2 - 법과제도/개인정보보호법

1. CPPG 자격증을 최우선적으로 따라. Compliance 영역(법제도)

 

2. 기사를 따라. -> 기술적인 영역 

 

두 개를 다 취득해야 컨설팅이 가능하다. 특히 컨설팅은 Compliance 영역.

 

경력을 쌓으면 ISMS-P를 최종적으로 획득해야 한다. 그래야 제대로 된 컨설팅을 할 수 있다.

---

Compliance 를 공부전에 GRC를 알아야 한다.

 

GRC : Governace(경영진) / Risk management / Compliance 개요

 

(경영진 입장에서는 서비스를 시행하는 것이 중요하지 보안이 중요하지 않다.)

 

G : 전략, 정책을 제시

R : 책임자가 위험을 분석 및 대응

C : 책임자가 규정 및 법규 등을 준수하고 지속적인 보고 활동을 의미

 

Risk의 정의 : f(A,V,T)  Asset 자산 , Vulnerablity 취약점, Threat 위협  -> 곱셈,덧셈 등을 통해 수치화 시켜 위험도를 측정하는 것.

 

asset의 개인정보는 누구의 것인가? -> 기업/개인 중 개인 것 -> 정보의 주체는 개인, 정보를 잠시 rent하는 것.

 

즉 남의 것이기 때문에 지키는 것이 중요하다.

 

V + T 는 Concern(우려사항)이라 부른다.

 

DOA(수용가능위험, 잔여위험) -> 경영진/정보보호팀들이 위험도를 보고 판단한다. -> 위험도를 인지하고 있지만 없앨 수는 없다.(비용대비 효율이 안 나오므로 잔여 위험을 내포하면서 계속 시스템 위험도를 유지) -> 시간이 지나면 잔여 위험도가 올라 갈 수 있다(새로운 공격들이 지속적으로 나오므로) -> 따라서 매년 위험도를 관리해야 한다.  

 

=> 위의 모든 것들이 Risk Management이다.

Risk Management에는 4가지를 선택 할 수 있다. 여기서 위험도가 높고 효율이 안 나오면 사업을 포기해야 한다.

 

현실 세계에서는 컨설팅 시 발생 가능성도 중요한 척도로 봐야한다.

---

 

정보보호 법과 제도

 

정보통신망법(민간부분에 적용) :  정보통신망을 이용하여 정보를 제공하는 모든 사람에게 적용되는 법

 

개인정보보호법(정부/민간/금융 전부에 적용 되는 법) 

 

 

---

 

ISMS 개요:

조직의 주요 정보보호 -> 정보보호 관리 절차와 과정을 체계적으로 수립 -> 지속적으로 관리 운여하기 위한 종합적인 체계

 

지속적으로 정보관리가 필요하고 매년 위험도를 관리를 해야하므로 ISMS가 존재.

 

정보보호에 관한 경영 시스템으로 조직의 의사결정시스템(DOA에 관한 의사결정) ➔  투자 의사에 결부 되니까 중요/ 내부통제시스템으로 위험 관리와 유사한 개념 ➔ 이 구조는 일반적으로 PDCA 사이클 기반으로 실행

 

정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적(취약점 분석)·물리적 보호 조치(CCTV 설치 등) 를 포함한 종합적 관리체계를 수립·운영 ➔ 인증 받으면 인증서를 줌

 

ISMS-P 꽃은 위험관리이다. 

학교는 학사정보만 ISMS 인증 받는다(대부분)

 

ISMS-P 에서 ISMS는 의무 80개 조항 P는 권고사항 22개해서 총 102개의 관리적 진단.

따라서 ISMS인증만 받으면 ISMS-P 대신 ISMS인증서를 줌. 실제 현장에서는 권고사항인 PIMS의 항목도 준거성때문에 점검을 한다.

 

ISMS-P 인증받으면 인증서 유효기간은 3년이다.

하지만  ISMS-P 인증은 매년 심사를 받아야한다. 최초심사 ➔사후심사➔사후심사➔갱신검사 순으로 받는다.

 

한국에서 ISMS-P 인증대상 업체는 매년 1000개 발생. 1개의 인증을 잡으면 1000억 + @를 봐도 2000억정도의 시장.

