bit

개인신용정보 정보주체 이외 수집/출처 통지의무 검토 - 법은 어렵도다..

bit — Thu, 28 Aug 2025 07:31:12 GMT

대한민국 사회인이라면 아래와 같은 안내를 받은적이 반드시 있을 것이다. 개인정보 이용내역 메일인데, 밑에 조금 더 내려보면 수집 출처 및 처리 목적 안내가 있다. 메일내용에도 기재가 되어있지만, 개인정보보호법에 따라 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 수집 출처와 처리 목적을 정보주체에게 알려야한다. 쉽게말해 내 개인정보를 내가 아

교육부 2025 우수학술도서 선정

bit — Thu, 28 Aug 2025 06:33:48 GMT

7월에 교육부 2025 우수학술도서로 내 책이 선정되었다. 대한민국학술원은 교육부 위탁사업으로 매년 우수학술도서를 선정해서 국내 대학에 보급하고 있는데, 금융보안 주제로는 처음인듯(?) 하다. 브런치에 더 꾸준히 글을 발행해놔야겠다. 어쩌면 개정판이 나오게 될지도 모르니까..?

위탁규정엔 우리회사 없는데 보고해야돼 ?

bit — Fri, 11 Apr 2025 02:24:03 GMT

오랜만에 글을 쓴다. 회사를 이직하면서 개인(신용)정보보호 업무도 곁들이고있다. 그러한 업무 과정에서 검토한 내용을 적어보고자 한다. 우선 대부분의 금융회사는 전자금융거래법의 "금융회사" 범위에 속한다. 금융회사가 정보처리 업무를 위탁하고자 하는경우엔 어떻게 해야할까? 먼저 용어의 정의부터 확인해보자. 전자금융거래법 제2조(정의) 이 법에서 사용하는 용

금융보안 프로세스 A to Z - 금융회사 보안 담당자가 알려주는 기초에서 실전까지

bit — Mon, 09 Sep 2024 09:47:21 GMT

구매링크 : 바로가기 드디어 내 책이 세상에 나왔다. 수많은 역경(?)이 있었지만, 기어코 나오고야 말았다. 여태 브런치에 적어내려갔던 대부분의 내용과 추가적으로 알게되어 주니어에게 알려주고 싶었던 내용을 담았다. (사실 내 부사수가 생기면 별도의 온보딩없이 이 책을 던져줄 목적이었다.) 금융업에서 정보보안 업무를 수행하고 있지만, 길지도 짧지도 않은

책 집필과 앞으로의 방향..

bit — Fri, 07 Jun 2024 06:20:26 GMT

출판사에서 연락이 왔던 시기가 딱 작년 이맘때쯤이다. 그때부터 그 동안 브런치에 썼던 글을 바탕으로 집필을 시작했다. 생각보다 많은 시간이 소요되었고, 중간중간 수많은 보도자료가 발표되고 법령이 개정되었다. 그때마다 책의 내용은 조금씩 수정이 되었으며 언제쯤 출간할 수 있을지 걱정이 되었으나, 어느새 현재 베타리더 단계로 끝이 다가오고 있다. (사실 지금

외부 서비스 모니터링 5분 만에 구성하기 - 진짜 빨리하면 3분 컷

bit — Mon, 24 Oct 2022 05:23:03 GMT

5분 만에 어떻게요? 진-짜 간단하고 심플하다. 아래 두 개면 끝. 1. freshping 계정 (링크) -> 가입하고 모니터링 대상 등록 및 알람 받을 메일 주소 등록 (50개까지 무료) 2. 아웃룩 앱 -> 알람 메일(DOWN 메일)이 오면 소리 나게끔 아웃룩 규칙 설정 우선 freshping을 가입하면 내가 원하는 IP나 URL을 모니터링할 수

