Chloe

제14조(공공시스템운영기관의 안전조치 기준 적용) ① 다음 각 호의 어느 하나에 해당하는 개인정보처리시스템 중에서 개인정보보호위원회(이하 “보호위원회”라 한다)가 지정하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템 운영기관”이라 한다)은 제2장의 개인정보의 안전성 확보 조치 외에 이 장의 조치를 하여야 한다. 1. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이용할 수 있도록 한 단일접속 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 16 개인정보의 안전성 확보조치 기준 안내서 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 정보주체의 사생활을 현저히 침해할 우려가 있는 민감한 개인정보를 처리하는 시스템 2. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영할 수 있도록 배포한 표준배포 시스템으로서 대국민 서비스를 위한 행정업무 또는 민원업무 처리용으로 사용하는 경우 3. 기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 개별 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 「주민등록법」에 따른 주민등록정보시스템과 연계하여 운영되는 시스템 라. 총 사업비가 100억원 이상인 시스템 ② 제1항에도 불구하고 보호위원회는 다음 각 호의 어느 하나에 해당하는 개인정보처리 시스템에 대하여는 공공시스템으로 지정하지 않을 수 있다. 1. 체계적인 개인정보 검색이 어려운 경우 2. 내부적 업무처리만을 위하여 사용되는 경우 3. 그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정하는 경우

✅ 제14조 공공시스템운영기관의 안전조치 기준 적용

🔹 개념 요약

특정 요건에 해당하는 공공기관의 개인정보처리시스템 중,
개인정보보호위원회가 ‘공공시스템’으로 지정한 시스템에 대해서는
기본 안전조치(제2장) 외에 추가적인 강화 조치(제3장)를 반드시 이행해야 함.

✅ ① 공공시스템의 지정 대상 요건

다음 세 유형의 시스템 중 하나에 해당하면서, 보호위원회가 별도로 지정한 시스템이 ‘공공시스템’임.

1. 단일접속 시스템

• 정의: 두 개 이상 기관이 공동으로 사용하는 중앙 시스템에 접속해 처리
• 조건(아래 중 하나 이상 충족 시 대상):
  • 가. 100만 명 이상의 정보주체 개인정보를 처리
  • 나. 개인정보취급자 수가 200명 이상
  • 다. 민감정보를 다루며 사생활 침해 우려가 큰 경우

2. 표준배포 시스템

• 정의: 특정 기관이 표준 시스템을 개발하여 다른 기관들이 운영 가능하도록 배포한 시스템
• 대상 조건: 대국민 서비스, 민원처리 등 행정업무에 활용될 경우 해당

3. 개별 시스템

• 정의: 개별 공공기관이 자체적으로 운영하는 시스템 중 아래 조건 중 하나에 해당하는 경우
• 조건:
  • 가. 100만 명 이상 개인정보 처리
  • 나. 개인정보취급자 200명 이상
  • 다. 주민등록정보시스템과 연계되는 경우
  • 라. 총 사업비 100억 원 이상

✅ ② 예외 규정: 보호위원회가 ‘공공시스템’으로 지정하지 않을 수 있는 경우

다음 요건을 만족할 경우에는 요건을 충족하더라도 공공시스템으로 지정하지 않을 수 있음:

✅ 요약 표

✅ 실무 적용 팁

• 지정 여부는 보호위원회가 최종 판단하므로 기관은 사전 자가진단을 준비해야 함.
• 공공시스템으로 지정되면 **제3장의 강화된 조치(모의해킹, 위협모델링, 로그 고도화 등)**까지 적용 대상.
• 기관 간 협업 시스템(표준 배포, 단일접속)의 경우, 책임 소재 명확화 및 공동관리체계 수립이 중요.

트렌드마이크로의 2024년 11월 1일자 기사 「VPN機器の脆弱性はなぜ管理しづらいのか～ネットワークエンジニアの立場から探る」는 VPN 장비의 보안 취약점이 관리하기 어려운 이유를 네트워크 엔지니어의 시각에서 분석하고 있습니다.

