Skip to content Skip to navigation Skip to footer
FAQ
정의
PII의 자격
위협 카테고리
PII 관리 방법
FAQ

개인 식별 정보(PII)의 의미

개인 식별 정보(PII)는 회사 또는 조직이 누군가를 식별하거나, 그들과 연락하거나, 그들을 찾기 위해 사용하는 정보를 말합니다. 이 PII의 의미는 어떤 상황에서도 적용되지만, “PII”라는 용어는 법적 맥락 내에서 종종 사용되며, 특히 정보 보안 우려를 지칭할 때 더욱 그렇습니다.

PII에는 두 가지 기본 유형이 있습니다. 즉, 민감하지 않은 PII와 민감한 PII입니다. 민감하지 않은 PII는 보안 없이 다른 당사자에게 자유롭게 전송할 수 있으며, 개인에게 해를 끼치지 않습니다. 반면, 민감한 PII는 공개될 경우 개인에게 상당한 피해가 발생할 수 있기 때문에 안전한 형태로 전송하고 보관해야 합니다.

PII를 보호하는 것은 모든 사업 관계에서 매우 중요합니다. 특히 그렇게 하지 않으면 신뢰의 남용이 수반될 수 있기 때문입니다. 또한 개인의 정보가 잘못된 당사자와 공유되면 평판, 재무 및 개인 생활에 해를 끼칠 수 있습니다. 또한 PII를 보호하는 방식이 느슨한 조직은 현재 및 잠재적 고객의 신뢰를 빠르게 잃을 수 있으며, 이는 고객의 수익에 상당한 영향을 미칠 수 있습니다.

개인정보 보호정책/개인정보 보호법의 PII

많은 국가와 지역에서 시민의 개인 정보를 보호하기 위한 조치가 마련되어 있습니다. “개인 정보”의 명칭은 영역마다 약간 다르지만, 많은 기본 원칙은 동일합니다.

미국

NIST(National Institute of Standards and Technology)에 따르면 개인 식별 정보에는 사람의 이름, 물리적 데이터 및 설명과 같은 생체 정보, 사회 보장 번호(SSN)가 포함됩니다. 이 모두는 개인의 신원을 추적하는 데 사용할 수 있습니다.

호주

호주의 개인 정보는 1988년 개인정보 보호법에 따라 정의됩니다. 주관적 의견을 포함하여 그 사람이 누구인지 분명할 때 그 사람에 대한 정보를 말합니다. 누가 언급되고 있는지 '명확하지' 않은 경우에도 신원을 합리적으로 확인할 수 있는 경우 분류가 적용됩니다.

유럽연합

유럽연합(EU)에 속한 국가의 개인 정보는 신체적, 정신적, 생리적, 경제적, 문화적 또는 사회적 식별 요소를 포함하여 개인을 식별하는 정보로 정의됩니다. 개인 정보에는 주 정부 기관에서 발급하든 개인 기관에서 발급하든 관계없이 ID 번호도 포함됩니다.

뉴질랜드

뉴질랜드의 개인 정보에는 살아 있고 식별 가능한 사람과 관련된 모든 정보가 포함됩니다. 여기에는 연락처 정보, 이름, 재무 상황 및 구매 이력이 포함됩니다.

캐나다

캐나다의 개인 정보 보호 및 전자 문서법(PIPEDA)은 개인 데이터 자체 또는 다른 데이터와 함께 온라인에서 개인 정보를 포함하여 개인을 식별할 수 있는 모든 것을 포함하도록 규정합니다.

PII의 자격은 무엇입니까?

PII에 해당하는 것은 여러 가지가 있으며, NIST에 따르면 개인의

  1. 성명
  2. 집 주소
  3. 얼굴
  4. ID 번호
  5. 이메일
  6. 차량 플레이트 또는 등록 번호
  7. 여권 번호
  8. 지문
  9. 필기
  10. 운전면허증
  11. 신용카드 번호
  12. 생년월일
  13. 디지털 ID
  14. 출생지
  15. 전화번호
  16. 유전자 정보
  17. 화면 이름
  18. 로그인 정보

PII 규정 준수

PII 규정 준수를 유지하는 방법을 설명하는 여러 법률이 있습니다. 일부 국가에서는 관련 산업이나 개인의 유형에 따라 개인 정보 보호가 다르기 때문에 두 개 이상이 있습니다.

일반 데이터 보호 규정(GDPR)

일반 데이터 보호 규정(GDPR)은 EU에 의해 제정되었으며 EU 및 유럽경제지역(EEA) 내에서 개인정보 보호 정책 및 데이터 보호를 촉진하는 것을 목표로 합니다. 또한 이 규정은 EEA와 EU의 경계를 벗어나 PII를 전송하는 것을 다룹니다. 

