검색 - IT세상을 바꾸는 힘 지디넷코리아

KISIA, 정보보호 스타트업 협의체 발족

정보보호 스타트업의 수요와 애로사항을 청취하는 소통창구가 생겼다. 한국정보보호산업협회(회장 조영철, 이하 KISIA)는 정보보호 스타트업 육성 정책에 산업계 의견을 적극 반영하기 위해 '정보보호 스타트업 협의체'를 발족했다고 15일 밝혔다. 과기정통부와 KISIA는 지난 3월 판교 정보보호 클러스터에서 차세대 정보보호 스타트업 간담회를 열었다. 후속 조치로 임차성 KISIA 수석부회장(시큐레터 대표)이 의장을 맡아 국내 유망 정보보호 스타트업 16개사로 정보보호 스타트업 협의체를 만들었다. 정보보호 스타트업 협의체는 분기별 간담회를 개최해 차세대 우수 정보보호 스타트업 발굴과 육성을 위한 사업 고도화 전략을 수립한다. 정보보호 스타트업 경영 애로사항 의견을 수렴해 정부에 전달하는 역할을 수행한다. 특히 정보보호 스타트업의 성장 단계별 맞춤형 액셀러레이팅 프로그램을 체계적으로 추진한다. 정보보호 스타트업의 비즈니스 확대와 자립을 위한 정책 및 제도 개선을 적극 추진하는 역할을 한다. 정보보호 스타트업·산업계 선배 기업·정부·학계 등과 네트워킹 기회를 확대해 정보 교류 및 다양한 협업을 추진한다. 협의체 내 소통 시스템을 구축해 정보보호 산업 전반의 정보 공유를 활성화 할 예정이다. 이날 행사에서는 발족식 참가 스타트업 10개사의 엘리베이터 피치(Elevator Pitch)와 정보보호 스타트업 우수사례 및 스타트업 운영 애로사항을 공유하며 협의체 결성 목표를 다졌다. 임차성 의장은 “정보보호 스타트업 협의체는 정보보호 산업 생태계를 활성화하는 협력의 장과 소통 창구의 역할로, 일회성이 아닌 연속성 있는 활동으로 정보보호 산업 성장에 이바지 할 것” 이라고 밝혔다.

2024.04.15 13:19김인순

개인정보위, '제2기 가명정보 전문가 집단' 신규 모집

정부가 안전한 데이터 활용을 지원할 전문가 조직을 신설한다. 조직은 컨설팅, 교육사업 등에서 적극 활동하게 될 예정이다. 개인정보보호위원회와 한국인터넷진흥원은 '제2기 가명정보 전문가 집단'을 오는 5월 10일까지 모집한다고 14일 밝혔다. 이번 전문가 집단 모집은 올해 6월말로 임기가 끝나는 제1기 전문가 집단을 새롭게 정비하는 차원이다. 신청 접수 후 경력 등 자격요건에 대한 검증을 거치거나, 외부 추천을 받은 전문가 등을 포함해 200명 이내로 선발할 예정이다. 개인정보위는 전문성을 갖추고 현장 경험이 풍부한 전문가 확보를 위해 선발방법도 다각화했다. 공고를 통한 선발 외에도 실적이 우수한 제1기 전문가 및 데이터 전문기관 등에서 추천받은 전문가도 포함할 계획이다. 선발된 전문가는 2년간 '개인정보보호위원회 가명정보 전문가 집단(풀)'으로 가명정보 지원 플랫폼을 통해 공개된다. 가명정보 검증심사(적정성 평가 등), 컨설팅, 교육사업 등에서 적극 활동하게 될 예정이다.

2024.04.14 15:03이한얼

KISA, ISMS-P 신규 인증 심사원 자격검정 시행

한국인터넷진흥원(KISA)이 정보보호 및 개인정보보호 관리체계(ISMS-P) 신규 심사원 양성에 필요한 실무 일정을 확정했다. KISA는 2024년도 정보보호 및 ISMS-P 신규 인증 심사원 양성을 위한 서류 전형을 이달 22일부터 26일까지 진행한다고 12일 밝혔다. 필기 전형은 7월 실시할 예정이다. ISMS-P는 정보통신 서비스를 안전하게 운영하고 개인정보 및 주요 정보자산의 유출에 따른 피해를 예방하는 제도다. 이 제도는 기업·기관에서 수립·관리·운영하고 있는 일련의 조치와 활동의 적합 여부를 심사해 인증한다. 올해 6회째를 맞이한 ISMS-P 신규 인증 심사원 자격검정은 전문성과 기본 소양을 겸비한 인증 심사원을 발굴하기 위해 필기전형을 실시한다. 필기전형 합격자에 한해 실무교육 후 실기 전형을 통해 최종 합격 여부를 결정한다. 오진영 KISA 디지털안전본부장은 "디지털 서비스의 안전 확보를 위해 우수한 역량과 전문성을 두루 갖춘 ISMS-P 인증 심사원을 발굴하는 데 최선을 다하겠다"며 "KISA는 국민의 안전한 디지털 서비스 이용에 기여할 수 있도록 지속해서 노력할 계획"이라고 말했다.

