2016.06.03

강은성의 보안 아키텍트 | 금융권 '자율'보안과 개인정보의 '자율'보호

강은성 | CIO KR
지난해 금융보안의 주요 화두 중 하나는 ‘자율보안’이었다. 금융권에서의 자율보안에 관해 종합적으로 정리한 ‘금융IT부문 자율보안체계 확립 방안’(금융개혁회의, 2015.6)에서는, '자율보안'을, “핀테크 산업 활성화를 위해 IT보안 규제의 패러다임을 사전규제에서 사후규제로 전환”하는 것을 목적으로 "금융회사 스스로 정보보안 및 내부통제를 강화하고 핀테크 시대에 부응하는 민간 중심의 자율적 보안체계”로 정의하였다.

국가 경제의 한 축을 담당하면서 국민의 금융자산을 관리하고 있어서 전통적으로 정부가 강력하게 규제해 온 금융산업에서, 거래의 대다수를 점하고 있는 전자금융의 인프라와 국민의 자산 및 정보를 보호하는 막중한 임무를 띠고 있는 금융보안을 자율보안으로 해 나가겠다는 '선언'은 다소 어색해 보인다. 게다가 2014년 1월 카드사의 개인정보 대량유출 사건 이후 금융당국의 정보보호 및 개인정보 대책은 규제와 처벌의 확대ㆍ강화를 기조로 진행됐다. 카드사 대책으로 ‘개인정보 정상화 대책’(관계부처 합동, 2014.7.31)이 발표된 이후 개인정보보호법, 정보통신망법, 신용정보법 등 '개인정보 3법' 중 규제수준이 낮은 법 조항을 높은 쪽에 맞추는 방향으로 법들이 개정되면서, 금융권을 포함해 전반적으로 정보보호 및 개인정보 관련 규제를 강화해 온 흐름과 상반된 것이기도 하다.

단순화시키면 '천송이코트 구매 불가 사건'으로 붉어진 액티브X 기반의 불편한 보안모듈 문제가 '낡은 규제'의 결과로 지적되고, 이것이 글로벌 화두였던 간편결제를 중심으로 한 핀테크와 대비되면서 금융개혁회의 자료에서도 밝혔듯이 자율보안의 필요성으로까지 확대된 것으로 보이지만, 그 배경에는 카드사 사태에서 금융보안의 세세한 부분까지 강력한 규제를 행사해 온 금융(감독)당국의 책임론이 나오고, 개인정보 유출사고에서 규제당국의 책임을 묻는 관련 소송이 간혹 발생하는 것도 규제 일변도의 정책에 대한 부담으로 자리하고 있을 것 같다.

크게 보면 자율보안은 우리 사회 여러 분야에서 적용되고 있는 ‘자율규제’를 금융보안에 적용하는 것이다. 우리 사회에서는 이미 변호사협회, 의사협회, 증권거래소 등 크고 작은 규제권한을 가진 민간기구를 통해 자율규제가 상당히 이뤄지고 있다. 다양한 자율규제 사이에 내용과 수준, 방법의 차이가 있듯이 ‘자율보안’도 자율규제의 내용과 자율규제의 주체 및 역할에 따라 변동폭이 클 것이다.

별로 주목받고 있지 못하지만, 개인정보보호법에도 자율규제 관련 조항이 몇 개 있다.

"국가와 지방자치단체는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진ㆍ지원하여야 한다"(제5조 제3항). 또한 개인정보보호위원회가 3년마다 수립하는 '개인정보 보호 기본계획'에 포함되어야 할 내용에 "개인정보 보호 자율규제의 활성화"(제9조 제2항 제4호)가 포함되어 있다. 행정자치부 장관 역시 "개인정보 보호와 관련된 기관ㆍ단체의 육성 및 지원", "개인정보처리자의 자율적인 규약의 제정ㆍ시행 지원" 등 "개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위"한 시책을 마련하여야 한다(제13조).

요약하면 국가와 지방자치단체, 개인정보보호위원회, 행정자치부(정부)에게 개인정보 관련 자율규제 또는 사업자의 자율적인 개인정보보호 활동을 활성화하기 위해 뭔가 해야 하는 '의무'가 있다는 것이다. 하지만 '개인정보 사고 발생 후 법규를 통한 제재 강화'가 반복되어 온 것이 사실이고, 아직도 기업에서 개인정보 유출사고가 간간이 터지는 상황에서 자율규제를 단기적으로 활성화하기는 어려울 것으로 보인다.

