태그검색
찾고 싶은 것이 있나요?
정보보호에 대한 12개의 태그 검색결과가 있습니다.
- 블로그 DLP 솔루션 심화편! 주요 솔루션 4종 전격 비교 이번 글에서는 DLP(Data Loss Prevention, 데이터 손실 방지) 솔루션 도입 전 확인해야 할 필수 체크리스트와 주요 DLP 솔루션 4종의 특징을 살펴보도록 하겠습니다. DLP 솔루션의 기본 개념과 기능은 지난 글을 참고해 주세요. ▶ 1편 바로가기: 줄줄 새는 기업정보? 데이터손실방지(DLP) 솔루션으로 보호하세요! DLP 솔루션 도입 전 필요한 [Check List] DLP 솔루션은 엔드포인트 단, 즉 임직원들의 PC에 에이전트를 설치해 사용하는 툴이므로 보안 기능뿐 아니라 기업의 업무 환경을 고려해 도입하는 것이 중요합니다. DLP 솔루션...
- 블로그 줄줄 새는 기업정보? 데이터손실방지(DLP) 솔루션으로 보호하세요! IBM 시큐리티에서 발표한 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’에 따르면 전 세계 데이터 유출 피해액이 최근 17년 동안 매년 증가해 2022년 최고치를 기록한 것으로 알려졌습니다. 기업에서 직원의 고의나 실수로 정보가 유출되면 막대한 손실을 피하기 어려운데요. 이메일, 메신저, 외장하드, 클라우드 등 데이터 유출 경로도 점점 다양해지고 있습니다. 이에 데이터 손실과 정보 유출 방지를 위한 DLP(Data Loss Prevention) 솔루션의 필요성이 커지고 있습니다. 이번 글에서는 기업들이 왜...
- 블로그 [보안동향] ‘정보보호 공시’ 분석부터 작성까지 한 번에 끝내세요! 지난 글에서는 정보보호 공시 개요와 대응 업무 절차, 정보보호 공시 준비 자료를 살펴보았습니다. 이번 글에서는 정보보호 공시 자료 분석 및 작성에 관해 알아보겠습니다. 정보보호 공시 자료 분석 및 작성 정보보호 공시 투자 영역 집계는 자산 대장과 비용 원장을 기반으로 분석을 진행합니다. 아래는 분석과 관련된 한국인터넷진흥원(KISA)의 가이드와 공시 실무교육 자료를 요약한 내용입니다. 앞에서 언급한 기본적인 분류 기준 방안을 기반으로 아래 세부 항목별 작성을 진행해 보도록 하겠습니다. 자산 분류, 집계와 관련해 KISA...
- 블로그 [보안동향] 정보보호도 ESG! 어떻게 진행해야 할지 막막하다면? 지난 글에서는 정보보호 공시 배경과 정보보호 관련 ESG 동향에 관해 알아보았습니다. 이번 글에서는 정보보호 공시 개요와 함께 대응 업무 범위 및 수행 절차를 살펴보겠습니다. 정보보호 공시 배경 정보보호 공시는 아래의 의무 대상 기업이 정보보호 투자액, 인력, 정보보호 인증, 정보보호 활동을 공시하도록 규정하고 있습니다. 정보보호 공시 진행 시에 회계법인 또는 감리법인을 통해 정보보호 공시 사전 점검자료를 제출한 후 공시하는 경우에는 사후 검증 면제의 혜택이 제공됩니다. 사후 검증의 경우, 공시 후 제출 기업 중 20% 표본 기업을 대상으로 제출한 공시 내용에 대한 사후 점검을 수행합니다. 제출 기업의 정확한 공시 작성은 물론 제출된 공시 자료를 검증해 신뢰도를 높이고자 하는 검증 절차상의 단계입니다. 다수의 기업이 전문 회계 법인이나 감리 법인을 통해 정보보호 공시를 준비하는데요. 이는 보안 관련한 공시 작성 분야지만 회계, 인사의 인건비 회계 처리 등과 관련한 전문성이 필요하기 때문입니다. 또한, 고객 현업팀의 경우 수행 업무의 부담을 최소화하고 사후 검증에 대한 부담을 줄이고자 전문 회계법인, 감리법인을 통해 수행하고 있음을 알게 됐습니다. 정보보호 공시를 진행할 때 주의해야 하는 사항이 몇 가지 있습니다. 이 중 첫 번째가 정보보호 공시 시스템의 선정입니다. 아래의 표와 같이 기본은 과학기술정보통신부에서 운영하는 전자공시시스템(ISDS)에 공시하는 것이 원칙인데요. 특히 주의사항으로 한국거래소 상장공시시스템(KIND)에 자율 공시하는 경우, 예를 들어 정정 공시 처리 규정 등에 따라 공시 위반 제재를 받을 수 있습니다. 따라서 정보보호 ISDS를 통해 공시를 진행해야 합니다. 정보보호 공시 준비/대응 업무 범위 및 수행 절차 공시 대응과 준비를 위해서 제일 먼저 해야 하는 업무는 설명회를 기반으로 한 착수 회의의 진행입니다. 