Download - 정보보안법제분석 - krnet.or.krC1%B6%BC%BA%C8%C6_062… · (전자금융감독규정 제15조 제2항 제1호) 전산실 설치ᆞ이전 등의 경우 원칙적으로 금융감독원의
Privileged and Confidential
정보보안법제분석:기술적∙관리적보호조치를중심으로
2014. 6. 23.|
- 4 -
CONTENTS
I. 정보보안: 이론적 배경
II. 정보보안 관련 법령 개관
III. 기술적ᆞ관리적 보호조치
IV. 문제점 및 개선방안
- 5 -
I. 정보보안: 이론적 배경
- 6 -
1. 이론적 배경
□ 정보보안 (Information Security): CIA Triad ▪ 기밀성 (Confidentiality): 권한 없는 제3자에 대한 누설ᆞ공개 금지
▪ 무결성 (Confidentiality): 인가된 방법으로만 변경
▪ 가용성 (Availability): 인가된 사용자가 필요할 때 접근ᆞ사용 가능
□ 보안취약성 (Vulnerabilities) ▪ 정보주체 아닌 자가 해당 주체의 정보를 처리하는 경우: • 정보처리자가 부실한 보안으로 정보주체에 손해를 끼쳐도 비용을 치르지 않을
경우 비용과 편익의 불일치로 인한 외부성(Externalities)외부성(Externalities)외부성(Externalities) 문제 발생
• EXTERNALITIESEXTERNALITIESEXTERNALITIES: Cost or Benefit without Market Transaction
OUT OF MARKET! (외부효과 / 외부성)현대 법경제학의 모든 것
- 7 -
□ 외부성의 내부화 (Internalization of Externalities)
▪ PROPERTYPROPERTYPROPERTY vs REGULATIONREGULATIONREGULATION • 비용과 편익을 일치시켜 외부성을 내부화하기 위한 대표적 방법은
재산권제도의 확립과 정부규제임
• 재산권(Property): 물권에 유사한 배타적 권리뿐만 아니라 불법행위책임도 포함
• 정부규제(Regulation): 공법에 의한 의무 부과 및 그 위반에 대한 제재 포함
▪ 정보보안 법제 분석: 정부규제에 초점을 맞추어 진행
- 8 -
2. 정보보안 법제 연혁
□ 미국
▪ 연방 차원의 일반적 민간 정보보안 규제 입법이 정비되지 아니함
• 금융정보, 건강정보 등 특수영역을 규제하는 개별 입법은 존재
▪ 내부화의 주된 수단은 불법행위책임 (재산권적 접근) • 일부 주에 개별적 규제 입법 존재
□ EU: Appropriate Technical and Organizational Measures (TOM) ▪ 기술적ᆞ관리적 조치 의무를 규정하여 정보보안을 규제의 영역으로 편입
• Directive 95/46/EC (Data Protection Directive, DPD) • 영국, 독일, 일본, 중국 등 전 세계적으로 계수됨
- 9 -
II. 정보보안 관련 법령 개관
- 10 -
1. 정보보안 관련 법령 현황
□ 개인정보보호법: 개인정보 관련 ‘일반법’ ▪ ‘기술적ᆞ관리적 및 물리적 조치’ • 법 제29조 / 시행령 제30조
• 개인정보의 안정성 확보조치 기준 (행정안전부 고시 제2011-43호) • 개인정보 보호법령 및 지침ᆞ고시 해설서 (행정안전부, 2011. 12.) • 개인정보 암호화 조치 안내서 (행정안전부ᆞKISA, 2012. 10.)
□ 정보통신망법: 원칙적으로 정보통신서비스 제공자를 수범자로 하는 ‘특별법’ ▪ ‘기술적ᆞ관리적 조치’ • 법 제28조 / 시행령 제15조 / 시행규칙 제9조
• 개인정보의 기술적ᆞ관리적 보호조치 기준 (방통위 고시 제2008-3호) • 개인정보의 기술적ᆞ관리적 보호조치 기준 해설서 (방통위ᆞKISA, 2012. 9.)
