compliance 발표자료
TRANSCRIPT
보안 담당자가 알아야 할 IT Compliance
2
1. 준법경영과 IT Compliance
2. IT Compliance 법•관리•행정 체계
3. IT Compliance 의 영향
Index
3
1. 준법경영과 IT Compliance
44
1. 준법경영과 IT Compliance
개인정보 1 억건 유출
배상금액 3 조 8 천억원
개인정보 1 억건 유출
배상금액 2 조원
개인정보 3 천 500 만명분 유출
1 심 2882 명에게 20 만원 지급 판결
2 심 배상책임 없음
3 년간 연속 적자2012 년 개인정보 유출1 인당 10 만원 배상 판결
(870 만건 )
55
1. 준법경영의 의미 및 필요성
• 오늘날의 기업은 IT 시스템에 크게 의존• 최근 기업 경영과정에서 관행적 행위가 위법한 것으로 판정되어 회사는 큰
손해를 입고 직원은 해고되는 사례가 종종 발생• 준법 경영은 고객 및 사회에 대한 기업의 신뢰성 제고에 기여
1. 준법경영과 IT Compliance
2. Compliance 의 의의
• Compliance 는 기업의 위험관리와 투명성 강화를 위해 정부 또는 유관 기관들이 강제사항으로 규제하는 각종 규정 (Regulations) 을 준수할 수 있도록 준비하는 것
• IT Compliance 는 Compliance 를 IT 기반의 각종 규정을 준수하고 관련 시스템을 재정비하는 것
• 항상 옳은 일을 할 수 있는 윤리적 기업문화 수립 / 유지
66
3. Compliance 태동
• 19~20 세기는 단시간에 급성장한 많은 기업의 저력에 힘입어 미국이 세계 최강국으로 발돋움
• 급성장의 이면에 혁신과 유연을 위해 규제를 피하는 기업들이 윤리경영이념과 어긋나는 각종 스캔들을 일으켜 사회에 큰 피해를 줌
1. 준법경영과 IT Compliance
• 1860 년 제이쿠키 사건– 필라델피아 은행가 , 철도채권으로 인한 막대한 부와 명성 획득 , 철도사업 파산으로 1873 년
경제 공황의 계기가 됨 .– 정부 규제 태동 : 1872 우편사기법 ( 최초의 연방법률 )
1887 주간상업법 ( 철도규제 )
1890 셔먼 반독점법 ( 독점에 대한 규제 )
• 시어도어 루즈벨트– 기업과 나쁜 기업의 경계를 확실하게 그음– 나쁜 기업과의 전면전 선포
• 대기업 위주의 정책 – 국민의 빈익빈 부익부 현상 심화 , 카네기와 록펠러 등의 거대 기업이 폭력을 동원한 노동자
탄압과 독점으로 부를 축적
77
3. Compliance 태동
1. 준법경영과 IT Compliance
• 프랭클린 루즈벨트 (36 대 )– 1929 년 미국 경제 대공황이 절정에 달할 때 대통령으로 당선– 1932 년 인술사 붕괴를 통해 기업 개혁법안 제정을 서두르게 됨
• 유가증권 법률 , 유가증권거래위원회 (SEC) 수립• 신규공시요건과 사기 방지 규정• 공정시장 유지 투자자 보호• 상업은행과 투자은행 업무 겸업 금지• 지주회사 구조 금지
• 1960 년 초 전기 산업의 독점금지 스캔들 발생– 입찰 가격 조작 , 가격 고정 공모 등에 대한 규제 시작– 셔먼 독점 금지법 역사상 최초로 징역형 선고
• 1970 년 워터게이트 사건– 기업들이 장부에 기재하지 않은 자금을 이용해 뇌물을 주고 있다는 사실이 밝혀짐 (
해외사업 촉진을 위해 공무원에게 뇌물을 수수 )– 해외부패방지법 제정
88
3. Compliance 태동
1. 준법경영과 IT Compliance
• 1980 년 국방물자 조달 계약 비리– 레이건은 데이빗패커드를 의장으로 패커드 위원회 설치
• 컴플라이언스 권고안 마련할 것을 지시• 경력과 고하를 막론한 모든 직원에게 윤리강령을 배포• 내부 통제 실행과 모니터링 권고 등 오늘날의 컴플라이언스와 유사한 방식을 도입
