2024-03-29 23:40 (금)
[2013 특별기고] 기업보안담당자가 꼭 체크해야 할 사항들!
상태바
[2013 특별기고] 기업보안담당자가 꼭 체크해야 할 사항들!
  • 길민권
  • 승인 2013.01.08 17:38
이 기사를 공유합니다

꼭 확인하고 넘어가야 할 중요 정보통신망법 개정 내용
2013년도 새해가 밝은지 벌써 일주일이 넘었다. 필자와 같은 많은 기업보안담당자들은 이미 2013년의 보안업무계획에 대해서 계획을 세우고 내부 보고를 하였을 것이다. 2013년은 기업보안담당자에게는 작년에 제정된 개인정보보호법과 개정된 정보통신망법으로 많은 큰 일들을 수행을 하여야 할 것이다. 특히 기업의 보안담당자가 개인정보까지 업무까지 하는 경우라면 더욱 부담이 많이 되는 해가 될 것으로 보인다. 그 중에 꼭 확인을 하여야 하는 중요한 4가지 정보통신망법 개정 내용에 대해서 알아보기로 하겠다.
 
◇주민등록번호=우선 기존에 정보통신망법을 준수하여야 하는 기업이라면, 서비스적으로 가장 큰 변화가 있는 것은 주민등록번호의 수집 금지와 보유하고 있는 주민등록번호에 대해서 2년 내에 폐기를 하여야 한다는 것이다. 따라서 만약 기업에서 주민등록번호를 고객 식별용 고유번호로 사용한다면 서비스적으로 대대적인 개편을 피하기 어려울 것이다. 이러한 개편을 위해서 고려하여야 하는 점들로는 주민등록번호를 이용하지 않고 고객을 어떻게 식별하고, 어떤 본인 인증 수단을 이용하여 고객을 가입시킬 것인지, 기존에 보관하고 있던 전자 거래 내역과 신규 고객식별체계와는 어떻게 연결을 할 것인지, 기존에 보관하고 있던 주민등록번호를 언제 폐기할 것인지 그리고 어떻게 전환할 것인지 등일 것이다.
 
◇개인정보 라이프사이클 관리=이러한 개편이 성공적으로 이루어지기 위해 추가적으로 확인을 하여야 하는 부분으로는 주민등록번호를 어디에 보관하고 사용하고 있는지 빠짐없이 조사를 하는 것이다. 이러한 조사 과정에서 누락하기 쉬운 부분은 DB 백업 및 소산 등의 목적으로 사용된 테이프 등과 같은 저장매체로 이에 대한 폐기 또는 주민등록번호 삭제 방안도 같이 마련하여야 하는 것을 잊지 말아야 한다.
 
작년에 개정된 정보통신망법의 변경 사항 중에 제공 받은 고객의 개인정보가 어느 곳에 제공이 되었는지에 대해서 기업은 주기적으로 고객에게 통보를 하여야 하는 조항이 있다. 이러한 규정을 준수하기 위해서는 기업이 어떻게 개인정보를 수집하고 어디로 제공하고 있는지에 대한 조사가 정기적으로 수행되고 있어야 한다. 많은 외부 협력업체, 위탁업체가 있고 서비스가 복잡한 경우에는 개인정보 제공 이력 조회를 위한 시스템을 마련해 놓지 않는다면 이러한 규정을 준수하는 것은 상당히 어려운 일이 될 수 있을 것이다. 개인정보의 수집 제공과 같은 개인정보의 흐름은 사내 업무 프로세스나 조직의 변경이 잦은 경우에 기업보안담당자의 부담이 가중되지만 이러한 조사를 통해서 기업에서는 개인정보를 누가 어떻게 취급하는지를 식별할 수 있어 기업의 개인정보 리스크가 어느 정도인지를 알 수 있는 척도가 될 수 있다.
 
◇망분리에 대한 체계 마련=또한 정보통신망법의 개정안 중에 개인정보취급자의 업무 프로세스에 가장 큰 영향을 주는 것은 바로 개인정보취급자 대한 망분리일 것이다. 망분리의 경우에 어느 정도의 규모가 있는 기업만 대상이 되기 때문에 대상 기업인지 여부를 먼저 확인을 하여야 한다. 망분리의 경우에는 논리적 망분리와 물리적 망분리가 모두 가능한 것으로 알려져 있는데 개인정보취급자의 업무 프로세스를 고려할 경우 어떤 방안이 적절한지 실제로 샘플링 적용 등을 통해서 확인을 하여야 한다.
 
