Offcanvas

���������������������������������������������������������������

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (2)

지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다. 셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정 개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.   ② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. 개인정보보호법 제65조(고발 및 징계권고) 제2항 개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.   ② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다. 정보통신망법 제69조의2(고발) 제2항 2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다.  비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다. 정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하...

강은성 강은성의 보안 아키텍트 개인정보보호 개인정보보호법 보안 사이버보안 프라이버시

2021.11.11

지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다. 셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정 개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.   ② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. 개인정보보호법 제65조(고발 및 징계권고) 제2항 개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.   ② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다. 정보통신망법 제69조의2(고발) 제2항 2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다.  비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다. 정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하...

2021.11.11

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (1)

2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다.    ‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다.  기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다).  또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다.  작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다.  기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로...

강은성 강은성의 보안 아키텍트 개인정보보호 프라이버시 개인정보보호법

2021.10.25

2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다.    ‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다.  기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다).  또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다.  작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다.  기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로...

2021.10.25

강은성의 보안 아키텍트ㅣCPO, DPO, K-DPO?··· CPO에 대한 체계적인 교육과 지원이 필요하다

지난 8월 5일 통합 개인정보보호법과 통합 개인정보보호위원회(이하 보호위)가 출범했다. 개인정보보호 분야에서 일하는 사람으로서 기대가 크다. 그동안 별로 다르지 않았던 정보통신망법과 개인정보보호법, 방송통신위원회와 행정안전부의 고시, 해설서, 가이드와 교육 자료, 보도자료, 게시판, 행정처분과는 법 적용이 다른 수사기관 수사와 법원 판결, 서로 다른 규제기관과 사람들… 2011년 개인정보보호법이 제정되면서 개인정보 보호를 규율하는 두 개의 법률, 두 개의 소관 부처가 있어서 발생했던 비효율을 해소할 수 있는 계기가 마련됐다. 아직 갈 길이 남아 있지만 말이다.    개인정보 보호를 책임지는 중앙부처가 된 만큼 보호위가 당면한 과제는 많겠지만, 필자는 특히 보호위가 개인정보보호책임자(CPO)의 체계적인 교육과 지원에 나서야 한다고 생각한다. 법률에 모든 개인정보 처리 사업자(개인정보처리자)의 개인정보 보호 의무와 강력한 제재를 규정하고 이 의무를 수행할 책임을 CPO에 부과했기 때문이다. 개인정보보호법 제13조에서 정한 개인정보처리자의 개인정보보호 활동에 대한 지원 중 가장 필요한 일이다.  2018년 5월 유럽연합에서 GDPR(General Data Protection Regulation)이 시행된 이후 정부 안팎의 개인정보보호 관련 회의 자리에 가면 GDPR이 자주 거론된다. 인권과 개인정보 보호에 관한 풍부한 역사를 가진 유럽연합의 법규와 경험은 참고할 만하다.  하지만 DPO(Data Protection Officer)에 이르면 이야기가 달라진다. CPO와 DPO는 위상과 역할, 업무가 전혀 다르기 때문이다. 이제 좀 국내에도 알려지긴 했지만 CPO와 DPO는 개인정보보호 법규에 나오는 개인정보보호 관련 직책이라는 것 이외에 비슷한 점이 별로 없다. 개인정보보호법에서는 CPO를 “개인정보의 처리에 관한 업무를 총괄해서 책임”(제31조)지는 직책으로 규정한다. CPO의 업무 또한 상세하게 기술해 놓았다. 개인정...

