'SECURITY/관리적 보안'에 해당되는 글 76건

  1. [기사] 옥션 판결을 뒤집은 네이트 판결
  2. [기사] 디지털데일리 GDPR 연재기사
  3. [기사] 대학 ISMS 인증 거부
  4. [기사] ISMS, PIMS 인증 통합
  5. [기사] IoT 보안 인증
  6. [자료] 사이버 공격에 따른 보험사 보상 내용
  7. [기사] 방통위,「개인정보의 기술적ㆍ관리적 보호조치 기준」해설서 개정 발간
  8. [기사] 의료기기 보안 가이드라인, 드러난 윤곽 짚어보기
  9. [기사] 정보보호제품 성능평가제도
  10. [기사] 개인정보 위탁시 꼭 지켜야 할 보안수칙 2가지

[기사] 옥션 판결을 뒤집은 네이트 판결

출처 : http://it.chosun.com/news/article.html?no=2846279


해킹으로 인한 개인정보 유출 소송과 관련한 대표적인 국내 소송은 옥션 사건과 네이트·싸이월드 사건(이하 '네이트 사건')이 있다. 옥션 사건은 2015년에 대법원 판결이 나왔고, 최근 네이트 사건에 대한 대법원 판결도 나와 두 대표적인 사건에 대한 법원의 입장이 정리됐다.

그런데 대법원의 두 판결은, 피해자들인 원고가 패소했다는 점에서 같지만, 법리적으로 보면 전혀 다른 견해를 밝히고 있다. 간단하게 정리하자면, 기업에 유리하게 적용될 수 있었던 옥션 판결이 최근의 네이트 판결로 인해 피해자들에게 매우 유리하게 바뀌었다.

2015년 2월 12일 선고된 대법원 옥션 판결(2013다43994 등)의 핵심 내용은 '정보통신서비스 제공자가 기술적·관리적 보호조치 기준 고시 내용만 준수하면 과실이 없다'는 것이다. 즉 다양하고 수많은 안전성 확보에 관한 보호조치가 있더라도, 기업은 고시만 준수하면 민사적으로도 면책된다.

예를 들어, 매우 기본적이고 상식적인 보호조치로 알려진 '관리용 단말기를 장시간 사용하지 않을 때는 로그아웃 또는 전원을 끄는 조치'라도, 이러한 의무 내용이 고시에 열거되지 않으면, 이러한 조치를 하지 않아 대량의 개인정보 유출 사고가 발생한 경우 이를 행하지 않은 기업에 책임을 물을 수 없다.

옥션 판결은 기업에 부담된 보호조치 의무나 책임을 상당 부분 경감시킬 수 있어, 때에 따라서는 기업 입장에서는 면죄부와 같은 판결이라 할 수 있다.

하지만 옥션 판결의 이러한 입장은 이번 네이트 판결로 대폭 수정됐다. 대법원에 의해 2018년 1월 25일 선고된 네이트 판결(2015다24904 등)의 내용을 요약하면, '정보통신서비스 제공자가 고시에서 정한 보호조치 내용을 다 준수하였다 하더라도, 그 외 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 않은 경우는 해커의 방조자로서 손해배상 책임이 있다'는 것이다.

이 판결 내용은 향후 해킹 관련 개인정보 유출 소송에서 중차대한 의미를 가진다.

첫째, 방송통신위원회의 개인정보의 기술적·관리적 보호조치 기준에는 '이 고시는 최소한의 기준'이라는 취지의 문구가 나오는데, 그간 그 의미에 대한 법원의 명확한 해석은 없었다.

하지만 네이트 판결은 '최소한의 기준'의 의미에 대해 우선의 기준을 제시하고 있다. 즉 '정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치'는 고시에 열거되지 않더라도 기업이 그 의무를 다하여야 한다는 것이다.

예를 들면, 대기업은 고시에 열거된 보호조치 내용뿐만 아니라 대기업의 보유 개인정보 개수나 매출 등을 고려하여 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치도 취해야 하고, 이를 취하지 않은 경우 해커의 방조자로서 손해배상 책임을 부담할 수 있다.

더불어 대법원은 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 이후 로그아웃을 하도록 하는 것은 '정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치'의 예에 해당한다고 판단했다(지금은 해당 내용이 고시에 규정되어 있는데, 네이트·싸이월드 사건 발생 당시에는 고시에 그 내용이 없었다. 그럼에도 불구하고 대법원은 이를 당시 정보통신서비스 제공자가 취했어야 할 보호조치에 해당한다고 판단한 것이다).

둘째, 정보통신서비스 제공자는 해커의 해킹에 도움을 주지 아니할 주의의무가 있다고 명시적으로 판단했다. 그리고 기업이 적절한 보호조치를 취하지 아니하여 개인정보 유출이라는 결과가 발생한다면, 해커의 방조자로서 '공동 불법행위' 책임을 부담하게 된다는 점을 밝혔다.

통상 해킹 소송에서 기업은 피해자적 지위를 강조하지만, 대법원의 네이트 판결은 기업은 해커에 대항해야 할 주의의무가 있고 만일 이를 다하지 못하면 정보주체에 대해 책임을 질 수 있다는 기업의 가해자적 지위를 최초로 강조했다고 평가할 수 있다.

이번 네이트 판결은 옥션 판결을 부정하지는 않았지만, 위와 같은 추가적인 의무를 인정함으로써 결과적으로 옥션 판결의 입장을 뒤집은 판결로 볼 수 있다. 판결로 인해 향후 해킹으로 인한 개인정보 유출 소송에서 피해자는 고시에 국한하지 않은 다양한 주장을 할 수 있는바, 피해자의 지위가 전반적으로 크게 강화됐다.

이런 점에서 네이트 판결은 사실적인 면에서의 패소와는 별개로 법리 면에서 피해자의 승소 판결이라고 할 수 있으며 우리나라 개인정보 유출 사건의 기록에 진하고 큰 획을 그은 중차대한 판결이라고 평가한다.

[기사] 디지털데일리 GDPR 연재기사

출처 : http://ddaily.co.kr/m/m_article.html?no=164411

EU GDPR 시행이 5개월 앞으로 다가왔다. (사진 제공 EU GDPR 홈페이지 캡처)

▲ EU GDPR 시행이 5개월 앞으로 다가왔다. (사진 제공 EU GDPR 홈페이지 캡처)

[디지털데일리 최민지기자] 유럽의 일반개인정보보호규정(GDPR)이 오는 5월25일 시행된다. 기업들이 대처할 수 있는 기간이 약 137일 남았다. 발 등의 불이 떨어진 셈이다. 국내외 기업들도 GDPR 대응의 중요성을 인지하고 있지만, 차질 없이 준비가 완료됐냐는 질문에 자신감 있게 답할 수 있는 기업은 거의 없다고 봐도 무방하다.

‘베리타스 2017 GDPR 보고서’에 따르면 응답자 31%만이 소속기업이 GDPR의 주요 요건을 준수하고 있다고 답했는데, 세부 조사 결과 GDPR의 세부 조항까지 준수하고 있는 기업 비율은 단 2%에 불과했다.

정부도 이런 상황을 잘 알고 있다. 이에 행정안전부와 한국인터넷진흥원(KISA)은 지난달 ‘EU GDPR 1차 가이드라인’을 공개했다. 개인정보 국외이전, 인증·동의 등 기업들이 궁금해 하는 주요 세부사항은 EU 집행위 측에서 가이드라인을 발표하지 않은 관계로 자세한 사항은 제외됐다. 그러나 선제적 대응과 내부 대응체계 확립을 위해 1차 가이드라인부터 내놓게 됐다.

올해는 GDPR이 시행되는 해인만큼, 상당수 기업들의 GDPR 준비가 시급하다. 이에 현시점에서 참고할 수 있는 안내서인 이번 가이드라인을 되짚었다.

◆GDPR 적용범위부터 확인해야=기업은 물적, 지역적, 인적 관점에서 GDPR 적용범위에 해당되는지부터 확인해야 한다. 정보주체의 국적이 아닌 위치가 기준이기 때문에 시민권과 무관하게 EU에서 거주하고 있다면 GDPR 저촉을 받게 된다.

가이드라인에 따르면 개인정보가 자동화된 수단에 의해 처리되고, 자동화된 수단이 아니더라도 파일링 시스템의 일부를 구성하거나 이를 목적으로 하는 개인정보 처리라면 GDPR에 적용된다. 익명정보는 개인정보에 해당되지 않는다.

