본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다241

개인정보의 안전성 확보조치 기준 개정안 요약 (23년 09월) 1. 개인정보 안전성 확보조치 기준 일부개정 사항의 취지 -개인정보 보호법 시행령의 정보통신서비스 특례규정(영 제48조의2)이 일반규정(영 제30조)으로 통합됨에 따라 「개인정보의 안전성 확보조치 기준」과 「개인정보의 기술적·관리적 보호조치 기준」을 통합 -「개인정보 보호법 시행령」의 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)가 삭제됨에 따라 제48조의2 제3항에 따른 「(개인정보보호위원회) 개인정보의 기술적ᆞ관리적 보호조치 기준」 고시를 폐지 -개인정보 보호법 시행령에 공공시스템운영기관 등에 대한 특례 규정(영 제30조의2)이 신설 됨에 따라 고시 위임사항인 공공시스템 지정 기준 및 공공시스템운영기관의 안전조치 기준을 신설하여 공공시스템운영기관의 개인정보보호를 강화 2. 개정사항 (2단 비교) 2023. 8. 8.
ZTMM(Zero Trust Maturity Model) 1. ZTMM(Zero Trust Maturity Model)의 개요 가. ZTMM(Zero Trust Maturity Model)의 정의 -제로트러스트 모델 기반의 보안 개념이 얼마나 잘 적용되어 운영되고 있는가를 객관적으로 표현하기 위한 모델 나. ZTMM(Zero Trust Maturity Model)의 특징 -점진적 변화를 통해 최적화 수준에 도달 -5개 기둥과 3개 교차 기능으로 구성 2. ZTMM(Zero Trust Maturity Model)의 개념도 및 구성요소 가. ZTMM(Zero Trust Maturity Model)의 개념도 나. ZTMM(Zero Trust Maturity Model)의 구성요소 구분 특징 설명 아이덴티티(사용자) 사용자 신원확인 및 접근권한 제어 -사용자 로그인과.. 2023. 8. 4.
제로트러스트 가이드라인 1.0 요약 1. 제로트러스트 추진배경 가. 환경변화 -디지털 대전환 가속화로 네트워크 경계 확장 및 다변화 발생 (원격 재택근무, 리소스 위치 다변화, 접속요구시간 및 위치 예측 불가) -복잡한 환경변화로 정보보호 관리의 어려움 증가 -기존 경계보안모델의 한계 도달 나. 기존 경계보안모델의 한계 -내부자에 대한 암묵적 신뢰 기반의 위험 노출 -악성코드, 크리덴셜 스터핑을 통해 내부 침투 후 횡적이동을 통해 시스템 접근하여 권한획득 및 데이터 유출 -기존 보안기술을 개선, 보완한 SIEM, SOAR, XDR 등 운용 - 다양한 악성행위 감시, 정보 유출 등에 한계 도달 다. 미국의 제로트러스트 도입 현황 -2010년, 탈경계화 등 경계기반 보안모델의 한계 극복 시도, 존 킨더백이 제로트러스트 개념 제시 -2013년,.. 2023. 8. 2.
개인정보보호법 개정안 요약 (보안뉴스) 원문 : 보안뉴스 2023. 6. 28.
개정된 개인정보보호법 신구대조표 개인정보보호법 [시행 2023. 9. 15] [법률 제19234호, 2023. 3. 14, 일부개정] ‘개인정보 보호법’ 전면 개정, 데이터 신경제 시대 열린다 ‘개인정보 보호법’ 전면 개정, 데이터 신경제 시대 열린다 개인정보보호위원회는 지난달 27일 국회를 통과한 ‘개인정보 보호법’ 개정안이 지난 7일 국무회의에서 의결됐다고 밝혔다. 이번 개정안에는 전 세계적인 디지털 대전환 추세에 부합하도록 △ www.boannews.com 2023. 6. 28.
개인정보 처리를 위한 동의 방식 구분 설명 옵트인(Opt-in) -정보주체에게 개인정보 수집·이용·제공에 대한 동의를 먼저 받은 후 개인정보를 처리하는 방식 -선동의 후사용 방식 -유럽, 우리나라 옵트아웃(Opt-out) -정보주체의 동의를 받지 않고 개인정보를 수집·이용하다가 정보주체가 거부 의사를 밝히면 활용을 중지하는 방식 -선사용 후배제 방식 -미국 -빅데이터 활용하는데 옵트인으로 인해 개인정보 활용에 어려움이 있어 옵트아웃 방식에 대한 필요성 언급 -국내 개인정보보호 관련 법률에서는 개인정보를 처리하는 경우, 정보주체의 선택권을 보장하고 권리를 보호하기 위해 옵트인 방식으로 동의를 받고 있음 하지만 최근 다양한 용도와 방법으로 개인정보를 처리하고, 빅데이터 활용의 중요성이 강조되면서 옵트아웃 방식에 대한 필요성 일부 언급되고 .. 2023. 4. 25.
