-
IT·보안관계부처 합동, 「가명정보 활용 확대방안」 발표
|가명 정보란?정보지만 누구의 정보인지 알 수 없는 정보는 무엇일까요? 가명정보라고 합니다. 가명정보는 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 식별 가능성을 낮춘 개인정보를 의미합니다. 2020년 8월, 데이터 3법의 개정과 함께 개인정보 보호법에 가명정보의 처리에 관한 특례의 신설로 가명정보 제도가 도입되었습니다.기존에는 기업에서 특정 목적을 갖고 수집한 개인정보에 대해 개인정보 처리의 목적이 변경되는 경우, 정보주체로부터 재동의를 받아야 했습니다. 그러나 개인정보보호법에 가명정보의 처리에 관한 특례가 신설되면서 통계작성, 과학적 연구, 공익적 기록보존 등의 목적일 경우 정보주체의 동의 없이 가명정보를 처리할 수 있게 되었습니다. 가명정보는 추가 정보 없이는 특정 개인을 식별할 수 없기 때문에 데이터를 안전하고 폭넓게 활용할 수 있습니다. 특히 개인정보, 민감정보 등 주요 데이터를 보유한 기업에서 데이터를 보다 유연하게 활용할 수 있습니다. |가명정보 처리 시 보호 의무1. 가명처리 절차개인정보를 가명처리 할 때 개인정보보호위원회에서 발간한 가명정보 처리 가이드라인에서 명시하고 있는 단계 및 절차에 따라 안전하게 처리되어야 합니다.출처: 개인정보보호위원회, 가명정보 처리 가이드라인2. 안전성 확보 조치가명정보를 처리할 때에는 관리적, 기술적, 물리적 보호조치가 필요하며, 특정 개인을 알아볼 수 없도록 추가 정보를 안전하게 관리하여야 합니다.2023년 9월 15일 시행되는 개정안에서는 가명정보 처리 기록 3년이상 보관하도록 의무조항이 개정되었고, 가명정보의 처리목적 등을 고려하여 가명정보의 처리기간을 별도로 정할 수 있는 조항이 신설되었습니다.3. 재식별 금지 의무가명정보를 처리할 시 특정 개인을 알아보기 위한 목적으로 처리하면 안 되며, 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성되어 재식별된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체없이 회수·파기하여야 합니다. |가명정보 활용 확대방안 추진 가명정보에 대한 활용 수요가 지속적으로 증가할 전망임을 감안할 때 가명정보 제도 활용 시 제기되는 다양한 문제들을 개선하고, 안전한 데이터 활용 체계를 마련하기 위해 「가명정보 활용 확대방안」이 추진되었습니다.「가명정보 활용 확대방안」주요 내용은 다음과 같습니다.1. 양질의 데이터 제공·공유 확대그간 공공기관들이 개인정보가 포함된 데이터를 가명처리하여 제공하는 과정에서 담당인력 부재 등의 내부, 외부적 요인으로 가명정보 제공에 소극적이었습니다. 이에 정부는 공공데이터의 개방·활용 촉진을 위해 개인정보가 포함된 공공데이터를 가명처리하여 공공·민간에 제공·활용이 가능함을 「공공 데이터법」 및 「데이터기반행정법」을 통해 명확화하였습니다. 또한 최근 수요가 증가하고 있는 영상, 음성, 텍스트 등 비정형 데이터를 안전하게 가명처리하여 AI학습, 자율주행 기술개발 등에 활용할 수 있는 기준을 「가명정보 처리 가이드라인」에 반영할 예정입니다.가명처리된 건강보험 데이터의 활용 촉진을 위한 지침 개정 등 양질의 보건의료 데이터 민간활용 가속화도 추진 계획입니다.2. 가명정보 활용 절차 합리화가명정보 처리·활용 기준을 합리적으로 개선하여 원활한 가명정보 활용을 촉진하기위해 다음과 같은 절차가 진행될 예정입니다.우선 개인정보 보호법과 신용정보법간 상이한 전문기관 지정기준을 합리화하고 결합신청 절차를 간소화하여 법률간 차이로 인한 데이터 수요자의 불편을 해소할 수 있습니다. 또한 보건의료데이터 활용성 제고를 위해 가명정보 개방·활용 및 결합 절차·제도를 개선합니다.3. 가명정보 활용 지원 확대정부는 데이터 처리의 환경적 안전성을 높임으로써 가명정보를 보다 유연하게 활용할 수 있도록 개인정보 안심구역을 시범 도입합니다. 가명처리 역량과 인력이 부족한 중소기업 및 스타트업에 대한 지원을 강화하여 데이터 활용 사각지대를 해소하고 데이터 가공 과정에 대한 데이터바우처와 가명정보 전문인력 에 대한 지원을 강화합니다. 정부에서 발표한 가명정보 활용 확대방안으로 민간기업 및 공공기관에서 가명정보가 다양한 서비스에 활용되면서 데이터 활용의 중요 수단으로 자리잡을 수 있을 것으로 기대됩니다. 가명정보를 통해 정보주체의 동의 없이도 데이터를 유용하게 활용할 수 있지만, 안전성 확보, 재식별 금지 등 보호 의무를 준수하여 활용해야 할 것입니다. 가명정보에 대한 보다 상세한 자료는 개인정보보호위원회 사이트에서 가명정보 처리 가이드라인 등을 확인하실 수 있습니다.출처 및 참고자료개인정보보호 법령 및 지침가명정보 처리 가이드라인가명정보 활용 확대 방안
-
- 23.08.02
