CxO 가알아야할 정보보안 강은성지음
CxO 가알아야할 정보보안 강은성지음
CxO 가알아야할정보보안 초판발행 2015 년 2 월 26 일 지은이강은성펴낸곳한빛미디어 ( 주 ) / 주소서울시마포구양화로 7길 83 한빛미디어 ( 주 ) IT출판부전화 02-325-5544 / 팩스 02-336-7124 등록 1999년 6월 24일제10-1779호 ISBN 978-89-6848-751-4 15000 / 정가 15,800원 총괄배용석 / 책임편집김창수 / 기획 편집정지연디자인표지 / 내지여동일, 조판최송실마케팅박상용 / 영업김형진, 김진불, 조유미 이책에대한의견이나오탈자및잘못된내용에대한수정정보는한빛미디어 ( 주 ) 의홈페이지나아래이메일로알려주십시오. 한빛미디어홈페이지 www.hanbit.co.kr / 이메일 ask@hanbit.co.kr Published by HANBIT Media, Inc. Printed in Korea Copyright c 2015 강은성 & HANBIT Media, Inc. 이책의저작권은강은성과한빛미디어 ( 주 ) 에있습니다. 저작권법에의해보호를받는저작물이므로무단복제및무단전재를금합니다. 지금하지않으면할수없는일이있습니다. 책으로펴내고싶은아이디어나원고를메일 (ebookwriter@hanbit.co.kr) 로보내주세요. 한빛미디어 ( 주 ) 는여러분의소중한경험과지식을기다리고있습니다.
저자서문 2014년은대한민국정보보호의역사에서한획을긋는해가될것같다. 새해벽두부터터진일련의대규모개인정보유출사건으로사회와기업에서정보보호를보는눈이크게달라졌다. 클라우드, 빅데이터, 사물인터넷등미래의정보기술을논의할때에도정보보호는중요하게다뤄진다. 이제우리사회의정보보호수준을높이지않으면겉으로화려해보이는단말과서비스, 인프라들이사상누각이될수도있다는우려를많은국민이하게된것같다. 정보보호전문업체에서연구소장과보안대응센터장으로서글로벌보안공격에대응하며정보보호제품을연구 개발했고, 무수한공격이들어오는대형포털회사에서최고보안책임자 (CSO) 겸개인정보호책임자 (CPO) 로수년간일한나역시그러한생각에완전히동의한다. 나는기업의정보보호수준을높이는것이사회의정보보호수준을높이는데관건이라고생각한다. 따라서정부와국회의입장이아니라기업의입장에서, 정보보호솔루션의공급자입장이아니라수요자입장에서, 그리고이용자와시민의입장이아니라정보보호책임자의입장에서정보보안을다루는것이매우중요하다. 기업이개인정보보호와정보보호의책임을다하지못했다는비난을받고있지만, 그렇기에더욱사업자와수요자, 정보보호책임자의마음으로생각하고지원하고실행하는것이필요하다. 정보보호책임자는기업에서정보보호최고책임자 (CISO), 최고보안책임자 (CSO), 개인정보보호 ( 관리 ) 책임자 (CPO), 신용정보관리 보호인, 정보보안팀장, 개인정보보호팀장등의직책을갖고있다. 이들은회사와사업의보안위험을최소화하기위해
정보보호거버넌스구축, 관리체계수립과중요자산보호, 위기관리, 규제대응의과제를감당해야한다. 그러기위해서는무엇보다보안임원뿐아니라 CEO를비롯한 CFO, CIO 등회사주요임원이스스로기업보안의주체임을인식하고적극적으로대응해야한다. 기업의주요위험인법규, 재무, 평판, 재난, 기밀 개인정보위험의대부분이기업의보안위험에포함되기때문이다. 이것이이책의제목을 CxO가알아야할정보보안 이라고붙인이유다. 이책의 1장에서는법과표준, 기업사례를바탕으로정보보호책임자의임무와업무를기술하였다. 2장은요즘기업보안의근간으로떠오르고있는정보보호거버넌스를실제기업의관점에서다뤘다. 이제정보보호는정보보호책임자혼자힘으로감당할수있는문제가아니라이사회와 CEO, C 레벨임원등회사의최고경영진들이다뤄야할회사차원의위험이기때문에회사의경영, 조직, 투자, 문화등회사의정보보호거버넌스업무를구체적으로살펴봤다. 3장은관리체계와중요자산보호업무에관한내용이다. 보안위험관리, 정보보호대책의수립과이행, 협업관리, 인력관리등대다수정보보호책임자들이가장많은시간을들이는업무의핵심적인관리포인트를짚고자했다. 4장은위기관리에관한장이다. 기존정보보호분야에서는사고대응정도로다루어온주제인데, 나는이걸기업의위기관리측면에서다뤄야한다고보기때문에위기관리를위기전업무와위기후업무로나누고구체적인예를들어상세하게기술하였다. 5장에서는규제대응을다뤘다. 법적규제가크게강화되면서기업입장에서이에대응하기위한구체적인방법에관심을갖다보니법전공자도아니면서법에대한이야기를길게쓰게되었다. 정보보호책임자가중점적으로보고대처해야할내용을중심으로기술하였다. 6장은정보보호
책임자의역량과업무처리에관한장이다. 다들본인이중요하게여기는역량과업무처리기술이있을것이다. 이장에서도필요한 생활의지혜 를얻어가길바란다. 여기에쓰여진내용은나의경험과연구가 1차적인바탕이되었지만, 정보보안분야주요리더의집단지성의소산이기도하다. 책을기획하면서어떤내용이들어가면좋을지조언을듣기도했고, 책을쓴뒤에는내용에대한의견도청취하여보완하였다. 이자리를빌어네이버이준호이사, 롯데카드최동근부문장, 넥슨신용석글로벌보안본부장, 네오위즈게임즈최중섭 CISO, 이베이코리아길기현상무등정보보호책임자와연세대정보대학원김범수교수, 정보보호전문업체 ( 주 ) 소만사의김대환대표이사등도움을주신모든분께깊이감사드린다. 특히이책의법관련부분을감수해주신강태욱변호사 ( 법무법인태평양 ) 께도이자리를빌어깊은감사의말씀을드린다. 집과도서관, 많은사람과의만남의장소를오가며책을쓰는동안 25년이훌쩍넘는직장생활중처음으로가족과오랫동안가까이할수있었던것은내게는매우특별한경험이었다. 늘함께하는가족이고맙다. 부족한점이많지만, 이책이좋지않은여건에서기업의정보보호업무를수행하는모든정보보호책임자와기업의보안실무자, 정보보안분야에관심을가지고준비하는청년, 청소년, 그리고무엇보다도기업경영에고민이많을 CEO를비롯한 CxO 여러분께조금이나마도움이된다면내게는더할나위없는기쁨이되겠다. 개포도서관에서강은성
저자소개 저자 _ 강은성 (CISO Lab 대표 ) 소프트웨어개발자로시작하여국내최대보안전문업체에서연구소장과시큐리티대응센터장을거쳐굴지의인터넷포털회사에서최고보안책임자 (CSO) 를역임한국내최고의보안전문가다. 그는대기업임원으로서기업보안을책임졌던리더십과보안현업에서얻은풍부한관리 기술적경험을토대로한국정보보호학회, 한국CPO포럼, 한국CSO협회등정보보호관련학회와협회에서활동하며이론적기반도탄탄히해왔다. 또한, 삼성전자소프트웨어센터와안철수연구소에서보안기술및제품을연구 개발한기술역량, SK커뮤니케이션즈에서의위기관리경험을바탕으로실효성있는기업보안거버넌스와정보보호대책, 보안위기관리방안을제안하고있다. 지금은 CISO Lab을설립하여보안위협의변화뿐아니라기업의조직변화, 법 규제같은기업환경의변화에대응하여 CEO, 정보보호최고책임자 (CISO), 개인정보보호책임자 (CPO) 등이해야할기업차원의보안위험대응전략을탐구하여기업보안컨설팅과보안교육을진행하고있다. 현재 < 아이뉴스24> 와 <CIO> 에보안칼럼 강은성의 CISO 스토리, 강은성의 Security Architect 를연재하며, 저서로는 IT시큐리티 ( 한울, 2009) 가있다.
감수자소개 감수자 _ 강태욱개인정보보호및지식재산권분야의전문변호사다. 2002년판사로임관한이래 2007년까지판사로근무하다가이후법무법인 ( 유한 ) 태평양에서현재까지구성원변호사로일하고있다. 법원에서지적재산권전담부에서근무한경험을바탕으로개인정보보호관련민 형사소송및자문, 지식재산권관련민 형사소송및자문, 전자상거래와게임등인터넷기업관련법률자문및소송업무를담당하고있다. 또한, 행정자치부개인정보보호법령해석심의위원, 국가지식재산위원회전문위원, 게임콘텐츠등급분류위원회위원, 한국저작권위원회찾아가는저작권종합서비스지원단전문위원등으로활발한사회활동을하고있으며, 개인정보보호업무에기여한공로를인정받아 2013년에안전행정부장관표창을받은바있다.
