[보안칼럼] 개인정보보호법 법사위 통과의 의의와 배경

Privacy Security 2011. 3. 9. 19:08

반응형

그동안 국회에서 표류하고만 있던 개인정보보호법이 오늘자 2011년 3월9일 법제사법위원회 법안2소위를 통과했다. 이로써 법안공포 6개월뒤부터 효력을 발휘하게 되었기에 9월부터는 개인정보보호법 적용이 이루어질 전망이다. 이에 따른 의의와 배경을 알아보자.


그동안 수차례 개인정보보호법에 제정에 대한 요구가 있었으나 여러가지 현안과 사건사고로 인하여 통과를 하지 못하고 오늘 법안2소위를 통과 하게 되었다.

개인정보보호법 관련 포스팅

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2008/08/12 - [Privacy Security] - 개인정보보호법 제정 법률안 입법예고 -행정안전부
2008/04/30 - [Security Policy] - 개인정보보호법 연내 제정
2006/05/12 - [Privacy Security] - 개인정보보호法 시행 1년 일 기업은 지금


1. 이제는 더 이상 미룰수 없는 시대적 요구사항반영

개인정보보호법 제정에 의미는 시대적 요구사항이고 더 이상 미룰수 없는 현안 사항이기도 하였다. 또한 아래 포스팅 한바와 같이 이번 3.4 DDoS 공격이 또 한번 적절한 타이밍 역할을 한것이 아닌가 하는 필자의 추측도 든다.

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야

포스팅에서도 밝혔지만 이제는 더 이상 개인정보 사각지대를 둘수 없고 공공과 민간을 아우룰수 있는 개인정보보호법을 통하여 국민의 일반법으로서 개인의 소중한 정보를 보호해야 하는것이다. 중국 검색 포털에서 대한민국 주민번호가 그대로 노출이되고 금전적 거래를 하고 과도한 개인정보 수집으로 인한 유출의 피해는 고스란히 각 개인으로 또 다시 돌아오는데 제도권에서 가만히 있는다는 것은 아마도 통과되지 못했을 경우에 부담도 작용이 되었을 것이다.


2. 개인정보보호법 규제라는 성격보다는 개인정보를 보호해야 한다는 진흥의 관점으로 봐야

우선 법이라고 하면 규제의 성격이 강하다. 이것은 이래서 안되고, 저것은 저래서 안되고, 무조건 안되는 법적 규제의 성격으로 접근하기 보다는 개인정보의 소중함을 일깨우는 진흥의 개념으로 접근을 해야 한다. 무조건 배척하기보다는 오히려 법적준거성을 지킴으로 인하여 그외적인 부분에 있어서는 오히려 더 자유로울수 있지 않을까 하는 생각도 든다. 지금까지 처벌한 규정조차 없고, 근거 규정이 없어 불기소처분이되고 특히 오프라인 사각지대에 있는 수많은 업체들도 있었던게 사실이다. 우선은 그렇게 출발을 한다는 시점에서 환영 할만하다.

그렇다고 무조건 반길것만은 아니다. 법이라는 것이 해석상에 있어서 애매함이 있고, 대부분 법학자가 아니고, 또한 유권해석을 내림에 있어 애로 사항들이 있다.

또한, 법이 제정만 되었지, 각 부처별로 다양한 분야에 대통령령이나 시행,지침과 같은 세부안을 마련을 해야 하고 우선적으로 많은 관련 업체의 혼란을 방지를 해야 할 것이다.


3. 관련부처의 노력과 향후 대응 방안 마련

이렇게 개인정보보호법이 통과 되는것에는 그동안 여러 관련 부처에서 마음 고생 많이 했을것이다. 그리고 각종 준비도 많이 했지만 여러가지 이해관계에 걸려 보안에 관심 있는 한 사람으로서 많이 안타까움을 느꼈다. 그런 보이지 않는 부분에서 고생하신 분들에게 박수를 보내드리고 싶고, 이제는 국민들이 혼란 스럽지 않게 보다 체계적이고 활성화와 마찰이 생기지 않도록 준비에 만전을 기해야 할 것이다.

