목 차

I. IT 컴플라이언스 규제 환경

II. IT 융합 환경의 리스크와 정보보호

i) 방통 융합 환경의 리스크

ii) 광대역융합망(BcN) 환경의 리스크

iii) 지능형 자동차 통신 시스템의 리스크

III. IT 컴플라이언스 관점에서 본 융합 환경의 정보보호

IT 컴플라이언스 관점에서 본 IT 융합 환경의 정보보호

I

IT 컴플라이언스 규제 환경

IT 컴플라이언스 관점에서 본 IT 융합 환경의 정보보호

컴플라이언스(Compliance) 정의

• 외부규제나 표준을 정의하고 지속적인 관찰을 통해 준수여부를 확인하며, 발견된 문

제를 개선하고 발전시켜 나가는 활동

• 기업이 비즈니스 연속성과 경영 투명성을 확보하기 위해 강제적. 자율적으로 여러 가

지 규제(Regulation)를 준수(Comply)하는 것을 의미

(Regulation) Compliance : 규제 준수

4

• 기존 Compliance 개념은 단순히 법률과 규제를 준수하는 것이

었음 (협의의 Compliance)

• 최근 Compliance 는 기업윤리를 준수하고 사회적 책임을 다하는

것까지 포함하는 개념으로 확장됨 (광의의 Compliance)

IT 컴플라이언스(IT Compliance) 정의

• 기업의 비즈니스의 IT 의존도가 심화되면서 기업 활동을 효과적으로 규제하기 위해

서는 비즈니스 활동을 지원 하는 정보처리시스템과 디지털 데이터에 대한 규제가

필수적으로 요구됨

• 따라서 IT 컴플라이언스는 특정 규제를 만족시킬 수 있도록 기업의 IT 인프라와 업

무 프로세스를 구축하고 재정비하는 것을 말함

Information Technology + Compliance

5

• 규제준수를 위해서는 기업 내 정보시스템과 업무 프로세스에 대한 엄

격한 내부통제가 필요함

• 규제가 요구하는 정보공개(Disclosure), 책임성(Accountability)

이행을 위해 기업내의 정보 시스템을 활용함

• 효과적인 IT와 Compliance 관계를 위해서는 해당 기업 IT자원 현

황에 대한 정확한 파악과 IT 컴플라이언스 지원 시스템의 적절한 활

용이 필요

최근 비즈니스 환경과 IT 컴플라이언스

• 미국 엔론 사건을 포함한 글로벌 기업들의 회계부정사건에 대한 공동의 위기의식과

주주이익 중시경향 및 사회적 책임(CSR)에 대한 전 사회적 관심이 증가하면서 기

업들에게 높은 수준의 규제 요구

• 전세계적으로 노동, 안전, 소비자보호, 개인정보보호 등 다양한 분야에 걸쳐 15,000

여 개의 컴플라이언스 법제들이 존재하고 있으며 지속적으로 증가하는 추세이며, 준

수하지 못하는 경우 CEO에 대한 직접 처벌 등 처벌 수준이 강력해지고 있다.

• 각국의 IT 컴플라이언스 법제들은 국가간 비즈니스 환경에서 새로운 진입장벽이 되

고 있으며, 미 준수 시에는 기업들에게 심각한 경제적 손실과 인지도 하락 및 비즈니

스 기회 상실과 같은 위험에 처하게 됨

오늘날 기업 BT, IT 환경의 핵심인 IT 컴플라이언스는

기업의 생존과 경쟁을 위한 선택이 아닌 의무

6

IT 컴플라이언스 주요 요구사항

다양한 IT 컴플라이언스들은 일반적으로 다음과 같은

주요 요구사항들을 제시하고 있음

7

데이터 보존

(Data Retention)

데이터 보호

(Data Protection)

내부 통제

(Internal Control)

책임성(Accountability)

데이터 공개

(Data Disclosure)

내부 통제 (Internal Control)

• 내부통제란 기업 데이터 및 프로세스의 투명성과 무결성 유지 등 조직의 위험을 감

소시키기 위해 설치한 정책, 절차, 실무, 조직 구조 일체를 가리킴

• 내부통제 지원시스템은 기업 운영의 효율성 및 회계자료의 신뢰성 확보, 법규 준수

등의 목적을 달성하기 위한 합리적 확신을 제공하기 위해 실행되는 일련의 과정으로,

기업은 IT 컴플라이언스 준수를 위해 명백하게 문서화되고 문서화된 내부통제지원시

스템을 전사적으로 구축 및 운영해야 함

• SOX 404조, GLBA, HIPAA 등 거의 대부분의 IT 컴플라이언스 들은 기업 내 내부

통제시스템 구축, 운영을 통한 내부통제 강화를 요구하고 있음

내부통제(Internal Control)의 강화는 IT Governance와

대부분의 IT 컴플라이언스들의 요구 조건이자 핵심 대응책임

8

기업의 내부 통제 강화

• 프로세스 모니터링 및 감사

• 데이터 전송 및 접근, 수정, 삭제 모니터링 및 감사

• 비정상적인 프로세스 및 데이터 검출

• 권한 분리와 ID관리 정책 제공

• 엄격한 접근제어 수행

IT 컴플라이언스 규제 준수를 위한 기업의 주요 내부 통제 기능

9

데이터/문서/기록 관리는 기업의 핵심적인 내부통제 기술임

IT 컴플라이언스 종류 ①

규제 주체

외부규제적 컴플라이언스 SOX, Basel II, GLBA 등

자율규제적 컴플라이언스 PCI DSS (카드사) 등

규제 적용범위(지리적)

국제적 컴플라이언스 Basel II 등

지역적 컴플라이언스 EU Directive 등

일국적 컴플라이언스 GLBA(미국), 컴퍼니빌(영국) 등

규제 적용범위(산업별)

