[파이낸셜뉴스] 한국투자증권은 국제표준인증기관인 디엔브이비즈니스어슈어런스의 심사를 통해 개인정보보호 경영시스템 ISO/IEC 27701 인증을 획득했다고 13일 밝혔다. ISO/IEC 27701은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 만든 개인정보보호 관련 국제표준 인증이다. 개인정보보호 시스템과 서비스 안정성 등 총 8개 분야 49개 관리 기준에 걸쳐 유럽 개인정보보호법(EU GDPR)에서 요구하는 개인정보보호 관리 역량을 갖췄음을 입증한다. 앞서 한국투자증권은 지난 2004년 기업 정보보호관리체계 국제표준인 ISO/IEC 27001을 취득하고, 2023년 클라우드 보안체계 강화를 위해 ISO/IEC 27017 인증도 획득했다. 또 국내 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증도 보유하고 있다. 한국투자증권 김대종 정보보호담당(CISO)은 “더욱 안전한 금융거래 환경을 제공하기 위해서 국제표준 인증을 획득했다”며 “앞으로도 글로벌 수준의 보안체계를 유지할 것”이라고 말했다. elikim@fnnews.com 김미희 기자

[파이낸셜뉴스]   오는 15일부터 개인정보 유출 사고가 잇따르고 있는 공공기관 62곳에 대한 보호 조치 의무가 강화된다. 개인정보보호위원회는 주요 개인정보 처리시스템을 보유하거나 운영하는 정부 부처와 산하 공공기관은 기존에 부여됐던 안전조치 의무 외에 추가적인 의무를 준수해야 한다고 12일 밝혔다. 이번 조치는 지난해 9월 공공기관의 개인정보 안전성 강화 조치 기준 등이 담긴 개인정보보호법 시행령이 개정된 후 1년의 계도기간이 지난 데 따른 것이다. 추가 안전조치 의무가 부여된 기관은 100만명 이상의 개인정보 또는 200명 이상의 개인정보취급자를 보유하고 있거나, 민감·고유식별정보 등을 처리하는 공공시스템 382개를 운영하는 63곳이다. 또한 대국민 서비스를 위한 행정업무 및 민원업무 처리용으로 쓰이는 시스템, 주민등록정보시스템과 연계해 운영되는 시스템, 총사업비 100억원이 넘는 시스템을 운영하는 기관도 이에 해당한다. 구체적으로 ▲ 국민권익위원회(청렴포털·국민신문고 등) ▲ 기획재정부(e나라도움·동원관리정보시스템 등) ▲ 행안부(정부24·정보공개시스템) ▲ 질병관리청(코로나19예방접종등록시스템·방역통합정보시스템 등) ▲ 17개 시도교육청(유치원입학관리시스템) 등이다. 이들 기관은 기관별 개인정보보호책임자(CPO) 외에도 해당 시스템별로 CPO를 추가로 둬야 한다. 또한 권한이 없는 이가 시스템에 접근할 수 없도록 조치를 마련하고, 시스템 접속기록을 주기적으로 점검하고, 관련 인력을 확충하는 등 10개의 추가적인 안전조치 의무를 지게 된다. 이를 위반할 경우 과태료가 부과되며, 개인정보를 유출할 때는 과징금도 물게 된다. 개인정보위는 공공기관 유출 사고 발생 시 엄격하게 조사하고, 처분을 내려 공공부문의 개인정보보호 강화 노력을 적극적으로 유도할 계획이다. 올해 상반기 공공기관 유출신고는 62건으로, 작년 동기(16건) 대비 4배 가까이 늘었다. 지난 4월 행정안전부의 '정부24'에서 두 차례에 걸쳐 타인의 민원서류가 발급되는 등 시스템 오류로 1천200건이 넘는 이름, 주소, 주민등록번호 등이 유출됐다. 앞서 1월에는 학생과 교직원 등 11만명의 정보를 보유한 인천시교육청 계정에서 해킹 의심 사건이 발생해 개인정보위가 조사에 착수했다. 이밖에 일선 학교에서 교직원과 졸업생, 재학생의 정보가 유출되는 사고가 이어졌다. ktitk@fnnews.com 김태경 기자

