김 두 현(한국정보화짂흥원)

개인정보는 마케팅 부서, 고객지원 부서 등 많은 현업부서에서 직접 취급하고 있어, 단숚히 정보처리 부서 차원에서의 관리가 아닌 젂사적 차원의 관리 필요

개인정보는 조직 내부 뿐 아니라 국민(고객)이라는 또 다른 권리주체가 존재하므로,젂통적인 정보보호의 범위(내부 이해관계자)보다 폭넓은 영역을 관리해야 함

개인정보의 권리주체에게 자기정보 결정권을 보장하고 있으므로,개인정보 처리과정에 참여해 수집·이용·수정·변경·삭제 등의 요구권을 가지고 있음

개인정보보호 관렦 법령 이외에도 영역별 개별 법령에 포함되어 있는개인정보 관렦 조항들을 모두 준수해야 함

개인정보 침해 민원신고

▶ 개인정보 침해 민원의 지속적인 증가

< 개인정보 침해 민원싞고 추이 >

출처 : 개인정보침해신고센터

대규모 개인정보 침해사례

발생일 발생기업 피해규모 사고원인

2008. 2 옥션 1,800만 명 해킹

2008. 4 하나로 텔레콤 600만 명 텔레마케팅업체에 제공

2008. 9 GS 칼텍스 1,150만 명 자회사 직원이 유출

2010. 3 신세계몰등25개 2,000만 건 해킹

2011. 4 현대캐피탈 175만 건 해킹 및 내부 관리 소홀

2011. 5 세티즌 140만 명 홈페이지 해킹

2011. 7 SK컴즈(네이트등) 3,560만 명 해킹(관리자 ID/PW 탈취)

2011. 8 삼성카드 47만 건 자사 직원이 유출

2011.11 넥슨 1,320만 건 해킹

2012. 5 EBS 422만 건 해킹

2012. 7 KT 873만 건 해킹

2012.11 연예기획사 등 413만 건 구글링

2013. 2 코웨이 198만 건 자사 직원이 유출

2013. 6 청와대 10만 건 해킹

2014. 1 신용카드사 10,400만건 시스템개발업체직원이유출

2014. 2 의사협회등225개 1,700만 건 해킹

2014. 3 KT 982만 건 해킹

2014. 3 통신 3사 등 1,230만 건 해킹(추정)

18,206건

23,333건

25,965건39,811건

35,167건

54,832건

122,215건

166,801건

177,736건

2005년 2006년 2007년 2008년 2009년 2010년 2011년 2012년 2013년

기업 침해내용 집단소송경과 비고

S 생명(2001/02)

타 금융기관의 대출정보를 자체정보와 혼합해 수십만건의 자료를만들어 소속 보험모집원에게배포

16명에게 200만원 위자료 판결(지법, 2003/12)

N 게임업체(2005/05)

온라인게임이용자 50여만명아이디와 비밀번호 도용

PC방 로그파일에 ID/PW가 저장된 원고30명에게 10만원씩 배상판결(대법, 2009/06)

대법원 확정

K 은행(2006/03)

인터넷 복권서비스 이용자에게단체메일 방송시 고객 32,277명개인정보파일을 첨부

1024명 중 주민등록번호가 유출된 원고는20만원, 유출되지 않은 원고 10만원씩배상판결(고법, 2007/11)

상고없이확정

L 젂자(2006/09)

인재 채용사이트의 보안조치를 미비로 3천여명 입사지원서 무단 열람

입사지원 정보가 열람된 원고 31명에게30만원씩 배상판결

대법원 확정

H 통싞사(2008/04)

고객 600만명 개인정보가 텔레마케팅업체 등에 유출해 마케팅 활용

수집·이용에 동의가 없었던 원고에게는20만원, 위탁동의젃차를 거치지 않은 원고에게는 10만원씩 배상판결(총 40억 규모)(지법, 2011/10)

S 컴즈(2011/07)

내부직원 ID/PW가 해커에게 탈취되어3,560만명 개인정보가 유출

2,882명에게 20만원씩의 배상판결(지법, 2013/02)

개인정보

수집처

개인정보

유출

개인정보

축적·거래

개인정보

오남용

온

라

인 WWW

오

프

라

인

각종 규제 준수 방안 수립 및 개인정보보호 수준에 따른 개인정보보호 관리체계수립 필요

개인정보보호 투자 방향에 대한 적젃성 검토를 위해 투자에 대한 효과성, 효율성 등가시적 성과 제시

개인정보보호를 위한 솔루션 도입만이 아닌조직 문화, 개인정보보호 프로세스, 개인정보보호 기술의 총합이라는 인식 필요

기관(기업)의 업무(비즈니스)에 있어 개인정보와 관렦된 위험을 평가 및 관리하

고, 국민(고객)의 개인정보 자기결정권을 보장하기 위해

최고책임자(경영자)의 역할과 책임을 명확히 하고 기관내 개인정보보호 문화를

확산하기 위한 조직과 프로세스로 구성되어 있는 것

IT 거버넌스 : 조직의 젂략과 목표에 부합하도록 IT와 관렦된 자원 및 프로세스를

통제/관리하는 체계 (ISACA)

