2019.10.10

강은성의 보안 아키텍트 | CISO의 CPO 겸직 금지

강은성 | CIO KR
지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다. 

정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).
 
1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다.

임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다. 

첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다. 

CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유출사건 등 대형 사건들이 발생하였다. 이에 대응하기 위해 “전자금융거래의 안전성과 신뢰성을 확보하고 전자금융업의 건전한 발전을 위하여 금융기관 등으로 하여금 CISO를 지정하여 조직 내 정보보호 위험을 상시적으로 관리”(법 개정 이유)하려는 목적으로 금융회사와 전자금융업자의 CISO 지정을 의무화하였다. 

2014년 10월에 전자금융거래법(2014.10.15 개정, 법률 제12837호)에 ‘CISO의 CIO 겸직 금지’ 규정이 도입되었다. 당시 법 개정 이유에서 “개인정보 유출방지 및 해킹 등 전자적 침해사고에 대한 대응을 위하여” 겸직을 금지한다고 함으로써 개인정보보호 강화가 겸직 금지의 목적임을 분명히 하였는데, 이것은 같은 해 1월에 발생한 대규모 카드사 개인정보 유출사고가 계기가 되었다.

이보다 몇 달 앞선 2014년 5월, 정보통신망법(2014.5.21 개정, 법률 제12681호)에 CISO가 처음 등장한다. 당시 개정법에서는 CISO 의무지정제뿐 아니라 개인정보 법정손해배상제가 도입되고, 개인정보 파기 요건이 강화되었는데, 이는 개정 이유에서 밝힌 것과 같이 “최근 은행, 카드사 등에서 1억 건이 넘는 개인정보가 유출되는 사건이 발생하는” 등 개인정보 유출에 의한 피해가 크므로 “사전에 개인정보가 유출되지 못하도록 법적·제도적 장치를 마련할 필요성”이 있었기 때문이다. 즉 정보통신망법에서 CISO 의무지정제를 도입한 계기 역시 개인정보 유출사고였다(정보통신망법에 CPO가 도입된 것은 이보다 훨씬 앞선 2008년 6월의 일이다. 2008년 1월에 A쇼핑몰에서 발생한 대규모 개인정보 유출사고가 계기가 되었다). 

이렇게 관련 법의 개정 역사를 살펴보면, 정보통신망법의 CISO 제도와 전자금융거래법의 CISO의 CIO 겸직 금지 제도는 개인정보 보호를 위해 도입되었음을 알 수 있다. 따라서 개정 정보통신망법에서 CISO의 CPO 겸직을 금지한 것은 CISO 제도의 도입 취지에 크게 어긋나고, 법의 일관성을 깨뜨리는 일이다.

둘째, 정보통신망법에서 규정한 CPO의 업무(또는 그 일부)는 정보통신망법에서 규정한 CISO 업무에 포함된다.

정보통신망법은 개인정보보호법과 달리 CPO의 업무를 구체적으로 명시하고 있지 않다. 다만, “이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리”하기 위하여 CPO를 선임하라고 하였고(제27조), 이 조항을 포함한 제4장(제22조~제32조의5)의 제목이 ‘개인정보의 보호’여서, CPO가 제4장에서 규정한 ‘개인정보의 보호’ 업무를 총괄하여야 한다는 점을 알 수 있다. 그중에서도 제28조(개인정보의 보호조치)와 하위 시행령 제15조(개인정보의 보호조치), 하위 고시 ‘개인정보의 기술적·관리적 보호조치 기준'(방송통신위원회 고시, 이하 ‘보호조치 기준’)은 개인정보 유출사고 등을 예방하기 위해 사업자가 취해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있다. 사업자들이 거의 ‘바이블'처럼 여기는 조항인데, 이들 법규의 해석과 집행 현장에서 CPO의 업무로 간주되어 왔다.

문제는 이 업무가 정보통신망법상 CISO의 업무로 충분히 해석될 수 있고, 많은 기업에서 실제 CISO의 업무라는 점이다. (기업에 따라 일부 업무는 CIO가 담당하기도 한다) ‘보호조치 기준' 각 조문의 제목만 살펴봐도 쉽게 알 수 있다. 
 
