임종인 사이버 특별보좌관, 류제명 과기정통부 네트워크정책실장 등과 회원 100여명 참석
네이버 이진규 CISO, ‘개정 안전성 확보 조치 기준안’ 발표
[보안뉴스 이소미 기자] 한국CISO협의회(회장 이기주)가 개최한 제132차 CISO(Chief Information Security Officer, 정보보호최고책임자)포럼이 20일 서울 더 플라자 호텔 다이아몬드 홀에서 열렸다.
▲(왼쪽부터)한국 CISO협의회 이기주 회장, 임종인 사이버 특별보좌관, 과기정통부 류제명 네트워크정책실장, 네이버 이진규 CISO[사진=보안뉴스]
공공기관 및 기업의 CISO 약 100여명이 참석한 이날 행사에서는 개인정보 보호법 개정에 따른 ‘개정 안전성 확보 조치 기준안’을 공유했다. 이날 임종인 대통령 사이버 특별보좌관과 과학기술정보통신부(이하 과기정통부) 류제명 네트워크정책실장도 참석해 CISO들과 소통하는 시간을 가졌다.
한국CISO협의회 이기주 회장은 “청룡의 해를 맞이해 대한민국 공공기관과 기업에서 중추적인 역할을 담당하는 CISO들이 많아져 기쁘다”면서, “이번 특별강연에서는 개인정보보호법 개정에 따른 개인정보의 안전성 확보조치 기준에 대한 상세한 설명과 해석이 진행될 예정”이라며 강연에 대한 기대감을 드러냈다.
이어 과기정통부 류제명 네트워크정책실장은 “실무 현장에서 불철주야 애쓰시는 CISO들의 노고를 그 어느 때보다 체감하고 있다”면서, “사이버안보 대응 역량 강화를 위해 어느 한 사람이 아닌 모두가 힘을 합쳐야 하기에 ‘24시간 핫라인’으로 CISO들과 적극 소통해 나가겠다”고 밝혔다.
또한 임종인 대통령 사이버특보는 “이제 사이버 영역은 AI, 위성 등 공간 구분 없이 광범위하게 확대됐다”면서, “이로 인해 AI로 파생된 보안위협, 선거 개입 가능성 등으로 이어지며 점점 심각한 문제로 대두되고 있다”고 우려를 표했다. 이어 “사이버안보의 중요성이 더해진 만큼 각 기업 CISO들을 통한 현장의 목소리가 정책에 적극 반영될 수 있도록 ‘채널’ 역할을 해 나가겠다”고 각오를 밝혔다.
강연은 네이버의 이진규 CISO가 ‘개인정보의 안전성 확보조치 기준’을 주제로 개인정보 보호법 개정으로 놓치지 말아야 할 핵심 내용들을 전했다. 특히 올해 3월 초에 ‘개인정보보호법’ 관련 책자가 발간될 예정으로, 해당 책자의 핵심 내용을 요약하는 형태로 진행됐다. 이진규 CISO는 “개인정보 안전성 확보 조치는 개인정보보호위원회(이하 개인정보위)가 개인정보 보호법에 근거를 두고 ‘고시’ 했기 때문에 법령보충적 행정규칙으로 지키지 않으면 법률 위반으로 판단될 수 있다”면서, “최소한의 기준은 반드시 수행해야 하며, 그 이상 하지 않을 경우 문제가 생길 수 있다는 게 정부의 입장”이라고 전했다. 이어 고시에서 정하고 있지 않지만 사회 통념상 합리적인 보호조치를 다하지 않아 위법행위로 평가될 수 있는 사례들을 공유했다.
이어 ‘용어’에 대한 정의 변화도 유의해야 하는데, 이는 개인정보위에서도 기술 중립성에 있어서 상당히 유의미하게 개정된 부분으로 반드시 기존과 달라진 용어나 변경된 사항에 대해 정확히 숙지해야 한다고 강조했다. 변경된 정의 목록에는 △접속기록 △정보통신망 △모바일기기 △비밀번호 △인증정보 △내부망 △보조저장매체 등이 있다.
또한 이번 개정과 관련해 각 조항별 목표 달성을 위해 GDPR에서 요구하는 지속적인 개선활동을 증명해야 한다는 것도 설명했다. 여기서 GDPR의 ‘책임성 원칙’이 적용된 점을 특징으로 들었다. 여기서 말하는 책임성이란 ‘다큐멘테이션(Documentation)’을 의미하며 지속적인 개선활동에 따른 ‘문서상 기록’을 놓치면 안 된다는 것이다. 이는 새롭게 시행령에 들어간 내용 중 ‘내부 관리계획의 수립-시행-점검’ 단계에서 ‘점검’이라는 단어에 해당 원칙이 적용되는 것이라고 이진규 CISO는 설명했다.
그는 “공공기관에 적용되는 특례에 관한 사항이 시행되기까지 상당한 시간이 있으므로 이에 대해서는 차후 논의할 수 있는 기회가 있을 것”이라면서, “마지막으로 한 마디 덧붙인다면 민간의 정보보호 현장에서 쌓인 노하우를 내재화한 역량 있는 CISO들이 공공에도 기여할 수 있는 기회가 열렸으면 하는 바람”이라고 전했다.
▲제132차 CISO포럼 현장 모습[사진=보안뉴스]
한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>