-
IT·보안정보보호의 달 맞이 보안 수칙
정보보호의 날매년 7월 둘째 주 수요일은 사이버 공격을 예방하고 정보보호의 중요성을 알리는 ‘정보보호의 날’입니다. 정보보호의 날은 사이버 위협 예방과 국민들의 정보보호 생활화를 위해 지정한 법정기념일이지만 공휴일은 아닙니다. 정보보호의 날은 2009년 7월 7일 발생한 디도스(DDoS) 대란을 계기로 지정되었습니다. 디도스(DDoS)공격으로 사람들의 개인정보를 비롯한 많은 정보들이 공격당했고, 우리나라의 네트워크가 마비되는 사건이 발생하였습니다. 이후에도 지속적인 사이버상의 범죄로 인해 정부기관과 국가 주요 시설, 민간기업 등이 큰 피해를 입으면서 사이버 보안의 중요도가 높아졌습니다. 따라서 정부부처가 공동으로 사이버 공격을 예방하고 국민의 정보보호 문화와 인식을 생활화하기 위한 목적으로 정보보호의 날을 제정하였습니다. 개인정보보호 실천 수칙 KISA. 비밀번호는 타인이 쉽게 유추하지 못하도록 설정하기, , , 38. 개인정보 동의 시 동의 내용을 꼼꼼히 확인하고 체크하기, 3.SNS, 사진이나 동영상을 업로드 할 때 이름이나 주소연락처 등 개인정보가 노출되지 않았는지 한번 더 확인해보아야 합니다4. , SNS, 2다른 기기에서 로그인 시 한번 더 본인확인을 하도록 설정하면 안전합니다5. , 택배 송장카드영수증에 남아있는 주소연락처카드 정보 등이 범죄에 악용되지 않도록 주의해야 합니다 신시웨이의 DB보안 솔루션 Petra Petra Cipher DB. 는 개인정보 보호법 및 개인정보의 안전성 확보조치 기준 등 개인정보 보호 관련 법규를 준수하는 신시웨이의 접근제어 솔루션입니다사용자 사용자 명 등 다양한 속성 기반의 접근권한 통제로 중요 정보에 대한 불법적인 유출 및 변경을 차단합니다이외에도 실시간 모니터링다양한 보고서계정별 권한분리 등 다양한 기능을 제공하고 있습니다Petra CipherCCDB , . , , .데이터의 중요성이 강조되고그만큼 보안은 더욱 중요해지고 있습니다신시웨이의 솔루션을 통해 기업의 중요 보안을 강화할 수 있습니다출처 및 참고자료 개인정보보호위원회
-
- 23.07.18
-
IT·보안보안과 데이터 활용을 동시에, 동형암호
데이터경제시대라 불릴 만큼 데이터의 활용이 중요해지는 요즘, 가명정보의 활용과 보안에 대한관심이 높아지고 있습니다. 2020년 데이터3법 개정과 함께 가명정보의 개념이 새롭게 정리되면서 정부에서는 통계학적·연구적·공익적 등을 목적으로 가명정보를 결합하여 활용하도록 하고 있습니다. 그러나 가명정보를 효율적으로 사용하기 위해서는 데이터의 결합을 필요로 합니다. 이때 정보유출 발생가능성이 높아지는데 이때 필요한 암호화 방법이 4세대 암호화 기법 동형암호입니다.출처: 과학기술정보통신부 보도자료 「안전한 데이터 활용을 위한 동형암호 기술 실증」동형암호는 암호화된 데이터의 복호화 없이 암호문의 연산이 가능하기 때문에 데이터를 처리하는 중간과정에서 복호화하지 않아도 되어 데이터 유출 위험이 감소한다는 장점이 있습니다. 반면 동형암호를 통해 암호화된 데이터는 수십배 이상 크기가 증가하여 저장공간을 많이 차지하며, 암·복호화 속도가 기존 알고리즘에 비해 저하됩니다. 또한 연산 종류에 따른 속도의 차이가 크다는 한계가 있습니다.동형암호의 종류'동형암호는 다음과 같이 지원하는 연산을 기준으로 나뉩니다. 완전동형암호를 통해 머신러닝, 딥러닝 등의 데이터 분석을 동형암호화된 채 수행할 수 있기 때문에 최근에는 완전동형암호가 주목을 끌고 있습니다.4차산업혁명 시대에서는 데이터가 중요한 자원 중 하나입니다. 데이터기반 산업이 증가하면서 기업내에서의 방대한 양의 데이터 수집이 증가하고, 데이터3법의 개정으로 인해 기업에서는 개인정보 등의 민감한 데이터를 수집·분석하여 활용하는 사례가 증가하고 있습니다. 이러한 과정에서 민감한 정보가 노출될 가능성이 있으며, 특히 많은 양의 데이터를 복호화할 경우 기술적, 비용적으로 큰 부담이 될 수 있습니다.동형암호화 활용 사례경기도에서는 ‘코로나 동선 안심이’앱에 동형암호를 적용하였습니다. 동형암호화 기술을 통해 개인정보의 유출 없이 2주간의 동선이 확진자의 공개동선과 10분이상 겹쳤을 경우 알림을 받을 수 있었습니다. 와이파이 접근정보, GPS접근 정보 등 위치정보가 저장된 앱을 사용하고 위치 확인을 위해 위치정보를 동형암호화하여 전송하면 암호화된 상태에서 확진자와의 동선을 비교해준 후 결과값을 다시 사용자의 앱으로 보내면 암호키를 보유한 사용자가 데이터를 복호화하여 확인할 수 있습니다.2018년 11월 한국스마트인증에서는 완전동형암호와 홍채인식을 접목한 생체정보 활용 인증기술‘동형홍채인증’을 세계최초로 발표하기도 했습니다. 생체정보 입력 시 동형암호 기술을 이용해 데이터를 암호화한 후 입력하면, 암호화 상태에서 원본 데이터와 비교해 인증을 진행함으로써 데이터 유출을 방지할 수 있습니다. 