1

컴플라이언스 배워보고 싶니?

금뽀 장웅태

목차

1. 배경

2. 프로젝트 개요

3. 학습 로드맵

4. 프로젝트 후기

2

3

4

세종대왕님의 시련 1. 훈민정음 반포를 할 때 유생들의 반발이 심하였다. 2. 훈민정음을 만들 때 어려움이 많았다. 금뽀의 시련 1. 원래는 3명 이였지만 부득이한 사정으로 2명으로 줄었다. 2. 프로젝트 진행 할 때 방향성에 대한 고민이 많았다.

5

나랏말이 중국과 달라 문자가 서로 통하지 않으니 이런 이유로 어리석은 백성이 이르고자 할 바 있어도 결국 제 뜻을 펄치지 못하는 사람이 많다 내 이를 가엽게 여겨 새로 스물 여덟 자를 만드니, 많은 사람들이 쉽게 어겨 날마다 쓰기에 편안하기 할 따름이니라. – 훈민정음 서문

1. 배경

6

1.1 컴플라이언스란? 1.2 스터디 소개

고기는 씹을수록 맛이 난다. 그리고 책도 읽을수록 맛이난다. - 세종대왕

7

컴플라이언스는 OO 다

• 기업이 비즈니스 연속성과 경영 투명성을 확보하기 위해 강제적, 자율적으로 다양한 규제(Regulation)들을 준수(Comply)하는 것을 의미

8

최초 금뽀 모집은 다음과 같이 진행하였습니다.

1.2 스터디 소개

대 상 : 금융권 보안관리 업무 선행학습 및 취업 멘토링을 원하는 대학(원)생 인 원 : 3명 ~ 10명 일 정 : 접수-검토-선발 및 공지-사전과제-시작 세 부 : 미정

9

금뽀의 스터디 목적은 다음과 같습니다.

1.2 스터디 소개

1. 스터디 목적

- 금융회사가 준수해야 할 법적 규제, 지침, 관련 법률 등을 학습하여 금융회사의 보안담당자로써의 역량을 개발

- 금융회사의 담당자가 반드시 알아야 할 전자금융거래법, 전자금융감독규정 등에 대한 이해

- 정보보안지식의 배양 뿐 아니라 협업과 표현의 방법을 훈련

10

금뽀 스터디의 참고 교재 입니다.

1.2 스터디 소개

3. 참고 교재 -전자금융보안론 (저자 김인석)

-프라이버시 레터 모음집 (저자 소만사)

-CxO가 알아야 할 정보보안 (저자 강은성)

11

금뽀 스터디의 자료 목록 입니다.

1.2 스터디 소개

4. 스터디 자료 -금융전산보안표준지침 -망분리 가이드라인 -금감원 감사 체크리스트 및 IT 검사메뉴얼(금융감독원) -전자금융거래법 법령집 -금융회사 정보기술부문 보호업무 이행지침 -금융위 취약점 점검 항목표 -금융위 취약점 점검 보고서 작성 -ISMS인증신청 가이드라인 및 안내서 -금융보안 거버넌스 가이드(금융보안원)

12

지금까지 초기 스터디 모집안을 보셨습니다. 하지만 멘토님 판단으로 선행학습이 필요하다 생각해서 저희는 다음과 같이 프로젝트 계획을 수정하였습니다. 그럼 이제부터 저희 스터디에서 진행된 프로젝트에 관한 설명이 있겠습니다.

2. 프로젝트 개요

13

2.1 프로젝트 소개 2.2 설문조사 타당성 분석 2.3 프로젝트 방향성

내가 꿈꾸는 태평성대는 백성이 하려고 하는 일을 원만하게 하는 세상이다 - 세종대왕

14

프로젝트 최종안 입니다. (1/2)

프로젝트 주제 초심자를 위한 컴플라이언스 학습 가이드

프로젝트 기간 8주차 (15.7.5-15.8.23)

프로젝트 특징

-컴플라이언스 학습방법을 역할에 따라 정리 -컴플라이언스 학습방법에 대한 방법 제안 -컴플라이언스 관련 읽을거리 포함 -프로젝트 발표회 마련

프로젝트 대상 -컴플라이언스를 처음 접하는 모든 분

15

프로젝트 최종안 입니다. (2/2)

프로젝트 수행 내역

-팀명/팀 역할 분배/일정 조율(WBS) -자료조사/자료분석 -산출물작성 : 가이드라인(ppt), 발표자료(ppt) -인터뷰 : 인터뷰를 통해 문서 감수 및 수정 -검증 : SUA 대상으로 프로젝트 발표회 진행 -SUA 회원에게 배포

