'개인정보보호법'에 해당되는 글 24건

  1. 2012.11.02 포털 , 카카오톡 " 영장 없으면 개인정보 제공 못해"
  2. 2012.10.04 전자서명법상 공인인증기관의 개인정보는 어떻게 보호받을까?
  3. 2012.03.16 갑자기 블로그 방문자 수가 증가된 이유가 뭘까요 ? (8)
  4. 2012.02.01 '정보통신망법 개정안'할때 일부 법률첨삭해야 (2)
  5. 2012.01.30 개인정보보호법 관련 각종 시행일 일괄 정리
  6. 2012.01.30 개인정보보호법에 누락된, 정기자체감사부문 법(고시) 개정 필요
  7. 2011.11.23 안돼 ~~ 반에 반토막난 개인정보보호 예산
  8. 2011.04.06 사업자를 위한 개인정보 질의 문답 자료
  9. 2011.03.30 개인정보보호법 시행되면 파파라치 활개 치지 않을까? (3)
  10. 2011.03.09 [보안칼럼] 개인정보보호법 법사위 통과의 의의와 배경
  11. 2011.03.07 [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야 (2)
  12. 2010.12.30 35만 준용사업자 대상, 개인정보보호 기준고시에 부쳐 (9)
  13. 2010.12.07 PIMS (개인정보보호관리체계) 인증심사원 위촉장 받았습니다.
  14. 2010.11.17 [강연-20] 공공기관 개인정보보호 순회교육 -부산시청
  15. 2010.10.27 개인정보보호 권역별 순회강연-영남권 성황리 마쳐 (4)
  16. 2010.10.24 PIMS 인증심사원으로 위촉이 되었습니다. (11)
  17. 2010.10.11 PIMS(개인정보보호관리체계)인증심사교육 후기와 느낀점 (6)
  18. 2010.09.30 '개인정보보호법' 통과의 의미와 향후 방향 (4)
  19. 2010.08.24 김탁구시청도 포기하겠는가? 개인정보보호 총정리 온라인 강좌 (6)
  20. 2010.08.08 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해 (2)
  21. 2010.04.11 [개인정보보호법] 제정으로 현재와 달라지는 점
  22. 2008.08.12 개인정보보호법 제정 법률안 입법예고 -행정안전부 (2)
  23. 2008.05.08 SBS "뉴스추적 -2천만 한국인을 노리는 중국발 사이버테러" (2)
  24. 2008.04.30 개인정보보호법 연내 제정

 

오늘자  한국일보 08면에  "포털 ,카카오톡 개인정보 영장있어야 제공" 한다는 제하의 기사를 보고 분석을 해 보고자 합니다. 자세한 사항은 아래 캡쳐 화면을 클릭해 보시거나 아래 관련 기사 링크를 참고 하시길 바랍니다.

 

 

 

 

관련 기사

http://news.hankooki.com/lpage/economy/201211/h2012110121080821540.htm

 

 

관련기사에 따르면 '회피 연아' 동영상 관련하여 유장관측이 명예훼손으로 고소하였고, 여론이 거세어지자 취하하였다. 그런데 고소당한 당사자는 다시 네이버를 상대로 경찰에 개인정보 제공에 대한 손해 배상 소송을 제기 하였다.

이에 법원에 판결은 차씨의 손을 들어 주었다. 50만원의 손해배상을 지급하라고 판결하였다.  여기까지가 팩트입니다.

 

 

1. 네이버는 어떤 근거로 개인정보를 경찰에 알려 주었을까?

 

개인정보 제공한 근거조항은 바로 '전기통신사업법' 83조 3항에 따라 제공함. 그럼 전기통신 사업법 83조 3항에는 무엇인가?

 

 

   ① 누구든지 전기통신사업자가 취급 중에 있는 통신의 비밀을 침해하거나 누설하여서는 아니 된다.

② 전기통신업무에 종사하는 자 또는 종사하였던 자는 그 재직 중에 통신에 관하여 알게 된 타인의 비밀을 누설하여서는 아니 된다.

전기통신사업자는 법원, 검사 또는 수사관서의 장(군 수사기관의 장, 국세청장 및 지방국세청장을 포함한다. 이하 같다), 정보수사기관의 장이 재판, 수사(「조세범 처벌법」 제10조제1항·제3항·제4항의 범죄 중 전화, 인터넷 등을 이용한 범칙사건의 조사를 포함한다), 형의 집행 또는 국가안전보장에 대한 위해를 방지하기 위한 정보수집을 위하여 다음 각 호의 자료의 열람이나 제출(이하 "통신자료제공"이라 한다)을 요청하면 그 요청에 따를 수 있다.

1. 이용자의 성명

2. 이용자의 주민등록번호

3. 이용자의 주소

4. 이용자의 전화번호

5. 이용자의 아이디(컴퓨터시스템이나 통신망의 정당한 이용자임을 알아보기 위한 이용자 식별부호를 말한다)

6. 이용자의 가입일 또는 해지일

④ 제3항에 따른 통신자료제공 요청은 요청사유, 해당 이용자와의 연관성, 필요한 자료의 범위를 기재한 서면(이하 "자료제공요청서"라 한다)으로 하여야 한다. 다만, 서면으로 요청할 수 없는 긴급한 사유가 있을 때에는 서면에 의하지 아니하는 방법으로 요청할 수 있으며, 그 사유가 해소되면 지체 없이 전기통신사업자에게 자료제공요청서를 제출하여야 한다.

 

2. 그럼 개인정보보호법에는 어떻게 나와 있을까?

 

 

① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.

 

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.

 

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

 

 

3. 판결은 어떻게 났는가?

 

네이버는 차씨에게 50만원의 손해 배상 금액을 지급하라 

 

4.  포털과 .카카오톡의 대응은 ?

 

이제 범죄 수사시에도 수사 기관의 협조차원에서 제공하게 되면 소송에서 패소 하게 되기 때문에 "영장"을 제시해야만 개인정보를 제공 하겠다고 표명..

 

 

5. 결론

 

대법원 최종 판결이 남아 있지만 이번 판결로 인하여 수사기관은 범죄 수사를 하기 위하여 복잡한 절차를 밟아야 할 것으로 예상이 됩니다. 또한 공공기관의 경우에는 개인정보보호법에 의하여 개인정보를 범죄 수사 목적으로 제공할 법적 근거가 있지만 법원이 전기통신사업법에 근거하여 제공한 개인정보는 잘못된 것이라 판결 하였기 때문에 민간 기업은 범죄 수사시에도 영장 없이는 제공 하지 않겠다고 표명하게 된 것입니다.

 

만약, 이 사건이 한명이니까 50만원이지만 기사에 따르면 작년에 통신사가 수사기관으로부터 정보제공 요천건수가 580만건이라고 합니다.  금액으로 따지면 2조 9천억원 정도 되는군요..

 

6. 향후 방향

 

 

 

 

 

전기통신사업법은 특별법으로 개인정보 제공이 가능하지만 의무를 부과 하지 않았다는 헌법재판소 위헌심사에서도 제기 되었다고 하니 이는 개인정보보호법에 의한 특별법 우선에도 부합하지 않고 전기통신사업법이 개정이 되어 개인정보 제공에 대한 의무도 부과 하도록 하던지 아니면 민간도 개인정보보호법 제18조에 포함을 시키던지 해야 할 것이입니다. 개인정보보호법과의 법적 충돌에도 대안이 마련이 되어야 할 것입니다. 대법원 최종 판결이 어떻게 날지 귀추가 주목됩니다.

 

 

 

 

 

신고
Posted by 엔시스

개인정보보호 관련 공부를 하다보니 자연스럽게 여러가지 법률과 시행령등을 접하게 됩니다. 그 가운데 공인인증기관에 관한 근거가 제시된 '전자서명법'을 보다가 약간 궁금한 점이 있어 포스팅 해 봅니다. 지난번 법관련하여 해프닝으로 끝난 사례도 있어 조금 조심스럽긴 합니다만 무엇보다 모르는 것 보다는 아는 것이 더 중요하니까 물어 볼때도 없고 해서 혹시 이 글을 보시는 분 중에서 아시는 분 있으면 댓글 부탁드립니다. - 주인백

 

1. 공인인증기관이란?

 

전자서명법 제4조에 의해 행정안전부장관은 공인인증업무(이하 "인증업무"라 한다)를 안전하고 신뢰성있게 수행할 능력이 있다고 인정되는 자를 공인인증기관으로 지정할 수 있다.  <개정 2001.12.31, 2008.2.29> 라고 명시하고  있습니다.                                                                                                                                    

 

2. 공인인증기관 현황

 

 전자서명법 제4조 규정에 의해 지정된 공인기관

 

 전자서명법 9조에 의한 양도,양수 합병된 공인인증기관

 

    • 한국정보화진흥원 -> 2008년 6월30일 한국정보인증(주) 이관됨

 

3. 전자서명법 인증관리업무에서 기관 명칭 오류 추정

 

 

 

 

 

제25조를 검토하던 중 "보호진흥원" 이란 명칭이 3곳이나 나오고 있었습니다. 아마도 한국인터넷진흥원의

옛명칭인 "한국정보보호진흥원"에서 보호 진흥원이 아닌가 추정이 됩니다. 아무튼 법률에서 과거의 명칭이  불완전한 상태로 사용된다는 것은 바로 잡아야 겠습니다. 혹은 필자가 잘못 알고 있을수도 있으나 그렇지는  않을 것으로 사료됩니다.

 

 

 

4.  전자서명법과 개인정보의 보호

 

계속해서 살펴 보던 중 개인정보보호에 대한 조항이 있어 살펴 보았는데 아래와 같습니다.

 

 

 

 

 

공인인증기관은 인증업무 수행과 관련하여 개인정보를 보호하여야 한다. 라고 딱 한줄 되어 있습니다. 2항이 삭제되어 있어 확인 결과 개인정보보호법이 제정이 되면서 전자서명법에서 개인정보보호 2항을 삭제 개정 하였습니다.

 

 

 

5. 공인인증기관 6곳은 어떤 법을 따라야 할까요?

 

망법을 따라야 할까요? 개인정보보호법을 따라야 할까요? 아니면 전자서명법에 한줄 나와 있는 개인정보 조항을 따라야 할까요? 혹시 아시는 분 있으면 댓글 달아 주시면 감사하겠습니다. 아직 관련 법률 정비가 안되어 그럴수도 있고, 제가 알지 못해 그런 경우도 있으니 함께 하나씩 살펴 보면서 부족한 부분들은 챙겨서 올바르게 법정비를 해 가는 것이 바람직 하다고 생각이 듭니다. 우선 본문 3번에서 전자서명법상 [보호진흥원] 워딩부터 수정해야 하지 않을까 싶네요.,  @엔시스.

 

 

 

                   

 

신고
Posted by 엔시스

안녕하세요. 엔시스입니다.

여러분들 잘 지내시죠 ?  요즘 개인적으로 여러가지 일들이 많다보니 블로그에 소홀하게 되네요. 하지만 늘 댓글과 방명록등 기본적인 블로그 관리는 하고 있다는 거..벌써 블로그를 운영한지도 6년이 넘어가네요...

대부분 "IT보안" 이라는 한가지 주제로 운영하다보니 별로 재미도 없고, 그렇다고 아주 전문적인 이야기도 하니고 약간은 범용적인 수준에서 조금 테크니컬한 부분을 다루다 보니 그리 많이 방문하지는 않습니다.

하지만 보안과 관련이 없는 글을 적을때는 조금 방문을 하는듯 합니다. 평균 방문자 수는 1000명에서 1500명 정도로 통계로 잡히는데요..

아마 기존에 있던 글이나 콘텐츠 검색으로 인한 부분이 아닌가 생각해 봅니다. 그런데 며칠전 특이점을 발견하였습니다. 하루 방문자가 1만명이 넘었습니다.



유명한 블로거의 경우에는 아무것도 아닌 숫자지만 한분야만 꾸준히 글을 작성하는 저로서는 이렇게 방문한 이유를 모르겠군요..

3.10일에 글을 쓴것도 아니고, 어떠한 이유 때문에 1만명이상이 방문했을까 하는 궁금증이 확 밀려 옵니다. 숫자가 큰의미가 있는것은 아니지만 그대도 왠지 궁금한 것은 어쩔수 없네요..