- 11 -
□ 신용정보법: 신용정보제공ᆞ이용자를 수범자로 하는 ‘특별법’ ▪ ‘기술적ᆞ물리적ᆞ관리적 보안대책’ • 법 제19조 / 시행령 제16조
• 신용정보업감독규정 (금융위 고시 제2013-1호) 제20조, [별표 3] • 개인신용정보 관리ᆞ보호 모범규준 (금융감독원, 2005. 11. 8.)
□ 전자금융거래법: 전자금융거래에 적용되는 ‘특별법’ ▪ ‘안전성 확보의무’ • 법 제21조
• 전자금융감독규정 (금융위 고시 제2013-20호) 제3장
• 금융회사 정보기술(IT)부문 보호업무 모범규준 (금융위ᆞ금감원, 2011. 10.)
- 12 -
2. 보안인증
□ 보안기술 발전과 변화 속도에 비추어, 특정 기술 방식의 의무화보다는, 산업표준에 따른 인증을 요하는 것이 바람직할 수 있음
▪ 정보보호관리체계(ISMS) 인증 (정보통신망법 제47조 제2항) • 서울ᆞ광역시의 기간통신사업자, 인터넷데이터센터(IDC), 매출액 100억원 이상
또는 작년 10~12월 일 평균 이용자 수 100만명 이상인 정보통신서비스제공자
▪ 취약점 분석ᆞ평가 (정보통신기반보호법 제9조) • 각 주무부서에 의해 주요정보통신기반시설로 지정된 경우
▪ 보호조치 이행 검사 (정보통신망법 제46조) • 인터넷데이터센터(IDC) ▪ 개인정보관리체계(PIMS) 인증 (정보통신망법 제47조의2 제2항),
개인정보보호인증(PIPL) 인증 (개인정보보호법 제13조 제3호) • 의무사항 아님
- 13 -
□ 국가ᆞ공공기관
▪ 국가정보원의 보안적합성 검증 (전자정부법 제56조 제3항) ▪ 개인정보영향평가(PIA) (개인정보보호법 제33조) • 개인정보보호법 시행령 제35조에 해당하는 개인정보파일의 운용으로 인하여
개인정보침해가 우려되는 경우
□ 금융기관ᆞ전자금융업자
▪ 정보보호시스템에 시용하는 정보보호제품은 국가기관의 평가ᆞ인증
(국가정보화기본법 제38조에 근거한 CC인증)을 받은 장비를 사용
(전자금융감독규정 제15조 제2항 제1호) ▪ 전산실 설치ᆞ이전 등의 경우 원칙적으로 금융감독원의 보안성심의를 받아야 함
(전자금융감독규정 제36조)
- 14 -
3. 명의도용 방지의무
□ 금융의 경우
▪ 본인확인 의무
• 금융기관ᆞ전자금융업자의 이용자 신원ᆞ권한 확인 의무
(전자금융거래법 제6조 제1항) • 30만원 이상 신용카드 결제, 온라인 계좌이체 등 경우 공인인증서 적용 의무
(전자금융거래법 제21조 제3항 등) • 온라인 신용카드 결제 시 가맹점의 안심클릭, ISP 등 본인확인 의무
(여신전문금융업감독규정 제24조의6 제1항 단서) • 한미 자유무역협정(FTA) 제15장(전자상거래) 제15.4조(전자인증 및 전자서명)
제1항 가목: “전자거래의 당사자가 그 거래를 위하여 적절한 인증 방법을 상호
결정하는 것을 금지하는 법령”을 채택ᆞ유지하는 것을 금지함
- 15 -
▪ 접근매체 저장 금지
• 금융감독원이 신용카드업자로 하여금 신용카드가맹점의 신용카드번호 및
신용카드인증정보 저장을 금지 (여신전문금융업감독규정 제24조의6 제3항) • 전자지갑, 원클릭결제서비스의 이용이 어렵게 되는 등 높은 편리성 비용 초래
▪ 문제점: 특정 기술 방식에 의한 본인확인 의무를 부담시키고 (기술특유적 규제), 접근매체 저장을 전면적으로 금지함이 타당한 것인지 검토 필요함
