Offcanvas

������

강은성의 보안 아키텍트 | 정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

CISO 개인정보보호 관리체계 정보통신망법 CCTV 강은성 CPO PIMS 개인정보보호법 벌금 처벌

2019.12.23

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

2019.12.23

"데이터 유출시 천만 달러"··· 호주, 벌금 '5배 인상' 추진

호주 연방정부(Australian Federal Government)가 프라이버시 법안 개정을 추진한다. 프라이버시 침해가 발생하면 IT 기업에 수백만 달러의 벌금을 부과하는 것이 주요 내용이다. 정부가 발의한 수정안에 따르면, 기업이 프라이버시 법안을 지키지 않아 심각한 정보 유출이 발생하면 최대 1000만 달러까지 벌금을 부과한다. 현재는 최고 벌금이 210만 달러다. 벌금 대신 다른 방법도 있다. 데이터 오용을 통해 얻은 이익의 3배를 납부하거나, 호주내 연매출의 10%에 해당하는 금액이다. 대기업의 경우 벌금보다 오히려 금액이 늘어날 수도 있다. 또한, 수정안에는 페이스북이나 트위터 같은 소셜미디어 업체가 사용자의 요청을 받으면 해당 개인정보를 비공개로 돌리거나 사용을 중단하는 내용이 포함됐다. 아동을 비롯한 사회적 약자의 개인정보를 보호하는 별도 규정도 추가될 예정이다. 이번 개정안은 호주 법무장관 크리스천 포터와 커뮤니케이션 및 아트 담당 장관 미치 피필드가 공동으로 발표했다. 올해 하반기까지 초안을 최종 확정할 예정이다. 포터에 따르면 기존 프라이버시 법안은 소셜 미디어와 온라인 플랫폼의 폭발적 확산에 제대로 대응하지 못하고 있다. 그는 "이들은 지난 수십년동안 개인정보를 거래해 왔다. 수정안은 소셜 미디어와 온라인 플랫폼의 이런 관행에 대해 제재와 강제 집행을 명시한다. 이들 기업이 사용자에게 더 세부적인 정보를 요구하고 이렇게 수집한 정보를 활용, 공개하는 과정에서 투명성을 높이게 될 것이다"라고 말했다. 또한, 개정 법안은 OAIC(Office of the Australian Information Commissioner)에 벌금 부과 권한을 부여한다. 데이터 유출 문제 해결에 적극 나서지 않으면 기업에는 최대 6만 3000달러, 개인에겐 1만 2600달러 벌금을 부과할 수 있다.  OAIC는 3년간 데이터 유출을 조사하기 위해 2500만 달러의 재정지원을 받을 예정이다. 또한 외부 기관의 도움을 받거나 ...

보안 프라이버시 호주 벌금

2019.03.27

호주 연방정부(Australian Federal Government)가 프라이버시 법안 개정을 추진한다. 프라이버시 침해가 발생하면 IT 기업에 수백만 달러의 벌금을 부과하는 것이 주요 내용이다. 정부가 발의한 수정안에 따르면, 기업이 프라이버시 법안을 지키지 않아 심각한 정보 유출이 발생하면 최대 1000만 달러까지 벌금을 부과한다. 현재는 최고 벌금이 210만 달러다. 벌금 대신 다른 방법도 있다. 데이터 오용을 통해 얻은 이익의 3배를 납부하거나, 호주내 연매출의 10%에 해당하는 금액이다. 대기업의 경우 벌금보다 오히려 금액이 늘어날 수도 있다. 또한, 수정안에는 페이스북이나 트위터 같은 소셜미디어 업체가 사용자의 요청을 받으면 해당 개인정보를 비공개로 돌리거나 사용을 중단하는 내용이 포함됐다. 아동을 비롯한 사회적 약자의 개인정보를 보호하는 별도 규정도 추가될 예정이다. 이번 개정안은 호주 법무장관 크리스천 포터와 커뮤니케이션 및 아트 담당 장관 미치 피필드가 공동으로 발표했다. 올해 하반기까지 초안을 최종 확정할 예정이다. 포터에 따르면 기존 프라이버시 법안은 소셜 미디어와 온라인 플랫폼의 폭발적 확산에 제대로 대응하지 못하고 있다. 그는 "이들은 지난 수십년동안 개인정보를 거래해 왔다. 수정안은 소셜 미디어와 온라인 플랫폼의 이런 관행에 대해 제재와 강제 집행을 명시한다. 이들 기업이 사용자에게 더 세부적인 정보를 요구하고 이렇게 수집한 정보를 활용, 공개하는 과정에서 투명성을 높이게 될 것이다"라고 말했다. 또한, 개정 법안은 OAIC(Office of the Australian Information Commissioner)에 벌금 부과 권한을 부여한다. 데이터 유출 문제 해결에 적극 나서지 않으면 기업에는 최대 6만 3000달러, 개인에겐 1만 2600달러 벌금을 부과할 수 있다.  OAIC는 3년간 데이터 유출을 조사하기 위해 2500만 달러의 재정지원을 받을 예정이다. 또한 외부 기관의 도움을 받거나 ...

2019.03.27

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

CIO 형사처벌 GDPR 정보통신망법 개인정보보호책임자 CPO 개인정보보호법 카드사 벌금 유출 CISO 개인정보 형사처분

2018.11.07

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

2018.11.07

英 ICO, '데이터 보호법 위반한' 페이스북에 50만 파운드 벌금 부과

영국 정보위원회(ICO)가 '데이터 보호법의 심각한 위반'에 대해 페이스북에 50만 파운드의 벌금을 부과했다. 지난 4월 업데이트된 페이스북 정보에 따르면, 이는 케임브리지 애널리티카(Cambridge Analytica) 스캔들과 관련된 벌금이다. 페이스북은 애초 알려졌던 5,000만 명보다 많은 8,700만 명의 정보를 불법적으로 수집했다. ICO에 따르면 이 개인정보에는 100만 명의 영국 거주자가 포함돼 있다. 'ICO의 조사에 따르면 2007년부터 2014년까지 페이스북 사용자 개인정보를 불공정하게 처리한 것은 애플리케이션 개발자가 명확한 정보에 입각한 동의 없이 정보에 접근할 수 있게 하고 사용자가 앱을 다운로드하지 않거나 단순히 페이스북 친구 사이라 해도 해당 사용자의 정보에 접근할 수 있었음을 의미한다. 페이스북은 플랫폼을 사용하는 앱과 개발자들에 대해 적절하게 대처하지 않았기 때문에 개인정보를 안전하게 지키지 못했다. 그 결과 알렉산드르 코간 박사와 그의 회사 GSR이 별다른 저오 없이도 전세계 8,700만 명의 페이스북 데이터를 수집할 수 있었다. 이 데이터의 하위 집합은 나중에 미국의 정치 캠페인에 참여한 케임브리지 애널리티카의 모회사인 SCL 그룹(SCL Group)을 포함하여 다른 조직과 공유됐다. ICO는 '2015년 12월에 데이터 오용이 발견된 후에도 페이스북이 삭제를 포함하여 시의 적절한 수정 조처를 했는지 확인하는 등 충분한 조처를 하지 않았다고 지적했다. 게다가 페이스북은 2018년까지 SCL 그룹이 자사 플랫폼에서 활동을 중단하도록 하지도 않았다. ICO는 100만 명의 영국 사용자 개인정보가 수집됐으며 더 오용될 위험이 있다고 밝혔다. 7월에 ICO는 정치적 목적으로 데이터 분석의 사용에 대한 조사의 일환으로 페이스북에 대한 고지를 보냈다. ICO는 페이스북의 진술을 고려한 후 이 회사에 벌금을 부과했으며 사건 발생 당시 적용된 법률에 따라 허용되는 금액은 그...

