1. 개보위의 개인정보보호 연차보고서 - 주요 판례

헌법재판소

(1) 전기통신사업자의 본인확인의무 등 위헌 확인

- 청구인들은 이동통신사 대리점에서 휴대전화 통신계약을 체결하고자 함.

- 청구인 A은 부정가입방지시스템으로 본인확인 절차 진행 후 계약 체결 했지만 청구인 B는 절차 진행하지 않아 체결하지 않음.

- 청구인들은 "전기통신사업법" 제32조의4 제2항 및 제3항 등으로 헌법소원심판을 청구함

( 위의 여러 조항은 휴대전화 통신계약 체결 시 전기통신사업자로 하여금 계약 상대방에게 본인임을 확인할 수 있는 증서 등을 제시하도록 요구하고 부정가입방지시스템 등을 이용해 본인 여부를 확인하도록 의무를 부과하고 있음)

- 헌법재판소는 "전기통신사업법" 제32조의4 제2, 3항 및 "전기통신사업법 시행령" 제37조의6 제1,2,항 제1호, 제3항, 제4항이 청구인들의 개인정보 자기결정권, 통신의 자유, 사생활의 비밀 및 자류를 침해하는지 심판

- 그 결과 헌법재판소는 청구인들의 개인정보 자기결정권 및 통신의 자유를 침해하지 않는다고 판단

(2) 구 "아동 및 청소년의 성보호에 관한 법률" 제42조 제1항 위헌 확인

- "아동 및 청소년의 성보호에 관한 법률" 제7조 제3항의 강제추행죄로 벌금형 등이 확정된 사례

- 청구인은 "성폭력범죄의 처벌 등에 관한 특례법"(성폭력처벌법)에 따른 신상정보 등록대상자가 됨.

- 이에 청구인은 관련 조항에 대해 헌법소원심판 청구

- 헌법재판소는 등록대상조항, 제출조항, 출입국 신고조항, 등록조항 및 관리조항, 배포조항이 청구인의 개인정보 자기결정권을 침해하는지 여부를 심판

- 그 결과 헌법재판소는 성폭력범죄자의 개인정보의 수집, 보관, 처리, 이용에 관한 근거 규정으로 개인정보 자기결정권을 제한한다는 점을 인정

- 하지만 헌법재판소는 성범죄 억제 및 수사 효율이라는 정당한 목적을 달성하기 위한 것으로 목적의 정당성과 수단의 적합성이 인정되며 침해의 최소성 및 법익의 균형성 또한 인정이 된다고 보아 헌법에 위반하지 않는다고 판단

(3) "성폭력범죄의 처벌 등에 관한 특례법" 제45조 제1항 등 위헌 확인

- 형법 제298조의 강제추행죄로 벌금등의 형을 선고받은 사례

- 청구인은 "성폭력처벌법" 제42조 제1항, 제45조 제1항 제4호에 따라 신상정보 등록대상자가 되었으며 제45조의2 제2항 제4호에따라 7년이 경과된 후 법무부장관에게 신상정보 등록의 면제를 신청할 수 있음

- 청구인은 헌법소원심판에 청구를 했으며, 헌법재판소는 "성폭력처벌법 제45조 제1항 본문 제4호, 제45조의2 제2항 제4호가 개인정보 자기결정권을 침해하는지 심판

- 그 결과 헌법재판소는 개인정보 자기결정권을 제한한다고 보았으나 이들 조항은 (2)번과 같은 사례로 개인정보 자기결정권을 침해하지 않는다고 결정

대법원 판례

(1) 1mm 고지 사건

- A사는 경품행사를 실시하였으며 그 중 개인정보 약 600만건을 보험회사들에게 약 119억에 판매

- 응모권 앞면에 경품 사진과 고객 감사 문구를 기재했고, 응모권 뒷면에 1mm의 크기로 보험회사들에게 보험마케팅을 위해 개인정보를 제공한다는 점에 관한 사항을 기재해 고객의 동의를 받음

- 이러한 행위와 관련해 "개인정보보호법" 제72조 제2호에 대응하여 형사처벌의 대상이 되는지가 문제 제기

- 한편 A사는 개인정보 제3자 제공에 동의하지 않는 고객의 개인정보 데이터베이스에 대해 보험회사들이 접근하게 하고 보험회사 블랙리스트 등록자를 필터링 작업하게 한 후 이들 고객에게 연락해 보험회사에 대한 제휴 마케팅 목적의 개인정보 제3자 제공 동의를 받음

- 이에 "개인정보보호법" 제71조 제1호, "정보통신망법" 제71조 제3호에 따라 형사처벌의 대상이 되는지 문제 제기

- 이에 서울중앙지방법원 판결은 경품행사와 관련해 "개인정보보호법" 제72조 제2호 위반 인정 및 접근 허용 행위를 보험회사들에게 준 것과 관련해 "개인정보보호법" 제71조 제1호, "정보통신망법" 제71조 제3호의 위반을 인정

- 이 판결을 통해 "개인정보보호법" 제 72조 제2호의 구성요건의 의미를 명확히 하고, 개인정보위탁과 제공의 판단 기준을 구체화되었음

(2) "개인정보보호법"상 '개인정보처리자'의 범위

- 피고인 B는 라디오 방송국 프로그램 작가이고 프로그램의 경품 당첨자인 청취자 C가 지속적으로 피고인에 대한 항의글을 올림

- 이에 B는 중단을 요청하는 내용증명을 하기로 하였으며 동의 또는 "개인정보보호법"상 근거없이 변호사D에게 C 개인정보를 교부

- 이때 B가 "개인정보보호법" 제18조 1항을 위반한 것인지 문제제기

- 이에 서울서부지방법원 판결은 B는 '업무를 목적으로 개인정보파일을 운용'하는 자가 아니므로 개인정보처리자에 해당하지 않고, 제18조 제1항의 수범자가 될 수 없다고 판시, 대법원은 원심의 판결을 그대로 유지함

- 구체적으로 개인정보처리자가 되기 위해서는 '업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리'하는 자여야 함.

2. 7곳에 '국내대리인 제도' 운영 개선 권고

페이스북, MS 등 해외 사업자들이 국내 사용자의 개인정보 관련 불만 민원을 제대로 처리하지 않은 것으로 밝혀졌으며, 이에 7곳에 '개선 권고'를 의결했다고 합니다.

이 제도는 국민이 해외 사업자에게도 개인정보에 대해 수집, 이용, 제공 등의 철회, 열람 청구, 정정 요구등 개인정보 자기결정권을 행사하게 하고 개인정보 침해관련 자료를 신속히 제출하도록 하기 위해 3월에 도입되었다고 하네요!

보호위원회는 국내대리인 지정제도의 계도기간의 만료에 따라 국내대리인 의무지정 대상 34개 해외 사업자를 대상으로 점검했으며, 모두 국내대리인을 지정해 운영한 것으로 확인이 되었다고 합니다.

그러나 MS, 페이스북, 슈퍼셀, 트위치, 부킹닷컴 등 5개 사업자는 개인정보처리 관련 불만 민원 업무를 제대로 처리하지 않는다고 하네요 : (

또한 페이스북은 전자우편 주소를 개인정보처리방침에 명시하지 않았고 나이키, 틱톡은 국내대리인 관련 정보가 전혀 포함되지 않았다고 합니다!

