산업 역시 높은 성장세를 유지했다”고 밝혔습니다. 이번 2023 정보보호산업 실태조사 결과에 대한 상세 내용은 정보보호산업진흥포털(www.ksecurity.or.kr)과 한국정보보호산업협회(www.kisia.or.kr)홈페이지에서 확인하실 수 있습니다. 출처 및 참고자료과학기술정보통신부·kisia 한국정보보호산업협회, 2023년 국내 정보보호산업 실태조사 보고서 과학기술정보통신부 보도자료, 2023년 정보보호산업 실태조사 결과 발표
-
- 23.09.14
-
IT·보안
Web 3.0 시대가 온다.
스마트폰이 일상의 일부가 된 지금, 이제 우리는 웹(Web)없는 세상을 상상하기가 어렵습니다. 웹(Web)이란 무엇일까요? 정확한 명칭은 월드 와이드 웹(World Wide Web), 줄여서 www 또는 웹이라 부르곤 합니다. 웹은 인터넷으로 연결된 사용자가 정보를 주고받을 수 있는 공간을 의미합니다. 멀지 않은 미래에 도래할 Web3.0에 대해 들어보셨나요? 최근 몇 년간 IT업계에서 Web3.0은 가장 화두가 되고있는 키워드입니다. Web 3.0이란 무엇이며, 어떻게 등장하게 되었을까요?웹3.0의 등장 배경 웹1.0은 ’정보의 바다’라고 불리는 시기입니다. 디지털 정보를 검색하고 읽게 해주는 인터넷 기술로, 사용자들은 인터넷에서 일방적으로 제공되는 정보와 콘텐츠를 읽기만 할 수 있습니다.웹2.0에서는 웹1.0의 한계점을 보완하기 위해 사용자들이 콘텐츠를 소비하는것 뿐만 아니라 생성하고 공유할 수 있는 플랫폼이 등장하였습니다. 대표적으로 우리가 잘 알고있는 페이스북, 트위터, 구글 등의 플랫폼 서비스가 있습니다. 그러나 웹2.0에서는 데이터의 중앙집권화를 특징으로 하기 때문에 기업에서 보유한 데이터를 처분할 경우 사용자들은 자신의 데이터를 보호할 방법이 없습니다. 또한 기업에서 수집한 사용자들의 개인정보 유출 사고도 끊임없이 반복되고 있습니다.웹 3.0은 이처럼 소수의 플랫폼, 기업이 데이터를 중앙집권화 하는 것에 대한 문제점을 탈피하고, 사용자 개개인들이 자신의 데이터를 소유할 수 있도록 합니다. 웹3.0의 주요 특징 중 하나는 분산 네트워크와 블록체인 기술의 활용입니다. 분산 네트워크는 중앙 서버에 의존하지 않고 여러 컴퓨터와 장치 간에 데이터를 공유하고 처리할 수 있도록 합니다. 이로 인해 개인정보 보호와 데이터 소유권이 강화되며, 중앙화된 권력과 통제에서 벗어날 수 있습니다. Web 3.0의 주요 특징1. 탈중앙화Web3.0의 가장 큰 특징은 기업이 중심이 아닌 개인이 주체가 되는 '탈중앙화'입니다. 오늘날 메타나 구글, 아마존 같은 글로벌 기업들은 사용자의 계정 정보와 데이터를 중앙집중화된 형태로 관리하고 있습니다. 따라서 데이터의 주도권과 수익을 기업이 통제할 수밖에 없습니다. 웹3.0에서는 기업의 통제와 개인정보 공유를 거치지 않고 금융, 서비스, 인프라 등 모든 면에서 탈중앙화가 이루어지고 있습니다. 