-
IT·보안이젠 신분증도 모바일 시대!
이제는 스마트폰 하나로 모든 것이 가능한 시대입니다. 실물 카드가 없어도 간편결제로 물건을 살 수 있고, 대중교통도 이용할 수 있습니다. 2025년부터는 스마트폰에 주민등록증이 담긴다는 사실, 알고 계셨나요?행정안전부에서는 모바일 주민등록증 발급 근거를 담은 「주민등록법」일부개정법률안이 국회 본회의에서 의결되었다고 밝혔습니다. 이번 개정안은 모바일 주민등록증 도입, 다른 사람의 주민등록증의 이미지 파일 또는 복사본을 부정하게 사용한 자에 대한 처벌 등의 내용입니다.2025년 1월부터 실물 주민등록증을 발급받은 사람이 희망하는 경우 가까운 주민센터를 방문해 무료로 모바일 주민등록증을 발급받을 수 있습니다. 모바일 주민등록증은 정부24앱에서 개인정보 확인절차를 밟은 뒤 서비스를 이용할 수 있습니다. 민원서류 접수·발급뿐만 아니라 성인 여부 확인, 공항 탑승, 개인간 본인여부 확인이 가능합니다. 모바일 주민등록증, 안전할까?모바일 운전면허증, 행정안전부모바일 주민등록증은 1인 1개의 단말기에만 암호화된 형태로 저장되며, 실물 주민등록증과 같은 효력을 가집니다. 따라서 생체인증 등 인증을 거치지 않은 경우 열람할 수 없도록 설계됩니다. 행정안전부에서는 스마트폰 분실을 대비하여 전용 콜센터와 홈페이지를 통해 분실 신고를 받고, 분실신고 즉시 사용을 중단시켜 도난과 도용을 예방할 예정입니다. 실제로 이미 상용화된 모바일 운전면허증에서는 개인정보 보호를 위해 사진과 성명, 생년월일만 표시됩니다. 또한 QR코드를 통해 진위를 검증하고 신원확인 기록이 남지 않습니다. 이처럼 모바일 신분증을 통해 모든 개인정보가 노출되는 것이 아닌 필요한 정보만 선택하여 제공할 수 있기 때문에 정보 주체로서의 권리를 실현할 수 있습니다.현재 스마트폰에 등록하여 사용 가능한 모바일 신분증은 모바일 운전면허증, 모바일 국가보훈등록증으로, 2025년부터 모바일 주민등록증으로 확대될 예정입니다. 17세이상 전 국민이 사용하는 주민등록증에 모바일 신분증을 도입하게 됨으로써 모바일 신분증의 대중화가 본격화될 것으로 기대됩니다. 출처 및 참고자료모바일 신분증 홈페이지행정안전부 보도자료, 「2025년부터 스마트폰에 주민등록증을 담는다」
-
- 24.02.27
-
신시스토리신시웨이 공채 4기 입사를 환영합니다.
새로운 시작에는 언제나 설렘과 긴장이 함께 따르기 마련입니다. 2024년도에 신시웨이에 새롭게 입사한 5명의 신규직원이 있습니다. 높은 경쟁률을 뚫고 신시웨이의 일원이 된 공채4기를 신시웨이에서는 어떻게 환영해 주었을까요?
-
- 24.02.16
-
IT·보안클라우드 네이티브란?
클라우드 네이티브(Cloud Native)에 대해 들어보셨나요? ‘영어를 네이티브(Native)하게 한다’는 표현은 영어를 원어민처럼 구사할 줄 안다는 표현입니다. 그렇다면 클라우드 네이티브는 무엇일까요? 클라우드의 이점을 최대한 활용하여 클라우드 환경에 최적화된 상태를 의미합니다. 디지털 네이티브, AI네이티브까지 다양한 용어들이 등장하고 있습니다. 오늘의 주제인 클라우드 네이티브는 기존의 IT 환경이 클라우드로 전환되면서 등장한 개념으로, 기업의 클라우드 도입과 디지털 전환이 확대되면서 함께 확산되고 있는 개념 중 하나입니다.클라우드 네이티브(Cloud Native)란?클라우드 네이티브란 클라우드 컴퓨팅 모델의 이점을 최대한 활용하여 정보시스템을 구축 및 실행하는 환경을 의미합니다. 즉, 단순히 기존 시스템을 클라우드 인프라로 옮기는 것이 아닌 애플리케이션을 클라우드 환경에 맞게 재설계해 개발하고 운영하는 방식입니다.2023년 10월, 행정안전부와 디지털플랫폼 정부위원회는 ‘클라우드 네이티브중심, 공공부문 정보자원 클라우드 전환 계획’을 발표하였습니다. 공공부문의 민간 SaaS활용을 촉진하고, 민간 클라우드 이용 촉진을 위한 제도 정비, 클라우드 전환 기관 역량 강화, 클라우드 민관 협력체계 구축 등도 추진할 계획이며 이를 통해 2026년에는 신규 시스템에 대한 클라우드 네이티브 적용률을 70%, SaaS적용률을 40%로 확대하는 것이 목표입니다.미국의 금융기업 S&P글로벌에서 실시한 설문조사에 따르면 클라우드 네이티브의 주요 장애물로 응답자 46%는 ‘보안’과 ‘컴플라이언스 우려’를 선정하였으며, ‘비용’이라 답한 응답자는 39%, ‘복잡성’이라 답한 응답자는 36%입니다. 