작년에 개인정보보호관련 강의와 pims 인증심사 교육, 그리고 다양하게 주변에서 개인정보보호에 대한 인식에 대하여 여러가지 의견을 청취할 기회가 있었는데 그분들이 요구하는 몇가지 주요 사안을 언급하고자 하니 관계자 분들은 참고 하시여 정책 수립과 운영에 도움이 되었으면 한다.

 

  • 개인정보보호법에 대한 이해력 부재 - 법의 유권해석과 준거성 문제
  • 개인정보보호에 대한 기술적 관리적 보호조치의 구체적 사례 - 모범사례 필요
  • 개인정보보호에 대한 범위문제 - 어디서 어디까지 보호 해야하는지를 잘 모르는 문제
  • 개별법에서 일반법으로 통합시 - 다시 개별법의 요구가 있을터, 준비마련 부재.
  • 개인정보보호 인식 부재 - 관련 업계와 담당자만 관심이 있지 나머지는 인식부재로 인한 협력 호소
  • 개인정보의 라이프 사이클 이해 부족
  • 개인정보 영향평가 확대 - 교육 필요
  • 개인정보보호 담당자의 처우 문제 - 업무 과중으로 인한 담당자 기피 현상 (인센티브 확대 -중요한 문제)
  • 개인정보보호법 시행후 파파라치 생길 우려성 제기
  • 중소비지니스 영세업체 어떻게 대처해야 하는가? 등등

 

마무리

아무튼 , 이제 주사위는 던져졌고, 지난번 국내 최대 보안커뮤니티 보안인닷컴(http://www.boanin.com) 에서 어떤분은 개인정보보호법 제정에 따른 불만을 표출하고 이의를 제기하기도 하는 모습을 보았다. 하지만 시대의 요구를 거스를수는 없고, 그동안 개인정보 유출에 따른 여러가지 부작용과 국익으로 생각해 본다면 지금이라도 표류하지 않고 통과된것이 어쩌면 다행일지도 모른다. 2011년 앞으로 많은 변화가 예상되는 만큼 각 조직과 기업에 보안담당자, 개인정보보호담당자, 처리자, 취급자는 조금 더 개인의 업무에 있어서 스킬업을 시켜야 할 것이고, 일반 국민이나 관련이 없는 사람도 많은 것에 협조와 이해를 해 주어야 올바른 초기 시행에 혼란을 주지 않을 것이다.  대한민국이 정보보호 후진국이라는 소리를 듣지 않고 글로벌 시대에 앞서 가려면 그만큼 많은 이해와 노력이 필요로 하는 법 제정임에는 틀림이 없다. 개인정보보호법 제정으로 인하여 국민의 보안인식제고와 마인드가 한층 더 업그레이드가 되는 계기가 되길 기대해 본다.  @엔시스.





반응형

'Privacy Security' 카테고리의 다른 글

사업자를 위한 개인정보 질의 문답 자료  (0) 2011.04.06
개인정보보호법 시행되면 파파라치 활개 치지 않을까?  (3) 2011.03.30
USIM 일련번호수집, 앱개발자 조심해야 할터  (1) 2011.02.24
SNS 개인정보보호 노출 유형 통계자료  (0) 2011.02.11
무료로 확인하는 주민번호이용내역 확인 서비스  (0) 2011.02.01
,

[칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야

Lecture&Column 2011. 3. 7. 12:57

반응형

개인정보보호법 제정의 통과(3/9, 3/11) 여부에 귀추가 주목되고 있는 가운데, 3.3 디도스 공격을 또 받아서 정부의 보안에 대한 인식을 일깨워 놓고 있다. 개인정보보호법과 DDoS 재 공격의 교훈을 한번 살펴 보자.


법적인 사각지대를 해소하려면 강제적 법적규제 마련되어야

자발적인 실행이나 실천이 이루어지지 않을시에는 강제적 규제를 강화하는 것이 국익을 위하여 바람직하다면 택해야 하는 것이다. 개인정보보법이 국회에서 잠자고 있는 사이에 국가 주요사이트가 디도스 공격에 일시 접속이 지연되는 사태가 재발이 되었다. 디도스 공격은 언제든지 재발 가능성이 있고, 우선 웹서버에 접속을 못하게 함으로 인하여 보안의 3요소중 가용성을 떨어뜨리는 아주 대표적인 공격방법이다.