전체산업 범용 컴플라이언스SOX(미국), 컴퍼니빌(영국), 외감법(한국) 등

특정산업 전용 컴플라이언스 GLBA(금융), HIPAA(의료) 등

규제 주체, 적용 범위(지리/산업별)별로

다양한 IT 컴플라이언스들이 존재함

10

IT 컴플라이언스 종류 ①

규제 주체

외부규제적 컴플라이언스 SOX, Basel II, GLBA 등

자율규제적 컴플라이언스 PCI DSS (카드사) 등

규제 적용범위(지리적)

국제적 컴플라이언스 Basel II 등

지역적 컴플라이언스 EU Directive 등

일국적 컴플라이언스 GLBA(미국), 컴퍼니빌(영국) 등

규제 적용범위(산업별)

전체산업 범용 컴플라이언스SOX(미국), 컴퍼니빌(영국), 외감법(한국) 등

특정산업 전용 컴플라이언스 GLBA(금융), HIPAA(의료) 등

규제 주체, 적용 범위(지리/산업별)별로 다양한 IT 컴플라이언스들이 존재함

11

IT 컴플라이언스 종류 ②

규제 목적

회계 투명성 SOX, J-SOX, K-SOX 등

금융 리스크 관리 Basel II 등

개인정보보호 EU Data Protection Act 등

전자문서이용활성화 전자거래기본법, 전자서명법 등

법적 증거 허용성 BSI DISC PD0008:1999

보호 대상

금융정보 Basel II 등

개인금융정보 EU Directive 등

카드정보 PCI DSS 등

환자정보 HIPAA, 의료법 등

개인정보 EU Directive, SB1386 등

규제목적, 보호대상 별로 다양한 IT 컴플라이언스들이 존재함

12

IT 컴플라이언스 법제 현황 조사

Hype Cycle for Regulations and Related Standards 2007, Gartner

13

TechnologyTrigger

Peak of InflatedExpectation

Trough ofDisillusionment

Slope ofEnlightenment

Plateau ofProductivity

Euro-SOXEU Digital Signature DirectiveOffice of Foreign Assets ControlISO/IEC 20000J-SOXBill198(Canada) New Federal Rules of Civil Procedure

California SB1386MIFIDPayment Card Industry Data Security Standards

EU Accounts Modernization DirectiveE-Waste(US State level Regulation)EU Data Protection DirectiveISO/IEC Security Program StandardsIT Infrastructure LibrarySarbanes-Oxley ActStatement on Auditing Standards(SAS) 70 The USA Patriot ActCobiTXBRL for Regulatory Reporting

Basel IIGLBA

HIPAA

세계 각국의 주요 IT 컴플라이언스 ①

글로벌 IT 컴플라이언스들과 미국의 IT 컴플라이언스들

범 위 명 칭 개 요

전세계

Basel II 전세계적인 금융권 리스크 관리 기준

ISO 15489-2 디지털 정보 및 문서 보존시스템이 갖추어야 할 요건에 관한 국제표준

DiCom (Digital Imaging and

Communication In Medicine)의학 분야에서의 디지털영상 보존과 전송에 대한 국제 표준

미국

SOX 미국 상장기업 회계투명성 확보

HIPAA 미국 의료 데이터 보관 기준

SEC Rule 17a-4 금융권 전자문서에 대한 관리규정

GLBA 미국 금융기관의 정보보호와 프라이버시 보호에 관한 내용

DoD 5015.2 미국방부의 디지털 데이터 보관 시스템의 요구사항

21 CFR Part 11 1997년 미국 FDA에 의해 제정된 전자기록과 전자서명 관리 지침

NASD 3010 & 3110 증권회사들의 투자상담사 감시 및 기록 보관 의무화

FERC Part 125 연방에너지통제위원회(FERC)에서 공공설비산업을 위한 전자 문서 보존 기간 및 보호를 명시

Rev. Proc 97-22 납세관련 기록의 보존의 의무화

NARA Part 1234 미국 국립기록청의 이메일과 메타데이터 기록 저장 의무화 제도

14

세계 각국의 주요 IT 컴플라이언스 ②

EU와 영국, 일본의 주요 IT 컴플라이언스들

범 위 명 칭 개 요

EU

MiFID(Markets in Financial Instruments Directive)

유럽연합의 금융 상품 지침에 관한 법률로 전자기록 관리 요구사항 제시

Moreq (Model Specification of Requirements for Electronic Records Management System)

유럽의 전자문서 및 기록 관리 시스템이 갖추어야 할 요건 제시

Data Protection Act 개인정보보호에 관한 일반법률

영국

컴퍼니빌

(Companies Act)영국 기업지배구조 관련 규제로 ‘기업지배구조법안’이라고도 불림

돈세탁금지법

(Anti-Money Laundering Act)돈세탁방지를 위한 고객 식별 및 수상한 거래 모니터링 및 신고 의무화

BSI DISC PD0008:1999 전자문서의 증거력 및 법적 허용성 관련 행위규칙

FSA 영국의 금융서비스 규정

eGIF (eGovernment Interoperability

Framework)전자정부 상호 운영성 프레임워크

WEEE 제조업체, 리셀러, 폐기물 처리업체에 대한 규제로 2004.8.13부터 발효

일본J-Sox 일본판 사베인스-옥슬리법

개인정보보호에관한법률 개인정보에 대한 보호

15

미국의 주요 IT 컴플라이언스

미국의 주요 IT 컴플라이언스들의 규제 내용 및 벌칙

규제명칭 대상기관 규제내용 벌칙

SEC 17a-4 증권회사 6년간 고객과의 교신내역 보관 규정되지 않은 벌금과 구금형

NASD Rules 3010 and 3110 증권회사 6년간 고객과의 교신내역 보관 규정되지 않은 벌금

Sarbanes-Oxley 상장회사모든 문서와 이메일 보관

및 설명 책임5천만 달러 벌금과

20년간 구금형

Gramm-Leach-Bliley Act 금융기관 개인정보의 외부 유출에 대한 방지 벌금과 5년의 구금형

SB1386캘리포니아 주민 과

사업관계 기업

비공개 개인정보의 보호와 침해사실의고지

피해를 입은 고객과의민사소송

HIPAA 의료기관환자 프라이버시와 문서의기밀성과 무결성 보장

25만 달러 벌금과10년간 구금형

USA Patriot Act 미국 내 광의의 금융기관테러자금 목적의 돈세탁 방지를

위한 정보제공을 요구벌금 및 구금형

16

IT 컴플라이언스 규제 미준수에 대해 엄격하고 강력하게 책임을 묻고 있음

국내의 IT 컴플라이언스 ①

국내에도 다양한 목적의 IT 컴플라이언스들이 존재

전자거래기본법전자거래 이용자의 보호 책임과 전자거래기록 보존책임을 의무 화하고공인전자문서보관소 제도를 강제화함

의료법의료기관이 의료기록을 일정기관 보관토록 강제함 (환자명부 5년,진료기록부 10년 등)