EU 외의 지역에서 개인정보를 처리하더라도 EU 정보주체에게 재화나 서비스를 제공하거나, 정보주체가 수행하는 활동을 모니터링한다면 GDPR 요건을 갖춰야 한다. EU 내 대리인을 지정하는 것도 필요하다.

EU 회원국의 언어와 통화 등을 사용하는 기업도 포함된다. GDPR은 정보 주체의 위치를 기준으로 보기 때문에 달러·영어를 활용하면 규제 대상으로 보지 않으나, 프랑스어·독일어 등으로 홈페이지를 구성하면 규제 대상에 속하게 된다.

GDPR은 특정 개인을 식별할 수 있는 정보만을 개인정보로 정의한다. 예를 들어, 이동수단에 탑승하고 있는 사람을 특정할 수 있다면, 이 기계가 수집하는 지리적 정보는 해당인의 신원을 파악할 수 있는 개인정보다. 일례로, 고정 IP는 개인정보지만 매번 변경되는 유동 IP는 사용자 개인으로 연결하기 어렵기 때문에 개인정보가 아니다.

법인의 정보나 사망한 사람도 적용대상이 아니다. EU 공통의 해외·안보정책과 관련된 활동 및 관할 감독기구가 범죄 및 예방, 수사, 탐지, 기소 등의 목적으로 수행하는 활동도 예외로 규정된다.

◆‘DPO’ 꼭 필요한가요?=데이터보호담당자(DPO)는 개인정보보호활동을 이끌어간다. 조직 내에서 지정할 수도 있고, 조직 외부에서 계약을 통해 확보 가능하다. 동일한 개인정보 처리활동에 관여하는 사업체 그룹은 1인의 DPO를 지정할 수 있다.

DPO 임명 요건을 따질 때는 핵심활동부터 파악해야 한다. 개인정보 처리가 공공기관이 단체에 의해 수행되거나, 정보주체에 대한 대규모의 정기적인 체계적인 모니터링을 요구하거나, 대규모의 민감정보 또는 범죄경력 관련 정보의 처리로 구성됐다면 반드시 DPO를 지정해야 한다.

GDPR에서 민감정보는 국내보다 훨씬 포괄적이다. 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입여부를 드러내는 개인정보, 유전자정보, 바이오인식 정보, 건강 관련 정보, 성생활·성적취향 정보 등이 포함된다.

의료서비스를 제공하는 병원은 개인의 건강정보를 반드시 활용하기 때문에 DPO를 지정해야 하지만, 제조업체의 핵심활동은 제품 생산·판매이며 이 과정에서 대규모 개인정보 수집 등이 동반되지 않는다면 DPO를 임명하지 않아도 된다. 다만, 지정 유무에 상관없이 관련 결정을 내린 사유를 문서화해야 한다.

◆정보 유출 사고 발생 때 대처자세=EU 역내의 개인정보가 합법적으로 국외이전된 경우, 한국에서 발생한 정보 유출 사고에 대해서는 한국법에 근거해 처벌된다. 단, 기존의 EU에서 활용된 정보가 한국으로 이전된 후 유출됐다면 GDPR에 근거해 제재가 가해질 수도 있다.

개인정보 유출사실을 인지한 때부터 가능한 72시간 내 감동 당국에 신고해야 한다. GDPR은 자유와 권리에 대한 침해정도를 기준으로 삼기 때문에 얼마나 유출됐느냐보다, 무엇이 유출됐는지가 더 중요하다.

과징금 규모는 기업사 전체 매출액을 기준으로 하며, 11가지 기준을 고려해 산정된다. 심각한 위반의 경우 직전 회계연도의 전세계 매출액 4% 또는 2000만유로 중 더 큰 금액으로 결정된다. 이는 최대치로, 장기간 의도적으로 발생한 중대한 침해 사례에만 고려된다.

이 때문에 인식제고가 중요하다. 이번 가이드라인 집필진 중 한 명인 이진규 네이버 이사는 “개인정보처리원칙은 GDPR에서 반드시 준수해야 하며, 처벌수위를 결정하는 의무사항”이라고 밝힌 바 있다.

개인정보처리 6대 원칙은 ▲개인정보 최소화의 원칙 ▲목적 제한의 원칙 ▲보관기간 제한의 원칙 ▲적법성·공정성·투명성의 원칙 ▲정확성의 원칙 ▲무결성·기밀성의 원칙이다. 국내 개인정보보호법과 정보통신망법 등에서는 선언적 내용에 그치고 있지만, GDPR에서는 문제가 발생하면 원칙 준수와 함께 이러한 활동을 위한 문서와 기록을 보고 처벌 수위를 정한다.

의사결정권자는 GDPR 준수를 위한 인식활동을 시작해야 하며, 경영진은 법규 준수 의지를 위한 공식적 선언을 해야 한다. 모든 개인정보 처리 과정에 6대 원칙을 고려해 체계적인 기록도 필요하다.

이 외에도 ▲설계단계부터 기술적으로 프라이버시 보호 ▲개인정보영향평가(DPIA) ▲자동화된 결정 및 프로파일리 관련 권리 등이 가이드라인에 포함돼 있다. 오는 5월 이전 EU 제29조 작업반에서 ▲개인정보 국외이전 ▲인증·투명성·동의 ▲유럽 개인정보보호 이사회 구조 등을 담은 가이드라인을 발간하며, 국내에서도 이를 반영한 최종 가이드라인을 선보일 방침이다.  

출처 : http://m.ddaily.co.kr/m/m_article.html?no=164412


[디지털데일리 최민지기자] 각국의 기업 및 관계부처들은 GDPR을 공포와 우려의 시선으로 보고 있다. 그러나 기업들은 리스크 대신 효용으로 관점으로 GDPR에 접근해야 한다. 새로운 기회를 열어주는 창구로 작용될 수 있기 때문이다.

클라우드 시대에서 데이터 관리와 가시성은 더욱 중요해지고 있기 때문에 GDPR을 계기로 기업 내 정보관리 정책을 효율적으로 집행하는 계기로 삼을 수 있다. 또, 철저한 준비를 통해 선제 대응하지 못한 기업보다 해외시장에서 경쟁력을 드러내는 기회로도 활용 가능하다.

물론, 아직까지는 GDPR과 관련한 주된 관심사는 과징금이다. 그도 그럴 것이, 한국에서는 상상할 수 없었던 막대한 과징금이 기업들의 불안함을 키우고 있다.

만약 GDPR이 2016년 발효됐다면, 9000여 계좌에서 2500만파운드가 탈취된 사건을 겪은 영국 테스코은행은 한화로 최대 2조8000억원이 넘는 벌금을 물어야 한다. GDPR의 최대 과징금은 직전 회계연도의 전세계 매출액 4% 또는 2000만유로 중 더 큰 금액이다. 일반적 위반의 경우, 전세계 매출액 2% 또는 1000만 유로 중 더 큰 금액으로 부과된다.

법규를 어긴 단일 지사나 법인의 매출액이 아닌 사업체 그룹 매출을 기반으로 산정하기 때문이다. 기업사 전체를 기준으로 하고 있는 만큼, 규모가 큰 글로벌 기업일수록 위반 수준에 따라 지금까지는 상상할 수 없었던 최악의 돈을 토해내야 하는 상황이 닥칠 수 있다.

이는 과징금의 징벌적 성격을 확보하기 위한 조치로, 유령회사나 자매회사를 설립해 규제를 우회하는 편법을 예방하기 위한 조치다. 반대로 말하면, GDPR에 적절히 대처한다면 안정적인 데이터관리 정책을 구사하면서 EU 시장에 연착륙할 수 있는 활주로를 여는 셈이다.

◆“GDPR 준수를 통한 상당한 비즈니스 혜택 기대”=기업 입장에서는 엄중한 처벌과 과징금을 피하려는 노력이 GDPR 준수 수준을 개선하는 주요 동력이 되지만, 많은 기업들이 제재를 피하는 것 이상의 중요한 비즈니스 혜택도 기대하고 있다.

베리타스 조사결과에 따르면 95% 기업은 전사적으로 효율적인 데이터 관리가 가능하다는 점을 포함해 GDPR 준수를 통해 상당한 비즈니스 혜택을 기대하는 것으로 나타났다.