블록체인을 기반으로 등장한 비트코인과 암호화폐들은 개인이 채굴을 통해 발행할 수 있으며, P2P(Peer to Peer)방식으로 송금이 가능합니다. 2. 블록체인블록체인이란 네트워크에 참여하는 모든 사용자의 데이터를 분산, 저장하는 기술을 뜻합니다. 블록체인에서 데이터는 중앙관리자에 의해 관리되는 것이 아니며, 사용자들은 각각 자신의 데이터를 소유할 수 있습니다. 특히 웹3.0의 등장과 함께 블록체인 기술이 새롭게 조명받았으며, ‘탈 중앙화’라는 웹3.0의 핵심 기능을 구현하기 위해서는 블록체인이 반드시 필요합니다.대표적인 블록체인 기술 중 하나는 DID(전자신분증)입니다. DID란 블록체인에 이용자의 개인정보와 데이터 등을 저장하여, 이용자가 필요할 때, 최소한의 정보만 공개할 수 있는 신분증명 서비스입니다. 3. 마이데이터 마이데이터는 2020년 8월 데이터 3법이 개정되면서 등장한 개념입니다. 마이데이터란 ‘정보주체인 개인이 본인의 정보를 적극적으로 관리, 통제하고 이를 개인 생활에 능동적으로 활용하는 일련의 과정’을 뜻합니다. 마이데이터 서비스를 통해 소비자가 자신의 데이터에 대한 주권을 행사할 수 있으며, 개인의 모든 금융 정보를 한 곳에서 확인 및 관리할 수 있습니다. 이렇듯 기업에 의존하지 않고 데이터를 개인통제 하에 데이터에 대한 저장, 이동 등을 관리하는마이데이터는 웹3.0에서의 데이터 보호 및 활용 방식입니다. 출처: 마이데이터 종합포털 4. 메타버스메타버스는 작년에 크게 화제가 되었던 키워드 중 하나입니다. 게임 및 엔터테인먼트, 공공, 교육, 등 거의 모든 분야에 메타버스 광풍이 불었다고 볼 수 있습니다. 메타버스(metaverse)란 초월, 가상이라는 뜻의 메타(meta)와 현실세계를 뜻하는 유니버스(universe)가 결합된 단어입니다. 즉, 가상세계, 초월 세계를 의미하지만, ‘상호작용이 가능한 가상세계’를 뜻한다는 점에서 기존의 가상세계와는 차이점이 있습니다. 메타버스에서는 아바타를 통해 가상세계속에 참여할 수 있습니다. 특히 코로나 팬데믹 이후로 메타버스를 활용한 업무, 문화생활 등 활용도가 증가하였습니다. 테슬라의 일론머스크는 ‘웹3.0은 실체가 없는 마케팅 용어에 가깝다’라는 글을 트위터에 올려 화제가 되기도 했습니다. 실제로 웹3.0은 아직 실현되지 않았으며, 웹3.0이 대중화되기 위해 필요한 요소들도 많습니다. 그러나 중앙집중적이고 독점적인 웹 2.0에서 발생하는 문제를 해소하기 위한 대안으로는 적절할 것입니다. 웹1.0과 2.0이 우리의 삶에 어느 순간 스며든 것처럼, 웹3.0도 어느 순간 일상이 되어 우리 삶에 변화를 가져다줄 수 있습니다. 다가올 웹3.0시대가 궁금하기도 합니다.
-
- 23.09.08
-
IT·보안
2023년도 상반기에는 어떤 사이버 위협들이?
