한국CISO협의회, 제138차 CISO 포럼 개최...공공기관 및 기업 CISO들 100여명 자리 빛내
웨일앤썬 김진환 변호사, ‘최근 개인정보보호위원회의 주요 정책 및 처분 동향과 시사점’ 강연
잼 소프트웨어 최명훈 이사, ‘CISO의 관점에서 바라본 Apple 플랫폼의 미래 업무 환경 혁신’ 발표

[보안뉴스 김영명 기자] 한국CISO협의회(회장 이기주)는 9월 24일 더 플라자 호텔 서울에서 제138차 CISO포럼을 개최했다. 이날 행사에는 임종인 대통령 사이버특별보좌관, 윤오준 국정원 3차장, 신용석 사이버안보비서관, 김남철 과기정통부 정보보호네트워크정책관, 김정삼 중앙전파관리소장, 과기정통부 사이버침해대응과 최광기 과장 등을 비롯한 정부 및 공공기관과 기업에서 100여명의 CISO가 참석한 가운데 법률사무소 웨일앤썬 김진환 변호사가 ‘최근 개인정보보호위원회의 주요 정책 및 처분 동향과 시사점’을, 이어 잼 소프트웨어(Jamf Software) 최명훈 이사가 ‘CISO의 관점에서 바라본 Apple 플랫폼의 미래 업무 환경 혁신’를 주제로 각각 발표했다.


▲한국CISO협의회 이기주 회장, 과기정통부 김남철 국장, 웨일앤썬 김진환 변호사, 잼 소프트웨어 최명훈 이사, 잼 소프트웨어 지미 황 부사장(좌부터)[사진=한국CISO협의회]

한국CISO협의회 이기주 회장은 개회사에서 “오늘은 과기정통부 신임 정보보호네트워크정책관으로 부임한 김남철 국장님이 포럼을 찾아주셨다”며, “이와 함께 지난 CISO워크숍에서 국정원 방문을 추진해 주신 윤오준 국정원 3차장님께 더욱 특별한 감사의 말씀을 전하고 싶다”고 말했다. 이어 “개인정보보호법 분야의 권위자이신 김진환 변호사님과 잼 소프트웨어 최명훈 이사님 등 두 분의 발표도 많이 기대가 된다”며 포럼의 시작을 알렸다.

이어 과기정통부 김남철 정보보호네트워크정책관은 인사말에서 “제가 20여년 전 첫 공직 생활을 정보보호심의관실에서 시작했는데 20년만에 다시 돌아왔다”며 “이번 연휴에 읽을 책 몇 권을 추천받았는데, 그 중 한권의 저자가 현직 CISO여서 살펴봤더니 내용 중에 ‘사이버보안은 경영이다. 리더가 챙기지 않으면 사이버보안은 담보되지 않는다’는 말이 기억에 많이 남았다”고 말했다. 이어 “그렇기에 여기 계신 CISO분들의 역할이 매우 중요하다”며, “보안에 투자하는 것이 경영에 성공하는 것이고, 이것이 곧 사이버 보안을 잘하는 국가로 이어질 것”이라고 강조했다.

다음으로 주제발표 시간이 진행됐다. 개인정보보호위원회 비상임위원이기도 한 법률사무소 웨일앤썬 김진환 변호사는 ‘최근 개인정보보호위원회의 주요 정책 및 처분 동향과 시사점’을 주제로 발표했다. 김진환 변호사는 크게 ‘개인정보 여부 판단의 유연화’, ‘정당한 이익 조항의 적용 제고’, ‘인터넷망 차단 조치의 완화 등 보호조치 합리화’ 등 세 가지 주제를 중심으로 설명했다.

김 변호사는 “개인정보는 살아 있는 개인에 관한 정보로, 해당 정보만으로는 특정 개인을 지칭할 수 없지만 다른 정보와 쉽게 결합해 알아볼 수 있는 정보이기도 하다”라며 “최근 법 개정으로 ‘쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인 확인에 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다’는 문구가 추가됐다”고 말했다. 이어 “차량번호는 그 자체만으로는 개인을 특정할 수 없어 개인정보는 아니지만, 다른 정보와 쉽게 결합할 수 있다면 개인정보에 해당될 수도 있는 등 개인정보는 해석 대상이 되는 정보의 내용이나 처리자의 다른 정보 입수 및 결합 가능성 등을 고려해 결정되는 상대적 개념”이라고 설명했다.

김진환 변호사는 ‘정당한 이익 조항의 적용 제고’와 관련해서는 “최근 법 개정을 통해 개인정보의 제3자 제공에 관해 ‘정당한 이익’ 조항이 새로 들어간 것은 개인정보의 적법 처리를 위한 일반 규정으로 해석되기 위한 첫걸음”이라고 설명했다. 이어 ‘인터넷망 차단 조치의 완화 등 보호조치 합리화’에 대해서는 “올해 9월 초에 발표된 망분리 개선안에 따르면 저위험·중위험·고위험 등 위험도에 따라 단말을 구분하고 차등해서 개인정보 보호 등을 위한 보호조치 의무가 적용될 예정”이라며 “우리나라 개인정보 보호법은 기술적 보호조치에 관해 고시를 통해 필수 의무를 열거하고 제재를 가하는데, 새로운 고시를 마련하는데 있어서도 기존 고시 규정의 합리적 방안을 함께 고려할 필요가 있다”고 말했다.


▲제138차 CISO포럼이 100여명의 CISO들이 참석한 가운데 진행됐다[사진=한국CISO협의회]

다음으로 잼 소프트웨어 최명훈 이사는 ‘CISO의 관점에서 바라본 Apple 플랫폼의 미래 업무 환경 혁신’에 대해 발표했다. 최 이사는 “미국 소프트웨어 회사인 ‘잼’은 올해 ‘Security 360 Report’를 통해 현대 조직이 직면한 다양한 사이버 위협을 종합적으로 분석했다”며 “모바일 사용자의 40%가 보안 취약성을 갖고 있고, 지난해에 새로 발견된 macOS 멀웨어는 21개로 집계됐으며, 모바일 기기를 대상으로 한 피싱 공격률이 50%에 달하고 있다”고 설명했다.

최 이사는 “조직의 데이터는 어디에 있든 보호되어야 하고, 조직의 생산성은 어디에서든 유지되어야 한다”며 “승인된 사용자만이 조직에 등록한 기기로 보안규정을 준수해야만 내부 민감정보에 접근할 수 있다는 트러스트 액세스(Trusted Access)를 지키는 것이 중요하다”고 강조했다. 이어 구축사례를 소개하면서 사용자 단말의 자동 원격 배포 체계 구축, MacOS 단말의 내부 보안 규정 체계, 내부 리소스의 조건부 접근 제한, 조직의 사용자 계정 연동 및 MacOS 로그인 정책 수립 등이 필요하다고 덧붙였다.

한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>