2017년 호주 개인정보 보호 개정법(신고해야 하는 데이터 유출 사고) 준수

Thales eSecurity와 함께 하는 기업은 2017년 호주 개인정보 보호 개정법(신고해야 하는 데이터 유출 사고)을 한결 수월하게 준수할 수 있습니다.

APAC Map

규제

2018년 2월

호주 개인정보 보호 개정법

호주의 개인정보 보호법은 데이터 유출 사고가 발생한 경우 그 영향을 받은 개인과 개인정보 보호 위원회에 의무적으로 고지해야 한다고 규정하고 있습니다. 이 법안은 2018년 2월 22일에 발효되었습니다.

Thales eSecurity의 Vormetric Data Security Platform은 다음과 같은 보호 기능을 갖춘 솔루션을 제공합니다.

  • 저장 데이터 암호화
  • 암호화 키 관리
  • 세분화된 액세스 권한 설정
규정 요약

호주 상원은 2017년 2월 13일에 "요건에 해당되는" 데이터 유출 사고가 발생한 경우 그 영향을 받은 개인과 개인정보 보호 위원회에 의무적으로 고지해야 한다는 법안을 가결했습니다. 2017년 호주 개인정보 보호 개정법(신고해야 하는 데이터 유출 사고)은1988년의 개인정보보호법이 개정된 것으로 2018년 2월 22일에 발효되었습니다.

벌금

호주 의회 법률 도서관의 전자 간행물(Global Legal Monitor) 발췌 내용:

1988년 개인정보 보호법에 의거하여 프라이버시를 심각하게 침해한 것으로 판명된 보안 사고를 고지하지 않은 경우, 최대 180만 호주 달러(미화 약 137만 달러)의 벌금을 부과할 수 있다.

규정 요약

2017년 호주 개인정보 보호 개정법 26WG항에 따르면 "정보 접근 또는 유출이 심각한 피해로 이어질 가능성이 적은 경우" 보안 사고를 고지하지 않아도 무방합니다. 동 조항의 추가적인 내용은 아래와 같습니다.

하기의 조건에 부합하는 경우 정보 접근 또는 유출이 심각한 피해로 이어질 가능성이 적은 것으로 간주한다.

...

(i) 유출 정보에 대해 보안 기술을 적용한 경우

(ii) 정보를 입수할 권한을 갖지 않은 사람이 정보의 의미를 이해하지 못하게 만들도록 고안된 보안 기술을 적용한 경우

Thales eSecurity의 Vormetric Transparent Encryption은 데이터를 도난 당하더라도 절도 행위자가 의미를 알 수 없어 쓸모 없게 만드는 데이터 중심 보호 기능을 지원합니다.

Thales eSecurity는 기업이 다음과 같은 수단을 통해 데이터 유출 사고를 방지할 수 있도록 지원합니다.

  • 인증 받은 사용자에게만 데이터 검색을 허용하는 액세스 제어
  • 비정상적 액세스 패턴과 진행 중인 보안 침입을 인지하는 데 유용한 보안 인텔리전스 로그
  • 암호화 키 처리, 키 생성 및 보호, 암호화 등에 부합하는 견고한 변조 방지 환경을 지원하는 하드웨어 보안 모듈
데이터 중심 보호

Thales eSecurity는 저장 데이터용 Key Management, Application Encryption, Tokenization with Dynamic Masking 및 기타 솔류션과 함께 Vormetric Transparent Encryption을 통해 데이터를 보호합니다. 이런 기술은 데이터를 암호화하므로 데이터를 탈취 하더라도 복호화 도구 없이는 사용할 수 없습니다.

엑세스 제어

Thales eSecurity의 Vormetric Data Security Platform은 다음과 같은 최첨단 사용자 액세스 제어 기능을 갖추고 있습니다.

  • 시스템 관리자와 민감 정보 소유자의 역할 구분: Vormetric Data Security Platform을 사용하면 시스템 관리자와 데이터 소유자 간의 역할을 철저히 구분할 수 있습니다. Vormetric Transparent Encryption은 메타 데이터를 그대로 둔 채 파일만 암호화합니다. 이런 방식 덕분에 하이퍼바이저, 클라우드, 스토리지 및 서버 관리자를 비롯한 IT 관리자는 시스템에 저장된 민감한 데이터의 내용을 볼 수 있는 권한을 할당 받지 않고서도 시스템 관리 작업을 수행할 수 있습니다.
  • 관리자 역할 구분: 관리자 한 명이 데이터 보안 활동, 암호화 키 또는 관리에 대한 전권을 쥐지 못하도록 강력한 임무 분할 정책을 시행할 수 있습니다. 또한 Vormetric Data Security Manager는 관리자 액세스를 위해 2팩터 인증 방식을 적용할 수 있습니다.
  • 세분화된 액세스 권한 설정: Vormetric 솔루션은 대단히 세분화되고 최소한의 권한만 부여하는 사용자 액세스 관리 정책을 시행함으로써 액세스 권한이 있는 사용자의 오용과 APT 공격에 의한 데이터 유출을 방지합니다. 세분화된 사용자 액세스 권한 관리 정책은 사용자, 프로세스, 파일 유형, 시간 및 기타 파라미터를 기준으로 적용할 수 있습니다.  적용 옵션으로 일반 텍스트 데이터에 대한 액세스 권한뿐만 아니라 사용자가 사용할 수 있는 파일 시스템 명령어도 제한할 수 있습니다.
보안 인텔리전스