92% 응답자는 바람직한 데이터 정제화를 통해 데이터 신뢰성을 높이고 데이터 품질, 정확성 향상과 함께 확실한 정책 이행 등 다양한 이점을 누릴 수 있을 것이라고 응답했다. 68%는 기업 비즈니스에 대한 데이터 통찰력을 얻고 보다 나은 고객 경험을 제공할 것이라고 답했다.

68% 응답자는 보다 나은 데이터 관리를 통한 비용 절감 효과를 예상했고, 이를 통해 45% 응답자는 매출 증대 또는 시장점유율을 높일 수 있을 것이라고 전했다.

지출 가능한 예산이 증가하는 만큼, 연구개발에 투자하거나 추가 자원을 배치해 혁신을 꾀하고 직원 채용까지 늘릴 수 있다는 것. 또, 59%는 기업 평판 또는 고객 관계 강화를 예측했다. 51%는 기업이 데이터를 더욱 효과적으로 보호할 수 있을 것으로 내다봤다.

빅데이터와 클라우드 시대로 가는 여정에서, 데이터 관리와 컴플라이언스는 기업이 당면한 과제다. 데이터를 효율적으로 분류·취급하면서 가시성을 확보해야 하는 시기다. 이와 맞물려 실시되는 GDPR을 통해 적절한 데이터 관리를 전사적으로 꾀할 수 있게 된 것.

GDPR을 준수하는 기업은 과징금에 대한 리스크를 줄일 뿐 아니라 데이터 관리를 통해 고객에게 우수한 경험을 제공해 고객 충성도, 매출, 브랜드 평판에까지 긍정적인 영향을 미칠 수 있다는 해석이 가능한 대목이다.

◆EU 적정성 평가, 적극적인 기업 대응 자세 필요=이러한 효용에도 기업들은 GDPR에 대처하는 계획을 세우기에는 불확실한 환경이라고 입을 모은다. 이 때문에 EU 적정성 평가의 조속한 완료가 시급하다는 주장이다.

EU 개인정보보호 적정성 평가는 제3국이 개인정보 보호를 위한 적정한 수준을 갖추고 있는지 심사해 EU 시민의 개인정보를 이전·처리할 수 있도록 허용하는 제도다. 한국이 적정성 평가를 통과하게 되면, 별도의 국외이전 계약을 체결하지 않더라도 한국기업들은 EU에서 자유롭게 영업활동을 펼칠 수 있다.

이에 정부의 움직임도 바쁘다. 방송통신위원회는 최근 벨기에 개인정보보호위원회를 방문해 적정성평가에 대한 지지를 요청했다. 벨기에는 유럽 개인정보보호 분야에서 적극적인 발언을 하는 국가 중 하나다. 이어 프랑스 정보자유국가위원회도 지지를 부탁한 바 있다. 

기업 또한 GDPR 가이드라인에 따라 최소한의 데이터 관리 및 보호 원칙을 준수하려는 노력이 필요한 시기다.

이은숙 행정안전부 팀장은 GDPR 가이드라인 설명회를 통해 “불확실한 상황에 우려스럽지만 기업들도 적극적으로 나서줘야 한다”며 “특유의 기민함을 발휘해서 GDPR에 적극적으로 대응해주기를 기대하며, 기업 피해가 최소화되기를 바란다”고 언급했다.

출처 : http://m.ddaily.co.kr/m/m_article.html?no=164413


[디지털데일리 최민지기자] GDPR이 올해 5월 본격 시행을 앞두고 있는 가운데, 새로운 시장을 창출하기 위한 관련 기업들의 움직임도 바빠지고 있다. GDPR에 대응해야 하는 기업들을 대상으로 IT 및 보안 기업들은 새로운 먹거리 창출을 기대하고 있다.

GDPR 가이드라인에 따르면 기업들은 전반의 요구사항을 포함한 리더십, 개인정보 처리 관리, 보안이슈 관리, 정보주체 권리보장 방안 등이 필수요소로 포함된 자체적인 대응 체계를 마련해야 한다.

특히, 데이터의 가시성을 확보해 정확히 분류하고 관리하는 사항은 중요한 요소다. 무엇이 민감정보이고 개인정보인지부터 기업 스스로가 먼저 파악해야 한다. 또, 개인정보를 최소한으로 처리하면서도 적절한 기술적·조직적 조치를 취해야 한다.

GDPR 대응을 위해 기업 내에서 GDPR 영향을 받는 영역을 도출해야 한다는 의미다. 어떤 비즈니스가 EU 거주민 정보를 다루고 있는지 파악하고, 해당 기업이 어떻게 대처해야 하는지 알아야 한다. 개인정보보호에 대한 기업의 현재 수준에 대한 정확한 진단도 필요하다.

만약, 심각한 개인정보 침해사건이 발생해 GDPR을 위반하게 된다면 최대 전세계 매출액 4% 또는 2000만유로에 달하는 과징금을 내뱉어야 한다.

이에 베리타스는 GDPR 자문 서비스를 제공해 기업의 대비 현황을 평가하고 GDPR 성숙도를 파악해 각 기업에 맞춤형 방식으로 리스크에 대비할 수 있도록 지원하며, 체계적인 데이터 관리 방안으로 ‘베리타스 360 데이터 관리 솔루션’으로 이 시장에 도전장을 던졌다.

전세계 기업들이 보유중인 EU 거주자의 개인식별정보의 내용을 파악하고, 요청에 따라 신속하게 해당 정보에 접근할 수 있도록 통합적인 방식의 GDPR 준수를 지원하는 방식이다. 베리타스의 솔루션은 GDPR을 위한 프레임워크의 각 구성 요소를 연결해 데이터의 위치 파악, 검색, 최소화, 보호, 모니터링 활동을 지원해 기업들이 엔터프라이즈 환경을 위한 컴플라이언스에 대비할 수 있도록 한다.

히타치 밴타라는 클라우드·오브젝트 스토리지인 ‘HCP(Hitachi Content Platform)’를 통해 기업의 GDPR 컴플라이언스 준비를 지원한다. HCP 데이터 스토리지 솔루션은 생성·수집·보유한 데이터를 관리하고 새로운 산업 규제를 준수하도록 돕는다. 영국계 자동차 사고관리 회사인 ‘액시던트 익스체인지’의 HCP 구축사례도 이미 확보했다.

IBM과 CA는 메인프레임에서 검색·분류·보호·경고 등 기업 컴플라이언스 체계를 강화하는 통합 엔터프라이즈 보안을 공동 제공한다. 양사의 협업을 통해 GDPR 등 데이터 프라이버시 정책에 선제적으로 움직이고 기업의 요구사항을 충족시키겠다는 복안이다.

IBM의 차세대 메인프레임 시스템 제품군 ‘IBM Z’는 일 120억건의 암호화된 거래를 처리하고 모든 데이터를 상시 암호화하는 엔진을 탑재했다. CA의 메인프레임 보호 솔루션인 ‘CA 데이터 콘텐츠 디스커버리(DCD)’는 민감 데이터가 저장된 위치를 확인하고 누가 어떻게 어떤 데이터에 접근할 수 있는지를 선별적으로 분류한다.

GDPR에 있어 데이터를 추적할 수 있는 가시성 및 보호역량은 기업의 새로운 의무사항으로 대두되고 있다. 이에 보안기업도 분주하다.

시만텍은 데이터 보호 자동화 및 제품통합을 개선한 데이터 유출방지 솔루션 ‘시만텍 DLP 15’를 통해 정보 중심 보안 솔루션 포트폴리오를 강화했다. 데이터가 외부로 전송돼 통제되지 않은 환경에서도 민감한 데이터나 규제 대상의 데이터를 탐지·모니터링하고 보호한다는 복안이다.

포티넷은 보안 위협을 효과적으로 관리하고 네트워크 성능을 향상시키기 위해 공격 전반에서 인텔리전스를 공유하며, 엔드투엔드 보안을 구현해 보안요소에 대한 가시성을 높였다. 포티넷의 보안 패브릭은 GDPR의 데이터 보안 및 보고 요구사항을 충족시키고, 분산된 네트워크에서 다뤄지는 보안과 다양한 벤더의 제품을 통합·관리한다는 설명이다.

지란지교시큐리티는 문서보안을 통해 GDPR 시장을 공략한다. ‘메일 스크린’ 솔루션은 외부로 나가는 메일에 대한 내부 승인절차를 부여하고, 수신자에게는 열람권한만 허용한다. GDPR의 데이터보호·통제 측면에서의 개인정보의 유실, 유출 위험을 탐지하기 위해 이메일을 통한 개인정보 유통단계에서의 보호 조치를 강화한다.

