Offcanvas

CPO

강은성의 보안 아키텍트ㅣ정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 자격 요건

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

강은성 강은성의 보안 아키텍트 정보보호최고책임자 개인정보보호책임자 CISO CPO 정보통신망법 정보보호 개인정보보호

2022.02.14

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

2022.02.14

강은성의 보안 아키텍트ㅣCPO, DPO, K-DPO?··· CPO에 대한 체계적인 교육과 지원이 필요하다

지난 8월 5일 통합 개인정보보호법과 통합 개인정보보호위원회(이하 보호위)가 출범했다. 개인정보보호 분야에서 일하는 사람으로서 기대가 크다. 그동안 별로 다르지 않았던 정보통신망법과 개인정보보호법, 방송통신위원회와 행정안전부의 고시, 해설서, 가이드와 교육 자료, 보도자료, 게시판, 행정처분과는 법 적용이 다른 수사기관 수사와 법원 판결, 서로 다른 규제기관과 사람들… 2011년 개인정보보호법이 제정되면서 개인정보 보호를 규율하는 두 개의 법률, 두 개의 소관 부처가 있어서 발생했던 비효율을 해소할 수 있는 계기가 마련됐다. 아직 갈 길이 남아 있지만 말이다.    개인정보 보호를 책임지는 중앙부처가 된 만큼 보호위가 당면한 과제는 많겠지만, 필자는 특히 보호위가 개인정보보호책임자(CPO)의 체계적인 교육과 지원에 나서야 한다고 생각한다. 법률에 모든 개인정보 처리 사업자(개인정보처리자)의 개인정보 보호 의무와 강력한 제재를 규정하고 이 의무를 수행할 책임을 CPO에 부과했기 때문이다. 개인정보보호법 제13조에서 정한 개인정보처리자의 개인정보보호 활동에 대한 지원 중 가장 필요한 일이다.  2018년 5월 유럽연합에서 GDPR(General Data Protection Regulation)이 시행된 이후 정부 안팎의 개인정보보호 관련 회의 자리에 가면 GDPR이 자주 거론된다. 인권과 개인정보 보호에 관한 풍부한 역사를 가진 유럽연합의 법규와 경험은 참고할 만하다.  하지만 DPO(Data Protection Officer)에 이르면 이야기가 달라진다. CPO와 DPO는 위상과 역할, 업무가 전혀 다르기 때문이다. 이제 좀 국내에도 알려지긴 했지만 CPO와 DPO는 개인정보보호 법규에 나오는 개인정보보호 관련 직책이라는 것 이외에 비슷한 점이 별로 없다. 개인정보보호법에서는 CPO를 “개인정보의 처리에 관한 업무를 총괄해서 책임”(제31조)지는 직책으로 규정한다. CPO의 업무 또한 상세하게 기술해 놓았다. 개인정...

강은성 보안 CPO DPO 개인정보보호법 통합 개인정보보호위원회 개인정보보호 GDPR 데이터

2020.08.18

지난 8월 5일 통합 개인정보보호법과 통합 개인정보보호위원회(이하 보호위)가 출범했다. 개인정보보호 분야에서 일하는 사람으로서 기대가 크다. 그동안 별로 다르지 않았던 정보통신망법과 개인정보보호법, 방송통신위원회와 행정안전부의 고시, 해설서, 가이드와 교육 자료, 보도자료, 게시판, 행정처분과는 법 적용이 다른 수사기관 수사와 법원 판결, 서로 다른 규제기관과 사람들… 2011년 개인정보보호법이 제정되면서 개인정보 보호를 규율하는 두 개의 법률, 두 개의 소관 부처가 있어서 발생했던 비효율을 해소할 수 있는 계기가 마련됐다. 아직 갈 길이 남아 있지만 말이다.    개인정보 보호를 책임지는 중앙부처가 된 만큼 보호위가 당면한 과제는 많겠지만, 필자는 특히 보호위가 개인정보보호책임자(CPO)의 체계적인 교육과 지원에 나서야 한다고 생각한다. 법률에 모든 개인정보 처리 사업자(개인정보처리자)의 개인정보 보호 의무와 강력한 제재를 규정하고 이 의무를 수행할 책임을 CPO에 부과했기 때문이다. 개인정보보호법 제13조에서 정한 개인정보처리자의 개인정보보호 활동에 대한 지원 중 가장 필요한 일이다.  2018년 5월 유럽연합에서 GDPR(General Data Protection Regulation)이 시행된 이후 정부 안팎의 개인정보보호 관련 회의 자리에 가면 GDPR이 자주 거론된다. 인권과 개인정보 보호에 관한 풍부한 역사를 가진 유럽연합의 법규와 경험은 참고할 만하다.  하지만 DPO(Data Protection Officer)에 이르면 이야기가 달라진다. CPO와 DPO는 위상과 역할, 업무가 전혀 다르기 때문이다. 이제 좀 국내에도 알려지긴 했지만 CPO와 DPO는 개인정보보호 법규에 나오는 개인정보보호 관련 직책이라는 것 이외에 비슷한 점이 별로 없다. 개인정보보호법에서는 CPO를 “개인정보의 처리에 관한 업무를 총괄해서 책임”(제31조)지는 직책으로 규정한다. CPO의 업무 또한 상세하게 기술해 놓았다. 개인정...

2020.08.18

강은성의 보안 아키텍트 | 정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

CISO 개인정보보호 관리체계 정보통신망법 CCTV 강은성 CPO PIMS 개인정보보호법 벌금 처벌

2019.12.23

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

2019.12.23

“애플, 28년 만에 CES 공식 참여 · · · 뉴튼 이후 처음”

1992년 이후 처음으로 애플이 CES에 참가할 것이라는 소식이다. 블룸버그 보도에 따르면 회사의 프라이버시 선임 디렉터 제인 호바스가 1월 7일 열리는 최고 프라이버시 오피스 라운드테이블(Chief Privacy Officer Roundtable)에 참석할 예정이다.  현재 CES 공식 웹사이트에는 참석 패널 명단이 게재돼 있으며, 여기에는 호바스 외에도 페이스북, FTC(Federal Trade Commission) 관계자 이름이 올라 있다. 애플이 CES에 참석한 시점은 1992년 시카고 행사에서 존 스컬리 CEO가 뉴튼을 발표했던 때로 거슬러 올라간다. 이후 애플은 CES에 참여하지 않았으며 대신 맥 월드 엑스포 또는 자체 행사를 통해 자사 제품을 공개해왔다.  한편 오늘날 CES는 주요 스마트폰 공개 행사로서의 입지를 잃어버린지 오래다. 작년 CES에서 공개된 주목할 만한 스마트폰은 아너 뷰 20이 유일했던 바 있다. ciokr@idg.co.kr  

