Kant's Times

PbD 인증제 개요개인정보 중심 설계(Privacy by Design, PbD)는 제품이나 서비스 기획 단계부터 개인정보 보호 원칙을 반영하도록 하는 제도개인정보위는 2023년부터 PbD 인증제를 시범 운영 중이며, 국민의 일상에서 자주 사용되는 개인정보 수집 제품에 대해 인증을 부여함인증제는 제조사의 개인정보 보호 책임 강화를 유도하고 소비자에게는 개인정보 보호 수준이 검증된 제품을 선택할 수 있는 기회를 제공2025년 시범인증 대상 제품홈 카메라차량용 영상기록장치가정용 로봇로봇청소기해당 제품군은 개인정보 수집 및 저장 기능을 보유하고 있어 사생활 침해 우려가 높은 분야임일상생활에서 밀접하게 사용되는 제품 중심으로 선정됨인증 절차 및 평가 기준개인정보 관련 기본사항수집 항목의 최소화, 명확한 고지, 목..

공격 개요 및 피해 현황‘지식재산권 침해’를 사칭한 악성 이메일이 국내 기업·기관을 대상으로 무차별 유포됨샌즈랩 분석 결과 국내에서만 200여 시스템이 감염되었고, 주요 기관 13곳이 포함됨공격자는 텔레그램 채널을 통해 피해 대상 리스트를 공유하며 조직적 위협 전개악성 이메일의 구성과 유도 방식메일 제목은 ‘지식재산권 침해 수사를 위한 증거자료.pdf’, ‘조사보고서.pdf’ 등으로 구성되어 수신자 심리를 자극사용자가 첨부파일 클릭 시 다단계 악성코드가 감염을 유발초기 단계부터 인포스틸러 설치 후 외부 페이로드 복호화가 반복적으로 실행됨악성코드의 기술적 특성파이썬(Python) 기반 멀티 스테이지 로더를 활용해 단계적으로 침투브라우저 정보, IP, 백신 정보, 암호화폐 지갑 등 민감 정보 탈취최종적으로 ..

디지털 본인확인 체계의 위험성본인확인 서비스는 이제 단순한 편의가 아닌 디지털 신분증 역할을 수행하고 있음주요 인증 방식이 휴대전화 본인확인에 과도하게 집중돼 있어 위험성이 높아지고 있음유심(USIM) 해킹으로 고유식별번호(IMSI), 인증키 등 민감정보 유출 가능성이 커짐사회공학 기반 사이버 공격의 확산보이스피싱, 이메일 피싱, 스미싱, 큐싱 등 다양한 사회공학적 수법이 결합된 공격 증가정부기관 및 통신사를 사칭한 악성 앱 설치 유도, 원격제어 앱 통한 정보 탈취 시도 확인검색엔진을 통한 피싱 사이트 유도, 이메일 내 위장된 링크를 통한 악성코드 유포 사례 등장인증수단 다양화 및 구조적 보완 필요성통신 3사 중심의 휴대전화 기반 인증체계는 단일 매체에 과도하게 의존하고 있음블록체인 기반 모바일 신분증,..

스마트폰 중심 신원 인증의 보안 리스크스마트폰이 실질적인 개인 신원의 매개체로 기능하면서 해킹 시 피해가 심각하게 확대됨SK텔레콤 유심 해킹 사태 이후 복제폰 통한 금융사기 가능성에 대한 대중 불안 증가보이스피싱, 원격 제어 앱을 활용한 사이버 범죄 증가 추세로 금융 피해가 연속적으로 발생경찰청 통계에 따르면 2025년 1분기 보이스피싱 피해액은 3116억 원으로 전년 대비 2.2배 증가기존 대응 체계의 한계와 구조적 문제이상거래탐지시스템(FDS)의 탐지 정확도와 대응속도에 대한 신뢰성 부족금융권은 주로 사전 예방, 대면 채널 보완, 사고 후 보상에 집중하여 개인의 선제적 대응 체계는 미비보안 수준은 기업별로 편차가 있으며 알려지지 않은 공격 유형에 대한 탐지·대응 능력 부족매체 간 연계 기반 다중 인증..

국가 사이버보안 거버넌스 체계 개편 필요성부처별 분산된 사이버보안 업무로 인해 위기 대응력 저하국가안보실 산하에 사이버안보비서관 임명 시급AI정책수석 산하 정보보호산업비서관 신설 필요과학기술정보통신부 내 정보보호 전담 실장급 또는 국장급 조직 신설 요구정보보호와 네트워크 업무 분리하여 신속한 대응체계 확보 필요사이버보안 R&D 예산 확대의 필요성지난 10년간 누적 예산 7000억 원에 불과, 첨단기술 대비 부족한 수준2025년 신규 과제 수 감소, 예산 감소세 심각한 문제로 지적AI·클라우드·5G 등 주요 첨단 기술 인프라의 보안 확보를 위한 예산 우선 편성 요구실증 중심 사이버보안 R&D 예산 구조 전환 필요원천기술 개발 중심에서 벗어나 실증 사업에 대한 예산 비중 확대 필요수요처(공공기관, 기업)와 ..