강은성 보안 CPO DPO 개인정보보호법 통합 개인정보보호위원회 개인정보보호 GDPR 데이터

2020.08.18

지난 8월 5일 통합 개인정보보호법과 통합 개인정보보호위원회(이하 보호위)가 출범했다. 개인정보보호 분야에서 일하는 사람으로서 기대가 크다. 그동안 별로 다르지 않았던 정보통신망법과 개인정보보호법, 방송통신위원회와 행정안전부의 고시, 해설서, 가이드와 교육 자료, 보도자료, 게시판, 행정처분과는 법 적용이 다른 수사기관 수사와 법원 판결, 서로 다른 규제기관과 사람들… 2011년 개인정보보호법이 제정되면서 개인정보 보호를 규율하는 두 개의 법률, 두 개의 소관 부처가 있어서 발생했던 비효율을 해소할 수 있는 계기가 마련됐다. 아직 갈 길이 남아 있지만 말이다.    개인정보 보호를 책임지는 중앙부처가 된 만큼 보호위가 당면한 과제는 많겠지만, 필자는 특히 보호위가 개인정보보호책임자(CPO)의 체계적인 교육과 지원에 나서야 한다고 생각한다. 법률에 모든 개인정보 처리 사업자(개인정보처리자)의 개인정보 보호 의무와 강력한 제재를 규정하고 이 의무를 수행할 책임을 CPO에 부과했기 때문이다. 개인정보보호법 제13조에서 정한 개인정보처리자의 개인정보보호 활동에 대한 지원 중 가장 필요한 일이다.  2018년 5월 유럽연합에서 GDPR(General Data Protection Regulation)이 시행된 이후 정부 안팎의 개인정보보호 관련 회의 자리에 가면 GDPR이 자주 거론된다. 인권과 개인정보 보호에 관한 풍부한 역사를 가진 유럽연합의 법규와 경험은 참고할 만하다.  하지만 DPO(Data Protection Officer)에 이르면 이야기가 달라진다. CPO와 DPO는 위상과 역할, 업무가 전혀 다르기 때문이다. 이제 좀 국내에도 알려지긴 했지만 CPO와 DPO는 개인정보보호 법규에 나오는 개인정보보호 관련 직책이라는 것 이외에 비슷한 점이 별로 없다. 개인정보보호법에서는 CPO를 “개인정보의 처리에 관한 업무를 총괄해서 책임”(제31조)지는 직책으로 규정한다. CPO의 업무 또한 상세하게 기술해 놓았다. 개인정...

2020.08.18

'디지털 와해'의 다음 대상은 CIO··· 새로운 역할을 대비하라

‘디지털 와해’가 비즈니스에만 위협이 되는 것은 아니다. 이는 CIO의 역할에게도 총구를 겨누고 있다. CIO의 역할을 와해시키는 5가지 요소와 IT 리더가 적응해야 할 역량들을 살펴본다.  많은 애널리스트들이 2020년 CIO가 직면할 과제 중 하나로 '불확실성'을 꼽았다. 하지만 역대 최대 수준의 코로나19 불확실성이 닥쳐오리라 생각한 이는 없었다.  즉 중국 우한에서 발발한 코로나19가 전 세계로 확산돼 미국 전역의 사무실과 캠퍼스가 폐쇄되고, CIO가 전사적 재택근무 시행을 위해 시스템을 강화하는 것은 물론 만일의 사태에 대비한 더욱 광범위한 계획을 세워야 할 줄은 아무도 상상하지 못했다.    현재 대부분의 CIO가 코로나19 위기 대응에 전적으로 매달리고 있다. 하지만 전 세계 경제 및 기업에 더 장기적인 변화가 나타나고 있다. CIO들은 코로나19로 정신없는 와중에도 큰 흐름을 보고 대비해야 하는 상황이다.  가트너의 애널리스트 겸 부사장인 어빙 타일러는 “CIO의 업무가 정말 힘들어지고 있다”라고 진단했다. 오늘날 CIO는 핵심 업무 외에도 디지털 비즈니스 모델 설계, 제품 관리 규칙 적용, 기업의 문화 변화 지원, 전 세계 각지의 개인정보 보호법이 미치는 영향 등까지도 고려해야 하기 때문이다. 타일러는 “이 모든 것들이 CIO가 이전에는 절대 생각할 필요가 없던 크고 복잡한 문제들이었다”라고 언급했다. 1. 시장 변화의 속도 성공적인 기업은 코로나19 위기에도 잘 대응했겠지만, 적응 대상은 팬데믹에만 그치지 않는다. 핵심 비즈니스 개념과 가치 제안을 선제적이며 지속적으로 재고할 수 있으며, 방향을 신속하게 전환할 수 있어야 한다. 시장조사기관 포레스터의 부사장 겸 수석 애널리스트 브라이언 홉킨스는 기술을 기반으로 시장 흐름에 맞춰 유연하게 적응할 수 있는 조직을 어떻게 구성할 수 있는지가 대다수의 CIO에게 큰 과제일 것이라고 언급했다. 그는 “아마존을 생각하면 이해하기...