개인정보 유출을 비롯한 다양한 침해사고는 정보통신의 기술과 더불어 끊임없이 발생하고 있으며, 사고로 인한 2차, 3차 피해로까지 이어지기도 합니다. 또한 사이버 공격은 점점 다양하고 교묘한 수법으로 주요 정보를 빼내고 있습니다. 따라서 주요 정보를 보호하기 위한 기업의 투자와 노력이 필요합니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률'정보통신망법'이라고도 불리는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」은 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하는 것을 목적으로 한 법률이며, 정보통신망을 이용하여 영리 목적의 서비스를 제공하는 사업자에게는 모두 적용되는 법률입니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조(정보통신망 침해행위 등의 금지)① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다.③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.또한 제48조의 3에 따르면 정보통신서비스 제공자는 침해사고 발생 시 그 사실을 과학기술정보통신부 장관이나 한국인터넷진흥원에 신고해야 함을 명시하고 있습니다. 따라서 과학기술정보통신부 및 한국인터넷진흥원에서는 민간 정보통신서비스 제공자로부터 침해사고와 관련한 신고를 받고 있으며, 침해사고와 관련한 조치를 취하고 있습니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3(침해사고의 신고 등)① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. ② 과학기술정보통신부장관이나 한국인터넷진흥원은 제1항에 따라 침해사고의 신고를 받거나 침해 사고를 알게 되면 제48조의2 제1항 각 호에 따른 필요한 조치를 하여야 한다.위와 같은 법률을 바탕으로 과학기술정보통신부와 한국인터넷진흥원은 국민들의 안전한 정보통신 환경 조성을 위해 노력하고 있으며, 2023년 상반기 사이버 위협 동향 보고서를 통해 상반기의 주요 침해사고 건수 및 유형, 특징 등을 발표하였습니다. 위와 같은 법률을 바탕으로 과학기술정보통신부와 한국인터넷진흥원은 국민들의 안전한 정보통신 환경 조성을 위해 노력하고 있으며, 2023년 상반기 사이버 위협 동향 보고서를 통해 상반기의 주요 침해사고 건수 및 유형, 특징 등을 발표하였습니다. 사이버 침해사고 통계2021년부터 2023년까지의 침해사고 현황을 살펴보면, 2023년 상반기 침해사고 신고 건수는 664건으로 2022년 상반기 대비 40% 증가하였으며, 2021년 상·하반기 총 합계 건수인 640건을 넘어섰습니다. 2023년 상반기에 사이버 침해사고가 이전보다 많이 발생했음을 알 수 있습니다.2022년 유형별 침해사고 신고 통계를 살펴보면 서버해킹이 전년대비 3.5배로 급격히 증가하였으며, 전체 유형별 비중도 51.2%로 가장 높았습니다. 그 다음으로는 악성코드 감염이 30.4%, DDoS공격이 10.7%, 기타 7.7%로 나타났습니다. 2023년 상반기 유형별 침해사고 건수는 DDoS공격이 124건으로 전년 상반기 대비 2.5배로 가장 많이 증가하였으며, 2022년부터 2023년까지 반기별 침해사고 신고 현황을 살펴보면 서버해킹이 2022년 상반기 275건 / 하반기 310건, 2023년 상반기 320건으로 가장 많은 신고를 받은 것으로 나타났습니다.침해사고 신고 유형 중 악성코드 감염 통계를 살펴보면 악성코드 감염 90% 이상의 비중을 랜섬웨어 신고가 차지하고 있었으며, 2022년 랜섬웨어 신고는 325건으로 지난 4년간 8.3배로 급속히 증가하였습니다. 2023년 상반기 랜섬웨어 침해사고 현황을 살펴보면 전년 상반기 대비 14%증가한 134건인 것으로 나타났으며, 중견기업이 전년대비 3배 증가, 중소기업도 12% 증가한 것으로 나타났습니다.2022년 업종별 침해사고 신고 통계를 살펴보면 정보통신업이 409건으로 전년대비 79% 증가하였으며, 제조업이 245건으로 전년대비 55%증가하여 가장 많은 사고가 발생한 것으로 나타났습니다. 또한 도매 및 소매업이 156건으로 전년대비 66%증가하였고, 협회 및 단체 등 또한 70건으로 전년대비 160%증가하며 그 뒤를 이었습니다. 보안수준이 낮은 영세기업들이 주로 사고의 타겟이 되고 있으며, 타 보고서에서는 초기 침투 전문 브로커들이 주로 제조업을 겨냥하고 있다고 지적하기도 했습니다.출처 및 참고자료