행정자치부의 실태조사에서도 이러한 현실이 드러났다.


출처: 행정자치부(2015)

비록 위반율(검사기관 대비 처분기관의 수)이 2012년 82.2%에서 2014년 76.8%(3년 평균 82.0%)로 다소 좋아지긴 했으나 여전히 위반율이 높다.

이러한 문제를 해결하기 위한 대책으로 정보보호 투자 확대, 전문인력 확보 등을 말하는 것은 공허하다. 사업자는 그럴 만한 동기부여가 있어야 움직이기 때문이다. 이를 위해 근본원인을 찾고 대책을 수립하는 일은 그래서 간단치 않다. 지금까지는 '세세한 규제, 강력한 제재'를 기조로 제재를 강화하여 사업자의 법규위험을 높임으로써 사업자에게 동기부여를 강제해 왔다. 최소 수준을 실현하는 데 의미있는 대책이다.

법규가 강화되면 대부분의 사업자들은 처벌이 강한 조항 중심으로 법규준수를 위한 활동에 집중한다. 최소한 그러한 법은 지켜야 사업을 계속할 수 있기 때문이다. 법규가 상세해지면 법-시행령-시행규칙-고시의 조-항-호에 포함된 상세한 규정을 이해하고 해석하여 경영진의 의사결정을 받아 회사의 정책 및 시스템에 반영하는 것이 상당한 노력을 수반하고, 법규를 준수하려면 결국 증적을 확보해야 하므로 상당히 많은 활동이 여기에 맞춰진다. 법규를 준수하는 것이 개인정보 보호수준을 실질적으로 높이는 것과 일치하지 않는 경우가 발생하는 주요 원인이다. 물론 (정보보호) 현실을 그대로 반영하기 어려운 법의 한계도 있다. 대부분의 투자도 딱 법규를 지키는 수준까지만 하곤 한다.


법규준수를 위한 투자가 커지면 그것이 진입장벽이 되기 쉽다. 특히 우리 산업의 강점인 소프트웨어 및 IT기반의 산업들은 아이디어의 창출과 신속한 구현을 통해 활성화되는데, 정보보호 및 개인정보보호를 위한 기본투자는 그것의 장애가 될 수 있다.

정보보호산업 측면에서 보면, 법규 강화는 기본 매출을 만드는 데 도움이 되나, 기업이 딱 법규준수 수준으로만 보안투자를 하면서 시장규모가 커가는 데 한계를 드러내고, 법규준수를 위한 보안제품은 동일 규제가 없는 다른 나라에 수출하기도 쉽지 않은 문제도 나타난다. 보안산업의 글로벌 경쟁력이 부족한 것이 어쩌면 기술과 제품의 혁신이 아니라 규제강화에 기대 사업을 키워온 것이 한 요인일지도 모르겠다.

결국 우리 사회가 좀더 안전하고 안정적으로 핀테크, 사물인터넷, 빅데이터 분석, 클라우드 등 급변하는 미래 환경에 대응하기 위해서는, 우리 사회의 정보보호 및 개인정보보호 수준을 높이면서 동시에 환경에 대한 유연성을 높이는 방안을 찾아야 한다. 이를 위해 자율규제가 적절한 전략방향인지 심도있게 검토하고 합의해 나가는 일이 먼저 필요하리라 생각한다. 그리고 그것의 목표 경로와 단계별 목표를 수립하고, 거기까지 도달하기 위한 방법과 대체적인 시간표를 잡는 것이 어떨까 한다. 주요 자율규제 주체의 역할과 역량을 정의하는 것 역시 중요한 과제다. 지금은 요원해 보이지만, 전문가그룹과 주요 이해관계자의 라운드테이블에서 집중적이고 지속적으로 논의하면 방안을 찾을 수 있지 않을까 싶다. 사회적 이슈가 많았으므로 적절한 방식으로 사회적 합의를 이뤄나갈 필요도 있어 보인다. 중장기적인 관점에서 이러한 문제를 하나씩 풀어가면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2016.06.03

