[tek] ciso cpo의 기업내 역할과 책임을...

CISO CPO의 기업내 역할과 책임을 위한 제언

테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]

구 태 언 변호사[email protected]

연사 소개

연사 소개 - 구 태 언 변호사

제34회 사법시험 합격, 사법연수원 제24기 수료

서울중앙지방검찰청 첨단범죄수사부 검사

김앤장법률사무소 변호사 (정보보호·부정조사 팀장)

안전행정부·방송통신위원회·개인정보보호위원회·미래창조과학부·대검찰청디지털수사·특허정보원 영업비밀보호센터 등 자문변호사

금융보안연구원 금융보안거버넌스자문위원회 위원(2014-)

금융감독원 금융감독자문위원회(금융IT분과) 위원(2014-)

2013 개인정보보호대상 수상, 2012 정보보호대상 수상

테크앤로 법률사무소 대표변호사

Santa Clara University Law School (Visiting Scholar)

고려대학교 법과대학 (법학사), 고려대학교 정보보호대학원 (공학석사)

CISO, CPO의 역할과 구분


CISO(Chief Information Security Officer)

• 정보보호 최고책임자

- 기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원

• 전자금융거래법과 정보통신망법에 의한 임명 의무

- 금융회사는 CISO를 반드시 두어야 함

- 총자산 2조 원 이상이면서 종업원 수가 300명 이상인 금융회사는 정보보고최고책임자

(CISO)를 임원으로 임명하여야 함

• 기업의 경영목표를 이루기 위해, 정보기술을 감독하고 전략을 세우는 것이 주임무인 최고정보

관리책임자(CIO)와는 구별


CPO(Chief Privacy Officer)

• 개인정보 관리책임자

- ‘최고정보보호책임자’라고도 함

- 이용자의 개인정보 보호, 개인정보와 관련한 이용자의 고충 처리 업무를 담당

• 개인정보 보호법과 정보통신망법에 의한 임명 의무

- 개인정보 보호법에서는 “개인정보 보호책임자”, 정보통신망법에서는 “개인정보 관리책임

자”로 명명

- 개인정보 보호법상 CPO의 임무는 “개인정보의 처리에 관한 업무를 총괄해서 책임”지는

것(제31조 제1항)

- 정보통신망법상 CPO의 임무는 “이용자의 개인정보를 보호하고 개인정보와 관련한 이용

자의 고충을 처리”하는 것(제27조 제1항)


정보통신망법상 CPO, CISO의 구분

CPO CISO

조항 제27조(제4장 개인정보의 보호)

제45조의3(제6장 정보통신망의 안정성 확보 등)

임명의무부담자

정보통신서비스 제공자등(정보통신서비스 제공자, 그로부터이용자의 개인정보를 제공받은 자)

정보통신서비스 제공자

자격 임원 또는 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의

장(시행령 제13조)

임원급

정식명칭 개인정보 관리책임자 정보보호 최고책임자

주요업무 이용자의 개인정보 보호개인정보 관련 이용자의 고충 처리

정보보호관리체계 수립·관리·운영침해사고의 예방 및 대응중요 정보의 암호화 등


법률에 규정된 CISO의 업무

<개정 정보통신망법 제45조의3>

③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.

1. 정보보호관리체계의 수립 및 관리·운영

2. 정보보호 취약점 분석·평가 및 개선

3. 침해사고의 예방 및 대응

4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등

5. 정보보호 사전 보안성 검토

6. 중요 정보의 암호화 및 보안서버 적합성 검토

7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

• 정보보호 취약점 분석·평가, 침해사고 예방·대응, 정보보호 사전 보안성 검토, 암호화 검토 등

- 기술적 보호조치를 주로 담당



<개정 전자금융거래법 제21조의2>

③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는

제4항의 업무 외의 다른 정보기술부문 업무를 겸직할수 없다. <신설 2014.10.15.>

④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다. <개정 2014.10.15.>

1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립

2. 정보기술부문의 보호

3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성

4. 전자금융거래의 사고 예방 및 조치

5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항

• 금융회사(전자금융업자)의 CISO 임명 의무화(전자금융거래법 제21조의2 제1항)

• CISO의 겸직 금지

- 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자



<전자금융거래법 제21조의2 신∙구조문 대비표>

현행 전자금융거래법[법률제11814호, 2013.5.22.개정]

개정 전자금융거래법[법률제12837호, 2014.10.15.개정]

제21조의2(정보보호최고책임자지정) ①금융회사또는전자금융업자는전자금융업무및그기반이되는정보기술부문보안을총괄하여책임질정보보호최고책임자를지정하여야한다. ②총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자는정보보호최고책임자를임원(「상법」제401조의2제1항제3호에따른자를포함한다)으로지정하여야한다.

