2016년 정보보안과 개인정보보호 어떤 정책 시행될까?

오랜만에 블로그에 글 정리해 봅니다. 방문자가 그리 많지 않은 블로그지만 하나의 주제를 가지고 정리해 볼수 있는 수단으로는 블로그만큼 좋은 도구가 없기 때문에 기록하여 정리합니다. 중앙행정기관의 2016년도 개인정보보호에 대한 정책은 어떻게 준비하고 있는지 최근 개인정보보호위원회 심의.의결된 내용을 바탕으로 합니다. 관심 있는 분들 참고 해 보세요. -운영자 올림.

*추가 - 포스팅하고 비공개로 두었다가 최근 이슈를 반영하다보니 조금은 글 내용의 범위가 넓어졌음을 이해해 주길 바랍니다. 

들어가는말

대한민국은 법치국가이다. 법을 준수해야 하고, 법의 테두리 안에서 모든 국민의 자유는 보장이 된다. 법의 질서를 지켜야 하고 법이 바로 서야 국가 질서도 바로 선다. 이는 이제 보안분야까지 폭 넓게 적용되게 되었다. 과거에는 방화벽 하나면 보호할 수 있는 시스템이나 네트워크였다. 그러나 지금은 복잡성과 새로운 기술, 새로운 서비스의 출현으로 하나의 솔루션으로는 어림도 없다. 이러한 복잡한 ICT분야에서 주먹구구식의 관리는 이미 옛날 이야기가 되어 버렸고, 체계적인 관리의 필요성이 대두되었다. 이제 ICT는 산업 전반에 걸쳐 기반 산업이 되어 버렸고, 사물인터넷(IoT)이 미래 성장동력으로 떠 오르면서 S/W의 중요성도 더 가시화 되었다. 이런측면에서 서비스의 도입기 , 성장기, 성숙기를 지나면 역기능이 발생하게 되고 이는 보호(지켜)해야하는 보안관점으로 접근할 수 밖에 없는 구조적인 형태로 흘러간다. 또한 개발단계나 시스템 신규 구축,변경시 보안을 반영하여 설계하고 구축 운영해야 한다. 

혹자는 기업(기관)의 정보보호는 중요하지 않고, 개인정보만 중요 하냐고 반문하는 사람들이 있겠지만 기업(기관)정보보호도 역시 중요하다. 여기에는 한가지 배경지식을 이해할 필요성이 있다. 기업(기관)의 정보보호는 보호해야 할 자산이 기업(기관)이 소유하는 자산이고, 개인정보보호는 보호해야할 주체가 기업(기관)의 자산이 아닌 정보주체 또는 정보통신서비스 이용자의 개인의 정보라는 것이다. 이런 관점에서 본다면 보호 해야할 대상이 개인의 정보로 유출시 그 파급 효과가 더 크다는 것이다. 이는 손해배상제도에서 정보주체의 수 만큼 손해배상을 해야 하기 때문에 금액은 기하급수적으로 높아지기 때문이고 한번 유출되면 대량유출되는 개인정보는 반드시 보호 해야할 법적 의무사항이라는 점이다.국민의 의식수준 향상도 한몫을 한다. 자신의 권리 주장을 하는 채널(SNS등)이 많아졌고 여론 형성으로 이어진다. 유사한 사항이라도 그 당시 여론과 시기등을 고려하여 처벌 수위도 달라진다.

또한, 대한민국의 국민식별체계인 주민등록번호는 유니크한 식별 번호로 한번 유출되고 나면 악용될 소지가 많고, 모든 행정업무가 주민등록번호로 이용.활용되는 경우가 많아 규제는 불가피하게 되었다. 물론, 주민등록번호를 없애고 다른 식별체계를 만들자는 여론이 형성되긴 하지만 쉽지 않아 보인다. 수십년을 사용해 오던 국민식별체계를 변경한다는 것은 말처럼 그리 쉬운일이 아니기 때문이다. 어쨌거나 대안 마련은 필요해 보인다. 

2016년도 정보보안 및 개인정보보호 관련 정부의 중앙행정기관의 계획을 심의.의결한 개인정보보호위원회의 결정을 정리해 보고자 한다. 

1. 법적근거

개인정보보호법 제 10조 , 동법 시행령 제12조 

제10조(시행계획) ① 중앙행정기관의 장은 기본계획에 따라 매년 개인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고, 보호위원회의 심의·의결을 거쳐 시행하여야 한다.

② 시행계획의 수립·시행에 필요한 사항은 대통령령으로 정한다.