• ex) 미 FTC: 기술중립적 규제
- 16 -
□ 금융 이외의 경우
▪ 명의도용의 상당 부분은 본인확인제(실명제)의 부작용
• 정보통신망법 (2012. 8. 18.), 개인정보보호법 (2014. 8. 7. ) 주민등록번호의
처리를 금지함
• 그러나 본인확인제ᆞ연령확인제는 여전히 각종 법령에 남아 있어 주민등록번호
처리 금지와 상충되는 결과를 낳음
※ 정보통신망법, 청소년보호법, 공직선거법, 게임산업진흥에 관한 법률 등
- 17 -
4. 보안사고 통지 의무
통지 대상 요건 시한
개인정보보호법
정보주체(1만명 이상 시 홈페
이지 공고 병행)개인정보유출
(§ 34①)5일 이내
(표준지침 § 27①)
유관기관
안전행정부,한국정보화진흥원,
KISA
1만명 이상 개인정보유출
(§ 34③)5일 이내
(표준지침 § 29①)
정보통신망법
이용자개인정보누출 등
(§ 27의3) 지체 없이
유관기관
방송통신위원회
(실무상 KISA 홈페이지로 신고)
개인정보누출 등
(§ 27의3) 지체 없이
미래창조과학부, KISA
침해사고
(§ 48의3①) 즉시
전자금융거래법 유관기관금융위원회,금융감독원
정보기술부문 및
전자금융사고
(§ 21의5,감독규정 § 73①)
지체 없이
※ 정보통신망법 상 개인정보누출 등 신고와 침해사고 신고는 중복되는 측면 있음
- 18 -
III. 기술적ᆞ관리적 보호조치
- 19 -
기술적 조치 (1): 접근통제 (Access Control)
□ 네트워크 접근 통제 (Network Access Control): ▪ 정보의 기밀성ᆞ무결성 확보하기 위한 기술적 조치의 핵심
▪ 기술적: 접근요청단말기(access requester), 정책서버(policy server), 네트워크접근서버(network access server) 간 상호작용
▪ 법령 상 접근통제 규제: 계정, 비밀번호 등 관리적 측면에 집중
□ 구체적 내용은 각 법령에 대한 고시를 기준으로 살펴봄
▪ 개인정보의 안정성 확보조치 기준 (행정안전부 고시 제2011-43호) ▪ 개인정보의 기술적ᆞ관리적 보호조치 기준 (방통위 고시 제2008-3호) ▪ 신용정보업감독규정 (금융위 고시 제2013-1호) 제20조, [별표 3] ▪ 전자금융감독규정 (금융위 고시 제2013-20호) 제3장
- 20 -
기술적 조치 (1): 접근통제 (Access Control)
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
접근
권한
부여
업무 수행에 필요
한 최소 범위ᆞ업
무담당자에 따라
차등 부여 (§ 4 ①)
개인정보관리책임
자ᆞ취급자만 부여
(§ 4①)
최소 (II.1.①),조회권한 차등
(III.2.①)
개인별 부여, 업무별 통제
(§ 13 ①(i),(iv))
변경/말소
인사이동시
(§ 4 ②)인사이동시
(§ 4 ②)인사이동시
(II.1.②)
체계적 관리
(§ 13 ①(i)),인사조치시
(§ 13 ①(xiv))내역
기록/보관3년 (§ 4 ③) 5년 (§ 4 ③) 3년 (II.1.③) -
▪ 접근권한
• 적절한 접근권한 설정은 내부유출뿐 아니라 외부공격통제와 관련하여서도 중요
• 관리자 계정(administrator ID)은 침입자의 집중적 타겟이므로 실제 기술적 조치