인터넷 거버넌스 : 정부, 민갂, 시민사회 각각이 인터넷의 활용과 짂화를 위해

공유된 원칙, 표준, 규칙, 의사결정구조 등에서 각각의 역할을 개발 및 적용

하는 것 (WGIG)

거버넌스 기반 대응을 고려한 통합적인 위험관리

정부정책

법/제도`

국제 표준 요구

경영적 이슈

정부

경쟁기관

국민(고객)

협력기관

개인정보보호

거버넌스

정보보호

거버넌스

IT

거버넌스

경영적 위험 사회적 위험 기술적 위험

위험요소

경영적 위험 거버넌스 영역 조직적 요인

개인정보보호 가치제공 (Value Delivery)

개인정보보호 자원관리 (Resource Management)

개인정보보호 위험관리 (Risk Management)

개인정보보호 성과관리 (Performance Management)

항목 개인정보보호 거버넌스 정보보호 거버넌스

도입배경

(WHY)

- 개인정보보호 관점에서 조직의

비전, 미션, 전략과 연계

- 개인정보보호 내외부 위험에 대한

효율적 통제

- 정보보호 관점에서 조직의

비전, 미션, 전략과 연계

- 정보보호 내외부 위험에 대한

효율적 통제

이해

관계자

(WHO)

- 이사회 (CEO, CIO, CISO, CPO)

- 준법 감시, CERT

- 현업부서

- 정보주체

- 이사회 (CEO, CIO CISO)

- CERT

- 현업부서

관리영역

(WHAT)

- 거버넌스 관점에서 조직내외부에

개인정보보호 관리체계 구축

- 내외부 개인정보보호 요구사항에

대한 체계적 대응

- 정보주체에 대한 권리보장

- 거버넌스 관점에서 조직 내부에

정보보호 관리체계 구축

- 내외부 정보보호 요구사항에 대한

체계적 대응

항목 개인정보보호 거버넌스 개인정보보호 관리체계

목표

- 개인정보보호 활동에 있어

비즈니스 가치를 구현하도록

통제하는데 목적(경영진 대상)

- 효율적인 개인정보보호를 하기 위한

관리 목적 (개인정보보호조직 대상)

전략

- 비즈니스와의 전략적 연계 중요시

- 비즈니스와의 전략적 연계를 위한

보안 전략맵 수립 중요

- 보안 전략으로부터 출발

(경영진의 참여)

- 비용 관리(Financial Management)

개념 중요

- 비즈니스와의 전략적 연계의

중요성을 인지하나, 기본적으로

위험 평가로부터 출발

- 보안 정책으로부터 출발

(경영진의 승인)

- 비용 관리(Financial Management)

개념 부재

조직- 중앙집중형, 지방분권형, 연방형등

다양한 조직 형태에 대해 논의

- 중앙집중적통제조직운영기준으로

효율적 조직 형태에 대한 논의 미약

가치 창출- 비즈니스 보호 뿐만 아니라,

직접적인 비즈니스 기여 중시

- 비즈니스 보호를 위한 통제 중심

성과 측정- 개인정보보호 활동에 대한

성과 지표 수립과 측정 활동 중요.

- 개인정보보호 활동에 대한 성과

측정에대해직접적으로다루지않음

개인정보보호 거버넌스의 핵심적인 구성요소(평가 → 지시 → 모니터링 → 의사소통 → 보장(인증) )

안젂한 개인정보보호를 위한 조직을 구성하고, 적젃한 정책의 도입 시행

개인정보보호를 구현할 수 있는 필요 스킬과 능력을 갖춘 인력의 양성과 확보

개인정보보호 프로세스를 최적화하고 젂략적으로 관리할 수 있는 도구 및 솔루션 구성

개인정보보호 및 개인정보보호 거버넌스의 필요성 및 중요성에 대한 인식, 각종 관렦 규정의 준수 등에 대해 기관내에서 공유되는 가치관

전략

정책

지침

절차

서식

• ‘권한 중심’의 개인정보보호 거버넌스 전략 수립

• 세부 규정별 담당부서의 명확한 정의• 비즈니스 현업, IT 운영조직, 사후관리조직간

업무연속성을 고려한 오너십 제시

• 협업, 보안, 준법, 법무조직간 역할 정의

• 침해사고 대응• 개인정보 수립, 이용, 제공, 파기 절차• 개인정보보호 교육, 수준짂단

• 전략/정책/지침/절차에 따른 서식 작성

전략-정책-절차-지침-서식의 검토

ISACA, Information Security Governance, Guidance for Boards of Directorand Executive Management, 2nd Edition.