또한 클라우드 네이티브 컴퓨팅 재단(CNCF)에서 진행한 설문조사 결과에 따르면 현업 부서의 65%는 클라우드 네이티브 환경을 사용한다고 답하였습니다. 클라우드 네이티브 환경은 이미 민간부문에서는 보편화되었으나, 공공부문에서는 이제 시작단계라고 합니다.NIA 한국지능정보사회진흥원1. 마이크로서비스 아키텍처(MicroService Architecture, MSA)는 애플리케이션을 독립적인 작은 기능으로 분해하여 구축하는 기술입니다.vs 컨테이너는 종속성을 가지는 기존의 VM방식에 비해 종속성 없는 애플리케이션 실행을 지원하여 다른 서비스에 영향을 주지 않고 독립적으로 관리·운영이 가능합니다.(VM)vs
-
- 24.02.14
-
![[이벤트] 설맞이 퀴즈 이벤트](https://www.sinsiway.com/data/bbsData/thumbnail-17070970282641.png)
이벤트[이벤트] 설맞이 퀴즈 이벤트
2024년 갑진년을 맞이하여 신시웨이에서 설맞이 퀴즈 이벤트를 준비하였습니다.모두 풍요로운 설 보내세요!!*당첨자 발표*고*아 (5553) /김*렬 (8218) / 유*(0223)이*원 (5125) / 정*빈(8498) / 조*근 (1403) / 허*우 (9514)
-
- 24.02.05
-
IT·보안안전하게 생체정보를 활용하는 방법
이제는 중요 정보에 접근할 때 얼굴인식, 지문인식, 홍채인식 등을 통해 접근하곤 합니다. 신시웨이 뉴스룸에서는 ‘세상에 하나뿐인 비밀번호, 생체인식 정보’ 글을 통해 생체인식 정보란 무엇인지, 생체정보의 종류와 함께 개인정보보호위원회에서 공개한 「생체정보 보호 가이드라인」 을 통해 알아보았습니다. 이번 게시글에서는 생체인식정보 활용시 주의해야 할 사항과 해외에서는 어떻게 다루고 있는지를 중심으로 전달드리겠습니다. 생체정보(생체인식정보)란? 생체정보는 일반적인 ‘생체정보’와 특정 개인을 인증, 식별할 목적으로 처리되는 ‘생체인식정보’로 나눌 수 있습니다. 생체인식정보는 다시 ‘생체인식 원본정보’와 원본정보에서 일정한 기술적 수단을 통해 생성되는 ‘생체인식 특징정보’로 분류할 수 있습니다. 생체인식 원본정보와 생체인식 특징정보의 예시는 다음과 같습니다.[출처: 개인정보보호위원회 ‘생체정보 보호 가이드라인’]생체인식 사고 사례스마트폰 등 생체정보 이용 기기의 보급이 보편화되고, 코로나이후로 비대면 서비스의 활용이 증가하면서 다양한 분야에서 생체정보의 이용이 일상화되고 있습니다. 그러나 생체정보가 유출되거나 위·변조되는 사례가 발생하면서 생체정보 활용에 대한 우려가 높아지고 있습니다. 실제로 최근에는 수만건의 생체인식 데이터가 다크웹2에서 유통되고 있다는 내용이 보도되기도 했습니다. 안면인식 데이터뿐만 아니라 지문, 사용자 이름과 비밀번호가 저장되어있는 DB가 암흑의 경로에서 공유되고 있는 셈입니다. 미국에서는 과거 몇 년 동안 여러 대규모 개인정보 유출사고가 발생해 큰 이슈가 되기도 했습니다. 대표적인 사례로 바이오스타 침해사건이 있습니다. 바이오스타 침해사건은 생체인증을 저장하고 있던 서버가 보호되어있지 않고, 데이터 또한 암호화되어있지 않아 백만명의 정보가 고스란히 노출되었던 사건입니다. DB에는 23GB의 안면인식정보, 지문정보, 사용자 이름, 비밀번호가 저장되어있었다고 합니다. 이외에도 삼성전자의 갤럭시S10 지문스캐너 해킹사건이 있었습니다. 갤럭시S10 시리즈에 실리콘 케이스를 끼운 채 지문인식을 시도할 경우 기기에 저장된 지문이 아니더라도 잠금이 해제되어 논란이 있었습니다. 단계별 생체인식정보 보호조치우리나라는 2017년 바이오정보 보호 가이드라인을 발표했으며, 2021년 9월 8일 생체정보 보호 가이드라인으로 이름을 바꿔 개정하였습니다. 개정된 가이드라인에서는 생체인식정보를 처리하는 개인정보처리자의 의무를 규정하고 있습니다.[출처: 개인정보보호위원회 ‘생체정보 보호 가이드라인’]이번 글에서는 생체정보 보호 가이드라인을 통해 수집단계, 이용단계, 저장·파기단계에서 생체인식정보를 어떻게 보호해야 하는지 알아보겠습니다. 1. 수집단계 특징정보는 민감정보로 분류되기 때문에 수집 시 다른 개인정보와는 별도로 동의를 받아야 합니다. 수집 이용 동의서에는 ①수집 이용·목적, ②수집 항목, ③보유·이용기간, ④동의를 거부할 권리가 있다는 내용이 들어가야 합니다. 동의 거부에 따른 불이익이 있는 경우, 그 불이익의 내용도 포함되어야 합니다. 