데이터 거래소, 데이터 생산·유통, 정책 거버넌스, 데이터거래사 측면에서의 보안 이슈
데이터 거래, 제로 트러스트 보안 원칙 적용해 취약점 제거 필요...끊임없는 점검만이 최선의 보안
<보안뉴스>에서는 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재로 진행되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]
[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안
[이미지=gettyimagesbank]
[보안뉴스= 강병일 기술사/KB라이프생명] 바야흐로 데이터 시대다. 모든 기술과 시스템이 데이터로부터 나온다고 해도 과언이 아니다.
빅데이터부터 인공지능(AI)까지 정보통신기술의 발전으로 막대한 양의 데이터가 쌓이면서 국내 데이터 산업의 시장규모가 점점 커지고 있다. 데이터 시장 규모는 연평균 11.9% 성장하면서 25조원에 달하고, 데이터 관련 종사자는 20만명이 넘어섰다고 한다.
그동안 가치가 없다고 판단됐던 비정형 데이터인 이미지, 음성, 영상정보 등을 활용하며 기술이 발전되고, 인공지능 LLM(Large Language Model, 거대언어모델), 생성형 데이터를 통한 비즈니스의 변화로 새로운 데이터 회사들이 생겨나게 됐다.
이러한 데이터의 거래 활성화를 위해 민간 중심의 데이터 거래소를 강화하고, 데이터 거래상품의 증가, 데이터 유통의 확대, 데이터 정책 거버넌스의 정비, 데이터 기본법 제정, 데이터거래사 양성이 이뤄지고 있어 거래 활성화 방안에 따른 보안사항을 한번 확인해 보고자 한다. 데이터 거래의 유출은 회사 내에서만 적용하던 보안에서 벗어나 데이터 거래 생태계의 보안을 적용해야 하기 때문이다.
데이터 거래에 대한 보안은 데이터 거래소, 데이터 상품의 생산과 유통 거래, 데이터 정책 거버넌스, 데이터거래사 등 각각의 측면에서 점검해 보고자 한다.
먼저 데이터 거래가 일어나는 ‘데이터 거래소’는 개방형 플랫폼 구축을 위해 데이터 공급자가 직접 데이터를 판매할 수 있는 상품마켓 기능을 제공하고, 데이터 허브를 만든다. 손쉽게 필요한 상품의 공급자와 수요자를 찾을 수 있어 거래가 빈번히 발생한다. 거래소에서 거래가 발생하면 거래 데이터의 암호화 강화 및 거래 전용선 구축, 적극적인 보안 프로토콜과 보안 침해에 대한 신속하고 투명한 대응이 필요해지고, 정기적인 보안 감사 수행을 통한 신뢰성 확보도 필요하다. 또한 거래소에서 일어나는 보이스피싱과 비대면 금융거래사기를 예방하기 위해 사기정보공유 시스템이 구축될 필요가 있다.
거래소에서 거래되는 데이터 상품은 파일 형태의 DB형과 API 형태로 이뤄져 있는데, API 형태의 상품이 주도하고 있다. 데이터 상품은 API 형태가 주를 이뤄 거래 시 데이터 노출에 대한 보안 문제가 발생한다. 이상금융거래 탐지시스템(Fraud Detection System, FDS)과 AI OCR을 통해 해킹 거래를 사전에 차단하는 것이 필요하다.
데이터 유통 활성화를 위한 마이데이터 서비스에서는 이용자의 범위가 디지털 취약계층까지 확대되고 상세한 제공으로 이용자 맞춤형 자산관리 서비스까지 지원하고 있다. 개인정보 침해 및 보안 위반, 신원 도용, 협박 및 금융사기의 발생 가능성이 있기 때문에 마이데이터 처리에는 GDPR(General Data Protection Regulation, EU 개인정보 보호규정) 및 데이터3법(개인정보 보호법, 정보통신망법, 신용정보법) 준수가 필요하다. 또 장기 미접속자를 보호하고, 이용자의 데이터 삭제 요청권을 보장하기 위해 해당 시스템에서 제3자에게 제공된 자기 정보를 조회·삭제할 수 있게 하는 보호장치도 필요하다. 가명처리 등을 활용해 개인정보 유출 리스크도 최소화해야 한다. 연 1회 보안 취약점 점검 의무화를 하고 보안관제 의무를 통해 리스크를 줄일 수 있다.