페이스북 케임브리지 애널리티카 GDPR 데이터 보호법 ICO EU 벌금 CMO 소셜미디어 개인정보 영국 정보위원회

2018.10.30

영국 정보위원회(ICO)가 '데이터 보호법의 심각한 위반'에 대해 페이스북에 50만 파운드의 벌금을 부과했다. 지난 4월 업데이트된 페이스북 정보에 따르면, 이는 케임브리지 애널리티카(Cambridge Analytica) 스캔들과 관련된 벌금이다. 페이스북은 애초 알려졌던 5,000만 명보다 많은 8,700만 명의 정보를 불법적으로 수집했다. ICO에 따르면 이 개인정보에는 100만 명의 영국 거주자가 포함돼 있다. 'ICO의 조사에 따르면 2007년부터 2014년까지 페이스북 사용자 개인정보를 불공정하게 처리한 것은 애플리케이션 개발자가 명확한 정보에 입각한 동의 없이 정보에 접근할 수 있게 하고 사용자가 앱을 다운로드하지 않거나 단순히 페이스북 친구 사이라 해도 해당 사용자의 정보에 접근할 수 있었음을 의미한다. 페이스북은 플랫폼을 사용하는 앱과 개발자들에 대해 적절하게 대처하지 않았기 때문에 개인정보를 안전하게 지키지 못했다. 그 결과 알렉산드르 코간 박사와 그의 회사 GSR이 별다른 저오 없이도 전세계 8,700만 명의 페이스북 데이터를 수집할 수 있었다. 이 데이터의 하위 집합은 나중에 미국의 정치 캠페인에 참여한 케임브리지 애널리티카의 모회사인 SCL 그룹(SCL Group)을 포함하여 다른 조직과 공유됐다. ICO는 '2015년 12월에 데이터 오용이 발견된 후에도 페이스북이 삭제를 포함하여 시의 적절한 수정 조처를 했는지 확인하는 등 충분한 조처를 하지 않았다고 지적했다. 게다가 페이스북은 2018년까지 SCL 그룹이 자사 플랫폼에서 활동을 중단하도록 하지도 않았다. ICO는 100만 명의 영국 사용자 개인정보가 수집됐으며 더 오용될 위험이 있다고 밝혔다. 7월에 ICO는 정치적 목적으로 데이터 분석의 사용에 대한 조사의 일환으로 페이스북에 대한 고지를 보냈다. ICO는 페이스북의 진술을 고려한 후 이 회사에 벌금을 부과했으며 사건 발생 당시 적용된 법률에 따라 허용되는 금액은 그...

2018.10.30

'피할 수 없다면 대비하라' SW 감사에 대응 팁

감사는 시간이 오래 걸리고 비용이 들며 스트레스가 따른다. CIO가 소프트웨어 감사에 대비하는 최선의 방법을 알아보자.  전세계 IT부서는 값비싸고 시간 소모적인 소프트웨어 감사의 위협에 시달리고 있다. 감사 기간은 평균 194.15시간의 근무 시간(7.13개월의 지속 시간)이 걸리는 것으로 파악돼 IT관리자가 이를 두려워하는 것은 당연한 일이다.  소프트웨어 감사는 소프트웨어 공급 업체, 감시 조직, 공인 회계사 같은 제 3자에 의해 시작될 수 있으며 명시된 모든 규정 준수 내에서 회사가 소프트웨어를 사용하는지 여부를 검토한다. 회사가 라이선스 계약 중 하나를 준수하지 않는 것으로 판명되면, 해당 조직은 벌금을 낼 수도 있으며, 일부는 추가 보상까지 해줘야 할 수 있다.  소프트웨어 감사의 정확한 성격은 조직이 감사를 시행하는 범위에 따라 다르다. 예를 들어, 일부 감사는 특정 제품, 특정 컴퓨터 또는 특정 기간이나 위치만 대상으로 할 수 있다. 회사가 사전에 문제를 해결하고 라이선스 규제를 온전히 준수하기 위해 필요한 조처를 하는 것으로 입증되면, 본격적인 공식 감사에 대한 요구 사항을 피할 수 있는 경우도 있다. 엄격하게 잘 관리되는 소프트웨어 컴플라이언스 계획을 구현해 감사를 완전히 피할 수도 있다. 이것이 실패하더라도 감사에 대한 스트레스를 줄일 수 있는 기초를 마련할 것이다. 다음은 <CIO UK>가 소프트웨어 감사에서 살아남을 수 있는 팁과 함께 감사받을 기회를 최소화해 주는 방법이다. 1. 준비 준비는 소프트웨어 감사에 대한 전부라고 해도 과언이 아니다. 조직의 모든 관련 직원이 모든 규제 준수 문제와 관련 위험을 이해하고 있는지 확인하라. 이는 직원에게 요구될 수 있지만 외부의 조언자, 자문위원회, 조직 내외부 법부팀과 협력하면 비즈니스가 직면할 수 있는 위험에 대한 이해를 높일 수 있다. 라이선스의 감사 권한, 규제 제한, 기밀 유지 방법과 관련된 중...

라이선스 소프트웨어 감사 온보딩 변호사 법무팀 벌금 감사 리스크 관리 협상 컴플라이언스 CIO SW 감사

2018.09.07

감사는 시간이 오래 걸리고 비용이 들며 스트레스가 따른다. CIO가 소프트웨어 감사에 대비하는 최선의 방법을 알아보자.  전세계 IT부서는 값비싸고 시간 소모적인 소프트웨어 감사의 위협에 시달리고 있다. 감사 기간은 평균 194.15시간의 근무 시간(7.13개월의 지속 시간)이 걸리는 것으로 파악돼 IT관리자가 이를 두려워하는 것은 당연한 일이다.  소프트웨어 감사는 소프트웨어 공급 업체, 감시 조직, 공인 회계사 같은 제 3자에 의해 시작될 수 있으며 명시된 모든 규정 준수 내에서 회사가 소프트웨어를 사용하는지 여부를 검토한다. 회사가 라이선스 계약 중 하나를 준수하지 않는 것으로 판명되면, 해당 조직은 벌금을 낼 수도 있으며, 일부는 추가 보상까지 해줘야 할 수 있다.  소프트웨어 감사의 정확한 성격은 조직이 감사를 시행하는 범위에 따라 다르다. 예를 들어, 일부 감사는 특정 제품, 특정 컴퓨터 또는 특정 기간이나 위치만 대상으로 할 수 있다. 회사가 사전에 문제를 해결하고 라이선스 규제를 온전히 준수하기 위해 필요한 조처를 하는 것으로 입증되면, 본격적인 공식 감사에 대한 요구 사항을 피할 수 있는 경우도 있다. 엄격하게 잘 관리되는 소프트웨어 컴플라이언스 계획을 구현해 감사를 완전히 피할 수도 있다. 이것이 실패하더라도 감사에 대한 스트레스를 줄일 수 있는 기초를 마련할 것이다. 다음은 <CIO UK>가 소프트웨어 감사에서 살아남을 수 있는 팁과 함께 감사받을 기회를 최소화해 주는 방법이다. 1. 준비 준비는 소프트웨어 감사에 대한 전부라고 해도 과언이 아니다. 조직의 모든 관련 직원이 모든 규제 준수 문제와 관련 위험을 이해하고 있는지 확인하라. 이는 직원에게 요구될 수 있지만 외부의 조언자, 자문위원회, 조직 내외부 법부팀과 협력하면 비즈니스가 직면할 수 있는 위험에 대한 이해를 높일 수 있다. 라이선스의 감사 권한, 규제 제한, 기밀 유지 방법과 관련된 중...