생체인식에 동형암호를 접목하여 출입통제에 사용하는 생체정보를 유출위험없이 안전하게 처리할 수 있었습니다.신한금융지주는 스타트업 기업 크립토랩과 함께 보험계약 데이터와 대출고객 데이터를 동형암호로 결합하였습니다. 이번 기술 검증을 통해 신한금융은 고객의 민감 정보를 안전한 환경에서 수집·이용할 수 있게 되었습니다. 세계적인 기업 마이크로소프트는 비밀번호 유출조회 서비스 Password Monitor를 Edge사용자를 대상으로 제공하였습니다. 동형암호 기술을 기반으로 한 이 서비스는 사용자의 사용자의 비밀번호에 대한 접근 없이 비밀번호 점검 서비스를 제공합니다.출처 및 참고자료Gartner, 3 Themes Surface in the 2021 Hype Cycle for Emerging Technologies
-
- 23.07.17
-
IT·보안2023년 국내 클라우드 컴퓨팅 도입 현황 조사 및 전망
클라우드는 이제 신기술로 분류하기 어려울 만큼 대중적인 IT인프라로 자리잡았습니다. 세계 최대의 테크놀로지 미디어, 데이터, 마케팅 서비스 기업 IDG KOREA에서는 2023년 국내 클라우드 컴퓨팅 도입 현황 조사 및 전망에 대한 보고서를 발표하였습니다.해당 설문조사는 2023년 2월 14일부터 2023년 3월 7일까지 총 555명의 국내 기업 IT전문가가 참여하였습니다. 응답자의 소속 업종은 소프트웨어/플랫폼 등의 IT솔루션이 29.2%로 가장 많았고, 제조업이 16.4%, IT SI업종이 11.4$를 차지하였습니다.국내 클라우드 컴퓨팅의 현실 국내 기업의 클라우드 도입은 코로나19펜데믹 시기에 빠르게 증가한 후 잠시 둔화된 것으로 보입니다. 거의 대부분 업무를 클라우드에 활용한다는 응답은 지난해보다 1%p미만으로 줄었지만, 미션 크리티컬 업무를 제외한 모든 업무 또는 일부 업무에 클라우드를 활용하겠다는 응답은 1~2%p내외로 증가하였습니다.클라우드 컴퓨팅의 사용 용도는 개발 및 테스트의 용도가 꾸준히 높은 응답을 유지하였습니다. 한창 상승세였던 빅데이터, 분석, BI는 2018년이후로 지속적으로 상승하였으나 2022년에 크게 감소하였습니다. ‘유연하고 탄력적인 IT자원 활용’ 항목이 2018년부터 5년간 가장 높은 클라우드에 대한 기대효과로 나타냈습니다. 실제로 클라우드는 물리적인 환경에 비해 언제 어디서나 활용이 가능하여 유연하고 탄력적이라는 장점이 있습니다. 비용 절감에 대한 기대효과는 2018년에는 두번째로 높았으나 이후로는 계속해서 감소하는 추세를 보였습니다. 멀티클라우드에 대한 인식 멀티 클라우드란 2개 이상의 퍼블릭 또는 프라이빗 클라우드를 이용하여 하나의 서비스를 운영하는 것을 말합니다. 멀티클라우드를 통해 업체 종속성을 방지하고 단일클라우드의 취약점을 보완할 수 있습니다. 응답자의 40%이상이 각각 비용 최적화, 위험 완화, 업체 종속 방지 등을 이유로 멀티클라우드를 지향한다고 답하였습니다. 그러나 멀티클라우드는 장점만큼이나 실제 도입 및 활용 과정이 쉽지 않은 것으로 알려져 있습니다. 여러 곳의 클라우드 서비스를 사용하는 것이 관리나 보안 측면에서는 쉽지 않기 때문입니다. 응답자 중 62.9%가 멀티 클라우드 도입 시 자원 및 비용의 통합관리를 어려움으로 선정하였습니다. 또한 36.3%가 보안을 어려움으로 선정하며, 클라우드의 보안환경 구축이 필요하다는 것을 알 수 있습니다.클라우드 비용 지출 사용한만큼만 지불하는 것이 클라우드의 모토이자 장점이지만, 클라우드 도입이 자원의 효율적인 활용을 보장하지는 않습니다. 즉, 클라우드 자원이라도 방만하게 사용한다면 자원과 예산은 낭비됩니다. 최근 클라우드 활용도가 높은 기업을 중심으로 비용 최적화에 대한 관심이 커지고 있기도 합니다. 클라우드 비용 최적화에 관한 설문에서는 클라우드를 활용하는 기업 중 절반에 가까운 47.1%가 클라우드 비용을 계획대로 지출한다고 답하였습니다. 그러나 계획보다 약간 혹은 훨씬 많이 지출한다는 응답이 35.7%로 계획보다 약간 혹은 훨씬 적게 지출한다는 응답 17.2%보다 2배 이상 많았습니다. 적지 않은 기업의 클라우드 비용이 예상대로 지출되지 않는다는 것을 알 수 있습니다.클라우드의 도입 및 활용 과정의 어려움을 묻는 설문 결과에 따르면, 클라우드 전문 인력 확보는 여전히 많은 기업이 안고 있는 과제입니다. 클라우드 보안 기술 및 인력 부족은 지난 해 조사보다 증가한 42.6%로 1위를 차지하였습니다. 또한 클라우드 관리 기술 및 인력 부족(28.7%), 클라우드 개발 기술 및 인력 부족(20%)도 높은 응답률을 기록하였습니다.클라우드 비용 통제는 42%로 지난해보다 8%증가하며 2위를 기록하였습니다. 이전보다 많은 기업들이 클라우드 비용 통제를 고민하고 있는 것으로 추정할 수 있습니다. 