공부

실무에서의 환경 변화를 정책이 매번 바로바로 따라잡기란 요원한 일이다. 그렇기에 우리는 정책, 법안, 프레임워크에 지나치게 맹신을 해서는 안 되는 것이다. 그런데 단순히 변화를 따라잡지 못한다고 해서 그런 정책들을 맹신하면 안 된다고 하는 것은 아니다. ISMS-P가 2024.6.20에 새로 갱신되었다고 해서, 그것이 24년 6월의 실무적 환경을 모두 반영하는 것은 결코 아니기 때문이다. 결국 정책은 사람이 만드는 일이고, 구멍이 생길 수밖에 없다. 같은 이유에서 ISO 27001, GDPR도 마찬가지다.  그리고 여기서는 ISMS-P를 더욱 효과적으로 적용할 수 있는 방안에 대해 논의하도록 한다. 실무가 100이라고 했을 때, 기존의 ISMS-P가 50의 도움을 준다고 하면, 이를 60-70으로 올리는..

국내에서 운영 중인 총 257개 인증이 통폐합, 삭제 등의 과정을 거쳐 189개로 축소되었다. 유사성, 중복성, 실효성을 따져 개선 조치되었다는 것이 국무조정실의 설명이다. 실제로 다른 선진국의 상황을 살펴보았을 때, 다른 나라는 법정인증은 안전, 의료, 보건으로 한정하기에 우리나라에 비하면 확실히 적은 편이다. 미국 93개, EU 40개, 중국 18개, 일본 14개니 말이다. 뭐 그렇다 한들, 사실 나야 여기서 관심있는 것은 ISMS 뿐이기야 하다. ISMS의 경우, 연매출 100억 이상 의무 → 연매출 300억 이상 의무에 심사 항목과 기간마저 축소하여 엄청난 완화가 되었다. 당장 이 항목만 보면, 아니 그럼 기업 좋은 짓만 시켜주는 것 아니냐는 생각이 들 수밖에 없다. 보안에 있어서 마치 양보를 한..

3.5.1 개인정보 처리방침 공개 인증기준: 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 정보주체가 알기 쉽도록 개인정보 처리방침을 수립하고, 이를 정보주체가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 결함사례#1 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우가 있다. 개인정보 처리방침에 있는 내용은 '알기 쉬운 용어'로 '구체적'이고 '명확하게' 작성해야 함을 원칙으로 한다. 내가 생각하기에 그 이유는 이렇다. 법에서 사용하는 용어는 실생활의 용어와는 차이가 꽤나 있다. 들을 때는 A는 당연히 이거 아냐? 라고 생각할 수 있지만, 법에서 A는 전혀 다른 의미일 수 있다는 것이다. 그..

3.4.1 개인정보 파기 인증기준: 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 결함사례#1 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 데이터베이스에서는 해당 개인정보를 파기하였으나, CRM·DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우가 있다. 개인정보를 파기할 때는 수집경로에 따른 모든 보관장소에 있는 것을 파기해야 한다. DB에서는 파기했는데 연계된 시스템에 남아있는 경우에는 개인정보를 파기하지 않은 숨은 이유가 있다거나, 혹은 개인정보가 정확히 어느 어느 곳에 수집되어 저장이 ..

3.3.1 개인정보 제3자 제공 인증기준: 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다. 결함사례#1 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우가 있다. 개인정보를 제 3자에게 제공하는 것을 동의 받을 때 고지사항에 대해서는 개인정보 보호법에 상세하게 명시돼 있다. 제공받는 자가 누구인지, 그 집단 혹은 개인의 이용 목적은 무엇인지, 어떤 항목을 제공하는 것인지, 제공하면 보유 및 이용 기간은 어찌 되는지, 거부할 권리가 있다는 사실과 불이..

3.2.1 개인정보 현황관리 인증기준: 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. 결함사례#1 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우가 있다. 언제나 관리를 하건, 점검을 하건, 무엇을 하건, 일괄 적용을 원칙으로 삼아야 한다. 시간 상의 문제건, 인력 상의 문제건 누락을 하는 것은 있어서는 안 될 일로 여겨야 한다. 내가 ISMS-P 업무를 맡던 도중 이를 위해 야근을 해야 한다면 어쩔 수 없이 해야 한다는 사실을 받아들일 것..

3.1.1 개인정보 수집·이용 인증기준: 개인정보는 적법하고 정당하게 수집·이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다. 결함사례#1 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우가 있다. 불이익이 있을 경우에 불이익의 내용을 기재하는 것은 법적 내용에 명시되어 있다. 보통 내 경험상 불이익이 없는 경우는 거의 없었던 것 같다. 특정 서비스나 혜택이 제한되는 경우가 분명 있었기 때문이다. 다만, 그 불이익의 ..

2.12.1 재해·재난 대비 안전조치 인증기준: 자연재해, 통신·전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고, 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다. 결함사례#1 IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우가 있다. 특히나 침해 사고도 아니고, 재해 복구 사고는 더욱 흔치 않기는 하다. 그런데 그렇다고 해서 일어나지 않는 일은 아니다. 당장 최근에 카카오톡의 사태도 있었고 말이다. 그렇기에 이에..

2.11.1 사고 예방 및 대응체계 구축 인증기준: 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다. 침해사례#1 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우가 있다. 군대 시절에 훈련 때마다 위기조치반을 소집해서 대응하던 것들이 생각난다. 당시 나 같은 통신병이나 상황병들은 반드시 몇몇이 위기조치반에 소집되었는데, 나도 일병까지만 하더라도 내가 정확히 무슨 일을 해야 하는지 알 수 없었다. 그저 가만히 선임들과 앉아있으며 자리를 지키는 게 전부였다. 그러다 선임병 라인에 오르면서, 선임병..

2.10.1 보안시스템 운영 인증기준: 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립·이행하고 보안시스템별 정책적용 현황을 관리하여야 한다. 결함사례#1 침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우가 있다. 보안정책에 대한 검토는 정기적으로 수행하며 각 정책의 타당성을 따지는 작업이 필요하다. 이게 참 신기하게도, 한 번 하고 끝나는 일이 될 수가 없다. 1월에는 타당했던 정책이 7월에는 타당하지 않을 수도 있다. 진짜로 그렇다. 법의 개정 때문일 수도 있고, 이유야 다양하다. 침입차단시스템만 그런 게 아니라, 정책, 지침, 프레임워크라는 것에 대해서는 주기적인 검토가 필요하다...