본문 바로가기

정보보호

[보안동향] 변화하는 정보보호 인증심사, DX 전문가가 알려드립니다! 과거에는 기업의 정보보호 관리체계와 그것에 대한 인증을 평가하는 체계가 이원화돼 있었습니다. 그래서 유사한 보안 관리 및 통제임에도 불구하고 기업에서는 별도의 인증심사를 실시할 수밖에 없었죠. 이로 인해 관련한 법령과 소관부서가 각각 분리돼 재정, 인력의 부담이 발생했습니다. 이와 관련해 정부 부서에서는 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(시행 2018. 11. 7)를 발표하고, 통합을 추진했습니다. 이번 글에서는 정보보호 관리체계 인증제도의 목적을 포함해 제도를 소개하고, 인증제도의 통합 과정과 통합 후 달라진 부분을 다루겠습니다. 그리고 마지막 부분에서 최근 산업 및 컴플라이언스 동향에 따른 인증심사의 흐름에 관해서 이야기해보겠습니다. 먼저 우리가 ISMS-P라고 부르는 『정보보호.. 더보기
[보안동향] 디지털 뉴딜 ‘K-사이버 방역’ 어디까지 왔을까? 90여 년 전 대공황 극복을 위해 미국이 추진했던 뉴딜(New Deal) 정책(1933년~1936년)을 차용해 우리 정부는 한국판 뉴딜 정책을 작년 4월에 발표했습니다. 5월에는 추진 방향을, 7월에는 구체적인 추진 계획을 잇따라 내놓았습니다. 코로나19사태로 인해 ‘대 대공항(Greater Depression)’이라는 최악의 경우에 대비해, 최대한 빠른 극복과 대전환을 위해 ‘디지털 뉴딜’ 과 ‘그린 뉴딜’과 이를 뒷받침하는 ‘안전망 강화’의 3개 정책 방향으로 구체화됐습니다. ※ 대 대공항(Greater Depression): “대공황 수준이 아니다. 대 대공황(Greater Depression)도 가능하다!" 경영학자 루비니 뉴욕대 교수의 예측 지금부터 우리 정부가 추진하는 디지털 뉴딜 정책에 대해.. 더보기
기업의 핵심 비밀정보를 지키는 방법은? 산업 기술 유출범죄는 해마다 증가하는 추세로 국가정보원에 따르면 산업 스파이 해외유출 적발 건은 71건(2014~2018)으로 과거에는 대기업, IT 분야 중심이었다면 최근에는 전기•전자, 정밀 기계 분야까지 확대되어 기술 정보가 유출되고 있는 상황으로 국내 기업의 기술 보안에 비상등이 켜졌습니다. 미국은 이미 경제 스파이 법, 외국 경제 스파이 처벌 강화법 등 산업 기술 유출 사범에 대한 엄격한 법 제정을 통해 자국의 기술 정보를 보호하는 활동을 하고 있습니다. 그러나 국내는 산업 기술을 비롯한 영업 비밀정보 유출이 국내 기업과 국가 경제에 심각한 타격을 주고 있다는 점을 모두 인식하고 있지만, 인력 빼내기나 퇴직자 데려가기 등 법망을 빠져나가는 교묘한 수법 때문에 대책 마련에 어려움을 겪고 있습니다... 더보기
생활 속의 암호학 네트워크의 발달로 다양하고 엄청난 양의 정보가 유통되고 있습니다. 이 정보 중에는 다양하게 공유되어야 할 정보들도 넘쳐나겠지만, 유출되면 개인의 사생활 보호를 위협 할 수 있는 다양한 개인정보, 기업의 흥망을 결정지을 수도 있는 영업비밀, 기술정보, 국가 안보에 치명적인 정보 등 보호 대상이 되는 정보들도 많습니다. 네트워크(특히, 스마트폰을 통한 무선 네트워크)가 발달하는 만큼 정보의 중요도에 따라 사이버 위협도 증가해 뉴스를 통해 다양한 해킹 사고, 유출 사고에 대해서 매일 접하게 되고, 이런 위협들은 현대를 살아가는 모든 개인에게도 멀지 않은 일로 다가올 때가 많습니다. 일부 유출 사고의 경우에는 정보보호의 기반 기술인 암호를 적절히 적용했을 경우 유출되었더라도 보호될 수 있었던 사건도 있었습니다... 더보기
