한국CISO협회, 2017년 2월 정기포럼 개최
GDPR 시행 앞으로 1년, 주요국 개인정보 관련 법안 비교
2017년 사이버 시큐리티 공격양상과 기업의 대응방안
[보안뉴스 원병철 기자] 이제 1년 정도 남은 유럽연합(EU)의 일반정보보호규정(GDPR) 시행에 앞서 정보보호 분야에서는 개인정보보호 이슈가 국내외를 뒤덮고 있다. 특히, 미국의 트럼프 정부가 ‘인터넷 개인정보 보호규정’ 폐지 법안을 통과시키면서 개인정보 보호와 개인정보 활용이 제대로 부딪치는 모양새다.
.jpg)
▲ 임종인 한국CISO협회 회장
한국CISO협회(회장 임종인)는 18일 ‘4월 CISO포럼’을 개최하고 개인정보 비식별 관련법과 최근 사이버 시큐리티 공격 양상 및 대응방안에 대한 논의를 진행했다. 한국CISO협회 임종인 회장은 “대선을 앞두고 4차 산업혁명과 보안에 대한 이야기가 많이 나오고 있다”면서 “점차 커져가고 있는 보안의 중요성에 우리 협회가 할 수 있는 일이 많을 것”이라고 강조했다.
개인정보 보호냐 활용이냐, 이것이 문제로다
포럼의 첫 번째 강연은 한국인터넷진흥원(KISA) 개인정보 비식별조치지원센터의 소대웅 변호사가 ‘주요국 개인정보 비식별 관련법 및 동향’을 주제로 진행했다. 소 변호사는 현재 빅데이터와 IoT 등의 발달로 정보활용 측면이 부각되면서 개인정보 보호와 활용 측면을 조화시킬 수 있는 법제가 필요하다고 말했다.
우선 EU 등 국가별로 법안이 이제 막 마련되고 있는 상황에서 개인정보 비식별과 관련해 논점이 되고 있는 ‘익명처리(Anonymisation)’와 ‘비식별조치(De-Identification)’, 그리고 ‘가명처리(Pseudonymisation)’ 등 용어에 대한 정의가 명확하지 않아 문제가 많다고 소 변호사는 설명했다.
.jpg)
▲ 소대웅 한국인터넷진흥원(KISA) 변호사
“유럽에서 주로 쓰이는 익명처리와 우리나라와 미국에서 쓰는 비식별조치는 정확하게 말해서 같은 용어라고 하기는 어렵습니다. 하지만 이해하기 쉽게 두 용어를 같이 쓰자면, 익명처리와 비식별조치는 식별되었거나 식별될 수 있는 자연인과 관련 없는 정보 혹은 정보주체가 식별될 수 없도록 처리된 정보를 말하며, 이는 개인정보에 해당하지 않습니다. 그리고 가명처리는 추가 정보의 사용 없이 더 이상 특정 정보주체를 식별할 수 없는 방식으로 수행된 개인정보의 처리를 말하며, 이는 개인정보에 해당됩니다.”
또한, 소 변호사는 GDPR의 중요성을 설명하려면, 먼저 EU의 법체계를 이해해야 한다고 말했다. “EU는 회원 국가들이 무조건 적용해야 하는 Regulation 법과 회원국들에게 목표를 지정해주되 각 국가에서 자체 법률을 만들어 목표를 달성하도록 하는 Directive 법, 그리고 법적 구속력이 없는 의견서인 Opinion이 있습니다. 그동안 EU의 비식별조치 법제는 1995년 Directive 95/46/EC와 2014년 Opinion만이 있었는데, 2016년 GDPR Regulation 법을 다시 발의했습니다. 즉, 법안을 강화했다는 의미입니다.”
최근 일본도 개인정보보호에 관한 법률을 개정(2015년)하고, 개인정보보호 법률에 대한 가이드라인(2016년)을 제시하면서 변화된 모습을 보이고 있다. 다만 EU가 익명 처리된 정보를 개인정보가 아니라고 명확하게 규정했다면, 일본은 애매모호하게 처리했다고 소 변호사는 설명했다.