거버넌스/컴플라이언스 또한 24.2%로 이전보다 응답률이 높아졌는데, 클라우드를 기업의 핵심 IT인프라로 이용하기 위해서는 더 엄격한 관리와 통제가 필요하기 때문입니다. 국내 클라우드 컴퓨팅에 대한 전망 이번 보고서 결과에 따르면, 국내 클라우드 컴퓨팅은 꾸준한 성장과 함께 지속적으로 새로운 과제를 만들어내고 있습니다. 관리 편이, 사용량 및 장소의 유연성 등 다양하고 편리한 클라우드의 장점으로 대기업은 물론 중소기업까지도 클라우드의 이용은 확대될 것으로 보입니다. 그러나 클라우드 컴퓨팅에 대한 수요가 늘어나는 만큼 보안노출 등의 사고가 발생하지 않도록 엄격한 관리 또한 필요할 것입니다.출처 및 참고자료IDG Korea, 2023년 국내 클라우드 컴퓨팅 도입 현황 조사 및 전망
-
- 23.07.11
-
IT·보안내 개인정보도 혹시? 크리덴셜 스터핑
인터넷 포털사이트, SNS 등 다양한 서비스를 이용하기 위해서는 아이디와 비밀번호를 통해 가입해야 합니다. 가입 시 혹시 동일한 비밀번호를 사용하여 가입하시나요? 같은 비밀번호를 반복하여 사용할 경우 해킹의 위험에 노출될 수 있습니다. 크리덴셜 스터핑(credential stuffing)이란?크리덴셜 스터핑(credential stuffing)은 여러가지 경로로 수집한 사용자들의 로그인 정보(Credential)를 다른 사이트에 무작위로 대입(Stuffing)하는 공격 방식입니다. 즉, 대량의 아이디와 비밀번호를 무차별적으로 여러사이트에 자동화 대입하여 로그인을 시도합니다. 대부분의 사용자들은 동일한 비밀번호를 여러 서비스에서 재사용하기 때문에 다른 사이트에서 유출된 정보를 이용한 2차, 3차 공격이 가능합니다. 크리덴셜 스터핑 방식은?크리덴셜 스터핑 공격은 성공 확률이 0.1~0.2%로 다른 해킹 공격에 비해 성공확률이 높은 편입니다. 과거에는 개인정보를 무작위로 대입해가며 로그인 시도를 했으나, 이제는 실제 개인정보를 획득하여 대입하기 때문에 성공확률이 더욱 높습니다. 주로 다크웹 등에서 획득한 정보 혹은 이전의 데이터 사고를 통해 유·노출된 사용자 계정 정보를 활용하여 공격합니다. 따라서 한 개의 사이트가 해킹을 당한다면 해킹당한 사이트와 동일한 로그인 정보를 사용하는 곳들은 잠재적 위협에 노출될 수 있습니다. 해커들은 이렇게 불법으로 탈취한 계정 정보를 판매하거나, 금융, 핀테크, 암호화폐 등을 탈취하는 등 2차 피해를 발생시킵니다. 크리덴셜 스터핑 사례글로벌 테크놀로지 기업 아카마이 보고서에 따르면 2020년 한 해동안 전 세계 금융업계를 대상으로 총 41억건의 보안 공격이 발생했으며, 그 중 83%인 34억건이 크리덴셜스터핑 공격이였습니다. 실제로 우리나라에서는 지난 2020년, 유명 배우를 비롯한 연예인들의 개인 스마트폰 및 SNS가 해킹되는 사건이 있었습니다. 해킹 방식은 크리덴셜 스터핑 방식을 통해 해킹된 것으로 드러났습니다. 해커가 유명 연예인들의 개인정보를 입수하여 클라우드 계정에 접근 한 후 개인정보를 유출한 것입니다. 이외에도 대형 마트, 교육 및 공공 등 분야를 가리지 않고 크리덴셜 스터핑을 통한 개인정보 유출 사고가 발생하고 있습니다. 특히 공격자들은 국내 유명 포털 로그인 페이지로 위장하는 등 다양한 형태로 사용자의 개인정보를 수집하기도 합니다. 예방하는 방법크리덴셜 스터핑 공격을 방지하기 위해서는 사용자들이 각 서비스마다 다른 비밀번호를 사용하는 것이 좋습니다. 만약 비밀번호를 모두 다르게 설정하는 것이 어렵다면, 최소한 2단계 인증을 설정해야 합니다.2단계 인증이란 비밀번호 이외에 또다른 정보를 입력한 후 로그인하는 방식으로, 예를 들면 SMS로 전송되는 인증코드 입력 등이 있습니다. 계정 정보가 유출되더라도 인증코드 등을 통해 추가정보를 확인해야 하기 때문에 계정에 접근하기 쉽지 않습니다.크리덴셜 스터핑을 예방하기 위해 서비스 제공업체들은 비밀번호 재사용을 방지하기 위해 비밀번호 정책을 강화하고, 2차 인증 방법을 도입하여 보안을 강화해야 합니다.또한 개인정보의 기술적·관리적 보호조치기준 제4조 5항에서는 개인정보를 처리하는 기업의 비인가 접근 탐지를 규정하고 있습니다.개인정보의 기술적·관리적 보호조치기준 제4조(접근통제)⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 이처럼 크리덴셜 스터핑은 점점 악명높은 방식으로 사용자들의 계정을 탈취하고, 악용하고 있습니다. 편리한 서비스를 이용하기 위해 우리의 계정정보를 제공하는 만큼 개인정보를 보호하기 위해 더욱 노력을 기울여야 할 텐데요. 개인정보 유·노출 피해를 줄이면서도 안전한 서비스 이용을 위해 사용자뿐만 아니라 서비스 제공업체, 기업들의 노력이 더해져야 할 것입니다.
-
- 23.07.04
-
IT·보안비밀번호 없이 로그인 가능한 ‘패스워드리스’시대가 온다.
