본문 바로가기

개인정보보호법

[보안동향] SAP DB 암호화? 이것만 기억하세요! 2편 지난 시간에는 법령으로 규정되는 암호화 항목과 SAP DB의 특성, 고려해야 할 사항을 알아보았습니다. 이번 글에서는 SAP 암호화 방식을 살펴보겠습니다. SAP DB에 대한 토큰 암호화에는 두 가지 방식이 있습니다. 랜덤토큰 암호화 방식과 형태보존 암호화 방식인데요. 먼저 랜덤토큰 암호화 방식을 알아보겠습니다. 랜덤토큰 암호화 방식 SAP 시스템 내부에서는 실제 데이터 대신에 '랜덤 토큰'으로 대체해서 사용하기 때문에 ‘토크나이제이션(Tokenization)'이라 합니다. 중요한 데이터만 따로 안전하게 보관한다는 점에서 편리해 보이는데요. 별도 시스템 사이의 통신이 필수적이어서 전체 시스템의 복잡도가 높아지고, 따라서 성능에 영향을 미친다는 단점이 있습니다. 무엇보다도 데이터와 토큰을 1:1 매칭한 테.. 더보기
[보안동향] SAP DB 암호화? 이것만 기억하세요! 1편 금융권 차세대 프로젝트를 진행할 때 빠지지 않는 것이 있습니다. 바로 ‘DB 암호화’인데요. 그렇다면 DB 암호화는 왜 해야 하는 걸까요? 기업 내 고객정보와 같은 중요 정보는 주로 데이터베이스(DB) 내에 저장하게 되는데요. 이런 중요 정보를 안전하게 보호하기 위해 암호화해 보관하게 됩니다. 개인정보보호법 등과 같은 법령에서 개인정보를 안전하게 저장 및 전송해야 한다고 규정하고 있죠. 이를 지키지 않으면 벌금이나 과태료를 내야 합니다. 그럼 어떤 정보를 어떻게 암호화해야 할까요? 를 살펴보면 반드시 암호화해야 하는 정보를 알 수 있습니다. 개인정보보호법에서 말하는 암호화 대상 항목 비밀번호 암호화 조치 (본인 식별 및 인증 시) 바이오 정보 암호화 조치 암호화 적용 기준 요약표 또한 금융권에 속하는 금.. 더보기
[보안동향] 개인정보보호법 10년, 개인정보 암복호화 어디까지 왔을까? 어느덧 개인정보보호법이 제정된 지 10년이 넘었습니다. (2011. 3. 29) 일부 개정됐으나 이 법에 따른 개인정보의 안전성 확보조치 기준은 제4조(내부 관리계획의 수립·시행), 제5조(접근 권한의 관리), 제6조(접근통제), 제7조(개인정보의 암호화), 제8조(접속기록의 보관 및 점검), 제9조(악성 프로그램 등 방지), 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치) , 제13조(개인정보의 파기)로 고시됐습니다. 이 중 제7조(개인정보의 암호화)에 대한 사항은 초기 법 제정 시 암호화에 많은 어려움이 있어 시행 시기를 1년간 유예하는 사항도 있었는데요. 지금은 여러 영역에서 개인정보에 안전조치가 이뤄지고 있다고 볼 수 있습니다. 법의 제정으로 암호화 기능을 제공하는 다양한 솔루션이.. 더보기
[보안동향] 잡았다, 요놈! 업무 중 개인정보 유출, 막으려면? 개인정보보호법은 2011년 3월에 시행된 이후, 대규모의 개인정보 유출과 인공지능(AI) 등 신기술의 발전에 대응해 정보 주체의 권리를 보다 적극적으로 보장하도록 개인정보 자기결정권*을 강화하고 있습니다. 또한, 개인정보를 처리하는 기업에 대한 책임을 강화해 형벌 중심에서 경제 중심 제재로 전환 및 강화되고 있습니다. * 개인정보 자기결정권: 개인정보의 경제적·사회적 가치가 증가함에 따라 개인이 자신에 관한 정보를 적극적으로 관리· 통제할 수 있는 권리 이렇듯 기업의 입장에서 개인정보 보호를 위한 개인정보보호법 준수는 날로 중요해지고 있는데요. 크고 작은 개인정보 노출 또는 유출 사고는 매년 꾸준히 발생하고 있습니다. 개인정보 유출 사고로 인해 개인은 명의도용, 보이스피싱 등 범죄에 노출되거나 스팸 수신.. 더보기