애플 CES CPO 최고 프라이버시 책임자

2019.12.10

1992년 이후 처음으로 애플이 CES에 참가할 것이라는 소식이다. 블룸버그 보도에 따르면 회사의 프라이버시 선임 디렉터 제인 호바스가 1월 7일 열리는 최고 프라이버시 오피스 라운드테이블(Chief Privacy Officer Roundtable)에 참석할 예정이다.  현재 CES 공식 웹사이트에는 참석 패널 명단이 게재돼 있으며, 여기에는 호바스 외에도 페이스북, FTC(Federal Trade Commission) 관계자 이름이 올라 있다. 애플이 CES에 참석한 시점은 1992년 시카고 행사에서 존 스컬리 CEO가 뉴튼을 발표했던 때로 거슬러 올라간다. 이후 애플은 CES에 참여하지 않았으며 대신 맥 월드 엑스포 또는 자체 행사를 통해 자사 제품을 공개해왔다.  한편 오늘날 CES는 주요 스마트폰 공개 행사로서의 입지를 잃어버린지 오래다. 작년 CES에서 공개된 주목할 만한 스마트폰은 아너 뷰 20이 유일했던 바 있다. ciokr@idg.co.kr  

2019.12.10

강은성의 보안 아키텍트 | CISO의 CPO 겸직 금지

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

개인정보 보호 전자금융거래법 전자금융 네트워크 방화벽 내부정보유출방지 침입탐지시스템 가상사설망 정보통신망법 웹방화벽 CPO VPN 카드사 암호 인증 CISO 금융 침입차단시스템

2019.10.10

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

2019.10.10

강은성의 보안 아키텍트 | 개인정보 유출사고에서의 개인정보보호책임자(CPO)의 기소

드디어 개인정보보호책임자(CPO)가 정보통신망법 제73조 제1호 위반으로 형사법정에 서는 일이 생겼다. 지난 6월 18일, 서울 동부지검 사이버수사부는 2017년 개인정보 유출사고가 발생한 A사, B사, C사 세 법인과 해당 기업의 보호조치를 소홀히 한 개인정보 관리책임자를 기소했다고 발표했다. 2008년 12월 정보통신망법에 개인정보 유출사고에 따른 형사처벌 조항이 들어간 뒤 이 조항 위반으로 임직원 개인이 정식 기소된 첫 번째 사례인 것 같다. 사고가 난 지 2년 만의 일이다.     동부지검은 ‘개인정보처리 기업의 보호조치 및 의무위반사건 수사결과’에서, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모" 등을 종합적으로 고려해, 보강수사 등을 통해 찾아낸 "개인정보유출에 대한 실질적 관리소홀 책임자"를 기소하였다고 밝혔다. 또한 앞으로도 “개인정보처리 기업의 보호조치 의무위반 사범에 대하여…엄정 처분할 예정”이라고 하여 앞으로도 CPO에 대한 기소가 있을 것임을 예고하였다.   필자는 지난 칼럼 ‘개인정보의 유출과 개인정보보호책임자(CPO)의 형사처벌`에서 개인정보 유출사건 발생 시 CPO를 형사처벌할 수 있도록 한 정보통신망법 제73조 제1호(또는 개인정보보호법 제73조 제1호)의 문제점을 상세히 설명하였으므로, 여기에서는 검찰의 발표자료를 중심으로 이번 기소의 의미를 살펴보려고 한다.   첫째, 기소 시 개인정보 보호조치 위반의 고의성을 고려하지 않는 것으로 보인다. 다시 정보통신망법 제73조 제1호를 본다.   제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자   필자는 지난 칼럼에서 이 조문이 밑줄 친 내용과 같이 고의성을 강조하는 외양을 취하고 있으나 고의로 보호조치를 하지 않을 CPO가 거의 없을 것이기 때문에 미필적 고의나 과실에 적용될 가...

CIO 기소 위반 CPO 재판 CISO 개인정보 보호 책임 CSO 보호조치 의무

2019.07.12

드디어 개인정보보호책임자(CPO)가 정보통신망법 제73조 제1호 위반으로 형사법정에 서는 일이 생겼다. 지난 6월 18일, 서울 동부지검 사이버수사부는 2017년 개인정보 유출사고가 발생한 A사, B사, C사 세 법인과 해당 기업의 보호조치를 소홀히 한 개인정보 관리책임자를 기소했다고 발표했다. 2008년 12월 정보통신망법에 개인정보 유출사고에 따른 형사처벌 조항이 들어간 뒤 이 조항 위반으로 임직원 개인이 정식 기소된 첫 번째 사례인 것 같다. 사고가 난 지 2년 만의 일이다.     동부지검은 ‘개인정보처리 기업의 보호조치 및 의무위반사건 수사결과’에서, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모" 등을 종합적으로 고려해, 보강수사 등을 통해 찾아낸 "개인정보유출에 대한 실질적 관리소홀 책임자"를 기소하였다고 밝혔다. 또한 앞으로도 “개인정보처리 기업의 보호조치 의무위반 사범에 대하여…엄정 처분할 예정”이라고 하여 앞으로도 CPO에 대한 기소가 있을 것임을 예고하였다.   필자는 지난 칼럼 ‘개인정보의 유출과 개인정보보호책임자(CPO)의 형사처벌`에서 개인정보 유출사건 발생 시 CPO를 형사처벌할 수 있도록 한 정보통신망법 제73조 제1호(또는 개인정보보호법 제73조 제1호)의 문제점을 상세히 설명하였으므로, 여기에서는 검찰의 발표자료를 중심으로 이번 기소의 의미를 살펴보려고 한다.   첫째, 기소 시 개인정보 보호조치 위반의 고의성을 고려하지 않는 것으로 보인다. 다시 정보통신망법 제73조 제1호를 본다.   제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자   필자는 지난 칼럼에서 이 조문이 밑줄 친 내용과 같이 고의성을 강조하는 외양을 취하고 있으나 고의로 보호조치를 하지 않을 CPO가 거의 없을 것이기 때문에 미필적 고의나 과실에 적용될 가...

