국내 주요 정보보호 의무제도 살펴보기 ⚡ 정보보호 공시 의무 기업 확정 발표
⚡ 안하무인 AI가 개인정보 함부로 쓴다?
⏰ [KISA] 상반기 민간분야 사이버위기대응 모의훈련 안내
|
정보보호 공시 의무 기업 확정 발표
국내 주요 정보보호 의무제도 살펴보기
지난 14일, 과학기술정보통신부는 정보보호 투자 활성화와 이용자 보호를 위해 정보보호 투자/인력 등 현황을 의무적으로 공시해야 하는 [정보보호 공시 의무 기업]을 확정 발표했어요.
정보보호 공시제도?
[정보보호 공시제도]는 소비자/고객/국민/주주 및 기업 관계자 등 이용자에게 기업 스스로 정보보호 정보(투자, 전문인력, 인증, 이용자 정보보호 활동내역 등)를 공개해 객관적인 기업 선택의 기준을 제시하고, 기업은 정보보호를 기업 경영의 중요 요소로 포함하여 역량 강화 및 투자를 유도하는 제도에요. 지난 2015년 12월부터 시행되고 있었지만, 지금까지는 강제성이 없는 자율제도이다 보니 참여율이 저조했어요.
이제는 의무가 된거야?
지난 12월 정보보호산업법 시행령이 개정되면서, 자율제도였던 '정보보호 공시'를 의무화하도록 규정했어요. 정보보호 공시 의무기업에는 대/중견 이상 상장회사, 주요 정보통신 설비를 갖춘 통신사, 클라우드 서비스 제공자, 이용자 수가 많아 정보보호 필요성이 큰 온라인 쇼핑, 배달 서비스 운영사 등이 포함된 603개의 기업이 확정됐어요. 확정된 기업은 매년 6월 30일까지 정보보호 공시 현황 자료를 과학기술정보통신부 전자공시 시스템(6월 초 공지 예정)으로 제출해야 하고, 공시 의무를 위반하는 경우 최대 1천만원 이하의 과태료 처분을 받을 수 있다고 해요.
다른 정보보호 관련 의무제도는 어떤 게 있어?
위에 언급한 정보보호 공시제도 이외에도 국내에서는 정보보호 관리체계(ISMS-P), 정보보호 최고 책임자(CISO) 지정 신고제, 정보보호 제품 평가(CC인증), 정보보호 전문업체 전문서비스 기업 제도와 보안관제 전문기업 지정제도 등의 의무제도가 있어요.
○ 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도로, 지난 2002년(ISMS)부터 시행됐어요. 기존에는 정보보호와 개인정보보호를 구분했으나 인증항목 중 동일하거나 유사한 부분이 많다는 지적에 따라 2018년도부터는 통합되어 운영되고 있어요. 현재는 정보통신망법 제47조제2항, 전기통신사업법 제2조제8호에 따른 기준에 하나라도 해당된다면 인증 의무 대상자라고 하네요.
○ 정보보호 최고 책임자(CISO) 지정/신고제
개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정/신고하는 제도예요. 2014년도에 처음 국내에 도입된 이 제도는, 2019년 정보통신망법 개정에 따라 CISO/CPO 겸직 금지, CISO의 자격요건(임원급 이상 지정), 과태료 부과 등의 내용으로 최근까지도 큰 이슈가 있었죠. 현재는 신고 의무대상, 과태료, 신고기한 연장 등 지정요건을 완화한 시행령을 따르고 있어요.
정보보호 제품 등이 보호프로파일 또는 인증정책 등에 부합하는지 등을 조사해 결과를 제공하는 제도에요. 사용자가 자신의 보안 요구를 충족하는 정보보호 제품을 선택하는데 도움을 주기 위해 지난 2001년 최초 도입됐어요. 정부나 공공기관은 정보보호 제품 도입 시 CC인증을 완료한 제품만 도입할 수 있었는데요, CC평가 인증기간이 오래 걸리거나, 인증 유효기간, 재평가 기준 등의 문제로 기업들의 불만이 지속적으로 제기되면서 조금씩 개선 작업을 거치고 있어요.
○ 정보보호 전문서비스 기업 지정제도 / 보안관제 전문기업 지정제도
두 제도는 국가/사회적으로 중요한 정보통신시설을 보호하기 위한 전문기업을 지정하는 제도에요. 정보보호 전문서비스 기업은 정보보호 컨설팅 업무를, 보안관제 전문기업은 보안관제 업무를 하는 것으로 구분하고 있어요. 기술인력, 자본금, 보안설비 보유, 정보보호 관리 규정 준수, 업무수행능력심사 등의 심사기준을 충족해야 지정될 수 있고, 지정된 기업은 매년 사후관리 심사를 받아야 해요.
