Offcanvas

������������������

강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

강은성 강은성의 보안 아키텍트 정보통신망법 CISO 정보보호 보안

2021.07.22

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

2021.07.22

강은성의 보안 아키텍트 | 정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

CISO 개인정보보호 관리체계 정보통신망법 CCTV 강은성 CPO PIMS 개인정보보호법 벌금 처벌

2019.12.23

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

2019.12.23

강은성의 보안 아키텍트 | CISO의 CPO 겸직 금지

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

개인정보 보호 전자금융거래법 전자금융 네트워크 방화벽 내부정보유출방지 침입탐지시스템 가상사설망 정보통신망법 웹방화벽 CPO VPN 카드사 암호 인증 CISO 금융 침입차단시스템

2019.10.10

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

2019.10.10

강은성의 보안 아키텍트 | 접속기록 관리와 개인정보 유출 탐지

지난 칼럼에 이어 개인정보보호 법규에서 규정한 접속기록 관리에 관해 다루려고 한다. 이에 관하여 개인정보보호법 하위 고시에서는 다음과 같이 규정하고 있다.   제8조(접속기록의 보관 및 점검)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. (이하 생략) ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. (이하 생략) ③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7), 이하 ‘안전조치 기준’) 2011년 9월 ‘안전조치 기준’ 제정 당시 이 조문의 내용은 다음과 같았다.   제8조(접속기록의 보관 및 위·변조방지)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다. ② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2011.9.30)) 이 둘의 가장 큰 차이는, 개인정보 유출 등 사고에 대응(사전 또는 사후 탐지)하기 위하여 접속기록을 점검하라는 제2항의 신설이다. 이 항은 2014년 12월 30일 고시가 개정될 때 신설되었다. 석 달 전인 같은 해 9월에, k사의 2012년 개인정보 유출사고에 대한 민사소송 1심 판결이 있었는데, 재판부는 k사가 접속기록 관리 의무를 위반하였다고 판단하였다. (1심 판결의 주요 내용에 관해서는 “[강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제”를 참고하기 바란다.)  재판부가 위반 근거로 본 정보통신망법 하위 고시의 조항은 다음과 같다.   제5조(접...

CIO CSO 개인정보 소송 CISO 강은성 정보통신망법 고시 접속기록 관리

2019.09.16

지난 칼럼에 이어 개인정보보호 법규에서 규정한 접속기록 관리에 관해 다루려고 한다. 이에 관하여 개인정보보호법 하위 고시에서는 다음과 같이 규정하고 있다.   제8조(접속기록의 보관 및 점검)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. (이하 생략) ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. (이하 생략) ③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7), 이하 ‘안전조치 기준’) 2011년 9월 ‘안전조치 기준’ 제정 당시 이 조문의 내용은 다음과 같았다.   제8조(접속기록의 보관 및 위·변조방지)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다. ② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2011.9.30)) 이 둘의 가장 큰 차이는, 개인정보 유출 등 사고에 대응(사전 또는 사후 탐지)하기 위하여 접속기록을 점검하라는 제2항의 신설이다. 이 항은 2014년 12월 30일 고시가 개정될 때 신설되었다. 석 달 전인 같은 해 9월에, k사의 2012년 개인정보 유출사고에 대한 민사소송 1심 판결이 있었는데, 재판부는 k사가 접속기록 관리 의무를 위반하였다고 판단하였다. (1심 판결의 주요 내용에 관해서는 “[강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제”를 참고하기 바란다.)  재판부가 위반 근거로 본 정보통신망법 하위 고시의 조항은 다음과 같다.   제5조(접...

2019.09.16

강은성의 보안 아키텍트 | 블록체인과 보안(3)

블록체인과 보안(1)에서는 “블록체인의 보안성이 좋다”라는 속설(?)을 전통적으로 보안의 (기술적인) 목적으로 삼아왔던 기밀성, 무결성, 가용성의 측면에서 검토했고, 블록체인과 보안(2)에서는 합의 알고리즘과 같은 블록체인 자체의 속성 측면과 소프트웨어 측면, 소프트웨어 기반 서비스의 측면에서 블록체인의 보안성을 살펴봤다. 이번 칼럼에서는 블록체인 애플리케이션 중 가장 대중화된 암호화폐 전자지갑의 보안과 사용자의 보안 활동에 관하여 살펴보려고 한다. 먼저 알아둘 게 있다. ‘지갑'(Wallet)이 가진 의미 때문에 암호화폐 전자지갑에는 암호화폐가 들어 있다고 생각하는 분들이 의외로 많다. 하지만 블록체인 기반의 전자지갑에는 돈과 관련된 아무런 데이터도 저장되어 있지 않다. 계좌 A에서 계좌 B로 10BTC를 송금하면, 그 거래 기록이 해당 블록체인의 모든 노드에 쓰이고, 전자지갑은 블록체인에 써 있는 거래 기록을 읽어서 계좌 A에서 B로 10BTC가 이동하였고, 그에 따라 A의 잔고가 얼마라는 데이터를 보여준다. 거래 기록은 블록체인에 있고, 암호화폐 지갑은 사용자 인터페이스일 뿐이다.  전자지갑은 공개키 암호시스템에서의 공개키(Public key)를 (변형하여) 은행 통장의 계좌번호처럼 사용하고, 이에 상응하는 개인키(비밀키, Private key)를 그 계좌의 비밀번호처럼 사용한다. 하지만 누구든지 전자지갑의 계좌를 알면 누구든지 계좌의 거래 이력과 잔액을 알 수 있고, 개인키를 아는 사람은 누구든지 연결 계좌의 암호화폐를 다른 계좌로 송금할 수 있다는 점은 기존 금융거래와는 크게 다른 점이다. 개인키를 잃어버리거나 그것이 남에게 노출되어 자신의 암호화폐를 분실하는 경우가 이따금 발생한다. 전자지갑 개인키의 안전한 관리가 암호화폐(암호자산) 보호의 관건인 이유다.  통장의 비밀번호와는 달리 개인키는 너무 길어서 외우기 어렵기 때문에 많은 사용자들이 이것을 PC의 하드디스크에 저장해 놓고, 복사&...

