본문 바로가기

개인정보 (Privacy)138

728x90
개인정보 및 중요정보 기반 DBMS 자산 식별 및 관리 표준 운영 기준 자산관리(Asset Management)를 효과적으로 수행하기 위한 근거, 기반, 방식, 운영 원칙, 실무 체크포인트를 정리하고, 보안 관점까지 포함해, 실제 정책·지침·운영절차·점검표의 뼈대로 쓸 수 있도록 구성하겠습니다.1. 자산관리가 왜 중요한가자산관리는 단순히 “목록을 적는 일”이 아니라, 회사의 보호 대상이 무엇인지 정확히 식별하고, 그 자산에 맞는 통제와 책임을 연결하는 활동입니다.실무에서 자산관리가 중요한 이유는 크게 6가지입니다.1) 보호 대상을 알아야 보안이 가능무엇이 있는지 모르면 보호할 수 없습니다.서버, DB, 계정, 애플리케이션, 클라우드 리소스, 데이터, API, 라이선스, 장비 등이 모두 자산입니다.2) 위험평가의 출발점위험은 자산을 기준으로 평가합니다.어떤 자산인가누구에게 중.. 2026. 5. 11.
LLM 데이터 유출, 보내기 전에 보호하라: OpenAI Privacy Filter 보안 전략 OpenAI Privacy Filter 전체 구조개념 재정의 – “오픈소스” vs “오픈웨이트”먼저 정확히 짚고 가야 할 포인트입니다.용어 구분구분의미오픈소스코드 + 모델 + 학습 방식 공개오픈웨이트모델 가중치만 공개OpenAI Privacy Filter는 오픈웨이트 모델 + Apache 2.0 라이선스즉실행 가능수정 가능상업적 사용 가능❗ 하지만 학습 데이터/전체 파이프라인은 미공개모델 구조 및 기술적 특징핵심 구조Token Classification 기반 PII 탐지 모델입력 텍스트 → 토큰 분할 → 각 토큰에 PII 라벨링 → span 재구성 → 마스킹주요 스펙총 파라미터: 1.5B활성 파라미터: ~50M (MoE 구조)최대 컨텍스트: 128K tokens성능: F1 ≈ 96% (PII-Maskin.. 2026. 5. 1.
AI 스킬 검증 실전: 개인정보·민감정보 누출을 찾고 측정하고 고치는 방법 목표는 AI 에이전트 스킬(skill)을 개인정보·민감정보·주요정보 관점에서 직접 테스트·검증 가능한 방안으로 실무에서 그대로 따라 해볼 수 있도록 절차, 예제(명령어/스크립트/프롬프트), 체크리스트, 측정 지표, 보고서 템플릿까지 포함합니다. 에이전트 스킬은 편리하지만, 스킬이 내부 데이터 접근/도구 실행/파일·API 호출을 하도록 설계되어 있다면 개인정보(PII)·민감정보·주요정보 누출 위험이 큽니다. 따라서 테스트 데이터 생성 → 유닛/통합/엔드투엔드 테스트 → 레드팀(공격 시나리오) → 측정(지표) → 개선(재검증)의 순환적 프로세스를 운영해야 합니다.배경 및 왜 중요한가스킬은 ChatGPT/Claude 같은 에이전트에게 재사용 가능한 업무 규칙, 스크립트, 자산(템플릿) 등을 제공하여 자동화 품.. 2026. 3. 15.
본인확인 연계식별정보 CI/DI 안전 암호화 저장 라이프사이클 설계 왜 CI/DI가 생겼나과거에는 주민등록번호 같은 고유식별정보를 서비스가 직접 다루는 경우가 많았고, 유출 시 피해가 매우 컸습니다.그래서 본인확인기관(휴대폰 본인확인, 아이핀 등)이 인증을 수행하고, 서비스에는 주민등록번호 대신 연계 가능한 식별값(CI/DI) 을 내려주도록 구조가 바뀌었습니다.CI/DI의 역할CI: “이 사람이 누구인지”를 서비스 수준에서 고유하게 식별하기 위한 값DI: “이 서비스 안에서 중복 가입이 있는지”를 서비스별로 확인하기 위한 값CI / DI 정의와 차이CI (Connecting Information)동일인 = 동일 CI (같은 본인확인기관/규격 기준)여러 서비스 간에도 동일인 여부를 연결할 수 있는 성격(=범용 식별자 성격)결과적으로 개인 식별력이 매우 높음DI (Dupli.. 2026. 2. 28.
개인정보 유출 및 침해사고 신고 체계, 유출 ‘가능성’ 단계 통지 의무화 대응 개인정보보호법 개정안 국회 통과 (2026.02.12)핵심 변경사항• 과징금 상한 대폭 상향 — 매출액 3% → 최대 10%• 적용 조건: 3년 이내 반복 위반 또는 1,000만명 이상 피해 시• 고의·중과실 또는 대규모 반복 침해 대상• 유출 "가능성"만으로도 통지 의무화 — 초기 대응 강화• CEO의 개인정보 보호 최종책임 명시• CPO 역할·권한 강화 및 독립성 보장• ISMS-P 인증 의무화 — 공공·민간 중요 개인정보처리자 대상• 통지 항목에 손해배상 청구 안내 포함시행 시기: 공포 후 6개월 (2026년 8월경 예상)시사점• 침해사고 발생 시 재무적 리스크가 크게 증가했으므로, 사전 예방 투자의 정당성이 더욱 강화됩니다.• 유출 "가능성" 단계에서도 통지가 필요하므로, 탐지·대응 프로세스의 신.. 2026. 2. 16.
728x90
728x90

티스토리툴바