2019년 3월 30일 토요일

SQL Server 2008 EoS 대응 컨설팅 신청




SQL Server 2008 EoS 대응 컨설팅

SQL Server 2008 및 2008 R2를 사용중이신 기업에서 지원종료와 관련한 컨설팅을 받으실 수 있도록 맞춤형 컨설팅을 제공해 드립니다.


□  컨설팅을 받으신 고객께는 소정의 선물을 드립니다.

컨설팅을 받으시는 모든 고객께 3만원 상당의 선물을 드립니다.

  o 자연별곡 3만원 식사 상품권
  o 스타벅스 3만원 상품권
  o CU 편의점 3만원 모바일 상품권


□ 뉴딜코리아로 부터 맞춤형 컨설팅을 받으시고 선물도 꼭 챙기세요 !!!!

 o 뉴딜코리아를 통해 컨설팅을 받으시는 고객님께는 별도의 추가 기프트를 제공하여 드립니다

  설문 내용 중 "본 캠페인 이메일을 전달한 파트너가 어디인가요" : 뉴딜코리아







SQLServer 2008/2008R2 지원 종료 관하여 궁금한 사항은 아래의 연락처로 연락하여 주시기 바랍니다.
뉴딜코리아 | 070-7867-3721, ismsbok@gmail.com 





2019년 3월 28일 목요일

전자정부 웹사이트 UI·UX 가이드라인

  뉴딜코리아 홈페이지 



전자정부 웹사이트 UI·UX 가이드라인

행정안전부에서는 전자정부 서비스의 사용자 편의성을 향상시키고 사용자 관점에서 공공 웹사이트를 설계할 수 있도록 "전자정부 웹사이트 UI·UX 가이드라인"을 마련하였습니다.

행정·공공기관에서는 웹사이트를 신규 구축하거나 개선할 경우, 전자정부 웹사이트의 사용성 개선을 위해 본 가이드라인의 사용자인터페이스·경험(UI·UX)을 준용하여 주시기 바랍니다.

전자정부 웹사이트 UI·UX 가이드라인은 사용자에 대한 이해를 바탕으로 전자정부서비스를 효율적으로 제공할 수 있는 설계 방안을 제공합니다.

가이드라인은 전자정부 웹사이트의 UI·UX에 대한 설계 원칙, 설계 기준, 설계 가이드, 품질 진단서(품질 점검표, 품질 평가표)로 구성되어 있습니다.

다음 목록에서 추진하고자 하는 전자정부 웹사이트 작업이 무엇인지 확인한 후 작업과 관련된 가이드라인 내용을 빠르게 찾아 볼 수 있습니다.


■ UI·UX를 분석․설계할 때,

구축 또는 개선하고자 하는 웹사이트 유형과 특성을 확인한 후, “설계 가이드”에서 해당하는 UI패턴 유형(공통 패턴 22개, 특화 9개) 별 사용성(134개) 및 접근성(44개) 체크리스트, 적용 예시를 참조하여 분석·설계합니다.

웹사이트 설계의 방향성은 “설계 원칙”에서, 구체적인 점검사항과 행동방안은 “설계 기준”에서 확인가능 합니다.

 o UI·UX 설계 원칙 ․ 011p
 o UI·UX 설계 기준 ․ 018p
 o UI·UX 설계 가이드 ․ 027p


■ 사업 발주서를 작성할 때,

사업 참여자들은 설계 원칙이 담고 있는 전자정부 웹사이트 사용자경험 설계의 목적, 방향성, 기대효과를 충분히 이해하고 숙지해야 합니다.

사업에 반영될 수 있도록 제안요청서(RFP, Request For Proposal)에 설계 원칙을 포함시켜야 합니다.

 o UI·UX 설계 원칙 ․ 011p
 o UI·UX 설계 기준 ․ 018p


■ UI·UX 품질을 점검할 때,

품질 점검표(필수 74개 항목, 권장 60개 항목)에 기반하여 UI·UX 관점에서의 전자정부 웹사이트 개선 지점을 확인하고, 설계 가이드의 해당항목을 참조하여 개선합니다.

 o UI·UX 설계 가이드 ․ 027p
 o UI·UX 품질 점검표 ․ 127p


■ 사용성과 관련된 만족도를 조사할 때,

유용성, 효율성 등의 사용성을 측정할 수 있는 품질 평가표(26개 항목)를 활용하여 전자정부 웹사이트에 대한 사용자들의 만족도 수준을 확인하고 설계 기준의 해당항목을 참고하여 개선합니다.

 o UI·UX 설계 기준 ․ 018p
 o UI·UX 품질 평가표 ․ 154p


 - 행정안전부 (작성자 : 정보자원정책과 / 박태균 / 044-205-2811 )


웹품질, 웹접근성, 웹표준 진단
홈페이지/DB 내 개인정보를 점검/ 분석
웹 취약점 진단 및 모의해킹
컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS  
070-7867-3721, ismsbok@gmail.com




2019년 3월 24일 일요일

보안USB (시큐드라이브)

 뉴딜코리아 홈페이지



보안USB 솔루션

정말 중요한 데이터라면 보안USB에서 작업하고, 작업이 완료되면 PC에서 보안USB를 분리하세요.

시큐드라이브 보안USBAES-256비트 암호화칩을 탑재하고 있으며, 비밀번호를 입력해야만 USB를 사용할 수 있습니다.

일정 횟수 이상 비밀번호 입력 오류 시 데이터가 자동으로 파괴되기 때문에 분실 시에도 데이터의 유출을 방지할 수 있습니다.

USB에 자료를 저장해서 다른 사람과 공유해야 한다면, 유출방지 기능이 내장된 보안USB를 사용해보세요.

복사방지 기술로 USB에 저장된 데이터가 외부로 유출되는 것을 방지합니다.

업무에 적합한 보안USB를 이용하면, 투자 비용 대비 기대 이상의 효과를 얻을 수 있습니다.

이제, 보안USB로 안전한 업무 환경을 만들어보세요.



◈ H/W(하드웨어) 암호화


□ 비밀번호 인증과 데이터 암호화로 USB를 안전하게 보호

시큐드라이브 보안USB 솔루션은 USB 메모리에 하드웨어 암호화칩을 탑재하여 비밀번호를 입력해야만 USB를 사용할 수 있습니다.

일정 횟수 이상 비밀번호 입력 오류 시 데이터가 자동으로 파괴됩니다.

비밀번호 분실 시, 강제로 재설정하는 기능이 필요하다면, 관리형 보안USB를 사용해보세요.

원격으로 암호를 재설정하고 잠금을 해제할 수 있습니다.

정보유출을 걱정하신다면, 더 늦기 전에 업무용 USB를 보안USB로 교체하십시오.

○ 비밀번호 인증
USB를 사용하기 위해서는 비밀번호를 입력해야 합니다.
PC에서 USB를 분리하면 자동 잠금이 되며, 다시 PC에 꽂아 사용하려면 비밀번호를 입력해야 합니다.

 AES-256 비트 암호화 칩 탑재
시큐드라이브 보안 USBAES-256 H/W 암호화 칩을 사용하고 있습니다.
H/W 암호화 방식은 암호화 키를 보안 칩 내부에 저장하여 외부로 노출하지 않기 때문에 S/W 암호화 방식에 비해 보안 수준이 월등히 높습니다.

 분실 시 데이터 파괴분실된 메모리를 제3자가 습득하여, 비밀번호 입력을 일정 횟수 이상 실패하면 USB에 저장된 데이터가 자동으로 파괴됩니다.

