본문 바로가기
반응형

전체 글

공무원들은 일을 어떻게 할까? "정부 결재문서 구경하기" 기술사 공부를 하다 보면 정부 정책에 관한 보도자료, 대책 보고서 등을 많이 보게 된다. 결국 정부에서 정재할만큼 정재해서 홍보하려고 배포한 내용들만 보는 것인데, 그러다 보니 그 디테일은 나와있지 않은 경우가 많다. 예를 들어 어떤 정책 사업을 위해 ISP를 완료했다는데, ISP엔 어떤 내용이 담겼을까? 궁금할 수 있다. 애초에 정부·공공기관이나 그들의 일을 수주하는 컨설팅·SI 회사에 근무하고 있지 않다면 ISP는 그냥 개념적으로만 공부했지 정확이 어떤 절차를 거쳐 어떤 결과물이 나오는지 막연할 수도 있다. 의외로 모르는 사람들이 많은데 공무원들이 내부적으로 올리는 결재문서는 대부분 공개가 된다. 공무원들은 공개를 하고 싶어하지 않을테지만, 공개를 지연시킬 순 있어도 공개를 아예 하지 않는 건 매우 .. 더보기
아이디 찾기는 좀 더 쉬워도 된다. (불필요한 개인정보 검증 금지) 국내에서 점유율이 높은 모 악보구매 사이트의 회원 가입 화면이다. 개인정보 최소수집에 대한 인식이 어느정도 자리잡히고 있는 시점임에도 이렇게 불필요한 정보를 많이 받는 사이트가 꽤 남아있다. 악보를 구입하는데 생년월일, 주소는 왜 필요할까? 사실 악보를 구입하기 직전까진 이메일이나 휴대폰 둘 중 하나 정도만 받아도 무방하다. 실명도 굳이 받을 필요도 없다. 그런데 이 사이트의 개인정보 수집 동의서는 더 가관이다. "OOOO는 회원가입, 원활한 고객상담, 각종 서비스 등 기본적인 서비스 제공을 위한 필수정보와 고객 맞춤 서비스 제공을 위한 선택정보로 구분하여 아래와 같은 개인정보를 수집하고 있습니다." 1) 개인 회원 필수항목 : 이름, 아이디, 비밀번호, 이메일, 휴대폰번호, 생년월일, 관심악기, 관심파.. 더보기
4차위의 가명정보 활용성과 및 확산 방안 더보기
개인정보위 데이터 결합 제도 개선 좀 지난 이야기이긴 하지만, 금융위의 데이터 결합제도 개선점을 설명하기 위해 개인정보위에서 먼저 발표한 제도 개선안을 소개할 필요가 있을 것 같아 업로드 해둔다. 더보기
[보도자료 해설] 금융 분야 데이터 결합 제도 개선 데이터 3법 개정 이후 가명처리, 가명정보 활용, 가명정보 결합 관련 제도가 생겼다. 많은 기업들이 이 제도에 따라서 가명정보도 활용하고 결합도 시도하는 듯 하였으나 아마 정부에서 기대했던 만큼 활성화 되진 않았다고 평가할 수 있을 것 같다. 애초에 개인정보위와 금융위원회에서 결합 절차에서 합의를 보지 못하였던 것으로 보이고, 결국 신용정보 분야와 개인정보 분야의 결합 제도가 따로 운영되면서 실무적으로도 상당한 절차상 차이가 발생하게 된다. 신용정보라고 하면 혹자는 범위를 작게 볼 수 있지만, 금융 분야가 참여하는 모든 결합이 신용정보법에 따라 결합이 진행되어야 하므로 범위는 상당히 크다고 할 수 있다. 결국 이는 이 제도를 활용하고자 하는 기업들의 불만으로 터져 나왔고, 범부처적으로 데이터 관련 컨트롤.. 더보기
개인정보 유출사고 위반 종합선물 세트 사례 2017년 발생한 여기어때의 방통위 조사 및 심의 결과서이다. 일종의 사건 전말 보고서라고 보면 된다. 이 보고서엔 세부사항에 대한 정말 길고 장황한 내용과 기술적인 내용들이 모두 포함되어 있어서 일반인들은 읽기 힘들다. 그래서 보도자료 등은 짧게 요약하고 읽기쉽게 바꾸어 보도된다. 하지만 보안이나 개인정보 보호를 하는 담당자들이라면 이 보고서 전체를 읽어 보는 것이 상당히 도움이 되겠다 싶어서 올린다. 물론 데이터3법 개정 이전의 보고서이고, 현재의 개인정보위가 아닌 방통위의 보고서이긴 하지만 잘 아시다시피 개인정보보호법 및 고시의 기준은 일맥상통하다. 나 또한 특정 위반 사례를 찾다가 보게 되었는데 이 위반 사례가 정말 수많은 기준에 대한 총체적 위반 종합 선물세트 같은 사례라 읽으면서 큰 도움이 되.. 더보기
GDPR와 CCPA에서의 이동권(Right to data portability) 차이 1. 개요 GDPR과 CCPA 모두 데이터 이동권을 보장하고 있으며, 상당히 유사한 세부사항을 명시한다. 개인정보 이동권이 규정된 조항은 각각 아래와 같다. GDPR의 경우 Articles 12, 20, Recital 68 CCPA의 경우 Section 1798.100, 1798.100, 1798.130, 1798.145 (g)(3) 2. 공통점 GDPR에서 정보주체는 계약이나 동의에 따라 처리되는 데이터를 "구조화되고 일반적으로 사용되며 기계가 읽을 수 있는 형식"으로 수령하고 그 데이터를 방해 없이 다른 컨트롤러(개인정보처리자, 서비스제공자)로 전송할 권리가 있다. GDPR은 소비자들이 이 권리를 무료로 행사할 수 있다고 명시하고 있다. 수수료가 청구되는 경우가 있을 수 있는데, 특히 요청이 근거가 .. 더보기
비밀번호의 길이를 제한해선 안 된다. (feat. 네이버) 1. 비밀번호 길이를 늘리자 일전에 안전한 비밀번호의 기준에 대해 포스팅(#1, #2) 한 바 있다. 물론 내가 따로 수행한 연구는 아니고 NIST의 가이드를 인용한 것에 불과하지만 국내 보안 담당자들이 참고했으면 하는 부분이다. 영세한 사이트들이야 그렇다고 치더라도, 일부 대형 커뮤니티 / 온라인 상거래 / 포털 사이트에서도 아직까지 비밀번호를 말도한되는 짧은 길이로 제한하는 경우가 있어서 이렇게 부득이 사이트명을 밝히며 제언을 한다. 16자는 말도 안되게 짧은 길이이다. 이렇게 되면 안전한 비밀번호를 사용하고 싶어서 긴 비밀번호를 사용하는 사람은 네이버만을 위한, 상대적으로 취약한 짧은 비밀번호를 새로 고안해내야 한다. 이 부분은 반드시 개선되어야 한다! 2. MFA 인증을 다양화하자 그리고 이건 '.. 더보기
반응형

티스토리툴바