오라클(Oracle) Listener에 접속 할 수 있는 Client 제한

 뉴딜코리아 홈페이지

오라클(Oracle) Listener에 접속 할 수 있는 Client 제한

$ORACLE_HOME/network/admin/protocol.ora 에 설정 (없을 경우 생성함)

1. 특정 IP만 접속, 나머지 IP는 모두 차단

tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.10.1)

이 방법은 오직 192.168.10.1의 IP 주소를 가진 사용자만 접속을 할 수 있으며, 그 외의 Node에서는 접속이 거절됩니다. (ora-12537 발생)

여기서 주의 할 사항은 반드시 자기 자신의 IP를 Invited_Nodes에 등록해줘야 합니다.

2. 특정 IP만 거절, 나머지 IP는 모두 접속

tcp.validnode_checking = yes
tcp.excluded_nodes=( 192.168.10.2 )

이 방법은 192.168.10.2 만 접속이 거절되며, 그 외의 다른 기기에서는 정상적인 접속이 가능입니다.

환경설정 후 리스너 재시작 필요합니다.

※ 여러 IP를 등록할 때는 , 로 계속 붙여서 쓰면 됩니다.

tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.18.7, 192.168.10.1, 192.168.10.2)

[참고] 오라클 원격 접속시 ip를 사용하는 방법

  sqlplus id/pw@ip:port/sid

EU 개인정보보호법제(GDPR) 분석

 뉴딜코리아 홈페이지
 

EU 개인정보보호법제(GDPR) 분석 및 개인정보보호법제 개선 입법수요

■ 연구의 내용

1) GDPR과 개인정보보호법 비교 분석

GDPR은 아동에 대한 특별한 보호의 필요성을 강조하고 투명성, 잊혀질 권리등 관련 여러 조항에 명시적으로 언급하고 있다.

둘째, 정보주체의 권리는 개인정보보호법에서 규정된 정보주체의 권리를 모두 포함할 뿐만 아니라, 자기정보 이전에 관한 권리, 반대권 등 개인정보보호법에서 다루고 있지 않는 권리를 다루고 있다.

셋째, 국내법상 개인정보 영향평가는 공공기관을 대상이 대규모 개인정보파일의 처리하는 경우 그 위험성을 제3자인 평가기관으로 하여금 평가하도록 하는 반면, GDPR은 개인정보처리 이전에 개인정보처리자로 하여금 그러한 처리에 대한 위험성을 자체적으로 평가하도록 규정하고 있다.
평가 대상을 선정함에 있어서 산술적 기준에 근거하는 개인정보보호법과 달리, GDPR은 평가 대상이 되는 개인정보 처리의 유형을 규정하고 있으며, 평가의 결과에 따라 해당 개인정보의 처리가 위험하다고 판단되는 경우, GDPR은 사전협의 과정에서 감독당국으로 하여금 처리의 금지를 포함한 구속력있는 제재를 가할 수 있도록 규정하고 있다는 점에서 개인정보보호법의 영향평가와 차이를 보인다.

넷째, GDPR에 따른 행동강령의 제정은 특정 업종에 종사하는 개인정보처리자의 개인정보처리가 특정 상황에서 어떻게 규율될 수 있는지에 대한 자율적인 가이드라인 역할을 할 것으로 기대된다.

다섯째, GDPR은 국외이전에 대하여 구체적이고 세부적인 규정을 두어 유럽연합의 보호수준에 미치지 못하는 제3국 또는 국제기구로의 개인정보 이전을 금지하고 있다.

여섯째, GDPR에서 감독당국은 독립성이 보장된 국가기관으로 그 임무가 방대하고 권한이 막강하다.
향후 우리기업이 EU 역내 기업과 동등한 지위로 활동하기 위해서는 EU 개인정보보호 적합성 평가의 통과가 필요한바, 이를 위해서는 GDPR에서 요구하는 감독기관의 독립성과 임무와 권한을 개인정보보호위원회에 부여하여야 한다.

2) 빅데이터 분석 등 개인정보보호 활용방안

GDPR은 개인정보의 가치를 극대화하는 동시에, 정보주체의 권리를 보호하기 위해 익명처리와 가명처리를 구분하고, 재식별 가능성을 필연적으로 수반하는 가명처리정보를 개인정보로서 GDPR의 적용범위에 포섭시키는 한편 공익을 위한 기록보존, 과학 및 역사 연구, 통계 목적으로 개인정보를 처리하는 경우 예외를 인정하고 있다.