회계팀, 정보기술팀, 인사팀, 기타 유관 부서를 식별하고 관련 부서장과 실무자를 대상으로 한 설명회를 진행하는데요. 이를 통해 제도 및 필요한 자료 요청에 대한 설명, 진행 일정을 공유해 효율적으로 수행할 수 있습니다. 설명회 전에는 정보기술 전담 조직 식별 및 정보보호 조직의 식별을 선행해야 합니다. 이후 설명회 시에 인사팀을 통해 인원, 인건비와 관련한 자료 작성을 요청해야 합니다. 이때 아래 가이드와 같이 전담 조직의 경우, 조직 즉 상위 부서 또는 팀 단위 전체를 대상으로 요청하면 작업이 좀 더 쉽습니다. 정보보호 조직의 경우, 정보보호 업무를 전담으로 하는 인원을 대상으로 인원별 인건비 산정을 진행해야 합니다. 만약 보안 전담 부서는 아니지만, 정보보호 직무를 100% 전담하고 있는 인원이 있는 경우는 정보보호 부문 직무기술서를 작성하고 CEO 또는 CISO(Chief Information Security Officer)의 서명을 받아 증거자료를 준비하고, 인원수와 인건비 산정을 진행해야 합니다. 근무 인원수와 인건비 산정 시 월별로 대상 연도에 근무한 인원의 수와 해당 인원의 급여, 상여, 퇴직급여, 급여성 복리후생비의 합계를 급여 대장을 통해 비용 산정해야 합니다. 또한, 비용 원장 분석 시 인사팀을 통해 별도 산정을 진행하게 되면 비용원장에서 급여성 비용 계정을 제외해 중복으로 합산되지 않도록 진행해야 합니다. 정보보호 공시 준비 자료 요청 투자액 산정 시 사용되는 자산 대장과 비용원장 분석은 가장 많은 시간이 소요되는 작업입니다. 두 자료 모두 회계팀을 통해 입수하게 되는데요. 사전 설명회를 통해 원하는 데이터를 정확하게 받기 위해 템플릿과 샘플 양식(KISA 가이드 참조)을 기반으로 사전 요청을 진행해야 합니다. 자산 대장의 경우 자산 유형 중 정보기술이나 정보보호와 관련된 유형을 식별해서 요청할 수도 있지만, 누락 등이 발생할 수 있으므로 전체 자산대장을 입수해 분석하는 것을 권장합니다. 비용원장의 경우, 자산 대장보다는 정보기술/정보보호 비용이 회계기준에 따라 처리되는 계정이 비교적 명확합니다. 따라서 KISA에서 요구하는 주요 정보기술과 관련한 비용 계정을 중심으로 입수해 분석을 진행합니다. 외주 용역비 내역의 경우 비용원장상에서 수수료-외주용역 또는 수수료-전산 용역을 통해 정보기술의 비용 분류가 가능하지만, 대부분의 경우 정보보안관련 내역이 포함돼 있습니다. 따라서 용역과 관련 기안서 및 계약서를 확보해 관련 비용 중 정보보안 관련한 인원, 비용 금액을 별도로 확인해야 합니다. [출처 및 참고...
- 블로그 [보안동향] 변화하는 정보보호 인증심사, DX 전문가가 알려드립니다! 과거에는 기업의 정보보호 관리체계와 그것에 대한 인증을 평가하는 체계가 이원화돼 있었습니다. 그래서 유사한 보안 관리 및 통제임에도 불구하고 기업에서는 별도의 인증심사를 실시할 수밖에 없었죠. 이로 인해 관련한 법령과 소관부서가 각각 분리돼 재정, 인력의 부담이 발생했습니다. 이와 관련해 정부 부서에서는 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(시행 2018. 11. 7)를 발표하고, 통합을 추진했습니다. 이번 글에서는 정보보호 관리체계 인증제도의 목적을 포함해 제도를 소개하고, 인증제도의 통합 과정과 통합 후 달라진 부분을 다루겠습니다....
- 블로그 [보안동향] 디지털 뉴딜 ‘K-사이버 방역’ 어디까지 왔을까? 90여 년 전 대공황 극복을 위해 미국이 추진했던 뉴딜(New Deal) 정책(1933년~1936년)을 차용해 우리 정부는 한국판 뉴딜 정책을 작년 4월에 발표했습니다. 5월에는 추진 방향을, 7월에는 구체적인 추진 계획을 잇따라 내놓았습니다. 코로나19사태로 인해 ‘대 대공항(Greater Depression)’이라는 최악의 경우에 대비해, 최대한 빠른 극복과 대전환을 위해 ‘디지털 뉴딜’ 과 ‘그린 뉴딜’과 이를 뒷받침하는 ‘안전망 강화’의 3개 정책 방향으로 구체화됐습니다. ※ 대 대공항(Greater Depression): “대공황 수준이 아니다. 대 대공황(Greater Depression)도 가능하다!” 경영학자 루비니 뉴욕대 교수의...