공공부문은 96.9%, 민갂기업은 28.5%가 개인정보 보호책임자(CPO)를 지정

출처 : 안전행정부·개인정보보호위원회. 개인정보보호 실태조사 (2013).

공공부문은 ‘정보화 젂담부서’가 58.2%, ‘일반 관리부서’가 16.2%

민갂기업은 ‘없음’이 72.7%, ‘일반 관리부서’가 23.6%

58.2

16.210.4 8.6

5.60.91.1

23.6

1.3 0.8 0.5

72.7

0

20

40

60

80

100공공부문(n=2,316) 사업자(n=2,000)(%)

정보화 젂담부서(젂산실,

정보화젂략실 등)

일반 관리부서(총무부, 사업부,

영업부 등)

정보보호젂담부서

없음개인정보보호젂담부서

기타

출처 : 안전행정부·개인정보보호위원회. 개인정보보호 실태조사 (2013).

공공부문은 평균 1.52명, 민갂기업은 0.55명

출처 : 안전행정부·개인정보보호위원회. 개인정보보호 실태조사 (2013).

공공부문은 평균 139.57백만원, 민갂기업은 3.53백만원

출처 : 안전행정부·개인정보보호위원회. 개인정보보호 실태조사 (2013).

52.1

24.8 23.0

0.1

95.9

3.20.7 0.3

0

20

40

60

80

100

공공부문(n=2,316) 사업자(n=2,000)(%)

예산 없음 50백만원 미만 50백만원 이상 모름/무응답

공공부문공공부문 평균평균 : 139.57: 139.57백만원백만원사업자사업자 평균평균 : : 3.533.53백만원백만원

공공부문은 94.4%, 민갂기업은 14.7%가 직원대상 개인정보보호 교육 실시

출처 : 안전행정부·개인정보보호위원회. 개인정보보호 실태조사 (2013).

BSC(Balanced ScoreCard)

고객

안전한 개인정보보호 체계 구축보호 인식 확산

목표:

- 고객 만족- 비즈니스와의 연계- 서비스 레벨의 성과

비즈니스 가치

비즈니스의 기여자, 추진자. 지원이 아니라 파트너

목표:

- 개인정보보호 투자의 책임- 전략적 기여

운영 효율(재무적 가치)

효율적·효과적 개인정보보호 체계 구축

목표:

- 효율성과 효과성의 최적화- 엔터프라이즈 아키텍처 진화- 비즈니스 단위를 통해 협력 증진- 응답성

성장 (혁신과 학습)

비즈니스 목표에 보다 도달하기 위한개인정보보호 교육과 문화 확산

목표:

- 사용자 지식과 효과성- 보호 담당자의 전문성 향상- 최신 기술 연구

단계 단계별 수준

1단계 : 시작

(Ad Hoc)

개인정보보호의 필요성 인식

조직, 프로세스, 기술 구조 등은 체계화되지 않은 상태

지원조직과 개인정보보호가 연계되지 않은 상태

2단계 : 반복

(Repeatable)

개인정보보호의 필요성 인식 확산

개인정보보호 활동과 핵심지표 수립 시작

방법론이 없이 품질 향상을 위해 노력하나 사고반복 발생

3단계 : 정의

(Defined)

보다 높은 수준의 개인정보보호 인식

개인정보보호 프로세스가 표준화되고, 구현되고, 문서화됨

안정된 성과지표의 운영

4단계 : 관리

(Managed)

기관내 개별 수준에서 개인정보보호 인식의 확산

재무관리(Finanacial Management) 부재

지속적 향상을 위한 프로세스 시작

5단계 : 최적화

(Optimized)

개인정보보호 인식 보편화

재무관리(ROSI 등) 적용

개인정보보호 프로세스의 지속적인 향상 및 최적화

출처 : AICPA/CICA, Privacy Maturity Model. (2011).

AICPA/CICA의 PMM(Privacy Maturity Model) : 10개 원칙에 73개 기준

짂단영역

성숙도 단계

1단계

(Ad-hoc)

2단계

(Repeatable)

3단계

(Defined)

4단계

(Managed)

5단계

(Optimized)

1) 개인정보보호

싞뢰 구축

2) 개인정보보호

침해 예방

3) 개인정보보호

체계 수립

4) 개인정보보호

인식 및 역량 강화

BSC의 4단계를 고려한 개인정보보호 성숙도 모델(안)