'개인정보보호위원회'에 해당되는 글 42건

7월 7일 뉴스입니다.

<보안뉴스>

<행사소식>

7월 4일 ~ 5일 주말뉴스입니다.

<보안뉴스>

<IT소식>

200704-05 뉴스.xlsx

7월 3일 뉴스입니다.

<보안뉴스>

<행사소식>

5월 27일 뉴스입니다.

<보안뉴스>

<신제품소식>

200527 뉴스.xlsx

4월 3일 뉴스입니다.

200403 뉴스.xlsx

3월 4일 뉴스입니다.

미 국무부 서신으로 위장한 악성코드가 유포되고 있다고 합니다. 미 국무부 서신으로 위장한 악성코드는 doc 파일로 배포되고 있으니 주의하시기 바랍니다.

개인정보보호위원회가 제도혁신 자문단을 발족했습니다. 업무·제도 혁신 총괄분과, 법령개선 분과, IT·신기술 분과, 비식별처리 분과, 국제협력 분과, 소통·홍보 분과로 나눠지는데요 개정된 개인정보보호법에 따라 개인정보보호위원회의 위상이 올라가고 거기에 자문단까지 발족되었으니 더욱 현실성 있으면서도 안전한 개인정보보호 활동을 할 수 있도록 지원해줄 수 있는 위원회가 되었으면 하는 바램입니다.

모바일 게임은 단기간에 수익을 내야 하는 구조적인 문제가 있어 대부분 해킹에 취약한 것으로 조사되었다고 합니다. 문제는 게임이 해킹되면서 핸드폰 자체가 위험에 노출될 수 있따는 점인데요 물론 수익도 중요하지만 기본적인 보안성 검토는 거친 후 출시했으면 하는 바램입니다.

방송통신발전 기본법의 방송통신재난 대비 대상에 주요 데이터의 보호를 포함시키는 개정안이 발의되었습니다. 이 개정안이 통과되면 AWS, MS, 구글 등 국내에 데이터센터를 갖고있는 기업이라면 국내/외 모든 기업이 데이터보호 의무를 준수해야 합니다.

공익 목적에 기여한다면 개인정보를 제공할 수 있는가에 대한 질문에 제공할 수 있다고 응답한 비중이 84%로 상당히 높게 나왔습니다. 데이터3법이 통과되면서 마이데이터가 중요하게 대두되고 있고 과연 어디까지가 가명정보의 활용범위인가라는 논의가 계속 이뤄지고 있는 것으로 보이는데요 시민단체에서는 가명정보 활용조차도 반대하고 있습니다만 생각보다 정보 활용에 대해 '공익적' 목적이라면 거부감 없이 제공이 가능할 것으로 나타났습니다. 물론 모니터링이 중요하다는 응답이 96.4%가 나온 만큼 모니터링은 강화할 필요가 있겠습니다.

이번 코로나 사태로 인해 망분리 예외가 허용되고 이를 시행하면서 망분리 의무조항을 개선해야 한다는 움직임이 나타나고 있습니다. 망분리가 데이터 중심이 아난 도메인 중심인데요 이로 인해 생산성 하락이나 스마트워크의 부재 등 업무환경은 기술발전에 따라 변화하지만 현장은 거기에 발맞춰 갈 수 없다는 문제점이 나타나고 있습니다. 핀테크 기업에서 나타난 움직임이지만 망분리 의무 대상자인 수많은 정보통신서비스 기업도 마찬가지의 문제점을 겪고 있는데요 내부 기준에 의한 망분리로 전환하고 사고 발생 시 책임을 강화하는 방법도 생각해볼 수 있을 것 같습니다.

2013년 발생한 카드3사의 개인정보 유출 사고에 대해 1심에서 법정 최고형을 받은 카드3사가 2심에서도 원심과 같은 벌금형을 받았습니다. 검찰과 카드3사 모두 대법원에 상고했는데요 물론 최종 판결이 남아있지만 1심과 2심 재판부가 모두 메모리 반출입통제, 안전성 확보조치의무, 암호화조치 불이행을 모두 인정했고 지금의 기술력이 이를 하기 힘든 게 아닌만큼 정보보호담당자들께서는 이 부분에 대한 실태조사 한번쯤 하는것도 좋지 않을까라는 생각을 해봅니다.

<보안뉴스>

<IT소식>

200304 뉴스.xlsx

2월 18일 뉴스입니다.

