Privacy Desk

대부분의 서비스 하단에는‘개인정보처리방침’이라는 긴 문서가 붙어 있습니다.대부분은 클릭조차 하지 않죠.하지만 사용자 입장에서,그리고 실무자 입장에서,최소한 아래 네 부분만은 눈에 익혀 두면 도움이 됩니다.1) 수집하는 정보 항목회원가입 시: 이름, 이메일, 휴대폰번호, 생년월일 등서비스 이용 시: 접속 로그, 쿠키, 기기 정보, 위치 정보 등생각보다 많은 정보를 수집하는 서비스라면왜 필요한지 한 번쯤 고민해 볼 필요가 있습니다.2) 보유·이용 기간탈퇴 후에도 일정 기간 데이터를 보관하는 경우가 많습니다.법적 의무 보관기간이 있는 정보도 있습니다.“탈퇴하면 바로 다 지워진다”는 가정은현실과 다른 경우가 많습니다.3) 제3자 제공·국외 이전제휴사, 광고사, 결제대행사, 배송사 등으로 정보를 넘기는 경우해외의..

실무에서 자주 보는 장면입니다.회사 문서를 개인 이메일로 보내서 집에서 작업용량이 커서 개인 클라우드(구글 드라이브 등)에 올려 공유메신저(카카오톡, 오픈채팅)로 업무 파일 전송업무 효율을 위한 선택이지만,보안·개인정보 관점에서는 리스크가 꽤 큽니다.1) 회사가 통제할 수 없는 공간개인 메일·클라우드는 회사의 관리 범위 밖에 있습니다.누가 접근하는지삭제가 제대로 되는지계정이 털렸을 때 어떤 영향이 있는지파악하기 어렵습니다.2) 사고 발생 시 책임 문제규정에서 금지하고 있는 방식이었다면,사고가 났을 때 개인에게 적지 않은 책임이 돌아갈 수 있습니다.“편하려고 했던 행동”이 나중에는 설명하기 어려운 선택이 되기도 합니다.3) 현실적인 최소 수칙가능하면 회사에서 공식적으로 승인한 협업툴·클라우드·메일만 사용부..

메일함과 문자함을 보면요즘은 피싱·스미싱이 일상처럼 들어옵니다.솔루션이 아무리 좋아도, 사용자가 한 번 잘못 누르면 사고가 시작됩니다.메시지를 받았을 때, 저는 습관적으로 아래 다섯 가지를 확인합니다.1) 발신자 주소메일 주소 도메인이 공식 도메인인지철자가 비슷한 다른 도메인은 아닌지예: @naver.com vs @naver-secure.com 같은 변형2) 링크(URL)클릭하기 전에 마우스를 올려 실제 주소 확인단축 URL은 특히 주의https 여부, 이상한 서브도메인 여부 살펴보기3) 과도한 긴급·공포 유도 문구“지금 로그인하지 않으면 계정이 삭제됩니다.”“결제 오류로 서비스가 중단됩니다.”이런 문구는 사용자의 판단력을 무너뜨리는 도구로 자주 쓰입니다.4) 개인정보·인증정보 직접 입력 요구문자로 온 ..

침해사고 리포트를 보다 보면,생각보다 많은 사건이 “비밀번호 하나 대충 써서” 시작됩니다.기술적으로 어려운 공격보다,단순한 계정 탈취가 훨씬 자주 일어나죠.1) 나쁜 비밀번호의 전형적인 패턴현장에서 자주 보는 비밀번호 패턴입니다.생년월일, 전화번호, 차량 번호1234, qwerty, password 같은 연속 패턴회사 이름 + 1234, 서비스 이름 + 1234여러 사이트에 같은 비밀번호 재사용이런 패턴만 피해도 위험도가 많이 줄어듭니다.2) 좋은 비밀번호 만드는 기본 원칙길게 만들 것 – 최소 10~12자 이상문자 + 숫자 + 특수문자 섞기서비스마다 다른 비밀번호 사용가능하면 비밀번호 관리 프로그램 사용예를 들어,자신만 아는 문장을 하나 정하고 각 단어의 앞글자만 따서 비밀번호를 만들고,서비스 별로 앞..

회사에서 일하다 보면 이런 질문을 자주 듣습니다.“보안팀이랑 개인정보보호 담당자는 뭐가 달라요?”실무에서 느끼는 차이를 기준으로 간단히 정리해 보겠습니다.1) 범위의 차이정보보안은 회사가 다루는 모든 정보가 대상입니다.소스코드, 설계 문서, 영업 전략, 로그, 시스템 구성도 등등.개인정보보호는 그중에서도사람을 식별할 수 있는 정보에 초점을 맞춥니다.이름, 연락처, 계정, 쿠키, 기기 ID, 위치정보, 영상 속 얼굴까지 포함되죠.즉, 개인정보보호는 정보보안이라는 큰 영역 안에 들어가는특정 영역이라고 볼 수 있습니다.2) 관점의 차이정보보안은“우리 회사의 정보 자산을 어떻게 지킬까?”에 초점을 맞춥니다.개인정보보호는“고객·사용자의 권리를 침해하지 않고 정보를 어떻게 처리할까?”를 더 깊게 다룹니다.그래서 동..

보안 일을 한다고 하면 아직도 많은 분들이“해킹 막는 일 하시는 거죠?”라고 물어보십니다.틀린 말은 아니지만, 그게 전부는 아닙니다.정보보안을 한 줄로 정리하면 이렇게 말하고 싶습니다.“정보를 안전하게, 정확하게, 필요할 때 사용할 수 있도록 지키는 일”보안 교과서에서 자주 나오는 CIA triad도 같은 이야기를 하고 있습니다.기밀성(Confidentiality)알아서는 안 되는 사람이 정보를 보지 못하게 막는 것예: 고객정보 DB 암호화, 권한 없는 직원은 조회 불가무결성(Integrity)정보가 몰래 바뀌거나 삭제되지 않도록 지키는 것예: 로그 위·변조 방지, 승인 없는 데이터 수정 차단가용성(Availability)필요할 때 시스템과 정보를 사용할 수 있게 하는 것예: 백업, 이중화, 장애 대응 ..

회사에서 정보보안과 개인정보보호 일을 하다 보니,노트와 메모장에만 쌓여 있는 기록이 너무 많아졌습니다.정리도 잘 안 되고, 나중에 다시 보려고 해도 찾기가 쉽지 않더라고요. 이곳에서는 주로 이런 내용들을 다룰 예정입니다.비전공자도 이해할 수 있는 정보보안·개인정보보호 기초 개념서비스 기획·개발 단계에서 고민하는 개인정보 영향평가(PIA)와 보호조치 설계실제 프로젝트에서 겪었던 보안·프라이버시 이슈와 해결 과정보안·개인정보 분야로 커리어 전환을 고민하는 분들을 위한 현실적인 이야기책이나 교과서에서 보기 어려운,현업에서 나오는 대화와 고민, 결정 과정까지 가능한 범위 안에서 솔직하게 적어보려 합니다.이 블로그의 글들은 제가 경험하고 생각한 내용을 바탕으로 작성되며,제가 속한 조직의 공식 입장과는 무관합니다...