(2019.06.13 시행) 정보통신망법 시행령 개정안

정보통신서비스 제공자에 대한 CISO 지정


2019년 6월 13일 시행예정인 정보통신망법 시행령 개정안이 입법 예고되어 있다. 여기서 크게 변경되는 부분이 정보통신서비스 제공자에 대한 CISO 지정에 관한 부분이다.

* CISO: chief information security officer로 한국말로 하면 '정보보안 최고 책임자' 이다.


먼저, 2019년 6월 13일에 개선되는 법령은 아래와 같다.

정보통신망법 45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하지 아니할 수 있다.  <개정 2014. 5. 28., 2017. 7. 26., 2018. 6. 12.>

② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다.  <신설 2014. 5. 28.>

③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다.  <신설 2018. 6. 12.>

④ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.  <개정 2014. 5. 28., 2018. 6. 12.>

1. 정보보호관리체계의 수립 및 관리ㆍ운영

2. 정보보호 취약점 분석ㆍ평가 및 개선

3. 침해사고의 예방 및 대응

4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등

5. 정보보호 사전 보안성 검토

6. 중요 정보의 암호화 및 보안서버 적합성 검토

7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다.  <개정 2014. 5. 28., 2018. 6. 12.>

⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다.  <개정 2014. 5. 28., 2015. 6. 22., 2018. 6. 12.>

⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다.  <신설 2018. 6. 12.>

[본조신설 2012. 2. 17.]

[시행일 : 2019. 6. 13.] 제45조의3

기존까지는 CISO에 대한 지정 및 신고 의무 대상자는 소프트웨어 개발 사업자 등이 상시 종업원 수가 1천명 이상인 정보통신망법서비스 제공자 등이었으나 개선된 법령에서는 위와 같이 좀 더 구체적으로 변경이 되면서 CISO를 지정 및 신고를 해야 하는 대상이 확대되었다.

법령에 나오는 용어를 좀 더 자세하게 보면 아래를 참고하면 된다.

3. "정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자*와 영리를 목적으로 전기통신사업자의 전기통신역무**를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.

* "전기통신사업자"란 이 법에 따른 허가를 받거나 등록 또는 신고(신고가 면제된 경우를 포함한다)를 하고 전기통신역무를 제공하는 자를 말한다.

** "전기통신역무"란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것을 말한다.

대략적으로 정리를 하자면, 홈페이지를 운영하고 있는 회사는 거의 대상이 될 것 같으며, 회사의 자산총액에 따라 CISO 겸직 가능 여부가 결정된다. (자산총액 5조원 이상의 정보통신서비스 제공자는 겸직 불가능)

추가로, 다른 직무와 겸직이 불가능한 CISO는 아래의 자격요건을 충족해야 한다. 

- (필수) 상근하는 자

- (필수) 다른회사 임직원으로 재직 중이지 아니한 자

- (필수) 임원급

그리고 아래 둘 중 하나의 자격 요건을 만족해야 한다.

- 4년 이상의 정보보호 분야 경력자

- 2년 이상의 정보보호 분야 경력자로 정보기술 분야 경력과 합하여 5년 이상인 자


CISO를 지정하고 과기정통부 (과학기술정보통신부) 장관에게 신고를 해야 한다고 되어있다. 지정이 안되어 있다면 감사 시 CISO 지정에 대하여 확인을 할지는 모르겠지만, 당장 하지는 않을 것 같고 추후 1-2년 정도 후에는 감사를 진행한다면 CISO 지정 관련하여 확인을 하지 않을까.











개인정보 국외 이전 관련 법령 | 정보통신망법 | 개인정보 국외 반출 / 해외 반출


클라우드 플랫폼이 활성화 되면서, 또한 외국계 기업의 한국 진출이 늘어나면서 개인정보가 국외로 이전되는 경우가 심심치 않게 발생하고 있다. 특히 AWS나 MS AZURE 등의 Cloud 기반 서비스가 늘어나면서 자연스럽게 고객 정보가 해외로 반출되는 경우도 많이 발생하고 있다. 국내에도 클라우드 데이터 센터가 있다고는 하지만 아직 모든 서비스가 제공되지 않아 MS Azure 같은 경우에는 서비스에 따라 일본이나 싱가포르에서 서비스 되는 경우도 있다. 