혹시 제 블로그에 오시는 분들중에 아시는 분들이 있을려나? 궁금해서 포스팅 해 봅니다. 그리고 안부도 드릴겸해서 올려 봅니다.  아무튼, 꾸준히 보안에 대한 글을 지속적으로 올릴수 있도록 하겠습니다.  ^^

신고
Posted by 엔시스

2011년9월30일 개인정보보호법이 시행이 되고 기존에 정보통신망이용촉진및 정보보호등에 관한법률(이하 정보통신망법) 에서 여러가지 중복되는 사항이 첨삭됨으로 인하여 정보통신망법을 개정하기에 이르렀다. 이에 대하여 살펴보자 - 블로그 주인장 백


1. 국회통과된 ''정보통신망법 개정안' 통과 주요 내용

보안뉴스기사에 따르면 국회 통과된 ‘정보통신망법 개정안’ 살펴보니... 에서 국회본회의를 통과하고 여러가지 미비한점 또는 개인정보보호법에 있는 것을 망법에 도입하였다고 밝히고 있다. 그중에 대표적인 것이 '개인정보 유출신고, 통지제' '정보보호안전진단 폐지, 정보보호관리체계(ISMS) 인증제도 일원화등을 들고 있다.  이러한 내용을 보면 개인정보보호법과 기존 망법에서 수정 보완해야 하는 내용적인 부분이 들어가 있다. 이번 개정을 통하여 망법에 명시되는 않은 사항은 개인정보보호법에 적용을 받고, 이런경우가 많으면 정작 망법 적용사업자는 2개의 법률을 알아야 하기에 상당히 혼란스럽고 힘든 부분이 많다. 따라서 망법 적용대상자는 미비한 부분을 도입함으로 인하여 가급적 하나의 법에 적용으로 하는 것이 혼란을 덜수 있다.


2. 개인정보보호법 시행후 망법과의 관계

개인정보보호법 법률,고시해설서 42p 에 따르면

개인정보 보호법」의 시행에 따라, 「공공기관 개인정보 보호법」은 폐지한다(부칙 제2조). 또한 다른 법령에서 「공공기관 개인정보 보호법」을 인용하였던 조문은 「개인정보 보호법」을 인용하는 것으로 개정된다.

「정보통신망법」의 일부 규정도 「개인정보 보호법」의 시행에 따라 일부 규정이 개정되거나 삭제되었다. 특히 개인정보분쟁조정위원회 관련 조문(제4장제4절, 제66조제1호) 및 「정보통신망법」상 준용사업자 관련 조문(제67조)은 「개인정보 보호법」 시행에 따라 이 법의 적용대상이 되므로 삭제되었다.

과거 「정보통신망법」은 원칙적으로 정보통신서비스 제공자와 정보통신서비스를 이용하는 자의 관계에서 개인정보를 처리하는 경우에 적용되었으며, 이 외에 ‘회원제로 개인정보를 수집하여 재화․용역을 공급하는 사업자’(여행업자, 호텔업자, 항공운송업자, 학원, 교습소 등)를 준용사업자로 규정하여 정보통신서비스 제공자와 마찬가지로 「정보통신망법」의 개인정보 보호 관련 내용을 적용하여 왔다. 이는 정보통신서비스 업종 이외의 업종에서도 다량의 개인정보를 수집․이용함에 따라서 이러한 업종에도 정보통신망법을 적용하여 개인정보를 보호하기 위한 취지였다. 그러나「개인정보 보호법」이 시행됨으로써 「정보통신망법」에서 준용사업자 규정(제67조)을 별도로 둘 필요가 없어짐에 따라 해당 조항은 삭제되었으며, 준용사업자 업종들은 「개인정보 보호법」에 따른 개인정보 처리자에 포함되게 되었다.

다른 법률과의 관계를 명시하고 있는데 개인정보보호법 시행으로 인하여 [공공기관에 관한 개인정보보호법률]은 폐지 한다고 되어 있고, 정보통신망법 제67조는 삭제된다고 명시하고 있다.


3. 정보통신망법 개정시에 다음 문구 수정도 필요


또한  국회법률지식정보시스템에서도 명시를 하고 있다.  여기





하지만 같은 국회법률지식정보시스템 다른 조항을 보면 다음과 같이 <제67조에 따라 준용되는 자를 포함한다> 라는 문구를 포함하고 있는 것을 볼수 있다. 망법 67조는 이미 삭제가 되아야하지만  제64조, 제71조, 73조,76조 에 그대로 사용되고 있다는 것이다.  법 개정시 같이 문구 수정이 이루어져야 할 것이다.

즉, 준용사업자가 정보통신서비스제공자에서 분리됨으로 인하여 개인정보보호법으로 빠지고 망법은 준용사업자를가 아닌 망법대상자만을 적용하는 법률이 된 것이다.






이러한 제보는 본 블로그에 방문하는 블로그 구독자 "박영식" 님 댓글로 확인이 되었다. 법령을 찾아 보고 많이 보는 필자도 너무 간과한 부분이 아닌가 생각이 든다. 




다시한번 제보해 주신 박영식님에게 감사의 말씀을 전하고 '정보통신망법' 개정시에 참조하면 좋겠다는 의견을 제시해 본다.  @엔시스.



신고
Posted by 엔시스

작년 2011년9월30일 개인정보보호법이 시행이 되면서 기존 특별법인 '정보통신망법'과 '신용정보법'등과 함께 숙지해야 하는 측면이 있어 많이 연구하고 공부하고 이해하지 않으면 헷갈리는 부분이 있습니다. 최근 개인정보보호법이 많은 이슈가 되다보니 개인정보보호법의 각종 시행일을 같이 공유하고자 합니다. 개인정보보호관련 업무를 보시는 분들에게 많은 도움이 되셨으면 좋겠습니다.  -전주현.




구 분

관련조문

시행시기

개인정보 보호법 전체

유예기간이 있는 조문을 제외한 모든 조문

공포후 6개월(11.9.30)부터

주민번호 대체수단 제공

법 제24조제2항

공포후 1년(12.3.30)부터

주민번호 대체수단 관련 공시

영 제23조

주민번호 대체수단 미제공자에 대한 과태료 부과

법 제75조제2항제5호

제1차(‘12~‘14) 기본계획 수립

법 제9조, 영 제14조

11.12.31까지

2012년도 및 2013년도 시행계획 수립

법 제10조, 영 제15조

12.4.30까지

저장․전송 중 개인정보․고유식별정보 암호화 조치

법 제29조, 영 제33조제1항제3호 및 제24조

12.12.31까지

개인정보파일 등록

법 제34조, 영 제34조

영 시행일부터 60일 이내

(11.11.31까지)

개인정보 영향평가

법 제33조, 영 제35조

영 시행일로부터 5년 이내

(‘16.9.29까지)

개인정보 영향평가

(2011년 정보시스템 구축․운용․연계 변경시)

영향평가 고시 부칙 제2조

‘12.9.30까지

<표 -1 > 개인정보보호법상 각종 법적 시행일

<표-1> 에서 보시는 바와 같이  이미 시행이 된 부분이 많고 유예조항이 있는 경우에는 그 시일이 점점 다가 오고 있습니다.

따라서, 개인정보를 취급, 처리하고 있는 기관이나 기업은 위 기간내에 시행이 될 수 있도록 대응책 마련과 준비를 게을리 하지 말아야 겠습니다.  @엔시스.








신고
Posted by 엔시스

오늘은 개인정보보호법과 정보통신망법 사이에서 차이점 중에 중요한 부분이 있어 함께 논의하고자 포스팅 해 봅니다. 그 주요 핵심 사항은 "정기자체감사"에 대한 부분인데요..

                         <그림-1 출처: 전주현개인정보보호따라잡기: http://cafe.naver.com/privacyguide >


위 커뮤니티에서 다니엘초이라는 닉네임을 사용하시는 분께서 의문을 제기해 주셨습니다. 그럼 한번 살펴 보도록 하겠습니다.

주요내용은 "정보통신망법"과 "개인정보보호법"에 있어서 내부관리계획 수립.시행에 대한부분이 있습니다. 그 내용을 살펴보면 위 <그림-1>과 같습니다.

즉,

정보통신망법에는 정기적자체감사에 대한 사항이 명시적으로 나타난 반면에 개인정보보호법에는  정기적 자체감사에 대한 부분이 누락되어 있다는 것입니다.

그럼 무엇이 문제인가?

정기적인 자체감사

내부관리계획은 법에서 명시한 지침/규정의 성격을 띠고 있고 반드시 시행해야하는 법 준거성 법률적 사항입니다. 이러한 내부관리계획에 정기자체 감사가 빠져 있다고 한다면 , 개인정보보호법이 적용되는 모든 공공기관은 정기적인 자체감사를 하지 않아도 법률적 하자가 없다는 것이 되겠지요. 물론 법에 명시가 되어 있지 않아도 정기적인 자체 감사를 시행 한다든지, 할 수도 있겠지만 법이라는 것은 얼마나 잘 지키는가에 대한 기준에 문제임으로 명시적인 사항을 지키지 않았을 경우 처벌할 법적 근거기준이 없다는 논리로 해석이 됩니다.

이러한 측면에서 "정보통신망법"에서 제시하고 있는 정기자체감사 부분이 "개인정보보호법"에는 누락되었다는 것은 일반법과 특별법 사이에서 서로가 뒤 바뀌어진 형세가 됩니다. 즉, 특별법에 누락된 것은 일반법인 개인정보보호법이 적용되는 논리로 개인정보보호에 대한 법 시행이 되고 있는데, 일반법에서 정기자체감사가 누락되는 것은 안될것이며 고시개정이 이루어져야 겠습니다.

혹시 본 포스팅을 보고 계시는 정부관계자분이 있으시면 확인 부탁드리겠습니다. 혹시 잘못 알고 있는 부분이 있다면 해명을 해 주시면 감사하겠습니다.

다시한번 의문을 제기해 주신 다니엘초이님에게 감사의 말씀을 드리면서 법률적 하자나 개정이 필요한 부분은 지속적으로 모니터링하여 개인정보보호에 대한 법 조기정착 및 혼란 방지를 위하여 올 바른 법 시행이 되도록 관심을 가지겠습니다.  의견 있으신 분들은 댓글 환영 합니다.  @엔시스.



신고
Posted by 엔시스

내년도 개인정보보호 예산이 반에 반토막이 났다는 기사가 있어서 몇자 포스팅 해 보고자 합니다.

관련 뉴스 : http://www.itdaily.kr/news/articleView.html?idxno=28398#

 

                                                 <사진출처: http://bit.ly/temZY1>

개인정보보호법 주무부처인 행정안전부의 내년도 개인정보보호 예산이 반에 반 토막 났다. 당초 300억 원 넘게 책정했으나 70억원으로 3분의 2 가까이 대폭 삭감됐다.

그간 정보화 투자에 인색했던 MB정부였지만, 최근 발생한 개인정보유출 등 각종 보안 사고가 사회적으로 크게 이슈화됐던 만큼 개인정보보호 투자만큼은 흡족할 수준이 되리라 기대가 컸다. 그러나 그 결과는 역시나 실망스럽기 그지없다.

그나마도 개인정보보호법이 시행된 것을 감안해 올해 행안부 개인정보보호과의 예산인 46억 보다는 늘었고, 정부의 내년도 IT정보화 예산이 전년대비 20~30% 줄게 된데 비해 늘어난 것으로 전해진다. 예산이 줄지 않은 것만으로도 다행이라고 여겨야 할지 의문이다.  -중략.





1. 자신의 업종이 아직도 개인정보보호법 적용인지 정보통신 망법적용인지도 모르는 수가 태반


필자는 이번에 개인정보보호관련하여 전문 강사단에 위촉이 되면서  지방 공공기관 (주로 경상권) 지역에 교육을 지원 하였습니다. 그런데 여러곳을 다니면서 이야기 듣고, 교육을 하다보면 하나 같이 애로사항들이 공통적으로 있습니다.  그것은 교육 및 홍보를 강화 해 달라는 이야기입니다. 잠시 반짝하는 이벤트성홍보로 하지 말고.

아직도 모르는 곳이 너무 많다고 합니다. 물론 일부 '개인정보보호법'이 시행 된다는 정도의 분위기는 알지만 정작 어떻게 무엇을 해야 하는지..또는 부처 소관의 경우 빠른 지침과 시행 방침을 내려 보내 주어야 움직일 수 있다는 호소였습니다.  처음에는 나름 준비하면 되지라고 생각을 했지만 공공의 업무라는게 개인의 의지만 가지고 되는 것은 아니라는 생각을 하였습니다.  그러니 조금은 이해가 갔습니다.

