• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[시큐리티 Q&A] 보안관련 분쟁시 대응방법 2015.01.02

Q. 법이나 규정대로 시스템적으로 모두 다 갖추어져 있어도 보안사고로 인해 법률분쟁에 휘말릴 수밖에 없는데 더 안전한 보호장치는 없을까요? 또 보안관련 분쟁이 일어났을 때 국가에서 상담을 해주는 창구가 있나요?


A-1. 법이나 규정대로 시스템적으로 모두 다 갖추어져 있어도 보안사고로 인한 법률분쟁에 휘말릴 수밖에 없는 것이 현재의 상황입니다. 법에서 요구하는 수준은 모든 보안사고를 막을 수 있는 높은 수준이 아니며, 필요 최소한의 수준을 준수토록 요구하는 것입니다.


따라서 ICT 발전에 따라 보안사고는 나날이 고도화되는 상황에서 과거 체계에 머무르고 있다면 신기술에 의한 보안사고를 막기란 쉽지가 않습니다. 따라서 더 안전한 보호장치를 찾고자 하게 되는데 실제 이러한 보호장치가 별도로 있다기 보다는 지속적·주기적인 관리·감독을 통해 보호장치의 안전성을 지속적으로 점검하는 것이 필요합니다.


기술적으로 완벽한 보안체계를 갖추었다고 하더라도 시간의 경과에 따라 새로운 기술이 과거의 기술을 무력화할 수 있고, 새로운 보안취약점이 등장해 체계에 허점이 생길 수도 있습니다. 아니면, 물리적 보안은 충실히 운용했으나 인적·관리적 보안을 충실히 하지 않아 보안사고가 발생하는 경우도 많습니다.


최근에 발생된 보안사고는 기술적·물리적 보안보다는 인적·관리적 보안의 미비로 발생된 것입니다. 따라서 보다 안전한 보호장치는 물리적, 인적, 관리적 보안을 지속적으로 유지하고 실행하는 것이라 할 수 있습니다. 보안관련 분쟁이 발생한 경우, 한국인터넷진흥원의 118센터를 통해 상담을 받을 수 있습니다.


국번 없이 118번으로 전화하면 연결되며, 118센터에서는 사안에 따라 인터넷진흥원 내에 설치된 각종센터와 상담을 통해 문제를 해결에 도움을 받을 수 있습니다. 만일 사건이 인터넷침해에 관한 사항이라면 인터넷침해대응센터로, 개인정보에 관한 사항이라면 개인정보침해신고센터나 개인정보기술지원센터 등을 통해 이에 관한 상담을 받을 수 있습니다.


특히 개인정보와 관련한 분쟁을 소송보다 신속하고 간편하게 해결하고자 한다면 개인정보분쟁조정위원회 사무국에 상담을 신청해서 해결책을 제시받을 수도 있습니다.

(고명석 KISA 개인정보안전단/msgo@kisa.or.kr)


A-2. 정보통신망법이나 개인정보보호법 또는 해당 법률의 내용을 위임받은 하위 시행령, 시행규칙, 고시 등을 모두 이행한다고 하여 법률 분쟁을 피할 수는 없을 것입니다. 특히, 법령에서 정하는 개인정보의 안전성을 확보하기 위한 기준은 정보보호를 위한 ‘최소한의 기준’이라는 생각으로, 각 사업별 성격에 맞는 보호조치를 추가로 적용해야 상당한 주의의무(due diligence)를 다했다고 인정받을 수 있을 것입니다. 결국 최소한의 기준 충족에 더하여 ‘플러스 알파’로 정보보호를 위한 ‘추가적인 노력’을 했다는 증빙을 지속적으로 준비해야 할 것입니다.

(이진규 네이버 개인정보보호팀장/davidlee@nhn.com)


A-3. 아무리 법률과 제도를 정비해 시스템을 잘 갖춰놓았더라도 보안사고의 가능성이 있는 것은 사실입니다. 따라서 이와 같은 보안사고가 발생했을 때 법률적 리스크를 최소화하기 위해서는 업무 프로세스에 대해 전문가의 도움을 받는 것이 좋습니다. 이와 관련해서 한국인터넷진흥원에서 상담센터를 운영하고 있습니다.

(김광준 태평양 변호사/kwangjun.kim@bkl.co.kr)


A-4. 현재로써는 법이나 규정대로 보안시스템을 구축하여 보안활동을 하는 방법이외에는 별다른 방법이 없습니다. 정보유출 사고발생 시 유출된 기업 입장에서 법이나 규정을 준수하고 이에 따라 보안시스템을 구축해 보안활동에 부족함이 없었다는 것을 입증하면 법적으로 문제될 것이 없습니다.


보안관련 분쟁은 개인정보분쟁조정위원회가 있습니다. 개인정보 분쟁조정은 개인정보에 관한 분쟁이 발생했을 때, 비용이 많이 들고 시간이 오래 걸리는 소송제도의 대안으로서 비용 없이 신속하게 분쟁을 해결함으로써 개인정보침해를 당한 국민의 피해에 대하여 신속하고 원만하게 피해를 구제하는 제도입니다.

(이준택 한양대학교 교수/joontaiklee@gmail.com)


A-5. 개인정보보호법의 경우 개인정보분쟁조정위원회가 있으며, 해킹 피해 등의 경우 인터넷진흥원 인터넷침해대응센터에서 상담과 대응을 지원하고 있습니다, 또한 지적재산 또는 영업비밀 등의 경우에도 특허청에 분쟁조정위원회가 있으며, 산업기술 유출의 경우 산업통상자원부산하에 산업기술분쟁조정위원회가 있습니다.

(안상수 ISMS인증심사원, ISO27001선임심사원 /ssahn@nuriins.com)

[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>