실시간 뉴스



[강은성의 CISO 스토리]CISO가 알아야 할 개정 정보통신망법


세월호 참사로 온 국민이 마음을 빼앗기고 있던 지난 5월 2일에 정보통신망법 개정안이 국회를 통과했다. 카드3사와 K통신사 등의 대규모 개인정보 유출 사태로 인해 비등해진 여론을 반영하여 사업자에 대한 규제와 처벌이 크게 강화된 것이 특징이다.

이번 개정된 정보통신망법은 6개월이 뒤인 11월 초에 시행되므로 정보보호최고책임자(CISO)나 개인정보관리책임자(CPO)들은 혹시 사전에 준비할 게 있는지 살펴보는 게 좋겠다.

일단 변경 내용 중 CISO/CPO 관점에서 의미있는 변화를 표로 간단히 요약해 봤다.

제24조의3에서는 개인정보 유출을 안 경우 24시간 이내에 통지 및 신고하라는 내용이 추가되었다. 24시간은 짧은 시간이다. 이용자들에게 통지할 내용과 규제기관에 신고할 내용, 작성 방법을 사전에 훈련할 필요가 있겠다. ‘정당한 사유’를 소명하면 24시간이 넘어도 과태료가 부과되지 않는 단서조항이 있는데, 향후 ‘정당한 사유’에 포함될 수 있는 항목에 관해 좀더 명확해 져야 할 것 같다.

개인정보를 파기할 때 복구ㆍ재생할 수 없도록 하라는 제29조 1항의 문구는 개인정보보호법에 있는 내용을 가지고 왔다. 하지만 개인정보보호법과는 달리 미이행시 2년 이하의 징역 또는 2천만원 이하의 벌금이라는 벌칙이 제73조 1의2호에 포함되었다. 기존 73조 1호의 개인정보 유출관련 벌칙조항 외에 정보보호 인력이 형사처벌 될 수 있는 조항이 하나 더 늘어난 것이다. 당국에서는 구체적으로 복구ㆍ재생할 수 없는 파기 방법을 제시하여 선의의 피해자가 생기지 않도록 할 필요가 있어 보인다. 특히 데이터베이스 서버에 저장된 개인정보 파기 방법에 관해서는 심도있는 검토가 필요하다.

제32조의2에서 개인정보 유출시 이용자가 300만원 이내 손해배상 청구에 관해서 언론에서 많이 다뤘는데, 실제 법 내용과는 차이가 있어 보인다. 개정법은 이렇게 되어 있다.

제32조의2(법정손해배상의 청구)

① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 …… 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

1. 정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 경우

2. 개인정보가 분실·도난·누출된 경우

② 법원은 제1항에 따른 청구가 있는 경우에 변론전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

요약하면 개인정보가 유출된 경우에 4장(개인정보의 보호)의 규정을 고의나 과실로 위반한 게 밝혀지면 이용자가 손해배상을 청구할 수 있다는 것이다. 만일을 대비해서 4장의 내용은 엄수할 수 있도록 CISO/CPO들이 전사적으로 추진하셔야겠다.

제45조의3은 “임원급의 정보보호 최고책임자를 지정할 수 있다”고 되어 있던 기존 문구에 일정 기준에 해당하는 사업자는 정보보호 최고책임자를 지정하지 않으면 과태료를 부과하겠다고 함으로써 필수 사항이 되었다. CISO의 겸직은 허용된다. 이후 시행령에서 정할 CISO 필수 선정 사업자의 기준, 필수 선정 CISO의 임원 여부도 이 조항의 실효성에 영향을 미칠 것으로 보인다. 시행령을 주시해 봐야겠다. 이 조항은 금융거래법을 따라가는 모양새다.

제64조의3에서는 과징금의 상한선이 위반 관련 매출액의 1/100에서 3/100으로 올랐다. 게다가 위탁자가 관리ㆍ감독을 소홀히 하여 수탁자가 제4장 규정을 위반한 경우를 이 과징금 대상에 포함시켰다. 사고가 터지지 않더라도 4장 규정 위반이 발견되고 위탁자의 관리ㆍ감독 소홀이 그것의 원인인 경우에 위탁자에게 과징금을 부과한다. 위탁자는 위탁업무에 한해 관리ㆍ감독의 의무를 갖는 것이므로 관리ㆍ감독의 범위 및 위반 사항과의 인과관계 입증이 쟁점이 될 수 있겠다. 이름은 수탁자이지만 실제로는 ‘갑’ 같은 수탁자도 있어서 문제가 발생할 경우 다툼의 여지가 있어 보인다. 어쨌든 위탁자와 수탁자 모두 제4장 규정을 잘 지키도록 하는 게 위탁자 CISO의 필수적인 업무가 된 것은 분명하다.

개인정보 유출된 경우로서 개인정보 보호조치(28조1항 2호~5호)가 미비한 경우도 과징금 부과 대상이 되었다. 기존에는 두 사건 사이에 인과관계가 있어야 했는데, 인과관계 입증이 어렵다는 이유로 방통위에서 이번 안을 만들었다. 이제 기업에서는 만일의 사태를 대비하여 이 법의 개인정보 보호조치는 무조건 다 실행하도록 하는 해야 한다. 법을 지킨다는 것은 그것을 입증할 수 있는 증적을 갖춰야 한다는 의미임에 유의하자. 제28조는 앞에서 언급한 4장에 포함되어 있으므로 4장 전반을 점검하면서 함께 보면 좋겠다.

여기서 정리한 내용 이외에도 ‘통신과금사업’ 관련 내용이나 문자나 메일 등 ‘전자적 전송매체’를 통해 광고할 때의 규제가 상당히 강화되었으니 관련 부서와 함께 검토해 보기 바란다.

의안 전체 문안은 다음 링크를 참조하시기 바란다. 미래창조과학방송통신위원회를 통과한 의안이 법사위에서 일부 수정되어 최종 문안으로 본회의를 통과했는데, CISO/CPO와 관점에서는 별 차이가 없으니 의안접수정보에 첨부되어 있는 정보통신망법 원안을 보시면 된다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리]CISO가 알아야 할 개정 정보통신망법

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스