통합검색
찾고 싶은 것이 있나요?
보안에 대한 630개의 검색결과가 있습니다.
- 블로그 암호화폐를 넘어 비즈니스를 혁신하다! ‘블록체인 DX’에 주목! 1편 블록체인이 그저 비트코인과 동일시되던 때가 있었습니다. 투기 목적이 다분한 암호화폐의 기반 기술 정도로 간주했죠. 이후 블록체인이 갖는 비즈니스 가능성에 주목하는 기업들이 조금씩 늘어나기 시작했습니다. 2017년쯤, 이러한 흐름 속에서 미래의 신기술인 블록체인에 대한 열광이 시작됐고, 이와 함께 서비스로서의 블록체인(BaaS)이 조금씩 등장했습니다. 하지만 이내 블록체인의 화제성은 급속히 수그러들었습니다. 장밋빛 전망 뒤에 가려져 있었던 각종 기술적 난제, 전문 인력 부족, 구체적 성과 도출의 어려움 등과 같은 문제 때문이었습니다. 실제로 가트너의 기술 성숙도 표현... 2022.08.30
- 블로그 [보안동향] ‘정보보호 공시’ 분석부터 작성까지 한 번에 끝내세요! 지난 글에서는 정보보호 공시 개요와 대응 업무 절차, 정보보호 공시 준비 자료를 살펴보았습니다. 이번 글에서는 정보보호 공시 자료 분석 및 작성에 관해 알아보겠습니다. 정보보호 공시 자료 분석 및 작성 정보보호 공시 투자 영역 집계는 자산 대장과 비용 원장을 기반으로 분석을 진행합니다. 아래는 분석과 관련된 한국인터넷진흥원(KISA)의 가이드와 공시 실무교육 자료를 요약한 내용입니다. 앞에서 언급한 기본적인 분류 기준 방안을 기반으로 아래 세부 항목별 작성을 진행해 보도록 하겠습니다. 자산 분류, 집계와 관련해 KISA... 2022.08.19
- 블로그 [보안동향] 정보보호도 ESG! 어떻게 진행해야 할지 막막하다면? 지난 글에서는 정보보호 공시 배경과 정보보호 관련 ESG 동향에 관해 알아보았습니다. 이번 글에서는 정보보호 공시 개요와 함께 대응 업무 범위 및 수행 절차를 살펴보겠습니다. 정보보호 공시 배경 정보보호 공시는 아래의 의무 대상 기업이 정보보호 투자액, 인력, 정보보호 인증, 정보보호 활동을 공시하도록 규정하고 있습니다. 정보보호 공시 진행 시에 회계법인 또는 감리법인을 통해 정보보호 공시 사전 점검자료를 제출한 후 공시하는 경우에는 사후 검증 면제의 혜택이 제공됩니다. 사후 검증의 경우, 공시 후 제출 기업 중 20% 표본 기업을 대상으로 제출한 공시 내용에 대한 사후 점검을 수행합니다. 제출 기업의 정확한 공시 작성은 물론 제출된 공시 자료를 검증해 신뢰도를 높이고자 하는 검증 절차상의 단계입니다. 다수의 기업이 전문 회계 법인이나 감리 법인을 통해 정보보호 공시를 준비하는데요. 이는 보안 관련한 공시 작성 분야지만 회계, 인사의 인건비 회계 처리 등과 관련한 전문성이 필요하기 때문입니다. 또한, 고객 현업팀의 경우 수행 업무의 부담을 최소화하고 사후 검증에 대한 부담을 줄이고자 전문 회계법인, 감리법인을 통해 수행하고 있음을 알게 됐습니다. 정보보호 공시를 진행할 때 주의해야 하는 사항이 몇 가지 있습니다. 이 중 첫 번째가 정보보호 공시 시스템의 선정입니다. 아래의 표와 같이 기본은 과학기술정보통신부에서 운영하는 전자공시시스템(ISDS)에 공시하는 것이 원칙인데요. 특히 주의사항으로 한국거래소 상장공시시스템(KIND)에 자율 공시하는 경우, 예를 들어 정정 공시 처리 규정 등에 따라 공시 위반 제재를 받을 수 있습니다. 따라서 정보보호 ISDS를 통해 공시를 진행해야 합니다. 