실시간 뉴스



[강은성의 CISO 스토리]보안 컴플라이언스(2) – 금융·민간·공공 영역


지난 번 글이 규제 대응의 총론이라고 한다면, 이번 글에서는 법과 규제를 좀더 구체적으로 살펴보려고 한다. 우리나라의 법과 규제는 크게 금융, 공공, 민간 영역으로 나눌 수 있는데, 그에 대한 적용되는 법과 규제가 다른 부분이 있다. 실제 관련 법은 더 많지만, 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)들이 관심을 가져야 할 만한 법을 중심으로 표로 정리하였다.

법에는 법과 시행령, 시행규칙을 포함시켰고, 행정부에서 만든 고시와 규칙은 별도로 분류하였다. 그 밖에 안내서(가이드)나 해설서, 보안 관련 인증제의 점검항목 등 참고할 만한 문서는 기타 열에 포함시켰다.

1. 영역 공통

2011년 제정된 개인정보보호법은 개인정보에 관한 일반법으로서 관련 특별법이 없거나 특별법에서 규정하지 않는 사안에 적용되는 법이다. 민간 영역의 정보통신서비스 제공자를 제외한 금융, 민간, 공공 영역의 고객정보, 그리고 정보통신서비스 제공자를 포함한 모든 영역의 비고객정보(임직원 정보, 주주 정보 등)는 이 법의 적용을 받는다.

개인정보보호 관련 법에는 안전한 관리를 위해서 개인정보나 금융정보, 신용정보를 암호화 할 것을 규정하고 있는데, 암호화 방법에 관한 별도 내용은 없다. 다만 한국인터넷진흥원(KISA)에서 발간한 암호 관련 안내서가 이것들을 규정하고 있으므로, 암호 알고리즘이나 키 길이를 선택할 때 참고하는 것이 좋다.

2. 금융 영역

금융회사 보안 관련 법의 핵심은 전자금융거래법과 전자금융감독규정, 금융회사 정보기술부문 보호업무 모범규준이다. 금융보안연구원에서 이들을 포함하여 전자금융 감독법규와 국내외 컴플라이언스 사례를 종합적으로 정리한 ‘금융IT 보안 컴플라이언스 참조가이드’를 e북으로 발간했다. 관련 사이트(www.fsa.or.kr/compliance/finance/ebook.htm)를 참고하기 바란다. 신용정보법에도 보안 관련 규정이 있으니 해당하는 보안 담당자들은 반드시 읽어 봐야 한다. 내용이 많지 않아 어렵지 않게 읽을 수 있다.

- 전자금융거래법 관련 법과 규제는 금융회사뿐 아니라 전자금융업자에게도 적용되므로, 전자금융업자들은 유의해서 살펴 봐야 한다.

- 신용정보법: 신용정보의 이용 및 보호에 관한 법률

- 금융실명제법: 금융실명거래 및 비밀보장에 관한 법률

최근 눈에 띄는 법이 여신전문금융업법이다. 사실 이 법에는 보안에 관한 규정이 거의 없는데, 카드 3사 사태에 대한 징계 발표시 금융당국이 근거 중 하나로 들어 주목을 받게 되었다. 구체적인 적용 규정은 여신전문금업감독규정 24조의7인데, 내용은 다음과 같다.

“신용카드업자는 신용카드회원등의 신용에 관한 자료 또는 제반 정보가 업무외의 목적에 사용되거나 외부에 유출되지 아니하도록 하여야 한다.”

사실 감독규정의 보안 관련 내용이 선언적이고, 근거법인 여신전문금융업법, 금융위원회 설치법, 금융산업의 구조개선에 관한 법률 등 어느 하나도 신용카드업자의 보안을 강조한 조항이 없어서 징계 근거로 삼기에는 좀 약하지 않나 싶다. 필요하다면 금융회사의 설립 근거가 되는 은행법, 보험업법, 여신전문금융업법에 전반적으로 보안규정을 포함시키는 게 적절할 것 같다.

3. 민간 영역

정보통신서비스 제공자는 영리를 목적으로 정보통신망을 이용하여 정보를 제공하거나 정보 제공을 매개하는 자다. 정의가 다소 모호하여 해석에 따라서 매우 넓게 적용될 수도 있다. 이 법의 소관부처인 방송통신위원회와 미래창조과학부에서는 정보통신서비스 제공자를 광의로 해석하고 있기 때문에 규제대응시 이를 감안해야 한다. 정보통신망법의 개인정보 조항은 이용자(고객)의 것에만 적용된다. 따라서 임직원, 주주 등 비고객의 개인정보는 모두 개인정보보호법을 적용받는다.

- 정보통신망법: 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 위치정보보호법: 위치정보의 보호 및 이용 등에 관한 법률

4. 공공 영역

앞서 강조했지만 공공 분야에 적용되는 법은 개인정보보호법이다. 정보통신기반보호법은 각 행정부서에서 관리하는 ‘정보통신기반시설’을 안전하게 관리하기 위한 법이기 때문에 그러한 시설을 관리하지 않는 공공기관에는 해당 되지 않는다.

예를 들어 2014년에 기획재정부는 주요 정보통신기반시설로 한국은행의 한은금융망과 조폐공사의 카드발급시스템을 지정하였다. 이 두 기관에서는 정보통신기밥보호법과 기획재정부에서 낸 주요정보통신기반시설 보호지침에 따라 관리 대상을 관리해야 할 의무가 있다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.





주요뉴스



alert

댓글 쓰기 제목 [강은성의 CISO 스토리]보안 컴플라이언스(2) – 금융·민간·공공 영역

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.



포토뉴스