추천사 정보보호와관련된많은서적이출간되었으나실무경험을바탕으로실질적도움을줄수있는책이늘아쉬웠다. 이책은 SK커뮤니케이션즈의정보유출사건을대응하는과정에서의겪은경험을비롯하여수십년간보안현장에서얻어진생생한지식과대응책들이녹아있는보물창고라고생각한다. 특히, 금융, 공공등각분야에서의정보문화와거버넌스, 보안및인력관리체계와규제대응에관한내용은보안담당자와책임자가일상적으로겪는문제에대해생생한해결책을제시할것이다. 이책을정보보호를위해고민하는이들, 특히기업정보보호의최종책임자인경영진과정보보호책임자에게망설임없이추천할수있어서기쁘다. 정태명 ( 한국CPO포럼회장, OECD 정보보호분과부의장, 성균관대소프트웨어학과교수 ) 2013년 7월, 금융전산보안강화종합대책에서발표된 CIO 겸직금지에따라은행권최초로전임 CISO에임명되어, 지도에없는길을가야한다는개척자의마음으로시작했던기억이납니다. 이책에담긴법과표준에나타난 CISO 역할과저자가 CISO로서경험한타부서와협업에대한중요성은다른책에서는볼수없던부분입니다. 이책이보안이라는무거운책임을진보안담당자들에게든든한반려자가될것이라고믿습니다. 김종현 (KB국민은행정보보호본부장, 상무 )
The hindsight is always 20/20( 뒤돌아보면모든것이명확하다 ). 2000년대말부터해마다발생하고있는대형개인정보유출사고때문에최근에는기업마다 CISO라는별도의보안임원을두며, 보안에대한최고경영진의투자도활발한편이다. 하지만불과수년전만해도 CISO라는별도의직책이있는기업을찾기어려웠던것이현실이다. 그런데이책의저자인강은성대표는소프트웨어개발자로시작하여보안전문업체에서보안대응센터장과연구소장을거쳐국내굴지의인터넷기업에서최고보안책임자 (CISO) 를역임한 1세대전문 CISO이다. 현재는 CISO Lab을설립하여정보보호컨설팅과교육등을통해한국사회전반의보안수준을높이기위해동분서주하고있다. 본인도최고보안책임자로서빅데이터, 사물인터넷, 간편결제활성화등으로새로운보안이슈가등장할때마다강은성대표에게아이디어를구하곤한다. 강은성대표가이책의초안을건넸을때본인도이를읽으며그동안현장에서느꼈던많은부분이일목요연하게정리되었다. 특히제4장 ( 연습은실전처럼, 실전은없는게좋다 ) 의내용은 The hindsight is always 20/20( 뒤돌아보면모든것이명확하다 ) 는격언을생각나게하는생생한현장의가르침이라여러번곱씹으며읽었다. 현재 CISO로근무하는보안인, CISO를꿈꾸는보안인, 보안의중요성을알고싶은최고경영진에게이책은 탁상공론 이아니라발바닥에불이나도록뛰어다녔던전임 CISO가들려주는살아있는현장의가르침이되리라믿는다. 그리고본인또한부디이책을통하여한국기업의보안수준이크게향상되기를기대해본다. 이준호 ( 이사, NAVER CISO)
강은성대표는실전경험이풍부한정보보호전문가다. 정보보호전문업체에서보안대응센터장과연구소장으로서글로벌보안공격에대응하며정보보호제품을연구 개발했고, 무수한공격이들어오는대형포털회사에서최고보안책임자 (CSO) 겸개인정보관리책임자 (CPO) 로수년간일하였고, 그만큼다양한실무경험을갖춘정보보호전문가를찾아보기힘들다. 강대표와한국CPO포럼에서오랫동안같이활동하면서정보보호의현실을토론할때마다그가보여준깊이있는통찰력을자주보아온나로서는이책의가치가얼마나큰지잘알고있다. 일련의대형정보유출사태가불러온강한법규제는정보보호를법적책임의영역으로끌어들였다. 기업이정보보호를잘하도록그가던지는메시지는핵심적이다. 기업내부의정보보호거버넌스, 정보자산관리체계, 위기관리체계에걸쳐알토란같은노하우가흘러넘친다. 법규제에대해심도있고체계있게정리하여일목요연하게알수있도록정리한것도이책의장점이다. 이책은 IOT 시대에기업을운영하는 CEO의필독서다. 구태언 ( 테크앤로법률사무소대표변호사 )
직장인으로서정보보호임원 (CISO) 을꿈꾼다면필독을권한다. CISO는평상시에대표이사와마케팅, CRM, 재무, CIO 부서등회사의주요이해당사자와어떻게커뮤니케이션을하고이들을설득해야하는가, 개인정보유출사고발생시검찰, 경찰, KISA, 금감원, 방통위, 미래부, 행자부, 변호사, 자문교수, 언론등과어떻게커뮤니케이션을해야하는가하는질문에대한답을얻을수있는, 현재까지내가알고있는바로는유일한책이다. 대기업 CISO로서 5년동안의경험을바탕으로솔직하고, 가감없는내용을담고있어서, 강은성대표본인만의핵심노하우가너무공개하는것은아닌지살짝우려되기도한다. 이책이널리퍼져서우리나라보안생태계의수준이한단계더높아지기를바란다. 김대환 (( 주 ) 소만사대표이사, 고려대학교기술경영전문대학원겸임교수 )
차례 정보보호책임자 001 정보보호의목적 _002 개인정보보호와정보보호 _006 정보보호최고책임자 _009 개인정보보호책임자 _017 정보보호책임자의업무 _024 2 지금우리에게필요한것은? 정보보호거버넌스 031 정보보호거버넌스란? _032 주요거버넌스업무 _034 정보보호책임자와정보보호조직 _040 정보보호투자 _055 정보보호투자의성과측정 _065 보안문화 _071
차례 3 공격관점에서방어관점으로! 관리체계와중요자산보호 079 보안위험관리 _082 정보보호대책수립과이행관리 _085 협업관리 _101 정보보호교육및인식제고 _109 정보보호조직관리 _111 4 연습은실전처럼실전은없는게좋다위기관리 119 정보보호위기와위기관리체계 _123 정보보호사건처리 _132 정보보호위기관리 위기전업무 _144 정보보호위기관리 위기후업무 _153 정보보호위기관리를위한추가방안 _182
5 멀리하고싶지만가까이있는당신규제대응 188 규제의종류 _190 법적규제 _193 규제대응 _253 6 울며겨자먹기? 핵심역량과 생활의지혜 265 정보보호책임자의핵심역량 _267 정보보호책임자의 생활의지혜 _282
1 즐기는자가 이긴다! 정보보호책임자 정보보호의목적개인정보보호와정보보호정보보호최고책임자개인정보보호책임자정보보호책임자의업무
매일아침습관처럼검색사이트에서 개인정보유출 이라는단어를검색하곤 한다. 하루도관련기사가나오지않는날이없을정도다. 사건자체가최근에 발생한것도있지만, 많은사건은과거에난것이요즘밝혀진것들이다. 수사 당국에서강력한수사를천명하고수사한성과인것같다. 기업에서최고보안책임자 CSO, Chief Security Officer CPO, Chief 겸개인정보보호책임자 Privacy Officer 로일했던나로서는이런기사들을읽을때마다마음이편하지않다. 나도한사람의시민이자고객으로서주장할바가있지만, 기업에서개인정보 를비롯한중요자산을보호하는일을해왔고, 현재시소랩 CISOLab 이라는구멍 가게를열고하는사업역시기업이당면한정보보호위험을평가하고보안대 책을세워정보보호위기를대비하는일이기때문이다. 그런기사를읽게되면 분노하기보다는자료를찾아원인을분석함으로써기업이보안사고를예방하 고위기발생시올바르게대응함으로써피해를최소화하는방안을연구한다. 이러한문제의식에서 1 장에서는이후이책의내용을관통하는핵심적인틀을 정립하고자한다. 기업밖에서들려오는많은주장과논리가있지만, 기업관 점에서, 그리고정보보호최고책임자 CISO, Chief Information Security Officer 나개인정보 보호책임자등기업의정보보호책임자관점에서이것을재해석하고대처방향 과전략을잡아나가는게중요하리라생각된다. 정보보호의목적 기업에서정보보호를왜하는가? 상투적인질문이지만한번쯤은짚고넘어가 002