-
- 23.08.30
-
IT·보안
내가 쓴 글을 지울 수 있다? 온라인에서의 잊힐 권리
인터넷에 별 생각 없이 올렸던 민망한 사진이나 글이 잠들기 전 갑자기 생각나서 수치스러운 적 있으신가요? 지우기 위해 사이트에 접속했지만 아이디와 비밀번호 모두 기억나지 않고, 로그인이 불가능해 난감했던 경험도 있으신가요? 잊힐 권리(right to forgotten)란 자신의 사진이나 정보들을 인터넷에서 수정, 삭제할 수 있는 권리를 뜻합니다. 즉, 온라인 상에서 공유되고 있는 개인의 사진 또는 개인정보를 수정, 삭제할 수 있는 권리를 지칭하며, 본인의 정보는 본인이 직접 통제할 수 있도록 하고, 개인의 프라이버시를 보호하는 역할이기도 합니다.잊힐 권리의 등장잊힐 권리에 대한 판결이 제도적으로 처음 나온 시기는 2010년으로 거슬러 올라갑니다. 2010년 스페인의 변호사 ‘마리오 코스테하 곤살레스’는 구글에서 10년 전 자신의 집 경매공고 기사가 검색되는 것을 확인하였습니다. 경매 절차는 이미 수 년 전에 종료되었음에도 과거 기사로 인해 명예가 실추되었다고 주장하며 해당 신문사에는 기사 삭제를, 구글에는 기사 노출 중단을 요청했습니다. 그러나 신문사와 구글에서 아무런 조치를 취하지 않자 스페인 정보보호청(AEPD)에 자신의 정보가 노출되지 않도록 해달라는 청원을 제기하였고, AEPD는 신문사의 기사 노출은 적법하나 구글은 해당 기사 내용을 검색결과에서 제외해야 한다는 결정을 내렸습니다. EU사법재판소에서 AEPD의 결정을 타당한 것으로 최종결론을 내면서 ‘잊힐 권리’가 인정된 최초 판결로 기록되었습니다.이후 2014년 5월 EU사법재판소가 ‘EU정보지침에 따라 정보주체는 자신에 관한 검색결과를 검색엔진에게 삭제 요청할 수 있으며 검색엔진은 일정한 요건에 부합하는 경우 이를 삭제해야 한다’는 판결을 내린 것에 기반하여 권리로 인정되었습니다. 따라서 구글에 해당 페이지의 링크를 삭제하라는 판결이 내려졌고, 전 세계적으로 잊힐 권리가 처음으로 인정된 판결입니다. 이 판결 이후로 구글은 개인정보 관련 검색결과를 삭제할 수 있는 웹페이지를 통해 유럽 국가에 한하여 서비스를 제공하고 있습니다. Google 검색결과 삭제요청 웹페이지를 통해 EU시민들에 한하여 개인정보를 삭제 요청할 수 있습니다.우리나라에서의 잊힐 권리아직까지 구글에서 제공하는 개인정보 삭제 서비스는 EU국가에 한해서만 가능합니다. 하지만 우리나라에서도 개인정보보호에 관한 인식이 확대되면서, 아동·청소년들을 대상으로 잊힐 권리를 보장해주는 서비스가 등장했습니다.아동·청소년들은 다른 세대보다 온라인에서의 활동시간이 많았고, 온라인에 많은 정보가 쌓여왔습니다. 따라서 정부는 아동·청소년들을 개인정보 보호의 ‘대상’에서 ‘주체’로 전환하고, 개인정보 자기결정권 존중 등의 원칙을 기반으로 잊힐 권리를 보장하기로 했습니다.지난 4월부터 시행된 ‘아동·청소년 디지털 잊힐 권리 시범사업 추진계획’은 아동·청소년 시기에 작성한 게시물 중 개인정보가 포함된 게시물을 다른 사람이 검색하지 못하도록 접근배제 하거나 삭제하도록 정부에서 지원하는 사업입니다.잊힐 권리 서비스는 만 24세 이하 국민만 가능하며, 만 18세 이전에 올린 게시물에 대해서 삭제 가능합니다. 아동·청소년이 스스로 게시한 글이나 사진, 영상을 포함해 제3자가 공유한 경우에도 삭제를 요청할 수 있습니다. 또한 부모 등 보호자가 올린 글, 사진, 영상이나 제3자가 자신에 대해 비난, 비방 등 부정적 게시물을 올린 경우에도 삭제요청 할 수 있습니다. 물론 요청한다고 해서 모든 게시글을 삭제해주는 것은 아닙니다. 삭제에서 제외되는 경우로는 법원 재판 혹은 범죄 수사 등이 진행되고 있을 경우에는 법적 의무 준수를 위해 삭제가 어렵습니다. 잊힐 권리 서비스 신청은 개인정보 포털을 통해 신청 가능합니다.
