검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'정보유출'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

AI 기술로 술술 새는 정보 잡는다…지란지교데이터, '피씨필터 UEBA' 출시

지란지교데이터가 인공지능(AI) 기술로 정보 유출 이상행위를 찾아내 대응할 수 있는 새로운 솔루션을 앞세워 사업 확대를 본격화 한다. 지란지교데이터는 엔드포인트 DLP 및 개인정보 보호 솔루션 '피씨필터(PCFILTER)'에 AI 이상행위 탐지 기술을 접목해 고도화된 정보 유출 방지 체계를 구현하는 '피씨필터 UEBA'를 출시한다고 26일 밝혔다. 지란지교데이터는 과학기술정보통신부와 한국인터넷진흥원에서 진행하는 '2024년도 AI 보안 제품 및 서비스 사업화 지원사업'에 엘렉시와 컨소시엄으로 참가해 'AI 기반 정보유출 이상행위 탐지 기술 및 서비스 개발'을 추진했다. 이 사업은 국내 AI 보안 유명 기업의 성장을 지원해 사이버 보안 위협 대응 역량을 강화하고, AI 기반의 차세대 보안 사업을 활성화하기 위해 추진되고 있다. 지란지교데이터 컨소시엄은 DLP 솔루션의 정보보호 체계를 확장하기 위해 AI 기반 이상행위 탐지 기술 개발에 나섰다. 기존 DLP 솔루션의 경우 사전 정의된 패턴에 따라 유출 이벤트를 단위별 탐지에 제한적으로 적용할 수밖에 없다. 또 웹사이트 URL, 애플리케이션 이름 등의 기준의 단순 차단으로 미식별 영역이 증가할 수 있다는 점이 지적된다. 이러한 단점을 극복하고자 지란지교데이터는 AI 기술 기반의 사용자 행위 분석, 정보 유출 행위 사전 예측을 접목했다. '피씨필터 UEBA'는 기존에 학습된 사용자 정상 행위 데이터를 바탕으로 정보 유출 이상 행위를 탐지한다. 엔드포인트 DLP 에이전트에서 수집된 사용자 행위를 학습 및 분석하고, 이를 토대로 정보 유출 행위를 사전에 예측해 사고를 방지한다. 또 실시간 모니터링을 통해 위험에 노출된 정보자산을 자동으로 암호화하는 등 보호 조치를 적용할 수 있도록 지원한다. 정보보호 담당자는 관리자 페이지를 통해 시각화된 정보를 확인함으로써 식별된 정보 유출 의심 행위를 확인하고 대응할 수 있다. 또 정보 유출 의심 행위에 대해서는 가변적이고 자동회된 정책으로 대응할 수 있도록 지원한다. '피씨필터 UEBA'를 도입하면 기존 DLP 솔루션 대비 유출 이벤트 제어 영역을 확장함으로써 더욱 고도화된 정보 유출 방지 체계 구현이 가능하다. 비지도 학습이 가능한 딥러닝 네트워크 기반으로 솔루션 구축 기간도 단축할 수 있다. 또 이상 행위 탐지의 정확도를 높이기 위해 사용자 피드백 제공, 비정상 행위 탐지 보정, 이상패턴 저장 등을 지원한다. 지란지교데이터는 'AI 기반 정보유출 이상행위 탐지 기술 및 서비스 개발 사업'이 올해 마무리됨에 따라 2025년부터 공격적인 사업 확대를 추진한다는 전략이다. 유병완 지란지교데이터 대표는 "데이터 및 개인정보 보호 체계를 고도화할 수 있도록 기술 개발을 지속하고 있다"며 "피씨필터에 AI 사용자 이상행위 분석 기술을 적용한 '피씨필터 UEBA'를 통해 한층 더 고도화된 정보 유출 방지 체계를 구축할 수 있도록 지원하겠다"고 말했다.

2024.11.26 11:27장유미

정부-민간 함께하는 개인정보 정책 소통의 장 열린다

개인정보보호위원회가 개인정보 유출사고 대응 방향을 마련하기 위해 소통의 장을 마련한다. 개인정보위는 오는 20일 오후 3시 은행회관 국제회의실에서 한국개인정보보호책임자협의회와 공동으로 개인정보 정책방향 공유 및 현장에서의 적용·우수사례 전파를 위해 '개인정보 정책포럼'을 개최한다고 10일 밝혔다. 이번 포럼은 개인정보 관련 업계의 높은 관심을 반영해 '개인정보 신산업 혁신 지원 제도 및 활용사례'와 '개인정보 유출사고 최근 경향과 대응방향'을 주제로 진행된다. 또 개인정보위의 주제발표, 공공·민간 영역 개인정보 보호책임자와 전문가가 참여하는 패널토론, 청중 질의·응답으로 구성될 예정이다. 첫 번째 세션에서는 개인정보위가 사전적정성 검토제도, 개인정보 안심구역, 규제유예제도 등 개인정보 분야 신산업을 지원하는 제도에 대해 설명한다. 이어 실제 각 지원제도를 활용한 토스, 뉴빌리티 등 민간기업과 국립암센터, 서울대병원 등 공공기관의 사례 발표를 통해 제도의 효과를 공유한다. 두 번째 세션에서는 개인정보위의 최근 개인정보 유출사고의 경향과 주요 처분사례 소개에 이어 필립모리스, 롯데렌탈 등 민간기업과 사회보장정보원 등 공공기관 소속 전·현직 보호책임자가 자사의 개인정보 정책을 공유한다. 또 법·기술 전문가가 사업자 대응체계에 관해 제언할 예정이다. 개인정보위는 "이번 포럼에서 협의회가 공동으로 발간한 '개인정보보호책임자 핸드북'을 현장에서 배포한다"며 "현업에 종사하는 보호책임자의 업무이해도를 높이는 데 활용할 계획"이라고 말했다.

