Polaris

핵심은 위계(Hierarchy)와 구체성(Detail)입니다. 보호법은 "무엇을 해야 한다(의무/처벌)"를 규정하는 최상위 법률이고, 표준지침은 보호법을 실무적으로 이행하기 위한 "구체적인 기준과 절차(가이드라인)"를 담은 개인정보보호위원회의 고시입니다. 1. 법적 위계 및 성격 비교구분개인정보 보호법 (법률)표준 개인정보 보호지침 (고시)법적 위계최상위 법률 (국회 제정)행정 규칙 (개인정보보호위원회 고시)목적개인의 자유와 권리 보호, 존엄과 가치 구현법 제12조제1항에 따른 처리 기준, 침해 유형 및 예방조치 등 세부 사항 규정주요 내용개인정보 처리의 원칙, 정보주체의 권리, 금지행위 및 처벌(징역, 벌금, 과태료) 규정개인정보 처리 단계별 세부 기준, 영상정보처리기기 운영 관리, 구체적 기한(일수)..

개인정보 보호법 vs 신용정보법 (처리의 위탁) 비교구분개인정보 보호법 (제26조)신용정보법 (제17조, 시행령 제14조)위탁 계약서면(문서) 체결 필수 (목적 외 처리 금지, 보호조치, 감독 등 포함)개보법 제26조 준용 (서면 계약 등 동일 적용)수탁자 책임손해배상 시 수탁자를 위탁자의 직원으로 간주수탁자의 법 위반 시 준용 조항에 따른 벌칙/과태료 직접 적용금융위 보고해당 사항 없음 (일반적 위탁 시)7영업일 전 금융위 보고 (중점 신용정보회사 등)재위탁 규정위탁자의 동의 시 허용원칙적 금지 (단, 금융위 인정 시에만 예외 허용)교육 의무위탁자의 수탁자 교육/감독 의무 명시연 1회 이상 교육 실시 내용을 계약서에 반영 필수보호 조치일반적인 기술적·관리적 보호조치제공 방식(망/매체)에 따른 암호화/봉..

1. 서론: 금융 분야 정보보호 규제 체계의 특수성과 ISMS-P 심사의 관점정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 심사에 있어 금융권 및 핀테크 기업, 마이데이터 사업자를 대상으로 하는 심사는 일반 제조, 유통, 서비스업과는 확연히 다른 법적 접근 방식을 요구한다. 이는 대한민국 정보보호 법제가 「개인정보 보호법」이라는 일반법과 「신용정보의 이용 및 보호에 관한 법률」(이하 "신용정보법")이라는 특별법의 이원적 구조를 취하고 있기 때문이다. 특히, 신용정보법은 금융거래의 특수성을 반영하여 개인정보 보호법보다 한층 강화된 보호 조치와 엄격한 거버넌스 체계를 요구하며, 두 법령이 상충할 경우 '특별법 우선의 원칙'에 따라 신용정보법이 우선 적용된다.ISMS-P 수험생 및 실무 심사원은 단순히..

이름이 비슷해서 혼동하기 쉽지만, 마크업은 광범위한 문서 구조화 "언어 체계"이고 마크다운은 그 중 하나의 경량화된 "표기법"입니다.핵심 개념 정리구분마크업(Markup)마크다운(Markdown)정의태그를 사용하여 문서의 구조와 표현을 정의하는 언어 체계일반 텍스트 기반의 경량 마크업 언어탄생 배경문서의 논리적 구조를 기계가 해석할 수 있도록 표준화복잡한 마크업 없이 사람이 쉽게 읽고 쓸 수 있도록 단순화최초 등장1960년대 GML(IBM) → 1986년 SGML 표준화2004년 John Gruber가 고안관계상위 개념 (Language Category)마크업의 하위 집합 (Lightweight Markup Language)이름 유래원고에 표시(Mark up)하는 편집 관행에서 유래마크업을 단순화했다는 ..

ISMS·ISMS-P 인증제 실효성 강화방안 핵심 정리2026년 4월 과기정통부·개인정보위 발표 내용입니다. 최근 3년간 인증기업 179개社(약 14%)에서 침해사고가 발생하며 제도 실효성에 대한 지적이 심화된 것이 배경입니다.먼저 전체 개편 구조를 한눈에 보겠습니다.1. 인증 의무대상 확대 및 기준 강화가장 큰 변화는 ISMS-P 의무화와 인증 3단계 차등화입니다.ISMS-P 의무화 대상(안): 주요 공공시스템운영기관, 이동통신사업자, 본인확인기관, 매출액·개인정보 수를 고려한 대규모 개인정보처리자 (의무화 시 과징금 감경 제외)강화 인증기준 주요 예시관련 인증기준특화 보안요구사항(안)최고책임자의 지정CISO·CPO를 CEO 직속 임원으로 임명, 실질적 보안 통제 권한 부여정보자산 식별 강화자동화 도구..

