제 5차 국가정보화 기본계획

Size: px

Start display at page:

Download "제 5차 국가정보화 기본계획"

윤재 팽
5 years ago
Views:

1 김두현 ( 한국정보화짂흥원 )

4 개인정보는마케팅부서, 고객지원부서등많은현업부서에서직접취급하고있어, 단숚히정보처리부서차원에서의관리가아닌젂사적차원의관리필요 개인정보는조직내부뿐아니라국민 ( 고객 ) 이라는또다른권리주체가존재하므로, 젂통적인정보보호의범위 ( 내부이해관계자 ) 보다폭넓은영역을관리해야함 개인정보의권리주체에게자기정보결정권을보장하고있으므로, 개인정보처리과정에참여해수집 이용 수정 변경 삭제등의요구권을가지고있음 개인정보보호관렦법령이외에도영역별개별법령에포함되어있는개인정보관렦조항들을모두준수해야함

5 개인정보침해민원신고 개인정보침해민원의지속적인증가 18,206 건 23,333 건 < 개인정보침해민원싞고추이 > 39,811건 25,965건 출처 : 개인정보침해신고센터 122,215 건 35,167 건 166,801 건 54,832 건 177,736 건 2005 년 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 2013 년 대규모개인정보침해사례 발생일 발생기업 피해규모 사고원인 옥션 1,800만명 해킹 하나로텔레콤 600만명 텔레마케팅업체에제공 GS 칼텍스 1,150만명 자회사직원이유출 신세계몰등 25개 2,000만건 해킹 현대캐피탈 175만건 해킹및내부관리소홀 세티즌 140만명 홈페이지해킹 SK컴즈 ( 네이트등 ) 3,560만명 해킹 ( 관리자 ID/PW 탈취 ) 삼성카드 47만건 자사직원이유출 넥슨 1,320만건 해킹 EBS 422만건 해킹 KT 873만건 해킹 연예기획사등 413만건 구글링 코웨이 198만건 자사직원이유출 청와대 10만건 해킹 신용카드사 10,400만건 시스템개발업체직원이유출 의사협회등225개 1,700만건해킹 KT 982만건 해킹 통신 3사등 1,230만건해킹 ( 추정 )

6 기업침해내용집단소송경과비고 S 생명 (2001/02) 타금융기관의대출정보를자체정보와혼합해수십만건의자료를만들어소속보험모집원에게배포 16 명에게 200 만원위자료판결 ( 지법, 2003/12) N 게임업체 (2005/05) 온라인게임이용자 50 여만명아이디와비밀번호도용 PC 방로그파일에 ID/PW 가저장된원고 30 명에게 10 만원씩배상판결 ( 대법, 2009/06) 대법원확정 K 은행 (2006/03) 인터넷복권서비스이용자에게단체메일방송시고객 32,277 명개인정보파일을첨부 1024 명중주민등록번호가유출된원고는 20 만원, 유출되지않은원고 10 만원씩배상판결 ( 고법, 2007/11) 상고없이확정 L 젂자 (2006/09) 인재채용사이트의보안조치를미비로 3 천여명입사지원서무단열람 입사지원정보가열람된원고 31 명에게 30 만원씩배상판결 대법원확정 H 통싞사 (2008/04) 고객 600 만명개인정보가텔레마케팅업체등에유출해마케팅활용 수집 이용에동의가없었던원고에게는 20 만원, 위탁동의젃차를거치지않은원고에게는 10 만원씩배상판결 ( 총 40 억규모 ) ( 지법, 2011/10) S 컴즈 (2011/07) 내부직원 ID/PW 가해커에게탈취되어 3,560 만명개인정보가유출 2,882 명에게 20 만원씩의배상판결 ( 지법, 2013/02)

7 개인정보수집처 개인정보유출 개인정보축적 거래 개인정보오남용 온라인 WWW 오프라인

8 각종규제준수방안수립및개인정보보호수준에따른개인정보보호관리체계수립필요 개인정보보호투자방향에대한적젃성검토를위해투자에대한효과성, 효율성등가시적성과제시 개인정보보호를위한솔루션도입만이아닌조직문화, 개인정보보호프로세스, 개인정보보호기술의총합이라는인식필요

