데이터 3법 주요 쟁점과 언택트 시대 보안 고려사항 논의
과기정통부, 미국 정부의 ‘북한 사이버 위협 주의보’ 발령사항 공유
[보안뉴스 원병철 기자] 우리나라 공공기관, 기업의 정보보호최고책임자(CISO)들의 모임인 ‘한국CISO협의회(회장 이기주)’가 5월 19일 서울 프라자호텔에서 ‘한국CISO협의회 제101차 포럼’을 열고 최근 뜨거운 감자로 떠오른 ‘데이터 3법 시행령’과 ‘언택트 시대의 보안 고려사항’을 논의했다.
▲한국CISO협의회 제101차 포럼[사진=보안뉴스]
지난 2월 19일 ‘제100차 포럼’ 이후 약 3개월 만에 개최된 ‘제101차 포럼’은 약 60여명의 회원들이 모였다. 사회를 맡은 최소영 한국CISO협의회 사무총장은 “세달 만에 만나게 되어 너무 반갑다”면서, “코로나19로 인해 포럼을 개최하지 못했는데도, 그간 11개 정회원사와 7개 준회원사 등 총 18개의 회원사가 새로 가입했다”고 설명했다.
▲인사말을 하는 이기주 한국CISO협의회 회장[사진=보안뉴스]
이기주 한국CISO협의회 회장 역시 인사말을 통해 “회장으로 취임하고 다양한 활동을 하려고 했는데, 코로나19 때문에 너무 오랜만에 만나게 됐다”면서, “우리 협의회는 지난 3개월 동안 회의장소인 리더스홀을 만드는 등 회원사를 위한 활동을 꾸준하게 했다”고 말했다. “리더스홀은 협의회 소규모 모임을 개최하거나 회원사에서 필요할 때 사용하실 수 있습니다. 앞으로도 우리 협의회는 회원사를 위한 노력을 지속하겠습니다.”
▲데이터 3법의 주요 쟁점을 설명한 이인환 김앤장법률사무소 변호사[사진=보안뉴스]
이날 첫 번째 강연은 김앤장 법률사무소의 이인환 변호사가 ‘개정 데이터 3법의 주요 쟁점’을 주제로 진행했다. 이인환 변호사는 “데이터 3법이 통과되고 시행령도 입법예고를 마쳤지만 아직도 쟁점이 남아 있다”면서, “오늘은 법 시행을 앞두고 논의되고 있는 점들을 함께 알아보고자 한다”고 설명했다.
이인환 변호사는 데이터 3법 개정은 크게 세 가지 변화가 있다고 강조했다. 첫 번째는 가명정보의 등장이고, 두 번째는 개인정보보호법과 신용정보법의 변화, 세 번째는 개인정보보호위원회의 위상 변화다.
가명정보는 이번 개인정보보호법 시행령에서 가장 중요한 개념으로 ‘가명처리를 함으로써 원래 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아볼 수 없는 정보’라고 할 수 있다. 특히, 가명정보는 ‘통계작성, 과학적 연구, 공익적 기록보존을 위해 정보주체의 동의 없이 처리할 수 있다’고 나와 있는데, 여기서 과학적 연구가 바로 쟁점의 대상이다.
현재까지 정부의 입장을 보면, 과학적 연구는 순수한 연구뿐만 아니라 산업적 연구까지 포함하는 개념으로 설명되는데, 이는 행정안전부의 개인정보보호법 개정안 보도자료(2020년 1월 9일)나 과학기술정보통신부의 보도자료(1월 9일)에서 언급한 ‘산업적 목적의 연구’나 ‘새로운 기술·제품·서비스 개발, 시장조사’ 등의 예를 보면 이해할 수 있다.
문제는 과학적 연구에 대한 정의가 명확하지 않아 향후 문제의 소지가 될 수 있다는 점이다. 게다가 가명정보와 관련해 개정된 개인정보보호법은 ‘과학적 연구’라고 표기했지만, 신용정보법 개정안은 ‘산업적 연구’를 표기함으로써 법령별로 표기가 다른 문제가 있다는 게 이 변호사의 설명이다.