애자일 CIO 아마존 인터넷 생태계 불확실성 개인정보보호법 적응력 코로나19

2020.04.09

‘디지털 와해’가 비즈니스에만 위협이 되는 것은 아니다. 이는 CIO의 역할에게도 총구를 겨누고 있다. CIO의 역할을 와해시키는 5가지 요소와 IT 리더가 적응해야 할 역량들을 살펴본다.  많은 애널리스트들이 2020년 CIO가 직면할 과제 중 하나로 '불확실성'을 꼽았다. 하지만 역대 최대 수준의 코로나19 불확실성이 닥쳐오리라 생각한 이는 없었다.  즉 중국 우한에서 발발한 코로나19가 전 세계로 확산돼 미국 전역의 사무실과 캠퍼스가 폐쇄되고, CIO가 전사적 재택근무 시행을 위해 시스템을 강화하는 것은 물론 만일의 사태에 대비한 더욱 광범위한 계획을 세워야 할 줄은 아무도 상상하지 못했다.    현재 대부분의 CIO가 코로나19 위기 대응에 전적으로 매달리고 있다. 하지만 전 세계 경제 및 기업에 더 장기적인 변화가 나타나고 있다. CIO들은 코로나19로 정신없는 와중에도 큰 흐름을 보고 대비해야 하는 상황이다.  가트너의 애널리스트 겸 부사장인 어빙 타일러는 “CIO의 업무가 정말 힘들어지고 있다”라고 진단했다. 오늘날 CIO는 핵심 업무 외에도 디지털 비즈니스 모델 설계, 제품 관리 규칙 적용, 기업의 문화 변화 지원, 전 세계 각지의 개인정보 보호법이 미치는 영향 등까지도 고려해야 하기 때문이다. 타일러는 “이 모든 것들이 CIO가 이전에는 절대 생각할 필요가 없던 크고 복잡한 문제들이었다”라고 언급했다. 1. 시장 변화의 속도 성공적인 기업은 코로나19 위기에도 잘 대응했겠지만, 적응 대상은 팬데믹에만 그치지 않는다. 핵심 비즈니스 개념과 가치 제안을 선제적이며 지속적으로 재고할 수 있으며, 방향을 신속하게 전환할 수 있어야 한다. 시장조사기관 포레스터의 부사장 겸 수석 애널리스트 브라이언 홉킨스는 기술을 기반으로 시장 흐름에 맞춰 유연하게 적응할 수 있는 조직을 어떻게 구성할 수 있는지가 대다수의 CIO에게 큰 과제일 것이라고 언급했다. 그는 “아마존을 생각하면 이해하기...

2020.04.09

'데이터 통제권을 고객에게...' 이케아의 결정이 시사하는 바는?

