Life Style/IT
금융을 위한 IT 업무 기본 2_2 금융 정보보호
앤 썸
2025. 7. 27. 15:49
2장 금융 정보보호
제1절 정보보호의 정의 및 개념
- 정보보호의 정의 및 개념
- 정보보호의 필요성
- 정보보호의 정의 및 주요 속성
- 기밀성
- 무결성
- 가용성
- 정보보호의 영역
- 관리적
- 물리적
- 기술적
- 비즈니스 환경 변화와 정보보호
- 디지털 트랜스포메이션과 정보보호
- 인공지능을 악용한 사이버 공격
- 제로데이 (취약점 패치 전, 취약점 공격)
- 연쇄적인 공급망 공격
- 다양한 형태의 자격 증명 탈취 위험
- 클라우드 자원 타겟팅
- 4차 산업혁명과 보안위협
- ESG와 금융보안
제2절 정보보호 위협의 이해
- 악성 이메일의 위협 및 대응방안
- 악성 이메일의 정의 및 동작방식
- 악성 이메일의 유형
- 악성 이메일 피해 사례
- 악성 이메일 대처방법
- 악성 이메일 구분 방법
- 랜섬웨어의 위협 및 대응방안
- 랜섬웨어의 정의 및 동작방식
- 랜섬웨어의 유형 구분
- 락커
- 암호화
- 피해
- 감염 경로
- 대처방법
제3절 전자금융감독규정 주요내용
- 정보기술부문 보호대책
- 정보기술부문 보호대책 미흡 사례
- 정보처리시스템 계정 관리 미흡 사례
- 모바일 앱 정보보호대책 수립 미흡 사례
- 외주업체에 대한 내부통제 미흡 사례
- 정보기술부문 내부통제
- 정보기술부문 내부통제 미흡 사례
- 단말기 보호대책
- 전산자료 보호대책
- 정보보호시스템 보호대책
- 클라우드컴퓨팅서비스 이용 절차
- 해킹 등 방지대책
- 악성코드 감염 방지 대책
- 홈페이지 등 공개용 웹서버 관리대책
- IP주소 관리 대책
- 정보기술부문 내부통제 방안
- 정보기술부문 계획서
- 정보보호 교육
- 정보처리시스템 구축 및 전자금융거래 관련 사업 추진
- 정보처리시스템 구축 및 전자금융거래 관련 계약
- 정보처리시스템 감리
- 비상대책
- 비상대응훈련
- 정보처리시스템의 성능관리
- 직무분리
- 전산원장 통제
- 프로그램 통제
- 일괄작업에 대한 통제
- 암호프로그램 및 키 관리 통제
- 내부사용자 비밀번호 관리
- 이용자 비밀번호 관리
제4절 개인(신용)정보의 처리
- 개인정보의 개념
- 개인정보
- 살아 있는 개인에 관한 정보
- 특정 개인과의 관련성 있는 정보
- 정보의 임의성
- 식별 가능성
- 가명정보
- 익명정보
- 개인정보 보호의 일반 원칙
- 수집 제한의 원칙
- 정보내용 정확성의 원칙
- 목적 명확화의 원칙
- 이용제한의 원칙
- 안정성 확보의 원칙
- 공개의 원칙
- 개인 참가의 원칙
- 책임의 원칙
- 개인정보 보호법의 이해
- 적용대상
- 보호범위
- 수집 이용 제공 기준
- 처리 제한
- 영상정보 처리기기 규제
- 유출 통지 및 신고
- 정보 주체 권리 보장
- 안전조치 의무
- 가명정보 처리
- 개인정보 처리 시 유의 사항
- 수집
- 정보주체의 동의
- 동의 획득 시, 안내사항
- 수집 항목과 개인정보처리여부
- 수집 출처 고지
- 민감 및 고유식별정보 처리 검토
- 처리
- 목적 중심적이 아닌 목적 합치적 해석
- 정보주체의 이익 우선
- 원칙적 제3자 제공 금지
- 불필요시 지체 없이 5일 내 폐기
- 개인정보의 안전성 확보조치
- 개인정보 처리자에게 적용되는 기술적 관리적 물리적 최소 기준 : 개인정보보호법, 개인정보보호법 시행령 참조
- 신용정보의 처리단계별 안전조치
- 적용법률
- 개인신용정보 우선 적용 법률
- 신용정보법
- 개인정보보호법
- 전자금융거래법
- 금융실명법
- 개인신용정보 제외한 개인정보
- 개인정보보호법
- 가명처리한 신용 정보