정보보호 공시 준비/대응 업무 범위 및 수행 절차 공시 대응과 준비를 위해서 제일 먼저 해야 하는 업무는 설명회를 기반으로 한 착수 회의의 진행입니다. 회계팀, 정보기술팀, 인사팀, 기타 유관 부서를 식별하고 관련 부서장과 실무자를 대상으로 한 설명회를 진행하는데요. 이를 통해 제도 및 필요한 자료 요청에 대한 설명, 진행 일정을 공유해 효율적으로 수행할 수 있습니다. 설명회 전에는 정보기술 전담 조직 식별 및 정보보호 조직의 식별을 선행해야 합니다. 이후 설명회 시에 인사팀을 통해 인원, 인건비와 관련한 자료 작성을 요청해야 합니다. 이때 아래 가이드와 같이 전담 조직의 경우, 조직 즉 상위 부서 또는 팀 단위 전체를 대상으로 요청하면 작업이 좀 더 쉽습니다. 정보보호 조직의 경우, 정보보호 업무를 전담으로 하는 인원을 대상으로 인원별 인건비 산정을 진행해야 합니다. 만약 보안 전담 부서는 아니지만, 정보보호 직무를 100% 전담하고 있는 인원이 있는 경우는 정보보호 부문 직무기술서를 작성하고 CEO 또는 CISO(Chief Information Security Officer)의 서명을 받아 증거자료를 준비하고, 인원수와 인건비 산정을 진행해야 합니다. 근무 인원수와 인건비 산정 시 월별로 대상 연도에 근무한 인원의 수와 해당 인원의 급여, 상여, 퇴직급여, 급여성 복리후생비의 합계를 급여 대장을 통해 비용 산정해야 합니다. 또한, 비용 원장 분석 시 인사팀을 통해 별도 산정을 진행하게 되면 비용원장에서 급여성 비용 계정을 제외해 중복으로 합산되지 않도록 진행해야 합니다. 정보보호 공시 준비 자료 요청 투자액 산정 시 사용되는 자산 대장과 비용원장 분석은 가장 많은 시간이 소요되는 작업입니다. 두 자료 모두 회계팀을 통해 입수하게 되는데요. 사전 설명회를 통해 원하는 데이터를 정확하게 받기 위해 템플릿과 샘플 양식(KISA 가이드 참조)을 기반으로 사전 요청을 진행해야 합니다. 자산 대장의 경우 자산 유형 중 정보기술이나 정보보호와 관련된 유형을 식별해서 요청할 수도 있지만, 누락 등이 발생할 수 있으므로 전체 자산대장을 입수해 분석하는 것을 권장합니다. 비용원장의 경우, 자산 대장보다는 정보기술/정보보호 비용이 회계기준에 따라 처리되는 계정이 비교적 명확합니다. 따라서 KISA에서 요구하는 주요 정보기술과 관련한 비용 계정을 중심으로 입수해 분석을 진행합니다. 외주 용역비 내역의 경우 비용원장상에서 수수료-외주용역 또는 수수료-전산 용역을 통해 정보기술의 비용 분류가 가능하지만, 대부분의 경우 정보보안관련 내역이 포함돼 있습니다. 따라서 용역과 관련 기안서 및 계약서를 확보해 관련 비용 중 정보보안 관련한 인원, 비용 금액을 별도로 확인해야 합니다. [출처 및 참고... 2022.08.16
- 블로그 [보안동향] 이것도 ESG? 이젠 ‘정보보호 공시’도 챙겨야 할 때! 정보보호 공시 배경 정보보호 공시제도는 2021년 처음으로 시행됐습니다. 정보보호산업의 진흥에 관한 법률 개정에 따라 공시의무대상 기업은 작년 6월 30일 전까지 정보보호 투자/인력/인증/활동 현황을 공시시스템상에서 의무 공시를 하게 됐습니다. 제도가 시행되기 전인 2016년부터 한국인터넷진흥원(KISA)에서는 사전 정보보호 공시 모의 수행 및 검증 지원 사업을 진행해 왔는데요.