지크의 IT field

4월 5일 예정이었던 CPPG 시험이 연기되었다. 서서히 컨디션 끌어올리면서 부지런히 준비하고 있었는데, 보안기사에 이어 너마저... 취준생, 이직준비하는 분들에게는 답답한 소식이다. 아시아권에서 끝날 것 같던 코로나 사태가 세계적 대유행이 될 줄이야..

어쨌든 앞으로 60일 남았다. 시간은 충분하다. 지난 기간 동안 공부하면서 정리한 것들을 다시 한 번 보면서 준비하면 된다. 56점으로 떨어졌던 것을 생각하며 자만하지않되, 부족한 부분을 보강하는 데 중점을 두고 공부하면 충분히 가능하다. 이미 합격했다는 마음으로 준비해야겠다. 그래야 7월 보안기사 실기도 준비할 수 있다.

데이터 3법 개정으로 개보법과 망법의 내용이 다수 변경되기 때문에 이번에 최대한 합격해야 한다. 꾸준함이 가장 큰 무기다.

이직 준비를 하고 있다. 앞으로 보안 컨설턴트에 대한 글을 써보려 한다. 이미 니키님이나 다른 여타 블로그 등에서 자세히 설명이 되어 있으나 나만의 정리가 필요할 것 같다.

더 나은 삶, 더 나은 내가 되자.

좋은 사람, 최고의 사람이 되기 이전에 필요한 사람이 되고자 하자.

화이팅

■ 개인정보의 유형 및 종류

  - 개인정보의 개념은 개인에 관련된 정보. 식별/식별 가능 정보로 구분

  - 일반, 신체 정보는 식별정보에 해당. 건강 관련, 정신적, 재산, 사회적 및 기타 정보는 식별 가능 정보로 구분.

  표 참조

  - 개인정보처리 방법에 따라 주체로 부터 받은 정보, 자동 생성 정보, 가공 및 재생산 정보로 분류. 항목 간 조합 및 결합되어 수집 가능

  - 제공 정보: 이용자가 회원 가입이나 서비스 등록을 위해 사업자에게 제공하는 정보

  - 생성 정보: 사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관하 정보. 

  - 쿠키 자체가 개인 식별을 목적으로 사용되므로 쿠키 정보는 식별 가능 정보.(이용 과정에서 생성)

■ 개인정보의 유형별 등급

  1등급 - 그 자체로 개인 식별이 가능하거나 매우 민감한 개인정보, 또는 법령으로 처리 제한된 개인정보(자산가치5)

      -> 고유식별번호, 민감정보, 인증정보, 신용/금융 정보 등

  2등급 - 조합되면 명확히 개인 식별이 가능한 개인정보(자산가치3)

      -> 개인 식별 정보, 개인 관련 정보, 기타 개인 정보

  3등급 - 개인 식별 정보와 조합되면 부가적인 정보를 제공하는 간접 개인정보(자산가치1)

      -> 자동 생성 정보, 가공 정보, 제한적 본인 식별 정보, 기타 간접 개인 정보

※핵심 키워드

 개인정보 : "살아 있는 개인에 관한 정보"

 포함하는 정보 : 성명, 주민등록번호 및 영상 등을 통해 개인을 식별할 수 있는 정보.

 (해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보를 통해 쉽게 결합하여 알아볼 수 있는 것을 포함)

개인정보 구성 요소

 1) 살아있는 개인

 2) 특정 개인과의 관련성

 3) 정보의 임의성

 4) 식별 가능성

(개정법 제2조, 망법 제2조)

■ 개인정보의 정의 설명

 - 살아있는 개인 : (현재 생존하고 있는 개인에 관한 정보 한정)자연인이 주체가 되며 법인 또는 단체의 정보는 해당 안됨

 - 특정 개인과의 관련성 : 살아 있는 개인에 관한 성명, 주민등록번호, 생일, 주소, 바이오 정보 등이 해당.

 - 정보의 임의성 : 정보의 종류, 형태, 성격, 형식은 별도의 제한이 없으므로 개인을 식별할 수 있는 모든 정보를 포함.

 - 식별 가능성 : 특정 개인을 전혀 모르던 사람이라도 객관적으로 타인과 구분할 수 있다면 개인정보로 포함 가능.

■ 개인정보의 개념 설명

 - 개정법과 망법은 개인정보의 개념을 규정, 신용법에서는 개인 신용 정보와 개인 식별 정보의 개념을 규정.

 - 개정법/망법은 법률상 표현은 다르나 해석상 내용은 동일함.