2019.07.12

강은성의 보안 아키텍트 | 임원급 CISO의 지정과 겸직 금지

지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행).  그 중 제45조의3의 주요 개정 내용은 다음과 같다. ● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항)  ● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항) 지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설). ● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함   정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다. 첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다. 둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 &lsq...

CIO 시행령 겸직 금지 개인정보보호 관리체계 과기정통부 강은성 CPO PIMS CISO 개인정보 CSO 정보통산망법

2019.04.05

지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행).  그 중 제45조의3의 주요 개정 내용은 다음과 같다. ● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항)  ● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항) 지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설). ● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함   정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다. 첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다. 둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 &lsq...

2019.04.05

새로운 클라우데라 CEO에게 듣는 '클라우드와 오픈소스 전략'

클라우데라(Cloudera)와 호튼웍스(Hortonworks)가 합병해 탄생한 새로운 회사는 클라우데라 브랜드로 활동하게 된다. 새 합병 회사는 고객들을 새로운 통합 클라우데라 데이터 플랫폼으로 이전하도록 하는 데 목표를 두고 있다. 이와 동시에 하이브리드 및 멀티클라우드 배포 상품과 서비스에 계속 전념을 할 계획이다. 또한 100% 오픈소스를 유지할 계획이다. 지난 해 10월, 두 경쟁 회사는 주식을 동일하게 통합하는 방식의 합병 발표를 했다. 당시 두 회사는 벤처캐피탈리스트로부터 많은 투자를 유치했지만, 오픈소스 기반 데이터 솔루션의 효과적인 ‘수익화’에 애를 먹고 있었다. 당시에는 새 합병 회사가 사용할 ‘브랜드’를 몰랐다. 그러나 이제 그 브랜드가 클라우데라로 결정된 것을 알게 되었다. 호튼웍스 브랜드는 폐기 처분될 것이다. 당시 <컴퓨터월드UK>가 작성한 기사에 이런 미래가 반영되어 있었다. “이번 합병 협상에서 ‘알파독(우위를 점한)’에 해당되는 회사는 클라우데라다. 클라우데라 주주들이 합병 회사의 자본 60%를 갖게 될 것이다. 클라우데라의 톰 라일리 CEO(아래 사진)가 합병 회사의 경영을 책임지며, 비어든은 이사회 이사로 합류한다” 라일리는 10일(현지 시각) ‘사전 녹화한’ 웨비나에서 ‘새로운 클라우데라’가 새로운 클라우데라 데이터 플랫폼에 고객들을 유치하는 일에 초점을 맞출 계획이라고 강조했다. 또 머신러닝과 엣지 기술에 우선 투자할 계획이라고 벍혔다. 그리고 벤더 종속을 우려하는 고객들을 위해 하이브리드와 멀티클라우드 배포 옵션을 계속 제공하고 오픈소스 커뮤니티에 지속해서 주력하며 기여할 예정이라고 덧붙였다. 그는 “클라우데라와 호튼웍스는 최근 몇 년간 각자 서로 다른, 그렇지만 보완적인 분야에 투자했다. 호튼웍스는 엣지에서의 IoT 데이터 처리, 실시간 스트리밍에 투자했고, 클...

CEO 록인 호튼웍스 Lock-in CPO 쿠버네티스 GCP 구글 클라우드 플랫폼 멀티클라우드 애런 머피 최고 제품 책임자 클라우데라 종속 엣지 M&A 마이크로소프트 매출 AWS 애저 표준 하이브리드 컨테이너 합병 하둡 톰 라일리

2019.01.15

클라우데라(Cloudera)와 호튼웍스(Hortonworks)가 합병해 탄생한 새로운 회사는 클라우데라 브랜드로 활동하게 된다. 새 합병 회사는 고객들을 새로운 통합 클라우데라 데이터 플랫폼으로 이전하도록 하는 데 목표를 두고 있다. 이와 동시에 하이브리드 및 멀티클라우드 배포 상품과 서비스에 계속 전념을 할 계획이다. 또한 100% 오픈소스를 유지할 계획이다. 지난 해 10월, 두 경쟁 회사는 주식을 동일하게 통합하는 방식의 합병 발표를 했다. 당시 두 회사는 벤처캐피탈리스트로부터 많은 투자를 유치했지만, 오픈소스 기반 데이터 솔루션의 효과적인 ‘수익화’에 애를 먹고 있었다. 당시에는 새 합병 회사가 사용할 ‘브랜드’를 몰랐다. 그러나 이제 그 브랜드가 클라우데라로 결정된 것을 알게 되었다. 호튼웍스 브랜드는 폐기 처분될 것이다. 당시 <컴퓨터월드UK>가 작성한 기사에 이런 미래가 반영되어 있었다. “이번 합병 협상에서 ‘알파독(우위를 점한)’에 해당되는 회사는 클라우데라다. 클라우데라 주주들이 합병 회사의 자본 60%를 갖게 될 것이다. 클라우데라의 톰 라일리 CEO(아래 사진)가 합병 회사의 경영을 책임지며, 비어든은 이사회 이사로 합류한다” 라일리는 10일(현지 시각) ‘사전 녹화한’ 웨비나에서 ‘새로운 클라우데라’가 새로운 클라우데라 데이터 플랫폼에 고객들을 유치하는 일에 초점을 맞출 계획이라고 강조했다. 또 머신러닝과 엣지 기술에 우선 투자할 계획이라고 벍혔다. 그리고 벤더 종속을 우려하는 고객들을 위해 하이브리드와 멀티클라우드 배포 옵션을 계속 제공하고 오픈소스 커뮤니티에 지속해서 주력하며 기여할 예정이라고 덧붙였다. 그는 “클라우데라와 호튼웍스는 최근 몇 년간 각자 서로 다른, 그렇지만 보완적인 분야에 투자했다. 호튼웍스는 엣지에서의 IoT 데이터 처리, 실시간 스트리밍에 투자했고, 클...

2019.01.15

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

CIO 형사처벌 GDPR 정보통신망법 개인정보보호책임자 CPO 개인정보보호법 카드사 벌금 유출 CISO 개인정보 형사처분

2018.11.07

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

2018.11.07

최고 개인정보 책임자란? 하는 일은? 연봉은?