전자금융거래법전자금융업자들로 하여금 소비자 보호를 위해 정보보호 시스템 구축,전자거래 암호화, 기록 보존 등을 의무화

보안서버구축의무화제도

영리를 목적으로 개인정보를 수집하는 온라인 사업자들은 의무적으로보안서버를 구축해야 함

금융기관재해복구시스템구축 의무화

은행, 증권, 카드, 거래소 등은 3시간 이내, 보험사는 24시간 이내재해복구시스템을 의무적으로 갖추어야 함

17

국내의 IT 컴플라이언스 ②

국내에도 다양한 목적의 IT 컴플라이언스들이 존재

금융감독원이메일 및 메신저내부통제방안

증권회사들의 특정부서들은 이메일 및 메신저에서 주고 받는 내용을백업하고 요청 시 제출해야 함

공공기관 자료관시스템 구축

700여 개 공공기관들은 의무적으로 자료관 시스템을 구축해야 함

정보통신기반시설보안의무

900여 개의 주요 통신기반시설들은 취약점 분석 및 평가컨설팅을 받도록의무화하고 있음

정보보호안전진단의무화제도

100여 개의 온라인서비스 업체와 IDC는 의무적으로 정보보호안전진단을받도록 함

증권사 영업관련감독규정

온라인 증권거래시스템 장애발생을 대비해 백업시스템 등 대체주문수단을의무적으로 갖추어야 함

18

IT 컴플라이언스의 세가지 범주

다양한 IT 컴플라이언스들은 크게 정보 관리,

개인정보보호, 보안 등 세가지 범주로 구분 가능

19

범 주 주요 요구사항관련 컴플라이언

스

정보 관리재무회계기록 및 주요 문서의 투명성과 정확성, 적시성, 완전

성을 보장할 적절한 통제기능을 갖출 것을 요구함

SOX, J-SOX, K-SOX

개인정보보호

기업이 사용자 개인정보를 어떻게 취급할 것인지를 규정하며,

정해진 개인정보 원칙이 침해되는 경우 어떤 조치를 취해야

하는지를 다룸

EU Directive,PIPEDA(CA)

SB1386

보안

기업의 주요 인프라를 보호하는 것으로 효과적 보안을 위해

어떻게 사용자를 식별하고 민감한 자원에 대한 사용자 접근

을 어떻게 통제, 추적, 감시할 것인가를 규정함

US Patriot Act, GLBA

정보 관리와 IT 컴플라이언스

• 미국에서만 10,000여 개 이상의 데이터 보존을 의무화하고 있는 규제들이 존재함

• 보존 대상 데이터는 스캔자료나 미디어와 같은 컨텐츠 데이터에서부터 이메일과 메신저 및 로그 기록

까지 광범위함

• 기업은 데이터 보존 정책 및 시스템 구축을 통해 규제준수를 증명해야 하며, 데이터를 원래 상태 그대로

불변상태로 보존하고 있음을 증명해야 하며, 적법한 요청 시에는 쉽게 접근할 수 있도록 해야 함

많은 IT 컴플라이언스들은 기업의 특정 데이터를

일정기간 동안 의무적으로 보존할 것을 의무화하고 있음

20

규제 규제대상 보존대상 보존기간

Sarbanes-Oxley Act 상장기업 회계 및 감사용 기록 감사 후 4년 (미준수시 구속)

HIPAA 의료기관 의료기록21세 이하 (평생)환자 사후 (2년)

SEC 17a4 금융기관 딜러-고객 간 통신기록 (메일/종이)

재무제표 (3년)회원등록자료 (기업생존 내내)거래계좌정보 (해지 후 6년)

의료법시행규칙 18조 의료기관 진료 기록환자명부(5년), 진료기록부(10년)처방전(2년), 수술기록(10년)

검사소견서(5년)

금감원 증권회사 지침 증권회사 이메일/메신저 3년

금융거래기본법 금융회사 로그 기록 3년~5년

기업들은 다양한 데이터 보존 요구와 조건을 만족시킬 수 있어야 함

IT 컴플라이언스 데이터 보존 요구 조건

IT 컴플라이언스는 점차 다양하고 구체적인 데이터 보존 요구를 제시하고 있음

21

Retention 원하는 기간 동안 데이터를 보존해야 한다.

Integrity 데이터가 위변조되지 않았음이 증명 가능해야 한다.

Unerasability/Unrewritability

삭제불가능하고 재기록 불가능한 미디어 및 데이터 저장소에 보관되어야 한다.

Access Control 적법한 권한을 가진 사람만이 데이터에 접근할 수 있음이 보장되어야 한다.

Documentation 데이터 보존 정책을 문서화해야 한다.

Time Stamping 증거 생성 시간과 개작시간 등을 명시할 것을 요구해야 한다.

Accountability 작성자, 개작자를 명시함으로써 책임 추적성을 제공해야 한다.

Indexing저장된 모든 데이터에 대한 인덱스를 제공하여 쉽게 검색할 수 있어야 하며, 인덱스 또한복사본을 별도의 장소에 보관하고 무결성이 보장되어야 한다.

Availability 적법한 권한이 있는 사람은 쉽게 검색하고 접근할 수 있어야 한다.

Security보관중인 데이터들을 보호하기 위해 합리적인 보안정책 및 보안시스템을 운영하고 있음을보여야 한다.

