검색결과
-
개인정보보호 국제표준 선도를 위한 공론의 장 마련과학기술정보통신부 국립전파연구원(원장 서성일, 이하 ‘국립전파연’)과 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 국제표준화기구/국제전기표준회의 합동기술위원회 산하 정보보안, 사이버보안 및 개인정보보호 작업반(ISO/IEC JTC 1/SC 27*) 작업반(WG 5) 국제표준화회의 한국 개최를 확정했다고 밝혔다. * ISO/IEC JTC 1/SC 27 : 국제표준화기구(International Organization for Standardization)와 국제전기표준회의(International Electrotechnical Commision)의 합동 기술위원회의 산하 위원회(Sub-Committee)로 한국, 미국 등 80여 개 국가가 참여 중이며, ‘정보보안, 사이버보안 및 개인정보보호 분야 국제표준 개발’을 추진하고 있음 국립전파연은 국내표준 전문가들의 국제적 활동을 지원하고 국제표준화기구/국제전기표준회의 합동기술위원회(ISO/IEC JTC 1) 정보통신표준 분야의 국제표준화를 주도해 오고 있으며, ‘정보보안, 사이버보안 및 개인정보보호(SC 27)’ 작업반* 국제표준화 회의 개최를 통해 국제표준화 활동을 더욱 강화해 나가겠다는 입장이다. * SC 27/WG 5 : SC 27 산하 ‘신원관리 및 개인정보보호’ 분야 주제로 국제표준화 활동을 담당하는 작업반(Working Group) 이번 국제표준화 회의의 한국 개최는 국제표준화기구/국제전기표준회의 합동기술위원회 산하 정보보안, 사이버보안 및 개인정보보호 작업반(ISO/IEC JTC 1/SC 27) 의장단 자문그룹에 제안하여 최종 확정되었으며(’23.5.26.(금)), 그동안 SC 27/WG 5, 개인정보위 위원 등 개인정보보호 분야의 표준전문가인 염흥열 교수(순천향대)의 지속적인 국제표준화 활동의 주요성과라고 할 수 있다. 우리나라가 유치에 성공한 국제표준화 회의는 ‘23.10.16.(월) ~ 20(금), 서울에서 개최되며 미국, 영국, 독일 등 150여 명의 개인정보보호 전문가가 참가하여 국제표준 개발을 위한 열띤 토론의 장이 될 것으로 예상된다. 또한, 이번 회의에서는 디지털 인증 위험관리 프레임워크를 비롯해 핀테크 프라이버시 지침, 인공지능 프라이버시 보호, 온라인 아동 보호를 위한 연령 보증 프레임워크 등 개인정보보호를 위한 핵심사항이 중점적으로 논의될 예정이다. 최근 개인정보보호법 개정(‘23.3월)으로 개인정보기술 표준화 추진 근거를 정비한 개인정보위는 이번 회의를 기점으로 「개인정보보호‧활용기술 표준화 로드맵(’23~’27)」에 기초한 블록체인, 자율주행차, 인공지능, 가상융합세계(메타버스) 등 핵심 미래기술 분야의 개인정보 표준개발을 본격적으로 착수할 계획이다. 국립전파연구원 서성일 원장과 개인정보보호위원회 양청삼 개인정보정책국장은 “우리나라가 정보통신기술(ICT)의 선도국가로서 신기술의 발전에 따라 그 중요성이 증가하는 개인정보보호 분야의 국제적 주도권을 확보하기 위해서는 개인정보(프라이버시) 강화기술 등의 국제표준화 활동이 매우 중요하며, 이번 국제표준화 회의 개최를 통해 우리나라의 우수한 개인정보보호기술이 세계시장을 선도하는 기반을 마련하는 등 국제적인 위상을 강화하는 계기로 삼겠다.”라고 강조하였다.