이에 보호위원회는 개인정보보호법 제61조 제2항에 따라 개선권고를 하였으며 이를 개선하지 않을 경우 과태료를 부과한다고 합니다 :D

3. 비대면 소통을 원활하게 하기 위해 세미나가 열린다!

한국인터넷진흥원(KISA)은 과학기술정보통신부와 함께 세미나를 10일, 24일 두 차례 개최한다고 합니다 :D

최근 비대면이 빠르게 확산되면서 웹의 중요성이 부각되고 있는데 이에 따라 웹의 미래를 살펴보고, 비대면 웹 기술 및 서비스의 발전 방안을 모색하고자는 의미로 개최를 하게 되었다고 하네요!

모두 8개 주제발표와 패널토론 등으로 진행되며 발표가 끝난 후 각 세션에 대한 질의 응답시간도 가진다고 합니다.

각 분야의 전문가들이 참여를 할 것이며 코로나19 이후 웹 산업의 변화, 비대면 시대에 전망 있는 웹 기술 및 서비스에 대한 패널 토론시간도 가진다고 합니다!

세미나 사전등록은 1차 10일 오후12시, 2차 23일 오후6시까지 신청가능하다고 합니다. 또한 사전등록을 하지 않아도 당일 SNS채널을 통해 실시간 무료 참여가 가능하다고 하네요 :D

출처

www.boannews.com/media/view.asp?idx=91032&page=2&kind=2

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29526&key=&dir_group_dist=&dir_code=&searchDate=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29525&key=&dir_group_dist=&dir_code=&searchDate=

1. 하이웍스 사칭 메일! 개인정보 탈취 위협

현재 기업용 이메일 서비스인 '하이웍스(hiworks)'를 사칭한 악성 메일이 유포되고 있다고 합니다! 보안경고라는 내용으로 업그레이드 링크를 포함하고 있으며, 메일 내용에는 '귀하의 사서함 할당량이 가득차 사서함 오류가 발생하거나 더 많은 전자 메일을 수신하지 못한다' 라는 내용이 적혀 있다고 합니다.

메일에 포함된 업그레이드 링크를 클릭할 시 개인정보를 입력하도록 유도하는 피싱 사이트로 이동하게 되고, 입력하면 공격자들의 서버로 정보가 넘어간다고 하네요!

이에 하이윅스 측에서 악성 메일의 피해를 막기 위한 4가지 사항을 안내했다고 합니다. 다들 조심하시길 바랍니다 :D

• 공식 도메인인지 확인하기 -> hiworks.com, hiworks.co.kr, gabia.com, gabia.net
• 이메일 인증을 통과한 이메일만 보기
• 하이윅스가 발송하는 메일은 첨부파일이 포함되어 있지 않아 첨부파일이 있을 시 무조건 의심하기
• 링크의 URL이 공식 도메인이 아닌 피싱 사이트로 연결될 수도 있음을 인지

2. 과학기술정보통신부 소프트웨어 안전 진단 실시

이번 과학기술정보통신부에서 국민 생활과 밀접한 분야의 시스템을 대상으로 SW안전 진단을 실시한다고 합니다! 대상은 공공기관(44개)와 민간기업(106개)를 대상으로 한다고 하네요 :D

이번 진단은 디지털 뉴딜의 일환으로 추진된 것이며 그간 공공기관만 대상으로 했다가 민간기업으로 확대하여 실시한 것이라고 하네요!

다음은 주요 진단 대상 시스템이라고 합니다.

• 자율주행레이더시스템, 차량부품발열관리시스템 등
• 원자력발전관제시스템, 발전통합운영시스템 등
• 국립공원재난관리시스템, 화재대응훈련시스템 등
• 화학물질관리시스템, 침입감지시스템 등
• 식품유통기한관리시스템, 의료영상판독시스템 등

진단은 한국정보통신기술협회(TTA)와 10여 개의 컨설팅 기업의 전문가들이 참여하여 9월 7일부터 연말까지 시행한다고 합니다!

이에 송경희 과기정통부 소프트웨어정책관은 올해 하반기에 소프트웨어안전 확보를 위한 가이드라인을 제정하는 등 소프트웨어안전 확보를 위한 제도적 기반 마련도 추친할 것이라고 하네요 :D

3. 금융 상담전화까지 가로채는 악성 앱!

안랩에서 금융 애플리케이션을 사칭하여 정보를 탈취하고 금융상담 전화까지 가로채 공격자에게 재연결하는 '카이시'모바일 악성코드를 발견했다고 합니다! 공격자는 실제 유명 금융사 웹사이트와 매우 흡사한 피싱 사이트를 제작하고 보이스피싱 및 스미싱을 통해 해당 사이트를 접속하도록 유도했다고 하네요.

악성 앱 프로세스는 다음과 같다고 합니다!

본인인증 프로그램 설치 유도(악성 설치파일(.apk) 다운로드 화면) -> 설치 과정에서 접근권한 요구(통화기능, 주소록, 문자메시지 접근권한 등)

또한 실행 시에는 기본 전화 앱을 해당 악성 앱이 위장한 은행앱 이름으로 바꾸겠다는 팝업도 뜬다고 합니다!

모든 권한을 허용할 경우 모든 정보 유출 뿐만 아니라 전화 상태 모니터링 후 특정 금융사 전화번호로 발신이 감지되면 가로채 공격자 번호로 재연결 한다고 하네요 : (

V3 모바일 보안 프로그램을 사용하면 탐지 가능하다고 하니 보안을 생활화 하도록 합시다 :D

출처

https://www.boannews.com/media/view.asp?idx=90959

https://www.dailysecu.com/news/articleView.html?idxno=113389

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29523&key=&dir_group_dist=&dir_code=&searchDate=

