Eunkwang Shin

공개된 개인정보 처리 개념​

• AI 이해관계자가 개인정보 보호법상 공개된 개인정보를 수집·이용할 수 있는 법 해석 기준을 이행하기 위한 가이드라인
• AI 개발을 위해 웹 공개 데이터 활용 필요로, 공개된 개인정보로 인해 개인 주소, 이름 등 개인정보 유출, 노출 사고 발생

AI 개발 단계별 주요 프라이버시 이슈​

구분	내용	비고
데이터 수집 단계	개인정보 보호 원칙과의 충돌 가능성, 저장된 개인정보의 유·노출, 불완전한 가명·익명처리에 따른 개인정보 재식별 위험	개인정보 보호 원칙과의 긴장 관계
AI 학습 단계	AI 학습과정에서 민감한 정보의 추론 가능성, 개인정보 재식별 또는 유출	학습 과정에서의 개인정보 보호 필요
AI 서비스 단계	암기된 개인정보의 노출·출력, 사생활 침해 우려가 높은 프로파일링, 열람·삭제·처리정지권 등 정보주체 권리보장 미흡	서비스 단계에서의 개인정보 보호 필요

공개된 개인정보 처리 적용대상​

구분	내용	비고
범위	누구나 합법적으로 접근 가능한 개인정보로서, 주로 웹 스크래핑 등을 통해 수집된 데이터 포함	공개된 개인정보
종류	정보주체가 스스로 공개한 개인정보뿐만 아니라 법령에 의해 공개된 개인정보, 출판물, 방송매체 등에 포함된 개인정보 포함	법적 고려사항
예외	정당한 접근 권한 없이 수집된 정보나 유명인의 성명·초상권 침해 등은 적용 대상에서 제외	법적 제한사항

공개된 개인정보 처리 안정성확보조치방안​

구분	내용	비고
기술적	공개 데이터 출처 검증, 개인정보 보호 기술 적용 (예: 차분 프라이버시)	AI 모델 성능과 조화 필요
관리적	학습데이터 수집·이용 기준 정립, 개인정보 영향평가 실시	개인정보 처리방침에 명확히 공개
제도적	개인정보 보호법 제3조, 제29조에 따른 안전성 확보 조치	법적 기준 준수

AI 개발시 공개된 개인정보 처리 고려사항​

• AI 제공자, AI 생산자는 공개된 개인정보의 수집·이용 시 개인정보 보호법상의 안전성, 투명성, 신뢰성 원칙 준수 필요

참조​

• 개인정보보호위원회: 인공지능(AI) 개발·서비스에 이용되는 '공개 데이터' 처리 기준 제시

사이버 킬체인 개념​

• 사이버 공격의 단계별 절차를 체계적으로 분석하여 방어할 수 있도록 하는 모델
• 사이버 공격 단계별 대응 방안 수립 가능, 사전 위협 탐지, 차단, 침해 대응

사이버 킬체인 절차도, 세부절차, 대응방안​

사이버 킬체인 절차도​

정무전 익설 씨행

사이버 킬체인 세부절차​

구분	내용	비고
정찰	목표 시스템 및 네트워크 정보 수집 (예: IP 주소, 도메인, 취약점 등)	Passive, Active 정찰
무기화	악성코드 제작 및 공격 도구 개발	악성 문서, 익스플로잇 키트 등
전달	악성코드 전송 (예: 이메일 피싱, 웹사이트 악성 링크 등)	사회공학 기법 포함
익스플로잇	시스템 익스플로잇 이용하여 악성코드 실행	취약점 패치 필수
설치	악성코드 설치 및 지속적 접근 확보	루트킷, 백도어 등 사용
C&C	외부 서버와 통신하여 원격 제어 실시	암호화 통신 사용
행동 개시	데이터 탈취, 시스템 파괴, 랜섬웨어 실행 등 목표 달성	공격 목표에 따라 상이