또한 망분리 위해서 사내망만 분리할 것인지 아니면 IDC 쪽에 대해서까지 망분리를 확대할 것인지도 검토를 해 보아야 한다. 법령에는 사내망 분리에 대해서만 언급이 되어 있지만 실제적으로 망분리를 검토하는 과정에서 보면 개인정보취급자가 업무를 수행하기 어렵다는 이유로 IDC까지 망분를 하는 것을 검토해야 될 수도 있기 때문이다. 망 분리가 된 상태에서 인터넷이 연결된 PC와 인터넷이 연결되지 않은 PC간에 데이터를 공유할 필요가 있을 경우 어떤 프로세스와 시스템을 이용할 것인지에 대해서도 충분한 검토가 있어야 한다.
 
USB를 통해서 정보를 공유하게 된다면 분실이나 외부저장매체를 통한 개인정보 유출에 대해서 적절한 통제나 모니터링 방법을 같이 고민하여야 하며, 그렇지 않은 경우라면 별도의 파일 공유 시스템과 프로세스를 마련하여야 한다. 추가적으로 인터넷이 연결되지 않은 PC에 대해서 바이러스 백신 업데이트, 보안 패치 업데이트, 신규 지급해야 되는 S/W 및 H/W의 비용 그리고 PC의 각종 보안설정은 어떻게 적용할지 등에 대해서도 방안을 마련하여야 한다.
 
◇ISMS 인증 의무화=마지막으로 정보통신망법의 변경 사항 중에 정보보호 안전진단 폐지 및 ISMS 인증 의무화와 관련해서 ISMS인증의 경우 기업에서 체계적으로 정보보호 관리체계를 구축하여 운영하는 경우라면 부담이 없을 수 있지만 기존에 정보보호 안전진단 기준만 준수를 해 오던 기업이라면 자체적인 준비를 통해 인증을 받을 것인지 아니면 외부 컨설팅 업체의 도움을 받을 것인지에 대해서 빠른 결정을 하여야 한다.
 
왜냐하면 올해 ISMS인증을 받아야 하는 업체가 많기 때문에 최악의 경우에는 연내 인증을 받지 못하는 문제가 발생할 수 있으며 컨설팅 업체의 인력 또한 제한적이기 때문에 컨설팅을 기업이 원하는 시기에 받는 것이 어려울 수도 있기 때문이다. 외부 컨설팅 업체의 도움을 받아서 ISMS 인증을 받으려는 경우에는 컨설팅 기간과 ISMS 인증 획득에 필요한 증적 자료 확보 기간, ISMS 인증 심사 주기 그리고 인증 범위도 같이 고려하여서 계획을 수립하여야 한다.
 
작년부터 시행된 개인정보보호법도 기업에서 적절하게 준수하고 있는지에 대해서 면밀하게 확인을 하여야 한다. 개인정보보호법과 정보통신망법은 서로 중복되는 부분도 있기 때문에 어느 것을 우선하여 적용하여 되는지에 대한 검토가 충분히 있어야 한다. 특히 기존 기업에서 유심히 봐야 하는 부분은 고객이 아니었던, 임직원, 입사지원자, 주주, 거래 당사자 정보 등이 해당 법률을 준수하고 있는지 점검을 해 보아야 한다. 그리고 기존에 사용되었던 입사지원서 또는 서약서 등이 개인정보보호법을 위반하고 있지는 않은지 확인하여야 하며, 특히 입사지원양식의 경우 너무 많은 개인정보 심지어는 민감정보를 수집하고 있지는 않은지에 대해서 확인을 하여야 한다.
 
◇위탁업체 관리 감독=위와 같은 법률의 개정으로 강화되는 부분 중의 하나가 수탁업체에 대한 위탁업체의 관리 감독 부분이다. 위탁업체의 경우에는 법률 개정 등으로 기업이나 담당자의 책임이 증가한 것을 체감할 수 있으나, 수탁업체의 경우에는 이러한 것을 별로 체감하지 못할 수도 있다. 따라서 기업의 보안담당자는 반드시 개인정보 흐름에 따라 확인된 수탁업체에 대해서 실사 등을 통해서 현황을 확인하여야 하고, 수탁업체가 스스로 정보보호 활동을 수행할 수 있도록 지원을 하여야 한다. 수탁업체의 경우에는 적극적인 정보보호 활동이 기업 경쟁력이 될 수 있다는 점을 인지하고 정보보보에 깊은 관심과 활동을 하여야 한다.
 
◇최신 정보 습득=끝으로 벌써 개인정보보호법 개정에 대한 이야기가 나오고 있다. 또한 정보통신망법은 자주 개정이 되는 법률이기 때문에 항상 기업의 보안담당자는 최신 정보 습득을 통해 기업이 법규를 위반하는 일이 발생하지 않도록 관리하여, 올해는 기업보안담당자가 웃을 수 있는 한 해가 되기를 기원해 본다.
 
[글. 송재훈 SK커뮤니케이션즈 보안문화팀 매니저]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★