GDPR은 EU 내에서 데이터의 사이버 보안 및 법적 패브릭을 규제하는 동시에 데이터를 소유한 개인을 존중하는 것을 목표로 데이터 침해와 같은 많은 잠재적 문제에 중점을 둡니다. 따라서 PII 요건을 준수하지 않는 사람에게 부과되는 벌금은 엄격합니다. 최고 2,000만 유로 또는 기업 글로벌 매출의 4%까지 올릴 수 있습니다. 그 중 높은 금액입니다.

GLBA

Gramm-Leach-Bliley Act(GLBA)는 '금융 현대화법'으로도 알려져 있습니다. 금융 기관이 고객의 개인 정보를 공유하거나 보호하는 방식을 규제하도록 설계되었습니다. GLBA를 충족하기 위한 PII 규정 준수는 금융 기관이 민감한 데이터를 사용하는 방법에 대해 고객 및 고객과 소통하는 것을 수반하는 경향이 있습니다. 또한 금융 기관은 고객에게 데이터 공유를 거부할 권리가 있음을 알리도록 지시합니다. 

GLBA는 금융 기관의 각 직원에게 규정을 준수하기 위한 지식과 도구를 갖추도록 의무화합니다. 또한 민감한 데이터에 액세스할 수 있는 사람은 금융 기관의 시스템 내에서 추적됩니다.

PCI DSS

결제 카드 산업 데이터 보안 표준(PCI DSS)은 신용카드 정보를 취급하는 조직에 필요한 정보 보안 정책을 관리하고 식별합니다. 때때로 “PCI”라고도 하며, 신용카드 데이터를 사용하는 기업이 특정 수준의 사이버 보안 유지할 수 있도록 합니다. 

여기에는 방화벽, 바이러스 백신 소프트웨어, 데이터 암호화 서비스, 신용카드 데이터에 대한 제한된 액세스, 로깅, 취약성 스캔, 정기 업데이트와 같은 정보 보안 정책이 포함될 수 있습니다.

HIPAA

HIPAA는 건강보험의 양도성과 책임에 관한 법률을 의미하며, 환자의 민감한 데이터를 보호하도록 설계되었습니다. HIPAA의 맥락에서 사용되는 PII 정의는 보호 대상 건강 정보(PHI)입니다. 여기에는 환자가 누구인지 뿐만 아니라 환자가 받는 치료의 종류와 건강 상태에 대한 PII 정보가 포함됩니다.

환자의 개인 데이터를 보호하기 위해 HIPAA는 개인 정보에 대한 물리적 액세스를 제한하고, 전송 방법을 제어하며, 개인 데이터에 액세스할 수 있는 워크스테이션을 사용하는 방법을 규정합니다. 또한 HIPAA는 데이터 암호화와 같은 데이터 보호 절차에 대한 정기적인 감사를 요구합니다.

호주 NDB

NDB는 호주 정보 위원회 사무국이 도입한 법률인 호주의 인증 데이터 침해 수법을 말합니다. 이 법률은 데이터 침해가 발견된 후 특정 기간 내에 데이터 침해의 영향을 받는 개인에게 통지해야 합니다. 또한 개인과 회사는 정부 관리에게 알려야 합니다.

PII 위협 카테고리

조직에서 자신이 담당하는 PII의 종류를 파악한 후에는 다양한 유형의 데이터도 분류해야 합니다. 이렇게 하면 각 유형의 데이터를 잘못 처리하여 발생하는 위협을 쉽게 평가할 수 있습니다. 범주에는 다음이 포함될 수 있습니다.

  1. 식별: 여기에는 개인을 식별하는 데 사용할 수 있는 데이터가 포함됩니다.
  2. 데이터 조합: 어떤 경우에는 여러 유형의 데이터를 조합하여 누군가를 식별하는 데 사용됩니다.
  3. 액세스 가능한 데이터: 데이터에 액세스하는 시기와 빈도, 액세스 권한이 있는 사람은 이를 가장 잘 관리하는 방법을 명확히 하는 데 도움이 될 수 있습니다.
  4. PII 데이터 규정 준수: PCI DSS, HIPAA 또는 EU GDPR과 같은 현지 규정 준수 요구 사항이 개인 데이터 관리 방법을 안내하는 경우가 많습니다.

 

개인 식별 정보 위협 범주
데모 구성안 보기

해커는 PII로 무엇을 합니까?

