본문 바로가기

분류 전체보기29

[가이드라인] 개인정보 흐름도를 그려보자 '개인정보 흐름도'라는 말을 들으면 좀 막연하게 느껴진다."대충 개인정보가 오고 가는 걸 정리하는 거겠지?"맞다. 그런데, 대충 그려서는 아무 소용이 없다.흐름도는 결국 개인정보가 어디서 수집되고, 어떻게 이동하고, 누가 이용하고, 어떻게 삭제되는지에 대한'진짜 현실'을 드러내야 한다.그래서 흐름도는 단순한 서류가 아니다.흐름도를 그리는 순간, 우리는 개인정보 보호의 민낯을 마주하게 된다. 이 글에서는 보호위에서 제공하는 '개인정보 영향평가 수행안내서'의 개인정보 흐름도에 관한 부분을 읽고 간략하게 정리해본다. 목차 1. 개인정보 흐름 분석, 왜 신경 써야 할까?흐름 분석은 좀 귀찮은 작업이다.업무를 파악하고, 시스템 연결을 확인하고, 하나하나 선을 이어야 한다.그런데 이걸 건너뛰면?어디서 개인정보.. 2025. 4. 29.

침해사고일까, 개인정보 유출일까? 24시간과 72시간 사이에서 최근 SK텔레콤에서 유심(USIM) 정보 유출 사고가 발생했다는 소식이 전해졌다.유심 정보는 평소 우리가 크게 의식하지 않던 데이터였지만, 이번 사건을 들여다보니 단순한 실수나 사고로만 볼 수 없다는 생각이 들었다. 전체적인 개요는 위키나 유튜브를 통해 쉽게 접할 수 있었지만, 정보통신망법에서 '침해사고를 인지한 시점으로부터 24시간 이내에 신고해야 한다'는 부분은 이번에 처음 알게 되었다.이 글에서는 사고 대응 과정에서 중요한 의미를 갖는 '신고 기한'에 대해, 유관 법령을 중심으로 정리해보려고 한다. 목차1. 유심 정보 유출은 개인정보 유출이자 침해사고이다먼저, 이번에 유출된 정보는 유심 고유 식별번호(IMSI, ICCID)와 인증키(KI) 등이었다. 이 정보들은 이름이나 주민등록번호처럼 직접적인 개.. 2025. 4. 27.

[가이드라인/CPPG] 개인정보보호 상담/해석 사례집 개인정보관리사(CPPG) 시험을 봤을 때단순히 두음을 암기해서 풀 수 있는 문제는 많지 않았고, 실제 사례 위주의 문제가 꽤 많이 출제됐었다.샘플 문제를 많이 풀었던 것도 도움이 됐지만, 사례집을 자주 읽었던 것이 시험 합격에 큰 도움이 되었다.사례집을 읽을 때 시험을 위해 암기해야 한다고 생각하기보다,‘내가 업무 중에 이런 질문을 받는다면 어떻게 설명할 수 있을까?’라는 시각으로 접근하면 사례들이 훨씬 잘 읽히고, 기억에 잘 남는 것 같다.아래의 내용은 CPPG를 공부하면서 '개인정보보호 상담 사례집(2020.07)'과 '개인정보 보호법 해석 사례집 1.0(2024.06)' 을 읽고 요약 정리했던 내용이다. 목차 1. 개인정보 상담 사례집개인정보보호법은 단순히 법령만 읽어서는 이해하기 어렵다. 실생활에.. 2025. 4. 24.

집에서 쓰는 공유기는 어떻게 인터넷을 나눠주는 걸까? 인터넷을 쓰다 보면 참 신기한 게 많다.특히 집에서 공유기를 통해 여러 기기가 동시에 인터넷에 연결되어도, 외부에선 전부 하나의 IP 주소로 보인다는 점이 그렇다.예를 들어, 노트북, 스마트폰, 태블릿이 동시에 인터넷을 쓰고 있는데도 외부에선 다 "123.45.67.89" 같은 하나의 IP로 접속하는 것처럼 보인다."이 많은 기기들이 어떻게 하나의 IP만 가지고도 잘 돌아갈 수 있는 거지?"이런 의문이 들었다면, 오늘 이야기할 NAT(Network Address Translation)라는 녀석이 중요한 역할을 하고 있다는 걸 알게 될 것이다. NAT를 개념적으로만 이해하고 실제로 어떻게 사용되는지 몰랐다면, 이 글이 도움이 되리라 생각한다.목차NAT는 어떤 기술일까?NAT는 말 그대로 ‘네트워크 주소를 .. 2025. 4. 24.

