수달정보보호

개인정보란 단독으로건, 혹은 다른 정보와 쉽게 결합해 특정 개인을 식별할 수 있는 정보를 말한다. 그런데 여기서 '쉽게'라는 게 참 어려운 영역이다. 개인정보처리자 입장에서건, 정보주체 입장에서건 말이다. 왜냐하면, 법은 언제나 결코 현실의 기술 발전을 따라갈 수 없기 때문이다. AI는 날이갈수록 혁신을 거듭하고 있고, 구글 같은 메가기업에서나 다뤄질 것 같은 기술들이 점차 일반인에게도 현실적인 기술로 다가오고 있다. 그리고 AI가 개입함에 따라, 비정형 데이터의 식별 가능성에 대해서 주목할 필요가 있다. 나의 카카오톡 대화 내용, SNS 댓글 같은 조각들로도 개인을 식별할 가능성이 생길 것이기 때문이다. 예를 들어, 내가 '지구오락실'에 대한 코멘트를 남긴 것을 보고, AI는 나의 나이를 대략적으로 추..

문득 이번 모 통신사의 개인정보 유출 사태를 겪으면서 느껴지는 것이 있다. 개인정보가 유출되었을 때 정보주체에게 알리는 방법에 있어 더욱 강제적인 조치가 필요하다는 점이다. 제39조(개인정보 유출 등의 통지) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조 및 제40조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 서면등의 방법으로 72시간 이내에 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 해당 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있다.1. 유출등이 된 개인정보의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출등이 된 개인정보의 회수ㆍ삭제 등 긴급한 조치가 필요한 경우2...

1. 개인정보 보호법 체계 개편 배경 및 방향성배경: 분리되었던 개인정보 보호 관련 법률 통합 (개인정보보호법, 정보통신망법, 신용정보법)방향성:온라인/오프라인 동일 규제 적용필수 동의 체계 탈피, 다양한 적법 처리 근거 인정형식적 동의 지양, 신뢰 기반 개인정보 이용 환경 조성2. 개인정보 적법 처리 요건의 변화적법 처리 요건 확대 (개인정보보호법 제15조 중 하나만 충족하면 처리 가능)계약 이행 요건 완화 ('불가피하게' 문구 삭제)적법 처리 근거 공개 의무화 (개인정보 처리 방침에 기재)급박한 생명·신체·재산 보호 요건 확대 (제한 조건 삭제)공중 위생 등 공공 안전 위한 처리 근거 마련3. 동의 제도 개선 및 '자유로운 의사에 따른 명시적 동의' 원칙핵심 원칙:자유로운 의사에 따른 동의 (자기 결..

작년에도 4월에 했으니, 올해도 4월에 할 것 같았고, 올해도 나를 참여시킬 것이 뻔히 보였다. 그래서 미리 준비를 해둔 게 있다. 아무래도 미리 준비하기에 가장 적합한 것은 교육적인 부분이었다. 정보보호 전문서비스 기업에 등재된 전문인력의 경우, 최근 1년 동안 20시간 이상의 정보보호 및 정보통신의 교육을 수료해야 한다. 컨설팅의 경우 보통 연초에는 사업이 끝나고 비수기를 맞이하면서 인원들이 많이 모이게 되는데, 나도 1월에 철수하고 나서 인원들을 많이 만나 최대한 교육에 대한 가스라이팅 아닌 가스라이팅을.. 했다. 이사님들에게도.. 했다. 본사에서 인증심사를 준비하는 것이 벌써 3번째인데, 아마 꽤나 많은 동료들은 이 인증심사를 준비하는 것을 싫어할 것이다. 그런데 나는 이게 썩 싫지는 않다. 물론..

가장 개인정보처리방침을 잘 작성한 곳은 어딜까? 보통 그런 물음을 던지면 네이버, 쿠팡, 넷마블 등등의 답변이 현업 종사자들의 입에서 나오곤 한다. 그런데 설령 그렇다 하더라도, 개인정보처리방침을 평가하고, 컨설팅을 하는 곳은 분명 어떤 '기준'을 제시하는 곳일 테다. 최근들어 개인정보처리방침을 적정성, 가독성, 접근성 면에서 평가하는 평가제가 등장하면서, 이제는 단순히 법적인 내용이나 가이드라인만을 따질 것이 아니게 되었기 때문이다.  개보위의 개인정보처리방침을 누르면 가장 먼저 소개되는 것은 우측 상단의 요약본이다. 요약본을 클릭한 결과, 총 3페이지로 구성된 자료를 다운받을 수 있었다. 그리고 거기에는 크게 4가지의 항목에 대한 소개가 있었다. 1. 수집 및 목적'최소한의 수집'과 '목적 외 이용 ..

