수달정보보호

개인정보 보호법에서는 개인정보자기결정권을 실현하도록 하는 주된 수단으로 동의 제도를 채택하고 있다. 사실 일상에서도, 일을 하면서도, 동의 제도를 채택하지 않는 곳은 아직 본 적이 없다. 그리고 개보위와 KISA가 진행한 에 따르면, 개인정보 수집 근거로 정보주체의 동의를 활용하는 경우가 공공기관은 96.5%, 민간기업은 98.1%에 달한다고 한다. 자세한 내용은 아래와 같다. 특히나 민간인 경우 동의 제도의 비중이 매우 크다는 것을 알 수 있다. 그런데 개인정보보호법 상 동의 제도는 전세계적으로 꾸준히 비판의 대상이 되어 왔다. 이유는 동의 모델이 지닌 한계 때문이다. 잠깐 이야기를 새서, 민법에서 자연인이라 함은 온전한 인지 능력, 의사판단 능력 등을 지녔음을 인정하는 대상이다. 그렇기에 법적 책임을..

빅데이터라는 말은 이제 자주 접할 수 있는 단어다. 점점 빅데이터 구축은 당연시되고 있으며, 빅데이터가 구축된다는 말은 그만큼 개인정보의 양도 방대해진다는 것을 의미한다. 개인정보의 양이 방대해지면, 당연히 개인정보 유출의 우려도 증가하기 마련이다. 각 기업 및 단체에서는 이를 위해 정보주체에게 1차적으로 개인정보 처리방침을 제공하고 있다. 나도 이번에 OO청의 개인정보 처리방침을 개정했는데, 개인정보 처리방침이 정말 '잘' 작성되었는지 확인하기는 쉽지 않다. 보통 1~2명이 제정 또는 개정하는 것이 일반적일 것이고, 그렇기에 실수가 있을 수도 있을 것이다. 문제는 그걸 바로 잡을 대상이 누구냐는 것이다. 그리고 그걸 GPT가 해줄 수 있을 것이다. 생성형 AI인 GPT-3.5 API가 도움이 될 수 있..

개인적으로 MZ 세대라는 말 자체를 정말 싫어하지만, 논문 제목이 이러하니.. 어쩔 수가 없다. 이번 논문을 통해 상대적으로 젊은 직원들을 대상으로 하는 보안 교육에 대해서 고민해볼 수 있을 것이다. 젊은 세대의 컨텐츠라고 한다면 가장 먼저 떠오르는 단어는 개인적으로 Short다. 이른바 숏츠, 릴스, 틱톡 같은 것들이 유행하고 있으며, 굳이 그런 아주 짧은 영상이 아니더라도, 갈수록 젊은 사람들은 30분 보다는 20분, 20분 보다는 10분의 영상을 더 선호한다. 나는 개인적으로 유투브를 선호하는데, 확실히 10분 정도의 길이가 가장 대중적이지 않나 싶다. 왜냐하면, 길수록 따분하기 때문이다. 점점 사람들이 짧은 영상에 길들여지고 있다고 할 수 있다. 그리고 102030 세대가 그간 자의가 아닌 타의로..

실무에서의 환경 변화를 정책이 매번 바로바로 따라잡기란 요원한 일이다. 그렇기에 우리는 정책, 법안, 프레임워크에 지나치게 맹신을 해서는 안 되는 것이다. 그런데 단순히 변화를 따라잡지 못한다고 해서 그런 정책들을 맹신하면 안 된다고 하는 것은 아니다. ISMS-P가 2024.6.20에 새로 갱신되었다고 해서, 그것이 24년 6월의 실무적 환경을 모두 반영하는 것은 결코 아니기 때문이다. 결국 정책은 사람이 만드는 일이고, 구멍이 생길 수밖에 없다. 같은 이유에서 ISO 27001, GDPR도 마찬가지다.  그리고 여기서는 ISMS-P를 더욱 효과적으로 적용할 수 있는 방안에 대해 논의하도록 한다. 실무가 100이라고 했을 때, 기존의 ISMS-P가 50의 도움을 준다고 하면, 이를 60-70으로 올리는..

보안 사고의 유형을 분류하는 방법은 다양하다. 그러나 그중 가장 단순한 분류 중 하나가 ① 외부자의 공격으로 인한 사고 ② 내부자의 고의 또는 실수로 인한 사고일 것이다. 보통 70~80%가 ①에 속하고, 20~30%가 ②에 속한다. 무시하기에는 내부에서 발생하는 비율도 만만치 않은 것이다. 그렇기에 각 조직의 보안 담당자는 외부와 내부의 사고 가능성을 모두 고려해야만 한다. 그리고 여기서는 내부자로 인한 사고에 대해 집중한다. 조직원이 사고를 칠, 그러니까 부정적 행동을 하도록 만드는 동기는 무엇일까? 조직원이 불확실성을 느끼기 때문이다. 그리고 보안 컴플라이언스를 지키지 않는 조직원은 조직 중심이 아닌, 개인 중심의 행동을 할 가능성이 커지게 된다. 그렇기에 이 논문에서는 개인적인 행동을 하게 만드는..