이에 비해 우리나라는 개인정보보호법에서 ‘동의 없는 제3자 가공, 제공’이 가능한 것은 ‘통계작성’이나 ‘학술연구’ 등을 목적으로만 할 수 있다고 정의했다. 이는 법률상 목적 외 처리를 허용하되, 개인정보 관련 법제를 적용받도록 한 것이다. 또한, 2016년 관계기관 합동 개인정보 비식별조치 가이드라인을 통해 비식별조치 후, 적정성 평가를 받는 경우 개인정보가 아닌 것으로 추정했다. 소 변호사는 가이드라인의 비식별조치 수준은 주요국들에 비해 매우 높은 수준이라고 강조했다.
소 변호사는 “정보 활용을 위한 법제도 재정비는 세계적 추세이며, 한국의 법제 역시 주요 국가들의 입법동향과 비슷한 추세”라며, “주요국들의 비식별조치 법제 분석을 토대로 우리 환경에 맞는 법제 추진이 필요하다”고 설명했다.
개인·기업 타깃 공격, 다양화되고 증가
.jpg)
▲ 성일용 시스코 코리아 부사장
두 번째 발표에 나선 시스코 코리아 성일용 부사장은 ‘2017 사이버 시큐리티 공격 양상 및 방어를 위한 기업의 준비사항’이란 주제로 강연을 이어갔다. 성 부사장은 “하루 동안 쿠키 정보를 얼마나 많은 곳에서 조회하고 가져가는 지를 확인해봤더니, 약 150여 곳에서 조회했다”면서 “문제는 이 150개가 내가 알던, 알지 못했던 스스로 정보를 제공한 곳들은 물론 정보를 제공하지 않았던 곳들도 포함돼 있다는 것”이라고 설명했다.
그러면서 성 부사장은 페이스북의 봉봉을 예로 들었다. 내 사진을 올리면 연예인 사진과 비슷하다며 닮은 꼴 연예인을 알려주는 서비스 봉봉은 최근 젊은 층에게 큰 인기를 얻고 있는데, 문제는 봉봉을 이용할 때 내 프로필은 물론 페이스북 친구 리스트, 내가 업로드한 사진과 내 이름이 태그된 사진과 좋아요 등 페이스북 정보가 고스란히 제공된다는 것이다.
이처럼 수많은 앱과 서비스가 사용자의 개인정보를 조회·수집하지만, 정작 당사자는 그 사진조차 모르는 경우가 많다고 성 부사장은 지적했다. 그만큼 위험에 노출되어 있다는 얘기다.
여기에 기업에 대한 공격도 꾸준하게 증가하고 있다. 성 부사장은 보안침해 사고는 회사의 시스템을 마비시키고 비즈니스 운영에 큰 영향을 미친다면서, 45%의 기업들이 공격을 받은 후 1~8시간 동안 시스템이 다운된다고 설명했다. 하지만 공격받은 기업 중 절반인 49%의 기업은 침해사실을 외부에 알리지 않았으며, 외부에 알려진 경우도 절반 이상이 보고나 감사를 포함한 비자발적 공개였다.
침해를 경험한 이후 38%의 기업이 정책과 절차, 장비를 대거 보완했다고 밝혔다. 개선내용을 보면, △ 보안팀을 IT팀과 분리 △ 보안강화 훈련에 대한 인식 제고 △ 위험 분석과 위험 완화에 대한 관심도 집중 △ 보안 솔루션 도입 증가 등이 꼽혔다.
성 부사장은 이처럼 공격들이 증가하고 있는 상황에서 리스크를 최소화하기 위해서는 우선 비즈니스를 고려한 보안을 해야 한다고 강조했다. 또한, 보안정책 운영현황을 측정하고, 보안의 효과를 테스트해야 하며, 무엇보다 방어 정책을 유기적으로 연동하는 것이 시급하다고 성 부사장은 주장했다. 시스템을 개방적으로 만들고 통합과 자동화가 가능하도록 해야 그 어떤 공격에도 대처할 수 있다는 설명이다.
한편, 이날 포럼에서는 대선 이후 보안과 관련해 여러 가지 정책 변화가 있을 것이라면서 한국CISO포럼 회원들이 새로운 변화를 만들어가는 데 앞장서자며 각오를 다졌다.
