나경아빠의 스케치북 - 고통은 희망의 씨앗이다

신용정보의 이용 및 보호에 관한 법률 개정예고가 되어 주요 내용으로 정리

신구대조표가 없어 제한적인 주요 내용으로 정리

국회에 제출될 때 개정안은 변경될 수 있을거 같다.

보도자료_신용정보의_이용_및_보호에_관한_법률_전부_개정법률안_입법예고.hwp

14-1119_신용정보법_전부개정법률안.hwp

141119입법예고공고_신용정보법_전부개정법률안.hwp

1. 배경

- 현행 신용정보법은 신용정보업의 기능 및 신용정보의 이용에 초점을 맞춘 반면

- 개정 신용정보법은 신용정보의 보호 의무와 신용정보주체의 자기정보통제권 강화에 초점을 맞춤

- 신용정보의 대상을 금융거래와 관련된 정보로 한정

- 신용정보처리자를 새롭게 정의하여 수범대상을 명확화

- "신용정보의 이용 및 보호에 관한 법률" -> "신용정보 보호 및 처리에 관한 법률" 로 법률명 변경

2. 신용정보처리자 신설

- 신용정보처리자를 금융당국의 감독대상인 금융기관, 신용정보회사, 신용정보집중기관에 한정하여 수범대상을 명확화

- 수범대상

=> 신용정보회사

=> 신용정보집중기관

=> 금융기관

=> 신용정보수탁처리자

3. 신용정보의 재정의(2조 1호)

- 현행법은 "정보의 이용" 측면에서 신용정보제공, 이용자간 처리가 필요한 정보를 제한적으로 열거

- 개정법은 "정보의 보호" 측면에서 신용정보처리자가 처리하는 모든 금융관련 정보를 신용정보로 정의하여 보호의무를 부과

- 개정 신용정보의 정의

=> 신용정보처리자가 처리하는 정보로서 식별정보, 금융거래관계의 설정, 유지여부를 판단하거나 조건을 결정하기 위해

     필요한 정보 및 금융거래 정보

4. 신용정보의 처리(2조 4호, 4조)

- 신용정보 처리의 원칙

=> 최소처리의 원칙

=> 목적외 사용금지

=> 정확성, 최신성의 원칙

5. 수집, 이용, 제공 개념의 단순/명확화(5조, 6조, 7조)

- 수집, 이용: 신용정보주체(고객)에게 직접 수집하여 이용하는 경우

- 조회, 이용: 신용조회회사에게 제공받아 이용하는 경우

- 조회, 이용/활용, 이용: 신용정보집중기관에게 제공받아 이용하는 경우

- 제공: 신용정보처리자가 제3자에게 신용정보를 공급하는 행위

6. 개인신용정보의 관리강화(18조)

- 금융거래 종료, 목적의 달성이 된 때부터 개인신용정보는 금융위가 고시하는 기한 내에 방화벽, 접근통제가 되는 별도의 저장공간에

   저장되어야 한다.

=> 고객원장에서 해당 레코드를 삭제해서 새로운 table에 insert 하는 것이 쉽지는 않으므로 "고객원장" -> "고객원장_거래종료" 이렇게 

     동일한 layout의 table 을 만들어 저장해야할 거 같다.

=> 별도의 table 의 조회는 보안, 컴플 등 감독 부서의 허가하에 조회될 수 있도록 해야할듯 싶다.

- 금융거래 종료, 목적의 달성이 된 때부터 최대 5년 경과 후 개인신용정보는 삭제가 되어야 한다.

2014.11.14 금융위 규정변경예고에 올라온 "전자금융감독규정" 일부개정규정안 정리

주요 내용에 대해서만 정리

전자금융감독규정 일부개정규정안(공고용).hwp

금융위원회 공고 제2014-257호(전자금융감독규정 규정변경예고).hwp

1. 제12조(단말기 보호대책)

- 주요정보, 이용자 정보 저장/조회 단말기와 정보처리시스템 관리용 단말기 등과 중요 단말기에 대한 구체적인 정의가 있었지만 

- 개정안에는 그런 정의가 없으므로 회사 보안지침 등에 중요 단말기 정의를 해야할 필요가 있어 보인다.

