수달정보보호

개인정보보호위원회는 개인정보 보호법을 위반한 ㈜우리카드에 134억 5,100만 원의 과징금 부과와 더불어 시정명령·공표명령을 의결하였다. 개인정보위는 24년 4월 ㈜우리카드의 신고와 함께 (주)우리카드 가맹점 대표자의 개인정보가 카드 신규 모집에 이용된다는 언론보도 등에 따라 조사에 착수하였고, 조사 결과 ㈜우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이이를 카드 모집인에게 전달한 사실을 확인하였다. ㈜우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를위해 22년 7월부터 24년 4월까지 카드가맹점의 사업자등록번호를 가맹점관리 프로그램에 입력하여 가맹점주 최소 131,862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회하였..

개인정보 손해배상책임보장제도는 그간 분명 유명무실했다고 말할 수 있다. 개인정보 유출 사고 대비 보상 건수만 보더라도 그러하다. 개인정보 손해배상책임 보장제도는 개인정보 유출 피해 발생 시기업의 배상능력이 부족한 경우에도 피해구제가 가능하도록 보험·공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 의무화하는 제도인데, 실제 통계를 따졌을 때 지급이 5%도 안 되었다는 점을 고려한다면 이 제도에는 분명 변화가 필요했다. 그렇다면 왜 그동안은 이 제도가 유명무실했을까? 그동안 개인정보 손해배상책임 보장제도는 매출액이 10억 원 이상이면서 저장·관리하는 정보주체 수가 1만 명 이상인 개인정보처리자를 의무대상으로하였으나, ① 의무대상 파악이 어려웠다. 따라서 개보위는 이번에 칼을 빼들면서 실질적 점검·관리를..

개인정보보호위원회와 한국인터넷진흥원은 2024년에 신고된 개인정보 유출 사고를 분석하여, 원인별 예방책을 담은 「2024년 개인정보 유출 신고 동향 및 예방 방법」을 발간했다.  2024년에 있었던 개인정보 유출 신고는 총 307건으로, 전년도(318건)와 비슷한 양상을 보였다. 굳이 따지자면 오히려 줄어들었다고 할 수 있겠다.전년도 보다 비중이 다소 높아지긴 했는데, 역시나 유출의 가장 큰 원인이 되는 것은 해킹이다. 여기서 원인 미상이라는 것이 대폭 늘어난 게 참 흥미롭다. 원인 미상이라는 것은 사실 어떤 사건이건, 있어서는 안되는 일이다. 원인을 모르면, 또 당한다는 것은 당연하기 때문이다. 그렇다면 왜 원인 미상일까? 원인이라는 것은 가장 단순하게 생각한다면, 로그에서 그 정보를 알아낼 수 있을 ..

특징기존 NIST 지침2025 NIST 지침비밀번호 길이 요구사항최소 8자 최소 12에서 16자복잡성 요구사항필수(대소문자 혼합/특수문자)필수는 아니며, 길이에 초점비밀번호 변경60~90일마다타협안에 한하여 결정비밀번호 힌트 사용허용금지문자 집합 지원제한모든 ASCII 와 유니코드 지원비밀번호 관리자 권장제한강력하게 권장 1. 복잡성이 아닌 길이에 초점이제는 복잡성이 아닌 길이에 초점을 맞춘다. 길이가 늘어났지만, 복잡성에 포커스를 두지 않기 때문에 사용자 입장에서는 오히려 부담이 줄어들었다고 볼 수 있다. 특히, 일부 기업에서는 반드시 대문자를 넣도록 요구하는 경우가 있는데, 이런 것들이 이용자들에게 불편을 줄 수 있기 때문이다. 그리고 이미 많은 이용자들이 특수문자+알파벳+숫자의 조합을 활용한 PW ..

개인정보보호위원회는 국민생활과 밀접한 7개 분야에 대한 24년 개인정보 처리방침 평가 결과를 공개했다. 2024년 평가제 적용대상은 총 7개 분야 49개 기업으로 진행됐다.  이번 평가는 다음과 같은 기준으로 평가되었다.① 적정성: 보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지 ② 가독성: 처리방침을 알기 쉽게 작성했는지③ 접근성: 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 전문가위원(30명) 평가와 이용자평가단(50명) 평가를 병행해 진행된 이번 평가 결과 대상기업 평균점수는, 100점 만점 기준으로 가독성 69.1점, 접근성 60.8점, 적정성 53.4점 순으로 나타났다. 또한 12개의 해외사업자의경우 개인정보 공유·협력 등 국내법‧정책과 다르게 표현하거나, 번역투 문장..