사이버 킬체인 대응방안​

구분	방안	비고
정찰	침해 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 설치, 로그 분석	사전 탐지 중요
무기화	보안 교육 및 훈련, 사회공학 기법 인식 향상	사용자 교육 필요
전달	이메일 필터링, URL 필터링, 악성코드 탐지 솔루션 사용	콘텐츠 필터링
익스플로잇	익스플로잇 관리 및 패치, 애플리케이션 보안 강화	정기적 패치
설치	실행 파일 모니터링, 비정상 행위 탐지	엔드포인트 보안
C&C	네트워크 트래픽 모니터링, 비정상 트래픽 차단	포렌식 분석
행동 개시	데이터 암호화, 백업 및 복구 계획 수립, 침해 사고 대응팀 운영	피해 최소화 전략

사이버 킬체인 고려사항​

• 사이버 공격은 사회공학 기법을 이용하므로, 주기적인 사용자 교육과 모의 훈련 필요

TPRM 개념​

• 조직이 외부 파트너, 공급업체, 서비스 제공자 등 서드파티와의 관계에서 발생할 수 있는 리스크를 식별, 평가, 관리 및 모니터링하는 프로세스
• 규제 준수, 평판 관리, 정보 보안, 재무 리스크 관리

TPRM 절차도, 세부 절차, 주요 사례​

TPRM 절차도​

TPRM 세부 절차​

단계	구분	내용
1단계	계획	서드파티 사용 계획 수립, 리스크 평가
2단계	서드파티 선정	잠재적인 서드파티를 평가, 실사 수행 후 적합한 파트너 선정
3단계	계약 협상 및 체결	서드파티 계약 협상 및 체결
4단계	지속적 모니터링	서드파티 성과, 리스크 지속적 모니터링
5단계	관계 종료	서드파티 관계 종료 관리, 긴급 사태 관리

TPRM 관련 주요 사례​

구분	사례	내용
국내	금융사 데이터 유출	서드파티 클라우드 보안 취약점으로 인해 대규모 고객 데이터 유출
국외	MS CrowdStrike	CrowdStrike 보안 툴의 소프트웨어 업데이트로 인해 글로벌 시스템 장애 발생
	NPM faker.js	Node.js 패키지 faker.js가 개발자의 사보타주로 인하 글로벌 배포 장애

TPRM 고려사항​

• SBOM 도입을 통해 서드파티 소프트웨어의 구성 요소 파악 및 장애, 재해시 위험의 빠른 식별 및 대응 가능
• 소프트웨어 품질 성능평가를 통해 안정적인 서드파티 소프트웨어 사용

DRP 개념​

• 재해나 재난 발생 시 정보 시스템과 중요 업무 기능의 신속한 복구를 목표로 하는 계획으로 데이터 손실을 방지하고, 시스템 다운타임을 최소화
• 비지니스 연속성 유지, 데이터 보호, 법적 요구사항 준수, 재정 손실 최소화

DRP 개념도, 핵심요소, 재해복구센터 구성방안​

DRP 개념도​

DRP 핵심요소​

구분	내용	비고
업무영향 분석	재해가 비즈니스에 미치는 영향을 분석하는 프로세스	복구 우선순위 및 목표 설정 포함
운영 방안	조직체계, 평상시 운영 절차, 재해 시 운영 절차, 모의 훈련 절차 포함	자원 관리 표준 및 절차 포함
백업 방안	데이터 및 시스템 백업 방안 수립	Hot Standby, DB Shadowing, 원격 백업 등
재해복구 센터	백업센터 운영 형태 및 기술 형태 결정	백업센터 위치 및 운영 방식 고려

재해복구센터 구성방안​

구분	내용	비고
백업센터 유형 결정	자체센터, 외부위탁, 공동이용, 상호이용 등 백업센터 유형 결정	구축 비용, 운영 효율성, 복구 목표 시간 고려
데이터 백업 방식	데이터 백업 방식 및 범위 결정	HW 솔루션 또는 SW 백업 방식 선택
통신 회선 및 시설	통신 회선 사용료, 시설 유지비 등 고려	HW 도입 및 유지 비용 포함
비용 산정	구축 시 소요 비용 비교	유형별 비용 산정

재해복구 핵심 지표​

구분	RTO	RPO
개념도
개념	서비스 재개를 위한 목표복구시간	목표복구시점의 데이터손실의 허용 범위
영향	고객 서비스 지속성, 수익에 직접 영향	데이터 무결성, 업무 연속성
예시	금융 ~2h, 일반 ~1d	금융: 0, 일반: ~1d