최고 개인정보 책임자(Chief Privacy Officer)는 데이터 중심 비즈니스 환경에서 유행하는 직무로 부상하고 있다. CPO는 정확히 어떤 일을 하는 자리일까? CPO는 일부 조직과 부서에서 중요한 역할을 한다. 기업이 기밀 정보를 처리하는 방식은 데이터 중심 비즈니스에서 매우 중요하다. 기업이 데이터 유출로 대규모 벌금형에 처할 수도 있고 명성에 타격을 입을 수도 있으며 대중의 신뢰를 잃을 수도 있는데 이렇게 될 경우 문제가 더 악화된다. 영국 정부는 2017년 영국의 기업 중 46%가 데이터를 겨냥한 사이버공격을 당했다고 밝힌 바 있다. 같은 해 영국 정부는 기업이 사이버공격으로부터 자신을 보호하지 못하면 최대 1,700만 파운드의 벌금을 물릴 수 있다고 발표했다. CPO의 역할은 5월 25일 발효를 앞둔 GDPR을 준수할 준비를 하는 영국 기업들에서 특히 필요하다. CPO의 역할은? CPO 역할은 관련 연방 및 국내 법률을 준수하여 직원과 고객으로부터 수집된 모든 데이터와 관련해 회사의 개인정보 보호 정책을 설계하고 구현하는 것과 관련이 있다. 이 역할은 회사가 보유한 기밀 정보를 보호하고 무단 접근이나 정보 유출을 방지하는 데 중점을 둔다. 미국 뉴저지에 있는 프라이버시 검색 회사인 LJ 쿠시너&어소시에이츠(LJ Kushner & Associates)의 사장 겸 CEO 래리 쿠시너는 "CPO가 회사의 비즈니스를 이해해야 한다. CPO를 통해 회사는 고객 및 일반 대중을 화나게 하지 않고도 정보 사용을 극대화할 수 있다"고 말했다. 역할과 관련된 일상 업무에는 정책 개발, 구현, 유지 관리는 물론 여러 부서의 규정 준수 모니터링 및 정보 취급 부주의 사례 조사도 포함된다. 또한 조직의 직원 및 고객 모두에게 개인정보와 관련하여 조직의 전반적인 전략 및 개별 정책을 알리는 일도 담당한다. CPO 역할은 일반 사무실의 업무에 통합되며 새로운 프로젝트나 제품 출시 전에 보안...

CIO GDPR 페이스케일 CPO CCO 벌금 연봉 CISO 규제 개인정보 보호 최고 개인정보 책임자

2018.05.03

최고 개인정보 책임자(Chief Privacy Officer)는 데이터 중심 비즈니스 환경에서 유행하는 직무로 부상하고 있다. CPO는 정확히 어떤 일을 하는 자리일까? CPO는 일부 조직과 부서에서 중요한 역할을 한다. 기업이 기밀 정보를 처리하는 방식은 데이터 중심 비즈니스에서 매우 중요하다. 기업이 데이터 유출로 대규모 벌금형에 처할 수도 있고 명성에 타격을 입을 수도 있으며 대중의 신뢰를 잃을 수도 있는데 이렇게 될 경우 문제가 더 악화된다. 영국 정부는 2017년 영국의 기업 중 46%가 데이터를 겨냥한 사이버공격을 당했다고 밝힌 바 있다. 같은 해 영국 정부는 기업이 사이버공격으로부터 자신을 보호하지 못하면 최대 1,700만 파운드의 벌금을 물릴 수 있다고 발표했다. CPO의 역할은 5월 25일 발효를 앞둔 GDPR을 준수할 준비를 하는 영국 기업들에서 특히 필요하다. CPO의 역할은? CPO 역할은 관련 연방 및 국내 법률을 준수하여 직원과 고객으로부터 수집된 모든 데이터와 관련해 회사의 개인정보 보호 정책을 설계하고 구현하는 것과 관련이 있다. 이 역할은 회사가 보유한 기밀 정보를 보호하고 무단 접근이나 정보 유출을 방지하는 데 중점을 둔다. 미국 뉴저지에 있는 프라이버시 검색 회사인 LJ 쿠시너&어소시에이츠(LJ Kushner & Associates)의 사장 겸 CEO 래리 쿠시너는 "CPO가 회사의 비즈니스를 이해해야 한다. CPO를 통해 회사는 고객 및 일반 대중을 화나게 하지 않고도 정보 사용을 극대화할 수 있다"고 말했다. 역할과 관련된 일상 업무에는 정책 개발, 구현, 유지 관리는 물론 여러 부서의 규정 준수 모니터링 및 정보 취급 부주의 사례 조사도 포함된다. 또한 조직의 직원 및 고객 모두에게 개인정보와 관련하여 조직의 전반적인 전략 및 개별 정책을 알리는 일도 담당한다. CPO 역할은 일반 사무실의 업무에 통합되며 새로운 프로젝트나 제품 출시 전에 보안...

2018.05.03

'최고 프라이버시 책임자' CPO를 채용해야 하는 5가지 이유

이제 데이터의 수집과 저장, 관리는 거의 모든 기업에 일상적인 작업이다. 그러나 이 데이터 작업에 얼마나 신경쓰는지는 완전히 다른 이야기다. CPO(chief privacy officer)가 필요한 것이 바로 이 지점이다. CPO는 기업내 프라이버시 전략을 만들고 복잡성을 관리하며, 관련 정부 규제를 준수하도록 한다. 그리고 무엇보다 고객을 보호한다. 데이터 보호 업체 바플(Baffle)의 공동 설립자겸 CEO인 에미시 디베이샤는 "CPO의 가장 중요한 역할은 기업이 가진 방대한 정보 중 개인식별정보(PII)가 무엇인지 결정하는 과정에서 '고객의 대변인'이 되는 것이다. 또한, 정보가 수집되면 가능한 한 빠르게 이를 보호하거나 아예 수집하지 않는 방법을 찾아 법규 위반에 따른 벌금을 피하고, 동시에 업무 과정에서는 이 데이터를 계속 활용할 방안을 찾는 사람이다"라고 말했다. 프라이버시 관련 법규를 어기거나 데이터 유출 사고가 발생하면 기업은 금전 이상의 손해를 본다. 기업의 이미지까지 위태로운 상황에 놓이기 때문이다. 아직도 CPO가 없는 기업을 위해 CPO를 채용해야 하는 명백한 이유를 살펴보자. 1. 프라이버시 규제 강화 개인정보를 다루는 일에는 고객과 기업을 보호하기 위한 많은 책임이 뒤따른다. 고객과 소비자, 사용자 데이터를 안전한 상태로 확실하게 관리해야 한다. 또한 관련 법적 규제도 엄격하게 준수해야 한다. 시트릭스의 CPO(chief privacy and digital risk officer)인 피터 레프코위츠는 "전 세계 100개국 이상이 프라이버시 보호 법안을 두고, 기업이 데이터를 수집하고 관리하고 저장하는 방법을 규정하고 있다. 개인 정보에 관해 악당이 되느냐 혹은 선한 편에 서느냐에 따라 기업의 재정 측면, 평판 측면의 결과가 달라진다. 이를 위해서는 규제를 준수하고 데이터 활용 투명성을 높이는 전문가를 채용해야 한다"라고 말했다. 이어 "규제 ...

