-
IT·보안어렵기만 한 개인정보보호법, 표준해석 사례로 쉽게 알아보자
어렵기만 한 개인정보보호법, 어떻게 해석해야 할지 난감할 때가 많지 않으신가요? 지난 7월 31일 개인정보보호위원회에서는 ‘2023 개인정보 보호법 표준 해석례’를 공개하였습니다. 이번 표준 해석례는 개인정보 처리자뿐만 아니라 국민들의 개인정보보호법에 대한 이해도 제고를 위해 마련되었으며, 인사노무, 공동주택, 영상정보, 온라인플랫폼, 제도일반 등 5개분야의 대표사례 30건을 정리하였습니다. 개인정보 보호법 표준 해석례가 필요한 이유는 무엇일까요? 디지털로의 전환이 빨라지는 환경 속에서 개인정보보호가 중요하다는 인식과 함께 개인정보의 활용에 대한 관심이 증가하였습니다. 따라서 개인정보 관련 업무 종사자들뿐만 아니라 일반 국민들도 개인정보 보호 법령에 대한 관심이 높아지고 있습니다. 실제로 개인정보보호위원회에서는 개인정보 보호 법령에 대한 국민들의 관심과 질문이 증가하면서, 질의 건수가 2021년부터 지속적으로 증가하고 있다고 합니다. 특히 올해 상반기 질의 건수는 2022년 전체 질의건수의 절반을 넘어섰습니다.출처: 개인정보보호위원회이처럼 개인정보 보호법을 보다 쉽고 자세히 이해하기 위해서는 표준 해석례가 반드시 필요할텐데요, 이번 게시글에서는 주목할만한 사례들에 대해 살펴보도록 하겠습니다. 스마트폰에서 인증한 지문정보는 민감정보에 해당하는지?(답변) 스마트폰에 내장된 지문으로 본인확인한 결과값은 민감정보에 해당하지 않으므로 결과값 이용은 일반 개인정보의 이용에 해당함○ 개인정보보호법 시행령 제18조 제3호에서는 민감정보를 다음과 같이 규정하고 있습니다.개인정보보호법 시행령 제18조(민감정보의 범위)법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.1. 유전자검사 등의 결과로 얻어진 유전정보2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보4. 인종이나 민족에 관한 정보제 3조에 따르면 기술적으로 추출한 지문, 홍채, 정맥, 안면 정보는 민감정보에 해당합니다. ○ 개인정보처리자가 민감정보를 이용하려면 보호법 제15조에 따른 동의항목과 다른
-
- 23.08.11
-
![[8월 이벤트] 여름휴가 계획을 알려주세요!](https://www.sinsiway.com/data/bbsData/thumbnail-16910277878647.png)
이벤트[8월 이벤트] 여름휴가 계획을 알려주세요!
*당첨자*당첨을 축하드립니다!교촌 반반오리지날 세트송*훈(3286) 정*교(2610) 최*원(5582)네이버페이 1만원권김*국(2639) 박*빈(0507) 서*민(6260) 이*비(9676) *네이버페이 상품권의 경우 3일 이후부터 예약 발송이 가능하여, 발송이 늦어지는 점 양해 부탁드립니다*
-
- 23.08.03
-
IT·보안관계부처 합동, 「가명정보 활용 확대방안」 발표
|가명 정보란?정보지만 누구의 정보인지 알 수 없는 정보는 무엇일까요? 가명정보라고 합니다. 가명정보는 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 식별 가능성을 낮춘 개인정보를 의미합니다. 2020년 8월, 데이터 3법의 개정과 함께 개인정보 보호법에 가명정보의 처리에 관한 특례의 신설로 가명정보 제도가 도입되었습니다.기존에는 기업에서 특정 목적을 갖고 수집한 개인정보에 대해 개인정보 처리의 목적이 변경되는 경우, 정보주체로부터 재동의를 받아야 했습니다. 그러나 개인정보보호법에 가명정보의 처리에 관한 특례가 신설되면서 통계작성, 과학적 연구, 공익적 기록보존 등의 목적일 경우 정보주체의 동의 없이 가명정보를 처리할 수 있게 되었습니다. 가명정보는 추가 정보 없이는 특정 개인을 식별할 수 없기 때문에 데이터를 안전하고 폭넓게 활용할 수 있습니다. 