2024.04.12 15:27이한얼

식음료업계도 전문 CPO 영향권…CJ제일제당·hy 대상

개정 개인정보보호법 시행으로 플랫폼을 운영하는 일부 식음료 업체들도 일정 자격을 갖춘 전문 개인정보보호책임자(CPO) 지정 대상이 됐다. 전문 CPO을 선임해야 하는 기준은 연 매출액 1천500억원 이상이면서 100만명 이상의 개인정보를 처리하는 곳이다. 그동안 CPO는 일정 자격이나 경력 요건이 없는 '임원급 인사'가 맡아 왔다. 하지만 전문CPO 제도가 시행되면서 개인정보보호와 정보 기술 경력 등을 4년 이상 보유해야 하며, 그 중 최소 2년 이상 개인정보보호 경력을 갖고 있어야 한다. 11일 관련업계에 따르면 식음료업계가 운영 중인 플랫폼 중 전문CPO 지정 요건이 되는 곳은 CJ제일제당의 'CJ더마켓'과 hy(옛 한국야쿠르트)의 'hy프레딧'이다. CJ더마켓의 누적 가입자 수(2월 기준)는 370만명이며 hy프레딧도 회원 수가 170만명을 넘어섰다. CJ제일제당는 현재 전문 CPO를 선임했다고 밝혔다. hy는 전문CPO 지정까지 유예 기간 내에 현 법규를 준수하겠다는 입장이다. 개정 법이 시행됐지만 전문CPO 선임까지는 2년의 유예 기간이 부여됐기 때문이다. 전문CPO 지정에 유예기간을 둔 것에 대해 개인정보보호위원회 양청삼 개인정보정책국장은 "새롭게 도입되는 제도가 민간에 부담을 줄 수 있으며, 유예기간을 안두게 되면 멀쩡히 기존 제도에서 CPO로 인정돼서 업무를 수행하고 있는 분들이 해고되거나 위법 상태가 된다"고 말했다. 또 그는 "전문CPO 지정의 경우 대기업이 다수 포함될 것으로 보이며 개인정보 유출이나 사고가 발생 시 전문CPO 조건을 갖췄는데 하지 않았다고 하면 더욱 더 개인정보유출의 책임을 물게 될 것"이라고 설명했다. 반면 전문 CPO 지정 대상이 아닌 식음료업체들은 다양한 사업군을 총망라하는 임직원이 개인정보보호책임자로 지정돼 있다. 롯데칠성음료 '칠성몰', 롯데웰푸드 '푸드몰' '스위트몰'은 100만명 이상의 개인정보를 보유하고 있지 않아 전문CPO 지정을 하지 않아도 된다. 농심의 '농심몰'은 가입자 수를 공개하고 있지 않지만 전문CPO 지정과는 무관하다고 말했다. 농심몰의 CPO는 경영지원실장이 롯데푸드몰은 전산관리총괄 임원이 맡고 있는 것으로 확인됐다.

2024.04.11 17:05손희연

오내피플, 개인정보 보호 강화…손해배상 책임보험 가입

오내피플이 고객의 개인정보 보호를 더욱 강화하기 위한 사고대응 체계를 구축한다. 오내피플은 '개인정보손해배상' 책임보험에 가입했다고 8일 밝혔다. 이로써 개인정보 처리 과정에서 발생하는 예상치 못한 데이터 유출이나 보안 사고 발생 시, 피해를 본 고객에게 최대 10억 원의 배상을 지급할 수 있는 보장을 제공한다. 오내피플은 보험 가입 외에도 국제 정보보호 및 개인정보보호 관리체계 인증, 클라우드 보안 인증 등 4종을 동시 획득해 3년 이상 유지했다. 또한 매월 보안 교육 및 인식 캠페인을 통해 직원들의 보안 의식을 높이는 노력 등을 통해 고객의 개인정보 보호에 앞장서고 있다. 조아영 오내피플 대표는 "고객의 개인정보 보호를 기업 운영의 핵심으로 삼고 있으며, 이번 보험 가입을 통해 고객들이 서비스를 안심하고 이용할 수 있게 되기를 바란다"며 "개인정보보호 시장을 선도하는 기업의 책임 강화와 함께 서비스의 안전성 확보를 위해 더욱 노력할 것"이라고 설명했다.

2024.04.08 14:56이한얼

"개인정보 길라잡이"…정부, '해외사업자 개인정보법 적용 안내서' 발간

정부가 국민의 개인정보보호를 위해 해외사업자가 준수해야 할 개인정보보호법 길라잡이를 마련했다. 개인정보보호위원회는 '해외사업자의 개인정보 보호법 적용 안내서'를 발간했다고 4일 밝혔다. 안내서에선 개인정보보호법의 적용 대상이 되는 해외사업자의 유형을 크게 세 가지로 나눴다. 구체적으로 ▲해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우 ▲해외사업자의 개인정보 처리가 한국 정보주체에게 영향을 미치는 경우 ▲해외사업자의 사업장이 한국 영토 내에 존재하는 경우 등이다. 안내서엔 개정 개인정보보호법과 관련해 해외사업자가 특히 유의해야 할 사항에 대한 법적의무 이행도 담았다. 해외사업자도 국내사업자와 마찬가지로 정보주체의 개인정보 유출을 인지한 후 72시간 내 개인정보위에 신고해야 하고, 해당 정보주체에게 통지할 의무가 있다. 이때 구체적 내용 확인 전이라도 해당 시점까지 알게 된 내용을 중심으로 우선 통지·신고해야 한다. 또 해외에서 한국 정보주체의 개인정보를 처리할 경우, 처리 사실과 해당 국가·사업자명 등을 명확히 기재할 의무가 있다. 정보주체에게 열람되는 개인정보 처리방침은 개인정보보호법에서 정한 항목을 모두 포함해 가독성을 높일 필요가 있다. 아울러 국내 법인이 존재하는 해외사업자가 국내대리인을 지정해야 하는 경우, 해당 법인을 우선 국내대리인으로 지정하는 것이 바람직하다. 안내서는 개인정보위 홈페이지와 개인정보 포털 등에서 확인할 수 있다. 영문 안내서도 이달 중 홈페이지 등에 게시할 계획이다. 개인정보위 관계자는 "글로벌 온라인 서비스가 보편화된 환경 하에서 국내·외 사업자를 막론하고 보호법은 동일하게 적용된다"며 "이번 안내서를 계기로 해외사업자가 국내의 법적 요건을 좀 더 깊이 이해하고 준수해 우리 정보주체의 개인정보를 안전하게 보호하는 데 기여해줄 것"을 당부했다.