-
- 23.08.21
-
IT·보안
어렵기만 한 개인정보보호법, 표준해석 사례로 쉽게 알아보자
어렵기만 한 개인정보보호법, 어떻게 해석해야 할지 난감할 때가 많지 않으신가요? 지난 7월 31일 개인정보보호위원회에서는 ‘2023 개인정보 보호법 표준 해석례’를 공개하였습니다. 이번 표준 해석례는 개인정보 처리자뿐만 아니라 국민들의 개인정보보호법에 대한 이해도 제고를 위해 마련되었으며, 인사노무, 공동주택, 영상정보, 온라인플랫폼, 제도일반 등 5개분야의 대표사례 30건을 정리하였습니다. 개인정보 보호법 표준 해석례가 필요한 이유는 무엇일까요? 디지털로의 전환이 빨라지는 환경 속에서 개인정보보호가 중요하다는 인식과 함께 개인정보의 활용에 대한 관심이 증가하였습니다. 따라서 개인정보 관련 업무 종사자들뿐만 아니라 일반 국민들도 개인정보 보호 법령에 대한 관심이 높아지고 있습니다. 실제로 개인정보보호위원회에서는 개인정보 보호 법령에 대한 국민들의 관심과 질문이 증가하면서, 질의 건수가 2021년부터 지속적으로 증가하고 있다고 합니다. 특히 올해 상반기 질의 건수는 2022년 전체 질의건수의 절반을 넘어섰습니다.출처: 개인정보보호위원회이처럼 개인정보 보호법을 보다 쉽고 자세히 이해하기 위해서는 표준 해석례가 반드시 필요할텐데요, 이번 게시글에서는 주목할만한 사례들에 대해 살펴보도록 하겠습니다. 스마트폰에서 인증한 지문정보는 민감정보에 해당하는지?(답변) 스마트폰에 내장된 지문으로 본인확인한 결과값은 민감정보에 해당하지 않으므로 결과값 이용은 일반 개인정보의 이용에 해당함○ 개인정보보호법 시행령 제18조 제3호에서는 민감정보를 다음과 같이 규정하고 있습니다.개인정보보호법 시행령 제18조(민감정보의 범위)법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.1. 유전자검사 등의 결과로 얻어진 유전정보2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보4. 인종이나 민족에 관한 정보제 3조에 따르면 기술적으로 추출한 지문, 홍채, 정맥, 안면 정보는 민감정보에 해당합니다. ○ 개인정보처리자가 민감정보를 이용하려면 보호법 제15조에 따른 동의항목과 다른
-
- 23.08.11
-
IT·보안
관계부처 합동, 「가명정보 활용 확대방안」 발표
|가명 정보란?정보지만 누구의 정보인지 알 수 없는 정보는 무엇일까요? 가명정보라고 합니다. 가명정보는 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 식별 가능성을 낮춘 개인정보를 의미합니다. 2020년 8월, 데이터 3법의 개정과 함께 개인정보 보호법에 가명정보의 처리에 관한 특례의 신설로 가명정보 제도가 도입되었습니다.기존에는 기업에서 특정 목적을 갖고 수집한 개인정보에 대해 개인정보 처리의 목적이 변경되는 경우, 정보주체로부터 재동의를 받아야 했습니다. 그러나 개인정보보호법에 가명정보의 처리에 관한 특례가 신설되면서 통계작성, 과학적 연구, 공익적 기록보존 등의 목적일 경우 정보주체의 동의 없이 가명정보를 처리할 수 있게 되었습니다. 