- 노트북을 중요 단말기로 지정하지 말아야 한다는 근거는 사라짐

- 단말기 본체 또는 데이터가 저장된 하드 디스크 반출에 대한 모니터링, 승인 등 절차가 필요해 보임 (예 : RFID 부착 등)

2. 제17조(홈페이지 등 공개용 웹서버 관리대책)

- 공개용 웹서버 점검 시 공식(?) 점검항목이던 불필요한 계정, 포트 삭제가 삭제 (그래도 서버 점검기준에 포함은 되야할듯)

- 공개용 웹서버 관리자, 개발자 등이 로그인할 때 공인인증서 추가 인증이 삭제되어 보다 넓은 범위의 추가 인증 적용이 가능

   (OTP 문자 발송, 솔루션 외 자체 인증 - SSO 등)

3. 제34조(전자금융거래 시 준수사항) - 1

- 홈페이지, HTS, MTS 에 보안 프로그램을 설치해야 하는 의무 규정이 삭제

- 고객이 보안 프로그램의 삭제, 미구동을 원할 때 이에 대한 기록 규정도 삭제

- 금융회사는 더 자율적인 보안 대책을 세우고 고객에게 적용해야 하므로 사회적 이슈, 최신 해킹/금융사고 사례를 통해 대책을 적용해야 함

- 아마도 상위기관의 공문이 더 자주 오거나 사고 사례를 들어 보안 대책 적용 여부를 따질 듯

4. 제34조(전자금융거래 준수사항) - 2

- 전자금융거래 매체와 거래인증수단 매체를 분리 사용이 삭제됨에 따라 전자금융거래 매체내에 SW적인 거래인증수단이 적용 가능

   (예: 공인인증서 모듈의 안전한 저장 개념을 하드 디스크내에 SW보안토큰 공간 마련, SW OTP 등)

- 보안카드, OTP 사용 시 번호 입력 오류 등이 발생하면 다음 거래 시 이전의 오류가 난 번호를 다시 요구하였던 것을 삭제

   이는 2014년 규정상의 약점을 악용한 메모리 해킹 사고가 많아짐에 따라 삭제된걸로 생각된다.

- 삭제된 2개 항 대신에 신설된 포괄적인 내용의 4항으로 인해 금융회사는 규정을 준수했다는 면피수단(?)이 사라지고

   고객 매체에 대한 보안대책을 더 많이 고민해야한다.

5. 제37조의 5(정보보호책임자의 업무)

- 임직원 보안점검의 날을 지정하고, 매월 점검하고, 점검결과와 보완계획을 CEO 보고해야 한다.

- 단건으로 CEO에게 보고할 수는 없으니 정보보호위원회를 매월 개최하고 그 세부 안건으로 해야할듯 싶다.

- 점검항목은 어떤 것인지 별도로 정리할 필요가 있겠다.

6. 제60조(외부주문등에 대한 기준)

- 외부 업체에 의한 정보처리시스템 개발 시 별도의 장소, 내부 업무용 시스템으로 접속이 불가하는 별도의 네트워크망을 이용해야 한다.

- 외부주문의 정의가 연간 IT 아웃소싱 계약이 되어 항상 상주하는 인력까지라면 업무장소, 네트워크망 분리는 차치하더라도

   서로간의 위화감(특히, 한 조직이었다가 계열 분리된 경우)이 들거 같아 걱정이 된다.

- 전자금융거래법령, 전자금융감독규정 내 보안업무의 CISO, CEO, 상위감독기관 보고, 제출 업무 정리

전자금융감독규정.pdf

전자금융거래법.pdf

전자금융거래법 시행령.pdf

■ CISO 까지 보고/승인

1. 무선통신망 이용 업무의 승인

① 내용 : 무선통신망을 이용한 업무는 정보보호최고책임자의 승인을 받아 사전에 지정해야한다.

