본문 바로가기

보안

[보안동향] 2022년, ‘개인정보보호법’은 어떻게 달라졌을까? 정보통신기술(ICT)을 중심으로 경제 전반에 걸쳐 디지털 혁신이 활발하게 이루어지고 있습니다. AI, IoT, 블록체인 등 DX신기술에서 데이터가 핵심 콘텐츠로 부상하면서 데이터 이용 수요도 급증하고 있습니다. 여기서 문제는 데이터 이용량이 많아지면서 개인정보 침해 이슈도 증가하고 있다는 점입니다. 그렇기 때문에 부가가치가 높은 개인정보를 데이터로 안전하게 활용할 수 있는 제도 마련의 필요성이 커지고 있습니다. 개인정보보호위원회는 이를 방지하기 위해 개인정보보호 관련 법령과 제도 개선 등의 다양한 활동을 추진하고 있습니다. 이원화된 규제 정비 및 신기술 성장 기반 마련을 위한 개인정보보호법의 개정 방향에 대해 살펴보겠습니다. 「개인정보보호법」 개정안 주요 내용 1) 이원화된 규제정비 및 신기술 성장기반 .. 더보기
[보안동향] '나도 모르게 클릭!' 악성메일 피싱을 예방하는 방법 최근 보이스 피싱으로 인한 사고가 발생했다는 안타까운 소식이 종종 들려옵니다. 한편, 이러한 피싱이 발생하는 것을 막은 은행원이나 경찰관의 소식도 전해지고 있습니다. 피싱 관련 뉴스를 접하는 사람들은 ‘피싱에 왜 걸리지?’라는 의문을 품곤 하는데요. 막상 피싱에 걸린 사람들을 인터뷰하면 모두 “당할 수밖에 없었다”라고 말합니다. 당해본 사람만 아는 것이죠. 이런 일이 기업에 발생할 수도 있을까요? 사람이 일하는 곳이니 당연히 발생할 수 있습니다. 이를 예방하기 위해 진행한 A 기업의 악성메일 모의 훈련 사례를 소개하겠습니다. 이름과 메일 주소는 인터넷상에 많이 노출돼 있기에 민감한 정보라고 생각하지 않을 수 있습니다. 우리가 주고받는 명함에는 기본적으로 회사명, 이름, 전화번호, 이메일 주소, 직급 등이.. 더보기
[보안동향] 이젠 선택이 아닌 필수! DX 필수템 ‘전자문서’ 3편 지난 글에서는 전자문서 관련 인증 및 평가 제도를 살펴봤습니다. 이번 글에서는 공인전자문서 인증을 위한 보안 대책 수립 전략을 알아보겠습니다. 전자문서 사업자 인증 취득을 위해 단순히 컴플라이언스 요건 충족을 넘어, 아래 예시 그림과 같이 다양한 보안 대책을 종합적인 관점에서 검토하는 프레임워크 형태의 보안 체계를 수립해야 합니다. 이는 사업자에 따라 제공하는 서비스 영역이 상이하므로 각 특성에 맞춘 도입 및 관리가 필요합니다. 또한 위 보안 프레임워크를 기반으로 표준 솔루션을 선정할 경우, 아래 사항을 초기 단계부터 우선 고려해 기술적 보호 대책 도입 및 벤더사를 선정하는 것이 장기적인 관점에서 필요합니다. 지금까지 전자문서 관련 인증 및 평가 제도를 알아보고 전자문서의 미래를 살펴봤습니다. 전자문서를.. 더보기
[보안동향] 이젠 선택이 아닌 필수! DX 필수템 ‘전자문서’ 2편 지난 글에서는 전자문서의 긍정적, 부정적 요인과 전자문서의 전망을 살펴봤습니다. 이번 글에서는 전자문서 관련 인증 및 평가 제도에 관해 알아보겠습니다. 전자문서는 전자문서법을 기반으로 3가지 제도로 나뉩니다. 1) 전자문서를 생성하는 전자화작업장, 2) 공신력을 기반으로 전자문서를 보관하는 공인전자문서센터, 3) 공신력 있는 전자문서를 유통하는 공인전자문서중계자입니다. 1. 전자화작업장 ‘전지화작업장’이란 종이 문서를 스캔해 생성되는 전자화 문서와 종이 문서 원본의 내용 및 형태의 동일성 요건을 준수해 전자화문서를 신뢰성 있게 생성하는 곳입니다. 즉, 전자화작업장을 통해 생성된 전자화문서는 무결성을 입증할 수 있습니다. 근거 법령 특징 - 안정성: 종이 문서의 훼손 방지를 위한 문서의 전자화 - 전문성:.. 더보기