이행 여부를 판단할 경우 위 계정 관리 상태가 중요한 의미를 가짐
- 21 -
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
취급자
ID
계정
1인 1계정,공유 금지
(§ 4 ④)- - 1인 1계정
(§ 13 ①(i))
접속
단말기- - -
단말기 보호대책
(§ 12),반출ᆞ반입 통제
(§ 13 ①(v)),주요정보 보관금지,
공유금지
(§ 13 ①(xiii))
비밀번호
작성규칙수립ᆞ적용 (§ 5)
대/소문자ᆞ숫자ᆞ
특수문자 중 2종
10자리, 3종 8자리
(§ 4 ⑧(i)),추측 쉬운 개인정
보, ID 유사 비밀번
호 금지(§ 4 ⑧(ii))
작성규칙, 추측 쉬
운 비밀번호 금지
(II.1.⑤)
숫자, 영문자, 특수
문자 혼합 8자리, IDᆞ생년월일ᆞ주
민등록번호ᆞ전화
번호 포함 금지
(§ 32(ii))
비밀번호
변경주기- 반기 (§ 4 ⑧(iii)) - 분기 (§ 32(ii)가)
기타 - - -
수회(5회 이내) 로
그인 실패 시 정지
(§ 13 ①(xii), § 32(iii))
- 22 -
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
이용자
ID 비밀번호 작성규칙(§ 5) 작성규칙(§ 4⑦)작성규칙, 추측 쉬
운 비밀번호 금지
(II.1.⑤)
유추 쉬운 비밀번
호 금지, 통신용/계좌원장 비밀번호
분리, 수회(5회 이
내) 로그인 실패 시
정지, PIN pad로
접수(§ 33②), 자금
이체 시 보안카드
등 일회용 비밀번
호(§ 34)
▪ 비밀번호 생성방법 규제는 비밀번호 크래킹(password cracking)을, 비밀번호 변경주기 규제는 계정 도용의 지속을 막기 위한 것임
▪ 서비스제공자들이 취급자 계정 비밀번호 관련 규제를 이용자 계정 비밀번호 관련
규제로 오인하여, 지나치게 엄격한 작성 규칙, 짧은 변경주기를 적용
• 비밀번호 여러 개를 외울 수 없는 국민 전체가 편리성 비용을 지불
• 잦은 비밀번호 변경 부담: (1) 새 비밀번호를 잊은 이용자가 여러 번 로그인
시도하여 내부자의 시스템 공격을 돕기만 할 뿐이며, (2) 이용자가 새
비밀번호를 입력할 때 약한 조합을 선호하여 오히려 보안에 역행할 수 있음
- 23 -
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
인터넷
등 외부
접근
접근통제
시스템
침입 차단ᆞ탐지시
스템 (§ 6①).단, 업무용 컴퓨터
만 이용 시 OS/백신 접근통제 이용
가능 (§ 6④)
침입 차단ᆞ탐지
시스템 (§ 4⑤)침입 차단ᆞ탐지
시스템 (II.1.④)
정보보호시스템
(CC인증장비, 최소
한의 포트/기능 적
용, 이력 보관, 원
격관리 금지, 주기
점검) (§ 15)외부로
부터의
접속
VPN, 전용선 등
안전접속수단
(§ 6②)
공인인증서 등
안전인증수단
(§ 4⑤)-
최소 작업권한, 통제장치
(§ 13 ①(ii))
외부
공개/유출
홈페이지ᆞP2Pᆞ
공유설정 통한 공
개ᆞ유출 금지
(§ 6③)
홈페이지ᆞP2Pᆞ
공유설정 통한 공
개ᆞ유출 금지
(§ 4⑨)
홈페이지ᆞP2Pᆞ
공유설정 통한 공
개ᆞ유출 금지
(II.1.⑥)
정보보호시스템 우
회 외부 접속 금지