CIO CPO 최고프라이버시책임자

2018.04.02

이제 데이터의 수집과 저장, 관리는 거의 모든 기업에 일상적인 작업이다. 그러나 이 데이터 작업에 얼마나 신경쓰는지는 완전히 다른 이야기다. CPO(chief privacy officer)가 필요한 것이 바로 이 지점이다. CPO는 기업내 프라이버시 전략을 만들고 복잡성을 관리하며, 관련 정부 규제를 준수하도록 한다. 그리고 무엇보다 고객을 보호한다. 데이터 보호 업체 바플(Baffle)의 공동 설립자겸 CEO인 에미시 디베이샤는 "CPO의 가장 중요한 역할은 기업이 가진 방대한 정보 중 개인식별정보(PII)가 무엇인지 결정하는 과정에서 '고객의 대변인'이 되는 것이다. 또한, 정보가 수집되면 가능한 한 빠르게 이를 보호하거나 아예 수집하지 않는 방법을 찾아 법규 위반에 따른 벌금을 피하고, 동시에 업무 과정에서는 이 데이터를 계속 활용할 방안을 찾는 사람이다"라고 말했다. 프라이버시 관련 법규를 어기거나 데이터 유출 사고가 발생하면 기업은 금전 이상의 손해를 본다. 기업의 이미지까지 위태로운 상황에 놓이기 때문이다. 아직도 CPO가 없는 기업을 위해 CPO를 채용해야 하는 명백한 이유를 살펴보자. 1. 프라이버시 규제 강화 개인정보를 다루는 일에는 고객과 기업을 보호하기 위한 많은 책임이 뒤따른다. 고객과 소비자, 사용자 데이터를 안전한 상태로 확실하게 관리해야 한다. 또한 관련 법적 규제도 엄격하게 준수해야 한다. 시트릭스의 CPO(chief privacy and digital risk officer)인 피터 레프코위츠는 "전 세계 100개국 이상이 프라이버시 보호 법안을 두고, 기업이 데이터를 수집하고 관리하고 저장하는 방법을 규정하고 있다. 개인 정보에 관해 악당이 되느냐 혹은 선한 편에 서느냐에 따라 기업의 재정 측면, 평판 측면의 결과가 달라진다. 이를 위해서는 규제를 준수하고 데이터 활용 투명성을 높이는 전문가를 채용해야 한다"라고 말했다. 이어 "규제 ...

2018.04.02

IT리더에게 듣는다 | "모바일은 빠르게, 클라우드는 조심스럽게, 빅데이터는 관망" GS건설 박종국 상무

한국IDG의 미래 IT환경 준비 현황 조사에는 231명의 국내 기업 IT담당자들이 참여했으며, 이 결과를 토대로 <CIO Korea>는 기업 IT를 총괄하는 CIO들을 만나 심층 인터뷰를 진행했다. <CIO Korea>는 ‘미래를 준비하는 IT리더’ 인터뷰 시리즈를 연재하고 있다. <편집자 주> “GS건설은 10년 전부터 PDA를 사용했고, 그 당시에 OS도 팜을 사용할 정도로 모빌리티에 대해서 선도적이었습니다. 건설 현장에서 작업 관리와 인력 관리에 RFID를 연계해 PDA를 사용했고, 심지어 자산관리도 RFID를 연계해서 사용하기도 했습니다. 건설 현장이 국내에 300개, 해외에 50개가 있는데 현장에서 사람들이 이동하면서 쓰기에 적합한 기기가 바로 모바일 기기입니다.” GS건설 CIO 겸 CPO(Chief Privacy Officer)인 박종국 상무는 현재는 물론 미래에도 중요하다고 생각하는 엔터프라이즈 기술로 ‘모바일’을 꼽으며 이같이 설명했다. 박 상무에 따르면, 타 회사도 비슷할 것으로 생각하지만 GS건설이 가장 많이 사용하는 시스템 중 하나가 ‘모바일 오피스’다. 특히 GS건설은 그룹웨어를 중심으로 모바일로 설계 도면을 본다거나 건설 현장에서 사진을 찍어서 서로 의견을 전송한다거나 하는 일들이 일반화돼 있다. 박 상무는 “모바일 이외에 클라우드, 빅데이터, 소셜네트워크, 기술적 보안 등이 IT의 빅 트렌드라고 생각한다”며 이들 각각에 관한 의견을 밝혔다. 박 상무는 “2년 전만 해도 클라우드에 대해서는 부정적으로 생각했는데, 최근에는 생각이 바뀌었다. 클라우드의 가격대성능비가 크게 나아졌기 때문이다”고 말했다. 한국IDG의 조사에 따르면, 빅데이터, 클라우드, 사물인터넷, 보안 등이 현재와 미래에도 중요한 기술로 지목됐다. ->"미...

