20141211 테크앤로 2회세미나_ciso cpo (2/4)

27
CISO/CPO의 바람직한 기업내 역할과 책임 구조 테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]

Transcript of 20141211 테크앤로 2회세미나_ciso cpo (2/4)

Page 1: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO/CPO의 바람직한기업내 역할과 책임 구조

테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]

Page 2: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

리더십의 시금석 가운데 하나는,

문제가 위기로 발전하기 전에 조기에 문제를 인식할 수 있는 능력이다.

- Arnold Henry Glasow (~1998)

Page 3: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

우리나라 정보보호 법제의 특수성

Page 4: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

우리나라 정보보호 법제의 특수성

우리나라 정보보호체계의 특수성

• 우리나라는 법령, 고시에서 보안에 관한 상세한 내용을 법정하고 있고(다음 장표 참조),

• 주무부처∙수사기관∙법원 역시 이를 기초로 의무위반 여부를 판단하고 있음

- 보안문제는 IT 문제이자 동시에 Legal Risk Management의 문제

• CISO/CPO는 법령에서 요구하는 기술적∙관리적∙물리적 보안조치를 준수하기 위하여

- (1) 법령의 개정 현황

- (2) 주무부처의 정책 동향

- (3) 수사기관의 수사 사례

- (4) 법원의 최근 판결을 종합적으로 분석하여 대응할 수 있는 능력

- (5) CEO의 언어로 CEO를 설득할 수 있는 능력

등이 필요

Page 5: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

우리나라 정보보호 법제의 특수성

복잡한 개인정보보호 관련 법령 및 고시∙지침∙해설서(출처 : 강은성, CISO스토리)

영역공통

금융영역

Page 6: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

우리나라 정보보호 법제의 특수성

복잡한 개인정보보호 관련 법령 및 고시∙지침∙해설서(출처 : 강은성, CISO스토리)

정보통신영역

Page 7: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 구분

Page 8: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

CISO(Chief Information Security Officer)

• 정보보호 최고책임자

- 기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원

• 전자금융거래법과 정보통신망법에 의한 임명 의무

- 금융회사 또는 전자금융업자

총자산 2조 원 이상이면서 종업원 수가 300명 이상인 경우/ 임원

- 정보통신서비스제공자

정보보호관리체계 인증을 받아야 하는 자(전년도 매출 100억이상 or 전년도 말 직전 3개

월간 일일 이용자 수 100만이상), 통신판매업자(종업원 수5인이상) 등/ 임원

• 기업의 경영목표를 이루기 위해, 정보기술을 감독하고 전략을 세우는 것이 주임무인 최고정보

관리책임자(CIO)와는 구별

Page 9: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

CPO(Chief Privacy Officer)

• 개인정보 보호법과 정보통신망법에 의한 임명 의무

- 개인정보 보호법에서는 “개인정보 보호책임자”, 정보통신망법에서는 “개인정보 관리책임

자”로 명명

- 개인정보 보호법상 CPO의 임무는 “개인정보의 처리에 관한 업무를 총괄해서 책임”지는

것(제31조 제1항)/ 고위공무원, 대표자, 담당부서장/

- 정보통신망법상 CPO의 임무는 “이용자의 개인정보를 보호하고 개인정보와 관련한 이용

자의 고충을 처리”하는 것(제27조 제1항)/임원, 담당부서장/ 종업원 5명미만으로서 전년

도말 직전 일일평균이용자 1천명 이하 면제

Page 10: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

정보통신망법상 CPO, CISO의 구분

CPO CISO

조항 제27조(제4장 개인정보의 보호)

제45조의3(제6장 정보통신망의 안정성 확보 등)

임명의무부담자

정보통신서비스 제공자등(정보통신서비스 제공자, 그로부터이용자의 개인정보를 제공받은 자)

정보통신서비스 제공자

자격 임원 또는 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의

장(시행령 제13조)

임원급

정식명칭 개인정보 관리책임자 정보보호 최고책임자

주요업무 이용자의 개인정보 보호개인정보 관련 이용자의 고충 처리

정보보호관리체계 수립·관리·운영침해사고의 예방 및 대응중요 정보의 암호화 등

Page 11: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

법률에 규정된 CISO의 업무

<개정 정보통신망법 제45조의3>

③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.