2. 특징

2016년도에는 대표적으로 점검해야 할 사항은 다음과 같은 사항이 있음. 지금부터 신경써서 준비해야 함. 

• 주민등록번호 저장시 암호화 의무(2016.1.1)                                                                         - 주민등록번호 100만명 미만(2016.12.31까지 완료, 100만명이상은 2017.12.31일까지 완료
• 개인정보보호법 제24조2 제2항 각호에 해당되지 않는 사항 주민번호 삭제 (2016.8.6. 限)
• 개인정보보호법 시행 이전에 구축, 운영중이던 개인정보처리시스템 영향평가 시행 (2016.限)
• 클라우드 컴퓨팅 발전법 시행 (2015.9)
• 개정된 개인정보보호 기술적,관리적보호조치 기준 고시 시행 (2015.5.18, 방통위고시)

3. 과제별 주요 내용중 눈여겨 볼 사항 

• 잊힐 권리를 위한 정보통신망법 개정 - 스마트폰과 인터넷이 일상화 된 지금 온라인상에 많은 흔적을 남기게 되지만 이에 못지 않게 흔적을 지우고자 하는 권리도 있음. 우리나라도 잊혀질 권리에 대한 논의가 본격화 예상.       
• 클라우드 발전법 시행 - 2015년9월에 클라우드 발전법이 시행이 됨. 모든 서비스들이 그렇듯이 초기에는 서비스 활성화에 신경을 쓰지만 결국 일정한 시간이 지나면 클라우드상의 저작권문제, 보안문제가 대두됨. 이에 따른 대응책 마련이 필요할 것임. 관련기사 : ('클라우드 컴퓨팅 발전법 이용자 보호수준 재논의') 를 보면 "시행령에 따르면 서비스 중단기간이 연속해서 10분 이상이면 서비스제공자는 이를 이용자에 알려야 한다. 24시간 이내 서비스가 2회 이상 중단된 기간이 15분이 넘어도 사실을 공개한다. 사고내용·사고원인·피해확산방지 조치 현황·예방 방법 등이 공개 대상이다. 공개 의무를 위반하면 300만원 과태료가 부과된다". 보안에 대한 문제도 당연히 대두됨.                                                                                                                                 
• 영상정보처리기기 관련 법령정비 및 운영강화 - 영상정보처리기기(CCTV)에 대한 개인영상정보 법령 및 운영실태등에 대한 강화 예정. 최근 범죄 및 시설,화재 예방등으로 다양한 곳에서 CCTV등이 이용.활용되고 있지만 오.남용에 대한 대책 마련도 필요해 보임                                                                                       
• 전담인력 확충 및 교육역량 강화 - 일선 공공기관과 기업에 근무하는 개인정보 담당자의 부담은 점점 증가하기만 하고 있음. 이런 추세라고 한다면  개인정보 업무 담당을 기피 하는 업무가 되어버림. 이미 현장에서는 나타나고 있으며, 어쩔수 없이 하는 업무다보니 만족도가 떨어질수 밖에 없음. 이에 대한 근본적인 대책이 강구 되어야 하는데 아마도 가장 중요한 핵심사안이라 생각됨. 담당자 인센티브나 승진시 가점등을 고려해 볼 필요가 있음. 현재는 채찍만 있지 당근이 없다는것이 맹점임. 무조건적인 지시와 법적 규제만 강제하다보면 또 다른 역기능 발생 가능성 있음. 형식적인 교육이 아닌 실질적인 교육을 위한 환경 조성 필요. 정보보호 유능한 인재를 육성한다는 것보다는 실질적인 안정적인 고용형태나 그에 따른 보상이 현실화되면 우수한 인력은 자연스럽게 모이게 마련임.                                                                                                                             
• 개인정보 자기결정권 강화 - 지금까지 개인정보처리자 , 정보통신서비스 이용자측면에서 강조한 측면이 있다면 이제는 정보주체, 정보통신서비스이용자의 개인정보자기결정권을 강화하는 측면에서의 접근이 필요함. 개인정보 자기결정권을 행사하는 것이 마치 '진상'처럼 취급 되어서는 안됨. 단, 정보주체의 권리주장의 정당성 범위를 넘어 악용하거나 법의 테두리를 벗어난 부분에 대해서는 단호하게 대처할 필요가 있음.

• IoT 보안 로드맵 - 사물인터넷 정보보호로드맵 3개년 시행계획.pdf  최근 사물인터넷에 대한 미래성장동력으로 보고 따로 보안로드맵을 미래부에서 수립하고 있음. 자세한 내용은 링크한 자료를 참고 바람.