2024.11.10 17:08장유미

"내 개인정보 줄줄 샌다"…4년간 개보위서 과징금 가장 많이 부과된 기업은

지난 4년간 개인정보보호위원회가 해킹으로 인한 개인정보 유출 148건을 처분한 가운데 가장 많은 과징금을 받은 기업으로 골프존이 꼽혔다. 11일 국회 정무위원회 소속 더불어민주당 조승래 의원이 개보위에서 제출 받은 자료에 따르면 지난 4년간 해킹으로 인한 개인정보 유출 148건 중 129건이 민간, 19건이 공공으로 조사됐다. 또 개보위는 62건에 대해 257억원의 과징금을 부과했다. 가장 많은 과징금을 받은 기업은 '골프존'으로 나타났다. 골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받은 후 '부실 대응' 지적을 받은 바 있다. 당시 최소 221만6천414명의 개인정보가 유출돼 과징금 75억원, 과태료 540만원을 부과받았다. 다음으로 많은 과징금을 부과 받은 기업은 LG유플러스로, 이용자 개인정보 29만7천117건이 유출됐다. 이로 인해 지난해 7월 과징금 68억원과 과태료 2천700만원이 부과됐다. 공공기관중에는 올해 9월 135만 명의 개인정보가 유출된 한국사회복지협의회가 과징금 4억8천만원과 과태료 540만원을 처분 받으면서 가장 많은 과징금이 부과됐다. 조 의원은 "디지털 시대가 발전할수록 해킹 기술도 따라 정교해지고 있어 개인정보 보호가 더욱 중요해지고 있다"며 "개인정보보호위원회가 사전에 개인정보 보호 컨설팅 등을 더욱 충실히 진행하고 발전하는 해킹 기술에 대응할 수 있는 방안을 연구해야 한다"고 강조했다.

2024.10.11 10:34장유미

개인정보 유출 없다던 골프존, 수십억 과징금 철퇴 맞았다

지난해 11월 해커에 의한 랜섬웨어 공격을 받은 후 '부실 대응' 지적을 받았던 골프존이 결국 정부로부터 수십억원의 과징금 철퇴를 맞았다. 지난해 9월 개인정보보호법이 개정된 후 실질적으로 적용된 첫 사례다. 개인정보보호위원회는 지난 8일 '제8회 전체회의'를 열고 개인정보보호 법규를 위반한 골프존에 대해 총 75억400만원의 과징금과 540만원의 과태료를 부과키로 했다고 9일 밝혔다. 동시에 시정명령 및 공표명령도 의결했다. 앞서 골프존은 지난해 11월 23일 랜섬웨어 공격을 받았다. 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다. 이로 인해 업무망 내 파일서버에 보관돼 있던 약 221만 명 이상의 서비스 이용자 및 임직원의 개인정보가 유출돼 큰 피해를 입었다. 일부는 주민등록번호(5천831명)와 계좌번호(1천647명)도 유출됐다. 국내 최대 스크린 골프 기업 골프존은 사고 이후 5일 동안 장애가 지속돼 곤욕을 치렀다. 또 초기에는 "개인정보 유출은 없다"고 주장했으나, 사고 발생 21일 만에 개인정보가 유출됐다고 시인해 논란이 되기도 했다. 일각에선 사태를 축소하려다가 피해를 키웠다는 지적도 나왔다. 실제 11월23일 랜섬웨어 사고 이후 골프존 회원들은 갑작스레 많은 피싱 문자를 받았다고 호소한 바 있다. 골프존은 12월13일 자사를 사칭한 피싱 문자가 발송되는 사례가 늘고 있다는 공지사항을 게재하기도 했다. 이와 관련해 개인정보위는 골프존이 ▲안전조치의무 ▲주민등록번호 처리제한 및 개인정보 파기 등을 위반했다고 결론을 내렸다. 개인정보위에 따르면 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다. 개인정보파일이 보관돼 있는 파일서버에 대한 주기적 점검 등 관리체계도 미흡하게 운영한 것으로 밝혀졌다. 구체적으로 코로나19로 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 허용했다. 그럼에도 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않았다. 이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐다. 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치도 소홀했다. 이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었던 것으로 파악됐다. 더불어 골프존은 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하고 있었던 것으로 조사됐다. 이에 보유기간이 경과되거나, 처리목적 달성 등 불필요하게 된 최소 38만여 명의 개인정보를 파기하지 않은 위반행위가 발각됐다. 이에 개인정보위는 골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과키로 했다. 또 같은 법 제21조에 따라 개인정보 파기의무를 준수하지 않은 행위에 대해서도 과태료 부과를 결정했다. 여기에 ▲회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립·시행 ▲공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수 ▲개인정보보호책임자의 위상과 역할 강화 ▲전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령했다. 또 이러한 사실을 홈페이지 등에 공표하도록 주문했다. 이번 처분은 개정된 개인정보보호법이 적용된 첫 사례다. 이 법은 지난해 기업 차원의 책임성을 강화하기 위해 과징금이 위반행위 관련 매출의 3% 이하에서 전체 매출의 3% 이하로 상향 조정됐다. 개인정보위 관계자는 "전통적으로 개인정보 처리가 많이 이루어지는 서비스 영역 뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례"라며 "이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다"고 밝혔다.