다른 컨설팅까지 합치면 컨설팅 시장은 1조정도의 시장으로 보고있다.

---

정보보호 관리 등급은 업체/기관을 ISMS-P인증 받은 곳들을 우수, 최우수 등의 등급으로 나눠 놓은 것.

---

중요 부분 : 기반시설 지정은 권고이나 기반시설로 지정이 되면 취약점 분석을 필수로 받아야 한다. 우리가 알아야 할 것은 정보통신기반 보호법이 중요하다. 주요정보통신기반 시설로 지정 시 무조건 적으로 취약점 진단 컨설팅을 받아야 한다.

 

평가 메뉴얼이 존재하며 메뉴얼에 따라 평가 받는다.

여기에 Cloud, 이동통신이 추가됐다.

---

정보보호 사전점검(권고) : 위협, 취약점, 위험 분석 등의(Risk management) 진단을 통해 사전에 취약점을 제거하고 보호대책을 수립

 

사전 점검 ➔ 구축/운영 ➔ 사후관리, ISMS(위험관리/f(A,V,T))

 

개인정보보호법에도 똑같이 적용된다. 사전 점검 PIA(개인정보보호영향평가) ➔ 사후관리 PIMS

---

(법률, 고시, 시행, 지침 등 법률 안에는 여러가지 사항들이 존재) 표준개인정보보호지침은 고시, 지침이지만 거의 반드시 지켜져야 한다.

---

모든 정보보호 제품은 CC인증을 받아야 한다. 1998년 2월부터 정보보호시스템 평가.인증을 시행 ➔ 2002년부터는 국제공 통평가기준(Common Criteria)에 따라 정보보호시스템에 대한 CC 인증업무 수행

 

2006년 5월 국제상호인정협정(CCRA)에 인증서 발행국(CAP)으로 가입하여 국제 수준에 맞는 평가인증제도 운영

CCRA에 가입되어 있는 국가끼리는 CC인증 받은 제품을 서로 인정해준다.

---

정보통신망 이용촉진 및 정보보호 등에 관한 법률 주요내용

정보보호조치 대상자 

1. 정보통신서비스 제공자

2. 기기, 설비,장비 제조하거나 수입하는 자

 

정보통신망 침해행위 등의 금지 (제48조)

1. 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.

 

침해사고의 대응 등(제48조의2)

2. 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통게 등 침해사고 관련하여 과기정통부 또는 KISA에 제공해야 한다. IDS/IPS 등에 TAP(Test Access Point)를 붙여서 트래픽량 확인.

 

---

개인정보 보호 법

우리나라는 EU의 GDPR(일반개인정보보호규정)의 가져와서 개인정보 보호법을 만들었다고 해도 과언이 아니다.

GDPR은 약 20년에 걸쳐 만들어진 법이다. 글로벌 매출액의 4%까지 과징금을 부과 할 수 있다. 

 

한국과 EU가 FTA를 맺으려고 할 때 개인정보호법이 없어서 FTA 협상 결렬 위기 ➔ 개인정보보호법 생성 

 

법 적용 시 개별 법이 우선이다.

 

법령은 큰 틀, 법률은 법령 안에 들어간다. 법령 안에는 시행령, 시행규칙 등이 들어간다.

 

헌법에 명시 된 헌법재판소, 감사원, 선거관리위원회 등에서 나온 시행령은 대통령시행령과 똑같은 효력을 지닌다.

---

업무를 위해서는 특히 3, 4, 5, 6장을 잘 알아야 한다.

 

개인정보 보호법은 고시까지 전부 알아야 한다.

 

---

개인정보의 정의

---

정확한 정의

가명정보 : 추가정보의 사용∙결합없이는 특정개인을 알아볼 수 없는 정보

 

가명 처리(psendonymisation)한 개인정보는 개인 정보다. 

 

익명 처리(anonymisation)한 개인정보는 개인 정보가 아니다.

 

가명정보는 추가 정보와 결합하여 원래의 정보로 되돌아 갈 수 있다.