특히 개인정보, 민감정보 등 주요 데이터를 보유한 기업에서 데이터를 보다 유연하게 활용할 수 있습니다. |가명정보 처리 시 보호 의무1. 가명처리 절차개인정보를 가명처리 할 때 개인정보보호위원회에서 발간한 가명정보 처리 가이드라인에서 명시하고 있는 단계 및 절차에 따라 안전하게 처리되어야 합니다.출처: 개인정보보호위원회, 가명정보 처리 가이드라인2. 안전성 확보 조치가명정보를 처리할 때에는 관리적, 기술적, 물리적 보호조치가 필요하며, 특정 개인을 알아볼 수 없도록 추가 정보를 안전하게 관리하여야 합니다.2023년 9월 15일 시행되는 개정안에서는 가명정보 처리 기록 3년이상 보관하도록 의무조항이 개정되었고, 가명정보의 처리목적 등을 고려하여 가명정보의 처리기간을 별도로 정할 수 있는 조항이 신설되었습니다.3. 재식별 금지 의무가명정보를 처리할 시 특정 개인을 알아보기 위한 목적으로 처리하면 안 되며, 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성되어 재식별된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체없이 회수·파기하여야 합니다. |가명정보 활용 확대방안 추진 가명정보에 대한 활용 수요가 지속적으로 증가할 전망임을 감안할 때 가명정보 제도 활용 시 제기되는 다양한 문제들을 개선하고, 안전한 데이터 활용 체계를 마련하기 위해 「가명정보 활용 확대방안」이 추진되었습니다.「가명정보 활용 확대방안」주요 내용은 다음과 같습니다.1. 양질의 데이터 제공·공유 확대그간 공공기관들이 개인정보가 포함된 데이터를 가명처리하여 제공하는 과정에서 담당인력 부재 등의 내부, 외부적 요인으로 가명정보 제공에 소극적이었습니다. 이에 정부는 공공데이터의 개방·활용 촉진을 위해 개인정보가 포함된 공공데이터를 가명처리하여 공공·민간에 제공·활용이 가능함을 「공공 데이터법」 및 「데이터기반행정법」을 통해 명확화하였습니다. 또한 최근 수요가 증가하고 있는 영상, 음성, 텍스트 등 비정형 데이터를 안전하게 가명처리하여 AI학습, 자율주행 기술개발 등에 활용할 수 있는 기준을 「가명정보 처리 가이드라인」에 반영할 예정입니다.가명처리된 건강보험 데이터의 활용 촉진을 위한 지침 개정 등 양질의 보건의료 데이터 민간활용 가속화도 추진 계획입니다.2. 가명정보 활용 절차 합리화가명정보 처리·활용 기준을 합리적으로 개선하여 원활한 가명정보 활용을 촉진하기위해 다음과 같은 절차가 진행될 예정입니다.우선 개인정보 보호법과 신용정보법간 상이한 전문기관 지정기준을 합리화하고 결합신청 절차를 간소화하여 법률간 차이로 인한 데이터 수요자의 불편을 해소할 수 있습니다. 또한 보건의료데이터 활용성 제고를 위해 가명정보 개방·활용 및 결합 절차·제도를 개선합니다.3. 가명정보 활용 지원 확대정부는 데이터 처리의 환경적 안전성을 높임으로써 가명정보를 보다 유연하게 활용할 수 있도록 개인정보 안심구역을 시범 도입합니다. 가명처리 역량과 인력이 부족한 중소기업 및 스타트업에 대한 지원을 강화하여 데이터 활용 사각지대를 해소하고 데이터 가공 과정에 대한 데이터바우처와 가명정보 전문인력 에 대한 지원을 강화합니다. 정부에서 발표한 가명정보 활용 확대방안으로 민간기업 및 공공기관에서 가명정보가 다양한 서비스에 활용되면서 데이터 활용의 중요 수단으로 자리잡을 수 있을 것으로 기대됩니다. 가명정보를 통해 정보주체의 동의 없이도 데이터를 유용하게 활용할 수 있지만, 안전성 확보, 재식별 금지 등 보호 의무를 준수하여 활용해야 할 것입니다. 가명정보에 대한 보다 상세한 자료는 개인정보보호위원회 사이트에서 가명정보 처리 가이드라인 등을 확인하실 수 있습니다.출처 및 참고자료개인정보보호 법령 및 지침가명정보 처리 가이드라인가명정보 활용 확대 방안
-
- 23.08.02
-
신시스토리신시웨이만의 특별한 복지, 제주도에 있다?!