정확히는 현명하게 프롬프트를 입력하는 법이 되겠다. GPT는 결코 알잘딱깔센이 아니다. 우리가 무엇을, 어떻게 원하는지를 분명하게 질의를 해야 더욱 우수한 답을 얻을 수 있다. GPT를 활용하는 능력은 조만간 워드, 엑셀을 활용하는 능력보다 더욱 대부분의 사무직에서 중요하게 요구되지 않을까 싶다. 그리고 GPT를 잘 활용하는 것은 좋은 프롬프트를 쓰는 것이다. 프롬프트를 잘 쓰는 5가지 원칙은 다음과 같다. 1. 목표와 요구사항을 정확하게 전달한다.프롬프트의 목적이 무엇이고, 어떤 결과를 원하는지 명확하게 표현을 해야 한다. 사실 이런 습관을 들이는 것은 일상에서도 큰 도움이 된다. 문제를 정확하게 파악하고, 원하는 결과물의 형태가 무엇인지 파악하는 것이 중요하다.  2. 명확성을 적용한다.과거 수능 국..

KISIA가 개인정보보호 재직자 교육을 시작한다. 사실 그간 개인정보 보호배움터에서 여러 강의를 듣긴 했지만, 사실 개인정보 보호배움터 교육은 정말 실무에 맞춰져 있다고 보기는 어렵다. 조금 더 이론적인, 개념적인 성향이 강하다. 그리고 이번 KISIA의 교육으로 인해 정말 실무에 필요한 세부적 강의에 대한 갈증이 해소될 것 같은 기대가 있다.  KISIA는 올해 860명 교육생을 양성할 계획이며, 14개 과정 43회 교육을 목표로 하고 있다.  이번 달 교육 신청을 받고 있다. 희망자는 KISIA 홈페이지를 통해 신청할 수 있다. 협약기업 중 중소기업에 재직자는 전액 무료이고, 300인 이상 대규모 기업 재직자는 교육비 20%를 부담해야 한다. 출처: https://www.boannews.com/med..

참 낯익은 그이름 오픈 AI에서 보안 보고서에 해당하는 문건을 발표했다고 한다. 우리가 그동안 AI의 등장 및 발전과 함께 AI가 공격자들에게 악용될 것을 우려해 왔다. 그런데 정작 '어떻게' 악용될 것인지는 잘 몰랐던 게 사실이다.  그리고 오픈 AI의 보고서에 따르면, 공격자들은 특히  최종 콘텐츠를 배포하기 직전의 단계에서 인공지능 모델을 적극 활용한다. 다만, 그나마 다행인 것은 아직까지 공격자들 사이에서 인공지능을 활용한 획기적인 공격 기법이 개발된 것으로 보이지는 않다는 것이다. 사실 그럴만 한 것이, 개발이 되었다면 진즉 공격이 진행되었을 터다. 가장 무서운 것이 취약점을 인공지능 스스로 발굴하고 익스플로잇 한다거나, 모든 공격의 절차를 자동으로 진행하는 것인데, 아직 이것까지는 시기상조인 ..

개보위의 발표에 따르면, 25년 초에 전담소송팀이 생긴다고 한다. 개보위는 2011년에 출범했는데, 약 14년 사이에 많은 처분을 했으나 이에 불복하는 기업이 많았다고 한다.개보위는 윤 대통령 취임 이후에만 개인정보보호 위반에 대해 총 1,552억의 과징금 및 과태료와 240건의 시정명령을 부과하는 등 '우리나라는 개인정보에 대한 매질이 너무 약하다'는 세간의 시선과는 다르게, 분명 제재에 힘써왔다.문제는 그렇게 부과를 하고 명령을 내려도, 이를 승복하지 않는 기업들이 많다는 것이다. 특히 대기업의 경우 엄청난 돈을 투자하여 처분 취소 소송을 제기하고 있으니 개보위 측에서는 너무나도 힘든 현실인 것이다.물론 전문소송팀이 생긴다고 하여 즉각적인 효과가 생길 것이라는 기대를 하지는 않지만, 개보위의 노고가 ..

피싱이라는 단어는 보안에 관심이 없어도 귀가 떨어지게 들어볼 단어고, 그만큼 해당 공격이 오랜기간 활발하다는 것을 의미한다. 그런 상황에서 새로운 피싱 도구가 발견됐다. 단순 피싱 도구와 다르게, 표적을 정교하게 설정해주고, 심지어 대량 공격을 할 수 있게 해주는 도구다. 고급 도구라 무료 버전이 없고 유료 버전만 있음에도 인기가 많다고 한다. 이 피싱 도구의 이름은 '고이슈'로, 깃허브 프로필에서 이메일을 자동 추출하고, 그 결과를 이용해 다량의 피싱 공격을 수행하는 것이다. 이 도구는 1. 표적 설정 2. 대량 공격 이 2가지의 결합이라는 점에서 큰 의미가 있다. 특정 기업의 인원들 모두를 타깃으로 할 수 있다는 점에서 이는 기업에게 큰 위협이 될 수 있기 때문이다. 고이슈는 스팸 필터를 우회하여 대..