zinoing 님의 블로그

MOZI Studios(이하 “회사”)는 「개인정보 보호법」 등 관련 법령을 준수하며, 이용자의 개인정보를 보호하기 위하여 최선을 다하고 있습니다. 본 개인정보처리방침은 회사가 제공하는 서비스에서 처리되는 개인정보의 항목, 목적, 보관기간 등을 투명하게 안내하기 위해 마련되었습니다.1. 개인정보의 수집 항목 및 방법1) 수집 항목회사는 다음과 같은 개인정보를 수집할 수 있습니다.① 필수 항목이름 또는 닉네임계정 ID② 서비스 이용 중 자동 수집 정보서비스 이용 기록, 로그 기록, 접속 시간③ 선택 항목프로필 이미지2) 수집 방법회원가입 및 서비스 이용 과정에서 이용자 직접 입력2. 개인정보의 수집 및 이용 목적회사는 수집한 개인정보를 다음의 목적으로 이용합니다.회원가입 및 본인 인증서비스 제공 및 이용 ..

1. 개념 정의간접수집은 정보주체로부터 직접 받지 않고, 제3자나 다른 기관을 통해 수집하는 것을 말함.예를 들어,병원이 보험회사로부터 고객의 건강정보를 전달받는 경우마케팅 회사가 다른 제휴사로부터 고객 DB를 받는 경우구직 사이트에서 시업이 이력서를 내려받는 경우이처럼 정보주체 본인이 직접 제공하지 않은 경우가 "간접수집"2. 법적 근거제20조(개인정보의 수집 출처 등을 정보주체에게 알릴 의무)① 개인정보처리자가 정보주체로부터 직접 수집하지 아니한 개인정보를 처리하는 경우에는,수집한 날부터 14일 이내에 다음 각 호의 사항을 정보주체에게 알려야 한다. 알려할 주요 내용개인정보의 수집 출처개인정보의 처리 목적개인정보의 처리 정지, 열람, 정정 요구권 등 정보주체 권리법 제20조 제3항에 따른 예외 사유가..

Q. 정보 주체와의 계약체결 및 이행을 위해 처리위탁 및 보관이 필요한 경우란 어떤 경우를 말하는 것인지?A. 정보 주체와의 계약체결 및 이행을 위해 필요한 경우는 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이해하기 위하여 필요한 경우로서, 국외에서 개인정보 처리위탁이 필요하거나 국외에서 개인정보 보관이 필요한 경우로서, 국외에서 개인정보 처리위탁이 필요하거나 국외에서 개인정보 보관이 필요한 경우를 의미함. 다만 특정 업무가 정보 주체의 요청에 따은 조치를 이행하기 위하여 피요한 경우인지 여부는 해당 사업자가 제공하는 서비스 및 제품의 성격 및 사업 구조 등을 종합적으로 고려하여 판단이 필요. Q. 개인정보 보호와 관련된 인증은 아무거나 보유하고 있으면 정..

기준수집 및 이용(제15조)제공(17조)정보주체의 동의를 받은 경우수집 및 이용 가능제공 가능법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우수집 및 이용 가능수집목적 범위 안에서 제공 가능공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우수집 및 이용 가능수집목적 범위 안에서 제공 가능정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 수반되는 경우수집 및 이용 가능제공 불가(정보주체 동의 필요)정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우수집 및 이용 가능수집목적 범위 안에서 제공 가능개..

Q. 고객이 TV홈쇼핑, 온라인 쇼핑몰을 통해 여행 상품에 대해 상담하였으나, 실제로 계약이 체결되지 않은 경우, 고객이 예약 후 취소한 경우 개인정보의 파기는 어떻게 해야 하는가?A. TV홈쇼핑, 온라인 쇼핑몰로부터 제공받은 고객정보를 바탕으로 여행 상담 이후 계약 체결이 되지 않고 상담으로만 끝나는 경우라면 제공받은 고객정보는 지체 없이(5일 이내)파기하여아 한다. 다만, 고객이 예약 후 취소한 경우라면 고객이 여행상춤에 대한 비용결제는 하지 않았다면 지체 없이 파기하는 것이 바람직하고 고객이 여행상품에 대한 비용결제를 완료하였다면 환불 등 과정을 거쳐야 하므로 법적근거에 따라 그 기간 동안 보유해야 한다. Q. 쇼핑몰에서 탈퇴한 회원들의 개인정보를 파기하려고 하는데, 일부 회원들은 할부 요금이 아직..