 Mac OS 대응
USB Basic/Basic+ 모델은 Mac OS에서도 사용할 수 있습니다.





◈ 파일유출방지


 파일 유출방지 기술로 USB를 안전하게 보호

시큐드라이브 유출방지 기술을 적용하면, USB에 저장된 파일은 PC 및 다른 USB로 복사할 수 없으며, 보안정책에 따라 인쇄 / 캡처 / 온라인 전송을 제어할 수 있습니다.

USB에 파일을 저장한 후, 다른 사람과 공유할 때, 파일 유출이 걱정된다면, 시큐드라이브 보안USB를 이용해 보세요.

시큐드라이브 보안USB를 이용하면 고가의 솔루션을 도입하지 않더라도 저렴한 비용에 협업 보안을 쉽게 구성할 수 있습니다.

○ 화이트리스트 접근 제어
디지털 서명이 있거나, 화이트리스트에 등록된 프로그램만 USB에 접근할 수 있습니다.
출처가 불분명하거나, 정보유출 가능성이 있는 미등록 프로그램은 접근이 차단됩니다.


○ 파일 및 클립보드 복사방지
USB에 저장된 파일은 복사·붙여 넣기하거나, 다른 이름으로 USB 이외의 영역(예:로컬디스크, USB)에 저장하거나, 파일 내용 일부를 클립보드 복사·붙여넣기로 외부 유출하는 것을 방지할 수 있습니다.


○ 온라인 전송 방지
USB에 저장된 파일을 웹메일, Outlook, 네이트온, 카카오톡, Skype, Dropbox 등의 서비스를 통해 외부로 전송하는 것을 방지할 수 있습니다.


○ 화면 캡처 방지
USB에 저장된 파일의 화면 캡처를 방지할 수 있습니다.
화면 캡쳐 시도 시 캡처 화면 대신 경고 화면을 표시하고, 화면 캡처 관련 특수 키 사용을 금지합니다.


○ 출력물 보안
USB에 저장된 파일은 인쇄를 차단하거나, 인쇄 시 워터마크를 강제로 출력할 수 있습니다.




◈ 사용제한

□ 보안USB는 정해진 PC에서만 사용

USB의 가장 큰 장점은 어떤 PC에서라도 사용할 수 있다는 점입니다.

그러나 이 장점이 때로는 보안 관리자를 골치 아프게 합니다.

시큐드라이브 보안USB는 관리자가 지정한 PC에서만 USB를 사용할 수 있도록 제한할 수 있습니다.

이제 보안USB를 회사 내 업무용 PC에서만 사용할 수 있게 제한해보세요.

USB가 외부에 반출되어도 정보 유출 걱정이 없습니다.

○ 매체제어 프로그램과 연계
매체제어 프로그램을 보안USB와 함께 사용하면, 일반 USB 사용을 금지하고, 보안USB는 관리자가 지정한 PC에서만 사용할 수 있게 보안 정책을 설정할 수 있습니다.




◈ USB백신


□ USB 백신 선택이 아니라 필수

바이러스에 감염된 USB를 회사 PC에 꽂으면 회사 네트워크 전체가 바이러스에 감염될 수 있습니다.

사무실, 학교, PC 방과 같은 신뢰할 수 없는 장소에서 사용되는 USB는 바이러스에 감염될 가능성이 높습니다.

바이러스에 감염된 USB 메모리는 바이러스를 확산시키는 매개체가 되어 USB를 사용했던 다른 PC까지 2차 감염시킵니다.

SECUDRIVE USB V 시리즈는 Trend Micro USB Security 백신을 탑재하고 있습니다.

 저장되는 파일에 대해 바이러스 검사를 하고 탐지된 바이러스를 격리, 제거함으로써 USB 메모리가 바이러스에 감염되는 것을 방지합니다.

이제 보안USB에 바이러스 백신은 선택이 아니라 필수입니다.

○ Trend Micro USB Security 2.1
1년 사용권 및 사용 기간 중 바이러스 패턴 업데이트 서비스 무료 제공

실시간 바이러스 감지
USB에 저장되는 파일에 대해 실시간 바이러스 검사를 수행하고, 바이러스가 탐지되면 격리 및 제거



◈ 외부협업

□ 보안USB만 있다면, 외부 협업 보안, 어렵지 않아요

협력업체, 재택근무자, 프리랜서와 협업을 해야 하는데 보안이 걱정되시나요?

어렵고, 복잡한 솔루션 대신 시큐드라이브 보안USB를 이용하여 외부 협업을 해보세요.

협업 과정에서 발생할 수 있는 정보 유출 사고를 쉽고 간단하게 예방할 수 있습니다.

이메일이나 퍼블릭 클라우드 스토리지로 파일을 공유하는 경우 파일이 유출될 수 있습니다.

외부 협업 시 안전하게 정보를 공유하고 싶다면, 보안USB를 이용해보세요.

파일 교환은 이메일이나 NAS를 이용하고, 파일 작업은 보안USB 내에서 하는 것만으로도 파일 유출 걱정 없는 안전한 외부 협업 환경을 구축할 수 있습니다.

○ 이메일로 파일 교환
보안 USB를 수신자에게 미리 제공합니다.
송신자는 파일을 암호화해서 수신자에게 메일로 전달합니다.
수신자는 암호화된 파일을 보안 USB에 다운로드하여 자료를 열람합니다.
보안USB에 저장된 파일은 외부 유출이 불가능합니다.

NAS로 파일 교환
NAS에 웹 자료실을 구성한 후, 파일을 업/다운로드하는 방식으로 정보를 공유합니다.
파일 업/다운로드는 보안 USB나 문서중앙화 솔루션이 설치된 PC로 한정하며, 다운로드한 파일은 외부 유출이 불가능합니다.


◈ 매체제어

미등록 USB는 차단, 보안USB는 허가

보안USB를 도입하면, 업무용 PC에서는 일반 USB사용을 금지해야 합니다.

DLP 프로그램을 도입해서 사용하고 있다면, 시큐드라이브 보안USB만 사용할 수 있도록 보안 정책을 설정해보세요.

만약, 매체제어 프로그램이 없다면 시큐드라이브에서 제공하는 매체제어 프로그램을 이용해보세요.

일반 USB 사용을 금지하고, 지정한 보안USB만 사용할 수 있게 보안 정책을 설정할 수 있습니다.

○ 단독형 매체제어 프로그램
사용자 PC에 설치하는 독립형 매체제어 프로그램입니다.
설치 전용 USB를 이용하여 프로그램을 설치합니다.
관리서버 없이 손쉽게 사용할 수 있는 것이 장점입니다.

○ 중앙관리형 매체제어 프로그램
사용자 PC에 설치하는 매체제어 Agent 프로그램과 보안 관리자용 매니저 프로그램을 제공합니다.
매니저 프로그램에서 보안 정책을 통합 관리할 수 있으며, 사용자 PC에서 발생하는 각종 USB 작업 로그를 수집할 수 있습니다.