이케아가 고객 데이터 처리 방법에 대해 더 많은 통제권을 고객에게 주기로 결정했다. 몇몇 업계 전문가들은 이를 두고 현재 고객 데이터와 관련된 프라이버시가 브랜드 마케팅 담당자의 툴킷에서 역할을 하고 있다는 신호라고 이야기했다.   스웨덴의 가구회사인 이케아는 이전 구매, 제품 선호도, 제품 추천을 위한 검색 기록을 어떻게 사용하는지 결정할 수 있는 능력을 이제 소비자들에게 주고 있다. 새로운 고객 데이터 통제는 먼저 앱에 도입된 후 영국, 프랑스, 네덜란드, 스페인의 이케아 웹사이트에 반영될 것이다. 앱에 대한 변경사항은 사용자가 개인적인 세션을 선택할 수 있게 해주며, 이 세션에서는 그들의 어떤 활동도 기록하지 못한다. 이케아는 고객들이 데이터를 보관할 수 있는 기간을 지정하도록 하며, 디지털 광고로 사람들을 이끌기 위해 검색 기록을 사용하지 않을 것이다. <CMO>는 이러한 변화가 고객에게 통제권을 되돌려주는 브랜드의 변화를 의미하는지를 살펴보았다. 콘스텔레이션 리서치의 부사장 겸 수석 애널리스트인 리즈 밀러는 이 결정을 “보안 쪽으로의 급격한 전환보다는 규정 준수 상태로의 느린 전환이라고 보는 것이 더 맞다”라고 설명했다. 그녀는 스웨덴의 플랫 팩 가구 대기업인 이케아에서 발생한 최근 몇 년간 일련의 보안상 실수들과 위반사항들을 지적하고 그 결정에 박수를 보냈으며, 동시에 주의 사항을 전달했다.  밀러는 “이러한 결정은 뛰어난 고객 경험이 고객의 소비와 관련된 만큼이나 고객의 데이터로도 확대된다는 점을 이케아가 잘 알고 있음을 보여준다. 오늘날 글로벌 소비자들은 자신들의 데이터와 지갑 공유를 위탁하는 브랜드에 이용당하고 남용 당하는 느낌에 지쳐 있다”라고 말했다. 그러나 밀러는 이케아와 다른 모든 브랜드가 소비자 데이터를 수집하는 능력에 대한 고삐를 느슨하게 하는 실제 테스트는 나중에 있을 것으로 이해했다. 그녀는 “이 회사는 모든 과정에서 고객과 접촉할 때 프라이버시와 허가를 존중할 것인가? 아니면 누군가가 잊...

IDC 데이터 스튜어드십 데이터 통제권 GDPR 이케아 디지털 광고 개인정보보호법 버버리 개인화 CMO 가트너 ROI 소비자 프라이버시

2020.02.20

이케아가 고객 데이터 처리 방법에 대해 더 많은 통제권을 고객에게 주기로 결정했다. 몇몇 업계 전문가들은 이를 두고 현재 고객 데이터와 관련된 프라이버시가 브랜드 마케팅 담당자의 툴킷에서 역할을 하고 있다는 신호라고 이야기했다.   스웨덴의 가구회사인 이케아는 이전 구매, 제품 선호도, 제품 추천을 위한 검색 기록을 어떻게 사용하는지 결정할 수 있는 능력을 이제 소비자들에게 주고 있다. 새로운 고객 데이터 통제는 먼저 앱에 도입된 후 영국, 프랑스, 네덜란드, 스페인의 이케아 웹사이트에 반영될 것이다. 앱에 대한 변경사항은 사용자가 개인적인 세션을 선택할 수 있게 해주며, 이 세션에서는 그들의 어떤 활동도 기록하지 못한다. 이케아는 고객들이 데이터를 보관할 수 있는 기간을 지정하도록 하며, 디지털 광고로 사람들을 이끌기 위해 검색 기록을 사용하지 않을 것이다. <CMO>는 이러한 변화가 고객에게 통제권을 되돌려주는 브랜드의 변화를 의미하는지를 살펴보았다. 콘스텔레이션 리서치의 부사장 겸 수석 애널리스트인 리즈 밀러는 이 결정을 “보안 쪽으로의 급격한 전환보다는 규정 준수 상태로의 느린 전환이라고 보는 것이 더 맞다”라고 설명했다. 그녀는 스웨덴의 플랫 팩 가구 대기업인 이케아에서 발생한 최근 몇 년간 일련의 보안상 실수들과 위반사항들을 지적하고 그 결정에 박수를 보냈으며, 동시에 주의 사항을 전달했다.  밀러는 “이러한 결정은 뛰어난 고객 경험이 고객의 소비와 관련된 만큼이나 고객의 데이터로도 확대된다는 점을 이케아가 잘 알고 있음을 보여준다. 오늘날 글로벌 소비자들은 자신들의 데이터와 지갑 공유를 위탁하는 브랜드에 이용당하고 남용 당하는 느낌에 지쳐 있다”라고 말했다. 그러나 밀러는 이케아와 다른 모든 브랜드가 소비자 데이터를 수집하는 능력에 대한 고삐를 느슨하게 하는 실제 테스트는 나중에 있을 것으로 이해했다. 그녀는 “이 회사는 모든 과정에서 고객과 접촉할 때 프라이버시와 허가를 존중할 것인가? 아니면 누군가가 잊...