[원병철 기자(boanone@boannews.com)]
GDPR 시행 앞으로 1년, 주요국 개인정보 관련 법안 비교
2017년 사이버 시큐리티 공격양상과 기업의 대응방안
[보안뉴스 원병철 기자] 이제 1년 정도 남은 유럽연합(EU)의 일반정보보호규정(GDPR) 시행에 앞서 정보보호 분야에서는 개인정보보호 이슈가 국내외를 뒤덮고 있다. 특히, 미국의 트럼프 정부가 ‘인터넷 개인정보 보호규정’ 폐지 법안을 통과시키면서 개인정보 보호와 개인정보 활용이 제대로 부딪치는 모양새다.
▲ 임종인 한국CISO협회 회장
한국CISO협회(회장 임종인)는 18일 ‘4월 CISO포럼’을 개최하고 개인정보 비식별 관련법과 최근 사이버 시큐리티 공격 양상 및 대응방안에 대한 논의를 진행했다. 한국CISO협회 임종인 회장은 “대선을 앞두고 4차 산업혁명과 보안에 대한 이야기가 많이 나오고 있다”면서 “점차 커져가고 있는 보안의 중요성에 우리 협회가 할 수 있는 일이 많을 것”이라고 강조했다.
개인정보 보호냐 활용이냐, 이것이 문제로다
포럼의 첫 번째 강연은 한국인터넷진흥원(KISA) 개인정보 비식별조치지원센터의 소대웅 변호사가 ‘주요국 개인정보 비식별 관련법 및 동향’을 주제로 진행했다. 소 변호사는 현재 빅데이터와 IoT 등의 발달로 정보활용 측면이 부각되면서 개인정보 보호와 활용 측면을 조화시킬 수 있는 법제가 필요하다고 말했다.
우선 EU 등 국가별로 법안이 이제 막 마련되고 있는 상황에서 개인정보 비식별과 관련해 논점이 되고 있는 ‘익명처리(Anonymisation)’와 ‘비식별조치(De-Identification)’, 그리고 ‘가명처리(Pseudonymisation)’ 등 용어에 대한 정의가 명확하지 않아 문제가 많다고 소 변호사는 설명했다.
▲ 소대웅 한국인터넷진흥원(KISA) 변호사
“유럽에서 주로 쓰이는 익명처리와 우리나라와 미국에서 쓰는 비식별조치는 정확하게 말해서 같은 용어라고 하기는 어렵습니다. 하지만 이해하기 쉽게 두 용어를 같이 쓰자면, 익명처리와 비식별조치는 식별되었거나 식별될 수 있는 자연인과 관련 없는 정보 혹은 정보주체가 식별될 수 없도록 처리된 정보를 말하며, 이는 개인정보에 해당하지 않습니다. 그리고 가명처리는 추가 정보의 사용 없이 더 이상 특정 정보주체를 식별할 수 없는 방식으로 수행된 개인정보의 처리를 말하며, 이는 개인정보에 해당됩니다.”
또한, 소 변호사는 GDPR의 중요성을 설명하려면, 먼저 EU의 법체계를 이해해야 한다고 말했다. “EU는 회원 국가들이 무조건 적용해야 하는 Regulation 법과 회원국들에게 목표를 지정해주되 각 국가에서 자체 법률을 만들어 목표를 달성하도록 하는 Directive 법, 그리고 법적 구속력이 없는 의견서인 Opinion이 있습니다. 그동안 EU의 비식별조치 법제는 1995년 Directive 95/46/EC와 2014년 Opinion만이 있었는데, 2016년 GDPR Regulation 법을 다시 발의했습니다. 즉, 법안을 강화했다는 의미입니다.”
최근 일본도 개인정보보호에 관한 법률을 개정(2015년)하고, 개인정보보호 법률에 대한 가이드라인(2016년)을 제시하면서 변화된 모습을 보이고 있다. 다만 EU가 익명 처리된 정보를 개인정보가 아니라고 명확하게 규정했다면, 일본은 애매모호하게 처리했다고 소 변호사는 설명했다.