클라우드 보안인증 등급제 고시 개정안 행정예고 과학기술부가 클라우드 보안인증 등급제 도입을 위해 '클라우드 컴퓨팅서비스 보안인증에 관한 고시' 개정안 행정 예고 획일적으로 운영되던 보안인증 체계를 개선하기 위해 상중하 등급제 도입 하등급 시스템에 대한 인증을 고시 공포 후 시행 상중등급은 관계부처와 공동 실증 검증을 통해 세부 평가기준 보완 후 시행 예정 [기사참조] https://zdnet.co.kr/view/?no=20230105133304 2023. 1. 6.
2022년 사이버안보 위협 주요 특징 및 내년 전망 (국정원) -22년 안보부처 및 연구기관 등을 사칭한 해킹 메일 다수 유포 -IT솔루션 보안취약점 악용 공격 빈번 발생 -대북관련 정책 및 무기체계 등 관련 정보 절취 공격 지속 -방산, 원전, 정찰자산 등 첨단 산업기술 절취 기도 증가 -우크라이나 전쟁 등에서 국제 해커조직이 참여한 하이브리드전으로 양상 전개 -코스타리카, 영/불 등 랜섬웨어에 의한 국가 안보 위협 증가 2022. 12. 27.
오픈소스 SW 거버넌스 1. 오픈소스 SW 거버넌스의 개요 가. 오픈소스 SW 거버넌스의 주요 목적 -OSS를 효과적으로 활용 -라이선스 관리 및 컴플라이언스를 통해 OSS 사용에 따른 다양한 위험 요소를 제거 및 예방 나. 오픈소스 SW 거버넌스의 정의 -SW개발 정책수립부터 개발 및 배포 후 유지보수까지 SDLC25) 전 단계에 걸쳐 OSS 사용을 계획 및 관리 2. 오픈소스 SW 거버넌스 체계 및 단계별 주요 활동 가. 오픈소스 SW 거버넌스 체계 나. 오픈소스 SW 거버넌스 단계별 주요 활동 3. 오픈소스 SW 거버넌스의 관리 방안 (금융보안원) 오픈소스 SW 사용 위협 및 대응 방안 참조 2022. 11. 4.
금융권의 적극적인 오픈소스 도입으로 IT 경쟁력 강화 추진 1. 국내 금융기관, 오픈소스 도입으로 유연한 IT 환경 조성 및 경쟁력 강화 -국내 금융권의 클라우드 도입 증가, 빠른 CI/CD로 인한 신속한 릴리즈, 자동화를 통한 비용 절감, 고객 만족 증가 2. 레드햇, 기술전망 보고서 "2022년 기업IT 최우선 투자분야는 보안" -레드햇 조사에 따르면 2022년 기업의 최대화두는 IT보안, IT/클라우드 관리가 주관심분야의 탑에 위치 https://www.oss.kr/oss_guide/show/760e1f8a-4680-4c16-bba1-67912cb51392 2022. 11. 4.
전자금융거래법 일부개정법률안(김한정의원등10인) 제안이유 및 주요내용 (출처 : watch.peoplepower21.org) 최근 인터넷은행, 핀테크 등의 전자금융거래가 활성화됨에 따라 전자금융거래 과정에서 발생하는 보안사고로 인한 피해 우려도 확대되고 있음. 이러한 보안사고를 예방하기 위하여 「소프트웨어 진흥법」에서 규정하고 있는 “소프트웨어개발보안”에 관한 사항을 전자금융거래 과정에도 적용할 필요가 있다는 지적이 제기되고 있음. 이에 전자금융개발보안의 개념을 규정하고 금융기관 및 전자금융업자 등으로 하여금 전자금융개발보안에 관한 금융위원회의 고시를 준수하도록 의무를 부여하며 금융위원회가 전자금융개발보안 분야의 발전을 위한 사업을 추진할 수 있는 근거를 마련함으로써 전자금융거래의 안전성을 제고하려는 것임(안 제2조제23호 및 제21조의7 신설). 2022. 11. 4.
APEC CBPR 인증심사 1. APEC CBPR 인증심사의 개요 가. APEC CBPR 인증심사의 정의 -APEC 프라이버시 보호 원칙을 기반으로 기업의 개인정보보호체계를 평가하여 인증하는 글로벌 인증제도 나. APEC CBPR 인증심사의 특징 -(신뢰도 제고) 대외적으로 개인정보 보호체계를 갖추었음을 대외적으로 알려 기업의 신뢰도 제고 -(비용 절감) 제휴사, 수탁사 선정 시 대상 기업의 개인정보보호 수준을 확인하기 위한 비용과 시간 절감 -(국외 이전 처리) CBPR 인증 기업의 경우 보호 수준을 인정하여 이전 허용 -(자율 인증) 국가/기업의 CBPR 인증 참여는 자율적이며 각국별 CBPR 인증 효용을 최대화할 수 있는 다양한 정책 채택 가능 -(공신력 강화) CBPR 인증을 이행할 수 있는 법제도적 환경을 갖춘 국가에서만.. 2022. 10. 21.