② 근거 : 전자금융감독규정 제15조(해킹 등 방지대책) 6항 1호 <개정 2013.12.3>

■ CEO 까지 보고

1. 정보보안 관련법규 준수 점검결과 보고

① 내용 : 정보보호최고책임자는 임직원이 정보보안 관련법규가 준수되고 있는지 정기적으로 점검하고 그 점검결과를 최고경영자에게 보고할 것

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 4호 <신설 2013.12.3>

2. 정보보안 관련법규 위반자 제재 보고

① 내용 : 최고경영자는 임직원이 정보보안 관련법규를 위반할 경우 그 제제에 대한 기준 및 절차를 운영해야하므로 

             정보보호최고책임자는 정보보안 관련법규 위반자의 제제 기준 및 절차를 수립하여 CEO 에게 보고해서 시행해야 한다. 

   (내 생각. CEO 가 이거 챙기겠어?)

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 5호 <신설 2013.12.3>

3. 정보기술부문/정보보호 인력, 정보보호예산의 감독규정 미준수 시 보고 및 공시

① 내용 : 정보기술부문 인력은 총 임직원수의 100분의 5 이상(5%), 정보보호인력은 정보기술부문 인력의 100분의 5 이상(5%), 

   정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 해야한다.

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 3항 <개정 2013.12.3>

   금융회사 정보기술부문 보호업무 모범규준 II. 5. ⑥

③ 공시방법

- 홈페이지

- 홈페이지를 운영하지 않는 금융회사는 관련 협회를 통해 공시

④ 공시 시기 

- 매사업년도 종료 후 1개월 이내

- 사업연도 반기(반기가 시작되는 월 기준)마다 주기적으로 재공시

 ⑤ 공시 기간

- 공시일로부터 15일 동안 공시

4. 정보보호위원회 심의, 의결사항 보고

① 내용 : 정보보호최고책임자는 정보보호위원회 심의·의결사항을 최고경영자에게 보고하여야 한다.

② 근거 : 전자금융감독규정 제8조의2(정보보호위원회 운영) 4항

■ 상위감독기관 보고

1. 정보기술부문 계획서 제출

① 내용 : 안전한 전자금융거래를 위한 정보기술부문에 대한 현실적이고 실현 가능한 장단기 계획을 매년 수립하여 운영하여야 한다.

② 근거 : 전자금융거래법 제21조(안전성의 확보의무) 4항 <신설 2013.5.22>

             전자금융감독규정 제19조(정보기술부문 계획서 제출 절차 등) 1항 <신설 2013.12.3>

③ 최종 제출처 : 금융위원회

④ 제출 시기 : 매 사업연도 초일부터 3개월 이내

⑤ 보고 내용

- 정보기술부분의 추진목표 및 추진전략

- 정보기술부문의 직전 사업연도 사업실적 및 해당 사업연도 추진계획

- 정보기술부문의 조직 등 운영 현황

- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산

- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑥ 벌칙/과태료

- 정보기술부문 계획을 제출하지 않으면 1천만원 이하 과태료

2. 전자금융기반시설의 취약점 분석, 평가 결과서 제출

① 내용 : 총자산이 2조원이상이고 상시 종업워수가 300명이상인 금융회사는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 

   전자금융기반시설에 대한 분석, 평가해야한다.

② 근거 : 전자금융거래법 제21조3(전자금융기반시설의 취약점 분석, 평가) 1항

             전자금융감독규정 제37조의3(전자금융기반시설의 취약점 분석, 평가 전문기관의 지정 등) 2항

③ 최종 제출처 : 금융위원회

④ 취약점 분석, 평가 시기

- 사업연도마다 1회 이상 취약점 분석, 평가 실시(홈페이지는 6개월에 1회 이상)

- 즉시 취약점 분석, 평가

가. 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우

나. 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 

     경우

⑤ 결과서 제출 시기 : 취약점 분석, 평가 종료 후 30일 이내 제출

⑥ 취약점 분석, 평가 대상

가. 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

나. 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

다. 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

라. 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항

마. 그 밖에 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑦ 벌칙/과태료

- 전자금융기반시설의 취약점을 분석, 평가하지 아니한 자는 2천만원 이하 과태료

- 보완조치의 이행계획을 수립, 시행하지 아니한 자는 2천만원 이하 과태료

- 전자금융기반시설의 취약점 분석, 평가의 결과를 보고하지 아니한 자는 1천만원 이하 과태료

3. 정보기술부문 및 전자금융사고 보고

① 내용 : 금융회사는 전산장애, 금융사고, 해킹 등 중대한 사고가 발생하면 지체 없이 상위기관에 보고하여야 한다.