강은성의 보안 아키텍트 | 금융권 '자율'보안과 개인정보의 '자율'보호

강은성 | CIO KR
지난해 금융보안의 주요 화두 중 하나는 ‘자율보안’이었다. 금융권에서의 자율보안에 관해 종합적으로 정리한 ‘금융IT부문 자율보안체계 확립 방안’(금융개혁회의, 2015.6)에서는, '자율보안'을, “핀테크 산업 활성화를 위해 IT보안 규제의 패러다임을 사전규제에서 사후규제로 전환”하는 것을 목적으로 "금융회사 스스로 정보보안 및 내부통제를 강화하고 핀테크 시대에 부응하는 민간 중심의 자율적 보안체계”로 정의하였다.

국가 경제의 한 축을 담당하면서 국민의 금융자산을 관리하고 있어서 전통적으로 정부가 강력하게 규제해 온 금융산업에서, 거래의 대다수를 점하고 있는 전자금융의 인프라와 국민의 자산 및 정보를 보호하는 막중한 임무를 띠고 있는 금융보안을 자율보안으로 해 나가겠다는 '선언'은 다소 어색해 보인다. 게다가 2014년 1월 카드사의 개인정보 대량유출 사건 이후 금융당국의 정보보호 및 개인정보 대책은 규제와 처벌의 확대ㆍ강화를 기조로 진행됐다. 카드사 대책으로 ‘개인정보 정상화 대책’(관계부처 합동, 2014.7.31)이 발표된 이후 개인정보보호법, 정보통신망법, 신용정보법 등 '개인정보 3법' 중 규제수준이 낮은 법 조항을 높은 쪽에 맞추는 방향으로 법들이 개정되면서, 금융권을 포함해 전반적으로 정보보호 및 개인정보 관련 규제를 강화해 온 흐름과 상반된 것이기도 하다.

단순화시키면 '천송이코트 구매 불가 사건'으로 붉어진 액티브X 기반의 불편한 보안모듈 문제가 '낡은 규제'의 결과로 지적되고, 이것이 글로벌 화두였던 간편결제를 중심으로 한 핀테크와 대비되면서 금융개혁회의 자료에서도 밝혔듯이 자율보안의 필요성으로까지 확대된 것으로 보이지만, 그 배경에는 카드사 사태에서 금융보안의 세세한 부분까지 강력한 규제를 행사해 온 금융(감독)당국의 책임론이 나오고, 개인정보 유출사고에서 규제당국의 책임을 묻는 관련 소송이 간혹 발생하는 것도 규제 일변도의 정책에 대한 부담으로 자리하고 있을 것 같다.

크게 보면 자율보안은 우리 사회 여러 분야에서 적용되고 있는 ‘자율규제’를 금융보안에 적용하는 것이다. 우리 사회에서는 이미 변호사협회, 의사협회, 증권거래소 등 크고 작은 규제권한을 가진 민간기구를 통해 자율규제가 상당히 이뤄지고 있다. 다양한 자율규제 사이에 내용과 수준, 방법의 차이가 있듯이 ‘자율보안’도 자율규제의 내용과 자율규제의 주체 및 역할에 따라 변동폭이 클 것이다.

별로 주목받고 있지 못하지만, 개인정보보호법에도 자율규제 관련 조항이 몇 개 있다.

"국가와 지방자치단체는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진ㆍ지원하여야 한다"(제5조 제3항). 또한 개인정보보호위원회가 3년마다 수립하는 '개인정보 보호 기본계획'에 포함되어야 할 내용에 "개인정보 보호 자율규제의 활성화"(제9조 제2항 제4호)가 포함되어 있다. 행정자치부 장관 역시 "개인정보 보호와 관련된 기관ㆍ단체의 육성 및 지원", "개인정보처리자의 자율적인 규약의 제정ㆍ시행 지원" 등 "개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위"한 시책을 마련하여야 한다(제13조).

요약하면 국가와 지방자치단체, 개인정보보호위원회, 행정자치부(정부)에게 개인정보 관련 자율규제 또는 사업자의 자율적인 개인정보보호 활동을 활성화하기 위해 뭔가 해야 하는 '의무'가 있다는 것이다. 하지만 '개인정보 사고 발생 후 법규를 통한 제재 강화'가 반복되어 온 것이 사실이고, 아직도 기업에서 개인정보 유출사고가 간간이 터지는 상황에서 자율규제를 단기적으로 활성화하기는 어려울 것으로 보인다.