2018.09.07

GDPR 발효 전, 역대 최고 벌금은 얼마였을까?

유럽의 데이터 보호 감독기관인 ICO(Information Commissioner 's Office)는 데이터 보호 권리 위반에 대해 벌금을 부과했는데, GDPR 발효로 훨씬 더 엄격한 처벌을 할 수 있는 권한을 갖게 됐다. 이 법안으로 기업은 최대 2,000만 유로(한화 264억 2,900만 원) 또는 기업 매출액의 4%에 해당하는 금액 가운데 더 많은 쪽을 벌금으로 물어야 해 타격을 받을 수 있다. GDPR 발효 이전 ICO가 부과한 벌금이 어느 정도였는지 알아보자. 1. 페이스북 - 2018년 7월 50만 파운드 ICO는 케임브리지 애널리티카 스캔들로 페이스북에 최대 50만 파운드(7억 3,756만 원)의 벌금을 부과할 예정이다. 약 8,700만 명의 페이스북 사용자의 정보가 참가자 및 친구들로부터 수집된 데이터를 퀴즈를 통해 정치 컨설턴트와 부적절하게 공유됐다는 이유다. ICO의 조사에 따르면 페이스북은 1998년 데이터 보호법(Data Protection Act)의 두 가지 위반 사항으로 유죄 판결을 받았다. 사용자 정보를 보호하지 못하고 데이터가 수집된 방법에 대한 투명성이 부족하다는 것이다. 페이스북은 위원회의 의견에 답할 기회를 가지며, 그 후에 최종 결정이 내려진다. 50만 파운드의 벌금은 GDPR이 발효되기 전인 2018년 1사분기에 페이스북이 벌어들인 119억 7,000만 달러(매출액 90억 파운드)를 감안하면 훨씬 더 높을 수 있는 액수다. 2. 톡톡 - 2016년 10월 40만 파운드 톡톡(TalkTalk)은 사이버공격자가 은행 계좌 번호와 정렬 코드를 포함하여 15만 6,959명 고객의 개인 데이터에 접근하고자 SQL 인젝션을 사용한 일로 40만 파운드(5억 8,981만 6,000원)의 벌금이 부과되었다. 3. 커붐 커뮤니케이션 - 2017년 5월 40만 파운드 커붐 커뮤니케이션(Keurboom Communications)에게 부과된 벌금은 18개월 동안 9,950만 건 이상...

페이스북 야후 개인정보 보호 벌금 EU ICO GDPR 톡톡

2018.07.20

유럽의 데이터 보호 감독기관인 ICO(Information Commissioner 's Office)는 데이터 보호 권리 위반에 대해 벌금을 부과했는데, GDPR 발효로 훨씬 더 엄격한 처벌을 할 수 있는 권한을 갖게 됐다. 이 법안으로 기업은 최대 2,000만 유로(한화 264억 2,900만 원) 또는 기업 매출액의 4%에 해당하는 금액 가운데 더 많은 쪽을 벌금으로 물어야 해 타격을 받을 수 있다. GDPR 발효 이전 ICO가 부과한 벌금이 어느 정도였는지 알아보자. 1. 페이스북 - 2018년 7월 50만 파운드 ICO는 케임브리지 애널리티카 스캔들로 페이스북에 최대 50만 파운드(7억 3,756만 원)의 벌금을 부과할 예정이다. 약 8,700만 명의 페이스북 사용자의 정보가 참가자 및 친구들로부터 수집된 데이터를 퀴즈를 통해 정치 컨설턴트와 부적절하게 공유됐다는 이유다. ICO의 조사에 따르면 페이스북은 1998년 데이터 보호법(Data Protection Act)의 두 가지 위반 사항으로 유죄 판결을 받았다. 사용자 정보를 보호하지 못하고 데이터가 수집된 방법에 대한 투명성이 부족하다는 것이다. 페이스북은 위원회의 의견에 답할 기회를 가지며, 그 후에 최종 결정이 내려진다. 50만 파운드의 벌금은 GDPR이 발효되기 전인 2018년 1사분기에 페이스북이 벌어들인 119억 7,000만 달러(매출액 90억 파운드)를 감안하면 훨씬 더 높을 수 있는 액수다. 2. 톡톡 - 2016년 10월 40만 파운드 톡톡(TalkTalk)은 사이버공격자가 은행 계좌 번호와 정렬 코드를 포함하여 15만 6,959명 고객의 개인 데이터에 접근하고자 SQL 인젝션을 사용한 일로 40만 파운드(5억 8,981만 6,000원)의 벌금이 부과되었다. 3. 커붐 커뮤니케이션 - 2017년 5월 40만 파운드 커붐 커뮤니케이션(Keurboom Communications)에게 부과된 벌금은 18개월 동안 9,950만 건 이상...

2018.07.20

EU, 구글에 50억 달러 벌금 판결 '사상 최대 규모'

유럽연합(EU)가 구글에게 50억 달러(43억 4,000만 유로, 5조 5,000억 원 상당)에 이르는 사상 최대 규모의 기록적인 규모의 벌금을 부과했다. 검색 및 브라우저 애플리케이션을 플레이 스토어 라이선스 조건으로 묶어 독점금지법을 위반했다는 이유에서다. 즉 구글이 안드로이드 스마트폰 제조사들에게 검색 엔진과 브라우저를 사전 탑재하도록 강제한 것이 독점 금지법에 저촉된다는 해석이다. 이번 판결로 전세계 스마트폰 제조사들은 다른 버전의 안드로이드를 제공하거나 대안 브라우저 및 검색 엔진을 사전 탑재시킬 가능성이 열렸다. 이번 벌금은 EU가 지난해 경쟁사의 쇼핑 검색을 제한했다고 이유로 구글에 부과했던 24억 유로를 넘어서는 금액이다. 2009년 인텔에 부과된 10억 6,000만 유로의 벌금과, 2013년 마이크로소프트에 부과된 5억 6,000만 유로 상당의 벌금을 웃도는 금액이기도 하다. EU 집행위원회 측은 모바일 인터넷의 중요성이 크게 증가하고있는 시점에서 구글이 자사 검색의 지배력을 강화하는 전략의 일환으로 이뤄졌다고 주장했다. 구글의 순다 피차이 CEO는 EU의 이번 결정에 항의할 것이라고 밝혔다. 그는 "이번 결정은 안드로이드 폰이 iOS 폰과 경쟁하고 있다는 사실을 무시한 처사다"라고 말했다. EU 규정에 따르면 구글은 90일 이내에 불법적 활동을 중지해야만 한다. 그렇지 않으면 모기업 알파벳의 전세계 일일 평균 매출의 5%에 이르는 벌금에 직면하게 된다. 한편 구글은 앞으로 더 많은 벌금에 맞닥뜨릴 수 있다. 오픈 마켓 인스티튜트를 비롯한 비영리 기관과 옐프와 같은 기업들은 미 당국에 유사한 조치를 취하라고 요구하고 있다. ciokr@idg.co.kr 