야할질문이다. 정보보호책임자자신이나산하구성원들에게도명쾌한논리가필요하며회사내다른부서의임원, 직책자, 구성원들과커뮤니케이션할때쓸수도있다. 정보보호분야에서는전통적으로이질문에세가지답변을해왔다. 첫째, 사업을보호하기위해서다. 보안을소홀히해서고객정보가대량유출되거나산업기밀, 영업비밀이경쟁자에게유출되면사업이어려워질수있고, 그에따라회사가큰영향을받을수있다. 2013년미국의 2위소매유통업체인 Target사에서발생한 1억 1천만건의개인정보유출사건이나 2014년 1월국내카드사들의대규모개인정보유출사건을기업에서는심각하게받아들이고있다. 해킹으로네트워크가마비되거나서비스가중단되는것역시인터넷기반사업에중대한위협이될수있다. 사업을지속하려면이러한내 외부의보안위험을예방하고, 사고발생시신속하고정확한대응으로기업의위기를최소화해야한다. 둘째, 사업을시작하기위해서다. 어떤사업은정보보호없이는시작할수없다. 예를들어, 온라인교육사업을시작한다면이제는 정보통신망이용촉진및정보보호등에관한법률 ( 정보통신망법 ) 에서규정한개인정보취급방침을갖추고, 서비스개발시고객의개인정보를수집 이용 제공하는데대한고객의동의를받아야하며, 개인정보를보호하기위한기술적 관리적보호조치또한구축해야한다. 이런최소한의조치없이는고객이모이지도않고, 문제발생시과태료, 과징금과같은행정처분뿐아니라형사처벌을받을수도있다. 즉, 사업을시작하지않는것이더나은상황이될수도있다. 003
셋째, 고객가치를창출하기위해서다. 보안제품이아니면서보안기능이고객가치를창출하는경우는거의없었다. 보안에대한고객의욕구가증가하면서스마트폰에지문인식등개인인증기능이추가되었고, 팬택사의베가스마트폰에들어간시크릿기능은일반제품에서보안기능이고객가치를창출하는새로운장을열었다. 이제개인정보이슈가큰금융부문에서도정보보호를강조하는흐름이나타날가능성이보인다. 정보보호의목적에대한이러한전통적답변은회사의사업적관점에서여전히유효하고, 고위임원이나사업책임을진부서장에게는절실하게느껴질수있다. 하지만임직원에따라서는이를실감하지못하는경우가있다. 전통적인답변의의미를포함하면서임직원개인에게좀더직관적으로느껴지는답변이없을까고민해오다가다음과같이정리하였다. 첫째, 나와동료의 성과 를지키기위해서다. 보험사업의핵심은개인고객을모집하는일이다. 한사람의개인고객이모집되면이고객에게다양한상품을판매할수있고, 이고객을통해다른고객이추가로유입될수도있다. 다른말로표현하면보험사업의핵심은고객의개인정보를수집하는일이다. 은행, 증권, 카드, 캐피탈등금융회사의사업은모두개인정보확보가핵심경쟁력이다. 이외에도이동통신사업, 학습지사업등개인정보기반의사업은매우많다. 이렇게임직원이확보한개인정보를도난당하면사업지속성에도타격이있지만, 무엇보다도임직원의노력이헛되게된다. 개인정보를지키기위해보안을강화하는일은바로나와동료, 부하직원이흘린땀의성과를지키는일이다. 004
둘째. 나와동료의위험을줄이기위해서다. 01 회사임직원이고객의주민등록번호를자신의 PC에암호화하지않은채로저장한것이적발되면, 사업자가개인정보보호법과정보통신망법위반으로과태료를부과받을수있다. 실제로회사가이런과태료처분을받는다면개인에게도불이익이돌아갈것이다. 더욱이전 현직개인정보취급자가퇴사하면서자신의 PC를통째로백업받아서그것을가지고나간다면형사처벌을받을수있는개인정보유출사건이될수있다. 이를막기위해서는회사와구성원이개인 PC에암호화하지않은개인정보를갖고있지않도록노력하고, 개인정보탐지및암호화솔루션을회사의모든 PC에적용하는것이좋다. 회사에서이솔루션을구매하여제공하는것은회사를위한일이기도하지만동시에내위험을줄이는일이기도하다. 이러한상황은내동료에게도발생할수있다. 이를예방하기위해정보보호조직이하는활동은동료를위한활동이기도한것이다. 정보보호인력들은이러한사명감과자부심을품고업무를하기바란다. 그밖에도각자가처한환경과개인특성에따라다양한정보보호의목적이있을것이다. 그것이무엇이든나와부서원이하는정보보호활동이회사의사업과동료, 부하직원을위한것이라는믿음이있으면좋겠다. 구성원의불편을일부초래하기도하지만그래야일이재미있고, 어려운일이있어도헤쳐나갈수있다. 또한, 이런관점을가지면정보보호업무의주체는정보보호조직만이아닌모든구성원이되고, 정보보호활동은각자가자신을위해하는활동이된다. 01 저자주 _ 정보보호의목적이나와동료의성과를지키기위한것이라는첫째설명은사업지속성을위한전통적인설명과일치한다. 정보보호활동의적극적인측면, 또는회사의긍정적측면의지원이라고부를수있다. 그에반해나와동료의자리를지키는둘째목적은정보보호활동의소극적측면, 또는회사의부정적측면의보완이라고설명할수있다. 005
개인정보보호와정보보호 앞에서눈치챘을지모르겠다. 정보보호의목적이라고쓴내용은개인정보보호의목적이라고바꿔불러도별무리가없다. 정보보호의목적을설명하는일부내용에그예로개인정보보호를넣기도했다. 전통적으로정보보호 Information Security 에서보호하려는대상은정보자산 Information Asset 이다. 정보자산에는크게정보 ( 콘텐츠 ) 와그것을처리하는정보처리시스템이포함된다. 대표적인정보로는금융정보, 신용정보, 산업기밀, 마케팅정보, 의료정보, 군사정보, 개인정보가있다. 따라서개인정보는정보보호대상의하나인셈이다. 하지만개인정보는기업에서관리하는다른정보들과차이가있다. 개인정보는사업자가정보주체 ( 고객 ) 의동의를받아서수집 이용하는, 정보주체에관한, 정보주체소유의정보다. 특히, 고객개인정보기반의사업이많다보니사업자가정보주체의동의없이개인정보를자신의이익을위해활용하여고객에게피해를줄수있다. 즉산업기밀이나마케팅정보등정보보호의다른대상과는달리개인정보는사업자와정보소유자의이해관계가상충할수있다. 그래서개인정보관련법규들은수집 보관 이용 제공 파기의개인정보생명주기에서사업자의의무를세부적으로규정하고있다. 예를들어, 개인정보를수집 이용하거나제3자에게제공할때반드시정보주체의동의를받아야하고, 동의받은목적안에서만그것을활용해야하며, 정보주체가자신의개인정보의열람 정정등을요구하거나개인정보사고등이발생했을때정보주체와책임있게소통해야한다. 개인정보보호에관한사항을일반법으로집대성한개인정보보호법 006
이나정보통신서비스제공자 02 에게적용되는정보통신망법의개인정보보호조항들, 신용정보법의개인신용정보보호에관한조항들이바로그것이다. 이는정보보호에서다루는다른정보와개인정보사이의가장큰차이점이다. 또한, 개인정보보호관련법규에서는사업자가수집하여이용하는개인정보를안전하게관리할것을규정하였다. 이법들의소관부처에제정한관련고시에는개인정보를보호하기위한관리적 기술적 물리적보호조치가상세하게기술되어있다. 개인정보보호법의 개인정보의안전성확보조치기준 ( 행정자치부의고시 ), 정보통신망법의 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시 ), 신용정보법의 신용정보업감독규정 ( 금융위원회고시 ) 중 기술적 물리적 관리적보안대책마련기준 ( 제20조별표3) 이바로그것이다. 이름도매우비슷한이세고시는개인 ( 신용 ) 정보를보호하기위해접근권한관리, 비밀번호관리, 접근통제시스템운영, 접속기록보관같은대부분의공통적인내용과물리적보안, 영상정보처리기기보안등법적용부문의특성을반영한약간의조항으로이뤄져있다. 전체적으로이러한개인정보안전성확보대책은 DB 보안, 서버보안등 IT 인프라보안과서비스및애플리케이션보안, 콘텐츠보안, 개발보안등전통적으로정보보호에서다뤄온주제와별반다르지않다. 종합하면개인정보보호와정보보호는중요자산을안전하게보호하기위한많은공통점과개인정보생명주기동안정보주체의권리를보호하기위한사업자의의무라는개인정보특성에서오는일부차이점이있다. 02 저자주 _ 정보통신서비스제공자는 전기통신사업자와전기통신사업자의전기통신역무를이용하여영리적인목적으로정보를제공하거나정보의제공을매개하는자 ( 정보통신망법제2조 1항 ) 인데, 한마디로하면통신사업자와통신사업자의망을이용하여서비스를제공하는영리사업자다. 인터넷을이용하는비영리제공자인정부나시민단체등은여기에포함되지않는다. 이책에서는주로제공자라는가치중립적인표현보다는사업자라고해서좀더영리적인목적이있음을표현하고자했다. 007