2020.02.20

강은성의 보안 아키텍트 | 정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

CISO 개인정보보호 관리체계 정보통신망법 CCTV 강은성 CPO PIMS 개인정보보호법 벌금 처벌

2019.12.23

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

2019.12.23

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

CIO 형사처벌 GDPR 정보통신망법 개인정보보호책임자 CPO 개인정보보호법 카드사 벌금 유출 CISO 개인정보 형사처분

2018.11.07

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

2018.11.07

칼럼 | 무방비 상태의 B2B 프라이버시 규정, 문제 없을까

대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다. 가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다. 하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다. 직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다. 문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가? 직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 ...

스마트폰 GDPR 개인정보보호법 EU 유럽연합 B2C B2B 개인정보 보호 프라이버시 General Data Protection Regulation

2017.05.18

대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다. 가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다. 하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다. 직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다. 문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가? 직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 ...

2017.05.18

강은성의 보안 아키텍트 | 개인정보 유출시 할 일(1), 통지 - 법규를 중심으로

몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다. 본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다. 먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다. 이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다. 사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 ...

CSO 통지 보건복지부 정보통신망법 신고 강은성 개인정보보호법 공공기관 유출 CISO 개인정보 교육 정부 과태료

2016.08.08

몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다. 본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다. 먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다. 이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다. 사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 ...

2016.08.08

강은성의 보안 아키텍트 | 금융권 '자율'보안과 개인정보의 '자율'보호

지난해 금융보안의 주요 화두 중 하나는 ‘자율보안’이었다. 금융권에서의 자율보안에 관해 종합적으로 정리한 ‘금융IT부문 자율보안체계 확립 방안’(금융개혁회의, 2015.6)에서는, '자율보안'을, “핀테크 산업 활성화를 위해 IT보안 규제의 패러다임을 사전규제에서 사후규제로 전환”하는 것을 목적으로 "금융회사 스스로 정보보안 및 내부통제를 강화하고 핀테크 시대에 부응하는 민간 중심의 자율적 보안체계”로 정의하였다. 국가 경제의 한 축을 담당하면서 국민의 금융자산을 관리하고 있어서 전통적으로 정부가 강력하게 규제해 온 금융산업에서, 거래의 대다수를 점하고 있는 전자금융의 인프라와 국민의 자산 및 정보를 보호하는 막중한 임무를 띠고 있는 금융보안을 자율보안으로 해 나가겠다는 '선언'은 다소 어색해 보인다. 게다가 2014년 1월 카드사의 개인정보 대량유출 사건 이후 금융당국의 정보보호 및 개인정보 대책은 규제와 처벌의 확대ㆍ강화를 기조로 진행됐다. 카드사 대책으로 ‘개인정보 정상화 대책’(관계부처 합동, 2014.7.31)이 발표된 이후 개인정보보호법, 정보통신망법, 신용정보법 등 '개인정보 3법' 중 규제수준이 낮은 법 조항을 높은 쪽에 맞추는 방향으로 법들이 개정되면서, 금융권을 포함해 전반적으로 정보보호 및 개인정보 관련 규제를 강화해 온 흐름과 상반된 것이기도 하다. 단순화시키면 '천송이코트 구매 불가 사건'으로 붉어진 액티브X 기반의 불편한 보안모듈 문제가 '낡은 규제'의 결과로 지적되고, 이것이 글로벌 화두였던 간편결제를 중심으로 한 핀테크와 대비되면서 금융개혁회의 자료에서도 밝혔듯이 자율보안의 필요성으로까지 확대된 것으로 보이지만, 그 배경에는 카드사 사태에서 금융보안의 세세한 부분까지 강력한 규제를 행사해 온 금융(감독)당국의 책임론이 나오고, 개인정보 유출사고에서...