Auditing 보관중인 데이터에 대한 접근 및 변경 시도에 대한 로그를 기록하고 안전하게 보관해야 한다.

개인정보보호와 IT 컴플라이언스

• 전세계적으로 기업들이 수집하고 보관하고 있는 개인정보를 보호하기 위해 기업들이 준수

해야 할 요구사항들을 담고 있는 많은 IT 컴플라이언스들이 존재함

• 이러한 규제들은 기업들로 하여금 암호화와 DB보안 등 개인정보에 대해 합리적 수준의 보

호를 제공할 것과 개인정보 유출사고 발생시에 그 사실을 공지할 것 등을 의무화하고 있음

• 특히 강력한 개인정보보호규제를 가지고 있는 EU의 경우 규제를 만족시킬 수 있는 수준의

개인정보보호를 제공하지 않는 국가에게는 개인정보를 제공할 수 없도록 하고 있어 EU 프

라이버시 법제들은 일종의 Privacy Round로 작용하고 있음

전세계적으로 개인정보보호를 의무화하는 IT 컴플라이언스가 증가하고 있음

22

개인정보침해 사례

• GS 칼텍스, 1125만명 고객정보 유출로 인한 집단소송 (2008)

• 옥션, 1000만여명의 고객정보 유출로 집단소송 (2008)

• KT, 하나로 통신 730만 고객정보 유출로 인한 집단 소송 (2008)

• 리니지 2 120만 건 명의도용 사건, 1인당 10만원 배상 판결 (2007)

• 국민은행 3만 여명 개인정보 유출 사건, 1인당 20만원 배상 판결 (2007)

국내외적으로 대규모 개인정보침해 사례들이 증가하고 있는 추세임

23

개인정보보호와 IT 컴플라이언스

전세계적으로 개인정보보호를 의무화하는

IT 컴플라이언스가 증가하고 있음

International▫ OECD Guidelines on the Protection of Privacy and

Transborder Flows of Personal Data

EU ▫ European Union Data Protection Directives of 1995

EU-USA ▫ Safe Harbor Principle

USA ▫ California Data Security Act (SB 1386)

Canada▫ Personal Information Protection and Electronic

Documents Act (PIPEDA, 2000)

Australia ▫ Privacy Act (1988)

Hongkong ▫ Personal Data Protection Ordinance (1995)

Japan ▫ 개인정보보호법(2004)

▫[국내 개인정보보호관련법제]

▫ 공공기관의개인정보보호에관한법률

▫ 개인정보의 기술적, 관리적 보호조치 기준

▫ 정보통신망이용촉진및정보보호에관한법률

▫ 위치정보보호및이용등에관한법률

▫ 개인정보보호법(예고)

24

정부 정보보호 중기 종합 계획개인정보보호 대책 (2008.06)

25

분 류 내 용

법/제도 개선

주민등록번호 등 개인정보 수집 제한

통합 ‘개인정보보호법’ 제정

개인정보관리 추진체계 및 개인정보 영향평가 도입

처벌 규정 및 피해구제 활성화

기타

개인정보보호관리체계강화

관리실태 점검 및 취급자 역량 강화

국제 협력 강화

기술대책강화

실시간 탐지/대응

종합 관리 및 기술 연구

개인정보보호법 입법 예고 (2008)

기업/공공기관의 강화된 개인정보보호 의무를 담은 개인정보보호법 입법 예고

26

개인정보영향평가제도 실시

공공기관은 정보주체의 권리 침해 위험이 현저히 우려

되는 경우로서 개인정보파일을 구축하는 등의 사유 발

생시 영향평가 의무화

개인정보유출통지제도 실시

개인정보처리자가 개인정보 유출 사실을 인지하였을

경우 지체 없이 해당 정보주체에게 관련 사항을 통지

(미국의 SB1386과 유사)

개인정보 위험을 최소화하기 위한 핵심적인 사전/사후 장치들로개인정보영향평가제도와 개인정보유출통지제도가 도입 예고됨

SOX(Sarbanes-Oxley Act)

• 2002년 엔론 사건 등 대형 회계부정사건을 계기로 첨단기술 및 기업 보유 개인정보 유출 방지 등

을 위한 기업 내부 통제 및 감사 기능을 강화한 SOX법 등장

• 302,404조 등에서 기업의 내부통제시스템의 확립, 운영 및 평가를 요구하고 있음

• 상장기업의 정확하고 윤리적인 재무회계보고를 통해 회계정보의 정확성을 보장하기 위해 구축된

내부통제시스템의 유효성을 기업경영진이 직접 검증할 것을 요구함. 내부통제 실패로 인한 회계

부정 등의 불투명하고 비윤리적인 경영에 대해 기업경영진에게 직접 개인적인 책임을 물음

기업회계 투명성을 위한 SOX법은 내부통제에

대한 다양한 요구사항들을 제시하고 있음

27

• 302조 (재무제표 및 내부통제의 보증)– CEO와 CFO 및 임원들은 재무제표 및 그러한 보고를 관리하는 시스템을 포함한 분기별 보고의 정확성 및 완전성을 개인적으로

보증해야 한다.

• 404조 (내부통제의 관리평가)– 경영진은 재무보고를 위한 충분한 내부통제구조 및 절차를 확립하고 유지할 책임이 있다.

• 808조 (데이터 보존)– 모든 공개기업은 전자기록과 메시지를 포함한 모든 비즈니스 기록들을 최소한 5년 이상, 이메일을 포함한 감사관련 문서는 7년

간 보존해야 한다.