[파이낸셜뉴스] 과학기술정보통신부는 지난 2일부터 6일까지 스위스 제네바에서 열린 국제전기통신연합 전기통신표준화 부문(ITU-T) 정보보호연구반(SG17) 국제회의에서 한국이 제안한 신규 표준화 안건 4건이 승인됐다고 9일 밝혔다. 자격증명신뢰기술, 메타버스(3차원 가상세계) 보안 등이다. 이외 도심항공교통(UAM) 보안 등 국제표준 5건 사전채택, 차량용 에지 컴퓨팅 보안 등 국제표준 2건, 디지털 금융서비스 보안 등 부속서 3건도 최종 승인됐다. 이번 국제회의에는 전 세계 54개 회원국 330여명의 전문가가 온·오프라인으로 참석했다. 국내에선 62여명의 전문가가 참가해 국내 정보보호기술을 국제 표준에 반영하기 위한 토론을 진행했다. 국내 대표단은 이번 회의에서 차세대 표준화 주제에 대한 신규 표준화 안건 4건을 제안해 승인받았다. △디지털배지 및 자격증명서에 활용될 수 있는 탈중앙 방식의 자격증명신뢰 기술 △메타버스 환경 내 이용자 아바타 개인정보 보호 기술 △산업용 사물인터넷(IoT) 데이터 보호를 위한 블록체인 기반 스마트 제조 보안 △스마트 계약을 통해 발행되는 명세서를 위한 블록체인 기반 인보이스 보안 등이다. 아울러 국내에서 산학연을 중심으로 수년 간 주도적으로 개발해 온 5건의 보안 기술도 국제표준으로 사전채택됐다. △UAM 서비스 환경에서의 수직이착륙기체 보안 가이드라인 및 요구사항 △분산원장기술 기반 원타임 인증키 생성 프레임워크 등이다. 이에 더해 △차량용 에지 컴퓨팅을 위한 보안 요구사항 및 가이드라인 △온라인 분석 서비스용 참조 모니터 국제표준 등이 최종 승인됐다. 이외 디지털금융 서비스를 위한 보안 보증 등 총 3건의 구현 관점에서의 부속서도 최종 승인됐다. 류제명 과기정통부 네트워크정책실장은 "사이버보안 기술은 단일 국가에서 독자적인 방법으로 지능화된 사이버위협을 해결할 수 없고, 국가 간 상호협력 및 공동대응에 활용될 수 있는 국제표준이 중요하다"며 "디지털 강국을 실현하기 위한 디지털자격증명서, 메타버스 보안 기술 등 차세대 보안 표준 개발 주도권 확보를 위해 총력을 기울이겠다"고 전했다. jhyuk@fnnews.com 김준혁 기자

"인공지능(AI) 시대에 접어들면서 인간과 AI를 구분하는 것이 우리 시대 가장 중요한 과제가 되고 있다. 한국은 '월드ID' 같은 획기적인 혁신을 포용하는 데 있어 테스트 베드 역할을 하는 선도적 위치에 있기 때문에 한국에서 월드코인 프로젝트에 대한 지지를 이끌어 낼 수 있도록 적극적으로 소통할 계획이다." -알렉스 블라니아 툴스 포 휴머니티(TFH) 최고경영자(CEO) '챗GPT 아버지' 샘 올트먼 오픈AI 최고경영자(CEO)와 월드코인 개발사인 툴스 포 휴머니티(TFH)를 공동 창업한 알렉스 블라니아 CEO가 방한한다. 내달 1일부터 7일까지 서울에서 열리는 '코리아블록체인위크 2024(KBW 2024)' 을 통해 월드코인의 비전과 기술적 특징을 소개하고 개인정보보호 정책 등을 논의할 예정이다. 28일 업계에 따르면 이번에 방문하는 TFH 주요 임원은 블라니아 CEO와 데미안 키어런 최고개인정보보호책임자(CPO) 등이다.월드코인은 글로벌 경제 참여 및 접근성을 확장하기 위해 개발자, 개인, 경제학자, 기술자로 구성된 글로벌 커뮤니티가 지원하는 오픈소스 프로토콜이다. 월드코인 재단은 이를 관리하며 자립형 커뮤니티로 성장할 때까지 지원한다. 앞서 올트먼 CEO가 지난 2020년 투자해 블라니아 CEO와 설립한 TFH는 2023년 7월 월드코인 프로젝트가 출범하는데 기술적 도움을 줬으며 현재 재단의 자문 역할과 월드 앱 운영을 담당하고 있다. 즉 월드코인의 초기 개발을 주도하고 월드앱을 운영하지만, 월드코인 재단과는 완전히 독립적으로 운영되고 있다. TFH는 미국 델라웨어주에 설립된 회사이며 본사는 캘리포니아주 샌프란시스코에 위치하고 있다. 블라니아 CEO는 내달 3일 서울 성수동 더와인콜렉티브에서 국내 첫 기자간담회를 열고 월드코인 생태계의 핵심 요소인 월드ID, 월드앱, 월드체인, 월드코인 재단 등에 대해 설명한다. 이튿날에는 KBW 메인 컨퍼런스 '임팩트(KBW 2024: IMPACT)'에서 인공지능(AI) 시대의 월드코인 프로젝트 필요성과 이를 지원하는 TFH 기술적 노력을 발표할 예정이다. 이어 5일 롯데월드타워 롯데시네마에서 열리는 'AI 월드'에서 AI 시대를 준비하는 월드코인 프로젝트 특성 등을 소개한다. 키어런 CPO는 내달 4일 더 플라자 호텔에서 기자간담회를 열고 월드코인 프로토콜 기반이 되는 개인정보보호 철학과 정책을 소개한다. 키어런 CPO는 트위터에서 CPO로 수년간 근무했으며 구글 및 유럽에서 개인정보 관련 업무를 담당했다. 그는 AI 시대 개인정보 보호와 플랫폼이 사용자 개인정보를 보호하는 방안에 대한 전문적 견해 및 경험을 공유할 계획이다. 김미희 기자