Thales eSecurity는 비정상적인 데이터 액세스를 모니터링하고 감지하는 데 유용합니다. Vormetric 보안 인텔리전스 로그는 어떤 프로세스와 사용자가 보호받는 데이터에 액세스했는지를 기록한 상세 관리 로그입니다. 이 로그에는 사용자와 프로세스가 데이터에 액세스한 시기, 이 때 적용된 정책, 그리고 액세스 요청의 승인 또는 거부에 관한 기록이 명시되어 있습니다.  심지어 이 로그에는 액세스 권한을 지닌 사용자가 다른 사용자의 자격 증명을 도용하고 (가능한 경우) 악용할 의도로 '사용자 전환' 같은 명령을 실행했는지 여부도 기록됩니다. 이 로그를 보안 정보 및 이벤트 관리(SIEM) 플랫폼과 공유하면 비정상적인 프로세스 및 사용자 액세스 패턴을 발견하여 순조롭게 추가 조사를 실시할 수 있습니다. 예를 들어, 관리자나 프로세스가 갑자기 평소보다 훨씬 더 많은 양의 데이터에 액세스하거나 무단으로 파일을 다운로드 하려고 시도한 경우가 있을 수 있습니다. 이러한 이벤트는 APT 공격이나 내부자의 악의적 활동으로 의심하기에 충분합니다.

하드웨어 보안 모듈(HSM)

Thales eSecurity의 nShield HSM은 암호키 처리, 키 생성 및 보호, 암호화 등에 부합하는 견고한 변조 방지 환경을 지원합니다. FIPS 140-2 레벨 2 및 레벨 3인증을 받은 nShield HSM은 다양한 구현 환경을 지원합니다. 또한 nShield Connect 및 Solo HSM은 중요한 애플리케이션을 실행하기 적합한 보안 환경을 갖추고 있습니다. CodeSafe 옵션을 사용하면 nShield 영역 내에서 코드를 실행하여 애플리케이션 자체와 애플리케이션이 처리하는 데이터를 보호할 수 있습니다.

그 밖에도 nShield HSM는 다음과 같은 장점이 있습니다.

  • 다양한 사용 조건에서 PKI를 지원하면서 루트 및 CA(Certificate Authority) 키를 생성하고 보호합니다.
  • 소프트웨어의 보안, 무단 변조 방지 상태, 진위성이 유지되고 있음을 보장하는 서명을 애플리케이션 코드에 추가합니다.
  • IoT 애플리케이션 및 기타 네트워크 환경 전용 전자 기기를 인증하고 진위성을 판별하는 데 필요한 디지털 인증서를 생성합니다.

규제 준수 브리프: Thales eSecurity와 함께 하는 기업은 2017년 호주 개인정보 보호 개정법(신고해야 하는 데이터 유출 사고)에 한결 수월하게 대비할 수 있습니다.

Thales eSecurity의 Vormetric Data Security Platform 및 nShield 하드웨어 보안 모듈은 데이터 유출 사고를 방지하는 데 필요한 도구를 제공합니다. Thales eSecurity의 솔루션이 중요한 데이터를 암호화하므로 유출 사고가 발생하더라도 대중에게 사고 사실을 공개하지 않아도 됩니다.

다운로드(영문)

블로그: 호주 개인정보 보호 개정법을 준수함에 있어 암호화의 중요성

2017년 11월에 호주 역사상 최대의 데이터 유출 사고가 발생했습니다. 이 사고로 거의 5만 명의 소비자와 5천 명의 공무원의 민감한 개인정보가 온라인에 노출되었습니다.

자세한 내용 읽기

다른 주요 데이터 보호 및 규제

필리핀 개인정보보호법

GDPR Thumbnail

규제

발효중

필리핀 개인정보 보호법은 개인정보보호를 위한 국제 원칙 및 표준을 채택하고 정부 및 민간부분의 개인정보 처리에 적용되는 법률입니다.

더 알아보기

대한민국 PIPA

GDPR Thumbnail

규제

발효중

전세계에서 가장 엄격한 데이터보호 체제중 하나로, IT 및 통신네트워크 두 부문의 법률과 신용정보 사용법에 의해 지원됩니다.

더 알아보기

호주 개인정보보호법

eIDAS

규제

발효중

호주개인정보 보호법은 개인정보 감독관 및 영향을 받은 개인에게 데이터 유출사실을 통보하기 위한 필수 요건을 제시하고 있습니다. 2018년 2월 22일에 발표되었습니다.

더 알아보기
규정준수 전문가와 연락하기 연락하기
GDPR을 준수하고 계십니까? 테스트해보기
규정 및 규제준수 핸드북 읽기 eBOOK 읽기
인터액티브 동영상 시청하기(영문) 알아보기
라이브 데모 요청하기 요청하기
전문가와 상담하기 연락하기