민간의 경우에는 더욱 심각합니다.  자신의 업종이 '개인정보보호법' 적용을 받는지 '정보통신망법' 적용을 받는지 '신용정보보보호법'에 맞는지 조차도 구분하지 못하는 사람들이 많습니다.  왜 그럴까요? 물론 예산 범위내에서 대응책 마련을 고심할 것으로 압니다만 원래 예산이라는 것이 조금은 삭감 될 것을 예상하고 책정하는 경우가 다반사입니다.

하지만, 본격적으로 '개인정보보호법 정착' 이 진행될 2012년도에는 조금 그 상황이 다르다고 봐야 겠습니다.


2. 개인정보보호법 조직정착을 위해서는 추가 예산 편성할수는 없을까?

국가 사업과 예산이라는 것이 동네 구멍가게 사장 노릇 하듯이 맘대로 안되는 것을 잘 알고 있습니다. 하지만 법만 만들어 놓고 , 수 많은 사람들을 범법자로 만들수는 없는 것입니다.  대부분 중소기업, 소상공인들은 이러한 법이 있는 줄도 모르는 경우가 많습니다. 그리고 '개인정보보호법'을 지키라고 겁을 줍니다.

'법을 공개하고 설명서를 공개하였으니 당신네들이 알아서 공부하시오'라고 하면 과연 그들이 스스로 알아서 공부를 하면 얼마나 좋겠습니까만은 현실은 그렇지 못함에 있습니다. 실제 개인정보보호법을 공부하여 연구하다보면 기술과 법.제도를 함께 알아야 하고, 자신이 해당업종에 있으면 또한 특별법의 법률과 시행령,시행규칙까지 이해를 해야 합니다.

한가지 예를들어 보겠습니다. 병.의원에 근무를 하고 있다고 가정을 하겠습니다. 그러면 제일 먼저 개인정보보호법에 적용을 받는지, 정보통신망법에 적용을 받는지를 파악을 해야 합니다. 그리고 '개인정보'의 정의부터 확인을 해야 합니다. 그러면 관련 법에 의하면 "개인정보라 함은 살아있는 개인에 관한 정보로써 ~~~~"  라고 되어 있지요...그런데 병원에 살아서 입원하여 도중에 사망한 환자에 대한 정보는 개인정보보호법에 의하면 보호를 받지 못합니다. 어떻게 처리해야할지를 또 고민해야합니다. 누구한테 딱히 물어볼 곳도 없습니다. 미국과 독일의 개인정보보호법은 '살아있는 개인에 관한 정보'로 한정 지어 놓지 않았습니다. 혹시나 특별법에 관련 조항이 있는지 의료 관련법을 찾아 보아야 합니다. 

과연 이러한 연구를 일반 개인정보 취급자분들이 판단 할수 있을까요?  개인정보보호법은 이미 시행을 하였습니다. 하지만 아직도 준비가 덜한 상태로 암묵적인 유예기간을 두고 있습니다. 국가가 사업을 시행 한다 하더라도 사업비와 예산이 없으면 흉내만 내다가 그만 두게 됩니다. 

결국 '개인정보보호법'은 처음 의도했던 바가 아닌 다른 방향으로 흘러가게 될 것이고, 사람들은 법.제도의 이해부족과 불편함을 호소하게 되면 SNS등을 통한 여론 형성이 되어 이리저리 편법이 생기고, 그러면 법을 다시 제,개정하는 누더기 법이 될 가능성도 있습니다.


3.  전국민 보안마인드 업데이트 비용과 전국중심의 보안으로 예산이 사용되었으면

미국은 사이버(Cyber)를 제4의 영토로 지정을 하였습니다. 제4의 영토를 공격하거나 침략하려고 하면 즉각 대응하겠다는 발표를 한적도 있습니다. 과연 우리나라는 주변 강대국과 지정학적 위치에 있는 '중국' '일본' '북한'으로부터 얼마나 안전하게 대응 할 수 있는지 의구심이 듭니다.  이제는 물리적인 경계위치보다는 사회적 불안이나 민심을 뒤 흔드는 '사회공학적기법' 공격이 난무하게 될 것입니다. 그것은 여러정치적인 상황과 섞여서 무엇인 진짜이고 가짜이며 진심인지를 가려 내기 힘들 것입니다. 특히 지금처럼 쇼셜(Social)네트워크 서비스가 스마트폰과 어우려져 스피드하게 전파되는 상황에서는 말이죠..

이러한 사회적 비용까지 책정을 예산에서 반영해야 할 것이며,  전국민 보안마인드 업데이트를 가져 오게 끔 해야 합니다. 또한 서울과 수도권 집중적인 예산 투입보다는 2012년도에는 수평화 할 수 있는 지방과 지역 (local)에 대한 보안에 대한 인식제고 향상에도 힘을 쏟아야 합니다.   보안이라는 것은 유능한 사람 혼자만 해서 되는 것도 아니고, 서울 수도권에 한정되어 보호해야만 하는것도 아닙니다. 올해에도 지역에는 제대로된 보안컨퍼런스 행사하나 없었습니다. 혹자는 여러가지 사업과 행사를 진행하려고 해도 규모면에서 지역에서는 호응이 생각보다 없어서 안되다고 이야기 합니다.

일개 개인이 보안커뮤니티를 만들어서 지역활성화와 스터디모임 그리고 각종 SNS을 통하여 긴급 보안 이슈와 트렌드 전파하고 있습니다.. (커뮤니티와 블로그, SNS을 통하여)

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


정보보호에 대한 지식공유를 위하여 발 벗고 나서고 있습니다. 그 이유는 제가 지식이 필요했기 때문이고 그 보안지식을 같이 공유하는 것이 의미있다고 판단했기 때문입니다... 개인도 할 수 있는데, 기관과 정부가 왜 못하겠습니까? 의지만 있으면 10명이 모이든 100명이 모이든 꾸준히 진행해야만 하는 의지 표명이 중요하겠습니다.  최근 개그콘서트의 '비상대책위원회' 코너가 생각이 나네요.. "안돼~~~" " 그러면 결국 되는 것은 어떠한 것도 없다고 생각합니다."


4. 예산이라는 것은 모자라도 안되고 남아도 안되는 국민의 세금


비록, 개인의 블로그에 포스팅하는 힘없는 글이지만 관련기관에서는 분명한 의지를 보여 주었으면 하는 바램을 가져 봅니다. 개인도 그렇고 기업도 그렇고 국가도 마찬가지로 예산이라는 것은 부족하면 부족한대로 문제이고 남아도 남는대로 낭비를 하기 때문에 문제입니다.  예산을 편성하면 의례히 삭감되는 것은 당연한 것으로 받아들이고 삭감 할 것이 아니라 정말 소중한 국민의 세금이 '정보주체의 권리'를 강화하는 '개인정보호보법'의 조기 정착을 위하여 사용하게 끔 잘 편성하고 책정하여 사용 할 수 있도록 하면 좋겠습니다. 

분명한 것은 2012년도 본격적으로 보안 이슈가 더 거세질 전망입니다. 이제는 유선망은 기본이고 다양한 디바이스와 멀티채널을 이용하는 무선랜보안에 대한 이슈, 그리고 스마트폰과 테블릿PC가 봇물을 이루고 사용자 보안으로 공이 넘어갈 것입니다.  보안마인드가 안되어 있는 사용자들의 개인정보유출은 더욱 거세게 될 것이고, 시행중인 개인정보보호법에 논의가 더 활발하게 될 것입니다.

부디 개인정보보호법 조기 정착과 혼란 방지를 위하여 돈이야 많으면 많을수록 좋겠지만 그러한 의미를 조금 내실있게 파악하고, 서포팅 해 주는 것이 예산과 집행기관의 책임을 다하는 정부의 의지 반영일 것입니다. 다른 현안에 묻혀 '개인정보보호법'이 국민을 더욱 불편하게 만들고 옥죄는 법으로 남는 오점을 남겨서는 안될 것입니다. 이제 소중한 자신의 개인의 정보는 스스로 지킬수 있는 개인의 자발적 의지도 분명히 중요한 시점에 도래하였습니다. "개인정보 수집은 하지 않는 것이 최선입니다." "개인정보는 정보주체의 정보이지 조직이나 기업의 자산이 아닙니다."  -엔시스.

공감하시면 추천이나 무한RT해 주시면 더욱 좋겠지요 :)
신고
Posted by 엔시스

사업자를 위한 개인정보 질의 문답 자료입니다.

출처: kisa



신고
Posted by 엔시스

3/29일 어제 행안부 웹사이트와 관보를 통하여 개인정보보호법 공포가 되었습니다. 하나씩 법률적 절차에 따라서 진행이 되고 있는것이지요. 왜 우리가 개인정보보호법에 관심을 가져야 하고, 대응해야 할 자세는 무엇인지 생각해 보겠습니다. -편집자 주


어제 개인정보보호법이 공포가 되었습니다. 이제 6개월이 지나면 실제 시행에 들어가게 되겠습니다. 아직도 많은 분들이 혼란스러워 합니다. 하지만 차분히 개인정보보호법의 입법 취지와 배경을 이해하고 우리가 적극 대처해 나가야 하는것이 올바른 길이라 생각이 듭니다.

개인정보보호법 공포내용   http://bit.ly/hNXddp 


3/30일자 주요 언론매체 기사를 살펴 보겠습니다. 관련 글의 저작권은 해당 매체에 있음을 알려 드립니다.

 



주요 항목

1) CCTV 를 목욕탕이나 탈의실등에 임의로 설치 할 수 없게 되었습니다. 
    ; 실제 공공기관에 설치한 CCTV만 규제를 하였으나 이젠 민간이 설치하는 CCTV도 규제 대상이 되는 경우입니다.

2) 아이핀 의무도입 (공공,민간)
    ; 꼭 아이핀이라고 못 박을 필요는 없겠지만 주민번호 대체수단을 강구해야 합니다.

3) 법의 준용사업자 확대 -> 기존 50만에서 350만 사업자
   ; 준용 사업자분들도 이제는 관심을 가지셔야 합니다..그것이 남에 일이 아님을 아셔야 합니다.

4) 국회,법원,헌법재판소, 의료기관,협회,비영리단체
    ; 기존의 사각지대에 있던 개인정보를 확대 보호하게 됩니다.

5) 단체소송 허용
    ; 개인정보 침해시 단체소송 대상을 권리침해 행위, 중단, 정치 청구소송으로 제한 하여 실시.
      자칫 오해 하기 쉬운 부분이 개인정보에 대한 유,노출에 대한 피해 배상 단체 소송이 아님을 인지하셔야
     합니다.

6) 기타 개인정보위원회와 사무국 구성
     ; 장관급의 개인정보보호위원회가 구성이 되고 사무국이 만들어 집니다.

    
그러면 국민들은 어떻게 대비를 하고 준비를 하여야 할 것인가에 대하여 필자 나름대로 3가지 측면에서 고려하여 대응방안을 제시해 보겠습니다.

  • 개인
    • 우선 개인정보의 주체는 개인정보 자기결정권을 가지고 있는 "개인" 이라는 사실을 우리는 간과해서는 안됩니다. 이제는 법으로 명시가 되어 있고 , 그에 따른 처벌과 원칙이 있기에 자신의 개인정보 침해에 대한 권리를 주장 할 수 있게 되었습니다. 물론, 그정에도 '정보통신 이용촉진 및 정보보호등에 관한 법률'에 명시가 되어 있기는 하지만 조금 더 일반법으로서의 '개인정보보호법'이 가지는 의미가 크다 함으로 조금 더 관심이 증가 될것은 자명한 것입니다.
  • 기업과 CEO
    • 이러한 기업과 단체에서는 CEO의 '보안'에 대한 관심이 제일 우선입니다. 여러가지 개인정보보호 관련 컨설팅이나 정보보호관리체계 인증심사시에 담당자의 애로사항이 바로 의사결정권자의 무관심이거나 업무 우선순위에서 밀리는 것을 이야기 합니다. 기업의 경영자는 이제 보안에 대한 새로운 시각과 마인드 , 비용이 아닌 투자에 개념으로 접근하는 새로운 보안의 시각을 갖추지 않으면 이제 동종업계 타사와 또 다른 경쟁에서 뒤쳐지게 될 것입니다. 또한 보안에 대한 자금이 늘 문제이지만 한꺼번에 많은 투자를 하기보다는 중.장기적으로 한단계씩 진행을 하면서 고도화 하는 사업으로 가져가는 것이 올바른 결정이 될듯합니다.
  • 개인정보보호취급자
    • 가장 애로사항이 많은 업무 담당자라 하겠습니다. 우선 개인정보보호법 제정의 의미와 이해를 위한 노력이 필요하며, 자구책 마련에 최선을 다해야 할 것입니다. 또한 경영자는 개인정보취급자에 대한 배려와 인센티브 그에 따른 보상체계를 자체 마련하지 않는다면 결국 악순환을 반복하게 될 수도 있습니다. 또한 개인정보와 조직내에 구성원등은 많은 협조와 이해가 필요로 하는 부분이기도 합니다. 개인정보의 기술적.관리적 조치에 대한 이해도로 향상을 해야 하겠습니다.