개인정보가 국외로 반출/이전되는 경우 해당 정보 주체 (예를 들어 고객정보인 경우 고객 당사자)에게 '당신의 어떠한 정보가 어떠한 목적으로 인하여 어느나라에 이전되었다'라는 내용을 고지 및 동의를 받아야 한다. 경우에 따라 고지가 필요하지 않는 예외의 경우도 있지만 어느 법령을 근거로 하여 고지 및 동의를 받아야 하는지를 보려고 한다.


정보통신망법 제63조(국외 이전 개인정보의 보호)

① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다.

② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.<개정 2016.3.22.>

③ 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 이전일시 및 이전방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

④ 정보통신서비스 제공자등은 제2항에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.

[전문개정 2008.6.13.]


일단 기본적으로는 해외 이전이 되면 이용자에게 고지 및 동의를 받아야 하지만 2항에 보면 '이용자 편의 증진 등을 위하여' 라는 내용으로 보면 경우에 따라 이용자에게 알린 경우에는 동의 절차를 거치지 않을 수 있다고 되어있다. (이 부분은 잘 해석을 해야 할 것 같다.)

클라우드 서비스를 도입 예정이라면 개인정보에 대하여 꼭 고려를 해야 하며 또한 KISA에서도 아래 첨부파일과 같은 클라우드 사용 시 기업에서 확인해야 하는 개인정보보호 수칙을 안내하고 있으니 참고하면 좋을 것 같다.








2차인증, 추가인증 관련 법령 | 개인정보보호법 | 전자금융감독규정


개인정보 보호에 대한 법률 규정이 강화되면서 2차인증 (추가인증)에 대한 부분은 거의 필수가 되어 가고 있는 것 같습니다. 금융권 같은 경우에는 진작부터 전자금융감독규정에서 더 강하게 규정하고 있어서 많이 적용되어 있지만 그와 비교해서 비 금융권은 조금 약한 편입니다. 많이 강화되가고 있는 중인 것 같습니다.

그럼 먼저, 국내 법령에서 2차인증 관련하여 어떤 법령이 있는지, 또한 법령을 어떻게 해석하느냐에 따라서 어떻게 적용을 해야 하는지도 있는데 그것도 한번 간단하게 (개인적인 사견으로) 보도록 하겠습니다.


먼저, 개인정보보호법에서 요구하는 2차인증 관련하여서는 아래 법령이 있습니다.

개인정보 보호법 제4조 (접근통제)

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.

<해설>

인터넷 구간 등 외부로부터 개인정보처리시스템에 접속은 원칙적으로 차단하여야 하나, 정보통신서비스 제공자 등의 업무 특성 또는 필요에 의해 개인정보취급자가 노트북, 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통해 개인정보처리 시스템에 접속이 필요할 때에는 안전한 인증수단을 적용하여야 한다.

- 안전한 인증 수단의 적용 : 개인정보처리시스템에 사용자계정과 비밀번호를 입력하여 정당한 개인정보취급자 여부를 식별․인증하는 절차 이외에 추가적인 인증 수단의 적용을 말한다.

안전한 인증 수단을 적용할 때에도 보안성 강화를 위하여 VPN, 전용선 등 안전한 접속수단의 적용을 권고한다.

법령을 살펴보자면, [개인정보취급자가 정보통신망을 통해 ‘외부에서’ 개인정보처리시스템에 접속]이기 때문에 만약 내부에서 접속을 하는 경우에는 꼭 추가적인 인증을 하지 않아도 된다는 의미이지만 요즘 대부분 내부이던 외부이던 개인정보처리시스템에 접속을 하는 경우에는 거의 약간 안전빵으로 추가인증을 적용하는 추세인 것 같습니다.


