| 기업 CISO가 개인정보 유출사고에 대처하는 방법 | 2015.06.23 | ||
유출 사실 알리고 규제기관·수사기관 등에 적절한 대응 필요 [보안뉴스 김태형] 최근 최대 이슈는 빅데이터다. 구체적으로 말하자면 빅데이터를 어떻게 활용하느냐에 따라 비즈니스 성공여부가 좌우된다고 과언이 아니다.
▲ KT 이상용 상무는 23일 개최된 디지털포렌식산업포럼에서 ‘빅데이터 시대의 개인정보
이어서 그는 “이와 같은 빅데이터는 현재 통신사에서 메르스와 관련해 가장 많이 이용하고 있다. 메르스 환자의 위치정보, 동선을 파악하는데 중요한 역할을 하고 있다. 이와 같은 경우 공공 목적으로 개인식별정보를 이용하는 것은 법적으로 문제가 없어 가능하다. 하지만 기업에서 이와 같은 개인식별정보를 활용하기 위해서는 익명화해 특정 개인을 식별할 수 없도록 해야 한다”고 설명했다. 이상용 상무는 23일 서울 삼성동 그랜드 인터컨티넨탈호텔에서 개최된 디지털포렌식산업포럼(회장 조근호)에서 ‘빅데이터 시대의 개인정보보호’을 주제로 강연하면서 이와 같이 설명했다. 그는 빅데이터 활용과정에서 발생된 고객정보 해킹사고 사례를 소개하면서 “수집되는 개인정보를 어떻게 보호하고 활용할 것인지 명확하게 규정해야 하고, 특히 정보유출 사고 이후 규제기관, 수사기관, 언론, 민원, 정부기관 등에 일원화된 외부 대응이 무엇보다 중요하다”고 강조했다. 지난 2008년 옥션 사태 이후 연이은 개인정보 유출사고로 인해 개인정보를 유출시킨 기업도 처벌받도록 법이 강화됐다. 이와 관련 지난해 개정된 정통망법은 CISO를 의무 지정하고 미래부에 신고하도록 했다. 또한, 개인정보보호법과 정통망법은 공공기관 CPO를 의무화했으며, 개인정보보호법은 기술적·관리적 보안조치가 미흡해 유출사고가 발생했다고 판단되면 해당 기업도 처벌을 받도록 했다. 이 상무는 “기업에서 정보유출 사고가 발생했다면 우선 규제기관 신고를 통해 유출규모와 항목, 시점, 경위, 대응조치, 피해자 구제절차 등을 상세히 밝혀야 하고 이와 관련해 언론사의 오보에 대해서는 적극적으로 소명하고, 언론에서도 부적절하거나 추측성 보도에 주의해야 한다”고 말했다. 또한, 그는 “홈페이지나 신문사 등을 통해 사과문을 공지하고 고객들을 대상으로 자신의 정보가 유출됐는지를 확인할 수 있는 기능을 제공해야 하고 그 다음으로 이메일, SMS, 서면 등을 통해 고객에게 정보유출 사실을 통지해야 한다. 이때 유출항목과 시점, 경위, 대응조치, 구제절차, 연락처 등을 명확히 밝혀야 한다”고 덧붙였다. 이와 같이 사고 후 대응이 진행된 다음에는 차후 진행되는 수사결과에 따라서 기업의 CISO와 보안담당자의 형사처벌 여부가 결정된다. 기업의 형사처벌 여부는 정통망법 제 28조에 명시된 ‘기술적·관리적 보호조치’ 의무를 다하지 않았을 때라고 할 수 있다. 정통망법 제28조 1항 제1호는 내부관리 계획에 관한 것이고 제2호는 접근통제장치 방화벽·IDS·비밀번호정책 등에 관한 것이며, 제3호는 접속기록 위변조 방지에 관한 것이다. 또 제4호는 암호화 기술 부분으로 안전한 암호알고리즘을 사용했는지, 고유식별정보의 저장 및 전송 시 암호화 여부에 관한 것이며, 제5호는 바이러스백신을 최신 버전으로 업데이트 했느냐 하는 부분이다. 이에 대해 이 상무는 “이 중에서 CISO와 보안담당자의 형사입건 조건은 정통망법 제28조 1항 제2호~5호 중에서 하나 이상을 미이행했거나 미이행 시 개인정보 유출 가능성에 대해 인지했는지 여부, 그리고 미이행 행위에 대한 고의성이 입증돼야 한다는 점이다. 이와 함께 미이행 항목과 개인정보 유출결과 사이에 인과관계가 성립돼야 한다”고 말했다. 그는 “기업에서 정보유출 사고가 발생했다면 사실 공개가 중요하다. 경찰과 검찰은 보안전문가 수준의 분석이 가능하기 때문에 기술적인 팩트를 숨기는 것은 불가능하다. 이에 사고관련 사실을 숨기지 말고 공개해야 하고 앞서 밝힌 바와 같이 적절한 대응을 하면서 기술적·관리적 조치가 적절했음을 입증하는 것이 필요하다”고 강조했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