정보보호에 대한 객관적인 기업의 투자와 정보보호 활동을 판단할 수 있는 기준을 제시했습니다. 이를 통해 투자자/이용자에게 기업 신뢰도 평가와 이용자 보호를 위한 객관적 정보를 제공받아 평가할 수 있게 됐습니다. 최근 ESG 경영과 기업의 ESG 평가에 국내외 정보보호 항목이 포함됐습니다. 기업 경영에서 고려해야 할 중요한 변수로 정보보호 투자 및 인력 현황과 같은 보안과 관련된 비재무적 요소가 포함된 것이죠. 이러한 흐름 속에서 정보보호 공시제도와 정보보호의 중요성이 급부상하게 됐습니다. 작년 첫 시행된 정보보호 공시제도를 통해 기업 고객과 서비스 사용자는 기업이 어느 정도 정보보호에 투자하고 있고, 정보보호 전담 인력을 얼마나 보유하고 있는지 알 수 있게 됐습니다. 기업 경영에 있어 보안을 얼마나 중요시하는지 객관적인 공시 자료를 통해 살펴볼 수 있게 된 것인데요. 특히 개인정보를 다수 보유하고 있는 서비스 기업의 보안 관련 투자와 전담 인력 보유 수준 등은 향후 제품이나 서비스 선택에 있어 하나의 기준이 될 수 있음을 보여줬습니다. 또한, ESG 경영이나 평가에 있어 정보보호 준수 및 수준 향상 등이 앞으로의 기업 경영과 향후 예상되는 공시 의무화 및 제품 서비스의 해외 수출에 있어서 리스크가 될 수 있는데요. 따라서 중 장기적인 관점에서 ESG 경영의 일환 및 평가지표로서 정보보호 공시제도의 중요성이 더욱 커질 것으로 예상됩니다. 아래는 제도 첫 시행 후 다수 언론을 통해 보도된 기사입니다. 전과 달리 정보보호 투자액과 비중, 그리고 전담인력의 수준을 기업별로 한눈에 확인할 수 있습니다. 한 가지 놀라운 사실은 국내에서 대규모의 사용자와 서비스를 제공하는 해외 서비스임에도 불구하고 정보보호 인력을 보유하고 있지 않거나 투자액을 공개하지 않는 다국적 기업이 있다는 사실이었습니다. 과연 내년에는 인력을 채용하거나 투자현황을 공개하게 될지 궁금해집니다. 정보보호 공시를 통한 ESG경영 기여 및 대외 신뢰도 향상 정보보호 자율 공시를 통해 정보를 공개하는 기업의 경우, K-ESG 점검 항목 충족을 통해 ESG 평가 지수가 향상될 수 있습니다. 이를 통해 기업의 대외 신뢰도 향상 및 사이버 대응 신뢰도와 대응 능력을 향상시킬 수 있죠. 또한 이용자 보호와 국내... 2022.08.10
- 블로그 LG CNS 보안 공개 강의에 여러분을 초대합니다! LG CNS 보안사업담당에서 現 보안 회사 재직자와 정보보호학과 대학생을 대상으로 무료 보안 강연을 진행합니다! 이번 강연은 오는 21일 LG사이언스파크 ISC동에서 오프라인으로 진행되며, 참석 인원은 최대 40명 규모로 진행될 예정입니다. 이번 강연 주제로는 보안 취약점 점검, 보안 심사, 모의해킹 사례, BLACKHAT 2022 USA 참관후기 등 실무와 관련된 다양한 주제를 다룰 예정입니다. 보안 분야에 관심있는 분들의 많은 신청 부탁드립니다. 최종 참석자분들께는 자세한 내용에 대해 추후 개별 통보 드릴 예정입니다. 글 ㅣ LG... 2022.08.09
