개인정보보호위원회는 2025년 3대 추진 전략과 6대 핵심 과제를 발표하면서 "마이데이터 시대 개막, 성과 창출 본격화"를 주요 과제 중 하나로 선정했다. 마이데이터(MyData)란 개인이 자신의 정보를 직접 관리하고 원하는 서비스에서 활용할 수 있도록 하는 개념으로, 금융, 의료, 통신 등 다양한 분야에서 도입이 확대되고 있다.  2025년부터 정부는 국민 생활과 밀접한 의료, 통신, 에너지 분야에서 마이데이터를 본격 시행하며, 국민이 자신의 정보를 원하는 곳으로 이동시켜 필요한 서비스를 누릴 수 있도록 지원할 예정이다. 또한, 마이데이터 안착을 위한 선도 서비스 5종이 단계적으로 출시될 계획이다.   [출처: 개인정보보호위원회, 2025.01.13., 안전한 개인정보, 신뢰받는 인공지능시대-「2025년 개인정보보호위원회 주요 정책 추진계획」]    1. 마이데이터의 새로운 패러다임, 데이터 주권의 변화와 배경 마이데이터가 개인정보보호위원회의 핵심 과제로 선정된 배경에는 데이터 활용과 개인정보 보호 간의 균형을 맞춰야 한다는 사회적 요구가 있다.  1) 개인정보 보호와 데이터 활용의 균형 필요 기존의 데이터 활용 방식은 기업이나 기관이 개인의 데이터를 수집·보관하고 이를 기반으로 서비스를 제공하는 구조였다. 그러나 이러한 방식은 개인의 정보에 대한 통제권이 부족하고, 무분별한 데이터 활용으로 인한 개인정보 침해 위험이 높다는 문제가 있었다.마이데이터는 개인이 본인의 정보를 직접 통제하고, 원하는 기업이나 기관과 안전하게 공유할 수 있도록 하는 방식을 채택함으로써 이러한 문제를 해결한다. 특히 개인정보보호위원회는 전송 요구 이력 조회, 전송 철회 등 국민의 개인정보 전송 요구 권리 행사를 지원하는 ‘마이데이터 지원 플랫폼’을 개설하여 국민이 보다 투명하게 자신의 데이터를 관리할 수 있도록 돕고 있다.   2) 맞춤형 서비스에 대한 수요 증가 소비자들은 단순히 상품·서비스를 구매하는 것에서 나아가, 자신에게 최적화된 맞춤형 서비스를 원하고 있다. 예를 들어, 개인의 금융 데이터를 활용한 자산관리 서비스,건강 데이터를 활용한 맞춤형 건강관리 서비스, 통신 이용 패턴을 분석한 최적 요금제 추천 서비스 등이 이에 해당한다. 이를 위해 정부는 금융·공공 등 기존 마이데이터 부문과 의료·통신·교육·고용·여가 등 신규 부문의 데이터 융합을 지원하여 보다 혁신적인 맞춤형 서비스를 창출할 수 있는 환경을 조성할 계획이다.   3) 디지털 전환 및 데이터 경제 활성화 정책 정부는 디지털 전환을 가속화하고 데이터 경제를 활성화하기 위해, 데이터를 안전하게 개방하고 활용할 수 있는 법·제도를 정비하고 있다. 특히 마이데이터는 데이터 주권을 개인에게 돌려주면서도 기업과 기관이 데이터를 활용할 수 있도록 돕는 핵심 전략으로 자리 잡았다. 이에 따라 의료·통신 분야에서 데이터 제공 기관 및 제공 항목을 확대하고, 교육·고용·여가 등 새로운 부문으로 점진적으로 확장할 계획이다.   4) 국제적 흐름에 대응 유럽연합(EU)의 GDPR(일반 데이터 보호 규정), 미국의 CCPA(캘리포니아 소비자 개인정보 보호법)등 해외에서도 데이터 주권을 개인에게 돌려주려는 흐름이 강화되고 있다. 우리나라도 이러한 글로벌 트렌드에 발맞춰 마이데이터 사업을 국가 차원에서 적극 추진할 필요가 있었다.  2. 마이데이터의 현재 진행 상황 마이데이터 사업은 현재 금융권을 중심으로 도입되었으며, 의료, 통신, 에너지 등 다양한 분야로 확장되고 있다.   