비밀번호, 어떻게 관리하세요? 우리는 수많은 서비스를 이용하기 위해 ID와 비밀번호를 이용하여 회원가입, 로그인을 해야합니다. 비밀번호를 설정할 때에는 영어와 숫자, 특수문자를 포함한 최소 10자이상으로 설정해야 하며, 이렇게 설정한 비밀번호는 최소 6개월 주기로 변경하는 것이 안전합니다. 하지만 대부분 사용자들은 기존에 사용했던 비밀번호를 재사용하거나 비슷한 패턴으로 변경합니다. 그러나 이렇게 설정한 비밀번호는 해킹위협에 노출되기 쉽다는 점 알고 계신가요? 해외 시장조사기관 FMI(Future Market Insights)에 따르면 해킹사례의 원인 중 80%는 재사용된 비밀번호이지만 90%이상의 사용자가 대부분 계정의 암호를 재사용하고 있습니다. 따라서 글로벌 IT기업에서는 비밀번호 없이 보안을 유지할 수 있는 패스워드리스 방식을 고안하고 있습니다. 패스워드리스란(passwordless)? 비밀번호를 뜻하는 Password 뒤에 ‘~이 없는’이라는 뜻의 접미사 -less를 붙인 패스워드리스는 인식, 지문, 개인식별번호(PIN)등으로 사용자 신원을 확인하는 로그인 방식입니다. 한번 로그인 하면 재차인증을 요구하지 않는다는 점에서 2차 인증과는 다르며 어려운 비밀번호를 기억하지 않아도 된다는 편리함이 있습니다.해외 시장조사기관 FMI(Future Market Insights)에 따르면 전세계 패스워드리스 시장은 2022년 약 19조원의 규모에 이를 정도로 성장하였고, 연평균 15.3% 성장하여 2032년에는 약 80조원의 규모를 이를 것으로 보았습니다. 대표적인 패스워드리스 방식에는 FIDO가 있습니다. FIDO란 Fast Identity Online의 약자로, 아이디와 비밀번호 대신 지문인식과 안면인식, 개인식별번호(PIN)등의 인증방식을 통해 웹과 앱에서 로그인하는 보안방식입니다.FIDO는 로컬인증과 원격인증으로 나눌 수 있습니다. 로컬인증은 생체인증 정보 관리가 사용자가 보유한 디바이스 내에서 이루어집니다. 원격인증은 단말기에서 생성된 인증 결과가 서비스 서버로 전달되어 만약 노출되더라도 재사용 불가능한 무의미한 값으로 구성되어 있습니다. 따라서 FIDO기술로 생채인증 진행 시 생채정보가 온라인상에 노출되지 않아 안전합니다. 기업들의 패스워드리스 도입 구글, 애플, 마이크로소프트에서는 이미 FDIO연합의 비밀번호 인증규격을 지원해왔으나, 지원 및 도입을 더욱 확대할 방침임을 밝혔습니다. 또한 올해 1월 4일 네이버는 국내 포털업계 최초로 본인인증 로그인을 도입하였습니다. 네이버 앱 환경에서 사용자 동의 후 본인인증을 하고, 본인인증이 완료되면 아이디/비밀번호 입력단계를 생략하고 로그인이 가능합니다. 네이버에서는 우선적으로 구글 안드로이드 앱에 도입하였으며, IOS 및 PC웹까지 확대 적용할 방침이라 하였습니다. 금융감독원에서는 은행 내부 직원의 시스템 접근 통제를 강화하기 위한 생체인증 도입을 추진하고 있습니다. 출처 및 참고자료 Future Market Insights, Leadership Compass on Passwordless Authentication
-
- 23.06.21
-
IT·보안아무것도 신뢰할 수 없다, 제로트러스트(Zero Trust)
이제 기업의 대부분의 업무 및 관리는 IT 시스템을 통해 이루어지고 있습니다. 따라서 회사의 중요 데이터가 유출되지 않도록 IT시스템의 올바른 관리와 보안이 필요합니다. IT보안을 이야기할 때 빠지지 않는 개념으로는 ‘제로 트러스트’가 있습니다. 제로트러스트(Zero Trust)는 단어 그대로 신뢰가 없다, 즉 ‘아무도 신뢰하지 마라’는 뜻을 전제로 하며, 내부 시스템에 접속하는 모든 것을 철저히 검증하는 보안 방식입니다. 즉, 제로트러스트는 내부자나 기기의 여부에 관계없이 철저하게 검증하고 권한을 부여한 후에도 접근권한을 최소화합니다. 제로트러스트의 등장 배경제로 트러스트가 등장한 것은 2010년도인데요, 세계적인 연구기관 포레스터 리서치(Forrester Research) 보안위협팀의 존 킨더백 수석 애널리스트가 처음 제안하였습니다. 2010년에 등장하였지만 최근 제로트러스트가 다시 화두가 된 이유는 무엇일까요?가장 큰 이유는 기업들의 온프레미스(On-premise)환경에서 클라우드(Cloud)환경으로의 전환으로 인한 새로운 보안방식의 필요성이 증가한 것이 있습니다. 클라우드 전환을 통해 내·외부 네트워크의 경계가 사라지고, 접속을 시도하는 사용자와 기기를 신뢰할 수 없게 됨에 따라 새로운 보안 방식이 요구되었습니다.또한 내부 사용자에 의한 개인정보의 유출 사고가 지속적으로 발생함에 따라 내부 사용자도 신뢰할 수 없다는 인식이 확대되었습니다.글로벌 정보보안업체 프루프포인트(Proofpoint)가 발표한 ‘2022 내부자 위협 비용 보고서’에 따르면 내부자 사고 총계는 6,803건으로 연간 평균 총 비용이 1,540만달러에 달했습니다. 우리나라에서도 최근 지속적으로 내부 유출사고가 발생하였는데요, S호텔은 지난 1월 호텔 직원이 회원정보를 잘못 입력하면서 회원명, 회원 번호 등 회원들의 개인정보 9만 9344건이 유출되었습니다. 또한 공공기업 K사 직원으로 인해 연예인의 개인정보를 3년간 무단 열람한 사고가 발생하기도 하였습니다. 이처럼 내부 직원으로 인한 정보 유출 사고가 연달아 발생하면서 제로트러스트 관점에서 보안을 강화해야 한다는 인식이 확대되고 있습니다. 제로트러스트가 기존 보안 시스템과 다른 점은?전통적인 보안 시스템에서는 IT시스템에 들어오게 되면 해당 사용자는 보안 시스템을 통과했기 때문에 신뢰하는 사용자로 인식합니다. 그러나 제로 트러스트에서는 신뢰하는 내부자나 단말기의 여부와 상관없이 철저하게 검증하고 권한을 부여한 뒤에도 접근범위를 최소화합니다. 예를들면 이전에는 재택근무시 PC에 접속할 때 아이디와 패스워드를 통해 로그인 후 접속할 수 있었다면, 제로트러스트 하에서는 안전한 PC인지 검증을 마친 후 로그인이 가능합니다. 또한 제로트러스트에서는 기기와 사용자가 검증되더라도 최소한의 신뢰만 부여합니다. 제로트러스트를 적용한 기업의 사례마이크로소프트는 제로트러스트 원칙으로 명확한 검증, 최소한의 권한 엑세스, 침해가정 3가지를 정하고 이에 따라 Azure Active Directory를 구축하여 제로트러스트를 실현하고자 했습니다. 마이크로소프트는 Azure Active Directory를 통해 기업용 ID를 기반으로 사용자 인증을 진행하고특히 멀티 팩터 인증을 통해 보안 키, 지문, 얼굴 등을 함께 인증하도록 하여 보안성을 높였습니다. 구글은 제로트러스트 개념을 바탕으로 한 상용 기업 보안 솔루션 BeyondCorp Enterprise를 발표하였습니다. BeyondCorp 모델에서는 방화벽이나 VPN같은 보안장비 없이 기기, 사용자 인증을 비롯한 다양한 요소를 분석한 결과만으로 접근을 제어합니다. 미국 바이든 행정부는 행정명령을 통해 연방정부와 클라우드 서비스 공급업체가 제로 트러스트 보안 정책을 채택하고 이에 따른 원칙과 프레임워크를 준수하도록 하였습니다. 이후 미국표준기술연구소(NIST)에서 국가 사이버 보안 개선에 관한 지침과 백서 등을 내놓으며 사이버 보안 업계에 영향을 미치고 있습니다. 또한 과학기술정보통신부와 한국인터넷진흥원(KISA)는 한국형 제로트러스트 모델의 발굴, 확산을 지원한다고 밝히기도 했습니다. 코로나 19, 클라우드 시대 도래 등 다양한 변수들로 인해 기존보다 더 많은 방식으로 사이버 위협이 등장하고 있습니다. 이러한 상황에서 제로트러스트 보안방식을 통해 모든 것을 검토하고 취약점을 최소화하는 방법을 고려해보는 것도 하나의 방법이 될 수 있습니다.출처 및 참고자료IT Daily , ‘제로 트러스트’ 모델 발굴·확산 위해 국내 사이버 보안 기업들 뭉친다한국지능정보사회진흥원, 「클라우드를 위한 제로 트러스트 보안」
-
- 23.06.14
-
IT·보안수집한 개인정보, 올바르게 파기하는 방법은?