직원들을 위한 복지가 필요한 이유로는 직원들의 회사에 대한 만족도 증가직원들의 사기 증진 등이 있습니다 , , , 매년 . 신시웨이 제주도 사택신시웨이에서는 임직원들의 휴가를 위해 제주도에 위치한 사택과 법인 차량을 제공하고 있습니다. 신시웨이 임직원이라면 누구나 제주도에 위치한 사택과 차량을 사전예약 하여 제주도 여행기간동안 이용할 수 있습니다. 일반 콘도 크기의 사택은 가족단위로 혹은 지인들과 여러명이 즐기기에 알맞은 크기이며, 필요한 비품 또한 모두 준비되어 있습니다. 이용하기 전 최소 3일 전까지만 예약 후 자유롭게 이용할 수 있으며, 이용 후 퇴실 시 사용한 물품 등을 원상태로 복원 후 퇴실해야 합니다. 실제 이용한 임직원들은 제주도 여행시 숙소와 차량 렌트가 차지하는 비용이 큰데 그 부분을 절감할 수 있었으며, 만족스러운 휴가를 즐길 수 있게 되었다고 합니다.공채2기 신입 워크샵일(Work)과 휴가(Vacation)의 결합어인 워케이션에 대해 알고계신가요? 워케이션은 집이나 회사가 아닌 휴가지, 리조트 등 업무가 가능한 곳에서 휴가를 보내면서 근무하는 업무형태 입니다. 해당 지역의 관광과 지역경제 활성화 및 직원들의 사기증진에 도움이 되는 워케이션은 최근 기업에서 도입하고 있는 새로운 제도입니다.신시웨이에서도 워케이션을 즐길 수 있다는 사실, 알고 계신가요? 신시웨이는 본사 이외에도 제주R&D센터와 대전 기술지원센터를 운영중인데요, 본사 직원이 제주도 R&D센터의 사무실에서도 업무를 진행하며 워케이션을 즐길 수 있습니다. 본인이 원한다면 언제든 제주도에 위치한 신시웨이의 R&D센터 사무실에서 일정 기간동안 업무를 진행할 수 있습니다.제주도라는 특수한 공간에서 업무를 진행함으로써 일상의 단조로움에서 벗어나고, 업무에 활력을 불어넣을 수도 있습니다. 또한 업무 이외의 시간에 제주도의 자연과 풍경을 즐기며 업무로 인한 스트레스도 감소시킬 수 있고, 여가를 즐길 수 있습니다. 공채2기는 신입 교육을 마친 후 워크샵을 제주도로 다녀옴으로써 제주 지사 탐방 및 신시웨이에 대해 알아가고, 서로 친밀도를 향상시킬 수 있는 시간을 갖기도 했습니다.제주도 사택과 R&D센터 덕분에 제주도는 신시웨이 임직원들에게 가깝게 느껴지는 지역이기도 합니다. 바쁜 일상에서 벗어나 잠깐의 힐링을 위해 제주도로 떠나 보는건 어떨까요?
-
- 23.07.31
-
솔루션Petra Data Studio(beta) Demonstration
신시웨이 데이터스튜디오팀은 7월 29일 본사 회의실에서 Petra Data Studio(beta) Demonstration을 진행하였습니다. Petra Data Studio는 사용자, DB Session, SQL, Data를 중앙에서 집중 관리하여 기업 내 DATABASE 보안(DB접근제어 모듈 탑재 시) 및 DATABASE 작업 협업의 편의성을 제공해주는 Middle ware 기반의 SQL Tool로 2020년 11월 Beta 버전을 고객에게 오픈하고 의견 수렴 후 2021년 상반기 정식 버전을 출시할 예정입니다.Petra Data Studio StracturePetra Data Studio는 web base SQL Tool로 OS 환경과 별도의 Client를 설치하지 않고도 Web Browser를 통해 Database에 접속하고 관리할 수 있다는 것이 특징이며 SOHA DBMS(신시웨이에서 개발한 DB 보안 전용 DBMS)를 사용하는 Petra(DB 접근제어 솔루션)와는 달리 PostgreSQL 을 사용하여 DB Session, SQL, Return Data, Restful API, Report 등의 데이터를 저장하고 데이터스튜디오 엔진에서 데이터를 관리하기 때문에 데이터 관리의 편의성을 제공합니다.현재 Beta 버전에서는 Oracle, PostgreSQL, MySQL, MS-SQL, MongoDB, Red Shift를 지원하며, 2020년 12월에는 AWS의 Aurora DB까지 지원할 계획입니다. 