4. 주먹구구식은 가라, 이제는 체계적으로 관리해야 할때

기업(기관) 정보보호나 개인정보보호도 이제는 체계적인 관리가 필요한 시점이 되었다. 정부는 보안의 체계적인 관리를 위하여 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호 인증(PIPL)제도를 시행하고 있다. 정보보호관리체계(ISMS)는 의무화 시행되고 있고, 후자 개인정보보호관련 제도는 현재 권고사항으로 의무제도는 아니다. 하지만 곧 의무화 될 것으로 예상한다. 

4.1 정보보호관리체계(ISMS) 확대적용

정보통신망법 개정('13.2.18)으로 정보보호관리체계 인증을 의무화 시행하고 있다. 법적근거 기준을 마련하였고, 다음 해당 되는 사업자는 의무적으로 인증을 받아야 한다. 

대상기준	세부분류(정보통신서비스제공자)
전기통신사업법의 전기통신사업자로 전국적으로 통신망서비스를 제공하는 사업자 (ISP)	-인터넷 접속서비스  -인터넷 전화서비스	서울 및 모든 광역시에서 서비스제공
타인의 정보통신서비스 제공을 위하여 집적된 정보통신 시설은 운영관리하는 사업자(IDC)	-서버호스팅,코로케이션 서비스	정보통신서비스부분 전년도 매출 100억 이하인 영세 VIDC는 제외
정보통신서비스 매출액 100억 또는 이용자수 100만명 이상인 사업자 (정보통신 서비스제공자)	-인터넷 쇼핑몰, 포털,게임	정보통신서비스 전년도 매출액 100억 또는 이용자수 전년도 말 기준 전 3개월 일일 평균 이용자수 100만명 이상인 사업자

※ 의무 대상자 미인증시 1000만원 이하의 과태료 

초기 한국인터넷진흥원(KISA)이 인증기관이자 심사기관으로 역할을 하다보니 늘어나는 대상을 심사하기에 시간이 오래걸린다는 단점이 있었다. 년초에 분산되어 신청하면 특별한 문제가 없지만 대부분 연말등에 집중되는 겨경향이 있어 한꺼번에 인증심사를 소화해 내는데에는 한계가 있었다. 시장의 요구에 따라 한국정보통신진흥협회 (KAIT,14.4월지정), 한국정보통신기술협회 (TTA,15.2월지정) 두개 심사기관이 지정이 되고 , 최근 금융관련하여 새로운 심사기관을 지정하기 위해 공모를 하고 있다. F-ISMS에 대하여 설왕설래가 많았지만 가시화 되는 듯 보여진다. 이는 아래 자료가 뒷받침해 준다.

                                       <그림출처: isms.kisa.or.kr.  isms 사업추진현황 자료>

여기서 보면 ISMS인증심사분야를 확대적용하여 금융과 공공으로 확대하고 있다는 사실이다. 보안에서 가장 많은 예산과 인력 그리고 적용범위가 넓은 곳이 바로 금융과 공공이다. F-ISMS가 시행 될 수 있는 분위기가 마련이 되고, 공공부분의 분위기는 최근 인증 심사 하기 위한 심사원 모집 현황을 살펴 보면 바로 알 수 있다. 

심사기관	심사위치	심사기간
인천광역시청	인천 남동구	2015-6-22(월)~2015-6-24(수) (총3일)
대구광역시청	대구 중구	2015-6-24(수)~2015-6-26(금) (총3일)
중앙선거관리위원회	서울 관악구	2015-6-17(수)~2015-6-19(금) (총3일)
제주시청	제주도 제주시	2015-6-8(월)~2015-6-11(목) (총4일)

                          [표-1] 출처: isms.kisa.or.kr,  심사참여 안내 재구성

이미 시,도 광역시나 일부 지자체(구청)에서 정보보호관리체계에 대하여 진행이 되고 있다. 이는 기존에 G-ISMS가 ISMS로 통합되면서 시범 사업으로 진행한 지자체도 있지만 추가로 진행하는 공공기관도 점점 늘어나고 있는 추세로 전망이 된다. 공공기관의 경우 타 기관이 인증 받으면 우리 기관도 받아야 하는 경쟁적 심리가 있어 (사실은 담당자 업무 역할을 다하기 위해) 너도 나도 앞 다투어 진행이 예정된다. 또한 이는 교육,의료,금융등으로 확대 적용될 예정으로 되어 있어 공공기관 ISMS 의무 확대 시행도 예측해 볼 수 있다. 당연한 수순 아니겠는가? 