- 블로그 [보안동향] 효율적인 ‘방화벽 정책 관리’ 두 가지만 기억하세요! 2편 지난 글에서는 방화벽 정책 관리의 주요 문제점을 알아보았습니다. 이번 글에서는 방화벽 정책의 효율적인 관리 방안을 살펴보겠습니다. 방화벽 정책의 효율적인 관리 방안은 무엇일까요? 그렇다면 방화벽 정책의 효율적인 관리 방안은 무엇일까요? 1. 먼저 기업, 기관의 업무환경에 맞는 정책관리 기준과 절차를 수립하고 이행하는 것입니다. 기업과 기관에서는 수년간 운영해오던 수많은 방화벽 정책에서 단 한개의 잘못된 삭제가 서비스 중단으로 이어지진 않을까 하는 불안감 때문에 정책 관리를 포기할 수 있습니다. 이러한 사태를 예방하기 위해, 네트워크 Zone 분리를 위한 내/외부 방화벽 서비스 용도에 맞은 운영 기준을 설정해야 합니다. 또한 서비스, 관리/운영, 테스트, 차단 룰 등의 룰 관리 정책을 수립하고 정기적으로 적정성 검토를 수행하는 절차가 필요합니다. 아래 정책 관리 라이프 사이클과 같이 정기적으로 위험분석을 수행한다면 내부 보안 강화에 많은 도움이 될 것입니다. 2. 방화벽의 정책 관리 계획을 수립했다면, 먼저 내부 인프라 환경과 업무 서비스의 정확한 이해가 뒷받침돼야 합니다. 이처럼 다양한 업무 서비스 유형, 네트워크 구성 현황, IP 주소 관리체계 등 인프라 환경에 대한 변경 사항과 업무 이해도를 바탕으로 적용된 정책 분석이 필요합니다. 또한 적용된 정책을 어느 정도의 수준까지 개선할지 목표와 범위를 설정하고 분석해야 합니다. 마지막으로 방화벽 정책 최적화 컨설팅을 수행하면서 느낀 점은 고객사가 방화벽 정책 관리에 대한 니즈는 있으나, 정책의 수정으로 인해 발생할 수 있는 업무 영향 범위에 대한 부담을 공통으로 느끼고 있다는 것이었습니다. 상용 솔루션을 통해 방화벽 정책 관리 솔루션을 도입해 운영하는 것은 좋은 대안입니다. 하지만 방화벽 정책 관리 솔루션을 도입했다고 해서 방화벽 정책이 자동으로 최적화되는 것은 아닙니다. 결국 솔루션에서 검출된 레포트 내용을 이해하고, 판단해 적용하는 것은 보안 담당자의 중요한 역할이기 때문이죠. 앞서 설명한 것처럼 기업 내 인프라 환경과 업무 서비스의 이해도가 낮아 정책 개선을 위한 판단의 어려움을 겪고, 도입된 솔루션을 운영하지 못하는 사례도 있었습니다. 따라서 기업 내 도입된 보안솔루션 운영을 위한 위탁업체와의 업무 프로세스, 업무 R&R을 재점검하고, 보안 솔루션별로 적용된 정책의 적정성을 정기적으로 검토하고 개선해야 합니다. 이러한 보안관리 프로세스를 업무에 적용해 수많은 보안장비의 정책을 더 효율적으로 관리하는 방안을 수립할 수 있습니다. 네트워크 접근통제의 컴플라이언스 요건에 대해 살펴볼까요? – 개인정보보호법: 개인정보 수집 및 활용 시 개인정보보호법 준수 (제29조, 안전성 확보조치 기준 제6조(접근통제)– 정보통신망법: 대외서비스용 시스템의 정보통신망법 준수 (제28조, 기술적 관리적 보호조치 기준 제4조(접근통제)– ISMS-P: 대외서비스용 시스템의 정보통신망법 준수 (제28조, 기술적 관리적 보호조치 기준 제4조(접근통제) 보이지 않는 사각지대에 보안 홀과 위협이 있는지 사전에 점검하고 개선한다면, 내부 비즈니스 환경 변화와 고도화되고 있는 외부 위협에 효과적으로 대응할 수 있을 것입니다. 글 ㅣ LG CNS 사이버시큐리티팀 신용의 책임 2022.07.26