데이터 정책 거버넌스 측면으로는 민간 부문에서 사용하는 표준 API 규격을 정의하고 기술 가이드라인 마련, 일관된 보안을 적용해 리스크를 감소할 수 있다. 현재 제정돼 있는 데이터 기본법(데이터 산업진흥 및 이용촉진에 관한 기본법, 법률 제18475호)에 보안 조항을 넣는 것도 좋은 방법이 될 것이다.
과학기술정보통신부는 데이터 기본법 활성화를 위해 2025년까지 총 1,000명의 데이터거래사를 양성한다. 교육을 통해 양성된 데이터거래사의 역할은 크게 데이터 거래에 대한 수요 탐색·발굴, 시장조사·분석, 데이터 가공·분석 등 데이터 처리, 데이터 가치평가 및 품질평가, 데이터 관련 법제도 및 거래 윤리, 데이터 거래에 관한 상담·자문·지도, 중개·알선, 데이터 이전·사업화로 이뤄진다. 데이터거래사는 인공지능(AI)과 디지털트윈, 블록체인 등 신기술 개발의 핵심 자원인 데이터의 생산부터 활용까지 데이터 산업 전반에 걸친 데이터 유통·거래 전문가로서의 역할을 담당하게 된다. 모든 데이터 거래를 실제로 진행하는 것이다.
데이터거래사는 이러한 역할들을 수행해 데이터 공급자와 데이터 수요자 간의 원활한 거래를 지원하고, 데이터 경제의 성장과 혁신을 촉진할 수 있다. 데이터 거래가 중요해지는 만큼 데이터거래사가 핵심적인 역할을 하게 되는 것이지만, 그에 따른 보안 문제도 생각해 보아야 한다.
이용자들은 자신들의 데이터가 어떻게 전달되고 활용되는지 알고 있어야 하기 때문에 데이터거래사는 개인정보를 안전하게 보호해야 하며, 이를 위해 적절한 보안 조치와 기술적·조직적·물리적 보호 수단을 도입해야 한다. 규정 준수 및 보안 관리도 데이터거래사의 역할이다.
데이터거래사는 데이터 사용에 필요한 라이선스와 규정을 준수하고, 거래의 안전성과 보안을 유지하기 위한 적절한 대책을 마련해야 한다. 또한 데이터 거래에는 개인정보보호 및 기업 비밀 유출과 같은 중요한 문제가 포함돼 있기 때문에 이를 위한 보안 관리가 필요하다. 기술적으로 발전을 한다고 해도 사람에 대한 보안은 또 다르다. 사회공학적 공격은 아무리 보안이 완벽하다고 하더라도 막아내기 어렵기 때문에 데이터거래사들의 지속적인 윤리 및 보안 교육이 필요하다. 그리고 ISMS-P와 같은 인증심사자격을 통한 거래사의 능력 향상도 필요하다.
▲강병일 기술사[사진=강병일 기술사]
기술의 발전과 보안은 항상 따라가야 한다. 클라우드와 빅데이터, 블록체인이 발전할 때도 그랬고 AI가 확대되고 있는 현재 시점에서도 데이터 거래가 중요해지는 만큼 마찬가지다. 완전한 보안이라는 것은 없다. 항상 그렇듯이 취약점이 발생한다. 모든 것을 제로에서 검사하는 제로 트러스트 보안을 적용, 지속해서 취약점을 없애려는 노력이 필요하다. 끊임없이 체크하고 보안사항을 점검하며 업데이트를 하는 것이 데이터 거래의 최선의 보안이 될 것이다.
[글_ 강병일 기술사/KB라이프생명]
필자 소개_
-한국정보공학기술사회 블루보드위원회 위원
-금융 보험IT 전문가로 보험사 지급, 인사, VOC 시스템을 맡고 있다. FDS(Fraud Detection System, 이상금융거래탐지시스템), AML(Anti-Money Laundering, 불법자금세탁방지 심사)과 같은 보안 시스템을 적용했다.