또 다른 문제 중 하나는 이번 시행령에서 나온 개인정보 추가 이용의 ‘상당한 관련성’ 항목이다. 이인환 변호사는 “시행령은 원래 법을 시행할 때 필요한 세부규정을 말하는 것인데, 이번 시행령은 법보다 더 엄격하다”고 지적하면서, “개인정보의 추가 이용만 해도 법에서는 합리적 관련성이 있어야 한다고 했던 것이 시행령에서는 상당한 관련성으로 바뀌면서 더 엄격해졌다고 할 수 있다”고 설명했다.
▲언택트 시대의 보안 고려사항을 설명한 황민주 한국MS 이사[사진=보안뉴스]
두 번째 강연은 ‘언택트 시대의 보안 고려사항’이라는 제목으로 황민주 한국마이크로소프트 이사가 진행했다. 황민주 이사는 “언택트와 관련된 키워드는 사실 새로 생긴 것이 아닌 과거에 존재하던 것들이 언택트로 인해 가속화되고 있는 것”이라면서, “이는 결국 일하는 방식의 변화를 불러온다”고 설명했다.
“한 통신기업을 대상으로 한 재택근무 만족도 조사에서 64%가 사무실 근무보다 효율적이거나 유사한 수준이라고 답했으며, 34%는 불편하지만 감내할 수준이라고 답했습니다. 응답자의 98%가 재택근무가 충분히 할만하다고 답변한 것이죠.”
이처럼 언택트나 재택근무는 이제 피할 수 없는 환경의 변화가 됐지만 그에 따른 보안위협도 현실화됐다. 황민주 이사는 “코로나19 사태 이후 화상회의 솔루션으로 잘 알려진 줌의 주가는 엄청나게 뛰었다”고 설명한 뒤, “지금은 어느 정도 회복됐지만 4월 말 갑작스레 주가가 떨어진 적이 있었는데, 이때가 줌의 보안 이슈가 불거진 때”라고 말했다.
특히, 황민주 이사는 기업이 재택근무를 시행할 때 기업의 주요 데이터 보호에 초점을 맞춰야 한다고 조언했다. MS를 예로 들면, 재택근무시 접근제어 정책이 있다. 예를 들어 개인 스마트폰이나 노트북을 사용해 쉐어 포인트에 접속할 경우 MDM을 통해 회사의 자원으로 인증을 받는다는 것. 대신 데이터에 자유롭게 접속해 업무를 볼 수 있다.
“옛 중화권에서는 길을 만드는 자 흥하고, 성을 만드는 자 망한다라는 말이 있습니다. 일하는 방식의 변화는 결국 기업 경쟁력의 중요한 요소가 될 것입니다. 우리는 이러한 변화에 맞춰 안전하고 편리하게 활용할 수 있는 방법을 찾는 것이 필요합니다.”
▲미국의 북한 사이버 위협 주의보를 설명한 윤승용 과기정통부 사무관[사진=보안뉴스]
한편, 이날 과기정통부는 미국 정부가 지난 4월 15일 북한 사이버 위협에 대한 국제사회, 관련 업계 및 일반 대중의 인식 제고를 위한 ‘북한 사이버 위협 주의보(DPRK Cyber Treat Advisory)’ 발령사항을 우리 국민과 기업의 피해 예방 차원에서 발표했다.
윤승용 과기정통부 사무관은 “미국은 최근 북한의 사이버 전문가들이 금융기관과 디지털화폐 거래소를 대상으로 한 금전탈취와 외국 언론사를 대상으로 정치적 목적의 공격 등을 수행하고 있다고 지적했다”면서, “이미 미국은 소니픽처스 해킹과 방글라데시 중앙은행 해킹, 워너크라이 랜섬웨어 공격과 ATM 해킹을 통한 현금탈취 등을 북한의 소행으로 지목한 바 있다”고 설명했다. 아울러 윤 사무관은 북한 사이버 활동을 감지한 경우 사법당국에 신고해야 한다면서, 특히 미국이 북한과 관련해 사이버 안보 저해행위에 관여할 경우 강력한 제재를 받을 수 있다고 경고했다는 점을 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>