- 블로그 [보안동향] 효율적인 ‘방화벽 정책 관리’ 두 가지만 기억하세요! 1편 AI(인공지능), IoT(사물인터넷), 클라우드 등 빠르게 변하는 IT 환경 속에서 해킹 기술 또한 날로 지능화·고도화되고 있습니다. 보안사고도 매일 끊임없이 발생하고 있죠. 이번 글에서는 기업, 기관의 보안담당자와 정보보호 책임자가 간과하기 쉬운 네트워크 접근통제 보안영역 중 ‘방화벽 정책 관리’에 대해 고민해 보고, 대응 방향을 제시하고자 합니다. 방화벽 정책 관리는 왜 필요하고, 왜 중요한 걸까요? 보안관리 절차에 따라 검토, 승인된 정책만 적용하고 있다면 보안에 문제가 없는 걸까요? 방화벽 정책 수립과 최적화 컨설팅을 몇 차례 수행하면서 알게된 점이 있습니다. 통제·보호해야 할 대상을 정확하게 식별해 보호 대상 시스템 변화에 따른 정책을 관리하고, 불필요하게 허용된 정책은 없는지 정기적으로 점검하고 관리하는 기업과 기관이 많지 않다는 것입니다. 방화벽 정책 관리의 주요 문제점은 무엇일까요? 방화벽 정책 관리의 첫 번째 문제점은 기업마다 방화벽 정책 적용을 위한 승인 절차는 있으나, 정기적으로 정책을 점검하고 개선하는 절차가 없다는 것입니다. A사(ISMS-P 인증 기업)의 사례를 살펴보겠습니다. A사는 인터넷 대민서비스망 방화벽에 약 1,600개의 룰을 적용해 운영하고 있습니다. 한국인터넷진흥원(KISA)의 ISMS-P(개인정보 보호관리체계 인증제도) 인증심사 결과 매년 방화벽 정책의 관리에 대한 결함이 있었으나, 해당 룰에 대한 조치만 수행해 왔음을 확인할 수 있었습니다. B사의 사례를 보겠습니다. B사는 사용자 인터넷 서비스망에 UTM(Unified Threat Management, 통합 위협 관리) 기능이 탑재된 방화벽의 부가 기능인 유해사이트 차단, 악성코드 탐지 기능을 효율적으로 적용해 운영하고 있었는데요. 적용된 방화벽 정책 수는 약 1,200개에 달했습니다.... 2022.07.22
- 블로그 디지털트윈, AI 장착하는 정부세종청사…디지털청사로 변신! 정부세종청사가 디지털트윈, 5G특화망, AI, 빅데이터 등 DX신기술 기반의 디지털 청사로 탈바꿈합니다. LG CNS는 행정안전부가 발주한 ‘스마트 정부청사 통합관리체계 구축 사업’을 수주했습니다. 2023년 4월까지 국내 최대 규모(연면적 19만평, 62만9천㎡) 청사인 정부세종청사를 디지털전환(DX) 하는 프로젝트입니다. 이를 위해 LG CNS는 △디지털트윈 △5G특화망(이음5G) △AI △빅데이터 등을 활용한 ‘AI 통합 관제시스템’을 구축합니다.이는 디지털트윈 기술을 통해 가상 공간에 실제 정부세종청사를 3D로 구현해내는데요. 이 공간 안에서 관리인 아바타가 소방, 전기, 조명 관련 시설물 상태를 점검하는 ‘아바타 순찰 서비스’를 제공합니다. 예를 들어, 정부세종청사 관리인이 아바타가 지하 2층부터 지상 12층까지 순찰하도록 설정하면, 아바타는 전층을 확인하며 구역별 전기 누전차단기 정상 작동 여부, 조명 밝기 수치 등을 확인합니다. LG CNS는 정부세종청사에 이음5G를 적용합니다. 정부세종청사는 통신사 이동통신망이 아닌 별도의 전용 주파수를 이용해 데이터 보안을 강화할 수 있게 됩니다. ‘AI 통합 관제시스템’은 AI, 빅데이터 기반의 ‘이상감지 서비스’도 제공합니다. AI는 인물 성별, 소지품 유무, 차량 종류 등 약 60종의 지표를 활용해 정부세종청사 안팎의 2,000여개 CCTV에 촬영된 모든 영상을 분석하는데요. 정부세종청사 관제실에서는 AI가 분석한 시설물·보안 관제 빅데이터를 바탕으로 △화재, 무단침입 등 이상상황 신속 인지/알림 △시설물 이상감지 등을 할 수 있게 됩니다. LG CNS는 DX신기술을 총망라한 ‘AI 통합 관제시스템’을 ‘시티허브 빌딩(Cityhub Building)’ 플랫폼을 통해 제공합니다. ‘시티허브 빌딩’은 LG CNS가 자체 개발한 통합관제 특화 플랫폼으로 빌딩, 공장 같은 대형 건물의 데이터 수집, 설비 관리·제어를 한 번에 할 수 있는 다양한 솔루션을 담고 있습니다. 