심화과제 -웅태 : 분류 별 학습 로드맵 작성 및 발표 -예림 : 금융보안 주요 법 4가지 심화 소개 및 발표

16

프로젝트 일정 입니다

진행 상황

일정 1주 2주 3주 4주 5주 6주 7주 8주

과제 스터디

Q&A Q&A Q&A 초안 보완 완성 발표

초심자용 컴플라이언스

가이드

산출물 Q&A, 자료 목록

Q&A, 자료목

록

Q&A, 자료 목록

초안 초안 초안 가이드 검증

최종본

개인발표 준비 과정

템플릿

자료 조사

PPT 내용 및 디자인

PPT 보완

PPT보완

PPT보완

수정, 리허설

발표

17

설문조사 배경 입니다

타당성

총 7가지의 질문을 설문조사 시행 배포 기간 : 2015. 06. 04 ~ 2015. 06. 14 11일간 총 154명이 설문조사에 참여 해주셨습니다.

18

설문조사 배포 한 곳 입니다.

타당성

1. SUA 2. 보안인 닷컴 3. SecurityPlus 4. 생활해킹 5. 보안 대첩 6. 신한시큐어 7. 서울여대 정보보호학과 8. 호서전문학교 사이버해킹보안과 그 외 각자 보안 커뮤니티 및 개인 페이스북

19

1. 직업이 무엇입니까?

타당성

9%

45%

41%

5%

정보보안 비전공학생

정보보안 전공 학생

정보보안 관련 업무 종사자

정보보안 외 업무 종사자

“위 결과와 같이 이번 설문응답자의 대다수는 정보보안 관련된 학생 및 직장인이었습니다.”

20

2. 보안전문가에게 법에 대한 숙지가 어느 정도 이루어져야 될 것 같습니까?

타당성

1번 항목에서 살펴본 것처럼 설문대상자의 대다수인 정보보안 관련 학생 및 직장인에게 조사한 결과 위와 같이 보안전문가의 법적지식이 중요

하다고 생각하는 사람이 60%로 가장 많았습니다.

60%

38%

2%

상(아주 많이)

중(적당히)

하(필요 없음)

21

3. 컴플라이언스에 대해 잘 알고 있으십니까?

타당성

“2번 항목에서 살펴본 것처럼 정보보안 관련 학생 및 직장인들이 법적지식의 중요성을 알고 있음에도 불구하고, 위 결과에서는 정보보안 컴플라이언스에 대해 모르거나 조금 알고 있는 사람이 74%로 많은 비중을 차지하였기 때문에 컴플라이언스 학습 가이드를 만들게 되었습니다.

26%

34%

40% 잘 알고 있다

조금 알고 있다

모른다

22

4. 컴플라이언스에 대해 학습해 보신 적이 있으십니까?

타당성

“3번 항목에서 살펴본 것처럼 컴플라이언스에 대해 잘 모르는 사람이 74%로 대다수인데 반해, 위 결과에서는 컴플라이언스에 대해 알기 위해 학습해 본 적이 있는 사람이 42%로 더 적다는 사실을 알 수 있습니다.

42%

58% 예 아니오

23

5. 공부를 했던 경로 혹은 공부를 한다면 어떤 경로를 이용하시겠습니까?

타당성

4번 항목에서 살펴본 것처럼 공부해본 사람은 48%로 더 적었으며, 위 결과에서는 공부를 해본 사람 혹은 하고자 하는 사람들 중 39%가 스스로 공부하는 방법을 선택하였으며, 이를 통해 공부하고자 하는 사람들은

스스로 공부하는 방법을 가장 선호함을 알 수 있습니다.

39%

13% 8%

21%

14%

5%

스스로

학교

학원 및 교육기관

스터디

세미나

기타

24

6. 공부를 했을 때 혹은 계획을 할 때 어려운 점은 어떤 것이 있습니까?

타당성

5번 항목에서 살펴본 것처럼 스스로 공부하고자 하는 사람들이 많은 것을 알 수 있으며, 위 결과에서는 공부 범위가 방대하여 어려움을 느끼는 사람이 41%로 가장 많음을 알 수 있습니다. 또한 용어의 생소함과 자료수집의 어려움, 법률 관계의 이해 등에 어려움을 느꼈다고 답했습니다.

19%

41%

19%

8%

7% 6%

자료수집

범위가 방대함

법률 용어가 생소함

법률 판계의 이해가 어려움

재미 없음

기타

25

7. 컴플라이언스 세미나가 진행되면 참석한 의향이 있으십니까?

