검색결과
-
[기획-디지털 ID의 이해] ②디지털 ID를 도입하려는 이유-보안 강화 및 사기 방지국제연합(United Nations, UN)이 디지털 ID(Digital identity)를 도입하는 이유는 개인의 생활과 비즈니스, 사회 전반에 걸쳐 제공하는 광법위한 이점이 있기 때문이다.디지털 ID를 도입함으로서 얻을 수 있는 이익은 △보안 및 사기 방지 △편의성 및 사용자 경험 △접근성 및 포용성 향상 △혁신 및 디지털 경제 성장 △상호운용성 촉진 △스마트 도시 및 스마트 생활 촉진 등이 있다.사용자의 데이터를 보호하고 상거래에서 사기를 방지할 수 있는 것이 가장 핵심 이익이다. 보안전문가들은 디지털 ID가 온라인 사기 및 사이버 범죄와의 전쟁에서 강력한 방어선이라는 점을 강조한다.현대는 전 세계가 상호 연결돼 있어 보안의 중요성이 매우 높다. 보안에 취약한 개인이 침해를 당했을 경우 재정 손실 뿐 아니라 평판 손상으로도 이어질 수 있기 때문이다.잘 구성되고 강력한 디지털 ID 프레임워크의 구현을 통해 개인은 데이터가 안전하다는 사실을 파악하게 된다. 또한 디지털 거래를 자신감 있게 수용하며 조직은 다양한 규제 요구사항을 준수하게 된다.이러한 프레임워크는 데이터 프라이버시 및 보안 유지에 대한 실사를 입증할 수 있다. 유럽연합(EU)의 일반 데이터 보호 규정(General Data Protection Regulation, GDPR), 캘리포니아 소비자 개인 정보 보호법(California’s Consumer Privacy Act, CCPA), 미국의 건강 보험 양도 및 책임에 관한 법률(Health Insurance Portability and Accountability Act, HIPAA)과 같은 법률의 핵심이다.포괄적인 디지털 ID 시스템은 민감한 데이터 접근을 관리하고 추적할 수 있다. 재정 보고 및 감사를 위한 사베인스-옥슬리법(Sarbanes-Oxley Act, SOX)과 같은 규정에 따른 요구 사항을 준수하기 위함이다.또한 카드 결제를 처리하는 비즈니스를 위한 PCI DSS((Payment Card Industry Data Security Standard))와 같은 결제 보안 표준도 디지털 ID 시스템을 필요로 한다. 정부기관, 기업 등이 규정들을 준수하고 있다는 것을 입증해야 이용자로부터 신뢰를 얻을 수 있다.
-
[기획-디지털 ID 법률] ②미국 'Improving Digital Identity Act of 2023'의 주요 내용미국 국토안보및정부정책위원회(Committee on Homeland Security and Governmental Affairs)에 따르면 '2023년 디지털 ID 개선법(2023년 Improving Digital Identity Act of 2023) 초안이 하원에 제출돼 있다. '디지털 ID 개선법'은 디지털 ID를 개선하기 위한 광범위한 정부의 접근을 구축하기 위한 목적으로 제정하려는 것이다. 디지털 ID 개선법의 '디지털 ID를 개선하기 위한 태스크포스팀(TFT)에 대해 알아보자.우선 TFT를 구성하는 목적은 연방정부, 주정부, 정부기관 등이 물리적 자격과 디지털 ID 자격증 사이에서 보안을 높이고 접근성을 향상시키기 위한 정부의 광범위한 노력을 구축하기 위함이다.특히 운전 면허증, 전자여권, 사회보장증, 출생증명서 등올 포함한 기존 물리적 신분증의 디지털 버전의 발전을 진흥시키는 것이 중요하다고 판단한다.TFT의 설립 목적을 구체적으로 살펴보면 개인의 프라이버시와 보안 보호, 공공 및 민간 부문에서 신리하고 상호 운용이 가능한 디지털 ID 신분증의 지원, 신원 절도나 기만의 감소 등으로 다양하다.다음으로 TFT팀은 대통령이 지명한 팀장(director)가 이끌게 된다. 팀장의 급여는 연방법 제5편 5313조의 고위직 보수표 레벨2에 명시된 수준으로 지급된다.팀장의 자격은 디지털 ID의 관리, 정보보안 등에서 기술적 전문성과 관리 능력을 충분하게 갖고 있어야 한다. 최소한 1개 이상의 기관에서 근무하고 대학, 지원 단체, 민간 분야에서 획득한 전문 자격증도 필요하다.팀장으로 근무하는 기간 동안 다른 연방정부의 공무원 직책을 가져서는 안 된다. 팀장으로 근무하는 기간은 법률에 지정된 내용에 따라야 한다.마지막으로 TFT팀의 회원은 정부와 민간 부문에서 고르게 추전을 받는다. 정부는 재무부 장관, 표준기술연구소장, 금융범죄단속네트워크장, 사회보장위원회장, 국무부 장관, 행정실장, 예산관리국장, 국가사이버장, 검찰총장 등이다.TFT팀장은 5명의 비정부 전문가를 임명할 수 있다. 하지만 민간 전문가는 프라이버시와 시만자유권 전문가. 신원증명 관련 기술 전문가, 신원증명 서비스에 관련된 사이버보안 전문가, 신원증명 서비스산업을 대표하는 사람, 사업을 수행하기 위해 효과적인 신원증명을 의존하는 단체를 대표하는 사람 등이다.TFT팀장은 TFT의 효과적인 운영을 위해 적절한 숫자의 워킹그룹을 조직해야 한다. 또한 연방법 제5편 1009(a)조에 따라 공공 발표를 위해 회의를 주재해야 한다.