☞ 시큐드라이브 보안USB 상세 내용은 첨부 파일을 참고 바랍니다


 

2019년 3월 22일 금요일

2019년 개인정보 보호책임자(CPO) 세미나 개최



2019년 개인정보 보호책임자(CPO) 세미나 개최


○ 일 시 : 2019년 4월 5일(금) 13:30 ~ 17:30

○ 장 소 : 정부세종청사 6동 옆 대강당  (세종특별자치시 도움6로 11)

○ 교육 신청

  - 신청 기간 : 3.22(금) : 10:00 ~ 3.27(수) (4일간, 강의실 수용 가능 범위(600석) 내 선착순 접수)

  ※ 신청방법 : www.privacy.go.kr > 교육마당 >> 현장교육 > 교육안내 및 신청

○ 상세 내요
https://cafe.naver.com/rapid7/3444


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션


보안솔루션 공급
070-7867-3721, ismsbok@gmail.com




2019년 3월 20일 수요일

네이버 버그 바운티 프로그램 (Naver Bug Bounty Program) 공지

 뉴딜코리아 홈페이지
 


네이버 버그 바운티 프로그램
Naver Bug Bounty Program


1. 소개
네이버 버그 바운티 프로그램은 네이버 서비스의 취약점을 조기에 찾아 사용자들에게 안전한 서비스를 제공하기 위한 프로그램입니다.

전 세계의 보안 전문가들의 도움으로 네이버 서비스의 보안 취약점을 빠르게 찾아 고치고, 보안 전문가들의 노력에 적절한 포상을 지급함으로써 네이버 서비스를 더욱 안전하게 만드는 일을 장려합니다.


2. 범위

버그 바운티에 참여할 때는 꼭 공격 대상 및 포상 범위를 살피기 바랍니다.
그외 공격하는 행위는 불법입니다.

하단의 웹사이트에서 발생하는 취약점들을 대상으로 합니다.
- 네이버 페이 : pay.naver.com 및 *.pay.naver.com
- 네이버 블로그 : blog.naver.com 및 *.blog.naver.com
- 네이버 카페 : cafe.naver.com 및 *.cafe.naver.com
- 네이버 영화 : movie.naver.com, 및 *.movie.naver.com
- 네이버 쇼핑 : shopping.naver.com 및 *.shopping.naver.com
- 네이버 뮤직 : music.naver.com 및 *.music.naver.com
- 네이버 웹툰 : comic.naver.com 및 *.comic.naver.com
- 네이버 시리즈 : series.naver.com 및 *.series.naver.com
- 네이버 예약 : booking.naver.com 및 *.booking.naver.com
- 네이버 파파고 : papago.naver.com 및 *.papago.naver.com
- 네이버 회원 : nid.naver.com 및 *.nid.naver.com
- 그리고 위 서비스에서 사용하는 API Gateway(apis.naver.com)도 포함합니다.

하단의 어플리케이션 발생하는 취약점들을 대상으로 합니다.
https://tools.naver.com/index.nhn 에서 배포하는 4개의 어플리케이션
-네이버 툴바
-네이버 백신
-네이버 클리너
-클라우드 탐색기


3. 포상
취약점예시포상금액
Account takeoverAuthentication BypassUSD $1,000 ~
Remote Code ExecutionAbility to send packets containing arbitrary system call to the client or server sideUSD $1,000 ~
Full access to file system or databaseSQL InjectionUSD $1,000 ~
Execute code on the clientXSSUSD $200 ~
Logical flaw BugsSensitive actions by user, Purchase BypassUSD $200 ~
Other valid security vulnerabilitiesInformation Leakage, CSRFUSD $100 ~

-포상금은 취약점의 위험도와 보고서 등을 종합적으로 검토하여 주어집니다.
-사용자의 개입이 많이 필요한 경우 포상 금액이 줄어들 수 있습니다.
-새로운 방식의 공격 기법이나 버그타입에 대해서는 좀 더 많은 포상금이 주어질 수 있습니다.


4. 포상 대상에서 제외되는 경우

다음과 같은 경우들은 포상 대상에서 제외됩니다.

-버그 리포트를 받았을 시점에서 취약점이 재현되지 않는 경우
-버그 리포트를 받았을 시점에서 취약점이 재현되더라도 네이버 내부에서 취약점에 대한 인지를 하고 있을 경우 - 예를 들면 1 Day 취약점으로 인해 네이버 서비스가 미처 수정되지 못하였을 때,
- 이 경우는 네이버 보안팀에서 보고자에게 내부에서 발견된 경위, 시점에 대해서 충분한 설명을 합니다.
-취약점 증명 이외에 불필요한 행위를 통해 서버의 정보를 획득한 경우
-다른 사람이 먼저 제보한 취약점
-이미 공개적으로 알려진 취약점
-증명 없이 가능성만을 제시한 경우
-Denial-of-Service(DoS) 공격
-너무 많은 사용자의 개입이 필요한 경우
-보안 기능을 끄고 취약점을 발생 시킨 경우
-이미 다른 곳에 제보한 취약점(KISA 외)
-naver.net 에서의 XSS
-URL Redirection
-Clickjacking
-에러페이지를 이용한 페이지 변조
-Security, CSP 헤더 관련
-서비스의 특정 기능의 Replay
-본인에게만 영향이 미치는 취약점(Self XSS)
-서버의 어플리케이션 정보 노출
-SSL 미적용으로 인한 쿠키 탈취


5. 제한 사항 및 공개 정책

제한 사항 및 공개 정책입니다.
-취약점이 고쳐지고 대부분의 사용자가 업데이트를 할때까지 취약점에 대한 자세한 정보는 공개하지 말아주시기 바랍니다. 

단, 네이버 보안팀에게 허가되는 경우는 취약점에 대해서 공개할 수 있습니다.

-다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가주시기 바랍니다.
-네이버 및 계열사 임직원 은 해당 프로그램에 참여할 수 없습니다.

6. 제보
취약점은 이곳을 통해 제보해주시기 바랍니다.
보고서에는 다음과 같은 사항들을 포함하면 좋습니다.
-취약점 이름
-취약점의 발견 방법
-버그를 재현하기 위한 코드
-발생한 서비스 및 도메인
-해당 취약점이 보안상 어떤 위협이 될 수 있는지에 대한 설명

기타 문의 사항은 dl_naverbugbounty@navercorp.com으로 보내주시기 바랍니다.

※ 절대 취약점은 이메일에 작성하지 마시기 바랍니다.




☞ 출처https://cafe.naver.com/rapid7/3443



2019년 3월 6일 수요일

말 잘하는 법 50가지




연구에 따르면, 한 사람이 태어나서 죽을 때까지 약 5백만 마디의 말을 한다고 합니다.
그리고 우리 옛 속담에 말 한 마디가 천냥 빚을 갚는다고 하기도 하죠.
그만큼 우리가 지혜롭게 사는데 가장 중요한 것이 ‘말’이 아닐까 싶습니다.

그래서 오늘은 이상헌 작가님이 엄선한 말 잘하는 법 50가지의 대해 알아보겠습니다.

01. 같은 말이라도 때와 장소를 가려라. 그곳에서는 히트곡이 여기서는 소음이 된다.

02. 이왕이면 다홍치마다. 말에도 온도가 있으니 썰렁한 말 대신 화끈한 말을 써라.

03. 내가 하고 싶은 말에 열 올리지 말고 그가 듣고 싶어하는 말을 하라.

04. 입에서 나오는 대로 말하지 말. 체로 거르듯 곱게 말해도 불량율은 생기게 마련이다.

05. 상대방을 보며 말하라. 눈이 맞아야 마음도 맞게 된다.

06. 풍부한 예화를 들어가며 말하라. 예화는 말의 맛을 내는 훌륭한 천연 조미료다.

07. 한 번 했던 말을 또 다시 하지마라. 듣는 사람을 지겹게 하고 싶다면 모를까.

08. 일관성을 가지고 말하라. 믿음을 잃으면 진실도 거짓이 된다.

