• 제목/요약/키워드: privacy breach

검색결과 35건 처리시간 0.022초

EU 적정성 결정이 GDPR 대상기업에 미치는 영향에 관한 탐색적 연구 (An Exploratory Study on the impact of EU Adequacy Decision on GDPR compliant companies)

  • 김영수;장항배
    • Journal of Platform Technology
    • /
    • 제9권4호
    • /
    • pp.32-41
    • /
    • 2021
  • 유럽연합은 자국민의 개인정보보호를 위해 강력한 규제 법령으로 GDPR을 2018년 5월 25일 시행하였다. 글로벌 경제 시대에서 유럽시장 진출 기업에서는 GDPR 대응은 꼭 필요한 선결과제이다. 본 논문에서는 유럽 연합내 거주민의 개인정보 역외 이전을 위한 적절한 수준의 보호조치 대응을 위해 기업에서 준비해야 할 단계별 추진과제를 살펴보았다. 제3국에서의 GDPR 대응은 개별 기업 또는 정부차원의 대응을 할수 있으며, 정부차원의 적정성 결정시 기업의 혜택과 기대효과에 대해서 탐색해 보았다. 적정성 결정 국가의 기업에서는 EU 진출시에 프로세스 간소화, 비용 절감 등의 혜택과 유출사고 대응시 정부차원의 독립된 감독기구 지원으로 인한 부담감 해소 등에 따른 시사점이 있다. 그러나, 적정성 결정 이후에도 기업은 GDPR 원칙, 의무규제 준수를 통한 개인정보보호체계 확보 활동은 지속적으로 필요하며, GDPR 대응 과제에 대한 중요도 변화에 대해서도 유럽 국가와의 계약서 체결을 제외한 대부분 준수되어야 할 과제로 유지가 필요하며, GDPRR 대상 기업들의 차별화된 관리 방안 구축도 기대한다.

이사보수의 공개에 관한 법적 연구 (Legal Research about the Public Offering of Director Compensation)

  • 권상로
    • 한국콘텐츠학회논문지
    • /
    • 제12권10호
    • /
    • pp.169-177
    • /
    • 2012
  • 글로벌 금융위기의 영향으로 세계 각국은 이사보수의 적정성과 투명성의 제고를 위하여 노력을 기울이고 있다. 독일, 미국, 영국, 프랑스, 이탈리아. 일본 등에서는 이미 일정 수준 이상의 상장기업이나 금융기관들이 평균이 아닌 개인별 이사의 보수를 공시하고 있다. 그러나 우리나라의 경우 임원보수공시 제도는 여전히 임원 전체의 보수 총액만을 공시하도록 하고 있으며, 보수 기준이나 책정 절차 등에 대한 공시는 이루어지지 않고 있는 실정이다. 이처럼 불투명한 임원 보수 산정체계를 개선하고자 민주노동당 이정희 의원이 2009년 3월 12일 개별 임원의 보수를 공시하도록 하는 내용의 "자본시장과 금융투자업에 관한 법률 일부개정법률안"을 제시하였다. 재계는 우수인재 영입 위축, 회사의 기밀누설의 우려, 프라이버시 침해와 노사관계 악화 그리고 이사보수의 하향평준화를 가져와 경영자의 경영의욕이 떨어질 것이라는 점 등을 우려해 개인별 이사의 보수를 공개하는 것을 반대하고 있다. 지배주주가 임원보수 명목으로 우회배당하거나 회사 재산을 처분하는 등 사익을 추구할 수도 있기 때문에 이를 견제하기 위해서는 주요 선진국의 입법례처럼 개인별 이사의 보수를 공개하는 것을 강제할 필요가 있다. 이러한 개인별 이사의 보수 공개 의무화를 통하여 주주의 경영자 견제 수단의 하나인 상법 제388조가 유명무실하게 되는 것을 막을 수 있고 이사보수 산정의 투명성과 적정성을 확보할 수 있다.

Analysis of Al-Saggaf et al's Three-factor User Authentication Scheme for TMIS

  • Park, Mi-Og
    • 한국컴퓨터정보학회논문지
    • /
    • 제26권9호
    • /
    • pp.89-96
    • /
    • 2021
  • 본 논문에서는 Al-Saggaf 등이 제안한 TMIS(Telecare Medicine Information System)를 위한 사용자 인증 기법을 분석하였다. 2019년에 Al-Saggaf 등이 제안한 인증 기법은 생체정보를 이용한 인증 기법으로, Al-Saggaf 등은 그들의 인증 스킴이 매우 적은 계산 비용으로 다양한 공격에 대한 높은 비도를 보장한다고 주장하였다. 그러나 본 논문에서 Al-Saggaf 등의 인증 기법을 분석한 결과, Al-Saggaf 등의 인증 기법은 서버에서 사용자의 ID를 계산해내기 위해서 필요한 난수 s가 DB에서 누락되었고, 서버의 ID SID를 사용자에게 전달하는 방식이 부재하여 인증 기법의 설계 오류가 존재하였다. 또한 Al-Saggaf 등은 그들의 인증 기법이 다양한 공격에 안전하다고 주장하였으나, 로그인 요청 메시지와 스마트카드를 사용한 패스워드 추측 공격, 세션키 노출, 내부자 공격 등에 취약하였다. 또한 공격자는 추측한 패스워드를 사용하여, DB에 패스워드로 암호화하여 저장된 사용자의 생체정보까지 복호화할 수 있었다. 생체정보의 노출은 사용자의 개인정보에 대한 아주 심각한 침해이고, 이로 인하여 공격자는 사용자 가장 공격에 성공할 수 있다. 게다가 Al-Saggaf 등의 인증 스킴은 ID 추측 공격에도 취약하여, 그들이 주장했던 것과 달리 TMIS에서 중요한 사용자 익명성을 보장하지 못한다.