개인정보 분쟁조정 절차신청사건의 접수 및 통보개인정보에 관한 분쟁조정은 웹사이트, 우편 등을 통해 신청인이 직접 또는 개인으로 신청할 수 있으며, 분쟁조정사건이 접수되면 신청자와 상대방에게 접수사실이 통보됨.사실확인 및 당사자 의견청취사건담당자는 전화, 우편, 전자우편 등 다양한 수단을 이용한 자료 수집을 통해 분쟁조정 사건에 대한 사실조사를 실시하고, 사실조사가 완료되면 이를 토대로 사실조사보고서를 작성하여 본 사건을 위원회에 회부함.조정전 합의권고개인정보분쟁조정위원회는 조정에 들어가기 앞서 당사잔 간의 자율적인 노력에 의해 원만히 분쟁이 해결될 수 있도록 합의를 권고할 수 있으며, 합의권고에 의해 당사잔 간의 합의가 성립하면 사건이 종결됨.위원회의 조정절차 개시조정 전 합의가 이루어지지 않으면 위원회..

1. SQL Injection이란 무엇인가 SQL Injection은 사용자 입력이 검증 없이 SQL 쿼리에 직접 결합되어, 공격자가 악의적인 SQL을 삽입·실행할 수 있게 되는 취약점이다. 결과는 인증 우회, 데이터 유출·변조, 심지어 DB 서버 권한 획득까지 이어질 수 있다.2. 왜 위험한가?데이터베이스는 애플리케이션의 핵심 데이터(계정, 결제정보, 개인정보)를 보관한다.공격자는 SQL을 조작해 민감한 데이터를 조회하거나 삭제·변경할 수 있다.자동화 도구(sqlmap 등)를 이용하면 단시간에 치명적인 피해를 일으킬 수 있다.3. 주요 공격 유형Error-based SQLi: 에러 메시지를 통해 DB 구조나 컬럼 정보를 알아냄.Union-based SQLi: UNION으로 임의의 쿼리 결과를 합쳐 민감..

웹 애플리케이션 보안 취약점 중 XSS(Cross-Site Scripting) 는 OWASP Top 10에도 꾸준히 등장하는 대표적인 공격이다.XSS는 공격자가 웹 페이지에 악성 스크립트를 삽입하여, 다른 사용자의 브라우저에서 실행되도록 유도하는 공격 기법이다.이번 글에서는 XSS의 개념, 공격 방식, 예시, 그리고 방어 방법을 살펴보겠다.1. XSS란 무엇인가?정의: 공격자가 웹 애플리케이션에 악성 자바스크립트를 삽입해, 사용자의 브라우저에서 실행되게 만드는 공격.위험성:쿠키/세션 탈취피싱(가짜 입력창)악성 행위 자동 수행(예: 게시글 자동 등록, 계정 변경)2. XSS 공격 방식XSS는 크게 세 가지 유형으로 구분된다.저장형(Persistent XSS)악성 스크립트가 서버 DB에 저장 → 이후 페이지..

웹 애플리케이션에서 중요한 과제 중 하나는 바로 사용자의 인증(Authentication) 과 인가(Authorization) 관리이다.전통적으로는 서버 세션(Session)을 사용했지만, 최근에는 JWT(Json Web Token) 기반 인증이 널리 쓰이고 있다.이번 글에서는 JWT의 개념과 역할, 그리고 세션과의 차이를 정리해보겠다.1. JWT란 무엇인가?JWT (Json Web Token) 은 JSON 형식으로 정보를 안전하게 표현하는 토큰 규격이다.서버가 로그인 성공 후 클라이언트에게 발급하며, 이후 요청마다 HTTP 헤더에 담아 전송된다.JWT는 서명(Signature)을 포함하므로, 토큰이 위조되었는지 서버에서 쉽게 검증할 수 있다.2. JWT의 구조JWT는 세 부분으로 구성되며, .(점)으로..

인터넷을 이용하다 보면 주소창에 https:// 로 시작하는 사이트를 자주 보게 된다. 여기서 s는 secure(보안)을 의미하는데, HTTPS가 안전한 이유는 바로 SSL/TLS 인증서 덕분아다. 이번 글에서는 HTTPS와 SSL 인증서가 어떤 역할을 하는지 알아보겠다.1. HTTP vs HTTPSHTTP (HyperText Transfer Protocol): 웹 브라우저와 서버가 데이터를 주고받는 규약.문제는 모든 데이터가 평문으로 전송되어, 네트워크에서 패킷을 가로채면 로그인 정보나 카드 번호가 그대로 노출될 수 있다.HTTPS (HTTP Secure): HTTP에 SSL/TLS 암호화 계층을 덧붙인 프로토콜.즉, 서버와 브라우저 간 통신을 암호화하여 중간에서 데이터가 노출·변조되지 않도록 보호한다..