금융회사인데 취약점 점검 안 해도 돼? - 네니오

bit — Tue, 23 Aug 2022 01:24:51 GMT

필자가 개인적으로 검토한 내용으로 법령해석이나 비조치의견서를 받아야 명확한 내용임을 참고 바란다. 금융회사인데 취약점 점검 및 결과보고를 반드시 하지 않아도 되는 경우가 있다. 단, 아래의 조건을 만족해야 한다. 1. 전자금융거래와 관련이 없을 것 근거 1 : 법령해석 (링크) 근거 2 : 전자금융서비스가 없는 경우 금융보안원의 홈페이지 모의해킹 대상

금융회사에서 Teams를 쓰고 싶다고? - 재고하고 또 재고하라

bit — Wed, 29 Jun 2022 07:04:56 GMT

재고하길 바란다. 팀즈는 알다시피 MS의 SaaS 서비스다. SaaS는 현행 법령해석으로도 클라우드 이용에 무리가 있다. 컴플라이언스적인 부분을 차치하고서라도, Teams는 도메인 기반으로 통신하기 때문에 가장 먼저 금융회사에서 운영하는 방화벽이나 프록시에서 와일드카드를 지원해줘야 한다. (FQDN, PQDN 개념) 다른 SaaS도 도메인 기반으로 통신할

금융분야 클라우드 및 망분리 규제 개선방안 마련

bit — Tue, 26 Apr 2022 00:32:54 GMT

얼마 전에 금융위에서 금융회사의 담당자들을 모아 클라우드 이용에 대해 회의한 적이 있었는데 드디어 금융위가 클라우드 이용과 망분리 완화를 시작한다. 아직 상세한 내용은 추후에 나와봐야 알겠지만 보도자료까지 낸 마당에 무를 순 없을 것으로 보인다. (링크) 각설하고 이번 보도자료의 핵심 내용은 아래와 같다. 1. 클라우드 이용 규제완화 - 중요도 평가 기

제로트러스트가 뭐야? - 아무도믿지말라

bit — Tue, 29 Mar 2022 01:57:29 GMT

제로트러스트가 뭐예요? 뭔 말인지 잘.. 필자는 단순히 보안 모델이라고 생각하고 있다. 모델이라는 단어도 어색할 텐데.. 좀 더 단순하게 '보안 개념'으로 이해하면 될 것 같다. 내부/외부 누구도 적절한 인증이 없다면 신뢰하지 않는다는 개념이다. (zero trust => 믿음 0) 제로트러스트도 여러 단어와 합치고 줄여서 말한다. ZT(Zero Trus

AD(ActiveDirectory) 도입 검토

bit — Wed, 23 Feb 2022 03:58:50 GMT

금융회사의 정보보안을 담당하다 보면 업무 PC의 보안설정에 대해서 관리해야 하는 일이 반드시 생긴다. 예를 들면 아래와 같은 설정이다. 1. 윈도우 업데이트 설정 2. 윈도우 암호 복잡도 설정 3. 화면보호기 설정 4. 비트락커 설정 5. 기타 등등 이러한 설정들을 어떻게 통제할지 고민을 하다 보면 AD(Active Directory)라는 개념도 마주하

보안담당이 잡부로 불리는 이유

bit — Fri, 14 Jan 2022 05:54:37 GMT

필자는 여러 개의 오픈 채팅방에 참여를 하고 있다. 보안담당자방, 보안담당자 이직방, 금융보안 담당자방 등 대부분의 채팅방에선 "보안담당자는 잡부죠"라는 말을 많이 볼 수 있다. 보안담당이 왜 잡부예요? 왜냐하면 보안담당이 지원부서의 지원부서이기 때문이다. 보통 회사의 조직은 수익부서(영업부 등)가 돈을 벌고, 수익부서를 지원하는 지원부서(IT부, 경영

그룹웨어 클라우드(SaaS) 도입 검토 - 망분리와 클라우드

bit — Tue, 19 Oct 2021 05:02:08 GMT

금융회사에서 클라우드 쓰고 싶은데..망분리는? 금융회사에서 클라우드 도입/이전을 검토하는 보안담당자라면 한 번쯤은 고민했을 내용이다. 만약에 고민을 하지 않았다면 지금부터라도 고민을 하길 바란다. 단순히 금융 클라우드 이용 가이드에 따라 CSP 안전성 평가, 정보보호위원회 승인 등등 의 절차를 진행하면 클라우드 연결할 수 있지 않느냐고 이야기할 수 있겠

