검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보위'통합검색 결과 입니다. (187건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

개인정보위, 영상정보처리기기 사전적정성 검토 2건 의결

개인정보보호위원회는 지난 24일 제2회 전체회의를 열고, 사전적정성 검토를 신청한 2건에 대해 사업자와 마련한 개인정보 보호법 준수방안을 의결했다고 25일 밝혔다. 앞서 인공지능(AI) 영상정보처리기기(CCTV) 선별관제 솔루션 개발업체인 벡터시스는 자사 솔루션 상용화를 위해 법적 불확실성을 해소하고자 사전적정성 검토를 신청한 바 있다. 개인정보위는 현장 확인을 통해 솔루션이 사람의 쓰러짐, 추락 등 산업재해·안전과 관련된 상황이나 통제구역 침입, 배회 등 보안·방범과 관련된 상황만 발췌해 관제·녹화할 수 있는 선별관제 기능을 확인했다. ▲해당 기능을 활용해 사건·사고 장면만 원본영상을 표시·녹화하고, 나머지 일상적 장면에 관한 원본영상 정보를 별도 저장하지 않으며 ▲영상정보처리기기 관제 화면에 노출되는 사람의 영상은 아이콘 등으로 표시하고 촬영구역 내 정보주체들에게 운영 정책을 투명하게 공개하는 것을 전제로 근로자 감시 우려는 적고 사건·사고 예방·분석으로써 얻어지는 법익은 크다고 봤다. 영상정보처리기기 설치구역 내 정보주체의 동의 없이도 이를 운영할 수 있다고 판단했다. 또 동형암호(암호문 상태에서 합계·평균·회귀분석 등 연산을 할 수 있는 암호기술) 기반 데이터분석 솔루션을 제공하는 디사일로와 금융 마이데이터 사업자인 뱅크샐러드가 '동형암호 연산으로 산출된 통계값을 활용하는 경우 가명처리에 해당하는지'에 관한 사전적정성 검토를 신청한 바 있다. 개인정보위는 뱅크샐러드가 동형암호화한 데이터를디사일로의 분석 시스템(데이터 클린룸)으로 이전하고 디사일로는 분석 시스템에 접속한 외부 연구자에게 통계분석을 할 수 있는 환경을 제공했다는 것을 확인했다. 또 동형암호 연산 결과 산출된 통계값만을 반출한다는 것과, 암·복호화 키(key)를 뱅크샐러드만 보유하고 있어 디사일로 및 외부 연구자들은 데이터 원문을 볼 수 없다는 사실도 확인했다. ▲안전한 암·복호화 키(key) 관리 방안을 마련하고 ▲해당 동형암호문은 통계 목적으로만 활용하며 ▲통계값으로부터 원문을 추론하지 못하도록 통계모수를 '20명 이상'으로 제한하는 등의 요건을 충족하는 경우, 적법한 가명처리에 해당할 수 있다고 판단했다.

2024.01.25 10:19이한얼

개인정보 유출 한국고용정보원·한국장학재단에 과태료 제재

개인정보위원회가 한국고용정보원과 한국장학재단에 각각 840만원의 과태료 부과 결정을 내렸다. 이른바 '크리덴셜 스터핑' 방식의 해킹 공격에 의해 양기관이 다수의 개인정보를 유출했다는 이유다. 개인정보위는 지난 24일 전체 회의를 열고 이같은 조치를 취했다고 25일 밝혔다. 아울러 시스템 보안 대책도 정비하도록 개선권고하기로 결정했다. 개인정보위는 지난해 6월에서 7월 한국고용정보원의 구인·구직 사이트 '워크넷'에 신원 미상의 자가 '크리덴셜 스터핑' 방식으로 침입해 23만 6천여 명의 개인정보가 유출된 사실을 확인했다. 한국장학재단 홈페이지의 경우에도 동일한 방식에 의해 3만2천여 명의 개인정보가 유출된 사실이 확인됐다. '크리덴셜 스터핑'은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 중 하나다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다. 두 기관 모두 24시간 감시·모니터링 체계는 갖추고 있었으나, 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 밝혀졌다. 개인정보위 조사결과에 따르면, 워크넷에는 국내외 26개 아이피(IP)를 통해 1초당 최대 166회, 총 4천500만 번 이상 로그인 시도가 있었고 이중 56만 번 로그인에 성공(성공률 1.25%)한 기록이 확인됐다. 한국장학재단 홈페이지에는 국내외 44만여 개 아이피를 통해 1초당 최대 240회, 총 2천100만 번 이상 로그인 시도가 있었고 이중 3만 6천 번 로그인에 성공(성공률 0.17%)한 기록이 확인됐다. 사건 이후 두 기관은 보안 대책 설정을 재정비하는 등 위반 사항을 시정하는 한편, 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다. 개인정보위 관계자는, "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템의 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다"고 밝혔다.