HIPAA(Health Insurance Portability and Accountability Act)

• 의료서비스 관련 조직들이 개인의 의료기록 및 건강관련자료의 이용, 저장 및 교환과

관련하여 합리적인 수준의 보안조치와 프라이버시 보호조치를 할 것을 요구

• 개인 의료 관련 데이터의 무결성을 보증할 수 있는 합리적이고 적절한 관리적, 기술

적, 물리적 보호대책을 수립할 것을 요구하고 있으며, 데이터가 변경되거나 파괴되지

않고 부적절하게 처리되지 않았음을 보증하는 Data Authentication을 요구

• HIPAA 미 준수 시에는 250,000불 이하의 벌금과 10년 이하의 징역형에 처해질 수

있음

HIPAA는 개인 의료기록 및 건강관련자료의

보안과 프라이버시 보호 조치를 요구하고 있음

28

GLBA (Gramm-Leach-Bliley Act)

• 제5장– 금융기관은 고객데이터의 보안과 기밀을 보장해야 함

– 재무기록은 적절한 방법으로 보존, 보호되어야 함

– 최종적으로 정보가 더 이상 접근되지 않도록 완전히 파기되어야 함

• Financial Privacy Rule– 금융기관은 고객에게 수집 당시 및 매년 프라이버시 고지를 해야 하며, 정보들이 어디에 공유되고 어디에

사용되는지, 어떻게 보호받고 있는지 등에 대해 알려야 함

• Safeguard Rule– 모든 금융기관들이 고객들의 개인정보를 보호하기 위한 명시적인 계획을 수립하고 합리적인 수준의 보호장

치들을 고안, 설치, 유지할 것을 의무화하고 있음

• Pretexting Protection– 금융기관은 적법한 권한이나 허락없이 고객의 개인정보에 접근하는 모든 형태(e-mail, phone,

phishing)의 위협들에 대해 납득할 만한 합리적 방어 수단을 가지고 있어야 하며, 적정한 조치를 취해야함

금융기관이 개인 고객의 비공개 금융거래

정보를 취급하는데 대한 보호 의무를 규정

29

SB 1386(Security Breach Notification Act)

• 캘리포니아주의 SB1386을 포함하여 현재 미국의 30여 개 주에서 개인정보 침해 사

고가 발생했을 경우 피해자들에게 개별적으로 신속하게 공개하고 고지할 것을 의무

화하는 Security Breach Notification Act를 두고 있음

• 기업들은 DB에 저장중인 개인정보의 암호화를 포함한 개인정보 보호를 위한 합리

적 기술적, 관리적 조치를 취해야 하며, 개인정보 침해발생시 해당 피해자들에게 신

속히 피해사실을 공개하여 ID Theft 등으로 인한 추가적인 피해를 방지해야 함

• 미국 모 은행은 300만 명의 개인정보가 유출된 사건의 피해자 개개인에 대한 고지 업

무 수행에 총 1억 8천만 불을 지불해야 했음

개인정보 유출 사고 발생 시 피해자들에게

해당 사실을 공개하고 개별적으로 공지할 것을 의무화

30

SB1386 사례

• 소비자 신용정보기관인 ChoicePoint사는 시스템 취약성으로 인해 14만 명의 민감

한 소비자 정보가 적절한 권한이 없는 자들에게 유출

• 또한 이러한 침해사고를 피해자들에게 적절히 공개하고 고지하지 않아 신용카드 위

조 등 금융사기와 같은 제2차 범죄로 발전되었음

• 피해고객들은 부적절한 정보보호대책으로 인해 자신들의 개인정보가 유출되었다며

ChoicePoint사를 상대로 집단소송을 제기하였음

• 결국 프라이버시 고지 준수 위반 및 침해사실 고지 미 이행 인한 SB1386 준수의무

실패 등으로 인해 총 1500만 달러 배상

ChoicePoint Case (2004)

31

E-Discovery

• 미국은 2006년 민사소송법 개정을 통해 소송당사자들에게 소송과 관련된 모든 디지털 증거를 보

관하고 법정에 제출하도록 법제화함

• E-Discovery란 민사소송 당사자들이 재판 개시 전 소송과 관련된 모든 증거들을 제시할 것을

의무화하는 것을 말함

• 소송과 관련된 증거들을 분류하여 저장하고 요청이 소송 발생시에 적시에 제출할 수 있는 시스템

을 갖추어야 함. 기업은 법정에서의 디지털 증거 제출에 실패하면 상당한 벌금과 함께 불리한 판

결을 감수해야 함

• 소송에 필요한 디지털 증거 확보를 위해 각 기업의 디지털 포렌식 툴 사용을 의무화하고 있으며,

기업은 E-Discovery툴을 삭제된 증거물을 복구하거나 위변조 여부를 파악하는데 적절하게 활

용할 수 있음

재판 개시 전 소송 관련 모든 증거들을 제시할 것을 의무화

32

E-Discovery 관련 판례

원고 Coleman Holdings는 Morgan Stanley가 1998년 자사와 Sunbeam사의 합병과 관련된 이메일을 제출하

지 못했다며 소송을 제기헸음. 원고측은 해당 E-메일들은 Morgan Stanley사가 Sunbeam사의 회계부정사실을

알고 있음을 증명하고 있는 증거라고 주장함. 피고 사는 비록 문서보존명령을 내리긴 했지만, SEC 규정의 2년간 보

존 의무를 어기고 12개월만에 이메일을 삭제했음. 법원은 피고가 증거를 고의로 훼손했다고 판단하여 adverse

inference instruction 을 허용함으로써 배심원들로 하여금 해당 이메일이 Sunbeam사가 투자자들을 속인 증거로

추정하도록 함. Morgan Stanley사에 15억 달러 배상 판결

Coleman Holdings, Inc. v. Morgan Stanley (2005)

33

2005년 시작된 Broadcom사와의 특허소송의 E-Discovery과정에서 200,000페이지에 달하는 관련 전자메일과

전자문서 제출에 실패하였고, Qualcomm사 변호사들이 소송 증거 보존 실패의 책임 및 소송증거 은닉 행위에 참여

했다는 명확한 증거가 밝혀짐. Qualcomm사는 패소로 인해 상대편 변호사 비용 등 850만불 지불 판결이 내려졌고,

Qualcomm사 변호사들은 변호사윤리규정 위반으로 징계받음

Qualcomm, Inc. v. Broadcom, Inc. (2008)

