아래의 내용은 제가 세미나를 들으면서 정리한 내용입니다. ‘한국데이터베이스진흥원’에서 주최했기 때문에 DB보안에 포커스를 맞추어 진행되었습니다.
세미나 내용을 옮긴 부분도 있고 조금 유연하게 표현한 부분도 있고, 요약한부분도 있습니다. 나름 열심히 옮겨 적으며 객관적으로 내용을 옮기려고 노력했습니다. 다만, 정확하게 옮기지 못한 부분도 있을 수 있으니 이를 염두해주시기를 바랍니다.
정확한 내용의 확인은 ‘데이터베이스 보안 가이드라인’과 자료를 참고해 주세요.
> 앞으로 DB보안은 강화될 것이다.
> 기업은 보안 사건 사고가 터질 경우, 보안에충실했음을 증명해야 한다.
> 어떻게 증명할 것인가? 하나의 방법- 암호화(해외의 판례에 비추어 보면 암호화로 인해 보안의 노력을 인정받은 사례가 있다)- 다른 방법이 있겠지만 DB보안의 관점에서....
> 현재 시장의 암호화 솔루션은 기업들의 요구조건을 맞추지 못하는 부분이 있어, 암호화는 1년유예 시켰음.
> 개인 정보를 사용 목적 이외의 사용은 금한다.
> 개인 정보를 전송해야 할 경우는 암호화를 반드시 해야 한다.
들어가는 말
올해 사고가 많이 일어나서 보안에 대한 많은 관심이 생겼습니다. 또한최근 선관위 DDos로 인해 보안 분야의 많은 이슈가 있습니다. 또한보안이라고 말하면 네트웍크나 시스템 차원에서 많이 다루어진 것이 사실입니다. 다만 사건 사고로 인해앞으로 DB보안에 대한 관심이 많아졌습니다. …
해외 사례
미국에서 항공 분야가 해킹을 당한 흔적이 보여집니다. 최근의 이란비행기가 격추당했다고 이야기하지만 이란에서 정보를 입수하여 무사히 착륙했다는 의혹도 있습니다.
또한 어노미너스라는 해킹 그룹은 금융 분야를 해킹해서 가난한 사람들에게 돈을 나누어주겠다는 이야기를 공공연히하고 있습니다. 이에 따른 금융분야의 앞으로의 보안에 대한 이슈가점점 더 강화될 것입니다.
국내보안실태
지금까지는 보안과 관련된 다양한 개별법으로 정보보호가 이루어져 왔습니다. 그래서보안에 대한 사각지대가 있었다고 생각됩니다. 하지만 앞으로는 개인 정보 보호법의 시행으로 이러한 사각지대는없어질 것입니다. 기존의 정보 보호법에 따르면 대상이 50만개 업체였지만 앞으로는 대상업체가 350만개업체로 늘어날 것입니다. (보안시장의 확대로 생각할 수도 있겠습니다.)
우리나라는 국제화 시대에 있어 보안분야에 있어서는 후진국으로 차별이 있었다고 생각됩니다. 왜냐하면 해외의 선진국들은 개인정보보호법으로 인해 정보 보호가 법적으로 잘 이루어지고 있었습니다. 하지만 우리나라는 이런 정확한 법이 없었지만 이제 개인정보보호법으로 인해 이런 차별이 해소될 것입니다.
암호화에 관련된 내용
암호화 조치는 1년 정도 유예화를 시켰습니다. 현재 시장에서는 많은솔루션이 있지만 암호화 솔루션에 대한 불만족스러운 부분이 있기에 이를 1년 정도 유예시켰습니다. 앞으로도 법의 시행에 있어 이런 상황을 고려해서 결정을 집행할 것입니다.
개인 정보 보호법에 담긴 내용
OECD에서만든 8원칙
> 1. 수집제한의 법칙
> 2. 정보정확성의 원칙
> 3. 목적 명확화 원칙
> 4. 이용 제한의 원칙
> 5. 안전 보호의 원칙
> 6. 공개의 원칙
> 7. 개인참가의 원칙
> 8. 책임의 원칙
위의 8가지를 기준으로 개인 정보 보호법을 만들었습니다.
기업에 관한 내용
앞으로 기업에서는 보안 사건 사고가발생했을 경우, 최소한의 보안을 하고 있었음을 증명해야 할 것입니다. 이를 증명하지 못하면 사업자가 패소하게 될 것입니다.
최근의 판결을 보면 SK브로드밴드는1명당 10~20만원을 보상하라는 판결을 받은 사례가 있습니다.
http://news.hankooki.com/lpage/society/201108/h2011082618015721950.htm
(이 부분은 뉴스 기사를 참고합니다.)
뉴스 요약 : 3749명이 낸 6건의소송에서 1인당 10만~20만원을지급하라. 판결이 확장되면 물어야 할 보상금은 6억6,200여만원이다.(이 부분은 세미나 내용을 제가 검색으로 확인해 본 것입니다.)
만약 적은 인원이었지만 피해 인원이 늘어나게 된다면 기업은 많은 금액을 보상해야 할 것입니다.
개인 정보 보호법
개인 정보 보호법은 총 9장으로 구성되어 있습니다.
<개인정보호법 구성체계>(KDB한국데이터베이스 진흥원,세미나 자료참조)
|
장 |
제목 |
내용 |
|
1 |
총칙 |
목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 |
|
2 |
개인정보보호정책의 수립 |
개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등 |
|
3 |
개인정보의 처리 |
수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등 |
|
4 |
개인정보의 안전한 관리 |
안전조치의무, 개인정보파일 등록·공개, 개인정보영향평가, 유출통지제도 등 |
|
5 |
정보주체의 권리보장 |
열람 요구권, 정정·삭제 요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임등 |
|
6 |
개인정보 분쟁 조정 위원회 |
분쟁조정위원회 설치·구성, 분쟁조정의 선정방법·절차, 효력, 집단분쟁조정제도 등 |
|
7 |
개인 정보 단체소송 |
단체 소송 대상, 소송허가요건, 확정판결의 효력등 |
|
8 |
보칙 |
적용제외, 금지행위, 침해사실 신고, 시정조치 등 |
|
9 |
별칙 |
벌칙, 과태료 및 양벌규정 등 |
사업자들에게 중요한 것은 3,4,5장이 될 것입니다.
기업 사례 : 넥슨의 경우 이상 징후가 발생된 이후에 일주일이 지난후에 보고가 이루어졌습니다. 앞으로 법의 원칙에 따르면 인지한 즉시 공지해야 합니다.
기업은 정보 보호를 했다는 것을 증명해야 합니다.
‘어떻게 증명할 수 있을까?’
가. 사건 사고가 발생했을 때, 기업은 현재 계속적으로정보를 수집하고 있음을 증명할 수 있어야 한다.
나. 5인에서 50인의사업체는 개인정보 책임자를 임명하면 된다.
다. 50인 이상의 사업자는 회사의 내부 관리 계획을수립해야 하고 CSO를 반드시 만들어야 한다. 그리고 자산 2조 이상의 금융기관에 대해서는 CSO를 반드시 임원급으로 만들어야한다.
원청자의 책임 강화
하청업체가 보안이 뚫리면 원청업자가 책임~
해외의 판례 언급
해외에서 보안 사건 사고가 일어났을 때, 업체들이 암호화를 제대로 했을 경우 면책을 시켜주었다.
이상입니다. 그럼 도움이 되셨기를 바라며 저는 실례하겠습니다.