가명정보는 추가 정보 없이는 특정 개인을 식별할 수 없기 때문에 데이터를 안전하고 폭넓게 활용할 수 있습니다. 특히 개인정보, 민감정보 등 주요 데이터를 보유한 기업에서 데이터를 보다 유연하게 활용할 수 있습니다. |가명정보 처리 시 보호 의무1. 가명처리 절차개인정보를 가명처리 할 때 개인정보보호위원회에서 발간한 가명정보 처리 가이드라인에서 명시하고 있는 단계 및 절차에 따라 안전하게 처리되어야 합니다.출처: 개인정보보호위원회, 가명정보 처리 가이드라인2. 안전성 확보 조치가명정보를 처리할 때에는 관리적, 기술적, 물리적 보호조치가 필요하며, 특정 개인을 알아볼 수 없도록 추가 정보를 안전하게 관리하여야 합니다.2023년 9월 15일 시행되는 개정안에서는 가명정보 처리 기록 3년이상 보관하도록 의무조항이 개정되었고, 가명정보의 처리목적 등을 고려하여 가명정보의 처리기간을 별도로 정할 수 있는 조항이 신설되었습니다.3. 재식별 금지 의무가명정보를 처리할 시 특정 개인을 알아보기 위한 목적으로 처리하면 안 되며, 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성되어 재식별된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체없이 회수·파기하여야 합니다. |가명정보 활용 확대방안 추진 가명정보에 대한 활용 수요가 지속적으로 증가할 전망임을 감안할 때 가명정보 제도 활용 시 제기되는 다양한 문제들을 개선하고, 안전한 데이터 활용 체계를 마련하기 위해 「가명정보 활용 확대방안」이 추진되었습니다.「가명정보 활용 확대방안」주요 내용은 다음과 같습니다.1. 양질의 데이터 제공·공유 확대그간 공공기관들이 개인정보가 포함된 데이터를 가명처리하여 제공하는 과정에서 담당인력 부재 등의 내부, 외부적 요인으로 가명정보 제공에 소극적이었습니다. 이에 정부는 공공데이터의 개방·활용 촉진을 위해 개인정보가 포함된 공공데이터를 가명처리하여 공공·민간에 제공·활용이 가능함을 「공공 데이터법」 및 「데이터기반행정법」을 통해 명확화하였습니다. 또한 최근 수요가 증가하고 있는 영상, 음성, 텍스트 등 비정형 데이터를 안전하게 가명처리하여 AI학습, 자율주행 기술개발 등에 활용할 수 있는 기준을 「가명정보 처리 가이드라인」에 반영할 예정입니다.가명처리된 건강보험 데이터의 활용 촉진을 위한 지침 개정 등 양질의 보건의료 데이터 민간활용 가속화도 추진 계획입니다.2. 가명정보 활용 절차 합리화가명정보 처리·활용 기준을 합리적으로 개선하여 원활한 가명정보 활용을 촉진하기위해 다음과 같은 절차가 진행될 예정입니다.우선 개인정보 보호법과 신용정보법간 상이한 전문기관 지정기준을 합리화하고 결합신청 절차를 간소화하여 법률간 차이로 인한 데이터 수요자의 불편을 해소할 수 있습니다. 또한 보건의료데이터 활용성 제고를 위해 가명정보 개방·활용 및 결합 절차·제도를 개선합니다.3. 가명정보 활용 지원 확대정부는 데이터 처리의 환경적 안전성을 높임으로써 가명정보를 보다 유연하게 활용할 수 있도록 개인정보 안심구역을 시범 도입합니다. 가명처리 역량과 인력이 부족한 중소기업 및 스타트업에 대한 지원을 강화하여 데이터 활용 사각지대를 해소하고 데이터 가공 과정에 대한 데이터바우처와 가명정보 전문인력 에 대한 지원을 강화합니다. 