태그검색
찾고 싶은 것이 있나요?
정보보호에 대한 14개의 태그 검색결과가 있습니다.
- 블로그 [IT생네컷] 한국은행 통합 ITO 혁신! LG CNS 현장의 영웅들 대한민국 화폐를 발행하고 통화신용정책을 수립, 집행하는 한국은행! 한국은행에서는 하루에도 수십조 원에 달하는 막대한 금융 데이터가 움직이는데요. 한국은행 시스템이 한 치의 오류 없이 안정적으로 운영될 수 있도록, LG CNS 전문가들이 나섰습니다. DX전문가를 만나보는 IT생네컷 아홉 번째 주인공은 한국은행 ITO 통합 운영 프로젝트를 진행하고 있는 정승술 책임, 최승준 책임, 이창헌 책임, 양호근 책임입니다. LG CNS의 DX전문가가 들려주는 금융 프로젝트 현장의 이야기! 지금 공개합니다. #1. 첫 번째 컷: 한국은행 ITO 프로젝트 Q. 한국은행...
- 블로그 개인정보 처리방침 작성, 어렵지 않아요! 인터넷을 이용하다 보면 사이트 하단이나 게시판에 게시된 개인정보 처리방침을 쉽게 접할 수 있습니다. 개인정보 처리방침은 이용자가 안심하고 서비스를 이용할 수 있도록 기업/사업자가 준수해야 할 지침을 의미하며, 개인정보보호법 제30조에 따라 모든 개인정보처리자는 개인정보 처리방침을 수립 및 공개할 의무가 있습니다. 개인정보 보호법에서는 개인정보 처리방침에 반드시 포함해야 할 내용을 [그림 1]과 같이 규정하고 있습니다. 이번 글에서는 개인정보 처리방침 작성 시 놓치기 쉬운 부분들을 짚어보고, 올바른 작성 가이드를 소개해 드리겠습니다. 개인정보 처리방법 작성 시,...
- 블로그 DLP 솔루션 심화편! 주요 솔루션 4종 전격 비교 이번 글에서는 DLP(Data Loss Prevention, 데이터 손실 방지) 솔루션 도입 전 확인해야 할 필수 체크리스트와 주요 DLP 솔루션 4종의 특징을 살펴보도록 하겠습니다. DLP 솔루션의 기본 개념과 기능은 지난 글을 참고해 주세요. ▶ 1편 바로가기: 줄줄 새는 기업정보? 데이터손실방지(DLP) 솔루션으로 보호하세요! DLP 솔루션 도입 전 필요한 [Check List] DLP 솔루션은 엔드포인트 단, 즉 임직원들의 PC에 에이전트를 설치해 사용하는 툴이므로 보안 기능뿐 아니라 기업의 업무 환경을 고려해 도입하는 것이 중요합니다. DLP 솔루션...
- 블로그 줄줄 새는 기업정보? 데이터손실방지(DLP) 솔루션으로 보호하세요! IBM 시큐리티에서 발표한 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’에 따르면 전 세계 데이터 유출 피해액이 최근 17년 동안 매년 증가해 2022년 최고치를 기록한 것으로 알려졌습니다. 기업에서 직원의 고의나 실수로 정보가 유출되면 막대한 손실을 피하기 어려운데요. 이메일, 메신저, 외장하드, 클라우드 등 데이터 유출 경로도 점점 다양해지고 있습니다. 이에 데이터 손실과 정보 유출 방지를 위한 DLP(Data Loss Prevention) 솔루션의 필요성이 커지고 있습니다. 이번 글에서는 기업들이 왜...
- 블로그 [보안동향] ‘정보보호 공시’ 분석부터 작성까지 한 번에 끝내세요! 지난 글에서는 정보보호 공시 개요와 대응 업무 절차, 정보보호 공시 준비 자료를 살펴보았습니다. 이번 글에서는 정보보호 공시 자료 분석 및 작성에 관해 알아보겠습니다. 정보보호 공시 자료 분석 및 작성 정보보호 공시 투자 영역 집계는 자산 대장과 비용 원장을 기반으로 분석을 진행합니다. 아래는 분석과 관련된 한국인터넷진흥원(KISA)의 가이드와 공시 실무교육 자료를 요약한 내용입니다. 앞에서 언급한 기본적인 분류 기준 방안을 기반으로 아래 세부 항목별 작성을 진행해 보도록 하겠습니다. 자산 분류, 집계와 관련해 KISA...