-
[중국] 사이버공간관리국(CAC), 3월 사이버 공간관리를 위한 행정법 집행 절차에 관한 조항 발표중국 사이버공간관리국(Cyberspace Administration of China, CAC)에 따르면 지난 3월 사이버 공간관리를 위한 행정법 집행 절차에 관한 조항(이하 규정)을 발표했다.행정법 집행 절차를 포괄적으로 개정했으며 6월1일부터 시행된다. 이와 같이 중국 정부는 사이버 보안 및 데이터 보호를 위해 입법, 집행, 산업 발전에 중점을 두고 규정을 제정하고 있다.최근 발표한 규정 및 이벤트는 18건으로 입법 발전과 관련된 규정은 6건, 집행 발전과 관련된 규정은 7건 산업 발전과 관련된 규정은 5개다.입법과 관련된 규정은 ▷사이버 공간 행정을 위한 행정법 절차 위원회 ▷증권선물산업 사이버 및 정보 보안 관리를 위한 관리 조치 ▷기밀 기본 조사 및 매핑 성과의 제공과 사용에 관한 관리 조치 ▷정보보안기술-개인 정보의 국경 간 전송에 대한 인증 요구 사항 ▷중화인민공화국 국가표준 발행 등이다.집행과 관련된 ▷개발은 중국 내 판매되는 제품에 대한 사이버 보안 검토 발표 ▷국민 개인정보 범죄 단속을 위한 대표 사례 공개 ▷창사지역 데이터보안법 위반에 대한 첫 번째 처벌 통지 발표 ▷개인정보보호 관련 공익소송의 대표적 사례 공개 ▷데이터 수출 보안 평가 선언에 대한 Q&A 발표 ▷사용자 개인정보 불법 수집 앱 크랙 조치 ▷사용자 권익 침해 앱 55개 신고 등이다.산업 발전과 관련된 내용은 ▷국무원 주도 국가데이터국 설립 계획 발표 ▷데이터 보호 및 데이터 국경 간 서비스 플랫폼 출시 ▷중국 최초 데이터 거래 체인 구축 시작 ▷2022년 개인정보 보호 분야 소비자 보호 보고서 발표 ▷브라우저 및 지도 내비게이션앱의 개인정보 수집에 대한 테스트 보고서 발표 등이다.
-
KTL, 개인정보 관리 수준 2년 연속 최고등급(S) 달성국내 유일 공공 종합시험인증기관인 한국산업기술시험원(이하 KTL, 원장 김세종)은 개인정보보호위원회가 주관한 ‘2022년 공공기관 개인정보 관리수준 진단’에서 2년 연속 최고 등급(S)을 달성했다고 15일 밝혔다. 공공기관 개인정보 관리수준 진단은 국무총리 산하 개인정보보호위원회가 공공기관의 개인정보보호 관리체계와 침해 예방 활동 등을 진단하기 위해 매년 전국 공공기관을 대상으로 관리 수준을 평가하는 제도이다. 이번 평가는 중앙부처, 지자체, 공기업 등 총 799개 기관을 대상으로 61개의 법적 의무사항 이행에 대한 정량지표와 5개 혁신·정책 업무 적절성에 대한 정성지표를 기준으로 진행됐다. KTL은 2020년부터 보안 전담조직을 갖추고 개인정보보호 담당 인력을 배정하는 등 안전한 개인정보관리를 위해 힘써왔다. 특히 불필요한 고객의 개인정보를 수집하지 않도록 절차를 개선하였고, 이미 수집된 정보 역시 기술적·관리적 보호조치를 강화하며 지속적으로 노력한 점을 높이 평가받았다. KTL 김세종 원장은 "2년 연속 최고등급 획득은 고객 개인정보에 대한 우수 보호조치 노력이 인정된 결과"라며 "앞으로도 KTL은 지속적인 관리체계 개선을 통해 고객에게 신뢰받는 기관이 되도록 힘쓸 것"이라고 밝혔다.