1. 개보위 개인정보보호 연차보고서 - 개인정보보호 관련법 위반 행정처분 사례

행정안전부

(1) 개인정보 수집 및 이용 등 관련법 위반

- 국내 진출 글로벌기업 20개 업체 대상

- '개인정보보호법' 제15조 개인정보 수집 및 이용, 제29조 안전조치 의무 등 위반

- 18개 업체에 개선권고 1건, 과태료 28건 총 1억 5,700만원

(2) 고유식별정보 처리 제한 등 관련법 위반

- 대학, 학점인정기관, 학원 등 교육 분야 20개 기관 대상

- '개인정보보호법' 제24조 고유식별정보의 처리 제한, 제29조 안전조치 의무 등 위반

- 14개 기관에 개선권고 3건, 과태료 18건 총 9,900만원

(3) 주민등록번호 처리 제한 등 관련법 위반

- 2018년 12월 행정처분 결과 이행 여부, 고유식별정보 조사 및 서면 점검 자료 미제출 기관 등 12개 기관 대상

- '개인정보보호법' 제24조의 2 주민등록번호 처리의 제한, 제29조 안전조치 의무 등 위반

- 11개 기관에 개선권고 4건, 과태료 15건 총 6,500만원

(4) 안전조치 의무 등 관련법 위반

- 공공분야 7개 기관 대상

- '개인정보보호법' 제24조의 2 주민등록번호 처리의 제한, 제29조 안전조치 의무 등을 위반

- 5개 기관에 과태료 5건 총 3,300만원

(5) 민감정보 처리제한 등 관련법 위반

- 입시 분야 12개 기관 대상

- '개인정보보호법' 제23조 민감정보의 처리 제한, 제29조 안전조치 의무 등 위반

- 6개 기관에 시정명령 2건과 과태료 5건 총 2,600만원

(6) 개인정보 파기 등 관련법 위반

- 2019년 4~6월 개인정보 노출 협·단체, 고유식별정보 안전성 확보 조치 미흡 기관 등 27개 기관

- '개인정보보호법' 제21조 개인정보의 파기, 제29조 안전조치 의무 등 위반

- 9개 기관에 개선권고 4건과 과태료 5건 총 3,000만원

(7) 안전조치의무 등 관련법 위반

- 2019년 6~7월 공공기관 개인정보보호 관리수준 진단 결과에서 미흡 등급을 받은 10개 기관

- '개인정보보호법' 제26조 업무 위탁에 따른 개인정보의 처리 제한, 제29조 안전조치 의무 등 위반

- 4개 기관에 개선권고 1건과 과태료 3건 총 1,800만원

방송통신위원회

(1) 가상통화 취급업소 및 생활밀접형 O2O 사업자 법규 위반

- 개인정보 침해가 우려되는 가상통화 취급업소 및 생활 밀접형 O2O(Online to Offline) 사업자 대상

- '정보통신망법'상 개인정보보호 관련 규정 위반

- 10개사에 시정명령과 과태료 총 7,100만원

(2) 개인정보 및 위치정보보호 법규 위반

- 정보통신망법 및 위치정보법 위반행위가 있는 사업자 2개사 대상

- '정보통신망법' 제25조 및 '위치정보법' 제18조 등 위반

- 2개사에 시정명령과 과태료 2,840만원, 과징금 2,380만원

(3) 해외사업자의 개인정보보호 법규 위반

- 언론 및 민원신고 등을 통한 서비스를 통해 개인정보를 불법 수집하는 해외사업자 대상

- '정보통신망법' 제22조 및 제30조 위반

- 시정명령과 과태료 1,000만원, 가징금 90만원

(4) 정보통신서비스 제공 솔루션을 사용하는 서비스사의 법규 위반

- 개인정보 유출 사실을 신고한 정보통신서비스 제공사업자 대상

- '정보통신망법' 개인정보 유출 사실을 정당한 사유 없이 24시간 지나 신고 및 개인정보에 대한 보안 조치 미흡

- 78개사에 시정명령과 과태료 총 11억 2,200만원

- 14개사에 과징금 총 4억 730만원

(5) 통신사 영업점 등 법규 위반

- 개인정보 유출 및 민원이 접수된 정보통신서비스 제공자 등 대상

- '정보통신망법' 개인정보처리시스템 침입차단 및 탐지시스템 설치 및 운영 소홀, 유출신고 등 지연 위반

- 11개사 시정명령 이중 10개사에 과태료 총 1억 4,600만원, 1개사에 과징금 18억 5,200만원

2. 금보원, '비식별 처리 프레임워크' 국제표준 채택

이번에 금융보안원(금보원)에서 순천향대, KISA와 함께 '비식별 처리 프레임워크'를 마련하였으며 국제정보통신표준화기구(ITU-T)에서 국제 표준으로 채택됬다고 합니다!

프레임워크는 개인정보를 비식별화하여 식별할 수 없도록 데이터 수집, 저장, 이용, 배포 및 파기 등 생명주기에 따라 비식별 처리지점과 고려사항을 정의하였으며 절차별로 수행해야할 사항과 판단 기준도 제시되어있다고 합니다 :D

3. 소만사 '재택근무 개인정보유출위험 종합진단' 컨설팅 서비스 개시

코로나 재확산으로 인해 많은 기업에서 다시 재택근무를 시행되기 시작했습니다. 하지만 재택근무에는 늘 보안 문제가 대두되고 있죠 :D

재택근무 방식은 크게 VDI(Virtual Desktop Infrastructure), VPN(Virtual Private Network)로 나뉘어지는데 각각 개인정보 유출위협과 대응수준이 달라집니다!

VDI는 원격으로 가상 데스크톱에 접속해서 업무를 하는 방식인데, 파일이 재택 PC로 내려오지 않아 유출위험으로부터 상대적으로 안전합니다. 하지만 비싸고 디자인, 설계작업, 개발작업은 VDI로 100% 전환하기 부적절하죠! 그렇기 때문에 '원격터미널 서비스'를 통해 접속해야하며 이에 대한 통제 대책도 필요하게 됩니다.

VPN은 가상 사설망을 통해 회사 인트라넷에 접속하는 방식으로 회사 인트라넷의 파일을 재택 PC에 다운로드 및 업로드가 가능합니다.

어떤 환경을 사용하던 재택 PC에 엔드포인트 보안 솔루션을 설치해 더욱더 강화된 보안정책을 수립해야하며 회사 내부로 유입되는 파일은 악성코드 검사를 필수적으로 진행해야 합니다. 또한 반출되는 파일은 민감한 정보를 가지고 있는지 확인해야 합니다. 하지만 코로나로 인해 갑작스럽게 재택근무로 돌입해야 했고 인력난과 예산 부족으로 인해 많은 곳에서 보안상 문제가 있을거라고 합니다 : (

그래서 소만사는 '재택근무 개인정보유출위험 종합진단' 컨설팅 서비스를 개시한다고 합니다! 재택근무로 보안 상 위협을 받는 만큼 더욱더 신경써서 보안에 기해야하며 지금 현 상황에 이러한 서비스는 좋다고 생각이 드네요 :D

출처

https://www.boannews.com/media/view.asp?idx=90986&page=1&mkind=1&kind=

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29517&key=&dir_group_dist=&dir_code=&searchDate=

https://www.dailysecu.com/news/articleView.html?idxno=113357

1. 개보위의 개인정보보호 연차보고서 - 주요 이슈!

개인정보보호위원회(개보위)에서 '2020 개인정보보호 연차보고서'를 발행했습니다. 이는 신기술 발전에 대응한 관계 부처별 개인정보보호 정책 동향을 분석한 것으로 1년간의 판례, 보호위원회 결정례 등 여러 정보들을 담고 있습니다 :D 이러한 내용들을 시리즈로 소개를 한다고 하니 저도 요약해서 알아보도록 하겠습니다!

4차 산업혁명 시대에 들어서 개인정보 생태계는 빠르게 변화되고 있습니다. 이에 따라 새로운 데이터 생태계에서 정보주체가 자신의 개인정보에 대한 통제권을 유지하며 데이터 경제의 발전을 도모할 수 있는 새로운 균형을 찾아내어 정보주체, 개인정보처리자, 개인정보중개자, 개인정보이용자 모두의 만족을 이룰 수 있는 전략이 필요한 시기이죠!

데이터기반 경제, 안전한 개인정보 활용

데이터기반 경제에서 신산업의 발전을 도모하면서 개인정보 처리의 안정성을 보장하기 위해 '비식별처리'를 함으로써 많은 나라들이 산업의 길을 열게 되었습니다.

특히 국내에서도 '개인정보 비식별 조치 가이드라인'을 발간하며, 신산업 발전에 힘쓰기 위해 가이드라인만 지키게 된다면 법적 규제 없이 활용할 수 있게 되었죠! 하지만 법적 구속력이 없다는 한계가 드러나자 '데이터 3법'이라는 방안을 내었으며, 장기간에 걸쳐 2020년 1월에 통과하게 되었습니다.