300불 = 300 X 1113.5 = 334050 원현재 가장 비싼 망치 32000 원
600불 = 600 X 1113.5 = 668100 원국산 일반 양변기 133,000 원
• 트레드웨이 위원회– 재무보고에서 과장과 허위를 벗겨내기 위한 연구 진행– 이사회와 감사위원회의 역할 , 외부 감사인의 독립성 , 내부통제 및 감사기능 향상 등 적용
• 연방 기업 양형 가이드라인– 법률을 위반한 기업에게 컴플라이언스 프로그램을 갖출것을 명하고 이를 따르면 형량을 감경해 줌– 법을 지키면 이익이라는 생각의 확산으로 컴플라이언스가 기업에서 활성화됨
• SOX 2002, Basel II(2007), 신바젤 협정 (Basel III) 이후 시장 확대– SOX 는 2001 년 Enron, WorldCom 등의 회계 부정 사고 이후 재무제표의 작성 및 공시의 투명성
제고를 위하여 제정됨– HIPPA(Health Insurance Portability and Accountability Act)– DoD 의 전자파일 레코드를 안정적으로 보관하기 위한 시스템 최소요구조건 규정
99
3. Compliance 시장 태동 ( 국내 )
• 국내 IT Compliance 의 효시– 체신부가 1993 년도 제정한 “전산망 안전 신뢰성 기준”– 금융정보화 추진분과위가 1997 년도 제정한 “금융정보망 안전대책 강화방안” 등이
국내 IT Compliance 의 효시
• 금융감독원은 2003 년도 금융기관 대상 “재해복구 시스템 구축 권고( 안 )” 제정
• 미국 회계개혁 법안 제정에 대응하여 , 국내에서는 2004 년도부터 Compliance 를 본격적으로 추진– 증권거래법 , 공인회계사법 , 주식회사의 외부감사에 관한 법률 개정– 증권관련 집단소송법 2005 년도 시행
1. 준법경영과 IT Compliance
1010
4. 전사적 차원의 추진 필요성
• 기업에 대한 Compliance 요구는 계속 증대 전망
• IT Compliance 규제법안들의 근본 목적은 기업의 투명성 강화를 통해 조직의 건전성을 확보
• Gartner 의 CIO 를 위한 Compliance 지침– 기본적으로 IT Compliance 는 IT 부서만으로는 달성할 수 없는 과제– 법무 , 재무 부서 및 외부 감시자와의 긴밀한 협조가 필요– 전사적 차원에서 합리적인 통제절차와 기구가 필요 , 적절한 Solution 도입 권고
• 따라서 전사적 차원의 IT Compliance 관리 및 추진 필요
1. 준법경영과 IT Compliance
11
2. IT Compliance 법•관리•행정체계
1212
1. 법령의 필요성
• 법 치 주 의 아 래 에 서 법 령 은 정책을 담는 그릇
• 국 민 의 자 유 나 권 리 를 제한하거나 의무를 부과하는 사항에 대해서는 반드시 법령에 근거 (헌법 )
• 수익적 정책의 경우에도 정책의 일 관 성 과 적 법 성 , 투 명 성 확보를 통한 정책의 제도화를 위해서 필요
• 정책의 제도화를 위한 과정이 법제화 과정
2. 국내 IT Compliance 법•관리•행정 체계
헌법
법률 /조약
대통령령( 시행령 )
총리령 / 부령 ( 시행규칙 )
자치법규 ( 조례 , 규칙 )
행정규칙 (고시 / 지침 /훈령 )
1313
2. 법령간 모순 및 저촉 해결 원칙
• 상위법 우선의 원칙• 특별법 우선의 원칙• 신법 우선의 원칙• 상위법 / 특별법 / 신법 순으로 적용
• 일반법 : 모든 상황에 동일하게 적용되는 법령 ( 개인정보보호법 )• 특별법 : 특별법 내에서 규정한 상황에만 적용되는 법령 ( 정보통신망법 )
2. 국내 IT Compliance 법•관리•행정 체계
1414