혹자는 우리나라는 인증 너무 좋아하는 경향이 있다고 하고, 실효성 측면에서 굳이 받아야만 하는가?에 의문을 제시하는 사람도 있다. 그러나 필자의 생각은 다르다. 현장을 다녀보면 대기업을 제외하고는 체계적인 보안을 하는 곳은 그다지 많지 않다는 사실을 바로 알 수 있다. 또한, 겉으로 보기엔 거대한 기업이나 기관이라 하더라도 보안업무를 하는 조직이나 팀이 없거나 아주 소수에 불과하다. 어쩌다 팀을 구성한다고 해도 1-2명이 고작이며 IT 대부분 전담하여 모든 일을 하다보니 업무때문에 번아웃(Burn Out) 되어 버리는 경우가 비일비재하다. 아무리 유능한 보안전문가라 하더라도 혼자서 모든 것을 처리 할 수는 없는 것이다. 

또한, 인증을 받는다고 해서 보안을 100% 안전을 담보하는 것도 아니다. 인증은 최소한 지켜야 할 보안 체크리스트를 외부 인증심사원들이 현장 실사를 통해 심사를 하고 결함사항을 도출해 내는 과정이다. 심사원 자질문제도 지적이 있어 인증 심사원 자격증 제도도 시행 예정이다. 앞으로 그 품질이 점점 높아지고 영역도 확대 적용되리라 생각된다. 

최근에는 정보보호인증심사원 협회도 구성도 되었으니 협회 활동도 기대해 본다. 

4.2 그렇다면 개인정보관리체계는 의무화 되지 않을까? 

앞서 기업 정보자산의 보호와 개인의 정보의 주체 대상에 대하여 살펴 보았다. 그 출발점이 다른만큼 개인정보보호에 대한 프라이버시 문제는 끊임없이 논쟁의 대상이 될 것이다. 개인정보보호법은 대한민국 헌법 제 17조에서 출발한다. 

제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다.

개인정보보호법이 시행된지 햇수로 5년이 되고 있다. 아직도 여러가지 애로사항과 인식 정착에는 시간이 다소 걸리지만 정보주체로서 자기결정권을 행사하는 권리강화는 점점 커질것으로 전망이 된다. 이는 법적분쟁을 가져오고, 법률마켓에 새로운 블로오션으로 떠 오르고 있다. ICT가 산업전반에 근간을 두다보니 법정 분쟁이나 소송으로 많이 이어지고 있기 때문이다. 며칠전 한 법률관련 미디어에서는 '클라우드 컴퓨팅 발전법'에 대하여 메인 기획 기사로 다룬적이 있다. 

보안분야도 이제는 법과 제도, 기술이 거미줄처럼 엮이게 되어 보호조치에 대한 우선순위를 가지게 된다. 이는 반드시 대응해야 하는 컴플라이언스 문제로 접근하게 된다. 반드시 준수해야 할 법적조치가 업무로 연결된다. 그런에 이런 일련의 업무 내용을 일일이 주먹구구식으로 급한것부터 처리하다보면 정작중요한 부분을 놓치는 경우가 많다. 현장에서 인터뷰하면서 느낀 사례를 들어보자.

사례)  담당자는 말한다. "우리 조직에서는 개인정보보호에 대하여 어느정도 업무처리에 대응을 하고 있으며, 컴플라이언스도 성실히 대응하고 있습니다." 그러나 정작 개인정보 파일이 몇개인지에 대한 질문에 대해선 함구한다. 물론 수량을 말할 수 있지만 누락하여 관리하고 있다는 느낌이 많다. 이 부분만 보더라도 개인정보 파일관리가 되지 않으면 , 어떤 것이 개인정보이고 어떤 것이 개인정보가 아닌지 구분이 되지 않는다. 원인은 체계적인 관리보다는 주먹구구식으로 관리하고 있기 때문이다.의외로 개인정보파일을 정화히 현행화 한 조직이 적다는 사실이다.

체계적인 관리를 위해 PIMS와 PIPL이 시행이 되고 있다. 조직이 적용받고 있는 법에 따라 체계적으로 관리하고 있는지를 인증받게 된다. 두 제도가 유사한 부분도 있어 통합된다는 목소리도 있지만 쉽지 않아 보인다. 관리하는 정부기관과 적용하고 있는 법이 상이하기 때문이다. 