접근통제(제4조), 접속기록의 위·변조방지(제5조), 개인정보의 암호화(제6조), 악성 프로그램 방지(제7조), 물리적 접근 방지(제8조), 출력·복사 시 보호조치(제9조), 개인정보 표시 제한 보호조치(제10조)

제4조의 접근통제를 준수하기 위해서는 일회용 비밀번호나 인증서, 생체인증 등 추가 인증수단이 필요하고 가상사설망, 네트워크 방화벽, 침입탐지시스템, 침입차단시스템, 웹방화벽, 내부정보유출방지 등 보안솔루션의 설치와 운영, 세부 정책(rule)의 설정, 로그 분석 등을 해야 한다. ‘개인정보 침해사고’에 대응하기 위한 업무들이다. 이는 CISO의 업무 중 ‘침해사고의 예방과 대응’(제45조의3 제4항 제3호)에 해당한다. 중요 정보의 침해라는 관점에서 보면 개인정보는 산업기술, 영업비밀과 함께 사업자가 보유한 중요 정보 중의 하나이기 때문이다. 

‘이용자의 개인정보 보호'가 CPO의 업무이기 때문에 CISO가 하지 말아야 한다면, 개인정보에 대한 보호조치와 IT인프라나 산업기술 등 다른 정보자산에 대한 보호조치를 공통으로 구축하고 있는 대다수 기업에서 CISO의 업무가 많이 줄어들 것이고, 오히려 법의 취지와 달리 CISO 전담 또는 겸직 금지의 필요성이 줄어드는 역효과를 낳게 될 것이다. 법이 본격적으로 시행되면 많은 회사에서 CISO가 아니라 CPO를 전담으로 바꾸는 것이 좀 더 합리적인 상황이 될지도 모른다. “CISO 제도의 실효성 확보”라는 법 개정 취지에 역행하는 일이 아닐까 싶다.

셋째, ‘개인정보 보호조치’는 CISO의 업무 중 “그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행”(제45조의3 제4항 제7호)에 포함될 수 있다.

사실 기업 현장에서는 궁여지책으로 “이 법 또는 관계 법령"에 개인정보 보호조치가 규정된 정보통신망법 제4장이나 개인정보보호법이 포함된다면 CPO를 겸직할 수 있을 거라는 기대도 하였다. 하지만 이는 포함되지 않았고, ‘Q&A’에 따르면 “암호·인증·인식·감시 등의 보안기술을 활용하여 재난·재해·범죄 등에 대응하거나 관련 장비·시설을 안전하게 운영하”기 위한 “관리적·기술적·물리적 수단을 마련하는 것”이 ‘정보보호’에 포함(정보보호산업법 제2조 제1항 제1호 나목)된다고 한다.

이 해석에 따르더라도 ‘암호기술’을 통해 개인정보 유출 ‘범죄’에 대응하는 것이 ‘보호조치 기준’의 ‘개인정보의 암호화’(제6조)이고, ‘인증기술'을 통해 ‘범죄’에 대응하는 것이 ‘보호조치 기준'의 ‘접근통제’(제4조)에서 규정된 ‘안전한 인증수단’이다. 기업에서는 동일한 업무인데, 법률에 따라 포함 여부가 달라지는 것인지 혼란스럽다. 이제 기업에서 CISO의 겸직 금지 조항을 준수하기 위해서는 CISO의 업무를 펼쳐 놓고, 법에서 규정하지 않는 업무를 분리해 내야 할 필요가 생겼다. 그런데 사실 위에서 살펴본 바와 같이 모호한 부분이 있어서 쉽지 않은 일이 될 것이다. 
 
시행령 개정 과정에서 과기정통부나 관련 법률가, 관련 업계에서 이 문제점을 완화하기 위해 노력했음에도 불구하고 결과적으로 현 시행령과 ‘Q&A’가 나온 것은 개정법 조문과 그에 대한 법제처의 해석 때문이라고 한다. 결국, 이 문제는 CISO가 CPO 업무를 겸직할 수 있도록 법률이 개정되어야 해결될 수 있을 것으로 보인다. 기업 현장의 혼란이 하루빨리 해소되기를 기대해 본다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2019.10.10

강은성의 보안 아키텍트 | CISO의 CPO 겸직 금지

강은성 | CIO KR
지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다. 