데이터 거래, 제로 트러스트 보안 원칙 적용해 취약점 제거 필요...끊임없는 점검만이 최선의 보안
<보안뉴스>에서는 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재로 진행되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]
[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안
[이미지=gettyimagesbank]
[보안뉴스= 강병일 기술사/KB라이프생명] 바야흐로 데이터 시대다. 모든 기술과 시스템이 데이터로부터 나온다고 해도 과언이 아니다.
빅데이터부터 인공지능(AI)까지 정보통신기술의 발전으로 막대한 양의 데이터가 쌓이면서 국내 데이터 산업의 시장규모가 점점 커지고 있다. 데이터 시장 규모는 연평균 11.9% 성장하면서 25조원에 달하고, 데이터 관련 종사자는 20만명이 넘어섰다고 한다.
그동안 가치가 없다고 판단됐던 비정형 데이터인 이미지, 음성, 영상정보 등을 활용하며 기술이 발전되고, 인공지능 LLM(Large Language Model, 거대언어모델), 생성형 데이터를 통한 비즈니스의 변화로 새로운 데이터 회사들이 생겨나게 됐다.
이러한 데이터의 거래 활성화를 위해 민간 중심의 데이터 거래소를 강화하고, 데이터 거래상품의 증가, 데이터 유통의 확대, 데이터 정책 거버넌스의 정비, 데이터 기본법 제정, 데이터거래사 양성이 이뤄지고 있어 거래 활성화 방안에 따른 보안사항을 한번 확인해 보고자 한다. 데이터 거래의 유출은 회사 내에서만 적용하던 보안에서 벗어나 데이터 거래 생태계의 보안을 적용해야 하기 때문이다.
데이터 거래에 대한 보안은 데이터 거래소, 데이터 상품의 생산과 유통 거래, 데이터 정책 거버넌스, 데이터거래사 등 각각의 측면에서 점검해 보고자 한다.
먼저 데이터 거래가 일어나는 ‘데이터 거래소’는 개방형 플랫폼 구축을 위해 데이터 공급자가 직접 데이터를 판매할 수 있는 상품마켓 기능을 제공하고, 데이터 허브를 만든다. 손쉽게 필요한 상품의 공급자와 수요자를 찾을 수 있어 거래가 빈번히 발생한다. 거래소에서 거래가 발생하면 거래 데이터의 암호화 강화 및 거래 전용선 구축, 적극적인 보안 프로토콜과 보안 침해에 대한 신속하고 투명한 대응이 필요해지고, 정기적인 보안 감사 수행을 통한 신뢰성 확보도 필요하다. 또한 거래소에서 일어나는 보이스피싱과 비대면 금융거래사기를 예방하기 위해 사기정보공유 시스템이 구축될 필요가 있다.
거래소에서 거래되는 데이터 상품은 파일 형태의 DB형과 API 형태로 이뤄져 있는데, API 형태의 상품이 주도하고 있다. 데이터 상품은 API 형태가 주를 이뤄 거래 시 데이터 노출에 대한 보안 문제가 발생한다. 이상금융거래 탐지시스템(Fraud Detection System, FDS)과 AI OCR을 통해 해킹 거래를 사전에 차단하는 것이 필요하다.
데이터 유통 활성화를 위한 마이데이터 서비스에서는 이용자의 범위가 디지털 취약계층까지 확대되고 상세한 제공으로 이용자 맞춤형 자산관리 서비스까지 지원하고 있다. 개인정보 침해 및 보안 위반, 신원 도용, 협박 및 금융사기의 발생 가능성이 있기 때문에 마이데이터 처리에는 GDPR(General Data Protection Regulation, EU 개인정보 보호규정) 및 데이터3법(개인정보 보호법, 정보통신망법, 신용정보법) 준수가 필요하다. 또 장기 미접속자를 보호하고, 이용자의 데이터 삭제 요청권을 보장하기 위해 해당 시스템에서 제3자에게 제공된 자기 정보를 조회·삭제할 수 있게 하는 보호장치도 필요하다. 가명처리 등을 활용해 개인정보 유출 리스크도 최소화해야 한다. 연 1회 보안 취약점 점검 의무화를 하고 보안관제 의무를 통해 리스크를 줄일 수 있다.