향후 정부세종청사는 ‘AI 통합 관제시스템’을 이용해 이상상황에 신속하게 대응하고, 최적의 의사결정을 내릴 수 있게 됩니다. 예를 들어, 화재 발생 시 △화재 위험 알림 △화재 발생 지점 정밀 감시 △비상출구 현황 안내 △소방장비 목록 제공 등이 가동돼 비상 대응 체계를 수립할 수 있습니다. LG CNS는 보안성과 편의성을 갖춘 워크스루(Walk-Through)형 출입 게이트도 구축합니다. 모바일공무원증 앱 인증, AI얼굴인식을 결합한 복합인증 방식을 도입하는데요. 정부청사 근무자들은 앱을 켜고 출입 게이트를 지나가기만 하면 됩니다. 마스크를 착용해도 AI가 정확하게 얼굴을 인식해 줄을 서서 기다릴 필요가 없습니다. LG CNS는 국제표준화기구(ISO)의 ‘얼굴 위변조 방지 기술 인증’을 보유한 씨유박스(CUBOX)와 컨소시엄을 구성했습니다. 전세계 30여개 기업만 이 인증을 받았고, 국내에선 씨유박스가 유일합니다. LG CNS는 세종을 포함한 서울, 과천, 대전 4곳 정부청사에 워크스루형 출입 게이트를 설치할 계획입니다. LG CNS는 대한민국 첫 스마트시티인 ‘세종 스마트시티 국가시범도시’ 사업을 맡아 최근 특수목적법인(SPC)을 설립했습니다. AI, 빅데이터, 블록체인 등을 적용한 디지털 신도시를 조성하고 있습니다. LG CNS 스마트SOC담당 유인상 상무는 “정부세종청사의 디지털전환을 통해 보안·관제·운영 효율성을 극대화하고 대국민 편의까지 향상시킬 것”이라며 “앞으로도 건물, 모빌리티 등 도시를 구성하는 다양한 분야에서 고객경험을 혁신하겠다”고 강조했습니다. 글 ㅣ LG CNS 홍보팀 2022.07.19
- 블로그 [보안동향] 개인정보 해외 이전, ‘이것’만 체크하면 걱정 끝! 2편 지난 글에서는 CBPR(Cross Border Privacy Rules)의 장점과 함께 적용 사례를 살펴보았습니다. CBPR은 ‘국경 간 프라이버시 규칙’이라는 의미로, 회원국 간 데이터 활용을 장려하기 위한 개인정보보호 자율인증제도입니다. 이번 글에서는 CBPR과 ISMS-P(개인정보 보호관리체계 인증제도)의 차이점과 CBPR 인증 심사 절차에 관해 알아보겠습니다. CBPR 인증기준, ISMS-P와의 차이는? 인증기준은 아래와 같습니다. CBPR은 개인정보 항목만 다루고 있습니다. ISMS-P에서 개인정보 관련 부분이 CBPR과 유사한데요. 실제로 CBPR을 신청할 때 ISMS-P 획득 여부를 기입하도록 하고 있습니다. CBPR 인증기준이 ISMS-P 보다 낮기 때문에 ISMS-P 인증기업이라면 CBPR도 어렵지 않게 인증 받을 수 있는데요, CBPR 인증 심사 절차는? 인증 심사를 신청하기 위해서는 인증기관에 필요한 서류를 준비해 이메일로 제출해야 합니다. 서류는 개인정보보호 국제협력센터에서 다운로드(https://www.privacy.go.kr/pic/cbpr_reference.do) 받을 수 있습니다.... 2022.07.18