재해복구센터 운영형태, 기술형태, 구축전략​

재해복구센터 운영형태​

구분	내용	비고
독자 구축	자체적으로 백업센터 구축 및 운영	보안 용이, 고가 투자 및 운영 비용 소모
공동 이용	공동으로 백업센터 구축	비용 절감, 보안 이슈
상호 이용	기업 간 상호 백업센터 역할 수행	비용 절감 가능, 절차 협의 어려움
외부 위탁	외부 전문 업체에 백업센터 운영 위탁	비용 절감, 보안 및 데이터 관리 이슈

재해복구센터 기술형태​

구분	내용	RTO	RPO	비고
Mirror Site	실시간 데이터 복제 및 동기화	~2h	0	높은 비용, 완전한 데이터 복구 가능
Hot Site	주요 시스템과 데이터를 즉시 사용 가능하게 유지	~1d	약 0	빠른 복구, 높은 유지 비용
Warm Site	필요한 자원과 데이터를 일부 준비	수일~수주	90%	복구 시간 길지만 비용 절감
Cold Site	최소한의 자원만 준비, 필요 시 추가 설치	수주~수개월	50%	비용 절감, 복구 시간 길어짐

재해복구센터 구축전략​

구분	고려사항	설명
비즈니스 측면	비용효율성	구축 비용 고려, 기업 목표와 환경에 맞는 방안 선택
	가치중심성	기업 가치를 높일 수 있는 방안 마련
	안정성	BIA, RA를 통한 우선순위 도출
자원 측면	상호운영성	기존 시스템과의 호환성 고려
	복구용이성	복구 시간, 복구율을 높이기 위한 방안 마련
	확장성	향후 시스템 확장을 고려한 URS 구축

재해복구 전략 수립시 고려사항​

• 복구 시간(RTO), 복구 지점(RPO), 복구 범위(RSO), 커뮤니케이션(RCO), 복구 센터(BCO)를 모두 고려한 재해복구 전략 수립 필요

BCP 개념​

• 재해나 위기 상황에서 조직의 핵심 비즈니스 기능이 지속될 수 있도록 마련된 계획으로 IT 복구뿐만 아니라, 전체 비즈니스 프로세스의 복원 목표
• 비지니스 연속성 보장, 법적 규제 준수, 고객 신뢰성 확보, 재무 손실 최소화

BCP 개념도, 구성요소, 절차​

BCP 개념도​

BCP 구성요소​

종류	설명	비고
재해복구	IT 시스템과 데이터 복구 계획, 시스템 중단 시 신속한 복구 목표	데이터 백업 및 복구 절차
업무복구	비즈니스 프로세스 복원 계획, 핵심 업무 프로세스가 중단 방지	핵심 업무 기능 복구 절차 및 우선순위 설정
업무재개	중단된 업무의 재개를 위한 구체적인 절차, 계획	대체 프로세스, 임시 운영 절차
비상계획	비상 상황에 대한 대비와 대응 계획, 예상치 못한 사건에 대한 대응	위기 관리 팀 구성, 대응 매뉴얼 마련

BIA 절차​

Business Impact Analysis

구분	내용	비고
주요 업무 식별	비즈니스 운영에 필수적인 핵심 업무 프로세스 식별	조직의 가치 사슬 분석
재해 유형 분석	재해의 유형과 발생 가능성을 분석, 비즈니스 영향 평가	FMEA
손실 평가	재해 발생 시 예상되는 재무적, 운영적 손실 평가	재무적, 운영적, 법적 손실 평가 기준 설정
우선순위 설정	복구 대상의 우선순위를 설정하고, 복구 순서 결정	손실 비용 기반
복구 목표 설정	서비스 목표 복구 시간, 데이터 손실 허용 시간 설정	RTO: 2h, RPO: 0

BCP 성공 포인트​

• 정기적인 훈련과 모의 테스트를 통한 실전 대응 능력 향상
• Third Party Risk Management 전략 수립

ISO 14000 개념​

• 기업이 환경 성과를 개선하고 법규를 준수하도록 하는 환경 경영 시스템(EMS)에 대한 국제 표준
• 환경 보호의 필요성 증가, 지속 가능한 발전, 파리협약-RE100 등 국제 협약 준수