원본정보는 개인정보 침해 위험성이 크기 때문에, 특징정보 생성이 완료돼 원본정보의 수집·이용 목적이 달성되면 이를 지체없이 파기하는 것이 원칙입니다. 그러나 필요에 따라 원본정보를 보관해야 하는 경우, 수집·이용 동의를 받을 때 다음과 같이 목적과 보유기간, 동의여부를 구분하여 안내해야 합니다.법적 의무 사항은 없지만, 생체인식정보가 수집·입력될 때 위·변조된 생체인식정보를 이용한 공격에 대한 보안대책을 마련하는 것이 권고됩니다. 여기서 말하는 위·변조된 생체인식정보의 예시로는 인공 지문, 캡처된 얼굴·홍채 이미지, 녹음된 음성 등이 있습니다.2. 이용단계이용단계에서는 수집된 생체인식정보에 대해 사용자가 제공 및 이용 여부를 스스로 결정할 수 있도록 열람·정정·삭제 등의 통제 수단을 제공해야 합니다. 기기 제조사나 서비스 제공자는 사용자의 등록된 생체인식정보를 수정·삭제할 수 있도록 하는 기능을 제공해야 합니다. 또한 생체인식정보를 직접 수집하지 않고 스마트폰 등 기기내에서 처리된 결과를 전송받는 경우에는 이를 해지할 수 있는 기능을 제공해야 합니다. 생체인식정보를 서버로 전송해 처리할 경우, 개인정보 침해사고 발생 시 대규모 피해의 위험이 있으므로 생체인식정보를 수집·입력하는 기기 내의 안전한 영역에서 저장·처리하는 방식을 먼저 고려해야 합니다. 정보통신망을 통해 생체인식정보를 전송해야 하는 경우, 안전한 알고리즘으로 암호화한 후 전송해야 합니다. 3. 저장·파기단계생체인식정보는 저장 시 안전한 알고리즘으로 암호화해 저장해야 합니다. 암호화를 할 때 사용한 암호키는 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립하고 이에 따라 관리해야 합니다. 또한 보유·이용기간이 지나거나 처리 목적이 달성된 경우, 해당 생체인식정보는 지체없이 파기되어야 합니다.특징정보 생성 이후 예외적으로 원본정보를 파기하지 않고 보관하는 경우에는 다른 개인정보와 물리적/논리적으로 분리해 별도로 저장하는 것을 권고합니다. 이는 원본정보가 유출되었을 때 발생할 수 있는 피해를 최소화하기 위함인데요. 관리시에도 원본정보와 다른 개인정보를 매핑하는 공통 식별자는 임의의 값을 사용하도록 권고합니다. 이는 식별자를 통해 원본정보에 해당하는 개인정보가 식별되지 않도록 하기 위한 것입니다. 생체인식정보 관련 해외 입법 동향 미국은 연방차원의 법률은 아직 없으나, 생체정보 및 안면인식 규제·금지를 위한 법안이 다수 발의되었습니다. 미국 일리노이주에서는 2008년 미국 최초로 생체정보 관련 법률을 제정하였습니다. 미국 일리노이주에서 채택한 「생체인식정보 보호법」에 따르면 민간기업이 생체인식정보를 수집·거래하려면 정보주체의 서면 동의가 필요합니다. 미국의 「공무원의 안면감시 시스템 사용규제를 통한 개인정보 보호 및 보안강화에 관한 법률」은 현재 미국 내에서 안면인식정보 관리가 가장 엄격한 법률로 알려져 있습니다. 공무원이 안면감시 시스템 및 데이터를 수집·보유·사용 등을 하거나, 제3자에게 수집·사용 등을 허가하는 것을 금지하고 있으나, 중대범죄수사 등에는 예외를 두고 있습니다. 유럽연합(EU)의 개인정보보호법 GDPR에서는 생체정보를 별도로 정의하고 있으며, 생체인식정보를 민감정보의 하나로 규정하고 있습니다. GDPR 제9조 제1항에서는 개인을 고유하게 식별할 수 있는 생체정보를 민감정보 중 하나로 규정하고 있습니다. 또한 민감정보는 정보주체의 명시적 동의 획득 등의 경우를 제외하고는 원칙적으로 처리가 금지됩니다.유럽의회는 2023년 6월 14일 「인공지능에 관한 통일규범의 제정 및 일부 연합제정법들의 개정을 위한 법안」의 수정안을 채택하였습니다. 수정안에서는 공공장소에서 생체인식기술을 사용해 시민을 감시하거나 수사에 활용하는 것을 전면 금지하였습니다. 지금까지 생체인식정보의 안전한 활용 방안과 국내외 입법 동향에 대해 알아보았습니다. 정보통신산업진흥원의 보고서에 따르면 글로벌 생체인식 시장은 2028년까지 연평균성장률 15%를 기록하며 약 1,050억 달러 규모로 성장할 것으로 전망하였습니다. 또한 코로나19 펜데믹으로 인한 비대면 서비스로의 전환 확대와 기술 발달 등으로 생체정보의 활용 분야가 다양해지고 있습니다. 그러나 동시에 개인의 자유와 권리 침해에 대한 우려도 높아지고 있는데요. 