2. 국내 IT Compliance 법•관리•행정 체계
의안발의권( 의안제출권 )
17 부 5 처 16 청 2 원 5 실 6위원회
1515
3. 정부조직 체계 ( 행정부 )
• 17 부 5처 16청 2 원 5 실 6 위원회
• 부 ( 미래창조과학부 , 행정자치부 등 )– 정책과 행정부의 권한에 속하는 사항을 수행– 국무총리 산하에서 기능별 , 행정 대상별로 업무를 수행– 시행령의 하위인 시행 규칙 , 각종 규칙 , 고시에 대한 주관– 법률안 , 대통령령에 대한 의안제출권의 권한을 가짐
• 청 ( 국세청 , 관세청 , 조달청 , 통계청 , 검찰청 , 병무청등 ) – 부와 관련된 업무이면서도 독자성이 높은 업무를 수행 . – 업무의 범위가 전국적– 집행기관의 역할 ( 정책 수립은 거의 없음 )– 의안제출권이 없으므로 필요한 경우 소속장관에게 건의하여야 함
2. 국내 IT Compliance 법•관리•행정 체계
1616
3. 정부조직 체계 ( 행정부 )
• 처 ( 국민안전처 , 인사혁신처 , 법제처 , 국가보훈처 , 식품의약품안전처 )– 국무총리 소속 , 여러 부에 관련된 기능을 통합하는 참모적 업무를 수행– 처장은 의안제출권이 없으며 필요한 경우 국무총리에게 의안제출을 건의할 수 있음– 국무회의 구성원은 아니지만 국무회의 출석 / 발언권을 가짐
• 원 ( 국정원 , 감사원 )– 대통령 직속기관으로 국가 안보 / 안위와 관련된 업무를 수행
• 실 ( 대통령 비서실 , 국무조정실 , 대통령경호실 , 국무총리비서실 , 국가안보실 )
– 대통령 또는 국무총리 직속기관으로 대통령 또는 국무총리를 보좌하기 위한 기관
• 위원회 ( 방송통신위원회 , 공정거래위원회 , 금융위원회 등 )– 행정기관이 담당하는 사무에 관하여 자문 / 조정 /협의 / 심의 / 의결 기관– 복수의 구성원으로 이루어진 합의제 기관
2. 국내 IT Compliance 법•관리•행정 체계
1717
4. 행정조직 별 관리 법 (IT Compliance 관련 )
2. IT Compliance 관리•행정 체계
조직 관리 법안
행정자치부 개인정보보호법 , 공공기록물관리법 , 전자정부법
방송통신위원회 정보통신망법 , 위치정보법
미래창조과학부 국가정보화기본법 , 정보통신망법 , 정보통신기반보호법 , 정보통신공사업법 , 정보통신산업진흥법 , 전자서명법 , 과학기술기본법 , 통신비밀보호법
보건복지부 의료법
문화체육관광부 저작권법 , 콘텐츠산업진흥법
산업통상자원부 소프트웨어산업진흥법 , 산업기술유출방지법
특허청 특허법 , 부정경쟁방지 영업 비밀 보호에 관한 법률
금융위원회 전자금융거래법 , 신용정보의 이용 및 보호에 관한 법률
공정거래위원회 전자상거래보호법 , 소비자기본법
1818
5. 개인정보보호 관련 법률
• 개인정보보호법 ( 일반법 )• 정보통신망 이용 촉진 및 보호에 관한 법률 (특별법 , 정보통신 사업자 )• 의료법 ( 의료기관 )• 신용정보의 이용 및 보호에 관한 법률 (특별법 , 신용정보회사 )• 위치정보의 보호 및 이용 등에 관한 법률 (특별법 , 위치정보사업자 )• Etc…
2. 국내 IT Compliance 법•관리•행정 체계
1919
6. 정보보호 관련 법령
• 정보통신망 이용 촉진 및 정보보호 등에 관한 법률• 정보통신기반 보호법• 국가정보화 기본법• 통신비밀보호법• 전자서명법• 전자정부법• 전자상거래 보호법• 전자금융거래법• 국가사이버안전관리규정
2. 국내 IT Compliance 법•관리•행정 체계
2020
7. 산업보안 관련 법률
• 저작권법• 콘텐츠산업진흥법• 소프트웨어 산업 진흥법• 산업기술유출방지법• 특허법• 부정경쟁방지 및 영업비밀보호에 관한 법률
2. 국내 IT Compliance 법•관리•행정 체계