또한, 여러 고객사와 기술지원 파트의 의견을 수렴하여 Tibero, Sysbase, Cubrid등 다양한 데이터베이스들에 대해서도 지원할 예정입니다.Petra Data Studio의 사용자는 관리자의 승인 절차에 의해 사용자 등록이 가능하며, 사용자가 직접 사용자 등록 신청을 하면 관리자는 신청한 사용자에 대한 권한을 승인하게 되고 승인된 사용자는 최초 접속 시 이메일로 발송된 인증코드를 통해 인증을 획득한 후 접속이 가능하기 때문에 접속방법에 있어 지금까지의 SQL Tool과는 다소 차이가 있습니다. 접속 후 사용자는 자신이 접속할 DBMS를 등록하게 되는데 사용자는 DBMS를 등록할 때 기본적으로 제공된 JDBC 외에 별도의 JDBC Library 설정이 가능합니다.Petra Data Studio FeaturePetra Data Studio는 SQL Editor는 Data Grid에 중점을 두었습니다. 일반적인 특징으로는1. Object Drag&Drop 편집이 가능하며, LOB Data와 같이 대용량 문자형 데이터 또는 이미지들은 Grid의 Pre-View를 통하여 확인이 가능합니다.2. 다중 SQL 수행 시 Oracle의 PL/SQL과 같이 문장 중간에 세미콜론(;)이 있는 경우 block 단위의 SQL 실행에 어려움이 있기 때문에 split character를 설정하여 Block 단위의 SQL을 실행할 수 있도록 하였습니다.3. update시 전/후 데이터를 남겨 민감 정보 변경에 대한 이력을 관리 합니다.4. 엑셀의 데이터를 Petra Data Studio의 Grid에 붙여넣어 데이터를 입력할 수 있습니다.5. 수행한 SQL에 대해 조직내 팀단위로 SQL공유가 가능하여 업무 협업의 편의성을 제공 합니다.6. Database에서 데이터를 읽어오거나 조작 할 수 있는 REST API 등록 기능을 제공합니다.7. 통계 데이터에 대한 스케쥴을 등록하고 보고서를 생성합니다.Petra Data Studio는 위와 같은 일반 기능들을 웹으로 제공하게 됩니다. 주요 핵심 기능들은 보안상의 이유로 소개해 드릴 수는 없지만 앞서 소개해 드린 기능 외에 주요 핵심 기능들은 하반기 Beta 버전에서 공개될 예정입니다. Petra Data Studio는 현재 2개 항목에 대하여 특허를 출원하였고, 올해 1개의 특허를 더 출원할 예정입니다.데이터스튜디오팀장인 박민욱 수석 연구원은 기존의 SQL Tool과 달리 Petra DataStudio에서는 활용도가 적은 기능들을 과감하게 배제한 만큼 SQL Editor 본연의 기능에 중점을 두고 성능을 높였으며 데이터베이스 보안을 결합해 사용자가 사용하기 쉽고 보안은 한층 강화된 Middle ware를 제공하게 될 것이라 이야기 하였습니다.
-
- 23.07.31
-
솔루션DB 접근제어의 새로운 패러다임 “PETRA5”
신시웨이의 중추적인 역할을 하고 있는 R&D본부 접근제어팀은 6월 14일부터 20일 까지 제주시 영평동에 위치한 제주 R&D 센터에서 강도 높은 “페트라 5” 개발을 진행하였다. 접근제어팀은 지난 2017년 “페트라4.1” 릴리즈와 동시에 15년 동안의 DB 접근제어 노하우를 바탕으로 DB 접근제어의 Paradigm을 바꿀 “페트라5”를 기획하였으며, DB 접근제어의 트렌드 및 고객사 요구 사항, 국/내외 컴플라이언스를 분석하는 과정만 1년 이상 공을 들였다. 현재는 설계 단계를 지나, 기능 구현과 테스트/검증 단계를 거치고 있다.특히 이번 “페트라5”는 품질 관리팀의 철저한 검증을 통하여, 그동안에 고객들의 불만 사항이었던 안정성의 문제를 대폭 개선 하고 있으며, 올해 2020년 하반기 Alpha와 Beta 버전을 각각 출시할 계획이다. 정식 출시 전 Alpha와 Beta 버전을 출시하는 이유는 출시가 늦더라도 고객에게 신뢰를 받을 수 있는 제품을 만들겠다는 접근제어팀의 포부가 담겨 있기도 하다. 과거 많은 기업들은 법규 준수를 위한 단순 로깅 기능만을 사용하였지만, 2011년 개인정보보호법 개정 이후 DBMS 접속을 통제하는 기능까지 확대하여 사용하였다. 그 후 2013년에는 개인 정보 유출 사례가 증가하고 개인정보보호법이 강화되면서 기업과 공공기관들이 DBMS 보안에 대한 인식이 강화되었고, 다양한 환경에서의 DBMS를 통제하도록 요구 사항도 변경되었다. 