2024.04.04 16:43이한얼

KISA, 아세안 국가에 'K보안' 기술 전수한다

한국인터넷진흥원(KISA)이 동남아시아 국가들을 대상으로 온라인 보안 교육 사업을 펼친다. KISA는 4월부터 한-아세안(ASEAN) 협력기금 지원으로 아세안 사이버 쉴드(ACS) 제1차 온라인 교육을 5개월간 진행한다고 2일 밝혔다. 아세안 사이버 쉴드(ACS) 온라인 교육 사업은 아세안 역내 정보보호 역량 강화를 목적으로 2023년부터 추진 중인 아세안 사이버 쉴드(ACS) 프로젝트의 주요 사업이다. 올해부터 연 2회(차수별 5개월), 총 2년간 진행할 예정이다. 이 교육 사업은 아세안 교육 현황 조사 결과를 바탕으로 현지 특화 교육과정과 실습 중심 콘텐츠를 제공한다. 차수별 아세안 소속 9개국, 81명의 대학생이 전문가로 성장할 수 있도록 지원한다. 주요 교육 내용은 ▲정보보안 기초, 네트워크 보안, 취약점 분석, 모의해킹 등 기초 과정 9과목 ▲웹 취약점, 시스템 취약점, 디지털포렌식, 악성코드 분석, 침해 대응 등 심화 과정 5분야로 구성된다. 또 기초부터 심화까지 교육생이 단계별·수준별 학습이 가능하도록 운영할 예정이다. 권현오 KISA 디지털산업본부장은 "ACS 온라인 교육과정 운영으로 아세안 내 정보보호 역량 강화를 지원해 역내 디지털 안전과 보안 선진국으로서 한국의 위상을 높이는 데 기여하겠다"고 말했다.

2024.04.02 14:27이한얼

KISA, 정보보호 역량 강화…케이쉴드 교육 실시

한국인터넷진흥원(KISA)이 정보보안 산업계 재직자들을 대상으로 정보보호 역량 강화에 나선다. KISA가 고용노동부, 한국산업인력공단과 함께 정보보안 산업계 재직자를 대상으로 2024년 최정예 정보보호 전문인력 양성(K-Shield, 케이쉴드) 교육을 실시한다고 1일 밝혔다. 케이쉴드는 취약점 및 악성코드 분석, 모의 침투 등 침해사고 대응 기술력 강화를 위한 실무 중심의 교육으로 실시되고 있다. 이를 통해 디지털경제 가속화로 지능화되는 사이버 공격에 대응할 수 있는 고급 수준의 보안 인력을 양성하고 산업계의 인적 경쟁력을 강화하고 있다. 올해 교육은 ▲운영 보안 ▲보안 컨설팅 ▲침해사고 대응 ▲모의해킹 ▲악성코드 분석 ▲디지털 포렌식 ▲클라우드 보안 ▲WEB·SW 개발 보안 과정으로 구분해 총 8개 분야 59개 과정으로 실시한다. 초급(K-Shield Start)부터 최고급(K-Shield Pro+) 과정까지 총 5단계의 수준별 맞춤형 교육으로 전면 개편했다. 특히 K-쉴드 인증서 취득을 위한 특화(K-Shield Special) 과정을 신설했다. 최종 인증서 평가를 통과하면 한국인터넷진흥원장이 인정하는 최정예 사이버보안 전문가(K-Shield) 인증서를 발급한다. 박정환 KISA 보안인재단장은 "안전한 디지털 전환과 정보보호 산업 활성화를 위해서는 정보보호 전문 인력 양성이 매우 중요하다"며 "이번 교육을 통해 산업 현장의 요구에 맞는 최정예 사이버보안 전문가를 양성해 기업의 정보보안을 강화하는데 기여하겠다"고 말했다.

2024.04.01 12:00이한얼

"성인 10명 중 9명 개인정보 중요"…확인되지 않은 이메일 미열람

성인 10명 중 9명은 개인정보 보호를 중요하게 생각하고 출처가 분명하지 않는 이메일은 열어보지 않는 것으로 나타났다. 개인정보보호위원회는 개인정보처리자의 개인정보 보호·활용 실태 및 정보주체의 개인정보보호 인식 등을 담은 '2023년 개인정보보호 및 활용조사' 결과를 28일 발표했다. 이번 조사는 지난해 10월 5∼17일 공공기관 1천200개, 민간기업체 6천 개와 9세 이상∼79세 이하 내국인 3천 명을 대상으로 진행됐다. 성인의 94.3%, 아동·청소년의 91.7%가 개인정보 보호를 중요하게 생각한다고 답했다. 제공하기를 주저하는 개인정보는 성인과 아동·청소년 공통적으로 '고유식별정보'(각 37.4%, 21.1%), '인적사항'(각 32.0%, 57.6%) 등이다. 개인정보보호를 위한 노력은 성인의 경우 '비밀번호 주의 관리'(66.8%), 아동·청소년의 경우 '이름, 전화번호 등을 아무에게나 가르쳐주지 않음'(84.9%)을 가장 많이 꼽았다. 공통적으로는 '출처가 분명하지 않은 자료는 다운로드하지 않고, 의심스러운 메일은 열지 않음'(각 58.7%, 67.7%) 순이다. 개인정보를 활용하는 공공기관과 민간기업 모두 '내부관리계획'을 수립·시행했다는 응답(각 97.3%, 84.2%)이 가장 많았다. '접근권한 최소화 및 차등부여'(각 84.4%, 65.7%), '개인정보에 대한 접근 통제'(각 78.5%, 52.9%) 순으로 나타났다. 개인정보 활용 부문에서는 공공기관의 37.1%, 민간기업의 23%가 가명처리 또는 가명정보 제공·활용 경험이 있거나 향후 계획이 있는 것으로 조사됐다. 개인정보위는 "조사 결과를 토대로 국민과 기업이 체감할 수 있는 정책을 수립할 것"이라며 "급속한 디지털 전환에 따른 환경변화를 잘 반영할 수 있도록 조사 문항을 고도화해 보다 면밀한 조사가 이뤄질 수 있도록 노력하겠다"고 말했다.