-
[미국] 메타(Meta), 유럽연합(EU)으로부터 개인정보기준 위반에 따른 US$13억 달러 벌금 부과 받아미국 소셜 네트워크 서비스(SNS)업체인 메타(Meta)는 유럽연합(European Union, EU)에서 개인정보기준 위반으로 US$ 13억 달러(약 1조7100억 원)의 벌금을 부과 았다.메타는 SNS 서비스인 페이스북(Facebook)을 운영하는 업체다. EU 규제당국은 메타가 미국 광고주와 정보기관으로부터 고객의 데이터를 효고적으로 보호하지 못했다고 지적했다.EU는 수년 동안 거대 기술기업인 메타에 대해 개인 정보 보호 문제를 제기해왔다. 데이터 표준 및 감시기관이 유럽인의 데이터에 접근할 수 있는지 여부와 방법에 대해 미국과 EU 사이에 분쟁이 발생했다.메타는 이번 판결에 대해 항소하기로 결정했으며 미국으로 데이터 전송을 중단하라는 명령을 유예하기 위해 대응 방안을 모색 중이다. 또한 판결에 문제가 있으며 위험한 선례가 될 수 있음을 강조할 방침이다.EU는 메타가 미국에서 운용하는 서버에서 유럽인의 개인정보를 분리해야 된다고 주장하고 있다. 하지만 메타 사용자의 데이터 대부분은 미국에 있는 서버에 저장돼 있다.서버에는 회원의 사진 뿐 아니라 메시지, 광고 타켓팅에 사용되는 모든 종류의 데이터 등이 저장돼 있다. 따라서 유럽인의 데이터만 따로 저장하기 위해 서버를 분리하는 것은 광범위한 작업이 필요하다.따라서 이번 판결로 미국과 EU의 차이점을 문서화하고 합의하도록 압박할 가능성이 높아졌다. 지난 1년 이상 수천개의 IT기업들이 해외로 데이터를 전송하기 위해 협력하고 있기 때문이다.
-
[미국] 미국과 한국에서 도입하고 있는 모바일운전면허증(mDL)의 추진현황과 데이터 관리 방안미국 차량관리국(Department of Motor Vehicles, DMV)에 따르면 30개 주가 모바일운전면허증(Mobile Drivers License, mDL)을 도입했다. 한국 역시 2022년 7월28일부터 모바일운전면허증 발급을 시작했다.미국과 한국에서 도입했거나 도입중인 모바일운전면허증(Mobile Drivers License, mDL)이란 무엇인가? mDL은 신용카드와 마찬가지로 스마트폰에 모바일운전면허증을 저장해 사용하는 것을 말한다.한국은 모바일 운전면허증 도입을 시작으로 향후 국가유공자증, 주민등록증, 외국인등록증 등을 모바일 플랫폼에 등록할 계획이다. 디지털 신원확인 증명을 확대하기 위한 목적이다.특히 산업통상자원부 산하 국가기술표준원은 2022년 4월 신원증명 서비스를 제공하는 행정안전부, 외교통상부, 경찰청 등 관계 부처를 중심으로 디지털 신분증(ID) 표준화 포럼 창립 총회를 개최했다.삼성전자, 엘지씨앤에스, 케이티, 라온시큐어, 아이버디, (주)유니온커뮤니티, 케이티씨(주) 등 산업계와 한국조폐공사, 교통안전공단, 한국전자통신연구원, 한국기계전기전자연구원 등 공공·연구기관, 한양대학교, 고려대학교, 서강대학교 등 학계 전문가들이 참여했다.포럼에서 디지털 신분증 기반 기술과 서비스 현황, 표준화 방향 등에 관련 자료를 공유했다. 향후 △디지털 신원증명 표준화 전략 로드맵 수립 △필수기술 간의 상호운용을 위한 표준 개발 △산업계 확산을 위한 표준적용 가이드라인 마련 등을 추진해 나가기로 합의했다.미국 DMV는 디지털 신분증(ID)이 개인의 주소, 이름, 기타 개인 정보들을 포함하고 있기 때문에 모바일 장치에 개인정보를 저장함으로서 데이터 관리에 대한 우려가 매우 커지고 있다고 지적했다.사용자는 누가 자신의 데이터에 접근하고 어디에 저장되는지 알고 싶어한다. 발급자나 검증자는 제공되는 mDL이 위조품이 아닌지 확인하는데 도움이 되길 바란다.따라서 사용자나 발급기관, 검증자들은 데이터 보안을 보장받기 위해 위조 방지를 위해 몇가지 위험 완화 방법을 고민 중이다. 첫째, 디지털 방식으로 데이터를 서명하고, 서명은 발급 기관과 연결하고 서명을 정기적으로 업데이트한다.둘째, 무단 액세스를 방지하기 위해 mDL과 판독기 사이에 암호화 키를 설정한다.셋째, 발급기관에 의한 원하지 않는 추적을 방지하기 위해 오프라인 확인을 지원한다.넷째, 데이터를 선택적으로 공유하도록 한다. 예를 들어, 연령 제한 품목을 구매하는 개인의 연령을 확인해야 하는 소매업체, 사진과 생년월일만 공유하도록 선택한 사용자 등이 해당된다.