타당성

6번 항목에서 살펴본 것처럼 스스로 공부하고자 하는 사람은 다양한 문제들로 인해 컴플라이언스 학습에 어려움을 겪고 있었으며, 그렇기 때문에 위 결과에서는 97%에 달하는 대다수의 사람들이 세미나를 통해 컴플라이언스 학습방법에 대한 정보를 얻고 싶어한다는 것을 알 수 있습니다.

28%

69%

3%

찾아서 가겠다

시간이 맞아서 가겠다

안 가겠다

26

지금까지의 설문결과를 토대로 프로젝트의 방향성을 설정하였습니다.

타당성 분석을 통해 도출한 학습자의 요구사항 및 프로젝트 방향성

초심자용 학습 가이드

법률 용어

스스로 초보자 공부 범위 자료 수집

법률 관계 흥미 세미나

3. 학습 로드맵

27

3.1 로드맵 범위 3.2 로드맵 소개 3.3 타당성 검증

남을 너그럽게 받아들이는 사람은 항상 사람들의 마음을 얻고,위엄과 무력으로 엄하게 다스리는 사람은 항상 사람들의 노여움을 산다.

- 세종대왕

28

로드맵은 총 3가지로 구성 되어 있습니다.

로드맵

학습 대상

학습 방법

학습 목적

입문 적용 심화

29

학습 로드맵을 통해 공부해야 하는 개인정보보호법의 범위는 다음과 같습니다. (1/2)

이름 분류 시행날짜 주관

개인정보보호법 법령 법령 2012.3.30 행정자치부

개인정보보호법 시행령 시행령 2015.1.1 행정자치부

개인정보보호법 시행규칙 시행규칙 2014.11.19 행정자치부

개인정보의 기술적·관리적 보호조치 기준 훈령/예규/고시 2008.5.19 방송통신위원회

개인정보보호 표준 지침 훈령/예규/고시 2011.9.30. 행정자치부

개인정보 영향평가에 관한 고시 훈령/예규/고시 2012.12.26 행정자치부

개인정보 보호 인증제 운영에 관한 규정 훈령/예규/고시 2013.11.29. 행정자치부

개인정보의 안전성 확보조치 기준 훈령/예규/고시 2014.12.30 행정자치부

행자부 개인정보 보호지침 훈령/예규/고시 2015.02.26. 행정자치부

교육부 개인정보 보호지침 훈령/예규/고시 2013.10.14. 교육부

통계청 개인정보보호 지침 훈령/예규/고시 2012.8.30. 통계청

증소기업청 개인정보 보호지침 훈령/예규/고시 2012.8.14. 중소기업청

해양경찰청 개인정보보호 세부규칙 훈령/예규/고시 2011.7.13. 해양경찰청

산림청과 산하기관의 개인정보 보호지침 훈령/예규/고시 2012.7.6 산림청

병무청 개인정보보호 관리규정 훈령/예규/고시 2012.6.27 병무청

환경부 개인정보 보호지침 훈령/예규/고시 2011.12.15. 환경부

농림수산식품부 개인정보보호지침 훈령/예규/고시 2011.11.14 농림수산식품부

기상청 개인정보 보호지침 훈령/예규/고시 2012.4.26. 기상청

문화체육관광부 개인정보 보호지침 훈령/예규/고시 2012.2.2. 문화체육관광부

법무부 개인정보 보호지침 훈령/예규/고시 2012.1.12 법무부

국토해양부 개인정보보호 세부지침 훈령/예규/고시 2012.1.1. 국토해양부

지식경제부 개인정보 보호지침 훈령/예규/고시 2012.2.17. 지식경제부

경찰청 개인정보 보호 규칙 훈령/예규/고시 2011.9.26 경찰청

30

학습 로드맵을 통해 공부해야 하는 개인정보보호법의 범위는 다음과 같습니다. (2/2)