생체정보는 그 자체로 개인식별이 가능한 유일성과, 변경이 불가능한 불변성을 지닌 정보이기 때문에 다른 개인정보보다 더욱 안전하게 취급해야 합니다. 우리나라는 아직 미국, 유럽 등 해외 주요국에 비해 생체정보 보호와 관련한 법률이 충분하지 않지만, 정부에서는 2023년 6월 발표한 개인정보보호 기본계획(2024~2026)의 과제 중 하나로 ‘생체인식 서비스 활성화에 따른 개인정보 법제도 기반 마련’을 포함하였습니다. 생체정보의 활용이 증가하는 만큼 생체정보를 안전하게 활용하기 위한 법령과 가이드라인이 지속적으로 업데이트 되고 있으니, 기업 내부에서도 생체정보 처리에 대한 적절한 관리체계를 수립해야 하며, 생체정보를 제공하는 개인도 이에 대한 숙지가 필요합니다.출처 및 참고자료개인정보보호위원회, 「생체정보 보호 가이드라인」 국회입법조사처, 「생체정보의 안전한 활용을 위한 입법 과제」
-
- 24.02.01
-
신시스토리2024 신시웨이 KICK OFF
2024년 푸른 용띠의 해 ‘갑진년’의 시작과 함께 신시웨이는 강원도 평창에서 모든 임직원이 모여KICK OFF를 개최하였습니다. 이번 KICK OFF는 강원도 평창에 위치한 휘닉스 파크에서 개최되었습니다. 오전 10시까지 서울 본사, 대전지사, 제주지사 각지에서 모인 임직원들이 휘닉스 파크로 집결하여 1일차 액티비티 활동을 각자 선택하여 진행하였습니다. 1일차 액티비티 활동은 스키, 스노우보드, 스노우눈썰매, 워터파크중 선택하여 진행할 수 있었습니다. 장비가 필요한 스키, 스노우보드 활동은 장비 렌트까지 지원해주어 임직원들은 취향대로 선택하여 액티비티를 즐길 수 있었습니다.KICK OFF날짜가 1월이였던 만큼, 스키장의 리프트를 타고 올라가니 1월의 눈내린 설산의 절경을 즐길 수 있었는데요. 스키를 타러 올라간 임직원들은 설산 풍경을 보며 내려올 수 있었습니다. 휘닉스파크에 위치한 블루캐니언 워터파크는 겨울이지만 실내에서 워터파크 및 스파, 사우나를 즐길 수 있었습니다.휘닉스파크 내부에는 유명한 아이리쉬 위스키 제임슨 팝업스토어도 열리고 있었는데요, 무료로 사진을 찍을 수 있는 포토부스도 마련되어 있었습니다. 덕분에 임직원들은 포토부스로 사진을 찍으며 특별한 추억을 남기고 돌아왔습니다.스키장과 워터파크를 즐긴 후 유독 더 맛있게 느껴지는 식사를 할 수 있었는데요, 배부받은 중식권으로 메뉴를 자유롭게 선택하여 식사가 가능했습니다. 몸을 움직이는 활동을 하고 난 이후라서 모든 음식이 맛있었다는 후기였지만, 특히 떡볶이 세트 메뉴가 인기있었다고 합니다.이후에는 Agenda룸에 모여서 대표인사 및 임원진 인사말이 진행되었습니다. 정재훈 대표이사님께서는 2023년도에 신시웨이의 코스닥 상장 등 여러 성과를 이룰 수 있었던 것은 임직원들의 노고 덕분임을 밝히며, 앞으로도 더욱 발전하는 신시웨이가 되길 바란다는 메시지를 전하셨습니다. 또한 2024년도 신시웨이의 구체적인 목표와 더불어 향후 목표를 이야기하시기도 했습니다. 다음 일정으로는 신시웨이 KICK OFF의 전통인 신입사원 발표가 이어졌습니다. 입사한지 1년이 다 되어가는 이제는 신입티를 벗고 충분히 적응했지만, 전 직원들 앞에서 소개할 일은 KICK OFF가 아니면 기회가 없기 때문에 귀중한 시간이기도 합니다. 신입사원들은 각자의 개성이 담긴 자기소개 PPT를 발표하였습니다. PPT 발표를 마친 후 신입사원들에 대한 궁금한 점 등을 물어볼 수 있는 질의응답시간도 이어졌습니다.신시웨이는 매년 10년이상 장기근속자 포상을 진행하고 있습니다. 지금의 신시웨이가 있기까지 아주 큰 기여를 해주신 분들인데요. 이번 장기근속 포상 대상자는 암호화팀의 김동훈 팀장, 대전지원팀의 김의진 팀장이 정재훈 대표이사님으로부터 직접 순금열쇠상패를 수여하였습니다. 그리고 모든 임직원이 기다리던 LUCKY CHANCE 프로그램! 워크샵에서 선물까지 받아가는 행운의주인공은 누구일까요~? 행운의 추첨권 뽑기 이벤트가 진행되었습니다. 상품은 에어팟 맥스, 다이슨 슈퍼소닉 헤어드라이어, 톰포드 향수, 디스커버리 패딩조끼 등 다양한 상품이 준비되었습니다. 모두가 간절히 바랬던 1등 상품 에어팟맥스는 대표이사님이 추첨을 진행했는데요, 클라우드사업팀의 배윤프로에게 돌아갔습니다. 배윤프로는 모든 임직원들의 부러움을 받으며 기념사진까지 촬영했습니다. 오랜만에 모인 킥오프에 단체사진이 빠질 수 없는데요. 