기업의 E-Discovery Nightmare

• 기업이 E-Discovery 요구조건을 충족시키기 위해 소송관련 증거들을 적시에 제출하지 못했을 경우 처할 수 있는 위험은 다음과 같음

기업들은 E-Discovery 미 준수로 인해다양한 위험에 직면할 수 있음

Adverse Inference Instruction

높은 벌금으로 인한 경제적 피해 (100만 달러 이상 일상화)

변호사 윤리위반으로 인한 징계

소송 패배

상대편 변호사 비용 부담

비윤리적 기업으로의 이미지 하락

34

기업의 민사소송 위험

• 미국 Fortune 500기업들은 매년 평균 140여 개 소송에 시달림

• 기업의 주의 소홀 등으로 인해 IT 컴플라이언스 실패로 개인의 민감 정보 유출로 개인에게 물질적, 정신적 피해를 주게 된 경우 집단소송 등으로 인한 심각한 피해가 예상됨

• 미국의 경우, 한 번의 개인정보 누출사고로도 피해자들의 집단소송(Class Action)으로 인해 기업의 심각한 피해를 입힐 수 있음.

• 고의적, 악의적으로 개인정보가 권한 없는 자에게 유출된 경우 징벌적 배상(Punitive Damage)으로 심각한 금전적 피해를 입을 수 있음

• 기업은 개인정보 유출사고에 따른 집단소송 및 징벌적 배상으로 인한 피해를 줄이기위해 수집된 개인정보에 대해 합리적인 보호조치를 제공해야 함

기업은 IT 컴플라이언스 미 준수 및 개인정보 유출

등으로 인해 다양한 민사소송의 위험에 노출되어 있음

35

기업의 IT 컴플라이언스 위험

• 기업의 IT 컴플라이언스 위험은 임직원의 IT 컴플라이언스 위반행위에 따라 기업이 입을 수 있

는 다양한 손실 위험을 가리킴

• 기업들의 규제 준수 실패로 인한 위험들의 종류는 다음과 같다.

IT 컴플라이언스로 인해 기업들은 다양한 위험에 노출되고 있음

기업 경영진의 직접적인 법적 책임 (SOX)

벌금 및 규제당국의 직,간접적인 간섭

비윤리적 기업으로의 낙인 등 기업 이미지 추락과 주식가치 하락

소비자 신뢰 및 기업경쟁력 하락

비즈니스 기회 상실 및 기업 돌연사

민사소송으로 인한 경제적 피해

36

전사적 위험관리로서의기업의 IT 컴플라이언스 활동

• 기업은 전사적 위험관리(ERM) 차원에서 적극적이고 능동적으로 IT 컴플라이언

스 위험에 대처해야 하며, 이를 통해 강력하고 적절한 내부통제를 수립해야 함

• 다양한 IT 컴플라이언스 위험에 효과적으로 대응하기 위해서는 일회적인 프로

젝트 수행이나 기술 솔루션 도입이 아니라 지속적인 IT 컴플라이언스 대응 프로

세스가 필요함

• 기업은 적극적이고 지속적인 IT 컴플라이언스 활동을 통해 기업의 리스크 관리

및 사회적 책임 준수와 윤리경영, 투명경영을 통한 지속 가능 경영을 달성해야

함

기업의 IT 컴플라이언스 활동은 기업 리스크 관리

및 윤리경영, 투명경영, 지속가능경영의 핵심임

37

기업의 E-Discovery 위험 대응방안

• 기업이 E-Discovery 위험에 효과적으로 대응하고 해당 소송에서 유리한 위치를

차지하기 위해서는 기업 차원에서 다음과 같은 대응 조치들을 취해야 한다.

기업들은 E-Discovery 위험에 효과적으로

대응하기 위한 전사적 차원의 대응을 마련해야 함

기업 내 디지털 포렌식 전문가 채용 및 전문 부서 설립

E-Discovery 대응 데이터 관리 자동화 솔루션 도입

기업 변호사에 대한 변호사 윤리 준수 강조

정기적인 직원 대상 E-Discovery 및 데이터 관리 교육

효과적인 Litigation Hold 정책 수립 및 운용

38

기업 업무수행에 있어 규제 및 법률에 위배되는 사항이 있는지 감시하는 업무를 담당하는 IT와법률 분야를 모두 잘 알고 있는 IT 컴플라이언스 담당관이나 전담조직을 기업 내에 구성해야 함

기업의 IT 컴플라이언스 위험 대응 방안 ①

기업은 IT 컴플라이언스 위험에 대응하기 위해

다음과 같은 대응방안을 수립해야 함

IT 컴플라이언스를 기업의 다양한 위험에 대응하기 위한 위험관리의 수단이자 기업의 사회적 책임을 다함으로써 기업의 이미지 제고를 통해 새로운 비즈니스 기회를 창출해주는 도구로 생각해야 함

IT 컴플라이언스에 대한 인식 전환

39

IT Compliance Officer 제도 도입

사람이 기업정보자산 및 법규준수의 최대의 위협요소이므로 기업 내 모든 직원들을 상대로 한효과적인 IT 컴플라이언스 교육프로그램의 개발 및 정기적 수행 필요

전사적 IT 컴플라이언스 교육 실시

IT 컴플라이언스를 위한 비용절감과 효율성을 위해 강력한 IT 내부통제 아키텍처, 정책과 기업의 규제 준수 상태를 관리, 유지, 보고할 수 있는 자동화 솔루션 활용

IT 컴플라이언스 지원 자동화 솔루션 도입

기업의 IT 컴플라이언스 위험 대응 방안 ②

기업은 IT 컴플라이언스 위험에 대응하기 위해

다음과 같은 대응방안을 수립해야 함

IT 컴플라이언스의 디지털 데이터 보존 의무를 준수하고 기업의 산업기밀과지적 재산을 보호하기 위한 전자문서/디지털 데이터 관리 기술을 도입해야 함

전자문서/디지털 데이터 관리 기술 도입

IT 컴플라이언스 요구에 IT시스템 차원에서 적절히 대응할 수 있는 내부통제시스템과IT 거버넌스 체제를 확립해야 함. (COSO, COBIT, ISO27001 등 Standard 활용)