2024.01.25 10:17이한얼

[인사] 개인정보보호위원회

◇ 국장급 전보 ▲ 기획조정관 고은영

2024.01.23 16:15이한얼

개인정보위 "털린 내 정보 찾기로 정보유출 확인하세요"

개인정보보호위원회는 '털린 내 정보 찾기' 서비스를 통해 직접 자신의 계정정보 유출 여부를 확인하고, 본인의 계정정보를 변경하는 등의 자발적인 조치가 필요하다고 19일 밝혔다. 최근 국내기업·기관들을 대상으로 한 크리덴셜 스터핑 공격, 생성형 인공지능(AI)을 활용한 공격 등이 고도화하고 있다. 실제 웹사이트 한 곳에서 확보한 아이디와 비밀번호를 여러 다른 인터넷 서비스에서 무작위로 대입해 계정정보를 해킹하는 '크리덴셜 스터핑' 공격 신고는 2022년 1건에서 지난해 18건으로 늘었다. '털린 내 정보 찾기' 서비스는 이용자가 평소 온라인 상에서 사용하는 계정정보(아이디, 암호)를 입력하면, 해당 정보가 다크웹 등 음성화 사이트에서 불법유통 됐는지 확인할 수 있는 서비스다. 서비스 개시 후, 현재까지 총 140만여 명이 이용, 이 중 7.2%인 10만여 명이 본인의 계정정보 유출 사실 확인했다. 한번 유출된 계정정보는 다크웹 등 음성화 사이트에서 불법유통 되면서 명의도용, 보이스피싱 등 각종 범죄에 활용되어 2차 피해를 유발한다. 특히 이용자들은 편의를 위해 여러 사이트에서 동일한 계정정보를 사용하는 경우가 많아, 하나의 계정정보가 유출될 경우 연쇄적인 피해 가능성이 크다. 계정정보 유출이 확인된 경우, 이용자는 계정정보 변경 등의 조치를 통해 추가적인 피해 확산을 방지할 수 있다. 아이디‧암호를 알지 못하는 경우, 개인정보포털의 '정보주체 권리행사(웹사이트 회원 탈퇴)' 서비스를 이용해 사용하지 않는 웹사이트의 회원 탈퇴를 할 수 있다.

2024.01.19 12:15이한얼

개인정보위, '공공기관 개인정보 보호수준 평가제' 3월 시행

개인정보보호위원회가 개인정보 보호수준 평가대상을 확대하고 평가체계를 강화한 '공공기관 개인정보 보호수준 평가제'를 올해 3월 15일부터 시행한다고 18일 밝혔다. 우선, 평가대상 공공기관이 1천600여개로 대폭 늘어난다. 이는 관리수준 진단과 비교해 두 배가량 늘어난 것으로, 기존 관리수준 진단 대상에 중앙행정기관의 소속기관과 시도 교육청·교육지원청 등이 추가된다. 개인정보위는 이후에도 민감정보 및 대규모 개인정보를 처리하거나 유출 사고가 발생한 공공기관 등 보호수준 평가가 필요하다고 판단하는 기관을 지속적으로 평가대상 범위에 포함할 계획이다. 또한, 평가 및 환류 체계가 대폭 강화된다. 법 개정사항 및 기관 특성 등을 반영한 평가지표를 개발해 반영하고, 개인정보 보호 업무에 대한 기관 차원의 관심도와 노력도에 대한 평가를 확대한다. 아울러 평가에 대한 신뢰도를 높이기 위해 주요 사항에 대한 전문가 현장검증도 실시한다. 이외에도, 평가자료 제출에 대한 제재 조치가 도입돼 정당한 사유 없이 자료를 제출하지 않거나 거짓으로 제출한 경우 과태료를 부과할 수 있다. 2024년 보호수준 평가는 오는 4월 평가계획을 수립해 각 기관에 알리는 것을 시작으로 내년 3월까지 이어질 계획이다. 한편, 2023년 관리수준 진단 결과는 오는 3월에 발표될 예정이다. 양청삼 개인정보위 개인정보정책국장은 “보호수준 평가제가 단순히 공공기관의 개인정보 관리실태를 점검하거나 관리수준을 비교 평가하는 데 그치지 않고, 공공기관 스스로 국민이 신뢰할 수 있는 개인정보 보호 관리체계를 갖춰나가는 계기가 될 수 있도록 운영할 것”이라고 말했다.