개정 '개인정보보호법'은 익명정보와 가명정보의 개념을 구분하여 규율하고 있다고 하는데요! 제 58조의 2는 익명정보라는 용어를 사용하지 않지만, "이 법은 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다"고 규정하고 있다고 합니다!

한편, 개정법은 가명정보가 개인정보에 해당하는 것이라고 밝히고 있으며, 익명정보와 다르게 추가정보를 통해 정보주체와 연결 가능성을 가지고 있는 데이터인 것이라고 합니다. 하지만 개정법에는 가명정보를 정보주체의 동의 없이 처리할 수 있다고 하고 있습니다. 특히, 목적을 위한 경우라도 정보처리자 간에 가명 정보를 자체적으로 결합하는 것은 허용되지 않으며 개보위나 중앙행정기관의 장이 지정한 전문기관에서만 결합이 가능하다고 합니다. 결합된 정보를 반출하는 경우 전문기관의 장의 승인을 받아야한다고 하네요 :D

또한, 가명정보를 처리하다 특정 개인을 알아볼 수 있는 정보가 되면 즉시 처리 중단하고 파기 및 회수 한다고 합니다. 그리고 분리 보관 후 유출 사고가 발생하지 않도록 안전조치의무를 이행해야 한다고 하네요. 안전조치를 하지 않고 사고가 발생한다면 2년이하의 징역을 받게 된다고 합니다 :D

개인정보보호 집행체계의 일원화

개인 '개인정보보호법'은 보호위원회를 국무총리 소속의 중앙행정기관으로 격상하고, 다른 기관에서 행해지던 개인정보보호 기능 전부 보호위원회로 이관하였습니다. 다음은 법령에서 나오는 일원화에 관한 주요 사항입니다 :D

• 제7조 제2항
  보호이원회의 독립성 강화를 위해 위원회가 수행한 조사, 집행, 법령의 개인정보침해요인 평가에 관한 사무는 국무총리의 지휘 및 감독을 배제
• 제7조의 2
  보호위원회의 전문성을 강화하기 위해 위원장과 부위원장을 상임하며, 이들 포함 9인으로 위원회를 구성
• 제7조의 5
  위원은 그 의사에 반하여 면직 또는 해촉되지 않으며, 법률과 양심에 따라 독립적으로 직무 수행

이를 통해 집행체계를 일원화 함으로써 개인정보 규제기관의 중복규제 해소 및 기업의 준법 부담 완화를 하며 책임감 있고 투명한 개인정보보호 정책 추진이 가능할 것으로 보인다고 합니다 :D

정보주체의 실질적 권리 보장을 위한 동의제도 개선

현재 우리나라는 필수동의와 선택동의를 나누어 개인정보를 수집하도록 하고 있습니다. 이를 어겨 산전동의 없이 개인정보를 수집 및 이용하게 된다면 매출액 3% 이내의 과징금 및 5년 이하의 징역에 처해질 수 있다고 하네요!

즉 다시 말해, 인터넷이나 모바일에서 서비스를 제공하는 기업이나 개인은 정당한 이익이라고 하더라도 사전동의를 받아야만 수집 및 이용, 제공이 가능하다는 것입니다.

한편, 개인정보보호법에 합법적인 근거로 정보주체의 동의를 받지 않고 정보를 수집할 수 있는 5가지 경우가 명시되어 있습니다. 하지만 신기술 환경에는 사용자의 동의 요건이 복잡하여 사전동의를 적용하는 것이 사실상 불가능해지고 있다고 합니다. 또한, 서비스를 이용해야하는 경우 동의가 필수이기 때문에 내용들을 살펴보지 않고 동의하는 경우가 대부분이라고 하네요! 그러므로 소비자 또는 이용자가 쉽게 이해할 수 없는 기술적 기반과 비지니스 모델을 추구하는 오늘날의 기술환경을 고려하여 다양한 개성방안을 모색할 필요가 있다고 합니다!

개인정보 자기결정권 확보를 위한 개인정보이동권 도입

GDPR에서 정보주체가 갖는 개인정보보호권의 하나로 개인정보이동권을 인정했다고합니다. 개인정보이동권이란 개인정보처리자가 보유 및 관리하는 개인정보의 사본을 정보주체가 넘겨받아 다른 개인정보처리자에게 전송하여 재사용할 수 있는 권리를 말합니다.

그래서 개인정보이동권 도입에 관해 찬반양론이 맞서고 있다고 합니다. 다른 권한들은 정보주체의 이익을 방어하기 위해 존재하지만 개인정보 이동권은 개인정보의 활용과 재사용을 촉진하는 것이며, 권리와 이익이 충돌하는 경우 그 문제를 해결하는 뚜렷한 기준이 없다는 것이죠. 또한 기술적으로 구현해 내기엔 부담과 비용을 초래하며 개인정보가 이동하는 과정에서 보안침해의 문제가 더 쉽게 발생할 수도 있다는 우려가 표출되고 있습니다. 또한, 개인정보이동권이 정보주체의 통제권을 강화하는 방향으로 갈지 분명하지 않다고 합니다.

우리나라에서 금융, 의료 등의 분야에서 마이데이터 산업을 촉진하고자 '금융 분야 마이데이터 산업의 도입 방안'을 발표하고 법제적으로 뒷바침하기 위해 신용정보법 개정을 추진해 왔습니다.(금융 분야의 마이데이터 서비스는 분산되어 있는 금융거래 정보를 일괄 수집해 해당 정보주체인 금융소비자에게 본인신용정보에 대한 체계적 관리, 소비패턴 분석 등을 통해 신용 및 자산관리를 지원하는 서비스입니다.) 현재 신용정보법은 본인신용정보관리업을 도입하고 새로운 개인정보통제권을 신설하고 있다고 합니다 :D 

디지털 정보기술 발전에 따른 개인정보보호

디지털이 발전하여 인공지능 기술이 산업의 전 분야에 적용되면서, '개인정보보호법'을 어떻게 준수할 것인가 하는 문제에 직면했습니다. 예를 들어 인공지능, 빅데이터 기술환경에서 개인정보처리에 대한 '사전고지'는 현실성이 떨어지는 측면이 강하다고 합니다. 기 이유는 인공지능의 경우 데이터를 수집하는 시점에서 그 데이터가 어떠한 목적으로 어떻게 이요될지 확정하는 것이 기술적으로 어려울 때가 많기 때문이라고 합니다!

또한, '예 또는 아니오'의 선택만이 가능하도록 한 동의제도의 경우 빅데이터 분석과 양립하기 어렵다고 합니다! 그 이유는 빅데이터 분석의 특성상 틀리면 수정하기를 반복하는 실험적인 성격에 데이터의 용도를 새롭게 찾아내는 성향을 가지고 있기 때문이라고 하네요. 이와 같이 데이터기반 사회에서 새로운 데이터 기술이 전통적인 '개인정보보호법' 원칙들과 충돌하는 경우가 많이 발생할 것이며 이에 대한 논의가 이루어지는 것이 좋을 거라고 합니다 :D

2. 개보위의 개인정보보호 연차보고서 - 실태조사 결과!