이와 달리, 미국과 일본의 개인정보보호법제는 재식별 가능성이 희박한 비식별정보 및 익명가공정보를 더 이상 개인정보로 취급하지 않는 동시에, 해당 정보가 재식별되는 것을 방지하기 위하여 재시별 금지 규정 등을 포함한 여러 관련 규정을 도입하고 있다.

빅 데이터 분석을 포함한 개인정보의 활용을 보다 폭 넓게 허용하기 위하여 GDPR을 반영하는 경우, 개인정보보호법은 가명처리정보의 목적 외 이용·제공을 허용하는 방식으로 해석·개정될 수 있다. 이와 달리, 개인정보보호법이 미국 및 일본의 법제를 반영하는 경우 – 즉, 비식별 처리된 개인정보를 더 이상 개인정보로 취급하지 않는 경우 – 학술연구 또는 통계목적 뿐만 아니라, 다른 목적에 근거한 비식별 정보의 활용 역시 허용될 수 있다.

3) 프로파일링과 동의 관련 규정 검토


개인정보보호법과 달리, GDPR은 빅 데이터 분석과 불가분의 관계에 있는 프로파일링을 포함한 대규모 자동처리 방식에 따른 개인정보의 처리를 별도로 규율하고 있다.

이에 따라 프로파일링을 시행하는 개인정보처리자는 반드시 해당 처리의 위험성을 사전에 예측하기 위하여 개인정보 영향평가를 시행하여야만 하며, 정보주체는 인간의 개입이 전혀 존재하지 않는 자동화된 방식의 개인정보처리 결과에 종속되지 않을 권리를 가진다.

또한 동의와 관련하여, 일반적으로 정보주체의 동의는 개인정보 수집을 포함한 처리를 적법하게 만드는 기본적인 법적 근거이다.

그러나 정보주체의 동의는 개인정보 처리를 위한 다양한 법적 근거 중의 하나에 불과하며, 이러한 동의는 언제든지 철회될 수 있다는 점에서 가장 안전한 또는 안정된 법적 근거가 될 수 없다.

그럼에도 불구하고, 정보주체의 동의가 자신의 개인정보 처리를 통제하는데 가장 좋은 수단이라는 사실에는 이견이 있을 수 없다.

정보주체의 동의에 근거하여 그의 개인정보를 처리하는 개인정보처리자는 동의가 주어지는 방식과 관련 문서가 GDPR의 관련 규정에 비추어 적절한지 유의하여야 하며, 특히 동의가 주어진 사실에 대한 입증책임이 개인정보처리자가 있음을 유의하여야 할 것이다.

동의에 근거한 개인정보의 처리가 어려운 경우, 특히 사업자인 개인정보처리자는 GDPR 제6(1)(f)에 규정된 개인정보처리자 또는 제3자의 정당한 이익에 근거한 개인정보 처리에 보다 더 큰 관심을 가질 것으로 보인다.


■ 기대효과
본 연구 결과는 EU GDPR와 국내 법제를 비교 분석하고 우리 법제의 개선방향을 제시함으로써 빅데이터 등 기술 발전 대응 및 국제적 상호운용성을 갖추기 위한 자료로 활용할 수 있다.


■ 첨부파일
GDPR(번역문) 포함

개인정보 실태점검 및 교육 수행

뉴딜코리아 컨설팅 사업부 / 070-7867-3721, ismsbok@gmail.com

개인정보 비식별 조치에 관한 입법정책적 대응과제

개인정보 비식별 조치에 관한 입법정책적 대응과제

(출처 : 국회입법조사처)

□ 요약

■ 우리나라를 비롯한 주요 국가들의 개인정보 보호법제들은 ‘개인 식별 가능성’을 가지는 정보를 개인정보로 개념정의하고, 이를 법적으로 보호하고 있다.

전통적 개인정보 보호체계는 최근 정보통신 기술 및 데이터 분석·활용 기술의 급격한 발전으로 인하여 그 변화의 필요성이 제기되고 있다.

즉 종래 익명성을 가지는 것으로 평가되던 정보가 데이터 분석 및 조합 과정을 거치면서 개인 식별 가능성을 가지는 정보로 전환될 가능성이 높아졌으며, 이에 따라 개인 식별 가능성과 익명성의 경계가 모호해진 상황이 전개되고 있다.


■ 이러한 개인정보 보호법제의 해석 및 적용 과정에서의 모호성으로 인하여,다양한 데이터의 활용을 통한 새로운 사회적·경제적 가치 창출에 어려움이 발생하면서, 주요 국가들은 개인정보 보호법제의 운용 및 개선에 관해 고민하고 있다.