- 블로그 [보안동향] 개인정보 해외 이전, ‘이것’만 체크하면 걱정 끝! 1편 CBPR(Cross Border Privacy Rules)은 ‘국경 간 프라이버시 규칙’이라는 의미로, 회원국 간 데이터 활용을 장려하기 위한 개인정보보호자율인증제도입니다. CBPR은 개인정보 보호를 위한 법체계 개발에 고려해야 할 국제 원칙과 지침으로 USMCA(US-Mexico-Canada Agreement, 미국-멕시코-캐나다 협정), SADEA(Singapore-Australia Digital Economy Agreement, 싱가포르-호주 디지털 경제 협정)에 포함됐는데요. 국경 간 데이터 이전에 CBPR의 효율성이 인정받고 있습니다. CBPR은 어떤 기업이 인증받는 게 좋을까요? GDPR(General Data Protection Regulation, 일반 개인정보 보호법)은 CBPR보다 높은 요건으로 국경간 이전과 관련해 개인정보 보호의 관점에서... 2022.07.13
- 블로그 AI•VR로 이뤄낸 모바일 OS의 혁신! 대부분의 모바일 기기에는 두 종류의 운영체제(Operating System,OS)가 탑재돼있습니다. 안드로이드 혹은 iOS입니다. 그동안 여러 운영체제가 생겨나고 사라졌지만 두 모바일 OS의 아성을 무너뜨리지 못했습니다. 안드로이드와 iOS를 만드는 구글과 애플 두 거대 IT 기업은 인공지능을 활용하거나 최신 기술을 테스트하면서 끊임없이 모바일 OS를 발전시키고 있습니다. 모바일 세상에서 꼭 필요한 모바일 OS의 모습과 미래를 함께 살펴보고자 합니다. 모바일 OS의 양대산맥 모바일 OS는 스마트폰, 태블릿 PC(개인용 컴퓨터) 및 여러 장치에서 응용 프로그램을 실행할 수 있도록 하는 소프트웨어입니다.... 2022.07.07
- 블로그 [보안동향] 잊지 마세요! 개인정보 수집보다 중요한 ‘OO’ 2편 지난 글에서는 개인정보 파기 관련 법령과 개인정보 파기 시점에 관해 알아보았습니다. 이번 글에서는 개인정보 삭제 방법과 개인정보 분리∙보관을 함께 살펴보겠습니다. 5. 개인정보 삭제 방법 개인정보를 파기할 때는 개인정보보호법 제21조 2항에 의거해 복구 또는 재생되지 않도록 조치해야 하는데요. 이에 대한 구체적인 방법으로 4항에 의거한 시행령과 행정규칙을 알아보겠습니다. 개인정보 수집은 서면, 우편, 통화 등 다양한 방법으로 이뤄집니다. 그렇기 때문에 파기 대상도 이에 따라 종이 문서, 전자우편, 음성녹음 파일, 전자문서, 데이터베이스 등으로 다양하죠. 데이터베이스에 저장된 데이터뿐만 아니라 각종 매체에 존재하는 개인정보도 파기 대상이 되는데요. 이때 매체별로 보존기간이 다를 수 있고, 파기 방법도 달라질 수 있습니다. 앞서 언급한 대로, 개인정보의 파기는 기본적으로 재생과 복구가 불가능한 방법으로 파기해야 하는데요. ‘복원이 불가능한 방법’이란 사회 통념상 적정한 비용을 통해 개인정보의 복원이 불가능하도록 파기하는 조치 방법을 말합니다. 개인정보의 안전성 확보 조치 기준 해설서에 따르면, 개인정보 파기 전문 업체를 활용할 수 있습니다. 다만 개인정보 파기의 시행 및 파기 결과의 확인은 개인정보보호 책임자의 책임하에 수행돼야 하고, 파기에 관한 사항을 기록∙관리해야 합니다. 6. 정보통신서비스의 장기 미사용 이용자 보호를 위한 파기 다음은 정보통신서비스 이용자 중 장기 미사용 시 파기 또는 분리∙보관에 대한 특례 조항을 살펴보겠습니다. 정보통신서비스 제공자는 서비스를 1년 또는 이용자의 요청으로 정한 특정 기간 이상 미사용한 이용자의 개인정보에 대해 파기 등 보호 조치를 취해야 합니다. 