2121
8. 법의 적용 Ex ) PC 에 보유하고 있는 개인정보파일의 처리
① 법률의 조항 확인 ( 개인정보보호법 제 29 조 )• 개인정보처리자는 개인정보가 분실 · 도난 · 유출 ·변조 또는 훼손되지 아니하도록 내부 관리계획
수립 , 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 · 관리적 및 물리적 조치를 하여야 한다
② 시행령의 조항 확인 ( 개인정보보호법 시행령 제 21 조 , 30 조 )• 고유식별정보의 안전성확보조치에 관하여는 제 30 조를 준용한다 . • 1 항 : 개인정보처리자는 법 제 29 조에 따라 다음 각호의 안전성 확보조치를 하여야 한다 .
– 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한조치– 3. 개인정보를 안전하게 저장 / 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
• 3 항 : 제 1 항에 따른 안전성 확보조치에 관한 세부 기준은 안전행정부장관이 정하여 고시한다 .
③ 안정행정부 고시 확인 ( 개인정보의 안전성 확보조치 기준 : 행정안전부고시 제 2011-43 호 )• 제 7 조 8 항 : 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우
상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다 .
• 결론 : 암호화 해서 저장해야 함
2. 국내 IT Compliance 법•관리•행정 체계
2222
8. 법의 적용 Ex ) CCTV 영상 파일의 처리
① 법률의 조항 확인 ( 개인정보보호법 제 25 조 )• 영상정보처리기기운영자는 개인정보가 분실 · 도난 · 유출 ·변조 또는 훼손되지 아니하도록 제
29 조에 따라 안전성 확보에 필요한 조치를 하여야 한다 .
② 법률의 조항 확인 ( 개인정보보호법 제 29 조 )• 개인정보처리자는 개인정보가 분실 · 도난 · 유출 · 변조 또는 훼손되지 아니하도록 내부
관리계획 수립 , 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 · 관리적 및 물리적 조치를 하여야 한다
③ 시행령의 조항 확인 ( 개인정보보호법 시행령 제 21 조 , 30 조 )• 고유식별정보의 안전성확보조치에 관하여는 제 30 조를 준용한다 . • 1 항 : 개인정보처리자는 법 제 29 조에 따라 다음 각호의 안전성 확보조치를 하여야 한다 .
– 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한조치– 3. 개인정보를 안전하게 저장 / 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
• 3 항 : 제 1 항에 따른 안전성 확보조치에 관한 세부 기준은 안전행정부장관이 정하여 고시한다 .
2. 국내 IT Compliance 법•관리•행정 체계
2323
7. 법의 적용 Ex ) CCTV 영상 파일의 처리
④ 안정행정부 고시 확인 ( 개인정보의 안전성 확보조치 기준 : 행정안전부고시 제 2011-43 호 )• 부칙 제 2 조 : 영상정보처리기기에 대한 안전성 확보조치에 대해서는 「표준 개인정보 보호지침」중에서
영상정보처리기기 설치 /운영 기준이 정하는 바에 따른다 .
⑤ 표준 개인정보 보호지침 확인• 제 51 조 : 영상정보처리기기 운영자는 개인영상정보가 분실 도난 유출 변조 또는 훼손되지 ․ ․ ․
아니하도록 법 제 29 조 및 시행령 제 30 조제 1 항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다 .