분야 현재 진행 상황 추후 계획 금융 2021년부터 마이데이터 본격 시행, 자산관리·신용평가·금융상품 추천 서비스 운영 금융 데이터 활용 서비스 고도화 공공 국세청, 국민연금 등 일부 공공기관 정보 제공 공공 데이터 전송 범위 확대 및 민간 서비스 연계 강화 의료 시범사업 진행 중, 일부 병원의 진료기록·건강검진 결과 제공 2025년 본격 시행, 처방전·의료기록 등 전송 항목 확대 통신 일부 통신사에서 요금제 추천 서비스 운영 2025년부터 데이터 사용량, 통화 내역, 가입 정보 등 추가 제공 에너지 스마트 미터링 도입, 일부 에너지 사용 데이터 제공 개인 전력 소비 데이터 활용 확대, 맞춤형 절약 서비스 도입 교육· 고용 논의 단계 2025년 이후 단계적 도입, 학습·경력 데이터 활용 지원   개인정보보호위원회가 마이데이터를 2025년 핵심 과제로 선정한 것은 데이터 활용과 개인정보 보호를 조화롭게 추진하기 위해서다. 마이데이터가 활성화되면 개인은 자신의 데이터를 직접 관리하면서 맞춤형 서비스를 받을 수 있고, 기업과 기관은 데이터를 안전하게 활용하여 보다 혁신적인 서비스를 제공할 수 있는 환경이 조성된다. 현재 금융권을 넘어 의료, 통신, 에너지, 교육 등 다양한 분야로 마이데이터 사업이 확장되고 있으며, 정부는 이를 지원하기 위해 법적·기술적 기반을 지속적으로 보완하고 있다. 또한 다크 패턴 등 부당한 전송 유도·유인을 방지하기 위한 가이드라인 마련, 정보주체 대상 교육을 통해 건전한 마이데이터 문화 조성에도 힘쓰고 있다. 앞으로 마이데이터가 본격적으로 자리 잡으면, 개인의 데이터 활용 권한이 강화되고, 보다 정교한 맞춤형 서비스가 제공되는 디지털 경제 환경이 조성될 것으로 기대된다.

디지털 시대에 우리는 이메일, 소셜 미디어 계정, 클라우드 저장소, 온라인 금융 자산 등 다양한 디지털 자산을 소유하고 있다. 그러나 사망 이후 이러한 자산을 어떻게 처리할 것인지에 대한 사회적 논의는 아직 충분히 이뤄지지 않았고, 법적·기술적 기준 역시 구체화되는 과정에 있다. 특히 유족이 고인의 계정에 접근하려 할 때 다양한 제약이 발생하고 있어, 이에 대한 제도적 대응과 사회적 논의의 필요성이 점차 커지고 있다.  1. 디지털 유산의 개념과 관리 필요성  디지털 유산(Digital Legacy)이란, 사망자가 남긴 모든 디지털 자산 및 관련 정보, 접근 권한을 의미한다. 여기에는 이메일, 소셜 미디어 계정, 디지털 사진, 클라우드 저장소, 블로그, 온라인 금융 계정 등이 포함된다. 이들 자산은 고인의 삶을 기록한 자료이자 유족에게는 정서적, 재산적 가치를 지닌다. 그러나 이러한 디지털 자산은 물리적 자산처럼 명확한 상속 절차나 법적 권리가 정의되어 있지 않다. 실제로 유족이 고인의 계정이나 데이터에 접근하려 할 경우, 플랫폼의 정책이나 관련 법률에 따라 접근이 제한되거나 거부되는 사례가 빈번히 발생하고 있다. 설령 로그인 정보를 알고 있더라도 서비스 약관 위반으로 간주될 수 있으며, 데이터가 삭제되거나 계정이 영구 잠금 처리될 위험도 있다. 이러한 현실은 디지털 유산 관리의 필요성과 법적 기준 마련의 중요성을 부각시키고 있다.  2. 주요 국가의 법적 접근 방식  국가별로 디지털 유산에 대한 접근 방식은 상이하며, 관련 법제는 여전히 발전 중에 있다. 이러한 차이는 향후 국제적 조율이나 기준 마련의 필요성을 시사한다.   