정보보호최고책임자협의회, 9월 CISO포럼 개최
정보보호법·클라우드발전법 주요 내용·쟁점 소개
[시큐리티월드 민세아] 9월 22일 인터컨티넨탈 서울 삼성동 코엑스에서 정보보호최고책임자 및 보안실무자들이 참석한 가운데 2015년 9월 CISO포럼이 열렸다.
정보보호최고책임자협의회 이홍섭 회장은 개회사에서 한 기관에서 발표한 ‘지난 6개월간 국제 지표 및 빅데이터 분석’을 통해 사이버범죄가 안전과 관련한 화두로 떠오른 것을 언급했다. 정보유출 등 사이버위험이 향후 떠오를 안전 문제로 꼽힌 것이다.
이 회장은 “사이버보안, 사이버안보 얘기는 많이 나오는데, 무엇부터 해야 할지 모르는 사람들이 많다. 기업 CISO들이 중심이 되어 제대로 된 사이버보안 대책을 마련해야 한다”고 당부했다.
이어 미래창조과학부 정한근 정보보호정책관은 “국민들이 사이버보안 문제를 안전에 있어 필수적인 과제로 생각할 수 있도록 하고, 기업에서도 사이버보안 분야에 더욱 투자할 수 있도록 하는 방안을 열심히 고민해 보겠다”는 말을 전했다.
이어 한국인터넷진흥원 정책연구단 법제팀 김민섭 수석연구위원과 법무법인 한별 정재완 변호사의 주제발표가 진행됐다.
정보보호산업진흥법 주요 내용 및 기대효과
한국인터넷진흥원 김민섭 수석연구위원은 ‘정보보호산업진흥법 주요 내용 및 기대효과’를 주제로 정보보호산업진흥법의 법률 및 하위법령안의 주요 내용에 대해 발표했다. 지난해 7월 발의된 정보보호산업진흥법은 하위법령 제정을 거쳐 오는 12월 23일부터 본격 시행된다.
정보보호산업진흥법 및 하위법령안의 주요 내용은 다음과 같다. 먼저, 정보보호산업 진흥계획을 수립하는 것인데, 기술개발, 전문인력 양성, 융합 신시장 진출, 해외 진출 기업 등에 관한 내용이 담겨 있다. 이는 5년마다 수립될 계획이지만 정보보호산업 분야가 빠르게 발전하는 분야이기 때문에 세부 시행령은 그때그때 개정할 수 있도록 유연성을 부여했다.
두 번째는 구매수요정보의 제공이다. 공공부문에서 정보보호에 관한 구매수요정보를 수집해 정보보호 기업에 제공하고, 수집정보를 다시 발주받는 정보보호 기업에 제공하는 내용이다. 연 2회 미래부에서 구매수요정보를 제공하고 관련 시스템을 구축할 수 있도록 했다.
세 번째는 사업 하도급 승인과 관련한 부분이다. 정보보호 시스템 구축 계약의 경우 하도급으로 내려가는 경우가 있는데, 그냥 허용되는 것이 아니라 발주한 공공기관이 서면으로 승인해야 하도급이 가능하도록 법에서 규정하는 내용이다.
네 번째는 정보보호제품 및 서비스 적정 대가 지급이다. 제품이나 서비스에 대한 현실적인 대가가 제대로 지급되지 않는 문제가 있는 것 아니냐는 지적과 관련해서 발주받는 기업에서 제값을 받도록 하는 내용이다. 실제로 적정 대가가 지급되고 있는지, 민관합동 모니터링을 통해 조사하고 적정대가가 지급되지 않고 있을 경우 결과를 공지하게 된다.
다섯 번째로, 정보보호 준비도 평가 시행이다. 보안투자, 인력관리체계 등 정보보호 준비 노력을 평가해 기업에 등급을 부여하는 정보보호 준비도 평가를 수행할 수 있도록 하위법령에서 세부사항을 마련할 예정이다.
여섯 번째는 정보보호 공시제도다. 정보보호 공시제도는 기업이 정보보호 산업 투자, 인증 현황을 공개하는 자율적인 제도를 말한다. 규제사항이 아니지만 공시하는 기업에 한해 ISMS 인증 수수료를 일정 금액 감면하는 등의 인센티브를 지급하는 방안을 추가할 예정으로 알려졌다.
또한, 전문인력 관리 시스템을 만들어 전문인력을 양성하고 관리하는 체계를 만드는 방안도 법안에 포함돼 있다.
