아래 내용들은 개인정보관리사, CPPG를 공부하다가 애매하거나 헷갈리는 용어들을 개인적으로 뜻과 관련 내용을 함께 정리해둔 사전이다. 공부를 지속하면서 추가될 수 있으며, 잘못된 내용이 있다면 지적 바란다.
Part1 개인정보보호의 이해
자연인
자연인(自然人, natural person)은 법률상에서 생물학적인 육체를 가진 인간을 뜻하는 말이다. 사람은 아니지만 법률적인 권리를 가지는 법인과 구별하기 위해서 탄생한 명칭이다.
Inference
= 추론
식별성에 대한 평가기준 중 하나로, '2개 이상의 정보가 서로 정확하게 연결되어 있지 않더라도, 추론에 의해 연결가능한지 여부'를 뜻함
contingent
= 특정 조건에 따라, 대표단, 우발적인
가상가치산정법(CVM)의 철자. 이해가 안된다!
그리고 23페이지 오타있음
전가
= 잘못이나 책임을 다른 사람에게 떠넘기다.
위험 전가 통제 구현 → 위험 전가 / 통제 구현
기명식
= 증권 등을 발행할 때 권리자의 성명이나 상호를 적어서 발행하는 방식
설문조사 대가 기명식(→ 설문 조사의 대가로 주어지는 ‘기명식’) Gift Card는 개인정보의 추적성을 제공하여 개인정보의 가치를 투영할 수 있는 대상으로 인식된다.
성문화
= 문장으로 써서 나타내는 것.
EU는 개인정보보호에 대해 성문화된 법률로 명확히 규정하고 있다.
옵트 아웃(Opt-out)
= 정보주체가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도.
개인정보 처리를 위한 동의 방식 중 하나로, 정보주체의 동의를 받지 않고 개인정보를 수집·이용한 후 당사자가 거부 의사를 밝히면 개인정보 활용을 중지하는 방식. (DPD에서)
↔ 옵트 인 : 정보주체 즉, 당사자에게 개인정보 수집·이용·제공에 대한 동의를 먼저 받은 후에만 개인정보를 처리할 수 있는 방식. 우리나라에서는 개인정보보호 법률에 따라 옵트인 방식을 채택하고 있음.(GDPR에서)
원스톱샵
=1 interlocutor and 1 interpretation(one-stop-shop). 하나의 담당 기관이 하나의 해석을 내린다.
GDPR은 디지털 싱글마켓에 적합한 통일되고 단순화된 프레임워크를 위해 원스톱샵 메커니즘을 채택함
obligation
=의무
GDPR은 강력한 권리, 명확한 의무, 더 많은 신뢰를 가짐
DPO
= 데이터 보호 책임자 또는 데이터 보호 관리자, Data Protection Officer의 준말
DPD
= 개인정보보호지침, Data Protection Directive
GDPR 이전, 1995년 10월 24일 채택 및 시행
Regulation
= 규제
GDPR은 기존 지침과 달리, 'Regulation'이라는 법 형식으로 제정되어 법적 구속력을 가짐
Treaty
= 조약(트리티)
유럽연합조약, 유럽연합기능조약
Charter
= 공식적인 서면으로서 특권과 권리를 부여하고, 그것들의 법적인 증거로 기능하는 문서.
유럽기본권헌장
Adequacy
= 적정, 애디퀴씨
한-EU '개인정보보호 적정성 결정(Adequacy Decision)'
WP29
= 제29조 작업반(The Article 29 Working Party, WP29
= Directive에 의거해 설립된 ‘개인정보보호 작업반(Data Protection Working Party)’의 약칭으로, EU 역내 각 회원국의 감독기구 대표들로 구성된 개인정보보호 정책 자문 기관
GDPR 시행과 함께 유럽 개인정보보호 이사회(European Data Protection Board, EDPB) 로 대체되었다(전문 제139항).
Indifferent
= 무관심한
개인정보 침해 배경 - 개인정보 수집과 침해에 대한 문제 의식 부족 → Indifferent
52페이지 오타
TM
= 텔레마케팅(telemarketing)
개인정보 유출로 인한 2차 침해 유형 - 불법 유통 유표: 개인정보 불법 유통(영업, 스팸, TM에 활용)
CSO
= Chief Strategy Officer, 최고 전략 책임자 / Chief Security Officer, 최고 보안 책임자
보안+정보보호인 경우 CISO라고도 하고, 이런 직제에서는 CISO 밑에 개인정보보호 책임자 CPO가 있다.
정보보호는 전산 최고 책임자 CIO에서 담당하며, 정보보호를 제외한 산업보안을 CSO가 담당한다.
Tabletop Exercise
= 비상 대응 훈련(탁상훈련, TTX). 위기관리 책임을 가진 회사의 중요인원이 격의 없는 자리에 회합하여 가상의 긴급 상황을 논의하기 위해 기획된 활동
개인정보보호 조직의 역할 - 개인정보보호 인식 향상 : Table Top Exercise(경영진 대상) 등
PART4 개인정보의 보호조치
수범자
= 규범의 적용을 받는 사람(受範者)
행정소송의 경우 원고의 헌법상 기본권을 보장해야 하는 행정청이 수범자
개인정보의 안전성 확보조치 기준의 개정에 따라 수범자 개인정보처리자로 일원화되었다.