많은기업에서개인정보는보호해야할여러정보중가장중요한정보의하나다. 은행, 보험사등금융회사뿐아니라건설사, 통신사, 게임사, 쇼핑몰, 여행사등개인고객을상대하는모든회사에서고객의개인정보는사업의바탕을이룬다. 이는개인정보의종류나양에서약간의차이가있을뿐이다. 이러한기업에서개인정보는그무엇보다도보호해야할핵심자산이다. 휴대폰이나자동차등과거에는물건만팔면되던제조업체도이제는사후서비스, 기술지원등을온라인으로제공함으로써고객과의지속적인커뮤니케이션을시도한다. 제조업체에서도산업기밀뿐아니라수집한개인정보의보호역시중요한과제가되었다. B2B 사업자는개인정보수집의필요성이상대적으로덜하다. 철강, 반도체, 조선등기업고객대상의사업자는대부분설계도와같은산업기밀의보호가정보보호의핵심과제로여겨져왔다. 하지만개인정보보호법이시행된이후로임직원과협력업체, 대리점, 투자자등비고객의개인정보역시개인정보보호의대상이되어서개인정보보호도소홀히할수없는업무가되었다. B2C, B2B 사업자를막론하고대다수기업에서개인정보가정보보호의핵심대상이된것이다. 기업의정보보안팀이참여하는침해사고대응팀협의회 (CONCERT) 에는약 320 개의회원사가있다. 이는우리나라에적어도 320개이상의회사에팀또는파트수준의정보보호조직이있다는것을뜻한다. 이조직들이기업중요자산의관리적 기술적 물리적보안을담당하고있다. 이는개인정보보호와정보보호의공통부분이다. 개인정보생명주기에서정보주체의동의와같이개인정보보호에특수한부분은개인정보담당자가담당하는것이보통이다. 별도의개인정보보호조직에속한인력은많지않지만말이다. 008
업무측면에서는개인정보담당자가좀더법과가까이있으면서법에기반을둔개인정보보호정책과지침을수립하여전사적으로추진하는업무를담당한다. 개인정보담당자중법전공자를종종만나게되는이유다. 이들은서비스기획부서나법무부서, 고객대응부서와의협업도필수고, 개인정보영향평가나개인정보수탁사관리업무도담당한다. 정보보호담당자들은전사정보보호정책과지침을수립하고, 회사의중요자산을보호하기위한관리적 기술적 물리적보호대책을수립하며협업부서와함께구현한다. 개인정보담당자보다보안이나 IT 출신인력이많이포진해있다. 정보의특성, 기업과조직, 업무등여러측면에서볼때개인정보보호와정보보호는법적, 기업적, 조직적, 업무적측면에서통합적으로이해하고관리해야한다고여겨이책에서는별도로표시하지않으면정보보호업무에개인정보보호업무가포함되는것으로가정하였다. CPO도법률뿐아니라기술적 관리적보안대책도이해하길바라고, CISO도개인정보를비롯한정보보호관련법규에익숙해지기를바란다. 그래야어떤직무를맡은정보보호책임자든지개인정보를비롯한기업의중요자산을지킬수있다. 정보보호최고책임자 정보보호분야에서법이미치는영향이갈수록커지고있다. 여섯달도안되는짧은기간이었지만처음 CSO를맡았던 2008년만해도법적이슈가크지않았다. 법에서정한정보보호관련내용을들여다보기는했지만 밑줄쫙쫙치면서 상세하게읽을필요는느끼지못했다. 그보다정보보호업무를잘해내는것이훨씬중요했다. 하지만시대가확실히바뀌었다. CISO( 정보보호최고책임자 ) 의 009
중요한역량중의하나가정보보호관련법규정을정책과기술관점에서풀어내는것이되었다. 이것이 CISO의임무와업무를얘기하면서법얘기부터꺼내는이유다. 2013년몇몇은행과언론사의전산망마비로사회적물의를빚은 3 20 사태이후금융권의 CIO-CISO 분리가사회적관심사로떠올랐다. 전자금융거래법에는 금융회사또는전자금융업자는전자금융업무및그기반이되는정보기술부문보안을총괄하여책임질정보보호최고책임자를지정하여야한다 ( 제21 조의2 제1항 ) 고 CISO 지정이의무화되었지만, 3 20 사태때까지별도의 CISO 를임명한금융회사는거의없었다. 법의취지와는달리대부분금융회사에서는 CIO( 최고정보책임자 ) 가 CISO를겸임해온것이다. 3 20 사태이후금융권의정보보호이슈가큰사회적문제로대두하자같은해 7월금융위원회는 금융전산보안강화종합대책 에서 CISO의독립성강화를중요한의제로삼긴했지만, CIO와 CISO 분리대상의요건을자산 2조원, 직원수 300명에서자산 10조원, 직원수 1500명으로크게높이면서대상금융회사가 36개에불과해실효성은크지않으리라고예측됐다. 그러다가작년말부터 2014년상반기사이에은행과카드사에서대규모개인정보유출사건이발생하면서 CIO 와 CISO 분리가다시사회적관심사가되었고, 이를반영하여 2014년 10월에전자금융거래법개정되었다. CISO 조직을 CIO 조직으로부터분리한다고금융회사의정보보호문제가일거에해결되지는않을텐데이것을마치금융권정보보호수준의잣대인것처럼쓰는기사들을보면우려할만한점이있지만, 개인정보나금융정보, 신용정보, 전자금융시스템과같이국가경제의인프라이자대다수국민의금융자산을관리하는일정규모이상의금융회사라면 CEO에게보고하는독립된임원 010
급 CISO의존재는필수불가결한것역시사실이다. CISO 지정을명시한또다른법은정보통신망법이다. 이법에서는임원급 CISO의지정을기업의선택에맡겼지만, 정보통신서비스기업중임원급전임 CISO가있는기업이있다. 이는보안의필요성을기업스스로느꼈기때문이다. 정보보호의중요성이날로높아지면서정보통신망법에서도일정규모이상의업체는임원급의 CISO 지정을의무화하는것으로개정되어 2014년 11월 29일부터시행되었다. 국가안전보장 행정 국방 치안 금융 통신 운송 에너지등의업무와관련된시스템과정보통신망보호를목적으로하는정보통신기반보호법에서도국가의 주요정보통신기반시설의보호에관한업무를총괄하는정보보호책임자를지정하여야한다 ( 제5조제4항 ) 고하였다. 법이이렇게변화하는추세라면향후 CISO를지정하는기업이상당히늘어날것으로보인다. 법에나타난 CISO 의업무 지금부터 CISO 의업무를좀더세부적으로살펴보자. 정보통신망법에는정보 보호최고책임자가다음업무를총괄한다고되어있다 ( 제 45 조의 3 제 3 항 ). 표 1-1 정보통신망법에나타난정보보호최고책임자의총괄업무 제 45 조의 3 제 3 항 분류 1 정보보호관리체계의수립및관리 운영 정보보호관리체계의수립 운영 2 정보보호취약점분석 평가및개선 보안취약점분석 3 침해사고의예방및대응 정보보호대책수립 이행, 사고대응 4 사전정보보호대책마련및보안조치설계 구현등 정보보호대책수립 이행 5 정보보호사전보안성검토 정보보호대책수립 이행 011
제 45 조의 3 제 3 항 분류 6 중요정보의암호화및보안서버적합성검토정보보호대책수립 이행 7 그밖에이법또는관계법령에따라정보보호를위하여필요한조치의이행 규제대응 이법조항을분류하면 CISO 는 정보보호관리체계의수립 운영 (1) 보안 취약점분석과정보보호대책수립 이행 (2, 3, 4, 5, 6), 사고대응 (3) 의업무를 총괄한다고할수있다. 전자금융거래법과그시행령을종합하면정보보호최고책임자는다음과같은 업무를수행한다 ( 제 21 조의 2 제 3 항, 시행령제 11 조의 3 제 2 항 ). 표 1-2 전자금융거래법과그시행령에나타난정보보호최고책임자의업무 03 제 21 조의 2 제 4 항 03 과시행령제 11 조의 3 제 2 항 1 전자금융거래의안정성확보및이용자보호를위한전략및계획의수립 분류 정보보호거버넌스수립 운영 2 정보기술부문의보호및관리정보보호대책수립 이행 3 정보기술부문의보안에필요한인력관리및예산편성정보보호관리체계의수립 운영 4 전자금융거래의사고예방및조치정보보호대책수립 이행, 사고대응 5 전자금융업무및그기반이되는정보기술부문보안을 위한자체심의에관한사항 정보보호대책수립 이행 6 정보기술부문보안에관한임직원교육에관한사항정보보호관리체계의수립 운영 크게보면전자금융거래와정보기술부문을포함하여 정보보호거버넌스수 립 (1) 정보보호관리체계의수립 운영 (3, 6) 정보보호대책의수립 이행 (2, 4, 5) 사고대응 (4) 을주요업무로분류할수있다. 전자금융거래부문에관한 03 저자주 _ 기존전자금융거래법제 21 조의 2 제 3 항에있던조항이 2014 년 10 월 15 일에개정되면서같은조제 4 항으로옮겨졌다. 시행일은 2015 년 4 월 16 일이다. 012