ISO 14000 구성도, 구성요소, 적용방안​

ISO 14000 구성도​

• 환경 경영 시스템, 환경 성과 평가, 온실가스 측정

ISO 14000 구성요소​

구분	설명	국제기준
환경경영 시스템	우선항 규정, 구현반 적용	ISO 14001/4
구현 지침	효과적 구현을 위한 연계적 지침	ISO 14005
환경라벨링	제3자 인증 환경 마크 지침	ISO 14020
수명주기평가	제작, 활동 과정 환경영향평가	ISO 14040
용어정의	환경용어 정의	ISO 14050

ISO 14000 적용방안​

구분	내용	비고
Standard	ISO 14001, ISO 14004 등의 구체적 표준 적용	환경 경영 시스템 요구사항 및 시스템 가이드라인 제공
Process	환경 영향 평가, 자원 사용량 모니터링, 폐기물 관리 등 프로세스 도입	환경 성과 지표 설정, 데이터 수집 및 분석
Organization	전사적 환경 경영 체계 구축, 모든 부서 환경 목표 공유	부서별 역할과 책임 명확히 정의, 전사적 협력 유도
Technology	최신 기술 도입, 에너지 효율성 향상, 오염 물질 배출 최소화	탄소인지시스템, 오염 방지 기술 도입

ISO 14000 인증 절차, 인증 효과​

ISO 14000 인증 절차​

구분	상세절차	설명
도입 준비	정보 수집 및 분석	ISO 14000 표준 이해, 조직 내 환경 관리 요구사항 파악
	조직 현황 파악	기존 환경 성과, 환경 영향, 환경 관리 체계 분석
	TFT 구성	환경 경영 시스템 구축을 위한 태스크 포스 구성
	추진계획 수립	ISO 14000 인증 추진계획 수립
구축 및 실행	시스템 기본 골격 구성	환경 정책, 목표, 프로그램, 조직 구조, 역할 및 책임 설정
	환경방침 제정 및 실행	환경 정책 수립, 전사적 환경 경영 시스템 구축
인증심사	인증 신청 및 상담	인증기관에 인증 신청, 인증기관과 상담
	예비심사	인증기관의 예비심사, 환경 경영 시스템 준비
	문서심사	환경 경영 시스템 문서 검토, 인증기관의 문서심사
	본 심사	인증기관의 본 심사, 환경 경영 시스템 실제 운영 확인
	인증서 발행	인증기관의 심의 후 인증서 발행

ISO 14000 인증 효과​

구분	인증 효과	비고
비용 측면	비용 절감	폐기물, 유틸리티, 소모원재 투입감소, 유해물질 투입 감소
	환경사고 예방	사건 사고, 손해배상, 생산 손실 등 비용 감소
	보험료 감소	환경사고 보험료 감소
기업 경쟁력 측면	이미지 개선	그린 기업, 신뢰도, 점유율, 투자 촉구
	무역장벽 극복	법,규제 대응, 요구사항 충족, 그린 상품 구매 촉진

ISO 14000 고려사항​

• 법규 및 규제 준수, 경영진의 적극적 참여와 지원 필요
• 지속적 개선과 이해관계자 참여, 효과적인 커뮤니케이션 필요

공공기관 데이터베이스 표준화지침 개념​

• 공공기관이 생성 또는 취득하여 관리하는 데이터베이스 표준화에 필요한 세부 사항을 정립한 지침
• 데이터 품질향상, 호환성, 공공기관 간 데이터 상호운용성, 공공데이터 신뢰성, 투명성 보장

공공기관 데이터베이스 표준화지침 구성도, 구성요소, 적용방안​

공공기관 데이터베이스 표준화지침 구성도​

공공기관 데이터베이스 표준화지침 구성요소​

구분	내용	비고
표준화 관리	표준화 관리체계 구축, 표준 수립, 적용, 산출물 관리	데이터 표준 사전 작성, 코드 표준 준수
공통 표준용어 관리	공통 표준 용어 관리 원칙, 구성요소 및 관리 항목	재개정시 이해관계자 협의
메타데이터 관리	기관 중앙 메타데이터 관리 시스템 구축 및 운영	메타데이터 표준 관리항목 등록