② 근거 : 전자금융감독규정 제73조(정보기술부문 및 전자금융사고보고) 1항 <신설 2013.12.3>

③ 최종 보고처 : 금융위원회 및 금융감독원장

④ 보고 대상사고

가. 전자적 침해행위로 인해 정보처리시스템에 사고가 발생하거나 이로인해 이용자가 금전적 피해를 입었다고 금융회사 또는 

     전자금융업자에게 통지한 경우

나. 접근매체의 위조나 변조로 발생한 사고

1. 정보기술부문 계획

1) 목적

- 안전한 전자금융거래를 위한 정보기술부문에 필요한 사항을 계획

2) 근거 법령

- 전자금융거래법 제21조(안전성의 확보의무) 4항

3) 시기

- 매년 수립

- 매 사업년도 초일부터 3개월 이내

4) 보고/제출 라인

- 대표자의 확인, 서명

- 금융위원회 제출

5) 보고 내용

- 정보기술부문의 추진목표 및 추진전략

- 정보기술부문의 직전 사업연도 사업실적 및 해당 사업연도 추진계획

- 정보기술부문의 조직 등 운영 현황

- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산

- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

6) 벌칙/과태료

- 정보기술부문 계획을 제출하지 않으면 1천만원 이하 과태료

2. 전자금융기반시설의 취약점 분석, 평가

1) 목적

- 전자금융거래의 안전성과 신뢰성을 확보하기 위해 전자금융기반시설에 대한 분석, 평가

2) 근거 법령

- 전자금융거래법 제21조3(전자금융기반시설의 취약점 분석, 평가)

3) 시기

가) 취약점 분석, 평가 시행 시기

- 사업연도마다 1회 이상 취약점 분석, 평가 실시

- 즉시 취약점 분석, 평가

① 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우

② 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 경우

나) 보고 시기

- 취약점 분석, 평가 종료 후 30일 이내 제출

4) 보고/제출 라인

- 금융위원회 제출

5) 취약점 분석, 평가 대상

- 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

- 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

- 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

- 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항

- 그 밖에 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

6) 취약점 분석, 평가 수행자

- 자체전담반

- 전문성을 갖춘 외부 기관

- 자체전담반의 구성기준과 의뢰할 수 있는 외부 기관의 기준은 금융위원회가 정하여 고시

7) 보고 내용

- 취약점 분석ㆍ평가의 사유, 대상, 기간 등 실시개요

- 취약점 분석ㆍ평가의 세부 수행방법

- 취약점 분석ㆍ평가 결과

- 취약점 분석ㆍ평가 결과에 따른 필요한 보완조치의 이행계획

- 그 밖에 취약점 분석ㆍ평가의 적정성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

8) 벌칙/과태료

① 2천만원 이하 과태료

- 전자금융기반시설의 취약점을 분석·평가하지 아니한 자

- 보완조치의 이행계획을 수립·시행하지 아니한 자

② 1천만원 이하 과태료

- 전자금융기반시설의 취약점 분석·평가의 결과를 보고하지 아니한 자

강원도 양양 공항 바로 옆에 있는 골든 비치 CC.

SBS 성대결 맞수 한판에 나왔던 클럽이란다.

그 사이 추가한 물품의 리뷰도 겸하면서 후기를 적는다.

1) 슈퍼 스트로크 2.0 퍼터 그립

10.9 라운딩 후 퍼터 그립을 슈퍼 스트로크 2.0 으로 교체했다.

정상적인 자세는 아니고 나한테 편한 자세로 퍼팅을 했는데 이전보다 상당히 좋아져서 계속 이대로 할거 같다.

그립이 두꺼워지면서 꽉 잡으니 손목, 팔 등이 고정되는 느낌이라 어깨 팔로만 똑딱이 퍼팅을 하니 더 좋아진거 같다.

실제로 15개 홀에서 1 ~ 2 퍼트로 홀 아웃을 했을 정도로 결과가 상당히 마음에 든다.