CIO 서비스로서의 스토리지 Chief Privacy Officer 박종국 상무 스마트 홈 GS건설 CPO 건설 RFID HTML5 빅데이터 모빌리티 Storage as a Service

2016.03.28

한국IDG의 미래 IT환경 준비 현황 조사에는 231명의 국내 기업 IT담당자들이 참여했으며, 이 결과를 토대로 <CIO Korea>는 기업 IT를 총괄하는 CIO들을 만나 심층 인터뷰를 진행했다. <CIO Korea>는 ‘미래를 준비하는 IT리더’ 인터뷰 시리즈를 연재하고 있다. <편집자 주> “GS건설은 10년 전부터 PDA를 사용했고, 그 당시에 OS도 팜을 사용할 정도로 모빌리티에 대해서 선도적이었습니다. 건설 현장에서 작업 관리와 인력 관리에 RFID를 연계해 PDA를 사용했고, 심지어 자산관리도 RFID를 연계해서 사용하기도 했습니다. 건설 현장이 국내에 300개, 해외에 50개가 있는데 현장에서 사람들이 이동하면서 쓰기에 적합한 기기가 바로 모바일 기기입니다.” GS건설 CIO 겸 CPO(Chief Privacy Officer)인 박종국 상무는 현재는 물론 미래에도 중요하다고 생각하는 엔터프라이즈 기술로 ‘모바일’을 꼽으며 이같이 설명했다. 박 상무에 따르면, 타 회사도 비슷할 것으로 생각하지만 GS건설이 가장 많이 사용하는 시스템 중 하나가 ‘모바일 오피스’다. 특히 GS건설은 그룹웨어를 중심으로 모바일로 설계 도면을 본다거나 건설 현장에서 사진을 찍어서 서로 의견을 전송한다거나 하는 일들이 일반화돼 있다. 박 상무는 “모바일 이외에 클라우드, 빅데이터, 소셜네트워크, 기술적 보안 등이 IT의 빅 트렌드라고 생각한다”며 이들 각각에 관한 의견을 밝혔다. 박 상무는 “2년 전만 해도 클라우드에 대해서는 부정적으로 생각했는데, 최근에는 생각이 바뀌었다. 클라우드의 가격대성능비가 크게 나아졌기 때문이다”고 말했다. 한국IDG의 조사에 따르면, 빅데이터, 클라우드, 사물인터넷, 보안 등이 현재와 미래에도 중요한 기술로 지목됐다. ->"미...

2016.03.28

기업에 최고프라이버시책임자(CPO)가 필요한 5가지 이유

거의 모든 산업의 경영에서 데이터가 필수 요소가 되면서 기업들은 프라이버시 관리가 그만큼 중요하다는 사실을 깨닫기 시작했다. 하지만 안타깝게도 프라이버시 관리가 얼마나 중요한지 기업들이 잘 모르고 안일하게 여기고 있다는 조사 결과가 나왔다. 이미지 출처 : Thinkstock 클라우드 기반 데이터 보호 업체인 드루바(Druva)가 임직원 수 100~5,000명인 기업에서 근무 중인 214명을 대상으로 ‘2015년 데이터 프라이버시 현황’을 조사한 결과, 응답자의 81%는 회사가 정부의 프라이버시 컴플라이언스 및 규제 요건을 따르는 것으로 나타났다. 그러나 데이터 프라이버시 관리에 어려움을 느끼는 사람들은 93%나 됐으며 프라이버시 컴플라이언스 및 규제를 따르는 데 어려움이 있다고 답한 사람들은 71%로 집계됐다.  기업들은 향후 보안 유지에 도움이 될 최고프라이버시책임자(Chief Privacy Officer) 고용 여부를 고려하는 것도 이러한 조사 결과를 뒷받침 하고 있다. 보안 서비스 제공업체인 인트랄링크(Intralink)의 글로벌 프라이버시 책임자인 디마 프레지는 올해는 C레벨 임원인 CPO에 투자하는 것이 중요하다고 강조했다. 그녀는 CPO 채용을 진지하게 고민하지 않는 기업들은 유출 사고가 발생해 벌금을 물게 될 경우 막대한 자금과 명성을 잃게 될 것이라고 말했다. 프레지는 올해 CPO 채용을 심사숙고 해야만 하는 5가지 이유를 다음과 같이 설명했다. 1. 업계 지형 변화 기술이 빠르게 변화하는 만큼 기업에게 데이터가 중요해지는 속도도 빨라지고 있다. 기업들은 데이터가 어떻게 경영을 혁신적으로 바꿔나가는지 그 과정에 대해 깨닫기 시작했다. 그러나 좋은 일에는 나쁜 점도 따르기 마련이며, 그 나쁜 점이란 기밀 정보 보안 유지와 관련이 있다. IT가 데이터 보호를 책임질 것이라고 막연히 기대하는 사람들이 있는데, 정보 보안은 그처럼 쉬운 일이 아니다. 기업들은 프라이버시...

데이터 최고프라이버시책임자 사이버 보안 CPO 침해 유출 CISO 개인정보 보호 CIO 드루바

2016.02.02

거의 모든 산업의 경영에서 데이터가 필수 요소가 되면서 기업들은 프라이버시 관리가 그만큼 중요하다는 사실을 깨닫기 시작했다. 하지만 안타깝게도 프라이버시 관리가 얼마나 중요한지 기업들이 잘 모르고 안일하게 여기고 있다는 조사 결과가 나왔다. 이미지 출처 : Thinkstock 클라우드 기반 데이터 보호 업체인 드루바(Druva)가 임직원 수 100~5,000명인 기업에서 근무 중인 214명을 대상으로 ‘2015년 데이터 프라이버시 현황’을 조사한 결과, 응답자의 81%는 회사가 정부의 프라이버시 컴플라이언스 및 규제 요건을 따르는 것으로 나타났다. 그러나 데이터 프라이버시 관리에 어려움을 느끼는 사람들은 93%나 됐으며 프라이버시 컴플라이언스 및 규제를 따르는 데 어려움이 있다고 답한 사람들은 71%로 집계됐다.  기업들은 향후 보안 유지에 도움이 될 최고프라이버시책임자(Chief Privacy Officer) 고용 여부를 고려하는 것도 이러한 조사 결과를 뒷받침 하고 있다. 보안 서비스 제공업체인 인트랄링크(Intralink)의 글로벌 프라이버시 책임자인 디마 프레지는 올해는 C레벨 임원인 CPO에 투자하는 것이 중요하다고 강조했다. 그녀는 CPO 채용을 진지하게 고민하지 않는 기업들은 유출 사고가 발생해 벌금을 물게 될 경우 막대한 자금과 명성을 잃게 될 것이라고 말했다. 프레지는 올해 CPO 채용을 심사숙고 해야만 하는 5가지 이유를 다음과 같이 설명했다. 1. 업계 지형 변화 기술이 빠르게 변화하는 만큼 기업에게 데이터가 중요해지는 속도도 빨라지고 있다. 기업들은 데이터가 어떻게 경영을 혁신적으로 바꿔나가는지 그 과정에 대해 깨닫기 시작했다. 그러나 좋은 일에는 나쁜 점도 따르기 마련이며, 그 나쁜 점이란 기밀 정보 보안 유지와 관련이 있다. IT가 데이터 보호를 책임질 것이라고 막연히 기대하는 사람들이 있는데, 정보 보안은 그처럼 쉬운 일이 아니다. 기업들은 프라이버시...