구글 유럽 벌금 EU 독점

2018.07.19

유럽연합(EU)가 구글에게 50억 달러(43억 4,000만 유로, 5조 5,000억 원 상당)에 이르는 사상 최대 규모의 기록적인 규모의 벌금을 부과했다. 검색 및 브라우저 애플리케이션을 플레이 스토어 라이선스 조건으로 묶어 독점금지법을 위반했다는 이유에서다. 즉 구글이 안드로이드 스마트폰 제조사들에게 검색 엔진과 브라우저를 사전 탑재하도록 강제한 것이 독점 금지법에 저촉된다는 해석이다. 이번 판결로 전세계 스마트폰 제조사들은 다른 버전의 안드로이드를 제공하거나 대안 브라우저 및 검색 엔진을 사전 탑재시킬 가능성이 열렸다. 이번 벌금은 EU가 지난해 경쟁사의 쇼핑 검색을 제한했다고 이유로 구글에 부과했던 24억 유로를 넘어서는 금액이다. 2009년 인텔에 부과된 10억 6,000만 유로의 벌금과, 2013년 마이크로소프트에 부과된 5억 6,000만 유로 상당의 벌금을 웃도는 금액이기도 하다. EU 집행위원회 측은 모바일 인터넷의 중요성이 크게 증가하고있는 시점에서 구글이 자사 검색의 지배력을 강화하는 전략의 일환으로 이뤄졌다고 주장했다. 구글의 순다 피차이 CEO는 EU의 이번 결정에 항의할 것이라고 밝혔다. 그는 "이번 결정은 안드로이드 폰이 iOS 폰과 경쟁하고 있다는 사실을 무시한 처사다"라고 말했다. EU 규정에 따르면 구글은 90일 이내에 불법적 활동을 중지해야만 한다. 그렇지 않으면 모기업 알파벳의 전세계 일일 평균 매출의 5%에 이르는 벌금에 직면하게 된다. 한편 구글은 앞으로 더 많은 벌금에 맞닥뜨릴 수 있다. 오픈 마켓 인스티튜트를 비롯한 비영리 기관과 옐프와 같은 기업들은 미 당국에 유사한 조치를 취하라고 요구하고 있다. ciokr@idg.co.kr 

2018.07.19

"기업은 정치에 관여하지 마라"··· 영국 ICO, 페이스북에 거액 벌금

영국 의회 정보위원회(Information Commissioner’s Office, ICO)가 1년여 간의 조사 끝에 정치 단체와 데이터 애널리틱스 결과를 공유한 업체들에 형사 고발과 함께 벌금을 부과하기로 했다. 특히 페이스북은 벌금 66만 달러를 물어야 할 상황에 놓였다. 또한 여러 정당과 관련 기업에 대한 조사도 계속하기로 했다. 데이터 브로커가 영국인과 다른 유럽국가 시민의 개인정보를 정치적 목적으로 분석했는지 확인하기 위해서다. ICO는 정당과 데이터 애널리틱스 업체에 흘러 들어간 시민의 개인정보가 데이터 보호 법안을 위반한 것으로 봤다. 예를 들어 보험 업체 엘던 인슈어런스 서비스(Eldon Insurance Services)는 자사 고객 정보를 EU 탈퇴를 묻는 국민투표 관련 정치단체에 제공한 혐의를 받고 있다. 이 업체는 개인정보를 미국, 특히 미시시피대학에 넘긴 혐의도 받고 있다. 이들 업체가 알고 있든 그렇지 않든, 고객의 개인정보를 당사자의 승락없이 정치적 목적으로 사용해서는 안된다. ICO는 11일 페이스북에 벌금 50만 유로를 부과할 것이라고 밝혔다. 캠브리지 애널리티카(Cambridge Analytica)가 수집한 개인정보 관련해 페이스북이 보안과 투명성 측면에서 제 역할을 하지 못했다고 판단했다. 50만 유로는 이 법 위반으로 부과할 수 있는 벌금의 최대 액수다. 지난 5월 25일 EU의 GDPR(General Data Protection Regulation)이 시행되면서 앞으로는 벌금이 더 많이 늘어난다. 기업의 1년 전세계 매출의 4% 혹은 2000만 유로(2350만 달러) 중 더 높은 쪽을 부과한다. ICO의 이번 조사 결과는 지난 2017년 EU 탈퇴 여부를 묻는 영국의 국민투표 관련 사항으로 제한돼 진행됐다. 당시 캠브리지 애널리티카는 2016년 미국 대선의 공화당 승리 관련해서도 구설수에 올라 있었다. ICO는 캠브리지 애널리티카의 모회사인 SCL 일렉션(SCL Elections)에 대해서도...

CIO 페이스북 영국 벌금 ICO GDPR

2018.07.12

영국 의회 정보위원회(Information Commissioner’s Office, ICO)가 1년여 간의 조사 끝에 정치 단체와 데이터 애널리틱스 결과를 공유한 업체들에 형사 고발과 함께 벌금을 부과하기로 했다. 특히 페이스북은 벌금 66만 달러를 물어야 할 상황에 놓였다. 또한 여러 정당과 관련 기업에 대한 조사도 계속하기로 했다. 데이터 브로커가 영국인과 다른 유럽국가 시민의 개인정보를 정치적 목적으로 분석했는지 확인하기 위해서다. ICO는 정당과 데이터 애널리틱스 업체에 흘러 들어간 시민의 개인정보가 데이터 보호 법안을 위반한 것으로 봤다. 예를 들어 보험 업체 엘던 인슈어런스 서비스(Eldon Insurance Services)는 자사 고객 정보를 EU 탈퇴를 묻는 국민투표 관련 정치단체에 제공한 혐의를 받고 있다. 이 업체는 개인정보를 미국, 특히 미시시피대학에 넘긴 혐의도 받고 있다. 이들 업체가 알고 있든 그렇지 않든, 고객의 개인정보를 당사자의 승락없이 정치적 목적으로 사용해서는 안된다. ICO는 11일 페이스북에 벌금 50만 유로를 부과할 것이라고 밝혔다. 캠브리지 애널리티카(Cambridge Analytica)가 수집한 개인정보 관련해 페이스북이 보안과 투명성 측면에서 제 역할을 하지 못했다고 판단했다. 50만 유로는 이 법 위반으로 부과할 수 있는 벌금의 최대 액수다. 지난 5월 25일 EU의 GDPR(General Data Protection Regulation)이 시행되면서 앞으로는 벌금이 더 많이 늘어난다. 기업의 1년 전세계 매출의 4% 혹은 2000만 유로(2350만 달러) 중 더 높은 쪽을 부과한다. ICO의 이번 조사 결과는 지난 2017년 EU 탈퇴 여부를 묻는 영국의 국민투표 관련 사항으로 제한돼 진행됐다. 당시 캠브리지 애널리티카는 2016년 미국 대선의 공화당 승리 관련해서도 구설수에 올라 있었다. ICO는 캠브리지 애널리티카의 모회사인 SCL 일렉션(SCL Elections)에 대해서도...