현재는 단순 DBMS통제와 로깅을 넘어 국/내외 각종 컴플라이언스를 만족해야 하는 것이 업계의 요구 사항이다.또한 행안부, 금감원 등의 감사 사항에도 부합되어야 한다. 인사 연동, 계정 연동, Two-Factor 인증 등의 각종 환경과의 연동도 필요로 한다. 즉 이제는 단순 DBMS 접근 제어가 아닌 인프라를 통합으로 관리할 수 있어야 한다.당연히 Cloud와 On-Premise도 함께 관리할 수 있어야 하며, 편리성과 효율성을 요구하는 것이 현재의 DB 접근제어의 트렌드라 할 수 있다. 이번 “페트라 5”는 이러한 것들을 모두 고려하였다. 지난 6월에 신시웨이에서 진행한 웨비나의 설문조사의 결과만 보더라도 많은 기업들이 법적 요구사항과 컴플라이언스를 중요하게 생각 한다는 것을 알 수 있다.신시웨이 정재훈 대표 이사는 “과거에 말하는 자산이 동산, 부동산과 같은 유형물이 금전적인 자산이었다면, 점차 데이터(Data)가 자산이 되는 비중이 높아지고 있고, 미래에는 유형, 무형의 데이터가 우리가 지켜야할 자산이 될 것이다. 이것이 현재 시장 흐름이다. 우리는 이러한 데이터를 지키기 위한 노력하여야 하며 이러한 노력과 보안 인식은 이제 시작 단계라고 볼 수 있다. 지금도 수없이 많이 데이터가 쌓이고 있으며, 다양한 방식으로 저장하고 있다. DBMS에 저장하는 데이터는 그중 일부분이며, 우리는 하나의 플랫폼에서 이러한 모든 것을 지킬 수 있도록 편리한 소프트웨어를 제공하여야 하며, 앞으로 신시웨이가 나아가야 할 방향”이라고 이야기하였다.또한 접근제어팀 박종한 팀장은 “이제는 보안 관리자가 모든 정책을 정의하고, 생성, 관리하는 시대는 끝났다. 정책은 편리하고 심플하게 관리되어야 하며, 오남용/이상징후 탐지, 실시간 모니터링, API 연동, 우회 접근 탐지 등을 제공해야 한다, 그동안 DB 사용 신청서 또는 DB 계정 신청서에 의해 관리자가 직업 권한을 부여하고 관리하였다면 이제는 DB 사용자가 직접 권한을 요청하고, 관리자는 승인과 탐지의 역할을 수행하여야 한다”라는 것을 강조하였다.“페트라5”는 기본에 더욱더 충실하고, 외적인 부분을 강화하였다. 페트라의 강점중 하나는 국내 최초로 Data Parsing 기반으로 DBMS를 통제 한다는 것이다. 그렇기 때문에 표면적으로 보이는 통제가 아니라 schema, view, table, column, synonym 등을 완벽하게 구분하여 통제하며 이러한 기술은 아직까지도 신시웨이의 페트라가 유일하다.“페트라 5”는 이러한 Parsing 기술을 고도화 하였다.많은 기업들이 DB접근 제어 솔루션을 도입 하고 있지만, 현재 까지도 DBMS에 저장된 개인정보 유출 사고는 국내/외 할 것 없이 내부 인력에 의한 유출 사고가 대부분이다. 사람이 직접적으로 관리하다 보니 아무리 관리를 잘 한다 하더라도 사람에 의한 인적 사고는 언제든 발생할 여지가 있는 셈이다.마케팅팀 박병민 대리는 “INST(National Institute of Standards and Technology)에서 권장하는 가장 기본적인 접근 통제는 Separation of Duty 즉, 직무 분리와 최소 권한(Least Privilege)이 원칙이다. 또한 통제는 예방 > 탐지 > 교정 순으로 정의되고 관리되어야 하며, 무엇보다도 책임 추적성이 확보되어야 한다. 페트라5는 이 모든 것들을 사람에 의해서 관리되는 것이 아니라 소프트웨어에 의해서 철저하게 관리 되기 때문에, 보안 담당자는 승인과 모니터링만으로도 보안을 강화 할 수 있다.”고 덧붙였다.지난 6월 신시웨이에서 진행한 웨비나에서 현재의 고객들이 또는 잠재 고객들이 무엇을 중요하게 여기고 실제로 얼마큼 도입이 되어 있는지에 대한 설문 조사를 진행한 결과 실제로 많은 응답자들이 법령과 컴플라이언스를 가장 중요하게 생각한다고 응답하였다. 이번 “페트라5”는 각종 법령과 컴플라이언스는 물론 『오남용/이상 징후 탐지』, 『통계 데이터 관리』, 『DB 계정 관리』, 『사용자 결재 관리』, 『SQL Tool』, 『데이터 스케줄링』, 『API』, 『웹 기반 UI』 등을 고도화 및 개발하여 3분기에 Alpha 버전을 제공할 예정 이다.