내부 통제와 IT Governance 체제의 확립

각종 IT 컴플라이언스 기준에 맞춰 일정 기간 동안 데이터들을 기밀성과 무결성이보장된 채로 저장하고, 적법한 요청이 있을 때 이를 이용 및 제공할 수 있도록 해야 함

Data Governance 체제의 확립

40

II

IT 융합 환경의 리스크와 정보보호

IT 컴플라이언스 관점에서 본 IT 융합 환경의 정보보호

신기술의 보안 리스크

새로운 기술과 서비스의 등장은 새로운 잠재적 위험을 양산

42

Web 2.0

SOA

Virtualization

Ubiquitous Technology

RFID USN CCTV VoIP

융합 환경의 보안 리스크

다양한 융합 환경은 예상치 못한 새로운 결합 위험을 양산함

43

IT 융합 리스크 사례

컴퓨터 기반의 자동 구급차 출동 시스템의 차량의 위치가 잘못 기록되어차량이 늦게 도착해 몇몇 환자들은 사망에 이르는 등, 인명사상사고 초래

London Ambulance Service

방사선 암 치료 소프트웨어는 충분하지 못한 버그 테스트와 인터페이스 오류로수 년간 과량의 방사선을 쐬게 하여, 세 명의 환자를 죽음에 이르게 함

Therac-25

44

1996년 6월 4일 잘못된 고도 수치 전송과정에서의 오버플로우 오류로우주선 Ariane 5가 발사 37초 후에 폭발함

The Ariane 5 Disaster

IT기술과 非IT기술의 결합에 의한 IT 융합 리스크는개인과 조직에게 쉽게 치명적인 결과로 이어짐

2002년 4월~8월 사이 생산된 BMW 323i, 328i모델 에어백 작동 시스템의결함이 발견되어 미국 도로교통안전관리국은 총20500대의 차량에 대해 리콜 결정

BMW Airbag Controller

IT 융합 리스크의 특징 및 유형

다양한 기술과 영역들이 융합되면서, 각각의 영역과 기술들에 대한IT 컴플라이언스들을 모두 만족시켜야 하는 복합적인 책임이 부과됨

다양한 컴플라이언스 준수 의무 증가

일반적인 IT 기술과 달리 인간과 밀접하게 결합된 기존 기술들과 IT기술이결합되면서 위험의 현실화가 인간에게 직접적으로 심각한 피해를 제공할 수 있음

융합 리스크로 인한 피해의 심각성 증가

45

위험 대상이 증가하게 되며 다양한 기술의 융합에 따라예상할 수 없는 새로운 위험이 등장할 수 있음

Convergence에 의한 리스크 가능성의 증대

IT 융합 기술은 기업들에게 새로운 차원의 심각한 리스크를제공하며, IT 융합기술에 맞는 새로운 차원의 대응책을 요구함

IT융합기술의 IT리스크로 인한 제조물의 보안 위험 및 다양한 리스크들은제조물 책임법에 의해 제조 기업 및 서비스 기업이 직접 책임을 질 수 있음

제조물 책임법 등 기업의 책임 증가

i) 방송 통신 융합 시대의 리스크

IT 컴플라이언스 관점에서 본 IT 융합 환경의 정보보호

방송통신 융합 시대의 리스크

방송/통신 서비스 리스크와 두 서비스의 결합에 의한 새로운 리스크 발생

47

방송서비스 리스크와주요 정보보호 이슈

• 컨텐츠 보호• 채널 보호• 무단 링크 보호• 시설물 보호......

통신서비스 리스크와주요 정보보호 이슈

• IP 보호• 개인정보보호• 디지털 저작권보호• 무선 단말 보호......

방송통신 융합 리스크와주요 정보보호 이슈

• 편집권 부재• 포털의 책임성 문제• 지적재산권 보호• 사이버 명예훼손

방송통신 융합서비스의 리스크에 대한 종합적 대응체계가 부재한 상황으로

새로운 융합 서비스에 대한 위기관리 체계의 도입이 필요함

방송통신 융합 시대의 리스크 – 지적재산권 침해

IPTV 등의 방통융합서비스들은 지적재산권 침해 위험에 노출됨

48

컨텐츠 보안 콘텐츠 소유자에 의해 허용된 권한으로 획득된 콘텐츠를 사용할 수 있게 보장

서비스 보안 적법한 사용자에게 자격이 있는 서비스와 서비스 내에 포함된 콘텐츠를 획득

지적 재산권 침해 시 IPTV사업자·단말제조사의 2차 책임 가능성

Viacom v. Google (2007)

방송통신 융합 시대의 리스크 – 사이버 명예훼손

UCC 등 1인 인터넷 미디어에 의한 사이버 명예훼손 및 사실왜곡

49

서버 운영 주체의 2차 책임 가능성 및 포털의 사회적 책임 증가

Carafano v. Metrosplash.com (2003)

I n t e r n e t

스트리밍 서버

단말기

오디오

비디오

데이터믹스

(융합)

• 편집권이 존재하지 않는 UCC 등 1인 미디어에 의한 사실 왜곡, 사이버 명예훼손, 불건전정보의 전달 등의 문제 발생

• 다음, 네이버 등 포털 사의 인터넷 매체에 의한 언론 역할 확대에 따른 사회적 책임성 부각

ii) 광대역융합망(BcN)의 리스크

IT 컴플라이언스 관점에서 본 IT 융합 환경의 정보보호

광대역 융합망의 특징과 보안리스크

51

개별망이 갖는

기존의 위험

(유선+무선망 위험)

융합(Convergence)

에 의한 새로운 위험+보안

리스크 증가

Broadband(High-speed &

Multimedia)

Seamless(Full-time

Connectivity)

Ubiquitous(Anywhere & Anytime)

Convergence(Integration)