2024.01.18 12:05이한얼

개인정보위, '마이데이터' 인프라 구축에 152억 투입

개인정보보호위원회는 마이데이터 제도의 시행을 위해 올해 준비 예산 152억원을 확보하고, 마이데이터의 기술적·제도적 인프라 구축을 본격 추진한다고 밝혔다. 마이데이터 제도는 정보 주체가 본인에 관한 개인정보를 원하는 곳으로 전송해 본인 의사에 따라 개인정보를 관리하고 활용하는 제도다. 개별법에 근거해 금융, 공공 분야에서 먼저 시행된 데 이어, 지난해 법 개정으로 전 분야로 확대할 수 있는 법적 근거가 마련됐다. 올해 추진 주요 과제는 ▲선도서비스 발굴 ▲전송 인프라 구축 ▲마이데이터 지원 플랫폼 구축 등이다. 기업들이 마이데이터를 활용해 국민이 체감할 수 있는 선도 서비스를 발굴, 검증하고 이를 사업화하는 데 예산 25억원이 투입된다. 공모 및 심사를 통해 선정된 기업에는 일정 비율을 매칭해 정부 예산을 지원할 예정이다. 전송 인프라 구축도 추진한다. 정보제공자인 개인정보 보유 기업·기관, 중계기관, 정보수신자인 마이데이터 사업자 등 간의 세부 전송기술 규격 및 절차 등을 실증하기 위해 예산 약 15억원을 참여 사업자에게 지원한다. 실증사업을 통해 검증된 전송기술 규격에 따라 올해 하반기에는 다양한 정보제공자, 중계기관, 정보수신자별로 실제 전송 시스템을 구축할 수 있도록 추진할 예정이다. 정보주체의 개인정보 전송요구권을 종합적으로 지원하기 위한 '마이데이터 지원 플랫폼'도 구축될 예정이다. 마이데이터 지원 플랫폼은 본인의 전송 요구 현황과 전송 이력을 관리하고, 전송 요구 중단과 전송정보 파기 등을 요청할 수 있도록 지원한다. 이를 위해 올해 예산 75억원이 투입된다. 개인정보위는 내달 중 조달청 입찰공고를 통해 사업자를 선정할 계획이다. 개인정보위는 내년 통신, 유통, 의료 등 분야부터 마이데이터 제도를 적용하고, 이후 단계적으로 전 분야로 확대해나갈 계획이다. 이를 위해 전송 대상, 전송 방법과 절차, 안전성 확보 조치 등 정보 제공자와 수신자 등이 준수해야 할 제도적·기술적 사항을 담은 개인정보보호법 시행령과 고시, 가이드라인 등을 올해 마련할 예정이다. 이상민 범정부 마이데이터추진단장은 “다양한 이해관계자 및 관계부처와의 긴밀한 협력을 통해 '25년 마이데이터 제도 시행을 차질없이 준비할 것"이라며 "세계에서도 유례가 없는 전 분야 마이데이터가 우리 사회에 안착할 수 있도록 최선을 다하겠다”고 말했다.

2024.01.04 16:03김윤희

개인정보위 고학수 "프라이버시 걱정 없는 AI 만들 것"

고학수 개인정보보호위원회 위원장은 새해 신년사를 통해 인공지능(AI) 서비스를 신뢰하고 사용할 수 있도록 프라이버시 보호 체계 구축을 중점적으로 추진하겠다고 밝혔다. 고 위원장은 AI 기술이 뿌리내리기 위해선 사회적 신뢰 형성이 대전제라고 강조했다. 산업계와 국민에게 AI 활용 관련 애로사항에 대해 적극 소통하고, AI 관련 가이드라인 6종을 마련해 원칙 기반 AI 프라이버시 규율 체계를 실현하겠다고 했다. UN 및 주요 선진국과도 공조해 AI 국제 규범 마련에 선도적인 역할을 해야 한다고도 언급했다. 국내 데이터 거버넌스 구축도 올해 중점 추진사항으로 꼽았다. 고 위원장은 "개인정보 전송요구권이 내년 계획대로 시행되려면 이를 뒷받침해줄 기반 마련이 필수"라며 "전 분야 마이데이터의 차질 없는 시행을 위해 제도와 인프라 마련에 힘써주시기를 부탁드린다"고 말했다. 이어 "안전하고 유연한 개인정보 활용을 위해 '개인정보 안심구역'을 새롭게 도입하고 가명정보에 대한 지원체계도 강화해 스타트업과 연구자들의 혁신적인 서비스 개발을 지원하자"고 덧붙였다. 국민이 체감하는 개인정보 안전 사회 구현도 중점 추진사항으로 제시했다. 고 위원장은 "기업의 개인정보최고책임자(CPO)를 제도화해 민간의 안전한 개인정보 활용을 유인하겠다"며 "국민 생활 밀접 서비스의 개인정보 보호 실태를 집중 점검해 프라이버시 관련 국민 불안이 불거지지 않도록 해야할 것"이라고 언급했다.

2024.01.02 17:03김윤희