'암호화' 망분리 기술 인정 여부 전면 재검토...논란 확산에 타당성 재검토 https://www.etnews.com/20221013000194?mc=ns_002_00001 '암호화' 망분리 기술 인정 여부 전면 재검토...논란 확산에 타당성 재검토 정부가 공동주택 세대간 망분리 기술에 암호화 포함 여부를 원점에서 재검토한다. 암호화를 망분리 기술로 볼 수 없다는 의견을 중심으로 논란이 확산하자 적합성을 다시 판단하기로 했다. 과 www.etnews.com 2022. 10. 14.
개인정보위, ‘개인정보의 기술적·관리적 보호조치 기준 해설서’ 개정 1) 소기업이 아닌 경우에도 침입 차단·탐지 시스템으로 공개용 소프트웨어와 클라우드 서비스 등에서 제공하는 보안서비스 활용 가능 2) 고시 개정사항을 반영해 ‘바이오정보’ 용어를 생체정보와 생체인식정보로 구분 안내 2022. 8. 26.
(ISMS-P) 금융회사 관련 망분리 및 예외규정(재택근무) 현황 1. 규정 적용 대상 및 절차 가. 규정 적용 대상 -금융회사, 전자금융업자 나. 규정 적용 절차 1) 자체 위험성 평가 실시 2) [별표7] 망분리 대체 정보보호통제 적용 3) 정보보호위원회 승인 후 적용 2. 망분리 관련 규정 개념도 및 현황 가. 금융회사의 망분리 적용 관련 규정 개념도 나. 금융회사의 망분리 적용 관련 규정 현황 구분 법령 내용 기본 원칙 전자금융감독규정 제15조제1항 제3호 내부통신망과 연결된 내부 업무용 시스템(정보처리시스템, 단말기, 프린터 등)은 인터넷(무선 인터넷 포함) 등 외부통신망과 분리, 차단, 접속 금지 제5호 전산실 내에 위치한 정보처리시스템와 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기는 외부통신망과 물리적 분리 예외 전자금융감독규정시.. 2022. 8. 12.
(ISMS-P) 결합 전문기관 및 데이터 전문기관 지정 현황 (22년 5월) 가. 결합(데이터) 전문기관 현황 나. 가명정보 결합 절차 ① 결합신청자의 결합신청(결합목적 설정, 결합키 정보 제공 등 기관협의, 결합 신청(결합선 택사항인 모의결합, 추출결합, 사전 결합률 확인 신청 포함)) ② 결합키관리기관의 결합키연계정보 생성 ③ 결합전문기관의 가명정보 결합 및 반출심사를 통한 반출 ④ 결합신청자의 반출정보 활용 및 관리 2022. 6. 29.
(ISMS-P) ISO/IEC 27559 프라이버시 강화 데이터 비식별화 프레임워크 표준 1. ISO/IEC 27559 표준의 개요 -비식별화된 데이터의 생명주기와 관련한 위험을 파악하고 완화하기 위한 프레임워크를 제공하기 위한 표준 2. ISO/IEC 27559의 개념도 및 구성요소 가. ISO/IEC 27559의 개념도(비식별화 거버넌스) -조직이 데이터를 비식별화할 경우 구성요소들을 모두 고려하여 적절히 반영해야 함 나. ISO/IEC 27559의 구성요소 -위협을 줄이고 운영맥락에 따라 데이터 수신자가 활용할 수 있는 데이터 유용성을 향상시키기 위해 데이터 환경에 관한 개인정보 보호 및 보안 관행을 개선할 수 있음 2022. 6. 29.
제1항 개인정보 영향평가 제1항 개인정보 영향평가 개인정보 영향평가(PIA)는 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보처리시스템의 중대한 변경이 있는 경우 시스템의 구축, 운영, 변경 등이 개인정보에 미치는 영향을 사전에 조사, 예측, 검토하여 개선방안을 도출하는 기법 또는 제도이다. 영향평가는 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기 위한 목적의 제도이며 평가 대상은 일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축, 운영 또는 변경하려는 공공기관이 개인정보보호법 제33조 및 개인정보보호법 시행령 제35조에 근거하여 영향평가를 수행해야 한다. [표] 개인정보.. 2022. 5. 30.

티스토리툴바