2018.07.12

"소비자의 수리할 권리 침해"··· 호주 법원, 애플에 '벌금 74억원'

호주 연방법원이 애플에 벌금 900만 호주 달러(약 74억 원)를 부과했다. 아이폰과 아이패드 수리 관련한 애플의 대응이 소비자를 기만하거나 오도해 호주 법이 보장하는 소비자의 권리를 침해했다는 이유다. 호주경쟁소비자위원회(ACCC)는 이른바 '54 에러' 관련해 소비자의 불만을 접수해 조사한 후 애플 본사와 애플 호주를 상태로 소송을 제기했다. '54 에러'는 애플 기기를 애플이 아닌 서드파티 업체에서 수리할 경우, 보안 테스트를 통과하지 못했다는 의미로 화면에 나타난다. '54 에러' 메시지가 뜬 아이폰과 아이패드는 작동 불능 상태가 된다. 소송 과정에서 애플 본사가 공개한 자료를 보면, 호주에서만 최소 275명이 '54 에러'에 영향을 받았으며, 애플은 이들 기기가 애플이 아닌 서드파티 업체에서 수리됐다며 수리 서비스를 제공하지 않은 것으로 나타났다. '54 에러'와 관련된 불만은 2015년 2월부터 2016년 2월까지 애플 호주의 앱스토어와 전화 서비스 등을 통해 집중적으로 접수됐고 애플 본사에까지 전달됐다. ACCC 위원인 사라 코트는 "제품이 고장나면 소비자는 호주 소비자 법안에 따라 합법적으로 수리 혹은 교환을 요구할 권리가 있다. 경우에 따라 환급도 가능하다. 사용자가 단지 서드파티 수리 업체를 이용했다는 이유로 애플이 수리를 거부해서는 안된다. 이번 판결은 소비자가 아이폰이나 아이패드를 애플이 아닌 다른 업체를 통해서도 수리할 수 있다는 단순한 사실을 확인한 것으로 의미가 있다"라고 말했다. 이어 "법원은 이번 판결을 통해 다국적 모회사인 애플 본사가 호주 지사의 조치에 대해 책임이 있음을 분명히 했다. 글로벌 업체라도 호주 소비자 법을 철저하게 지켜야 한다. 그렇지 않으면 ACCC와 법정에서 마주하게 될 것이다"라고 덧붙였다. 이번 법원 판결에 따라 애플은 '53 에러'로 작동이 되지 않는 기기를...

애플 호주 벌금 수리할권리 54에러

2018.06.20

호주 연방법원이 애플에 벌금 900만 호주 달러(약 74억 원)를 부과했다. 아이폰과 아이패드 수리 관련한 애플의 대응이 소비자를 기만하거나 오도해 호주 법이 보장하는 소비자의 권리를 침해했다는 이유다. 호주경쟁소비자위원회(ACCC)는 이른바 '54 에러' 관련해 소비자의 불만을 접수해 조사한 후 애플 본사와 애플 호주를 상태로 소송을 제기했다. '54 에러'는 애플 기기를 애플이 아닌 서드파티 업체에서 수리할 경우, 보안 테스트를 통과하지 못했다는 의미로 화면에 나타난다. '54 에러' 메시지가 뜬 아이폰과 아이패드는 작동 불능 상태가 된다. 소송 과정에서 애플 본사가 공개한 자료를 보면, 호주에서만 최소 275명이 '54 에러'에 영향을 받았으며, 애플은 이들 기기가 애플이 아닌 서드파티 업체에서 수리됐다며 수리 서비스를 제공하지 않은 것으로 나타났다. '54 에러'와 관련된 불만은 2015년 2월부터 2016년 2월까지 애플 호주의 앱스토어와 전화 서비스 등을 통해 집중적으로 접수됐고 애플 본사에까지 전달됐다. ACCC 위원인 사라 코트는 "제품이 고장나면 소비자는 호주 소비자 법안에 따라 합법적으로 수리 혹은 교환을 요구할 권리가 있다. 경우에 따라 환급도 가능하다. 사용자가 단지 서드파티 수리 업체를 이용했다는 이유로 애플이 수리를 거부해서는 안된다. 이번 판결은 소비자가 아이폰이나 아이패드를 애플이 아닌 다른 업체를 통해서도 수리할 수 있다는 단순한 사실을 확인한 것으로 의미가 있다"라고 말했다. 이어 "법원은 이번 판결을 통해 다국적 모회사인 애플 본사가 호주 지사의 조치에 대해 책임이 있음을 분명히 했다. 글로벌 업체라도 호주 소비자 법을 철저하게 지켜야 한다. 그렇지 않으면 ACCC와 법정에서 마주하게 될 것이다"라고 덧붙였다. 이번 법원 판결에 따라 애플은 '53 에러'로 작동이 되지 않는 기기를...

2018.06.20

최고 개인정보 책임자란? 하는 일은? 연봉은?

최고 개인정보 책임자(Chief Privacy Officer)는 데이터 중심 비즈니스 환경에서 유행하는 직무로 부상하고 있다. CPO는 정확히 어떤 일을 하는 자리일까? CPO는 일부 조직과 부서에서 중요한 역할을 한다. 기업이 기밀 정보를 처리하는 방식은 데이터 중심 비즈니스에서 매우 중요하다. 기업이 데이터 유출로 대규모 벌금형에 처할 수도 있고 명성에 타격을 입을 수도 있으며 대중의 신뢰를 잃을 수도 있는데 이렇게 될 경우 문제가 더 악화된다. 영국 정부는 2017년 영국의 기업 중 46%가 데이터를 겨냥한 사이버공격을 당했다고 밝힌 바 있다. 같은 해 영국 정부는 기업이 사이버공격으로부터 자신을 보호하지 못하면 최대 1,700만 파운드의 벌금을 물릴 수 있다고 발표했다. CPO의 역할은 5월 25일 발효를 앞둔 GDPR을 준수할 준비를 하는 영국 기업들에서 특히 필요하다. CPO의 역할은? CPO 역할은 관련 연방 및 국내 법률을 준수하여 직원과 고객으로부터 수집된 모든 데이터와 관련해 회사의 개인정보 보호 정책을 설계하고 구현하는 것과 관련이 있다. 이 역할은 회사가 보유한 기밀 정보를 보호하고 무단 접근이나 정보 유출을 방지하는 데 중점을 둔다. 미국 뉴저지에 있는 프라이버시 검색 회사인 LJ 쿠시너&어소시에이츠(LJ Kushner & Associates)의 사장 겸 CEO 래리 쿠시너는 "CPO가 회사의 비즈니스를 이해해야 한다. CPO를 통해 회사는 고객 및 일반 대중을 화나게 하지 않고도 정보 사용을 극대화할 수 있다"고 말했다. 역할과 관련된 일상 업무에는 정책 개발, 구현, 유지 관리는 물론 여러 부서의 규정 준수 모니터링 및 정보 취급 부주의 사례 조사도 포함된다. 또한 조직의 직원 및 고객 모두에게 개인정보와 관련하여 조직의 전반적인 전략 및 개별 정책을 알리는 일도 담당한다. CPO 역할은 일반 사무실의 업무에 통합되며 새로운 프로젝트나 제품 출시 전에 보안...

