수달정보보호

1. 위치정보법의 도입위치정보법 제1조: 이 법은 위치정보의 유출ㆍ오용 및 남용으로부터 사생활의 비밀 등을 보호하고 위치정보의 안전한 이용환경을 조성하여 위치정보의 이용을 활성화함으로써 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다 즉, 위치정보법은 위치정보주체의 권익보호와 위치정보의 산업적 이용보장의 조화를 기본 이념으로 하여, 위치정보의 오남용 방지에 대한 이용자의 신뢰가 형성될 때 관련 산업의 활성화를 도모하기 위한 법률이라고도 볼 수 있다.2. 위치정보의 개념위치정보는 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 전기통신사업법 제2호 및 제3호에 따른 전기통신설비 및 전기통신회선설비를 이용하여 측위된 것을 말한다. 이동성이 있는 물건 또는..

1. 정보보안 통제의 구조정보보안 위험은 위협이 정보자산 또는 그룹의 취약성을 악용하여 조직에 피해를 줄 수 있으므로 조직 및 이해 관계자는 정보보안 위험을 관리하는 것이 필요하다. ISO 27002 정보보안 통제에서 사이버보안 통제 속성은 ISO 27002 사이버보안 프레임워크 또는 사이버보안 통제로 표현한다.통제 프레임워크통제 프레임워크 적용 방법정보보안 통제ISO/IEC 27001ISO/IEC 27002▶ ISO/IEC 27001 위험 기반 통제 원칙은 국제표준, 국가표준 등 통제 프레임워크를 권장함▶ Annex A 통제는 정보보안 통제의 포괄적인 통제 목록에 포함되어 있음▶ ISO/IEC 27001 Annex A 통제 프레임워크는 추가적인 통제를 권장함▶ ISO 27002:2022 정보보안, 사이..

★ 제로 트러스트의 개념신뢰할 수 있는 네트워크라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기, 네트워크 트래픽을 신뢰하지 않으며, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미한다. ★ 기존 경계기반 모델의 한계 내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화되는 보안 위협에 한계 노출 ★ 제로 트러스트 기본 철학① 모든 종류의 접근에 대해 신뢰하지 않을 것② 일관되고 중앙집중적인 정책 관리 및 접근제어 결정·실행 필요③ 사용자, 기기에 대한 관리 및 강력한 인증④ 자원 분류 및 관리를 통한 세밀한 접근제어⑤ 논리 경계 생성 및 세션 단위 접..

★ IoT 공통 보안 7대 원칙① 정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계② 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증③ 안전한 초기 보안 설정 방안 제공④ 보안 프로토콜 준수 및 안전한 파라미터 설정⑤ IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행⑥ 안전한 운영·관리를 위한 정보보호 및 프라이버시 관리체계 마련 ⑦ IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련 ★ IoT 주요 환경 분류① 웨어러블 컴퓨팅: 웨어러블 디바이스 및 다양한 센서 장비들로부터 정보 취득 환경② 사용자 맞춤 환경: 건강 및 수면 등의 일상생활과 관련된 습관 정보 취득 환경③ 가정 자동화: 가정의 일상생활 및 안전사고와 관련된 정보 취득 환경 ★ 개인정보 비식별화 조치 방법 ..

1. 사이버보안 트랜스포메이션의 개요전 세계적으로 사이버 공격의 빈도와 심각성이 증가하고 있으며, 향후 10년 동안 가장 우려되는 10대 글로벌 위험 중 하나로 2030년까지 약 519조의 지출이 예상된다는 것은 사이버 보안의 중요성을 인식할 수 있게 해 준다. 사이버 공격 방어의 목표에서 데이터 중심 보안의 관리는 데이터가 있는 위치나 공유 대상에 관계없이 정보 보호를 강화하는 것으로, 데이터의 속성, 등급, 보호 요구사항에 대한 메커니즘이 필요하다. 사이버 보안 트랜스포메이션은 디지털 전환 시대에 사이버 위협의 조직 및 국가를 보호하는 핵심 가치이며 이에 따라 ISO/IEC 27002 개정은 사이버보안 트랜스포메이션의 가치 있는 변곡점이라 할 수 있다. 그 변곡점의 배경으로는 AI, 빅데이터, 블록체..