지란지교시큐리티의 이메일 아카이빙 솔루션 ‘제이볼트 플러스’는 GDPR의 개인정보 최소화 및 정보주체의 개인정보 처리 변경 관련 요구사항에 빠른 대응을 위한 개인정보 데이터 현황 파악 및 관리 기능을 더했다. 정보주체의 개인정보 처리, 변경 등의 조치를 원할 때 빠르게 개인정보가 포함된 데이터를 찾아 열람, 삭제를 가능케 하는 GDPR의 데이터 모니터링 측면에서 대응 방안으로 활용 가능하다. 

SK인포섹 관계자는 “GDPR은 단순히 일부 개인정보보호 활동을 강화하는 수준에서 형식적으로 대비해서는 안 된다”며 “기업들은 GDPR 적용 여부 판단 후 현재 실행 중인 개인정보보호 체계와 GDPR에서 요구하는 차이를 분석해 어떤 액션 플랜 하에 정보주체 권리 보장, 개인정보 영향평가 등의 주요 요건들을 충족시켜 나갈지 방안을 수립해야 한다”고 말했다.

이어 “SK인포섹은 GDPR 요구사항을 충족시킬 수 있는 현실적 방안을 제시하고, 체계를 수립할 수 있는 컨설팅 방법론과 GDPR 준수 검토 및 모니터링이 가능한 솔루션을 준비하고 있다”며 “GDPR 가이드라인 준비에 적극 참여 중이고, 법무법인과 긴밀한 협업을 통해 법적 리스크를 최소화할 수 있는 방안을 연구하고 있다”고 강조했다.

[기사] 대학 ISMS 인증 거부

출처 : http://www.dailysecu.com/?mod=news&act=articleView&idxno=27731


대학의 정보보호 수준을 높이기 위해 지난 2016년 6월 2일 개정한 정보통신망법 시행령에 의거 37개 대학을 ISMS(정보보호관리체계) 의무화 대상으로 지정했다. 하지만 법 시행 1년 반이 지났지만 ISMS 인증을 받은 대학은 순천향대학교 1곳 뿐이다. 나머지 대학은 “대학의 현실을 반영하지못한 법은 따를 수 없다”며 집단 보이콧하고 있다.

과학기술정보통신부(장관 유영민)는 교육부(장관 김상곤)와 한국대학교육협의회 및 대학정보화협의회에 끌려다니며 제대로 법 집행도 못하고 있는 현실이다. 법을 어긴 대학에 대해 과태료 부과도 주저하고 있다.

◇”대학, ISMS 집단거부…법치주의 무시하는 행위”

이에 대해 ISMS 심사원들은 “과기정통부의 책임이 크다. 시행령 개정전에 대학의견을 제대로 수렴하지 않았고 대학과 교육부를 설득하는데 실패한 것이 원인이다. 하지만 과정이 그렇더라도 법이 시행됐으면 대학들은 지켜야 하는 것이 맞다. 지금처럼 집단거부 행동은 초법적 발상이며 법치주의를 무시하는 이기적 집단행동”이라고 지적하고 “법이 통과됐으면 법을 어긴 대학에 단호한 조치를 취해야 한다. ISMS 의무대상으로 지정된 타 기관과의 형평성과 법률의 안정성을 고려해서도 원칙대로 집행해야 한다”고 강조했다.

또 “이제와서 과기정통부가 교육부와 협의해 교육부의 정보보호 수준진단제도와 ISMS를 병합하려는 움직임이 보인다. ISMS 인증 100개 항목에 비해 수준진단제도는 현저히 떨어지는 보안수준을 요구하고 있다. 이를 ISMS와 동등한 수준으로 인증하겠다는 것은 대학 정보보호 수준 강화를 위해 만든 법 취지와 맞지 않다”며 “학내 전체 시스템이 아니라 중앙전산소 학사관리시스템을 중심으로 ISMS를 우선적으로 받아야 한다. 그렇게 되면 비용도 생각보다 부담이 덜하다. 대학에 부담을 주려고 만든 법도 아니고 대학 보안 수준을 높이려고 만든 법인데 대학도 동참해야 한다”고 밝혔다.

이 문제에 대해 고려대 김승주 교수는 “첫 단추를 잘못끼운 것이 문제다. 하지만 대학도 주요 정보를 보호하기 위해 ISMS 인증을 받는 것이 맞다고 생각한다. 과기정통부에서도 대학 총장과 전산처장들 설득에 적극 나서야 한다. 특히 전산처장들은 대부분 교수들이고 임기도 2~4년 정도다. 자신의 임기 기간에 굳이 ISMS 인증을 준비하고 문제점이 나오면 사후처리도 해야하는데 적극적으로 나설 처장들은 많지 않을 것”이라며 “그럼에도 불구하고 법이 만들어졌으면 예외를 주면 안된다. 교육부 수준진단과 ISMS는 수준이 다르다. 낮은 수준으로 타협점이 이루어지면 안된다. 과기정통부의 설득과 지원이 필요하고 더불어 대학도 어려운 상황이지만 예산과 시간을 투입할 의지를 보여야 한다”고 전했다.

◇ “ISMS 인증범위, 대학 현실 반영해 확정해주면 거부 철회”

한편 5일 이 건으로 회의가 열렸다. 과기정통부, 교육부, 대학정보화협의회, 한국인터넷진흥원 관계자들이 모였다. 다음주 초 다시 회의도 잡혀 있다.

주요 내용은 대학도 대학 현실에 맞는 ISMS 인증 범위를 최소한으로 확정시켜주면 인증에 동참하겠다는 내용이었다. 예를들어 ISMS 통제항목에 망분리 항목이 있는데 대학 현실상 어렵다는 입장이다. 서울대만해도 직원이 4천명이 넘는데 망분리를 어떻게 적용하겠냐는 것이다. 이를 집행할 예산도 턱없이 부족하다는 것. 즉 대학 여건에 맞게 범위를 확정지어주면 따르겠다는 것이 대학측 입장이다. 대학도 마냥 법을 어겨가며 버틸 수만 없는 입장이라 지킬 수 있는 범위를 정해달라는 요구를 한 것이다. 지난해 대학교육협의회 47개 대학은 모두 ISMS 인증 거부 입장을 밝혔다. 과기정통부가 적절한 가이드라인을 확정해 주면 거부 입장을 철회할 수도 있다는 것이다.

◇과기정통부가 풀어야 할 숙제들

한편 서울 소재 주요 대학들은 예산 책정과 인력에 다소 여유가 있다고 하지만 문제는 지방 소재 재정이 어려운 대학들이다. 이들 대학들은 재원도 없는데 ISMS 인증은 엄두도 못내고 있으며 과태료를 부과하면 과태료를 낼 수밖에 없다는 입장이다. 하지만 과기정통부에서 과태료를 부과하면 행정소송까지도 생각하고 있다. 과태료를 받게 되면 대학 R&D 사업 수주시 불이익을 받을 수도 있기 때문이다. 주요 대학과 재원이 부족한 대학에 어떻게 차등해서 예산을 지원하느냐도 관건이다.

또 부처간 애매한 문제도 걸려있다. ISMS 인증을 위해 대학에 지원할 예산이 교육부 예산으로 나가야 한다. 과기정통부 사업을 교육부 예산으로 지원해야 할 판이다. 교육부 입장에서는 찜찜하기 그지없다. 과기정통부도 자신들 사업을 교육부 예산으로 해야 하니 난처하다. 그래서 대학에 적극적으로 과태료 부과도 못하고 눈치를 보고 있는 것일 수 있다. 한편 교육부는 이번 기회에 대학 ISMS 인증 사업을 교육부 소관으로 가져오려고 할 수도 있다. 한국교육학술정보원(KERIS)이 담당하면 된다. 하지만 과기정통부와 KISA는 당연히 반발할 문제다. 이 문제를 어떻게 처리해야 할지도 관건이다.

한편 국회에 계류중인 교육정보화진흥법안도 대학 ISMS 인증에 걸림돌로 작용할 수도 있다. 진흥법이 특별법이기 때문에 망법보다 우선 적용된다. 대학들은 이 법안이 통과되길 기다릴 수도 있다. 그래서 교육부 정보보호 수준진단으로 ISMS를 대체하려는 생각을 갖고 있을 수 있다.