개인정보 보호 사전규제 법규 자율규제 자율보안 행정자치부 액티브X 강은성 개인정보보호법 CISO 금융 소송 사후규제

2016.06.03

지난해 금융보안의 주요 화두 중 하나는 ‘자율보안’이었다. 금융권에서의 자율보안에 관해 종합적으로 정리한 ‘금융IT부문 자율보안체계 확립 방안’(금융개혁회의, 2015.6)에서는, '자율보안'을, “핀테크 산업 활성화를 위해 IT보안 규제의 패러다임을 사전규제에서 사후규제로 전환”하는 것을 목적으로 "금융회사 스스로 정보보안 및 내부통제를 강화하고 핀테크 시대에 부응하는 민간 중심의 자율적 보안체계”로 정의하였다. 국가 경제의 한 축을 담당하면서 국민의 금융자산을 관리하고 있어서 전통적으로 정부가 강력하게 규제해 온 금융산업에서, 거래의 대다수를 점하고 있는 전자금융의 인프라와 국민의 자산 및 정보를 보호하는 막중한 임무를 띠고 있는 금융보안을 자율보안으로 해 나가겠다는 '선언'은 다소 어색해 보인다. 게다가 2014년 1월 카드사의 개인정보 대량유출 사건 이후 금융당국의 정보보호 및 개인정보 대책은 규제와 처벌의 확대ㆍ강화를 기조로 진행됐다. 카드사 대책으로 ‘개인정보 정상화 대책’(관계부처 합동, 2014.7.31)이 발표된 이후 개인정보보호법, 정보통신망법, 신용정보법 등 '개인정보 3법' 중 규제수준이 낮은 법 조항을 높은 쪽에 맞추는 방향으로 법들이 개정되면서, 금융권을 포함해 전반적으로 정보보호 및 개인정보 관련 규제를 강화해 온 흐름과 상반된 것이기도 하다. 단순화시키면 '천송이코트 구매 불가 사건'으로 붉어진 액티브X 기반의 불편한 보안모듈 문제가 '낡은 규제'의 결과로 지적되고, 이것이 글로벌 화두였던 간편결제를 중심으로 한 핀테크와 대비되면서 금융개혁회의 자료에서도 밝혔듯이 자율보안의 필요성으로까지 확대된 것으로 보이지만, 그 배경에는 카드사 사태에서 금융보안의 세세한 부분까지 강력한 규제를 행사해 온 금융(감독)당국의 책임론이 나오고, 개인정보 유출사고에서...

2016.06.03

CA 테크놀로지스, 개인정보보호법 대응 CA IAM 스위트 출시

한국 CA 테크놀로지스가 개인정보보호법 준수를 위한 CA 계정 및 접근 관리 스위트(CA IAM Suite)를 발표했다. 한국 CA 테크놀로지스는 중견중소기업을 겨냥해 뛰어난 보안성, 효율성, 안정성을 갖춘 원스톱 개인정보보호법 대응 CA IAM 스위트를 어플라이언스 형태로 공급한다. 개인정보보호법이 전면 시행되면서 개인정보를 수집ㆍ저장ㆍ이용하는 모든 업체와 단체들은 개인정보 관리의 안정성을 확보해야 한다. 개인정보보호법 대응 CA IAM 스위트는 사용자 활동 보고 및 감사 기능과 ‘CA 아이덴티티마인더’(계정 관리), ‘CA 콘트롤마인더’(서버 접근 제어) 제품을 시장에서 검증된 서버와 함께 제공, 고객들이 개인정보보호법의 안정성 확보 조치 사항인 접근권한 관리 및 접근 통제, 접속기록 보관 및 위변조 방지를 준수하도록 한다. 개인정보보호법 대응 CA IAM 스위트는 어플라이언스 형태로 사전정의된 설정을 통해 빠른 설치와 운영을 보장한다. 개인정보를 저장한 시스템에 대한 사용자의 계정관리, 접근제어, 사용자 활동에 대한 모니터링이 가능하며 고객사 환경, 시스템 별 보안요구사항에 따른 기능을 선택할 수 있다. 한국 CA 테크놀로지스 마이클 최 사장은 “CA 테크놀로지스의 IAM 제품군은 이미 전세계에서 검증 받았으며 보안성과 안정성이 뛰어나다”며, “개인정보보호법 대응 CA IAM 스위트를 통해 기업은 시스템 구축에 소요되는 추가 비용 없이 안전하고 신속하게 개인정보를 보호하고 관리할 수 있다”고 설명했다. ciokr@idg.co.kr