사항은금융위원회고시인전자금융감독규정제3장 전자금융거래의안전성확보및이용자보호 와연결된다. 정보보호조직의장으로서 CISO의업무에관해서는금융위원회와금융감독원이펴낸 금융회사정보기술 (IT) 부문보호업무이행지침 (2014) 도참고할만하다. 04 정보통신기반보호법과그시행령을종합하면정보보호책임자의업무는다음과 같다 ( 제 5 조제 5 항, 시행령제 9 조제 2 항 ). 표 1-3 정보통신기반보호법과그시행령에나타난정보보호책임자의업무 제5조제5항과시행령제9조제2항 1 주요정보통신기반시설을안전하게보호하기위한물리적 기술적대책을포함한관리대책의수립 시행 2 주요정보통신기반시설보호대책의수립, 침해사고예방및복구에필요한기술적지원의요청 분류정보보호대책수립 이행정보보호대책수립 이행, 사고대응 3 주요정보통신기반시설의취약점분석 평가및이를수행하는전담반구성보안취약점분석 4 주요정보통신기반시설의보호에필요한조치명령또는권고의이행규제대응 04 저자주 _ 금융회사정보기술 (IT) 부문보호업무이행지침 (2014) 별첨1 정보기술부문의주요업무예시 중 4. IT 정보보호 에다음 13가지를꼽고있다. 정보보호조직업무작성시참고할만하여여기에옮긴다. 취약점분석 평가및그이행계획수립및시행 내부정보보호정책수립및정보보호관련규정 지침제 개정 정보보호아키텍처유지관리 정보보호교육계획수립및교육실시 전자금융및정보기술부문관련보안성검토 전자금융관련정보보호대책수립및시행 모의해킹, 디도스대응훈련등비상대응훈련계획수립및실시 IT 내부통제 ( 법규준수포함 ) 관리 침해시도에대한실시간보안관제및통합보안관제시스템운영 외부직원출입통제및노트북, USB 등반출 입통제 침해방지 대응시스템구축 운영 시스템접근통제, 권한관리및사용자인증관련시스템구축 운영 고객정보보호및정보유출방지시스템구축 운영등 013
제 5 조제 5 항과시행령제 9 조제 2 항 5 주요정보통신기반시설이교란 마비또는파괴된사실을인지한때에관계기관에그사실을통지 분류 사고대응 6 침해사고가발생한주요정보통신기반시설의복구및보호에필요한조치사고대응 7 기타다른법령에규정된주요정보통신기반시설의보호업무에관한사항규제대응 정보통신기반보호법에서는정보보호책임자의업무를 보안취약점분석및 정보보호대책의수립 이행 (1, 2, 3) 규제대응 (4, 7) 사고대응 (2, 5, 6) 으로 보고있음을알수있다. 이상 CISO 지정과업무를규정하는세가지법을종합하여재분류하면다음 표와같다. 표의각칸은 < 표 1-1>, < 표 1-2>, < 표 1-3> 에서해당분류에포함 된항목번호다. 한항목이여러분류에포함될수있게하였다 표 1-4 관련법에나타난 CISO 의주요업무분류 분류 법정보통신망법전자금융거래법정보통신기반보호법항목수 정보보호거버넌스 N/A 1 N/A 1 정보보호관리체계수립 운영 1 3 N/A 2 보안취약점분석및정보보호대책수립 이행 2, 3, 4, 5, 6 2, 4, 5 1, 2, 3 11 규제대응 7 N/A 4, 7 3 정보보호위기관리 3 4 2, 5, 6 5 이세법을살펴보면 CISO의업무는크게 정보보호관리체계의수립 운영 보안위험분석과정보보호대책의수립 이행 점검 규제대응 정보보호위기관리로분류할수있다. 업무에포함된항목수를보면 CISO의업무는보안취약점및정보보호대책에관한것이많음을알수있다. 여기에서 정보보 014
호위기관리 는사고대응을좀더확장한분류다. 침해사고에잘못대응하면회사의위기까지번질수있으므로사고대응을관계기관에서신고하고필요한복구를하는것과같은좁은의미에국한하지않고, 위기관리로좀더포괄적으로해석하여 CISO의업무로정의하였다. 침해사고와정보보호위기의관계, 그에대한대응에관해서는제5장에서상세하게다룬다. 표준에나타난 CISO의업무 CSO 관련미국표준문서중의하나인 Chief Security Officer(CSO) Organizational Standard (2008) 에는 CSO의핵심책임을다음 6가지로정의하였다. 05 표 1-5 CSO 의핵심책임 핵심책임전략개발정보수집과위험평가조직의준비성확보사고예방인적자원, 핵심사업, 정보, 평판의보호 세부내용사업환경의모든위험에대해고위임원들과전략적대응인력, 수익, 조직의평판에영향을주는보안이벤트와위협정보를체계적으로수집하고평가 ( 물리적또는사이버 ) 공격과재난, 보안사고와같이사업의지속성을방해할수있는사건이나환경에기업이대비하도록보증사업환경에서보안위험뿐아니라그것을완화할수있는재무적, 관리적대책의적용또한식별하고이해해야함, 또한재난을예방할수있는조직안팎의사람들과함께해야함회사의무결성, 인적자원, 프로세스, 정보, 자산이훼손되거나손실되지않도록보호 05 저자주 _ Chief Security Officer(CSO) Organizational Standard, ASIS CSO.1-2008. 핵심책임 (key responsibility) 또는책임이라는표현은해외표준이나글로벌조사업체의문서에서자주나오는표현인데, 책임지는업무라는측면에서그냥업무로해석해도큰무리가없다. 015
핵심책임 사고의대응, 관리, 복구 세부내용 공격이나재난이닥쳤을경우사고대응과관리, 복구노력을통해핵심 시스템을복원하고, 조직이작동하는데필요한시설을제공 핵심책임중에전략과조직의준비성확보는우리나라법의측면에서는못보 던내용이다. 또한, 정보보안을주로다루는 CISO 와달리물리적보안, 인력의 안전, 재난대비와같이기업전체의보안과안전을다루고있는것도눈에띈 다. 우리나라에서도 CISO 는정보자산의도난방지와같은물리적보안영역 까지업무가차츰넓어지고있다. 이외에도가트너 06 나포레스터 07 에서 CISO 08 09 의책임 ( 업무 ) 을정의한자료가있으니관심있는분들은참고하기바란다. Security Insight CISO? CSO? 정보보호최고책임자는 CISO 즉 Chief Information Security Officer를우리말로번역한것으로, 이와비슷한용어로 CSO(Chief Security Officer, 최고보안책임자 ) 가있다. CISO 가정보자산의보호또는 IT 보안을강조하고있다면, CSO는 IT 보안이외에도사옥의물리적보호, 기업임직원의안전등좀더포괄적인보안업무를담당하는직책이다. 국내문헌을살펴보면 2006년에고려대정보보호대학원의논문 08 에서처음으로 CSO라는표현이나온다. 초기에는 CISO와 CSO의역할의차이점이부각되었으나정보자산의보호를위해 CISO 의업무가물리적보안으로차츰넓어지면서최근에는 CISO와 CSO를크게구분하지않는것이추세다. 미국은일찍부터 CSO가생겼고, 9.11과같은대규모보안사고의영향으로보안책임자의역할이최고위험관리책임자 (CRO, Chief Risk Officer) 로확대되는경향이있다. 09 06 저자주 _ Gartner for IT Leaders Overview: The Chief Information Security Officer, Gartner, July 29. 2013. 07 저자주 _ Role Job Description: Chief Information Security Officer, Forrester Research, March 5. 2012. 08 저자주 _ Lauren Gibbons Paul, Will CSOs become CROs in the future?, CSO, July 22. 2013. 09 저자주 _ 정보통신서비스제공자는침해사고에대한공동예방및대응, 필요한정보의교류, 그밖에대통령령으로정하는공동의사업을수행하기위하여제1항에따른정보보호최고책임자를구성원으로하는정보보호최고책임자협의회를구성 운영할수있다 ( 정보통신망법제45조의3 제3항 ). 016
