6월21일에는 'FDI 2022' 라는 한 보안업체의 컨퍼런스에 참석하였습니다.
2020년,데이터3법(개인정보보호법·신용정보법·정보통신망법)이 국회 통과로 개정되면서 ‘가명정보’ 개념이 도입되어 비식별화된 데이터는 기업이 활용할 수 있게 되었습니다.
이로인해 핀테크 분야를 포함하여 많은 비즈니스의 발전에 영향을 주었다고 생각되어 '비식별화' 관련 기술 세션를 듣기위해 참석하게 되었습니다. 참석 후 느낀점을 많은 분들이 기술적 흐름을 간접체험 하실수 있도록 상업적인 내용은 쏙 뺀채 담백하게 공유드리고자 합니다.
우선 컨퍼런스는 2가지 Keyword를 Point로 하여 시작되었습니다.
'Zero Trust' 와 'Security platform'
Zero Trust는 조직의 네트워크 아키텍처 보안에 대해 신뢰할 수 없다는 개념에서 출발하는 전략적 보안 접근 방식입니다. 오랫동안 언급되어왔고 또 이러한 관점도 중요하다고 생각됩니다. Zero Trust의 자세로 효율적인 Security platform의 운용에 대한 주제의 컨퍼런스가 될것으로 예상되었습니다.
문서작성기능과 메신저기능이 결합된 협업솔루션, MAC OS까지도 지원하는 DRM(문서보안)솔루션 등에 대한 소개가 진행되었고 곧 이어서 제가 기다리던 '개인정보비식별화, 빅데이터' 주제로 발표가 진행되었습니다.
물론 해당기업의 비식별화 솔루션을 함께 소개하며 발표가 진행되었는데 [개인정보 - 가명정보 - 익명정보] 의 개념설명과 개인정보를 이용하기위해서는 이용목적마다 개인의 동의를 받거나 통계작성, 과학적연구, 공익적기록보존 등의 이용목적을 가져야 하며, 데이터3법 개정에 따라 비식별화(익명·가명화)된 데이터는 개인의 동의 없이도 연구 및 상업적 목적으로 사용이 가능하다는 내용으로 개인정보보호법을 다시한번 짚어보는 발표내용이었습니다.
보안업무를 하시면서 개인정보보호법에 대하여 깊이 공부를 하셨다면 알고계시겠지만 대다수의 일반적인 분들이라면 모르고 계셨다가 알게되셨을 것 같습니다.
데이터를 비즈니스에 이용할 기업들은 이러한 점을 명확하게 인지하고 비식별화, 비식별화 솔루션에 대해서 숙지하여 잘 이용하시면 좋겠습니다.
추가로, 생각지 못하다가 듣게 된 '공급망보안과 SBoM' 세션에서는 소프트웨어 개발, 코딩단계에서부터 보안취약점을 줄여가야 한다는 기존에도 인식하고 있었지만 깊게 생각하지 못했던 부분에 대해 새로운 시야를 얻게되었습니다.
SBoM이란 Software Bill of Materials 의 약자로써 소프트웨어 자재명세서 라고 할수 있습니다. 최근 솔라윈즈부터 log4j 까지 소프트웨어 취약점 이슈로 IT업계 종사하시는 분들이라면 깊이 있게 알지는 못하셔도 많이 들어보셨을 것 같습니다.
SBoM 이라는 용어가 언급되는 이유는 반복되는 소프트웨어 취약점 이슈를 해결하기 위해서 미국에서는 SBoM 제출 의무화를 추진중이라고 하여 세계시장에서 사업을 펼치는 IT기업과 보안업계에서 큰 관심을 가지고 대비하고 있기 때문입니다.
저도 자세히 알지 못하였지만 NIPA 2021 오픈소스SW 실태조사 보고서에서 조사된 국내 오픈소스 사용비율은 77.1%라고 합니다.
- 참고: NIPA 2021 오픈소스SW 실태조사 보고서
알게모르게 상용 소프트웨어 내에도 많은 오픈소스 코드가 사용되어 있고 취약점이 조치되지 못한 채 오픈소스 위주로만 이루어진 소프트웨어가 많이 이용되고 있다는 내용에 다시금 깨닫는 부분이 있었습니다. 오픈소스 취약점 관련 최신기사도 함께 공유드립니다.
[보안뉴스] 오픈소스 취약점의 3%만이 해커들의 공격을 받는다?
단편적으로나마 공유드리게 된 'Zero Trust' 와 'Security platform' 2가지 Keyword와 '개인정보비식별화' 그리고 'SBoM'
IT분야에 재직 중이시고 비즈니스를 하고 계시는 분들께 새로운 인사이트를 제공해드릴수 있는 주제들이 아닐까 싶습니다.
정보보안 커뮤니티에 비식별화 관련 제가 작성한 글도 함께 참고해보시면 좋겠습니다.
3
