출처 : http://www.boannews.com/media/view.asp?idx=42224&page=2&kind=6&search=title&find= [보안뉴스=서정호 영국표준협회 선임심사원] 2009년 영국 국가표준을 제정하는 영국표준협회(BSI : British Standards Institution)에서는 개인정보의 안전한 보호 및 관리를 위한 표준인 BS10012를 제정해다. BS10012는 개인정보보호를 위한 유일한 글로벌 표준으로 EU 개인정보보호 지침, OECD 개인정보보호 8원칙, Data Protection Act of UK, Global Best Practice 등을 기반으로 제정된 Personal Information Management System(PIMS)이다. 영국표준협회(..
출처 : http://www.dt.co.kr/contents.html?article_no=2014080602101060800001 기업들은 앞으로 정보유출, 보안사고 발생 사실을 더 이상 '쉬쉬'하고 넘어갈 수 없게 됐다. 정보보호 관련법을 어겨 보안사고가 발생한 기업에 대해 정부가 '외부 공표'를 의무화하도록 했기 때문이다. 5일 안전행정부는 '개인정보보호법 위반 행정처분 결과 공표제도'를 시행한다고 밝혔다. 기업이 고객 정보를 소홀히 관리하거나 보안 투자를 제대로 하지 않는 등 정보보호법을 위반해 과징금, 과태료나 시정명령 등 행정처분을 받게 되면 이를 시장에 그대로 공개하도록 의무화한 것이다. 행정처분 결과 공표제도는 이전에도 있었다. 하지만 처분 내용을 공개하는 기준 자체가 엄격해 그간 공표한 사..
14년 8월 7일부로 개인정보보호법이 개정되어 원칙적으로 주민번호의 수집이 금지되었고, 법령에 근거없이 주민번호를 수집‧이용 시 과태료 3천만원이 부과되며 기존에 수집하고 있던 주민번호는 16년 8월 7일까지 모두 파기해야 한다. 주민번호가 유출된 경우 합당한 안전조치를 하지 않은 경우 5억원 이하의 과징금을 부과할 수 있으며 65조 3항의 신설로 징계권고 대상에 개인정보처리자 뿐만 아닌 CEO도 포함됨을 명시하였다. 제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우2. 정보주체 또는 제3자의 급박한 생명, 신체, 재..
출처 : http://www.boannews.com/media/view.asp?idx=42281&page=1&kind=2&search=title&find= 정통망법 개정·개인정보보호 의무 제재 강화·법정손해배상제 도입개인정보 화두, 개인정보의 안전한 활용 빅데이터와 잊혀질 권리 [보안뉴스=방송통신위원회 엄열 과장] 최근 대규모 개인정보 누출사고가 빈번하게 발생하고 있다. 올해 상반기에만 크고 작은 개인정보 누출사고들이 언론에 줄지어 보도되면서 개인정보보호에 대한 국민적 관심이 증대되었다. 개인정보보호 강화, 정보통신망법 개정국회에서도 그간 제19대 국회에 발의되어 계류중이었던 개인정보 관련「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’이라 한다) 개정안들을 병합·심의하여 본회의 ..
출처 : http://www.boannews.com/media/view.asp?idx=42183&page=1&kind=2&search=title&find= 개인정보보호 위한 체계적·지속적 관리·운영 종합체계 [보안뉴스=고규만 前 한국인터넷진흥원 정보보호관리팀 책임연구원] 개인정보보호 관리체계(PIMS : Personal Information Management System)란 기업이 각종 개인정보 유출 위험으로부터 개인정보를 보호하기 위해 보호대책을 수립해 체계적·지속적으로 관리·운영하는 종합적인 체계를 말한다. 개인정보보호 관리체계(PIMS) 인증은 기업이 구축·운영 중인 개인정보보호 관리체계(PIMS)가 인증기준에 적합한지 여부를 제3의 인증기관(한국인터넷진흥원)이 객관적으로 심사해 인증을 부여하는 ..
