분류 전체보기 367

2025 NIST 비밀번호 가이드라인의 주요 업데이트

특징기존 NIST 지침2025 NIST 지침비밀번호 길이 요구사항최소 8자 최소 12에서 16자복잡성 요구사항필수(대소문자 혼합/특수문자)필수는 아니며, 길이에 초점비밀번호 변경60~90일마다타협안에 한하여 결정비밀번호 힌트 사용허용금지문자 집합 지원제한모든 ASCII 와 유니코드 지원비밀번호 관리자 권장제한강력하게 권장 1. 복잡성이 아닌 길이에 초점이제는 복잡성이 아닌 길이에 초점을 맞춘다. 길이가 늘어났지만, 복잡성에 포커스를 두지 않기 때문에 사용자 입장에서는 오히려 부담이 줄어들었다고 볼 수 있다. 특히, 일부 기업에서는 반드시 대문자를 넣도록 요구하는 경우가 있는데, 이런 것들이 이용자들에게 불편을 줄 수 있기 때문이다. 그리고 이미 많은 이용자들이 특수문자+알파벳+숫자의 조합을 활용한 PW ..

보안/뉴스 2025.03.19

개인정보위, 24년 개인정보 처리방침 평가 결과 공개

개인정보보호위원회는 국민생활과 밀접한 7개 분야에 대한 24년 개인정보 처리방침 평가 결과를 공개했다. 2024년 평가제 적용대상은 총 7개 분야 49개 기업으로 진행됐다.  이번 평가는 다음과 같은 기준으로 평가되었다.① 적정성: 보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지 ② 가독성: 처리방침을 알기 쉽게 작성했는지③ 접근성: 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 전문가위원(30명) 평가와 이용자평가단(50명) 평가를 병행해 진행된 이번 평가 결과 대상기업 평균점수는, 100점 만점 기준으로 가독성 69.1점, 접근성 60.8점, 적정성 53.4점 순으로 나타났다. 또한 12개의 해외사업자의경우 개인정보 공유·협력 등 국내법‧정책과 다르게 표현하거나, 번역투 문장..

보안/뉴스 2025.03.18

개인정보 유출로 인한 정신적 손해와 관련하여

개인정보가 유출되면 당연하게도 정신적 손해가 발생할 것이다. 언젠가 발생할 수 있는 피해에 대한 두려움이 있기 때문이다. 그런데 정신적 손해라는 것은 어느 분야에서나 입증하기 힘든 영역이다. 따라서 그간의 판례, 해외의 사례를 토대로 정신적 손해에 대한 기준에 대해 탐구하도록 한다. 사례 1. 리니지Ⅱ 이용자 개인정보 유출 사건(대법원 2008)피고 회사 직원의 실수로 이용자의 ID, PW가 유출되는 사고가 발생하였고, 이에 피고 회사는 로그파일이 자동 삭제되도록 시스템 패치를 하는 한편, 모든 이용자가 주민등록번호를 통한 본인확인 진행 후 비밀번호를 반드시 변경하도록 조치하였다.  여기서 PC방을 이용해 리니지Ⅱ를 플레이한 사람과 본인의 집에서 개인 PC를 이용해 리니지를 플레이한 사람이 나뉘게 된다...

개인정보 취급 및 관리 실무

개인정보 보존 기한에 대한 논쟁이 있음. 예를 들어, 의료법에서는 보존 기한을 10년으로 명시하는데, 이는 limit을 의미하는 게 아닌, 최소한의 기한을 의미하는 것임. 그러나 개인정보보호법에서는 의료법에서 명시한 10년을 고려하여, 10년이 도래하면 수집 목적이 해소되었을 경우 삭제하는 것을 주장하는 것임. 여기서 사람들은 특별법 우선주의에 의거하여 판단하게 되는데, 법률의 관계는 고정적인 게 아님. 특정법이 항상 특별법인 것은 아니기 때문에 그 상황과 관계에 따라 특별법을 판정하여 판단해야 함. 정보주체 법정대리인의 정당성을 어떻게 증명할 것인가? 개인정보처리자는 어떠한 노력을 할 수 있을까? 그런데 그 노력이 최소한의 수집 원칙에 위배되서는 안 된다. 그렇기에 가족관계증명서를 받는 것이 정석적으로..

보안/교육 2025.03.11

GPT를 현명하게 이용하는 법

정확히는 현명하게 프롬프트를 입력하는 법이 되겠다. GPT는 결코 알잘딱깔센이 아니다. 우리가 무엇을, 어떻게 원하는지를 분명하게 질의를 해야 더욱 우수한 답을 얻을 수 있다. GPT를 활용하는 능력은 조만간 워드, 엑셀을 활용하는 능력보다 더욱 대부분의 사무직에서 중요하게 요구되지 않을까 싶다. 그리고 GPT를 잘 활용하는 것은 좋은 프롬프트를 쓰는 것이다. 프롬프트를 잘 쓰는 5가지 원칙은 다음과 같다. 1. 목표와 요구사항을 정확하게 전달한다.프롬프트의 목적이 무엇이고, 어떤 결과를 원하는지 명확하게 표현을 해야 한다. 사실 이런 습관을 들이는 것은 일상에서도 큰 도움이 된다. 문제를 정확하게 파악하고, 원하는 결과물의 형태가 무엇인지 파악하는 것이 중요하다.  2. 명확성을 적용한다.과거 수능 국..