여덟 번째, 정보보호 성능평가 지원 조항으로, 정보보호 기관에서 정보보호 제품에 대해 평가를 신청하면 성능평가 기관에서 평가하고 승인 여부를 통보한다는 것이다. 정보보호 성능평가는 구체적인 지표에 중점을 둔다는 점이 CC인증과 다른 점이라고 김 수석연구위원은 설명했다.
이와 함께 ‘우수 정보보호 기술 및 기업 지정’과 ‘정보보호기업에 대한 지원’ 등의 조항이 법률안의 주요 골자로, 해당 조항에 대한 세부적인 시행방침을 시행령과 시행규칙에서 규정할 예정이다.
클라우드컴퓨팅발전법의 보안관련 쟁점
법무법인 한별 정재완 변호사는 오는 9월 28일부터 시행되는 ‘클라우드컴퓨팅발전법의 보안관련 쟁점’에 대해 발표를 진행했다.
클라우드컴퓨팅 기술은 IT자 원을 빌려서 사용하기 때문에 하드웨어·소프트웨어 구매, 유지 및 관리의 필요성이 없어 비용절감이 가능하고, 인터넷만 연결되면 언제 어디서나 업무가 가능하기 때문에 생산성이 향상된다는 장점이 있다. 그러나 네트워크나 클라우드 서비스 정지시 관련 업무가 정지된다는 아주 심각한 문제가 있기 때문에 정 변호사는 향후 클라우드컴퓨팅발전법에서 정보보호 측면이 강화될 가능성이 높다고 전했다.
이어 정 변호사는 클라우드컴퓨팅발전법의 주요 내용 및 보안담당자가 유의해야 할 사항에 대해 설명했다. 먼저 현재 클라우드컴퓨팅발전법과 다른 법률과의 충돌 및 중복 문제를 해결할 필요성이 있다는 점을 제기했다.
또한, 클라우드컴퓨팅 서비스 계약은 당사자들이 대면해 체결하기보다는 온라인에서 비대면 접촉으로 체결되는 경우가 대부분으로, 전자약관의 형태를 띄게 되는데, 이용자가 전자약관을 쉽게 인식할 수 있는 상태로 게시해야 하고, 서비스 협약서에 보안 및 프라이버시 관련 의무조항을 포함해 계약상 요구사항을 명시해야 한다는 조항도 각별히 신경써야 한다는 게 정 변호사의 설명이다.
정 변호사의 설명에 따르면 클라우드컴퓨팅 서비스는 개인정보보호에 관해 ‘개인정보보호법’, ‘정보통신망법’ 등이 적용되므로, 관련 법률에 따라 거버넌스, 데이터의 위치, 내부자 접근, 가상 네트워크 환경 보호 등의 안전성 확보조치를 해야 한다.
만약 침해사고가 발생해 이용자 정보가 유출되거나 서비스 중단이 발생한 경우, 즉시 그 사실을 미래창조과학부장관에게 알리고 전화, 휴대전화, 우편, 전자우편, 문자메시지 인터넷 홈페이지 게시 등의 방법으로 이용자에게 알려야 한다.
클라우드컴퓨팅 서비스는 서비스 도중 장애 발생시간이 월 누적 3.6시간 이내로 유지될 수 있게 하는 등 지속적인 성능의 평가가 필요하고, 개인정보의 취급위탁에 따른 위탁자의 관리·감독 책임이 문제가 될 수 있다. 또한, 개인정보의 국외 이전에 따른 법적 쟁점도 최근 이슈로 떠오르고 있는데, 이용자는 자신의 정보가 저장되는 국가의 명칭을 알려줄 것을 요구할 수 있다.
마지막으로 정 변호사는 클라우드컴퓨팅발전법의 입법 개선방향에 대해 전했다. “클라우드컴퓨팅발전법을 살펴보면 진흥을 위한 내용이 대부분인데, 현재는 산업이 초기단계임을 감안하더라도 향후에는 이용자 보호를 위해 개정 필요성이 제기될 수 있다. 또한, 클라우드컴퓨팅은 정보가 집적되어 있어 침해사고가 발생할 경우 그 피해가 매우 심각한데, 현행법에서는 침해사고 예방을 위한 방안이 미흡해 정보보호 기준 등의 관련 고시 제정이 필요하다.”
덧붙여 그는 클라우드컴퓨팅의 가용성 보장을 위해 이행보증보험제도 도입 등 서비스 안정성 확보 방안이 마련되어야 한다고 설명했다.