제21조의2(정보보호최고책임자지정) ①동일

②동일

③총자산, 종업원수등을감안하여대통령령으로정하는금융회사또는전자금융업자의정보보호최고책임자는제4항의업무외의다른정보기술부문업무를겸직할수없다. <신설 2014.10.15>

부칙제1조(시행일) 이법은공포후 6개월이경과한날부터시행한다. (단서생략)제2조(정보보호최고책임자의겸직금지에관한적용례) 제21조의2제3항의개정규정은 이법시행후선임(재선임되는경우를포함한다)되는정보보호최고책임자부터적용한다.


법률에 규정된 CPO의 업무

<개인정보 보호법 제31조>

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리·감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

• 이용자의 고충처리 업무는 CISO에게 없는 업무

• CISO의 업무가 ‘기술적 보호조치’에 가깝다면, CPO의 업무는 ‘관리적 보호조치’에 가까움

• 정보통신망법 제27조에서는 CPO 지정의무만 부과할 뿐, 구체적 업무 내용은 미규정


각종 법령이 부과하는 관리책임자 임명 의무

개인정보보호법 CPO 임명 의무

신용정보보호법 CCO임명 의무(Chief Credit information Officer)

전자금융거래법 주1) 2) CISO 임명 의무(일정 규모 이상 기업은 임원급 임명 및 겸직 금지)

정보통신망법 CPO, CISO, 청소년보호책임자 임명 의무(일평균이용자 10만명 또는 매출액 10억원 이상)

• 주1) 전자금융거래법상 일정규모 이상 기업의 경우 CISO 겸직 금지는 ‘법적 의무’(단, 이 법 시행 후 선임(재선

임되는 경우를 포함한다)되는 정보보호최고책임자부터 적용)

• 주2) 전자금융거래법상 CISO 겸직 금지 기업의 기준은 “총자산 2조원 이상이면서 종업원 수가 300명 이상”(금

융위 보도자료)

• 앞으로의주요쟁점은 ‘정보보호조직을어떻게구성하고 R&R을

구체화할 것이냐’라고 할 수 있음

CISO, CPO의 운용과 겸직 문제


CISO와 CPO 겸직의 문제

• 개인정보를 수집하는 5인 이상 사업체 중 CPO를 지정한 업체의 비율은 55%

- 그 중 CPO를 전담으로 임명한 업체 비율은 28.7%(KISA, 정보보호실태조사)

- 실제로 30대 기업 중 CPO 직책을 전담한 사람은 거의 없는 것이 현실

- CPO와 CISO를 겸직하는 경우 업무 감시의 효과 저해, 입법 취지 저해 우려

• CPO와 CISO를 분리하는 경우

- IT조직의 같은 안건에 대하여 CISO와 CPO가 각각 결재하는 경우 업무 통일성 저해 우려

- 양자 분리시 업무추진의 어려움 문제


금융권의 CISO, CPO 운영 유형

CISO(Chief Information Security

Officer

CPO(Chief Privacy Officer)

유형 1

유형 2

유형 3

IT조직에 소속되어 IT보안역할 수행 준법감시 등 내부통제조직 소속

IT조직과 별도로 분리되어 전사정보보안역할

IT조직과 별도로 분리되어 전사정보보안역할

준법감시 등 내부통제조직 소속

별도 독립조직 운영(기획, 실행, 모니터링)