★ Ivanti 취약점Ivanti VPN 솔루션인 Ivanti Connect Secure 및 Ivanti Policy Secure에서 제로데이 취약점이 공개됐다. 공격에 성공할 경우 기업 네트워크 망에 자유롭게 접근할 수 있다. ★ 크로스 체인하나의 블록체인 네트워크에서 다른 블록체인 네트워크로 가상자산 ,NFT 등을 교환하는 것 ★ 토네이토 캐시범죄자들이 자금 출처를 숨기기 위해 일반적으로 사용하는 방식으로 라자루스가 탈취한 가상자산을 돈 세탁하는 등 각종 사이버 범죄에 연루된 혐의를 받는 업체 ★ 볼트 타이푼중국 정부 지원 해킹 그룹으로, 미국의 통신, 에너지, 교통 시스템 등 주요 인프라의 내부망에 최소 5년 간 침투해 있었다는 사실이 공개됐다. 소형 및 수명이 다한 라우터, 방화벽, VPN 취약점..

★ 합성데이터실제 데이터(Real Data)와 통계적 특성이 유사하여, 실제 데이터 분석결과와 유사한 결과를 얻을 수 있도록 새롭게 생성해낸 가상의 데이터 ★ 합성데이터의 유형① 완전 합성데이터 (Fully synthetic data): 생성하려고 하는 데이터에 실제 데이터가 하나도 없이 모두 가상으로 생성된 데이터② 부분 합성데이터 (Partially synthetic data): 실제 데이터 중 일부 데이터셋 또는 일부 속성·변수를 선택하여 합성데이터로 대체한 데이터. 다른 속성은 그대로 두고, 민감성이 높거나 공개가 어려운 데이터만 합성데이터로 대체하는 방식 등으로 활용③ 복합 합성 데이터 (Hybrid synthetic data): 일부 변수들의 값을 합성데이터로 생성하고 생성된 합성데이터와 실제..

★ 인공지능 모델 관련 프라이버시 공격 유형① 전도공격: 공격 대상이 되는 분류 모델이 이용하는 클래스(Class)의 대표적인 이미지를 모델의 질의 결과를 이용하여 역산하는 공격② 멤버 추론 공격: 정보주체의 데이터가 특정 클래스로 학습되었는지 확인하는 공격③ 특징 추론 공격: 정보주체의 데이터 중 특정 특징(Attribute)을 추론하는 공격④ 데이터 유출 공격: 훈련에 이용된 데이터를 추출하는 공격 ★ 인공지능 모델 관련 공격 완화 및 권리보장 방안① 인공지능 모델의 파라미터에 대한 접근 제한: 인공지능 모델의 내부 파라미터가 유출될 경우 공격자가 해당 모델에 대한 무제한의 질의와 모델 내부정보를 이용해서 프라이버시 공격들의 성능을 향상시키는 것이 가능하므로 해당 모델을 외부에 전부 공개하거나 모델에..

1. ID와 결제상품정보가 개인정보에 해당하나요?개인정보는 결국 개인을 알아볼 수 있는지 여부에 달려 있다. 해당 내용만으로 개인을 식별할 수 있거나, 혹은 다른 정보와 결합하여 개인을 식별할 수 있다면 이는 개인 정보에 해당할 수 있다. 2. 가상자산 지갑주소가 개인정보에 해당하나요?지갑주소 자체만으로는 개인을 식별하기에는 어려울 것이고, 따라서 개인정보라 보기 어려울 것이다. 그러나 다른 정보와 결합하여 특정 개인을 식별할 수 있다면 이것 역시 개인정보가 될 수 있다. 3. 본인확인기관이 주민등록번호를 변환한 연계정보(CI)가 개인정보에 해당하나요?지정된 본인 확인기관이 주민등록번호를 변환한 연계정보(CI)는 다른 정보와 결합하여 특정인을 식별할 수 있으므로 개인정보에 해당한다. 4. 사망자 관련 정..

★ 개인정보 처리방침 작성 기본사항① 법령 부합성: 개인정보처리자는 법 제30조 제1항 각 호 및 영 제31조 제1항 각 호의 사항 중 해당되는 내용을 모두 작성하여야 하며, 작성된 내용은 개인정보 보호 법령에 부합하여야 함.② 투명성 및 정확성: 개인정보처리자는 정보주체의 알 권리 보장을 위해 자신의 개인정보 처리 현황을 정확하게 반영하여 개인정보 처리방침을 작성하고, 이를 투명하게 공개하여야 함. 개인정보처리자는 개인정보 처리방침에 공개한 내용이 실제 개인정보 처리 현황과 일치할 수 있도록 하는 등의 정확성과 투명성, 최신성을 유지할 수 있도록 수립 및 관리하여야 함.③ 명확성 및 가독성: 개인정보처리자는 법 제30조 제1항 각 호 및 영 제31조 제1항 각 호의 사항을 정보주체가 쉽게 알 수 있도록..