<데이터3법>

먼저 데이터3법 소식입니다.
사이버안전 포럼에서 데이터3법 통과 이후 개인정보 총괄 감독 부처가 개인정보보호위원회로 통합되었기 때문에 사이버 안전 거버넌스의 재정립이 필요하다는 발표가 있었습니다.
시민단체에서는 개인정보의 가명처리에는 허점이 있으니 익명처리에 한해서만 허용해야 한다는 주장이 있었고 그에 반해 산업계에서는 법에서 연구목적의 가명정보 처리를 허용했으니 이를 시행령에서 대치되는 법안이나 가이드가 나오지 않고 연구가 활성화 되도록 해야 한다는 주장을 했습니다.
개인적으로 익명화된 개인정보와 가명화된 개인정보는 쓰임새가 다르고 연구에 활용되는 범위가 다른 만큼 개인정보보호법에서 요구하는대로 익명화로 가능한 범위는 익명화로, 익명화가 불가한 부분에 대해서는 가명화된 개인정보를 사용해야 한다는 입장입니다만 재식별이 불가능하도록 가명화 하는데 구체적인 가이드가 나와 비식별화 전문가를 초빙하거나 채용하지 않더라도 정보보호담당자 선에서 조치가 가능하도록 했으면 하는 바램입니다.

<기타>

미국 사이버사령부에서는 라자루스의 멀웨어 샘플 6개를 바이러스토탈에 공개했습니다. 그동안 자체 DB에 없어 검색이 안되던 라자루스의 멀웨어도 모든 안티바이러스 솔루션에서 검출이 가능해 졌습니다.
이란의 해킹단체 APT33과 APT34가 협업하여 VPN을 뚫었다고 하는데요 민간기업에서 주로 사용하는 펄스 시큐어, 포티넷, 팔로알토의 VPN을 익스플로잇 했다고 합니다. 해당 제품을 사용하시는 담당자들께서는 점검이 필요할 듯 합니다.
CPO를 처벌하는 개인정보보호법이 잘못되었다는 주장이 있었습니다. 이 기사의 내용은 예전부터 저 역시 생각을 해왔고 공감이 되는 부분인데요 과연 CPO를 계속 처벌한다고 하면 과연 CPO를 담당하겠다고 하는 사람이 있을지 의문입니다. 오히려 법인에 벌금이나 과징금이 커지는 것이 CPO에게 힘을 실어주고 더욱 강력한 보호수준을 유지할 수 있는 방안이 아닐까 싶습니다.

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.

2월 17일 뉴스입니다.

<개인정보보호위원회 국제협력 강화>

개인정보보호위원회가 국제협력을 강화하기로 했다는데요 이에 따라 '개인정보 국제협력 강화 3대 프로젝트'를 추진하고 있다고 합니다.
①한국기업 유럽진출 지원을 위한 EU 적정성 결정의 조속한 추진 지원 및 해외 법제정보 제공
②한국 국민 개인정보 보호강화를 위한 글로벌 기업 공동조사 등 국가간 협조 강화
③개인정보 관련 기술·제도 국제표준화 작업 등 국제무대에서의 국익 확보를 위한 국제협의체 내 선도적 역할 강화
위 3가지 항목이 주된 프로젝트 내용이라고 하는데요 충분히 글로벌화 되어 국내에서만 열심히 보호하는건 더이상 의미가 없어진 지금 국제협력 강화로 내국인들의 개인정보에 더욱 힘써줬으면 하는 바램입니다. 또한 EU 적정성검토가 통과되어 GDPR에 대한 큰 부담 없이 사업을 영위할 수 있게 되길 기대해 봅니다.

<기타>

새로운 머신러닝 개발 프레임워크가 개발되었다고 하는데요 이번에 개발된 프레임워크는 위험요소를 분석하는 접근법을 가지고 있다고 합니다. 다만, 해결방법이 포함된건 아니라고 하는데요 그렇다고 해도 머신러닝을 개발하면서 발생할 수 있는 위협에 대해 경고해줄 수 있다는 자체로 매우 뛰어난 프레임워크가 아닌가 싶습니다.
개인정보보호협회가 개로운 ISMS-P 심사기관으로 지정되었습니다. 심사 대상도 늘어나고 있고 ISMS와 PIMS를 별도로 받아야 하는 부담이 줄면서 ISMS-P 신청기관도 늘어나는만큼 심사 일수에 대한 수요도 늘어날 수 밖에 없는데요 심사기관이 늘어나면서 심사원들의 퀄리티도 함께 늘어나길 기대해봅니다.
11개 시민·노동단체가 데이터3법의 후속과제에 대한 의견서를 제출했다고 하는데요 개인정보의 활용으로 인한 기술 및 경제의 발전과 개인정보의 보호라는 측면에서 양쪽을 모두 만족시킬 수 있는 방안이 하루빨리 나오길 기대해 봅니다.