2) 아디다스 스파이스리스 Pure 360 Gripmore BOA 골프화

7시 좀 지나 티업이었는데 보슬비 정도로 비가 좀 내렸다.

전반 다 돌때까지 내렸는데 지난 9월에 산 아디다스 스파이크리스 보아 운동화가 방수도 되고 빗물 묻은 잔디위에서 미끄러움을 못 느껴

만족스러웠다. (실제 같이 라운딩한 파트너 신발은 물이 차서 축축하다고 했다)

내가 산 모델의 그림이 없어 비슷한 걸로 캡쳐했다.

인도어 연습장갈 때는 이것만 신고 가서 편하기도 하다. 

3) 전용 골프 수건

전반 9홀은 보슬비가 내려 공와 클럽 헤드를 닦아야 했다.

물론 캐디가 있지만 캐디 혼자서 페어웨이 여러 곳에 있는 플레이어 모두를 챙길 수 없다.

그래서 예전에 옷이나 장갑으로 닦았는데 장갑의 경우 물기가 묻어 스윙시 미끄러움을 느꼈다.

전용 수건을 오른쪽 허리띠에 걸고 페어웨이로 걸어갈 때 수건으로 그림을 감싸니 빗물이 덜 묻어 상당히 효과를 봤다.

4) 48mm 골프 티

연습장에서 주로 놓는 드라이버 티 셋팅값은 대략 50~55mm 정도였다. 

9월말 드라이버 샤프트 교체하면서 약 2.5 인치정도 길이를 줄여서이지 9.27 라운딩 때 기존 티로 드라이버 시 탑볼이 상당히 많아서 속상했다.

집에 와서 티의 높이를 재보니 40mm 정도였다. 결국 10mm 정도 낮은 티로 치면서 드라이버 페이스 하단에 맞지 않았나 생각이 들었다. 

그래서 10.9 라운딩 전에 구매를 해서 10.9 때는 전반은 효과를 못 봤지만 후반엔 좋았다. 사진에서 보다시피 받침대 높이를 감안하면 50 mm 정도여서

원하는 티 높이가 된거 같았다.

이번에도 전반은 슬라이스가 많이 났지만 9.27 처럼 탑볼은 없었다. 따라서 티 높이는 이것이 내가 맞는거 같다.

바닥 받침대의 무게가 있어 스윙 후 멀리 날아가지도 않고 거의 제자리에 있는 편이다.

6) 여전한 슬라이스

슬라이스가 여전하니 캐디가 한마디 해주더라.

"백스윙은 빠르지 않는데 다운 스윙이 너무 빠르다"

결국 이 말은 다운 스윙이 빠르다보니 클럽 헤드가 릴리즈 되지 않으면서 헤드가 열린채로 임펙트가 된거 같다.

의도적으로 오른손을 더 감으면 훅이 두어번 난거 봐서는 그건 올바른 처방은 아닌거 같다.

후반에는 의도적으로 어깨까지 더 턴하는 백 스윙을 하니 슬라이스가 줄어든 느낌이 들고 공도 바로 갔다.

인도어에서 연습할 때 주지하면서도 잔디위에서는 하얗게 되어 버리는거 같다.

7) 양파없고 캐디 스코어로 깨백한 라운딩

가장 만족스러운 것은 양파가 없었다. 오비가 나도 퍼팅이 잘 되니 아주 만족스러웠는데 캐디 스코어까지 99 타가 나오니 더욱 기뻤다.

트리플을 한 후에도 흔들리지 않고 다시 더블보기나 보기 등으로 선방(?)한 것이 좀 더 나아진 점 같다.

8) Sea View 홀 사진들 - 2번째 코스

#1

#2

#3

#4

#5

#6

#7

#8

#9

9) 스코어

캐디 스코어는 99.

작년부터 제대로 해서 1년 좀 넘어 캐디 스코어지만 깨백이란걸 해봤다.

물론 리얼 스코어는 여전히 백돌이이지만...

10) 누적 통계

중간의 +18 은 파3에서의 스코어라 의미가 없다.

하지만 파3에서도 퍼팅은 통계에 포함시킬 수 있다.