이벤트 혹은 경품 응모를 위해 제공했었던 개인정보는 모두 파기되었을까요? 개인정보 처리자는 개인정보의 수집, 이용, 제공, 처리위탁, 파기까지 모든 과정에서 각 단계별로 법적 요구사항들을 준수해야 합니다. 모든 단계가 중요하지만, 수집된 개인정보의 이용 목적이 달성되고, 처리기간이 경과되었을 때 올바른 방법으로 파기하는 것은 어떤 단계보다도 중요합니다. 개인정보 파기 의무 개인정보보호법 제21조(개인정보의 파기)에 맞게 개인정보를 파기하지 않을 시 제75조에서는 3천만원 이하의 과태료를 명시하고 있습니다. 개인정보보호법 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. <개정 2023. 3. 14.> ② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다. 개인정보보호법 제39조의6에서는 정보통신서비스 제공자에 대한 개인정보 파기에 대해 안내하고 있습니다. 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자는 1년의 기간 동안 정보통신서비스를 이용하지 않는 경우 이용자의 정보를 즉시 파기하거나 개인정보를 분리하여 별도로 저장ㆍ관리해야 합니다. 제39조의6(개인정보의 파기에 대한 특례)① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다. 다만 다른 법령에 따라 이용자의 개인정보를 보존해야 하는 경우에는 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 합니다 개인정보 파기 사실의 고지 또한 개인정보 처리자는 개인정보 처리 기간 만료 30일 전까지 다음의 사실을 이용자에게 알려야 합니다.개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목다른 이용자의 개인정보와 분리하여 개인정보를 저장ㆍ관리하는 경우: 개인정보가 분리되어 저장ㆍ관리되는 사실, 기간 만료일 및 분리ㆍ저장되어 관리되는 개인정보의 항목 위반 시 제재 개인정보의 파기 및 파기 사실 고지 의무를 위반하여 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다. 제75조(과태료) ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 4. 제21조제1항ㆍ제39조의6(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보의 파기 등 필요한 조치를 하지 아니한 자 올바른 파기 방법은? 개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다. 개인정보보호법 제16조 1항에서는 전자적 파일의 경우 영구삭제 영구삭제가 불가능한 경우에는 별도의 법령으로 규정하고 있습니다. 전자적 파일 이외의 기록물, 인쇄물 등은 파쇄 또는 소각하여야 합니다. 제16조(개인정보의 파기방법) ①개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다. 1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다. 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각 ② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다. 파기 위반사례 개인정보보호위원회에서는 개인정보를 알맞게 파기하지 않은 기업에 대해 과태료 부과 및 시정조치를 취하고 있습니다. 개인정보 파기를 위반하는 경우는 크게 다음 4가지로 나눌 수 있습니다. 01. 법적 보유기간이 지난 개인정보 파기 미이행개인정보 처리자는 보유기간의 경과, 처리 목적 달성 등 해당 개인정보가 불필요하게 되었을때에는 지체없이 개인정보를 파기해야 합니다.02. 탈퇴 회원 개인정보 파기 미이행정보주체자의 자발적인 회원 탈퇴는 개인정보 수집·이용 및 보관 등에 대한 동의 소멸을 의미하므로 탈퇴처리와 함께 지체없이 파기해야 합니다.03. 보유기간이 지난 개인정보 파기 미이행정보주체의 명시적인 동의 없이 5년 이상 지난 개인정보는 파기해야 합니다.04. 목적이 달성된 개인정보 파기 또는 분리 보관 미수행목적이 달성된 개인정보는 파기해야 하고, 다른 법령에 의해 보존해야 하는 경우에는 다른 개인정보와 분리하여 저장ㆍ관리해야 합니다. 지금까지 개인정보 파기 관련 법령과 파기 방법 등에 대해 알아보았습니다. 개인정보를 안전하게 저장하고 이용하는 것도 중요하지만 알맞게 파기하는 것 또한 중요합니다. 개인정보 처리자는 개인정보보호법에 맞게 수집된 개인정보를 파기해야 하며, 개인정보 제공자 또한 소중한 내 개인정보 관리에 관심을 갖고 알아나가는 것이 중요하지 않을까요? 출처 및 참고자료 개인정보 실태 점검 및 행정 처분 사례집 찾기 쉬운 생활법령정보Q&A
-
- 23.05.24
-
IT·보안클라우드 서비스 보안인증제도(CSAP)란?