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.

2월 13일 뉴스입니다.

우리은행에서 직원들의 실적을 위해 휴면회원의 비밀번호를 변경했는데요 특히 신뢰가 중요한 은행이 개인정보를 이렇게 안일하게 관리한다는것이 어처구니 없게 느껴지는데요 비번 도용에 가담한 직원은 우리은행에서는 313명으로 발표했으나 실제 약 500여명으로 비밀번호 변경 건수는 총 3만9463건이라고 합니다. 개인정보 누설이나 유출, 금전적 피해는 없는 것으로 파악되고 있으며 우리은행은 현재 피해 고객에 대한 통지를 준비하고 있다고 하는데요 대응이 너무 늦어지는게 아닌가 싶습니다.

다음 뉴스는 금융위원회 소식입니다. 금융위원회에서 신용정보법의 개정을 앞두고 개정 신용정보법 주요내용을 발표했습니다. 더불어 오는 20일 신용정보법 설명회를 개최한다고 하니 필요한 분들은 참석해서 좋은 정보 많이 얻어가셨으면 좋겠습니다.

화웨이가 월스트리트 저널의 백도어 의혹에 대해 공식적으로 반박했습니다. 월스트리트저널은 이미 화웨이가 백도어를 통해 전세계 통신망에 접근할 수 있는 증거를 갖고있다고 했는데요 화웨이에서는 구체적인 증거를 보여달라고 하며 반박하고 있습니다.

지난 2017년 발생한 빗썸의 고객 개인정보 3만건 유출에 대한 1심 결과가 나왔습니다. 1심에서 빗썸 법인과 개인정보관리책임자에게 각각 벌금 3천만원씩 선고되었는데요 이는 구형의 범위를 넘어선 법정 벌금 최고형인데요 물론 법정 최고형을 선고받기는 했습니다만 사고로 인한 고객들의 피해범위에 비해 형벌이 너무 약하다는 지적도 있습니다.
이번 선고에서 지난달 판결이 나온 하나투어와 마찬가지로 개인정보관리책임자(개인정보보호책임자)에게도 벌금이 부과되고 있는데요 개인적으로는 이런 일이 발생하면 과연 누가 개인정보보호책임자를 맡으려 하겠는가라는 의문도 가지고 있습니다만 한편으로는 이런 판결이 계속 나오면 그만큼 임원으로 지정하도록 되어있는 개인정보보호책임자가 나서서 회사의 정보보호에 앞장설수밖에 없지 않을까 하는 기대감도 있습니다.

개인정보보호위원회에서 제4차 개인정보보호 기본계획을 발표했는데요 이번 기본계획에서는 개정된 데이터3법의 내용을 반영하고 3개년 마스터플랜이 수록되었으며 안전한 개인정보 이용 환경 구축에 관한 내용에 초점이 맞춰졌습니다.
이번에 발표된 개인정보보호 기본계획은 개인정보보호위원회에서 다운로드 받으실 수 있습니다.(링크)

이밖에도 브라질의 사이버보안 전략 발표 소식, 자율주행차의 차량보안, 멀티팩터 등 다양한 기사가 있었습니다. 또한 맥도 더이상 악성코드로부터 자유롭지가 않다는 기사가 있었는데요 그동안 맥이니까 별일 없겠지 하며 넘어갔던 부분도 점검이 필요해 보입니다.

더 많은 내용은 기사를 참고하세요~

이밖에 보안 관련 뉴스는 아니지만 뉴스 스크랩 과정에서 같이 들어온 뉴스 중 IT 뉴스도 함께 올립니다.

2월 12일 뉴스입니다.

첫번째 뉴스는 빗썸 소식입니다. 빗썸은 사건사고도 끊이지 않고 성장이 큰 만큼 진통도 큰 기업인데요 지난 2017년 발생한 고객 개인정보 3만건 유출에 대한 1심 결과가 나왔습니다. 1심에서 빗썸 법인과 개인정보관리책임자에게 각각 벌금 3천만원씩 선고되었는데요 이는 구형의 범위를 넘어선 법정 벌금 최고형인데요 물론 법정 최고형을 선고받기는 했습니다만 사고로 인한 고객들의 피해범위에 비해 형벌이 너무 약하다는 지적도 있습니다.
이번 선고에서 지난달 판결이 나온 하나투어와 마찬가지로 개인정보관리책임자(개인정보보호책임자)에게도 벌금이 부과되고 있는데요 개인적으로는 이런 일이 발생하면 과연 누가 개인정보보호책임자를 맡으려 하겠는가라는 의문도 가지고 있습니다만 한편으로는 이런 판결이 계속 나오면 그만큼 임원으로 지정하도록 되어있는 개인정보보호책임자가 나서서 회사의 정보보호에 앞장설수밖에 없지 않을까 하는 기대감도 있습니다.