2024.03.28 14:47이한얼

KISIA, 제4기 대학생 기자단 모집…"정보보호 현장 인식 개선 도모"

한국정보보호산업협회(KISIA)가 대학생과 함께 정보보호 산업 현장 인식 개선에 나선다. KISIA는 제4기 대학생 기자단(KISIA Security Reporter·KSR)을 모집한다고 27일 밝혔다. KISIA 대학생 기자단은 정보보호 산업 현장에 대한 정보를 국민에게 전달해 인식 제고 및 저변 확장에 기여하는 역할을 수행하게 된다. 정보보호를 주제로 다양한 홍보 콘텐츠를 제작할 기회도 주어진다. 정보보호 산업 동향과 협회 사업에 관심이 있는 대학생이라면 누구나 참여가 가능하다. 전공 및 휴학 여부에 관계 없이 글쓰기 역량을 갖추고 있다면 지원할 수 있다. 기자단은 4월 발대식을 시작으로 12월까지 약 8개월 간 활동하게 된다. 산업동향, 행사 및 교육, 기업 탐방, 산업계 재직자 인터뷰 등을 기반으로 작성한 기사는 협회 공식 홈페이지와 사회관계망서비스(SNS) 등 온라인 매체에 게시된다. 모집 기간은 오는 4월 5일까지다. 특히 이번 기수에게는 현직 기자로부터 멘토링을 받는 프로그램이 제공된다. KISIA는 '이달의 기자' 제도를 신설해 매월 우수 기자에게 상품을 지급하고, 연말 최우수 기자를 선정해 협회장상을 수여할 예정이다. 조영철 KISIA 회장은 "대학생 시선에서 국민 눈높이에 맞는 콘텐츠를 제공해 정보보호 산업에 대한 접근성과 이해도를 높일 것으로 기대한다"고 말했다.

2024.03.27 15:33이한얼

개인정보보호법학회 'AI·데이터 시대, 개인정보 집행체계 한계와 과제' 세미나 개최

개인정보보호법학회(회장 김현경 서울과학기술대 교수)는 29일 오후 2시부터 한국프레스센터 기자회견장에서 '개인정보 집행체계의 한계와 과제'란 주제로 세미나를 개최한다. 이날 최요섭 한국외대 교수는 '개인정보 보호법과 경쟁법의 충돌과 조화'란 주제로 최근 유럽을 중심으로 개인정보 감독기관과 경쟁당국 간의 갈등과 공조 사례를 소개할 예정이다. AI·데이터 기반 환경에서 개인정보 보호법(GDPR) 위반 조사는 개인정보 감독기관만의 역할이 아니라 경쟁 당국의 기능이 될 수 있다는 사례, 또 개인정보 보호정책을 강화하는 것이 광고시장에서 자사를 우대해 경쟁자를 배제하는 시장지배력 남용행위가 될 수 있음을 구글의 프라이버시 샌드박스 사례 소개와 함께 고찰할 예정이다. 결국 강화된 정보주체의 데이터 통제규범이 반드시 소비자 주권·후생에 정비례하지 않을 수 있으므로 통합적 관점에서 바람직한 개인정보 집행체계의 모색이 필요함을 제안할 예정이다. 이어 부산대 법전원 김현수 교수는 '소비자 보호와 정보주체의 권리 집행체계'를 주제로 발표할 예정이다. 김 교수는 미국 FTC를 중심으로 이뤄지는 민간 영역에서의 개인정보 집행체계를 소개하면서, 민간의 혁신과 자율을 증진하면서 소비자의 권익을 보호하는 방안으로 연성법(Soft Law)과 자율규제의 중요성을 소개할 예정이다. 특히 “FTC에 의한 소비자 프라이버시 제도 및 그 운용은 공정한 경쟁이라는 목적에 근거하는 것이며, 그 사고방식의 기초에는 자유로운 기업 활동에 의한 경쟁촉진이 있음”을 제시할 예정이다. 한편, 법무법인 동서양재의 김기중 변호사는 '정보인권의 바람직한 집행체계'를 주제로, 국가인권위원회와 개인정보보호위원회가 그간 각각 공공부문에서의 개인정보 문제를 어떻게 다뤄 왔는지 진단하고 향후 양 기관 간의 바람직한 공조 체계를 모색할 예정이다. 특히 최근 법무부가 출입국관리 고도화를 위해 내·외국인 약 1억7천만건의 안면 정보를 인공지능(AI) 학습에 이용한 것에 대해 개보위는 법 위반이 아니라는 결정을 내렸으나, 인권위는 향후 인권침해 위험성을 방지하기 위한 입법을 마련하기 전까지 공공기관은 이러한 기술을 도입⋅활용하지 않도록 하라는 권고를 내린 바 있다. 이처럼 양 기관의 다른 결정이 가지는 의미와 향후 과제 등을 소개할 예정이다. 이어 제2세션 '특별좌담(사회 김민호 성균관대 교수)'에서는 '한국 개보위 조직, 권한, 역할의 현실적 한계와 과제'란 주제로 학계, 소비자, 법률실무가의 열띤 논의가 이어질 예정이다. 마지막으로 제3세션에서는(사회 이해원 목포대 교수) 신진학자와 대학원생들의 발표와 토론이 이어질 예정이다. 특히 이번 신진학자 발표에서는 '인공지능 시대의 개인정보처리의 개념', '신뢰기반의 인공지능을 위한 개인정보 제도', '인공지능 학습용 데이터로써 공개된 개인정보의 수집과 이용 문제' 등 최근 인공지능과 관련된 첨예한 개인정보 이슈들이 다양하고 폭넓게 다뤄질 예정이다.