하지만 많은 대학들이 지금까지 정보보호 예산 항목 자체가 없는 대학들이 대부분이었다. 인증범위를 한정해서라도 ISMS 인증을 받게 해서 대학의 정보보호관리체계를 일정 수준이라도 잡게하는 것이 바람직하다. 시작도 하지 않고 낮은 수준으로 기준을 정해 법의 본래 취지를 무색케 하는 것은 옳지 않다는 것이 대부분 정보보호 관계자들의 입장이다. 대학 전산처장들도 기업의 CISO와 같은 수준은 아니더라도 책임감을 갖고 대학 보안수준 향상에 의지를 보여야 한다.

◇의료기관 “이런 식이면 올해 ISMS 인증 재심사 거부하겠다”

한편 대학과 함께 ISMS 의무대상 기관으로 지정된 의료기관들도 반발하고 있다. 대학은 집단 반발해 보이콧하고 있는 반면 의료기관들은 대한병원정보협회(회장 한기태)를 중심으로 ISMS 인증에 적극 동참하고 있다.

의료기관 관계자는 “과기정통부가 교육부와 대학 눈치를 보고 법 대로 집행을 하지 않는다면 의료기관도 더 이상 따를 수 없다. 집단적으로 반발하면 안지켜도 되는 것이 우리나라 법인가. 법치주의를 무시하는 집단행동에 엄중한 대처가 필요하다”며 “힘없는 기관만 법을 따라야 하나. 만약 과기정통부가 대학 눈치를 보고 제대로 집행하지 않으면 의료기관들도 올해 ISMS 인증 재심사를 거부하겠다는 목소리가 커지고 있다”고 현 상황을 비판했다.

대학과 교육부의 의견을 제대로 수렴하지 않고 시행령을 개정한 예전 미래창조과학부. 이제 과학기술정보통신부가 이 문제를 해결해야 한다. 법의 취지를 이해하고 힘든 상황에서도 정부 정책을 따른 의료기관까지 현재 상황에 강한 불만을 표하고 있다. 과기정통부가 중심을 잡고 신속히 해결해야 할 문제다.

[기사] ISMS, PIMS 인증 통합

출처 : http://www.boannews.com/media/view.asp?idx=65787&page=1&kind=2


과학기술정보통신부, 방송통신위원회, 행정안전부는 정보보호 관리체계(ISMS) 인증과 개인정보보호 관리체계(PIMS) 인증을 통합한다고 밝혔다. 

[이미지=iclickart]


ISMS 인증은 정보통신망의 안정성과 신뢰성 확보를 위한 인증으로서 과기정통부가 2002년부터 운영해 온 제도이고, PIMS 인증은 개인정보 보호활동에 대한 인증으로 2010년부터 방통위가 운영하던 PIMS 인증과 2013년부터 행안부가 운영하던 PIPL 인증을 2016년에 PIMS로 통합하여 운영하고 있는 제도이다. 

이번 두 제도의 통합은 최근 정보보안과 개인정보보호가 밀접해지고 있는 추세를 반영하여 제도 간 연계성을 강화하고, 인증 중복운영에 따른 기업부담을 해소하기 위해 정보보호 관련 학계, 업계, 인증대상 기업 등 전문가의 검토 및 토론, 관계 부처 간 협의를 거쳐 결정됐다. 

▲ 통합 정보보호 인증 항목[자료=과기정통부]


이번 통합 논의 과정에서 ISMS 인증항목 104개, PIMS 인증항목 86개에 대한 비교 검토 결과, ISMS 인증항목 82개(78.8%)가 PIMS 인증과 동일·유사하고, PIMS 인증항목 86개를 기준으로 볼 때 58개 항목이 동일·유사한 것으로 분석됐다.

따라서, ‘통합 정보보호 인증’에서는 ISMS와 PIMS의 동일·유사한 인증항목을 통폐합해 정보보안 관련 80개 항목, 개인정보보호 관련 20개 항목 등 총 100개의 인증항목으로 단일화할 계획이다.

이번 통합에 따라 기업들은 기본적으로 80개의 보안항목으로 ‘ISMS 인증’을 받을 수 있고, 추가로 신청하여 20개 개인정보보호 항목까지 인증을 받는 경우 ‘ISMS-P(가칭)’ 인증을 받을 수 있다.

과기정통부·방통위·행안부는 통합 정보보호 인증제도의 원활한 운영을 위해 ‘인증운영 협의체’를 구성․운영하고, 2018년 상반기까지 부처 간 공동고시 개정안을 마련·시행할 예정이다.

다만, 기업들의 인증 준비에 6개월 이상 소요되는 점을 감안해 2018년 시행 이후 6개월간은 기존 인증 또는 통합 인증 제도간 선택을 할 수 있게 함으로써 제도 통합에 따른 기업들의 부담을 완화시켜 주기로 했다. 

[기사] IoT 보안 인증

출처 : http://www.boannews.com/media/view.asp?idx=65784&page=1&kind=2


사물인터넷(IoT) 보안 인증 서비스가 본격화된다. 과학기술정보통신부(장관 유영민, 이하 과기정통부)와 한국인터넷진흥원(원장 김석환, 이하 KISA)은 2017년 12월부터 민간 자율의 사물인터넷(IoT) 보안 인증서비스를 시행한다고 밝혔다.

▲ IoT 보안 시험·인증 절차[자료=과기정통부]


지난 26일 발표된 ‘IP카메라 종합대책‘의 일환으로 추진되는 사물인터넷 보안 인증서비스는 최근 급격히 확산되는 사물인터넷 제품에 대해 일정 수준의 보안을 갖추었는지 시험하여 기준 충족 시 인증서를 발급해 주는 방식으로 운영된다.

이번 인증서비스는 인증·암호·데이터보호·플랫폼보호·물리적보호 5개 영역에 대해 평가하며, 2개의 등급(Lite, Standard 2개의 등급으로 구분하여 시행한다. Lite 등급의 경우 해킹사례 등이 많은 주요 보안취약점을 개선할 수 있도록 핵심 보안항목 중심으로 시험·인증하게 되며, Standard 등급은 국제적으로 요구되는 수준의 종합적인 보안항목으로 시험·인증을 진행한다. 

▲ IoT 보안 시험 인증기준[자료=과기정통부]


기업의 부담 완화 및 인증 활성화를 위해 인증 서비스는 당분간 무료로 제공하며, 인증 신청에서 시험까지 약 한 달 안에 완료될 수 있도록 신속히 진행할 예정이다.

또한, 기업들이 인증에 필요한 보안요구사항을 자율적으로 사전시험ㆍ보완할 수 있도록 KISA 융합보안혁신센터(판교 기업지원허브 소재)의 시설을 개방하여 필요한 시험장비 및 기술지원을 제공할 예정이다.

인증을 희망하는 기업은 융합보안혁신센터에 보안시험 신청서, 시험기준 준수명세서, 제품 사용설명서 등 필요서류와 시험대상 사물인터넷 기기를 제출하면 된다.

인증 절차, 기준 등에 대한 자세한 정보는 KISA 정보보호산업진흥포털에서 확인 가능하며, 기타 궁금한 사항은 KISA IoT융합보안팀에 문의하면 안내받을 수 있다.

아울러 과기정통부와 KISA는 보안 인증을 받은 제품이 널리 확산될 수 있도록 사물인터넷 기기 제조사 및 서비스업체, 유통업체 등을 대상으로 업무협력, 홍보 등을 추진할 계획이다.

과기정통부 송정수 정보보호정책관은 ”다양한 산업 분야에서 사물인터넷 제품 및 서비스가 확산되면서 보안위협에 대한 우려도 증가하고 있다”며, “사물인터넷 보안 인증서비스 실시를 계기로 보안성이 높은 제품의 생산·이용을 촉진하여 정보통신기술 융합 산업의 성장과 함께 안전한 4차 산업혁명 시대를 맞이할 수 있을 것으로 기대한다”고 밝혔다.

[자료] 사이버 공격에 따른 보험사 보상 내용

출처 : http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=020&aid=0003117643&sid1=001&lfrom=twitter



[기사] 방통위,「개인정보의 기술적ㆍ관리적 보호조치 기준」해설서 개정 발간

출처 : https://www.gov.kr/portal/ntnadmNews/1271473?pageIndex=3&hideurl=N


개인정보의_기술적_관리적_보호조치_기준_해설서(2017.12.).pdf


방송통신위원회(위원장 이효성, 이하 ‘방통위’)와 한국인터넷진흥원(원장 김석환, 이하 ‘KISA’)은 ‘온라인을 통해 영리목적으로 개인정보를 수집·이용하는 정보통신서비스 제공자등이 개인정보를 안전하게 보관, 관리하기 위해 지켜야 할「개인정보의 기술적·관리적 보호조치 기준 해설서」를 개정했다’고 12일 밝혔다.