-
신세계면세점, 국제 표준 정보보호 인증 ‘ISO27001’ 획득신세계면세점이 국제 정보보안 인증인 ‘ISO27001(ISO/IEC27001)’를 획득했다고 11일 밝혔다. 신세계면세점이 인증 취득한 ISO27001은 국제표준화기구의 국제전기기술위원회(IEC)에서 제정한 정보보호 관리체계에 대한 국제 정보보안 인증 시스템으로 정보보안 분야에서 가장 권위 있는 국제용 인증이다. ISO27001는 정보 보호 흐름 전체와 물리적, 관리적, 기술적 보안에 대한 14개 영역과 114개의 세부 항목에 대한 평가로 구성돼 있다. ISO27001 인증은 법과 규제로 강제되는 것이 아닌 기업의 자발적인 진행으로 이루어지며, 국제 인증이기 때문에 전세계적으로 보안 수준을 인정받을 수 있다. 신세계면세점은 과거 국내 정보보호 및 개인정보관리체계 인증인 ISMS-P를 취득한 바 있으며, 이번 국제 인증 취득을 통해 국내외 고객들에 대한 정보보호 국제 표준의 관리 체계를 인정받았다. 신세계면세점은 지난 10일 서울 중구 퇴계로에 있는 신세계디에프 본사에서 인증수여식을 진행했다. 수여식은 유신열 신세계디에프 대표이사와 이일형 로이드 인증원 대표이사 등이 참석했다. 신세계면세점은 그동안 환경경영시스템 ISO14004, 안전보건경영시스템 ISO45001, 정보보호 및 개인정보관리체계 인증인 ISMS-P 등 각종 인증을 취득해왔다. 신세계면세점은 환경 및 안전, 고객 정보보안 모든 분야에 있어 글로벌 및 국내 표준을 만족시키고, 더 나아가 앞서는 기업 시스템을 구축하기 위한 노력을 계속할 예정이다.
-
마이데이터, 표준화 대상 분야 확대개인정보보호위원회(개인정보위)가 3월 31일 정부서울청사에서 전 분야 마이데이터 시행에 대비한 표준화 방안 등을 논의하기 위해 「제6차 마이데이터 표준화 협의회」를 개최했다. 협의회는 개인정보 전송요구권(마이데이터)을 도입하는 ‘개인정보 보호법’ 개정안이 공포된 이후 처음으로 개최된 표준화 협의회로 올해 마이데이터 표준화 추진계획과 함께 새로 도입된 마이데이터 제도를 세부적으로 설계하기 위한 하위법령 정비 및 정책 추진방향 등에 대해 논의했다. 협의회에서는 지난해 표준화를 추진한 5대 분야의 응용프로그램 인터페이스(API) 규격명세 등 표준화 성과에 대해 논의하고, 올해 추가로 표준화를 추진할 대상분야를 발굴하기 위한 국민과 기업(기관) 수요조사 계획을 검토하는 등 표준화 대상 분야를 확장하기로 했다. 지난해 표준화 추진분야는 교육, 국토교통, 문화여가, 정보통신, 유통이다. 특히, 올해는 분야별 표준화 노력뿐만 아니라 개인의 생애주기별로 국민들에게 필요한 혁신서비스를 찾고 그 서비스 제공에 필요한 데이터를 발굴하여 표준화 사업과 연계하는 등 ‘공급자 관점’이 아닌 ‘국민 관점’의 표준화 사업을 추진하기로 했다. 한편, 개인정보위는 그간의 표준화 사업결과를 토대로 법 시행 이후 전송의무 대상이 되는 정보 항목을 확정하기 위해 분야별 기업·기관 등 이해관계자로 구성된 실무단(워킹그룹) 회의를 통해 이해관계를 조정하는 등 사회적 논의를 본격적으로 시작하기로 했다. 