한국CISO협회, 2017년 6월 정기포럼 개최
2017년 상반기, 개인정보보호와 랜섬웨어로 ‘들썩’

[보안뉴스 원병철 기자] 워너크라이와 에레보스라는 걸출(?)한 두 랜섬웨어의 등장으로 올해 정보보호의 화두는 랜섬웨어가 차지하고 있다. 또한, EU의 GDPR 시행을 1년여 앞두고 ‘개인정보보호’ 역시 이에 못지 않게 회자되고 있다.


한국CISO협회(회장 임종인)는 20일 ‘6월 CISO포럼’을 개최하고 워너크라이 랜섬웨어 사태의 교훈과 과제, 그리고 개인정보보호제도 발전방향에 대한 논의를 진행했다. 한국CISO협회 임종인 회장은 “지난 주 인터넷나야나 사태로 많은 분들이 큰 충격을 받았을 것”이라면서, “전후 상황을 살펴보면, 정확하게 노리고 공격한 것 같다”고 말했다. “이번 사례에서 알 수 있듯, 중요한 자료는 반드시 백업해야 하며, 내부적으로 다시 한 번 보안을 돌아봐야 할 것입니다.”

개인정보, 인격 우선 EU와 거래 초점 미국 차이...한국은 융합
첫 번째 강연자로 나선 국회입법조사처 심우민 입법조사관은 “근대사회에서 개인정보는 국가의 감시와 통제를 위한 수단”이었다면서, “향후 이러한 규범적 구도는 프라이버시 및 개인정보자기결정권의 도입으로 변형되었다”고 강연을 시작했다.

이후 현대사회에서는 국가적 차원에서의 개인정보 수집과 유통 자체는 불가피했고, 이후 정보 주체가 자신의 정보를 적극 통제 및 관리할 수 있는 새로운 권리 개념이 필요하게 됐다. 헌법재판소가 개인정보자기결정권을 명시적으로 처음 언급한 판결은 2005년으로, 개인정보자기결정권을 ‘헌법 제17조, 제10조’ 그리고 국민주권원리 또는 민주주의원리를 이념적 기초로 하는 ‘헌법에 명시되지 아니한 독자적 기본권’으로 파악했다.

심 조사관은 EU는 개인정보를 거래 개체보다는 ‘인격’에 초점을 맞췄지만, 미국은 재산권의 ‘거래’에 초점을 맞췄다면서, 우리나라 개인정보보호규정은 이상적으로는 EU 모델을 추구하지만 현실적으로 미국 모델과 유사한 점이 있다고 설명했다.

“향후 개인정보보호 법제는 광범위한 보호영역을 설정하되, 구체적인 규제는 일률적인 기준 설정이 아니라 위험이 있는 곳에 집중될 수 있도록 하는 것이 타당할 것으로 판단된다”고 설명한 심 조사관은 “규범적 한계 극복을 위한 패러다임 전환이 이슈가 될 것”이라고 예상했다.

정보보호 공시제도에 대한 CISO들의 의견 수렴
두 번째 강연은 사이버전연구센터(CWIC)의 최상명 센터장이 진행했다. 최상명 센터장은 지난 5월 전국을 떠들썩하게 했던 워너크라이 랜섬웨어를 중심으로 랜섬웨어의 위험성과 그로 인해 배울점 4가지를 예로 들어 설명했다.

최 센터장은 “워너크라이는 유포된 지 약 2시간 만에 전 세계 10만대 이상의 PC를 감염시켰다”면서, “랜섬웨어는 복호화 키가 없다면 암호화된 파일을 복구할 수 없기 때문에 백업을 하거나, 해커에게 돈을 지불하거나, 자료를 포기를 하는 방법밖에 없다”고 말했다.

한편, 미래부 정보보호산업과의 심규열 사무관은 현재 정부에서 추진하고 있는 정보보호 공시제도에 대한 CISO들의 의견을 묻기 위해 강단에 올랐다. 심 사무관은 “현재 정보보호 공시제도에 대한 현직 CISO들의 생생한 의견이 필요하다”면서, “정보보호 공시제도를 의무화하는 개정안이 민주당 이재정 의원의 발의로 국회에 상정되는 등 변화를 앞두고 있어 많은 분들의 도움이 필요하다”며 기탄없이 의견을 내줄 것을 요청했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>