우리나라의 경우에도 정부부처들은 특정 개인정보의 개인 식별 가능성을 제거하여 당해 정보를 활용할 수 있도록 하는 취지의 비식별화 정책을 뒷받침 해주는 각종 가이드라인 및 안내서를 발간해 오고 있으며, 최근 방송통신위원회 및 행정자치부와 같은 개인정보 보호업무 주요 소관 부처들을 비롯하여 다수의 정부부처들이 개인정보 비식별 조치 가이드라인 을 공동으로 공표 및 운영하고 있다.  


■ 주요 국가들의 비식별 조치에 관한 제도적 대응방식은 크게 우리나라와 같은 ‘가이드라인을 통한 대응방식’, 그리고 비식별 조치 관련 사항들을 법률 등에 반영해 나가는 ‘입법조치를 통한 대응방식’으로 나눌 수 있다.

대표적으로 영국은 익명화 실천규약 이라는 가이드라인을 제시하여 개인정보 보호법제의 해석 및 적용상의 방향성을 명확히 하고 있다.

이와 달리, EU는 최근 개인정보 보호규칙을 제정하여 비식별 조치의 맥락에서 ‘가명처리’ 개념을 실정법적으로 수용하는 태도를 취하고 있으며, 또한 일본은 개인정보 보호법 을 개정하여 ‘익명가공정보’라는 새로운 개념을 도입하고 있다.


■ 이러한 주요 국가들의 입법 동향은 개인정보 비식별화 또는 익명화를 둘러싼 정책적 논란이 비단 우리나라만의 문제가 아니라는 점을 보여준다.

그러나 주요 국가들의 제도적 대응방식과 내용에 견주어 보자면, 개인정보 비식별 조치 가이드라인 을 통한 우리나라의 대응방식은 다음과 같은 한계를 가진다.

첫째, 개인정보 보호법제의 해석 및 집행 관행을 변화시키기 위해 제시한 가이드라인의 법적인 근거가 모호하다.

비식별화 또는 익명화를 통한 개인정보의 활용은 개인정보자기결정권 등 헌법상 기본권을 제한하는 사항이라고 볼 수 있어 법률적인 근거가 필요하다.

둘째, 현재의 가이드라인은 개인정보의 산업적 활용에 상당한 비중을 두고 있어, 개인정보자기결정권 및 프라이버시의 실질적인 보장(정보주체의 통제 및 관리 가능성)에 한계를 노출하고 있으며, 산업적 견지에서도 비식별화 또는 익명화가 실효적으로 기능할 수 있을지 불분명하다.

셋째, 비식별화 또는 익명화에 관한 개념정의 및 그 법적효과에 관한 사회적 합의과정이 없는 다소 단시안적이고 편의적인 가이드라인 방식의 접근으로 인하여, 관련 정책 및 입법 논의에 있어 혼선을 유발하고 있는 측면이 있다.


■ 개인정보의 비식별화 또는 익명화 정책은 산업적 진흥에 기여할 수 있을 뿐만 아니라, 개인 식별 가능성을 가지는 정보의 직접적인 수집 및 활용을 일부 제약함으로써 개인정보 보호에도 일정부분 기여할 수 있는 측면을 부인하기 힘든 측면이 있다.

따라서 비식별화 또는 익명화 관련 입법정책 추진에 있어 개인정보의 활용과 보호라는 두 목적이 균형 있게 충족될 수 있는 방안들을 사회적 합의 과정을 통해 진지하게 모색해 나가야 할 필요성이 있다.

다만 비식별 조치 등에 관한 해외 주요 국가들의 입법적 논의 결과를 단순히 형식적으로 차용하는 방식, 또는 법집행 실무상의 편의적인 가이드라인 활용방식으로는 우리나라 개인정보보호환경의 특수성을 반영하기 힘들다는 점에 유의할 필요가 있다.


☞ 첨부 : 개인정보 비식별 조치에 관한 입법정책적 대응과제

개인정보 비식별 조치 적정성 평가 수행

뉴딜코리아 컨설팅 사업부 / 070-7867-3721, ismsbok@gmail.com

방위산업기술 판정 온라인 신청 안내

 뉴딜코리아 홈페이지 

방위산업기술 판정 온라인 신청 안내

▣ 방위산업기술 여부 판정을 위한『방위산업기술 판정업무 온라인시스템』을 개발하여, 이제 온라인으로 방위산업기술 판정 신청이 가능합니다. 