행정자치부의 실태조사에서도 이러한 현실이 드러났다.


출처: 행정자치부(2015)

비록 위반율(검사기관 대비 처분기관의 수)이 2012년 82.2%에서 2014년 76.8%(3년 평균 82.0%)로 다소 좋아지긴 했으나 여전히 위반율이 높다.

이러한 문제를 해결하기 위한 대책으로 정보보호 투자 확대, 전문인력 확보 등을 말하는 것은 공허하다. 사업자는 그럴 만한 동기부여가 있어야 움직이기 때문이다. 이를 위해 근본원인을 찾고 대책을 수립하는 일은 그래서 간단치 않다. 지금까지는 '세세한 규제, 강력한 제재'를 기조로 제재를 강화하여 사업자의 법규위험을 높임으로써 사업자에게 동기부여를 강제해 왔다. 최소 수준을 실현하는 데 의미있는 대책이다.

법규가 강화되면 대부분의 사업자들은 처벌이 강한 조항 중심으로 법규준수를 위한 활동에 집중한다. 최소한 그러한 법은 지켜야 사업을 계속할 수 있기 때문이다. 법규가 상세해지면 법-시행령-시행규칙-고시의 조-항-호에 포함된 상세한 규정을 이해하고 해석하여 경영진의 의사결정을 받아 회사의 정책 및 시스템에 반영하는 것이 상당한 노력을 수반하고, 법규를 준수하려면 결국 증적을 확보해야 하므로 상당히 많은 활동이 여기에 맞춰진다. 법규를 준수하는 것이 개인정보 보호수준을 실질적으로 높이는 것과 일치하지 않는 경우가 발생하는 주요 원인이다. 물론 (정보보호) 현실을 그대로 반영하기 어려운 법의 한계도 있다. 대부분의 투자도 딱 법규를 지키는 수준까지만 하곤 한다.


법규준수를 위한 투자가 커지면 그것이 진입장벽이 되기 쉽다. 특히 우리 산업의 강점인 소프트웨어 및 IT기반의 산업들은 아이디어의 창출과 신속한 구현을 통해 활성화되는데, 정보보호 및 개인정보보호를 위한 기본투자는 그것의 장애가 될 수 있다.

정보보호산업 측면에서 보면, 법규 강화는 기본 매출을 만드는 데 도움이 되나, 기업이 딱 법규준수 수준으로만 보안투자를 하면서 시장규모가 커가는 데 한계를 드러내고, 법규준수를 위한 보안제품은 동일 규제가 없는 다른 나라에 수출하기도 쉽지 않은 문제도 나타난다. 보안산업의 글로벌 경쟁력이 부족한 것이 어쩌면 기술과 제품의 혁신이 아니라 규제강화에 기대 사업을 키워온 것이 한 요인일지도 모르겠다.

결국 우리 사회가 좀더 안전하고 안정적으로 핀테크, 사물인터넷, 빅데이터 분석, 클라우드 등 급변하는 미래 환경에 대응하기 위해서는, 우리 사회의 정보보호 및 개인정보보호 수준을 높이면서 동시에 환경에 대한 유연성을 높이는 방안을 찾아야 한다. 이를 위해 자율규제가 적절한 전략방향인지 심도있게 검토하고 합의해 나가는 일이 먼저 필요하리라 생각한다. 그리고 그것의 목표 경로와 단계별 목표를 수립하고, 거기까지 도달하기 위한 방법과 대체적인 시간표를 잡는 것이 어떨까 한다. 주요 자율규제 주체의 역할과 역량을 정의하는 것 역시 중요한 과제다. 지금은 요원해 보이지만, 전문가그룹과 주요 이해관계자의 라운드테이블에서 집중적이고 지속적으로 논의하면 방안을 찾을 수 있지 않을까 싶다. 사회적 이슈가 많았으므로 적절한 방식으로 사회적 합의를 이뤄나갈 필요도 있어 보인다. 중장기적인 관점에서 이러한 문제를 하나씩 풀어가면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X