개인정보보호법 시행되면 파파라치 활개 치지 않을까?

법의 준거성 측면에서 법의 준수 여부를 가지는 성질이다보니 앞으로는 개인정보취급방침이나 개인정보 저장 , 열람과 수정권 등 ..각종 여러가지 혼란스러운 부분들이 발생 할 수 있습니다. 이러한 사항들만 골라서 신고하는 파파라치들도 나타나지 않을까 우려가 됩니다.
 
이러한 부분을 최대한 방지하기 위해서는 다양한 보완책을 마련하여  업종별, 산업규모별, 베스트프랙티스를 만들어 인식 전파에 최선의 노력을 다해야 할 것입니다. 불합리한 것이 있으면 개정을 통하여 수정하고 법이라고 해서 반드시 법이 옳다고는 할 수 없습니다. 하지만 대부분 무관심이 불러오는 것은 또 다른 구속으로 다가 올 것입니다.

따라서, 많은 관심과 국가기관과 업계, 그리고 산학협력등에서 조기 정착을 할 수 있도록 다 같이 노력하고 힘써 개인정보보호법제정의 취지와 의미를 꼭 되살려야 하겠습니다.  @엔시스.

개인정보보호법 관련 포스팅

2011/03/09 - [Privacy Security] - [보안칼럼] 개인정보보호법 법사위 통과의 의의와 배경
2011/01/17 - [Privacy Security] - 개인정보 출력, 복사물 관련 보호조치 완화돼~~
2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어


*전주현의 개인정보보호길라잡이 : http://www.privacyguide.co.kr


신고
Posted by 엔시스

그동안 국회에서 표류하고만 있던 개인정보보호법이 오늘자 2011년 3월9일 법제사법위원회 법안2소위를 통과했다. 이로써 법안공포 6개월뒤부터 효력을 발휘하게 되었기에 9월부터는 개인정보보호법 적용이 이루어질 전망이다. 이에 따른 의의와 배경을 알아보자.


그동안 수차례 개인정보보호법에 제정에 대한 요구가 있었으나 여러가지 현안과 사건사고로 인하여 통과를 하지 못하고 오늘 법안2소위를 통과 하게 되었다.

개인정보보호법 관련 포스팅

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2008/08/12 - [Privacy Security] - 개인정보보호법 제정 법률안 입법예고 -행정안전부
2008/04/30 - [Security Policy] - 개인정보보호법 연내 제정
2006/05/12 - [Privacy Security] - 개인정보보호法 시행 1년 일 기업은 지금


1. 이제는 더 이상 미룰수 없는 시대적 요구사항반영

개인정보보호법 제정에 의미는 시대적 요구사항이고 더 이상 미룰수 없는 현안 사항이기도 하였다. 또한 아래 포스팅 한바와 같이 이번 3.4 DDoS 공격이 또 한번 적절한 타이밍 역할을 한것이 아닌가 하는 필자의 추측도 든다.

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야

포스팅에서도 밝혔지만 이제는 더 이상 개인정보 사각지대를 둘수 없고 공공과 민간을 아우룰수 있는 개인정보보호법을 통하여 국민의 일반법으로서 개인의 소중한 정보를 보호해야 하는것이다. 중국 검색 포털에서 대한민국 주민번호가 그대로 노출이되고 금전적 거래를 하고 과도한 개인정보 수집으로 인한 유출의 피해는 고스란히 각 개인으로 또 다시 돌아오는데 제도권에서 가만히 있는다는 것은 아마도 통과되지 못했을 경우에 부담도 작용이 되었을 것이다.


2. 개인정보보호법 규제라는 성격보다는 개인정보를 보호해야 한다는 진흥의 관점으로 봐야

우선 법이라고 하면 규제의 성격이 강하다. 이것은 이래서 안되고, 저것은 저래서 안되고, 무조건 안되는 법적 규제의 성격으로 접근하기 보다는 개인정보의 소중함을 일깨우는 진흥의 개념으로 접근을 해야 한다. 무조건 배척하기보다는 오히려 법적준거성을 지킴으로 인하여 그외적인 부분에 있어서는 오히려 더 자유로울수 있지 않을까 하는 생각도 든다. 지금까지 처벌한 규정조차 없고, 근거 규정이 없어 불기소처분이되고 특히 오프라인 사각지대에 있는 수많은 업체들도 있었던게 사실이다. 우선은 그렇게 출발을 한다는 시점에서 환영 할만하다.

그렇다고 무조건 반길것만은 아니다. 법이라는 것이 해석상에 있어서 애매함이 있고, 대부분 법학자가 아니고, 또한 유권해석을 내림에 있어 애로 사항들이 있다.

또한, 법이 제정만 되었지, 각 부처별로 다양한 분야에 대통령령이나 시행,지침과 같은 세부안을 마련을 해야 하고 우선적으로 많은 관련 업체의 혼란을 방지를 해야 할 것이다.


3. 관련부처의 노력과 향후 대응 방안 마련

이렇게 개인정보보호법이 통과 되는것에는 그동안 여러 관련 부처에서 마음 고생 많이 했을것이다. 그리고 각종 준비도 많이 했지만 여러가지 이해관계에 걸려 보안에 관심 있는 한 사람으로서 많이 안타까움을 느꼈다. 그런 보이지 않는 부분에서 고생하신 분들에게 박수를 보내드리고 싶고, 이제는 국민들이 혼란 스럽지 않게 보다 체계적이고 활성화와 마찰이 생기지 않도록 준비에 만전을 기해야 할 것이다.

작년에 개인정보보호관련 강의와 pims 인증심사 교육, 그리고 다양하게 주변에서 개인정보보호에 대한 인식에 대하여 여러가지 의견을 청취할 기회가 있었는데 그분들이 요구하는 몇가지 주요 사안을 언급하고자 하니 관계자 분들은 참고 하시여 정책 수립과 운영에 도움이 되었으면 한다.

 

  • 개인정보보호법에 대한 이해력 부재 - 법의 유권해석과 준거성 문제
  • 개인정보보호에 대한 기술적 관리적 보호조치의 구체적 사례 - 모범사례 필요
  • 개인정보보호에 대한 범위문제 - 어디서 어디까지 보호 해야하는지를 잘 모르는 문제
  • 개별법에서 일반법으로 통합시 - 다시 개별법의 요구가 있을터, 준비마련 부재.
  • 개인정보보호 인식 부재 - 관련 업계와 담당자만 관심이 있지 나머지는 인식부재로 인한 협력 호소
  • 개인정보의 라이프 사이클 이해 부족
  • 개인정보 영향평가 확대 - 교육 필요
  • 개인정보보호 담당자의 처우 문제 - 업무 과중으로 인한 담당자 기피 현상 (인센티브 확대 -중요한 문제)
  • 개인정보보호법 시행후 파파라치 생길 우려성 제기
  • 중소비지니스 영세업체 어떻게 대처해야 하는가? 등등

 

마무리

아무튼 , 이제 주사위는 던져졌고, 지난번 국내 최대 보안커뮤니티 보안인닷컴(http://www.boanin.com) 에서 어떤분은 개인정보보호법 제정에 따른 불만을 표출하고 이의를 제기하기도 하는 모습을 보았다. 하지만 시대의 요구를 거스를수는 없고, 그동안 개인정보 유출에 따른 여러가지 부작용과 국익으로 생각해 본다면 지금이라도 표류하지 않고 통과된것이 어쩌면 다행일지도 모른다. 2011년 앞으로 많은 변화가 예상되는 만큼 각 조직과 기업에 보안담당자, 개인정보보호담당자, 처리자, 취급자는 조금 더 개인의 업무에 있어서 스킬업을 시켜야 할 것이고, 일반 국민이나 관련이 없는 사람도 많은 것에 협조와 이해를 해 주어야 올바른 초기 시행에 혼란을 주지 않을 것이다.  대한민국이 정보보호 후진국이라는 소리를 듣지 않고 글로벌 시대에 앞서 가려면 그만큼 많은 이해와 노력이 필요로 하는 법 제정임에는 틀림이 없다. 개인정보보호법 제정으로 인하여 국민의 보안인식제고와 마인드가 한층 더 업그레이드가 되는 계기가 되길 기대해 본다.  @엔시스.





신고
Posted by 엔시스

개인정보보호법 제정의 통과(3/9, 3/11) 여부에 귀추가 주목되고 있는 가운데, 3.3 디도스 공격을 또 받아서 정부의 보안에 대한 인식을 일깨워 놓고 있다. 개인정보보호법과 DDoS 재 공격의 교훈을 한번 살펴 보자.


법적인 사각지대를 해소하려면 강제적 법적규제 마련되어야

자발적인 실행이나 실천이 이루어지지 않을시에는 강제적 규제를 강화하는 것이 국익을 위하여 바람직하다면 택해야 하는 것이다. 개인정보보법이 국회에서 잠자고 있는 사이에 국가 주요사이트가 디도스 공격에 일시 접속이 지연되는 사태가 재발이 되었다. 디도스 공격은 언제든지 재발 가능성이 있고, 우선 웹서버에 접속을 못하게 함으로 인하여 보안의 3요소중 가용성을 떨어뜨리는 아주 대표적인 공격방법이다.

이러한 가운데에서 지난 7.7 DDoS공격으로 인하여 장비를 구매해야 한다고 긴급 예산 200억을 편성하여 장비 구매에만 신경을 쓰게 되었지만 또 다시 디도스 공격에 당할수 밖에 없었다.

2009/07/15 - [Security Skill&Trend] - 7.7 DDoS 마스터 서버 및 좀비PC 갯수
2009/07/19 - [Lecture&Comlumn] - [칼럼-88] 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
2009/07/19 - [Lecture&Comlumn] - [칼럼-89] 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS
2009/07/20 - [Lecture&Comlumn] - [칼럼-90] 7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


혹자는 보안에 대하여 조금이라도 알고 있으면 디도스 공격을 방어하기란 그리 말처럼 쉽지 않다는 사실을 알게 된다,.이러한 한꺼번에 많은 트래픽이나 요즘은 적은 트래픽이라도 리소스 고갈을 시키키위하여 지속적으로 보내어 결국 서버에서 다운이 되는 CC 공격등..쉽게 방어 할 수있는 문제는 아니다.

지난 디도스 BMT를 해 보았을때에도 디도스 장비만 있다고 해서 모든 디도스를 막을 수 있다는 것은 오해일수도 있다. 여러가지 서비스를 잘 유지할 수 있는 다양한 장비를 구비하고 방어를 해야만 가능하기 때문이다.

2009/04/02 - [Security Solution] - DDoS 공격 억제 솔루션, BMT중에 있습니다.


이러한 디도스에 동원되는 좀비PC는 어떠한 형태로 감염이 되었는지 모른다. 일부 DDoS에 동원이 되었다고는 하지만 자신이 가지고 있는 개인정보가 유출이 되었는지 않되었는지도 파악이 되지 않는 것이다. 그런 측면에서 볼때 DDoS를 피해를 줄이고자하는 것은 공격을 받아 방어를 위한 장비를 증대 하는것 보다는 그 원천적인 근원을 캐서 수정하고 고치는 것이 바람직 한 것이라 생각을 한다.


이번 DDoS 공격이 어쩌면 개인정보보호법 제정에 불씨를 지필지도

3월에 개인정보보호법 통과를 앞두고 관련 업계 및 기관과 정부에서 귀추가 주목되고 있다. 아직도 보안에 대한 위험의 인식을 느끼지 못한다면 도대체 몇번이나 더 당해야만 알수 있는가의 의구심을 품을 수도 있다. 어쩌면 이번 DDoS 공격은 법제정을 위한 적절한 시기에 타이밍을 맞춘거 같기도 하다는 느낌이 든다. 이번에도 법이 그대로 표류 할 수 밖에 없다고 한다면 결국 대한민국의 보안은 후진국수준에 머물러 있을 수 밖에 없다. 또한 그동안 관련 기관과 업계에서 준비했던 부분이 모두 허사로 돌아가게 되고, 앞으로 개인정보 유출로 인한 제2, 제3의 피해가 나타날 것이고, 이것은 보이스피싱과 SNS와 결합하여 점점 더 사람중심이 아닌 사이버중심의 세계로 빠져들어 더 이상 개인의 사생활 보호가 어려워 질 것이다. 그렇다고 해서 인터넷을 사용하지 않을 수도 없는 노릇이 아닌가? 엑티브 엑스 그렇고 욕을 하고도 인터넷뱅킹 사용하려니 사용할 수밖에 없지 않는가? 이제는 더 이상 디도스공격이나 개인정보유출로 인하여 같은 이야기를 반복하게 만들면 안될 것이다.