아울러, 개정 법률이 시행된 이후, 전송요구권 행사로 본인정보를 내려받기하거나 제3자 전송이 이루어지는 과정에서 각 전송 단계별로 다양한 보안 위협 등을 분석하여, 개인정보 제공자 및 수신자 등 전송참여자들이 미리 준비해야 할 사항들을 안내하기 위한 전송보안 안내서도 금년 하반기 중 발간하여 기업들이 법 시행에 대비토록 할 예정이다. 최장혁 개인정보위 부위원장은 “마이데이터 전송에 참여하는 정보제공자와 수신자 범위 구체화, 개인정보관리 전문기관의 역할 및 지정기준 등 하위법령을 조속히 마련하고, 개인정보 전송을 지원하기 위한 플랫폼 구축 정보화 전략 계획(ISP)을 철저하게 추진하는 등 마이데이터 전송을 위한 제도 및 기술적 기반 조성에 본격 착수하겠다”며 “국민이 안심하고 마이데이터를 전송할 수 있도록 제도 세부사항을 논의하기 위한 부처간 협업·소통 기회를 더 자주 갖겠다”고 말했다.
-
TTA, 국내 인공지능 서버 생산 기업의 홍보 및 판로 확보 지원한국정보통신기술협회(회장 최영해, 이하 ‘TTA’)는 사회 전반의 디지털 가속화로 빠르게 성장 중인 AI 시장의 핵심 인프라인 인공지능 서버 생산 기업의 경쟁력 강화를 위해 성능 검증을 추진한다고 밝혔다. 인공지능 서버는 국내 직접 생산 중소기업의 서버와 국내 기술로 개발한 NPU(Neural Processing Unit) 또는 GPU(Graphics Processing Unit)를 장착한 서버를 말한다. 2022년 8월 한국 IDC에 따르면 국내 서버 시장 매출은 ’19년 1,564.3 억 원, ’20년 1,801.1 억 원, ’21년 2,577.6 억 원으로 매년 증가하고 있으나, 글로벌 서버가 95.5%를 점유하고 있다. 이는 국내 직접 생산 서버에 대한 객관적인 성능 확인이 어렵고, 수요기업에서 참고할 수 있는 레퍼런스가 없어 글로벌 기업의 서버를 선호하기 때문이다. 국내 직접 생산 서버에 NPU, GPU를 장착하여 수요기관이 원하는 응용 프로그램을 수행한 후 측정한 실측 성능을 확인할 수 없어 수요기관은 국산 인공지능 서버 도입을 꺼리고 있다. 이에, TTA는 2월부터 국내 직접 생산 서버에 국산 NPU를 장착하여 기존 시스템과의 호환성, 안정성, 성능(속도, 전력효율) 등 종합적으로 평가하여, 국내 직접 생산 서버의 객관적인 성능 검증을 추진한다. 또한, 국산 NPU가 장착된 국내 직접 생산 서버에 도시 시설 관제, 개인정보 비식별화 등 다양한 응용서비스를 과기정통부의 지원하에 운영 중인 ‘HPC이노베이션허브’에 적용하여 6개월 이상 장기 운영을 통해 운용실적증명서를 발급할 계획이다. TTA 최영해 회장은 “국내 기술로 개발된 NPU를 장착한 국산 서버의 신뢰성 확보 및 인지도 향상을 적극 지원하여, 글로벌 기업이 독점하고 있는 국내 인공지능 장비 시장에서 우리 기업들의 입지가 강화될 수 있게 하겠다.”고 밝혔다.