[파이낸셜뉴스] 디지털 헬스케어 플랫폼 기업인 룰루메딕이 작년에 이어 올해도 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 갱신 심사에 성공적으로 통과했다고 26일 밝혔다. 이번 심사 통과로 룰루메딕은 국내 최고 수준의 보안관리체계를 구축하고 높은 개인정보보호 수준을 입증하며 고객 개인정보 보호에 앞장설 수 있게 되었다고 밝혔다. ISMS-P 인증은 최초 인증 후 3년 동안 유효하지만, 유효 기간동안에도 매년 인증심사를 받아야 한다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 권위의 정보보호 및 개인정보보호 관리체계 통합인증제도다. 인증과정에서 룰루메딕은 △관리체계 수립 및 운영(16개) △보호대책 요구사항(64개) △개인정보 처리 단계별 요구사항(22개) 등 총 102개 인증기준과 세부적으로 392개 점검항목의 심사를 통과했다. 룰루메딕의 우성한 대표는 “개인정보보호 ‘프라이버시(PRIVACY) 인증 획득에 이어 ISMS-P 정보보안 인증 갱신 심사통과는 룰루메딕에게 개인정보를 취급하는 모든 활동에 대한 관련 법적 정보보안 조치를 성실히 이행했다는 근거일 뿐만 아니라, 업계 최고 수준의 정보보안 역량을 갖출 수 있도록 선제적 투자한 결과”라고 밝혔다. hsg@fnnews.com 한승곤 기자