 - 신용법 상의 개인 신용 정보 및 개인 식별 정보는 개인정보의 개념과 같다.

 - 개인 식별 정보는 살아 있는 개인을 식별할 수 있는 정보.(성명, 주소, 주민번호, 운전면허 번호, 여권번호 등)

■  개인 식별 가능 정보

 - 식별 정보 : 정보 자체만으로 특정 개인을 식별할 수 있는 정보를 의미

 - 식별 가능 정보 : 다른 정보와 결합해 개인을 식별할 수 있는 정보를 의미

 - IP 주소, 쿠키, 로그, 인터넷 접속 정보, 검색 기록은 다른 정보와 쉽게 결합해 개인을 특정할 수 있음

 - IP 주소는 유동, 고정 관계 없이 개인 식별 가능 정보

 - 인터넷 접속, 로그, 검색, 이용 기록 등은 개인 식별 가능 정보 (쿠키는 컴퓨터에 저장되는 시점에서 식별 가능 정보)

■  개인정보 관련 판례 및 유권 해석 사례

 - 휴대 전화번호 뒤 4자리

  -> 사용자와 인적 관계를 맺어온 사람이라면 식별 가능성이 높고 생일, 기념일, 가족 전화번호 등 관련 있는 정보와 결합해 개인을 특정할 수 있으므로 개인정보에 해당

 - 국내 IP 주소

  -> 같은 AP 사용 대역 내에서는 복수의 이용자가 동일 IP 주소로 접속하며 유동 IP의 경우 시간대별로 변동될 수 있으므로 IP주소는 개인정보로 볼 수 없다.

정보보안기사 실기는 이미 내 손을 떠났으니 마음을 가다듬고 CPPG를 준비해야겠다.

실기를 통해 어느 정도 맛을 봤으니 정신 차리고 가자!!!

우선은 출제 기준과 시험 범위를 확인했다. 개인정보보호 바이블 책 기준이다.

출제 기준

 1. 개인정보의 이해(10%)

 2. 개인정보보호 제도(15%)

 3. 개인정보보호 라이프사이클 관리(25%)

 4. 개인정보의 보호조치(30%)

 5. 개인정보 관리체계(15%)

왜 95%지?

개인정보의 이해

 section1 - 개인정보의 개요

 section2 - 개인정보의 중요성

 section3 - 기업의 사회적 책임

개인정보보호 제도

 section1 - 개인정보보호 관련 법률 체계

 section2 - 개인정보보호 원칙과 의무

 section3 - 정보주체의 권리

 section4 - 분쟁해결절차

개인정보보호 라이프사이클 관리

 section1 - 개인정보 수집, 이용

 section2 - 개인정보 저장, 관리

 section3 - 개인정보 제공

개인정보의 보호조치

 section1 - 개인정보보호의 안전성 확보조치 기준

 section2 - 개인정보보호의 기술적·관리적 보호조치 기준

개인정보 관리체계

 section1 - 개인정보 관리체계 개요

 section2 - 주요 개인정보관리체계 (PIMS, PIA, ISMS, ISO27001 등) - PIMS는 올해부터 ISMS-P로 통합됐다.

학습 기준

 - 개인정보보호법/시행령/시행규칙/고시/해설서

 - 정보통신망법/시행령/시행규칙/고시/해설서

CPPG 합격 기준

 - 개인정보보호 관련 법규에 대한 이해 및 개정법과 망법 체계를 이해, 실무에 적용

 - 학습 범위는 개정법, 망법 법률, 시행령, 시행 규칙, 고시 및 표준 지침(고시), 해설서 필수 학습 (+참고 자료)

법률

 - 개정법 15~57조, 망법 22~32조

시행령

 - 개정법 15~55조, 망법 10~18조

시행규칙

 - 개정 시행령 41~46조, 망법 10~18조

표준 지침

 - 개정 표준지침 제6~제15조

고시

 - 개인정보의 안전성 확보 조치 기준 4~13조, 행자부, 방통위 고시 기준 내용으로 기술적 관리적 조치 기준 이해 필수

 - 개인정보 영향 평가 절차 9~11조

 - 개인정보보호 관리 체계 인증 기준 16조(행자부, 방통위 고시)

해설서

 - 개인정보영향평가 수행 안내서

 - 개인정보의 안전성 확보 조치 기준 개인정보의 기술적·관리적 보호 조치 기준 고시 해설서. (30%출제)

 - PIMS 인증제도 안내서. (개정법 32조의2, 망법 47조의3)

 - ISMS 인증 제도 안내서(합쳐서 ISMS-P로)