일방
= 어느 한쪽이나 한 방향
개인정보 안전성 확보조치 기준 개정(2023년 9월) - 개인정보처리자 및 정보통신서비스 제공자 중 일방 대상자에게만 적용되던 안전조치 기준을 확대 적용
장문
= 손바닥 무늬, 손금
개인의 신채적 특징에는 손바닥 및 손가락의 정맥 모양, 장문, 귓바퀴의 모양 등이 있다.
PKI
= 공개키 기반구조(Public Key Infrastructure). 온라인에서 디지털 정보를 안전하게 교환하는데 필요한 정책, 절차 및 기술의 조합
계정/권한 관리 서비스인 SSO 또는 EAM(SSO+통합권한 관리)에 사용되는 기술
AC
= Access Control
계정/권한 관리 서비스인 EAM에 사용되는 기술
망분리 - CBC / SBC 방식, VDI
- CBC(Client based compution) - 클라이언트기반 가상화 (PC 가상화)
- PC에서의 가상화를 통한 망분리 구현(VMware 과 유사) - 각 PC 리소스를 활용하여 비용절감
- OS 커널 가상화, Application 가상화
- SBC(Server based computing) - 서버기반 가상화 컴퓨팅 (서버 가상화)
- 서버의 리소스를 활용하는 가상화 방식
- VDI, Application 가상화
- 리소스 및 데이터 중앙관리로 보안강화 및 패치수월, 관리 효율, 단말기 성능 상관 x
- VDI (Virtual desktop infrastructure)
- 논리적인 서비기반 데스크톱가상화(HW,OS, SW까지 모두 가상화형태로 PC환경 제공)
- SOC(Security Operation Center)
- 물리적으로 접근이 통제된 공간을 폐쇄망으로 구성하여, 개인정보처리시스템의 운영, 관리 목적의 접근은 SOC에서만 가능하도록 구성함
- 물리적 망분리의 일종
IPsec
= Internet Protocol Security
Network layer에서 IP패킷을 암호화하고 인증하는 등의 보안을 위한 표준. 네트워크에서의 안전한 연결을 설정하기 위한 통신 규칙 또는 프로토콜 세트
개인정보취급자가 외부로부터 개인정보처리시스템에 접근할 경우, 안전한 접속수단 또는 인증 수단을 적용해야 한다. 접속 수단 예시에는 SSL, IPsec이 적용된 VPN 등이 있다.
Open SSL의 HeartBleed 취약점
= 2014년 IT와 금융 업계 등 사회 각지에 갑작스레 닥쳤던 대재앙급 보안 이슈이자, 사용자의 컴퓨터가 얼마만큼의 데이터를 보냈는지 거짓으로 명시할 경우 중요정보가 노출될 수 있는 대표적인 버퍼 오버플로우 취약점
고유식별정보를 처리 시 연 1회 이상 취약점 점검 및 보완조치를 진행해야 하며, 대표적인 SSL/TLS 취약점인 하트블리드의 대응방안으로는 버전 업데이트 또는 DOPENSSL_NO_HEARTBEATS를 비활성화가 있음.
TKIP
= Temporal Key Integrity Protocol, 암호키 동적 변경
IEEE 802.11의 무선 네트워킹 표준으로 사용되는 보안(암호화) 프로토콜
무선망 개인정보 처리 시, TKIP, AES 등 강력한 암호 알고리즘이 사용된 WPA2 보안 프로토콜을 사용하는 무선망을 이용해야 한다.
Zeroboard 취약점
= 국내에서 개발되어 무료 배포중인 게시판 제작 프로그램'제로보드'의 일부 PHP프로그램이 원격에 있는 PHP파일을 실행할 수 있는 결함. 국정원 8대 취약점에 속함
인터넷 홈페이지를 통해 고유식별정보를 처리하는 개인정보철자는 해당 인터넷 홈페이지에 대해 연 1회 이상 취약점을 점검해야 함. 웹 취약점 점검 항목 예시에는 Zeroboard 취약점이 포함된다.
Padding Oracle
추가 예정!
고유식별정보를 처리 시 연 1회 이상 취약점 점검 및 보완조치를 진행해야 하며, 대표적인 SSL/TLS 취약점인 Poodle(Padding Oracle On Downgraded Legacy Encryption, 다운그레이드된 구식 암호화에 대한 패딩 오라클)의 대응방안으로는 이전 버전과의 호환성 제거가 있다.
인입
= 끌어들이는 것.
인입 포트 ↔ 인출 포트
모바일 기기에서는 인입 포트 차단 등의 접근 통제 기능을 제공하는 운영체제를 사용하는 등의 접근통제를 해야 한다.
Plug-In 방식
ㅇ
TDE 방식
p.268
PGP
ㅇ p.268
p.273 개인정보처리시템 오타*3
미러사이트/핫사이트/,,,
ㅇ
RPO
= Recovery Point Objective. 복구 시점 에 대한 목표
RPO는 마지막 복구 시점과 서비스 중단 시점 사이에 허용되는 데이터 손실량을 결정한다.
RTO
= Recovery Time Objective. 복구에 걸리는 시간에 대한 목표
RTO는 서비스를 사용할 수 없는 상태로 허용되는 기간을 결정한다.
BIA
p.281
p.285 제4항까 지의 띄워쓰기 오타
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ
ㅇ