🔍 주요 내용 요약

1. VPN 장비의 취약점 관리의 어려움

• 복잡한 구성: VPN 장비는 다양한 기능과 복잡한 설정을 가지고 있어, 취약점을 식별하고 수정하는 데 시간이 많이 소요됩니다.
• 업데이트 지연: 업데이트나 패치 적용이 지연되면, 알려진 취약점을 악용한 공격에 노출될 위험이 증가합니다.

2. 네트워크 엔지니어의 관점에서 본 문제점

• 운영 부담: 네트워크 엔지니어는 시스템의 안정성과 가용성을 유지해야 하므로, 보안 패치 적용이 시스템에 미치는 영향을 우려하여 즉각적인 대응이 어려울 수 있습니다.
• 리소스 부족: 전문 인력의 부족으로 인해 보안 취약점에 대한 지속적인 모니터링과 대응이 어려운 경우가 많습니다.

3. 보안 강화를 위한 권장 사항

• 정기적인 점검: VPN 장비의 설정과 로그를 정기적으로 점검하여 이상 징후를 조기에 발견할 수 있도록 합니다.
• 패치 관리 체계 구축: 취약점 정보에 신속하게 대응할 수 있는 패치 관리 체계를 마련하여, 보안 업데이트를 적시에 적용합니다.
• 보안 교육 강화: 네트워크 엔지니어를 대상으로 보안 교육을 강화하여, 보안 의식을 높이고 대응 능력을 향상시킵니다.

이 기사는 VPN 장비의 보안 취약점 관리가 어려운 현실을 지적하며, 네트워크 엔지니어의 역할과 책임을 강조하고 있습니다. 조직은 보안과 운영의 균형을 유지하면서, 지속적인 보안 강화 노력을 기울여야 합니다.

https://www.trendmicro.com/ja_jp/jp-security/24/k/expertview-20241101-01.html

🔐 1. TLS/SSL 인증서 유효기간 및 검증 데이터 단축 – 한국 기준

국제적 추세에 따라 국내에서도 인증서 유효기간과 검증 데이터 재사용 기간이 단계적으로 단축됨.

📉 국내 기준 일정 정리표

📌 이로 인해 인증서 갱신 주기 증가 및 관리 복잡성 상승
👉 기업은 자동화된 인증서 수명 주기 관리 필요성 증가

⚠️ 2. 양자컴퓨팅(PQC) 대응 필요성

• 양자 컴퓨터의 발전으로 기존 암호(RSA, ECDSA 등)의 보안성 약화 예상
• 미국 NIST는 양자내성암호(PQC) 표준 알고리즘 선정 → 정부기관 적용 권장
• 2030년까지 기존 암호 알고리즘 단계적 폐기 예정
• 가트너: 2029년 기존 암호는 더 이상 안전하지 않다고 전망

🔐 한국 기업도 2029년까지 PQC 기반 인증 체계 전환 필요

🧾 3. SBOM(Software Bill of Materials) 중요성

• 미국: 2021년부터 정부 조달 소프트웨어에 SBOM 의무화
• EU: 2027년 사이버복원력법(CRA) 시행 예정 → SBOM 도입 의무화

🔍 SBOM은 공급망 보안 및 구성 투명성 확보 핵심 수단

✅ 결론

국내외적으로 인증서 유효기간 단축과 PQC 전환은 시간이 아닌 의무로 다가오고 있음.
기업은 ▲자동화된 인증서 관리, ▲PQC 준비, ▲SBOM 체계 도입 등 다각적 보안 대응 전략이 요구됨.

https://www.boannews.com/media/view.asp?idx=137413

🛡️ 티파니앤코 개인정보 유출 사고 개요

• 사고 발생일: 2025년 4월 8일
• 사고 인지일: 2025년 5월 9일
• 유출 경로: 글로벌 고객 데이터를 관리하는 제3자 플랫폼의 무단 접근
• 유출 정보: 고객의 이름, 주소, 전화번호, 이메일 주소, 내부 고객 ID, 구매 이력 등
• 금융정보 유출 여부: 금융정보(예: 결제 카드 정보)는 유출되지 않음
• 공식 공지: 티파니앤코 코리아는 웹사이트에 별도의 공지를 게시하지 않았으며, 일부 구매 이력이 있는 고객에게만 이메일로 개별 통지함 알파비즈+4X (formerly Twitter)+4Korea Joongang Daily+4Nate News+3메디컬투데이+3Nate News+3