09. 말을 독점 말고 상대방에게도 기회를 주어라. 대화는 일방통행이 아니라 쌍방교류다.

10. 상대방의 말을 끝까지 들어줘라. 말을 자꾸 가로채면 돈 빼앗긴 것보다 더 기분 나쁘다.

11. 내 생각만 옳다고 생각하면 큰 오산이다. 상대방의 의견도 옳다고 받아들여라.

12. 죽는 소리 하지 말라. 죽는 소리를 하면 천하장사도 살아 남지 못한다.

13. 상대방이 말할 때는 열심히 경청하라. 지방 방송은 자신의 무식함을 나타내는 신호다.

14. 불평불만을 입에서 꺼내지 말라. 불평불만은 불운의 동업자다.

15. 재판관이 아니라면 시시비비를 가리지 마라. 옳고 그름은 시간이 판결한다.

16. 눈은 입보다 더 많은 말을 한다. 입으로만 말하지 말고 표정으로도 말을 하라.

17. 조리 있게 말하라. 전개가 잘못되면 동쪽이 서쪽이 되어버린다.

18. 결코 남을 비판하지 말라. 남을 감싸주는 것이 덕망 있는 사람의 태도다.

19. 편집하며 말하라. 분위기에 맞게 넣고 빼면 차원 높은 예술이 된다.

20. 미운 사람에게는 각별히 대하여라. 적군도 아군이 된다.

21. 남을 비판하지 말라. 남을 향해 쏘아 올린 화살이 자신의 가슴에 명중된다.

22. 재미있기 말하라. 사람들이 돈 내고 극장가는 것도 재가 있기 때문이다.

23. 누구에게나 선한 말로 기분 좋게 해주어라. 그래야 좋은 기의 파장이 주위를 둘러 싼다.

24. 상대방이 싫어하는 말을 하지 말라. 듣고 싶어하는 얘기하기에도 바쁜 세상이다.

25. 말에도 맛이 있다. 입맛 떨어지는 말을 하지 말고 감칠 맛나는 말을 하라.


26. 또박또박 알아듣도록 말하라. 속으로 웅얼거리면 염불하는지 욕하는지 남들은 모른다.

27. 뒤에서 험담하는 사람과는 가까이 말라. 모진 놈 옆에 있다가 벼락맞는다.

28. 올바른 생각을 많이 하라. 올바를 생각을 많이 하면 올바른 말이 나오게 된다.

29. 부정적인 말은 하지도 듣지도 전하지도 말라. 부정적인 말은 부정 타는 말이다.

30. 모르면 이해될때까지 물어라. 묻는 것은 결례가 아니다.

31. 밝은 음색을 만들어 말하라. 듣기 좋은 소리는 음악처럼 아름답게 느껴진다.

32. 상대방을 높여서 말하라. 말의 예절은 몸으로 하는 예절보다 윗자리에 있다.

33. 칭찬, 감사, 사랑의 말을 많이 사용하라. 그렇게 하면 사람이 따른다.

34. 공통화제를 선택하라. 화제가 잘못되면 남의 다리를 긁는 셈이 된다.

35. 입에서 나오는 대로 말하는 사람은 경솔한 사람이다. 가슴에서 우러나오는 말을 하라.

36. 대상에 맞는 말을 하라. 사람마다 좋아하는 것이 다 다르듯 좋아하는 말도 다르다.

37. 말로 입은 상처는 평생 간다. 말에는 지우개가 없으니 조심해서 말하라.

39. 품위 있는 말을 하라. 자신이 하는 말은 곧 자신의 인격이다.

40. 자만, 교만, 거만은 적을 만드는 언어다. 자신을 낮춰 겸손하게 말하라.

41. 기어들어 가는 소리로 말하지 말라. 그것은 임종할 때 쓰는 말이다.

42. 표정을 지으며 온 몸으로 말하라. 드라마 이상의 효과가 나타난다.

43. 활기 있게 말하라. 생동감은 상대방을 감동시키는 원동력이다.

44. 솔직하게 말하고 진실하게 행하라. 그것이 승리자의 길이다.

45. 말에는 언제나 책임이 따른다. 책임질 수 없는 말은 하지 마라.

46. 실어이 나쁜 것이 아니라 변명이 나쁘다. 실언을 했을 때는 곧바로 사과하라.

47. 말에는 메아리 효과가 있다. 자신이 한 말이 자신에게 가장 큰 영향을 미친다.

48. 말이 씨가 된다. 어떤 씨앗을 뿌리고 있는가를 먼저 생각하라.

49. 말하는 방법을 전문가에게 배워라. 스스로는 잘하는지 못하는지 판단하지 못한다.

50. 적게 말하고 많이 들어라. 그래야 넉넉한 사람이 된다.



2019년 3월 4일 월요일

콘텐츠 무력화·재조합(CDR) 기술 통한 위협 대응 방안

 뉴딜코리아 홈페이지 

콘텐츠 무력화·재조합(CDR) 기술 통한 위협 대응 방안

최근 신·변종 랜섬웨어, 보안 솔루션을 우회하는 악성코드의 등장으로 전통적인 보안 솔루션의 한계를 보완할 수 있는 새로운 보안 기술이 요구되고 있습니다.

이러한 요구에 대응할 수 있는 새로운 대안으로 제시되고 있는 ‘콘텐츠 무해화 및 재조합(CDR : Content Disarm and Reconstruction)’ 기술에 대해 살펴보겠습니다.


■ 보안 위협 트렌드와 문서 기반 악성코드 공격

랜섬웨어, APT 공격, 악성코드, 제로데이 공격, 이 외에 알려지지 않은 수많은 위협에 기업 노출되어 있습니다.

기업을 타겟으로 한 공격 중에서도 문서 기반 악성코드 공격은 오늘날 매우 일반적인 공격 방법입니다.

PDF 및 Word 파일과 같은 대부분의 문서는 잠재적으로 악의적인 콘텐츠가 숨어있을 수 있으며 이러한 파일의 변경은 전 세계 기업의 사이버 보안에 가장 큰 위험이 되었습니다.

최근 중소기업, 대기업 및 정부 기관은 모두 문서 기반 공격으로 공격 받고 있으며, 종종 문서는 스피어피싱 공격을 통해 전송됩니다.

그러나 현 보안 시스템이 이러한 잠재적인 위협을 모니터 하거나 평가할 수 없기 때문에 많은 기업들이 사이버 공격의 규모를 더 잘 이해하고 있음에도 불구하고 취약한 상태로 남아 있습니다.

그 결과 매일 전자메일의 첨부파일을 받는 조직이 PDF, Word, Excel 및 PowerPoint 파일의 구조적 취약성을 조작하는 공격자에 의해 공격 받고 있습니다.

이러한 방법을 통해 배포되는 악성 코드는 목표 컴퓨터에 악성 코드를 설치하기 위해 일반적으로 오래된 취약한 소프트웨어에 의존합니다.

악성 코드는 파일이 열리자 마자 자동으로 실행되거나 서버에서 악성 코드를 다운로드 합니다.

악성 코드는 파일을 암호화하는 랜섬웨어, 키로거, 스파이웨어, 봇넷 등이 포함됩니다. 특히 랜섬웨어 악성코드는 최근 지속적으로 증가하고 있습니다.


■ 콘텐츠 무해화 및 재조합 기술의 구분

이러한 유형의 공격으로부터 보안을 강화하기 위해 추가 할 수 있는 단계로 데이터 무해화라고 하는 콘텐츠 무해화 및 재조합(CDR : Content Disarm and Reconstruction, 이하 CDR) 기술은 문서 기반 악성 코드로부터 보호 할 수 있는 최신의 한가지 방법 입니다.