(§ 15①(iii)),무선통신보안
(§ 15⑥)
망분리
등-
일일 평균 100만명
또는 IT매출액 100억원 이상 시 물리
적ᆞ논리적 망분리
(§ 4 ⑥)
-
내부통신망/공개용
웹서버 분리(§ 17),타 기관 내부통신
망 분리(§ 18(v)),금융전산망분리 가
이드라인 (금감원)
- 24 -
▪ 기술중립적 규제 시도: 침입차단시스템ᆞ침입차단시스템
▪ 기술특유적 규제: VPN, 전용선, 공인인증서 등 특정기술수단 지목
• 기술특유적 용어를 사용할 경우 미처 열거되지 않은 기술수단에 의한 공격에
대한 대책을 제대로 포괄하지 못하는 등 오히려 적용 범위가 제한될 우려 있음
- 25 -
기술적 조치 (2): 보안프로그램
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
정기 백신 업데이트자동업데이트 또는
일 1회 (§ 9(i)) 월 1회 (§ 7) 월 1회 (II.4.②)최신상태유지
(§ 16 ①(ii))수시 백신 업데이트
경보 발령 시, 제작
업체의 보안업데이
트 공지 시(§ 9(ii))
경보 발령 시, 제작
업체의 보안업데이
트 공지 시(§ 7)
경보 발령 시, 제작
업체의 보안업데이
트 공지 시(II.4.②)
▪ 서버 등 개인정보처리시스템 내 백신 설치를 의미하나, 금융기관ᆞ전자금융업자의
경우 이용자의 클라이언트 시스템에도 보안프로그램을 설치하여야 함
(전자금융거래법 제34조 제2항. 단, 본인동의 시 해제 가능) • 플러그인 만연과 웹브라우저 보안설정저하의 원인
▪ 개인정보보호법이 오히려 정보통신망법보다 엄격함 → 규제 완화 필요
▪ 보안프로그램은 기존에 알려진 악성코드에 대한 해법일 뿐 신종 악성코드나
지능적 지속 위협(advanced persistent threat) 등에 대하여는 무력할 수 있음
- 26 -
기술적 조치 (3): 암호화 (Encryption)
□ 정보통신망법: 온라인으로 수집한 고객정보, 통신ᆞ방송사업자 이용자 정보
저장 송수신 (전송) 전달인터넷,DMZ,내부망
PC 인터넷 등
공중망내부망 보조저장매체
주민등록번호,신용카드번호,
계좌번호
○
(안전한 암호 알고리즘)(§ 6②)
○
( 보 안 서 버 : SSL 인증서 또
는 암호화응용
프로그램)(§ 6④)
이견 있음
(검찰: ×,방통위: ○)
명확한 규정
없으나, 대체로
PC 저장과 동
일하다고 해석
비밀번호,바이오정보
○
(일방향 암호화)(§ 6①)
기타
개인정보×
○
(방법 제한
없음)(§ 6④)
- 27 -
□ 개인정보보호법: 임직원정보, 거래처정보, 오프라인으로 수집한 고객정보 등
저장 송수신 (전송) 전달
인터넷,DMZ 내부망 PC 인터넷 등
공중망전용선 내부망
보조
저장매체
고유식별정보○
(§ 7④)
위험도분석
결과에 따
름 (§ 7⑤)
○
(암호화 알
고리즘 대
신 상용암
호화 S/W 가능)(§ 7③,⑧)
○
(§ 7②)×
(안내서)
×(안내서)
○
(§ 7②)
비밀번호
○
(일방향
암호화)(§ 7③,안내서)
○
(일방향
암호화)(§ 7③)
○
(안내서)
○
(일방향
암호화)(§ 7②,③)
바이오정보
○
(§ 7③,안내서)
○
(§ 7③)○
(§ 7③)○
(§ 7②)
기타
개인정보×
※개인정보 암호화 조치 안내서 (행정안전부/KISA, 2012. 10.)