[인프라] 주요 보안 인프라 장비 운영 목차1. 필수 보안 인프라 장비 운영방화벽(Firewall)외부 네트워크와 내부 네트워크 간의 트래픽을 사전에 정의한 규칙에 따라 허용하거나 차단한다.접근통제, 사용자 인증, 트래픽 로그 기록, 프록시 기능 등을 수행한다.Rule Set은 IP와 Port 기반으로 구성하며, 허용되지 않은 모든 트래픽은 차단하는 것을 원칙으로 한다.통합 위협 관리(UTM)방화벽, 침입탐지, 안티바이러스, 안티스팸, VPN 등 여러 보안 기능을 통합한 장비이다.관리가 간편하며 중소기업이나 간단한 네트워크 환경에 적합하다.침입차단시스템(IPS)침입탐지기능(IDS)과 방화벽 기능을 결합하여 비정상 패킷을 실시간으로 차단한다.시그니처 기반 탐지(Misuse Detection)와 이상 행위 기반 탐지(Anomaly Detectio.. 2025. 4. 21.

[가이드라인][ISMS-P] 2.10.1 보안시스템 운영 목차1. 보안시스템 운영 절차 수립조직에서 운영 중인 보안시스템에 대해 시스템 유형별로 관리자 지정, 정책 업데이트 및 변경, 이벤트 모니터링 등의 절차를 수립하고 이를 실제로 이행해야 한다. 또한 시스템별 정책 적용 현황도 체계적으로 관리해야 한다.보안시스템 운영절차에는 다음 사항이 포함되어야 한다.보안시스템별 책임자 및 관리자 지정정책(룰셋 등) 등록, 변경, 삭제 절차 수립IDS, IPS 등의 경우 새로운 공격기법 탐지를 위한 최신 시그너처 및 엔진 지속적 업데이트정책 위반이나 이상 징후를 탐지하고 확인하는 이벤트 모니터링 절차사용자 인증, 관리자 단말기 IP 또는 MAC 주소 기반의 접근통제 정책보안시스템 운영현황에 대한 주기적 점검보안시스템 자체에 대한 접근통제 방안 마련보안시스템 유형에는 다음.. 2025. 4. 18.

[가이드라인] 2024 클라우드 보안 가이드 (AWS) SK쉴더스에서 발간한 '2024 클라우드 보안 가이드'는 클라우드 서비스 이용 시에 발생할 수 있는 취약점을 분석하여 체크리스트와 대응방안을 제시하고 있다.KISA에서 발간했던 '주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드' 에는 클라우드 보안에 관한 내용이 극히 적고, '클라우드 취약점 점검 가이드' 에는 퍼블릭 클라우드 서비스들에 대한 구체적인 대응 방안이 없었기 때문에 클라우드 환경을 구축한 기업들을 위해 SK쉴더스에서 자체적으로 제작한 가이드이다.이 글은 해당 가이드를 읽고 그 내용을 간단히 정리하기 위해 작성하였다. 목차 클라우드 보안 진단 항목은 총 4가지 영역으로 나뉜다. 각 영역별로 중요도에 따라 관리 항목을 구분하여 체계적으로 관리한다.계정 관리 (사용자 관리, IAM.. 2025. 4. 17.

[CPPG] 개인정보 관리체계 목차1. 정보보안 일반정보보안 요소기밀성오직 인가된 사람만이 알 필요성에 근거하여 시스템에 접근하여야 한다는 특성공격 방법: 스니핑, 도청방어 방법: 암호화, 자산 분류, 방화벽 설정무결성정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 한다는 특성공격 방법: 중간자 공격, 바이러스, 해킹방어 방법: 침입탐지, 백업, 직무 분리 등가용성정보 시스템은 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부하여서는 안 되며, 인가된 자가 접근할 수 있어야 한다는 특성공격 방법: DDoS, 재해/사고방어 방법: 데이터의 백업, 이중화, 물리적 위협으로부터의 보호 등 보안 기술인증임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는 데 사용되는 특성공격 방법: 부정 인.. 2025. 4. 17.