공공기관 데이터베이스 표준화지침 적용방안​

구분	내용	비고
공공기관	표준화 관리체계 구축, 메타데이터 등록 및 관리	기관 여건에 맞는 시행 세칙 제정
행정안전부	예산확보, 지원, 지침 재,개정, 공통 표준 용어 관리	표준화 협의체 운영
데이터 활용지원센터	표준화 정책, 제도 조사 및 연구, 기술 개발 및 지원, 홍보 교육	전담 조직 구성 및 운영

표준화지침 이행시 고려사항​

• 표준화 중요성에 대한 인식 제고 및 주기적인 교육 필요

CAP 이론 개념​

• 분산시스템이 동시에 일관성, 가용성, 분할내성을 모두 만족시킬 수 없다는 이론
• 분산시스템의 특성을 이해하고 Trade-Off를 고려한 시스템 설계 가이드라인 제공 / 현실적 제약 반영 / 비지니스 요구 충족

CAP 이론 개념도, 구성요소, 발전방향​

CAP 이론 개념도​

CAP 이론 구성요소​

구분	내용	비고
C + P	일부 노드 장애시에도 일관성 유지	MongoDB, 금융시스템
A + P	일부 노드 장애시에도 시스템은 계속 응답	DynamoDB, DNS시스템, SNS
C + A	네트워크 분할이 없을시 일관성, 가용성 보장	RDBMS, 단일 노드기반 DB

CAP 이론 발전방향​

한계점	내용	발전방향
PACELC 확장 필요	CAP 이론은 네트워크 지연(Latency)과 데이터 복제 등을 반영하지 않음	PACELC 이론 도입으로 Latency와 Consistency 균형 고려
다중 레벨 일관성	모든 시스템에서 강력한 일관성을 요구하지 않는 경우	Eventual Consistency 모델 활용
동적 트레이드오프	정적 선택보다는 동적 조정이 필요한 경우	AI 기반 동적 트레이드오프 관리 기술 개발

PACELC 이론 개념도, 구성요소​

PACELC 이론 개념도​

• CAP이론을 보완하여 네트워크 분할 여부나 정상 작동 여부에 따라 지연시간과 일관성의 Trade-Off를 고려한 이론

PACELC 이론 구성요소​

구분	내용	비고
PA/EL	장애시 가용성, 정상시 지연시간 우선 고려	DynamoDB, Cassandra
PA/EC	장애시 가용성, 정상시 일관성 보장	MongoDB
PC/EL	장애시 일관성, 정상시 지연시간 우선 고려	PNUT, CosmosDB
PC/EC	장애시 일관성, 정상시 일관성 보장	HBase

NoSQL 데이터베이스 도입시 고려사항​

• MongoDB 등 NOSQL의 오픈소스 라이센스가 SSPL로 이동함에 따라 CSP 서비스 개발시 Fork 버전 사용 등 대안 마련

샤딩, 파티셔닝 개념​

• 파티셔닝: 큰 테이블을 관리하기 쉬운 단위로 분할하는 기법
• 샤딩: 테이블을 분리하여 다수의 물리DB서버에 분산 저장하는 기법

샤딩, 파티셔닝 구성요소, 활용사례, 주요 데이터베이스 분할 기법​

샤딩, 파티셔닝 구성요소 비교​

구분	샤딩	파티셔닝
목적	시스템 부하 분산, 대규모 데이터 처리, 고가용성	데이터 관리용이, 데이터 접근 최적화
분할방법	수평분할	수직분할
분할관점	테이블을 여러 DB로 분할	하나의 DB에서 테이블 분할
관리노드	샤드간 라우팅 수행용 마스터	마스터노드 없음
관리 복잡성	상대적으로 높음	상대적으로 낮음
테이블 연동	분할 테이블 간 조인 불가	테이블 간 조인 가능

샤딩, 파티셔닝 활용사례​

기법	활용 사례	예시
샤딩	소셜 미디어 플랫폼	Facebook의 지역별 샤딩으로 사용자 데이터 분산 저장
샤딩	전자상거래 플랫폼	주문 데이터를 샤딩하여 결제 처리 성능 최적화
파티셔닝	데이터 웨어하우스	과거 데이터를 연도별로 파티셔닝하여 쿼리 성능 개선
파티셔닝	은행 시스템	고객 데이터를 지역별로 파티셔닝하여 빠른 접근 제공