2024.03.27 09:31이한얼

카카오게임즈, 글로벌 개인정보보호 인증 'APEC CBPR' 취득

카카오게임즈(대표 조계현)는 글로벌 개인정보보호 인증인 '아시아 태평양 경제협력체 국경 간 프라이버시 규칙(Asia-Pacific Economic Cooperation Cross-Border Privacy Rules, 이하 'APEC CBPR')' 인증을 취득했다고 26일 밝혔다. 'APEC CBPR'은 APEC 회원국 간 안전한 개인정보 이전과 전자상거래 활성화 등을 지원하기 위해 만든 글로벌 개인정보보호 자율인증제도다. 인증 평가는 ▲개인정보 관리 체계 수립 ▲개인정보 수집 ▲개인정보 이용⋅위탁⋅제공 ▲정보주체 권리 ▲무결성 ▲보호 대책 등 50개의 인증 기준 항목에 맞춰 종합적으로 진행된다. 카카오게임즈는 개인정보보호 및 고객 민원 전문가들로 구성된 프라이버시 고객센터를 운영해 이용자의 개인정보 관련 권리를 투명하게 공개하고 권리 침해 시 즉각 대응할 수 있는 환경을 구축하고 있다. 이 회사는 지난해 10월 국내 최고 수준의 보안 관리 체계인 '정보보호 및 개인정보보호관리체계(ISMS-P)' 인증을 3년 연속 획득, 자사 게임 이용자들이 건전하고 안전한 환경에서 게임을 즐길 수 있는 우수한 보안 시스템을 갖추고 있다. 뿐만 아니라, 산하 유럽법인에서 국제표준화기구(ISO)와 국제전기기술위원회(IEC)에서 주관하는 글로벌 인증인 'ISO/IEC 27001', 'ISO/IEC 27018' 인증을 획득해 유지하고 있다. 카카오게임즈 관계자는 “글로벌 환경에 맞는 정보보안 및 개인정보보호 관리 시스템을 갖추고 있다는 점을 인정받아 기쁘다”며 “국내외 최고 수준의 보안 체계로 글로벌 시장에서의 서비스 경쟁력을 높이고 이용자분들에게 쾌적한 게임 서비스를 제공하겠다”고 전했다.

2024.03.26 11:22이도원

디지털 혁신 나선 금융권, 정보보호 관리 강화…ISMS-P 인증 '급증'

지난 2019년 인증제도가 통합 개편된 후 정보보호 관리체계(ISMS) 인증 건수가 최근 급증한 것으로 나타났다. 금융의 디지털 혁신 가속화에 발맞춰 정보보호 관리체계 운영의 중요성이 점차 부각되는 분위기다. 21일 금융보안원에 따르면 지난해 101개 금융회사에서 총 118건의 ISMS 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 것으로 나타났다. 2019년 대비 지난해 ISMS·ISMS-P 인증을 받은 건수는 약 40% 늘었다. 올해는 디지털 금융혁신의 가속화, 자율보안체계 확산, ESG 경영 강화 등으로 금융회사의 인증 수요가 대폭 증가할 것으로 보인다. 금융보안원은 전년 대비 10% 증가한 130건의 인증심사를 수행할 계획이다. 이에 맞춰 금융보안원은 오는 28일 화재보험협회에서 ISMS-P에 대한 활발한 참여를 지원하기 위해 인증 취득 기관과 인증심사원을 대상으로 금융 ISMS-P 인증 세미나를 개최한다. 김철웅 금융보안원 원장은 "금융서비스의 대외 공신력을 제고하고 금융소비자의 신뢰를 확보할 수 있도록 금융분야에 적합한 인증체계를 발전시키고 금융회사들의 인증 취득을 적극적으로 지원해 나갈 것"이라고 밝혔다.

2024.03.21 10:20이한얼

KTR, 국정원 보안기능시험 공인기관 지정

KTR(한국화학융합시험연구원·원장 김현철)은 국가정보원으로부터 보안기능시험제도 공인시험기관으로 지정받았다고 밝혔다. 보안기능시험제도 국정원이 지정한 시험기관에서 국가용 보안요구사항 만족 여부를 검증할 경우 보안적합성 검증절차를 생략할 수 있도록 한 간소화제도다. KTR의 보안기능확인서를 발급받은 정보보호시스템은 별도 보안적합성 검증 절차 없이 국가 공공기관에 제공할 수 있게 됐다. KTR은 이번 기관 지정으로 침입차단시스템·네트워크 접근통제제품·DB암호화제품·안티바이러스제품 등 정보보호시스템 보안기능 시험 확인서를 발급한다. 시험 확인서는 발급일로부터 5년간 유효하다. KTR은 과학기술정보통신부의 우수소프트웨어(GS) 지정 시험 인증기관과 정보보호제품인증(CC인증) 평가기관이기도 하다. 또 국내 시험기관 최초로 국제표준을 적용한 인공지능(AI) 소프트웨어 품질평가서비스를 제공하는 등 디지털 콘텐츠에서 보안기능 시험평가까지 소프트웨어와 관련 제품 시험평가를 원스톱으로 수행하는 국내 대표적인 소프트웨어 시험인증기관이다. 김현철 KTR 원장은 “이번 보안기능 시험기관 지정을 계기로 해당 기업은 국가 공공기관 납품을 위한 보안기능 시험 서비스를 보다 쉽게 받을 수 있게 됐다”며 “KTR은 앞으로도 기업이 새로 개발한 IT 보안제품이 국가와 공공기관에 보다 빠르고 쉽게 보급될 수 있도록 적극 도울 것”이라고 밝혔다.

