2020-08-12 10:40 (수)
[G-PRIVACY 2020] 신용석 토스 CISO “포스트 코로나 시대 대비한 정보보호 관련 법 변화 필요”
상태바
[G-PRIVACY 2020] 신용석 토스 CISO “포스트 코로나 시대 대비한 정보보호 관련 법 변화 필요”
  • 길민권 기자
  • 승인 2020.06.02 17:10
이 기사를 공유합니다

“데이터3법 개정, 벌칙조항 대폭 강화…원격근무와 개인정보 처리자 범죄경력 조회 관련 법 고민해야 할 시점”
G-PRIVACY 2020. 신용석 비바리퍼블리카 CISO. ‘포스트 코로나19, 토스(toss)의 고객 개인정보보호’를 주제로 키노트 발표를 진행하고 있다.
G-PRIVACY 2020. 신용석 비바리퍼블리카 CISO. ‘포스트 코로나19, 토스(toss)의 고객 개인정보보호’를 주제로 키노트 발표를 진행하고 있다.

상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020이 5월 28일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 신용석 비바리퍼블리카 CISO는 ‘포스트 코로나19, 토스(toss)의 고객 개인정보보호’를 주제로 키노트 발표를 진행해 참관객들의 큰 관심을 받았다.

토스는 간편송금에서 40종 이상의 서비스를 제공하는 종합 금융 플랫폼으로 진화하고 있다. 2015년 서비스 출시 이후 누적 가입자 1천700만명, 누적 송금액 90조원, 2019년 매출은 1천200억원에 달한다.

물론 안전한 금융서비스를 위해 정보보호 투자도 과감하게 실행하고 있다. 2017년 ISO27001/27701 인증을 필두로 그해 12월 PCI DSS 인증, 2018년 ISMS 인증을 취득하고 2018년 정보보호대상을 수상한 바 있다. 이들 인증 모두 의무사항이 아닌 상태에서 자발적으로 취득했으며 컨설팅 없이 100% 내부 역량으로 획득했다는 점에서 정보보안 투자를 아끼지 않는다는 것을 알 수 있다.

또 2018년부터 금융권 최초로 자발적 정보보호 공시에 참여하고 있으며 IT인력 대비 보안인력은 9.1%에 달한다. 또 IT예산에 17.9%를 정보보안 예산에 투입하고 있다. 전자금융감독규정의 5.5.7 규정을 크게 상회하는 수치다.

신용석 CISO는 토스 임직원들 보안교육을 강조하며 “입사 후 10일 이내 대면교육으로 보안교육을 실시하고 있다. 지난해 대면보안교육을 56회 실시했다. 온라인 교육의 한계가 있기 때문에 짧은 시간이라도 무엇을 지켜야 하는지 꼭 대면교육으로 교육을 실시한다. 10일 이내가 골든타임이라 효과가 크다. 교육을 통해 모든 구성원들에게 쉽고 정확하게 설명하고 협조를 구하는 것이 중요하다고 생각한다”고 밝혔다.

한편 그는 데이터3법 개정에 따른 변화를 설명하며 “벌칙이 상당히 강화됐다. 특정 개인을 알아볼 수 있게 가명정보를 처리하면 전체 매출액의 3%를 과징금으로 부과할 수 있고 또 개인정보보호법에는 4억원 또는 자본금의 3%를 부과할 수 있는 상황”이라며 “가명정보 활용이 늘어나면서 위험도도 증가할 것이다. 전체 매출 3%는 한국법에서 처음 도입된 조항이다. 큰 변화이며 기업 입장에서는 상당히 주의해야 하는 부분이다”라고 설명했다.

또 신용정보법에 대해서도 “업무상 알게 된 신용정보 등 개인비밀을 분실, 도난, 누출, 변조 또는 훼손당한 경우 그리고 업무 목적 외 누설 및 이용, 타인에게 제공하는 경우도 전체 매출액의 3% 이하를 과징금으로 부과할 수 있다”며 “데이터3법 개정에 따른 벌칙이 대폭 강화됐다. 기업들은 정확히 숙지하고 고객 개인정보보호에 철저한 대비를 해야 한다”고 강조했다.

G-PRIVACY 2020. 신용석 CISO 키노트 발표시간.
G-PRIVACY 2020. 신용석 CISO 키노트 발표시간.

끝으로 그는 “코로나19로 인해 원격근무, 재택근무 환경이 확대되고 있다. 하지만 현재 망분리 환경에서 이를 제대로 운영하기는 힘든 상황이다. 또 재택근무시 집에서 사용하는 PC의 보안수준을 사무실 PC와 동일한 수준으로 하기 힘들다. 재택근무 환경에서 엔드포인트와 네트워크 보안 모두 보안담당자에게는 난감한 숙제다”라며 “코로나19와 같은 상황들이 반복적으로 발생할 때를 대비해 정부와 보안전문가들이 이 문제를 어떻게 풀어나가야 할지 함께 고민하고 해결책을 찾았으면 한다”고 전했다.

추가로 “개인정보보호에 있어 내부자 리크스가 존재한다. 조주빈 사건에서 볼 수 있듯, 공익요원이 특정 시스템에 접근해 개인정보를 빼내 범죄에 악용한 바 있다. 그는 그 전에도 그런 전과를 갖고 있던 인물이다. 즉 그런 전과 경력을 미리 알았다면 개인정보를 취급하는 업무를 맡기지 않았을 것이다. 하지만 현행 법상 이런 범죄 경력 조회는 할 수 없는 상황이다. 원격근무 시대에 맞는 정보보호 법체계 변화와 개인정보 취급자에 대한 범죄경력 조회 등에 대한 법률적 변화가 필요한 시점이 아닐까 생각한다”고 덧붙였다.

신용석 비바리퍼블리카 CISO의 G-PRIVACY 2020 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★