CIO GDPR 페이스케일 CPO CCO 벌금 연봉 CISO 규제 개인정보 보호 최고 개인정보 책임자

2018.05.03

최고 개인정보 책임자(Chief Privacy Officer)는 데이터 중심 비즈니스 환경에서 유행하는 직무로 부상하고 있다. CPO는 정확히 어떤 일을 하는 자리일까? CPO는 일부 조직과 부서에서 중요한 역할을 한다. 기업이 기밀 정보를 처리하는 방식은 데이터 중심 비즈니스에서 매우 중요하다. 기업이 데이터 유출로 대규모 벌금형에 처할 수도 있고 명성에 타격을 입을 수도 있으며 대중의 신뢰를 잃을 수도 있는데 이렇게 될 경우 문제가 더 악화된다. 영국 정부는 2017년 영국의 기업 중 46%가 데이터를 겨냥한 사이버공격을 당했다고 밝힌 바 있다. 같은 해 영국 정부는 기업이 사이버공격으로부터 자신을 보호하지 못하면 최대 1,700만 파운드의 벌금을 물릴 수 있다고 발표했다. CPO의 역할은 5월 25일 발효를 앞둔 GDPR을 준수할 준비를 하는 영국 기업들에서 특히 필요하다. CPO의 역할은? CPO 역할은 관련 연방 및 국내 법률을 준수하여 직원과 고객으로부터 수집된 모든 데이터와 관련해 회사의 개인정보 보호 정책을 설계하고 구현하는 것과 관련이 있다. 이 역할은 회사가 보유한 기밀 정보를 보호하고 무단 접근이나 정보 유출을 방지하는 데 중점을 둔다. 미국 뉴저지에 있는 프라이버시 검색 회사인 LJ 쿠시너&어소시에이츠(LJ Kushner & Associates)의 사장 겸 CEO 래리 쿠시너는 "CPO가 회사의 비즈니스를 이해해야 한다. CPO를 통해 회사는 고객 및 일반 대중을 화나게 하지 않고도 정보 사용을 극대화할 수 있다"고 말했다. 역할과 관련된 일상 업무에는 정책 개발, 구현, 유지 관리는 물론 여러 부서의 규정 준수 모니터링 및 정보 취급 부주의 사례 조사도 포함된다. 또한 조직의 직원 및 고객 모두에게 개인정보와 관련하여 조직의 전반적인 전략 및 개별 정책을 알리는 일도 담당한다. CPO 역할은 일반 사무실의 업무에 통합되며 새로운 프로젝트나 제품 출시 전에 보안...

2018.05.03

GDPR, 기업 블록체인 데이터베이스에 '된서리' 될까?

안전한 원장 기술은 모든 종류의 데이터베이스에 뜻밖의 행운처럼 들릴 수 있다. 그러나 GDPR의 PII 관리가 어떻게 적용되는지 확인해 봐야 한다. 현재 블록체인을 둘러싼 과도한 열기는 불쾌한 자각의 언저리에 있는 것처럼 보인다. 핵심 문제는 이 기술이 성능이나 확장성, 보안, 유연성 등을 둘러싼 수많은 문제를 해결할 수 있느냐가 아니다. 그보다는 블록체인의 근본 아키텍처, 즉 공유되고 분산되고 절대 훼손할 수 없는 기록보존 시스템이 유럽 연합 규제기관의 점호를 무사히 통과할 수 있는지 여부이다. 모든 지역의 기업이 5월 25일 발효되는 유럽연합의 GDPR을 준수하기 위해 달리고 있다. GDPR은 전세계 기업이 고객 데이터를 저장하고 공유하고 사용하는 방법에 지대한 영향을 미칠 것이다. GDPR은 유럽연합 회원국 거주민의 PII(personally identifiable information) 관리를 위한 법적 프레임워크이다. 규제는 미국에 있거나 비유럽연합 국가에 있더라도 그런 정보를 보유하고 있는 모든 기업에 적용된다. GDPR은 이런 정보를 보유하고 있는 조직이 각 개인에게 해당 정보의 삭제나 교정을 요청할 권리를 부여하고, 각 개인이 동의하지 않은 사용을 금지할 것으로 요구한다. 엄혹한 현실은 GDPR이 막대한 벌금을 부과한다는 것이다. 유럽연합 시민에게 PII를 삭제하거나 교정할 권리를 부여하지 못하면 2,000만 유로 또는 전세계 매출의 4% 중 높은 금액을 벌금으로 내야 한다. 블록체인과 그리 친하지 않다고 해도 GDPR의 요구사항이 블록체인의 핵심 아키텍처와 정반대라는 것을 알 것이다. 블록체인은 변경할 수 없는 이력 기록으로, 많은 컴퓨터에 분산되어 있다. 이는 일단 데이터가 블록체인에 기록되면, 쉽게 또는 실효성 있게 삭제하거나 변경할 수 없다는 의미이다. 한 전문가는 이런 특성을 CRAB(Create, Read, Append, Burn)이라고 표현하는데, 전형적인 거래 데이터베이스의 아키텍처인 CRUD(Creat...

벌금 유럽연합 PII GDPR

2018.05.03

안전한 원장 기술은 모든 종류의 데이터베이스에 뜻밖의 행운처럼 들릴 수 있다. 그러나 GDPR의 PII 관리가 어떻게 적용되는지 확인해 봐야 한다. 현재 블록체인을 둘러싼 과도한 열기는 불쾌한 자각의 언저리에 있는 것처럼 보인다. 핵심 문제는 이 기술이 성능이나 확장성, 보안, 유연성 등을 둘러싼 수많은 문제를 해결할 수 있느냐가 아니다. 그보다는 블록체인의 근본 아키텍처, 즉 공유되고 분산되고 절대 훼손할 수 없는 기록보존 시스템이 유럽 연합 규제기관의 점호를 무사히 통과할 수 있는지 여부이다. 모든 지역의 기업이 5월 25일 발효되는 유럽연합의 GDPR을 준수하기 위해 달리고 있다. GDPR은 전세계 기업이 고객 데이터를 저장하고 공유하고 사용하는 방법에 지대한 영향을 미칠 것이다. GDPR은 유럽연합 회원국 거주민의 PII(personally identifiable information) 관리를 위한 법적 프레임워크이다. 규제는 미국에 있거나 비유럽연합 국가에 있더라도 그런 정보를 보유하고 있는 모든 기업에 적용된다. GDPR은 이런 정보를 보유하고 있는 조직이 각 개인에게 해당 정보의 삭제나 교정을 요청할 권리를 부여하고, 각 개인이 동의하지 않은 사용을 금지할 것으로 요구한다. 엄혹한 현실은 GDPR이 막대한 벌금을 부과한다는 것이다. 유럽연합 시민에게 PII를 삭제하거나 교정할 권리를 부여하지 못하면 2,000만 유로 또는 전세계 매출의 4% 중 높은 금액을 벌금으로 내야 한다. 블록체인과 그리 친하지 않다고 해도 GDPR의 요구사항이 블록체인의 핵심 아키텍처와 정반대라는 것을 알 것이다. 블록체인은 변경할 수 없는 이력 기록으로, 많은 컴퓨터에 분산되어 있다. 이는 일단 데이터가 블록체인에 기록되면, 쉽게 또는 실효성 있게 삭제하거나 변경할 수 없다는 의미이다. 한 전문가는 이런 특성을 CRAB(Create, Read, Append, Burn)이라고 표현하는데, 전형적인 거래 데이터베이스의 아키텍처인 CRUD(Creat...