정보보호 예산 배분의 제도화 필요성AI 및 공공 IT 예산의 10% 이상을 정보보호에 투자해야 함예산 편성 단계부터 보안 투자 항목 반영 위한 제도적 장치 마련 필요보안 없는 AI 혁신은 불가능하다는 점에서 정책적 우선순위 확보 필요정보보호 산업 생태계 강화 전략공공 IT 예산 중 정보보호 비중을 높여 민간 투자 유도국가 전략적 보안기술 확보 위한 연구개발(R&D) 및 실증사업 확대 필요사이버보안 인재 양성 위한 교육·연구·산업 연계 생태계 조성K-시큐리티의 글로벌 경쟁력 강화를 위한 전략적 수출 지원 필요인증제도 개선 및 제도 고도화 과제정보보호관리체계(ISMS) 및 개인정보보호관리체계(ISMS-P) 인증제도 고도화 필요보안기능확인서와 CC 인증 간의 명확한 역할 구분과 상호 보완 체계 필요AI·양자보..

AI 시대와 개인정보보호의 긴장 관계AI는 고성능 학습을 위해 대량의 개인정보 기반 데이터 필요기존 개인정보보호법의 동의 기반 수집 원칙 및 목적 제한 원칙과 충돌 발생규정 중심 접근에서 벗어나 원칙 중심 규율 체계 필요성 대두개인 영상정보 보호·활용 안내서 주요 원칙이동형 영상기기의 확산에 따른 법적 대응 및 안내 체계 마련8대 원칙 제시: 비례성, 적법성, 투명성, 안전성, 책임성, 목적 제한, 통제권 보장, 사생활 보호처리 단계별 준수사항기획·설계: 법적 근거 확인, 적정성 및 권리 침해 가능성 검토수집: 사생활 침해 가능 장소 금지, 촬영 사실 고지 의무이용·제공: 목적 내 이용 원칙, 연구 목적 시 가명처리 또는 규제샌드박스 활용보관·파기: 보유기간 명시, 불필요한 정보는 지체 없이 파기합성 데..

개인정보 유출사고의 심각성과 본질국내 최대 이동통신사에서 발생한 사고로 사회 전체에 충격을 주었음유심(USIM), 휴대전화번호 등 민감한 정보가 유출되어 SIM 스와핑 등 2차 피해 가능성이 큼대규모 유출사고는 개인 식별 가능성과 피해 확산 범위 측면에서 위험성이 매우 높음공공기관 개인정보 보호 수준 평가제공공기관 대상 개인정보 관리체계 전반에 대해 평가서면 중심의 평가 방식이 현장 상황을 반영하지 못하는 한계 존재경영평가와 연계되지 않는 기관은 개선 의지가 낮아 실효성 부족개선방안으로 현장평가 강화 및 개선권고 공표제 도입 필요개인정보 처리방침 평가제적합성, 가독성, 접근성을 기준으로 기업의 처리방침 평가극소수 기업만 평가 대상으로 지정되어 제도 실효성 제한실제 처리 흐름과 처리방침 일치 여부 확인 어..

개인정보 처리위탁 개념개인정보처리자가 개인정보 수집·이용·제공 등의 업무를 제3자인 수탁자에게 맡기는 것을 의미개인정보 제3자 제공과 유사하나, 구분 기준은 처리 목적, 이익 귀속 주체, 지배·관리권의 귀속 여부임법원은 실제 개인정보 사용자의 목적, 방식, 통제력 등 다수 요소를 종합 판단하여 위탁 또는 제공 여부를 결정개인정보 처리위탁과 제3자 제공의 차이점위탁은 위탁자의 목적과 이익을 위한 것으로 정보주체 동의 불요제3자 제공은 수탁자의 목적과 이익을 위한 것으로 정보주체의 명시적 동의가 필요예시: 홈플러스 사건에서는 대법원이 보험사 목적임을 이유로 제3자 제공으로 판단위탁자의 법적 책임과 면책 가능성위탁자는 기본적으로 수탁자의 침해행위에 대한 민사·행정·형사상 책임을 부담다만, 정보주체 동의 없이도..

망분리 규제의 도입 배경 및 효과2013년 대규모 전산망 마비 사고로 인해 망분리 규제 도입주요 금융기관에 물리적 망분리 의무화, 전산센터와 영업점 구분 적용인터넷과 업무망 분리를 통해 악성코드 감염 및 해킹 방지 효과망분리로 인한 AI, 클라우드 등 신기술 도입 장애 발생금융보안 규제 선진화 정책금융위원회 중심으로 자율보안 도입 추진규정 중심 보안에서 원칙 중심 보안으로 패러다임 전환금융보안 규제 선진화 방안 발표, 보안 거버넌스 및 규제 정비전자금융감독규정 개정으로 망분리 예외 확대 및 SaaS 허용원칙 중심 보안 체계의 필요성과 효과보안 목표 중심 설계로 기술 변화에 유연한 대응 가능조직 특성과 환경에 따라 보안 구현 자율성 확보세부 규정 위주의 규정 중심 보안의 한계 극복해외 사례: 영국 FCA,..