1) 방위사업청(청장 장명진, 이하 ‘방사청’)은 6월 5일부터 방산수출입지원시스템(www.d4b.go.kr)에 『방위산업기술* 판정 업무 온라인시스템(이하 ‘판정 업무 시스템’)』을 구축하여 운용을 시작한다고 밝혔다.

2)『판정 업무 시스템』은 기업이 보유한 기술이 방위산업기술에 해당하는지 여부를 온라인상으로 확인할 수 있는 체계이다.
3)『판정 업무 시스템』 운용을 통해 방위산업기술 판정 신청을 희망하는 기업이 신청 서류를 직접 방문 또는 우편으로 제출해야 하는 불편을 해소하여 업무처리 편의성 및 신속성이 향상될 것으로 기대된다.

4) 방위산업기술 : 국가안보 등을 위해 보호해야 하는 방위산업 관련 국방과학기술로서 방위사업청장이 지정·고시함.

   
▣ 대상기관이 방위산업기술 여부 판정이 필요할 경우 우선 보유하고 있는 기술이 지난 2016년 12월 14일 고시된 8대 분야 141개 기술에 해당하는지를 자체 판단하고, 자체판단이 곤란하거나 의문이 있는 경우 해당 기술에 대해 『방위산업기술 판정업무 온라인시스템』을 통해 판정신청을 하시면 됩니다.

5) 판정 신청을 하면 방사청은 전문기관의 검토 및 자문위원회의 자문을 거쳐 방위산업기술 여부를 판정 후 SMS 및 온라인으로 결과를 통보하게 된다.
  

▣  운용 시작일 : 2017. 6. 5(월)

6) 방위산업기술 판정과 관련된 자세한 내용은 방사청 홈페이지(www.dapa.go.kr)에서 확인할 수 있으며, 문의사항은 방사청 품목 기술심사담당관실(02-2079-6832)로 하면 된다.

7)『판정 업무 시스템』 신청 방법 - 방 법 : 기술 정보(명칭, 형태, 특성·용도 및 성능 자료 등)를 명시하여 신청서류 작성 후 온라인으로 신청 - 신청경로 : 방산수출입지원시스템(http://www.d4b.go.kr) 인허가신청 > 수출허가 > 방위산업기술 판정

방산분야 망분리/망연계 전문 컨설팅

뉴딜코리아 솔루션사업부 / 070-7867-3721, ismsbok@gmail.com

개인정보 비식별 세미나 개최

 뉴딜코리아 홈페이지 

개인정보 비식별 세미나 개최

비식별 조치 기법 및 프라이버시 보호 모델에 대한 인식 제고 위해

전문기관, 적정성 평가단 및 사업자 대상 기술 세미나 개최

※ 학계 전문가를 초빙하여 개인정보 비식별 조치를 위한 기술적 처리 방안을 제시

□ 프로그램
o 일 시 : 2017년 6월 8일(목) 14:00 ~ 16:10(2시간 10분)
o 장 소 : 한국인터넷진흥원 본원 15층 대강당
o 대 상 : 적정성 평가 전문가 및 비식별 처리에 관심 있는 사업자 모두
o 문 의 : 이예원 주임연구원
 - (TEL) 02-405-5152 / (Mail) angela_lee@kisa.or.kr


o 프로그램

1. 가이드라인 15분 (14:00~14:15) / KISA
   - 개인정보 비식별 조치 가이드라인 및 추진 현황

2. 전문가교육

- 프라이버시 모델 50분 (14:15~15:05) / 이혁기 박사(고려대)
. k-익명성
. l-다양성·t-근접성
. Q&A

- COFFEE BREAK – 15분(15:05~15:20) / 뉴딜코리아

- 차분 프라이버시 50분 (15:20~16:10) / 심규석 교수 (서울대)
. 차분 프라이버시 모델 개념 및 알고리즘 소개
. 차분 프라이버시의 적용방법 및 효과
. Q&A


[참고]  세부내용

▷ 프라이버시 모델 ➀(k-익명성)
. k-익명성 대상정보(준식별자)와 적용 방법(예제)
. k-익명성 모델의 취약점과 보완책(l-다양성·t-근접성)

▷ 프라이버시 모델 ➁(l-다양성·t-근접성)
. l-다양성·t-근접성 대상정보(민감정보)와 알고리즘 기반 보호 모델 적용 방법(예제) 제시 ex) entropy-l, recursive-l, EMD
. l-다양성·t-근접성 모델의 취약점과 보완책