2018.05.03

클라우드 쓰면서 GDPR 준수, 가능할까?

2018년 5월 25일 GDPR 시행을 앞두고 클라우드 서비스를 통해 데이터를 처리하는 조직에 다소 곤란한 문제가 생겼다. 클라우드에서 GDPR 준수는 다소 까다로운 면이 있다. 세일즈포스나 드롭박스 같은 클라우드 이용 업체들은 각각의 데이터 활동이 GDPR 규정에 부합하는지를 확인해야 한다. 그러나 유럽 기업들이 평균적으로 608개의 클라우드 앱을 사용하는 상황에서 이러한 작업은 절대 쉽지 않을 것이라고 넷스코프(Netskope)는 연구 결과를 통해 밝혔다. 최근 컴볼트(Commvault)가 진행한 설문조사에 따르면, 전 세계 177개 IT기관들 중 12%만이 GDPR이 클라우드 서비스에 미치게 될 영향을 제대로 이해하고 있었다. 데이터 작업이 새로운 GDPR 규정에 부합하도록 하려면 우선 클라우드의 정보 관리에 GDPR이 미치게 될 영향을 이해해야 한다. UKCloud의 컴플라이언스 및 정보 보증 디렉터 존 굿윈은 클라우드섹 2017(Cloudsec 2017)에서 “마치 브라이턴 락(Brighton rock)과 비슷하다. 이제는 GDPR 규정이 기관의 모든 활동의 핵심을 관통해야 한다. 부서나 직무를 막론하고, 기관에서 근무하는 모든 이들이 GDPR 규정을 알고 있어야 한다”고 말했다. 데이터 주체들도 가만히 있어선 안 된다. 자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 그런데 이는 데이터의 위치를 파악하기 어려운 클라우드에서는 쉽지 않은 일이 될 수 있다. 굿윈은 “데이터 주체의 권리 역시 이제는 우리가 신경 써야 할 영역이다. 특히 클라우드 서비스를 사용하게 되면, 이러한 클라우드 서비스가 데이터 주체의 권리를 어떻게 보장해 줄 수 있는지 알고 있어야 한다”고 말했다. 개인정보 보호 최적화 설계란? 개인정보 보호 최적화 설계, 또는 ‘pr...

세일즈포스 DPIA 넷스코프 GDPR 정보 유출 벌금 컴볼트 드롭박스 규제 소송 개인정보 보호 데이터 프라이버시 영향 평가

2018.01.17

2018년 5월 25일 GDPR 시행을 앞두고 클라우드 서비스를 통해 데이터를 처리하는 조직에 다소 곤란한 문제가 생겼다. 클라우드에서 GDPR 준수는 다소 까다로운 면이 있다. 세일즈포스나 드롭박스 같은 클라우드 이용 업체들은 각각의 데이터 활동이 GDPR 규정에 부합하는지를 확인해야 한다. 그러나 유럽 기업들이 평균적으로 608개의 클라우드 앱을 사용하는 상황에서 이러한 작업은 절대 쉽지 않을 것이라고 넷스코프(Netskope)는 연구 결과를 통해 밝혔다. 최근 컴볼트(Commvault)가 진행한 설문조사에 따르면, 전 세계 177개 IT기관들 중 12%만이 GDPR이 클라우드 서비스에 미치게 될 영향을 제대로 이해하고 있었다. 데이터 작업이 새로운 GDPR 규정에 부합하도록 하려면 우선 클라우드의 정보 관리에 GDPR이 미치게 될 영향을 이해해야 한다. UKCloud의 컴플라이언스 및 정보 보증 디렉터 존 굿윈은 클라우드섹 2017(Cloudsec 2017)에서 “마치 브라이턴 락(Brighton rock)과 비슷하다. 이제는 GDPR 규정이 기관의 모든 활동의 핵심을 관통해야 한다. 부서나 직무를 막론하고, 기관에서 근무하는 모든 이들이 GDPR 규정을 알고 있어야 한다”고 말했다. 데이터 주체들도 가만히 있어선 안 된다. 자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 그런데 이는 데이터의 위치를 파악하기 어려운 클라우드에서는 쉽지 않은 일이 될 수 있다. 굿윈은 “데이터 주체의 권리 역시 이제는 우리가 신경 써야 할 영역이다. 특히 클라우드 서비스를 사용하게 되면, 이러한 클라우드 서비스가 데이터 주체의 권리를 어떻게 보장해 줄 수 있는지 알고 있어야 한다”고 말했다. 개인정보 보호 최적화 설계란? 개인정보 보호 최적화 설계, 또는 ‘pr...

2018.01.17

CMO가 사이버보안을 알아야 하는 이유

데이터 유출로 회사 평판에 치명타를 입을 수 있기 때문에 마케팅 임원은 사이버보안에 대해 더 많이 생각해야 한다. 2018년 2월 호주에서 데이터 유출 의무 신고법이 발효됨에 따라 앞으로 마케터는 두 가지 큰 책임을 지게 된다. 고객 데이터 도난 위험에 처할 수 있다는 것을 알고 관리해야 하는 일도, 고객 정보 유출 상황이 발생하면 브랜드 평판 문제를 해결하는 일도 모두 마케팅 임원의 몫이다. 미국 사이버보안 업체인 포스포인트(Forcepoint)의 CMO 프라빈 아스타나는 마케팅 담당자에게 사이버보안 책임에 관해 이야기해야 한다고 밝혔다. 아스타나는 "CMO가 잠재 고객 데이터와 많은 고객 데이터를 수집하기 때문에 이 데이터를 보호해야 한다"고 말했다. 이어서 "위반이 있을 때 일어날 수 있는 평판 피해에 효과적으로 대응할 책임도 있다"고 덧붙였다. OAIC(Australian Information Commissioner) 사무소는 새 법률을 준수하지 않았으면 100만 호주달러를 초과하는 벌금을 부과할 수 있다. 이렇게 되면, 데이터 침해 사실이 외부에 공개되지 않기만을 바라기는 어려워진다.  또한 미국의 소니픽처스, 에퀴닉스, 타겟 등이 데이터 침해로 발생한 재무적인 손실과 명예훼손이 OAIC가 부과할 수 있는 벌금보다 훨씬 더 많을 수 있다.  아스타나는 "회사가 침해당할 확률이 높아지고 고객은 확신할 수 없게 된다"고 지적했다. 마케팅 담당자는 잠재적인 위반에 대응하고 이를 인지하는 방법을 이해하는 것이 중요하다. 그는 "일단 위반이 발생하면 CMO는 피해 통제에 책임이 있다는 것을 이해하는 데 도움을 줌으로써 사이버보안에 대해 매우 정통한 자세를 취할 필요가 있다”고 조언했다. 아스타나는 오라클과 델 등 기술 회사에서 마케팅을 담당했었다. 그는 사이버보안 측면에서 책임을 인식하지 못한 마케팅 담당자에게 우려를 표했다. ...