개보위와 행정안전부에서 개인정보보호 실태를 조사했다고 합니다. 조사 대상은 만 12세 이상 정보주체 2,500명과 공공기관 1,500개, 민간기업 2,000개 등의 개인정보처리자이며 자세한 개인정보보호 실태조사 결과는 보호위원회 홈페이지에서 확인할 수 있습니다 :D

정보주체

(1) 개인정보보호 중요성 인식

- 매우 중요하다 + 중요하다 (84.7%)

(2) 개인정보 제공 시 동의서 확인여부 및 미확인 이유

- 동의서 내용에 상관없이 서비스를 반드시 이용해야 하기 때문 (36.7%)

- 확인하는것이 귀찮고 번거롭기 때문 (33.6%) 

(3) 개인정보 열람, 정정 및 삭제, 처리정지 요구 경험 및 처리 결과

- 정보주체가 권리보장을 요청하는 비율은 2018년 대비 다소 감소

- 해당 권리 요청 시 10건 중 6건은 즉시 처리

(4) 개인정보 열람, 정정 및 삭제, 처리정지 요구하지 않은 이유

- 요청사유 미발생건은 제외

- 신청 절차가 번거롭다 (열람 29.7%, 정정 및 삭제 30.3%, 처리정지 26.6%)

- 요청 시에도 미이행할 것 같아서 (열람 7.6%, 정정 및 삭제 6.6%, 처리정지 7.4%)

(5) 개인정보 권리 침해 경험

- 개인정보 무단수집 및 이용 (26.9%)

- 개인정보 유출 (21.8%)

- 개인정보 도용 (6.5%)

- 기타 (0.7%)

- 경험 없음 (44.0%)

(6) 개인정보 침해 후 피해구제를 위한 조치

- 개인정보 침해신고센터 등 전문기관에 신고 (11.7%)

- 정부 및 지자체에 신고/민원을 제기 (11.6%)

- 특별한 대응 및 피해구제 조치에 미온적 (69.1%)

(7) 개인정보처리자의 개인정보보호에 대한 신뢰성

- 가장 높은 신뢰도 -> 금융 분야 신뢰 + 매우 신뢰 (39.9%)

- 가장 낮은 신뢰도 -> 쇼핑 등 생활분야 신뢰 + 매우 신뢰 (10.7%)

(8) 개인정보보호를 위한 개인의 노력

- 출처가 불분명한 자료 및 이메일 미열람 (47.0%)

- 개인정보를 타인에 알려주지 않음 (43.6%)

- 공용 PC에서 금융서비스를 이용하지 않음 (35.1%)

개인정보처리자

(1) 개인정보보호 중요성 인식

- 공공기관 -> 중요 + 매우 중요 (94.7%)

- 민간기업 -> 중요 + 매우 중요 (83.6%)

(2) 개인정보 처리방침 작성 및 공개, 갱신

- 공공기관 (99.4%), 이 중 최근 1년 이내 갱신 (92.0%)

- 민간기업 (49.5%), 이 중 최근 1년 이내 갱신 (27.3%)

(3) 개인정보보호 교육 시행

- 공공기관은 대부분 대상별로 교육 시행하며 특히 전직원 대상 교육은 (98.1%)

- 민간기업은 종사자 수 300인 이상 기업의 경우 전직원 대상 교육 (80.1%)

- 나머지 민간기업은 전반적으로 저조

(4) 개인정보 보호담당자 업무경력

- 공공기관 2년 미만자 (57.9%)

- 민간기업은 2년 이상의 유경력자 (87.2%)

- 민간기업의 5년 이상 경력자 (55.4%)

(5) 개인정보보호 시행 애로사항

- 공공기관 전문인력 부족 (70.5%)

- 공공기관 개인정보 처리절차 복잡 (59.1%)

- 민간기업 전문인력 부족 (27.4%)

- 민간기업 개인정보 처리절차 복잡 (49.0%)

(6) 빅데이터 분석 및 경험 활용

- 공공기관 (16.4%)

- 민간기업 (7.9%)

- 공공기관 경험은 없으나 향후 계획 (7.4%)

- 민간기업 경험은 없으나 향후 계획 (2.5%)

(7) 빅데이터 활용 시 개인정보보호 법규의 한계

- 공공기관 -> 다수 법제 혼용에 따른 혼선 (44.2%)

- 공공기관 -> 개인정보 포괄적 정의 규정 (42.1%)

- 민간기업 -> 개인정보 포괄적 정의 규정 (46.4%)

- 민간기업 -> 개인정보 수집 및 제공에 대한 동의 규정 (35.8%)

- 민간기업 -> 위법한 활용 시 강력한 처벌 우려 (27.4%)

보고서를 통해 확인 할 수 있는 것은 정보주체와 처리자 대부분이 개인정보보호에 대해 중요하다고 인식하고 있으나 민간기업의 개인정보처리 방침에 대한 중요성 인식 부족과 공공기관의 전문인력 부족, 개인정보주체의 권리행사 소극적태도가 저조하다는 것입니다. 이에 개인정보주체의 적극적 태도와 민간기업의 체계적인 지원방안 및 정책, 공공기관의 전문인력 확대가 필요할 것으로 보이네요 :D

또한 법률상 한계로 인해 빅데이터 활용이 아직까지 많지 않은 것을 보아 개인정보보호법 개정이 완화될 것으로 보인다고 합니다 :D

3.  파이어폭스, 악성코드 감염 위험 줄여주는 기능 도입!

파이어폭스가 웹사이트 접근 시 악성코가 다운로드될 위험을 줄여주는 기능을 도입한다고 합니다 :D

파이어폭스 모질라가 다음달 출시 예정인 82버전부터 '샌드박스 아이프레임'을 통한 파일 다운로드를 차단한다고 보도했다고합니다! 이 아이프레임은 웹페이지에서 다른 웹페이지를 삽입할 수 있는 HTML 태그 중하나로 주로 사이트에서 광고 표출 및 영상, 음악, 팟캐스트 등의 위젯 장착에 활용된다고 하네요!

이는 사용자가 웹사이트에서 이 기능을 사용할 때, 파일을 내려받는 경우가 거의 없기 때문에 이를 통한 Drive by Drive 공격을 사전에 예방하자는 취지로 만든 것이라고 합니다.

이러한 정책은 크롬 73버전에서 먼저내놓았으며, 지난 5월 크롬 83버전에서 다운로드 기능을 완전히 차단했다고 하네요!

애플 웹브라우저인 사파리에서는 유사한 기능이 제안되기도 했지만 아직까지는 기능을 구현할 계획이 없다고 합니다 :D

이제 파이어폭스를 좀 더 안전하게 사용할 수 있지 않나 싶네요 :D

출처

https://www.boannews.com/media/view.asp?idx=90950&kind=2

https://www.boannews.com/media/view.asp?idx=90975&kind=2

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29513&key=&dir_group_dist=&dir_code=&searchDate=

1. 과학기술정보통신부, 정보보호 3개법 하위법령 개정안 입법예고

이번에 과기부에서 정보보호 3개법(전자서명법, 정보통신망법, 정보통신기반보호법) 하위법령 개정안을 입법예고한다고 합니다!