서버, DB 개인정보 검출

bit — Fri, 17 Sep 2021 07:23:47 GMT

이전부터 꾸준히 기사화되었던 내용은 개인정보 유출에 관련되어있다. 금융회사는 개인정보를 많이 다루기 때문에 그만큼 철저히 관리해야 한다. 법적으로도 관리를 해야 한다고 나와있다. 개인정보보호법 제24조(고유식별정보의 처리 제한) ③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손

외부주문 보안점검

bit — Thu, 12 Aug 2021 05:08:25 GMT

외부주문이란 아웃소싱을 말한다. 금융회사에는 아웃소싱 인력이 많이 있다. 개발, 운영 등 여러 분야에 존재하고 있는데, 그 인력들을 대상으로 금융감독원장이 정하는 중요 점검 항목들을 매일 점검해야 한다. 점검사항은 시행세칙 별표에 나와있다. 전자금융감독규정 제60조(외부주문등에 대한 기준) ① 금융회사 또는 전자금융업자는 전자금융거래를 위한 외부주문등의

사이버 위협정보 공유 자동화 시스템 - Financial Cyber Threat Intelligence

bit — Tue, 03 Aug 2021 04:01:38 GMT

금융보안원 회원사라면 일간 사이버 위협정보를 메일링 받을 것이다. 해당 메일에는 일간 정보보호 이슈라던가 회원사들 대상으로 위협이 되었던 탐지/차단 시도 등의 정보를 압축해서 보내준다. 요주의 IP들은 건수만 메일링을 해주고 KFISAC이나, FCTI 홈페이지에 실제 IP주소들이 공유된다. 담당자라면 해당 IP를 네트워크 방화벽에 탐지/차단용으로 업로드

V3가 놓친 악성코드 찾기 - sysmon

bit — Mon, 12 Jul 2021 03:09:58 GMT

대부분의 금융회사는 망분리가 되어있으나 내부망에 존재하는 데이터들은 망분리 이전의 파일, 문서 등이 산재되어 있을 수 있다. (그 안에는 악성코드가 들어있을 수도 있다.) 최근에 회사에서 다크트레이스를 POV(Proof of Value)했는데, 특정 임직원 PC에서 랜덤 URL로 도메인 접근이 탐지되었다. 이러한 악성코드는 DGA(Domain Genera

정보보안점검의 날

bit — Tue, 06 Jul 2021 03:28:20 GMT

금융회사의 보안담당자는 매월 점검해야 하는 정기업무들이 있다. 그중에 하나가 정보보안점검의 날이다. 전자금융감독규정 제37조의 5에 나와있듯 금융감독원장이 정하는 점검항목을 점검해서 최고경영자에게 보고해야 한다. 전자금융감독규정 제37조의5(정보보호최고책임자의 업무) 정보보호최고책임자는 정보보안점검의 날을 지정하고, 임직원이 금융감독원장이 정하는 정보보안

금융회사 클라우드 도입 검토

bit — Mon, 28 Jun 2021 07:20:18 GMT

클라우드 도입하려면 뭘 먼저 해야 하나요? 클라우드 서비스를 이용할 때 전자금융감독규정에 필수로 수행해야 하는 절차가 나와있다. 모든 내용을 담기엔 너무 길어 중요한 부분만 담았다. 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) ① 금융회사 또는 전자금융업자는「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드

클라우드를 쓰는 이유 - csp, msp

bit — Mon, 28 Jun 2021 06:32:21 GMT

클라우드는 종량제다. 내가 사용한 만큼만 비용을 지불하는 시스템인데 이해를 돕기 위해 한 가지 예를 들어보겠다. “A 금융회사가 10% 이자율 정기적금 이벤트를 열었다. IT부서는 수많은 고객의 유입을 예상하고 인프라 사용량을 최대로 늘렸다. 하지만 예상보다 많은 유입으로 이벤트 서비스가 죽었고 대외적으로 A금융사 안정성에 대한 이미지가 하락하게 되었다.