일부 언론에는 지난번 대응에 대한 학습때문에 그나마 미미한 수준에 머물렀다고는 하지만 이제 디도스에 대한 공격 트래픽은 이미 수백기가를 넘어서 공격하고 있고, 또 다양한 기술로 공격해 오고 있기에 언제어떻게 국가 기간망이나 전산망이 공격을 받을지 모른다. 부디 영화 다이하드4의 재현이 현실로 나타나지 않기를 바랄뿐이다.  @엔시스.

신고
Posted by 엔시스

행안부는 오늘 국내 35만 준용사업자를 대상으로 개인정보보호에 대한 기준 고시를 발표 하였다. 여기서 말한 준용사업자란
 [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 제67조에 따라 정보통신 서비스 제공자 외의 자에 대한 준용 사업자를 말한다.  대표적인 업종으로는 백화점,호텔,정유소,서점,등등.. 24개업종 35만 준용사업자 대상입니다.
아래 포스팅 참조 하세요

2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어

이러한 준용 사업자 대상으로 하여 행정안전부에서는 개인정보보호 기준 고시를 발표 하였습니다. 따라서 자영업자나 사업자중에서 35만 준용사업자에서는 개인정보보호에 대한 고시기준을 따라야 합니다.

고시된 개인정보 보호조치 기준을 위반 할 경우 관계법에 따라 최고 3천만원의 과태로 부과와 이 기준을 준수하지 않아 이용자의 개인정보를 분실.도난.유출.변경 한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금이 부과 될수 있습니다.


행정안전부가 발표한 고시 내용에는 모두 13조의 조항이 있으나 목적,정의,적용 범위를 제외한 10개 항목을 제시 하고 있습니다.

준용사업자 분들은 고시에 우선적용 대상자가 됨으로 인하여 고시내용을 꼼꼼히 살펴 볼 필요가 있겠습니다. 또한 이러한 조치를 취하지 않았을 경우 개인정보보호 보호조치 위반만 신고하는 파파라치가 생기지 않을까 하는 생각이 듭니다. 법의 준거성 측면에서 법이 가지는 효력이 있으니 스스로 잘 준비 하셔야 겠습니다. 이에 따른 관련 기관에 홍보나 교육이 이어질 것으로 예상이 됩니다만 스스로 관심을 갖지 않으면 불이익을 당할 수 있으니 평소 관심을 가져 주셔야 겠습니다.

이 고시 기준은 발표 한 날로부터 바로 시행에 들어갑니다.  개인정보보호조치가 미흡한 사업장이나 사업자에 대해서는 바로 계획을 세우셔야 겠습니다. 그리고 실천하셔야 합니다. 그동안 정보통신망법 기준과 개인정보보호법 기술적.관리적 봏보호조치에 충실히 따랐다면 그다지 부담이 되지 않겠지만 그렇지 않는 사업자는 조금 부담으로 다가 올수 있겠습니다. 
 내년2011년에는 개인정보보호 강화를 의지를 표명한 관련 기관에 의지도 있기에 빨리 서둘러야 할 것입니다.  @엔시스.

*여기서 잠깐

이러한 개인정보보호에 대한 보호조치사항에 대한 부분은 규제적인 측면이 아니라 그 동안 개인정보보호에 대한 보호조치가 너무나 미흡이 되었고, 개인정보에 대한 근거 마련이 제도적으로 미약했던게 사실입니다. 이에 대한 제도적 보완 조치사항에 하나이고, 개인정보의 주체는 사업자가 주체가 아니라 개인정보를 제공한 개인임으로 개인정보보호를 철저히 해야 하고 이미 글로벌 시대에 살고 있는 미국이나 일본 유럽, OECD 국가에서도 이러한 보호조치 등이 강화 되고 있습니다.

그동안 개인정보사각지대가 많았고 이로 인한 개인정보 유출등이 일어났을때 제도적 미흡한 점이 있었기에 추가 보완적인 측면이기에 올바른 법이나 제도 운영에 대한 이해가 필요로 하고 이를 이해 한다면 비즈니스적인 관점에서 고객에게 신뢰감을 주고 개인정보를 취급하는 사업자로서 이미지제고로 볼때 꼭 필요한 조치라 생각이 듭니다. 도움 되셨으면 좋겠습니다.

* 참고로 준용사업자 대상 개인정보보호 조치고시 기준안을 첨부파일로 첨부해 놓았으니 참고 하세요.  


신고
Posted by 엔시스

개인정보관계상 일부만 오픈합니다.



개인정보보호법 제정을 앞두고 많은 분들이 개인정보보호법과 시행에 관심을 두고 있는 가운데 PIMS(개인정보보호관리체계) 인증심사원에 위촉이 되었습니다.

보안은 관심에서 시작이 된다라고 생각합니다. PIMS 교육 받기까지 약간의 우여곡절이 있었지만 무엇보다 중요한 것은 위촉이 아니라 실질적인 행동과 인식제고에 기여를 하여야 한다고 생각을 합니다.

저는 다음과 같이 3년동안 활동할 계획입니다.

 

  • PIMS 인증심사원으로서 자질함양과 지식축적에 심혈을 기울일 예정입니다. 무엇보다 중요한 핵심 키워드 중에 하나입니다.
  • PIMS 에 대한 전반적인 이해를 하고 PIMS 제도 확산에 기여를 하겠습니다. 그 가운데 제가 할 수 있는 것은 블로그를 통하여 연구하고 학습한 내용을 다른 분들과 공유하는 것입니다.
  • 개인정보보호법에 대하여 보다 많은 이해와 그것을 필요로 하는 분들에게 조금 더 쉽게 다가 갈수 있도록 이해의 폭을 넓혀 많은 실증 사례를 연구 해 볼 예정입니다.
  • 산업별 사례 연구를 해 볼 생각입니다.


ISMS와 PIMS - 국내 관리적 보안의 중심

국내에서 시행되는 관리적 보안에 대표적인 사례는 ISMS(정보보호관리체계)와 향후 시행이 될 PIMS가 있습니다. 이러한 관리체계를 공부하고 연구하고 프레임워크를 만들어 본다는 것은 과거에 주먹구구식에 지나지 않았던 보안을 조금 더 체계적인 관리를 통하여 기업과 조직에 한단계 업그레이드 시키는 일입니다. 그러한 점에서 스스로 많은 노력을 하려고 합니다.

  • ISMS : 자산이 우리 조직과 우리기업의 것으로, 자산의 가치를 산정하여 보안 위험으로부터 보호 하려는   데 목적이 있습니다. 잘 체계적으로 관리하고 보호조치 함으로 인하여 우리 기업에 신뢰와 이미지 향상에 도움이 됩니다.
  • PIMS : 개인정보는 정보주체의 '개인정보자기결정권'의 하나로 기업이나 서비스 사업자가 고객의 정보를 동의를 얻어 수집하여 이용,저장,제공,파기의 단계를 거쳐 (생명주기) 어떻게 하면 효율적이고 보호조치를 잘 할수 있을 건지에 대한 방어적 조치 개념이라 본다면 그 출발 사상부터 틀리기에 둘 모두를 경험 할 수 있는 좋은 기회인듯 합니다.

 
개인정보보호법과 기타 관리적 보안제도 정착을 위해선

법과 제도 정착을 위해선 관련 기관과 정부, 그리고 무엇보다 일반 국민들의 관심과 지지가 있어야 하며 이러한 법률과 제도는 규제의 대상이 아닌, 정보주체로서 개인정보를 보호 하고 과거의 개인정보 유출로 인한 경제적 , 정신적 피해를 막고자 함이며, 또한 공공과 민간을 아우르는 일반법으로서 많은 관심을 가져야 합니다. 국민의 각자  소중한 개인정보를 지키는 자신의 법이라 생각하고 한번쯤 귀기울일때가 아닌가 생각해 봅니다. 더욱 열심히 노력하겠습니다.  @엔시스.

신고
Posted by 엔시스

행정안전부와 정보화진흥원에서 진행하는 공공기관 개인정보보호 교육을 진행하는데 지인의 요청으로 수락을 했습니다.
그냥 몇명 있는 곳에서 간단하게 한다고 생각해서 갔는데 , 무려 450명이나 모였습니다. 지금까지 강연한 중에 가장 많은 수가 아닌가 생각을 합니다.

3명-5명에서부터 450명까지 ..역시 살짝(?) 긴장이 되기 되더군요. 그런데 강연장이 크니까 그렇게 많아 보이지 않았습니다. 역시 법률관련된 교육이라 조금은 분위기가 차분했고, 50분간 쉼없이 달려갔습니다.

무엇보다 교육시 주의 할것은 시간조절인데요..시계가 벽에 있어서 아주 잘 할수 있었습니다.





시작전에 살짝 인증샷 올려 봅니다..몇분은 와 계셨는데 양쪽 사이드와 가운데 자리까지 꽉찼으니 많은 분들이 개인정보보호에 얼마나 많은 관심을 가지고 있는지 그열기를 알게 되었습니다.

늘 교육을 하고 나면 아쉽기만 합니다. 시간이 넉넉히 주어지면 정말 하고 싶은 이야기를 하면 좋겠는데 주어진 시간내에 하다보니 늘 정제된 느낌이 있네요..청중과 호흡을 해야 하지만 이러한 법률적 제도적 교육은 일방향인듯 합니다.  추후에는 조금 호흡할수 있는 그런 교육이 되었으면 좋겠습니다.  조금은 엔터테인먼트적인 요소가 있어야 하는데 그것도 분위기 보면서 해야 하기에...

앞으로 개인정보보호 제정으로 변화가 많을 것으로 생각을 하고 필자도 이에 발 맞추어 노력 해야 겠습니다. @엔시스.

신고
Posted by 엔시스

지방에 보안에 관련 세미나나 교육이 그다지 많지 않은데 이번에 부산에서 '개인정보보호법에 대한 권역별 순회 교육'이 부산 국제신문 4층 중강당에서 개최가 되었다.

지방에서 교육이라 주최측에서는 인원이 적을까 많은 고민을 했다는 후문이 있었지만 그것은 기우에 지났고 무려 180여분정도 참석을 하여 교육장에 추가로 자리를 배치하는 등 '개인정보보호'에 뜨거운 관심이 있는 것을 알수 있었다.



행사의 진행은 첫번째 교육으로 포털 다음에 이진화 차장이 개인정보보호에 대한 전반적인 사항을 아주 유익하게 교육을 진행 하였다. 특히 개인정보 라이프 사이클 부분에서는 개인의 경험을 살려 교육이 지루하지 않게 이끌어 주었고, 교육생 반응을 살피면서 이끌어 가는 모습도 보기 좋았다.

행사가 끝나자 여러가지 질문들이 오고 갔는데 실제 실무에서 질문 할수 있는 질문들이어서 다른 사람들에게도 많은 도움이 되는 시간이 되었다,

이에 행사를 진행하는 한국인터넷진흥원 김민섭책임은 "너무 많이 와 주셔서 감사하고, 앞으로 더 많이 준비하고 노력하여 개인정보보호법 인식제고에 최선을 다하겠다"는 감사의 말씀과 질문답변을 성실히 해 주는 모습도 있어 더 많은 개인정보보호에 대한 뜨거운 관심을 보게 되었다.

오늘은 이제 제주 지역을 순회교육을 하게 되는데 아직까지 공포가 되지 않은 개인정보보호법에 대하여 일찍이 많은 분들이 관심을 가지고 있고, 또한 준비를 해야하는 입장에서는 부담으로 작용할 순 있지만 이러한 교육을 통하여 법률이 규제라는 측면 보다는 어떠한 배경으로 제정이 되었고, 향후 어떻게 대응을 하며, 지금까지 진행 상황을 이야기 함으로 인하여 지방에서 교육에 기회가 없었던 분들은 아주 유익한 자리가 아니었는가 하는 생각을 가져본다.