방통위와 KISA가 이번에 해설서를 개정한 배경은 온라인 사업의 특성상 1인 사업자부터 대기업에 이르기까지 규모 및 업종 등이 다양한 기업군이 분포함에 따라 이들 사이에서는 기술적·관리적 보호조치가 복잡하고 어렵다는 지적이 꾸준히 제기되어 왔다.

이에 따라 일반인도 쉽게 이해할 수 있도록 각 조문별 의미와 이행방법 등 사례를 상세히 수록하여 사업자별 환경에 맞는 개인정보 보호조치 기준을 수립·시행하는데 도움을 주기 위함이다.

개정된 해설서는 내부관리계획 수립·시행 등 관리적 분야, 접근통제, 접속기록의 위·변조 방지, 개인정보의 암호화, 악성프로그램 방지 조치 등 기술적 분야를 포함해 총 10개 조문에 대해 보완했으며, 2015년 5월 고시 개정을 통해 반영된 보호조치 기준의 목적(제1조), 최대 접속시간 제한조치(제4조), 암호화 대상 확대(제6조) 등 바뀐 제도를 추가하였다.

주요 바뀐 제도를 살펴보면,

첫째, 보호조치 기준의 목적이 사업자가 준수해야 할 ‘최소한의 기준’을 정하는 것으로, 각 사업자가 사업규모 등을 고려하여 사업자 환경에 맞는 보호조치 기준을 수립하여 시행토록 하였다.(제1조 제1항, 제2항)

둘째, 사업자가 수립·시행하여야 할 내부관리계획에 ‘개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항“, 개인정보 유출사고 등 발생시 대응절차 및 방법에 관한 사항”을 추가하였다.(제3조 제1항)

셋째, 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 때에 공인인증서만이 안전한 인증수단인 것으로 오해하는 경우가 많아 다양한 인증수단을 사용할 수 있음을 명확히 하였다.(제4조 제4항)

넷째, 개인정보취급자가 업무종료 이후에도 로그아웃 등 보호조치를 하지 않아 해킹에 의한 개인정보 유출사고가 발생한 사례가 있어, 사업자는 개인정보처리시스템에 대한 접속이 필요한 시간에 한하여 최대접속시간 제한 등의 조치를 하도록 하였다.(제4조 제10항)

다섯째, 개정된 정보통신망법에 따라 온라인상 주민등록번호수집이 금지(‘14.8월)됨에 따라 주민등록번호 외에 고유식별번호의 이용이 늘어날 것으로 예상되어, “여권번호, 운전면허번호, 외국인등록번호”를 암호화 대상에 추가하였다.(제6조 제2항)

여섯째, 업무환경의 변화로 스마트폰, 태블릿 PC 등 모바일 기기 및 보조저장매체(외장형 HDD 등)에 개인정보를 저장할 때에도 암호화를 적용하도록 하였다.(제6조 제4항) 

일곱째, 개인정보가 보관된 전산실, 자료보관실 등에 대한 출입통제 절차와 보조저장매체의 반출입 통제 등 물리적 접근 방지 조치를 하도록 하였다.(제8조)

여덟째, 업무 담당자가 실무에 참고할 수 있도록 ‘정보통신서비스 제공자등을 위한 망분리 해설’과 그간 개인정보보호 업무와 관련하여 문의가 많았던 31개 사항도 질답 형식(Q&A)으로 정리해 함께 수록하였다.

이번에 개정된 해설서는 방통위 홈페이지(https://www.kcc.go.kr) 및 KISA 온라인 개인정보보호 포털(https://www.i-pravacy.kr) 자료실에서 내려 받아 볼 수 있다.

김재영 방통위 이용자정책국장은 “해설서에 담긴 내용은 사업자가 이용자 개인정보 보호를 위해 지켜야 할 최소한의 기준으로서 사업자들은 해설서 내용을 숙지하고 관련 업무를 지속적으로 점검·개선하여야 한다”라고 밝혔다. 

[기사] 의료기기 보안 가이드라인, 드러난 윤곽 짚어보기

출처 : http://www.boannews.com/media/view.asp?idx=58377&page=1&kind=2


의료기기 해킹 등 의료 분야에서도 사이버위협 사례가 꾸준히 발생하고 있는 가운데 식품의약품안전처 식품의약품안전평가원이 초안작업에 들어간 ‘의료기기의 사이버 보안 허가·심사 가이드라인(민원인 안내서)’의 윤곽이 나왔다. 

해당 가이드라인은 현재 의견 수렴 단계를 거치고 있으며, 향후 확정될 방침이다. 의료기기 보안은 의무화가 아닌 자율 참여이며, 가이드라인은 의료기기의 사이버 보안 중요성이 부각됨에 따라 의료기기의 허가 심사시 고려할 사이버 보안 요구사항을 담고 있다. 

이와 관련 식품의약품안전평가원 관계자는 “가이드라인은 아직까지 확정된 건 아니고 의견 수렴 단계에 있다”며 “실제 사용하는 병원 환경에 따라 보안 요구사항이 달라질 수 있기 때문에 의견을 최대한 수렴하고, 향후 심도 있는 논의를 거칠 계획이다. 현재까지 작업된 가이드라인은 의료기기에 대한 최소한의 보안조치를 적용한 것이며, 안전한 의료기기를 사용하기 위한 목적”이라고 밝혔다. 

가이드라인에서는 의료기기 허가·심사 시 사이버 보안이 요구되는 의료기기의 적용 대상과 제품의 특성에 따라 적용할 수 있는 보안 요구사항, 허가 심사 시 제출해야 하는 자료의 범위 등이 포함돼 있다. 

첫째, 사이버 보안이 적용되는 의료기기는 유·무선 통신을 이용하는 기기로 환자의 생체정보 등 개인정보를 송수신하거나 기기 제어, 펌웨어 또는 소프트웨어를 업데이트하는 의료기기가 해당된다. 

둘째, 의료기기 사이버 보안 안전성 등급은 위험도에 따라 ‘상’, ‘중’, ‘하’로 나뉘며, 이에 따라 사이버 보안 요구사항도 달라진다. ‘상’은 사이버 침해로 사용자가 심각한 상해를 입거나 사망할 수 있는 경우나 신체 기능이 영구적으로 장애를 입을 가능성이 있는 경우에 해당된다. 여기에는 △심장충격기와 같은 4등급 의료기기 △로봇수술기와 레이저수술기와 같은 수술용 치료기기 △치료용하전입자가속장치와 같은 치료목적의 방산선 이용 의료기기 △심장충격기와 같은 치료용 의료기기 △인공호흡기와 같은 생명유지용 의료기기 △환자감시장치와 같은 생체신호 측정용 의료기기 등이 해당된다. 

안전성 등급 ‘중’은 사이버 침해로 오작동이 발생할 수 있는 초음파 자극기와 같은 치료용 의료기기, 의료영상전송장치와 같은 생체신호 송수신용 의료기기 등이 포함된다.

안전성 등급 ‘하’는 사이버 침해로 생체신호가 위·변조되거나 누락될 수 있는 단백질분석장치, 젖산측정기, 적혈구침강속도측정기, 심박수계 등과 같은 생체신호 측정용 의료기기이다.

의료기기 사이버 보안 요구사항으로는 △접근통제 및 인증 △다중접속 금지 △사용자(의료기기)접속 인식 △비인가 사용자(의료기기) 접속 제한 △비인가된 네트워크 통신 차단 △원격접속 차단 △사용자(의료기기)인증 관리 △자동세션종료 △비밀번호 작성 규칙 강화 △비밀번호 하드코딩 금지 △비밀번호 노출 금지 △펌웨어 또는 소프트웨어 업데이트의 인가 △펌웨어 또는 소프트웨어 업데이트의 무결성 보장 △펌웨어 또는 소프트웨어 업데이트시 인증방식 사용 △네트워크상의 의료기기 제어정보 전송 기밀성 및 무결성 보장 △네트워크 상의 개인의료정보 전송 기밀성 및 무결성 보장 △안전한 암호 알고리즘 사용 △물리적인 통신포트 침해의 최소화 △불필요한 서비스 제거 또는 비활성화 강호 △개인의료정보 저장 관리 △데이터 감사를 위한 시스템 로그 기록 △주요 실행파일 및 설정파일에 대한 무결성 검증 및 대응 △사이버보안 위협 탐지 시 취해야 할 대응책에 관한 정보 제공 △디도스(DDoS) 공격에 대한 방어 등이 포함됐다. 