해커가 신용카드 정보를 훔칠 때 카드 소유자인 것처럼 가장하면서 이를 사용하여 구매할 수 있습니다. 그러나 해커가 개인 데이터의 조합을 결합하면 더 큰 위험이 발생합니다. 많은 기관에서 누군가의 신원을 확인하기 위해 여러 개의 데이터 포인트를 요구합니다. 어떤 경우에는 해커가 이메일 주소와 같은 일부 데이터를 가져온 다음 이를 사용하여 더 많은 PII를 얻고, 결국 개인의 은행과 같은 더 안전한 계정에 액세스하기에는 충분합니다.

해커는 이메일 피싱을 사용하여 누군가의 암호 또는 SSN을 얻을 수 있습니다. 이런 이유로 노동부(DOL)와 같은 조직은 이메일 요청을 통해 데이터를 수집할 수 있지만 항상 데이터가 어떻게 사용되는지 간략히 설명합니다. 피싱 사기꾼은 합법적인 서비스 제공업체의 모습과 느낌을 모방하여 표적을 잘못된 보안 감각으로 위장하려고 할 수 있습니다.

위협 행위자가 필요한 정보를 가지고 있을 때 개인으로 가장한 다음 자신의 이름으로 사이버 범죄를 저지르거나 다크 웹을 통해 정보를 판매할 수 있습니다. 사이버 범죄자들은 개인으로 가장한 다음 소셜 미디어에서 친구 원을 침투하여 표적을 가장하는 데 더 많은 정보를 수집하는 것으로도 알려져 있습니다.

PII를 보호할 책임은 누구에게 있습니까?

PII에 대한 책임은 정보와 관할권에 따라 다릅니다. 때로는 이를 받는 것이 조직의 책임이며, 어떤 경우에는 개인과 데이터를 받는 회사 간에 책임을 공유합니다.

PII 관리의 과제

PII를 적절히 취급하는 것은 법적 규정 준수와 법률 위반의 차이를 의미할 수 있습니다. 그러나 PII 관리에는 몇 가지 중요한 장애물이 있습니다.

너무 많은 정보

종종 회사에 PII 데이터가 너무 많기 때문에 모든 데이터를 추적하기가 어렵습니다. 따라서 원활한 작동에 필요한 최소한의 정보만 수집하는 것이 좋습니다.

전체 위협 환경 커버

PII는 디지털 및 물리적으로 액세스할 수 있습니다. 그 결과 다양하고 끊임없이 변화하며 확장되는 공격 면이 탄생합니다.

보안되지 않은 사물 인터넷(IoT) 장치

점점 더 많은 기업이 BYOD(Bring-Your-Own-Device) 정책을 구현함에 따라 모든 디바이스의 보안을 유지하기가 점점 더 어려워지고 있습니다. 

인적 오류

가장 좋은 의도를 가진 직원들조차 실수를 하는 경우가 많습니다. 데이터를 잘못 삭제하여 해커에게 노출하거나 피싱 사기를 당할 수 있습니다. 또한 직원들이 약한 암호를 사용하여 로그인 정보를 쉽게 기억할 수 있도록 하는 것이 일반적입니다. 핵심은 PII와 동료 직원 및 고객의 PII를 보호하기 위해 취해야 할 조치에 대해 교육하는 것입니다.

PII 관리 방법

PII를 관리하기 위해 여러분과 조직의 구성원이 할 수 있는 몇 가지 일이 있습니다. 가장 유용한 단계는 다음과 같습니다. 몇 가지만 고려하는 것이 아니라 이러한 모든 조치를 고려하는 것이 중요합니다. 

일부 기업은 이중 옵트인을 사용하므로 사용자가 이메일을 통해 구독을 확인하여 민감한 데이터의 노출을 제한해야 합니다. 어떤 방법을 선택하든 인프라 강화와 정책 및 관행 조정을 위한 시간과 에너지에  대한 약간의 선행 투자는 그만한 가치가 있습니다. 여러분의 노력은 여러분과 여러분의 조직이 잠재적으로 파괴적인 해킹을 당하지 못하게 할 수 있습니다.

필요한 것만 수집/저장

가장 안전한 방법은 PII를 필요한 만큼만 저장하는 것입니다. 저장할 항목을 선택한 후 법적 의무를 확인하십시오. 그런 다음 단기 또는 장기적으로 유지해야 할 항목을 선택합니다. 데이터를 단기적으로 삭제할 수 있는 경우, 이를 위한 절차를 설정합니다.

직원 모니터링 및 교육

PII 데이터 및 관련 책임에 대해 직원에게 적절한 교육을 제공합니다. 또한 누가 언제 개인 데이터에 액세스하는지 추적하십시오.

BYOD 보안 정책 생성

직원이 자신의 기기를 가지고 오도록 허용되면 네트워크에 액세스하기 전에 보안 요구 사항을 충족하는지 확인하십시오. 각 직원에게 조치에 대해 교육하고 규정을 준수하는지 확인합니다.