주요 데이터베이스 분할 기법​

구분	내용	비고
Vertical 분할	테이블별, 열별 분할	구현 간단
Range-Based 분할	하나의 기능이나 테이블이 비대해질시 행 분할	예측 가능성
Key 또는 Hash 분할	엔티티를 해싱하여 분할 결정	균등분포 해싱함수
Directory 기반 분할	파티셔닝 매커니즘을 제공하는 추상화된 서비스를 사용하여 분할	샤딩 사용, 샤드키 연동

데이터베이스 분할 절차도, 세부절차​

데이터베이스 분할 절차도​

데이터베이스 분할 세부절자​

구분	내용	비고
1. 분할 필요성 증가	데이터 양 증가로 인한 성능 저하	모니터링 지표 기준 설정 필요
	특정 시간대 과부하 발생
2. 분할 방법 결정	샤딩 vs 파티셔닝 선택	업무 특성과 데이터 접근 패턴 고려
	수평/수직 분할 결정
3. AS-IS 성능 측정	현재 시스템의 응답시간 측정	기준 성능값 확보 필요
	주요 쿼리 성능 분석
4. 분할 적용, 이관	DDL 작성 및 스키마 변경	서비스 중단 최소화 방안 마련
	데이터 마이그레이션 수행
5. 어플리케이션 수정	데이터 접근 로직 수정	회귀 테스트 필수
	샤드 라우팅 로직 추가
6. 테스트, 모니터링	성능 테스트	A/B 테스트 권장
	부하 테스트

데이터베이스 분할시 고려사항​

기법	고려사항	해결 방안
샤딩	데이터 분산 기준 선정	사용자 ID, 지역, 시간 등 적절한 기준 설정
샤딩	데이터 균형 유지	부하 분산 알고리즘 도입 및 모니터링
샤딩	데이터 일관성 문제	분산 트랜잭션 또는 복제 기술 활용
파티셔닝	데이터 접근 패턴 분석	파티셔닝 키를 데이터 접근 빈도에 맞게 결정
파티셔닝	데이터 간 의존성	파티션 간 데이터 이동 최소화 및 인덱스 최적화

• 수평적 확장이 필요한 규모의 데이터 분할시 샤딩 고려
• 특정 액세스 패턴 최적화시 파티셔닝 고려

옵티마이저 개념​

• DBMS 내에서 SQL 쿼리 실행 계획을 분석하고 최적의 계획을 수립하는 핵심 엔진
• 최적화된 쿼리 실행으로 시스템 자원의 효율적 사용과 응답시간 단축

옵티마이저 구성도, 구성요소, RBO, CBO​

옵티마이저 구성도​

옵티마이저 구성요소​

구분	내용	비고
1. SQL Parser	쿼리파싱, 구문분석, 구문트리생성	문법 검사
2. Query Transformer	쿼리 변환 하의 최적화 가능성 제고	쿼리 재작성
3. Plan Generator	여러 가능한 실행 계획 생성	조인, 인덱스 경로
4. Cost Estimator	각 실행 계획 예상 비용 계산	통계 저장, 참조
5. Plan Selector	가장 낮은 비용 실행 계획 선택, 실행	RBO, CBO 방식

RBO, CBO 비교​

구분	RBO	CBO
최적화 기준	고정된 규칙 사용	실행 비용 추정
결정자	인덱스 구조, 연산자, 조건 등	레코드 블록 수, 평균 행 길이, 인덱스 높이, 컬럼 수 분포, 디스크 I/O
특징	실행 계획 예측 용이	저장된 통계 정보 활용
장점	규칙 단순, 빠른 최적화	더 효율적인 실행 계획 수립
단점	복잡한 쿼리 최적화 어려움, 규칙 관리 필요	통계 정보 부정확할시 오류 발생

• 최신 DBMS는 CBO 방식 채택

옵티마이저 적용방안​

구분	방안	비고
DA	모델링시 인덱스 전략 설계, 파티셔닝 고려	효율적 구조 설계
DBA	통계정보 수립 및 갱신, 실행계획 최적화	모너티링, 대응
User	최적화된 쿼리 작성, 인덱스 힌트 사용	개발단계 쿼리 최적화, EXPLAIN PLAN

옵티마이저 고려사항​

• 개발자가 쿼리에 EXPLAIN PLAN을 사용하여 분석 후 최적화된 쿼리 구현 필요