▷ 차분 프라이버시
. 차분 프라이버시 개념 및 알고리즘 소개 (※ 신규 알고리즘(보호 모델)을 제시하여도 무관함)
. 차분 프라이버시의 적용 방법(예제) 및 효과 ( ※ 차분 프라이버시 적용 시 데이터의 활용성과 보호 등)


☞ 첨부파일 : 개인정보 비식별 세미나 개최 안내

 

스마트공장 중요정보 유출방지 가이드

스마트공장 중요정보 유출방지 가이드

■ 배경 및 목적

세계는 지금 제조업 분야의 재도약을 위해 제4차 산업혁명, 제조업 혁신 3.0 등을 추진하고 있으며, 이에 대한 일환으로 스마트공장 구현에 박차를 가하고 있다.

스마트공장은 기존 제조업 생산 전 과정에 첨단 ICT 기술을 융합한 지능형 자율 생산 공장이라고 할 수 있다.

즉, 인공지능과 빅데이터 등을 활용하여 고객이 원하는 제품을 분석하여 고객 맞춤형 제품을 기획·설계하고, IoT, 자동화 로봇 등을 통해 최적화된 공정으로 제품을 자동 생산하며, 실시간으로 제품의 수·발주를 통제하는 공장시스템을 예로 들 수 있다.

스마트공장의 공장 제어시스템이 인간의 도움 없이 자율적으로 구동·유지되기 위해서는 기계 스스로 분석하고 제품을 설계하는 것은 물론, 생산 제어, 품질·공정 관리까지도 정확하게 수행할 수 있어야만 한다.

따라서 첨단 ICT 기술을 접목하는 과정에 공정 노하우, 제품 설계도, 영업기밀, 고객 요구 사항 분석 자료, 연구개발 성과물 등의 기업 중요정보가 반드시 활용 될 수밖에 없다

그러나 스마트공장에서 기업의 중요정보를 활용하기에 앞서, ICT 기술 도입 시 발생할 수 있는 보안위협에 대해 먼저 충분히 인지해야 하며, 스마트공장의 특성에 맞추어 중요정보 유출 방지를 위한 방안을 마련해야 한다.

특히, ICT 기술 도입의 목적이 공장제어 자동화나 공장운영 상황에 따른 실시간 진단 및 처리 자동화 등을 통한 생산성 향상에 있으므로 공장제어시스템에 대한 원격 제어나 모니터링, 외부 네트워크와의 연결 등은 필수적일 수밖에 없다.

그러므로 이로 인해 발생하는 새로운 보안위협이 기업의 중요정보 유출로 이어지지 않도록 철저한 대비가 필요하다.

또한 세계 경제는 치열한 정보 경쟁 양상으로 발전하여 시시각각 경쟁 기업의 중요정보를 노리는 산업스 파이의 활동과 내부자의 포섭이 빈번하게 이루어지고 있다.

기존에는 기업의 중요정보가 R&D센터, 경영센터 등에서 주로 보관·활용되어 왔지만, 스마트공장의 경우, 제품 생산 全과정에 걸쳐 중요정보가 저장·보관·활용되기 때문에 중요정보를 체계적으로 관리하는 것이 무엇보다 중요해졌다.

이때 중요정보를 제대로 통제하지 못하거나, 실시간 모니터링을 통해 중요정보의 부정사용 또는 불법유출 징후를 포착하지 못한다면 악의적인 내부자나 산업스파이에 의해 손쉽게 중요정보가 유출될 수 있다.

실제로 포스코경영연구원이 발간한 `다시 시작하는 인더스트리4.0`에 따르면, 독일전자산업협회(VDE) 회원사들이 가장 우려하는 것은 경쟁사에 자신의 중요정보가 노출되는 일이었다.

또한 사이버 공격으로 스마트공장의 주요 시스템이 파괴되거나 중단되면, 공장의 생산 및 서비스 연속성도 중단되어 기업의 평판 하락, 금전적인 손실 등이 발생하게 된다.

그러므로, 스마트공장에서도 중요정보를 적절히 보호하기 위한 정책을 수립하고, 중요정보의 생명주기에 따른 보안 위협과 취약성 분석 및 그로 인한 영향을 평가하여 적절한 중요정보 보호 관리체계를 수립하고 지속적으로 관리할 필요성이 제기되는 바이다

★ 추가 내용은 첨부 파일을 참고 하세요 !!!