파기의 경우 미사용 기간 만료 30일 전 ‘개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목’을 이용자에게 통지하고, 마지막 사용 후 미사용 기간이 만료되면 개인정보를 파기 조치합니다. 통신비밀보호법시행령, 의료법, 근로기준법 등 다른 법령에 따라 이용자의 개인정보를 분리∙보관하는 경우에는 미사용 기간 만료 30일 전 ‘개인정보가 분리돼 저장∙관리되는 사실, 기간 만료일 및 분리∙저장돼 관리되는 개인정보의 항목’을 이용자에게 통보해야 합니다.이후 미사용 기간이 도래하면 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리해 별도로 저장∙관리해야 합니다. 정보 생명주기 관리 솔루션을 사용해 거래 종료된 고객의 개인신용정보를 파기 데이터 보관 시스템으로 구축할 수 있는데요. 이를 통해 인가된 관리자, 승인된 사용자만 접근하도록 제한할 수 있습니다. 주의할 점은 분리∙보관하는 개인정보는 해당 법령에서 규정하는 경우를 제외하고는 개인정보를 이용하거나 제공하지 않아야 한다는 점입니다. 7. 법령에 따른 파기 대상 개인정보의 분리보관 개인정보보호법 제21조 3항에서는 보존 대상 개인정보를 분리∙보관할 것을 명시하고 있습니다.보관기간은 해당 사업 영역에 적용되는 관련 법령에서 정의하고 있는 보존 기한을 따르는데요. 법령에서 정한 보유 기간에는 파기 대상 개인정보를 원본에서 분리해 보관해야 합니다. 그렇지 않으면 파기 대상 정보 주체가 전체 개인정보를 대상으로 하는 메일 발송에 포함되는 등 정보 주체의 권리 침해가 발생할 수 있기 때문입니다. 아래는 보존기간을 정의하고 있는 법령의 예시입니다. 개인정보 분리는 별도의 데이터베이스나 저장매체에 할 수 있습니다. 같은 테이블 스페이스 내 별도 테이블에 저장하는 논리적 분리도 가능하죠. 데이터 저장 단위 중 가장 상위에 있는 단위를 테이블 스페이스라고 합니다. 다만, 원본과 동일한 접근권한을 가지고 동일 애플리케이션을 통해 접근하는 것은 허용하지 않는데요. 분리보관 대상 정보에 대해서는 별도의 권한으로 접근 통제가 이뤄져야 합니다. 대량의 개인정보를 다룰 경우, 파기 대상 개인정보를 별도 디스크로 옮겨주는 솔루션을 이용할 수 있습니다. 솔루션은 애플리케이션에서 운영 스토리지와 아카이빙 스토리지로 분리 저장하는 S/W 방식, 운영 스토리지에 저장된 정보를 아카이빙 스토리지로 옮겨주는 H/W 방식이 있습니다. 아카이빙 스토리지는 고객사에서 생성되고 있는 비즈니스 문서, 이메일, 콘텐츠 등과 같이 한번 생성이 되면 변경되지 않는 고정 콘텐츠를 장기간 위변조 없이 안정적으로 보관할 수 있는 스토리지라고 정의할 수 있습니다. 8. 분리보관 개인정보의 삭제 관련 법령에 의해 개인정보를 분리·보관할 때도 보유 기간을 지켜야 합니다.분리보관 데이터는 영구 보관 대상이 아니며, 법령에 명시된 기간이 경과하면 차례대로 파기하도록 구현해야 합니다. 개인정보를 사용할 때는 수집∙저장∙이용∙제공뿐만 아니라 파기까지 관리해야 완전하게 라이프 사이클상에서의 보호조치를 다 했다고 할 수 있습니다.지금까지 개인정보 처리자가 소홀히 다루기 쉬운 개인정보의 파기에 대해 알아보았습니다. 글 ㅣ LG CNS 사이버시큐리티팀 권영미 책임 2022.07.05