1. 정보보호관리체계의 수립 및 관리·운영

2. 정보보호 취약점 분석·평가 및 개선

3. 침해사고의 예방 및 대응

4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등

5. 정보보호 사전 보안성 검토

6. 중요 정보의 암호화 및 보안서버 적합성 검토

7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

• 정보보호 취약점 분석·평가, 침해사고 예방·대응, 정보보호 사전 보안성 검토, 암호화 검토 등

- 기술적 보호조치를 주로 담당

Page 12: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

법률에 규정된 CISO의 업무

<개정 전자금융거래법 제21조의2>

③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는

제4항의 업무 외의 다른 정보기술부문 업무를 겸직할수 없다. <신설 2014.10.15.>

④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다. <개정 2014.10.15.>

1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립

2. 정보기술부문의 보호

3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성

4. 전자금융거래의 사고 예방 및 조치

5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항

• 금융회사(전자금융업자)의 CISO 임명 의무화(전자금융거래법 제21조의2 제1항)

• CISO의 지정 의무 기준 (전자금융거래법 시행령 제11조의3 제1항)

- 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자

Page 13: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

법률에 규정된 CISO의 업무

<전자금융거래법 제21조의2 신∙구조문 대비표>

현행 전자금융거래법[법률제11814호, 2013.5.22.개정]

개정 전자금융거래법[법률제12837호, 2014.10.15.개정]

제21조의2(정보보호최고책임자지정) ①금융회사또는전자금융업자는전자금융업무및그기반이되는정보기술부문보안을총괄하여책임질정보보호최고책임자를지정하여야한다. ②총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자는정보보호최고책임자를임원(「상법」제401조의2제1항제3호에따른자를포함한다)으로지정하여야한다.

제21조의2(정보보호최고책임자지정) ①동일

②동일

③총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자의정보보호최고책임자는제4항의업무외의다른정보기술부문업무를겸직할수없다. <신설 2014.10.15>

부칙제1조(시행일) 이법은공포후 6개월이경과한날부터시행한다. (단서생략)제2조(정보보호최고책임자의겸직금지에관한적용례) 제21조의2제3항의개정규정은 이법시행후선임(재선임되는경우를포함한다)되는정보보호최고책임자부터적용한다.

Page 14: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

법률에 규정된 CPO의 업무

<개인정보 보호법 제31조>

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리·감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

• 이용자의 고충처리 업무는 CISO에게 없는 업무

• CISO의 업무가 ‘기술적 보호조치’에 가깝다면, CPO의 업무는 ‘관리적 보호조치’에 가까움

• 정보통신망법 제27조에서는 CPO 지정의무만 부과할 뿐, 구체적 업무 내용은 미규정

Page 15: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 역할과 지위

각종 법령이 부과하는 관리책임자 임명 의무

개인정보보호법 CPO 임명 의무

신용정보보호법 CCO임명 의무(Chief Credit information Officer)

전자금융거래법 주1) 2) CISO 임명 의무(일정 규모 이상 기업은 임원급 임명 및 겸직 금지)

정보통신망법 CPO, CISO

• 주1) 전자금융거래법상 일정규모 이상 기업의 경우 CISO 겸직 금지는 ‘법적 의무’(단, 이 법 시행 후 선임(재선

임되는 경우를 포함한다)되는 정보보호최고책임자부터 적용)

• 주2) 전자금융거래법상 CISO 겸직 금지 기업의 기준은 “총자산 2조원 이상이면서 종업원 수가 300명 이상”(금

융위 보도자료)