2016.02.02

강은성의 Security Architect | 보안관제 100% 활용하기(2)

보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다. 그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다. 우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다. 또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것...

CSO CISO CPO 강은성 보안관제 개인정보보호책임자

2015.02.09

보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다. 그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다. 우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다. 또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것...

2015.02.09

CIO·CSO가 최고 조달 책임자(CPO)에게 배울 수 있는 3가지

기업 전략에서 기술의 중요성이 점점 커지면서 CSO와 CIO의 역할이 크게 바뀌었다. 때로는 이러한 변화를 따라가기 어려울 수도 있다. 미국 캘리포니아 레드우스 시티에 있는 구매 솔루션 업체인 이바울라(Ivalua)의 비즈니스 개발 담당 수석 부사장 아몰 조쉬는 CIO와 CSO가 최고 조달 책임자(CPO)에게 얻을 수 있는 몇 가지 팁을 소개했다. 1. 계약서 템플릿을 만들어 활용한다 많은 CIO와 CSO는 아웃소싱 업체, 계약직원, 파트타임 직원, 소프트웨어 개발 업체, 데이터센터, 클라우드 서비스 업체, 그밖에 여러 공급업체들과 계약서를 작성하거나 작성된 계약서를 검토하는 책임을 맡고 있다. CPO는 오랫동안 이 일을 담당해온 임원이다. 이들에게 배울 수 있는 첫번째 팁은 필요할 때 계약서로 바로 쓸 수 있도록 계약서 조항 라이브러리를 만들어 두는 것이다. 이러한 계약서 조항은 최신 상태로 만들어 둬야 한다고 조쉬는 말했다. 예를 들어 클라우드 SLA의 경우 규제를 준수하기 위해 항상 수정되기 때문이다 또 기업은 항상 자신들의 실수에서 배우고 있다. 그리고 다행스러운 점은 경쟁자의 실수에서도 교훈을 얻을 수 있어 결과적으로 이 모든 교훈을 담아 계약서 조항들을 미리 수정해 놓으면 사용하기 편리해 진다. "CIO와 CSO는 이 계약서 조항들을 표준화하고 누구나 계약서를 작성할 때 특정 문구를 사용할 수 있도록 중앙 저장소에서 보관해 둬야 한다"고 조쉬는 전했다. 2. 규제 준수 모니터링을 위한 시스템을 만든다 계약 협상시 공급업체는 보안 모범 사례를 사용해 최선을 다하겠다고 할 것이다. 아니면 고객의 요구 사항을 준수하겠다고 할 것이다. 공급업체의 보장 정책은 정비돼 있고, 이 업체들의 모든 자격증과 인증은 최신 상태가 될 것이다. 하지만 시간이 지나면서 상황이 변할 수 있다. 모니터링 시스템이 중요한 이유가 바로 여기 있다. CPO는 자신들의 공급 업체가 채임 보험을 가지고...

SLA CIO CSO 계약 CISO 계약서 CPO 최고 조달 책임자 항목

2015.02.02

기업 전략에서 기술의 중요성이 점점 커지면서 CSO와 CIO의 역할이 크게 바뀌었다. 때로는 이러한 변화를 따라가기 어려울 수도 있다. 미국 캘리포니아 레드우스 시티에 있는 구매 솔루션 업체인 이바울라(Ivalua)의 비즈니스 개발 담당 수석 부사장 아몰 조쉬는 CIO와 CSO가 최고 조달 책임자(CPO)에게 얻을 수 있는 몇 가지 팁을 소개했다. 1. 계약서 템플릿을 만들어 활용한다 많은 CIO와 CSO는 아웃소싱 업체, 계약직원, 파트타임 직원, 소프트웨어 개발 업체, 데이터센터, 클라우드 서비스 업체, 그밖에 여러 공급업체들과 계약서를 작성하거나 작성된 계약서를 검토하는 책임을 맡고 있다. CPO는 오랫동안 이 일을 담당해온 임원이다. 이들에게 배울 수 있는 첫번째 팁은 필요할 때 계약서로 바로 쓸 수 있도록 계약서 조항 라이브러리를 만들어 두는 것이다. 이러한 계약서 조항은 최신 상태로 만들어 둬야 한다고 조쉬는 말했다. 예를 들어 클라우드 SLA의 경우 규제를 준수하기 위해 항상 수정되기 때문이다 또 기업은 항상 자신들의 실수에서 배우고 있다. 그리고 다행스러운 점은 경쟁자의 실수에서도 교훈을 얻을 수 있어 결과적으로 이 모든 교훈을 담아 계약서 조항들을 미리 수정해 놓으면 사용하기 편리해 진다. "CIO와 CSO는 이 계약서 조항들을 표준화하고 누구나 계약서를 작성할 때 특정 문구를 사용할 수 있도록 중앙 저장소에서 보관해 둬야 한다"고 조쉬는 전했다. 2. 규제 준수 모니터링을 위한 시스템을 만든다 계약 협상시 공급업체는 보안 모범 사례를 사용해 최선을 다하겠다고 할 것이다. 아니면 고객의 요구 사항을 준수하겠다고 할 것이다. 공급업체의 보장 정책은 정비돼 있고, 이 업체들의 모든 자격증과 인증은 최신 상태가 될 것이다. 하지만 시간이 지나면서 상황이 변할 수 있다. 모니터링 시스템이 중요한 이유가 바로 여기 있다. CPO는 자신들의 공급 업체가 채임 보험을 가지고...