CDR은 파일의 유용성을 유지 하면서 파일내의 매크로, 자바스크립트, 임베디드된 객체, 외부 링크, 취약점 공격 및 제로데이 공격을 제거하기 위해 고안된 일련의 기술입니다.

CDR 기술은 다음 세 가지 방법 중 하나로 수행됩니다.
1. 파일의 내부 구조 변경
2. 콘텐츠 제거
3. 파일을 다른 형식으로 변환
 

1. 파일의 내부 구조 변경

소프트웨어 취약점을 이용하기 위해 문서에 포함된 악성 코드는 사용자가 인지하지 못하도록 되어 있습니다.

예를 들어 PDF문서를 열었을 때, 자바스크립트가 백그라운드에서 실행 중 임을 인식하지 못한 채 취약한 소프트웨어를 활용하여 컴퓨터를 감염시킬 수 있습니다.

파일 내부 구조 변경은 파일에 포함된 스크립트를 변경합니다.

예를 들어 문서의 보이는 내용은 변경하지 않고 매크로 혹은 자바스크립트를 비활성 상태로 만들거나, 파일 내 구성요소 중 메타 데이터 및 오브젝트를 비활성화 합니다.

또 다른 기술은 일반적으로 문서 파일에 포함되지 않은 구성 요소를 찾고 예상되는 매개 변수를 벗어나는 파일의 일부를 제거하는 등 문서 구조를 확인합니다.

이러한 방법은 세부적은 스크립트 내용 및 기타 포함된 내용을 정밀하게 분석하여 악성 인지 혹은 안전한지의 여부를 판단하는 시간을 절약 할 수 있습니다.

사용자들은 제로데이 공격과 알려지지 않은 위협에 노출 될 수 있습니다.

문서 파일 내 임베디드된 오브젝트를 가진 모든 문서 파일을 의심스러운 것으로 판단함으로써 이러한 파일 구조 변경으로 문서 기반 위협을 비활성화하고, 문서의 원래 서식을 유지하는 효과적인 방법이 될 수 있습니다
.
그러나 이러한 방법은 매크로, 스크립트, 임베디드된 오브젝트가 항상 위협이 되는 것이 아니기 때문에 사용자가 사용 할 수 없는 문서를 표시할 수 있습니다.


2. 콘텐츠 제거

콘텐츠 제거는 문서 파일 내 액티브 콘텐츠를 제거합니다.

Microsoft Office 문서의 매크로, PDF 문서의 JavaScript 및 최근의 EPS 스크립트 내용 등이 액티브 콘텐츠에 해당합니다.

문서 내에는 매크로, 스크립트와 별도로 임베디드 파일을 저장 할 수 있는데, 이러한 임베디드 파일은 매크로, 스크립트를 통해 함께 사용 될 수 있습니다.

임베디드 파일에는 글꼴, 이미지 또는 실행 파일 및 다른 형식의 문서파일이 포함될 수 있습니다.

콘텐츠 제거는 문서 파일 내에 콘텐츠를 물리적으로 제거하거나 액티브 콘텐츠를 비활성화하거나 의미 없는 데이터로 변경합니다.

이러한 방법으로 액티브 콘텐츠를 효과적으로 제거하려면 파일의 내부 형식을 정확히 해석 할 수 있어야 하며 또한 파일이 정상적으로 표시되기 위해 일반적으로 파일에 연결된 소프트웨어의 동작 방식에 영향이 미치므로 주의해서 제거해야 합니다.

잘못된 콘텐츠 제거는 문서의 올바른 표시를 못 할 수 있습니다.

모든 유형의 파일에서 콘텐츠 제거를 할 수 있는 일반적인 방법은 없습니다.




3. 파일을 다른 형식으로 변환

또 다른 방법으로 파일을 다른 형식으로 변환하는 방법입니다.

예를 들어 Microsoft Office 문서를 PDF 문서로 변환하거나, PNG 이미지 파일을 JPG 파일로 변환하는 방법입니다.

이러한 변환 방법의 장점은 구조 변경 또는 콘텐츠 제거를 하지 않고도 액티브 콘텐츠로 인한 위협을 제거할 수 있다는 것입니다.

Microsoft Office의 문서 내 매크로가 삽입된 문서는 PDF 문서로 변환하면서 매크로 위협이 제거되는 등의 효과를 예로 들 수 있습니다.

상호 호환되지 않은 액티브 콘텐츠가 제거 됨으로써 위협 제거에 이점이 있습니다.

그러나 원본 파일의 내부 형식을 정확히 해석 할 수 있어야 하며 변환될 파일의 내부 형식 또한 정확히 이해해서 변환해야 하며, 변환 과정에서 많은 비용이 증가 될 수 있다는 단점이 있습니다.


■ 악성코드 대응을 위한 콘텐츠 무해화 및 재조합 기술 적용

CDR 기술은 Gartner에서 첨부파일 형태의 공격에 대한 솔루션으로 추천하고 있는 기술로 각광받고 있으며, 최근 가상머신을 우회하는 수준까지 진화한 악성코드에 대한 대응책이 될 수 있을 것으로 기대되고 있습니다.

CDR 기술이 제로데이 공격 혹은 알려지지 않은 공격을 효과적으로 대응 하기 위해서는 위에서 언급한 다양한 방법으로 결합하여 지속적인 고도화가 진행되어야 할 것으로 보이며, 현재 해당 분야에 대한 R&D를 지속하고 있습니다.




기업의 경우 CDR 기술과 기존의 안티 바이러스 백신, 샌드박스 기반 분석 시스템 등의 엔터프라이즈 방어 수단 접근 방식으로 생성된 취약성 지표를 함께 사용하면 전체 보안 영역에서 자원 배포에 실질적인 이점을 얻을 수 있겠습니다.

다만 위에서 언급한 무해화 및 재조합 방식별 차이점과 장단점을 비교하여 기업 정책 및 기업 내 보안 영역에 적합한 올바른 방식으로 적용 해야 할 것입니다.


뉴딜코리아에서는 지란지교시큐리티사의 CDR(Content Disarm and Reconstruction) 솔루션의 공급 및 기술지원을 담당하고 있습니다
지란지교시큐리티의 지원을 받아 CDR을 무료로 테스트해볼 수 있는 데모 사이트를 운영 중에 있습니다.
CDR 기술에 관심이 있으신 고객사는 아래 링크를 통해 테스트 해보실 수 있으니 참고 부탁드립니다.



콘텐츠 악성코드 무해화(CDR) 서비스 : https://sanitox.jiransecurity.com/scan/

☎ 관련 문의는 뉴딜코리아 솔루션사업부로 연락 바랍니다
(담당 : 백동수 이사 / 070-7867-3721, ismsbok@gmail.com)


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


2019년 3월 3일 일요일

마이데이터 산업 활성화로 데이터의 새로운 가치 창출




마이데이터 산업 활성화로 데이터의 새로운 가치 창출


마이데이터란?

개인이 자신의 정보를 적극적으로 관리·통제하는 것은 물론, 이런 정보를 신용이나 자산관리 등에 능동적으로 활용하는 일련의 과정을 말한다.

이를 통해 각종 기관과 기업 등에 분산돼 있는 자신의 정보를 한꺼번에 확인할 수 있으며, 업체에 자신의 정보를 제공해 맞춤 상품이나 서비스를 추천받을 수 있다.

