Offcanvas

���������������������

강은성의 보안 아키텍트 | CISO의 CPO 겸직 금지

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

개인정보 보호 전자금융거래법 전자금융 네트워크 방화벽 내부정보유출방지 침입탐지시스템 가상사설망 정보통신망법 웹방화벽 CPO VPN 카드사 암호 인증 CISO 금융 침입차단시스템

2019.10.10

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

2019.10.10

'기본기 탄탄한' 오픈소스 IDS 툴 5선

기업이라면 침입탐지시스템(Intrusion Detection System, IDS)를 사용해 네트워크를 모니터링하고 의심스러운 활동을 신고하거나 잠재적인 악성 트래픽을 자동으로 막아야 한다. 이번 기사에서는 5가지 최고의 오픈소스 IDS를 살펴보자. Credit: Getty Images Bank 사이버보안 전문가로서 공격자가 네트워크에 액세스하는 것을 막으려고 노력하지만 모바일 기기, 분산된 팀, IoT(Internet of Things)의 등장으로 기하급수적으로 늘어난 경계를 보호하는 것은 쉽지 않다. 불편한 진실은 공격자가 가끔은 내부에 들어올 것이라는 점과 이 공격을 발견하는 데 오래 걸릴수록 데이터 유출 비용은 증가한다는 것이다. 강력한 사고 대응 계획의 일환으로 견고한 IDS를 사용함으로써 침해의 잠재적 피해를 줄일 수 있다. IDS는 일반적으로 2가지로 분류할 수 있다. 알려진 악의적인 트래픽 패턴과 경고를 검색하는 시그니처 기반의 IDS가 있으며, 시그니처가 아닌 표준과의 편차를 표시하기 위한 기준선을 보는 비정상 행위 기반의 IDS가 있다. 데이터와 시스템을 보호하려면 내부 서버에서 데이터센터, 퍼블릭 클라우드 환경에 이르기까지 네트워크에 IDS를 배포하는 것이 중요하다. IDS는 내부자 위협과 하루종일 넷플릭스 스트리밍을 즐기거나 페이스북 메신저를 통해 채팅하는 등의 직원의 태만 행동을 적발할 수 있다. 다행히도 살펴볼 만한 오픈소스 IDS가 많이 있으며, 그 가운데 5가지를 알아보자. 1. 스노트(Snort) 스노트는 IDS의 사실상 표준으로 매우 가치있는 도구다. 이 리눅스 유틸리티는 배포하기 쉽고 침입 시도와 로깅에 대한 네트워크 트래픽을 모니터링하고 침입 시도가 탐지됐을 때 특정 행동을 수행하도록 구성할 수 있다. 가장 널리 배포된 IDS 도구 가운데 하나이며, 침입 방지 시스템(Intrusion Prevention System, IPS) 역할도 한다.  스노트는 1998년으로 거슬러 올라간...

키스멧 IDS IPS 스노트 브로 오섹 오픈DLP 침입탐지시스템

2018.10.25

기업이라면 침입탐지시스템(Intrusion Detection System, IDS)를 사용해 네트워크를 모니터링하고 의심스러운 활동을 신고하거나 잠재적인 악성 트래픽을 자동으로 막아야 한다. 이번 기사에서는 5가지 최고의 오픈소스 IDS를 살펴보자. Credit: Getty Images Bank 사이버보안 전문가로서 공격자가 네트워크에 액세스하는 것을 막으려고 노력하지만 모바일 기기, 분산된 팀, IoT(Internet of Things)의 등장으로 기하급수적으로 늘어난 경계를 보호하는 것은 쉽지 않다. 불편한 진실은 공격자가 가끔은 내부에 들어올 것이라는 점과 이 공격을 발견하는 데 오래 걸릴수록 데이터 유출 비용은 증가한다는 것이다. 강력한 사고 대응 계획의 일환으로 견고한 IDS를 사용함으로써 침해의 잠재적 피해를 줄일 수 있다. IDS는 일반적으로 2가지로 분류할 수 있다. 알려진 악의적인 트래픽 패턴과 경고를 검색하는 시그니처 기반의 IDS가 있으며, 시그니처가 아닌 표준과의 편차를 표시하기 위한 기준선을 보는 비정상 행위 기반의 IDS가 있다. 데이터와 시스템을 보호하려면 내부 서버에서 데이터센터, 퍼블릭 클라우드 환경에 이르기까지 네트워크에 IDS를 배포하는 것이 중요하다. IDS는 내부자 위협과 하루종일 넷플릭스 스트리밍을 즐기거나 페이스북 메신저를 통해 채팅하는 등의 직원의 태만 행동을 적발할 수 있다. 다행히도 살펴볼 만한 오픈소스 IDS가 많이 있으며, 그 가운데 5가지를 알아보자. 1. 스노트(Snort) 스노트는 IDS의 사실상 표준으로 매우 가치있는 도구다. 이 리눅스 유틸리티는 배포하기 쉽고 침입 시도와 로깅에 대한 네트워크 트래픽을 모니터링하고 침입 시도가 탐지됐을 때 특정 행동을 수행하도록 구성할 수 있다. 가장 널리 배포된 IDS 도구 가운데 하나이며, 침입 방지 시스템(Intrusion Prevention System, IPS) 역할도 한다.  스노트는 1998년으로 거슬러 올라간...

2018.10.25

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8