방화벽(Firewall)과 VPN(Virtual Private Network)의 배치 순서는 네트워크 보안 아키텍처에서 "트래픽의 가시성(Visibility)을 확보할 것인가" vs "VPN 장비 자체를 보호할 것인가"의 결정 문제입니다. 1. [실무 비교] 방화벽과 VPN 배치 순서에 따른 장단점실무에서는 VPN 장비의 성능과 내부 보안 정책의 세밀함에 따라 결정을 내리지만, 최근에는 Case 2 (VPN 앞, 방화벽 뒤) 혹은 병렬 구성을 많이 고려하는 추세입니다. 비교 항목 Case 1: 방화벽이 앞에 있을 때(Internet → FW → VPN → Internal) Case 2: VPN이 앞에 있을 때(Internet → VPN → FW → Internal) ..

1. 개인정보 열람 요구 권리 및 청구 대상정보주체는 자신의 개인정보에 대해 열람을 요구할 권리가 있으며, 대리인을 통한 행사도 가능합니다.[표 1] 열람 요구 주체 및 대상 정보 구분 주요 내용 근거 법령 청구 주체 정보주체 본인 (자신의 개인정보에 한함) 법 제35조 ① 대리 청구 대리인에게 요구 가능 (문서 등 대통령령으로 정하는 방법·절차 준수) 법 제38조 ① 아동 대리 만 14세 미만 아동의 법정대리인은 그 아동의 개인정보 열람 등 요구 가능 법 제38조 ② 열람 대상 1. 개인정보의 항목 및 내용2. 개인정보의 수집ㆍ이용..

1. 전송 요구의 주체 및 대상 (법 제35조의2 제1항, 제2항)정보주체는 일정한 요건을 갖춘 개인정보처리자에게 자신의 정보를 본인 또는 제3자에게 전송할 것을 요구할 수 있습니다. 구분 주요 내용 비고 요구 주체 정보주체 (본인) 요구 상대방 매출액, 보유 규모, 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자 모든 처리자가 아님 (일정 규모 이상) 전송 수신자 1. 정보주체 본인2. 개인정보관리 전문기관3. 안전조치 의무를 이행하고 기술 기준을 충족한 자 (안심 제공자) 기술적으로 허용되는 합리적 범위 내 1.1..

1. 왜 IP 접속을 막아야 할까? (보안상 이유)해커나 자동화된 봇(Bot)들은 도메인을 모르더라도 IP 대역 전체를 스캔하면서 공격 대상을 찾습니다. 이유 상세 설명 위험성 1. 무차별 스캔 방어(IP Scanning) 해커들은 전 세계 IP를 0.0.0.0부터 끝까지 훑으며 포트가 열린 서버를 찾습니다. IP 접속을 허용하면 이런 "눈먼 공격"에 그대로 노출됩니다. 불필요한 트래픽 발생, 취약점 노출 2. 오리진(Origin) 숨기기(WAF 우회 방지) 보통 앞단에 방화벽(WAF)이나 CDN(Cloudflare 등)을 둡니다. 공격자가 내 실제 서버 IP(Origin)를 알아내서 직접 들어오면, 방..

URL(도메인)로는 잘 되는데 IP로 접속했을 때만 에러(500)가 뜨는 현상, 이건 서버 엔지니어들이 설정할 때 가장 흔하게 겪는 상황 중 하나입니다.가장 큰 이유는 "서버가 '누구한테 온 요청인지' 몰라서 당황했기 때문"입니다. 이를 기술적으로 풀면 Host Header(호스트 헤더) 불일치 문제입니다. 1. 가상 호스트(Virtual Host) 설정 문제 (가장 유력)요즘 웹 서버(Nginx, Apache 등)는 하나의 IP 주소로 여러 개의 웹사이트를 운영할 수 있습니다. 이때 서버는 들어오는 요청의 "이름표(Host Header)"를 보고 구분합니다. 구분 URL 접속 시 (정상) IP 접속 시 (에러) 요청 내용 GET /ind..