2024.03.18 09:35주문정

[인사] 개인정보보호위원회

◇위촉 ▲개인정보보호위원회 위원 이문한

2024.03.08 17:07이한얼

정보보호 공시 활성화 위한 자율협의체 발족

기업 정보보호 공시제 이행과 신뢰성 향상을 위한 자율협의체가 발족했다. 한국인터넷진흥원(KISA 원장 이상중)은 과학기술정보통신부와 함께 정보보호 공시 내용의 신뢰성을 높이기 위해 회계법인 및 정보시스템 감리법인과 공시 사전점검기관 가이던스를 마련하고, 자율협의체를 구성했다고 8일 밝혔다. KISA는 공시 내용의 정확성 및 신뢰성 확보를 위해 정보보호 공시 사전점검 수행 경험이 있는 회계법인, 정보시스템 감리법인과 함께 기본사항을 담은 정보보호 공시 사전점검기관 가이던스를 마련했다. 가이던스는 사전점검 과정에서 대상 기업의 특성 등에 따라 판단 요소가 적용될 수 있음을 고려한다. 사전점검의 신뢰성과 점검 과정의 전문성, 투명성 등을 높이는 것이 목적이다. 가이던스는 총 5개의 장, 12개의 조문으로 구성되어 있다. 사전점검의 품질 제고를 위한 기준 및 방법과 공정성 확보를 위한 이해상충방지 방안 마련 등을 제시한다. KISA는 가이던스 마련과 함께, 회계법인 및 정보시스템 감리법인 20개 사가 자율적으로 참여하는 가이던스 협의체를 구성해 가이던스 준수를 선언했다. 협의체는 가이던스 준수를 통한 사전점검 전 과정에 걸쳐 전문성·신뢰성 강화 이외에도 공시 제도 개선 방안을 마련한다. 점검단 활동을 지원하는 등 공시 제도의 실효성을 제고하기 위한 다양한 활동을 추진한다. 정보보호 공시 사전점검기관 가이던스 및 자율협의체 참여 기관은 정보보호 공시 종합 누리집에서 확인 할 수 있다. 오동환 KISA 보안산업단장은 "앞으로 더욱 내실 있는 사전점검이 이뤄질 수 있도록 가이던스를 활용하고, 자율협의체의 활동을 지원해 나가겠다"고 말했다.

2024.03.08 15:30김인순

AIC, 韓 보안 전시회서 新 GPU 서버 최초 공개

AIC가 신제품 GPU 서버인 CB201-B5와 CB401-TU를 국내에서 최초 공개한다. AIC가 오는 20일부터 22일까지 일산 킨텍스에서 개최되는 '세계 보안 엑스포(SECON) & 전자정부 정보보호 솔루션 페어(eGISEC) 2024'에 참가한다고 8일 밝혔다. AIC는 이번 박람화에서 최신 서버 및 스토리지 기술을 선보일 예정이다. 보안 시장에 필수 요소인 고가용성 및 고용량 스토리지 시스템의 경우 SB407-TU, HA401-TU 및 JBOD 제품들을 선보일 예정이다. 마이클량 AIC의 최고 경영자(CEO) 겸 사장은 "AIC는 이번 전시회를 통해 한국 시장에 다양한 제품을 선보이게 돼 기쁘게 생각한다"며 "특히 이번에 출시된 GPU 서버는 뛰어난 성능과 안정성을 제공하도록 구축돼 고성능 GPU 서버 솔루션이 필요한 다양한 기업에 탁월한 선택이 될 것"이라고 말했다.