[파이낸셜뉴스] 롯데칠성음료가 정보보호 관리체계의 국제 표준인 'ISO/IEC 27001:2022'를 취득하고 국내 개인정보보호 관리체계 인증인 'ISMS-P'를 인증 유지했다고 22일 밝혔다. 이번 인증 취득 및 유지는 정보보안 강화와 고객 개인정보 보호를 위해 롯데칠성음료가 자발적으로 인증을 추진한 것이다. 롯데칠성음료는 2022년 음료ㆍ주류 업계 최초로 ISMS-P 인증을 취득했으며 이듬해 고객정보 보호를 강화하기 위해 인증범위 확대를 추진했다. 올해에 기존 취득한 인증의 추가 심사를 통해 고객정보 보호 체계가 적합하게 유지되고 있음을 입증했고 글로벌 경영 확대에 맞춰 국제 표준인 ISO27001 인증까지 동시에 취득하는 쾌거를 이루었다. ISO 27001인증은 국제 표준화기구(ISO)에서 제정한 정보보호 관리체계의 국제 규격으로 정보보호 분야의 권위 있는 국제 인증이다. 정보보호를 위한 경영진 및 구성원 인식, 정책, 위험관리 등을 포함한 심사 표준과 △조직 통제 △인력 통제 △물리적 통제 △기술적 통제 총 4개 영역의 93개 세부 점검 항목의 심사를 모두 통과해야 한다. ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 고시하는 기준에 따라 '정보보호 및 개인정보보호를 위한 일련의 조치와 활동'이 기준에 적합한지를 인증하는 국내 정보보호 인증 제도다. 이 인증을 취득하기 위해서는 △관리체계 수립 및 운영 △보호대책 요구사항 △개인정보 처리 단계별 요구사항으로 구성된 총 3개 분야 101개의 인증기준 항목을 충족해야 한다. 한국인터넷진흥원 등 인증기관의 심사를 거쳐야 취득할 수 있다. 롯데칠성음료 관계자는 "AI, 클라우드와 같은 신기술로 인한 경영 환경 변화가 다각도로 발생하고 있으며 당사는 이런 변화를 적극적으로 수용하고 밸류체인에 반영하기 위해 디지털 전환을 지속적으로 추진하고 있다"라며 "이번 ISO27001 및 ISMS-P 인증 취득은 이러한 환경에서 고객 신뢰를 더욱 공고히 하기 위한 지속적인 노력의 일환으로 인증 동시 취득으로 고객 개인정보를 안전하게 보호할 수 있는 체계를 갖추게 되었으며 이는 고객 만족도 향상과 더불어 기업의 신뢰도를 높이는 데 큰 기여를 할 것으로 기대된다"고 전했다. jhpark@fnnews.com 박지현 기자

롯데건설은 정보보호 책임과 신뢰도 향상을 위해 정보보호 공시에 자율적으로 참여키로 했다고 21일 밝혔다. 정보보호 공시 제도는 안전한 인터넷 이용 및 기업의 정보보호 투자 활성화를 위해 정보보호 현황을 일반에게 공개하는 제도다. 일정 규모 이상 상장법인은 의무이고, 비상장 기업은 자율이다. 롯데는 의무공시 대상 기업은 아니지만 기업의 사회적 책임을 다하기 위해 건설 업계 최초로 정보보호 공시에 자율적으로 참여했다는 설명이다. 또 '정보보호 공시제도 투자 우수기업 인증'도 함께 획득했다. 회사 관계자는 "개인정보 유출방지 시스템을 구축하는 등 고객 개인정보 보호를 위한 정보보호 부문의 투자를 지속적으로 확대하고 있다"고 강조했다. 이종배 기자

[파이낸셜뉴스] 롯데건설은 정보보호 책임과 신뢰도 향상을 위해 정보보호 공시에 자율적으로 참여키로 했다고 21일 밝혔다. 정보보호 공시 제도는 안전한 인터넷 이용 및 기업의 정보보호 투자 활성화를 위해 정보보호 현황을 일반에게 공개하는 제도다. 일정 규모 이상 상장법인은 의무이고, 비상장 기업은 자율이다. 롯데는 의무공시 대상 기업은 아니지만 기업의 사회적 책임을 다하기 위해 건설 업계 최초로 정보보호 공시에 자율적으로 참여했다는 설명이다. 또 ‘정보보호 공시제도 투자 우수기업 인증’도 함께 획득했다. 회사 관계자는 “개인정보 유출방지 시스템을 구축하는 등 고객 개인정보 보호를 위한 정보보호 부문의 투자를 지속적으로 확대하고 있다”고 강조했다. ljb@fnnews.com 이종배 기자

롯데월드가 테마파크 업계 최초로 영국왕립표준협회(BSI)로부터 ISO/IEC 27001 인증을 획득했다고 21일 밝혔다. ISO/IEC 27001은 국제표준화기구(ISO)가 제정하고, BSI가 인증하는 국제 표준 정보보호 분야의 최고 권위 인증이다. 정보보호정책, 통신·운영 등 4개의 정보보호 관리 영역을 비롯한 93개의 통제 항목들을 평가해 인증서를 발급한다. 롯데월드는 국내외 6개 사업장 대상 인증 심사에서 △C레벨(분야별 최고 책임자)을 포함한 경영진의 정보보호 관심 우수 △개인정보 최소화 및 암호화 등 안전조치 활동 수행 △정보보안 관련 점검 활동 등의 운영 성과를 인정받아 인증을 획득했다. 최홍훈 롯데월드 대표이사는 "ISO 27001 인증 획득으로 롯데월드의 정보보호 관리 체계가 국제 표준에 맞게 운영되고 있음을 입증했다"며 "앞으로도 철저한 정보보호 활동으로 고객 정보를 안전하게 처리해 더욱 신뢰받는 기업이 되겠다"고 말했다. en1302@fnnews.com 장인서 기자