CA 개인정보보호법

2013.02.04

한국 CA 테크놀로지스가 개인정보보호법 준수를 위한 CA 계정 및 접근 관리 스위트(CA IAM Suite)를 발표했다. 한국 CA 테크놀로지스는 중견중소기업을 겨냥해 뛰어난 보안성, 효율성, 안정성을 갖춘 원스톱 개인정보보호법 대응 CA IAM 스위트를 어플라이언스 형태로 공급한다. 개인정보보호법이 전면 시행되면서 개인정보를 수집ㆍ저장ㆍ이용하는 모든 업체와 단체들은 개인정보 관리의 안정성을 확보해야 한다. 개인정보보호법 대응 CA IAM 스위트는 사용자 활동 보고 및 감사 기능과 ‘CA 아이덴티티마인더’(계정 관리), ‘CA 콘트롤마인더’(서버 접근 제어) 제품을 시장에서 검증된 서버와 함께 제공, 고객들이 개인정보보호법의 안정성 확보 조치 사항인 접근권한 관리 및 접근 통제, 접속기록 보관 및 위변조 방지를 준수하도록 한다. 개인정보보호법 대응 CA IAM 스위트는 어플라이언스 형태로 사전정의된 설정을 통해 빠른 설치와 운영을 보장한다. 개인정보를 저장한 시스템에 대한 사용자의 계정관리, 접근제어, 사용자 활동에 대한 모니터링이 가능하며 고객사 환경, 시스템 별 보안요구사항에 따른 기능을 선택할 수 있다. 한국 CA 테크놀로지스 마이클 최 사장은 “CA 테크놀로지스의 IAM 제품군은 이미 전세계에서 검증 받았으며 보안성과 안정성이 뛰어나다”며, “개인정보보호법 대응 CA IAM 스위트를 통해 기업은 시스템 구축에 소요되는 추가 비용 없이 안전하고 신속하게 개인정보를 보호하고 관리할 수 있다”고 설명했다. ciokr@idg.co.kr

2013.02.04

칼럼 | 개인정보보호법에 대한 단상(斷想)