2024.05.09 12:00장유미

"민원 신청했더니 내 직장에 알렸다고?"…개인정보유출 피해, 어떻게 구제받나

#1. A씨는 B지방자치단체에 정보공개 요청을 했다. B지방자치단체는 A씨가 해당 지방자치단체의 산하기관 직원이라는 것을 알고는 해당 산하기관에 A씨가 정보공개를 신청한 사실을 알렸다. A씨는 이로 인해 정신적 피해를 보았다며 분쟁조정을 신청했다. 이후 분쟁조정위원회는 A씨의 정신적 고통을 인정해 손해배상금을 지급하도록 조정했다. #2. C씨는 군 복무기간중 국군병원에서 치료를 받았다. 제대 후 가족 중 한명이 신청인의 병상일지 사본 발급을 신청하자 군은 가족관계를 확인하고 병상일지 사본을 발급했다. 이에 C씨는 자신의 동의 없이 민감정보가 제3자에게 제공됐다며 손해배상을 요구하는 분쟁조정을 신청했다. 분쟁조정위원회는 부상 및 치료 등 민감정보가 제3자에게 제공된 것에 대한 정신적 손해를 인정해 손해배상금을 지급하도록 조정했다. 이처럼 국민들의 일상생활 속에서 지난 한 해 동안 발생한 여러 유형의 개인정보 분쟁에 대한 조정 사례가 공개됐다. 개인정보보호위원회는 분쟁조정위가 지난해 처리한 개인정보 분쟁을 엮은 사례집을 발간했다고 1일 밝혔다. 2001년 도입된 개인정보 분쟁조정제도는 개인정보 관련 분쟁을 소송 외적으로 원만히 조정하는 것이 목표다. 준사법적 심의기구인 분쟁조정위가 담당한다. 올해 발간된 사례집에는 실생활에서 자주 발생하는 사건들과 개인정보 처리 시 쉽게 간과될 수 있는 개인정보 권리 침해내용을 선별해 사례별로 사건개요, 합의 또는 결정 내용, 분쟁조정위의 조정의견 등이 담겨졌다. 또 ▲동의 없는 개인정보 수집·이용 ▲안전성 확보 조치 미비 ▲개인정보의 목적 외 이용 또는 제삼자 제공 ▲개인정보취급자의 누설, 유출, 훼손 ▲정보주체의 열람·정정·삭제 요구 불응 ▲보유기간 경과 또는 목적 달성 후 미파기 ▲기타 등 7개 유형의 사례 72건이 실렸다. 개인정보위는 최근 동의 없는 광고성 정보 전송으로 인한 분쟁조정 신청이 증가함에 따라 개인정보 침해와 불법스팸 공동대응 강화를 위한 개인정보위-방송통신위간 정책협의회를 구성해 개인정보 침해 피해구제 강화를 추진해 나가기로 했다. 더불어 지난 3월에는 개인정보 유출 등으로 침해를 받은 국민이 분쟁조정을 신청할 수 있도록 하기 위해 개인정보 유출사고가 발생하면 정보주체에게 이를 알리는 '개인정보 유출 통지문 표준 문안'에 분쟁조정위에 피해구제를 신청할 수 있음을 안내하는 문구를 추가했다. 이인호 분쟁조정위 위원장은 "디지털 시대에 개인정보에 대한 분쟁은 더욱 복잡하고 다양해 질 것"이라며 "분쟁조정위는 작년에 개선된 분쟁조정제도를 더욱 효율적으로 운영해 실효적인 피해구제 기구로서 그 역할을 다할 수 있도록 최선의 노력을 기울이겠다"고 말했다.

2024.05.01 17:53장유미