이름 분류 시행날짜 주관

개인정보보호 자율점검 가이드라인 가이드라인 2015.5 행정자치부

의료분야 개인정보보호 가이드라인 가이드라인 2015.02 보건복지부

빅데이터 개인정보보호 가이드라인 가이드라인 2014.12.23. 방송통신위원회

온라인 개인정보 취급 가이드라인 가이드라인 2014.11.12. 방송통신위원회

안전한 쇼핑 및 물품 배송을 위한 개인정보보호 수칙 가이드라인 2012 방송통신위원회

CCTV 설치ㆍ운영 가이드라인 가이드라인 2015.1.12 행정자치부

정보통신서비스 제공자를 위한 개인정보보호 가이드 가이드라인 2011.1 한국인터넷진흥원

개인정보 처리단계별 의무조치사항 가이드라인 2011.7 행정자치부

뉴미디어 서비스 개인정보보호 가이드라인 가이드라인 2012.1 행정자치부

개인정보 보호조치 구현 가이드 가이드라인 2012.7 행정자치부

개인정보보호법 법령 해설서 해설서 2012.09 한국인터넷진흥원

개인정보보호법령 및 지침.고시 해설서 해설서 2011.12 행정자치부

개인정보의 기술적 관리적 보호조치기준 해설서 해설서 2012.09 한국인터넷진흥원

CCTV 개인영상정보보호 가이드라인 해설서 해설서 2007.11 정보통신부

개인정보 위험도 분석 기준 및 해설서 해설서 2012.04.04. 행정자치부

정보통신서비스 제공자를 위한 개인정보보호 법령 해설서 해설서 2015.06.16 한국인터넷진흥원

기업의 개인정보영향평가 수행을 위한 안내서 안내서 2009.1 한국인터넷진흥원

인터넷상 주민등록번호 파기 안내서 안내서 2012.06.14. 한국인터넷진흥원

인터넷 사업자를 위한 주민번호 사용 제한 준비안내서 안내서 2012.06 한국인터넷진흥원

페이스북 이용자를 위한 개인정보보호 안내서 안내서 2014.06.27. 한국인터넷진흥원

앱 개발자를 위한 개인정보보호 안내서 안내서 2012.3 한국인터넷진흥원

개인정보 암호화 조치 안내서 안내서 2012.1 행정자치부

개인정보 보호법 업무사례집 기타 2012.1 한국정보화진흥원

개인정보 보호 상담 사례집 기타 2013.5 한국인터넷진흥원

개인정보분쟁조정 사례집 기타 매년 행정자치부

개인정보보호 연차보고서 기타 매년 한국인터넷진흥원

31

단계별 학습 로드맵을 살펴봅니다.

심화

적용

입문 법률 기초 개인정보보호법(법률), 시행령 및 지침(고시)

입문 단계 해설서 및 안내서,

가이드라인

적용 단계 국내·외 개인정보보호법

관련 심화연구

32

학습 목적별 로드맵을 살펴봅니다.

심화

적용

입문

IT 보안 법적 사고력

법률 해석 전문가적 소양

CPPG 취득 업무 활용

개인정보보호법 이해

1단계 법률 기초

법률, 시행령, 고시

2단계 1단계 이해

해설서, 가이드라인

3단계 2단계 이해

관련 심화연구

학습목적

33

학습 대상별 로드맵을 살펴봅니다.

심화

적용

입문

IT 보안 법적 사고력

교육/연구자 현업 종사자 비전공/전공 학생 비 현업 종사자

1단계 법률 기초

법률, 시행령, 고시

2단계 1단계 이해

해설서, 가이드라인

3단계 2단계 이해

관련 심화연구

학습대상

34

학습 방법별 로드맵을 살펴봅니다.

심화

적용

입문

IT 보안 법적 사고력

해석위주 (판례 분석)

이해위주 (사례와 연관)

법률위주 (핵심에 집중)

1단계 법률 기초

법률, 시행령, 고시

2단계 1단계 이해

해설서, 가이드라인

3단계 2단계 이해

관련 심화연구

학습방법

35

로드맵은 목표를 향해 빨리 가기 위한 지름길이지 절대로 편한 길은 아니다. 스스로 공부를 해야 합니다. 이제부터 학습 가이드에 대한 검증(인터뷰)를 보겠습니다.

36

[박형근 실장님 인터뷰#1]

3.3 타당성 검증

학습 가이드의 정확한 방향성, 목표와 목적을 바로잡다

Good 질의 응답은 초심자에 입장으로써 잘 넣은것 같다 열정적인 모습 보기 좋다 학습 가이드 자체가 체계적인것 같다

Advice 가이드라인 이란 룰을 지키기 위한 기준 선, 가이드와 가이드라인은 전혀 다른 뜻

☞ 학습 가이드로 수정

가장 먼저 공부해야 할 법이 무엇인지 방향성에 대해 다시 설정 할 필요가 있음 ☞ 초심자의 입장에서 공부해야 할 순서를 재조정 (개인정보보호법 → 전자금융거래법)

이 학습 가이드의 정확한 목표와 목적이 무엇인지 쉽게 알 수 없음

☞ 목표와 목적을 명확하게 표현

정보보안 전문 커뮤니티 SecurityPlus 대표 운영자

37

[전영재 대표님 인터뷰#2]

3.3 타당성 검증

학습 로드맵의 대한 재구성, 컴플라이언스의 재발견

Good 컴플라이언스 학습 가이드를 만드는 의도는 아주 바람직 열심히 하는 모습이 보기 좋다 컨텐츠 자체는 나쁘지 않다

Advice 컴플라이언스를 법에 대해 한정 짓지 마라

☞ 법률에 한정 짓지 말고 고시, 안내서,해설서 등 포함 시켰다

학습 로드맵의 분류가 초심자용으로 적합하지 않는 것 같다. ☞ 초심자의 입장으로써 다시 분류 하였습니다.