[글 시큐리티월드 민세아 기자(sw@infothe.com)]
<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>
정보보호법·클라우드발전법 주요 내용·쟁점 소개
[시큐리티월드 민세아] 9월 22일 인터컨티넨탈 서울 삼성동 코엑스에서 정보보호최고책임자 및 보안실무자들이 참석한 가운데 2015년 9월 CISO포럼이 열렸다.
정보보호최고책임자협의회 이홍섭 회장은 개회사에서 한 기관에서 발표한 ‘지난 6개월간 국제 지표 및 빅데이터 분석’을 통해 사이버범죄가 안전과 관련한 화두로 떠오른 것을 언급했다. 정보유출 등 사이버위험이 향후 떠오를 안전 문제로 꼽힌 것이다.
.jpg) | ||
| ▲9월 22일 그랜드인터컨티넨탈 서울 코엑스에서 정보보호최고책임자협의회가 주최하는 | ||
이 회장은 “사이버보안, 사이버안보 얘기는 많이 나오는데, 무엇부터 해야 할지 모르는 사람들이 많다. 기업 CISO들이 중심이 되어 제대로 된 사이버보안 대책을 마련해야 한다”고 당부했다.
이어 미래창조과학부 정한근 정보보호정책관은 “국민들이 사이버보안 문제를 안전에 있어 필수적인 과제로 생각할 수 있도록 하고, 기업에서도 사이버보안 분야에 더욱 투자할 수 있도록 하는 방안을 열심히 고민해 보겠다”는 말을 전했다.
이어 한국인터넷진흥원 정책연구단 법제팀 김민섭 수석연구위원과 법무법인 한별 정재완 변호사의 주제발표가 진행됐다.
정보보호산업진흥법 주요 내용 및 기대효과
 | ||
| ▲한국인터넷진흥원(KISA) 정책연구단 법제팀 김민섭 수석연구위원 | ||
정보보호산업진흥법 및 하위법령안의 주요 내용은 다음과 같다. 먼저, 정보보호산업 진흥계획을 수립하는 것인데, 기술개발, 전문인력 양성, 융합 신시장 진출, 해외 진출 기업 등에 관한 내용이 담겨 있다. 이는 5년마다 수립될 계획이지만 정보보호산업 분야가 빠르게 발전하는 분야이기 때문에 세부 시행령은 그때그때 개정할 수 있도록 유연성을 부여했다.
두 번째는 구매수요정보의 제공이다. 공공부문에서 정보보호에 관한 구매수요정보를 수집해 정보보호 기업에 제공하고, 수집정보를 다시 발주받는 정보보호 기업에 제공하는 내용이다. 연 2회 미래부에서 구매수요정보를 제공하고 관련 시스템을 구축할 수 있도록 했다.
세 번째는 사업 하도급 승인과 관련한 부분이다. 정보보호 시스템 구축 계약의 경우 하도급으로 내려가는 경우가 있는데, 그냥 허용되는 것이 아니라 발주한 공공기관이 서면으로 승인해야 하도급이 가능하도록 법에서 규정하는 내용이다.
네 번째는 정보보호제품 및 서비스 적정 대가 지급이다. 제품이나 서비스에 대한 현실적인 대가가 제대로 지급되지 않는 문제가 있는 것 아니냐는 지적과 관련해서 발주받는 기업에서 제값을 받도록 하는 내용이다. 실제로 적정 대가가 지급되고 있는지, 민관합동 모니터링을 통해 조사하고 적정대가가 지급되지 않고 있을 경우 결과를 공지하게 된다.
다섯 번째로, 정보보호 준비도 평가 시행이다. 보안투자, 인력관리체계 등 정보보호 준비 노력을 평가해 기업에 등급을 부여하는 정보보호 준비도 평가를 수행할 수 있도록 하위법령에서 세부사항을 마련할 예정이다.
여섯 번째는 정보보호 공시제도다. 정보보호 공시제도는 기업이 정보보호 산업 투자, 인증 현황을 공개하는 자율적인 제도를 말한다. 규제사항이 아니지만 공시하는 기업에 한해 ISMS 인증 수수료를 일정 금액 감면하는 등의 인센티브를 지급하는 방안을 추가할 예정으로 알려졌다.
또한, 전문인력 관리 시스템을 만들어 전문인력을 양성하고 관리하는 체계를 만드는 방안도 법안에 포함돼 있다.