– 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립 시행․ , 다만 「개인정보의 안전성 확보조치 기준 고시」 ( 행정안전부 고시 제 2011-00 호 ) 제 2 조제 4 호에 따른 ‘소상공인’은 내부관리계획을 수립하지 아니할 수 있다 .
– 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치– 개인영상정보를 안전하게 저장 전송할 수 있는 기술의 적용 ․ ( 네트워크 카메라의 경우 안전한 전송을 위한
암호화 조치 , 개인영상정보파일 저장시 비밀번호 설정 등 )– 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치
• 결론 : 네트워크 카메라가 아닌 경우 접근통제를 잘 하면 암호화 할 필요가 없음
2. 국내 IT Compliance 법•관리•행정 체계
24
3. IT Compliance 의 영향
2525
1. 규제의 변화
① 기업 활동에 대한 새로운 규제의 발생– 기업 경영활동에 대한 규제– 대체휴일제– 남양유업 사태– 경제민주화
② 기업 활동에 대한 기존 규제의 폐기 /완화– 수도권 규제완화법안
• 산업집적활성화 및 공장설립에 관한 법률 시행규칙 개정안• 수도권 정비계획법 개정 논의
– 첨단업종을 제외한 공장의 신 / 증설 금지– 공장총량제 ( 시도별 공장건축 면적의 총량 규제 )
– 공동출자법인 완화• 손자회사의 증손회사 보유지분율을 100% 에서 50% 로 완화 ( 공정거래법 )• 외국인 합작법인의 규제를 우선 풀기로 함
3. IT Compliance 의 영향
2626
2. 시장의 변화
• 정보통신망법 개정– 정보보호 영향평가 제도 폐지– 정보보호 영향평가 시장 사라짐
• 유통산업발전법 개정– 대형마트의 월 2 회 강제 휴무제도 시행– 주변 상권의 보호
• 개인정보보호법– 개인정보보호 관련 솔루션 시장 폭발적 증가
• 시큐어코딩 의무화– 정보시스템 구축 시 시큐어코딩이 개발단계에서부터 의무적으로 적용– 시큐어코딩 관련 솔루션 시장 증가
• 전자금융거래법– 전자금융기반시설에 대한 취약점 분석 /평가 의무화로 컨설팅 시장 증가
3. IT Compliance 의 영향
2727
3. 2015 Compliance Issue
• 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제정
• 클라우드 컴퓨팅의 발전 및 이용촉진 , 이용자 보호에 관하여 다른 법률에 우선하여 이법을 적용 . 단 개인정보 보호에 관하여는 개인정보보호법 , 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 관련법이 정하는 바에 따름
• 미래창조과학부장관은 관계 중앙행정기관의 계획 및 시책을 종합하여 3년마다 기본계획 수립하고 관계 중앙행정기관의 장은 매년 소관별 시행계획을 수립 / 시행 하도록 함
• 관계 중앙행정기관은 클라우드컴퓨팅 관련 연구개발사업 및 시범사업을 추진하고 비용지원 또는 재정적 지원을 할 수 있도록 함
• 클라우드컴퓨팅 관련 중소기업의 육성을 위한 지원을 할 수 있도록 하고 , 이와 관련한 연구개발 사업 추진 시 관련 중소기업의 참여를 확대할 수 있는 조치를 마련하도록 함
• 국가기관등은 클라우드 컴퓨팅을 도입하도록 노력하여야 하고 , 정보는 국가정보화 정책이나 사업 추진에 필요한 예산을 편성할 때 클라우드컴퓨팅 도입을 우선적으로 고려하여야 함
