정부 또는 법 집행 기관의 계약업체로서 형사 사법 정보(CJI)를 취급하는 비즈니스를 시작하거나 운영하는 경우, 귀하는 CJIS 규정 준수에 대해 이미 알고 계실 것입니다.

아직 잘 모르신다면, 본 문서를 통해 CJIS 규정 준수가 무엇인지, 누가 이를 준수해야 하는지, 그리고 귀하의 비즈니스가 이러한 기준을 충족할 수 있도록 개인정보 보호 중심의 도구 및 서비스에 접근하는 방법을 이해하는 데 도움을 받으실 수 있습니다.

CJIS란 무엇인가요?

CJIS 보안 정책(새 창)FBI(새 창)형사 사법 정보 서비스(새 창)(CJIS) 부서에서 수립한 보안 표준 세트입니다. 이는 수집부터 저장, 공유, 폐기에 이르기까지 CJI의 모든 수명 주기 단계에서 정보를 보호하도록 설계되었습니다.

CJIS 규정 준수는 미국 기반 조직뿐만 아니라 미국 법 집행 기관이나 정부 기관과 협력하는 해외 기업들에게도 필수적입니다. CJI를 처리, 저장 또는 가공하는 기업이 CJIS 보안 정책을 준수하는 것은 이제 업계 표준이 되었습니다.

CJIS에는 어떤 데이터가 포함되나요?

CJIS 정책에 해당하는 정보 유형은 다양합니다.

  • 생체 인식 데이터: 개인을 식별하는 신체적 또는 행동적 특성(예: 지문, 안면 인식)에서 추출된 데이터입니다.
  • 신원 기록 데이터: 생체 인식 데이터와 연결된 텍스트 데이터입니다. 이 데이터는 종종 범죄 활동 기록을 구성하는 데 사용됩니다.
  • 전기적 데이터: 특정 사건과 관련이 있지만 반드시 개인의 신원과 연결될 필요는 없는 정보입니다.
  • 재산 데이터: 사건과 관련된 차량 및 재산에 관한 정보입니다.
  • 사건/사고 기록: 개인의 범죄 이력입니다.
  • 개인 식별 정보(PII): 이름, 사회 보장 번호, 생체 인식 기록을 포함하여 개인을 식별하는 데 사용될 수 있는 모든 정보입니다.

주, 지역 또는 연방 법 집행 기관이 FBI를 통해 형사 사법 정보에 접근하는 경우, 해당 정보의 전체 수명 주기에 걸쳐 적절한 제어 조치가 적용되어야 합니다.

누가 CJIS 규정을 준수해야 하나요?

법 집행 기관, 민간 계약업체, 클라우드 서비스 제공업체를 포함하여 CJI를 취급하는 모든 조직은 CJIS 표준을 준수해야 합니다.

CJIS 규정 준수는 기본적으로 FBI의 요구 사항이지만, 관련된 모든 데이터의 민감한 성격 때문에 사실상 업계 표준이 되었습니다. 조직이 FBI와 직접 협력하지 않더라도 CJI를 취급하는 경우, 불이익 없이 운영을 지속하기 위해 CJIS 표준을 준수해야 합니다.

이는 CJI와 상호 작용하는 데이터 시스템, 백업, 네트워크 및 기기(예: 프린터)로 확장되며, 이 모든 요소는 CJIS 가이드라인에 따라 보호되어야 합니다.

기업이 CJIS 데이터를 부적절하게 접근하거나 유포할 경우 연방 및 주의 민사 및 형사 처벌을 받을 수 있습니다. 이러한 처벌에는 벌금뿐만 아니라 CJIS에 대한 접근 권한 정지, 취소 또는 모니터링(새 창)이 포함될 수 있습니다.

형사 사법 정보(CJI)를 수집, 처리 또는 사용하는 정부 기관에 의해 수집된 정보라 할지라도 국가 데이터 교환(N-DEx)(새 창) 시스템에 제출되지 않은 경우에는 CJIS 제어 대상이 아니라는 점에 유의해야 합니다.

그러나 일단 제출된 정보는 반드시 CJIS 표준을 준수해야 합니다. N-DEx는 기관 간에 형사 사법 정보를 공유하기 위한 핵심 시스템으로, 해당 데이터를 안전하고 일관되게 관리할 수 있도록 합니다.

