금융회사, 개인정보 관련 법규서 요구 규제사항 공유 필요 [보안뉴스=성재모 금융보안연구원 정보보안본부장] 최근 스마트 기기의 급속한 보급 확대 등으로 SNS 등 정보통신망을 통한 서비스가 현대 생활에 필수 요소가 됨에 따라 사이버 공간에서 많은 정보 교류가 발생하고 있다.


이와 관련해 사이버 공간에서의 침해사고들 또한 지속적으로 증가하고 있는 추세이다. 그 중에서도 특히 사용자의 개인정보를 허가 없이 도용하거나 이용하는 등의 개인정보 침해사고가 꾸준히 증가하고 있다.

이에 따라 2011년 9월 정부에서는 개인정보보호법을 제정해 개인정보에 대한 보호를 강화하고 있다. 특히 금융권의 경우 고객 신상에 대한 개인정보 뿐만 아니라 신용정보 및 거래정보 등 다양한 개인 신용정보와 그 밖의 개인정보를 처리함에 있어 개인정보보호법 및 신용정보법 등 다양한 법규를 통해 개인정보를 보호하도록 하고 있다.

금융회사는 이러한 다양한 개인정보 관련한 법규 등에서 요구하는 규제사항이 무엇인지 그리고 참고할만한 가이드, 해설서, 모범사례 등이 무엇인지에 관한 체계적이고 지속적인 정보 공유가 필요하게 됐다.

금융보안연구원은 금융회사에 필요한 개인정보 보안사항을 중심으로 각 사항을 이해하는데 참고할 수 있는 다양한 정보를 제공하기 위한 목적으로 2013년 2월부터 ‘금융개인정보보호 컴플라이언스 가이드‘를 개발하게 됐고, 2013년 11월 개발을 완료하고 일부 보완을 거쳐 2014년 5월 CD로 제작해 금융회사에 배포했다.
또한 가이드 개발을 위해 학계·유관기관·금융당국 등 전문가로 이루어진 ‘금융보안 컴플라이언스자문위원회’와 금융회사 담당자로 이루어진 ‘실무위원회’를 구성해 가이드 개발을 위한 다양한 자문을 받았다.



▲ 그림 1. 금융개인정보보호 컴플라이언스 도메인 및 통제항목

가이드 구성은 우선 금융회사가 준수해야 하는 개인정보보호법 및 신용정보법의 시행령, 시행규칙, 고시, 모범규준 등 개인정보 규제 사항과 국내외 컴플라이언스 사례들을 분석해 9개 도메인, 84개 통제항목을 그림 1과 같이 도출했으며, 주요 내용은 표 1과 같다.

▲ 표 1. 금융개인정보보호 컴플라이언스 도메인 주요 내용

 
또한 그림 2에서 보는 것과 같이 통제항목에 대한 이해를 돕기 위해 각 통제항목별로 개인정보보호법규 이외 금융관련 특별 법률 11종, 정보통신망법 등 기타 법률 13종, 카드정보 보안과 관련한 PCIDSS기준, 정보보호관리체계와 관련한 국제표준 ISO27001, 국내 KISA ISMS 및 개인정보보호관리체계 인증(PIMS) 등 5종에 대해 함께 비교할 수 있도록 구성했다.


▲ 그림 2. 금융개인정보보호 컴플라이언스 참조 법규 및 표준

참고로 통제항목은 개인정보보호법 및 신용정보법을 기반으로 하기 때문에 관련 ISO27001 등과 같이 모든 산업 분야에 적용할 수 있는 일반적인 통제 항목과는 차이가 있으며, 규제사항에 대한 해석은 관련 소관부처를 통해 확인이 필요하다는 점도 밝혀둔다.


금융보안연구원은 금융회사 담당자의 ‘금융보안 컴플라이언스 교육’시 본 가이드를 활용하고 있으며, 향후 개인정보보호 관련 교육도 확대할 예정이다. 본 가이드를 통해 금융회사는 법규 위반을 최소화할 수 있도록 효율적인 개인정보보호 컴플라이언스 관리 및 금융회사의 자체 내부통제 점검도구로 활용이 가능할 것으로 기대한다.
[글_ 성재모 금융보안연구원 정보보안본부 본부장(sitcom@fsa.or.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>