1. 국가별 개인정보보호 제도

1) 유럽 연합

 - 자연인의 신원이 확인되거나 가능한 것과 관련한 정보

 - 직/간접적 신원 증명하는 정보 특히 신체/생리/정신/경제/사회적 동일성에 관한 하나 혹은 그 이상을 참조하여 알 수 있는 사람

2) OECD

 - 식별되거나 식별 가능한 개인에 관한 모든 정보

3) 독일

 - 신원이 확인되거나 가능한 개인의 인적/물적 환경 일체의 정보

 - 독일연방데이터보호법 제 3조

4) 영국

 - 데이터 관리자가 보유하고 있거나 관리 가능성이 많은 데이터, 기타 정보로부터 신원 확인 가능한 생존한 사람의 관련 데이터

 - 개인에 대해 표현된 의견, 데이터 관리자의 지시 사항, 개인과 관계된 모든 타인에 관한 의견 포함

 - 데이터 보호법

5) 미국

 - 개인에 관한 정보(성명, 신분번호, 기호, 지문, 사진 등) 개인에게 배정된 식별을 위한 특기 사항

 - 미연방프라이버시법 제522조의 2

6) 캐나다

 - 신원을 확인할 수 있는 개인에 대한 정보

 - 개인정보보호와 전자문서에 관한 법 제 2조

7) 일본

 - 생존하는 개인에 관한 정보로서 당해 정보에 포함되는 성명, 생일, 기타 기술 등에 의해 특정 개인 식별이 가능한 것

 - 다른 정보와 용이하게 조합되어 식별할 수 있는 정보를 포함

 - 개인정보보호에 관한 법률 제 2조

8) 한국

 - 살아있는 개인에 관한 정보(성명, 주민등록번호, 영상)를 통해 개인 식별이 가능한 정보

 - 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함

 - 개인정보보호법

2. 해외 주요 국가에서 보호되는 개인정보의 범위

1) 독일

 - 전자/비전자 처리된 모든 개인정보를 보호 대상으로 함

2) 영국

 - 자동화 장비에 의해 처리된 개인정보, 자동화 장비로 처리할 목적으로 기록된 개인정보 모두

3) 프랑스

 - 형식에 상관없이 직/간접적으로 자연인의 신원 확인이 가능한 모든 정보를 보호

 - 전산화, 수기 기록한 모든 개인정보

 - 정보 처리 파일 및 자유에 관한 법률

4) 일본

 - <민간 : 개인정보보호에 관한 법률>

 - 개인정보 DB: 정보 집합물을 전자 계산기를 이용해 검색할 수 있도록 체계화한 것 또는 특정 개인정보 검색의 용이를 위해 체계화 한 것

 - <공공: 행정 기관 보유의 개인정보보호에 관한 법률>

 - 행정 기관이 보유하는 전산화된 개인정보 및 수기 정보

5) 미국

 - 연방 프라이버시법 중심으로 적응 대상 기관에서 보유한 개인에 관한 기록과 시스템

 - Privacy ACt: 522a

6) 캐나다

 - 물리적 형태나 특성에 관계없이 적용(전자, 수기 정보 포함)

 - 개인정보 보호 와 전자 문서

개인정보의 가치 산정

CVM(Contingent Valuation Method)

 - 사용자가 개인정보 유출 피해라는 경제적 손실 회피를 위해 통신서비스에  지불할 의사 금액 평균

 - 설문 방식의 경제 가치 산정 기법

 - CVM으로 WTA(수용 의사 금액)을 추정, 개인정보의 경제적 가치 분석 가능

 - 사고 발생 시 위자료 수준 및 분쟁 발생 시 배상 금액 판정의 기준으로 활용 가능

※개인정보 유출에 의한 경제적 가치 및 비시장 재화의 경제적 가치를 추정하는 데 사용하는 CVM을 이용한다. 이것으로 WTP(Willingness to Pay)를 산출.

개인정보 유형별 등급

1. 출제 기준

2. 개인정보의 개요

 2.1 개인정보의 정의

 2.2 개인정보의 유형 및 종류

- 식별, 식별 가능 정보로 구분

- 정보 주체로부터 받은 정보, 자동으로 생성되는 정보, 가공 및 재생산 된 정보로 분류

- 제공 정보: 회원 가입이나 서비스 등록을 위해 사업자에게 제공하는 정보

- 생성 정보: 사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관한 정보(쿠키값, 로그, 접속 정보, 검색 기록, 구매 정보 등)

- 쿠키: 개인 식별을 목적으로 사용되는 정보. 서비스 이용 과정에서 생성되는 식별 가능 정보.