구글 개인키 복호화 ISMS 암호화폐 정보통신망법 정보보호관리체계 생체인증 모자이크 P2P 전자지갑 CISO 암호화 금융 CSO 지갑앱

2019.02.13

블록체인과 보안(1)에서는 “블록체인의 보안성이 좋다”라는 속설(?)을 전통적으로 보안의 (기술적인) 목적으로 삼아왔던 기밀성, 무결성, 가용성의 측면에서 검토했고, 블록체인과 보안(2)에서는 합의 알고리즘과 같은 블록체인 자체의 속성 측면과 소프트웨어 측면, 소프트웨어 기반 서비스의 측면에서 블록체인의 보안성을 살펴봤다. 이번 칼럼에서는 블록체인 애플리케이션 중 가장 대중화된 암호화폐 전자지갑의 보안과 사용자의 보안 활동에 관하여 살펴보려고 한다. 먼저 알아둘 게 있다. ‘지갑'(Wallet)이 가진 의미 때문에 암호화폐 전자지갑에는 암호화폐가 들어 있다고 생각하는 분들이 의외로 많다. 하지만 블록체인 기반의 전자지갑에는 돈과 관련된 아무런 데이터도 저장되어 있지 않다. 계좌 A에서 계좌 B로 10BTC를 송금하면, 그 거래 기록이 해당 블록체인의 모든 노드에 쓰이고, 전자지갑은 블록체인에 써 있는 거래 기록을 읽어서 계좌 A에서 B로 10BTC가 이동하였고, 그에 따라 A의 잔고가 얼마라는 데이터를 보여준다. 거래 기록은 블록체인에 있고, 암호화폐 지갑은 사용자 인터페이스일 뿐이다.  전자지갑은 공개키 암호시스템에서의 공개키(Public key)를 (변형하여) 은행 통장의 계좌번호처럼 사용하고, 이에 상응하는 개인키(비밀키, Private key)를 그 계좌의 비밀번호처럼 사용한다. 하지만 누구든지 전자지갑의 계좌를 알면 누구든지 계좌의 거래 이력과 잔액을 알 수 있고, 개인키를 아는 사람은 누구든지 연결 계좌의 암호화폐를 다른 계좌로 송금할 수 있다는 점은 기존 금융거래와는 크게 다른 점이다. 개인키를 잃어버리거나 그것이 남에게 노출되어 자신의 암호화폐를 분실하는 경우가 이따금 발생한다. 전자지갑 개인키의 안전한 관리가 암호화폐(암호자산) 보호의 관건인 이유다.  통장의 비밀번호와는 달리 개인키는 너무 길어서 외우기 어렵기 때문에 많은 사용자들이 이것을 PC의 하드디스크에 저장해 놓고, 복사&...

2019.02.13

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

CIO 형사처벌 GDPR 정보통신망법 개인정보보호책임자 CPO 개인정보보호법 카드사 벌금 유출 CISO 개인정보 형사처분

2018.11.07

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

2018.11.07

강은성의 보안 아키텍트 | 개인정보 유출시 할 일(1), 통지 - 법규를 중심으로

몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다. 본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다. 먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다. 이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다. 사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 ...

CSO 통지 보건복지부 정보통신망법 신고 강은성 개인정보보호법 공공기관 유출 CISO 개인정보 교육 정부 과태료

2016.08.08

몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다. 본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다. 먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다. 이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다. 사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 ...

2016.08.08

강은성의 보안 아키텍트 | ISMS 인증제도와 심사 대비

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

CSO ISMS 정보통신망법 보안 아키텍트 강은성 한국인터넷진흥원 심사 대비 KISA 인증 CISO 규제 정보보호 관리체계

2016.04.14

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

2016.04.14

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(3) - 실효성 있는 보안을 위해

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

CISO 카스퍼스키 강은성 보안 아키텍트 정보통신망법 망 분리 네트워크 영역 분리

2015.12.21

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

2015.12.21

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가? (1)

2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다. '망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다. 2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다. 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융...

CSO 원자력발전소 망분리 시큐리티 아키텍트 보안 아키텍트 강은성 공격 CISO 공공 정부 해킹 정보통신망법

2015.06.04

2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다. '망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다. 2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다. 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융...

2015.06.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31