개인정보의 안전성 확보조치 기준 제 5조 (접근 권한의 관리) (6항)

개인정보처리자는 개인정보처리시스템에 권한 없는 자의 비정상적인 접근을 방지하기 위하여 계정 정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우에는 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.

- 계정정보 또는 비밀번호를 일정 횟수(예: 5회) 이상 잘못 입력한 경우 사용자계정 잠금 등의 조치를 취하거나 계정정보·비밀번호 입력과 동시에 추가적인 인증수단(공인인증서, OTP 등)을 적용하여 정당한 접근 권한자임을 확인하는 등의 조치를 취하는 것을 말한다.

또한 하위 법령인 개인정보 안전성 확보조치 기준에서는 안전한 접근 통제를 위하여 비밀번호를 일정 횟수 이상 틀리면 계정을 잠그거나 접속 시 추가 인증을 적용하라고 되어 있습니다. 

특히 [개인정보처리자는 개인정보처리시스템에 ~ 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.] 이기 때문에 결국 개인정보처리시스템에 접속을 하여 개인정보를 처리 하면 조금 크게 해석하면 역시 안전빵으로 추가인증을 적용하는 것이 안전하다고 생각됩니다.


여기에 추가적으로, 금융권은 전자금융감독규정을 적용받는데 여기서는 한층 더 까다로운 조건이 있습니다.

전자금융감독규정 제 14조 (정보처리시스템 보호대책)

9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것 

<해설>

정보처리시스템의 운영체제 계정에 대한 보안강화를 위하여 로그인시 계정 및 비밀 번호 이외의 별도의 안전한 추가인증 절차를 반드시 시행하고, 운영체제 계정의 작업 수행에 대한 이상 징후 발생 시 필요한 통제 조치가 즉시 시행될 수 있도록 모니터링 체계수립(제9호, 제10호)

[정보처리시스템의 ‘운영체제’ 계정에 대한 보안강화]이기 때문에 예를들어 IT Administrator가 정보처리시스템에 원격데스크탑으로 접속을 하는 경우도 2차인증을 적용해야 한다고 나와 있습니다. 조금 더 까다롭죠.


2차인증, 추가인증 관련하여 찾아본 관련 법령은 이 정도가 될 것 같습니다. 추가적으로 다른 법령이 있을지는 모르겠지만... 위 정도면 충분하지 않을까 싶네요.




ESP (Enterprise Security Planning) | 전사적 정보보안 계획


ESP란, Enterprise Security Planning의 약자로 전사적 정보보안 계획 혹은 전사적 통합보안관리 시스템이라는 의미를 가진다.
관리자는 보안지침을 등록하고 등록한 보안지침을 기준으로 운영중인, 도입 예정인 시스템의 보안 수준을 점검한다. 그리고 그 점검 결과 및 이력, 통계, 증적을 관리하고 비즈니스의 핵심 가치에 보안적인 측면에서 기여할 수 있도록 정보보안 프로세스를 통합하여 관리할 수 있다.

IT, Security, CCAMI, ESP, Enterprise Security Planning, 정보보안, 정보, 보안, 전사적 정보보안 계획, 전사적 통합보안관리 시스템, 보안 의식, 정보보안 투자, 전사 차원 정보보안 전략 실행, 비즈니스, 까미, 개인정보


ESP의 목표와 역할은 아래와 같다.

- 효율적인 정보보안 투자 (중복 방지)

- 전사 차원의 정보보안 전략 실행

- 정보보안의 비즈니스 기여에 대한 투명성 확보

- 개인정보 등 비즈니스 정보의 Life Cycle 관리

- 정보보안 활동의 자동화 및 이력관리

- 외부 규제 대응

- 정보보안 자원의 현황 파악 및 효율적 투입, 활용

- IT 자산의 효과적인 보안관리 및 통제



  1. 2017.12.05 16:45

    비밀댓글입니다

+ Recent posts