Privacy Desk

가명정보를 실제로 도입한 뒤ISMS-P, ISO 27701 같은 인증 심사에서이를 어떻게 설명할지 고민하는 경우가 많다.논문과 실무를 함께 경험하면서심사·점검 자리에서 가명정보 활용을 설명할 때어떤 구조로 말을 꺼내면 이해가 조금 더 잘 되는지정리해 보려고 한다.1. 법·인증 프레임과의 연결부터 짚어주기먼저, 심사자가 서 있는 프레임을 맞춰준다. •개인정보보호법상 가명정보 정의와 처리 요건 •ISMS-P의 개인정보 라이프사이클(수집–이용–제공–보관–파기) •ISO 27701에서 말하는 PII controller/processor 역할이 세 가지가 교차하는 지점을간단한 그림이나 표로 보여주고“우리 조직의 가명정보 처리는 이 지점에 위치한다”는 설명을 먼저 한다.막연히 “가명처리를 하고 있다”고 말하기보다는..

면접에서도 자주 나오는 질문이“웹쉘 업로드 공격이 발생했을 때 어떻게 대응하겠냐”는 것이다.관제·운영 현장에서도 한 번쯤은 겪어보는 유형의 인시던트다.웹쉘(web shell)은공격자가 서버에서 임의 명령을 실행하기 위해업로드하는 스크립트 파일이다.PHP, JSP, ASP, WAR 등 형태는 다양하지만본질은 서버 측 RCE(Remote Code Execution)를 얻는 것이다.실제 관제·대응 흐름을 단계별로 정리해 보았다.1. 탐지 단계: 로그와 시그니처로 이상 징후 포착웹쉘은 흔히 다음 경로에서 포착된다. • WAF 로그:파일 업로드, 특이한 파라미터, 악성 패턴 탐지 • 웹 서버 로그(Apache, Nginx, IIS):.php, .jsp 등의 스크립트 파일에 대한 비정상적인 POST 요청 • EDR..

요즘 신규 서비스는 대부분 API를 중심으로 설계된다.웹·앱·파트너 시스템이 모두 같은 API를 사용하고,내부 백오피스까지 API에 의존하는 구조가 흔하다.그런데 API 설계 단계에서 개인정보와 프라이버시를 놓치면나중에 영향평가나 점검, 심지어 사고 대응까지모든 단계에서 설명이 어려워진다.실무에서 API 기반 서비스를 볼 때개인정보·프라이버시 관점에서 먼저 정리해 보는 지점을 적어본다.1. 엔드포인트별 데이터 맵핑: 무엇이 어디로 나가는지 먼저 그려보기가장 먼저 하는 일은엔드포인트별로 어떤 필드가 오고 가는지를 맵핑하는 것이다. • /user/login, /user/profile, /user/withdraw • /order/create, /order/list, /order/history • /partne..