수달정보보호

GPT를 활용한 개인정보처리방침 안전성 검증 기법

빅데이터라는 말은 이제 자주 접할 수 있는 단어다. 점점 빅데이터 구축은 당연시되고 있으며, 빅데이터가 구축된다는 말은 그만큼 개인정보의 양도 방대해진다는 것을 의미한다. 개인정보의 양이 방대해지면, 당연히 개인정보 유출의 우려도 증가하기 마련이다. 각 기업 및 단체에서는 이를 위해 정보주체에게 1차적으로 개인정보 처리방침을 제공하고 있다. 나도 이번에 OO청의 개인정보 처리방침을 개정했는데, 개인정보 처리방침이 정말 '잘' 작성되었는지 확인하기는 쉽지 않다. 보통 1~2명이 제정 또는 개정하는 것이 일반적일 것이고, 그렇기에 실수가 있을 수도 있을 것이다. 문제는 그걸 바로 잡을 대상이 누구냐는 것이다. 그리고 그걸 GPT가 해줄 수 있을 것이다. 생성형 AI인 GPT-3.5 API가 도움이 될 수 있..

참 낯익은 그이름 오픈 AI에서 보안 보고서에 해당하는 문건을 발표했다고 한다. 우리가 그동안 AI의 등장 및 발전과 함께 AI가 공격자들에게 악용될 것을 우려해 왔다. 그런데 정작 '어떻게' 악용될 것인지는 잘 몰랐던 게 사실이다.  그리고 오픈 AI의 보고서에 따르면, 공격자들은 특히  최종 콘텐츠를 배포하기 직전의 단계에서 인공지능 모델을 적극 활용한다. 다만, 그나마 다행인 것은 아직까지 공격자들 사이에서 인공지능을 활용한 획기적인 공격 기법이 개발된 것으로 보이지는 않다는 것이다. 사실 그럴만 한 것이, 개발이 되었다면 진즉 공격이 진행되었을 터다. 가장 무서운 것이 취약점을 인공지능 스스로 발굴하고 익스플로잇 한다거나, 모든 공격의 절차를 자동으로 진행하는 것인데, 아직 이것까지는 시기상조인 ..

국내의 개인정보보호법은 개인정보처리자의 법 위반에 대해 분쟁조정·엄격한 손해배상책임·법정손해배상 ·단체소송 등의 만사 제재와 시정 명령·과징금·과태료 등의 행정적 제재를 가하고 있다. 이것만 들으면 '뭐가 과한 거지?' 싶을 수 있다. 그러나 여기에 중복적으로 형벌을 부과하는 것이 골자다. 하나의 위법 행위에 대해 이중 삼중 처벌을 가하고 있는 건데, 이에 대해 우리는 개보법의 집행을 지나치게 국가형벌권에 의존한다는 비판이 있다. 물론 특정 반사회적 행위를 범죄로 규정하는 것은 입법자의 넓은 입법 형성의 영역에 속한다. 그러나 그렇다고 해서 그게 무제한으로 가능하다는 것을 의미하지는 않는다. 형벌은 헌법상 신체의 자유에 대한 중대한 침해를 가하는 것이고, 그렇기에 법익의 보호를 위한 최후적이고 보충적인 ..

개보위의 발표에 따르면, 25년 초에 전담소송팀이 생긴다고 한다. 개보위는 2011년에 출범했는데, 약 14년 사이에 많은 처분을 했으나 이에 불복하는 기업이 많았다고 한다.개보위는 윤 대통령 취임 이후에만 개인정보보호 위반에 대해 총 1,552억의 과징금 및 과태료와 240건의 시정명령을 부과하는 등 '우리나라는 개인정보에 대한 매질이 너무 약하다'는 세간의 시선과는 다르게, 분명 제재에 힘써왔다.문제는 그렇게 부과를 하고 명령을 내려도, 이를 승복하지 않는 기업들이 많다는 것이다. 특히 대기업의 경우 엄청난 돈을 투자하여 처분 취소 소송을 제기하고 있으니 개보위 측에서는 너무나도 힘든 현실인 것이다.물론 전문소송팀이 생긴다고 하여 즉각적인 효과가 생길 것이라는 기대를 하지는 않지만, 개보위의 노고가 ..

우리 사회에서는 개인정보보호를 절대화하려는 경향이 짙어지고 있다고 한다. 이는 정보주체의 동의없는 개인정보 처리를 불법적이라고 단정짓는 것에서 비롯된다. 즉, 개인정보자기결정권을 잘못 이해한 것의 결과라고 할 수 있다. 자칫 잘못하게 된다면, 이런 사태는 모든 개인정보를 마치 비밀정보로 취급하는 우를 범하게 만들 것이다. 그리 된다면, 결과적으로 국가와 사회의 원활한 기능을 마비시킬 수 있을 것이다. 개인정보는 정보주체의 인격적 징표이지만, 그 자체를 모두 가두어 보호하려고 하면 아니 될 것이다. 사회의 존립과 기능유지에 있어, 많은 경우에 타인에 대한 정확한 평가를 기초로 두고 있다. 그리고 타인에 대한 그런 정확한 평가가 가능하기 위해서는 그의 인격적 징표가 유통될 수 있어야 한다. 만일 개인정보를 ..