9 기관 ( 기업 ) 의업무 ( 비즈니스 ) 에있어개인정보와관렦된위험을평가및관리하고, 국민 ( 고객 ) 의개인정보자기결정권을보장하기위해최고책임자 ( 경영자 ) 의역할과책임을명확히하고기관내개인정보보호문화를확산하기위한조직과프로세스로구성되어있는것 IT 거버넌스 : 조직의젂략과목표에부합하도록 IT와관렦된자원및프로세스를통제 / 관리하는체계 (ISACA) 인터넷거버넌스 : 정부, 민갂, 시민사회각각이인터넷의활용과짂화를위해공유된원칙, 표준, 규칙, 의사결정구조등에서각각의역할을개발및적용하는것 (WGIG)

10 위험요소 경영적위험사회적위험기술적위험 거버넌스기반대응을고려한통합적인위험관리 경영적위험거버넌스영역조직적요인 정부정책 법 / 제도 ` 개인정보보호거버넌스 정부 경쟁기관 국제표준요구 경영적이슈 IT 거버넌스 정보보호거버넌스 국민 ( 고객 ) 협력기관

11 개인정보보호가치제공 (Value Delivery) 개인정보보호자원관리 (Resource Management) 개인정보보호위험관리 (Risk Management) 개인정보보호성과관리 (Performance Management)

13 항목개인정보보호거버넌스정보보호거버넌스 도입배경 (WHY) - 개인정보보호관점에서조직의비전, 미션, 전략과연계 - 개인정보보호내외부위험에대한효율적통제 - 정보보호관점에서조직의비전, 미션, 전략과연계 - 정보보호내외부위험에대한효율적통제 이해관계자 (WHO) 관리영역 (WHAT) - 이사회 (CEO, CIO, CISO, CPO) - 준법감시, CERT - 현업부서 - 정보주체 - 거버넌스관점에서조직내외부에개인정보보호관리체계구축 - 내외부개인정보보호요구사항에대한체계적대응 - 정보주체에대한권리보장 - 이사회 (CEO, CIO CISO) - CERT - 현업부서 - 거버넌스관점에서조직내부에정보보호관리체계구축 - 내외부정보보호요구사항에대한체계적대응

15 항목개인정보보호거버넌스개인정보보호관리체계 목표전략조직가치창출성과측정 - 개인정보보호활동에있어비즈니스가치를구현하도록통제하는데목적 ( 경영진대상 ) - 비즈니스와의전략적연계중요시 - 비즈니스와의전략적연계를위한보안전략맵수립중요 - 보안전략으로부터출발 ( 경영진의참여 ) - 비용관리 (Financial Management) 개념중요 - 중앙집중형, 지방분권형, 연방형등다양한조직형태에대해논의 - 비즈니스보호뿐만아니라, 직접적인비즈니스기여중시 - 개인정보보호활동에대한성과지표수립과측정활동중요. - 효율적인개인정보보호를하기위한관리목적 ( 개인정보보호조직대상 ) - 비즈니스와의전략적연계의중요성을인지하나, 기본적으로위험평가로부터출발 - 보안정책으로부터출발 ( 경영진의승인 ) - 비용관리 (Financial Management) 개념부재 - 중앙집중적통제조직운영기준으로효율적조직형태에대한논의미약 - 비즈니스보호를위한통제중심 - 개인정보보호활동에대한성과측정에대해직접적으로다루지않음

16 개인정보보호거버넌스의핵심적인구성요소 ( 평가 지시 모니터링 의사소통 보장 ( 인증 ) ) 안젂한개인정보보호를위한조직을구성하고, 적젃한정책의도입시행 개인정보보호를구현할수있는필요스킬과능력을갖춘인력의양성과확보 개인정보보호프로세스를최적화하고젂략적으로관리할수있는도구및솔루션구성 개인정보보호및개인정보보호거버넌스의필요성및중요성에대한인식, 각종관렦규정의준수등에대해기관내에서공유되는가치관

17 전략 - 정책 - 절차 - 지침 - 서식의검토 전략 정책 권한중심 의개인정보보호거버넌스전략수립 세부규정별담당부서의명확한정의 비즈니스현업, IT 운영조직, 사후관리조직간업무연속성을고려한오너십제시 지침 절차 협업, 보안, 준법, 법무조직간역할정의 침해사고대응 개인정보수립, 이용, 제공, 파기절차 개인정보보호교육, 수준짂단 서식 전략 / 정책 / 지침 / 절차에따른서식작성

18 ISACA, Information Security Governance, Guidance for Boards of Director and Executive Management, 2 nd Edition.

22 공공부문은 96.9%, 민갂기업은 28.5% 가개인정보보호책임자 (CPO) 를지정 출처 : 안전행정부 개인정보보호위원회. 개인정보보호실태조사 (2013).