• 앞으로의주요쟁점은 ‘정보보호조직을어떻게구성하고 R&R을

구체화할 것이냐’라고 할 수 있음

Page 16: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 운용과 겸직 문제

Page 17: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 운용과 겸직 문제

CISO와 CPO 겸직의 문제

• 개인정보를 수집하는 5인 이상 사업체 중 CPO를 지정한 업체의 비율은 55%

- 그 중 CPO를 전담으로 임명한 업체 비율은 28.7%(KISA, 정보보호실태조사)

- 실제로 30대 기업 중 CPO 직책을 전담한 사람은 거의 없는 것이 현실

- CPO와 CISO를 겸직하는 경우 업무 감시의 효과 저해, 입법 취지 저해 우려

• CPO와 CISO를 분리하는 경우

- IT조직의 같은 안건에 대하여 CISO와 CPO가 각각 결재하는 경우 업무추진상 애로 발생

- CPO는 IT시스템의 개발 등 주요 업무에 관여를 소홀히 할 우려

- 개인정보처리시스템에 접근통제 활동 누락으로 개인정보보호법 29조 위반 발생

- 개인정보 유출시 형사처벌 가능성 발생

• CISO와 CPO를 겸직하는 경우

• 대개 이공계열 출신의 CISO가 CPO를 겸직할 가능성이 높음

• CISO가 법무에 대한 이해가 떨어지고, 법무조직과 업무협조가 소홀해지거나 갈등이 발생할 가능성

• CISO의 요건 중에 법률에 대한 깊은 이해를 가질 것을 요건으로 포함하여 장기적으로 융합전문가 양

성 필요

Page 18: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO의 운용과 겸직 문제

금융권의 CISO, CPO 운영 유형

CISO(Chief Information Security

Officer

CPO(Chief Privacy Officer)

유형 1

유형 2

유형 3

IT조직에 소속되어 IT보안역할 수행 준법감시 등 내부통제조직 소속

IT조직과 별도로 분리되어 전사정보보안역할

IT조직과 별도로 분리되어 전사정보보안역할

준법감시 등 내부통제조직 소속

별도 독립조직 운영(기획, 실행, 모니터링)

• 회사의 업무분배 현황, 정보사고 발생시 대응방안 등을 고려하여 최적의 유형 선택

Page 19: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

결 어

Page 20: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO 관련 법률상 책임 조항

개인정보 보호법 주요 처벌 조항 예시

형사처벌

행정처벌

5년 이하 징역 또는 5천만원 이하 벌금

5천만원 이하의 과태료

3천만원 이하의 과태료

동의 없는 목적 외 이용 및 제공

제3자 제공

고유식별번호 수집 이용

민감정보 수집 이용

동의 없는 개인정보 수집

개인정보의 누설 또는 타인 이용 제공

개인정보의 훼손/멸실/변경/위조/유출

14세 미만 개인정보 수집

안전성확보조치 미이행

보호자 동의 없는

양벌규정 적용 : 담당자와 법인은같은 형량

Page 21: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO 관련 법률상 책임 조항

형사처벌 조항

<개인정보 보호법 제71조>

다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인

정보를제3자에게제공한 자 및 그 사정을 알고 개인정보를 제공받은 자

2. 제18조제1항·제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게

제공한자 및 그 사정을알면서도영리또는 부정한목적으로개인정보를제공받은자

3. 제23조를 위반하여 민감정보를처리한 자

4. 제24조제1항을 위반하여 고유식별정보를처리한 자

5. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한

자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자

6. 제59조제3호를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 자• 정보 주체의 동의 없는 개인정보 제3자 제공 등의 경우

- 고의/과실/목적 불문하고 강한 형사처벌

- 독일의 경우, 고의/중과실/경제적 목적 인정되어야 형사처벌

- CISO의 법률적 위험 감소 필요

- 회사 내에서 CISO 직위는 기피 대상

Page 22: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO 관련 법률상 책임 조항

CISO의 자격 기준

<전자금융거래법 시행령 별표1>

가. 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정

보기술(IT)분야업무를수행한경력이 있는 사람

나. 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3

년 이상 정보기술(IT)분야업무를수행한경력이 있는 사람

다. 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기

술(IT)분야업무를수행한경력이 있는 사람

라. 8년이상정보보호분야 업무또는 10년이상정보기술(IT)분야 업무를수행한경력이 있는 사람

등(이하 생략)

• 전자금융거래법상 CISO의 자격 기준은 IT 분야 학위 및 경력 취득 여부에 집중

• 법률, 정책 관련 자격 요건 부재

Page 23: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO, CPO 분리와 겸직?