실제 지방에서 있는 교육이라 관련 IT관련언론이나 하다 못해 지방언론 조차도 이런 중요한 보안교육에 대하여 취재조차 하지 않는 것은 정말 아쉬운 것중에 하나이다. 아마도 추후 주최측에서 보낸 보도자료를 통하여 접할수 있는 것은 진정한 소식이 아닌듯 하다. 현장을 직접 방문하여 그 분위기와 보도자료는 차원이 다른 것이다.  이러한 것을 해당 분야 전문블로거를 통하여 소식을 듣고 그나마 분위기를 느낄수 있는 것이 바로 블로그의 매력이 아닌가 생각을 해 본다.

앞으로 발빠른 취재와 아주 따끈따끈한 소식은 언론보다 트위터 , 페이스북, 블로거들이 더욱 빠르게 전달하고 진화 할것으로 생각을 한다.  -부산에서 보안블로거 엔시스



신고
Posted by 엔시스

개인정보보호관리체계(PIMS) 인증심사원으로 위촉이 되었습니다. 




앞으로 개인정보보호에 대한 다양한 사례를 접하게 될 듯 하고 그러한 지식은 제 블로그를 방문하시는 분들과 개인정보보호의 지식을 함께 공유하도록 하겠습니다...^^;;

어제에도 잠시 모임이 있어 그 곳에서 관련 내용을 이야기 했더니 정말 아무도 잘 모르더라는 생각이 들었습니다. 아마도 관련기관과 개인정보보호관리체계 인증심사원 분들이 많은 교육과 지도
정보를 공유하여 널리 퍼질수 있도록 노력을 해야 겠습니다.

사실,저도 해보니까 그리 만만한 일은 아니라는 생각이 듭니다.
앞으로 더 노력 하도록 하겠습니다.

전주현 올림.



신고
Posted by 엔시스


지난 10월6일부터 8일까지 PIMS(개인정보보호관리체계: 이하 PIMS) 인증 심사원 교육이 서울 강남 AKIS 교육장에서 있었습니다.

PIMS 관련해서는 첫번째 교육으로 관련 노하우와 경험이 많으신 분들이 참석 하셔서 향후 개인정보보호관리체계에 대한 전망은 밝을 것이라는 생각이 들었습니다.

인증심사 교육프랭카드

 

특히 이번 교육은 '개인정보보호법' 통과로 인한 다양한 분야에 계신분들의 관심을 가지고 있고, 향후 이러한 개인정보보호관련체계를 인증 심사를 하는 심사원 양성이라는 측면에서  수업을 허투르 들을수 없었고, 관련 교육생분들도 한분도 졸거나 잡담하는 모습이 없이 진진하게 교육에 임하는 태도에서 이번 교육에 중요성을 인지 할수 있었습니다.

비록, 지방에서 올라가 잠자리와 식사가 편하지는 못하였지만 오랜만에 받는 교육이라 지적 충만감은 밤 늦게 내려오는 KTX안에서도 피곤함을 잊게 하였습니다. (교육생 가운데 유일한 지방에서 올라간 사람 T.T..) 이젠 대전에서도 출퇴근 하시더군요. 부산에서도 출퇴근 하는 날이 올까요?

1차2차로 나누어진 인증심사 양성 교육에서 차후 PIMS 관련하여 인증심사를 맞이 하게 될텐데 각자 교육후 자신의 역량에 매진하여 인증심사원으로서 자질과 품위를 유지하는데에 노력할 필요가 있으며 모자란 학습은 반드시 다시 숙지하여 궁금증이 많은 개인정보보호 담당자분들로 하여금 많은 질의와 궁금증을 해소시켜야 할 의무가 있을 것입니다.

기존에 ISMS는 IT관련 기업이나 원격대학에서 많은 관심을 갖었다면 PIMS는 제조,유통,의료,공공등 다양한 분야에 계신분들이 관심을 가지리라 생각을 합니다.

혹시 조금 더 자세한 내용을 원하시는 분들은 아래 링크를 참고 바랍니다.

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향

1) 개인정보보호에 대한 법 및  제도 운영 특징 

가) 개인정보보호의 특징

   - 무엇이든 그렇듯이 법과 제도 운영에 있어 가장 기본이 되는 것은 바로 '법의 해석' 입니다. 특히 유권해석이 필요한 부분은 다양한 경험을 통하고, 관련 전문가에 자문을 받아 케이스 바이 케이스를 학습하는 것이 좋겠고, 관련 법 조항이나 시행령, 규칙, 조례,지침, 고시등은 반드시 살펴 봐야 하는 부분들입니다.

- 따라서, 점검해야 할 사항과 법 해석에 있어 논란에 여지가 있는 부분들은 구체적이고 명확한 법적 근거제시가 중요하며 많은 학습이 필요하다는 생각이 들었습니다.

- 개인정보보호 생명주기 (Life cycle) : 개인정보보호도 사람과 마찬가지로 하나의 공통된 사이클이 형성이 되는데 이것을 개인정보보호 생명주기라 합니다. 사람은 태어나지만 개인정보는 수집단계를 시작하여 이용,저장, 파기까지의 일련의 사이클로 형성이 되는데 각 주기마다 개인정보에 대한 특성을 이해 하는 것이 중요합니다. 이러한 이해에는 반드시 예외 조항이 있어 예외 조항과 기존의 법리적 해석..그리고 법의 준거성 측면에서 이해 하는것도 중요하겠습니다.


나) 이젠 보안전문가도 법과 제도운영 알아야 프로페션얼

- IT보안전문가 < 법률 전문가

개인정보보호를 한다는 것은 결국 법과 제도 운영에 이해가 많아야 하며 이러한 부분에 있어 법을 전공한 사람이라면 더욱 장점이 있지 않을까 하는 생각도 됩니다. 그 중심에 있는 "정보통신망법"과 "공공기관에 관한 개인정보보호법률"등이 있겠지요. 그 이하 법률->시행령->고시 순으로 되겠지만 아무튼 기술적 보안에 치우친 분들은 법의 용어나 유권해석에 있어 애로사항이 있을수도 있겠습니다. 하루 빨리 적응이 필요 한듯 합니다.

- 법률전문가 < IT보안전문가

이렇게 조금은 법률적 제도적 측면에 기울어진 보안은 법률제도 운영에 노하우가 있는 분이 강점이 있을테고 기술적 보안에 강점이 있는 경우에는 기술적 보안에 이점이 있겠지만 결국 컨버전스 되는게 아닌가 하는 생각이 듭니다.


- 법률 = 기술 같이 할수 있는 전문가

이젠 법전공 하신분이 기술적 보안을 한다든지. 아니면 기술적 보안을 하신 분이 법을 공부한다라고 하면 결국 진정한 보안전문가는 법과 제도를 함께 아우르면서 기술적인 부분을 해결해 나가는 것이 진정한 프로페션얼한 전문가가 아닌가 하는 생각을 해 보았구요.

하나의 조직은 어떠한 정책에서 출발하여 보안도 거버넌스적인 측면에서 비지니스에 영향을 미칠수 있다는 전문가의 설득이야말로 진정한 보안에 중요성을 일깨울수 있는 전문가가 아닌가 생각해 봅니다.

마지막으로 느낀점은 개별법으로 산재되어 있어 법의 사각지대를 메울수 있는 부분은 충족 할수 있겠지만, 너무 다양한 분야를 아우룰려면 때로는 또 전문적인 개별법이 또 필요한 시점이 있지 않을까 하는 생각도 해 보았습니다.

우선은 개별적 이익보다는 개인정보보호의 법의 사각지대를 없애는 공공의 목적이 더 큰 만큼 관련 분야 전문가분들이 힘을 합쳐 규제의 대상이 되는 힘겨운 법이 아니라, 반대로 생각하면 법의 요건만 충족하면 마음대로 비지니스 할수 있는 하나의 기회로 삼을 수 있는 오픈된 마인드가 필요한 시점이 아닌가 생각해 봅니다.

관련기관에서도 제도 운영과 확산에 의지를 피력한 만큼 인증심사원으로서 자긍심과 개인정보보호 인식 확산에 앞장 서야 겠다는 마음을  다시한번 가지는 계기가 되었습니다.  미흡한 힘이지만 더욱 노력하여 전국민 보안인식제고 보안마인드 향상에 앞장 서겠습니다.  @엔시스.

신고
Posted by 엔시스



* 본 포스팅은 2010.09.30 12시55분에 최종업데이트 되었습니다.

 '개인정보보호법' 통과의 의미와 향후 방향 '


이제 무분별한 개인정보보호 수집에 제동이 걸렸다. 오늘 국회 행안위 법안심사소위원회에서 전격 통과가 되었기 때문이다.
 
이날 소위 논의 결과, 개인정보보호위원회는 대통령 소속의 상설기구로 신설하고 심의와 의결기능에 이어 일부 집행기능까지 확보하게 됐다. 위원회 업무지원을 위한 사무국도 설치한다.

당초 집행기능을 행정안전부가 갖도록 했던 것에서 위원회가 자료제출권과 연차보고서 작성, 그리고 부처·지자체·헌법기관을 대상으로 한 시정조치 권고 기능을 맡도록 함으로써 권한이 한층 강화됐다는 평가다. 위원회 위원은 대통령과 국회, 법원이 각 5인씩 추천하게 된다.

막판까지 정부와 야당 간에 대립했던 상임위원은 정무직 1명만 두는 것으로 결정됐다.  

출처: http://www.ddaily.co.kr/news/news_view.php?uid=68634


지난 2008년 모 정유사 개인정보유출 사건시에도 처벌할 근거가 없어 불기소 처분하고 부랴부랴 준용사업자 14개 사업자를 추가 지정하고 지난 2009년 7월에 그 법적 효력이 발생이 되었다.

관련 포스팅

2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어


하지만 그 이후에도 크고 작은 개인정보 유출에 대한 많은 사건들이 이슈화가 되었고, 그때마다 법에 사각지대에 놓이게 되었다. 그렇게 발의된 '개인정보보호법'은 17대 국회에서 통과가 되지 못하고 18대 국회에서 기대를 했으나 여러가지 현안과 정치적 사안으로 인하여 역시 우선순위에 밀리게 되었다.

그렇게 2010년 4월 국회, 6월 국회에서 논의가 되었으나 법안쟁점이 있어 통과가 되지 못하다가 9월 국회에서 전격 통과가 되었다.



그럼 우린 '개인정보보호법'제정 통과를 어떻게 받아 들여야 하나?

지금까지 과도한 개인정보수집으로 인하여 여러가지 사건과 말들이 많았다. 하지만 조금 더 살펴 본다면 이제는 다양한 채널과 유통으로 인하여 자신의 개인정보보호는 더 보호 받아야 하는 기로에 서있다. 또한 '개인정보자기결정권' 이 헌법재판소에서 합헌을 받은 판례가 있는 만큼 자신의 개인정보에 대한 권리를 주장 할수 있는 법적 근거가 더 확실하게 마련이 되었다..그런 의미로 보았을때 조직이나 단체에 있을때에는 소속으로 서비스하지만 각자 가정으로 돌아 오면 각자 '개인의 삶'으로 돌아가기에 개인에 대한 보호도 받아야 하는 긍정적인 측면으로 받아들이는게 좋겠다. 그리고 보다 많은 법의 사각지대가 사라진다고 보아야겠다.



개인정보보호법에 제정이 되면 무엇이 바뀌나..






관련 포스팅

2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점

위 포스팅을 참고 하시고, 어떠한 방향으로 제정이 될지 모르겠지만 이미 지난 2008년 2008년 이혜훈(8월), 변재일의원(10월)과 정부(11월)안을 절충하여 제정이 되지 않을까 생각하지만 그 틀은 크게 바뀌지 않을 것으로 전망을 한다.

그리고 무엇보다 가장 큰 변화는 민간과 공공, 그리고 각 개별법으로 나누어져 있는 법이 통합법인 '개인정보보호법'으로 통합이 된다는 것이다.

따라서, 각 조직에있는 개인정보보호 담당자, 개인정보보호 취급자, 개인정보보호 관리자등은 개인정보보호에 대한 더 많은 업무와 해야 할 일들이 생겨 난 것이다.

그것은 온라인과 오프라인을 모두 망라하여 이루어지는 것이고, 특히 보안에 대하여 잘 알지 못하는 담당자들에 대한 부담은 가중 될것으로 판단이 된다.


앞으로 해결해야 하는것은?


각각의 흩어져있는 개별법을 통합법으로 만드는 것과 '개인정보보호 사각지대'가 사라지는 것에 대한 긍정적인 측면이 있는 반면에 이제 각 조직과 온라인 사업을 하는 개인정보를 수집하는 업체와 기관에서는 상당히 신경을 많이 써야 하는 부분이 발생한다.