국가/지역 주요 내용 EU(유럽연합) GDPR(일반 개인정보보호법)은 사망자의 개인정보 처리에 대해 명시적인 규정을 두고 있지 않으며, 각국이 자율적으로 관련 법제를 구성 프랑스 사망자가 생전 자신의 디지털 자산 처리 방식을 지정할 수 있는 권리를 법률로 보장 독일 연방대법원이 유족의 페이스북 접근권을 인정한 판례를 통해, 디지털 자산도 상속 대상이 될 수 있음을 명시 미국 연방 차원의 규정은 없으며, 일부 주는 RUFADAA(디지털 자산 접근 권한 통일법) 기반으로 제도 마련 중   3. 주요 IT 기업들의 대응 현황   기업 대응 방안 및 특징 구글 ‘비활성 계정 관리자(Inactive Account Manager)’ 기능 제공. 일정 기간 비활성 시 지정된 인물에게 데이터 제공 또는 계정 삭제 설정 가능 애플 ‘디지털 유산 연락처(Digital Legacy Contact)’ 기능을 통해, 생전 지정한 인물이 고인의 애플 계정에 접근 가능 페이스북(메타) 사망자 계정을 ‘기념 계정(Memorialized Account)’으로 전환 가능, 유족에게 일부 관리 권한 부여 기타 플랫폼 사망자 계정에 대한 명확한 정책이 부재한 경우도 있으며, 접근 제한 또는 계정 삭제 방식만 제공하는 사례 다수   이러한 기능은 대부분 사망 전에 사용자가 직접 설정해야 하므로, 이용자 인식 개선과 정책 고도화가 병행되어야 한다.  4. 향후 논의 과제  1) 법제도 정비 - 사망자의 디지털 자산 처리 방식에 대한 법적 기준 마련 - 생전에 유언처럼 디지털 유산의 처리 방식을 지정할 수 있는 제도화 필요   2) 기업의 정책 강화 - 이용자 중심의 디지털 유산 관리 기능 확대 - 사망 후 계정 및 데이터 처리에 대한 투명한 절차 마련   3) 사회적 인식 제고 - 디지털 자산도 사후 정리 대상이라는 인식 확산 - 계정 접근, 삭제, 보존 여부에 대한 이용자의 사전 결정 권장  디지털 자산은 단순한 온라인 정보가 아니라 고인의 삶의 기록이자, 유족에게는 기억의 일부로 기능한다. 디지털 유산 관리에 대한 법적·기술적 기반이 보다 정교하게 마련된다면, 고인의 사생활을 존중하면서도 유족의 정당한 권리를 보장할 수 있는 균형 잡힌 접근이 가능해질 것이다.    [참고자료] 한겨레. (2024, 3월 5일). 디지털 유산 관리, 사망 후 개인정보는 누구의 것인가?. 한겨레. https://www.hani.co.kr/arti/economy/it/1186186.html 법무사와 함께하는 법률 이야기. (2024, 2월 20일). 디지털 유산, 상속과 법적 쟁점 정리. 네이버 블로그. https://blog.naver.com/with_bubmusa/223597534606

2025년 9월, 세계 최대 규모의 개인정보 관련 국제회의인 제47차 글로벌 프라이버시 총회(GPA, Global Privacy Assembly, 이하 GPA)가 서울에서 개최될 예정이다. 이는 한국이 개인정보 보호 및 데이터 거버넌스 분야에서 국제적 리더십을 강화할 수 있는 중요한 기회로 평가받고 있다. 개인정보 보호는 최근 디지털 기술 발전과 맞물려 더욱 중요한 이슈가 되고 있으며, 이번 GPA 총회를 통해 한국은 글로벌 규범 논의를 선도하고, 국제 협력을 강화하는 중심축으로 자리 잡을 수 있다.  1. GPA의 역할과 의의  GPA는 1979년 설립된 국제 개인정보 보호 기구로, 현재 89개국 137개 기관이 참여하고 있다. 매년 열리는 총회를 통해 각국의 개인정보 감독 기관, 법률 전문가, 글로벌 기업 관계자들이 모여 개인정보 보호 정책과 현안을 논의한다. 