- 신용정보법
- 익명정보
- 개인정보 보호법과 신용정보법 적용되지 않음
- 개인신용정보 개념
- 특정 주체 식별 정보
- 거래내용 판단 정보
- 신용도 판단 정보
- 신용거래 능력 판단 정보
- 관리 방안 (신용정보법, 개인정보보호법)
- 수집 단계
- 상거래계약에 필요한 경우에 동의 없이 최소한 범위 수집 가능
- 정보 주체에게 목적, 항목, 기간, 거부권 통지
- 이용 단계
- 개인신용정보 제공받을 경우
- 제공자, 제공받는자의 목적, 항목, 효력 기간, 동의여부
- 제공 단계
- 파기 단계
- 3개월 이내에 관리
- 필수적 개인정보
- 3년 보관
- 필수적이지 않은 개인정보
- 상거래 종료 시, 즉시 삭제
- 5년 안에 삭제
- 데이터3법 개정(개인정보 보호법, 정보통신망법, 신용정보법)
- 개인정보보호법 개정 주요 내용
- 개념 명확화
- 가명정보
- 수집 이용 제공 근거
- 정보통신망법 개정 주요 내용
- 개인정보보호법으로 편입
- 신용정보법 개정 주요 내용
- 일반 상거래 기업도 적용
- 가명 처리 신용정보 사용 가능
- 신용정보 주체의 권리
- 신용조회업의 구분및 진입규제 요건 완화
- 마이데이터 도입
- 개인정보 보호법 2차 개정 (11년 제정,20년 개정)
- 수집 이용 법적 근거 완화
- 정보주체의 통제권 강화
- 전송요구권
- 거부권
- 설명요구권
- 정보통신서비스 제공자 오프라인 개인정보처리자 규제 일원화
- 정보통신망법과 개인정보보호법에 분리되어있던 법률 개인정보보호법으로
- 형사적 제재에서 행정적 제재로 전환
- 개인정보 국외 이전 요건 다양화 및 구외 이전 중지 명령
- 이동형 영상처리기기 운영 기준 마련
- 개인정보 분쟁조정 제도 강화
제5절 최신 금융 보안 트렌드
- 자율 보안 체계 전환
- 금융 외주 인력에 대한 보안 관리
- 인적 보안 관리
- 관리적 보안 정책
- 외부자 현황 관리
- 작업내역 관리
- 시스템 접근 권한 관리
- 정보시스템 관리
- 보안관리 계획 검증
- 금융 외주 보안을 위한 기술적 대응 방안
- 접근 통제
- 출력물 통제
- 네트워크 통제
- 매체 통제
제6절 신기술과 보안
- 생체인증과 보안
- 생체인증의 개념 및 종류
- 신체적 특성
- 행동적 특성
- 멀티 팩터 인증
- 지식 기반 인증
- 소유 기반 인증
- 생체 기반 인증
- 생체인증 시스템 보안 위협
- 생체정보의 위조 및 유출 위협
- 생체인증의 보안 대응방안
- FIDO 인증
- 위조 판별 기술
- 다중 생체인증 기술
- 재발급 가능한 템플릿 기술
- 클라우드와 보안
- 클라우드의 정의와 보안
- 하이브리드 멀티 클라우드 환경
- 하이브리드 클라우드
- 프라이빗 + 퍼블릭
- 멀티 클라우드
- 여러 퍼블릿 클라우드 동시 사용
- 클라우드 컴퓨팅 관리적 보안 위협
- 클라우드 컴퓨팅 남용
- 악의적인 내부자들
- 공개되지 않은 위협
- 클라우드 서비스의 이해 부족
- 불충분한 식별자와 권한 및 접근관리
- APT 공격(발전된 영속적 공격)
- 클라우드 컴퓨팅의 기술적 보안 위협
- 안전하지 않은 API
- 가상화 취약점
- 계정, 서비스, 트래픽 탈취
- 데이터 유출
- 데이터 손실
- 서비스 거부 공격
- 시스템 취약점
- 금융권 클라우드 기술 보안 대응
- 계정관리 (IAM)
- 권한 관리
- 인공지능과 보안
- 특징
- 자동화
- 지능화
- 알고리즘 개선 (역전파)
- 신경망 활용
- 딥러닝
- 데이터 활용
- 보안 고려 사항
- 학습 데이터 수집
- 전처리
- 설계 학습
- 검증 테스트
-
'Life Style/IT' Related Articles