행운의 추첨권 뽑기까지 마무리된 후 모든 임직원이 모여서 찍은 단체사진과 함께 공식 일정이 마무리되었습니다. KICK OFF 공식 프로그램을 모두 마친 이후에는 다양한 음식이 준비된 뷔폐로 저녁식사를 마음껏 즐길 수 있었습니다. 다음날 아침에도 조식뷔폐까지 준비되어 있어 배고플 틈이 없는 KICK OFF였습니다. 마지막날은 출발 직전까지 액티비티를 한번 더 즐기며 2024년도 KICK OFF가 마무리 되었습니다. 2024년도의 시작을 눈덮인 아름다운 평창에서 여유를 즐기며 다함께 뜻깊은 시간을 만들 수 있었고, 평소에 업무가 겹치지 않아 교류하기 어려운 임직원간에도 교류할 수 있는 귀중한 시간이었습니다.
-
- 24.01.30
-
IT·보안AI시대, 인공지능의 규제
2023년은 AI에 대한 관심이 그 어느때보다 뜨거웠습니다. 특히 챗GPT를 시작으로 각종 빅테크 기업에서 생성형(Generative)AI에 대한 연구·개발이 이루어지기도 했습니다.AI는 우리 삶을 편리하게 해주지만, 예기치 못한 변수를 만들기도 합니다. 대표적으로 AI를 통한 허위정보 생성, 차별적 발언, 개인정보 유출, 딥페이크 피싱, 보안이슈 등의 문제가 있습니다. 이러한 문제들 때문에 세계각국에서는 AI로 인한 문제들을 예방하고, AI를 올바르게 사용하기 위한 규제를 시행하고 있습니다.생성형 AI, 어떤 문제가 있을까?생성형 AI의 가장 큰 문제는 환각 현상(할루시네이션, Hallucination)입니다. 환각 현상은 생성형 AI가 사실과 관련 없는 정보를 생성하는 것을 뜻하며, AI가 정보를 처리하는 과정에서 발생하는 대표적 오류입니다. 특히 챗GPT에 일어난 적이 없는 역사적 사건을 질문하면 챗GPT는 그 사건과 유사한 사건을 학습한 데이터를 기반으로 그럴듯하지만 잘못된 대답을 생성합니다. 이러한 할루시네이션은 잘못된 정보의 확산 및 윤리적·도덕적 문제로 이어질 수 있습니다.이에 세계적인 국제학술지 네이처(Nature)에서는 지난 6월 생성형AI를 사용한 사진, 비디오, 일러스트, 그래프 이미지 등의 게재를 금지하였습니다. 네이처에서는 법적 저작권 문제 및 허위 정보 확산이 가속화될 수 있어 생성형 AI를 활용해 얻은 데이터나 이미지 사용을 금지하였습니다.생성형AI를 통해 제작된 허위 뉴스를 통한 거짓 정보 확산의 위험도 있습니다. 실제로 미국에서는 특정 집단이 생성형 AI를 통해 바이든 대통령의 음성을 조작하였습니다. 원본 비디오 영상에서는 “우크라이나를 돕기 위해 탱크를 지원하자”는 발언이었으나, 음성 생성AI기술을 통해 트랜스젠더에 대해 비난하는 발언으로 변형되었습니다. 출처: Youtube, SBS뉴스이렇듯 AI로 인해 파생되는 다양한 문제를 해결하기 위해 국제기구·각국의 정부·기업 차원에서 노력을 기울이고 있습니다.유럽의 AI Act2021년 유럽연합위원회(EC)는 AI를 위한 규제 및 법적 프레임워크를 처음으로 제안하였습니다. 이후 2023년 12월 8일 유럽연합 집행위원회(EC)와 유럽의회, EU 27개 회원국 대표는 AI법안에 합의하며 세계 최초로 인공지능 규제를 위한 법 ‘AI Act’를 통과시켰습니다. AI Act는 오는 2026년부터 시행 예정이며, AI를 겨냥한 첫 법률로, 챗GPT와 같은 생성형 AI를 포함한 얼굴 인식, 지문스캔 등 생체인증 툴에 대한 규제도 포함하고 있습니다. AI Act는 AI의 위험성을 분류하고, 투명성을 강화하며, 규정을 준수하지 않는 기업에 벌금을 부과하는 내용 등이 담겨습니다. 이외에도 AI에 대한 포괄적인 규제를 위해 기업에서 준수해야할 내용으로 기술문서작성, EU저작권법 준수, 훈련에 사용된 콘텐츠에 대해 요약을 구체적으로 제공하는 것 등을 포함하고 있습니다. 규정을 위반하는 기업은 750만 유로(약 107억원)에서 최대 3500만유로(약497억원)또는 전 세계 매출 대비 7%에 이르는 벌금을 부과받습니다. 이를 구글이나 마이크로소프트와 같은 기업에 적용할 경우 벌금만 수십억달러(수조원)에 이르는 금액입니다.국내의 인공지능관련 규제 개인정보보호위원회는 2023년 ‘인공지능시대 안전한 개인정보 활용 정책방향’을 발표하였습니다. 해당 정책은 AI를 통한 프라이버시 침해 위험은 최소화하면서, AI의 발전에 필요한 데이터는 안전하게 활용하는 것에 중점을 둔 정책입니다. 이외에도 인공지능 데이터에 관한 개인정보 강화 및 고위험군 인공지능에 대한 규제 필요성에 따라 아래와 같은 법안들이 발의되기도 했습니다.