- 블로그 [보안동향] 정보보호도 ESG! 어떻게 진행해야 할지 막막하다면? 지난 글에서는 정보보호 공시 배경과 정보보호 관련 ESG 동향에 관해 알아보았습니다. 이번 글에서는 정보보호 공시 개요와 함께 대응 업무 범위 및 수행 절차를 살펴보겠습니다. 정보보호 공시 배경 정보보호 공시는 아래의 의무 대상 기업이 정보보호 투자액, 인력, 정보보호 인증, 정보보호 활동을 공시하도록 규정하고 있습니다. 정보보호 공시 진행 시에 회계법인 또는 감리법인을 통해 정보보호 공시 사전 점검자료를 제출한 후 공시하는 경우에는 사후 검증 면제의 혜택이 제공됩니다. 사후 검증의 경우, 공시 후 제출 기업 중 20% 표본 기업을 대상으로 제출한 공시 내용에 대한 사후 점검을 수행합니다. 제출 기업의 정확한 공시 작성은 물론 제출된 공시 자료를 검증해 신뢰도를 높이고자 하는 검증 절차상의 단계입니다. 다수의 기업이 전문 회계 법인이나 감리 법인을 통해 정보보호 공시를 준비하는데요. 이는 보안 관련한 공시 작성 분야지만 회계, 인사의 인건비 회계 처리 등과 관련한 전문성이 필요하기 때문입니다. 또한, 고객 현업팀의 경우 수행 업무의 부담을 최소화하고 사후 검증에 대한 부담을 줄이고자 전문 회계법인, 감리법인을 통해 수행하고 있음을 알게 됐습니다. 정보보호 공시를 진행할 때 주의해야 하는 사항이 몇 가지 있습니다. 이 중 첫 번째가 정보보호 공시 시스템의 선정입니다. 아래의 표와 같이 기본은 과학기술정보통신부에서 운영하는 전자공시시스템(ISDS)에 공시하는 것이 원칙인데요. 특히 주의사항으로 한국거래소 상장공시시스템(KIND)에 자율 공시하는 경우, 예를 들어 정정 공시 처리 규정 등에 따라 공시 위반 제재를 받을 수 있습니다. 따라서 정보보호 ISDS를 통해 공시를 진행해야 합니다. 정보보호 공시 준비/대응 업무 범위 및 수행 절차 공시 대응과 준비를 위해서 제일 먼저 해야 하는 업무는 설명회를 기반으로 한 착수 회의의 진행입니다. 회계팀, 정보기술팀, 인사팀, 기타 유관 부서를 식별하고 관련 부서장과 실무자를 대상으로 한 설명회를 진행하는데요. 이를 통해 제도 및 필요한 자료 요청에 대한 설명, 진행 일정을 공유해 효율적으로 수행할 수 있습니다. 설명회 전에는 정보기술 전담 조직 식별 및 정보보호 조직의 식별을 선행해야 합니다. 이후 설명회 시에 인사팀을 통해 인원, 인건비와 관련한 자료 작성을 요청해야 합니다. 이때 아래 가이드와 같이 전담 조직의 경우, 조직 즉 상위 부서 또는 팀 단위 전체를 대상으로 요청하면 작업이 좀 더 쉽습니다. 정보보호 조직의 경우, 정보보호 업무를 전담으로 하는 인원을 대상으로 인원별 인건비 산정을 진행해야 합니다. 만약 보안 전담 부서는 아니지만, 정보보호 직무를 100% 전담하고 있는 인원이 있는 경우는 정보보호 부문 직무기술서를 작성하고 CEO 또는 CISO(Chief Information Security Officer)의 서명을 받아 증거자료를 준비하고, 인원수와 인건비 산정을 진행해야 합니다. 근무 인원수와 인건비 산정 시 월별로 대상 연도에 근무한 인원의 수와 해당 인원의 급여, 상여, 퇴직급여, 급여성 복리후생비의 합계를 급여 대장을 통해 비용 산정해야 합니다. 또한, 비용 원장 분석 시 인사팀을 통해 별도 산정을 진행하게 되면 비용원장에서 급여성 비용 계정을 제외해 중복으로 합산되지 않도록 진행해야 합니다. 정보보호 공시 준비 자료 요청 투자액 산정 시 사용되는 자산 대장과 비용원장 분석은 가장 많은 시간이 소요되는 작업입니다. 두 자료 모두 회계팀을 통해 입수하게 되는데요. 사전 설명회를 통해 원하는 데이터를 정확하게 받기 위해 템플릿과 샘플 양식(KISA 가이드 참조)을 기반으로 사전 요청을 진행해야 합니다. 자산 대장의 경우 자산 유형 중 정보기술이나 정보보호와 관련된 유형을 식별해서 요청할 수도 있지만, 누락 등이 발생할 수 있으므로 전체 자산대장을 입수해 분석하는 것을 권장합니다. 비용원장의 경우, 자산 대장보다는 정보기술/정보보호 비용이 회계기준에 따라 처리되는 계정이 비교적 명확합니다. 따라서 KISA에서 요구하는 주요 정보기술과 관련한 비용 계정을 중심으로 입수해 분석을 진행합니다. 외주 용역비 내역의 경우 비용원장상에서 수수료-외주용역 또는 수수료-전산 용역을 통해 정보기술의 비용 분류가 가능하지만, 대부분의 경우 정보보안관련 내역이 포함돼 있습니다. 따라서 용역과 관련 기안서 및 계약서를 확보해 관련 비용 중 정보보안 관련한 인원, 비용 금액을 별도로 확인해야 합니다. [출처 및 참고...