마이데이터 산업은 이런 과정을 지원하는 산업, 구체적으로 금융기관·통신사 등에 수집돼 있는 자신의 개인정보를 다른 기업, 기관 등으로 이동시키는 지원 역할을 하는 것을 의미한다.

 
■ 정부 데이터산업에 1조 원 투자, 관련 법 개정에도 속도

국내에서 빅데이터 산업 활성화를 위한 움직임이 활발해지면서 마이데이터 산업에 대한 관심 역시 높아지고 있다.

특히 마이데이터산업과 관련해 금융위원회의 움직임이 눈에 띈다. 금융위원회는 ‘금융 분야 데이터활용 및 정보보호 종합방안’, ‘금융 분야 마이데이터 산업 도입방안’을 마련해 마이데이터 산업 도입방안을 제시했다.

국회도 나서고 있다. 데이터 경제 활성화 방안의 일환으로 김병욱 의원이 본인신용정보관리업을 규정한 신용정보법 개정안을 발의했다.

마이데이터 산업이 본격적으로 활성화되기 위해서는 법 개정이 필수적이다.

신용정보법 개정안은 물론, 개인정보보호법, 정보통신망법 개정안도 통과가 돼야 한다. 업계에서는 한 목소리로 관련 법 개정을 요구하고 있다. 올해 본격적으로 시장이 열릴 것으로 보이는 마이데이터에 대해 알아봤다.

정부, 데이터 사업에 1조 원 투입데이터가 가치를 창출하는 데이터 경제가 대두되면서 전세계는 물론 우리나라에서도 데이터 산업에 대한 관심이 높아지고 있다.

국내에서는 문재인 대통령이 지난해 8월 31일 판교 스타트업 캠퍼스에서 개최된 데이터 경제 활성화 규제 혁신 현장방문 행사에서 “정부는 우리 경제의 새로운 활력을 위해 데이터 산업을 전폭적으로 지원하겠다”고 말했다.

정부는 빅데이터 및 인공지능(AI) 등 데이터 산업에 1조 원을 투입할 계획이다.

정부는 ‘데이터를 가장 안전하게 잘 쓰는 나라’로 거듭나기 위해 ▲AI 학습용 데이터 구축 ▲중소기업 및 스타트업 데이터 구매·가공 바우처 제공 ▲정보주체 중심 데이터 활용(마이데이터) ▲전문인력 양성 등을 지원하고, 공공부문에서 민간 클라우드를 우선적으로 도입하도록 하는 등 클라우드 산업도 활성화시켜 데이터 산업을 이끌어 나가겠다고 발표했다.

정부의 발표 중 단연 관심도가 높았던 사항은 정보주체 중심 데이터 활용 ‘마이데이터’ 부문이다.

개인정보보호법, 신용정보법, 정보통신망법 등 법제도가 국내 데이터 산업 활성화를 가로막는 요인으로 지목되는 상황에서 정부가 나서 ‘마이데이터 산업’ 활성화를 발표했기 때문이다




마이데이터란 (한경 경제용어사전)
은행과 카드회사 등 금융회사에 흩어져 있는 개인 신용정보를 모으거나 이동시킬 수 있게 하는 서비스다.
개인정보 분석 결과를 토대로 금융 컨설팅을 하거나 소비성향을 분석할 수 있다.
금융위원회는 2018년 8월 말 데이터경제 활성화 방안의 일환으로 마이데이터 산업에 2019년 100억원을 투입할 것이라고 발표했다.
신용정보(CB) 회사가 금융 데이터를 영리 목적으로 분석하거나 컨설팅할 수 있게 허용할 예정이다.


정부는 마이데이터 산업의 기반을 다지기 위해 정보주체가 기업 및 기관으로부터 자기 정보를 내려 받거나, 타 기관 등으로 이동을 요청해 해당 정보를 활용할 수 있도록 데이터 이동권을 확립하는 시범 사업을 추진하고 있다.

더불어 금융권에서의 활용을 위해 ‘신용정보법’ 개정을 추진하고, 공공성이 높은 분야는 제도로 정착시키겠다는 방침이다.

개인정보보호 방안을 위해 올해 40억 원을 투자해 데이터 분석과 AI학습만 가능한 보안환경을 갖춘 데이터 안심구역을 구축할 계획이다.

또한 블록체인 기술개발 및 실증 사업에도 약 300억 원을 투자한다.

특히 개인정보보호를 위해 개인정보 개념을 명확히 하고, 가명정보 이용 및 제공 범위를 규정하는 등 제도 개선에도 나선다.

기존에는 행정안전부의 ‘개인정보 비식별조치 가이드라인’이 있었으나, 법적근거가 미흡했으며 가명정보 등 개념을 명확히 규정하지 않아 업계의 불만이 많았다.

정부는 이를 개선해 개인을 알아볼 수 없도록 조치된 가명정보 도입 등 개인정보의 개념을 명확히 하고, 이를 이용 및 제공할 수 있는 범위를 법으로 구체적으로 규정한다.

더불어 사물의 위치정보 처리 시 사전 동의 대상에서 제외하는 등 비즈니스 활성화를 위한 제도적 기반을 마련할 예정이다.

개인정보보호 규정 위반 시 처벌 규정도 강화할 방침이다.

사실 기존에는 비식별 정보의 재식별에 대한 제재가 미흡하고 관리감독체계가 비효율적인 면이 있었다.

이를 가명정보의 이용과정에서 특정 개인을 알아볼 수 있게 되는 경우 처리 중지 및 삭제조치 의무화, 고의적 재식별시 형사처벌 및 과징금 부과 등 책임성 확보 방안을 도입하고 개인정보보호위원회 위상을 강화해 개인정보보호를 강화할 수 있도록 할 계획이다.  


■ 마이데이터 산업은 세계적인 트렌드

마이데이터 산업은 전 세계적인 트렌드가 되고 있다.
미국, 유럽, 일본 등 여러 국가에서 이미 마이데이터 산업과 관련된 시장이 형성되고 있다.

먼저 미국은 사후거부(Opt-Out) 제도가 있어 개인정보 수집 및 이용이 용이해 금융 정보 통합 조회, 데이터 분석서비스, 데이터 중개업체 등 관련 산업이 활성화 돼 있다.

미국의 대표적인 마이데이터 산업 사례로는 요들리(Yodlee)와 민트닷컴(Mint.com)을 꼽을 수 있다.

요들리는 미국의 데이터 중개기업으로, 미국 상위 16개 은행 등 1,100개 기업과 제휴하고 1억 명 이상의 사용자를 보유하고 있다.

요들리는 고객의 금융데이터를 한 번에 모아서 보여주는 서비스를 제공하고 있으며, 이용자는 금융사에 일일이 들어가서 자신의 금융정보를 확인하는 번거로움 대신 한 번에 자신의 모든 금융 거래를 모두 조회할 수 있다.

미국에서 성공한 핀테크 기업으로 손 꼽히는 민트닷컴은 개인자산 관리 업체로 2006년 설립 당시 사용자가 30만 명이었으나 현재는 5,000만 명 이상으로 늘어났다.

민트닷컴은 미국 내 대부분 은행 계좌의 입출금 관리와 신용카드 사용 내역, 대출 계좌, 증권 계좌 정보, 보험 등 개인의 모든 자산과 부동산 등 비금융 자산까지 통합 관리해주는 원스톱 자산관리 플랫폼 서비스를 제공하고 있다.