국내법에서는주로 CISO라고쓰고있는데, 이것은한국인터넷진흥원 (KISA) 의위탁과제로수행된 CISO 제도도입연구 (2009.8.) 라는보고서에기초하고있다. 한국사회학회는이보고서에서정보보호최고책임자의명칭과관련하여 CSO의 S 가 Security 이외에도 Strategy, Sales, Satisfaction으로더많이쓰이고, 특히인터넷업계에서 CSO가 Chief Strategy Officer의의미로지칭되는경우가많아서 CISO라고하는것이바람직하다고기술하였다. 이보고서가발간되기두달전에 한국CSO협회 가창립되어공식적으로 CSO를사용하는단체가있었으나이단체가 2013 년 12월에정보통신망법상의단체인 정보보호최고책임자협의회 로재출범하면서 10 국내에서는법이나관련단체, 언론매체등에서 CSO를공식적으로사용하는곳은찾아보기어렵게되었다. 기업현장에서그리중요할것같지않은직책이름에주목하는것은최근논의되는최고정보책임자 (CIO) 와 CISO 사이의위상및역할과관련이있다고보기때문이다. 국내에서기업보안책임자가정보보안뿐아니라기업전체의보안을담당하는 CSO에서출발했다면정보보호조직이 IT 조직과분리하는것이굳이쟁점이될만한상황은되지않았을텐데하는아쉬움이있다. 도리어 CIO 산하에 CSO가있는것이이상하게보였을것이다. 지금과같이 CISO가정보보안에그역할이한정된다하더라도물리적보안이정보자산을보호하는데중요한역할을하므로물리보안조직이자체보안정책을수립할때에도 CISO와긴밀히협의하도록해야보안업무가전사차원에서일관성을갖고추진될수있다. 개인정보보호책임자 10 법에나타난 CPO의업무 CPO( 개인정보보호책임자 ) 나그와비슷한직책을규정한법은개인정보보호법, 정보통신망법, 신용정보법세가지가있다. 개인정보보호법에서는 CPO의임무를 개인정보의처리에관한업무를총괄해서책임 ( 제31조제1항 ) 지는것으로정의했다. 10 저자주 _ 신진우, 최고보안책임관 (CSO) 제도의도입방향에관한고찰 : 정부기관 CSO 직제의효과적도입검 토, 고려대학교정보보호대학원, 2006.2. 017
개인정보보호법과그시행령의내용을종합해보면 CPO 의업무는다음과같 다 ( 제 31 조제 2 항, 시행령제 32 조 ). 표 1-6 개인정보보호법과그시행령에나타난개인정보보호책임자의업무 제 31 조제 2 항과시행령제 32 조 분류 1 개인정보보호계획의수립및시행 개인정보보호체계수립 운영 2 개인정보처리실태및관행의정기적인조사및개선 개인정보보호체계수립 운영 3 개인정보처리와관련한불만의처리및피해구제 이용자의고충처리 4 개인정보유출및오용 남용방지를위한내부통제시스템의구축 개인정보안전성조치 5 개인정보보호교육계획의수립및시행 개인정보보호체계수립 운영 6 개인정보파일의보호및관리 감독 개인정보안전성조치개인정보 보호체계수립 운영 7 법제30조에따른개인정보처리방침의수립 변경및시행 규제대응 8 개인정보보호관련자료의관리 개인정보보호체계수립 운영 9 처리목적이달성되거나보유기간이지난개인정보의파기 개인정보안전성조치 10 개인정보보호와관련하여이법및다른관계법령의위반사실을알게된경우에는즉시개선조치시행 규제대응 이는 개인정보보호체계수립 운영 (1, 2, 5, 6, 8) 이용자의고충처리 (3) 개인정보안전성조치 (4, 6, 9) 규제대응 (7, 10) 으로분류할수있다. CISO 의업무와비교해보면전반적업무가유사하지만, 이용자의고충처리업무가 CISO에게는없는업무임을알수있다. 개인정보의안전성조치는전형적인 CISO의업무인데, 개인정보보호법에는 CISO 규정이없으므로개인정보보호와관련된모든조치의책임은모두 CPO에게있다. 정보통신망법에서는 CPO 의임무를 이용자의개인정보를보호하고개인정 보와관련한이용자의고충을처리 ( 제 27 조제 1 항 ) 한다고하였다. 하지만정보통 018
신망법에서는 CPO 업무를세부적으로규정하고있지않다. 다만, 법제4장 ( 개인정보의보호 ) 에서개인정보수집 보관 이용 제공 파기등개인정보생명주기에서이용자동의획득이나개인정보의기술적 관리적보호조치와같이이용자의개인정보보호를위해사업자가해야할조치들을기술하면서같은장에 CPO 지정을명시하였고, 시스템과네트워크의안정성을확보하기위해사업자가할일을규정한제6장 ( 네트워크의안정성등 ) 에서 CISO 지정을명시한것으로보아법의구조상제4장 ( 개인정보의보호 ) 의조항을 CPO와개인정보보호조직이할일이라고해석하는것이법의취지와맞아보인다. 신용정보법에서는신용정보관리 보호인 11 을두도록했는데, 그임무를 신용정 보를보호하고신용정보와관련된신용정보주체의고충을처리 ( 제 20 조제 3 항 ) 한다고규정하였다. 신용정보법과그시행령에서는신용정보관리 보호인의업무를다음과같이기 술하고있다 ( 제 20 조제 3 항, 시행령제 17 조제 2 항 ). 표 1-7 신용정보법과그시행령에나타난신용정보관리 보호인의업무 제 20 조제 3 항과시행령제 17 조제 2 항 분류 1 신용정보관리 보호관련내부관리규정의제정 개정신용정보관리정책의수립과점검 2 신용정보관리 보호관련고충의처리이용자의고충처리및점검 3 임직원이신용정보관리 보호관련법령및내부관리규정등을준수하고있는지에대한점검 신용정보관리정책의수립과점검 11 저자주 _ 개인신용정보는개인정보이외의것을포함하므로엄격하게보면신용정보관리 보호인은 CPO에포함되어논의되지않았으나그것은개인신용정보에대한사회적관심이적은것에기인하고있고, 개인정보와개인신용정보의공통점과준법감시인을신용정보관리 보호인으로지정할수있도록한신용정보법시행령의취지, 그리고실제대다수금융회사에서준법감시인이 CPO를맡는현실을고려하여이책에서는신용정보관리 보호인을신용정보법상 CPO로간주하여설명하였다. 019
제 20 조제 3 항과시행령제 17 조제 2 항 4 법에따른신용정보주체의정당한권리행사에성실하게대응하고있는지에대한점검 분류 이용자의고충처리및점검 5 임직원을대상으로하는신용정보관리 보호관련교육의실시임직원교육 6 그밖에신용정보관리 보호에필요한사항으로서금융위원회가정하여고시하는사항 규제대응 이업무는 신용정보관리정책의수립과점검 (1, 3) 이용자고충처리및점검 (2, 4) 임직원교육 (5), 규제대응 (6) 으로요약되는데, 신용정보관리 보호인제도가고객의피해구제, 동의철회및전화수신거부, 신용정보관련민원등이용자의고충처리를점검하고감독하는것을핵심업무로출발해서그런지여전히이용자의고충처리가주요업무라는것이눈에띈다. 12 2009년신용정보법에서신용정보관리 보호인지정을의무화하면서담당업무에내부관리규정의제정 개정과그에대한임직원의준수여부점검이포함되어업무가크게확장되었다. 내부관리규정이신용정보관련각종정책과지침의수립, 기술적 물리적 관리적보안대책의수립및시행, 정보주체의권리보장등적지않은내용을담은 12개의호로이뤄져있기때문이다. 13 금융부문에서도개인정보가매우중요해지면서신용정보관리 보호인역시개인정보보호책임자의한분류로고려하는추세다. 여기에서도신용정보관리 보호인의업무를 CPO 관점에서해석하면신용정보관리정책이나교육은개인정보보호체계수립 운영으로분류할수있다. 12 저자주 _ 금융감독원신용정보실신용정보1팀, 금융회사등의개인신용정보관리 보호모범규준 (Best Practice) 마련, 금융감독원정책브리핑자료, 2005.11.8. 13 저자주 _ 신용정보업감독규정제 22 조 020