-
- 23.07.31
-
솔루션미리보는 페트라5 보안 서비스 기능 (Petra 5 보안 서비스)
보안 정책 및 사용자 권한 요청 시스템DB 접근 제어 솔루션을 도입 시, 보안 관리자가 가장 먼저 해야 될 일이 바로 접근제어 규칙을 어떤 식으로 수립 할지 고민하는 것 이다.1) 중앙 집중 식 권한 관리(Petra 4)의 이슈사용자의 권한을 등록할 때에는 등록할 대상자(DB에 접근하는 개발자, 업무 실무자 또는 DBA , DB 사용자 등)의 업무를 파악하고 권한을 등록 해야하는데, 보통 아래의 다음의 절차(그림 ‘중앙 집중 식 권한 관리(AS-IS)의 문제’)를 통한다. 이 과정에서 보안 관리자는 상당히 많은 부분의 시간과 수고를 들여야 하고, 추후에 보안 사고 시, 잘못된 권한 등록으로 인한 책임 소지까지 염두 하지 않을 수 없다. 또한 실무의 예외적인 사용자나 상황에 의해서 정책은 더욱더 복잡해져 유지보수가 힘들고, 유동적인 대처가 어렵다. 중앙 집중식 권한 관리의 문제점권한을 등록할 대상자들의 세부적인 업무(권한) 파악이 어려움잘못된 권한 등록으로 인한 책임 소지 여부 발생DB 접근제어 솔루션의 복잡한 권한 및 기능으로 예외적인 상황에서 유동적으로 대처가 어려움2) 사용자 권한 요청 시스템(Petra 5)보안 관리자는 사용자를 대상하지 않고, 소속 또는 역할에 의한 전사적인 보안 정책을 수립하며 보안 관리자는 부서 또는 각 DB를 관리하는 관리자에게 사용자의 권한 요청을 처리해 줄 수 있는 최적의 선임자(관리자)를 선정 한다사용자는 본인이 속한 소속 또는 역할에 의거 기본적인 보안 정책을 적용 받고, 추가적으로 받을 권한이나 예외적인 상황에서 잠시 필요한 권한 등을 직접 요청한다.권한 오등록 방지 : 사용자가 명확한 사유와 함께 권한을 신청하여 해당 업무의 관리자 또는 선임 담당자가 승인관리 용이 : 권한 부여 체계를 분산 하여 보안 담당자는 각 업무에 대한 권한 부여 보다 보안 업무에 집중편리한 권한 등록 : 요청과 승인으로 정책을 적용 받으며, 예외 권한이 발생 하더라도 중앙에서 복잡한 정책을 세울 필요 없음3) petra5 보안 정책 View개인 정보 탐지보안 관리자는 접근제어 정책을 수립 시, 개인 정보가 포함된 테이블 또는 컬럼에 대해서 접근을 통제 하도록 설정 하여야 한다.1) 무분별한 개인 정보 데이터 분포사내의 여러 서비스와 연관된 수많은 Database에서 어떤 테이블의 어떤 컬럼이 개인 정보를 포함하고 있는지, 찾아내는 건 결코 쉬운 작업이 아니다. 초기에 잘 설계된 개인정보 취급 구조에서도 시간이 지나면 의도치 않은 곳에서 개인 정보 데이터가 저장이 될 수도 있다.그렇다면 보안 관리자는 어떻게 효율적으로 개인정보 데이터에 대한 접근 통제 규칙을 수립 할 수 있을까? 페트라 5에서는 다음과 같은 기능을 제공함으로써 개인정보 데이터를 손 쉽게 관리할 수 있다.2) 데이터 스캔 및 스케쥴 기능Petra5에서는 찾고자 하는 데이터 패턴을 등록 후, 데이터를 스캔하여 Database에서 분포된 개인정보 데이터를 포함한, 테이블 및 컬럼의 현황을 탐지 할 수 있으며 주기적으로 데이터 스캔 기능을 일 / 주 / 월 단위로 설정하여 새로 추가가 된 Table에 한해서도 데이터 스캔 기능을 수행 할 수 있다.Petra5 개인 정보 탐지 – 탐지 현황3) 개인 정보 탐지 및 분류Petra5에서는 탐지된 데이터를 확인하고 해당 대상을 통제 대상으로 분류 할 수 있는 인터페이스를 제공하여 보안관리자가 보다 쉽고 효율적이게 정책을 수립하는데 도움을 줄 수 있다.Petra5 개인정보 탐지 – 데이터 분류오남용/이상 징후 탐지접근 제어 정책을 수립하는 것은 사전에 보안 위반 행위를 막기 위함에 있다. 그렇다면, 다음과 같은 상황에서 보안 관리자는 어떤 조치를 취해야 할까?