- 블로그 [보안동향] 변화하는 정보보호 인증심사, DX 전문가가 알려드립니다! 과거에는 기업의 정보보호 관리체계와 그것에 대한 인증을 평가하는 체계가 이원화돼 있었습니다. 그래서 유사한 보안 관리 및 통제임에도 불구하고 기업에서는 별도의 인증심사를 실시할 수밖에 없었죠. 이로 인해 관련한 법령과 소관부서가 각각 분리돼 재정, 인력의 부담이 발생했습니다. 이와 관련해 정부 부서에서는 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(시행 2018. 11. 7)를 발표하고, 통합을 추진했습니다. 이번 글에서는 정보보호 관리체계 인증제도의 목적을 포함해 제도를 소개하고, 인증제도의 통합 과정과 통합 후 달라진 부분을 다루겠습니다....
- 블로그 [보안동향] 디지털 뉴딜 ‘K-사이버 방역’ 어디까지 왔을까? 90여 년 전 대공황 극복을 위해 미국이 추진했던 뉴딜(New Deal) 정책(1933년~1936년)을 차용해 우리 정부는 한국판 뉴딜 정책을 작년 4월에 발표했습니다. 5월에는 추진 방향을, 7월에는 구체적인 추진 계획을 잇따라 내놓았습니다. 코로나19사태로 인해 ‘대 대공항(Greater Depression)’이라는 최악의 경우에 대비해, 최대한 빠른 극복과 대전환을 위해 ‘디지털 뉴딜’ 과 ‘그린 뉴딜’과 이를 뒷받침하는 ‘안전망 강화’의 3개 정책 방향으로 구체화됐습니다. ※ 대 대공항(Greater Depression): “대공황 수준이 아니다. 대 대공황(Greater Depression)도 가능하다!” 경영학자 루비니 뉴욕대 교수의...
- 블로그 세계가 놀란 ‘K-방역’ 금융 보안도 지킨다! 최근 국내 금융권이 다수 사용하는 보안 소프트웨어 통합 솔루션 베라포트(Veraport) 공급망에서 악성코드를 배포하려는 시도가 발견됐습니다. 그 배후가 북한이 연계됐다는 주장까지 제기됐습니다. 국제 해킹 그룹인 라자루스 소행이라고 주장합니다. 이 사건은 지난해 하반기와 올해 잇달아 발생한 공급망 공격으로 다행히 금융사 피해는 아직 없는 것으로 조사됐습니다. 코로나19 확산으로 비대면 채널이 부상하자 해킹 수법도 날로 진화하고 있습니다. 소프트웨어 취약점을 이용해 악성코드를 삽입하거나 소프트웨어 정책 서버를 공격하는 일도 발생하고 있습니다. 코드 서명 인증서를 악용한 악성코드...
- 블로그 기업의 핵심 비밀정보를 지키는 방법은? 산업 기술 유출범죄는 해마다 증가하는 추세로 국가정보원에 따르면 산업 스파이 해외유출 적발 건은 71건(2014~2018)으로 과거에는 대기업, IT 분야 중심이었다면 최근에는 전기•전자, 정밀 기계 분야까지 확대되어 기술 정보가 유출되고 있는 상황으로 국내 기업의 기술 보안에 비상등이 켜졌습니다. 미국은 이미 경제 스파이 법, 외국 경제 스파이 처벌 강화법 등 산업 기술 유출 사범에 대한 엄격한 법 제정을 통해 자국의 기술 정보를 보호하는 활동을 하고 있습니다. 그러나 국내는 산업 기술을 비롯한 영업 비밀정보...
- 블로그 생활 속의 암호학 네트워크의 발달로 다양하고 엄청난 양의 정보가 유통되고 있습니다. 이 정보 중에는 다양하게 공유되어야 할 정보들도 넘쳐나겠지만, 유출되면 개인의 사생활 보호를 위협 할 수 있는 다양한 개인정보, 기업의 흥망을 결정지을 수도 있는 영업비밀, 기술정보, 국가 안보에 치명적인 정보 등 보호 대상이 되는 정보들도 많습니다. 네트워크(특히, 스마트폰을 통한 무선 네트워크)가 발달하는 만큼 정보의 중요도에 따라 사이버 위협도 증가해 뉴스를 통해 다양한 해킹 사고, 유출 사고에 대해서 매일 접하게 되고, 이런 위협들은 현대를...
- 블로그 Big Data 속 커져가는 개인정보, 공개와 보호의 딜레마 많은 기업들은 사용자의 개인정보를 활용해 선호도를 분석하고, 분석 결과를 맞춤형 광고 및 추천 서비스 등 다양한 영역에 활용하고 있습니다. 수집, 활용하는 사용자의 정보가 많고 직접적일수록 의미 있는 정보 분석 결과를 도출할 수 있는데요. 실제로 사용자의 웹 쿠키 기록만을 가지고 복잡한 알고리즘을 통한 정보 분석보다 페이스북의 ‘좋아요’ 버튼 기록을 분석하는 것이 사용자 선호도 분석에 있어, 알고리즘의 난이도에 비해 높은 정확도를 보여준다는 것이 업계의 설명입니다. 이는 ‘좋아요’ 기록에는 일반적으로 사용자의 사회관계망(Social Network)...