법률을 준수하는 보안 설계 프로젝트 수행 시 정보 시스템을 구축하게 되고 정보 시스템을 보호하기 위해 보안 솔루션들을 도입하게 되는데 이때 ‘보안 관련 법률을 잘 준수되는 시스템을 구축되도록 하려면 어떻게 하면 될까?’ 고민하였던 적이 있었습니다. 보안 법률을 잘 준수하기 위한 절차 및 설계 방법에 대해 이야기하고자 합니다. 1. 준수해야 될 보안 법률 식별하기2. 법적 요건 도출하기3. 보안 설계 요건 도출하기4. 설계 시 반영•검토하기 위와 같은 절차대로 수행하면 보안 관련 법률을 준수하는 보안 설계가 가능하지 않을까요? 준수해야 될 보안 법률 식별하기 보안 관련 어떤 법률을 적용받아야 하는지는 해당 기관 또는 기업이 어떤 비즈니스를 하고 있는지? 구축 대상 시스템이 어떤 업무를 수행하게 되는지?에 따라 적용받는 법률이 다양할.. 더보기
판례로 살펴본 알쏭달쏭 개인정보보호 개인정보 보호법은 개인정보의 수집•유출•오용•남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적(개인정보 보호법 제 1조 제1항)으로 2011년 9월 30일부터 시행되었습니다. 모든 기업은 개인정보 보호법에 따라 개인정보는 최소한의 개인정보만을 적법하고 정당하게 수집해야 하며, 처리 목적에 필요한 최소한의 범위에서 적합하게 개인정보를 처리해야 합니다. 즉, 개인정보의 정확성•완전성•최신성 보장, 개인정보의 안전한 관리, 정보 주체의 권리 보장, 정보 주체의 신뢰를 얻기 위한 노력 등을 준수해야 하며, 수집한 개인정보는 개인정보의 라이프사이클에 따라 수집•저장•이용•제공•파기까지 처리 단계별 보.. 더보기
동화로 읽는 개인정보보호 #1 ‘빨간 모자가 개인정보를 중요하게 여겼다면?’ 빨간 모자 동화를 아시나요? 이는 아이들에게 세상의 위험에서 자신을 지키려면 착한 사람과 나쁜 사람을 구별하는 지혜가 필요하다는 걸 알려주는 이야기입니다. 해킹이나 보이스피싱과 같은 범죄에 빈번하게 노출되는 오늘날, 빨간 모자 동화를 통해 개인정보를 지킬 방안에 대해 이야기해 보겠습니다. 내 개인정보를 내가 꼬박꼬박 제공한다?! ● Scene옛날 옛적에~ 언제나 빨간 모자를 쓰고 다녀 빨간 모자라 불리는 아이가 살았습니다. 어느 날, 빨간 모자가 엄마의 심부름으로 할머니 병문안을 하러 가던 중 늑대가 나타나 상냥하게 물었습니다. "넌 누구니?" "빨간 모자예요.""어디 가는 길이니?" "할머니 댁에 가요.""왜 가니?" "할머니께서 아프셔서요." ● Problem이 대화의 문제점을 찾으셨나요? 처음 보는.. 더보기
국내 개인정보 관리체계의 관점에서 본 EU GDPR EU의 개인정보보호법이라고 알려진 GDPR의 시행이 5개월 앞으로 다가왔습니다. GDPR은 ‘General Data Protection Regulation’의 약자로, 기존에 지침(Data Protection Directive) 수준으로 공포되었던 EU의 개인정보보호 관련 규정을 법규(Regulation) 수준으로 한층 더 강화했다는 점에서 EU 내 거주자에 대한 개인정보 권익을 더욱 강력하게 보호하겠다는 의지를 표명한 것으로 볼 수 있습니다. 또한, 법규 위반 시 제재 수준을 해당 기업 전 세계 매출액의 4%와 2천만 유로(2017년 12월 기준 약 257억원) 중 높은 금액을 과징금으로 부과할 수 있는 등, 현재 발표된 전 세계의 개인정보 관련 법령 중 최고 강력한 수준의 금전적 제재를 부과할 수 있.. 더보기