Saas 포스포인트 브랜드 가치 타겟 마케터 추락 고객 정보 평판 벌금 사이버보안 CMO 소니 데이터 유출 오라클 CIO 재무적인 손실

2017.12.22

데이터 유출로 회사 평판에 치명타를 입을 수 있기 때문에 마케팅 임원은 사이버보안에 대해 더 많이 생각해야 한다. 2018년 2월 호주에서 데이터 유출 의무 신고법이 발효됨에 따라 앞으로 마케터는 두 가지 큰 책임을 지게 된다. 고객 데이터 도난 위험에 처할 수 있다는 것을 알고 관리해야 하는 일도, 고객 정보 유출 상황이 발생하면 브랜드 평판 문제를 해결하는 일도 모두 마케팅 임원의 몫이다. 미국 사이버보안 업체인 포스포인트(Forcepoint)의 CMO 프라빈 아스타나는 마케팅 담당자에게 사이버보안 책임에 관해 이야기해야 한다고 밝혔다. 아스타나는 "CMO가 잠재 고객 데이터와 많은 고객 데이터를 수집하기 때문에 이 데이터를 보호해야 한다"고 말했다. 이어서 "위반이 있을 때 일어날 수 있는 평판 피해에 효과적으로 대응할 책임도 있다"고 덧붙였다. OAIC(Australian Information Commissioner) 사무소는 새 법률을 준수하지 않았으면 100만 호주달러를 초과하는 벌금을 부과할 수 있다. 이렇게 되면, 데이터 침해 사실이 외부에 공개되지 않기만을 바라기는 어려워진다.  또한 미국의 소니픽처스, 에퀴닉스, 타겟 등이 데이터 침해로 발생한 재무적인 손실과 명예훼손이 OAIC가 부과할 수 있는 벌금보다 훨씬 더 많을 수 있다.  아스타나는 "회사가 침해당할 확률이 높아지고 고객은 확신할 수 없게 된다"고 지적했다. 마케팅 담당자는 잠재적인 위반에 대응하고 이를 인지하는 방법을 이해하는 것이 중요하다. 그는 "일단 위반이 발생하면 CMO는 피해 통제에 책임이 있다는 것을 이해하는 데 도움을 줌으로써 사이버보안에 대해 매우 정통한 자세를 취할 필요가 있다”고 조언했다. 아스타나는 오라클과 델 등 기술 회사에서 마케팅을 담당했었다. 그는 사이버보안 측면에서 책임을 인식하지 못한 마케팅 담당자에게 우려를 표했다. ...

2017.12.22

인텔, '12.5억 달러 벌금' 반박할 기회 얻었다··· CJEU 재조사 판결

EU 최고 법원이 인텔에게 기회를 부여했다. PC 제조업체에 제공한 리베이트가 경쟁에 영향을 끼치지 않았다고 주장하는 기회가 인텔에게 있어야 한다는 판결이다. 이로써 인텔은 미화 12억 5,000만 달러에 이르는 벌금을 내라는 2009년의 판결에 반발할 기회를 얻게 됐다. 2009년 유럽 연합 집행위원회(EC)는 인텔에게 10억 6,000만 유로에 이르는 벌금을 부과했다. 마이크로프로세서 시장에서 지배적인 지위를 남용해 경쟁사 AMD를 압박했다는 이유에서였다. 인텔은 이에 항의했지만 EU 일반 법원은 2014년 이를 기각했으며, 이에 인텔은 EU의 최고 사법 기관인 정의 법원( the Court of Justice)에 판결을 요구했다. 그리고 지난 6일 인텔은 소정의 승리를 거뒀다. CJEU가 일반 법원에게 인텔의 주장을 재검토하라고 명령한 것이다. 인텔이 이번 판결에 기반해 승리하면 수십 억 달러를 절감할 수 있게 된다. 2009년 위원회는 70%의 점유율을 가진 인텔이 거의 모든 PC에 인텔의 x86 프로세서를 탑재한 대가로 델과 HP, 레노버, NEC에 리베이트를 제공한 사실을 발견했다. 또 위원회는 독일의 리테일 기업 미디어-새턴에 인텔 프로세서가 탑재된 x86 컴퓨터를 독점 판매한 것에 대해 대가를 제공했다는 사실을 밝혀냈다. 이러한 대가 제공은 AMD와 같은 경쟁사 활동을 제약해 소비자 선택에 제약을 가했다고 당신 위원회는 판단했으며, EU의 경쟁 규약 위반에 해당한다고 간주했다. 6일 판결에서 CJEU는 인텔의 주장에 일부 동의했다. 일반 법원이 위원회의 주장을 수용한 가운데 인텔이 이에 반박할 기회를 주지 않았다는 것이다. ciokr@idg.co.kr  

인텔 AMD 경쟁 프로세서 벌금 EU 독점 리베이트

2017.09.07

EU 최고 법원이 인텔에게 기회를 부여했다. PC 제조업체에 제공한 리베이트가 경쟁에 영향을 끼치지 않았다고 주장하는 기회가 인텔에게 있어야 한다는 판결이다. 이로써 인텔은 미화 12억 5,000만 달러에 이르는 벌금을 내라는 2009년의 판결에 반발할 기회를 얻게 됐다. 2009년 유럽 연합 집행위원회(EC)는 인텔에게 10억 6,000만 유로에 이르는 벌금을 부과했다. 마이크로프로세서 시장에서 지배적인 지위를 남용해 경쟁사 AMD를 압박했다는 이유에서였다. 인텔은 이에 항의했지만 EU 일반 법원은 2014년 이를 기각했으며, 이에 인텔은 EU의 최고 사법 기관인 정의 법원( the Court of Justice)에 판결을 요구했다. 그리고 지난 6일 인텔은 소정의 승리를 거뒀다. CJEU가 일반 법원에게 인텔의 주장을 재검토하라고 명령한 것이다. 인텔이 이번 판결에 기반해 승리하면 수십 억 달러를 절감할 수 있게 된다. 2009년 위원회는 70%의 점유율을 가진 인텔이 거의 모든 PC에 인텔의 x86 프로세서를 탑재한 대가로 델과 HP, 레노버, NEC에 리베이트를 제공한 사실을 발견했다. 또 위원회는 독일의 리테일 기업 미디어-새턴에 인텔 프로세서가 탑재된 x86 컴퓨터를 독점 판매한 것에 대해 대가를 제공했다는 사실을 밝혀냈다. 이러한 대가 제공은 AMD와 같은 경쟁사 활동을 제약해 소비자 선택에 제약을 가했다고 당신 위원회는 판단했으며, EU의 경쟁 규약 위반에 해당한다고 간주했다. 6일 판결에서 CJEU는 인텔의 주장에 일부 동의했다. 일반 법원이 위원회의 주장을 수용한 가운데 인텔이 이에 반박할 기회를 주지 않았다는 것이다. ciokr@idg.co.kr  

2017.09.07

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6