2024.03.08 10:37이한얼

개인정보위, AI 확산 속 '자동화된 결정' 정보주체 권리 구체화

정부가 지난해 3월 공포된 개인정보 보호법 중 인공지능(AI)의 자동화된 결정에 따른 권리 구제를 강화한다. 예컨대 AI가 면접을 통해 채용을 결정하는 경우 정보주체인 국민은 이를 거부하거나 설명 또는 검토 요구를 할 수 있다. 개인정보보호위원회는 6일 국무회의에서 '개인정보 보호법 시행령' 개정안이 의결됨에 따라 지난해 3월 공포된 '개인정보 보호법' 권리 규정이 오는 15일부터 시행된다고 밝혔다. 개정법에는 AI 확산에 따른 자동화된 결정 영역에서 국민의 권리를 신설했다. 세부적으로 사람의 개입 없이 이루어지는 '완전히 자동화된 결정' 과정에서 정보주체는 해당 결정에 대한 설명 또는 검토 요구를 할 수 있다. 정보주체인 국민의 권리 또는 의무에 중대한 영향을 미치는 경우에는 거부할 수 있게 된다. 자동화된 결정이란 AI 등 완전히 자동화된 시스템으로 개인정보를 처리해 이뤄지는 결정이다. 예를 들어 AI 면접 만을 통해서 응시자의 개인정보를 분석해 결정을 하는 경우가 이에 해당한다. 반면 채용여부 결정 절차에서 AI 시스템에 의해 산출된 자료를 참고하는 경우는 제외된다. 사람에 의한 실질적인 개입이 없거나 단순 결재 등 형식적인 절차만을 운영하고 있다면 사실상 사람의 개입 없이 내린 결정이므로 완전히 자동화된 결정에 해당된다. 또 정보주체인 국민의 권리 또는 의무에 영향을 미치는 최종적인 결정인 경우에는 자동화된 결정의 범위에 포함된다. 정보주체인 국민은 자동화된 결정이 자신의 권리 또는 의무에 영향을 미치는 경우에는 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해 줄 것을 요구할 수 있다. 정보주체는 자동화된 결정이 자신의 권리 또는 의무에 대해 본질적인 제한·박탈 등 중대한 영향을 미치는 경우에는 해당 자동화된 결정에 대해 거부할 수 있다. 이 경우 개인정보처리자는 ▲해당 결정을 적용하지 않는 조치를 하거나 ▲인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알려야 한다. 개인정보처리자는 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명 등 요구를 거절할 수 있다. 거절하는 경우 사유를 정보주체에게 지체 없이 알려야 한다. 개인정보위는 개인정보 보호책임자(CPO)가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할 수 있도록 CPO 자격 요건을 강화하고, CPO 협의회 신설을 통해 CPO 상호 간 협력이 긴밀하게 이루어질 수 있도록 했다. CPO의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려해 일정 기준 이상의 개인정보처리자는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상(개인정보보호 경력 2년 필수) 갖추고 있는 사람을 CPO로 지정하도록 했다. 또 개인정보위는 매년 '공공기관 개인정보 관리수준 진단'을 실시하고 있지만 법적 근거가 명확하지 않안던 것도 개선했다. '개인정보 보호수준 평가' 법적 근거를 신설했고 개선 권고와 우수기관에 대해 포상할 수 있는 근거도 마련했다. 정보주체에 대한 손해배상책임을 이행할 수 있도록 보험 가입, 준비금 적립 등 의무를 이행해야 하는 대상 기준도 변경했다. 종전에는 '연 매출액 5천만원 이상'이고 '이용자 수 1천명 이상'인 온라인사업자가 대상이었다. '연 매출액등 10억원 이상'이고 '정보주체 수 1만명 이상'인 개인정보처리자로 기준을 조정했다. 고학수 개인정보위 위원장은 "개정된 제도가 제기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하면서 민생현장과의 적극적인 소통을 통해 정보주체인 국민과 기업 모두에게 도움이 될 수 있는 제도로 정착시켜 나가겠다"고 밝혔다.

2024.03.06 16:28이한얼

AI·CBDC 시대, 신뢰있는 데이터·투명성 중요해진다

인공지능(AI)이 예상보다 빠른 속도로 발전하면서 데이터는 국가와 기업의 경쟁력이자 무기가 되는 시대다. 데이터와 AI가 결합하면서 초개인 맞춤 서비스가 가능해지기 때문이다. 반면 개인이 제공하는 데이터, 즉 '개인 정보' 보호에 관한 관심은 그리 높지 않은 편이다. 일단 데이터를 수집하고 가공하며, 기술력을 올리는데 초점이 맞춰져 있는 것으로 보인다. 한 개인을 위한 완벽한 맞춤 서비스와 프라이버시는 양립할 수 있을까. AI 시대 발전할수록, 개인 정보 유출 리스크↑ 개인 정보 유출에 관한 소식은 이제 놀랍지도 않다. 지난 2014년 NH농협카드·KB국민카드·롯데카드 등 카드 3사에서 1억 건 넘는 개인 정보가 유출됐다. 국회 과학기술정보방송통신위원회 소속 정필모 의원(더불어민주당)이 지난 2023년 낸 자료에 따르면 SK텔레콤·KT·LG U+·LG헬로비전이 2018년부터 2023년까지 개인 정보로 유출돼 제재를 받은 건만 48만여건이다. 데이터가 많이 필요한 현 시점서 개인 정보 유출은 과거에 비해 더 큰 리스크를 초래할 수 있다. 과거에는 개인 정보를 싸게 사고 팔아 광고나 영업 타깃이 된다는데 그쳤지만 금전적 손해와 인권을 침해하는 사례로 발전하고 있기 때문이다. 특히나 영상·생체 등 개인 정보 종류가 다양해져 개인 정보 유출에 대한 위기의식과 사전 관리가 필요하다는 것이 관련 학계 목소리다. 개보위, 자율규제·사전적정성 검토제로 대응했지만… 우리나라 정부도 AI 발전에 따른 개인 정보 유출을 인지하고 있다. 지난 2월 15일 올해 업무 보고를 통해 "생성형 AI 기술의 급격한 발전은 개인 정보의 주요성을 다시 확인시켜주는 계기"라며 "AI의 성능을 좌우하는 학습데이터이며, 학습데이터의 핵심은 개인 정보로 사회적 편익은 국민 모두가 누리고, 프라이버시 리스크는 최소화할 수 있도록 하겠다"고 밝혔다. 업무 보고에 따르면 개보위의 기본적인 방향은 기업의 AI 발전은 저해하지 않도록 이용할 수 있는 데이터에 대한 가이드라인을 수립하는 것이다. 2024년 업무보고의 토대는 2023년 8월 발표한 'AI시대 안전한 개인 정보 활용 정책 방향'이다. 개보위는 ▲다수 참여자 간 합의를 유도해 자발적으로 개인 정보 보호 수준을 높여가는 자율규제의 고도화 ▲개발 및 데이터 처리 등의 과정서 개인 정보를 보호하는 설계를 컨설팅하는 사전 적정성 검토제를 내세웠다. AI를 개발하고 관련 서비스를 기획하는 과정서 개인정보보호법 준수 여부가 불확실한 경우 기업과 개보위가 함께 논의하겠다는 것이다. 업계는 가이드라인과 사전 적정성 검토제로 데이터 이용에 대한 법적 불확실성은 덜었지만, 정작 정보 주체들은 이 방침을 반신반의한다. 정보 유출한 기업에 과징금을 무는 개인정보보호법이 시행되고 있지만 그 책임을 다하고 있는지, 이후 유출이 재반복되더라도 정보 제공 주체들은 피해를 개별적으로 감수해야 하기 때문이다. 신뢰 필요한 개인정보必, 주목받는 영지식증명 개인 정보 유출 피해가 심각해질수록 개인 정보이긴 하지만 개인을 식별하진 못하게 할 순 없을까에 대한 고민이 깊어진다. 이 지점서 영지식증명(Zero-knowledge proof )기술이 거론된다. 영지식증명을 검색하면 '자신이 알고 있는 지식이나 정보 등을 상대방에게 공개하지 않고도 자신이 그 내용을 알고 있다는 것을 증명할 수 있는 방법'으로 나온다. 예를 들어 편의점에서 술을 구입 시 내 주민등록증을 편의점 직원에게 보여줘 (찰나라도) 이름과 주민등록번호, 주소 등을 알리지 않아도 성인임을 증명할 수 있도록 하는 방안이다. 지크립토 오현옥 대표는 "영지식 증명은 암호학에 포함되며 증명해야 하는 사람(정보 주체)이 있다면 어떤 데이터를 가지고 무언가 계산을 해 A란 결과가 나온다를 알고 있고 검증하는 사람은 A란 결과가 나오면 제대로 된 값이다라는 것이 영지식 증명의 기본"이라며 "프라이버시가 중요한 곳에서 많이 적용할 수 있다고 생각해 연구와 서비스 개발을 시작했다"고 설명했다. 오 대표는 이어"개인 정보를 잘 활용하고 싶어하는 분야가 늘어나고 있는데, 개인 정보를 보여주지 않으면서도 활용할 수 있는 걸 영지식 증명이 보여줄 수 있다"고 말했다. 그는 "영지식 증명을 활용 시 개인 정보와 관련된 것은 지우고 다른 정보만 활용하는 용도로 주겠다와 개인이 주는 정보가 거짓 정보가 아니고 진짜 정보라는 익명성과 투명성이 둘 다 보장될 수 있다"고 부연했다. 오 대표는 "프라이버시(개인 정보)가 지켜지면서도 정보의 진위 등을 증명할 수 있는 기술이다 보니 신뢰가 필요하면서도 프라이버시가 필요한 그런 도메인에선 쓸 수 있다"며 한국은행의 디지털 통화(CBDC)와 선거에서의 접목을 실례로 들었다. 한국은행은 2022년 11월 모의실험 연구사업 2단계 결과 및 향후 계획을 발표, 영지식 증명을 CBDC 접목에 관해 검토했다. CBDC 거래 익명성을 제고하기 위해 신원 정보를 노출하지 않고 자신이 해당 자산의 소유주임을 증명할 수 있을 것으로 봤다. 오현옥 대표는 "블록체인 붐이 촉발된 건 '투명성'이었는데 투명성만으로는 서비스를 만들긴 어렵다. 개인 정보 유출이라는 이슈가 있기 때문"이라며 "모바일 시대에 접어들면서 클라우드 서비스가 발전한 것처럼 개인 정보를 보호하면서도 투명성을 보장하는, 익명성이 보장되고 신뢰있는 데이터가 주고받는 그러면서도 투명한 블록체인 생태계 등을 구축하기 위해선 영지식증명과 같이 갈 수밖에 없다"고 진단했다.