다음 뉴스는 개인정보보호위원회 소식입니다. 개인정보보호위원회에서 제4차 개인정보보호 기본계획을 발표했는데요 이번 기본계획에서는 개정된 데이터3법의 내용을 반영하고 3개년 마스터플랜이 수록되었으며 안전한 개인정보 이용 환경 구축에 관한 내용에 초점이 맞춰졌습니다.
이번에 발표된 개인정보보호 기본계획은 개인정보보호위원회에서 다운로드 받으실 수 있습니다.(링크)

월스트리트저널에서 화웨이가 백도어를 통해 전세계 통신망에 접근할 수 있는 증거를 갖고있다고 합니다. 이미 10년 전부터 백도어를 실행해 왔고 이에 대한 증거를 갖고 있다는건데요 아직 증거를 구체적으로 공개하지는 않았습니다. 당연히 화웨이에서는 부인하고 있는데요 이게 사실로 밝혀질 경우 5G망에 화웨이 장비를 도입한 우리나라를 비롯한 많은 국가의 기업들에 타격이 있겠네요

여기어때를 운영하는 위드이노베이션의 전 대표가 야놀자의 DB를 무단 크롤링 한 행위로 징역 1년6월에 집행유예 2년이 선고되었습니다. 위드이노베이션에서는 단순히 일반적으로 행해지는 크롤링 방식을 이용했을 뿐 침입과는 상관이 없다고 주장했으나 재판부에서는 경쟁관계의 우위를 점하기 위해 접근권한 없이 크롤링을 한것은 위법으로 봤는데요 경쟁사 크롤링을 하고있는 수많은 업체의 담당자 분들께서는 한번쯤 주의를 기울여보셔야 할 것 같습니다.

지난 2017년 발생한 미국의 에퀴팩스 해킹 사건 소식인데요 에퀴팩스 해킹 사건은 1억4500만명의 사회보장번호, 이름, 주소 등 민감한 정보가 유출된 세계 최대규모의 개인정보 유출 사고였는데요 이것은 단순한 해킹 사고가 아닌 중국의 인민해방군 소속 정부요원의 공격이었던 것으로 밝혀졌습니다.

우리은행에서 직원들의 실적을 위해 휴면회원의 비밀번호를 변경했는데요 특히 신뢰가 중요한 은행이 개인정보를 이렇게 안일하게 관리한다는것이 어처구니 없게 느껴지는데요 비번 도용에 가담한 직원은 313명으로 비밀번호 변경 건수는 총 3만9463건이라고 합니다. 개인정보 누설이나 유출, 금전적 피해는 없는 것으로 파악되고 있으며 우리은행은 현재 피해 고객에 대한 통지를 준비하고 있다고 하는데요 대응이 너무 늦어지는게 아닌가 싶습니다.

그밖에 많은 뉴스들이 있었는데요
2019년 멀웨어 활동을 분석해보니 맥에서의 증가가 뚜렷이 보인다고 합니다. 다만, 아직까지 맥을 대상으로 하는 멀웨어는 공격보다는 위협으로 볼 수 있는 수준에 불과하긴 하지만 빈도가 많이 늘었다는 점에서 안심할 수는 없겠습니다. 더구나 업무상 맥을 사용하는 사용자가 많이 늘어나고 있는 만큼 멀웨어 개발자 입장에서도 맥을 공격하면서 얻을 수 있는 이점은 점점 늘어나고 있는게 아닐까 싶습니다. 더이상 맥을 사용한다고 해서 백신을 설치하지 않고 방치해서는 안되겠습니다.
작년 OT(Operational Technology) 공격이 매우 늘어났으며 데이터 유출 사고 중 85%가 클라우드 구성요소 오류로 인한 발생이라고 합니다. 클라우드를 사용하면서 업무가 편해지고 환경 구성이 편리해진 것은 요즘 체감하고 있습니다만 그만큼 설정의 오류로 인해 바로 노출이 발생할 수 있으니 주의하시기 바랍니다.

그 밖의 많은 뉴스는 기사를 참고하세요~