전자서명법

6월 전면 개정에 따른 후속 조치로 시행령, 시행규칙 개정안에 대한 의견 수렴을 10월 8일까지 실시한다고 합니다. 공청회는 9월 11일에 온라인으로 개최되며, '전자서명인증업무 운영기준 고시, 전자서명인증업무준칙, 국제통용평가 고시'를 마련하여 12월 10일에 제·개정할 예정이라고 하네요 :D

정보통신망법

정보통신망 연결기기 정보보호를 위한 정보보호지침 권고대상, 침해사고 대응 등 인증범위가 명시되었다고 합니다. 이는 정보통신망 연결기기에 대한 정보보호 인증절차, 시험 방법 등을 위한 조항을 마련했다고하네요! 그리고 보안 취약점 신고자에게 포상금 지급 근거를 마련하고 침해사고 전문기관을 지정했다고 합니다. 정보통신망법에 대한 의견은 10월 13일까지 수렴하며 정보보호인증에 대한 고시, 정보보호조치에 대한 지침 등 세부사항도 고시할 예정이라고 합니다 :D

정보통신기반보호법

주요 정보통신기반시설 지정 권고 절차와 통보 기한을 신설했다고 합니다. 이에 따라 중앙행정기관장은 정보통신기반시설 지정 여부를 결정하고 통보해야 한다고 합니다. 또한 취약점 분석과 평가 이행기간도 새롭게 명시되어 중앙행정기관 취약점 분석과 평가 명령을 받은 관리기관장은 6개월 이내에 실시해야 합니다. 정보통신기반보호법에 대한 의견은 10월 16일까지 수렴한다고 합니다 :D

2. 시스코 전 엔지니어의 보안 사고!

시스코의 전 근무자가 시스코의 클라우드 인프라에 허가 없지 접근해 대량의 계정을 삭제하여 유죄를 받은 사건입니다. 전 근무자는 퇴직한지 5개월이 지난 시점에서 시스코 클라우드에 허가 없이 자신의 구글 클라우드 프로젝트 계정에 있던 코드를 시스코 인프라 내에서 실행시켰다고 합니다.

이로 인해 시스코의 협업 플랫폼(WebEx Teams) 애플리케이션과 연동되는 가상 기계 456개가 사라졌으며, 1만 6천개의 WebEx Teams 계정들이 사용 불능 상태가 되었다고 하죠. 피해 복구액만 약 140만 달러에 달했으며 피해 고객들에게 100만 달러가 넘는 돈을 환불했다고 합니다.

이에 시스코 측은 문제가 발생한 직후 신속히 대응하였으며, 긴급 조치 후 유관기관에 보고하고 수사 담당자들과 협조체계를 구축하여 전 근무자를 체포하고 재발을 막을 수 있었다고 하네요 :D

이번 재밌는 사건을 통해 내부자 위협에 대해 다시 생각해볼 필요가 있는 것 같습니다. 내부자 위협은 보안에 대해 모르거나 부주의로 의해서 또한 회사에 불만을 품고 일으키는 경우를 말하는데 이에 대해 효율적인 보안 정책의 필요성을 느끼게 되네요!

3. 새로운 형식의 봇넷! FritzFrog

8월 19일 한 보안 업체에서 SSH 서버를 타겟으로한 FritzFrog라는 봇넷을 발견했다고 합니다! 근데 화제가 된 이유는 새로운 유형의 봇넷이라고 하네요..!

기존의 프로그램은 중앙 서버를 중심으로 이루어져 악성 프로그램을 분석하고, C&C 서버와의 연결을 차단하는 것으로 무력화가능 했었습니다. 하지만 FritzFrog는 P2P로 구성되어 있어 각 기능이 분산된 노드들로 이루어져 있습니다. 각 노드가 무작위 대입 공격(Brute Force Attack)을 수행하고 SSH서버의 관리자 계정 탈취에 성공하면 노드들은 서로 암호화된 통신을 하기 시작하죠 :D

이 때 중요한 것은 서버의 메모리 내에서만 실행되어 디스크에 흔적이 남지 않는다는 것이 FritzFrog의 특징입니다. 이로 인해서 알기도 어렵고 백신 프로그램으로 즉시 잡아내기는 어렵다고 하네요! 심지어 시스템에 백도어를 심게 되면 FritzFrog가 삭제되어도 접근이 가능하다고합니다 ㅠ_ㅠ

FirtzFrog에 대응법은 무작위 대입 공격을 통해 SSH 서버의 계정을 탈취하는 것이기 때문에 서버 관리자 계정의 비밀번호를 어렵게 설정하거나 SSH서비스를 이용하지 않는다면 비활성화 하는 방법이 있겠습니다 :D

출처

https://www.etnews.com/20200903000100

https://www.boannews.com/media/view.asp?idx=90778

https://www.dailysecu.com/news/articleView.html?idxno=113037

1. 불안했던 가명정보 처리, 개인정보보호위원회 가이드라인 제공

개인정보보호법이 개정됨에 따라 가명정보를 안전하게 처리할 수 있도록 가이드라인이 나왔습니다! 가명정보는 식별정도인 성명, 전화번호, 자동차 등록번호 등을 삭제 및 대체하는 방법으로 식별하기 어렵게 만든 개인정보를 말합니다 :D

데이터3법으로 인해 가명정보를 동의없이 사용할 수 있게 되어 모든 사람들의 불안과 개인정보를 보호해야하는 보안 담당자들의 고충을 조금이나마 해소할 수 있는 가이드라인이라고 볼 수 있겠네요!

이번 가이드라인은 가명정보의 안전한 활용여건을 마련하기 위해 개인정보처리자가 참고할 수 있는 기준을 제시하였다고합니다. 

가이드라인을 보면 개인정보처리자는 개인정보 처리의 기본 원칙을 준수하는 범위 안에서 가명처리를 진행해야 합니다. 목적과 처리 환경에 따라 가명처리 방법을 자체 판단할 수도 있다고합니다!

가명처리는 개인을 식별할 수 없게 하기 위한 것이므로 식별 가능성이 높은 요소들은 삭제, 복원할 수 없도록 처리해야하며 나머지 정보는 목적 달성을 위해 적절한 가명처리 방법을 선택하여 할 수 있습니다. 특히, 보안수준이 낮은 곳을 감안하여 식별 가능성을 완전히 낮춰 익명정보에 가깝게 처리하도록 하며 처리한 후 재식별 가능성이 없는지를 확인하도록 했다고 합니다.ㅇㅅㅇb

이러한 과정을 아래의 사진을 통해 보실 수 있습니다 :D

개인정보보호위원회는 이런 '가명정보 처리 가이드라인'에 이어서 '가명정보의 결합·반출'도 마련할 계획이라고 합니다. 결합·반출은 서로 다른 개인정보처리자 간 가명정보를 결합할 수 있는 방법과 절차를 제시한 것이라고 합니다.

이렇게 가이드라인을 통해 보안 담당자분들의 고충이 한결 해소되지 않을까 싶네요! 보고서는 아래의 링크에서 다운받으실 수 있습니다↓

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=6788

2. GDPR과 CCPA, 프라이버시의 시대가 열렸다!

2018년 5월에 유럽의 개인정보보호법인 GDPR이 새롭게 시행되었었죠! 시행된 후 많은 기업들이 벌금형에 처했으며, 구글의 5천만 유로, 매리어트 그룹의 9900만 유로 등 인상 깊은 업적을 남긴 법률입니다 :D

그리고 올해 7월부터 시행되기 시작한 미국의 캘리포니아 소비자프라이버시보호법(CCPA)가 있습니다. 시행된지 얼마 되지 않았기 때문에 효력과 형벌에 대한 구체적인 사항은 잘 모르지만 GDPR의 영향을 받게된다면 어마무시한 법이 되지않을까 싶습니다. 또한 GDPR과 마찬가지로 강렬한 인상을 남기기 위해 처음부터 강하게 들어가지 않을까 싶다고 합니다!

