[보안뉴스] 틱톡, 아동 개인정보보호 위반으로 4,900억 원 과징금 부과돼 GDPR 제 8조 정보사회 서비스와 관련하여 아동에게 적용되는 조건 6조(1)의 (a)호가 적용되는 경우, 아동에게 직접 이루어지는 정보사회서비스 제공과 관련하여 아동의 개인정보의 처리는 해당 아동이 최소 16세 이상인 경우에 적법하다. 아동이 16세 미만인 경우, 그 같은 처리는 해당 아동의 친권을 보유한 자가 동의를 제공하거나 승인한 경우에만 적법하다 국가마다 아동의 기준 나이는 만 13~16세 미만으로 상이함 틱톡, 아동 개인정보보호 위반으로 4,900억 원 과징금 부과돼 중국의 영상 플랫폼 틱톡이 아동 개인정보 보호 관련 법 위반으로 인해 유럽연합(EU) 규제당국으로부터 3억4천500만유로(한화 약 4천900억 원) 과징..
1 제로트러스트 추진배경 제로트러스트 Zero trust security model, 경계 없는 보안 모델 Never trust, always verify 모든 상호작용은 신뢰할 수 없는 상태에서 시작된다는 전제로 보안 아키텍처를 설계하는 방식 추진 배경 모바일, 사물 인터넷, 클라우드의 확산으로 원격재택 근무환경이 조성 비대면 사회가 가속되어 전통적인 사이버 보안 체계의 변화가 필요 최근 침해사고 유형은 내부자 공모 또는 권한탈취 등 경계보안의 암묵적 신뢰 정책의 허점을 이용하는 형태 증가 기존 경계 기반 보안모델의 한계 경계를 지정한다는 것은 내부자에 대한 암묵적 신뢰와 높은 권한을 부여한다는 것 공격자의 악성코드, 크리덴셜 스터핑 등을 통한 시스템 침투 후 횡적이동을 통한 DB 관리자 권한 획득 및..
5 개인정보 국외이전 요건 확대 및 국외 이전 중지 명령 1. 개인정보 국외이전 요건을 기존 동의 원칙에서 국제기준에 부합하도록 다양화 현향 : 정보주체의 동의를 받은 경우 법률, 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁, 보관이 필요한 경우 개인정보를 이전받는 자가 개인정보 보호 인증을 받은 경우 개인정보가 이전되는 국가 또는 국제기구가 국내법과 실질적으로 동등한 개인정보 보호 수준을 갖는 경우 2. 개인정보 보호위원회가 국외이전 중지 명령을 할 수 있는 경우 (제28조의 9) 개인정보 국외 이전 요건을 위반한 경우 개인정보 보호법 관련 조항을 위반하는 내용으로 개인정보 국외 이전과 관한 계약을 체..
1 개인정보 수집, 이용의 법적 근거를 일부 완화 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우”의 요건 중 “불가피하게” 요건을 삭제 개인정보보호법 제15조 제1항 제4호 불가피성이라는 요건 없이도 계약 이행 또는 계약 체결 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해서는 정보주체의 동의 없이 개인정보 수집, 처리 가능 “계약의 이행에 필요한 경우”가 개인정보 수집, 처리의 법적 근거로 확대/활용될 것으로 기대 이용 내역 통지 의무 현행 : 정보통신서비스 부문 매출액 및 이용자수를 기준으로 충족하는 정보통신서비스제공자 개정 전년도말 기준 직전 3개월간 일일 평균 기준 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를 처리하거나, 100만명 이상의 정보주체에 관한 개..
4 환경분석(2) 취약한 위험 정의 Define valnerability threat 현황분석을 통하여 정보자산을 갖고 있는 위협 및 취약성을 정의 Gap Analysis를 통하여 파악된 자산 별 위협 및 취약성 리스트 작성 각각의 자산, 그 가치 및 관련 취약성에 대한 관련 위험요소를 열거 자산과 위협 및 취약성을 연계하여 위험 시나리오를 작성 산출물 : 취약점/위협 리스트, 위험평가 시트 취약점, 위협 정보의 출처| Internal company resource : Security incident report, Results or system audits & security reviews 등| External Database and Web site Resource : CERT, SANS, CIAS, ..
