수달정보보호

개인정보를 AI로 판단하기

개인정보란 단독으로건, 혹은 다른 정보와 쉽게 결합해 특정 개인을 식별할 수 있는 정보를 말한다. 그런데 여기서 '쉽게'라는 게 참 어려운 영역이다. 개인정보처리자 입장에서건, 정보주체 입장에서건 말이다. 왜냐하면, 법은 언제나 결코 현실의 기술 발전을 따라갈 수 없기 때문이다. AI는 날이갈수록 혁신을 거듭하고 있고, 구글 같은 메가기업에서나 다뤄질 것 같은 기술들이 점차 일반인에게도 현실적인 기술로 다가오고 있다. 그리고 AI가 개입함에 따라, 비정형 데이터의 식별 가능성에 대해서 주목할 필요가 있다. 나의 카카오톡 대화 내용, SNS 댓글 같은 조각들로도 개인을 식별할 가능성이 생길 것이기 때문이다. 예를 들어, 내가 '지구오락실'에 대한 코멘트를 남긴 것을 보고, AI는 나의 나이를 대략적으로 추..

ISRM 내용 정리

정보보호 최고책임자(CISO)의 지정 의무1. 다음 중 하나에 해당하는 정보통신서비스 제공자 : 사업주 또는 대표자가 CISO (1) 자본금이 1억원 이하인 자 (2) 소기업 (3) 전기통신사업자, 정보보호 관리체계 인증대상, 개인정보 처리방침을 공개해야 하는 개인정보처리자, 통신판매업자가 아닌 중기업 2. 다음 중 하나에 해당하는 정보통신서비스 제공자 : 이사가 CISO(1) 직전 사업연도 말 기준 자산총액이 5조원 이상인 자(2) 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자 3. 위의 1,2에 해당하지 않는 정보통신서비스 제공자 : (1) 사업주 또는 대표자 (2) 이사 (3) 부서의 장이 CISO 가능정보보호 최고책임자(CISO)의 지정 조건..

2025 AWS 써밋에 다녀왔다. 그리고 물론 내가 경험이 많이 부족하긴 하다만, 이런 컨퍼런스는 살면서 처음 봤다. 이렇게 자본의 맛이 달콤한 컨퍼런스는 살면서 처음 봤다. 컨퍼런스의 처음부터 끝까지 어느 하나 강력한 자본이 들어가지 않은 곳이 없었다. 2만명에 가까운 인원이 방문을 했다는데 충분히 올만한 가치가 있는 컨퍼런스였다. 우선, 강력한 자본도 자본이지만, 준비성이 너무 좋아서 퀄리티 자체가 너무 높았다. 나야 보안 트랙에 있는 세션만 줄곧 들었는데, 방문자들의 말을 들어 보니, 여러 트랙의 수준이 전체적으로 다 높았던 것으로 보인다. 나도 세션을 들으며 상당히 만족스러웠다. 그리고 이 컨퍼런스가 더 신기하게 느껴졌던 점은 아침부터 디제잉을 볼 수 있었기 때문이다. 여러 방문객들이 디제잉에..

핑계다. 너무 바빴다. 5월 초까지는 PIA와 AI 공부를 하고 있었고, PIA 시험도 5월 31일로 코앞이다 보니, ISRM이 자연스레 후순위가 되었다. 그런데 ISRM 시험이 일주일 남았으니 공부를 해야 할 것 같아 시험을 준비하고자 한다. ISRM이 후순위인 이유는 이 시험이 이번에 처음으로 시행되는 시험이고, 이미 자격증들이 충분한 현재의 국면을 타개할 수 있는 무언가가 있는지에 대한 의문부호가 있기 때문이다. 그래서 처음에는 볼 생각이 적었으나, 회사에서 전체적으로 보는 것으로 진행되면서 나도 참여하게 되었다. 그리하여 이 시험을 어제 저녁부터 자세히 들여다 보니, 이 시험을 띄우길 원하는 사람들은 이 자격을 저연차를 위한 ISMS-P 자격 정도의 포지션으로 자리잡길 희망하는 듯하다. ISMS-..

문득 이번 모 통신사의 개인정보 유출 사태를 겪으면서 느껴지는 것이 있다. 개인정보가 유출되었을 때 정보주체에게 알리는 방법에 있어 더욱 강제적인 조치가 필요하다는 점이다. 제39조(개인정보 유출 등의 통지) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조 및 제40조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 서면등의 방법으로 72시간 이내에 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 해당 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있다.1. 유출등이 된 개인정보의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출등이 된 개인정보의 회수ㆍ삭제 등 긴급한 조치가 필요한 경우2...