-
[인도] 플립카트 그룹(Flipkart Group), BIS 인디아로부터 ISO/IEC 27001 인증 획득인도 벵갈루루에 본사를 둔 전자상거래업체인 플립카트 그룹(Flipkart Group)에 따르면 클리어트립(Cleartrip) 및 플립카트 헬스 플러스(Flipkart Health+)가 BSI(British Standards Institution) 인디아로부터 ISO/IEC 27001:2022 인증을 획득했다.ISO 인증 획득은 클리어트립과 플립카트 헬스 플러스가 정보 보안(information security), 사이버 보안(cybersecurity), 개인 정보 보호(privacy protection)에 대해 노력한다는 것을 입증한다.Cleartrip과 Flipkart Health+는 독립 감사기관인 BSI India로부터 1단계, 2단계의 두 단계에 걸친 감사를 통해 국제 표준을 준수하고 있음을 검증받았다. 사용자 정보를 보호하고 최고 수준의 데이터 프라이버시를 보장하기 위한 노력도 인증 받았다.또한 Flipkart Health+는 자체 개인 정보 관리 시스템(Privacy Information Management System)에 대한 ISO/IEC 27701:2019 인증도 받았다.ISO/IEC 27001:2022는 국제표준화기구(International Organization for Standardization, ISO)에 의해 발행된 개정된 표준이다.정보 보안, 사이버 보안, 개인정보 보호를 다루고 있는 정보 보안 경영시스템(Information Security Management System, ISMS)을 구현하기 위해 가장 널리 인정받고 국제적으로 공인된 표준 중 하나다. ISO/IEC 27701:2019는 정보 보안 경영 시스템(ISMS)을 다음 단계로 끌어올릴 수 있는 개인정보 관리 시스템(Privacy Information Management System, PIMS) 표준이다. 개인정보 보호를 다루고 있는 27001의 요구사항과 27002 내의 참조 제어 및 지침에 대한 확장판이다.