하지만 프라이버시를 지키는 것은 쉬운일이 아니라고 합니다. 이러한 부분에서도 고급 인력이 필요하며, 대부분의 기업이 데이터 프라이버시에 대해 투자 규모를 늘려야 한다는 조사결과가 나오기도 했습니다.

이러한 프라이버시에 관한 규정이 없는 것은 아닙니다. 많은 보안전문가들이 익히 알고있는 ISO 27001과 ISO 27701, 그리고 개인정보보호 관리체계(PIMS)가 있죠! 이러한 것에 데이터 제어자(수집자)는 프라이버시 보호 관련 능력과 시스템 능력을 인정받아야 하며, 처리를 적절하게 제한하고 있다는 것을 증명받아야 한다고 합니다 :D

GDPR과 CCPA를 통해 프라이버시가 정말 중요한 하나의 요소가 되었다고 생각하네요! 이제는 많은 사람들이 자신의 개인정보와 프라이버시를 중요하게 생각하기 때문에 ISO 27701 또는 ISO 27001을 인증받는다면 신뢰받는 기업으로 긍정적인 효과를 불러 올 수 있을거라 생각합니다 :D

3. 개인정보보호 우수사례, 한국석유관리원! 개인정보보호 문화의 정착이 우선이다!

개인정보보호 우수사례로 한국석유관리원이 등장했습니다!! 그럼 어떻게 진행되는지 알아보도록 합시다!

솔루션부터 직원 교육까지 철저하게 추진!

최근 고도화되는 공격 기술과 개인정보를 활용한 서비스 증대로 인해 관리가 복잡해지고 있습니다. 이에 대해 관리원은 개인정보 생명주기별 관리체계를 철저한 관리를 위해 모니터링을 실시했다고합니다.

그리고 외부 전문기관을 통해 취약점 개선, 2차 인증, 접근 통제, 등 보안 솔루션을 도입하고 기술적으로 보안을 강화했다고 합니다. 또한 내부 임직원의 정보보호 교육을 연간 12회 진행하며 홍보, 개인정보 유출 모의훈련 연간 2회를 실시하며 개인정보보호 문화 확산에 노력을 가했다고 하네요 :D

개인정보보호 문화의 확산을 가하기 위해 관리체계, 기술적 보안, 교육홍보 활동 등 정책적인 대응방안이 필요하다고 판단했으며, 개인정보보호 활동 실적을 부서 성과 평가에 반영해 강제성을 부여하고 우수 부서에 포상을 실시하는 등 실용성 있는 정책을 실시했다고 합니다!

또한 보안 솔루션은 필수 사항으로 생각하여 개인정보처리시스템에 대해 방화벽, 네트워크 접근제어(NAC), DB 접근제어 등 여러 접근통제 시스템을 도입해 인가되지 않은 사용자에 대해 접근을 차단하고 VPN, SSL, DB암호화 솔루션 등 개인정보 유출방지 솔루션을 구축해 개인정보가 암호화되어 안전하게 저장 및 전송되도록 관리하고 있다고 합니다 :D

그리고 연간계획에 따라 교육대상별로 체계적으로 차별화된 교육을 진행하고 한다고합니다!

보안절차를 철저히 준수!

공공기관은 특성상 인사이동이 잦기 때문에 개인정보보호 업무 공백이 발생하며 관리가 어려운게 사실이라고합니다. 이러한 어려움 때문에 더더욱 각별히 관리를 했다고합니다! 주기적으로 업무 PC에 대한 전수 점검을 실시하며 꾸준한 모니터링으로 불필요하거나 암호화되지 않은 개인정보들을 처리했다고 하네요 :D

그리고 개인정보 현황을 파악하고, 생성에서 파기까지 해당 개인정보의 라이프사이클을 관리, 개선해 나가는 것! 즉, 개인정보보호의 기본을 충실히 임하였다고 합니다.

이렇게 개인정보보호를 우수하게 관리하고 있는 사례를 살펴보았는데, 보안 문화를 정착하기 위한 효율적인 우수한 정책과 개인정보보호의 기본에 충실했다는 것이 인상적이게 다가오네요 :D

출처

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29508&key=&dir_group_dist=&dir_code=&searchDate=

https://www.boannews.com/media/view.asp?idx=90901

https://www.boannews.com/media/view.asp?idx=90864&page=1&kind=2

1. 코로나19 2차 대유행, 언택트 근무 시 필요한 것은?

코로나19 2차 대유행이 시작되고 금주부터 사회적 거리두기 2.5단계가 시행되었네요! 많은 기업에서 재택근무를 시행하고 있습니다. 하지만 재택근무를 할 시 보안에 더욱 각별한 신경을 써야합니다. 그럼 언택트 근무 시 필요한 것이 무엇이 있는지 한번 알아보도록 합시다 :D

원격근무지침

갑작스런 원격근무로 혼란스러운 일이 발생할 수도 있습니다. 이럴 때를 대비하여 안전하게 업무를 하기 위해 근무지침을 작성하는 것이 좋습니다 :D

근태관리, 업무관리프로세스, 응급상황 발생 대응방안 등의 내용을 골자로 개인정보보호에 대한 보안 컴플라이언스가 필요하며 정보보호 실천 수칙을 기반으로 지침을 만드는것이 좋죠! KISA와 고용노동부에서 재택근무 시에 필요한 가이드라인을 만들어서 배포하고 있으니 한번 읽어보시기 바랍니다 :D

http://www.moel.go.kr/news/enews/report/enewsView.do?news_seq=10851

https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=35319

VPN 설정 및 부재시 네트워크 차단

안전한 내부망 연결을 제공해주는 VPN을 사용하는 것도 재택근무 시 좋은 방법인데요! 하지만 VPN을 장기간 방치하면 백도어의 위험이 있을 수 있으니 VPN을 필요한 경우에 할용하고 장기간 자리를 비울 시 자동으로 네트워크 차단이 되도록 하는 것이 좋습니다! VPN이 보안 솔루션이긴 하지만 반드시 다른 사항들도 지키면서 사용하셔야 되는거 유의하시길 바랍니다 :D

디바이스 및 사용자 계정 관리

이스트시큐리티에서 원격근무 근로자 6,105명을 대상으로 설문조사를 실시했다고 합니다! 그결과 언택트 근무 시 개인 디바이스를 이용한다는 응답이 83%라는 결과가 나왔다고 하네요..!

기업용 디바이스는 기업에서 전사 보안정책이 적용될 수 있기 때문에 언택트 근무 시 기업용 디바이스를 활용하는 것이 좋습니다. 그러나 개인 디바이스를 사용하는 경우라면 반드시 유의해야 하는게 당연하겠죠 :D

임직원 교육을 통한 백신 관리 및 악성코드 감염 방어

사실상 아직까진 많은 사람들의 보안 인식은 낮은 편입니다. 그렇기 때문에 보안 담당자는 백신이 설치되어있는지 점검해야하며, 보안 사고에 대비해 프로세스를 마련해두는 것이 좋습니다!