2015.02.02

디지털 시대에 새롭게 등장한 7인의 C레벨

최고 디지털 책임자(CDO), 최고 마케팅 책임자(CMO), 최고 인력 책임자(Chief People Officer) 등 현재 글로벌 기업들에서 새롭게 등장하는 C레벨 임원들이 있다. CDO니, CMO니 하는 직위들이 말 지어내기 좋아하는 사람들이 만들어낸 신조어라고 생각할 수도 있다. 하지만, 급변하는 기술과 디지털 시대에 제기되는 과제들을 대처하기 위해서 CIO만으로는 힘에 부칠 수 있다는 데에는 동의할 것이다. 새로운 시대에 등장하는 7인의 C레벨에 대해 알아보자. ciokr@idg.co.kr

데이터 CIO 임원 마케팅 C레벨 CMO 디지털 CDO CPO

2014.03.12

최고 디지털 책임자(CDO), 최고 마케팅 책임자(CMO), 최고 인력 책임자(Chief People Officer) 등 현재 글로벌 기업들에서 새롭게 등장하는 C레벨 임원들이 있다. CDO니, CMO니 하는 직위들이 말 지어내기 좋아하는 사람들이 만들어낸 신조어라고 생각할 수도 있다. 하지만, 급변하는 기술과 디지털 시대에 제기되는 과제들을 대처하기 위해서 CIO만으로는 힘에 부칠 수 있다는 데에는 동의할 것이다. 새로운 시대에 등장하는 7인의 C레벨에 대해 알아보자. ciokr@idg.co.kr

2014.03.12

칼럼 | 정보란 '잘 꿰면 보배 잘못 관리하면 재앙'

대부분의 기업들이 정보를 기업의 생명과 직결된 '동맥'으로 생각하곤 한다. 그러나 너무나도 많은 기업들이 '동맥 경화증'으로 고생을 하고 있는 실정이다. 왜 그럴까? 정보의 가치는 시간이 지나면서 계속 떨어지지만 관련 비용은 꾸준하다. 게다가 컴플라이언스 및 법적 위험 역시 상승하고 있다. CGOC(Compliance Governance and Oversight Council) 회원들이 수행한 연구에 바탕을 두고 있는 이 결론은 법, 규제, 사업적 가치가 없는 정보를 방어적으로 없애는 일을 책임진 사람들이 기업의 비용과 위험을 크게 절감하는데 도움을 줄 수 있음을 시사하고 있다. 이를 가장 잘 책임질 수 있는 사람들이 최고 프라이버시 책임자(CPO)이다. 수동적인 정보 대응이란, 이미 기업이 가치 있는 정보와 정보가 상주하는 카탈로그를 찾는데 도움을 주고, 이를 관리하고 처분하는 방법을 판단해 기업, 직원, 고객 보호에 대한 책임을 CFO가 져야 한다는 것이다. 지금은 기업이 다음 단계로 나가, CPO에게 정보 거버넌스 자리를 내주고 ILG(Information Lifecycle Governance)을 발전시켜 기업의 정보 경제학에 변화를 가져올 시기다. 정보 경제학이라는 용어가 생소한가? 어렵지 않다. 경제학이란 재화와 서비스의 생산, 유통, 소비를 분석하는 학문이다. 즉 정보 경제학이란 정보의 생산, 유통, 소비를 분석한다는 개념이다. 이렇게 생각하면 된다. 기업은 생성 및 수집하는 정보에서 가치를 창출한다. 그러나 이를 이용 및 관리하는데 드는 비용과 갈수록 커지고 있는 개인정보 보호 위험 등 관련 위험이 이 가치를 상쇄시킨다. 따라서 정보 경제학 개선은 정보 비용과 위험을 관리하는 역량을 발전시키고, 정보에서 도출되는 가치를 높여 정보의 이익을 크게 높이는데 목표를 둔다. 그리고 CPO는 이런 목표 달성에 있어 핵심 역할을 한다. 정보 거버넌스 분야에서 CPO 역할의 중요성이 커지고 있음을...

리스크 IBM 가치 비용 정보 CPO 최고 프라이버시 책임자

2013.05.09

대부분의 기업들이 정보를 기업의 생명과 직결된 '동맥'으로 생각하곤 한다. 그러나 너무나도 많은 기업들이 '동맥 경화증'으로 고생을 하고 있는 실정이다. 왜 그럴까? 정보의 가치는 시간이 지나면서 계속 떨어지지만 관련 비용은 꾸준하다. 게다가 컴플라이언스 및 법적 위험 역시 상승하고 있다. CGOC(Compliance Governance and Oversight Council) 회원들이 수행한 연구에 바탕을 두고 있는 이 결론은 법, 규제, 사업적 가치가 없는 정보를 방어적으로 없애는 일을 책임진 사람들이 기업의 비용과 위험을 크게 절감하는데 도움을 줄 수 있음을 시사하고 있다. 이를 가장 잘 책임질 수 있는 사람들이 최고 프라이버시 책임자(CPO)이다. 수동적인 정보 대응이란, 이미 기업이 가치 있는 정보와 정보가 상주하는 카탈로그를 찾는데 도움을 주고, 이를 관리하고 처분하는 방법을 판단해 기업, 직원, 고객 보호에 대한 책임을 CFO가 져야 한다는 것이다. 지금은 기업이 다음 단계로 나가, CPO에게 정보 거버넌스 자리를 내주고 ILG(Information Lifecycle Governance)을 발전시켜 기업의 정보 경제학에 변화를 가져올 시기다. 정보 경제학이라는 용어가 생소한가? 어렵지 않다. 경제학이란 재화와 서비스의 생산, 유통, 소비를 분석하는 학문이다. 즉 정보 경제학이란 정보의 생산, 유통, 소비를 분석한다는 개념이다. 이렇게 생각하면 된다. 기업은 생성 및 수집하는 정보에서 가치를 창출한다. 그러나 이를 이용 및 관리하는데 드는 비용과 갈수록 커지고 있는 개인정보 보호 위험 등 관련 위험이 이 가치를 상쇄시킨다. 따라서 정보 경제학 개선은 정보 비용과 위험을 관리하는 역량을 발전시키고, 정보에서 도출되는 가치를 높여 정보의 이익을 크게 높이는데 목표를 둔다. 그리고 CPO는 이런 목표 달성에 있어 핵심 역할을 한다. 정보 거버넌스 분야에서 CPO 역할의 중요성이 커지고 있음을...

2013.05.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9