수달정보보호

KISIA가 개인정보보호 재직자 교육을 시작한다. 사실 그간 개인정보 보호배움터에서 여러 강의를 듣긴 했지만, 사실 개인정보 보호배움터 교육은 정말 실무에 맞춰져 있다고 보기는 어렵다. 조금 더 이론적인, 개념적인 성향이 강하다. 그리고 이번 KISIA의 교육으로 인해 정말 실무에 필요한 세부적 강의에 대한 갈증이 해소될 것 같은 기대가 있다.  KISIA는 올해 860명 교육생을 양성할 계획이며, 14개 과정 43회 교육을 목표로 하고 있다.  이번 달 교육 신청을 받고 있다. 희망자는 KISIA 홈페이지를 통해 신청할 수 있다. 협약기업 중 중소기업에 재직자는 전액 무료이고, 300인 이상 대규모 기업 재직자는 교육비 20%를 부담해야 한다. 출처: https://www.boannews.com/med..

개인정보 보호법에서는 개인정보자기결정권을 실현하도록 하는 주된 수단으로 동의 제도를 채택하고 있다. 사실 일상에서도, 일을 하면서도, 동의 제도를 채택하지 않는 곳은 아직 본 적이 없다. 그리고 개보위와 KISA가 진행한 에 따르면, 개인정보 수집 근거로 정보주체의 동의를 활용하는 경우가 공공기관은 96.5%, 민간기업은 98.1%에 달한다고 한다. 자세한 내용은 아래와 같다. 특히나 민간인 경우 동의 제도의 비중이 매우 크다는 것을 알 수 있다. 그런데 개인정보보호법 상 동의 제도는 전세계적으로 꾸준히 비판의 대상이 되어 왔다. 이유는 동의 모델이 지닌 한계 때문이다. 잠깐 이야기를 새서, 민법에서 자연인이라 함은 온전한 인지 능력, 의사판단 능력 등을 지녔음을 인정하는 대상이다. 그렇기에 법적 책임을..

빅데이터라는 말은 이제 자주 접할 수 있는 단어다. 점점 빅데이터 구축은 당연시되고 있으며, 빅데이터가 구축된다는 말은 그만큼 개인정보의 양도 방대해진다는 것을 의미한다. 개인정보의 양이 방대해지면, 당연히 개인정보 유출의 우려도 증가하기 마련이다. 각 기업 및 단체에서는 이를 위해 정보주체에게 1차적으로 개인정보 처리방침을 제공하고 있다. 나도 이번에 OO청의 개인정보 처리방침을 개정했는데, 개인정보 처리방침이 정말 '잘' 작성되었는지 확인하기는 쉽지 않다. 보통 1~2명이 제정 또는 개정하는 것이 일반적일 것이고, 그렇기에 실수가 있을 수도 있을 것이다. 문제는 그걸 바로 잡을 대상이 누구냐는 것이다. 그리고 그걸 GPT가 해줄 수 있을 것이다. 생성형 AI인 GPT-3.5 API가 도움이 될 수 있..

오늘부로 9월부터 시작된 프로젝트가 드디어 종료되었다.내가 이 프로젝트에서 수행한 역할은 다음과 같다.[관리적 분야]• 정보보안 수준진단- 부서별 증빙자료 검토 및 진단- 부서별 인터뷰 실시- 증빙자료 가이드라인 제작- 개별/종합 보고서 작성[물리적 분야]• 물리적 취약점 분석·평가- 부서별 인터뷰 실시 및 현장실사- 개별/종합 보고서 작성[개인정보보호 분야]• 개인정보보호 수준평가- 점검 양식 제작- 부서 별 제출자료 검토 및 평가- 개별/종합 결과보고서 작성• 개인정보처리방침 개정• 내부관리계획 개정• 영상정보처리기기 운영·관리 방침 개정• 개인정보 안전성 확보조치 개정• 개인정보 수집·이용·제공 동의서- 부서별 각종 동의서 양식 검토 및 수정- 종류별 표준 동의서 샘플 제작정말 많이도 했고, 덕분에..

보안 컨설팅 회사들에게는 고질적인 문제(?)가 있다고 한다. 사실 우리 회사만의 문제인줄 알았는데, 몇몇 타 회사 사람들과 교류해본 결과, 컨설팅 회사의 고질적인 문제인 것으로 판명났다. 컨설턴트가 언제, 어디로 끌려갈지 모른다는 점이 그렇다. 이건 자연스레 컨설턴트들의 불만으로 이어질 수밖에 없다. 나는 아직 겪지 못했으나, 사업이 끝나고 휴가를 올린 한 동료가 상사로부터 '휴가를 왜 써? 너 사업 들어가는 거 몰라?'라는 말을 들으며 휴가가 잘렸다고 한다. 물론, 그 직원은 어떠한 내용도 전달받은 게 없는데 말이다. 언제 어디로 투입될지 모르니, 휴가를 계획할 수도 없는 것이다. 그래서 이 문제를 어떻게 하면 없애지는 못하더라도 줄일 수 있을까 생각한 결과, 답은 단순했다. 매번 본사에 남아있는 인원..