[보안동향] 이젠 선택이 아닌 필수! DX 필수템 ‘전자문서’ 1편 ‘전자문서’란 정보처리시스템에 의해 전자적 형태로 작성, 송·수신, 저장, 검색할 수 있는 정보로 생성된 문서를 뜻합니다. 코로나19로 인해 비대면∙원격근무 전환이 급속도로 이뤄지고 있는데요. 이러한 디지털 트랜스포메이션(DX) 흐름 속에서 종이가 사라지는 페이퍼리스(Paperless) 트렌드가 빠르게 확산되고 있습니다. 더불어, 전자문서 관련 법인 ‘전자문서 및 전자거래 기본법’ (이하 ‘전자문서법’) 개정∙시행 시기가 함께 맞물리면서 전자문서 산업이 더욱 주목받고 있습니다. 1. 긍정적 요인 전자문서법 개정을 통한 전자문서 효력 강화 전자문서법이 2020년 6월 일부 개정되고 같은 해 12월에 시행되면서, 업계에서는 법 개정에 따른 전자문서 이용 활성화를 기대하고 있습니다. 이전까지 전자문서는 종이 .. 더보기
[클라우드보안] AWS 계정을 ‘철통방어’하는 세 가지 방법 L사에 다니는 A 선임은 AWS 아키텍처입니다. 현재 대규모 프로젝트에 참여하고 있는 A 선임은 업무를 마치고 기분 좋게 퇴근했습니다. 그런데 다음날 A 선임은 AWS 리소스의 권한이 변경되거나 삭제된 것을 알게 됐습니다. 이 사실을 PM에 보고하니 PM은 화를 냈습니다. A 선임은 개발자들에게 사고 발생 사실을 알리고 사과 메일을 돌렸고, 여기저기서 한숨 소리가 들렸습니다. A 선임은 경위서와 야근을 준비해야 했습니다. 혹시 A 선임과 비슷한 경험을 하신 적 있나요? 없더라도 A 선임과 같은 일을 겪고 싶지는 않으실 겁니다. 그렇다면 AWS 계정 보안 3가지 방법을 기억해야 합니다. Root 계정은 제한이 없는, 모든 권한을 가지고 있는 계정입니다. 따라서, Root 계정의 Access key를 삭제하.. 더보기
[보안동향] 네트워크망 보안을 책임질 ‘삼총사’는 누구? 네트워크팀에 근무하는 김 과장은 내부망을 구성하는 프로젝트를 진행하고 있습니다. 그런데 프로젝트가 끝나갈 무렵, 외부 보안감사에서 내부망 보안 조치 미흡으로 시정 요청을 받았습니다. 이때, 김 과장은 어떻게 조치해야 할까요? 이와 같은 상황에서 기업에 도입해야 하는 보안 장비 3가지에 대해 알아보도록 하겠습니다. 방화벽은 L3 레이어에서 동작하는 장비로 IP, Port 기반으로 트래픽을 통제합니다. 정해진 규칙에 따라 동작하며, inbound/outbound 트래픽을 모니터링해 필터링합니다. 방화벽을 사용하면 승인받지 않은 사용자의 내부망 접근 통신을 효과적으로 통제할 수 있습니다. 서버에 접속하기 위한 SSL, RDP 통신이나 주요 통신포트인 ICMP, SMB 포트 등에 대해 외부 사용자로부터의 접근을.. 더보기
[보안동향] ‘정보보호 공시’ 분석부터 작성까지 한 번에 끝내세요! 지난 글에서는 정보보호 공시 개요와 대응 업무 절차, 정보보호 공시 준비 자료를 살펴보았습니다. 이번 글에서는 정보보호 공시 자료 분석 및 작성에 관해 알아보겠습니다. 정보보호 공시 투자 영역 집계는 자산 대장과 비용 원장을 기반으로 분석을 진행합니다. 아래는 분석과 관련된 한국인터넷진흥원(KISA)의 가이드와 공시 실무교육 자료를 요약한 내용입니다. 앞에서 언급한 기본적인 분류 기준 방안을 기반으로 아래 세부 항목별 작성을 진행해 보도록 하겠습니다. 자산 분류, 집계와 관련해 KISA 가이드 및 추가적인 질의를 통해 확인한 내용에 대해 알려드리겠습니다. 제조업을 기반으로 하는 기업인 경우 운영기술(OT) 영역의 다양한 장비가 있는데요. KISA에 문의한 결과 산업용 소프트웨어는 정보 기술로 분류해 반영.. 더보기