- 블로그 세계가 놀란 ‘K-방역’ 금융 보안도 지킨다! 최근 국내 금융권이 다수 사용하는 보안 소프트웨어 통합 솔루션 베라포트(Veraport) 공급망에서 악성코드를 배포하려는 시도가 발견됐습니다. 그 배후가 북한이 연계됐다는 주장까지 제기됐습니다. 국제 해킹 그룹인 라자루스 소행이라고 주장합니다. 이 사건은 지난해 하반기와 올해 잇달아 발생한 공급망 공격으로 다행히 금융사 피해는 아직 없는 것으로 조사됐습니다. 코로나19 확산으로 비대면 채널이 부상하자 해킹 수법도 날로 진화하고 있습니다. 소프트웨어 취약점을 이용해 악성코드를 삽입하거나 소프트웨어 정책 서버를 공격하는 일도 발생하고 있습니다. 코드 서명 인증서를 악용한 악성코드...
- 블로그 기업의 핵심 비밀정보를 지키는 방법은? 산업 기술 유출범죄는 해마다 증가하는 추세로 국가정보원에 따르면 산업 스파이 해외유출 적발 건은 71건(2014~2018)으로 과거에는 대기업, IT 분야 중심이었다면 최근에는 전기•전자, 정밀 기계 분야까지 확대되어 기술 정보가 유출되고 있는 상황으로 국내 기업의 기술 보안에 비상등이 켜졌습니다. 미국은 이미 경제 스파이 법, 외국 경제 스파이 처벌 강화법 등 산업 기술 유출 사범에 대한 엄격한 법 제정을 통해 자국의 기술 정보를 보호하는 활동을 하고 있습니다. 그러나 국내는 산업 기술을 비롯한 영업 비밀정보...
- 블로그 생활 속의 암호학 네트워크의 발달로 다양하고 엄청난 양의 정보가 유통되고 있습니다. 이 정보 중에는 다양하게 공유되어야 할 정보들도 넘쳐나겠지만, 유출되면 개인의 사생활 보호를 위협 할 수 있는 다양한 개인정보, 기업의 흥망을 결정지을 수도 있는 영업비밀, 기술정보, 국가 안보에 치명적인 정보 등 보호 대상이 되는 정보들도 많습니다. 네트워크(특히, 스마트폰을 통한 무선 네트워크)가 발달하는 만큼 정보의 중요도에 따라 사이버 위협도 증가해 뉴스를 통해 다양한 해킹 사고, 유출 사고에 대해서 매일 접하게 되고, 이런 위협들은 현대를...
- 블로그 Big Data 속 커져가는 개인정보, 공개와 보호의 딜레마 많은 기업들은 사용자의 개인정보를 활용해 선호도를 분석하고, 분석 결과를 맞춤형 광고 및 추천 서비스 등 다양한 영역에 활용하고 있습니다. 수집, 활용하는 사용자의 정보가 많고 직접적일수록 의미 있는 정보 분석 결과를 도출할 수 있는데요. 실제로 사용자의 웹 쿠키 기록만을 가지고 복잡한 알고리즘을 통한 정보 분석보다 페이스북의 ‘좋아요’ 버튼 기록을 분석하는 것이 사용자 선호도 분석에 있어, 알고리즘의 난이도에 비해 높은 정확도를 보여준다는 것이 업계의 설명입니다. 이는 ‘좋아요’ 기록에는 일반적으로 사용자의 사회관계망(Social Network)...
- 블로그 함께 준비하는 보안사고 대응 체계 ‘정보보호 거버넌스’ 우리는 끊임없이 보안사고를 접하게 됩니다. 최근 언론을 통해 자주 보안사고가 이슈화되면서 보안의 중요성에 대해 많은 관심이 집중되고 있는데요. 그렇다면, 보안 사고에 대처하는 노력은 무엇이 있을까요? 오늘은 정보보호의 큰 흐름을 짚어보면서 향후 대처해야 할 방향을 가늠해보도록 하겠습니다. 먼저, 지난 수십 년간의 정보보호 패러다임을 살펴보면 다음과 같습니다. [그림1]에서 보는 바와 같이, 시간이 지날수록 정보보호의 패러다임은 기술적인 관점에서 기업 전체에 대한 관점으로 변화하고 있습니다. 정보보호에 대한 참여자도 점차 확대되고 있습니다. 결국, 정보보호의 방향은...
- 블로그 유전자 정보를 위한 보안 ! 어디까지 왔나? 우주비행사가 되고 싶은 꿈을 가진 한 아이가 있습니다. 소년은 부모로부터 심장질환을 포함한 각종 질병을 물려받아 예상 수명이 30년 밖에 되지 않습니다. 그런데도 우주비행사가 되기 위해 부단한 열정과 노력을 기울여 본인의 한계를 뛰어넘으며 꿈에 가까워집니다. 그러나 꿈을 이룰 수 있는 마지막 단계에서 열성유전자를 보유했다는 이유로 면접에서 떨어집니다. 우주 비행사가 될 기회는 유전자 조작으로 유전적 질환이 제거된 우성유전자만을 물려받은 ‘우수성이 예측’되는 인간들에게만 주어집니다. 1997년 영화 ‘가타카’는 유전자 열성인자를 제거하고 우성인자만을 조합하여 맞춤형...