1. 암호화키

2. mappingtable     ->  EX) 홍길동을 SHA-256으로 해시하면 '홍'에 대한 '길'에 대한  '동'에 대한 매핑테이블로 원래의 정보를 가져 올 수 있다.

 

Privacy model {1. 익명성 2. 다양성 3. 접근성 } + 다른 어떠한 정보를 합쳐도 개인 정보를 알 수 없는게 익명 정보.

---

전화번호 뒷자리, IP 주소 등이 개인 정보 일 수도 있고 아닐 수도 있다.

결론은 개인 정보의 범위는 넒고, 개인 정보 판별은 종합적인 상황을 고려해봐야 한다.

 

---

블랙박스는 예외(음성,음향 녹음이 가능하다.)

 

---

개인정보 자기 결정권

3번 열람 요청 시 10일 이내에 알려줘야 한다.

4번 파기 시 10일 이내에 파기해야 한다.

---

수집 ➔ 이용 ➔ 제공 ➔ 관리 ➔ 파기 사이클로 돌아간다.

---

제 16조(개인정보의 수집 제한)

4. 최소한의 개인정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 재화 등 제공 거부 금지

---

정보주체의 동의를 받은 경우 4가지 : 목적, 항목, 기간, 거부 시 불이익

 

#법률 용어

동의 :  1 대 1 / 피드백을 준다.

고지(통지) : 1 대 1 / 피드백을 주지 않고 일방적으로 알려주는 것./

공개 : 정보 주체가 보던 안 보던 알리고 있는 것.(EX) 홈페이지에 들어가면 공개해서 떠 있는 것들)

---

 

EX) 회원가입을 위해 개인정보를 받았는데 마케팅용으로 개인 정보 사용시 목적 외 이용을 한 것.

 

구분 동의 : 체크 박스를 따로 두는 것(동의서에서) EX) 서비스, 목적 등 등 하나 하나에 체크 박스를 두는 것

 

별도 동의 : 구구 절절 약관 같은 것을 적어 놓은 것.

 

---

제공 동의에서 폰트, 글자 크기까지 고시에 정해져 있다.

---

계약을 이행하기 위해서는 정보주체의 개인정보 동의를 물어 볼 필요가 없다.

EX) 인터넷 쇼핑에서 주소가 필수 개인정보가 아니다.(물건을 살 수도 안 살 수도 있어서) 따라서 주문 시 주소를 물어 볼 수 있는데 동의를 물어 볼 필요가 없다. 계약 이행을 위한 예외 조항이다.

---

공공기관 개인정보 이용 및 제공 관련 법적 근거로 관련 사항을 인터넷 홈페이지에 게재(30일 이내 10일동안)

---

민감정보고하고 고유식별정보는 구분 할 줄 알아야 한다.

 

고유식별정보는 별도의 동의를 받아야 한다. 단 주민번호는 수집할 수 없다. 만약 있다면 예외조항으로 법령과 시행령으로 처리된 것이다. 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙은 대통령령과 똑같은 효력이 있다.

 

 

생체정보(IT의 발달로 들어가게 됐다)는 가공된 정보. 인종정보는 우리나라가 다인종국가로 변해가고 있으므로.

 

---

법과 시행령 정의 된 것 이외의 모든 것은 민간정보가 아니다. 법률에서 등 이 안 들어가면 딱 그 정보만 정의 된 것이다.

 

---

EX) 기간/항목/거부 3개가 같으나 목적이 다를 경우 

목적 1 회원가입

목적 2 마케팅 동의 

목적 3 제 3자 제공  등  다를 때 목적 부분만 동의란을 따로 만들어 각 각 받도록 만들라는 뜻.

 

동의가 불필요 한 것은 목적/항목/기간/근거 등을 잘 적어서 정보 제공자에게 알려줘라는 뜻.

---

실 사례 홈플xx사건

 

"당신의 정보를 보험회사에게 판매 하겠습니다"라고 동의했으나 글자가 너무 작고 정보주체를 우롱하는 행위다라고 판단해서 배상 판결이 났다. 그런데 행정부에서 이러한 사건이 발생하자 시행령을 고침.