Big Data 속 커져가는 개인정보, 공개와 보호의 딜레마 많은 기업들은 사용자의 개인정보를 활용해 선호도를 분석하고, 분석 결과를 맞춤형 광고 및 추천 서비스 등 다양한 영역에 활용하고 있습니다. 수집, 활용하는 사용자의 정보가 많고 직접적일수록 의미 있는 정보 분석 결과를 도출할 수 있는데요. 실제로 사용자의 웹 쿠키 기록만을 가지고 복잡한 알고리즘을 통한 정보 분석보다 페이스북의 ‘좋아요’ 버튼 기록을 분석하는 것이 사용자 선호도 분석에 있어, 알고리즘의 난이도에 비해 높은 정확도를 보여준다는 것이 업계의 설명입니다. 이는 ‘좋아요’ 기록에는 일반적으로 사용자의 사회관계망(Social Network) 정보와 명시적인 의사 표현이 복합적으로 반영되어 있기 때문입니다. 그러나, 기업들의 개인정보 활용을 통한 서비스는 사용자들에게 항상 가치 있는 서비스로만 다가.. 더보기
함께 준비하는 보안사고 대응 체계 ‘정보보호 거버넌스’ 우리는 끊임없이 보안사고를 접하게 됩니다. 최근 언론을 통해 자주 보안사고가 이슈화되면서 보안의 중요성에 대해 많은 관심이 집중되고 있는데요. 그렇다면, 보안 사고에 대처하는 노력은 무엇이 있을까요? 오늘은 정보보호의 큰 흐름을 짚어보면서 향후 대처해야 할 방향을 가늠해보도록 하겠습니다. 먼저, 지난 수십 년간의 정보보호 패러다임을 살펴보면 다음과 같습니다. l [그림1] 정보보호 패러다임 (출처: B. Solms, Information Security-The Fourth Wave, Computers and Security, 2006) [그림1]에서 보는 바와 같이, 시간이 지날수록 정보보호의 패러다임은 기술적인 관점에서 기업 전체에 대한 관점으로 변화하고 있습니다. 정보보호에 대한 참여자도 점차 확대되.. 더보기
유전자 정보를 위한 보안 ! 어디까지 왔나? 우주비행사가 되고 싶은 꿈을 가진 한 아이가 있습니다. 소년은 부모로부터 심장질환을 포함한 각종 질병을 물려받아 예상 수명이 30년 밖에 되지 않습니다. 그런데도 우주비행사가 되기 위해 부단한 열정과 노력을 기울여 본인의 한계를 뛰어넘으며 꿈에 가까워집니다. 그러나 꿈을 이룰 수 있는 마지막 단계에서 열성유전자를 보유했다는 이유로 면접에서 떨어집니다. 우주 비행사가 될 기회는 유전자 조작으로 유전적 질환이 제거된 우성유전자만을 물려받은 ‘우수성이 예측’되는 인간들에게만 주어집니다. 1997년 영화 ‘가타카’는 유전자 열성인자를 제거하고 우성인자만을 조합하여 맞춤형 인간을 탄생시킵니다. 유전자 정보를 근거로 개인을 차별하고 기회를 박탈하는 디스토피아적 미래를 보여줍니다. 상영 당시만 해도 개인 유전자 검사.. 더보기
정보보호 관련 인증 및 평가 제도 현재 국내에서 운영되고 있는 보안관련 인증•평가 제도 중 의무적으로 받아야 하는 대표적인 제도가 ISMS(Information Security Management System)인증제도입니다. 하지만, 이 외에도 국내에서 운영 중인 보안 관련 인증•평가 제도가 여러 개가 있고, 각 제도 별로 유사한 부분이 많아 혼란스러운 점이 있습니다. 이번 시간에는 현재 운영 중인 대표적인 보안 관련 인증•평가 제도를 알아보도록 하겠습니다. 보안관련 인증제도 현황 5~6년 전까지만 해도 보안과 관련된 인증제도를 준비한다면 'ISO 27001을 준비할까? 아니면 ISMS를 준비할까?' 정도의 고민을 했는데요. 두 제도 모두 정보보호 관점에서 관리체계에 대한 수준을 평가하고 인증해 주는 제도입니다. ISO 27001이 국제.. 더보기