안전성 등급 분류 중 ‘상’에 해당하는 의료기기는 위에 언급한 보안요구사항이 모두 적용돼야 하며, ‘중’은 디도스 공격 방어 장비를 제외하곤 모두 적용해야 한다. ‘하’는 △원격접속 차단 △펌웨어 또는 소프트웨어 업데이트의 인가 △펌웨어 또는 소프트웨어 업데이트의 무결성 보장 △펌웨어 또는 소프트웨어 업데이트 시 인증방식 △사이버 보안 위협 탐지 시 취해야 할 대응책에 관한 정보를 제공해야 한다. 

셋째, 유·무선 통신이 가능한 의료기기의 경우 허가 신청 시 제출해야 할 서류는 ‘의료기기 허가·신고·심사 등에 관한 규정(식약처 고시 제29조의 성능에 관한 자료)’에 따라 △의료기기 사이버 보안 필수원칙 체크리스트 △사이버 보안 위험관리 문서 △소프트웨어 검증 및 유효성 확인 자료 등이 포함된다. 

의료기기 사이버 보안 필수원칙 체크리스트는 의료기기 사이버 보안 요구사항에 대한 적합성 여부를 확인할 수 있는 자료로 의료기기 허가 및 심사 시 의료기기 사이버 보안 필수원칙 체크리스트 양식을 활용해 제품의 특성에 맞게 작성해 제출해야 한다.

사이버 보안 필수 원칙 체크리스트 항목으로는 △접근통제 및 인증 △다중접속 금지 △사용자(의료기기) 접속 인식 △비인가된 사용자(의료기기) 접속 제한 △비인가된 네트워크 통신 차단 △원격접속 차단 △사용자(의료기기) 인증 관리 △자동세션종료 △비밀번호 작성 규칙 강화 △비밀번호 하드코딩 금지 △비밀번호 노출 금지 △펌웨어 또는 소프트웨어 업데이트의 인가 등이 포함돼 있다.

사이버 보안 위험관리 문서는 의료기기 전체 생명주기에서 사이버 보안과 관련된 위해요인을 파악해 발생 가능한 위해 요소를 최소화하고, 차단하기 위한 위험관리 활동을 기록한 보고서라고 할 수 있다. 해당 문서는 신청 제품의 사이버 보안과 관련된 위해요인 식별과 각 위해요인에 대한 위험분석 및 위험 경감 조치 결과를 기재해야 한다.

마지막으로 소프트웨어 검증 및 유효성 확인 자료는 의료기기의 위험관리 과정에서 식별된 위해요인에 대한 위험통제 조치의 결과를 검증할 수 있는 객관적인 자료로, 사이버보안 요구사항에 대한 시험 및 검증 절차, 시험결과, 시험 및 검증 도중 소프트웨어 변경이 발생한 경우 재시험 결과를 포함해야 한다. 

[기사] 정보보호제품 성능평가제도

출처 : http://www.boannews.com/media/view.asp?idx=58192&page=3&kind=1

관련링크 : https://www.kisis.or.kr/kisis/subIndex/80.do


오는 2018년부터 정보보호제품 성능평가 제도가 본격 시행될 예정이다. 이 제도는 성능평가를 통해 국내 정보보호제품의 기술경쟁력을 강화하기 위한 자율 인증 제도로, 성능 평가제도 시행 및 평가인프라 확충, 성능평가 이용 활성화, 정보보호기업의 자생력 강화를 정책방향으로 삼고 있다. 

▲22일 엘타워에서 진행된 정보보호제품 성능평가 제도 소개 화면[이미지=보안뉴스]


정보보호제품 성능평가는 운영환경에서 정상기능을 구현하는지와 사이버 공격에 적절히 대응하는지 등 과학기술정보통신부에서 정한 성능평가 항목에 따라 측정한다.

정보보호제품 성능평가는 2018년 △방화벽 △안티바이러스 △샌드박스 기반 APT대응장비 △디도스 대응장비 등 정보보호제품 4개 제품만 우선 적용된다.

2019년에는 △웹방화벽 △차세대방화벽 △침입방지시스템 △소스코드 보안약점 분석도구 4개 제품을, 2020년에는 △IPSec 기반 가상사설망 △SSL/TLS 기반 가상 사설망 △네트워크 정보유출방지시스템(DLP) 3개 제품을, 2021년에는 △단말 DLP △무선 침입방지 시스템(WIPS) △DB보안(접근통제) 등으로 확대해 총 14종 제품으로 점차 확대할 전망이다. 

방화벽 제품군의 주요 성능평가 항목은 △정보보호 주요 기능 구현으로 감사 기록 생성 및 정상 동작, 실시간 모니터링 및 통계 보고서 기능의 정상 동작, 정책 설정가능 및 설정된 정책의 정상 동작 △보안 성능으로 정보흐름 통제 규칙 위반 트래픽 차단, DoS 공격트래픽 차단 △네트워크 성능으로 최대 동시 세션연결수, 초당 최대 세션연결수, 초당 최대 트랜잭션수, UDP 처리율 및 지연시간, HTTP처리율 △자원의 효율성으로 CPU, 메모리 등 자원의 처리 및 이용수준 등이다. 

DDoS 대응장비의 주요 성능평가 항목은 △정보보호 주요기능 구현 통한 국가용 보안규격(감사기록, 식별 및 인증, 보안관리, 전송데이터 보호, 안전한 세션 관리 등) 적절성 여부이며, △보안성능과 네트워크 성능은 방화벽 성능평가 주요 항목과 동일하다.

안티 바이러스의 주요 성능평가 항목은 △정보보호 주요 기능 구현 통한 국가용 보안규격 적절성 여부 △보안 성능으로 악성파일 탐지 및 제거, 악성파일 우회탐지 △시스템 성능으로 시스템 검사시 소요시간, 자주 사용되는 작업수행시 소요시간 △자원의 효율성으로 CPU, 메모리 등 자원의 처리 및 이용수준이다. 

샌드박스 기반 APT 대응장비의 주요 성능평가 항목은 △정보보호 주요 기능 구현으로 감사 기록 생성 및 검색 기능의 정상 동작, 실시간 모니터링 및 통계 보고서 기능의 정상 동작, 정책 설정가능 및 설정된 정책의 정상 동작 △보안성능으로 알려진 악성파일 탐지, 알려진 악성파일에 대한 동적 분석 탐지, 알려진 악성파일 우회 탐지 등이다. △네트워크 성능으로 알려진 악성파일 동적 분석 처리, 파일 수집시 최대 네트워크 트래픽 처리 △CPU, 메모리 등 자원의 처리 및 이용수준 등이다.

▲한국인터넷진흥원 이상무 팀장[이미지=보안뉴스]


한국인터넷진흥원 이상무 팀장은 “앞서 언급된 정보보호제품 성능평가 항목은 전문가의 의견을 수렴한 공통사항이며, 제품별에 따라 별도의 자세한 평가가 진행된다. 특히, 국가용 보안규격의 경우 CC평가 기준의 80~85%가 수용된 것으로 보면 될 것”이라며 “정보보호제품 성능평가 제도는 필요시 의견을 수렴해 공지하고 정보를 공유하는 등 유연성 있게 운영할 것”이라고 밝혔다. 

향후 성능평가 이용 활성화를 위해 성능평가 제도를 민간에서 공공기관으로 확대하고, 공공기관 도입시 CC인증 필수유형 중 일부 유형은 활용 가능하도록 관계기관과 협의중이다. 이와 함께 활용가이드 제공과 교육도 추진할 방침이며, KISA 내에 있는 오픈 테스트랩의 시험 장비 활용도 지원할 계획이다.

정보보호제품 성능평가 체계는 정책기관, 심의·관리기관, 기술심의위원회, 성능평가기관으로 나뉜다. 정책기관인 과학기술정보통신부에서는 법제도 개선과 정책 결정을 하고, 성능평가기관를 지정하거나 취소할 수 있다. 심의·관리기관인 한국인터넷진흥원은 성능평가기관 지정심사와 관리, 성능평가자 양성과 자격관리, 기술심의위원회 운영 등의 역할을 담당한다. 기술심의위원회는 성능평가 관련 심의를 맡는다. 성능평가기관은 앞으로 지정될 예정이며, 성능평가 수행을 하게 된다.