정부에서 발표한 가명정보 활용 확대방안으로 민간기업 및 공공기관에서 가명정보가 다양한 서비스에 활용되면서 데이터 활용의 중요 수단으로 자리잡을 수 있을 것으로 기대됩니다. 가명정보를 통해 정보주체의 동의 없이도 데이터를 유용하게 활용할 수 있지만, 안전성 확보, 재식별 금지 등 보호 의무를 준수하여 활용해야 할 것입니다. 가명정보에 대한 보다 상세한 자료는 개인정보보호위원회 사이트에서 가명정보 처리 가이드라인 등을 확인하실 수 있습니다.출처 및 참고자료개인정보보호 법령 및 지침가명정보 처리 가이드라인가명정보 활용 확대 방안
-
- 23.08.02
-
IT·보안
정보보호의 달 맞이 보안 수칙
정보보호의 날매년 7월 둘째 주 수요일은 사이버 공격을 예방하고 정보보호의 중요성을 알리는 ‘정보보호의 날’입니다. 정보보호의 날은 사이버 위협 예방과 국민들의 정보보호 생활화를 위해 지정한 법정기념일이지만 공휴일은 아닙니다. 정보보호의 날은 2009년 7월 7일 발생한 디도스(DDoS) 대란을 계기로 지정되었습니다. 디도스(DDoS)공격으로 사람들의 개인정보를 비롯한 많은 정보들이 공격당했고, 우리나라의 네트워크가 마비되는 사건이 발생하였습니다. 이후에도 지속적인 사이버상의 범죄로 인해 정부기관과 국가 주요 시설, 민간기업 등이 큰 피해를 입으면서 사이버 보안의 중요도가 높아졌습니다. 따라서 정부부처가 공동으로 사이버 공격을 예방하고 국민의 정보보호 문화와 인식을 생활화하기 위한 목적으로 정보보호의 날을 제정하였습니다. 개인정보보호 실천 수칙 KISA. 비밀번호는 타인이 쉽게 유추하지 못하도록 설정하기, , , 38. 개인정보 동의 시 동의 내용을 꼼꼼히 확인하고 체크하기, 3.SNS, 사진이나 동영상을 업로드 할 때 이름이나 주소연락처 등 개인정보가 노출되지 않았는지 한번 더 확인해보아야 합니다4. , SNS, 2다른 기기에서 로그인 시 한번 더 본인확인을 하도록 설정하면 안전합니다5. , 택배 송장카드영수증에 남아있는 주소연락처카드 정보 등이 범죄에 악용되지 않도록 주의해야 합니다 신시웨이의 DB보안 솔루션 Petra Petra Cipher DB. 는 개인정보 보호법 및 개인정보의 안전성 확보조치 기준 등 개인정보 보호 관련 법규를 준수하는 신시웨이의 접근제어 솔루션입니다사용자 사용자 명 등 다양한 속성 기반의 접근권한 통제로 중요 정보에 대한 불법적인 유출 및 변경을 차단합니다이외에도 실시간 모니터링다양한 보고서계정별 권한분리 등 다양한 기능을 제공하고 있습니다Petra CipherCCDB , . , , .데이터의 중요성이 강조되고그만큼 보안은 더욱 중요해지고 있습니다신시웨이의 솔루션을 통해 기업의 중요 보안을 강화할 수 있습니다출처 및 참고자료 개인정보보호위원회
-
- 23.07.18
-
IT·보안
보안과 데이터 활용을 동시에, 동형암호
