본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
美 연방거래위원회, 기업을 위한 데이터 보안 가이드라인 업데이트2017.09.11
개요
  • 미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표
     

  

주요내용

 

  • 미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표
    (1) 보안과 함께 시작 : 모든 부서의 의사 결정 과정에 정보보호 고려사항을 포함되도록 비즈니스 프로세스를 구축하여야 함. (연방거래위원회는 개인 데이터 수집 및 보존을 최소화 할 것을 권장)
    (2) 제어 정보 접근 : “Need to Know“ 기반으로 민감한 데이터에 대한 직원 및 관리자의 접근을 제한.
    (3) 인증 : 암호의 복잡도를 유지하고 고유암호 사용하여야 되면, 안전하게 암호를 저장하여야 함.
    (연방거래위원회는 암호정책에 대한 여러 지침을 제공)
    (4) 민감한 데이터 보호 : 저장 및 전송 중에 기밀 자료를 보호하기 위해 강력한 암호화를 사용하여야 함.
    (5) 네트워크 보호 : 침입 탐지 시스템을 사용하고 네트워크를 세분화하여 모니터링을 수행하여야 함.
    (6) 엔드포인트 보호 : 원격에서 시스템에 접근하는 엔드포인트에 대한 보안을 수행하여야 함.
    (7) 서비스 제공 업체 보안 : 연방거래위원회는 공급 업체 계약의 일부로 보안 고려사항을 포함하여 공급업체가 보안을 독립적으로 수행 할 것을 제안 함.
    (8) 유지보수 : 발생 할 수 있는 취약점을 해결하고 현재 보안 상태를 유지할 수 있는 프로세스를 마련하여야 함.
    (9) 물리적 보안 : 종이, 물리적 매체 및 장치의 물리적 보안 문제를 해결하고, 민감한 데이터를 안전하게 폐기하여야 함.
     
  1. 가이드에서는 데이터 보안 계획은 5가지 핵심 원칙(데이터에 대한 식별, 축소, 보호, 폐기, 사고대응)을 기반으로 작성됨.
    - 또한, 가이드라인은 연방거래위원회가 조사를 통해 얻은 경험을 바탕으로 질문에 대한 대답 형식을 제공하여 이용자의 쉽게 이해할 수 있도록 제공하고 있음
 
  1. 연방거래위원회는 이번 가이드 외에 그동안 연방거래위원회는 조사를 통해 얻은 교훈과 비즈니스 관련 질문에 초점을 맞춘 정기적으로 정보호호 관련 가이드를 블로그 시리즈를 통해 제공*하기로 함.
    * https://www.ftc.gov/news-events/blogs/business-blog
     
 
 

시사점

 

  1. 다양한 인터넷 및 보안 환경에서 사이버위협에 대응하기 위해서는 그동안 축적한 경험을 기반으로 한 국내 환경에 맞은 정보보호 관련 가이드라인 배포가 필요함.


[출처]
1. jdsupra.com, “FTC Updates Data Security Guidance for Businesses”, 2017.08.03.
2. ftc.gov, “PROTECTING PERSONAL INFORMATION”, 2017.06.21.



작성 : 인프라보호단 클라우드보안관리팀
키워드 데이터보안 가이드라인 , 연방거래위원회