Offcanvas

���������

강은성의 보안 아키텍트 | CISO의 CPO 겸직 금지

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

개인정보 보호 전자금융거래법 전자금융 네트워크 방화벽 내부정보유출방지 침입탐지시스템 가상사설망 정보통신망법 웹방화벽 CPO VPN 카드사 암호 인증 CISO 금융 침입차단시스템

2019.10.10

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

2019.10.10

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

CIO 형사처벌 GDPR 정보통신망법 개인정보보호책임자 CPO 개인정보보호법 카드사 벌금 유출 CISO 개인정보 형사처분

2018.11.07

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

2018.11.07

조사 | 외부 업체 통한 데이터 유출 '76%'

지난해 해커들이 312개 업체에 침투해 수많은 고객들의 지불카드 정보를 빼내 보안 침해 사고가 발생했으며 이에 대한 심층 연구로 해커들은 외부 업체의 원격 접속 애플리케이션들이나 시스템 관리유지를 위한 VPN을 주요 침입 경로로 활용했다는 사실이 드러났다. 트러스트웨이브(Trustwave) 보고서는 통계 수치를 인용해 “데이터 침해 분석연구들 대다수(76%)에서 해커가 이용한 보안결함들은 시스템 지원, 개발 및 유지관리를 맡고 있는 외부 업체들에서 비롯된 것임이 드러났다”라고 밝혔다. 지불카드 정보침해로 고통 받고 있는 312개의 업체들 중 대부분은 소매점, 식당, 호텔 등이다. 비자와 마스터카드 및 기타 카드사들이 며칠 내로 포렌식 수사(forensics investigation)를 요구하며 수많은 도난 카드들을 추적하기 위해 사건 대응과 관련한 도움을 청하기 위해 트러스트웨이브로 찾아왔다. 트러스트웨이브의 수석 부사장으로 스파이더랩(SpiderLabs) 부서를 총괄하는 니콜라스 페르코코는 사실 312개 업체 중 16%만이 지불카드 데이터 침해를 스스로 발견했다고 밝혔다. 대체로 소비자들로부터 신용카드 미승인 사용에 대한 대규모 사기 신고를 받은 지불카드 기관들이 정교한 분석을 추진하면서, 비자나 마스터카드도 의심이 가는 침해를 조사해 보라고 요구했다. 페르코코에 따르면 포렌식 수사 결과 총 312건의 데이터 침해가 발생했으며, 이 업체들에 대한 공격 중 약 29%의 근원지가 러시아 연방정부임이 밝혀졌다. 그러나 공격의 32.5%는 인터넷 익명 서비스들에서 시작된 탓에 근원지를 전혀 파악할 수 없었다. 지불카드 해커들로부터 공격을 받은 기업들은 자신들이 지불카드 산업 보안 표준(Payment Card Industry(PCI) security standards)을 제대로 준수하고 있다고 주장했지만, 실제로는 큰 차이가 없는 것으로 드러났다. 해커들은 간단하고, 재사용 가능한 비밀번호를 훔쳐 외부 업체의 ...

데이터 유출 해킹 침해 외부 업체 보안 사고 카드사

2012.02.09

지난해 해커들이 312개 업체에 침투해 수많은 고객들의 지불카드 정보를 빼내 보안 침해 사고가 발생했으며 이에 대한 심층 연구로 해커들은 외부 업체의 원격 접속 애플리케이션들이나 시스템 관리유지를 위한 VPN을 주요 침입 경로로 활용했다는 사실이 드러났다. 트러스트웨이브(Trustwave) 보고서는 통계 수치를 인용해 “데이터 침해 분석연구들 대다수(76%)에서 해커가 이용한 보안결함들은 시스템 지원, 개발 및 유지관리를 맡고 있는 외부 업체들에서 비롯된 것임이 드러났다”라고 밝혔다. 지불카드 정보침해로 고통 받고 있는 312개의 업체들 중 대부분은 소매점, 식당, 호텔 등이다. 비자와 마스터카드 및 기타 카드사들이 며칠 내로 포렌식 수사(forensics investigation)를 요구하며 수많은 도난 카드들을 추적하기 위해 사건 대응과 관련한 도움을 청하기 위해 트러스트웨이브로 찾아왔다. 트러스트웨이브의 수석 부사장으로 스파이더랩(SpiderLabs) 부서를 총괄하는 니콜라스 페르코코는 사실 312개 업체 중 16%만이 지불카드 데이터 침해를 스스로 발견했다고 밝혔다. 대체로 소비자들로부터 신용카드 미승인 사용에 대한 대규모 사기 신고를 받은 지불카드 기관들이 정교한 분석을 추진하면서, 비자나 마스터카드도 의심이 가는 침해를 조사해 보라고 요구했다. 페르코코에 따르면 포렌식 수사 결과 총 312건의 데이터 침해가 발생했으며, 이 업체들에 대한 공격 중 약 29%의 근원지가 러시아 연방정부임이 밝혀졌다. 그러나 공격의 32.5%는 인터넷 익명 서비스들에서 시작된 탓에 근원지를 전혀 파악할 수 없었다. 지불카드 해커들로부터 공격을 받은 기업들은 자신들이 지불카드 산업 보안 표준(Payment Card Industry(PCI) security standards)을 제대로 준수하고 있다고 주장했지만, 실제로는 큰 차이가 없는 것으로 드러났다. 해커들은 간단하고, 재사용 가능한 비밀번호를 훔쳐 외부 업체의 ...

2012.02.09

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31