일본은 은행법을 개정해 마이데이터 산업과 유사한 ‘전자결제 등 대행업’을 도입하고 금융사로 하여금 대행업자에게 오픈API를 제공하도록 규정하고 있다.

또한 정보은행, 데이터거래소 등 마이데이터 관련 산업을 준비하고 있다.

일본의 대표적인 마이데이터 산업 추진 사례로는 미쓰비시UFJ신탁은행의 정보은행과 에브리센스(EverySense)의 데이터거래소를 꼽을 수 있다.

미쓰비시UFJ신탁은행의 정보은행은 개인의 동의하에 온오프라인 구매이력이나 이주기록, 건강 상태와 같은 개인정보를 확보해 상품 개발이나 고객 수요분석에 사용하고 개인에게는 정보 제공의 대가를 환원하는 방식이다.

미쓰비시UFJ신탁은행은 올해부터 개인정보은행 서비스를 시작할 예정으로, 자신의 정보를 제공하는 소비자에게 해당 정보를 이용하는 기업으로부터 월 500~1,000엔(약 5,000~10,000원)의 현금이나 서비스 이용권을 지급하게 된다.

기업은 개인정보은행에 보관된 개인정보를 신제품이나 서비스 개발에 활용하고, 미쓰비시UFJ신탁은행과 소비자는 데이터 제공의 대가로 수수료를 받 활용해 개인정보 제공에 동의한 소비자의 위치정보, 보행기록, 건강정보, 구매내역 등의 개인정보를 확보한다.

더불어 데이터 활용에 있어 소비자 불안을 최소화하기 위해 자신의 정보 제공 여부를 스스로 통제할 수 있도록 규정하고 있으며, 제공된 정보는 상품개발이나 고객 수요 분석에만 사용하도록 제한한다.

에브리센스 재팬은 지난해 10월부터 민간 데이터거래소를 운영하고 있다.

에브리센스는 데이터거래소의 중립적인 운영자로서, 거래 규칙을 정하고 결제서비스 등을 제공하고 있다.

데이터를 판매하는 업체로부터 10%의 거래 수수료를 받고 있으며, 데이터 판매에는 일본 여행사인 JTB 등 5개사가 참여하고 있다.

JTB는 이 데이터거래소를 통해 의료기관과 외국 크레딧 카드를 사용할 수 있는 ATM의 위치정보 등을 판매한다.

나머지 4개사는 인터넷 관련기업으로, 주유소에서 기름을 넣을 때마다 보내오는 자동차 연비데이터, 100만 명 이상의 회원에게서 수집한 직업속성에 따른 가구데이터 등 정보주체의 동의를 받아 개인을 특정할 수 없도록 가공해 판매하고 있다.

유럽은 개정 지급서비스지침(PSD2: Payment Sevices Directive II)을 통해 계좌정보서비스(Account Information Services)를 신설하고, 계좌정보서비스 기업이 금융기관으로부터 고객정보를 전송받기 위한 오픈API 표준을 준비하고 있다.

유럽 PSD2의 주요내용은 ▲카드 요금 지불의 과징금 개선 ▲제3자 제공자(Third Party Providers)’ 도입 및 규제 ▲온라인 결제시 강력한 고객 인증(Strong Customer Authentication) 등으로 구성돼 있다.

특히 제3자 제공자에게 ▲고객이 동의한 경우 오픈API로 금융정보 제공 ▲고객의 은행에서 타인의 계좌로 직접 자금을 이체해 주는 서비스 ▲고객 계좌 정보에 대한 접근을 허용해 고객의 은행 별 계좌 정보를 제공하는 서비스 등을 허용하고 있다.

유럽의 대표적인 사례로는 영국의 오픈뱅킹포털을 들 수 있다. 영국 정부가 주도적으로 운영하고 있는 오픈뱅킹포털은 계좌정보서비스를 제공하기 위한 API 표준 및 가이드 등을 제공하고 있다.


■ 국내 마이데이터 산업 기반 다진다

데이터 활용이 점차 강조되면서 국내에서도 금융권을 중심으로 마이데이터 산업을 추진하기 위한 움직임이 활발하다.

특히 금융위원회는 지난해 3월 ‘금융 분야 데이터 활용 및 정보보호 종합방안’을, 7월에는 ‘금융 분야 마이데이터 산업 도입방안’을 발표하는 등 다양한 활동을 하고 있다.

먼저 금융위는 ‘금융 분야 데이터 활용 및 정보보호 종합방안’을 통해 국내 금융 분야 데이터 활용 현황을 진단하고 정책 추진 방향 및 추진과제를 제시했다.

금융위는 데이터 활용의 기본원칙을 ▲금융 분야를 빅데이터 테스트베드로 우선 추진 ▲법제도, 산업, 인프라 측면에서 종합적 대응방안 마련 ▲정보주체의 권리 보호 등으로 수립하고, 3대 추진 전략 및 10대 추진과제를 설정했다.

이를 통해 금융위는 데이터 기반 금융혁신을 촉진하고 관련 전후방 연관 산업의 발전을 통해 융합 신산업 등 실물 부문 혁신성장에도 이바지한다는 계획이다.

더불어 개인정보 자기 결정권을 도입하고, 정보보호 및 보안이 실질적으로 강화됨에 따라 금융 분야에 대한 국민 신뢰도 제고될 것으로 기대했다.

금융위가 지난 7월 발표한 ‘금융 분야 마이데이터 도입방안’에서는 ▲금융 분야 마이데이터 산업에 관한 법률상 규율 체계를 도입해 개인의 정보 및 소비자주권 실현을 지원하는 독자적인 산업으로 육성 ▲자본금 요건, 금융권 출자의무 등 진입장벽 최소화 ▲정보주체의 주도하에 정보보호 및 보안 등의 측면에서 안정적인 서비스가 제공될 수 있도록 제도적·기술적 여건 마련 등 마이데이터 산업의 3가지 기본 방향을 설정했다.


○ 마이데이터 산업 도입 방안 4가지

1. 업 신설 및 업무범위 명확화 : ‘신용정보법’ 상에 신용조회업과 구분되는 신용정보산업으로 마이데이터 산업(본인 신용정보 관리업)을 별도로 신설하고, 본인 신용정보 통합조회서비스를 고유업무로 하되, 신용관리·자산관리·정보관리를 위한 다양한 겸영·부수업무 허용

2. 진입규제 설계: 자본금 요건 등을 최소화해 다양한 업체의 진입을 유도하되, 정보보호 및 보안, 산업생테계 측면을 감안해 진임규제를 설계

3. 고객정보 제공 의무화: 정보주체의 개인신용정보 이동권을 보장하고, 그 권리행사에 기반해 금융사에 고객정보의 제공을 의무화

4. 정보보호 및 보안 책임 강화: 정보주체의 명확한 의사에 기반해, 정보보호·보안상 신뢰할 수 있는 방식으로 서비스가 제공되도록 규제 및 감독 강화

금융위는 위와 같은 도입방안을 통해 금융 분야 마이데이터 산업이 도입·정착돼 국민의 삶에 데이터 기반 금융혁신이 조속히 체감될 수 있도록 관련 법·제도 및 기술적 여건 마련을 속도감 있게 추진한다는 계획이다.

또한 ‘금융 분야 데이터 활용 및 정보보호 종합방안’ 관련 법 개정 사항을 담은 ‘신용정보법 개정안’의 입법을 추진, 김병욱 국회의원의 대표발의로 현재 국회 계류 중이다.