-
[미국] 퀘스트 인터내셔널(Quest International), ISO 27001:2013 인증 획득을 통해 사이버 보안 약속 입증미국 캘리포니아 어바인을 기반으로 하는 퀘스트 인터내셔널(Quest International, QI)에 따르면 ISO 27001:2013 인증을 획득해 사이버 보안에 대한 약속을 입증했다.QI는 사이버 보안 조치에 대해 능동적으로 대응하고 고객과 파트너에게 우수한 서비스를 제공하기 위해 최선을 다하고 있다. ISO 인증이 이를 입증한다.고객 데이터와 제3자 정보에 대한 책임을 지고 신뢰할 수 있는 관리인으로 인증받았다. 고객의 위탁 데이터를 안전하게 관리하기 위한 엄격한 요구 사항을 충족함도 보장한다.QI는 OEM을 위한 서비스 지원 솔루션의 일부로 안전하고 탄력적인 정보보안 경영 시스템(ISMS)을 제공하겠다는 약속을 보여줬다.정보보안 경영시스템Information Security Management Systems, ISMS)에 대해 세계적으로 유일하게 인증 가능한 정보보안 표준인 ISO 27001:2013에는 사이버 보안을 포함해 정보보안의 전반적인 관리를 포괄하는 요구사항이 있다.ISO 표준은 현재 공격에 대한 복원력을 개선하고 미래 공격에 적응하도록 설계된 포괄적인 정책을 포함한다. QI는 주문자 상표 부착 방식 제조업체(OEM) 및 IT 관리 서비스 제공업체를 위한 선도적인 글로벌 사후 서비스 지원 파트너다.전 세계 OEM을 위한 창고 수리, 현장 서비스 및 물류를 제공하고 있다. 사이버 보안 외에 현장 유지관리, 헬프 데스크, 클라우드 호스팅 등 기타 IT 관리 서비스를 제공한다.Cybersecurity Ventures의 2022년 공식 사이버 보안 보고서에 따르면 2023년 사이버 범죄 비용은 $US 8조 달러에 달하며 2025년까지 10조5000억 달러로 증가할 것으로 예상된다.ISO2700:2013 인증은 새로운 위협이 지속적으로 등장함에 따라 기업이 위험 관리, 사이버 탄력성, 운영 우수성을 개선하기 위해 취약점을 사전에 식별하고 해결하도록 돕는다.
-
[기획-디지털 ID 법률] ①미국 'Improving Digital Identity Act of 2023'의 제안 배경미국 국토안보및정부정책위원회(Committee on Homeland Security and Governmental Affairs)에 따르면 '2023년 디지털 ID 개선법(2023년 Improving Digital Identity Act of 2023) 초안이 하원에 제출돼 있다.'디지털 ID 개선법'은 디지털 ID를 개선하기 위한 광범위한 정부의 접근을 구축하기 위한 목적으로 제정하려는 것이다. 정부기관, 기업 등이 온라인에서 주장하는 개인의 신원을 쉽고 신뢰하며 안전한 방법으로 확인하기 어려운 점을 해소해야 하기때문이다.미국 정부의 자료에 의하면 2021년 기준 국내에서 2억9300만 명이 데이터 침해나 위·변조로 신원 절도나 신용 부정을 경험했다. 2017년 이후 신원 부정행위로 유발된 손실은 330% 증가했으며 손실액은 2020년 기준 US$ 560억 달러에 달한다.현재 도입된 디지털 ID 솔루션은 미국 국민을 보호하기에는 부적합해 보안, 프라이버시, 공정, 접근성을 개선하기 위한 차세대 솔루션의 개발이 시급한 상황이다.미국 내에서 신원의 보증자로써 정부기관은 국내의 디지털 ID 인프라의 부족함을 강조하고 보완해야 할 책임을 부담해야 한다. 또한 민간 부문의 디지털 ID와 신원확인 솔루션의 개발 방향도 확정해야 한다.주정부는 공공과 민간 부문에서 사용하는 디지털 ID 솔루션을 개선시키는 데 핵심적인 역할을 수행하기에 적합하다. 주정부가 오늘날 일반적으로 사용하는 운전면허증과 다른 신원 문서의 발급자이기 때문이다.하지만 공공과 민간 부문은 디지털 ID의 확신, 프라이버시, 선택, 공정, 접근성, 혁신 등을 진흥시키기 위한 솔루션을 구현하기 위해 협력해야 한다.민간 부문은 미국에서 디지털 ID 관련 혁신을 주도하고 있으며 디지털 ID 솔루션의 구현하는데 중요한 역할을 담당하고 있다. 미국이 글로벌 ICT산업을 주도하며 최고 기술력을 보유하고 있다.국가사이버안보진흥위원회는 연방정부가 광범위한 신원 시장에서 신원정보를 인증하기 위한 1개의 권한 원천 기관으로 자리매김해야 한다고 조언한다.또한 위원회는 안전하고, 사용자 친화적이며 프라이버시 보호에 중점을 둔 방법을 찾기 위해 다양한 기관이 참여한 태스크포스팀을 구성하라고 권고했다.연방정부는 개인, 기업, 정부기관 등이 온라인에서 자신의 신원을 입증하기 위한 거래를 보호하기 위해 선택한 디지털 ID 솔루션이 안전, 신뢰성, 프라이버시, 공정, 접근성, 편리성을 보장하도록 관리해야 한다.