🔍 디올과의 유사 사건 비교

디올은 2025년 1월 26일에 발생한 고객 정보 유출 사고를 5월 7일에 인지하고, 5월 10일에 한국인터넷진흥원(KISA)에 보고하였습니다. 이러한 지연된 보고는 정보통신망법상 24시간 이내 보고 의무를 위반한 것으로 지적받았습니다. 티파니앤코 역시 사고 인지 후 공식적인 웹사이트 공지가 없고, 일부 고객에게만 통지한 점에서 유사한 비판을 받고 있습니다.

⚠️ 소비자 및 보안 전문가의 우려

LVMH 그룹 산하 브랜드에서 연이어 발생한 개인정보 유출 사고는 그룹 전체의 데이터 보안 체계에 대한 신뢰를 저하시켰습니다. 특히, 여러 브랜드가 동일한 제3자 플랫폼을 통해 고객 데이터를 관리하고 있을 가능성이 제기되면서, 다른 브랜드에서도 유사한 사고가 발생할 수 있다는 우려가 커지고 있습니다.

https://www.chosun.com/economy/industry-company/2025/05/26/KVCOAUWKSFCJLDWG52OBK5CKLA/

🔹 1. 금융 클라우드 환경의 특성과 보안 필요성

• 금융 산업은 고객 신뢰, 규제 환경 등으로 인해 디지털 전환이 느리고 보수적임.
• 그러나 인터넷은행·테크핀 등의 등장으로 클라우드 전환 가속화.
• 금융 서비스는 고객 금융정보까지 포함하는 고도의 민감정보를 다루므로, 보안이 핵심.

🔹 2. 금융 클라우드 환경 보안의 중요성

• 클라우드는 효율성과 유연성 측면에서 장점이 많지만, 민감한 금융 데이터가 저장·처리됨.
• 컴플라이언스 측면에서 준수해야 할 대표적 기준:
  • 전자금융감독규정
  • 클라우드컴퓨팅법
  • 금융클라우드이용보고
  • PCI-DSS (결제 카드 데이터 보안 표준)

🔹 3. 금융 클라우드 보안 위협 대응을 위한 핵심 요소 4가지

① 잘못된 설정(Misconfiguration) 방지

• 클라우드 보안 사고의 50%가 설정 오류에서 발생.
• IAM(계정 및 권한관리) 오류, Public 설정 등으로 인한 유출 방지 필요.
• 대응 방안:
  • 제로 트러스트(Zero Trust) 정책 도입
  • MFA(다요소 인증) 활용

② 데이터 암호화

• 주민등록번호, 계좌번호, 카드번호 등 민감정보는 저장/전송 모두 암호화 필요.
• 암호화 키는 KMS(Key Management Service) 등으로 안전하게 관리.
• S3와 같은 저장소의 민감정보 검사도 주기적으로 실시.

③ 실시간 모니터링 및 로그 관리

• 실시간 위협 탐지 및 경고 시스템 구축 (예: AWS CloudWatch)
• 보안 이벤트를 선별적으로 대응할 수 있는 운영 최적화 필요.

④ 현실적인 사고 대응 계획 수립

• 탐지-보고-복구 체계 마련 및 정기적 훈련(최소 연 1회) 필수.
• 금융 종사자 대상 보안 교육과 숙지도 병행해야 함.

🔹 4. 전반적인 제언

• 보안은 기업과 고객의 신뢰를 지키는 기반 조건임.
• 금융기관은 기술·정책·운영 전방위에서 보안 전략을 지속 업데이트해야 함.
• 보안 우선순위를 유지하고 미래 위협에 대비한 전략적 접근 필수.

🔹 5. 필자 소개

• (주)트래블월렛 CISO/CPO
• 한국정보공학기술사회 AI전략위원회 위원
• NCS 정보보호 학습모듈 집필자
• 자격: 정보관리기술사, ISMS-P 심사원, AI산업컨설턴트, PMP 등

https://www.boannews.com/media/view.asp?idx=137397