정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).
 
1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다.

임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다. 

첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다. 

CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유출사건 등 대형 사건들이 발생하였다. 이에 대응하기 위해 “전자금융거래의 안전성과 신뢰성을 확보하고 전자금융업의 건전한 발전을 위하여 금융기관 등으로 하여금 CISO를 지정하여 조직 내 정보보호 위험을 상시적으로 관리”(법 개정 이유)하려는 목적으로 금융회사와 전자금융업자의 CISO 지정을 의무화하였다. 

2014년 10월에 전자금융거래법(2014.10.15 개정, 법률 제12837호)에 ‘CISO의 CIO 겸직 금지’ 규정이 도입되었다. 당시 법 개정 이유에서 “개인정보 유출방지 및 해킹 등 전자적 침해사고에 대한 대응을 위하여” 겸직을 금지한다고 함으로써 개인정보보호 강화가 겸직 금지의 목적임을 분명히 하였는데, 이것은 같은 해 1월에 발생한 대규모 카드사 개인정보 유출사고가 계기가 되었다.

이보다 몇 달 앞선 2014년 5월, 정보통신망법(2014.5.21 개정, 법률 제12681호)에 CISO가 처음 등장한다. 당시 개정법에서는 CISO 의무지정제뿐 아니라 개인정보 법정손해배상제가 도입되고, 개인정보 파기 요건이 강화되었는데, 이는 개정 이유에서 밝힌 것과 같이 “최근 은행, 카드사 등에서 1억 건이 넘는 개인정보가 유출되는 사건이 발생하는” 등 개인정보 유출에 의한 피해가 크므로 “사전에 개인정보가 유출되지 못하도록 법적·제도적 장치를 마련할 필요성”이 있었기 때문이다. 즉 정보통신망법에서 CISO 의무지정제를 도입한 계기 역시 개인정보 유출사고였다(정보통신망법에 CPO가 도입된 것은 이보다 훨씬 앞선 2008년 6월의 일이다. 2008년 1월에 A쇼핑몰에서 발생한 대규모 개인정보 유출사고가 계기가 되었다). 

이렇게 관련 법의 개정 역사를 살펴보면, 정보통신망법의 CISO 제도와 전자금융거래법의 CISO의 CIO 겸직 금지 제도는 개인정보 보호를 위해 도입되었음을 알 수 있다. 따라서 개정 정보통신망법에서 CISO의 CPO 겸직을 금지한 것은 CISO 제도의 도입 취지에 크게 어긋나고, 법의 일관성을 깨뜨리는 일이다.

둘째, 정보통신망법에서 규정한 CPO의 업무(또는 그 일부)는 정보통신망법에서 규정한 CISO 업무에 포함된다.

정보통신망법은 개인정보보호법과 달리 CPO의 업무를 구체적으로 명시하고 있지 않다. 다만, “이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리”하기 위하여 CPO를 선임하라고 하였고(제27조), 이 조항을 포함한 제4장(제22조~제32조의5)의 제목이 ‘개인정보의 보호’여서, CPO가 제4장에서 규정한 ‘개인정보의 보호’ 업무를 총괄하여야 한다는 점을 알 수 있다. 그중에서도 제28조(개인정보의 보호조치)와 하위 시행령 제15조(개인정보의 보호조치), 하위 고시 ‘개인정보의 기술적·관리적 보호조치 기준'(방송통신위원회 고시, 이하 ‘보호조치 기준’)은 개인정보 유출사고 등을 예방하기 위해 사업자가 취해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있다. 사업자들이 거의 ‘바이블'처럼 여기는 조항인데, 이들 법규의 해석과 집행 현장에서 CPO의 업무로 간주되어 왔다.

문제는 이 업무가 정보통신망법상 CISO의 업무로 충분히 해석될 수 있고, 많은 기업에서 실제 CISO의 업무라는 점이다. (기업에 따라 일부 업무는 CIO가 담당하기도 한다) ‘보호조치 기준' 각 조문의 제목만 살펴봐도 쉽게 알 수 있다. 
 