오늘은 국내 주요 정보보호 의무제도 동향을 서비스, 제품 및 전문 업체로 구분해서 설명드렸어요. 앞으로도 정보보호를 위해 다양한 의무제도가 생성되거나 개선될 예정이라고 하니, 많은 정보보호 담당자분들의 지속적인 관심이 필요할 것 같아요.
|
안하무인 AI가 개인정보 함부로 쓴다?
AI를 위한 보안 (Security for AI)
지난 14일, 한국인터넷진흥원에서는 [AI 중심사회의 도래와 보안 이슈 분석]이라는 보고서를 발간했어요. 보고서에 따르면 AI 보안 위협은 데이터를 수집하는 단계부터 데이터를 학습하고 이용자에게 서비스를 제공하는 모든 부분에서 다양하게 발생하지만, AI 보안 위협에 대한 대비는 미흡한 것으로 분석됐어요.
AI 산업의 전망
가트너에 따르면, 올해 AI 소프트웨어 시장 매출은 전년 대비 21.3% 늘어난 74조 2천억원으로 예상되고 있어요. 특히 지식관리/가상비서/자율주행 부문의 급성장과 AI 클라우드 서비스/딥러닝/머신러닝 기술이 2-5년 내 상용화될 것으로 전망했어요. 다만 AI 소포트웨어 시장이 빠르게 확대되고 있는 것과는 별개로 AI가 '성숙화'돼 표준 기술로 자리잡기까지는 아직 시간이 필요한 것으로 보인다고 해요. AI에 대한 불신이 커서 아직은 AI를 활용하지 않는 업체가 여전히 많고, AI를 도입했을 때 투자 비용 대비 성과에 대해 불만족하는 사례도 많다고 설명했어요.
AI 보안 위협
국내에서 유행했던 AI 챗봇 '이루다'는 악의적인 이용자들의 장애인과 성소수자, 인종 혐오 표현을 학습해 다른 이용자들에게 관련 표현을 사용할 뿐 아니라, 특정 은행의 예금주로 누군가의 실명을 언급하거나, 아파트 동/호수까지 포함된 주소를말하는 등 개인정보 유출사고까지 발생했었죠.
보고서에서는 AI 기술의 보안 위협을 공급자와 이용자 측면에서 시스템, 기기/인프라, 데이터, 네트워크, 서비스 이용 등으로 분류해 조사를 했다고 해요. 그중에서 현재 가장 위험한 것은 서비스 이용 부문(AI 학습 데이터 내 개인/사생활 정보 침해 등)이었으나, 그에 따른 대응 준비는 보통 수준에 불과한 것으로 나타났어요.
Security/Privacy by Design
이에 보고서에서는 AI 제품/서비스 설계단계부터 보안위협을 고려하여 사전 예방하는 'AI 서비스에서의 Security/Privacy by Design'이 필요하다고 분석했어요. AI 시스템을 개발할 때 사후가 아닌 사전에 잠재적인 보안 위험에 세심한 주의를 기울일 뿐 아니라, 예방 메커니즘 및 제약조건을 강화하고, 위험을 최소화하면서 안전하고 제어 가능한 개발을 보장해야 한다는 것이지요. 또한 AI 기술을 대상으로 상시적 영향평가를 수행하고 제도적 대안을 마련해야 한다고 덧붙였어요.
|
[KISA] 상반기 민간분야 사이버위기대응 모의훈련 안내
해킹메일, 디도스공격, 모의침투
기업은 해킹 피해를 입기 전에는 사이버 위협 대응역량을 평가하기가 어려워서, 대응체계 점검이 주기적으로 필요해요. 이에 한국인터넷진흥원에서는 매년 국내 민간기업을 대상으로 세가지 분야(해킹메일, 디도스공격, 모의침투)의 실전형 모의훈련을 무료로 기업에 제공하고 있어요. 모의훈련을 원하시는 기업은 아래 경로를 통해 신청 부탁드려요! (상반기 신청 4월, 훈련 5월) |
이번주 뉴스레터는 어떠셨나요?
솔직한 의견을 보내주세요! |
(사)한국침해사고대응팀협의회(CONCERT)
서울시 서초구 서초중앙로 56, 블루타워 7F
|
|
|