보안/뉴스 2025.03.04

개인정보 침해사고 유출 대응_주요내용 요약

개인정보 유출사고가 발생하면 KISA의 경우, 굳이 담당부서를 찾지 않고 118에 전화하면 되고, 118은 신고를 접수받아 개인정보보호팀과 사고조사팀에 내용을 전달한다. 사고조사 팀에서는 개인정보의 안전성 확보조치 기준 4조의 5~10번에 해당하는 내용을 확인하고, 해당 내용이 준수되었음에도 사고가 발생한 것인지 확인한다. 제4조(내부 관리계획의 수립·시행 및 점검) 中5. 접근 권한의 관리에 관한 사항- DB의 개인정보취급자 계정관리 여부- 홈페이지 관리자페이지에 특정 IP만 접속 허용 여부6. 접근 통제에 관한 사항7. 개인정보의 암호화 조치에 관한 사항- PW는 무조건 SHA-256 이상8. 접속기록 보관 및 점검에 관한 사항- 개인정보처리시스템 뿐만 아니라, 개인정보가 처리되는 모든 부분을 따져야..

보안/교육 2025.02.26

기업 보안 담당자의 역할과 필요한 역량 소고

기업마다 보안 담당자는 형태와 역할이 조금씩은 차이가 있을 것이다. 이는 '보안'이라는 것을 기업에서 어떤 시각으로 바라보냐에 따라 갈릴 것이다. 중소기업의 경우 보안담당자가 아예 없을 수도 있고, 보안담당자와 개인정보보호 담당자가 구분되지 않는 곳도 있을 수 있으며, 각 담당자가 명확한 구분 없이 상호보완적인 곳도 있을 것이다. 그리고 개인정보 담당자들 대화방을 보며 그간 느낀 것은, 보안담당자에게 있어 기술적 역량만 중요한 것이 아니라는 점이다. 문득 고려대학교에서 개인정보보호 대학원을 신설한다고 했을 때 강의의 상당수가 인문학과 연관된 것이었던 게 기억난다. 그것만 보더라도 기술적인 부분은 깔고 들어간다고 봐야하는 게 맞을 것이다. 사실, 기술적이라는 부분도 기업마다 필요한 부분은 제각각일 것이다...

기타 2025.02.24

[IDSP 2025] 제 13회 정보보호&데이터 프라이버스 컨퍼런스 방문기

2월 11일 오전 7시 30분의 별마당 도서관언제부턴가 코엑스에 방문하게 되면 별마당도서관을 거쳐가는 건 당연스레 여겨진다. 무언가 특별한 시기를 앞두지 않아서인지, 오늘은 중앙에 상징물이 없는 모습이다. 사실 일찍 온 이유 중 하나는 얼리버드의 혜택인 ISO 27001:2022 책을 얻기 위함이었다. 그 책이 정말 필요해서 원했던 것은 아니다. 다른 책은 전부 각 100권 준비되어 있다는데, ISO 27001:2022만 10권이 있다길래 그걸 얻으려고 조금 일찍 서둘러 집을 나섰던 것이다. 그런데 바보같은 오늘의 나는 아침에 코엑스에 도착하여 별마당도서관에서 멍을 때리다가 8시 10분이 되어서야 E룸에 도착했다. 그리고 27001 책은 이미 솔드아웃이었다... 그리고 부스를 돌며.. 사은품을 쓸어왔다...

기타 2025.02.11

헌법체계상 인격권과의 관계에서 본 프라이버시권(사생활의 비밀과 자유)의 내용 및 성격

프라이버시권은 미국에서 생성 및 발전한 권리다. 그러나 수정헌법에 직접 명시되지는 않았다. 법원과 국민에 의해 인정되어 온 헌법상의 권리인 것이다. 프라이버시라는 개념 자체가 다소 최근의 것이라는 점을 고려한다면, 당연한 일일 것이다. 그래서 프라이버시 영역은 헌법상 명시된 권리에 의해 직접 보호받는 것은 아니지만, 간접적인 영향을 받음으로써 구체적 권리들이 다양하게 형성되는 것으로 이해할 수 있다. 프라이버시라는 것이 미국에서 오랜 기간 헌법상 기본권으로 인정되어 온 것은 맞다. 그러나 이것의 의미는 계속해서 변해왔다. 그리고 이것도 상당히 당연한 일일테다. 프라이버시, 즉, 사생활 비밀이라는 것은 정보통신의 진보로 인한 사회적 변화를 반영하는 것이 당연지사이기 때문이다. 그래서 프라이버시권이라고 하는..

KISIA, 개인정보보호 재직자 교육 개강

KISIA가 개인정보보호 재직자 교육을 시작한다. 사실 그간 개인정보 보호배움터에서 여러 강의를 듣긴 했지만, 사실 개인정보 보호배움터 교육은 정말 실무에 맞춰져 있다고 보기는 어렵다. 조금 더 이론적인, 개념적인 성향이 강하다. 그리고 이번 KISIA의 교육으로 인해 정말 실무에 필요한 세부적 강의에 대한 갈증이 해소될 것 같은 기대가 있다.  KISIA는 올해 860명 교육생을 양성할 계획이며, 14개 과정 43회 교육을 목표로 하고 있다.  이번 달 교육 신청을 받고 있다. 희망자는 KISIA 홈페이지를 통해 신청할 수 있다. 협약기업 중 중소기업에 재직자는 전액 무료이고, 300인 이상 대규모 기업 재직자는 교육비 20%를 부담해야 한다. 출처: https://www.boannews.com/med..

보안/뉴스 2025.02.05
728x90