최근 디지털 환경이 급변함에 따라, AI, 빅데이터, 사물인터넷(IoT) 등 신기술과 개인정보 보호의 균형을 맞추는 것이 주요 이슈로 떠오르고 있다.  2. 2025년 서울 총회의 주요 의제  2025년 서울에서 열릴 총회의 주요 주제 중 하나는 ‘AI와 개인정보 보호’가 될 가능성이 크다. AI 기술이 급속도로 발전하면서, 자동화된 데이터 처리 과정에서 개인정보 침해 위험이 증가하고 있기 때문이다. 한국은 이번 총회를 통해 AI 투명성 및 책임성 강화, 데이터 최소 수집 원칙 적용, 개인정보 보호 기술(Privacy-Enhancing Technologies, PETs) 발전 방향 등을 논의하는 데 앞장설 것으로 보인다. 또한, 국가 간 데이터 이동성 문제도 핵심 의제로 다뤄질 것으로 예상된다. 개인정보 보호법이 국가마다 상이하기 때문에, 글로벌 기업들은 여러 법규를 동시에 준수해야 하는 어려움을 겪고 있다. 한국은 ‘아시아·태평양 지역 데이터 보호 협력 모델’을 제시하여 국제적 협력 방안을 모색하고, 국가 간 개인정보 보호 체계를 조화롭게 만들기 위한 논의를 주도할 가능성이 있다.  3. 한국의 역할과 전망  GPA 서울 총회는 한국이 개인정보 보호 분야에서 글로벌 리더십을 확보할 수 있는 중요한 기회다. 한국은 개인정보 보호법 개정, 국제 데이터 전송 규칙(Standard Contractual Clauses, SCC) 개선, 마이데이터(MyData) 정책등을 통해 글로벌 스탠더드에 부합하는 정책을 지속적으로 추진해 왔다. 특히, 2023년 10월부터 2026년 10월까지 GPA 집행위원으로 활동하면서, 개인정보 보호 관련 글로벌 논의를 선도할 입지를 다지고 있다. 한국이 GPA 서울 총회를 성공적으로 개최한다면, 국제 사회에서 개인정보 보호 정책을 주도하는 중심 국가로 자리매김할 수 있을 것이다. 이를 위해 정부와 기업, 학계가 협력하여 개인정보 보호 법제 정비, 국제 협력 네트워크 구축, AI·데이터 보호 기술 연구개발(R&D) 강화 등의 노력을 기울여야 한다. 개인정보 보호는 단순한 규제 차원을 넘어, 디지털 경제 시대의 신뢰를 구축하는 핵심 요소다. 2025년 GPA 서울 총회는 한국이 이러한 글로벌 흐름을 주도하며, 개인정보 보호와 데이터 경제의 균형을 맞추는 글로벌 선도국으로 도약하는 계기가 될 것이다.  [참고자료] 개인정보보호위원회. “제47차 글로벌 프라이버시 총회(GPA) 서울 개최 관련 공지.” 개인정보보호위원회, 2024.     https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9259

새롭게 선보인 국가 망 보안체계(N²SF)  우리나라는 2006년부터 국가‧공공기관 대상 망 분리 정책이 시행되었고, 이는 금융 및 방산 기관 등으로 확대되었다.  망 분리정책은 강력한 보안효과를 보이며, 실제로 2017년 전 세계를 강타한 랜섬웨어 공격에도 국내 피해가 적었던 이유는 망 분리 정책의 효과 때문이라고 많은 전문가들은 얘기한다. 하지만, 시대는 빠르게 변화하고 있으며 망 분리 정책의 단점으로 인해 업무 효율성 하락과 신기술 적용 불가능 등 크고 작은 문제가 꾸준히 발생하고 있다. 이에 국가정보원은 국가 망 보안정책 TF를 구성해 국가 망 보안체계(N²SF)를 수립하였다. 1/23 발간된 가이드라인을 기초로, 국가 망 보안체계가 무엇인지 알아보고자 한다.  1. 국가 망 보안체계 추진 배경 공공분야의 업무망은 안전성 확보를 위해 망 분리 정책을 적용하여 보안 위협에서 공공기관 시스템을 안전하게 보호하는 역할을 하고 있다.  