이에 비해 우리나라는 개인정보보호법에서 ‘동의 없는 제3자 가공, 제공’이 가능한 것은 ‘통계작성’이나 ‘학술연구’ 등을 목적으로만 할 수 있다고 정의했다. 이는 법률상 목적 외 처리를 허용하되, 개인정보 관련 법제를 적용받도록 한 것이다. 또한, 2016년 관계기관 합동 개인정보 비식별조치 가이드라인을 통해 비식별조치 후, 적정성 평가를 받는 경우 개인정보가 아닌 것으로 추정했다. 소 변호사는 가이드라인의 비식별조치 수준은 주요국들에 비해 매우 높은 수준이라고 강조했다.
소 변호사는 “정보 활용을 위한 법제도 재정비는 세계적 추세이며, 한국의 법제 역시 주요 국가들의 입법동향과 비슷한 추세”라며, “주요국들의 비식별조치 법제 분석을 토대로 우리 환경에 맞는 법제 추진이 필요하다”고 설명했다.
개인·기업 타깃 공격, 다양화되고 증가
▲ 성일용 시스코 코리아 부사장
두 번째 발표에 나선 시스코 코리아 성일용 부사장은 ‘2017 사이버 시큐리티 공격 양상 및 방어를 위한 기업의 준비사항’이란 주제로 강연을 이어갔다. 성 부사장은 “하루 동안 쿠키 정보를 얼마나 많은 곳에서 조회하고 가져가는 지를 확인해봤더니, 약 150여 곳에서 조회했다”면서 “문제는 이 150개가 내가 알던, 알지 못했던 스스로 정보를 제공한 곳들은 물론 정보를 제공하지 않았던 곳들도 포함돼 있다는 것”이라고 설명했다.
그러면서 성 부사장은 페이스북의 봉봉을 예로 들었다. 내 사진을 올리면 연예인 사진과 비슷하다며 닮은 꼴 연예인을 알려주는 서비스 봉봉은 최근 젊은 층에게 큰 인기를 얻고 있는데, 문제는 봉봉을 이용할 때 내 프로필은 물론 페이스북 친구 리스트, 내가 업로드한 사진과 내 이름이 태그된 사진과 좋아요 등 페이스북 정보가 고스란히 제공된다는 것이다.
이처럼 수많은 앱과 서비스가 사용자의 개인정보를 조회·수집하지만, 정작 당사자는 그 사진조차 모르는 경우가 많다고 성 부사장은 지적했다. 그만큼 위험에 노출되어 있다는 얘기다.
여기에 기업에 대한 공격도 꾸준하게 증가하고 있다. 성 부사장은 보안침해 사고는 회사의 시스템을 마비시키고 비즈니스 운영에 큰 영향을 미친다면서, 45%의 기업들이 공격을 받은 후 1~8시간 동안 시스템이 다운된다고 설명했다. 하지만 공격받은 기업 중 절반인 49%의 기업은 침해사실을 외부에 알리지 않았으며, 외부에 알려진 경우도 절반 이상이 보고나 감사를 포함한 비자발적 공개였다.
침해를 경험한 이후 38%의 기업이 정책과 절차, 장비를 대거 보완했다고 밝혔다. 개선내용을 보면, △ 보안팀을 IT팀과 분리 △ 보안강화 훈련에 대한 인식 제고 △ 위험 분석과 위험 완화에 대한 관심도 집중 △ 보안 솔루션 도입 증가 등이 꼽혔다.
성 부사장은 이처럼 공격들이 증가하고 있는 상황에서 리스크를 최소화하기 위해서는 우선 비즈니스를 고려한 보안을 해야 한다고 강조했다. 또한, 보안정책 운영현황을 측정하고, 보안의 효과를 테스트해야 하며, 무엇보다 방어 정책을 유기적으로 연동하는 것이 시급하다고 성 부사장은 주장했다. 시스템을 개방적으로 만들고 통합과 자동화가 가능하도록 해야 그 어떤 공격에도 대처할 수 있다는 설명이다.
한편, 이날 포럼에서는 대선 이후 보안과 관련해 여러 가지 정책 변화가 있을 것이라면서 한국CISO포럼 회원들이 새로운 변화를 만들어가는 데 앞장서자며 각오를 다졌다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