• 다른 법령에서 인 /허가 등의 요건으로 전산시설을 규정한 경우 클라우드 컴퓨팅 서비스가 포함되는 것으로 보도록 함• 클라우드 서비스 제공자는 침해사고 , 이용자 정보유출 , 서비스 중단이 발생하면 그 사실을 이용자에게 알려야 하고 ,
이용자 정보가 유출된 경우에는 미래창조과학부 장관에게 알리고 피해확산 및 재발 방지 등에 필요한 조치를 해야 함• 클라우드 컴퓨팅 서비스 제공자가 이용자의 동의없이 이용자 정보를 제 3자에게 제공하거나 서비스 제공 목적외의 용도로
이용할 수 없도록 하고 이를 위반하는 경우에는 5년 이항의 징역 또는 5천만원 이하의 벌금에 처하도록 함• 이용자와의 계약 또는 사업 종료 시 이용자 정보를 반환하여야 하고 반환이 불가능한 경우 이용자 정보를 파기하여야 하며
이를 위반하는 경우 1천만원 이하의 과태료에 처함• 클라우드컴퓨팅 서비스 제공자가 이 법의 규정을 위반한 행위로 이용자에게 손해를 끼친 경우에는 고의 또는 과실이
없었음을 입증하지 아니하면 손해배상책임을 면할 수 없도록 함
3. IT Compliance 의 영향
2828
3. 2015 Compliance Issue
– 신용정보의 이용 및 보호에 관한 법률 개정
• 개인정보보호법에 대한 특별법임을 명시• 신용조회회사의 영리목적 겸업을 금지• 신용정보회사 업무정지 사유 추가
– 신용정보처리 위탁 시 식별정보 암호화 조치 또는 신용정보전산시스템 보안대책 수립 /시행 의무 위반으로 신용정보를 분실 /도난 /유출/변조 /훼손당한 경우
– 신용정보업관련자가 업무상 알게 된 타인의 신용정보 등을 업무목적 외에 누설하거나 이용한 경우– 신용조회회사가 계열회사 등에 신용정보를 제공한 경우
• 신용정보 처리 위탁 시 식별정보 암호화 등 보호조치 , 수탁자 교육 , 안전한 정보처리에 관한 사항의 위탁계약 반영 의무화 및 재위탁 금지
• 신용정보관리 /보호인을 임원으로 지정 및 업무 규정• 신용정보 보유기간 제한 (상거래 종료 후 5 년 이내 )
• 신용정보 , 개인식별정보의 제공 /이용 시 해당 개인에게 사전 통지 및 조회 할 수 있도록 함• 신용정보주체는 상거래 관계 종료 후 일정 기간이 경과한 경우 개인신용정보의 삭제를 요구할 수 있음• 개인비밀을 업무 목적 외에 누설하거나 이용한 경우 , 불법 누설된 개인비밀임을 알고도 타인에게 제공하거나 이용한 경우 관련 매출액의 3%이하의 과징금을 , 신용정보전산시스템 보안대책 미수립으로 개인비밀을 분실 /도난 /누출 /변조 /훼손당한 경우 50 억원 이하의 과징금 부과
• 신용정보회사 등과 신용정보이용자가 고의 또는 중대한 과실로 이 법을 위반하여 신용정보가 누설되거나 분실 /도난 /누출 /변조 /훼손되어 신용정보추제에게 피해를 입힌경우 그 손해의 3 배 이내에서 배상책임
• 신용정보회사 등과 신용정보이용자가 고의 또는 과실로 이 법을 위반하여 신용정보가 누설되거나 분실 /도난 /누출 /변조 /훼손되어 신용정보추제에게 피해를 입힌경우 300 만원 이하의 배상책임
3. IT Compliance 의 영향
2929
4. Compliance 관련 참고 Site
1. 국회 의안정보시스템 : http://likms.assembly.go.kr/bill/jsp/main.jsp2. 법제처 : http://www.moleg.go.kr/main.html3. 국가법령정보센터 : http://law.go.kr/main.html4. 금 융 감 독 원 금 융 감 독 법 규 정 보 시 스 템 : http://
law.fss.or.kr/fss/lmx/main.jsp5. 세계법제 정보센터 : http://world.moleg.go.kr/
3. IT Compliance 의 영향
30
Q & A