5. 최근 눈여겨 봐야 할 ICT관련 정책 및 정보보안 관련 정책

                                                   <출처: 미래부 홈페이지 >

                       다운로드->  K-ICT 전략 발표자료 : http://www.msip.go.kr/include/K-ICT.pdf 

미래부에서는 K-ICT 전략을 발표하였다. 이는 앞으로 ICT 산업에 전체적인 큰 그림을 그리는 전략으로 관련 업무에 종사하는 사람들은 잘 살펴 볼 필요가 있다.

5.1  정보보호 특성화 대학 발표

(서울=연합뉴스) 정성호 기자 = 미래창조과학부와 한국인터넷진흥원은 11일 서울여대에서 2015년도 정보보호 특성화대학으로 선정된 서울여대 및 고려대, 아주대와 협약식을 가졌다. 정보보호 특성화대학은 그동안의 이론 중심 교육에서 탈피해 기업과 연계한 실무형 교육을 통해 최고의 보안인재를 양성하기 위한 프로그램이다.  정보보호를 창조경제의 먹거리 산업으로 키우자는 'K-ICT 시큐리티 발전전략'의 중점 추진과제으로 이번에 처음 대상 학교가 선정됐다.  출처: http://www.yonhapnews.co.kr/bulletin/2015/06/11/0200000000AKR20150611065900017.HTML?input=1195m

이들 3개 대학에는 앞으로 4년간 연간 5억원씩 지원이 된다. 국내 대표적인 정보보호를 전공으로 하는 대학이 선정이 되었다. 특히 특정대학은 이미 정보보호 특성화 대학으로 이미 학부도 자리매김하고 있어 대부분의 정보보호 관련 인력의 블랙홀이 되고 있다. 늘 그렇듯이 한쪽 쏠림 현상은 늘 경계해야만 한다. 한가지 아쉬운 점은 수도권 중심으로 선정이 되었다는 것이 아쉽다. 정보보호 특성화 대학 추가 계획을 보면 7개대학까지 늘린다고 하니 지역거점도 골고루 분포되어 다양한 곳에서 진행되었으면 하는 바램이다. 이를 위해서는 꾸준히 각 대학에서 정보보호 관련 커리큘럼 및 교수진을 확보하고 준비를 해야만 한다.

마무리

개인정보 오.남용 및 유,노출은 지속적으로 반복되고 있으며 이는 제2차 3차 악용하여 피해자를 발생시키고 있다. 특히 개인의 정보를 이용하여 사익을 추구하는 기업이나 공익을 목적으로 이용되는 개인의 정보가 오.남용을 하여 피해자가 발생되는 기관에게는 강력한 법적 조치를 취할 필요가 있음. 법적 규제는 최후의 수단이며 가능하면 소중한 자신의 정보처럼 다루어야 하는 문화적 인식이 이루어져야 함. 하지만 법이 있다고 범죄가 사라지지 않듯이 새로운 기술로 새로운 서비스 , 개인을 대상으로 한다면 개인정보 유출은 앞으로도 지속적으로 일어날 것임. 이에 대해서는 단호한 대처가 필요해 보이고, 징벌적 손해를 적용하여 이제는 중요한 정보 데이터의 보호적인 측면의 중요성도 보편화 되어야 함. 아무튼 정보보호 이슈는 앞으로 점점 더 가시화 될 것으로 예상된다. 관련하여 업무하는 정부 정책 담당자, 정보보호전문업체 담당자, 각 조직의 담당자, 대학 모두 화이팅하고 힘내었으면 한다. 

*추가사항 

- 부처별 상이로 기업에게 혼란을 주었던 개인정보 인증체계가 PIMS로 통합, 86개항목, 4개등급으로 분류 -> 클릭

[참고문헌 및 사이트] 

1. 개인정보보호위원회 심의 의결 자료 , 의안번호 2015-8-13호

2. 클라우드 컴퓨팅 발전법 관련 기사 , 전자신문, 2015.5.25

3. 정보보호관리체계 설명회 발표 자료 , 2015. KISA

4. 금융보안원, F-ISMS, 핀테크 보안검증 맡는다., 2015,4,24, 디지털데일리

5. 정보보호관리체계 자료실, isms.kisa.or.kr 

6. 이르면 9월 정보보호관리체계 인증심사원 자격증 제도 시행, 보안뉴스, 2015.4.7

7. 미래부 "사물인터넷 정보보호 로드맵 3년 계획". 2015.

8. 정보보호 특성화 대학 관련 뉴스 "고려대·서울여대·아주대, 정보보호 특성화대학 선정" 연합뉴스 2015.6.11