[CPPG] 개인정보 보호 조치 목차1. 안전성 확보조치 기준 및 확대 적용안전성 확보조치 기준개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전 조치에 관한 최소한의 기준이다.개인정보 보호법 **제29조(안전조치의무)**와 영 **제30조(개인정보의 안전성 확보 조치)**에 대한 세부적인 기준이다.이용자의 개인정보를 처리하는 경우 개인정보의 안전성 확보조치 기준을 준수해야 한다.개인정보의 안전성 확보조치 기준을 준수하지 않은 경우 과태료가 부과된다. (과징금 아님)개인정보 안전성 확보조치 기준을 준수하지 않아 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 과태료 외에 과징금이 부과될 수 있다.금융감독원의 검사를 받는 기관이 아.. 2025. 4. 17.

문서에 의한 개인정보처리 업무위탁 목차 개인정보 처리 업무를 외부에 맡기는 경우, 단순한 계약을 넘어서 법적으로 정해진 기준을 반드시 따라야 한다. 특히 개인정보 보호법 제26조와 그 시행령은 위탁 계약 시 반드시 포함해야 할 항목과 위탁 이후의 관리 책임까지 상세히 규정하고 있다. 이 글에서는 개인정보 처리 업무 위탁 시 유의할 법적 사항과 실무적인 관리 방안을 정리한다. 1. 위탁 계약 시 필수 포함사항개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항3. 그 밖에 개인정보의 안전한 관리를 위.. 2025. 4. 14.

[CPPG] 개인정보 라이프 사이클 관리 목차 1. 개인정보 수집·이용 (동법공계급정안, 목항기거)수집 및 이용 근거 (동법공계급정안)정보주체 동의법률, 법령공공기관 소관업무계약 이행 체결 (제3자 제공 근거에는 해당 안됨)정보주체 또는 제3자의 급박한 이익정당한 이익공공의 안전과 안녕수집 및 이용 업무(법률 규정) 채권 추심, 진료기록 열람, 병역판정검사 등(의무 준수) 본인확인, 청소년 유해매체물 연령 확인 등(공공업무) 주민등록법, 국세기본법, 의료법 등 관련 기관 업무(계약 체결) 보험가입 확인, 신용도 평가 등(계약 이행) 상품 배송, 경품 배송 등(급박 이익) 실종, 화재, 보이스피싱 등 구조 목적(정당한 이익) CCTV 운영, 채권추심, 증거자료 확보 등(친목단체) 자원봉사, 종교, 취미 목적 등동의 시 고지사항 (목항기거)수집·이.. 2025. 4. 14.

개인정보 보호 관련 법률 목차개인정보 보호는 단일 법률만으로 설명되지 않는다. 기본적으로는 개인정보 보호법이 중심이 되지만, 정보통신망법과 신용정보법을 비롯해 산업별·업무별 특화된 법률에서도 개인정보 처리 기준을 따로 정하고 있다. 이 글에서는 개인정보 보호와 관련한 핵심 법률 세 가지를 중심으로 주요 내용을 정리한다.1. 개인정보 보호법2011년에 제정된 개인정보 보호법은 개인정보 보호에 관한 일반적인 기준을 제시하는 법이다. 개인정보의 정의와 처리 원칙을 비롯해, 관련 기관의 책임, 정보주체의 권리 보장, 처리자의 의무, 안전조치, 그리고 위반 시의 제재까지 포함하고 있다.이 법은 개인정보를 다루는 모든 사람과 기관에 적용되며, 수익 목적의 여부와 관계없이 적용 대상이 된다. 다른 법률에서 개인정보 보호에 대한 조항을 정하고.. 2025. 4. 13.

이전 1 2 3 다음

티스토리툴바