망 분리의 핵심은 민감한 데이터를 다루는 내부망(업무망)을 일반 인터넷망과 분리 운영하여 인터넷을 통한 불법적인 접근이나 정보유출 등 외부로부터 사이버 위협을 원천으로 차단하는 목적이다. 망 분리 정책은 국내 보안 정책의 근간으로 자리 잡아 왔으며, 매우 강력한 보안 효과를 보인다. 그러나 최근 원격근무, 클라우드, 생성형 AI등 IT환경의 급격한 변화로 인해 인터넷과 단절된 망 분리 환경에서는 업무를 효율적으로 수행하기 어려워지고 있으며, 공공데이터 같은 신기술 활용에 어려움이 있는 문제점이 있다.  이에 데이터중요도에 따라 등급을 차등화 하는 국가 망 보안체계가 나오게 되었다. 2. 국가 망 보안체계 정의  국가 망 보안체계(National Network Security Framework)는 업무 중요도에 따라 국가 전산망을 기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open) 3개 등급으로 분리하여 등급별로 구분해 기존 네트워크 기반의 ‘경계중심’에서 벗어나 ‘데이터 중요도 중심’으로 보안 기준을 재편하고 데이터의 중요도에 따라 보안 등급을 분류하여 망 관리 체계를 차등화 하여 관리하는 방식이다.    정보 분류 분류 기준 상세 분류 내용 비공개 정보 기밀정보(C) 비밀, 안보·국방·외교·수사 등 기밀정보 국민생활·생명·안전과 직결된 정보 제1호 : 법령상 비밀, 비공개 정보 제2호 : 안보·국방·통일·외교 관련 정보 제3호 : 국민의 생명·신체·재산보호 침해 관련 정보 제4호 : 재판·수사 등 관련 정보 민감정보(S) 비공개 정보 개인·국가 이익 침해가 가능한 정보 제5호 : 감시·감독·계약·의사결정 관련 정보 제6호 : 이름·주민번호 등 개인정보 제7호 : 법인의 경영·영업비밀 정보 제8호 : 부동산 투기·매점매석 등 관련 정보 기타 : 로그 및 임시백업 공개 정보 공개정보(O) 이외 모든 정보 가명처리 등 조치한 행정·민감 정보 공공데이터법(제2조)에 따른 공공데이터로 기밀·민감정보 이외 모든 정보 가명처리 등 관련 법 등에서 규정하는 요건을 만족하는 행정·민감 정보   3. 국가 망 보안체계 준비사항 국가 망 보안체계는 총 다섯 단계로 구성되며 각 절차는 수행기관에서 준비해야 한다. 1) 준비단계국가 망 보안체계 전체 절차를 위한 기초 데이터를 수집하고 N²SF 적용계획을 수립하는 단계이다. 2) C/S/O 등급분류 단계준비 단계에서 식별된 업무정보 정보시스템에 관한 C/S/O 등급을 분류하는 단계이다. 3) 위협식별 단계업무정보 정보시스템으로 구성되는 정보서비스에 대한 모델링, C/S/O 평가, 보안원칙 적용을 통해 발생 가능한 위협과 보안대책이 필요한 정보서비스 구성요소를 식별하는 단계이다. 4) 보안대책 수립 단계위협식별 결과에 따라 업무정보 및 정보시스템에 대한 적절한 보안통제 항목을 선택한다. C/S/O 보안등급별 보안통제 기준선을 활용해서 보안등급에 따른 필요 보안통제 항목을 선택할 수 있고, 기관의 특성 및 정보시스템 환경을 반영한 N²SF 적용계획 등에 따라 보안통제의 제외, 수정, 추가 등 조정이 가능하다. 5) 적절성 평가, 조정 단계앞선 네 단계의 산출물들을 분석하여 단계별 활동이 적절하게 수행되었는지 확인하고 평가한다. 만약 미흡한 부분이 발견되면 보완한다.최종적으로 적절성 평가 결과를 승인함으로써 국가 망 보안체계 적용의 모든 절차가 종료된다.이후 국가정보보안기본지침에 따른 국가정보원 보안성 검토를 시행하게 된다. 4. 