금융위는 법 개정 이후 마이데이터 산업이 정착될 수 있도록 유관기관, 금융·핀테크·데이터 산업 종사자 등과의 협의를 통해 API 등 세부추진방안 마련도 병행한다는 계획이다.

특히 금융감독원, 신용정보원, 금융보안원, 금융업권별 협회, 핀테크산업협회 등으로 ‘본인 신용정보 관리업 도입 TF’를 구성해 운영하고 있다.

한편, 금융위는 마이데이터 산업 추진에 있어 현재 많은 핀테크 기업이 활용하고 있는 스크린 스크래핑 방식을 활용한 정보수집을 일정기간 금지할 계획이며, API 연동을 통해 금융사의 정보를 제공받도록 할 예정이다.

■ 국내 마이데이터 시범 사업 추진

지난 16일 경제부총리 주재 제1차 혁신성장전략회의에서 ‘데이터 경제·AI 활성화 계획’이 수립됐다.

 이번 계획안은 올해부터 2023년까지 혁신성장 전략투자 분야인 데이터와 AI 육성전략 및 융합을 촉진하기 위해 마련됐다.

먼저 5개년 계획을 통해 23년까지 공공·민간 별로 다양한 데이터가 수집돼 제공될 수 있는 빅데이터센터 100개와 양질의 데이터가 결합 유통되고 새로운 서비스를 창출할 수 있는 빅데이터 플랫폼 10개를 구축할 계획이다.

또한 중소 및 벤처기업이 데이터를 활용해 새로운 서비스를 개발할 수 있도록 데이터 구매·가공비용을 지원하는 바 우처 사업을 추진한다.

더불어 국민들이 데이터 활용에 따른 혜택을 체감할 수 있도록 본인 동의하에 개인데이터를 활용하는 사업을 확대·실시한다.

이외에도 국가정보화산업에 데이터와 AI를 적극적으로 활용할 방침이며, 데이터와 AI의 활용을 촉진하는 제도를 마련하는 한편 안전한 활용을 보장하기 위한 제도도 강화한다.

특히 정부는 마이데이터 시범사업을 확대하기 위해 올해 약 97억 원의 예산을 투입한다.

이를 통해 마이데이터 실증서비스 및 구축을 완료한다는 계획이다.

우선 3월까지 개인데이터 보유기관 및 기업과 서비스기업 간 컨소시엄을 구성하고, 금융·통신·에너지·유통·의료 등 5개 분야를 대상으로 8개 공모사업을 추진한다.

이후 6월부터 10월까지는 개인데이터 활용 인식 및 서비스 실태조사, 개인데이터 표준, 보안 관련 가이드라인을 마련하고, 11월 분야별 마이데이터 실증서비스 개발 및 구축을 완료할 방침이다.

더불어 2020년 8개, 2021년 10개, 2022년 13개 등 분야를 지속적으로 확대해 나갈 계획이다.

지난해 6월 마이데이터 시범사업자로 선정된 기업은 금융 상품 추천 서비스 ‘뱅크샐러드’의 레이니스트와 통신요금 정보포털 스마트초이스 두 곳이다.

레이니스트는 마이데이터 시범사업 금융분야 주관사로 은행·카드사가 보유한 고객 데이터를 고객 자신이 손쉽게 내려 받거나 본인 동의하에 제3자에게 제공하는 정보주체 중심 데이터(API) 활용을 선보이고 있다.

스마트초이스는 마이데이터로 빅데이터 기반 이동통신 요금제 추천 서비스를 제공한다.

지난해 레이니스트와 스마트초이스가 제공한 서비스를 통해 약 5,000명의 개인정보가 활용된 것으로 조사됐다.

특히 레이니스트는 지난해 11월 한국데이터산업협의회(회장 조광원)가 주최하고 한국데이터진흥원(원장 민기영, 現 한국데이터산업진흥원)이 주관한 ‘2018 데이터 人의 밤’ 행사에서 ‘데이터 서비스 이노베이터’로 선정됐다.


■ 신용정보법 개정안’, 정보보호와 활용 절충안 찾아야

현재 국내에서 개인정보를 활용한 빅데이터 분석에는 많은 어려움이 따른다.

각종 법적 제약이 뒤따르기 때문이다. 업계에서는 개인정보보호법, 정보통신망법, 신용정보법 등에 의해 빅데이터 분석은 불가능에 가깝다고 얘기한다.

정부 역시 이러한 사실을 알고 있다.

정부와 금융위에서 발표한 추진 방향에 법제도 개선이 포함돼 있는 것도 이런 문제점을 해결하기 위해서다.

지난해 11월 금융위와 여당의 주도하에 ‘신용정보법 개정안’이 발의된 상태지만, 여러 이유로 현재 국회 계류 중이다. 이번 ‘신용정보법 개정안’은 개인신용정보를 가명정보 처리해 금융분야 빅데이터로 활용할 수 있도록 하는 것을 골자로 한다.

개인신용정보를 관리, 활용하는 데이터 전문기관, 전문신용정보사를 설립해 신용정보 산업을 진흥시킨다는 내용도 포함됐다.

이는 IT 기업들이 그동안 꾸준히 요구한 사항이기도 하다.

김태훈 레이니스트 대표도 지난 16일 진행된 금융위원회 핀테크 간담회에서 핀테크 대표기업으로 참석해 “데이터를 가장 안전하고 유용하게 활용하려면 신용정보법 개정안에 대한 국회의 빠른 결정이 필요하다”고 강조했다.

하지만 신용정보법 개정안에 있어 개인정보보호가 쟁점이 되고 있다.

일부 시민단체들은 가명정보 등 비식별처리를 하더라도 추가 정보만 있으면 개인을 식별할 수 있어 위험하다고 지적하고 있다.

 AI가 발달되면 비식별정보로 개인을 식별할 수 있다는 것이다.

특히 신용정보 평가 수단이 통신비, 세금내역 등 일상생활 정보까지 확대되면, 개인정보의 침해는 더욱 확대될 것이라는 지적도 나오고 있다.

정부부처에서도 의견이 갈리고 있다.

국세청 및 행정안전부는 국세, 지방세 정보를 신용정보사로 넘기는 방안에 대해 반대하고 있다.

사생활 성격이 강한 민감 정보를 민간기업에 넘길 수 없다는 것이다.

이렇듯 의견이 갈리는 상황에서 ‘신용정보법 개정안’의 국회 통과는 쉽지 않을 전망이다.

금융위는 내달 열리는 국회 본회의 상정에 집중한다는 계획이지만, 통과가 확실한 상황은 아니다.

지난 2016년 방송통신위원회에서 개인정보 빅데이터 활용을 위한 ‘개인정보 비식별 조치 가이드라인’을 발표해 빅데이터 산업이 활성화될 것으로 기대됐지만, 2017년 11월 시만단체의 고발로 인해 관련 산업이 모두 위축된 상황이다.

법제도가 개선되지 않는 이상, 새로운 정책이 추진돼도 비슷한 상황이 계속될 수 있다는 우려가 나오고 있는 이유다.

데이터 경제는 이미 세계적인 트렌드로 자리잡고 있다.

개인정보보호만을 외치면서 데이터 산업의 발전을 저해한다면, 세계적인 트렌드에 뒤처지게 된다.

반대로 데이터 산업 활성화를 위해 개인정보보호 문제를 등한시 한다면 인권적인 차원에서 문제가 생긴다.
양측 모두 인정할 수 있는 합의점을 도출해야 한다.

이 합의점을 발견하기 위해 논의가 활발히 이뤄져야 할 시점이다.

출처 : DBguide

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com