1. 개인정보 보호법 체계 개편 배경 및 방향성배경: 분리되었던 개인정보 보호 관련 법률 통합 (개인정보보호법, 정보통신망법, 신용정보법)방향성:온라인/오프라인 동일 규제 적용필수 동의 체계 탈피, 다양한 적법 처리 근거 인정형식적 동의 지양, 신뢰 기반 개인정보 이용 환경 조성2. 개인정보 적법 처리 요건의 변화적법 처리 요건 확대 (개인정보보호법 제15조 중 하나만 충족하면 처리 가능)계약 이행 요건 완화 ('불가피하게' 문구 삭제)적법 처리 근거 공개 의무화 (개인정보 처리 방침에 기재)급박한 생명·신체·재산 보호 요건 확대 (제한 조건 삭제)공중 위생 등 공공 안전 위한 처리 근거 마련3. 동의 제도 개선 및 '자유로운 의사에 따른 명시적 동의' 원칙핵심 원칙:자유로운 의사에 따른 동의 (자기 결..

경찰청의 발표에 따르면, 2025년의 1분기(1~3월) 보이스피싱 발생은 5,878건으로 지난해 대비 17%가 늘었다. 그리고 피해액은 2024년 1분기 대비 2.2배 증가했다. 발생한 보이스피싱의 51%는 기관 사칭형으로, 디지털 수법에 취약한 50대의 피해자 비중이 53%로 가장 높았다. 2023년에는 32%, 2024년에는 47%에 이어 지속적으로 늘어난 셈이다. 여기서 경찰청의 발표 중 주목할 점은 "카드 배송이나 사건조회, 대출신청 같이 피해자에게 접근하는 방법은 다양하지만, 본격적 시나리오는 휴대전화 악성 앱 설치로 시작된다"라는 것이다. 피해자가 전화를 걸면 범죄조직이 쓰는 번호로 연결되거나, 범죄 조직이 발신한 전화가 공격자 휴대전화에 기관 번호로 표시되게 조작이 가능했다. 이 과정에서 금..

개인정보보호위원회에서 4월 21일(월) 개인정보 처리방침 작성지침 개정본을 공개하였다. 이번 작성지침 개정본은 2025년 처리방침 평가 시행을 앞두고, 개인정보처리자가 실효성 있는 처리방침을 수립할 수 있도록 지원하기 위해 마련됐다. 개정의 주요 내용은 다음과 같다. ① ’24년 9월 개편된 개인정보 동의제도와 관련하여, 정보주체의 동의없이 처리 가능한 개인정보 항목과 동의가 필요한 항목을 처리방침에 다양한 예시와 함께 구체화하였다.* 예시 1. '회원서비스 운영', '판매 상품에 대한 A/S(에이에스) 상담' 등 계약의 체결·이행에 관한 사항은 동의 없이 처리* 예시 2. '민감정보', '고유식별정보', '개인정보의 제3자 제공'의 경우, 계약의 체결·이행이더라도 동의를 받은 경우에만 처리 가능 ..

작년에도 4월에 했으니, 올해도 4월에 할 것 같았고, 올해도 나를 참여시킬 것이 뻔히 보였다. 그래서 미리 준비를 해둔 게 있다. 아무래도 미리 준비하기에 가장 적합한 것은 교육적인 부분이었다. 정보보호 전문서비스 기업에 등재된 전문인력의 경우, 최근 1년 동안 20시간 이상의 정보보호 및 정보통신의 교육을 수료해야 한다. 컨설팅의 경우 보통 연초에는 사업이 끝나고 비수기를 맞이하면서 인원들이 많이 모이게 되는데, 나도 1월에 철수하고 나서 인원들을 많이 만나 최대한 교육에 대한 가스라이팅 아닌 가스라이팅을.. 했다. 이사님들에게도.. 했다. 본사에서 인증심사를 준비하는 것이 벌써 3번째인데, 아마 꽤나 많은 동료들은 이 인증심사를 준비하는 것을 싫어할 것이다. 그런데 나는 이게 썩 싫지는 않다. 물론..

인공지능을 발전할 때는 방대한 데이터 처리를 기초로 하고 있어 기존의 개인정보 보호원칙과 상당한 충돌이 있음. 또한, 목적제한의 원칙에 따라 인공지능의 발전 방향성이 문제가 되고 있음.  인공지능 개발·운영 단계별 개인정보 보호 고려사항 중 공개된 개인정보 처리의 법적 근거에 대한 문제가 있음. 공개된 개인정보를 처리할 수 있는 근거는 무엇일까? 로앤비 판결,2014다25080에 따르면, 학습데이터의 처리와 관련하여 공개된 정보의 인공지능 개발 목적의 수집은 특별한 사정이 없는 한, 정보주체의 '동의가 있었다고 객관적으로 인정되는 범위 내'의 개인정보 처리로 인정된다고 해석하기 어렵다고 보았다. 판례에서 정보주체의 명시적 동의가 없는 경우, 객관적 동의 의사가 추단되는 범위 내에서 일반적 이익형량 기준을..