이외에도 미국에서는 AI가 미칠 사회·경제적 타격을 줄이기 위해 연방정부 차원의 조치를 도입한다고 발표하였습니다. AI로 인해 대체될 인간의 일자리에 대해 조사하고, AI가 주도하는 채용 시스템이 각종 차별을 만들지 못하도록 방지하는 지침을 작성할 것으로 보입니다. 또한 개인정보 보호와 관련하여 연방정부가 AI를 활용해 시민들의 정보를 수집할 때 AI기술이 어떻게 사용되는지 공개하도록 하는 내용이 담길 예정이라고 합니다.구글, 메타, MS 등 AI기업7곳에서는 AI로 생성·변조된 음성·영상 콘텐츠를 사용자가 구별할 수 있도록 도와주는 ‘디지털 워터마킹’시스템을 개발할 것임을 밝혔습니다. 디지털 워터마킹이란 사진 등의 데이터에 저작권 등의 정보를 삽입하여 관리하는 기술을 뜻합니다. 특히 AI를 활용한 거짓 사진이나 영상이 다가오는 미국 대선에 영향을 미칠 수 있어 구글에서는 미국 대선 콘텐츠에 AI기술이 쓰였을 경우 이를 밝히도록 요구할 예정입니다.
-
- 24.01.23
-
IT·보안개인정보 처리방침이란?
우리가 인터넷 서비스를 이용할 때 개인정보와 관련하여 ‘동의’와 더불어 가장 많이 접하는 항목은 ‘개인정보 처리방침’ 입니다. 개인정보 처리방침이란 무엇이며, 개인정보 처리 방침 작성 시 법적으로 준수해야 할 사항에는 어떤 것들이 있을까요?개인정보 처리방침이란?개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 개인정보보호법에 따른 기재사항을 포함하여 문서화한 것을 말합니다. 개인정보보호법 제30조에 따르면 모든 개인정보처리자에게는 개인정보 처리방침을 수립 및 공개할 의무가 있습니다. 또한 고객 개인정보를 보유한 개인정보 처리자뿐만 아니라 내부 임직원의 개인정보를 수집 및 이용하는 개인정보 처리자의 경우에도 반드시 개인정보 처리방침을 수립해야 합니다.개인정보 보호법에서는 개인정보 처리자와 개인정보 처리방침에 대해 다음과 같이 명시하고 있습니다.개인정보보호법 제2조 제5호5. ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.개인정보보호법 제30조 제1항① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다.) 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.개인정보 처리방침 필수 내용개인정보보호법 제30조 제1항 및 시행령 제31조 제1항에 따라 처리방침에 필수적으로 포함되어야 하는 내용은 다음과 같습니다.1. 개인정보의 처리 목적2. 처리하는 개인정보의 항목3. 개인정보의 처리 및 보유 기간4. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만)5. 개인정보의 파기절차 및 파기방법(다른 법령에 따라 개인정보를 보존하여야 하는 경우에는 보존 근거와 보존하는 개인정보 항목)6. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만)7. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항8. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처9. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만)10. 개인정보의 안전성 확보조치에 관한 사항개인정보 처리방침 공개개인정보보호법 제30조 제2항과 개인정보보호법 시행령 제31조 제2항에 따라 개인정보처리자는 개인정보 처리방침을 인터넷에 지속적으로 게재해야 합니다. 만약 인터넷 홈페이지에 게재할 수 없는 경우에는 사업장에 게시하거나, 개인정보보호법 시행령 제31조 제3항에 명시되어 있는 대로 관보·간행물·계약서 등에 싣는 방법이 있습니다. 고객 개인정보 없이 내부 임직원의 개인정보만을 수집·이용하고 있는 개인정보 처리자의 경우에는 별도로 임직원용 개인정보 처리방침을 게재해야 합니다. 또한 수립하거나 변경한 개인정보 처리방침은 지속적으로 게시해야 하므로 개인정보처리방침을 개정한다면 이전 버전의 개인정보 처리방침도 확이 가능하도록 링크 등을 통해 공개해야 합니다. 개인정보보호법 제30조 제2항② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.