최상수 CJ올리브네트웍스 정보보호사업단장(부장·사진)은 20일 "환경·사회·지배구조(ESG) 차원에서 정보보안이 취약한 중소·중견기업을 진단하고 컨설팅해주고 있다"며 "이러한 활동들이 보안시장의 파이를 키워 결국 사업으로 연계될 수 있다"고 말했다.정보보안 업무만 25년 이상인 '베테랑' 최상수 단장은 CJ올리브네트웍스의 정보보호최고책임자(CISO)로서 대내외 사업의 보안을 책임지고 있다. 최 단장은 중소·중견 기업들의 정보보호에도 남다른 관심을 갖고 있다. CJ올리브네트웍스는 2020년부터 사회공헌 프로그램 '화이트햇 투게더'에서 중소·중견 기업을 위한 맞춤형 정보보호 컨설팅을 제공 중이다. 최 단장은 이 프로그램을 통해 지원해 준 한 스타트업이 기억에 남는다고 회상했다. 그는 "젊은 청년 몇 명이 모여 창업했지만 보안을 어떻게 시작해야 할지 몰라 고생하다가 우리의 손길을 너무 고마워했다"고 말했다. CJ올리브네트웍스는 지난 5년 동안 약 100개의 중소 및 중견기업에 모의해킹, 개인정보 컴플라이언스 점검, 정보보호 교육 등 고객맞춤형 컨설팅을 무료로 제공하고 있다.최 단장은 "이러한 정보보호 컨설팅이 단순 일회성이 아니라 꾸준히 관리하고 점검해야 한다"고 말했다. 화이트햇 투게더를 통해 맺은 기업 대상의 취약점 및 정보보호 무료 컨설팅 이후에도 각 기업들이 지속적으로 정보보호 수준을 유지하고 있는지를 파악할 수 있도록 이행점검 체크리스트를 제공하는 등 지원을 아끼지 않고 있다.그러면서 "상대적으로 규모가 있는 기업들이 함께 지원을 해줘야 기업들의 보안 수준이 전체적으로 상승할 것"이라며 "정보보호 생태계 활성화가 필요하다"고 강조했다. 그는 ㈜CJ 근무 당시 그룹의 국내외 정보보안 거버넌스를 구축하는 등 보안 수준을 한 단계 업그레이드한 바 있다. 이러한 경험을 기반으로 'CJ 시큐리티 맵'을 통해 그룹의 보안 수준을 진단하고 중장기적 고도화계획 추진을 통해 글로벌 기업 수준의 보안체계를 갖춰 나가고 있다. 최 단장의 가장 큰 관심사는 바로 'AI와 클라우드 보안'. 계열사는 물론 대외고객들의 비즈니스가 다양하게 변화하고 있고, 생성형 AI의 활용 증가 등 직원들의 일하는 방식 역시 자연스럽게 바뀌어 가고 있다.이에 '생성형 AI 보안강화를 위한 TF'를 구성해 보안성 검토 및 사용 프로세스를 수립하고, 'AWS 보안 컨설팅 역량' 인증자격을 취득했다. 이 같은 클라우드 보안역량을 인정받는 등 조직원의 역량 강화는 물론 그룹의 보안 경쟁력을 한층 강화하는 데 매진하고 있다. 최근 구축한 보안 디지털플랫폼은 생성형 AI 기반 서비스는 물론 클라우드 등 주요한 IT기술의 보안을 점검하고 관리할 수 있어 더 안전하고 효과적으로 최신의 기술을 사용할 수 있다. 이처럼 축적한 보안역량을 기반으로 CJ올리브네트웍스는 보안사업을 대외 비즈니스로 확대하고 있다. CJ올리브네트웍스가 대외 SI사업을 수주하면 보안 분야를 책임지기도 하고, 유통업계와 보험업계 등의 보안컨설팅 사업 수주도 자체적으로 추진하고 있다.향후 클라우드보안, OT보안, 보안관제 등 다양한 분야로 대외사업을 확대해 나갈 계획이다. monarch@fnnews.com 김만기 기자