데이터 정책 거버넌스 측면으로는 민간 부문에서 사용하는 표준 API 규격을 정의하고 기술 가이드라인 마련, 일관된 보안을 적용해 리스크를 감소할 수 있다. 현재 제정돼 있는 데이터 기본법(데이터 산업진흥 및 이용촉진에 관한 기본법, 법률 제18475호)에 보안 조항을 넣는 것도 좋은 방법이 될 것이다.
과학기술정보통신부는 데이터 기본법 활성화를 위해 2025년까지 총 1,000명의 데이터거래사를 양성한다. 교육을 통해 양성된 데이터거래사의 역할은 크게 데이터 거래에 대한 수요 탐색·발굴, 시장조사·분석, 데이터 가공·분석 등 데이터 처리, 데이터 가치평가 및 품질평가, 데이터 관련 법제도 및 거래 윤리, 데이터 거래에 관한 상담·자문·지도, 중개·알선, 데이터 이전·사업화로 이뤄진다. 데이터거래사는 인공지능(AI)과 디지털트윈, 블록체인 등 신기술 개발의 핵심 자원인 데이터의 생산부터 활용까지 데이터 산업 전반에 걸친 데이터 유통·거래 전문가로서의 역할을 담당하게 된다. 모든 데이터 거래를 실제로 진행하는 것이다.
데이터거래사는 이러한 역할들을 수행해 데이터 공급자와 데이터 수요자 간의 원활한 거래를 지원하고, 데이터 경제의 성장과 혁신을 촉진할 수 있다. 데이터 거래가 중요해지는 만큼 데이터거래사가 핵심적인 역할을 하게 되는 것이지만, 그에 따른 보안 문제도 생각해 보아야 한다.
이용자들은 자신들의 데이터가 어떻게 전달되고 활용되는지 알고 있어야 하기 때문에 데이터거래사는 개인정보를 안전하게 보호해야 하며, 이를 위해 적절한 보안 조치와 기술적·조직적·물리적 보호 수단을 도입해야 한다. 규정 준수 및 보안 관리도 데이터거래사의 역할이다.
데이터거래사는 데이터 사용에 필요한 라이선스와 규정을 준수하고, 거래의 안전성과 보안을 유지하기 위한 적절한 대책을 마련해야 한다. 또한 데이터 거래에는 개인정보보호 및 기업 비밀 유출과 같은 중요한 문제가 포함돼 있기 때문에 이를 위한 보안 관리가 필요하다. 기술적으로 발전을 한다고 해도 사람에 대한 보안은 또 다르다. 사회공학적 공격은 아무리 보안이 완벽하다고 하더라도 막아내기 어렵기 때문에 데이터거래사들의 지속적인 윤리 및 보안 교육이 필요하다. 그리고 ISMS-P와 같은 인증심사자격을 통한 거래사의 능력 향상도 필요하다.
▲강병일 기술사[사진=강병일 기술사]
기술의 발전과 보안은 항상 따라가야 한다. 클라우드와 빅데이터, 블록체인이 발전할 때도 그랬고 AI가 확대되고 있는 현재 시점에서도 데이터 거래가 중요해지는 만큼 마찬가지다. 완전한 보안이라는 것은 없다. 항상 그렇듯이 취약점이 발생한다. 모든 것을 제로에서 검사하는 제로 트러스트 보안을 적용, 지속해서 취약점을 없애려는 노력이 필요하다. 끊임없이 체크하고 보안사항을 점검하며 업데이트를 하는 것이 데이터 거래의 최선의 보안이 될 것이다.
[글_ 강병일 기술사/KB라이프생명]
필자 소개_
-한국정보공학기술사회 블루보드위원회 위원
-금융 보험IT 전문가로 보험사 지급, 인사, VOC 시스템을 맡고 있다. FDS(Fraud Detection System, 이상금융거래탐지시스템), AML(Anti-Money Laundering, 불법자금세탁방지 심사)과 같은 보안 시스템을 적용했다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