개인정보보호법 시행령 제31조 제2항, 제3항③ 개인정보처리자는 법 제30조 제2항에 따라 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다.1. 개인정보 처리자의 사업장 등의 보기 쉬운 장소에 게시하는 방법2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법개인정보 처리방침은 어떻게 만드나요?개인정보 처리방침 작성이 어려운 개인정보 처리자들을 위해 개인정보 포털에서는 ‘개인정보 처리방침 만들기’ 서비스를 제공하고 있습니다. ‘개인정보 처리방침 만들기’서비스를 통해 목적과 범위에 맞는 개인정보 처리방침을 쉽게 작성할 수 있습니다. 또한 개인정보 처리방침 작성시 개인정보보호위원회와 KISA에서 공개한 개인정보처리방침 작성 가이드라인을 참고할 수 있습니다.
-
- 24.01.18
-
![[이벤트] 2024 푸른 용띠의 해 목표를 공유해용](https://www.sinsiway.com/data/bbsData/thumbnail-17043617175502.png)
이벤트[이벤트] 2024 푸른 용띠의 해 목표를 공유해용
2024년은 60년 만에 돌아온 '푸른 용의 해'입니다. 용의 기운을 받아 2024년에는 꼭 이루고 싶은 목표나 소망이 있으신가요? 신시웨이와 함께 새해목표 공유하고 기프티콘도 받아가세요.*당첨자 발표*김*수 (4249) / 문*현 (3463) / 송*민(4650) 우*아(4785) / 전*영 (8613) / 정*교(2610) / 정*재 (3967)
-
- 24.01.05
-
IT·보안2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망
과학기술정보통신부, 한국인터넷진흥원은 사이버 위협 인텔리전스 네트워크와 함께 사이버 위협에 대한 선제적 예방 및 대응체계 강화를 위해 「2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망」을 발표하였습니다. 2023년 사이버 보안 위협 보안프로그램 취약점과 SW개발자 대상 공급망 공격 확대국내에서는 온라인 금융거래를 이용하기 위해 개인용 컴퓨터에 보안 인증 프로그램을 설치해야 합니다. 또한, 기업에서 보안 강화를 위한 프로그램을 안전하게 사용하려면 수시로 보안 업데이트를 해야 합니다. 이때 필요한 프로그램을 대상으로 하는 소프트웨어 공급망 공격이 올해 특히 많이 발생하였습니다.SW공급망 공격은 초기 탐지와 조치가 어렵고 그 파급력도 크기 때문에 공격자들에게는 매우 효율적인 공격으로 이용되고 있고, 이러한 SW공급망 공격은 앞으로도 계속 증가할 것으로 예측됩니다. 개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산‘Meta’ 사칭해 기업 페이스북 계정 노리는 피싱 메일 유포텔레그램’ 업데이트 메시지? 개인정보 빼가는 해킹 메시지경찰관까지 당하는 ‘부고장 스미싱’…피해액 4년간 8배 급증포털이나 메신저 등 이용자가 많은 서비스를 정교하게 사칭하여 이용자 개인정보를 노리는 사회공학적 기법의 피싱 공격이 갈수록 진화하고 있으며, 유출된 개인정보를 이용하여 또 다른 피해로 연결되는 사례도 급증하였습니다. 실제로 2023년 피싱 사이트의 탐지 및 차단 건수는 전년대비 약 1.8배 증가하였습니다.지난 7월 텔레그램 공식 계정인 것처럼 위장한 피싱사이트를 통해 개인정보와 인증번호 입력을 요구하여 계정을 탈취하고, 탈취한 계정에 등록된 지인들에게 마치 본인이 보낸 것처럼 피싱사이트 주소를 전달하는 새로운 해킹 수법이 나타났습니다. 또한 택배 배송이나 교통범칙금, 지인부고 등을 사칭하는 문자메시지에 링크주소(URL) 클릭을 유도하여 악성파일을 설치하려는 스미싱 문자가 올해 대량 유포되는 등 문자나 메신저 채팅을 이용한 해커들의 공격도 끊임없이 확산되고 있습니다.크리덴셜 스터핑(Credentail Stuffing)이란 타 사이트에서 수집한 사용자의 계정정보를 무작위로 대입하여 로그인을 시도하는 공격방식입니다. 크리덴셜 스터핑을 통해 하나의 로그인 정보만 탈취하면 다른 계정도 함께 유출되기 때문에 위험할 수 있습니다.2023년에는 국내 기업과 기관들을 대상으로 하는 크리덴셜 스터핑 공격이 연이어 발생하였습니다. 