최근 몇 년 사이에 인터넷 포털, 온라인 쇼핑몰, 금융기관 등에서 해킹 또는 내부자의 소행에 의한 개인정보 무더기 유출 사건이 벌어졌다. 또한 이를 이용한 중국으로부터의 보이스피싱 등의 증가에 대한 우려 등이 큰 사회 문제가 되었다. 정부에서는 이를 방지하기 위해 개인정보보호법을 제정하여 2011년에 공표하였다. 그리고 2012년 말까지 각 기업 및 단체에서는 이에 대한 대응을 완료할 것을 명시하였다. 필자가 속한 기업 역시 개인정보보호법에 대한 대응을 준비하고 있는 상황이다. 본 글에서는 B2B 제조기업에서 개인정보보호법에 대응하면서 필자가 느꼈던 몇 가지를 이야기해 볼까 한다. 우선 법에 의하면 각 기업은 개인정보보호책임자를 선정하여야 하는 것으로 되어 있다. 기업의 규모가 크거나 또는 금융권의 경우 이미 기업보안책임자가 선정되어 있는 경우가 많으므로 개인정보보호책임자를 겸임할 가능성이 크다. 그러나 기업의 규모가 크지 않거나 제조업과 같이 그 동안 보안에 대해 상대적으로 관심도가 적었던 기업에서는 누구를 책임자로 임명하여야 가장 적합할까? 특히 필자가 속한 기업과 같은 B2B 제조업의 경우 고객정보가 대부분 기업정보이며 개인정보에 해당하는 정보는 내부 직원들에 대한 인사정보가 주를 이루고 있는 경우에는 어떻게 해야 할까? 이러한 경우 필자는 인사책임자가 개인정보보호책임자가 되는 것이 바람직하다고 생각한다. 하지만 만약 고객 정보 중에 법에서 명시한 보호 대상정보를 반드시 포함하여야 하고 있어야 하는 경우에는 상황이 좀 더 복잡해 질 수 있다. 영업 마케팅 부서를 비롯하여 여러 조직이 관련된 경우에는 개인정보보호책임자가 전사를 총괄할 수 있는 조직의 책임자가 되어야 할 것이다. 하지만 이 경우에도 IT관리자를 책임자로 임명하는 것은 적합하다고 생각하지 않는다. IT관리자를 개인정보보호책임자로 지정하고 하는 기업의 임원이나 팀장들이 생각하는 것은 개인정보보호법의 대응이 주로 IT관련 사항이라고 생각하기 때문이다. 하지만 법에서 지정하고 있는 ...

CIO CSO CISO 정철환 개인정보보호보 개인정보보호법 CIO 2012 어워드

2012.11.01

최근 몇 년 사이에 인터넷 포털, 온라인 쇼핑몰, 금융기관 등에서 해킹 또는 내부자의 소행에 의한 개인정보 무더기 유출 사건이 벌어졌다. 또한 이를 이용한 중국으로부터의 보이스피싱 등의 증가에 대한 우려 등이 큰 사회 문제가 되었다. 정부에서는 이를 방지하기 위해 개인정보보호법을 제정하여 2011년에 공표하였다. 그리고 2012년 말까지 각 기업 및 단체에서는 이에 대한 대응을 완료할 것을 명시하였다. 필자가 속한 기업 역시 개인정보보호법에 대한 대응을 준비하고 있는 상황이다. 본 글에서는 B2B 제조기업에서 개인정보보호법에 대응하면서 필자가 느꼈던 몇 가지를 이야기해 볼까 한다. 우선 법에 의하면 각 기업은 개인정보보호책임자를 선정하여야 하는 것으로 되어 있다. 기업의 규모가 크거나 또는 금융권의 경우 이미 기업보안책임자가 선정되어 있는 경우가 많으므로 개인정보보호책임자를 겸임할 가능성이 크다. 그러나 기업의 규모가 크지 않거나 제조업과 같이 그 동안 보안에 대해 상대적으로 관심도가 적었던 기업에서는 누구를 책임자로 임명하여야 가장 적합할까? 특히 필자가 속한 기업과 같은 B2B 제조업의 경우 고객정보가 대부분 기업정보이며 개인정보에 해당하는 정보는 내부 직원들에 대한 인사정보가 주를 이루고 있는 경우에는 어떻게 해야 할까? 이러한 경우 필자는 인사책임자가 개인정보보호책임자가 되는 것이 바람직하다고 생각한다. 하지만 만약 고객 정보 중에 법에서 명시한 보호 대상정보를 반드시 포함하여야 하고 있어야 하는 경우에는 상황이 좀 더 복잡해 질 수 있다. 영업 마케팅 부서를 비롯하여 여러 조직이 관련된 경우에는 개인정보보호책임자가 전사를 총괄할 수 있는 조직의 책임자가 되어야 할 것이다. 하지만 이 경우에도 IT관리자를 책임자로 임명하는 것은 적합하다고 생각하지 않는다. IT관리자를 개인정보보호책임자로 지정하고 하는 기업의 임원이나 팀장들이 생각하는 것은 개인정보보호법의 대응이 주로 IT관련 사항이라고 생각하기 때문이다. 하지만 법에서 지정하고 있는 ...

2012.11.01

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9