TIL - 20260127

juni·2026년 1월 27일
TIL

TIL

목록 보기
251/316

0127 정보처리기사 필기 (14/N): 5과목 - 개인정보보호와 신기술 보안

✅ 1. 개인정보보호법의 주요 내용

  • 개인정보보호법은 개인정보의 수집, 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고자 제정된 법률입니다. IT 시스템을 구축하고 운영하는 모든 기업과 기관은 이 법을 반드시 준수해야 합니다.

➕ 1-1. 개인정보의 정의

  • 개인정보살아있는 개인에 관한 정보로서, 다음 중 하나에 해당하는 정보를 말합니다.
    1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보.
    2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도, 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보.
    3. 위 정보들을 가명 처리함으로써, 원래의 상태로 복원하기 위한 추가 정보의 사용 없이는 특정 개인을 알아볼 수 없는 정보 (가명정보).

➕ 1-2. 개인정보 처리의 기본 원칙

  • 수집 최소화: 개인정보는 목적에 필요한 최소한의 정보만 수집해야 합니다.
  • 목적의 명확화: 수집 목적을 명확하게 하고, 그 목적 외의 용도로 사용해서는 안 됩니다.
  • 동의 기반 수집: 정보 주체에게 수집·이용 목적, 항목, 보유 기간 등을 알리고 동의를 받아야 합니다.
  • 안전성 확보: 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 해야 합니다.
  • 정보 주체의 권리 보장: 정보 주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 요구할 권리가 있습니다.

➕ 1-3. 개인정보의 안전성 확보 조치 (기술적 조치)

  • 개인정보처리자가 준수해야 할 기술적 조치의 핵심 내용입니다.
    1. 접근 통제: 개인정보처리시스템에 대한 접근 권한을 최소한으로 부여하고, 외부로부터의 무인가 접근을 통제.
    2. 개인정보의 암호화:
      • 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호와 같은 고유식별정보.
      • 비밀번호바이오정보.
      • 이 정보들은 정보통신망을 통해 송수신하거나, 저장할 때 반드시 암호화해야 합니다.
    3. 접속기록의 보관 및 위변조 방지: 개인정보취급자가 개인정보처리시스템에 접속한 기록(로그)을 최소 1년 이상 보관·관리해야 합니다. (2021년 개정으로 6개월에서 1년으로 강화)
    4. 보안프로그램의 설치 및 운영: 악성코드 등을 방지·치료하기 위한 백신 소프트웨어 등의 보안 프로그램을 설치·운영.

✅ 2. 신기술과 보안

  • 새로운 IT 기술이 등장함에 따라, 그 기술의 특성을 이용한 새로운 보안 위협도 함께 나타납니다.
신기술주요 보안 위협대응 방안
클라우드 컴퓨팅데이터 유출: 여러 사용자가 자원을 공유하므로, 설정 오류 시 다른 사용자에게 데이터가 노출될 위험.
하이퍼바이저 취약점: 가상화를 관리하는 하이퍼바이저 공격.		• 강력한 접근 제어(IAM).
• 데이터 암호화.
• 클라우드 보안 설정(보안 그룹 등) 철저히 관리.
IoT (사물 인터넷)경량 기기의 보안 취약점: 저사양, 저전력 기기는 강력한 암호화나 보안 기능을 탑재하기 어려움.
물리적 탈취: 기기 자체가 탈취되어 분석될 위험.		• 기기 출고 시 기본 비밀번호 변경 강제.
• 펌웨어 및 소프트웨어 보안 업데이트.
• 통신 구간 암호화.
빅데이터개인정보 비식별화 문제: 방대한 데이터 속에서 개인을 식별할 수 있는 정보가 포함될 위험.
데이터 위변조: 대규모 데이터의 무결성을 해치는 공격.		비식별화 기술(가명처리, 총계처리, 데이터 삭제 등) 적용.
• 데이터에 대한 접근 통제 및 감사 로그 기록.
모바일악성 앱(Malware)을 통한 정보 유출.
스미싱(Smishing): 문자 메시지를 이용한 피싱 공격.
• 공용 Wi-Fi를 통한 데이터 도청.		• 공식 앱 스토어에서만 앱 다운로드.
• 출처 불분명한 링크 클릭 금지.
• 모바일 백신 설치.
AI (인공지능)데이터 편향성(Bias): 학습 데이터가 편향되어 불공정한 결과를 초래.
적대적 공격(Adversarial Attack): AI 모델을 속이는 미세한 입력값을 만들어 오작동을 유발.		• 다양하고 공정한 데이터로 학습.
• AI 모델의 판단 근거를 설명하는 기술(XAI) 연구.

📌 요약

  • 개인정보보호법은 개인정보의 수집 최소화, 목적 명확화, 동의 기반 수집을 기본 원칙으로 합니다.
  • 특히 고유식별정보, 비밀번호, 바이오정보는 저장 및 전송 시 반드시 암호화해야 하며, 접속 기록은 1년 이상 보관해야 합니다.
  • 클라우드, IoT, 빅데이터 등 신기술 환경에서는 각 기술의 특성에 맞는 새로운 보안 위협이 존재하며, 이에 대한 이해와 대비가 필요합니다.
  • 정보보호는 단순히 기술적인 문제를 넘어, 법규를 준수하고 관리적, 물리적 조치를 함께 수행해야 하는 종합적인 활동입니다.
profile
juni
이전 포스트

TIL - 20260126

다음 포스트

TIL - 20260128

0개의 댓글