동의 없는 개인정보처리는 원칙적으로 불법일까?  개인정보 처리의 합법성 요건과 관련하여 우리 사회에서 가장 논쟁적인 이슈를 든다면, 개인정보의 처리(수집·이용·제공)에 있어 정보주체의 동의 요건을 합법적인 정보처리의 원칙적 기준으로 설정할 것인가 하는 문제가 있다. 정보주체의 동의를 받지 않고도 '합법적으로' 또한 '합리적으로' 처리할 수 있는 경우에 대한 기준은 정확히 무엇일까? 헌법상 인정되는 개인정보자기결정권에서 의미하는 바는 정보주체의 동의 없는 개인정보의 처리를 금지시키는 것일까? 2005년에 헌재는 주민등록 지문등록 DB 사건을 통해 처음으로 개인정보자기결정권을 '독자적인 기본권'으로 인정하는 결정을 내렸다. 헌재는 구청장이 주민등록증을 발급하면서 개인의 지문정보를 수집하고, 이를 경찰청장이 ..

피싱이라는 단어는 보안에 관심이 없어도 귀가 떨어지게 들어볼 단어고, 그만큼 해당 공격이 오랜기간 활발하다는 것을 의미한다. 그런 상황에서 새로운 피싱 도구가 발견됐다. 단순 피싱 도구와 다르게, 표적을 정교하게 설정해주고, 심지어 대량 공격을 할 수 있게 해주는 도구다. 고급 도구라 무료 버전이 없고 유료 버전만 있음에도 인기가 많다고 한다. 이 피싱 도구의 이름은 '고이슈'로, 깃허브 프로필에서 이메일을 자동 추출하고, 그 결과를 이용해 다량의 피싱 공격을 수행하는 것이다. 이 도구는 1. 표적 설정 2. 대량 공격 이 2가지의 결합이라는 점에서 큰 의미가 있다. 특정 기업의 인원들 모두를 타깃으로 할 수 있다는 점에서 이는 기업에게 큰 위협이 될 수 있기 때문이다. 고이슈는 스팸 필터를 우회하여 대..

팔로알토 네트웍스의 보고에 따르면, 해커들 사이에서 유행하는 것이 있다고 한다. 공격자들은 공개된 소스코드를 입맛에 맞게 수정하고 CLI를 제거함으로써 EDR Sand Blast를 만들어 냈다. 이 도구의 핵심은 사용자 모드 라이브러리와 커널 모드 콜백에서 EDR 후크를 표적으로 삼아 제거하는 것이다. 공격자들은 이 도구를 이용해 백신을 무력화하고, 거기에 추가적으로 미미카츠까지 설치하는 것이 이어진다. 이는 이른바 다크웹에서 성행하는 것으로, 이런 흐름이 강해지면 백신과 EDR을 무력화하는 더욱 강력한 도구가 등장할 수 있을 것이다. 따라서 다크웹을 주시하며 그들의 트렌드를 파악하는 한편, 해당 공격도구의 대응방안에 대해 마련해야 할 것이다. 출처: https://m.boannews.com/html/d..

숭실대, 카이스트, 유니스트, 성균관대 4개 대학이 공동으로 개보위가 주관하는 개인정보보호강화 기술연구개발사업의 4차년도 연구개발에 나선다. 이는 신기술 발달에 따른 개인정보에 대한 위협 및 오남용으로부터 보호하기 위한 취지에서 시작됐다. 브라우저상 수집되는 정보주체의 온라인 행태정보 탐지 및 자기 통제기술 개발로 2025년 12월까지 진행될 것이라고 한다. 이 과제의 주 연구대상은 웹 트래커다. 웹 트래커는 개인정보를 침해할 가능성이 충분히 있으며, 따라서 사용자 동의가 필수적이다. 이번 과제의 최종목표는 다음의 5가지로 요약된다. 1. 추정적 분석기술, 자동화된 대응 및 분류기술을 통해 발전적인 추적자 탐지 및 관리 시스템 구축 2. 추적자들의 정적·동적 특징을 바탕으로 기계학습 모델을 개발하고, 다..

1. 논쟁공군(참모총장)은 장교 및 부사관 모집 시 필기시험 응시자 전원에게 신원진술서, 고교생활기록부, 개인신용정보서, 군 복무 당시 상벌내용, 병적증명서 등 신원조회서류를 제출토록 하는데, 이것이 개인정보를 과도하게 요구하는 것인지의 여부다.2. 내용공군은 지원자들에게 전형서류 3가지와 신원조회서류를 자그마치 9가지나 요청하고 있었다. 전형서류는 일반적인 것으로 이해할 수 있다. 여기서 문제가 되는 것은 9가지의 신원조회서류다. 신원조회를 위한 서류는 국군 기무사의 요청에 따른 것이라고 한다. 기무사는 국정원, 국방부로부터 권한을 위임받아  신원조사 업무를 수행하고 있으며, 1차 합격자에 한하여 ① 신원진술서 ② 기본증명서 ③ 가족관계증명서 ④ 주민등록등본 ⑤ 자기소개서 ⑥ 병적증명서 ⑦ 개인신용정보..