접근통제(제4조), 접속기록의 위·변조방지(제5조), 개인정보의 암호화(제6조), 악성 프로그램 방지(제7조), 물리적 접근 방지(제8조), 출력·복사 시 보호조치(제9조), 개인정보 표시 제한 보호조치(제10조)

제4조의 접근통제를 준수하기 위해서는 일회용 비밀번호나 인증서, 생체인증 등 추가 인증수단이 필요하고 가상사설망, 네트워크 방화벽, 침입탐지시스템, 침입차단시스템, 웹방화벽, 내부정보유출방지 등 보안솔루션의 설치와 운영, 세부 정책(rule)의 설정, 로그 분석 등을 해야 한다. ‘개인정보 침해사고’에 대응하기 위한 업무들이다. 이는 CISO의 업무 중 ‘침해사고의 예방과 대응’(제45조의3 제4항 제3호)에 해당한다. 중요 정보의 침해라는 관점에서 보면 개인정보는 산업기술, 영업비밀과 함께 사업자가 보유한 중요 정보 중의 하나이기 때문이다. 

‘이용자의 개인정보 보호'가 CPO의 업무이기 때문에 CISO가 하지 말아야 한다면, 개인정보에 대한 보호조치와 IT인프라나 산업기술 등 다른 정보자산에 대한 보호조치를 공통으로 구축하고 있는 대다수 기업에서 CISO의 업무가 많이 줄어들 것이고, 오히려 법의 취지와 달리 CISO 전담 또는 겸직 금지의 필요성이 줄어드는 역효과를 낳게 될 것이다. 법이 본격적으로 시행되면 많은 회사에서 CISO가 아니라 CPO를 전담으로 바꾸는 것이 좀 더 합리적인 상황이 될지도 모른다. “CISO 제도의 실효성 확보”라는 법 개정 취지에 역행하는 일이 아닐까 싶다.

셋째, ‘개인정보 보호조치’는 CISO의 업무 중 “그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행”(제45조의3 제4항 제7호)에 포함될 수 있다.

사실 기업 현장에서는 궁여지책으로 “이 법 또는 관계 법령"에 개인정보 보호조치가 규정된 정보통신망법 제4장이나 개인정보보호법이 포함된다면 CPO를 겸직할 수 있을 거라는 기대도 하였다. 하지만 이는 포함되지 않았고, ‘Q&A’에 따르면 “암호·인증·인식·감시 등의 보안기술을 활용하여 재난·재해·범죄 등에 대응하거나 관련 장비·시설을 안전하게 운영하”기 위한 “관리적·기술적·물리적 수단을 마련하는 것”이 ‘정보보호’에 포함(정보보호산업법 제2조 제1항 제1호 나목)된다고 한다.

이 해석에 따르더라도 ‘암호기술’을 통해 개인정보 유출 ‘범죄’에 대응하는 것이 ‘보호조치 기준’의 ‘개인정보의 암호화’(제6조)이고, ‘인증기술'을 통해 ‘범죄’에 대응하는 것이 ‘보호조치 기준'의 ‘접근통제’(제4조)에서 규정된 ‘안전한 인증수단’이다. 기업에서는 동일한 업무인데, 법률에 따라 포함 여부가 달라지는 것인지 혼란스럽다. 이제 기업에서 CISO의 겸직 금지 조항을 준수하기 위해서는 CISO의 업무를 펼쳐 놓고, 법에서 규정하지 않는 업무를 분리해 내야 할 필요가 생겼다. 그런데 사실 위에서 살펴본 바와 같이 모호한 부분이 있어서 쉽지 않은 일이 될 것이다. 
 
시행령 개정 과정에서 과기정통부나 관련 법률가, 관련 업계에서 이 문제점을 완화하기 위해 노력했음에도 불구하고 결과적으로 현 시행령과 ‘Q&A’가 나온 것은 개정법 조문과 그에 대한 법제처의 해석 때문이라고 한다. 결국, 이 문제는 CISO가 CPO 업무를 겸직할 수 있도록 법률이 개정되어야 해결될 수 있을 것으로 보인다. 기업 현장의 혼란이 하루빨리 해소되기를 기대해 본다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X