인터파크 78만건, 한국고용정보원에서 23만건의 개인정보가 유출되었으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산되기도 했습니다. 각 기업, 기관들은 로그인 시도 횟수 제한, 2차 인증 기능 도입 등 이용자 인증 관련 보안성을 더욱 강화할 필요가 있습니다.랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박기업 내부의 산업 기밀정보 유출과 함께 데이터 암호화를 통한 복구 비용 지불을 요구하는 금전 취득 목적의 공격이 지속적으로 발생하였으며, 국가 배후의 해킹 그룹이 상대국의 중요 인프라의 운영을 방해할 목적으로 랜섬웨어 공격을 실행하기도 했습니다. KISA 침해사고 신고를 분석해보면 사이버 보안 위협은 매년 지속적으로 증가했지만 랜섬웨어 공격 건수는 작년대비 감소하였습니다.하지만 최근 랜섬웨어 공격은 주로 중소기업과 제조업종을 대상으로 하여 먼저 기업의 기밀정보를 빼내고, 운영서버와 백업서버 자료까지 찾아 암호화하여 금전을 요구하는 복합적인 방식으로 이루어졌습니다.KISA 침해사고 신고를 분석해보면, 사이버 보안 위협은 매년 지속적으로 증가했지만 랜섬웨어 공격 건수는 작년대비 감소하였습니다. 하지만 최근 랜섬웨어 공격은 주로 중소기업과 제조업종을 대상으로 기업의 기밀정보를 빼내고, 운영서버와 백업서버 자료까지 찾아 암호화하여 금전을 요구하는 복합적인 방식으로 이루어져 공격 양상이 더욱 악랄해졌습니다. 랜섬웨어 피해를 신고한 중소기업의 약 50.3%는 데이터 백업체계를 구축하였으나, 나머지 기업들은 여전히 데이터 복구에 어려움을 겪고 있는 것으로 보입니다.2024년 사이버 보안 위협 전망피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격해킹 그룹은 인터넷에 무상으로 공개된 소스 코드나 SW들을 프로그램 개발자들이 많이 이용하는것을 악용해 유명한 오픈소스를 사칭하거나 변조된 코드를 배포하여 개발자 대상 공격을 확대해 나갈 것입니다. SW공급망을 통한 공격 시도도 계속 증가할 것으로 보이며, SW제작과 운영단계에서 악성코드가 포함되어 배포되면 고객사 등 다른 이용자에게도 연쇄적인 피해를 줄 수 있습니다.생성형 AI를 악용한 사이버 범죄 가능성 증가챗GPT를 화두로 한 생성형 인공지능(AI)기술의 급속한 발전은 다양한 분야에서 혁신을 가져왔습니다. 그러나 생성형 AI는 사용자가 보안에 대한 전문적인 지식이 없더라도 손쉽게 악성코드 제작뿐 아니라 취약점 확인, 음성 위변조 등 다양한 사이버 공격에 악용될 수 있는 위험성도 내포하고 있습니다.실제로 공격 대상이 쉽게 속을 수 있도록 정교하게 이메일 본문을 작성하고, 악성 프로그램을 제작해주는 등 피싱 이메일 공격을 도와주는 생성형 인공지능(AI)기반의 사이버 범죄 도구가 최근 발견되기도 했습니다. 이에 따라 생성형 인공지능(AI)을 악용하는 사이버 범죄에 적극적으로 대응할 수 있는 관련 보안기술의 필요성도 높아지고 있습니다.정치, 사회적 이슈를 악용하는 사이버 위협 고조2024년은 국내외 대규모 정치적 행사가 예정되어있습니다. 한국의 국회의원 총선거, 미국의 대통령 선거 등이 예정되어 있어 그 어느 해보다도 정치, 사회적으로 많은 이슈와 관심이 집중될 것으로 예상됩니다. 이처럼 국가적인 중요한 행사가 있을 때 사회 혼란을 노리는 사이버 위협 가능성도 함께 높아집니다. 해킹 그룹은 목표물을 공격하기 위한 사전작업으로 목표 관계자와 주변을 SNS로 확인하고, 피싱 공격, 악성코드 감염, 해킹 등을 통해 얻은 시스템 관리자 등의 계정정보를 이용합니다. 지금까지 과학기술정보통신부와 KISA에서 발표한 2023년 사이버 보안 위협 분석 및 2024년 전망에 대해 알아보았습니다. 공격자들은 사회, 경제 전반의 디지털 전환 흐름에 따라 새로운 취약점을 찾아 진화하고 있다고 합니다. 따라서 기관, 기업 등 조직은 단순히 보안시스템을 도입하는 것을 넘어 만일의 상황에 대비하여 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 반복하여 점검하고 강화해야 할 것입니다.출처 및 참고자료2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망
-
- 24.01.02
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.