개인의료정보 자기결정권 행사 의도에 영향을 미치는 요인 (Factors Affecting the Intention to Adopt Self-Determination Rights of Personal Medical Information)

  • 구윤모;홍성우;김범수
    • 경영정보학연구
    • /
    • 제20권1호
    • /
    • pp.159-177
    • /
    • 2018
  • 정보통신기술의 발전과 함께 인터넷 상에서 유통되는 디지털 정보의 양과 범위가 급격히 증가하고 있다. 주목할 점은 개인정보의 가치가 광범위하게 인식되면서 의도치 않은 유출과 그에 따른 프라이버시 침해와 같은 부작용 역시 빠르게 증가하고 있다는 것이다. 이러한 개인정보 침해로 인한 정보주체의 피해를 구제하기 위해 전세계 각국은 법률적으로 개인정보 자기결정권을 구체화하고 있으나 실제 현장에서 행사되는 경우는 매우 드문 것으로 나타나고 있다. 특히, 일반적 형태의 개인정보에 비해 개인의 신체 및 건강, 진료 등에 대한 민감한 정보를 담고 있는 개인의료정보의 경우, 보안사고 발생 시 더 많은 경제사회적 문제를 가져올 수 있음에도 개인의료정보에 대한 자기결정권 행사는 충분히 이루어지지 못하고 있다. 본 연구에서는 기존 연구에서 보호와 관련된 개인의 의도 및 행동을 설명하기 위한 이론적 프레임워크로 활용되어 온 보호동기이론을 기반으로 개인의료정보의 자기결정권 행사 의도에 영향을 미치는 요인을 살펴보았다. 설문조사를 통해 수집된 200건의 데이터에 대한 실증분석 결과, 위협평가(위협에 대한 지각된 취약성, 지각된 심각성)와 대처평가(지각된 반응 효율성)가 개인의료정보의 자기결정권 행사 의도에 유의한 영향을 미치고 있는 것으로 나타났으며, 개인이 평소 갖고 있는 개인의료정보 제공에 대한 우려 역시 개인의료정보의 자기결정권 행사 의도에 유의한 영향을 주고 있는 것으로 나타났다. 도출된 결과와 관련된 이론적, 실무적 시사점과 본 연구의 한계점 및 향후 연구방향을 제시하였다.

한미자유무역협정(FTA)에 따른 도메인이름 분쟁해결의 개선방안에 관한 연구 (A Study of Domain Name Disputes Resolution with the Korea-U.S. FTA Agreement)

  • 박유선
    • 한국중재학회지:중재연구
    • /
    • 제17권2호
    • /
    • pp.167-187
    • /
    • 2007
  • As Korea has reached a free trade agreement with the United States of America, it is required to provide an appropriate procedure to ".kr" domain name disputes based on the principles established in the Uniform Domain Name Dispute Resolution Policy(UDRP). Currently, Internet address Dispute Resolution Committee(IDRC) established under Article 16 of the Act on Internet Address Resources provides the dispute resolution proceedings to resolve ".kr" domain name disputes. While the IDRC's proceeding is similar to the UDRP administrative proceeding in procedural aspects, the Domain Name Dispute Mediation Policy that is established by the IDRC and that applies to disputes involving ".kr" domain names is very different from the UDRP for generic Top Level Domain (gTLD) in substantial aspects. Under the Korea-U.S. Free Trade Agreement(KORUS FTA), it is expected that either the Domain Name Dispute Mediation Policy to be amended to adopt the UDRP or the IDRC to examine the Domain Name Dispute Mediation Policy in order to harmonize it with the principles established in the UDRP. It is a common practice of cybersquatters to warehouse a number of domain names without any active use of these domain names after their registration. The Domain Name Dispute Mediation Policy provides that the complainant may request to transfer or delete the registration of the disputed domain name if the registrant registered, holds or uses the disputed domain name in bad faith. This provision lifts the complainant's burden of proof to show the respondent's bad faith because the complainant is only required to prove one of the three bad faiths which are registration in bad faith, holding in bad faith, or use in bad faith. The aforementioned resolution procedure is different from the UDRP regime which requires the complainant, in compliance with paragraph 4(b) of the UDRP, to prove that the disputed domain name has been registered in bad faith and is being used in bad faith. Therefore, the complainant carries heavy burden of proof under the UDRP. The IDRC should deny the complaint if the respondent has legitimate rights or interests in the domain names. Under the UDRP, the complainant must show that the respondent has no rights or legitimate interests in the disputed domain name. The UDRP sets out three illustrative circumstances, any one of which if proved by the respondent, shall be evidence of the respondent's rights to or legitimate interests in the domain name. As the Domain Name Dispute Mediation Policy provides only a general provision regarding the respondent's legitimate rights or interests, the respondent can be placed in a very week foundation to be protected under the Policy. It is therefore recommended for the IDRC to adopt the three UDRP circumstances to guide how the respondent can demonstrate his/her legitimate rights or interests in the disputed domain name. In accordance with the KORUS FTA, the Korean Government is required to provide online publication to a reliable and accurate database of contact information concerning domain name registrants. Cybersquatters often provide inaccurate contact information or willfully conceal their identity to avoid objection by trademark owners. It may cause unnecessary and unwarranted delay of the administrative proceedings. The respondent may loss the opportunity to assert his/her rights or legitimate interests in the domain name due to inability to submit the response effectively and timely. The respondent could breach a registration agreement with a registrar which requires the registrant to submit and update accurate contact information. The respondent who is reluctant to disclose his/her contact information on the Internet citing for privacy rights and protection. This is however debatable as the respondent may use the proxy registration service provided by the registrar to protect the respondent's privacy.

  • PDF