http://opinion.inews24.com/php/news_view.php?g_serial=840381&g_menu=042137&rrf=nv
올해 초 우리 사회를 강타한 개인정보 유출사태에 대한 제도적 대응이 이제 어느 정도 마무리 되어 가는 단계에 온 것 같다. 7월의 마지막 날에 국무총리 주재로 열린 국가정책조정회의에서는 ▲피해액의 최대 3배까지 배상액을 중과하는 ‘징벌적 손해배상제도’ 도입 ▲정보통신망법에 도입된 법정손해배상 제도를 개인정보보호법과 신용정보법으로 확대 적용 ▲개인정보 관련 범죄에 대한 처벌 수준 강화 등을 주요 내용으로 하는 ‘개인정보보호 정상화 대책’을 발표했다. 지난 3월 10일에 발표한 ‘금융분야 개인정보 유출 재발방지 종합대책’에 이어 다른 분야까지 아우르는 대책을 밝힌 것으로 보인다.
언론에 나온 게 너무 많아 헷갈리기 십상이어서 정보보호 최고책임자(CISO)나 정보보호담당자들이 챙겨 보셔야 할 올해 발표되거나 시행되는 규제를 정리해 보았다.
1.8 검찰, 카드 3사 1억 400만건의 고객정보 유출사건 1차 발표
3.10 금융분야 개인정보 유출 재발방지 종합대책 발표(금융위원회)
5.28 개정 정보통신망법 개정(5.2 국회 통과, 2014.11.29 시행)
7.9 개정 정보통신망법 시행령 발표(방송통신위원회)
7.28 금융기관 검사 및 제재에 관한 규정시행세칙 개정 시행(금융감독원)
7.31 개인정보보호 정상화 대책(정부 합동)
8.7 개정 개인정보보호법 시행
8.18 개정 정보통신망법 시행 - 2012.2.17 개정사항 중 기존 보유 주민번호 파기 시한
얼마 전 한국경제에 짧은 기사가 하나 떴다.
“내년부터 직원 5인 이상의 온라인 쇼핑몰업체와 통신사, 포털업체 등 직원 1천명 이상의 정보통신 서비스 제공업체는 반드시 정보보호최고책임자(CISO)를 둬야 한다. 이를 어길 경우 최고 3천만원의 과태료를 부과 받는다.” (“5인이상 쇼핑몰ㆍ웹하드업체도 정보보호최고책임자 의무화“, 한국경제 2014.7.27)
앞뒤 정황이 나와 있지 않은데다 국무조정실 발로 되어 있어 다소 뜬금 없이 보이는 이 기사는 사실은 지난 5월 29일에 개정된 정보통신망법 제45조의3에 관한 내용이다. (상세한 개정 내용은 ‘CISO가 알아야 할 개정 정보통신망법’ 참조)
해당 조항은 이렇게 되어 있다.
“종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하고 미래창조과학부장관에게 신고하여야 한다.”
이 기사의 행간을 읽고 몇 가지 사실을 확인해 본 결과 이 시행령의 핵심은 다음 2가지로 요약된다.
(1) 기존 정보보호관리체계(ISMS) 인증 의무대상 업체와 직원이 1000명 이상인 정보통신서비스 기업은 CISO를 의무적으로 지정하여 신고해야 한다. (2) 5인 이상의 정보통신서비스 기업 중 악성코드의 유포지로 악용되어 온 소규모 온라인 쇼핑몰ㆍ웹하드업체 등은 CISO를 의무적으로 지정하여 신고해야 한다.
먼저 위 (2)에서 CISO를 강조하는 것은 비현실적이다. CISO의 업무나 자격 면에서 제대로 된 CISO를 갖추긴 어려울 소규모 업체들이기 때문이다. 기사에 나온 대로 대표자나 담당자 등 연락 가능한 체계를 확보하여 정보보호 사고 발생시 신속하게 대응하겠다는 취지로 판단된다. 연락처를 현행화 할 수 있는 실효성 있는 방안을 만들 수 있다면, CISO 지정의 취지에 딱 들어 맞지는 않더라도 이 법 조항에 관한 다양한 이해관계자의 의견을 수용하면서 우리 사회의 정보보호 현안을 대응하는 데에 도움이 될 것으로 보인다.
사실 현직 CISO들이나 일정 규모 이상의 기업에서 관심이 있는 것은 위 (1)에 관한 사항이다. ISMS 인증대상 기업에게는 ISMS 인증을 받기 위해서 CISO가 있어야 하므로, 시행령에 이것을 규정한 것은 인증제도가 아닌 법령에서 의무화 했다는 정도의 의미로 다가온다.
