개인정보 (Privacy)136 728x90 AI 스킬 검증 실전: 개인정보·민감정보 누출을 찾고 측정하고 고치는 방법 목표는 AI 에이전트 스킬(skill)을 개인정보·민감정보·주요정보 관점에서 직접 테스트·검증 가능한 방안으로 실무에서 그대로 따라 해볼 수 있도록 절차, 예제(명령어/스크립트/프롬프트), 체크리스트, 측정 지표, 보고서 템플릿까지 포함합니다. 에이전트 스킬은 편리하지만, 스킬이 내부 데이터 접근/도구 실행/파일·API 호출을 하도록 설계되어 있다면 개인정보(PII)·민감정보·주요정보 누출 위험이 큽니다. 따라서 테스트 데이터 생성 → 유닛/통합/엔드투엔드 테스트 → 레드팀(공격 시나리오) → 측정(지표) → 개선(재검증)의 순환적 프로세스를 운영해야 합니다.배경 및 왜 중요한가스킬은 ChatGPT/Claude 같은 에이전트에게 재사용 가능한 업무 규칙, 스크립트, 자산(템플릿) 등을 제공하여 자동화 품.. 2026. 3. 15. 본인확인 연계식별정보 CI/DI 안전 암호화 저장 라이프사이클 설계 왜 CI/DI가 생겼나과거에는 주민등록번호 같은 고유식별정보를 서비스가 직접 다루는 경우가 많았고, 유출 시 피해가 매우 컸습니다.그래서 본인확인기관(휴대폰 본인확인, 아이핀 등)이 인증을 수행하고, 서비스에는 주민등록번호 대신 연계 가능한 식별값(CI/DI) 을 내려주도록 구조가 바뀌었습니다.CI/DI의 역할CI: “이 사람이 누구인지”를 서비스 수준에서 고유하게 식별하기 위한 값DI: “이 서비스 안에서 중복 가입이 있는지”를 서비스별로 확인하기 위한 값CI / DI 정의와 차이CI (Connecting Information)동일인 = 동일 CI (같은 본인확인기관/규격 기준)여러 서비스 간에도 동일인 여부를 연결할 수 있는 성격(=범용 식별자 성격)결과적으로 개인 식별력이 매우 높음DI (Dupli.. 2026. 2. 28. 개인정보 유출 및 침해사고 신고 체계, 유출 ‘가능성’ 단계 통지 의무화 대응 개인정보보호법 개정안 국회 통과 (2026.02.12)핵심 변경사항• 과징금 상한 대폭 상향 — 매출액 3% → 최대 10%• 적용 조건: 3년 이내 반복 위반 또는 1,000만명 이상 피해 시• 고의·중과실 또는 대규모 반복 침해 대상• 유출 "가능성"만으로도 통지 의무화 — 초기 대응 강화• CEO의 개인정보 보호 최종책임 명시• CPO 역할·권한 강화 및 독립성 보장• ISMS-P 인증 의무화 — 공공·민간 중요 개인정보처리자 대상• 통지 항목에 손해배상 청구 안내 포함시행 시기: 공포 후 6개월 (2026년 8월경 예상)시사점• 침해사고 발생 시 재무적 리스크가 크게 증가했으므로, 사전 예방 투자의 정당성이 더욱 강화됩니다.• 유출 "가능성" 단계에서도 통지가 필요하므로, 탐지·대응 프로세스의 신.. 2026. 2. 16. 자동화 AI시대 프롬프트부터 에이전트까지, 개인정보 어디까지 통제할 것인가 보안(Security) 과 개인정보 보호(Privacy) 관점에서, AI Chat / AI Coding / AI Agent / 브라우저 확장 기반 AI를 “전체 라이프사이클(도입→운영→업데이트→감사)” 기준으로 정리한 가드레일 가이드입니다.AI 사용은 “데이터 처리 + 권한 실행” 시스템이다왜 보안/개인정보 관점이 동시에 필요한가보안: 계정·권한·시스템·코드·인프라에 대한 오남용/침해 방지개인정보 보호: 개인정보의 수집·이용·제공·보관·파기 전 과정 통제AI는 보통 다음 두 가지를 동시에 합니다.데이터를 읽음/요약함/분석함 (개인정보 처리 위험)도구(툴)를 통해 행동함 (보안 사고 위험)위협 모델(Threat Model) & 개인정보 위험 시나리오(A) 보안 위협 Top프롬프트 인젝션(Direct/Ind.. 2026. 1. 27. PIA Workflow 플랫폼 아키텍처 설계 및 연계 전략(ITSM/CI-CD/SIEM) “개인정보 영향평가(PIA) 체계적 관리 시스템”을 전사 운영 관점(거버넌스 + 프로세스 + 시스템 + 보안통제 + 예시)까지 한 번에 돌아가도록 종합적인 설계를 위해 정리해본 내용입니다.법적 근거: 개인정보보호법 제33조 등 (법률정보센터) / KISA 영향평가 수행안내서 공개 페이지 (KISA)왜 “PIA 관리 시스템”이 필요하나PIA의 본질(현업에서 놓치기 쉬운 포인트)PIA는 “문서 작성”이 아니라 서비스/시스템 변경이 개인정보 위험을 어떻게 바꾸는지를 증적으로 남기고, 보완조치가 실제 반영되었는지까지 추적하는 체계입니다.개인정보보호법 제33조는 영향평가의 취지(위험요인 분석/개선사항 도출)와 고려요소(처리 규모, 제3자 제공, 권리침해 가능성 등)를 명시합니다.문서/엑셀로 운영 시 흔한 실패 패.. 2025. 12. 28. 이전 1 2 3 4 ··· 28 다음 728x90 728x90