- 28 -
▪ 정보통신망법과 달리 고유식별정보, 비밀번호, 바이오정보를 제외한 기타
개인정보에 대하여 과감하게 암호화 규제 적용을 배제함
▪ PC에 저장할 경우 상용 암호화 알고리즘도 가능함
- 29 -
□ 신용정보이용ᆞ제공자 등
저장 송수신 (전송) 전달
인터넷,DMZ,내부망
PC 인터넷 등
공중망내부망 보조저장매체
개인 신용정보
명확한 규정
없으나, 송수신
에 준하여 볼
수 있음
○
(§ 3③)
○
( 보 안 서 버 : SSL 인증서 또
는 암호화응용
프로그램)(§ 3②)
이견 있을 수
있음
명확한 규정
없으나, 대체로
PC 저장과 동
일하다고 해석비밀번호,
생체정보 등
인증정보
○
(일방향 암호화)(§ 3①)
□ 금융기관ᆞ전자금융업자의 경우
▪ 무선통신망, DMZ구간 내 거래로그, 내부사용자 비밀번호, 이용자 비밀번호, 전자금융거래와 관련 암호화를 하여야 함 (전자금융감독규정)
▪ 단, 전화의 경우 혹은 전용선 사용 시 보안성심의를 받은 경우 암호화 면제
- 30 -
□ 암호화 관련 규정의 문제점
▪ 해석의 곤란성, 복잡성
▪ 규제 균형 문제
• 온라인 고객정보 중 일반 정보의 경우 인터넷 상에 일반개인정보를 저장할
때에는 암호화가 필요 없다고 하면서, 유독 PC에 저장할 때에는 암호화가
필요하다고 규정
• 오프라인 정보 중 비밀번호ᆞ바이오정보의 경우 PC에 저장하거나 내부망 전송
시에는 암호화를 해야 하는데, 전용선으로 외부 전송할 때에는 암호화를 안
해도 된다고 규정
- 31 -
▪ 정보통신망법, 신용정보법 상 바이오정보를 일방향 암호화하도록 규정
• 바이오정보와 바이오메트릭 정보 혼동: 바이오정보의 정의가 매우 넓어
얼굴사진이나 음성파일도 포함되는바, 그 용도를 불문하고 해쉬값으로 바꾸
수집하도록 하는 것은 활용 자체를 금지하는 것이나 다름없음
• 바이오메트릭 정보의 경우에도 해쉬값에 의한 인증이 곤란: 지문ᆞ홍채ᆞ각막
등 바이오메트릭 정보에 대하여 채취ᆞ변환 시마다 단일한 해쉬값을 추출하는
바이오메트릭 해쉬 생성(biometric hash generation) 기술의 적용성 문제
▪ 상당수 암호화기술 및 소프트웨어 등이 대외무역법 및 ‘전략물자수출입고시’에
의하여 국내법 상 강제되는 바세나르협정(WA) 등 다자간 수출통제체제 통제 대상
• 허가 없이는 암호화 소프트웨어의 국외전송을 통한 암호화 알고리즘 구현이
불가능할 수 있음
• 미국: Bernstein v. US, Junger v. Daley • 산업통상자원부는 2013. 5. 31. 위 고시 개정을 통하여 암호화품목 허가면제
범위 확대하였으나, 면제 여건이 여전히 한정적임
- 32 -
기술적 조치 (4): 접속기록(Log Record) 보관
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
접속기록보관6개월
(§ 8①)
6개월
(기간통신사업자
2년)(§ 5①,②)
6개월
(II.2.①)
가동기록 1년(§ 13①(xi),④), 정보조회
자동기록 및 1년 보
존(§ 13③), IP주소
접속기록 1년 보관(§ 18)
접속기록
위ᆞ변조방지
안전보관
(§ 8②)
별도 물리저장장치
보관, 정기백업
(§ 5③)
별도 저장장치 백업
(II.2.②) -
접속기록
확인ᆞ감독- 월 1회
(§ 5①)월 1회
(II.2.①) -
▪ 보관기간은 통상 6개월이나, 통신비밀보호법이 전기통신사업자의 경우 로그기록과
IP주소 의무보관기간을 3개월로 규정한 것과 일관되지 아니한 점이 있음
- 33 -
기술적 조치 (5): 복구기술 등 가용성 확보 대책
□ 가용성 확보 대책
▪ 전반적으로 기밀성ᆞ무결성에 대하여는 상세한 대책을 규정하나, 가용성(availability) 확보 대책에 대하여는 미흡함
▪ 백업시스템, 재해복구시스템, 시스템복구프로세스 등을 포함하는 복구기술 적용
의무 고려 가능
• 전자금융감독규정은 정기적 백업, 원격 안전지역에의 소산 및 백업내역의
기록ᆞ관리, 정기 검증 등 요구