예시) 개발자 ‘박모씨’는 매월 말 데이터 이관 작업으로 인해 인사 DB의 접근하여 한달치의 데이터를 EXPORT 할 수 있습니다. 따라서 개발자 ‘박모씨’는 인사 DB에 대한 데이터 조회 권한이 있습니다. 그런데 월 말이 아닌 월 초, 주말 새벽에 인사 DB의 대량의 데이터를 Export 하였습니다.개발자 ‘박모씨’는 인사 DB에 대한 정당한 권한을 부여 받았다. 허나, 평소와 다른 행동 패턴으로 데이터에 접근한다면, 보안 관리자는 ‘박모씨’의 행동이 정당한 행동인지 아닌지 의심을 해야 할 것이다.1) 통계 데이터 수집사용자의 DB 접근 이력, 쿼리 수행 이력을 조회하여 해당 사용자의 통계 데이터를 추출하고 행동 패턴을 분석 한다.Petra5 오남용 / 이상 징후 탐지 – 통계2) 이상 징후 탐지 및 소명 시스템Petra5는 보안 관리자에게 이상 징후를 6하 원칙에 근거하여 탐지 현황을 보여 줄 수 있다. 또한 탐지된 현황을 사용자에게 소명을 요청하여 해당 작업에 대한 근거를 기록 할 수 있다.더 나아가, 소명을 하지 않는 사용자나 부적절한 행위임을 판단 하였을 때에는, 보안관리자는 즉시 사용자의 권한을 말소 시킬 수 있어야 하며 어떤식으로 기존에 권한이 누구에 의해 부여되었는지 추적하여 보안 정책에서 보안할 사항을 도출 가능 하다.Petra5 오남용 / 이상 징후 탐지 – 탐지Petra5 SQL 수행 차단 – 소명
-
- 23.07.31
-
솔루션신시웨이 ‘PetraCrypto V1.0’ 암호모듈검증(K-CMVP) 인증 획득
2021년 12월 31일 신축년 마지막 날 신시웨이의 암호모듈 ‘PetraCrypto V1.0’이 암호화모듈검증(K-CMVP)에서 보안수준 1을 획득하였다는 기쁜 소식이 전해졌습니다.암호모듈검증(K-CMVP)는 「전자정부법」 제56조, 「전자정부법 시행령」 제69조, 「암호모듈 시험 및 검증지침」에 따라 행정기관등 국가/공공기관 정보통신망에서의 중요 정보를 보호하기 위해 사용되는 암호 모듈의 안전성과 구현 적합성을 검증하는 제도로 검증 기준 만족 여부에 따라 보안 수준 1부터 4까지의 등급을 부여하고 있습니다. 암호모듈은 비밀이 아닌 업무자료를 보호하는 목적으로 정보의 유출, 위·변조, 훼손 등을 방지하기 위한 기밀성·무결성·인증·부인방지 등의 기능을 제공하며, KS X ISO/IEC 19790:2015 및 KS X ISO/IEC 24759:2015의 국제 표준을 기반으로 하여 시험·검증하게 됩니다. ‘PetraCryto V1.0’은 블록 암호화 ARIA(128,192,256 bit | 운영모드:CBC, CFB128bit, OFB), SEED(128bit | 운영모드:CBC, CFB128bit, OFB), LEA(128, 192, 256bit | 운영모드:CBC, CFB128bit, OFB)와 해시 함수 SHA-2(SHA-256,384,512 bit), 메시지 인증 코드 HMAC(SHA-256 bit), 난수 발생 시 Hash_DRBG의 알고리즘을 검증받았으며 KS X ISO/IEC 24759:2015의 11개 보안 영역 중 암호모듈에 해당하는 9개의 영역 모두 보안 수준 1을 만족하였습니다.또한, 이미 알려진 취약성에 대한 검사를 모두 수행하였으며 strcpy, strcat 사용을 배제하고 strncpy, strncpy 함수를 사용하여 버퍼 오버플로우가 발생하지 않도록 안정성을 높였습니다. 그리고 입력 파라미터에 대해 NULL 검사와 입력 길이 검사를 수행하여, 실패 시 암호 서비스를 수행하지 않고 오류 코드만을 반환할 수 있도록 입력 인자에 대한 형식 검증을 수행합니다.이번 암호모듈검증으로 신시웨이의 기술력을 다시 한번 확인할 수 있었으며, 2024년도에는 ‘PetraCipher’에 ‘PetraCryto’ 모듈을 탑재한 제품을 출시할 계획입니다.
