2021-01-17 21:50 (일)
[소만사-2020년 개인정보보호 7대 이슈] 데이터3법부터 CISO 임원급전담제까지
상태바
[소만사-2020년 개인정보보호 7대 이슈] 데이터3법부터 CISO 임원급전담제까지
  • 길민권 기자
  • 승인 2020.12.04 11:43
이 기사를 공유합니다

"2021년, 직원 개인정보 오남용과 유출위험 통제하는 것이 주된 관심사 될 것"

소만사(대표 김대환)가 2020년 발생한 주요 개인정보보호 이슈를 요약 공개했다.

소만사가 발표한 7대 이슈는 △가명화 조치와 이동권 보장을 골자로 한 ‘데이터 3법’ 시행 △개인정보의 안전성 확보조치 기준 고시 개정(안) △페이스북 67억 과징금 부과 △n번방 사건과 개인정보 오남용 문제 △랜섬웨어 감염으로 인한 고객 서비스 중단사태 △재택근무시 개인정보 유출 위험 증가 △CISO 임원급 전담제 강화 법개정 추진이다.

소만사가 발표한 2020년 개인정보보호 7대 이슈 세부내용은 다음과 같다.

■가명화 조치와 이동권 보장을 골자로 한 데이터 3법 시행

2020년 8월 데이터3법이 시행됐다. 가명처리된 정보는 정보주체의 동의없이 제3자 제공이 가능해졌다. 개인정보 이동권이 확대되어 마이데이터 사업자, 마이페이먼트 사업이 활성화될 것으로 보인다. 이와 함께 개인을 식별할 목적으로 가명정보를 처리할 경우 전체 매출의 3%를 과징금으로 부과하는 처벌규정이 신설되었다.

■개인정보의 안전성 확보조치 기준 고시 개정(안) 사전공개

정보통신망법고시가 개인정보보호법고시로 통합되었다. 고유식별정보, 비밀번호, 바이오정보 뿐만 아니라 ‘카드번호, 계좌번호’도 반드시 암호화 저장해야 한다. 출력복사시 보안조치도 강화되었다. 단순 인쇄뿐만 아니라 표시, 생성 작업도 출력 범주에 포함되었다. 출력시에는 그 용도를 특정해야 하며, 출력항목을 최소화하여 처리해야 한다. 종이인쇄물, 개인정보파일이 포함된 외부저장매체에는 관리조치를 구축해야 한다. 개인정보 관리단말기에도 열람권한이 없는 자에게 공개되거나 유출되지 않도록 접근통제 보호조치 구축할 것을 명시했다.

■페이스북 67억 과징금 부과

개인정보보호위원회에서 페이스북에 67억의 과징금을 부과하고 형사고발했다. 페이스북은 6년간 330만건 이상의 개인정보를 정보주체 동의없이 제3자 제공하여 과징금 76억을 부과받았다. 이외에도 패스워드 미암호화 상태 저장, 5년간 개인정보 이용내역을 미통지, 거짓자료 제출 등으로 과태료 6천6백만원이 별도로 부과되었다. 개인정보보호위의 과징금 부과금액은 국내 개인정보보호 관련 과징금 부과사례 중 역대 최대 규모이다.

■n번방 사건과 개인정보 오남용

사회복무요원이 금전이익을 목적으로 업무용 공공시스템에 접속하여 개인정보를 조회, 악용한 사건이 발생했다. 해당 사건이 재발되지 않기 위해서는 개인정보처리시스템 접속기록을 관리하고 과다조회를 통제해야 한다. 해당 사건은 권한자에 의한 개인정보유출사고가 적지 않고 악용위험이 높다는 것을 확인하는 계기가 되었으며, 6월 행안부와 병무청은 ‘민원인 개인정보 관리 개선방안’을 통해 사회복무요원이 민원인 개인정보 유출할 경우 최대 징역 5년 엄벌에 처해질 것을 발표했다.

■랜섬웨어 감염으로 인한 고객 서비스 중단사태

이전에는 랜섬웨어로 시스템 마비만을 노렸다면, 최근에는 개인정보유출을 통해 협상금액을 십억단위에서 백억단위까지 높이려는 사례가 발생하고 있다. 사전에 공격대상에 대한 IT프로세스, 업무환경, 임직원정보 등 회사 비즈니스에 대한 치밀한 분석이 전제되는 것이 특징이다.

■재택근무시 개인정보 유출위험 증가

코로나19 팬데믹으로 인하여 재택근무를 시행하는 기업이 증가했다. 재택업무를 수행하는 단말기에서 회사 업무망에 접속할 때는 보안을 위해 암호화 통신, 강화된 인증체계, 감사기록 확보를 필수적으로 적용해야 한다. 아울러 업무용 단말기에 대한 자료유출방지(DLP), 악성코드 방지체제를 적용하여 유출위험을 사전에 차단해야 한다.

■CISO 임원급 전담제 강화 법개정 추진

11월25일 정보통신망법 일부개정안이 발의됐다. 자산 5조이상 민간기업에서 CISO 임원급 전담제를 제대로 시행하지 않은 경우 과태료를 부과하는 규정이다. CISO가 데이터보호의 CPO역할도 함께 할 수 있도록 업무영역이 확대될 것으로 예상한다.

소만사는 “2020년은 데이터3법 시행, 코로나19 팬데믹으로 인하여 2019년과 전혀 다른 업무환경이 빠르게 도입된 해”라며 “단기간 새로운 환경을 빠르게 적용하다 보니 허점도 여실히 드러났다”고 말했다.

이어 “2021년에도 직원의 개인정보 오남용과 유출위험을 통제하는 것이 주된 관심사가 될 것으로 보인다”며 “소만사는 달라진 업무환경과 변화된 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜 보안위협으로부터 정보자산을 안전하게 지킬 수 있도록 노력하겠다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★