국내 공공기관 클라우드 공급에의 필수 관문이라 불리는 클라우드 서비스 보안 인증제도란 무엇일까요?클라우드 보안 인증제도 CSAP는 Cloud Security Assurance Program의 약자로 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다. CSAP는 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고 이용자에게 안전한 클라우드 서비스를 제공하기 위한 목적으로 시행되었습니다.클라우드 서비스 보안인증을 받은 경우 다음과 같은 인증 마크를 문서ㆍ송장ㆍ광고 등에 표시할 수 있으며 보안인증을 받은 사업자의 클라우드 서비스가 100%안전한 것은 아니지만, 클라우드 서비스를 이용하기 위한 최소한의 정보보호 요건을 충족했음을 의미합니다.법령에서 규정하고 있는 클라우드 서비스 보안인증제도「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 제4장에서는 클라우드 서비스의 신뢰성 향상과 이용자 보호를 위한 법령을 규정하고 있으며, 클라우드 컴퓨팅 서비스의 보안인증에 관해서는 23조의 2항에서 자세히 규정하고 있습니다.제23조의 2(클라우드컴퓨팅서비스의 보안인증)① 과학기술정보통신부장관은 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 대통령령으로 정하는 바에 따라 인증을 할 수 있다.② 보안인증의 유효기간은 인증 서비스 등을 고려하여 대통령령으로 정하는 5년 내의 범위로 하고, 보안인증의 유효기간을 연장받으려는 자는 대통령령으로 정하는 바에 따라 유효기간의 갱신을 신청하여야 한다.③ 클라우드컴퓨팅서비스 제공자는 보안인증을 받은 클라우드컴퓨팅서비스에 대하여 보안인증을 표시할 수 있다.④ 누구든지 보안인증을 받지 아니한 클라우드컴퓨팅서비스에 대하여 보안인증 표시 또는 이와 유사한 표시를 하여서는 아니 된다.⑤ 과학기술정보통신부장관은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원 또는 대통령령에 따라 과학기술정보통신부장관이 지정한 기관으로 하여금 보안인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다.1. 보안인증기준에 적합한지 여부를 확인하기 위한 평가(이하 “인증평가”라 한다)2. 인증평가 결과의 심의3. 보안인증서의 발급ㆍ관리4. 보안인증의 사후관리5. 보안인증평가원의 양성 및 자격관리6. 그 밖에 보안인증에 관한 업무클라우드 서비스 보안인증제도의 종류클라우드 서비스 보안인증제도의 인증 유형은 laaS, SaaS, DaaS이며, 인증 등급은 상ㆍ중ㆍ하로 구분됩니다.평가의 종류에는 최초평가, 사후평가, 갱신평가가 있습니다. 최초 평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가입니다. 사후평가는 보안인증을 취득한 이후 지속적으로 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(5년)안에 매년 시행해야 합니다. 갱신평가는 보안인증 유효기간(5년)이 만료되기 전 보안인증의 유효기간 연장을 원하는 경우에 실시하는 평가입니다.클라우드서비스 보안인증 대상클라우드 서비스 보안인증 대상은 클라우드 기술을 이용하여 정보시스템의 인프라, 응용프로그램, 개발환경 중 어느 하나 이상을 제공하는 클라우드 서비스에 해당하며 클라우드 컴퓨팅법에서는 다음과같이 보안인증 대상을 정의하고 있습니다.제3조(클라우드컴퓨팅서비스) 법 제2조제3호에서 “대통령령으로 정하는 것”이란 다음 각 호의 어느 하나에 해당하는 서비스를 말한다.1. 서버, 저장장치, 네트워크 등을 제공하는 서비스2. 응용프로그램 등 소프트웨어를 제공하는 서비스3. 응용프로그램 등 소프트웨어의 개발·배포·운영·관리 등을 위한 환경을 제공하는 서비스4. 그 밖에 제1호부터 제3호까지의 서비스를 둘 이상 복합하는 서비스제20조(국가기관등의 클라우드컴퓨팅서비스 이용 촉진)①국가기관등은 업무를 위하여 클라우드컴퓨팅서비스를 이용할 수 있도록 노력하여야 한다.② 국가기관등은 제1항에 따른 클라우드컴퓨팅서비스 이용에 있어서 제23조의2제1항에 따른 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려하여야 한다.인증제도 실시를 통한 기대효과는?공공기관은 행정업무를 다루는 만큼 민감정보를 많이 보유하고 있어 클라우드를 도입할 때 가장 우려되는 것이 보안입니다. KISA는 정보보호 기준 준수 여부 확인을 위한 인증 제도를 만들어, 공공기관에서 해당 인증 심사를 통과한 클라우드 서비스만 사용하도록 하고 있습니다.이를 통해 클라우드 서비스 이용자(공공기관)은 인증받은 클라우드 서비스를 이용함으로써 보안 우려를 해소하고, 안전한 클라우드서비스 구축 및 이용 활성화를 기대할 수 있습니다.또한 클라우드 서비스 제공자(민간 사업자)는 객관적이고 공정한 클라우드 서비스 보안인증을 통해 이용자 신뢰도 향상 및 클라우드 서비스 제공자의 정보보호 수준 향상을 기대할 수 있습니다. 지난1월 과학기술정보통신부에서는 공공부문에의 클라우드 시장 전반을 활성화하기 위해 보안인증 체계를 개선하여 상·중·하 등급제를 도입하였습니다.클라우드를 이용하고자 하는 공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상·중·하등급으로 분류하여 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류할 예정입니다. 클라우드 사업자에 대한 보안인증 평가기준은 등급별로 차등화하여 기존 평가항목 기준으로 상등급 평가기준은 보완, 강화하고 하등급 평가기준은 합리적으로 완화합니다. 특히 국내 서비스형 소프트웨어(SaaS) 사업자가 공공 시장에 신규진입할 수 있도록 기존의 민간·공공 영역간 물리적 분리 요건을 완화합니다. 과학기술정보통신부에서의 보도자료에 따르면 구체적인 세부 내용등은 디지털플랫폼정부위원회와 관계부처의 공동 실증, 검증을 통해 평가기준을 보완하여 2023년 이내로 시행할 예정임을 밝혔습니다.출처 및 참고자료대한민국정책브리핑, 클라우드 보안인증 등급제 고시 개정안 행정예고「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」KISA-클라우드 보안인증제 KISA, 클라우드 컴퓨팅 보안인증제도 안내서
-
- 23.05.17
-
IT·보안보안 담당자라면 알아야 할 개인정보보호법 개정안 총정리