-
[스웨덴] 코알라 라이프(Coala Life), ISO 27001 재인증 획득스웨덴 클라우드 기반 소프트웨어 제공 기업 코알라 라이프(Coala-Life Group AB, Coala Life)에 따르면 새롭게 업데이트된 ISO 27001:2022 표준에 따라 ISO 27001 재인증받았다.코알라는 내부 및 외부 이해 관계자 뿐 아니라 환자의 민감한 정보 보호를 위해 최선을 다하고 있다. 제3자 감사 기업으로 부터 독립적으로 수행된 보안 검토를 통과했다.ISO 인증을 통해 그동안 쏟아 부은 데이터 보호에 대한 노력을 인증받았다. 도입한 정보보안 경영 프로세스가 표준에 부합한다는 사실을 확인했다.코알라는 2015년 Coala-Life Group AB로 설립됐다. 나스닥에 상장된 클라우드 기반 SaaS(Software as a Service) 제공업체이자 의료기기 개발 및 리셀러 기업이다.ISO는 보안 및 안전에 대한 글로벌 표준을 발행하는 독립적 조직이다. ISO 27001은 정보 보안과 관련된 표준 제품군(27000)의 일부로 정보보안 경영 시스템(information security management systems, ISMS)에 대한 세계적 표준이다.ISMS는 위험관리, 접근 통제, 데이터 백업, 비즈니스 연속성 등의 측면을 다룬다. 정보보안 시스템의 구현 유지 관리, 지속적인 개선을 위한 요구사항을 포함하고 있다.
-
[미국] OP360(OfficePartners360), ISO/IEC 27001:2013 표준에 대한 성공적인 인증 획득미국 기업용 아웃소싱 솔루션을 제공업체인 OP360(OfficePartners360)에 따르면 ISO/IEC 27001:2013 표준에 대한 성공적인 인증을 획득했다.ISO 인증을 획득함으로서 OP360의 고객을 위한 최고 수준의 정보 보호를 보장하려는 약속을 더욱 강화하는 계기가 됐다. OP360의 ISMS가 우수한 글로벌 표준에 대해 벤치마킹되었음을 의미한다.고객의 정보가 안전하고 비밀로 관리된다는 점을 보장한다. 또한 미래를 내다보면서 2023년과 그 이후에도 고객에게 탁월한 서비스를 제공하기 위해 최선을 다하고 있다.독립된 제3자 감사기관에 의해 자체 ISMS의 감사 뿐 아니라 정책, 절차 등을 포함해 엄격한 평가 절차를 거쳐 인증을 받았다. 감사는 ISO 표준에 따라 OP360의 규정 준수 여부를 철저하게 평가했다.ISO/IEC 27001은 엄격하고 효율적인 정보 보안 경영시스템(information security management system, ISMS)을 구현하기 위한 요구사항을 설정하며 전 세계적으로 공인된 표준이다.2006년 설립된 OP360(OfficePartners360)은 관계 구축을 경영의 핵심 철학으로 삼고 있다. 신뢰할 수 있는 글로벌 인력 파트너이자 풀 서비스 아웃소싱을 위한 원스톱 서비스 제공업체다.OP360은 비용을 절감하고 서비스 수준을 개선하며 최고의 성능을 향상시키는 간소화된 솔루션을 제공하고 있다. 고객 지원, 데이터 센터, 회계, 정보기술(IT) 지원을 포함한 다양한 영역에서 365일 7일 24시간 옴니채널 경험을 갖추고 있다.따라서 세계적 수준의 고객 경험 기준을 지속적으로 높일 수 있는 직원, 기술 및 진보적인 사고를 기반으로 성공적인 성과를 달성하고 있다.
-
[미국] NIST, 7월19일 우주경제 및 관련 사이버 보안 취약성 웨비나 개최미국 국립표준기술연구소(National Institute of Standards and Technology, NIST)에 따르면 우주경제와 관련된 사이버 보안 취약성 및 과제에 대한 웨비나를 개최한다. NICE(National Initiative for Cybersecurity Education)가 주관한다.세미나 일정은 7월19일(토요일) 오후 2~3시(동부 표준시)다. 가상 이벤트 참석 시 비용은 없으며 참석하고자 하는 이해관계자는 NIST 이벤트 페이지에 등록하면 된다.미국 정부는 우주를 운영 영역을 설정해 우주 경제를 지원하려고 노력 중이다. 따라서 NIST는 해당 부문에서 사이버 보안 취약성과 위협을 해결해야 하는 의무를 갖고 있다.NICE는 사이버 보안 교육, 훈련, 인력 개발에 중점을 둔 정부, 학계, 민간 부문간 파트너십이다. 표준, 모범사례를 통해 현재와 미래의 사이버 보안 문제를 해결할 수 있는 국가의 능력을 지원한다.주요 임무는 강력한 네트워크와 사이버 보안 교육, 훈련, 인력 개발의 생태계 활성화 및 촉진이다. 이번 세미나에서 기존 사이버 보안 교육 및 훈련 켄텐츠, 학습 경험을 보강하거나 새로운 업무 역할, 역량에 대한 요구사항이 대두될 가능성이 매우 높다.