새로운 것은 직원이 1천명 이상인 정보통신서비스 업체에 CISO 지정을 의무화 한 것이다. 요즘 정보보호의 핵심 화두로 떠 오르고 있는 사람(임직원, 외주인력 등)이나 모바일, 그리고 정보 유출의 주요 경로로서 여전히 존재하는 PC 측면에서 보면 직원이 늘어나면 그 만큼 정보보호 취약점이 늘어나는 게 사실이다, 정보보호 정책을 만들어 소통ㆍ통제ㆍ집행하는 부하 역시 커진다. 정보보호 대책 기준에 직원 수 규정을 포함시키는 것이 의미 있다는 얘기다.
법적 의무화가 없더라도 이미 전담 CISO를 두고 보안을 강화한 정보통신서비스 기업들이 상당히 있다. 고객의 개인정보나 회사의 기밀정보 등 보호해야 할 핵심 자산들을 많이 보유하고 있기 때문이다. 직원 수 1천명 정도로 성장한 정보통신서비스 기업이라면 사업 성장의 기반이 되는 핵심 자산을 보호해야 할 것이므로 개정 정보통신망법의 시행을 계기로 핵심 자산의 침해 위험을 좀더 심도 있게 점검하고 보호체계를 갖추는 것이 필요할 것이다. 또한 그렇게 하는 것이 우리 사회의 개인정보 및 정보보호 수준을 높이는 데에도 기여하는 길이기도 하다.
하지만 기업 입장에서 보면 새로운 규제가 하나 더 생기는 것은 부담스러운 게 사실이다. 안 그래도 정보통신망법에서는 일정 조건에 해당하는 기업에 개인정보 관리책임자(CPO), 청소년보호책임자를 지정하도록 되어 있는데, 임원급 CISO 선임까지 의무화 되었다. 따라서 이 조항이 정착하려면 최소한 다음 두 가지는 이뤄져야 할 것 같다.
첫째, 정부에서 이 CISO제도의 정착을 위해 계획적으로 준비하고 추진해야 한다. 이 법의 시행으로 CISO 신고의무가 발생하면 약 600개 업체가 CISO를 선임하여 신고할 텐데, 그 분들이 하루아침에 전문성을 갖게 되지는 못하더라도 회사에서 CISO가 해야 할 업무를 이해하고 지식과 경험을 갖춰 갈 수 있는 교육 및 지원체계를 마련할 필요가 있다. 그들 중 다수가 다른 업무와 겸직할 가능성이 높기 때문에 더욱 필요한 일이다. 그 과정에서 CISO의 전문성을 갖춘 분들이 배출되면 더할 나위 없이 바람직하겠다. 최소한 5년 정도 꾸준히 하겠다는 목표를 갖고 해야 어느 정도 이뤄지지 않을까 싶다.
둘째, 정보통신망법 상 CISO의 업무를 개인정보의 보호조치(제28조)까지 넓혀야 한다. 정보통신망법에서 CPO는 “이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리”하고, CISO는 “보안취약점 분석과 그에 따른 보안대책, (IT시스템과 네트워크에 대한) 침해사고 예방과 대응”을 수행하도록 되어 있는데, 법의 구조 상으로는 보면 제4장(개인정보의 보호)은 CPO와 개인정보 보호조직이 맡고, 제6장(정보통신망의 안정성 확보 등)은 CISO와 정보보호부서가 담당하도록 구분한 것 같다.
하지만 기업의 현실로 돌아오면 크게 다르다. 개인정보 사고가 나면 늘 준수 여부가 문제가 되는 제4장 제28조의 개인정보 보호조치와 그에 관한 세부규정인 ‘개인정보의 기술적ㆍ관리적 보호조치 기준(방송통신위원회 고시)에서 열거한, 사고와 직결되는 실질적인 보호조치는 대부분 CISO나 정보보호부서, 또는 IT부서에서 담당한다. 만일 미래부가 CISO 의무지정제도의 후속 지원조치에서 많은 정보통신서비스 기업의 핵심 자산인 개인정보에 대한 보호조치를 위한 업무, 역량, 지식을 제외한다면 그 실효성이 크게 떨어지지 않을까 우려된다.
올 초에 있었던 개인정보 유출사태로 인해 비등해 진 여론에 긴급하게 대응하는 관계당국과 그 과정에서 의미 있는 대책을 내기 위해서 수고하는 실무자 분들의 노고가 크다. 법과 규제를 만들 때 가능하면 그 취지를 제대로 달성할 수 있는 실효성 있는 후속 대책까지 함께 고민해 주면 더욱 좋겠다.
'금융보안' 카테고리의 다른 글
| [전자금융보안론] 인터넷뱅킹역사 (0) | 2014.04.15 |
|---|---|
| iso/iec13888-3 (0) | 2013.05.31 |
| mitb2 (0) | 2013.05.10 |
| MITB에 관하여 (0) | 2013.05.03 |
| 표준 SSL server identification (0) | 2013.04.29 |
ISO_IEC_13888-3.pptx