↓↓↓↓↓↓↓↓↓

EX) 예시

---

위탁 시 반드시 서면으로 계약을 하고 구상권을 명시하라.

---

---

개인정보 파기

---

영상정보처리기기 설치/운영

---

사업장 내부에 설치된 CCTV는 노사 양자의 협의 사항으로 규정 개보법보다 우선 적용한다.

---

안전성 관리에는 "최소한"의 안전 확보조치를 해야한다.

---

관리적/기술적으로 보호조치가 이뤄지지 않으면 법적조치가 강해진다.(벌금이 상승)

 

 

---

개인정보 노출과 유출

 

법에서는 유출과 노출의 차이를 두고 있지는 않다.(아래 내용은 KISA에서 정의한 것)

---

정보통신서비스에서는 이용자 

 

개인정보보호법에서는 정보주체자

 

정보통신서비스제공자는 개인정보 유출 시 24시간 이내에 신고해야 한다.(정보통신서비스제공자가 아니면 인지 후 5일 이내)

 

공공기관/소상공인/법인/단체/근로자 등이 5일 이내

---

PIA(PrivacyImpactAccessment) 개인정보 영향평가 미국에서 가지고 왔다. 

 

공공기관은 의무(아래 항목 참조) 민간기구는 자율(권고)

 

5번의 특정 IT기술 활용 시 개인정보 보호에 들어가는 것은 CCTV, RFID, 바이오정보, 위치정보 CRBG라고 부름

---

보상제도

대안적 분쟁조정 ADR(Alternative Dispate Resolution)제도는 구속력이 없다. 따라서 합의가 안 되면 민사소송을 가야한다.

징벌적 손해배상제도에서 키워드는 "중과실" 역대 판결 최대금은 30만원.

 

법정 손해배상제도 300만원 이하 금액

 

---

 

국내 대리인의 지정은 해외기업들의 개인정보 담당자를 두기 위해.

 

과태료는 고정된 벌금이지만 과징금은 총 매출/글로벌 매출의 몇 %로 들어가서 금액이 달라진다.

 

---

 

식당에서 개인정보를 수집하는데 동의를 받지 않는 이유 제58조 공중위생에 해당하므로

 

제58조의2가 익명정보에 해당하는 제외 규정이다.

---

개인정보의 안전성과 확보조치와 기술적/관리적 보호조치

---

2번의 지체없이 정확한 시간이 없다. 인지 후 즉시 시행 하는 게 좋다.(실무적으로는  3일 이내로 본다.)

 

3번의 빨간색 괄호는 특례다. 정보통신서비스제공자는 더 엄격하게 관리된다.

 

6번의 보통 컨설팅에서 5회 이상 비밀번호 잘못입력시 접근제한하라고 한다.

 

4번 OWASP TOP10을 매년 컨설팅해라는 뜻.

---

키워드는 "직접" 접속하는 단말기

---

CPO 책임하에 수행하는 것은 보고를 받으라는 뜻이다.

---

접근통제 시 망분리를 해야한다.(조건은 있다. 기준(기준은 거의 동일)은 전년도 3개월간 일평균 100만명 또는 정보통신매출액 100억 이상)

---

Compliance 상 결함은 어떤 것이 있는가?

 

1번 : 외국인 등록번호 때문에

2번 : SHA-1 은 보안강도가 약해서 256Bit 이상인 SHA-2 이상을 써야한다.

3번 : SSL/IPsec을 써야한다.

4번 : S-FTP를 사용해야한다.(암호화)

5번 : 전송하는 정보에 고유정보, 비밀번호, 바이오 정보는 무조건 암호화를 해야한다. 따라서 보안 USB를 사용해야 한다.

6번 : 일 배치(5일 이내) 를 처리하여 삭제해야 한다.

 

 

---

DPO(개인정보보호 국가자격) 제도를 만들려고 한다. GDPR 내용을 가져와서 만들려고 한다. 변호사시험만큼 어렵게 만들 수 있다는 풍문.... EU와 협정을 위해서는 GDPR의 기준이 되는 CPO가 있어야하는데 관련 자격을 맟추려면 그에 상응하는 자격이 있어야 한다고 판단되서 개설하려고 한다.