[특별기고] 기업 보안 담당자, 컴플라이언스 이슈 따라잡기 |
등록 : 13-09-09 07:39 , 데일리시큐 길민권기자 , mkgil@dailysecu.com |
기업의 보안 담당자가 정보보호와 관련된 컴플라이언스를 잘 파악하고 준수를 하기 위해서 제일 먼저 해야 하는 것은 현재 본인이 담당하고 있는 기업이 온라인 및 오프라인에서 매진하고 있는 사업이 무엇인지 파악을 하는 것이다. 두가지 모두를 파악해야 되는 이유는 온라인 또는 오프라인 사업이 메인이어서 반대쪽 분야에서 어떤 사업을 하고 있는지 잘 모르고 있는 경우가 있기 때문이다. 그리고 오랫동안 보안 업무를 수행하고 있는 기업 보안 담당자라고 하더라도 정보통신망법, 개인정보보호법 외에는 잘 모르거나 신경을 쓰지 않는 부분이 있다.
하지만 좀 더 자세히 파악을 하게 되면 실제로 기업이 사업을 하기 위해서 준수해야 되는 법률이 생각보다 많으며, 이러한 법률 가운데에는 기업 보안 담당자가 고려해야 되는 내용인 정보보안, 정보시스템 운용 또는 좀 더 넓게 내부 통제와 관련된 부분을 찾아 낼 수 있는 경우가 있다. 예를 들어 만약 기업이 전자상거래를 하는 기업이라고 한다면 대표적인 법률은 아마도 “전자상거래 등에서의 소비자보호에 관한 법률”일 것이며, 이 법률에서는 전자상거래와 관련된 정보시스템의 로그 보관 기관 및 항목에 대해서 규정을 하고 있다는 것을 알 수 있을 것이다.
기업이 준수해야 되는 법률 중에 기업 보안담당자가 관심있게 봐야 하는 법률을 선정한 후에 해야 되는 내용은 관련 법률과 시행령, 시행규칙, 고시 또는 모범규준, 가이드 및 해설서를 참고를 해서 정확한 내용이 무엇인지 좀 더 상세하게 파악을 하는 것이다. 우선 현재 공표된 법률의 경우에는 “국가법령정보센터”에서 쉽게 관련 정보를 구할 수 있으며, 가이드 및 해설서의 경우에는 “한국인터넷진흥원”, “보호나라”, “개인정보 종합지원포탈” 이나 해당 법률과 관련된 공공기관의 홈페이지에서 찾을 수 있다.
이렇게 정보를 확인하고 수집을 하더라도 일반적으로 법률 전문가가 아닌 기업 보안 담당자는 법률의 해석에 어려움을 겪을 수 밖에 없게 된다. 이러한 경우에는 우선 관련 법률의 제1조인 목적이나 제개정 사유를 참고를 해서 해석을 하고, 법률에서 특별히 대상을 제한하는 용어를 사용하지 않았다면 보수적으로 해석을 하는 것이 맞을 것이다. 간혹 관련 법규에 따라서 적용해야 되는 내용이 다른 경우나 상충되는 경우가 있는데 이러한 경우에는 법률이나 해설서 등에 설명되어져 있는 타 법률간의 관계를 잘 읽어볼 필요가 있다.
특히 법률의 준수 대상에 대해서는 기존에는 정보시스템에 주로 한정이 되어 있던 것이 개인정보보호와 관련된 내용이 강화되면서 수탁사에 대한 위탁사의 감독과 같은 조항이 추가되어 수탁사까지 준수 대상으로 고려를 하여야 한다. 최근 여러 법률에서 정보보호와 관련된 내용을 다루고 있어 서로 상충 또는 중복 되는 부분이 있어서 해석에 어려움이 있다면 기업 내의 법무 담당자나 외부의 자문 변호사 또는 관련 공공기관에 문의를 하여 도움을 받는 것이 좋다.
법률에 대한 검토가 완료가 되었다면 실제로 담당하고 있는 기업에서 현재 준수를 하고 있는지 준수를 하고 있지 못하면 어떻게 준수를 해야 될 것인지에 대해서 대책을 마련하고 현업과 협의를 하여야 한다. 대책은 다음과 같이 세가지 정도를 마련할 수 있을 것이며 어떤 대책을 선택할지는 현업과 협의 후에 의사결정권자의 결정 후 수행을 하면 될 것이다.
첫번째 대책으로는 법률을 준수를 하기에는 너무 많은 인력, 시간 또는 비용이 소요되며 해당 사업이 큰 이익을 내지 못한다면 해당 사업에서 철수하는 것이다. 두번째 대책으로는 법률을 준수해야 되는 조직 또는 시스템을 최소한으로 축소하는 것이다. 예를 들어 최근에 이슈가 된 PC 망분리의 경우에는 개인정보처리시스템, 개인정보취급자를 최소화함으로써 법률을 준수하기 위해서 소요되는 비용을 최소화할 수 있게 된다. 세번째는 법률을 준수해야 되는 사업이 기업의 핵심 사업이어서 조직이나 시스템 등이 큰 경우로써 이러한 경우에는 우선 순위를 정해서 계획을 마련을 하고 이행을 하는 것이다.
이렇게 준수하고 있는 법률이 자주 변경이 되지 않는다면 기업 보안 담당자로서는 좋은 일이지만 정보통신망법의 경우에는 상당히 자주 바뀌는 법률이기 때문에 항상 어떻게 변경이 되는지에 대해서 알고 있어야 한다. 아직 국회에서 통과가 되지 않은 개정안의 경우라고 한다면 “대한민국 국회” 홈페이지에서 관련 법령에 대해서 검색을 하게 되면 현재 국회에서의 진행 경과를 알 수 있다. 이러한 법률은 통과되고 필요한 경우 시행규칙이나 고시까지 나오는 경우에는 다소 시간이 걸리기 때문에 사전에 유관 부서에 알려서 준비를 할 수 있도록 하는 것도 중요하다.
또한 현재 가장 이슈가 많이 되고 있는 정보통신망법과 개인정보보호와 관련되는 내용의 경우 관련 판례와 개인정보 분쟁 조정 사례를 파악을 하면 업무에 많은 도움이 될 수 있다. 판례의 경우에는 언론 보도에 난 요약된 정보만으로는 도움이 되지 않는 경우가 있기 때문에 대한민국 법원 대국민서비스 홈페이지에서 판결과 관련해서 검색을 해서 공개된 판결문을 다운로드 하여 읽어보거나 국가법령정보센터에서도 판례 페이지를 읽어 보면 실제 업무를 하면서 생각했던 것과는 다르게 법원에서 법률을 해석하는 경우를 발견할 수도 있게 되는데 이러한 경우에는 기존에 수립했던 대책 중에 누락이 되거나 한 부분이 없는지 다시 한번 점검을 해볼 필요가 있다.
컴플라이언스와 관련해서는 누구도 정확하게 답을 줄 수는 없지만 기업 보안 담당자가 이 분야에 대해서 경험과 지식이 많게 되면 Business Diabler라는 인식이 차츰 Enabler로 바꿀 수 있을 것으로 생각이 들며 그렇게 된다면 기업 내에서 기업 보안 담당자에 대한 인식도 개선이 될 것으로 기대해 본다.
글. SK커뮤니케이션즈 보안문화팀 송재훈 매니저
댓글 없음:
댓글 쓰기