Offcanvas

���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

CIO 형사처벌 GDPR 정보통신망법 개인정보보호책임자 CPO 개인정보보호법 카드사 벌금 유출 CISO 개인정보 형사처분

2018.11.07

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

2018.11.07

강은성의 Security Architect | 보안관제 100% 활용하기(2)

보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다. 그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다. 우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다. 또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것...

CSO CISO CPO 강은성 보안관제 개인정보보호책임자

2015.02.09

보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다. 그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다. 우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다. 또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것...

2015.02.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5