법률상 여건과 자격 문제

• CPO와 CISO의 관계

- 보안 사고 발생시 효율적 리더쉽을 발휘하여 빠른 협업적 대응이 필요

- 겸직시 효율적 업무수행 가능하나, 법무팀의 신속하고 전문적 지원이 긴요

- 분리시 효율적 협업을 통한 업무수행이 긴요하며, 내부 법무팀의 전문성이 떨어질

경우 외부 정보보호 법률전문가의 활용을 통한 위기 극복이 긴요

• 형사처벌 조항 관련

- 독일의 경우, 고의/중과실/경제적 목적 인정되어야 형사처벌

- 과실에 의한 유출도 형사처벌로 되어 있는 규정 개정 필요

• CISO 자격 기준 관련

- IT기술 뿐만 아니라, 법률 및 정책에 대하여도 전문지식이 필요

- 국가 공인 자격 제도 등 일정 자격 기준을 마련, 전문가 양성이 필요

Page 24: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

결 어

CISO와 CPO는 단기적으로 분리, 장기적으로는 겸직이 바람직

• 단기적 분리

- 보안 관련 기술적 지식과 언어 외에 법률적 지식과 언어를 습득하고, 이를 바탕으로 CEO

에게 보안의 필요성을 경영적 언어로 전달∙설득

- 법령의 제∙개정 현황, 주무부처 정책의 변화, 최신 판례의 취지 등에 대한 신속한 정보 공

유를 위한 법무조직의 지원 필요

- 아직 CISO가 법무조직을 관장하기 곤란한 현실 감안하여 단기적 분리 및 협업이 바람직

- 분리 및 협업 방안으로는

- 1안) IT 출신과 법무 출신을 각각 보안기술담당 CISO/CPO, 보안법무담당

CISO/CPO로 임명하여 협업하는 방안

- 2안) CISO는 IT출신을, CPO는 법무 출신을 임명하는 방안

Page 25: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

결 어

CISO와 CPO는 단기적으로 분리, 장기적으로는 겸직이 바람직

• 장기적 겸직

- CISO와 CPO업무가 관련 법령상 밀접한 관련을 갖고 있음에 비추어 장기적 겸직이 바람

- 장기적인 CISO/CPO 인재양성 방안을 마련하여 법률, 정책, IT 보안기술을 모두 아우를

수 있는 전문가 양성

- CISO/CPO 밑에

- 개인정보보호팀 등을 두고 종래 법무팀이 담당하던 개인정보보호 업무를 분리해서

CISO/CPO 밑에 배속

- 기타 CISO/CPO 조직에는

- 정보보호기획팀, 정보보안운영팀, 정보보호점검팀, 전자금융보안팀, 정보보호

대응팀, IT감사팀 등 설치 가능

Page 26: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

CISO/CPO 겸직시이상적조직 구조

기획 총괄, 보안정책 기획, 보안대외활동, 인증관리, 보안교육

개인정보 관리현황 점검, 개인정보 오남용방지 모니터링, 누출예방

보안솔루션정책관리, 시스템운영, 접근통제 정책관리

보안취약성점검, 보안정책 준수여부 점검, 기기 반출/반입 관리

전자금융 보안정책 수립, 전자금융 인증관리

침해사고 대응시스템 수립, 운영, 침해사고 대응훈련

IT 감사 기획/수행, IT감사정보시스템관리 및통합 모니터링

결 어

Page 27: 20141211 테크앤로 2회세미나_ciso cpo (2/4)

감사합니다

테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]