1. 서론나만 그런지는 모르겠다. 11월이 되면 하나둘 크리스마스 분위기를 만들기 시작하며 12월 25일까지 괜시리 설레는 분위기가 지속된다. 크리스마스에 특별한 선물도, 이벤트도 없을 것을 안다. 하지만 크리스마스를 생각하면 나는 언제나 나홀로집에 영화에서 가족들이 트리 앞에서 선물을 교환하는 장면이 떠오르곤 한다. 허나 12월 26일이 되는 순간, 언제나 현실을 마주하며 한 해를 되돌아보게 된다. 고시를 공부할 때는 매년 이맘때가 너무도 힘들었다. 차라리 몸이 아팠을 때는 괜찮았다. 몸이 아팠을 때도 나는 내 체중, 화장실에 가는 횟수 등을 기록하며 나의 발전을 기록하는 해를 보내곤 했기 때문이다. 하지만 고시는 당락 외에는 성과를 낼 수 있는 게 없었다. 그게 내게는 너무 힘든 과정이었다. 그리고 ..

오늘 가산에 위치한 모 기업의 IDC 방문을 끝으로 물리적 취약점 평가를 위한 현장 실사 여정을 마쳤다. 컨설팅 사업도 점점 종료보고가 보이기 시작하고, 산출물도 대부분 모양새를 갖춘 상황이다.  이번 사업을 진행하며 참 운이 좋게도 여러 곳의 시설을 경험할 수 있었는데, 오늘까지 경험을 하며 들었던 소감은, 역시나 국내에서 시행하는 각종 물리적 취약점 평가 가이드라인이 너무 빈약하다는 점이다. 이해가 가지 않는 것은 아니다. 정말 현대를 제대로 반영하는 물리적 보안을 달성하기 위해서는 큰 금액이 요구되기 때문이다. 사실 물리적 취약점은 '당연히 100점을 맞아야 한다'는 것만 없어도 개정하기 수월하겠으나, 저런 개념 자체가 이미 깊숙하게 자리잡고 있기 때문에 개정이 어려운 것으로 보인다. 이는 주정통이..

이번 컨설팅에서 참 다양하고, 그래서 좋은 경험을 하고 있다. 그런데 그중에서도 물리적 취약점 점검을 위한 현장실사를 하는 것은 참 내게 많은 경험치를 안기는 느낌이다. 사실 나는 내가 다니는 회사의 전산실 등 통제구역을 구경한 적도 없다. 그저 전문서비스 기업 심사를 대비해 취약점 분석실만 몇 번 들락날락거렸을 뿐이다. 그런데 여기에 들어와서는 각종 다단계 보호구역을 입성하는 호사를 누리고 있다. 우선, 이곳은 기관이 2개로 나눠져 있다. A가 대부분의 시스템의 물리적 보안을 담당하고, B가 소수를 담당하고 있다. 그리고 정말 이곳의 현장실사만으로도 참 인상 깊었다. 감시통제, 접근통제, 환경통제, 전력보호 부분에서 '이렇게만 하면 물리적 보안과 관련하여 문제가 발생할 가능성은 줄어들겠다' 싶은 생각이..

참 낯익은 그이름 오픈 AI에서 보안 보고서에 해당하는 문건을 발표했다고 한다. 우리가 그동안 AI의 등장 및 발전과 함께 AI가 공격자들에게 악용될 것을 우려해 왔다. 그런데 정작 '어떻게' 악용될 것인지는 잘 몰랐던 게 사실이다.  그리고 오픈 AI의 보고서에 따르면, 공격자들은 특히  최종 콘텐츠를 배포하기 직전의 단계에서 인공지능 모델을 적극 활용한다. 다만, 그나마 다행인 것은 아직까지 공격자들 사이에서 인공지능을 활용한 획기적인 공격 기법이 개발된 것으로 보이지는 않다는 것이다. 사실 그럴만 한 것이, 개발이 되었다면 진즉 공격이 진행되었을 터다. 가장 무서운 것이 취약점을 인공지능 스스로 발굴하고 익스플로잇 한다거나, 모든 공격의 절차를 자동으로 진행하는 것인데, 아직 이것까지는 시기상조인 ..

오늘은 중학교 시절 친구를 만났다. 샌드박스로 이직을 하게 되었다는 좋은 소식을 들을 수 있었다. 회사 사이즈도 커지기도 했으나, 게임 업계보다는 정확히는 플랫폼 업계에서 게임을 다루고 싶어하는 친구의 목적이 달성된 것에 큰 의미가 있엇다. 성공적인 생활이 되기를 축하하는 한편, 돌아오는 길에 나도 언젠가 보안담당자로 간다면.. 이라는 상상의 나래를 펼치게 됐다. 그중에서 개보가 상상하기에 적합하여 개보 담당자의 면접을 생각해 보았다.그리고 예상 질문과 의도 및 답변에 대해 간단하게 10개만 생각해 보았다. 다 쓰고 나니 개보 담당자들이 수탁사 문제를 까다로워 한다는 게 생각이 났지만.. 이 문제는 다음에 심도있게 다루는 게 좋을 것 같다.1. 개인정보보호법에 따라 개인정보를 수집할 수 있는 법적 근거는..