국가 망 보안체계 적용 시 향후 전망1)업무 효율성 향상망 분리로 인해 AI 및 클라우드를 사용하지 못했던 기관에서 해당 기술사용이 가능함에 따라 업무 자동화가 가속되고, 협업 효율성이 향상될 것으로 보인다. 2)규제 및 인증 간소화국가 망 보안체계로 인해 클라우드 보안 인증(CSAP) 절차가 간소화 되면서 보안 인증을 효율적으로 관리할 수 있는 체계가 마련될 것이다.이에 따라 인증 절차를 정비하고, 새로운 보안 기준을 적용할 수 있는 체계를 준비해야 한다. 3)보안 위협 증가 외부 망과의 연결이 증가함에 따라 해킹 및 데이터 유출 위험이 커질 수 있다. 이를 방지하기 위해 제로트러스트 보안 모델을 적용하고, 최신 기술을 도입해 보안 위협 모니터링을 강화해야 한다   약 20년간 지속된 정책을 변경하는 것은 어려운 일이며 초기에는 생각지 못했던 문제점도 발생할 것으로 예상된다.  하지만 국가 망 보안체계는 빠르게 변화하는 IT 환경과 보안 위협에 효과적으로 대응하기 위한 중요한 전환점을 의미한다. 망 분리 정책의 한계를 극복하고, 데이터 중요도에 따라 차별화된 보안 관리를 통해 공공기관의 업무 효율성과 신기술 활용이 가능해 지는 등 긍정적인 효과가 기대된다. 하지만, 외부 망과의 연결이 증가하면서 보안 위협도 커질 수 있는 점은 반드시 해결해야 할 과제이다.  제로트러스트 보안 모델을 비롯한 최신 보안 기술을 적극적으로 적용하고, 지속적인 보안 모니터링 체계를 강화해야 한다. 또한, 보안 인증 절차의 간소화와 효율적인 관리 체계 수립이 중요해질 것이다. 향후 국가 망 보안체계가 더욱 더 발전하여 더 나은 보안 환경과 효율적 업무수행이 가능하게 되기를 기대한다.

  새어나가는 우리 회사의 중요 정보, 범인은 내부자?    ‘내부 정보가 유출되었다’라는 말을 들으면 보통 외부 해커의 공격을 떠올리기 쉽다. 하지만 최근 정보 유출 통계를 보면, ‘내부자’에 의한 정보 유출의 건수와 그에 따른 피해 규모가 나날이 증가하고 있는 추세이다. 이제껏 외부 공격에 대한 방어 체계는 비교적 잘 갖춰져 있는 반면, 내부자에 의한 정보 유출은 예측이 어렵고 패턴이 일정하지 않다는 이유로 상대적으로 소홀히 다뤄져 왔다. 그러나 부주의한 직원, 악의적인 관계자, 또는 사이버 범죄자의 자격증명 도용 등의 내부자 위협에 의한 피해의 심각성이 점점 증가하고 있음에 따라, 기업과 기관은 내부자에 의한 정보 유출을 방지하기 위해 체계적인 보안 정책을 마련하고 지속적인 교육과 모니터링을 강화할 필요가 있다.     1. 현황 2024년 7월에 경찰청이 발표한 2024년 상반기 정보 유출 현황에 따르면, 기술 해외유출 사건의 비중이 꾸준히 증가하고 있는 추세이며 특히 작년 피해 기업 중 중소기업이 80.9%를 차지하였으며 유출 주체는 ‘내부인’이 80%를 넘는 수치를 기록했다. 1)또한 글로벌 정보보안업체 프루프포인트(Proofpoint)가 발표한 ‘2022 내부자 위협 비용 글로벌 보고서’에 따르면, 2022년 발생한 내부자 사고는 6,803건에 달하며, 연간 평균 피해 비용은 약 1,540만 달러(한화 약 201억 원)에 이르는 것으로 조사되었다. 2) 국내외를 막론하고 내부자 정보 유출로 인한 피해는 이처럼 꾸준히 증가하고 있다. 이 같은 내부자유출은 범죄 행위에 이용되어 개인의 안전을 위협할 뿐만 아니라 기업에 막대한 경제적 손실을 초래할 수 있다.   2. 