여덟 번째, 정보보호 성능평가 지원 조항으로, 정보보호 기관에서 정보보호 제품에 대해 평가를 신청하면 성능평가 기관에서 평가하고 승인 여부를 통보한다는 것이다. 정보보호 성능평가는 구체적인 지표에 중점을 둔다는 점이 CC인증과 다른 점이라고 김 수석연구위원은 설명했다.
이와 함께 ‘우수 정보보호 기술 및 기업 지정’과 ‘정보보호기업에 대한 지원’ 등의 조항이 법률안의 주요 골자로, 해당 조항에 대한 세부적인 시행방침을 시행령과 시행규칙에서 규정할 예정이다.
클라우드컴퓨팅발전법의 보안관련 쟁점
 | ||
| ▲법무법인 한별 정재완 변호사 | ||
클라우드컴퓨팅 기술은 IT자 원을 빌려서 사용하기 때문에 하드웨어·소프트웨어 구매, 유지 및 관리의 필요성이 없어 비용절감이 가능하고, 인터넷만 연결되면 언제 어디서나 업무가 가능하기 때문에 생산성이 향상된다는 장점이 있다. 그러나 네트워크나 클라우드 서비스 정지시 관련 업무가 정지된다는 아주 심각한 문제가 있기 때문에 정 변호사는 향후 클라우드컴퓨팅발전법에서 정보보호 측면이 강화될 가능성이 높다고 전했다.
이어 정 변호사는 클라우드컴퓨팅발전법의 주요 내용 및 보안담당자가 유의해야 할 사항에 대해 설명했다. 먼저 현재 클라우드컴퓨팅발전법과 다른 법률과의 충돌 및 중복 문제를 해결할 필요성이 있다는 점을 제기했다.
또한, 클라우드컴퓨팅 서비스 계약은 당사자들이 대면해 체결하기보다는 온라인에서 비대면 접촉으로 체결되는 경우가 대부분으로, 전자약관의 형태를 띄게 되는데, 이용자가 전자약관을 쉽게 인식할 수 있는 상태로 게시해야 하고, 서비스 협약서에 보안 및 프라이버시 관련 의무조항을 포함해 계약상 요구사항을 명시해야 한다는 조항도 각별히 신경써야 한다는 게 정 변호사의 설명이다.
정 변호사의 설명에 따르면 클라우드컴퓨팅 서비스는 개인정보보호에 관해 ‘개인정보보호법’, ‘정보통신망법’ 등이 적용되므로, 관련 법률에 따라 거버넌스, 데이터의 위치, 내부자 접근, 가상 네트워크 환경 보호 등의 안전성 확보조치를 해야 한다.
만약 침해사고가 발생해 이용자 정보가 유출되거나 서비스 중단이 발생한 경우, 즉시 그 사실을 미래창조과학부장관에게 알리고 전화, 휴대전화, 우편, 전자우편, 문자메시지 인터넷 홈페이지 게시 등의 방법으로 이용자에게 알려야 한다.
클라우드컴퓨팅 서비스는 서비스 도중 장애 발생시간이 월 누적 3.6시간 이내로 유지될 수 있게 하는 등 지속적인 성능의 평가가 필요하고, 개인정보의 취급위탁에 따른 위탁자의 관리·감독 책임이 문제가 될 수 있다. 또한, 개인정보의 국외 이전에 따른 법적 쟁점도 최근 이슈로 떠오르고 있는데, 이용자는 자신의 정보가 저장되는 국가의 명칭을 알려줄 것을 요구할 수 있다.
마지막으로 정 변호사는 클라우드컴퓨팅발전법의 입법 개선방향에 대해 전했다. “클라우드컴퓨팅발전법을 살펴보면 진흥을 위한 내용이 대부분인데, 현재는 산업이 초기단계임을 감안하더라도 향후에는 이용자 보호를 위해 개정 필요성이 제기될 수 있다. 또한, 클라우드컴퓨팅은 정보가 집적되어 있어 침해사고가 발생할 경우 그 피해가 매우 심각한데, 현행법에서는 침해사고 예방을 위한 방안이 미흡해 정보보호 기준 등의 관련 고시 제정이 필요하다.”
덧붙여 그는 클라우드컴퓨팅의 가용성 보장을 위해 이행보증보험제도 도입 등 서비스 안정성 확보 방안이 마련되어야 한다고 설명했다.
[글 시큐리티월드 민세아 기자(sw@infothe.com)]
<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