모니터링 시스템 사용

PII에 대한 액세스 권한이 있는 사람과 시기를 모니터링해야 합니다. 특히, 일부 관할권에서는 PII가 침해되었을 때 경고해야 하기 때문입니다. 이는 누군가 PII에 액세스할 때마다 시스템에 의해 자동으로 기록되는 알림 등 여러 가지 방법으로 수행할 수 있습니다.

데이터 보안 극대화

전송되는 데이터의 양을 제한하여 해커가 데이터를 훔칠 가능성을 줄입니다. 방화벽을 사용하여 네트워크를 보호합니다. 시의 적절한 보안 업데이트를 지속적으로 수행하고 취약성이 발견되는 즉시 이를 해결합니다.

데이터 마스킹

데이터 마스킹은 노출된 최소한의 데이터만으로 데이터를 전송하거나 저장하는 것을 포함합니다. 일반적인 예는 온라인 구매 시 신용카드의 마지막 4자리 숫자만 표시되는 경우입니다.

윤리적 벽

윤리적 장벽을 구현하려면 민감한 데이터에 “알아야 할 필요”가 있는 사람만 액세스해야 합니다. 또한 조직의 각 구성원이 이해 상충이 없는 데이터만 볼 수 있도록 할 수 있습니다.

권한 있는 사용자 모니터링

권한 있는 사용자 모니터링은 데이터베이스 및 파일에 대한 모든 권한 있는 액세스를 모니터링하는 것입니다. 의심스러운 일이 발생하면 활동이 차단되고 알림이 생성됩니다.

민감한 데이터 액세스 감사

조직은 민감한 데이터 액세스 감사에 참여할 때 사람들이 민감한 정보에 액세스할 때마다 이를 추적합니다. 평소와 다른 상황이 발생하면 액세스를 차단하고 알림을 시작할 수 있습니다.

1. 보안 감사 추적 아카이빙

보안 감사 추적 아카이브는 PII와 관련하여 수행되는 활동이 모두 감사되고 1~7년 동안 보존되도록 합니다. 이를 통해 기업은 법적 규정과 정책을 준수하고 조사를 지원할 수 있는 포렌식 추적을 생성할 수 있습니다.

2. 사용자 권한 관리

사용자 권한 관리에는 비정상적이거나 부적절한 사용자 행동을 식별한 다음 그에 따라 액세스를 제한하는 것이 포함됩니다. 여기에는 정해진 기간 동안 휴면 상태였던 사용자 계정을 제거하는 것이 포함될 수 있습니다.

3. 사용자 추적

사용자 추적은 사용자 활동을 추적하여 사용자가 실수로 또는 악의적인 의도로 민감한 데이터를 노출할 수 있는 시점을 탐지합니다. 활동은 조직의 네트워크를 사용하거나 회사를 대신하여 작업할 때마다 추적됩니다.

개인 식별 정보 FAQ

PII 보호가 중요한 이유는 무엇입니까?

PII를 보호하는 것은 모든 비즈니스 관계에서 매우 중요합니다. 특히 그렇게 하지 않으면 신뢰 남용이 발생할 수 있기 때문입니다. 또한 개인의 정보가 잘못된 당사자와 공유되면 평판, 재무 및 개인 생활에 해를 끼칠 수 있습니다.

PII의 네 가지 범주는 무엇입니까?

  1. 식별: 여기에는 개인을 식별하는 데 사용할 수 있는 데이터가 포함됩니다.
  2. 데이터 통합: 경우에 따라 여러 유형의 데이터를 조합하여 누군가를 식별하는 데 사용됩니다.
  3. 액세스 가능한 데이터: 데이터에 액세스하는 시기와 빈도, 액세스 권한이 있는 사람은 이를 가장 잘 관리하는 방법을 명확히 하는 데 도움이 될 수 있습니다.
  4. PII 데이터 규정 준수: PCI DSS, HIPAA 또는 EU GDPR과 같은 현지 규정 준수 요구 사항은 개인 데이터 관리 방법을 안내해야 합니다.

PII의 두 가지 유형은 무엇입니까?

PII에는 두 가지 기본 유형이 있습니다. 즉, 민감하지 않은 PII와 민감한 PII입니다. 민감하지 않은 PII는 보안 없이 다른 당사자에게 자유롭게 전송할 수 있습니다. 반면 민감한 PII는 안전한 형식으로 전송하고 보관해야 합니다.

사이버 보안 리소스

참고자료

전문가와 상담하기

양식을 작성해주시면 전문 담당자가 연락을 드릴 것입니다.