2024.03.04 17:06손희연

KISIA-정부, 'LEAP 2024' 참여..."중동 보안 수출 활로 모색"

한국정보보호산업협회(KISIA)와 정부가 중동에서 보안 분야 수출 활로를 모색하기 위한 자리를 마련한다. KISIA와 과학기술정보통신부, 한국인터넷진흥원(KISA)는 4일부터 7일까지 나흘간 사우디아라비아 리야드서 개최되는 'LEAP 2024 전시회'에서 한국관을 운영한다. 이번 행사에선 '한-사우디 정보보호 비즈니스 밋업'도 동시 진행한다. 과기정통부는 보안 수출 전략 실행을 위해 지난해부터 KISIA·KISA와 함께 사우디아라비아 LEAP 2024 전시회 운영과 네트워킹 행사 개최를 준비해 왔다. 또 중동은 최근 사우디와 아랍에미리트(UAE)를 비롯한 다수의 국가들과 정상외교를 통해 긴밀한 협력 기조가 유지되고 있다. 국제정보보호지수(GCI, Global Cybersecurity Index) 전 세계 최상위권 수준(2022년 2위)으로 GCI 4위(2021년 기준)인 한국 정보보호 산업계에 대한 신뢰가 높다. 무함마드 빈 살만 알사우드 왕세자가 발표한 '사우디아라비아 비전 2030'에서도 5대 협력 국가에 한국이 포함돼 한국의 정보보호 정책 노하우, 민간 협력 등이 증가하고 있다. KISIA는 과기정통부와 사우디아라비아 최대 기술 전시회인 LEAP 2024에 국내 정보보호 기업들의 공동관 참가를 지원한다. 또 KISIA는 과기정통부, KISA와 함께 전시회 6일에 중동 기업과의 네트워킹 행사의 일환으로 '한-사우디 정보보호 비즈니스 밋업'을 개최한다. KISIA와 KISA는 이 행사에 사우디 유명 테크 투자사(VC)와 ICT·사이버보안 기업 등을 초청해 우리 기업과 만남을 주선한다. 조영철 KISIA 회장은 "과기정통부의 신흥전략시장인 중동을 공략하기 위해 사우디아라비아를 시작으로 GCC 국가 시장으로 우리 보안 기업들의 우수한 솔루션이 진출할 수 있도록 이번 행사 진행에 총력을 기울이겠다"고 밝혔다.

2024.03.04 10:59이한얼

ZDNet 검색 페이지

'정보 보호'통합검색 결과 입니다. (426건)