개인정보보호법은 정보주체를 보호하고, 개인정보 처리자가 개인정보 보호의 책임을 질 수 있도록 제정된 법령입니다. 2011년 개인정보보호법이 제정된 이후 개인정보 침해로 인한 피해로부터 정보주체를 보호해왔습니다.개인정보보호위원회는 2021년 9월 정부안을 국회에 제출하였고, 그 이후에 관계 부처, 학계, 산업계, 시민단체 등 국내외 여러 이해관계자들과 소통을 통해 이견을 조정하였으며, 2년여에 걸친 심도 있는 논의 끝에 국회를 통과하였습니다. 개정법은 2023.03.14에 공포되어 6개월 후인 2023.09.15부터 시행될 예정입니다.개인정보보호법 개정 추진 배경2020년 8월 시행된 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)의 개정은 주로 개인정보보호 컨트롤 타워 구축 및 데이터 경제 활성화에 초점을 두었지만, 이후 변화하는 데이터 환경에서 국민의 권리 강화가 필요하다는 논의가 있었습니다.따라서 이번 개인정보보호법 2차 개정안은 개인정보보호법 제정 이래 관계 부처, 학계, 산업계, 시민단체 등의 의견을 반영한 첫번째 정부안으로, 정보주체의 권리보호를 강화하고 글로벌 규범과의 상호운용성을 확보하려는 취지에 따라 실질적인 전면개정이라는 점에서 의미가 있습니다.23년 개인정보 보호법 개정안에서 달라지는 것정보주체의 권리 확대이번 개인정보 보호법 개정안에서는 정보주체의 권리 확대를 위해 개인정보의 전송 요구권이 신설되었습니다. 개인정보의 전송요구권 신설로 정보 주체는 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송요구할 수 있게 되었습니다. 개인정보 전송요구권의 신설로 한정되었던 마이데이터 서비스가 확장될 수 있는 근거가 마련되었습니다.개인정보보호법 제35조의 2(개인정보의 전송 요구)① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다. [본조신설 2023.3.14]또한 자동화된 결정에 대한 설명요구권 및 거부권 신설로 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정에 대한 거부 및 설명을 요구할 수 있는 조항이 신설되었습니다.개인정보보호법 제37조의 2(자동화된 결정에 대한 정보주체의 권리 등)① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. <개정 2023. 3. 14.>② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. <개정 2023. 3. 14.>불합리한 동의제도 완화기존에는 개인정보 처리자가 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에는 정보주체의 동의없이 개인정보를 수집할 수 있었습니다. 그러나 개정안에서는 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우에 수집·이용이 가능한 것으로 개정되었습니다.개인정보보호법 제15조(개인정보의 수집·이용)<개정 2023.3.14>① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우정보통신서비스 제공자에 대한 특례규정 삭제기존에는 동의없이 개인정보를 수집한 경우, 오프라인 기업은 5천만원 이하의 과태료를, 온라인 기업은 관련 매출액의 3%이하 과징금을 부과할 수 있었습니다.그러나 개정된 법에서는 온·오프라인에 관계없이 모든 개인정보처리자를 대상으로 동일행위-동일규제 원칙을 적용하였습니다.또한 ‘개인정보처리자’와 ‘정보통신서비스제공자’로 이원화 되어있던 현행 체계를 일원화하고, 개인정보 수집·이용 동의, 14세미만 아동의 개인정보 수집, 개인정보 유출 시 통지신고 등 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비하여 모든 분야로 확대 적용하였습니다.이동형 영상정보처리기기 운영 기준 마련CCTV, 드론, 자율주행 자동차 등 다양한 이동형 영상정보처리기기의 사용이 증가함에 따라 이에관련한 법령이 신설되었습니다. 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 공개된 장소에서 사람 또는 그 사람과 관련된 사물의 영상 촬영에 대해 일정한 요건을 갖춘 경우에만 허용하도록 하였습니다.개인정보보호법 제25조의 2(이동형 영상정보처리기기의 운영 제한)① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다.형벌 중심의 제재에서 경제제재 중심으로개정법에서는 개인에 대한 형벌을 기업에 대한 경제제재 중심으로 전환하여 과도한 형벌 규정은 정비하고 과징금 상한 및 대상을 확대하였습니다.위반행위의 심각성에 비례하여 과징금을 부과하기 위해 과징금 산정 기준을 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액으로 규정하였습니다.또한 기존 과징금은 위반행위 관련 매출액의 3%이하였으나 개정안에서는 연간 총 매출액의 3%이하 과징금으로 개정되어 더욱 강력한 경제제재로 변경되었습니다.개인정보보호법 제64조의 2(과징금의 부과)① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.[본조신설: 2023.3.14]개인정보의 국외 이전 및 국외 이전 중지 명령 이전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있었습니다. 그러나 개정된 법에서는 개인정보가 이전되는 국가가 동등한 수준의 보호 수준을 갖추었다고 인정되는 곳에는 별도 동의가 없어도 개인정보를 국외로 이전 가능하도록 하였습니다. 개인정보의 국외 이전으로 정보주체에게 피해가 발생할 우려가 있는 경우에는 국외이전을 중지할 것을 명할 수 있도록 하였습니다.개인정보보호법 제4절 개인정보의 국외 이전<신설 2023.3.14>제28조의 8(개인정보의 국외 이전)① 개인정보처리자는 개인정보를 국외로 제공·처리위탁·보관하여서는 아니된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.제28조의 9(개인정보의 국외 이전 중지 명령)① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.이번 개인정보보호법 개정을 통해 디지털 전환이 빨라지는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 산업과 기업이 성장할 수 있는 발판이 될 것으로 개인정보보호위원회에서는 전달하였습니다.
-
- 23.05.12
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.