CJIS(형사 사법 정보 서비스) 감사 부서(CAU)는 CJIS 시스템 및 프로그램을 사용하는 기관을 감사함으로써 형사 사법 정보의 무결성을 보호합니다. 해당 기관에는 다음이 포함됩니다(새 창).

  • 주 CSA 및 저장소
  • 주 UCR 프로그램 사무국
  • 연방 CSA
  • 연방 규제 기관
  • 광역 네트워크(WAN) 연결을 사용하는 미국 영토 내 기관
  • FBI 승인 채널러(권한이 있는 수신인을 대신하여 비범죄 사법 배경 조사를 위한 지문의 전자 제출을 용이하게 하도록 FBI가 선정한 계약업체)
  • 범죄 기록 정보의 권한 있는 수신인
  • 성범죄자 등록부
  • 법 집행 기업 포털 신원 제공자
  • 모든 FBI 구성 요소

CJIS 규정 준수의 핵심은 암호화입니다

CJIS 데이터베이스에 접근하기 위해 조직은 사용자 신원을 확인하기 위한 다요소 인증(MFA) 구현, 민감한 데이터를 보거나 수정할 수 있는 인원을 제한하는 엄격한 접근 제어 유지, CJI를 취급하는 시스템 및 기기를 보호하기 위한 물리적 보안 조치 시행 등 다양한 보안 표준을 준수해야 합니다.

하지만 암호화가 CJIS 규정 준수의 핵심입니다.

암호화란 무엇인가요?

암호화는 정보를 알아보기 어렵게 만들어 대상자 외에는 아무도 접근할 수 없도록 하는 방법입니다. 이는 정보를 잠그고 해제하는 수학적 알고리즘을 사용하는 컴퓨터 프로그램을 통해 수행됩니다.

CJIS 보안 정책에는 암호화를 명시적으로 언급하는 두 개의 섹션이 있습니다.

  • 섹션 5.10.1.2.1: CJI가 물리적으로 안전한 장소의 경계 밖으로 전송될 때, 데이터는 암호화를 통해 즉시 보호되어야 한다. 암호화가 사용될 때 사용되는 암호화 모듈은 FIPS 140-2 인증을 받아야 하며 CJI 보호를 위해 최소 128비트 이상의 대칭 암호 키 강도를 사용해야 한다.
  • 섹션 5.10.1.2.2: CJI가 물리적으로 안전한 장소의 경계 밖에서 유휴 상태(즉, 디지털로 저장됨)일 때, 데이터는 암호화를 통해 보호되어야 한다. 암호화가 사용될 때 기관은 위의 섹션 5.10.1.2.1의 표준에 따라 CJI를 암호화하거나, FIPS 197 인증(AES)을 받은 최소 256비트 이상의 강도를 가진 대칭 암호를 사용해야 한다.

암호화는 CJI가 유휴 상태일 때와 전송 중일 때 모두 보호되도록 돕습니다. 안타깝게도 클라우드 저장공간이메일과 같은 많은 온라인 서비스는 기본적으로 종단 간 암호화를 사용하지 않아 전송 중에 데이터가 취약한 상태로 방치됩니다.

저희는 이러한 요구를 충족하기 위해 2014년에 Proton을 만들었습니다. 스위스 CERN(유럽 입자 물리 연구소)에서 만난 과학자들이 개발한 Proton은 누구나 쉽게 사용할 수 있는 방식으로 강력한 종단 간 암호화를 적용하여 민감한 이메일, 파일, 비밀번호 및 기타 데이터를 보호합니다. 오늘날 정부 기관, 군 부대, 포춘 500대 기업을 포함한 1억 명 이상의 사용자가 정보를 보호하고 데이터 보호 표준을 준수하기 위해 Proton을 신뢰하고 있습니다.

Proton으로 데이터를 보호하세요

Proton Mail을 통해 정보를 보내든, Proton Drive에 파일을 저장하든, Proton Pass로 자격 증명을 관리하든, Proton은 귀하의 데이터를 안전하게 유지하고 승인되지 않은 접근으로부터 보호합니다.

기본적인 프라이버시

Proton Mail을 사용하면 조직 내에서 발송되는 이메일은 기본적으로 종단간 암호화됨으로 처리됩니다. 즉, 메시지와 첨부 파일은 서버로 전송되기 전 귀하의 기기에서 잠기며 오직 수신인만이 잠금을 해제하여 읽을 수 있습니다. Proton Mail 이외의 계정으로 보내는 이메일의 경우, 비밀번호로 보호된 이메일을 보낼 수 있으며 수신 이메일을 자동으로 보호하기 위해 제로 액세스 암호화가 적용됩니다.