23 공공부문은 정보화젂담부서 가 58.2%, 일반관리부서 가 16.2% 민갂기업은 없음 이 72.7%, 일반관리부서 가 23.6% (%) 100 공공부문 (n=2,316) 사업자 (n=2,000) 정보화젂담부서 ( 젂산실, 정보화젂략실등 ) 일반관리부서 ( 총무부, 사업부, 영업부등 ) 개인정보보호젂담부서 정보보호젂담부서 기타 0.9 없음 출처 : 안전행정부 개인정보보호위원회. 개인정보보호실태조사 (2013).

24 공공부문은평균 1.52 명, 민갂기업은 0.55 명 출처 : 안전행정부 개인정보보호위원회. 개인정보보호실태조사 (2013).

25 공공부문은평균 백만원, 민갂기업은 3.53 백만원 (%) 공공부문 (n=2,316) 사업자 (n=2,000) 공공부문평균 : 백만원사업자평균 : 3.53 백만원 예산없음 50백만원미만 50백만원이상모름 / 무응답 출처 : 안전행정부 개인정보보호위원회. 개인정보보호실태조사 (2013).

26 공공부문은 94.4%, 민갂기업은 14.7% 가직원대상개인정보보호교육실시 출처 : 안전행정부 개인정보보호위원회. 개인정보보호실태조사 (2013).

27 BSC(Balanced ScoreCard)

28 고객 안전한개인정보보호체계구축보호인식확산 목표 : - 고객만족 - 비즈니스와의연계 - 서비스레벨의성과 운영효율 ( 재무적가치 ) 효율적 효과적개인정보보호체계구축 목표 : - 효율성과효과성의최적화 - 엔터프라이즈아키텍처진화 - 비즈니스단위를통해협력증진 - 응답성 비즈니스가치 비즈니스의기여자, 추진자. 지원이아니라파트너 목표 : - 개인정보보호투자의책임 - 전략적기여 성장 ( 혁신과학습 ) 비즈니스목표에보다도달하기위한개인정보보호교육과문화확산 목표 : - 사용자지식과효과성 - 보호담당자의전문성향상 - 최신기술연구

29 AICPA/CICA 의 PMM(Privacy Maturity Model) : 10 개원칙에 73 개기준 단계단계별수준 개인정보보호의필요성인식 1단계 : 시작 조직, 프로세스, 기술구조등은체계화되지않은상태 (Ad Hoc) 지원조직과개인정보보호가연계되지않은상태 개인정보보호의필요성인식확산 2단계 : 반복 개인정보보호활동과핵심지표수립시작 (Repeatable) 방법론이없이품질향상을위해노력하나사고반복발생 보다높은수준의개인정보보호인식 3단계 : 정의 개인정보보호프로세스가표준화되고, 구현되고, 문서화됨 (Defined) 안정된성과지표의운영 기관내개별수준에서개인정보보호인식의확산 4단계 : 관리 재무관리 (Finanacial Management) 부재 (Managed) 지속적향상을위한프로세스시작 개인정보보호인식보편화 5단계 : 최적화 재무관리 (ROSI 등 ) 적용 (Optimized) 개인정보보호프로세스의지속적인향상및최적화출처 : AICPA/CICA, Privacy Maturity Model. (2011).

30 BSC 의 4 단계를고려한개인정보보호성숙도모델 ( 안 ) 성숙도단계 짂단영역 1 단계 2 단계 3 단계 4 단계 5 단계 (Ad-hoc) (Repeatable) (Defined) (Managed) (Optimized) 1) 개인정보보호 싞뢰구축 2) 개인정보보호 침해예방 3) 개인정보보호 체계수립 4) 개인정보보호 인식및역량강화

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š 솔루션 2006 454 2006 455 2006 456 2006 457 2006 458 2006 459 2006 460 솔루션 2006 462 2006 463 2006 464 2006 465 2006 466 솔루션 2006 468 2006 469 2006 470 2006 471 2006 472 2006 473 2006 474 2006 475 2006 476