내부자 정보 유출의 유형 내부자에 의한 정보 유출은 크게 두 가지 유형으로 나눌 수 있다.  1) 부주의 및 실수로 인한 유출 ­ - 업무용 기기 보안 관리 소홀:직원의 업무용 장비 관리(컴퓨터, 모바일 기기, 저장 장치 등)부주의로 민감한 정보가 외부에 노출될 가능성 ­ - 보안 패치 미실행: 소프트웨어 업데이트를 하지 않아 해킹에 취약해지는 경우 ­ - 이메일 참조 실수:숨은 참조(Bcc)를 사용하지 않고 일반 참조(Cc)를 사용해 개인정보가유출되는 사례 ­ - 검색엔진 노출: 기밀 정보를 검색엔진 크롤링에 노출시키는 실수 ­ - AI 신기술로 인한 유출:클라우드 서비스와 AI 도구(ChatGPT 등)의 부적절한 활용으로정보가 유출되는 새로운 유형 등장   2) 고의적인 유출 ­ 내부정보 및 중요 정보 유출 ·불법 거래: 회사 내부 문서, 재무 자료, 고객 데이터 등을 다크웹에서 판매하거나 경쟁사에 제공 ·내부 시스템 접근권한 남용: 퇴직 전 회사 데이터베이스에서 내부 보고서, 경영 전략등을 무단으로 복사 후 외부로 유출 ­ 개인정보 유출 ·직원의 고의적인 침해: 병원, 금융사, 공공기관 직원이 고객 개인정보(이름, 주민등록번호,계좌정보 등)를 외부에 판매하거나 악용 ·랜섬웨어 및 해킹 협력: 내부자가 해커와 공모하여 고객 개인정보를 유출하고 이를금전적으로 활용 ­ 기밀 정보 유출 ·퇴사자 또는 경쟁사 이직자에 의한 유출: 전 직원이 퇴사 후 경쟁사에 입사하면서 기존회사의 핵심 기술 문서, 연구 개발 자료 등을 불법적으로 반출 ·산업 스파이 활동:내부 직원이 기업의 기밀 데이터를 의도적으로 해외 기업이나 기관에제공하여 경쟁력을 약화 ·협력사 및 파트너사 유출: 내부자가 협력사와 공유해야 할 제한적 정보를 무단으로제공하여 기업의 비즈니스 전략이 노출되는 경우 3. 유출 사례 ­ 국내 대형 병원 개인정보 유출 사건국내 17개 대형 병원에서 환자의 개인정보 약 18만 건이 유출되었으며, 내부 직원들이환자 정보를 제약회사 직원에게 이메일, USB 등을 통해 전달한 것으로 밝혀졌으며이로 인해 총 6,480만 원의 과태료가 부과되었음 ­ AI 학습 자료 공유 중 보안 사고한 기업의 연구원이 클라우드에 AI 훈련 자료를 업로드하던 중 실수로 보안키, 비밀번호,내부 직원의 메시지 약 3만 건이 노출되었으나 다행히 빠르게 문제를 파악하고 링크를삭제하였음 ­ 쇼핑몰개인정보 유출 사고 특정 조건의 상품 구매 고객에게 적립 이용권을 배포하던 중, 캐시 정책 설정 오류로인해 쇼핑몰 이용자 20명의 개인정보가 다른 고객 29명에게 노출되었으며 이로 인해방송통신위원회는 해당 기업에 18억 5,200만 원의 과징금을 부과함 ­ 코레일 직원 개인정보 무단 열람 사건코레일 직원이 3년간 방탄소년단 리더 RM의 개인정보를 무단 열람한 사실이 드러났으며이러한 행위는 개인정보보호법 위반으로 처벌 대상이 되었음 3) ­ 서울교통공사내부망 이용 범죄신당역 살인사건 가해자는 내부망에 접속해 피해자의 개인정보를 열람하고, 이를 바탕으로 범행을 저질렀음  4. 방지 대책 정보보호는 단순히 기술적 문제를 넘어 사람의 실수와 고의적 행위를 방지하기 위한 종합적인접근이 필요하다. 기업과 조직은 내부자에 의한 유출 가능성을 항상 염두에 두고 대비해야 한다. 우선 다음의 다섯 가지 항목을 통해 조직의 내부자 위협의 발생 가능성을 체크해볼 필요가 있다.    