데이터경제시대라 불릴 만큼 데이터의 활용이 중요해지는 요즘, 가명정보의 활용과 보안에 대한관심이 높아지고 있습니다. 2020년 데이터3법 개정과 함께 가명정보의 개념이 새롭게 정리되면서 정부에서는 통계학적·연구적·공익적 등을 목적으로 가명정보를 결합하여 활용하도록 하고 있습니다. 그러나 가명정보를 효율적으로 사용하기 위해서는 데이터의 결합을 필요로 합니다. 이때 정보유출 발생가능성이 높아지는데 이때 필요한 암호화 방법이 4세대 암호화 기법 동형암호입니다.출처: 과학기술정보통신부 보도자료 「안전한 데이터 활용을 위한 동형암호 기술 실증」동형암호는 암호화된 데이터의 복호화 없이 암호문의 연산이 가능하기 때문에 데이터를 처리하는 중간과정에서 복호화하지 않아도 되어 데이터 유출 위험이 감소한다는 장점이 있습니다. 반면 동형암호를 통해 암호화된 데이터는 수십배 이상 크기가 증가하여 저장공간을 많이 차지하며, 암·복호화 속도가 기존 알고리즘에 비해 저하됩니다. 또한 연산 종류에 따른 속도의 차이가 크다는 한계가 있습니다.동형암호의 종류'동형암호는 다음과 같이 지원하는 연산을 기준으로 나뉩니다. 완전동형암호를 통해 머신러닝, 딥러닝 등의 데이터 분석을 동형암호화된 채 수행할 수 있기 때문에 최근에는 완전동형암호가 주목을 끌고 있습니다.4차산업혁명 시대에서는 데이터가 중요한 자원 중 하나입니다. 데이터기반 산업이 증가하면서 기업내에서의 방대한 양의 데이터 수집이 증가하고, 데이터3법의 개정으로 인해 기업에서는 개인정보 등의 민감한 데이터를 수집·분석하여 활용하는 사례가 증가하고 있습니다. 이러한 과정에서 민감한 정보가 노출될 가능성이 있으며, 특히 많은 양의 데이터를 복호화할 경우 기술적, 비용적으로 큰 부담이 될 수 있습니다.동형암호화 활용 사례경기도에서는 ‘코로나 동선 안심이’앱에 동형암호를 적용하였습니다. 동형암호화 기술을 통해 개인정보의 유출 없이 2주간의 동선이 확진자의 공개동선과 10분이상 겹쳤을 경우 알림을 받을 수 있었습니다. 와이파이 접근정보, GPS접근 정보 등 위치정보가 저장된 앱을 사용하고 위치 확인을 위해 위치정보를 동형암호화하여 전송하면 암호화된 상태에서 확진자와의 동선을 비교해준 후 결과값을 다시 사용자의 앱으로 보내면 암호키를 보유한 사용자가 데이터를 복호화하여 확인할 수 있습니다.2018년 11월 한국스마트인증에서는 완전동형암호와 홍채인식을 접목한 생체정보 활용 인증기술‘동형홍채인증’을 세계최초로 발표하기도 했습니다. 생체정보 입력 시 동형암호 기술을 이용해 데이터를 암호화한 후 입력하면, 암호화 상태에서 원본 데이터와 비교해 인증을 진행함으로써 데이터 유출을 방지할 수 있습니다. 생체인식에 동형암호를 접목하여 출입통제에 사용하는 생체정보를 유출위험없이 안전하게 처리할 수 있었습니다.신한금융지주는 스타트업 기업 크립토랩과 함께 보험계약 데이터와 대출고객 데이터를 동형암호로 결합하였습니다. 이번 기술 검증을 통해 신한금융은 고객의 민감 정보를 안전한 환경에서 수집·이용할 수 있게 되었습니다. 세계적인 기업 마이크로소프트는 비밀번호 유출조회 서비스 Password Monitor를 Edge사용자를 대상으로 제공하였습니다. 동형암호 기술을 기반으로 한 이 서비스는 사용자의 사용자의 비밀번호에 대한 접근 없이 비밀번호 점검 서비스를 제공합니다.출처 및 참고자료Gartner, 3 Themes Surface in the 2021 Hype Cycle for Emerging Technologies
-
- 23.07.17