[컴플라이언스①] 강화되는 정보보호 규제
상태바
[컴플라이언스①] 강화되는 정보보호 규제
  • 김선애 기자
  • 승인 2016.06.14 09:27
  • 댓글 0
이 기사를 공유합니다

정보보호 규제 강화되며 보안 업무 폭증…컴플라이언스, 비즈니스 경쟁력 강화 위한 가이드라인

지능화된 사이버 공격 위협과 사이버 테러 위협이 고조되면서 정보보호 컴플라이언스도 강화되고 있다. 국내 규제 중에서는 중복되는 부분이 많아 관리자의 업무 효율을 떨어뜨리는 주요 원인으로 지목된다. 효과적인 정보보호 규제 준수 활동을 제안하고, 정보보호 규제의 현재 문제를 지적해본다.<편집자>

“규제준수 업무 때문에 중요 업무 집중할 시간 없다”

개인정보보호법에 따라 기업/기관은 모든 형태의 데이터에 속한 주민등록번호를 암호화 해야 하며, 정보보호 관리체계(ISMS) 인증 획득과 유지를 위한 노력을 지속해야 한다. 더불어 개인정보보호 관리체계(PIMS) 인증 획득을 권장 받고 있다. 금융기관은 신용정보보호법, 전자금융거래법을, 공공 클라우드 서비스를 제공하고자 하는 서비스 사업자는 클라우드 컴퓨팅 서비스 보안인증을 획득해야 한다.

5월 열린 클라우드컴퓨팅 서비스 보안인증제도 설명회에 참여한 한 보안 담당자는 “1년 내내 규제준수를 위한 업무에 시간을 다 보내고 있다. 정작 중요한 업무에는 집중할 시간이 없다”며 “정보보호 관련 규제의 종류가 많고 중복되거나 충돌되는 내용이 많아 개편이 필요하다”고 토로하기도 했다.

사이버 공격이 지능화되고 각종 보안사고가 발생하면서 정보보호 관련 규제도 지속적으로 늘어나고 있다. 정부와 관련부처는 중복규제를 없애고 규제간 상충되는 항목을 개선하려는 노력을 지속하고 있지만, 기업/기관에서는 규제준수에 어려움을 겪는다고 호소한다.

정보보호 규제가 강화되는 것은 전 세계적인 트렌드다. 사이버 공격은 지능화되고 있지만, IT는 더욱 개방되고 있으며 협력과 협업을 통한 새로운 시장 창출에 노력하고 있다. 개인정보의 용이한 활용을 통해 새로운 기회를 만들고자 하는 시도도 계속되고 있으며, 클라우드·IoT 확산으로 더 많은 사물과 비즈니스가 인터넷에 연결돼 비즈니스를 만들어내고 있다. 이 때문에 공격자가 시스템에 접근하는 경로가 많아져 관리되지 못한 취약점이 더욱 늘어날 수 밖에 없다.

경제상황 변화에 민첩하게 대응하기 위해 더 많은 분야에서 규제가 허물어져야 한다는 주장과 사이버 범죄 증가로부터 개인과 기업/기관의 재산·생명을 보호하기 위해 더 강력한 규제가 필요하다는 주장이 대치되고 있다.

유영록 씨에이에스(CAS) 솔루션사업본부 대표는 “최근 기업/기관은 보안사고가 증가하고 관련 법규제가 강화되고 있어 경영진의 정보보호 책임이 더욱 무거워지고 있다. 그러나 규제준수를 위해 비즈니스 성장 기회를 놓쳐서는 안된다는 문제도 포함되고 있다”며 “비즈니스 경쟁력을 제고할 수 있는 전략으로 정보보호 거버넌스를 구축해야 한다”고 조언했다.

▲정보보호 규제로 인한 효과(자료: CAS)

“컴플라이언스 투자, ‘비용’ 아니다”

가장 많은 기업/기관이 관심을 갖고 있는 개인정보보호법의 경우, 모든 주민등록번호를 암호화하도록 규정하고 있으며, DBMS로 보호되고 있는 데이터 뿐 아니라, 청약서·계약서, 로그 데이터, 이미지, 녹취 파일 등의 주민등록번호도 암호화해야 한다. 보유하고 있는 주민등록번호가 100만명 미만일 경우 올해 말까지, 그 이상이면 내년 말까지 암호화를 완료해야 한다.

정보통신망에서 의무화한 정보보호관리체계(ISMS) 인증은 대상이 크게 늘어 ▲정보통신망서비스를 제공하는 사업자(ISP) ▲집적정보통신시설 사업자(IDC) ▲연간 매출액 또는 세입 등이 1500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 사업자 등이다. 다만 금융기관은 ‘자율규제’ 원칙에 따라 의무 대상에서 제외됐다.

금융기관이 지켜야 하는 신용정보법에서는 개인정보보호법에 규정된 개인정보 보호 규정을 준수하도록 했다. 비식별화된 개인정보는 마케팅 등에 이용될 수 있도록 해 금융기관이 새로운 서비스를 개발하고 지원할 때 활용할 수 있도록 했다.

이처럼 보안 규제가 강화되면서 기업/기관의 규제준수 업무가 폭증하게 돼 일부 기업에서는 규제준수 대신 과태료를 내고 비즈니스에 더 집중하겠다는 입장을 공공연하게 밝힌 기업도 있었다.

그러나 최근에는 보안사고가 발생했을 때 기업에게 강한 책임을 묻고 있으며 경영진 해고 등 강력한 처벌 조항이 있기 때문에 규제준수에 많은 노력을 기울이는 방향으로 선회하고 있다. 또한 사고가 발생했을 때 기업 신뢰도 하락으로 인한 피해가 크기 때문에 규제준수를 위한 노력을 지속하고 있다.

이상철 SK인포섹 수석컨설턴트는 “컴플라이언스로 인해 보안에 투자하게 되는 것을 ‘비용’으로 생각해서는 안된다. 아직도 여전히 ‘보안을 보험’으로 여기고 투자를 최소화하는 것을 미덕으로 여긴다면, 수시로 변화하는 경제상황에서 비즈니스를 보호하면서 경쟁하는데 실패하게 될 것”이라며 “IT와 보안은 통제가 아니라 비즈니스 경쟁력을 제고하는 것이며, 컴플라이언스는 이를 위한 가이드의 역할을 한다고 판단하고 적극적으로 투자해야 한다”고 조언했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.