기업마다 보안 담당자는 형태와 역할이 조금씩은 차이가 있을 것이다. 이는 '보안'이라는 것을 기업에서 어떤 시각으로 바라보냐에 따라 갈릴 것이다. 중소기업의 경우 보안담당자가 아예 없을 수도 있고, 보안담당자와 개인정보보호 담당자가 구분되지 않는 곳도 있을 수 있으며, 각 담당자가 명확한 구분 없이 상호보완적인 곳도 있을 것이다. 그리고 개인정보 담당자들 대화방을 보며 그간 느낀 것은, 보안담당자에게 있어 기술적 역량만 중요한 것이 아니라는 점이다. 문득 고려대학교에서 개인정보보호 대학원을 신설한다고 했을 때 강의의 상당수가 인문학과 연관된 것이었던 게 기억난다. 그것만 보더라도 기술적인 부분은 깔고 들어간다고 봐야하는 게 맞을 것이다. 사실, 기술적이라는 부분도 기업마다 필요한 부분은 제각각일 것이다...

2월 11일 오전 7시 30분의 별마당 도서관언제부턴가 코엑스에 방문하게 되면 별마당도서관을 거쳐가는 건 당연스레 여겨진다. 무언가 특별한 시기를 앞두지 않아서인지, 오늘은 중앙에 상징물이 없는 모습이다. 사실 일찍 온 이유 중 하나는 얼리버드의 혜택인 ISO 27001:2022 책을 얻기 위함이었다. 그 책이 정말 필요해서 원했던 것은 아니다. 다른 책은 전부 각 100권 준비되어 있다는데, ISO 27001:2022만 10권이 있다길래 그걸 얻으려고 조금 일찍 서둘러 집을 나섰던 것이다. 그런데 바보같은 오늘의 나는 아침에 코엑스에 도착하여 별마당도서관에서 멍을 때리다가 8시 10분이 되어서야 E룸에 도착했다. 그리고 27001 책은 이미 솔드아웃이었다... 그리고 부스를 돌며.. 사은품을 쓸어왔다...

오늘부로 9월부터 시작된 프로젝트가 드디어 종료되었다.내가 이 프로젝트에서 수행한 역할은 다음과 같다.[관리적 분야]• 정보보안 수준진단- 부서별 증빙자료 검토 및 진단- 부서별 인터뷰 실시- 증빙자료 가이드라인 제작- 개별/종합 보고서 작성[물리적 분야]• 물리적 취약점 분석·평가- 부서별 인터뷰 실시 및 현장실사- 개별/종합 보고서 작성[개인정보보호 분야]• 개인정보보호 수준평가- 점검 양식 제작- 부서 별 제출자료 검토 및 평가- 개별/종합 결과보고서 작성• 개인정보처리방침 개정• 내부관리계획 개정• 영상정보처리기기 운영·관리 방침 개정• 개인정보 안전성 확보조치 개정• 개인정보 수집·이용·제공 동의서- 부서별 각종 동의서 양식 검토 및 수정- 종류별 표준 동의서 샘플 제작정말 많이도 했고, 덕분에..

보안 컨설팅 회사들에게는 고질적인 문제(?)가 있다고 한다. 사실 우리 회사만의 문제인줄 알았는데, 몇몇 타 회사 사람들과 교류해본 결과, 컨설팅 회사의 고질적인 문제인 것으로 판명났다. 컨설턴트가 언제, 어디로 끌려갈지 모른다는 점이 그렇다. 이건 자연스레 컨설턴트들의 불만으로 이어질 수밖에 없다. 나는 아직 겪지 못했으나, 사업이 끝나고 휴가를 올린 한 동료가 상사로부터 '휴가를 왜 써? 너 사업 들어가는 거 몰라?'라는 말을 들으며 휴가가 잘렸다고 한다. 물론, 그 직원은 어떠한 내용도 전달받은 게 없는데 말이다. 언제 어디로 투입될지 모르니, 휴가를 계획할 수도 없는 것이다. 그래서 이 문제를 어떻게 하면 없애지는 못하더라도 줄일 수 있을까 생각한 결과, 답은 단순했다. 매번 본사에 남아있는 인원..

1. 서론나만 그런지는 모르겠다. 11월이 되면 하나둘 크리스마스 분위기를 만들기 시작하며 12월 25일까지 괜시리 설레는 분위기가 지속된다. 크리스마스에 특별한 선물도, 이벤트도 없을 것을 안다. 하지만 크리스마스를 생각하면 나는 언제나 나홀로집에 영화에서 가족들이 트리 앞에서 선물을 교환하는 장면이 떠오르곤 한다. 허나 12월 26일이 되는 순간, 언제나 현실을 마주하며 한 해를 되돌아보게 된다. 고시를 공부할 때는 매년 이맘때가 너무도 힘들었다. 차라리 몸이 아팠을 때는 괜찮았다. 몸이 아팠을 때도 나는 내 체중, 화장실에 가는 횟수 등을 기록하며 나의 발전을 기록하는 해를 보내곤 했기 때문이다. 하지만 고시는 당락 외에는 성과를 낼 수 있는 게 없었다. 그게 내게는 너무 힘든 과정이었다. 그리고 ..