-
[홍콩] 앰버그룹(Amber Group), 정보 보안 및 개인정보 보호에 관한 3가지 ISO 인증 획득▲ 홍콩 디지털 자산 플랫폼 기업 국제 Amber Group 홈페이지 홍콩 디지털 자산 관리 및 암호화 고유 유동성 솔루션의 선두 공급업체인 앰버그룹(Amber Group)에 따르면 정보 보안 및 개인정보 보호에 관한 3가지 ISO 인증을 획득했다. 3개 인증은 ISO 27001, ISO 27701 및 ISO 29151 등이다.2022년 NIST 개인정보보호 프레임워크(NIST Privacy Framework), NIST 사이버 보안 프레임워크(NIST Cyber Security Framework), SOC 2 유형 II 규정준수(SOC 2 Type II Compliance) 달성했다.따라서 NIST 및 SOC 2 달성에 이어 세계적으로 인정받는 ISO 인증으로 정보 분야에서 뛰어난 역량을 입증했다. 최고 수준의 보안 및 규정 준수를 유지하려는 의지가 확인된 셈이다.이번에 획득한 ISO 27001은 보안 위험을 완하하고 정보자산을 보호하기 위해 정보보안 경영시스템(information security management system, ISMS)을 구현, 유지, 지속적 개선하기 위한 모범 사례 조언 및 지침을 제공한다.ISO 27701은 개인 데이터 보호에 관한 지침을 제공한다. 데이터 보호 규정 준수를 보장하는 개인 정보 관리 시스템(privacy information management system, PIMS)으로 확장되고 있다.ISO 29151은 보안제어 측정 및 위험 처리 지침을 지정하는 개인 식별 정보(personal identifiable information, PII) 보호에 관한 보편적인 표준이다.참고로 앰버그룹은 2022년 자발적인 테스트를 통해 달성한 최상위 NIST 개인정보보호 프레임워크는 미국 상무부의 NIST(National Institute of Standards and Technology) 개인정보보호 프레임워크다.
-
[미국] 특허청(USPTO), 상표 출원인의 개인 주소 6만1000개 유출미국 특허청(US Patent and Trademark Office, USPTO)에 따르면 상표 출원인의 개인 주소 6만1000개가 유출된것으로 드러났다.2020년 2월~2023년 3월까지 1년에 걸쳐 데이터가 유출됐다. 일부 개인 주소는 USPTO 웹사이트 대량 데이터 포털에도 노출됐다.상표국은 2월 상표 상태 및 문서 검토 시스템(TSDR)의 일부 어플리케이션 프로그래밍 인터페이스(API)를 통해 검색된 기록에서 공개적으로 보이지 않아야 하는 개인 거주지 주소가 노출되는 것을 발견했다.따라서 USPTO는 개인정보 유출 발견 후 부서 개인정보보호 담당선임기관SAO(Senior Agency Official for Privacy), 기업보안운영센터(Enterprise Security Operations Center, ESOC), 국토안부부(Department of Homeland Security, DHS)에 보고했다.지난 3년간 제출된 전체 상표 출원인 수 중 데이터 유출은 약 3% 정도이며 데이터 오용은 없는 것으로 밝혀졌다. 또한 유출된 데이터는 모든 시스템 취약성을 수정 및 보완해 모든 문제를 완전히 해결했다.이러한 사실은 데이터 유출의 영향을 받는 모든 사람들에게 통지했다. API는 출원 및 등록 상표의 상태를 확인하기 위해 TSDR 시스템에 접근하는 대리사무소 직원과 상표 출원인 모두가 앱에서 사용하고 있다.사기성 상표 출원을 방지하기 위해 상표 출원인이 신청서 제출 시 개인 주소를 포함하도록 요구하고 있다. 온라인 해킹으로 인한 피해가 점점 커지고 있어 주의가 요망된다.