모든 경우에 메시지는 항상 저희 서버에서 암호화됩니다. 이는 서버 보안 사고가 발생하더라도 귀사 이메일은 안전하게 유지되며 귀하 외에는 누구도 읽을 수 없어 사이버 공격으로부터 기밀 정보를 보호할 수 있음을 의미합니다.

Proton이 귀하의 메시지, 파일 및 여러 종류의 메타데이터를 복호화하는 것은 수학적으로 불가능합니다. (암호화되는 항목 확인.) 또한 Proton은 스위스에 기반을 두고 있으므로, 수집되는 귀하에 관한 최소한의 데이터는 스위스 개인정보 보호법의 보호를 받으며 외국 법 집행 기관의 요청 대상이 되지 않습니다.

해커로부터 방어

Proton은 잠재적인 사이버 공격에 대비한 여러 계층의 방어 체계도 갖추고 있습니다.

  • PhishGuard: Proton의 PhishGuard 필터는 피싱 시도를 식별하고 표시하도록 설계되었습니다. 피싱 공격이 감지되면 경고가 표시됩니다.
  • 2단계 인증(2FA): Proton Mail은 2단계 인증(2FA)으로 비밀번호 이상의 보안을 제공합니다. Proton은 인증 앱 및 물리적 보안 키를 포함한 여러 2FA 방법을 지원하므로 가장 편리하고 안전한 옵션을 선택할 수 있습니다. Proton Business 요금제를 사용하면 관리자는 직원의 보안을 강화하기 위해 조직에 2FA를 의무적으로 적용할 수도 있습니다.
  • Proton Sentinel: Proton Sentinel은 Proton Mail Professional 또는 Proton Business Suite 요금제에서 사용할 수 있는 Proton의 고급 계정 보호 프로그램입니다. 이 프로그램은 AI와 전문가 분석을 결합하여 강력한 보안이 필요한 귀하를 위해 설계되었습니다. 이는 경영진이나 민감한 데이터 및 통신을 다루는 분들께 특히 유용합니다. Proton Sentinel은 의심스러운 로그인 시도를 보안 분석가에게 에스컬레이션할 수 있는 24/7 지원을 제공합니다.

Proton으로 규정 준수 유지하기

Proton의 목표는 개인과 조직이 자신의 데이터를 직접 제어할 수 있도록 인터넷 환경을 재구성하는 것입니다.

Proton Mail로의 전환은 Easy Switch 기능을 통해 매우 간단하며, 팀을 위한 별도의 교육 없이도 조직의 모든 이메일, 연락처, 캘린더를 다른 서비스에서 원활하게 이전할 수 있습니다.

추가 도움이 필요한 경우 Proton 지원팀이 연중무휴 24시간 실시간 지원을 제공합니다. 종단간 암호화된 이메일 서비스인 Proton Mail과 종단간 암호화된 클라우드 저장공간 서비스인 Proton Drive를 통해 데이터 보호 및 개인정보 보호 요건을 간편하게 충족할 수 있습니다.

Proton for Business를 사용하면 다음과 같은 추가 혜택을 누릴 수 있습니다.

  • Proton Mail: 종단간 암호화된 이메일로 비즈니스 통신을 보호하세요. 귀하와 지정된 수신인만 메시지를 읽을 수 있습니다.
  • Proton VPN: 고속 VPN 접근으로 인터넷 연결을 보호하고 온라인 활동을 안전하게 지키세요.
  • Proton Calendar: 비즈니스 이벤트를 비공개로 유지해 주는 암호화된 캘린더로 일정을 관리하세요.
  • Proton Pass: 암호화된 비밀번호 관리자로 귀하의 비밀번호를 안전하게 저장하고 관리하세요.
  • Proton Drive: 종단 간 암호화를 통해 비즈니스 파일을 안전하게 저장하고 공유하며, 데이터를 비공개로 안전하게 보호하세요.
Proton for Business 받기

비즈니스를 Proton 생태계로 옮기면, 귀하 자신과 위탁된 데이터를 보호하고 규정을 준수하는 동시에 개인정보 보호가 기본이 되는 미래를 구축하는 데 동참하게 됩니다.