이상 CPO 의지정과업무를규정하고있는세법을종합하여재분류하면다음 표와같다. 표의각칸은 < 표 1-6> 과 < 표 1-7> 에서해당분류에포함된항목 번호다. 한항목이여러분류에포함될수있게하였다. 표 1-8 관련법에나타난 CPO 의주요업무분류 분류 법개인정보보호법신용정보법정보통신망법항목수 개인정보보호체계수립 운영 1, 2, 5, 6, 8 1, 3, 5 N/A 8 개인정보안전성조치 4, 6, 9 N/A N/A 3 이용자고충처리 3 2, 4 N/A 3 규제대응 7, 10 6 N/A 3 개인정보보호는주로정책의수립과시행, 점검등개인정보보호체계수립 운영측면에업무의중점이있음을알수있다. 참고로, 정보통신망법과신용정보법에서는 CPO의역할을개인 ( 신용 ) 정보의보호와정보주체의고충처리라고한정짓고있는데비해개인정보보호법에서는 CPO의임무를개인정보의 처리 를총괄하고책임지도록광범위하게규정하는특징이있다. 14 14 저자주 _ 개인정보보호법에서는개인정보의 처리 를개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 ( 제2조 2호 ) 라고하여인터넷서비스제공자 (ISP) 와같이개인정보를단순전달하는행위를제외하고는거의모든행위를포괄하고있다. 즉, CPO가개인정보관련모든사항을총괄하고책임지는사람으로규정한것이다. 하지만실제이법의제3 장이나제4장의법조항들은개인정보의처리과정에서해야할개인정보보호업무로한정되어있어서 CPO의임무를정의한제31조 1항의규정은과도한것으로보인다. 이조항역시정보통신망법이나신용정보법과같이 CPO의임무를개인정보보호에한정된것으로개정해야하지않을까싶다. 021
CPO의겸임 2012년 12월말현재개인정보를수집하는 5인이상의국내사업체중 CPO 를지정한비율은 54.8%( 종업원수 250명이상인회사중에서는 73.7%) 이고, 그중 CPO를전담으로임명한업체비율은 28.7% 에달한다고한다. 15 하지만필자가실제로만났거나 CPO 단체에참여한일정규모이상기업의 CPO와 2013 년매출액기준 30대기업중에서 CPO 직책을전담한사람은한명도없었다. CISO와같은보안책임자가 CPO를겸하는경우도포함되었다는조사기관의설명도듣긴했지만, 아마도 CPO 지정이법적요건이어서법위반의우려때문에설문조사결과가왜곡되었을가능성도있지않을까싶다. 2014년 5월, 칼럼을쓰기위해 30대기업에서 CPO의소속을분석해보니홍보부서 7곳, 경영스태프 5곳, 준법감시인 4곳, 마케팅부서 3곳, CIO(IT 부서 ) 3곳, HR 부서 2곳, 정보보호부서 2곳, 기타부서 1곳씩으로이뤄져있었다. 겸임조직의성격을살펴보면대외활동부서 ( 홍보 대외협력 ), 개인정보이용부서 ( 마케팅 사업 ), 경영스태프 ( 경영지원 총무 경영혁신 HR 고객지원 ), IT 부서 (CIO), 정보보호부서, 준법감시인, 감사등으로분류할수있다. 이중에서준법감시인이 CPO를맡은회사는모두금융회사였다. 이는준법감시인이금융회사나전자금융업자에주로있는직책이어서그런것같다. 30대기업에포함된금융회사 5곳중 2014년임원급 CISO를선임한 KB국민은행은 CISO 산하의정보보호부에서 CPO를맡았다. 이를소속부서의특성을기준으로분류하면다음과같다. 15 저자주 _ 미래창조과학부, 한국인터넷진흥원 (KISA), 2013 년정보보호실태조사 ( 기업부문 ), 2013.12. 022
표 1-9 30대기업 CPO의소속부서 16 소속부서 ( 부서, 명 ) 부서특성 인원 ( 명 ) 경영지원, 총무, 경영혁신, HR, 의전, 고객지원, 총무 경영스태프 9 홍보 대외활동 7 준법, 감사, 법무 내부통제 6 마케팅, 사업본부 사업 4 CIO(IT 조직 ) IT 3 정보보호 정보보호 2 합계 31 개인의역량을차치하고소속부서관점에서만본다면법에서정의한 CPO 업무의일부만할수있는부서에서 CPO를맡은것을알수있다. 특히사업본부나마케팅부서등개인정보를활용하여사업하는부서가 CPO를맡은것이눈에띈다. 최고경영진입장에서는개인정보를많이사용하는부서에서개인정보를잘보호하라는지시가합리적이라고생각할수도있다. 하지만매출목표를달성하기위해자나깨나고민하는사람들은개인정보를보호하고개인정보위험을관리하기위해쓸만한시간적, 심리적여유가부족하다. 또한, 개인정보의이용과보호두가치가충돌할때이용쪽에손을들어줄가능성이농후하다. 부끄럽지만경험담에서나온이야기다. 가능하면사업부서에는 CPO를맡기지않는것이좋다. 끝으로, CPO 관련해서한가지강조해두고싶은게있다. 법적으로개인정보 16 저자주 _ 2014년 5월에 2013년매출액기준 30대기업의홈페이지를조사한결과이다. 30대기업중삼성물산은상사부문과건설부문의 CPO가별도로지정되어있어서조사된 CPO는총 31개이다. 개인정보보호법과정보통신망법에 CPO에관한정보를포함한개인정보처리 ( 취급 ) 방침을공개하라고되어있기때문에 CPO 의지정여부나소속부서를쉽게찾아볼수있다. 023
보호의책임은 CPO에게있다는점이다. 개인정보보호조치의핵심내용인관리적 기술적 물리적보안대책을 CISO가담당하는회사에서그것이미흡하여개인정보사고가발생했다하더라도법적책임은 CPO에게있다는이야기다. 개인정보사고가터진정보통신서비스기업에서임원이입건된사례가 2번있는데, 두사람모두사고당시 CPO였다. 다른직책과 CPO를겸임하는보직자들이많은데, 이들은책임만무거운자리로느껴질수도있다. 전자금융거래법의적용을받는금융회사에서는그동안 CISO의책임이무거웠는데, 카드사사태이후신용정보법과개인정보보호법의적용이강조되어서 CPO의책임이좀더강화될것으로보인다. 정보보호책임자의업무 이책은정보보호책임자들을위한책이다. 이들은기업에서개인정보보호 ( 관리 ) 책임자 (CPO), 신용정보관리 보호인, 최고보안책임자 (CSO), 정보보호최고책임자 (CISO), 정보보호책임자등여러직책을맡고있다. 앞에서설명한대로기업에서개인정보, 신용정보, 금융정보, 산업기밀, 의료정보, 마케팅정보, 군사정보등을보호하는임무를담당한다. 어떤정보를보호하든실질적으로기업의중요정보를보호하는책임을진다. 말그대로정보보호책임자다. 이책에서정보보호책임자라는용어를선택한첫번째이유다. 또한, CISO, CSO, CPO의앞에붙는 C는 Chief의약자지만, 이직책에 C 레벨 (C-suite) 임원을임명하는회사는거의없다고해도과언이아니다. 필자도회사에서 CEO 직속의 CSO로일했던 1년정도의기간을제외하고는정보보 024
호최고책임자였지만 C 레벨임원은아니었다. C 레벨임원일때와아닐때의권한이나정보보호조직의위상, 그에따른업무추진에서상당한차이가있다. CISO나 CPO의 C 를강조하면이직책의권한을과도하게이해하여현실과유리된정책이나주장을펴기에십상이다. 이것이정보보호책임자라는용어를선택한두번째이유다. 기업에는임원이나본부장급은아니지만, 명목상 CISO나 CPO가있든없든팀장이나차 부장급중에서실질적인정보보호 책임자 역할을하는사람이상당수있다. 임직원이수천명이넘는대기업에서도그런경우를본다. 이들역시이책에서말하는정보보호책임자다. 앞에서살펴본정보보호업무또는정보보호조직의업무는정보보호책임자가책임지고진행하는일이다. 정보보호대책구현같이정보보호책임자가최종책임을지는업무가있지만, 정보보호조직의구성과예산확보같이정보보호책임자가수행책임을지고, 최종책임은 CEO나 CFO 등최고경영진에게있는업무도있다. 이책에서는정보보호책임자의임무를 기업의경영목표달성을위한전사정보보호전략의수립과실행 이라고정의한다. 경영목표를달성하기위해회사와사업의보안위험을줄이는게핵심적인업무다. 정보보호책임자가사업의성격과전사적인목표를모두꿰고그것에영향을미치는보안위험요인과그에대한대책을세워야한다. 그래야 CEO를비롯한최고경영진이정보보호책임자가자신과동떨어진업무를수행하는사람이아니라자신들의목표를위해꼭필요하고최선을다하는사람으로인식하게된다. 그러기위해정보보호책임자가해야할일을 5가지영역, 24가지업무로정리 025