• 회사의 업무분배 현황, 정보사고 발생시 대응방안 등을 고려하여 최적의 유형 선택

우리나라 정보보호 법제의 특수성


우리나라 정보보호체계의 특수성

• 우리나라는 법령, 고시에서 보안에 관한 상세한 내용을 법정하고 있고(다음 장표 참조), 주무부

처∙수사기관∙법원 역시 이를 기초로 의무위반 여부를 판단하고 있음

- 보안문제는 IT 문제이자 동시에 Legal Risk Management의 문제

• CISO는 법령에서 요구하는 기술적∙관리적∙물리적 보안조치를 준수하기 위하여

- (1) 법령의 개정 현황

- (2) 주무부처의 정책 동향

- (3) 수사기관의 수사 사례

- (4) 법원의 최근 판결을 종합적으로 분석하여 대응할 수 있는 능력

- (5) CEO의 언어로 CEO를 설득할 수 있는 능력

등이 필요


개인정보보호 관련 법령 및 고시∙지침∙해설서(출처 : 강은성, CISO스토리)

영역공통

금융영역


개인정보보호 관련 법령 및 고시∙지침∙해설서(출처 : 강은성, CISO스토리)

정보통신영역

CISO, CPO 관련 규정에 대한 입법적 제언


개인정보 보호법 주요 처벌 조항 예시

형사처벌

행정처벌

5년 이하 징역 또는 5천만원 이하 벌금

5천만원 이하의 과태료

3천만원 이하의 과태료

동의 없는 목적 외 이용 및 제공

제3자 제공

고유식별번호 수집 이용

민감정보 수집 이용

동의 없는 개인정보 수집

개인정보의 누설 또는 타인 이용 제공

개인정보의 훼손/멸실/변경/위조/유출

14세 미만 개인정보 수집

안전성확보조치 미이행

보호자 동의 없는

양벌규정 적용 : 담당자와 법인은같은 형량


형사처벌 조항

<개인정보 보호법 제71조>

다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인

정보를제3자에게제공한 자 및 그 사정을 알고 개인정보를 제공받은 자

2. 제18조제1항·제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게

제공한자 및 그 사정을알면서도영리또는 부정한목적으로개인정보를제공받은자

3. 제23조를 위반하여 민감정보를처리한 자

4. 제24조제1항을 위반하여 고유식별정보를처리한 자

5. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한

자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자

6. 제59조제3호를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 자• 정보 주체의 동의 없는 개인정보 제3자 제공 등의 경우

- 고의/과실/목적 불문하고 강한 형사처벌

- 독일의 경우, 고의/중과실/경제적 목적 인정되어야 형사처벌

- CISO의 법률적 위험 감소 필요

- 회사 내에서 CISO 직위는 기피 대상


CISO의 자격 기준

<전자금융거래법 시행령 별표1>

가. 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정

보기술(IT)분야업무를수행한경력이 있는 사람

나. 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3

년 이상 정보기술(IT)분야업무를수행한경력이 있는 사람

다. 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기

술(IT)분야업무를수행한경력이 있는 사람

라. 8년이상정보보호분야 업무또는 10년이상정보기술(IT)분야 업무를수행한경력이 있는 사람

등(이하 생략)

• 전자금융거래법상 CISO의 자격 기준은 IT 분야 학위 및 경력 취득 여부에 집중

• 법률, 정책 관련 자격 요건 부재


바람직한 입법 방향

• CPO와 CISO의 관계

- 상하적 관계인지 병렬적 관계인지 법문상 불분명

- 보안 사고 발생시 효율적 리더쉽을 발휘하여 빠른 대응이 필요

• 형사처벌 조항 관련

- 독일의 경우, 고의/중과실/경제적 목적 인정되어야 형사처벌

- 회사 내 CISO 보직은 무덤

- 법률적 위험 감소 필요

• CISO 자격 기준 관련

- IT기술 뿐만 아니라, 법률 및 정책에 대하여도 전문지식이 필요

- 법률, 정책, IT기술을 모두 아우를 수 있는 전문가의 수는 극히 적음

- 국가 공인 자격 제도 등 일정 자격 기준을 마련, 전문가 양성이 필요

감사합니다

테크앤로법률사무소 / 서울 종로구 종로 1 교보생명빌딩 15층 / 전화 02-2010-8840 / 팩스 02-2010-8985 / [email protected]