이러한 부분을 해소하기 위해서는 다양한 방법으로 여러가지 법과 제도를 운영함에 있어서 불편함이 없도록 해야 할것이다. 필자가 생각하는 것은 다음과 같다.


1) 보안업계

  • 개인정보보호에 대한 테스크 포스를 구성해서 전문 역량을 강화한다.
  • 개인정보보호에 대한 컨설팅 사업을 강화 한다.
  • 기술적,관리적 보안조치로 인한 솔루션 판매 전략을 수립한다.
  • 개인정보보호솔수션에 대한 마케팅, 홍보를 하고 확대 보급한다.
  • 개인정보보호관련 인재 양성 및 인력을 확보한다.
  • 개인정보보호 컨설팅 인력은 개인정보관련 법과제도 운영에 대한 지식을 습득한다.
  • 개인정보보호에 대한 잘 구축된 사례를 발굴 벤치 마킹하여 컨설팅을 한다.
  • 자사만의 개인정보보호 컨설팅 방법론을 마련한다.

 

2) 개인정보보호 관련 기관과 주무부서

  • 개인정보보호에 대한 규제보다는 교육을 통한 개인정보보호의 중요성 확산
  • 이에 따른 주기적인 교육 (지역별 , 산업별, 대중소규모별)
  • 온라인을 통한 각종 개인정보보호 동영상 홍보 활용
  • 개인정보보호 우수 기업이나 사이트에 대해서는 그에 따른 인센티브 적용
  • 개인정보보호관리체계(PIMS) 활용과 확산 및 교육
  • 규제적인 성격보다는 필요성을 위한 교육, 베스트프랙티스 및 사례 발굴
  • 각종 컨퍼런스와 세미나 활발하게 열어 저변과 인식의 확대
  • 서울수도권 중심의 교육및 확산이 아닌 전국중심 개인정보보호 교육 확대
  • 개인정보보호 캠페인
  • 개인정보보호 홍보대사 위촉
  • 각종 커뮤니티등을 활용한 개인정보보호의 중요성 전파
  • 개인정보보호 우수사이트 인증 마크 부여
  • 개인정보보호관리사 자격증 확대 보급 및 인센티브 부여 (전국시험 준비)
  • 각 개인정보 담당자, 취급자,책임자,관리자의 개인정보보호에 대한 대응방안모색

3) 개인정보보호 취급자, 담당자, 관리자, 책임자

  • 개인정보보호에 대한 법과 제도 운영을 이해를 한다.
  • 관련 교육이 있으면 우선적으로 교육을 받는다.
  • 기존 정보통신 이용촉친및 정보보호등에 관한 법률과 공공기관 개인정보보호에 관한 법률을 살펴 본다
  • 기술적,관리적 보호조치에 대한 이해를 한다.
  • 동종업계 개인정보보호 우수사례를 벤치마킹하고 우리 조직에 맞는 방법론을 찾아 본다.
  • 개인정보보호 전문업체 컨설팅을 받는다.




맺음말

소중한 자신에 대한 개인정보를 수집하여 거래가 이루어지고 남에게 돈으로 매매가 되는 것은 정말 안타까운일이다. 법과제도는 규제라는 것으로 접근 하기보다는 조금은 고객의 정보를 소중히 하고 조직과 기업은 그것은 고객의 신뢰로 연결하는 비지니스적 마인드가 필요하다. 필자는 늘 보안에 대한 중요성을 일깨우고 미흡한 힘이지만 블로그,카페,트위터를 통하여 전파를 하고 있다. 그런데도 아직도 보안을 비용으로만 생각하고 기업의 경쟁력이나 고객의 신뢰로 생각하지 않는 경우를 많이 봐 왔다. 좋은 서비스가 있으면 늘 그렇듯이 사람에 관심을 받고 그것이 돈이 된다고 하면 너도 나도 무리하게 참여를 하게 된다. 그러다 보면 좋은 서비스도 역기능이 발생하고 결국 그것은 개인이나 조직의 또다른 보안위협으로 다가온다.

결국은 보안을 얼마나 잘 하는가 하지 못하는가가 기업의 성패를 좌우한다는 것을 미리 깨닭는 개인과 기업이 성공한다는 사실을 꼭 기억하길 바란다.  @엔시스.

* 내용추가로 인한 부득이 재발행을 해 봅니다. 양해바랍니다.

신고
Posted by 엔시스

안녕하세요. 엔시스입니다. 요즘 최고의 시청률을 올리고 있는 "김탁구" (저는 잘 안봅니다만)가 수.목 드라마로 방영이 되고 있는 듯 합니다.  그시간에  엔시스는 [개인정보보호 온라인 총정리] 강좌를 진행 하려고 하고 있습니다. 아프리카 인터넷 방송을 통하여 진행 하려고 하고 있습니다.


일시: 2010.08.26 목요일 오후 10시
장소: 자신의 집이나 사무실, 편안한곳
어디에서:   http://tv.boanin.com 에서 준비하고 있습니다.
 
방송할 내용은 다음과 같습니다.


-. 개인정보보 총정리

            -. 국내,국외 개인정보보호법 현황
            -. 개인정보 라이프 사이클 관리
            -. 이용자 권리
            -. 개인정보보호의 기술적,관리적 보호조치
            -. 개인정보보호관리체계
            -. 기타 공공기관의 개인정보보호에 관한 법률 분석
            -. 정보통신이용촉진및 정보보호등에 관한법률 분석 (개인정보보호만)
            -.기타 문제풀이 및 향후 전망







개인인터넷 방송에 눈을 돌린 이유는 바로 <시간과 장소>에 구애 받지 않는다는 것입니다. 우린 화려한 것 외형의 것을 추구하는 바가 있지만 실제는 "보안"이라는 테마로 한번 엔터테인먼트나 게임,스포츠,음악에서 차별화를 가져 보자는 것이었습니다.

그래서

"보안같지 않은 보안이야기 -보보톡" 이라는 방송명을 만들었고, 지난 3월28일 첫 방송후에 꾸준히 방송을 진행 해오고 6월달에  "보보톡 시즌1" 을 마치고 잠시 휴식기를 거친후 이제 "보보톡 시즌2" 에 돌입하려고 합니다.


그 첫번째 컨셉은 바로  " 편안함" 입니다.

양방향 채널을 통하여 서로 인터렉티브 하게 개인인터넷 방송을 통하여 편안하게 자신의 집에서 "애청자도 편안하게" " 방송하는 사람도 편안하게"  이제는 강의하러 먼곳으로 가지 않아도, 강의 받으러 늦은 시간까지 앉아 있지 않아도 편안하게 보고 들을수 있는 개인인터넷 방송을 통하여 접할수 있다는 것입니다.

가장 핵심은 아마도 방송 퀄리티일 것입니다.  외형에 치중하는 것보다 보다 저렴하고 편안하고 그리고 퀄리티가 높은 지식을 함께 공유하는 채널을 지향 할 것입니다.  그리고  퀄리티는 여러가지 시행착오를 거치면서 올라갈 것으로 생각을 합니다.

특히  개인정보보호에 대해서는 2009년 7월에 정보통신망법에 준용사업자가 22개로 늘어나면서 개인정보 노.유출시에는 법적 처벌을 받을수 있는 법적 근거가 마련이 되었다는 것입니다. 하지만 아직도 준용사업하시는 분들은 법에 대하여 관심 분야가 아니기에 알지 못하고 있습니다. 그것은 지난해 많은 분들을 만나서 알고 있기 때문입니다.

이제는 잘 몰라서, 잘 알지못해서 그랬다는 말은 통하지 않게 되었습니다. 또한 "개인정보보호관리사" 시험을 준비하고 있는 분들도 한번쯤 들어 두시면 좋을 듯 합니다. 추후 호응이 좋으면 조금 더 액티브하게 준비하여 이벤트 형식으로 찾아 뵐수도 있겠네요.

아무튼,  저도 첫 시도하는 것이라 어떨지 모르겠습니다.  관심 있는 분들은 http://cafe.naver.com/nsis/44561 에 절차에 따라 신청해 주시면 되겠습니다.   몇분이 신청을 해 주셨습니다. 감사합니다.  @엔시스.

신고
Posted by 엔시스


개인정보보호에 대한 중요성은 이제 말하지 않아도 많은 사람들이 인지를 하고 있다. 오히려 너무 많은 유출로 인하여 자신의 소중한 개인정보를 가치 없게 여기는 것이 아닌가 생각을 하게 되고, 추후 개인정보를 조금 더 소중하고 제대로 보호하기 위한 문제점과 대책을 한번 살펴 보기로 하였다. -편집자 주


1. 개인정보보호의 중요성

개인정보라 함은 "살아있는 개인에 대한 정보로써 그 사람을 식별할수 있는 문자나, 영상등과 조합하여 나타낼때에도 보호할 필요가 있다" 라는 것이 법률로 명시 하고 있다. 이러한 살아있는 개인에 대한 정보의 중요성에도 불구하고 날로 증가하는 인터넷과 개인정보 수집과 제공으로 인한 관리가 제대로 되고 있지 않아, 이제는 소중한 개인정보가 금전적 가치로 매겨져 불법 유통이 되고 있는 것이다.


2. 왜 개인정보가 중요한 것인가?

대한민국 국민이면 주민등록번호를 태어나면서 부여를 받게된다. 이것은 사망할때까지 사회 생활을 하면서 한 개인의 유일한 식별로 사용되고 있는데 인터넷 사용의 증가로 과도한 개인에 대한 정보를 수집을 하지만 관리를 제대로 하지 않아 유출되는 사고가 나고, 이렇게 과도하게 수집된 개인 정보는 불볍 유통으로 이용이되어 스팸이나 각종 마케팅 그리고 최근에는 메신져 피싱이나 보이스피싱까지 이용되고 있는 실정이다. 이러한 개인정보를 소중하게 다룰 필요가 있는 것이다.


3. 국내에 개인정보보호에 대한 법률

국내에서는 개인정보보호에 대한 법률이 2가지가 있다. 하나는 공공기관을 대상으로 하는 "공공기관의 개인정보보호에 관한법률" 과 민간을 대상을 하는 "정보통신이용촉진 및 정보보호등에 관한 법률" 이 있다. 하지만 여러가지 법률의 사각지대에 있는 업종과 대상자가 많아 법률의 보완이 시급한 실정이다.

국내 개인정보 유출에 대한 사건사고가 많이 일어났으며 모 국내 유명 쇼핌몰과 정유소의 개인정보유출에 대한 사건은 국민들로 하여금 많은 경각심을 주는 사건이기도 하였으나, 결국 후자의 경우에는 처벌할 법적 근거가 없어 불기소 처분이 되었다.
이러한 가운데 2008년 12월 행안부는 기존 "정보통신 이용촉진및 정보보호등에 관한 법률" 에 포함된 준용사업자가 8개에서 14개를 추가한 22개 준용사업자를 추가 하는 법률을 개정하고 2009년 7월부터 시행에 들어갔다.

관련된 내용은 아래 포스팅을 참고 하길 바란다. 
2009/04/20 - [Pravacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어


4.  개인정보호법 제정이 시급해


17대 국회에서 "개인정보보호법"에 대한 여러가지  이슈가 있었고 요구를 했지만 결국 국회를 통과 하지 못하고 바톤은 제18대 국회로 넘어 오게 되었다. 지난 4월에 "개인정보보호법" 통과에 대하여 여러가지 이슈를 제기하고 통과를 요구 하였으나 결국 "개인정보보호감독기구" 에 의견을 좁히지 못하고 임시 국회 6월로 넘어 왔으나 천안함 사태등 여러가지 정치적 이유로 묻여서 다시 10월 국회로 넘어가게 되었다. 이는 지난 3월에 "개인정보보법 통과를 위한 100만인 서명" 운동을 필자가 벌이기도 하였다.

관련 포스팅
2010/03/12 - [Pravacy Security] - '개인정보보법' 조기제정을 위한 100만인 서명운동
2010/04/11 - [Pravacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점



5. 개인정보보호 감독기구는 독립적인 기관이 맡는게

개인정보보호법의 가장 핵심적인 사항중에 하나는 바로 "민간과 공공"을 아우룰수 있는 하나의 법률로 만든다는 것이다. 이러한 부분에 있어서 기존이 개인정보보호법을 관리해 오던 관련부처등은 해당 업무를 독립된 감독기구로 넘김으로 인한 저항이 있는것이다. 하지만 한가지 간과하지 말아야 하는 것 중에 하나는 바로 어떠한 곳에서 개인정보보호에 대한 감독기관이 되어 감독 하더라도 중요한 것은 "개인정보보호"를 잘 해야 하는 것이 목적인 것이다. 어떠한 외압이나 정치적인 색깔보다도 원초적 목적인 "개인정보보호"를 위하여 탄생하여야 한다는 것이다.
 