BCN

차세대 인터넷 프로토콜인 IPv6 체계를 기반으로 통신망, 방송망 및

인터넷망이 융합되어 All-IP망으로 연계되어, 언제 어디서나 고속으로

끊김 없이 안전하게 서비스를 제공하는 통합 네트워크망

광대역 융합망(BcN)의 보안 이슈

52

유무선망 통합과 IP 단말 증가 등으로 인한위험 발생 대상 증가 및 공격기법의 다양화

위험발생대상증가

이기종 망(유선/무선)과 이질적인 사업자간 연동구간이유무선 통합망의 주요 약한 고리로 등장하여 유무선통합망 전체 보안 위험을 증가시킴

위험의 약한고리 증가

유무선 통합, 통신방송 융합서비스 등장에 따른 예기치 못한새로운 위험이 발생할 가능성 증가

결합 위험도증가

광대역화, 고속화에 따른 발생한 위험의 피해확산 범위 및 속도 증가

위험 확산 범위/속도의 증가

광대역 융합망에서의 개인정보침해 리스크

53

유무선 환경의 다양한 Context에서 위치정보 등 개인정보 수집이이루어지면서 개인정보 침해 위험이 높아짐

다양한Context

개인 디바이스들이 고성능화되고 저장 장치화되면서 개인디바이스에대한 공격 등을 통한 개인정보 유출이 늘어남

다양한Device

다양한 신규서비스들이 BcN 환경에 등장하면서, 개인정보영향 평가를거치지 않은 취약한 서비스들에 의한 개인정보 유출 가능성이 높아짐

다양한Service

망간, 기업간 연동구간에서 발생한 잠재적 취약점과 위협으로 인해개인정보 유출 가능성이 높아짐

다양한Risk Point

개인정보침해위험 증가

- BcN기술/서비스에 대한 사전 개인정보영향평가의 강화- BcN상에서 적극적으로 개인정보를 보호할 수 있는 기술 개발

iii) 지능형 자동차 통신 시스템의 리스크

IT 컴플라이언스 관점에서 본 IT 융합 환경의 정보보호

지능형 자동차 통신 시스템(VANET: Vehicle Ad-Hoc Network)

55

Vehicle to Enterprise• Wireless Diagnosis• Automatic Payment• Hot Spot Access• Local Map Update

Vehicle to Vehicle• Personal Travel

Information• Virtual Caravan• Chat

지능형 통신 시스템

Vehicle to Home• Media Download• Route Data Download

Where are you?

I am here

대표적인 최첨단 IT 융합기술로 정보통신과 첨단기술을 접목하여 자동차간 자동화된 네트워크 통신을 통해운전자의 편의성 및 안전성을 획기적으로 향상시켜 교통사고로 인한 손실을 최소화하기 위한 시스템

지능형 자동차 통신 시스템의 리스크

56

자동차 기술과 IT 기술의 결합에 따라IT 기술에 대한 다양한 공격들을

통해 자동차 사고 등으로 인한 인명상, 재산상의 리스크로 발전할 수 있음

지능적 충돌 유도한 차에게는 다른 차가 없다고 신호를 보내고, 다른 차에게는 천천히 가라고 신호를 보냄으로써 두 차량간 충돌을 유도할 수 있음

환경 정보 위조전방에 극심한 교통 체증 예상된다 등과 같은 교통 혼잡도, 사고 발생 정보 등의교통 환경 정보를 위조하여 다른 차량의 진로에 영향을 줌으로써 특정 차량에게혜택을 줄 수 있음

차량 정보 위조식별정보, 위치, 속도 등의 차량 정보를 위조함으로써 해당 사건 등의 발생시 존재하지 않았다고 주장할 수 있음

서비스 거부 공격‘500미터 전방에 교통사고’등의 거짓 신호를 보냄으로써 차량의 원활한 흐름을 중지시킬 수 있음

프라이버시 추적‘3시에 자동차 1234번이 P1을 지나감’,‘3시 10분에 자동차 1234번이 P2를 지나감’등과 같은 특정 차량의 위치정보가 노출될 수 있음

III

IT 컴플라이언스 관점에서 본

IT융합환경의 정보보호

IT 컴플라이언스 관점에서 본 IT 융합 환경의 정보보호

IT 융합 심화

IT 융합 환경의 보안 리스크와 정보보호

58

전사적

위험관리로의

정보보호

역할 재설정

전체 위험에서

IT 리스크가

차지하는

비중 증가

IT 융합환경에서는 정보보호가 담당해야 할 영역 및 역할 확장

각종 IT 컴플라이언스 등 IT 시스템 통제를 통한 규제 증가

非 IT 리스크

+

IT 리스크

비IT 기술과IT 기술의 결합

데이터의디지털화

서비스의디지털화

전사적 위험 관리로의융합환경의 정보보호 패러다임의 변화

IT 컴플라이언스를 위해 조직 내 모든 융합 환경의 정보위험요소들에 대한

사전 영향평가와 지속적인 통합 위험관리를 수행하는 전사적 위험관리로의 전환

59

IT 컴플라이언스 대응

내부 통제 시스템경계선 보안

디지털 데이터 보호 및 관리IT 시스템 보호 및 관리

사전 영향평가사후 대응

능동적 예방·대응수동적 모니터링

통합 보안요소 보안

지속적 관리단발적 대응

디지털 데이터를 포함한 각종 IT자산의 잠재적보안 위험성을 분석하여 전사적 보안위험을 지표화하고 잠재적 위험에 대한 능동적 방어 전략수립을 통해 지속적인 위험관리를 제공함으로써 융합환경의 보안사고를 사전에 차단 가능

전사적 위험 관리

(ERM)

융합 보안(Security Convergence)

융합환경의컴플라이언스 요구사항

융합환경의 보안 위험

IT 컴플라이언스 관점의융합환경의 새로운 정보보호 패러다임

60

융합환경의 IT 컴플라이언스 요구사항과 다양한 보안 위험에 맞서기

위해서는 전사적 위험 관리에 기반한 융합보안체계를 수립해야 함

방송 통신

유선

보안

무선

보안

IT非

IT

유선 무선

방송보안

통신보안

사이버보안

물리적보안

감사합니다.

IT 컴플라이언스 관점에서 본 융합 환경의 정보보호 패러다임