Privacy Desk

정보보안과 개인정보 보호 일을 하다 보면하루에 여러 가지 일들이 지나간다.회의, 평가, 검토, 메일, 정리…그때는 분명히 고민을 많이 했던 이슈인데몇 달 뒤에 다시 보면정작 어떤 생각으로 결정했는지가잘 기억나지 않을 때가 많다.그래서 언젠가부터“어차피 고민하는 거면, 글로도 남겨보자”는 생각을 하게 됐고그 결과물이 지금 운영하고 있는 블로그다.기록을 남기지 않으면, 내 경험도 금방 증발된다는 느낌실무에서 한 번 고민하고 넘어간 내용은당시에 꽤 크게 느껴져도시간이 지나면 흐릿해진다.왜 그 구조를 선택했는지그때 현업과 어떤 논쟁이 있었는지결국 어느 선에서 합의했는지이런 것들이 정리돼 있지 않으면나중에 비슷한 상황이 다시 왔을 때처음부터 다시 고민해야 하는 경우가 많았다.블로그에 글로 남기기 시작하고 나서는,..

요즘 진행되는 개인정보 영향평가를 보면온프레미스 시스템뿐 아니라클라우드(IaaS, PaaS, SaaS)를 활용하는 서비스가꾸준히 늘어나는 걸 체감하게 된다.클라우드 엔지니어처럼깊게 설계를 하는 역할은 아니지만,평가 관점에서 구조를 듣다 보면자연스럽게 “어디부터 체크해야 할까”를다시 정리하게 된다.어디까지가 클라우드이고, 어디까지가 우리 책임인지먼저 보는 건이 서비스에서 클라우드가 어디까지 들어와 있는지다.애플리케이션 서버만 클라우드에 있는지DB·스토리지까지 클라우드에 있는지인증·알림·로그 같은 주변 기능이별도 클라우드 서비스(SaaS)를 쓰는지이걸 먼저 정리해 두면책임 소재를 나누기가 쉬워진다.클라우드 사업자가 책임지는 보안 영역우리가 설계·설정해야 하는 보안 영역우리와 파트너가 함께 나눠 가져야 할 영..

개인정보 영향평가 업무를 하다 보면결국 마지막에는 “사람” 문제로 돌아오는 것 같다.설계와 시스템은 나름 잘 되어 있어도현업에서 어떻게 이해하고 쓰는지에 따라리스크가 크게 달라지기 때문이다.그래서 자연스럽게사내 개인정보 교육, 인식 제고 활동에 관심이 생겼고여러 자료와 교육안을 보면서“나중에 내가 교육을 맡게 된다면 이렇게 해보고 싶다”는 생각을조금씩 정리해 보고 있다.법 조항을 읽히기보다, “이런 상황에서 문제가 된다”로 시작하기개인정보 교육 자료를 보다 보면초반부터 조문과 용어가 쏟아지는 경우가 많다.하지만 실제로 현업과 이야기를 해보면법 문장을 그대로 보여줄 때보다실제로 있었던 사고비슷한 상황에서 회사가 곤란해질 수 있는 지점이용자가 체감할 수 있는 불편을 먼저 얘기했을 때집중도가 확실히 달라진다...