그렇게 하려면 독립적인 개인정보보호감독기구가 설립이 되는 것이 바람직하다고 생각을 한다. 만약 기존에도 있는 것으로도 잘 할수 있었으면 지금도 잘 되어야 하는데 사실 그렇지 못하고 있는게 현실이다.

그것은 민간은 민간대로 , 공공기관은 공공기관대로 여러가지 대,내외적인 상황에 직면하여 서로 미루고 당기고 하는 여러가지 이유때문에 개인정보보호에 대한 진척이 없는 것이다.


마무리 글

지금도 공공기관, 민간기관에서는 개인정보보호에 대한 중요성을 인지를 하고 , 각 기관에서 개인정보보호에 대한 교육을 시행하고 시험과 자격증 제도도 시행을 하고 있다. 하지만 그냥 형식적으로 시행하는 그런 교육과 페이퍼 자격증이 아닌 공공과 민간에서 정작 자신의 소중한 개인정보를 취급하고 다루듯이 스스로 개인정보 취급자라는 마인드를 가지고 생활을 해야 할 것이다. 각자 본인들도 기관에 근무를 하지만 쇼핑몰이나 웹사이트를 이용할때면 결국 개인의 자격으로 돌아가기 때문에 결국 개인에 대한 문제인 것이다.

이제는 스마트폰이 더욱 보급화되고, 스마트폰에서 악성코드 감염이나 스마트폰 분실로 인한 폰에 개인에의해 수집된 개인정보보호에 대한 중요성도 인지를 해야 할 것이다.

제도 운영과 원칙에는 행정에 대한 규제와 진흥이 함께 이루어져서 더 많은 사람들이 스스로 소중한 개인에 대한 정보를 소중히 다룰수 있게 되고, 얼마 남지 않은 10월 국회에서는 꼭 "개인정보보호법" 통과와 "개인정보보호 독립적 기구" 가 설립이 되어 "개인정보를 보호하는데만 주력을 해 주길 관련부처와 담당자 분들에게 당부드리고 싶다.

* 본 포스팅은 개인정보보호에 대한 각종 법률과 규제 , 그리고 공공기관에서도 어떻게 하면 개인정보보호에 대한 업무를 잘 할수 있도록 할수 있을까를 고민하면서 이런저런 검색하면서 느낀 개인적인 느낌을 포스팅 한 것이다. 혹시 좋은 안건이나 아이디어가 있으면 함께 공유하였으면 합니다. 악플은 정중히 거절 합니다.


* 추가 포스팅

신고
Posted by 엔시스

최근 잇다른 개인정보 유출로 인하여 경각심 보다는 오히려 자주 사건 사고를 접함으로 인하여 오히려 둔감해지는게 아닌가 하는 우렴감을 나타내고 있다.

1. 들어가는 글

지난 17대 국회에 "개인정보보법" 이 국회를 통과하지 못하고 결국 18대 국회로 넘어와 있지만 아직도 국회에서 계류중에 있다. 소중한 개인에 대한 정보의 중요성이 커짐에도 불구하고 이제는 너무 많은 개인정보 수집과 유출로 인하여 결국 자신의 소중한 정보가 아닌 사이버 공간을 떠다니는 공유된 정보가 아닌가 하는 착각마져 들게 된다.

이런 이유로 최근 다시 "개인정보보호법" 에 대한 관심이 집중되고 있는 가운데 올해에는 "개인정보보호관리체게(PIMS) " 시행을 앞두고 있고, 또한 개인정보유출로 인하여 관리적,기술적 보호조치를 다 하지 못했다는 이유로 관리자가 사법처리가 되는 경우도 있었다.

이러한 배경에는 국내 보안커뮤니티 "보안인닷컴" 같은 곳에서
"개인정보보호법 제정을 위한 100만인 서명" 운동을 펼치는등 한 몫을 하고 있다는 이야기도 있다.

이렇듯 무엇인가 정부에서 대책을 제시해야 하는 부분까지 오게 되었는데  "개인정보보호법" 제정으로 인한 현재와 달라지는 점을 살펴 보도록 하자.


2. 개인정보보호법 제정으로 현재와 달라지는 점


우선 본 문서의 출처는 [한국CSO협회] 자료실에서 발췌하였음을 밝힌다. 잠시 한눈에 보기 쉽게 하기 위하여 관련 사항을 그림으로 한번 살펴 보겠다.


[그림-1]개인정보보제정으로 현재와 달라지는 점 -1 출처:한국cso협회



개인정보보호법을 제정해야 하는 가장 큰 목적은 크게 두가지로 볼 수 있다.  그 두가지를 살펴보면
  • 개인정보보호를 근간하고 있는 법적 근거인 법의체계가 민간, 공공으로 나누어져 분야별 개별법으로 적용이 되고 있다는 사실이다. 이를 공공, 민간을 통합규율로 적용하는 데에 목적이 있다.
  • 또 한가지는 이런한 개별법 기준으로 개인정보보호가 적용이 되다보니 법의 사각지대에 있는 곳에서 개인정보가 유출이 되어도 처벌할 법적 근거가 없다. 이는 지난해 개인정보 유출 신고건의 50-60%를 차지하고 있다는 것이다. 그중에 가장 큰 사례는 GS칼텍스 개인정보 유출로 사회적 파장을 일으켰으나 처벌할 법적 근거가 미비하여 결국 불기소 처분 되었다. 이에 정부는 급히 정보통신 망법을 개정하여 제67조에 기존 법적 적용을 받는 준용사업자에서 확대하여 기존 8개 사업자에 적용을 받던 것을 12개 사업자를 추가하여 확대 시행하게 되었다. 관련 포스팅 2009/04/20 - [Pravacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어

자세한 내용은 [그림-1]를 참고 하기 바란다. 혹시 그림이 작게 보이는 분은 클릭을 하면 확대되니 클릭해서 참고 하기바란다.

추가적인 개인정보보호법 제정으로 인하여 달라지는 점을 [그림-2]를 통하여 보도록하자. 이는 [그림-1]에서 이어지는 것이니 같은 맥락으로 살펴보면 되겠다.

[그림-2] 개인정보보호법제정으로 달라지는 점 출처:한국CSO협회 홈페이지


조금은 더 자세한 내용을 알고 싶은 사람은 첨부한 파일을 참고 하면 되겠다. 이에는 [개인정보보호법] 에 대한 정부의 안과 이혜훈 의원안과 변재일 의원안이 비교 설명되어 있으니 많은 참고가 될 것이다.


3. 마무리

개인정보보호와 보안에 대한 중요성은 아무리 강조해도 지나치지 않는다. 개인정보 유출 사건이 일어나고 나면 각 언론이나 신문에서 가장 많이 보는 헤드라인이 바로 "소잃고 외양간 고친다" 라는 표현들을 많이 쓴다. 지금이라도 늦지 않았다. 개인정보보호에 대한 정부차원에서 대응방안이 마련이 되어야 하고, 개인정보가 유출이 되어도 처벌할 근거가 없어 법의 사각지대에 있는 부분을 즉각 제거 하여야 한다.,

또한, 과도한 개인정보 수집을 규제를 하여 사후에 필요시에만 개인정보를 활용하는 법적, 제도적 마련도 해야 한다. 잘 지키지도 못할 개인정보를 과도하게 수집을 하여 결국 유출시에는 많은 피해가 이루어지는 반복적인 사고는 줄여야 겠다. 이는 지난번 유튜브에 대한민국 주민등록번호 수집하는 동영상이 올라온 것도 이를 반증하는 것이다. 그만큼 쓸모가 있기때문에 수집하고 유출이 되는 것이다. 또한 이제는 고정적인 개인정보 보다는 경험에 의한 개인정보를 활용함으로 인하여 그 개인만이 알수 있는 정보로 전환하는 혜안이 필요 할때다. @엔시스.

PS. 덧붙이는 파일은 한국CSO협회 자료실에 게재된 [개인정보보호법제정]에 따라 달라지는점에 대한 자료이다. 본 포스팅은 그 자료를 기반으로 개인적인 생각을 덧붙여 재구성 해 보았다.  의견있으신 분들은 댓글로 의견 나누었으면 합니다.



신고
Posted by 엔시스

올해 극심해진 개인정보 유출로 인해서 사건이흐 개인정보보호법에 개정에 대한 이슈화가 많이 되고있던 중 행정안전부는 개인정보의 유출 및 오ㆍ남용 근절을 통해 안전하고 신뢰받는 정보사회를 구현하기 위해 공공·민간을 포괄하는 ‘개인정보호법’제정(안)을 마련해, 12일 입법 예고했습니다.

주요내용
▲ 주민등록번호 등 개인식별번호의 수집ㆍ이용 제한
▲ CCTV 개인영상정보보호, 개인정보 유출사실의 통지제도
▲ 개인정보분쟁조정위원회 등


개인정보의 실질적 보호와 국민의 사후 권리 구제 강화를 위한 제도적 장치 도입 등입니다. 행정안전부 홈페이지(http://www.mopas.go.kr) → 행정정보 → 법령정보 → 입법예고ㆍ고시에서 확인 가능합니다.


늦었지만 개인정보보호법이 시행이 되어 자신의 개인 정보를 지킬수 있는 근거가 마련이 되었다는데에 대하여 의의를 두겠습니다.



신고
Posted by 엔시스

국가공인 정보보호전문가 자격증 모임  스텝으로 활동하고 있는 엄님의 소스제공으로 SBS에서 방송한 SBS "뉴스추적 -2천만 한국인을 노리는 중국발 사이버테러" 라는 프로그램이 방영이 되었습니다.

사용자 삽입 이미지

정말 이제는 "테러"라는 표현도 맞는 것 같습니다.. 우리나라 2천만명의 개인정보가 털리도록 정부는 무엇을 했는지...참 ..한심스럽습니다.

개인정보보호법 그렇게 만들어야 된다고 이야기 해도 나랏님들 정신 못차리다가 이제 와서 아이핀(i-pin)제도를 의무화 하겠다는 방안과 올해 안으로 개인정보보호법을 제정하겠다는 것을 참 어이가 없습니다.

올해 할꺼 왜 진작 하지 못했을까?  모든 걸 잃어 버리고 하면 무얼 하나 하는 느낌도 들었습니다...

안철수 의장이 귀국 기자회견에서도 밝혔지만

"옥션 해킹 사건은 이미 예견이 되었던 것이다. 미국은 IT 정보의 10%를 보안에 투자 하는데 한국은 1%이다.."  -안철수 의장

"필요한 관리비용을 쓰지 않으니 누구나 예견 할수 있는 일이었다. - 안철수 의장

이런 의미에서 SBS 에서 방영한 뉴스추적 프로그램을 보면 조금 더 얼마나 안전 불감증에 있고 보안의식을 일깨워야 하는지를 알수 있다.

보안에 대한 대책은 무엇보다 담당PD가 프로그램을 만들기 위해 취재 하고난 취재 후기가 엑시스가 될것입니다.  가슴에 와 닿는 내용이 많으니 참고 하시기 바랍니다.

뉴스추척 취재 후기

부디 여러사람들 개인정보 유출되었다고 2-3원내고 소송 참여보다 보안 의식을 깨어 보안에 투자하라..특히 윗에 계신 나랏님들 이제 보안투자 좀 하게끔 정책 수립 좀 하시죠?

신고
Posted by 엔시스

개인정보보호법을 연내 제정한다고 한다., 기존에는 정보보호에 대한 법률이 여러개로 나누어져 있어 여러가지 문제점이 많았다.  그런 가운데 17대 국회에서 개인정보보호법이 계류중에 있었는데  이번에는 연내에 개인정보보호법을 제정 한다고 한다.


사용자 삽입 이미지
                         <출처: 머니투데이 2008.4.30 일자>
         
그 이면에는 옥션, 하나로, 청와대 해킹 건등 일련의 사건 사고들 때문인 것 같다. 이렇게 여론이 들끓고 하나씩 둘씩 터지니까 만들자고 한다.

물론 지금이라도 관련 법을 정비해서 개인 정보보호에 더 많은 노력을 기울이는 것에는 환영 할 만 하다,

이렇게 할 것을 왜 진작 하지 못했나?  꼭 일터지고 나면 해야 하는가? 하는 안타까운 마음이 든다.

신고
Posted by 엔시스