기업 및 기관은 위와 같은 체크리스트를 통해 조직의 보안 수준을 확인하였다면, 그에 걸맞는내부자 위협에 대한 방지 대책을 세워야 할 것이다.  1) 임직원 보안 교육 강화 지속적이고 실효성 있는 보안 교육을 통해 직원들의 보안 의식을 높이고, 부주의나 실수로 인한 정보 유출을 예방할 수 있다. 2) 접근 권한 관리 강화 직원들의 정보 접근 권한을 최소한으로 설정하고, 필요에 따라 권한을 부여하거나 회수하는 체계를 구축해야 한다. 3) 내부자 활동 모니터링 시스템 도입 내부자의 비정상적인 활동을 실시간으로 모니터링하고, 이상 징후를 탐지하는 시스템을 구축하여 조기에 대응할 수 있다. 예를 들어, 대량의 데이터 다운로드나 평소와 다른 시간대의 접근 등을 감지하여 경고를 발송할 수 있다. 4) 데이터 암호화 및 접근 통제 중요한 데이터를 암호화하고, 접근 통제를 강화하여 무단 접근이나 유출 시에도 정보의 기밀성을 유지할 수 있게 한다. 5) 클라우드 보안 강화 클라우드 서비스를 이용할 경우, 안전한 인증 수단을 적용하고, 접근 권한을 철저히 관리하여 해커에게 관리자 접근 권한이 탈취되는 것을 방지해야 한다. 6) 보안 패치 및 시스템 업데이트 정기적 적용 시스템과 소프트웨어의 최신 보안 패치를 정기적으로 적용하여 알려진 취약점을 악용한 공격을 방지해야 한다.      내부자에 의한 정보 유출은 디지털 전환이 가속화 되고 근무 환경 등이 변화 등으로 인해 더욱 통제하기가 어려워지고 있으며, 악의적인 내부자 유출과 사이버 범죄 조직과의 연계가 증가하는 등 그 피해 규모는 앞으로 더욱 커질 가능성이 높다.  따라서 기업과 기관은 조직의 보안수준을 정확히 파악하는 한편, 임직원에 대한 지속적인 교육과 철저한 관리 체계를 통해 내부 보안 수준을 강화하여 정보 유출로부터 안전한 환경을 구축해야만 할 것이다.    1) 서울경제, https://www.sedaily.com/NewsView/2DBSESCRQR 2)  프루프포인트(Proofpoint), ‘2022 내부자 위협 비용 글로벌 보고서’  3)  아시아경제, https://view.asiae.co.kr/article/2023122217460460178

피싱 대응 현황  2024년 국내·외 피싱(Phishing) 대응 현황 및 시사점  자세한 내용은 한국인터넷진흥원에서 확인하실 수 있습니다. ◎ 접속 경로 : 한국인터넷진흥원 > 지식플랫폼 > 정기간행물 > KISA Insight 출처 : 한국인터넷진흥원(24.10.31)

제1장. Trend - 2021 하반기 사이버 위협 동향 1. 국내외 사이버 위협 동향 2. 취약점 동향제2장. Special Issue - Log4j 보안 취약점 대응 가이드 1. Q&A 형식으로 알아보는 Log4j 보안 취약점 대응 가이드제3장. HowTo - 전문가 컬럼 1. 안랩 대응팀 양태연 선임연구원  : MS Exchange Server 취약점 공격 동향 2. 네이버 클라우드 최경렬  : Zero Trust 보안 도입을 위해서 고려할 점 3. KISA 침해사고분석단 종합분석팀, 사고분석팀  : TTPs#6 타겟형 워터링홀 공격전략 분석출처 : 한국인터넷진흥원(21.12.29)

2022 개인정보보호 7대 이슈    1) 금융을 넘어 全 산업분야로 확산되는 마이데이터 2) 데이터 가치를 높여주는 가명정보 활용 확산 3) 신기술 환경에서 개인영상정보 보호와 산업적 활용의 조화 4) AI 등 신기술 기반 데이터 시대, 新 개인정보보호 이슈 심화 5) 개인정보보호 위반 행위 증가에 따른 과징금 기준 합리화 6) 삶의 편리성과 프라이버시 위협, 글로벌 빅테크 기업의 양면성 7) 비대면 시대, 온라인플랫폼 이용 확대와 개인정보보호