하였다. 앞에서살펴본법과해외표준을고려하고, 정보보호의국제적인흐름 과국내기업의정보보호책임자들이실제로고민하는사항을담았다. 표 1-10 정보보호책임자의업무 17 영역업무세부내용 1 거버넌스 1 이사회 경영진주도체계구축 2 경영진및타임원소통체계구축 3 정보보호조직 인력 예산확보 4 정보보호계획의수립과추진 - CEO를비롯한최고경영진이보안위험을책임지고주도하는체계구축과전사적인커뮤니케이션시행 - 임원급 ( 전담 ) 정보보호책임자선임과위상부여 - 주요임원이정보보안정책등정보보호관련의사결정, 전략및정책공유, 전사적인추진과협업할수있는체계구축 - 임원회의, 정보보호경영위원회에서정보보호의제처리와소통 - 정보보호조직의구축과위상확보 - 적절한규모의보안인력및보안전문가 - 정보보호예산확보 - 회사경영목표와연계된정보보호전략및사업계획수립. 전사관련조직의정보보호활동이각조직의사업계획에포함되도록협업 - 회사경영목표달성에잠재한정보보안위험의최소화 5 정보보호경영지원 - CEO의정보보호어젠더지원 - 정보보호책임자의정보보호어젠더수립과추진 - 타임원의정보보호업무및활동지원 2 관리체계 1 보안위험관리 - 정보자산의식별, 보호대상자산의선정 - 보안위험의식별, 보안취약점및보안위험의분석관리 - 정보보호대책의수립과이행관리 - 정보보호아키텍처설계및관리 2 정보보호정책수립 관리 법규를반영하고, 보안위험을완화하며, 회사의현실을고려한정보보호정책과지침및프로세스의수립과관리 17 저자주 _ 제4절 ( 개인정보보호책임자 ) 에서살펴본 CPO의업무중이용자의고충처리업무는이표에서제외하였다. 이업무의법적책임은 CPO에게있으나대부분기업에서는고객센터에서이업무를처리하기때문에제외해도정보보호책임자의업무를기술하는데에별무리가없다고판단하였다. 026
영역 업무 세부내용 3 협업관리 - 타임원및부서장과의소통을통해정보보호조직의전사정보보안정책및업무추진, 협업지원 - IT 부서및비IT 부서와의협업 - 전부서의적절한정보보호담당자선정을통한정보보호실무위원회의구성과운영, 의욕관리, 이점제공 4 정보보호교육및인식제고 임원 직책자 일반구성원의정보보호교육, 생활보안점검, 보안캠페인등을통한인식제고 5. 보안감사정보보호정책과지침, 프로세스가회사의정책대로수행되고있는지사내및관계사와협력업체등을점검하고결과에따라적절하게상벌할수있는제도의수립및운영 6 정보보호조직관리 - 정보보호조직의업무추진고충해결과대책지원 - 정보보호인력의동기부여, 육성, 경쟁력, 자발성제고 - 보안운영외주직원관리 3 중요자산보호 1 정보보호시스템구축 - 도입, 개발 ( 외주, 내부 ) 등을통한정보보호시스템구축및세부룰설정 - 정보보호시스템계정, 접근권한, 접근통제등정보보호시스템의보호를위한정책설정 2 정보보호시스템의운영 점검 개선 - 정보보호시스템과관련프로세스운영 - 로그, 룰현황을정기적으로보고받기 - IT 인프라및애플리케이션의변경, 새로운보안위협의등장, 룰의누적, 담당인력의변화등에대한분석및개선 3 모니터링, 탐지, 대응 - 외부침입및정보유출탐지를위한보안관제운영 - 내부통제, 이상징후시스템등의모니터링과탐지, 후속조치 4 IT 인프라및 IT 개발의보안정책수립 점검 5 비IT 보안정책의수립 점검 4 위기관리 1 정보보호위기대응정책및프로세스수립 IT 인프라의보안, 계정및접근권한관리, 사용자인증, 접근통제, 제품 서비스 애플리케이션의개발보안, 데이터암호화등 IT 관련보안정책및프로세스의수립 점검인적보안, 외주계약및관리, 비고객개인정보관리 (HR IR 부서등 ), 구매관리, 출입통제, 제품보안등비IT 보안업무에대한정책과프로세스의수립및점검정보보호사건 사고 위기에대한대응정책, 조직, 프로세스의수립과운영 027
영역업무세부내용 2 업무연속성계획수립 운영 IT 재해복구대책등업무연속성계획수립, 필요인력과시설확보및운영 3 위기대응모의훈련피싱메일, 디도스 (DDoS) 공격, 침해사고, IT 재해등에대한비상대응훈련 4 보안이슈및위기대응 5 외부협력구축과운영 5 규제대응 1 대내외규제분석및준수점검 각종정보보호사고및 SNS 유포등일상적보안이슈대응, 정보보호위기대응정보보호단체참여, 정보보호자문위원회운영등을통해위기대응사전준비 - 적용법규 ( 법, 시행령, 시행규칙, 고시 ), 안내서, 해설서등의파악과회사관련부분분석, 사내준수점검 - 관련법규의변화관리 2 대내외규제기관대응 - 외부규제기관과수사기관대응, 그룹또는모기업의요구및보안점검대응 - 내부통제및외부감사대응 3 정보보호인증획득및유지관리 정보보호관련인증획득및유지관리 ( 보안감사와연계가능 ) < 표 1-10> 을보면앞에서살펴본법이나표준과달리거버넌스영역의업무가많다. 앞에서분석한법과표준들도세부적으로들어가면거버넌스영역의업무를포함하긴하지만, 여기서는거버넌스업무를정보보호책임자가수행해야할핵심업무영역의하나로분류했다. 최근보안위험이회사전체의위험이되면서결국재무위험이나법규위험같이최고경영진이다뤄야할위험이되었다고보기때문이다. 정보보호의국제적인흐름에서도거버넌스의중요성이강조되고있다. 정보보호거버넌스는정보보호활동이전사적으로영향을미치기위한기반이된다. 거버넌스업무는정보보호책임자가수행해야할중요한업무이긴하지만, 정보보호책임자가책임지고추진하기에는한계가있는업무이기도하다. 세부업무를살펴보면 정보보호경영지원 (1-5) 업무를제외하 028
고는최고경영진이주도적으로추진하거나최종승인하여정보보호책임자에게힘을실어줄때가능한업무들이다. 관리체계영역의업무는기업의보안관리를위한체계를갖추고운영하는업무다. 이체계가잘갖춰져있으면실무적인정보보호업무는무리없이돌아간다. 정보보호책임자는관리체계영역업무들의최종책임자로서관리포인트를갖고들여다보고관리및개선해나가면된다. 특히보안위험관리 (2-1) 업무는사업과사업목표달성에위험이되는보안위험을찾아내고줄여나가기위한출발점이되는업무이다. 개인정보유출, 서비스중단, 시스템파괴뿐아니라매출감소, 법적위험등을종합적으로고려할필요가있다. 또한, 협업관리 (2-3) 는전사의각부서가수행해야할정보보호업무를관리하기위해필수적인업무다. 겉으로잘드러나지는않지만, 정보보호책임자가반드시해야할일이어서별도업무로뽑았다. 중요자산보호영역은한마디로하면정보보호사고가발생하지않게하는업무들로구성된다. 전통적으로정보보호조직의업무인관리적 기술적 물리적보안대책을세우고그것을구현 운영 개선함으로써보안공격을차단하거나탐지 대응하여보안사고를예방한다. 정보보호조직의일상적인업무대부분이여기에속한다. 앞에서식별한보안위험및보안사고와직접연결되는취약점을찾아없애는게관건이다. 이제까지많은중요자산의업무가 IT 영역에집중되어있는데, IT 부서외에서수행하는정보보호업무를잘들여다보고관리해나갈수있어야한다. 최근문제가된외주관리보안이나출입통제같은물리보안도역시정보보호책임자가잘챙겨야보안위험을줄일수있다. 정보보호책임자가세부적인내용을다 029
알기는어렵다하더라도각업무의핵심적인관리포인트를이해하면업무를보고받고질문하면서목적에부합하게수행되고있는지를점검할수있다. 위기관리영역의업무는개인정보유출사고와같은큰사고뿐아니라기업내에서소소하게발생하는정보보호사건 사고가정보보호위기로번져나가지않도록신속하게대응하고, 정보보호위기가발생했을때를대비해사전에준비하며, 실제위기가발생하면전사적인위기대응활동으로회사의손실을최소화할수있도록하는업무다. 그러기위해모의훈련등사전에준비해야할일들이있다. 규제대응영역의업무는정보보호관련법과행정규제, 기업의정보보호정책이나지침과같은자체규제, 여론과시민단체등에의한사회적규제에대응하는업무다. 당장별도로분리할만큼정보보호책임자가담당할업무가많지않을수도있다. 하지만 2014년을기점으로예방적규제가강화되었을뿐아니라결과의책임을묻는규제까지추가되면서정보보호규제로인한기업의위험은매우커졌다. 정보보호책임자가반드시관리해야할영역이다. 이책에서는 24가지업무를각각다루기보다는영역별로핵심이나유의해야할사항을중심으로포괄적으로기술한다. 24가지업무에는정보보호책임자가직접실행해야하는업무도있지만, 정보보호조직이나 IT 조직이실무적으로처리해야할업무도상당히포함되어있다. 후자의업무는정보보호책임자가그것의수행책임이나최종책임을갖게되므로그업무의스토리를이해하고통찰을갖고관리포인트를짚는다면큰무리없이업무를소화할것으로판단된다. 2장부터기술된내용을이런관점에서읽어주기바란다. 030