최근 피싱, 랜섬웨어 등 PC 사용자들을 공격하는데, 사용자 부주의로 인한 피해가 많을 수 밖에 없습니다. 그렇기 때문에 더더욱 임직원의 교육에 힘써야 하겠죠 : )

엔드포인트 모니터링 및 보안

현재 보안담당자들이 제일 크게 고민하는 부분이 '엔드포인트 디바이스의 증가'라고 합니다! 다양한 모바일 기기들이 존재하고 있기 때문에 공격포인트가 될 수 있는 엔드포인트의 위협을 관리해야 하죠! 하지만 너무나 많기 때문에 하나하나 모두 파악하는 것은 불가능합니다.

그렇기 때문에 솔루션을 사용하며 보안을 해나가는 것이 좋겠지요 :D

내부 유출 방지 체계 마련

보안 위협에 대해서 내부 유출도 관리를 해야합니다. 특히 원격 근무에 사용되는 디바이스 특성상 통제하기 어렵기 때문에 내부 문서가 유출되는 경우 큰 리스크를 안게됩니다! 그래서 문서보안 솔루션을 활용하는 것이 좋겠죠 :D

대표적인 DRM, DLP, 문서중앙화 솔루션이 존재합니다. 밑의 표를 보시면 됩니다!

이렇게 언택트 근무에 대한 사항들을 알아보았습니다 :D 현재 코로나19 시대를 맞이하여 정말 중요한 내용을 담은 기사가 아닌가 싶네요 :D

2. CJ대한통운 사칭 스미싱 유포

거리두기 2.5단계 시행으로 인해 온라인 쇼핑이 다시 급증하고 있습니다. 이를 이용해 현재 CJ대한통운을 사칭한 스미싱 문자가 8월 31일에 2번 유포되었다고 하네요! 

두 개다 링크가 걸려있는 문자로 개인정보를 탈취하기 위한 URL이 들어있다고 합니다! 의심스러운 내용의 문자가 온다면 함부로 열어보지 않도록 하는 것이 좋습니다 :D

3. 코로나19로 '클라우드 서비스' 전성시대!

클라우드가 중요해진 시점입니다! 정리해서 올려볼려고 했으나 글의 내용이 너무 좋아서 링크만 올립니다 :D

https://www.boannews.com/media/view.asp?idx=90790

출처

https://www.estsecurity.com/enterprise/security-info/column/view/10049

https://www.boannews.com/media/view.asp?idx=90866&page=1&mkind=1&kind=1

1. 공공, 민간기업 개인정보처리자 실태조사 !

국가에서 개인정보처리자의 법 준수 현황 및 개인정보 관리 실태 등을 파악하기 위해 2019년에 조사를 했다고 합니다!

총 조사 대상은 일반국민 2,500명, 공공기관 1,500개, 민간기업 2,000개 등의 개인정보처리자였다고 합니다.

보고서에 의하면 정보주체 84.7%가 개인정보보호의 중요성을 인식하고 있지만, 이에 대한 노력은 부족하다고 하네요 :( 그리고 개인정보 제공 시 동의서를 확인하는 사람은 40.3%이며, 침해 시 피해구제를 신청하는 비율은 30.9%라고 합니다! 뭔가 모순적인 느낌이 아닌가 싶네요!

개인정보처리자(공공 94.7%, 민간 83.6%) 또한 개인정보보호가 중요하다고 인식하는 것으로 결과가 나왔습니다. 하지만 높은 인식률에 비해 민간기업은 개인정보처리방침 작 및 공개 비율 49.5%, 갱신주기 1년 이상 72.6% 등 보호조치가 제대로 이루어지지 않다고 결과가 나오네요! 이에 비해 공공기관은 개인정보처리 방침 작성 및 공개 99.4%, 1년 이내 갱신92.0%로 아주 올바른 결과가 나왔습니다 :D

인력적인 측면에서 보면 민간기업은 개인정보보호 담당자 87.2%가 2년 이상 경력자였으며, 5년 이상 경력자도 55.4%라는 높은 비율을 보였으나 공공기관은 기업 특성 상 57.9%가 업무 경력 2년 미만으로 나타났습니다. 민간기업은 경력 많은 전문가들이 대부분이지만 상대적으로 경력자가 적은 공공기관에 비해 개인정보보호에 대한 보호조치가 제대로 이루어지지 않다는 것에 마음이 아프네요..! ㅠㅠ

제 4차 개인정보보호 기본계획

개인정보보호 기본계획은 개인정보보호위원회가 '개인정보 보호법' 제9조에 따라 개인정보의 보호와 정보주체의 권익 보장을 위해 3년마다 수립하는 중기계획입니다.

제1,2차 개인정보보호 기본계획은 개인정보보호법의 안정적 장착과 각 이해관계자의 역량 강화에 중점, 제3차 기본계획은 능동적인 보호활동 강화 및 보호제도의 현실화를 목표로 했으며, 이번 제4차는 개인정보보호를 실질화해 안전한 디지털 신뢰사회 구현을 비전으로 설정하고, 개인정보보호 정책 혁신 및 정보주체 권익 증진과 자율, 협력 기반의 국내외 개인정보보호 역량 강화를 목표로했다고 하네요 :D 한번 읽어보고 눈에 익혀두면 좋을 것 같네요!

보고서는 아래의 개인정보보호위원회 사이트에서 다운로드 가능합니다! ↓

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=6764

2. KISA, 개인정보보호 처벌 개선 추진

한국인터넷진흥원(KISA)에서 현행 개인정보보호법 위반 처벌 규제 개선에 대한 작업을 하기 위해 사업을 추진한다고 합니다. 이번 사업 예산은 개인정보보호위원회의 예산이라고 하네요!

KISA에서는 "개인정보보호법 위반에 따른 형사처벌 집행이 저조하며, 형사처벌의 경우 기업이 아닌 CPO 등 개인이 책임을 지게되는 문제점을 개선하기 위한 사업"이라고 설명했습니다!

그리고 현행법 상 주체에 따라 달리 처벌하는 경우가 있어 이에 대한 개선을 마련하기도 한다는데요! 즉 개인정보보호에 있어서 기업의 책임성을 강화될 수 있도록 만들것으로 보입니다!

3. 국세청 전자세금계산서로 위장한 악성코드 포함된 메일 유포!

곧 세금 납부시기가 다가오면서 국세청을 사칭한 메일이 유포되고 있다고 합니다!

메일 본문에는 메일 내용을 확인하기 위해 첨부파일을 클릭하라는 내용이 들어가있습니다. 이는 첨부된 'NTS-eTaxInvoice.html'이라는 파일을 실행하도록 유도시키는 것이며 이를 위해 실제 국세청 안내 이미지와 매우 비슷하게 만들었다고 합니다!

이에 첨부된 파일을 실행하면 PDF 파일로 위장한 실행파일이 다운로드 되며 이 파일을 실행할 경우 정보유출 악성코드에 감염되어 정보를 탈취당할 수도 있다고 하네요..! 당하지 않게 아래의 수칙을 준수하시면 되겠습니다 :D

• 출처 불분명 메일의 첨부파일/URL 실행금지
• 이메일 발신자 확인
• 프로그램 최신 보안 패치
• 백신 최신버전 유지
• 백신 실시간 감시 기능 활성화

이런 해킹에 당하지 않게 늘 꼼꼼히 살피고 조심하시길 바랍니다 :D !!

출처

https://www.dailysecu.com/news/articleView.html?idxno=112954

http://www.inews24.com/view/1295039

https://www.boannews.com/media/view.asp?idx=90675