정보보호제품 성능평가기관 지정은 신청·접수 -> 제출서류 검토와 보완 -> 법인 등기사항 증명서 확인 -> 서류심사와 현장심사-> 심사결과보고서 작성-> 심사결과 심의-> 지정서 교부-> 홈페이지 공개 등의 과정을 거친다. 성능평가기관 지정 신청은 차주쯤 과기부 홈페이지에 공고될 예정이다. 성능평가 전문인력 양성의 경우 평가자 교육 후 시험평가를 진행해 합격자에 한해 평가자 자격이 부여된다. 매년 인력이 양성될 예정이며, 2017년까지 51명을 확보할 예정이다. 

정보보호제품 성능평가 절차는 신청·접수 -> 제출물 검토·보완 -> 계약체결·평가팀 구성 -> 수행계획서 작성·검토 -> 평가 수행 -> 결과서 작성 등 성능평가 -> 기술심의위원회 심의 -> 결과서 교부 -> 제품정보 홈페이지 공개 단계를 거친다. 

한편, 이날 제도 설명회의 질의응답 시간에는 수많은 질문이 쏟아졌다. 정보보호업체의 경우 제품 평가를 통해 신뢰성을 높일 수 있어 관심이 높을 수밖에 없기 때문이다. 하지만 설명회에서 제기된 질문에 대한 답변이 명쾌하지 않아 불만의 목소리도 곳곳에서 들려왔다. 

한 보안업체 관계자는 “내년에 성능평가 인증을 취득하려면 비용 산정에 대해 대략적으로라도 얘기해줘야 하는데, 어떤 정보도 주지 않았다” 며 “내년도 예산에서 인증 비용을 책정하려면 지금 시점에서 대략적인 답변이라도 필요하다”고 아쉬움을 내비쳤다. 또 다른 보안업계 관계자는 “당장 내년부터 시행되는 제도인데 추후 공지된다는 등 상세한 답변을 들을 수 없었다”며 “아직까지 평가기관 지정도 되지 않았다는 등 제대로 준비되지 않았다”며 미흡한 운영을 지적했다. 

이 외에 평가제도 운영에 있어 좀더 다양한 의견이 반영돼야 한다는 지적도 나왔다. △CC인증 취득 기업의 경우 인증 평가시 비용 감면 등의 할인혜택 적용 필요성 △사이버 공격 고도화에 따라 평가기준을 CC인증보다 엄격하게 적용해야 한다는 의견 △우수한 성능의 특허 제품 혹은 방어 성능이 뛰어난 제품에 가점 부여 등 자율인증인 만큼 특화되거나 차별화된 평가기준이 반영돼야 한다는 의견이 제기됐다.

이에 대해 이상무 팀장은 “현재는 우수 제품에 대해 가점을 부여하거나 비용을 감면해 주는 등의 혜택은 없지만, 요구사항은 다양한 의견 수렴과 검토 과정을 거쳐 유연성 있게 적용할 것”이라고 밝혔다. 

[기사] 개인정보 위탁시 꼭 지켜야 할 보안수칙 2가지

출처 : http://www.boannews.com/media/view.asp?idx=58074&page=1&kind=1


IoT, AI, 빅데이터, 클라우드, 블록체인, 자율자동차 등 전 세계는 계속적으로 새로운 트랜드를 만들어 내며 제4차 산업혁명 시대를 이끌어 가고 있다. 이 모든 흐름의 중심은 Human, 사람 중심의 변화를 사람들이 주도해 가고 있다는 것이다. 

따라서 그 중심에는 개인정보 보호라는 중요한 명제가 내포되어 있고 4차 산업혁명의 핵심인 인간의 편리성 증대를 위해 개인정보 보호의 중요성은 계속 증가된다고 볼 수 있다. 따라서 우리는 개인정보보호의 중요성을 늘 인식하고 준비하며 관리해야 한다.

[이미지=정환석 이학박사]


국내에서는 2011년 개인정보보호법을 제정·시행해오고 있으며, 시대적 흐름과 요구사항의 증가에 따라 계속적으로 보완·개정되고 있다. 민간기업이나 공공기관(이하 위탁자)은 디지털 경영화를 위해 개인정보처리 시스템 등 장비를 증축하고, ERP 등 어플리케이션을 도입해 적용하고 있다. 또한, 이들의 유지보수를 위해 전문업체에게 위탁하고 있다. 

하지만, 입찰 참가조건 등 수탁자 선정 조건에 개인정보보호를 위한 관리체계가 구축돼 있는 업체인지 확인하는 위탁자는 많지 않다. 이는 수탁자는 위탁 받은 고유 업무만 충실히 수행할 수 있는 전문성만 있으면 된다는 인식 때문이라고 생각한다. 

이러한 생각들은 2014년 카드3사의 개인정보 처리 수탁자에 의한 개인정보 유출사건에서 보듯이 수탁자 스스로 이런 사고를 대비할 수 있는 관리체계가 구축·시행되고 있거나, 위탁업무 특성에 맞는 관리지표에 의해 계속적으로 관리감독 및 교육됐다면 개인정보 유출사건은 사전에 예방되었으리라 생각한다. 이에 개인정보 처리 위탁 시 위탁자가 취해야 될 2가지 중요한 사항에 대해 제시하고자 한다.

1. 개인정보 처리 수탁자 선정 시 개인정보보호 관리체계 수립 및 시행여부를 꼭 확인하자
위탁자가 개인정보 처리 업무를 위탁하는 경우 전문업체를 선정하게 된다. 이때 수탁자 선정기준에 ‘개인정보보호 관리체계 수립 및 시행여부’ 사항을 추가해야 한다. 물론 이러한 관리체계 시행여부 확인을 위하여는 단순히 ‘예, 아니오’로 판단하는 것이 아니라 관련 법령에서 요구하는 관리지표를 생성하고 이를 확인해야 한다는 의미다. 필요하다면 관련 증빙자료를 첨부하는 것이 판단을 위해 도움이 될 것이라 본다. 

예를 들어 보자. 내부관리계획 수립, 개인정보책임자 지정, 개인정보처리방침의 수립 및 공개, 취급자 대상 정기적인 교육, 개인정보 유출사고 발생 시 대응절차 수립 및 대응훈련 등 개인정보관리체계가 수립되고 정기적인 점검 및 교육을 통하여 잘 훈련되어 있는 업체인지 확인한다면 위탁자의 개인정보를 효과적으로 처리할 수 있으리라 본다. 따라서, 개인정보관리체계가 잘 정립되어 있는 수탁자를 선정하는 것이 위탁자에게는 상당히 중요하다.

[이미지=정환석 이학박사]


2. 개인정보 처리 업무 특성에 따른 수탁자 점검 지표를 개발하고 관리감독 및 교육하자
선정된 개인정보 처리 수탁자에 대해 정기적인 관리감독 및 교육을 실시함으로써 수탁자의 법 위반사항을 최소화할 수 있다. 이때 일반적으로 법령에 있거나 공공기관의 우수사례로 공개되는 지표를 이용하는 경우가 많다. 



문제는 수탁자 관리점검 지표가 획일적이고 단순해 수탁자 업무 특성을 고려하지 못하고 있다는 점이다. 서버나 네트워크 유지보수 업체에게 개인정보 수집 여부를 확인할 필요가 있을까? 개인정보 수집이 허용되는 수탁자에게 수집양식의 적절성은 왜 확인하지 않을까? 수탁기간이 끝났을 때 기존 제공되거나 수집된 개인정보 파기 여부는 확인하고 있는가? 네트워크 유지보수자는 접근권한 또는 업무 범위를 초과해 과업 수행을 하고 있지는 않았는가? 등등 해당 수탁업무의 특성과 법률 내용을 잘 융합해 점검지표를 만들고, 감독과 교육을 한다면 수탁자에 의한 개인정보 유·누출 사고 발생빈도는 확연히 낮아질 수 있다. 

따라서 개인정보 처리 위탁 업무별 중점 점검사항 및 법 준수사항 등을 라이브러리 형태로 구성한 후, 위탁 시 업무특성에 따른 점검지표를 도출하여 관리 감독한다면, 수탁자에 의한 개인정보 유출은 최소화되리라 판단된다.