-
- 23.07.31
-
솔루션신시웨이, 기술 특허 2건 등록 최종 결정
지난 2020년, 출원한 ‘업무 수행에 따른 성과 지표 산출을 위한 서비스 제공 시스템’과 ‘데이터베이스에 저장된 데이터에 대한 접근 제어를 위한 서비스 제공 시스템 및 방법’이 5월 25일 최종 특허 등록이 결정되었으며, 이번 특허 등록으로 신시웨이는 11개의 특허를 보유하게 되었습니다.‘업무 수행에 따른 성과 지표 산출을 위한 서비스 제공 시스템(출원번호 10-2020-0154630)’은 근로자가 업무를 수행함에 있어 업무의 성과 지표를 산출하기 위한 시스템으로 ‘업무 난이도’, ‘활동 비용’, ‘지출 비용’, ‘프로젝트 산출물’ 등의 기초 정보를 통해 프로젝트(업무)의 기여도, 완료 성과에 따른 성과 지수를 산출하여 업무 평가에 필요한 정보를 제공하는 서비스입니다.프로젝트별로 산출된 객관적이고 정확한 성과 지표를 근거로 하여 회사의 우수한 부분과 미비한 부분을 명확하게 파악하여, 우수한 부분은 지속적으로 발전될 수 있도록 지향하며, 미비한 부분은 개선하고자 하는데 활용될 수 있도록 하여 회사 운영 및 업무 효율성을 크게 향상하는 효과 기대할 수 있습니다.‘데이터베이스에 저장된 데이터에 대한 접근 제어를 위한 서비스 제공 시스템 및 방법(출원번호 10-2020-0154627)’은 조회 권한을 정상적으로 갖고 있는 사용자라도 로컬 접근 권한이 부여되지 않았다면 개인정보 또는 민감정보 등의 데이터 복사 및 다운로드를 못 하도록 하여 데이터 유출 방지의 보안성을 높일 수 있습니다.신시웨이에서는 직무 발명을 장려하고 연구 및 개발 의욕을 향상하고 지식재산권을 합리적으로 관리, 운영하여 회사발전에 기여할 수 있도록 직무발명 보상 제도를 운영하고 있습니다.직무발명에 대한 권리를 회사로 승계할 시 발명진흥법 제15조 제1항의 규정에 따라 발명자에게 국내 100만원, 해외 200만원의 출원 보상금(직무발명이 출원되었을 때 지급하는 보상금)을 지급하고, 출원 후 등록 결정이 확정되면 국내 200만원, 해외 400만원의 등록보상금(직무발명이 등록되었을 때 지급하는 보상금)을 지급하고 있습니다. 따라서 국내에서 특허가 등록 결정되었다면, 출원 100만원, 등록 200만원 총 300만원의 보상금을 지급 받게 됩니다.
-
- 23.07.31
-
IT·보안정보보호의 달 맞이 보안 수칙
정보보호의 날매년 7월 둘째 주 수요일은 사이버 공격을 예방하고 정보보호의 중요성을 알리는 ‘정보보호의 날’입니다. 정보보호의 날은 사이버 위협 예방과 국민들의 정보보호 생활화를 위해 지정한 법정기념일이지만 공휴일은 아닙니다. 정보보호의 날은 2009년 7월 7일 발생한 디도스(DDoS) 대란을 계기로 지정되었습니다. 디도스(DDoS)공격으로 사람들의 개인정보를 비롯한 많은 정보들이 공격당했고, 우리나라의 네트워크가 마비되는 사건이 발생하였습니다. 이후에도 지속적인 사이버상의 범죄로 인해 정부기관과 국가 주요 시설, 민간기업 등이 큰 피해를 입으면서 사이버 보안의 중요도가 높아졌습니다. 따라서 정부부처가 공동으로 사이버 공격을 예방하고 국민의 정보보호 문화와 인식을 생활화하기 위한 목적으로 정보보호의 날을 제정하였습니다. 개인정보보호 실천 수칙 KISA. 비밀번호는 타인이 쉽게 유추하지 못하도록 설정하기, , , 38. 개인정보 동의 시 동의 내용을 꼼꼼히 확인하고 체크하기, 3.SNS, 사진이나 동영상을 업로드 할 때 이름이나 주소연락처 등 개인정보가 노출되지 않았는지 한번 더 확인해보아야 합니다4. , SNS, 2다른 기기에서 로그인 시 한번 더 본인확인을 하도록 설정하면 안전합니다5. , 택배 송장카드영수증에 남아있는 주소연락처카드 정보 등이 범죄에 악용되지 않도록 주의해야 합니다 신시웨이의 DB보안 솔루션 Petra Petra Cipher DB. 는 개인정보 보호법 및 개인정보의 안전성 확보조치 기준 등 개인정보 보호 관련 법규를 준수하는 신시웨이의 접근제어 솔루션입니다사용자 사용자 명 등 다양한 속성 기반의 접근권한 통제로 중요 정보에 대한 불법적인 유출 및 변경을 차단합니다이외에도 실시간 모니터링다양한 보고서계정별 권한분리 등 다양한 기능을 제공하고 있습니다Petra CipherCCDB , . , , .데이터의 중요성이 강조되고그만큼 보안은 더욱 중요해지고 있습니다신시웨이의 솔루션을 통해 기업의 중요 보안을 강화할 수 있습니다출처 및 참고자료 개인정보보호위원회
-
- 23.07.18
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.