- 34 -
관리적 조치 (1): 내부관리계획
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
개인정보
보호조직
CPO개인정보보호
책임자
(법 § 31, § 3①(i))
개인정보관리
책임자
(법 § 27, § 3①(i))
신용정보관리ᆞ보
호인
(III.2.①)
-
기타개인정보취급자
(§ 3①(ii))개인정보취급자
(§ 3①(ii))개인신용정보
취급자
전담조직(§ 8①(i)), IT인력 5%, 정보보
호에 IT인력 5%, IT예산 7%(§ 8②)
내부관리계획내부관리계획
(§ 3①)내부관리계획
(§ 3③)
내부관리규정
(법 § 20①,III.1.①(i))
연간 정보기술
부문 계획
(§ 19)
교육시행
(§ 3①(iv))연 2회
(§ 3②)시행
(III.1.①(v))
시행(§ 8①(iii)), 연
1회 비상대응훈련
(§ 24①)
- 35 -
개인정보보호법 정보통신망법 신용정보법 전자금융거래법
기타변경 시 반영, 수정
이력 관리(§ 3③)이행 내부 점검
(§ 3①(iv))
업무처리기록 3년
보존, 경영진 보고
(III.1.②)감리(§ 22)
면제
친목단체 CPO 지
정 면제(법 § 58),소상공인은 내부관
리계획 면제(§ 3②)
직원 5명 미만, 인
터넷의 경우 일 평
균 이용자 1천명
이하 CPO 지정 면
제 (시행령 § 13②)
신용정보제공ᆞ이
용자의 경우 일부
에 한하여 CPO 지
정 의무 (시행령 § 17①)
-
▪ 관리적 조치: 보안정책(security policy), 정보보안 거버넌스(governance of information security)로 구성
• 내부관리계획과 개인정보보호조직으로 구현
▪ 내부관리계획 수립ᆞ시행에 치중하여 실제 운영보다는 내부관리계획이라는
서류작업으로 흐를 우려 있음
▪ 정보통신망법, 전자금융거래법은 정보보호최고책임자(Chief Information Security Officer, CISO) 선임의무를 규정하나 CPO (Chief Privacy Officer)와 중복되는 측면
있음
- 36 -
관리적 조치 (2): 출력ᆞ복사 등
▪ 정보통신망법: 출력ᆞ복사 시 보호조치가 의무화되어 있고, 마스킹은 권고되나
의무사항은 아님
▪ 전자금융감독규정: 전산자료 출력 시 업무별 접근권한 통제, 이용자정보출력 통제
등 규정
▪ 신용정보업감독규정: • 출력 시 보호조치 규정
• 저장매체 저장 및 외부 전송 시 사전 승인 요구
→ 구 ‘개인정보의 기술적ᆞ관리적 보호조치 기준’을 참조한 것인바, 위 규정은
과도한 규제라는 이유로 2011. 1. 5. 삭제되었으므로 정비 필요함
- 37 -
물리적 조치: 보관시설, 잠금장치 등
▪ 개인정보보호법: • 출입통제, 잠금장치 등 물리적 보호조치 규정
▪ 전자금융감독규정: • 건물, 전원ᆞ공조, 전산실에 대한 물리적 접근 방지 대책 규정
▪ 인터넷데이터센터(IDC), 클라우드컴퓨팅센터 특례: • 개인정보보호법은 IDC, 클라우드컴퓨팅센터 등에 계약을 통해 개인정보를
처리하는 경우 계약서 또는 서비스수준협약서(SLA)에 앞서 살펴 본 기준에
준하는 안전조치 내용이 포함되어 있으면 기준을 이행한 것으로 보고 있음
- 38 -
불법행위책임과의 관계
▪ 법원은 서비스제공자가 해킹 사고 방지를 위하여 취해야 할 선관의무를
위반하였는지 여부를 판단함에 있어, 기술적ᆞ관리적 보호조치를 중요한 고려
사항의 하나로 참작
• 정보통신서비스 제공자가 해킹 사고 방지를 위해 취해야 할 선량한
관리자로서의 주의의무를 위반하였는지 여부는
①관련 법령이 정보통신서비스 제공자에게 요구하고 있는 기술적ᆞ관리적
보안조치의 내용, ②해킹 당시 당해 정보통신서비스 제공자가 취하고 있던 보안조치의 내용, ③해킹 방지 기술의 발전 정도, ④해킹 방지 기술 도입을 위한 경제적 비용 및 그 효용의 정도, ⑤해커가 사용한 해킹 기술의 수준, ⑥개인정보유출로 인해 이용자가 입게 되는 피해의 정도 등을 종합적으로