법률 정책은 정확하게 풀 네임으로 기재 하였으면 좋겠다

☞ 의견을 수립하였습니다.

SRC 센터 대표 & 한국정보보호심사위협회 이사

38

[최우석 연구원님 인터뷰#3]

3.3 타당성 검증

학습 가이드의 흥미를 더하다.

Good 학습 가이드 퀄리티에 대한 것은 아주 높은 것 같다 학습에 많은 도움이 될 것 같다 프로젝트 자체는 좋은 취지인 것 같다.

Advice 전체적으로 정책 쪽으로 편향 되어 있는 것 같다.

☞ 정책 뿐만 아니라 다른 흥미 위주로 컨텐츠도 많이 넣었다

초심자에게 컴플라이언스에 대해 흥미를 가지고 공부를 하려면 사례가 있어야 될 꺼 같다 ☞ 저희가 했던 질의 응답과 실제 사례를 추가 시켰습니다.

정보보안 관련하여 컴플라이언스를 분류 하였지만 정보보안이 아닌 것 같다

☞정보보안 관련하여 더 뚜렷하게 나타내었습니다.

한국정보보호교육센터 선임연구원

39

[최진선 연구원님 인터뷰#4]

3.3 타당성 검증

학습 가이드에 대한 화룡점정을 찍었다..!

Good 설문조사를 통하여 타당성 분석을 한 것은 아주 의미 있다. 재미있는 학습 가이드 인 거 같다 초심자로써 가치 있는 자료 인 것 같다.

Advice 이 법을 공대생들이 듣는다는 것을 염두에 두고 만들어야 할 것 같다.

☞ 초심자로써 쉽게 이해 할 수 있게 제작 하였습니다.

자료에 출처가 없는 것 같다. ☞ 출처에 대한 것은 추가하였습니다.

어떻게 자료 수집 하는지 알 수 있었으면 좋겠다.

☞ 자료 수집에 관한 것도 추가하였습니다.

하우리 기술연구소 차세대보안연구센터 연구원

40

[강종수 대리님 인터뷰#5]

3.3 타당성 검증

학습 가이드에 대한 최종 점검을 맡다 Feat : 이찬우 멘토님

Good 마지막까지 열심히 하는 모습이 보기 좋다 프로젝트 의도는 아주 좋다 지금까지 고생이 많았다. 앞으로 계속 꾸준히 하였으면 좋겠다

Advice 질의 응답 부분이 더 자세하게 나와있으면 좋겠다

☞ 의견을 수립하여 Q & A 를 더 디테일 하게 수정 하였습니다

초심자 대상이라면 간단한 사례나 이해하기 쉽게 만 들어야 한다 ☞ 사례를 추가 시켰고 이해하기 쉽게 수정 하였습니다.

IT 컴플라이언스 인지 컴플라이언스 인지 확실히 구분 해줘야 될 꺼 같다

☞ 확실히 IT 컴플라이언스로 구분 하였습니다.

나눔로또 기업 보안 관리자

41

지금까지 타당성 검증에 대해 보았습니다. 어느 정도의 타당성을 가지고 학습 가이드가 완성 되었습니다. 끝으로 프로젝트 후기에 대해서 예기 하겠습니다.

4. 프로젝트 후기

42

4.1 느낀점 4.2 소감

작은 일에도 무시하지 않고 최선을 다해야 한다. 작은 일에도 최선을 다하면 정성스럽게 된다. - 세종대왕

43

프로젝트 기획부터 세미나 준비 & 발표 & 인터뷰까지

많은 사람들을 만나고, 또 우리 스스로 했다는 것에

대해 아주 뿌듯하고 돈 주고도 살 수 없는 값진 경험을

한 것 같다.

프로젝트를 통하여 값진 경험을 한 것 같다.

44

마지막으로 하고 싶은 말은 …

공부 잘한 사람만이 사회에서 성공하는 것은 아니다. 배운 것을 응용할 줄 알아야 한다. - 손자병법 -

감사합니다