-
[소말리아] 호르무드 텔레콤(Hormuud Telecom), ISMS에 대한 ISO/IEC 27001:2013 인증 획득소말리아의 선도적인 통신기업 호르무드 텔레콤(Hormuud Telecom)에 따르면 정보보안경영시스템(Information Security Management System, ISMS)에 대한 ISO/IEC 27001:2013 인증을 획득했다.ISO 인증은 테스트, 감시, 인증 서비스 분야 글로벌 리더인 공인된 뷰로 베리타스 그룹(Bureau Veritas Group)으로부터 감사를 거친 후 받았다.호르무드는 정보보안경영시스템(ISMS)의 구축, 구현, 유지관리 및 지속적인 개선에 대해 국제적으로 공인된 표준을 충족시켰다.이번 ISO 인증으로 호르무드는 소말리아에서 IT 보안, 사이버보안, 개인정보보호 표준을 추진하는데 핵심적인 역할을 수행함을 입증했다.호르무드의 역할은 지속적으로 기업이 융성하고 사람들이 번창할 수 있는 환경을 조성하는 것이다. 또한 소말리아의 표준이 사회 전반에 걸쳐 정착되도록 노력하고 있다.특히 소말리아에서 디지털은 경제의 중추이며 장기적 성공을 위해서는 표준을 추진하고 세계적인 수준의 정보 보안으로 인정을 받아야 한다.소말리아에서 4분의 3이상이 호루무드 모바일 머니 서비스인 EVC Plus를 사용하고 있다. 아프리카 전역에서 가장 싼 데이터를 공급하고 있다.또한 EVC Plus는 국제 비정부기구(INGO)가 가뭄 피해를 입은 수혜자에게 구호 자금을 보낼 때 가장 효과적인 솔루션이다.INGO가 자연 재해에 직면한 사람들에게 필요한 중요한 지원을 제공하기 위해 신속하게 자금을 분배할 수 있는 안전하고 투명한 플랫폼이라는 인식이 자리잡고 있다.
-
[중국] 정부, 개인 정보 보호법(PIPL)에 따른 국경 간 데이터 전송과 관련 세부 사항 발표중국 정부에 따르면 2022년 8월 4일 개인 정보 보호법(Personal Information Protection Law, PIPL)에 따른 국경 간 데이터 전송과 관련해 세부 사항을 발표했다.2021년 11월 1일 발효된 PIPL은 4가지 국경간 데이터 전송 메커니즘을 명시하고 있다. 이중 3가지가 최근 출판됐다.첫 번째는 2022년 6월 24일 발표된 국경간 데이터 전송을 위한 최종 인증 가이드라인이다. 두 번째는 2022년 6월 30일 발표된 표준 계약 조항 초안, 세 번째는 2022년 7월 7일 발표된 아웃바운드 데이터 전송을 위한 최종 보안 평가 조치에 관한 것이다.이중 보안 평가는 중국사이버우주국(Cyberspace Administration of China, CAC)에 의해 보안 평가를 받고 통과하는 매커니즘이다.보안 평가 조치는 이 메커니즘에 대한 세부 정보를 제공하고 있으며 2022년 9월 1일부터 시행된다. 다만 6개월의 유예기간을 두고 있어 기업들은 2023년 2월 28일까지 평가를 통과하면 된다. 다음 개인정보 취급자(Personal information handlers, PI handlers)는 중국 외부 데이터를 전송하기 전에 보안 평가를 받아야 한다.보안 평가 대상은 중요 데이터를 처리하는 개인정보 취급자, 중요한 정보 인프라 운영자(critical information infrastructure operator, CIIO), 1백만명 이상의 개인정보를 처리하는 개인정보 취급자 등이다.2021년 1월 1일 이후 10만명 이상의 개인정보를 전송한 개인정보 취급자, 2021년 1월 1일부터 1만명 이상의 민감한 개인정보를 전송한 개인정보 취급자이다. 개인정보 취급자는 중요 데이터를 처리하기 때문에 데이터 보안법의 요건을 따라야 한다. CAC 승인 절차 측면에서 이전과 관련된 위험에 대해 자체적으로 평가해야 된다.또한 개인정보 취급자는 해외 수취인과 법적 문서에 서명하고 지방 CAC에 신청 양식을 첨부해 제출해야 된다. 보안 평가 결과는 최대 57일 소요될 수 있으며 2년간 유효하다.