출처 : http://www.dailysecu.com/news_view.php?article_id=7511 정보보호 수행할 전담인력 확보는 그 조직 보안수준 나타낼 수 있는 ‘척도’[박나룡 쿠팡 정보보안실장. 사진] 최근에 보안 사고 등이 지속적으로 발생하면서 많은 기업들이 정보보호에 대한 투자를 확대하고 있다. 정보보호의 투자 측면은 크게 예산적인 부분과 인력적인 부분으로 생각해볼 수 있다. 특히 인력에 대한 투자를 통해 정보보호를 ‘잘’ 수행하기 위해서 어떻게 하면 효과적인 정보보호 조직을 구성할 수 있는가에 대한 고민이 정보보호를 수행하는 관리자의 큰 고민중의 하나일 것이다. 효과적인 보안 조직을 구성할 수 있을 것인가? 효과적인 보안 조직이 가능하기는 한 것인가? 라는 여러 의구심이 들지만, 고민..
출처 : http://www.boannews.com/media/view.asp?idx=42138&page=2&kind=6&search=title&find= 현실과 동떨어진 이야기 인것 같긴 한데, 좋은 내용인것은 틀림없음. 상황실 설치, 의사결정권자의 단일화 등 대응매뉴얼 신속히 마련해야 [보안뉴스=구태언 테크앤로 법률사무소 대표변호사] 2008년 A사의 대규모 개인정보 유출사고 이래 ‘전 국민의 개인정보가 한 번씩은 유출됐다’는 자조적인 평가 속에서 국민들의 개인정보 유출에 대한 관심이 낮아지던 중 2014년 새해 벽두에 발생한 신용카드 3사의 1억 건이 넘는 개인정보 유출사고와 K사의 1,200여만 건의 개인정보 유출사고는 개인정보보호에 관한 국민적 관심을 다시금 불러일으켰다. ▲개인정보 유출 규모 ..
출처 : http://www.dailysecu.com/news_view.php?article_id=7489 사이버타겟 공격대응 어떻게 변화해야 할까[특별기고] 지금으로부터 25 년 전 1988 년 11 월 2 일 미국 코넬대학교 학생이던 로버트 모리스에 의해 제작된 모리스 웜(Morris Worm)은 당시 인터넷의 삼분의 일 이상의 컴퓨터를 감염시켰으며 이를 통해 인터넷의 신뢰관계 모델이 침해사고 대응에 효과적이지 않다는 것이 확인되었다. 이러한 문제점을 인지한 미국 정부는 USCERT/CC1를 설립하여 국가수준의 인터넷 위협대응 체계를 구성하였다. 한편 2003 년 1 월 25 일 대한민국에서는 MS-SQL 슬레머 웜의 공격으로 대한민국의 인터넷이 마비되는 사상 초유의 사태가 발생하였고 이를 계기로 인..
출처 : http://www.dailysecu.com/news_view.php?article_id=7423 “정체의 시기, 시대는 정보보안 컨설팅의 변화를 요구한다”[윤원석 싸이버원 본부장. 사진] 우리나라에 정보보안 컨설팅이라는 새로운 업역이 만들어 진 것은 언제일까? 필자도 보안 컨설팅이란 이름으로 프로젝트를 1997년부터 수행했으니 최소한 17년은 넘은 듯 하다. 당시에는 각 행정부처와 사법부 등 국가기관의 중요 업무에 대한 전산화가 IT 아웃소싱이란 이름으로 폭발적으로 증가하던 시기로 기존에 없던 정보기술의 도입에 따른 새로운 정보침해 위험이 발생함에 따라 국내의 주요 SI 사업자들이 위험을 최소화하기 위해 SI 사업의 한 부분으로 정보보안 컨설팅을 적용하였다. 이러한 SI 사업의 한 부분으로 지..