고려하여 판단하여야 한다. (서울중앙지방법원 2010. 1. 14. 선고 2009가합88186 판결 등)
- 39 -
▪ 그러나 기술적ᆞ관리적 보호조치를 준수하였다 하여 무조건 면책ᆞ감경되는 것도
아니며, 이를 위반하였다 하여 무조건 책임을 지는 것도 아님
• 개인정보보호법 제39조 제2항: 이 법이 따른 의무를 준수한 것뿐 아니라
“상당한 주의와 감독을 게을리하지 않은 경우”임이 인정되어야 개인정보의
분실ᆞ도난ᆞ유출ᆞ변조 또는 훼손으로 인한 손해배상책임을 감경받을 수
있다고 규정하여 이러한 점을 분명히 함
- 40 -
IV. 문제점 및 개선방안
- 41 -
문제점 및 개선방안 (1): 통합적 기준 필요
□ 법령의 난립과 불일치: 통합적 기준 필요성
▪ 어지럽게 얽혀 있는 기준들을 통합고시의 형태 등으로 일관되며 수범자의 이해가
가능한 수준으로 정비할 필요 있음
• 데이터베이스에 저장된 정보별로 어느 법령의 적용을 받는지 꼬리표를 붙여
분류처리할 것을 요구할 수는 없음
• 정보통신서비스제공자인지 여부 등을 기준으로 분류하기 보다는
사업자의 규모, 처리하는 정보의 양 등을 기준으로 규정을 통합
• 법령별로 담당 부처가 나뉘어져 있는 문제 극복
- 42 -
문제점 및 개선방안 (2): 기술중립성의 문제
□ 외부성의 내부화 (Internalization of Externalities)
PROPERTYPROPERTYPROPERTY(including TORTS)(including TORTS)(including TORTS)
TECHNOLOGY-NEUTRALTECHNOLOGY-NEUTRALTECHNOLOGY-NEUTRALREGULATIONREGULATIONREGULATION
TECHNOLOGY-SPECIFICTECHNOLOGY-SPECIFICTECHNOLOGY-SPECIFICREGULATIONREGULATIONREGULATION
▪ 실제 제도는 위 스펙트럼 중 어딘가에 위치함
□ 기술중립성 (Technological Neutrality) ▪ 본질적으로 유사한 서비스를 제공하는 다른 기술은 유사한 방식으로 규제되어야
한다는 원칙
▪ 개인과 기관은 그들의 개발, 획득, 사용, 상업화를 위한 수요와 필요에 가장
상당하고 적합한 기술을 선택할 자유를 보장받아야 한다는 원칙
- 43 -
▪ Framework for Global Electronic Commerce of 1997, US • “정부의 규제 시도는, 특히 그러한 규제가 기술특유적인 한에서, 입안될 당시
이미 낡은 것을 가능성이 높다.” ▪ Law Reform Commission, Australia (2008) • “기술의 발전에 비추어 볼 때 기술중립적 프라이버시 원칙은 개인정보보호를
위한 가장 효율적인 방법을 제공한다.” ▪ 특허요건(신규성, 진보성): 기술중립적 법령의 대표적 사례
• But see, Dan L. Burk & Mark A. Lemley, Is Patent Law Technology-Specific?, 17 Berkeley Tech. L.J. 1155 (2002).
□ RULES vs. STANDARDS ▪ 각 개별 조항의 정비를 통해 기술중립성을 제고하면서, 해설서에 당대의 기술
수준을 반영한 예시를 제시하되 그 규범적 효력은 명시적으로 배제하는 방법
▪ 상당한 수준의 보안기준을 준수할 경우 세이프하버(safe harbor)를 적용하는 방법
- 44 -
문제점 및 개선방안 (3): 과잉 규제의 문제
▪ 그다지 새로울 것도 없는 기술이나 비즈니스모델을 칭하는 신조어가 회자될
때마나 관련 입법을 시도하는 관행 제고
• ex) 클라우드컴퓨팅법안: 집적ᆞ공유된 정보통신기기, 정보통신설비, 소프트웨어
등 정보통신자원을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여
신축적으로 이용할 수 있도록 하는 정보처리체계 (법률안 제2조 제1호)
▪ 형사 처벌의 적정성 문제
- 45 -
감 사 합 니 다.