이러한 가운데에서 지난 7.7 DDoS공격으로 인하여 장비를 구매해야 한다고 긴급 예산 200억을 편성하여 장비 구매에만 신경을 쓰게 되었지만 또 다시 디도스 공격에 당할수 밖에 없었다.

2009/07/15 - [Security Skill&Trend] - 7.7 DDoS 마스터 서버 및 좀비PC 갯수
2009/07/19 - [Lecture&Comlumn] - [칼럼-88] 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
2009/07/19 - [Lecture&Comlumn] - [칼럼-89] 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS
2009/07/20 - [Lecture&Comlumn] - [칼럼-90] 7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


혹자는 보안에 대하여 조금이라도 알고 있으면 디도스 공격을 방어하기란 그리 말처럼 쉽지 않다는 사실을 알게 된다,.이러한 한꺼번에 많은 트래픽이나 요즘은 적은 트래픽이라도 리소스 고갈을 시키키위하여 지속적으로 보내어 결국 서버에서 다운이 되는 CC 공격등..쉽게 방어 할 수있는 문제는 아니다.

지난 디도스 BMT를 해 보았을때에도 디도스 장비만 있다고 해서 모든 디도스를 막을 수 있다는 것은 오해일수도 있다. 여러가지 서비스를 잘 유지할 수 있는 다양한 장비를 구비하고 방어를 해야만 가능하기 때문이다.

2009/04/02 - [Security Solution] - DDoS 공격 억제 솔루션, BMT중에 있습니다.


이러한 디도스에 동원되는 좀비PC는 어떠한 형태로 감염이 되었는지 모른다. 일부 DDoS에 동원이 되었다고는 하지만 자신이 가지고 있는 개인정보가 유출이 되었는지 않되었는지도 파악이 되지 않는 것이다. 그런 측면에서 볼때 DDoS를 피해를 줄이고자하는 것은 공격을 받아 방어를 위한 장비를 증대 하는것 보다는 그 원천적인 근원을 캐서 수정하고 고치는 것이 바람직 한 것이라 생각을 한다.


이번 DDoS 공격이 어쩌면 개인정보보호법 제정에 불씨를 지필지도

3월에 개인정보보호법 통과를 앞두고 관련 업계 및 기관과 정부에서 귀추가 주목되고 있다. 아직도 보안에 대한 위험의 인식을 느끼지 못한다면 도대체 몇번이나 더 당해야만 알수 있는가의 의구심을 품을 수도 있다. 어쩌면 이번 DDoS 공격은 법제정을 위한 적절한 시기에 타이밍을 맞춘거 같기도 하다는 느낌이 든다. 이번에도 법이 그대로 표류 할 수 밖에 없다고 한다면 결국 대한민국의 보안은 후진국수준에 머물러 있을 수 밖에 없다. 또한 그동안 관련 기관과 업계에서 준비했던 부분이 모두 허사로 돌아가게 되고, 앞으로 개인정보 유출로 인한 제2, 제3의 피해가 나타날 것이고, 이것은 보이스피싱과 SNS와 결합하여 점점 더 사람중심이 아닌 사이버중심의 세계로 빠져들어 더 이상 개인의 사생활 보호가 어려워 질 것이다. 그렇다고 해서 인터넷을 사용하지 않을 수도 없는 노릇이 아닌가? 엑티브 엑스 그렇고 욕을 하고도 인터넷뱅킹 사용하려니 사용할 수밖에 없지 않는가? 이제는 더 이상 디도스공격이나 개인정보유출로 인하여 같은 이야기를 반복하게 만들면 안될 것이다.



일부 언론에는 지난번 대응에 대한 학습때문에 그나마 미미한 수준에 머물렀다고는 하지만 이제 디도스에 대한 공격 트래픽은 이미 수백기가를 넘어서 공격하고 있고, 또 다양한 기술로 공격해 오고 있기에 언제어떻게 국가 기간망이나 전산망이 공격을 받을지 모른다. 부디 영화 다이하드4의 재현이 현실로 나타나지 않기를 바랄뿐이다.  @엔시스.

반응형

'Lecture&Column' 카테고리의 다른 글

[칼럼-121] 모 캐피털 개인정보 유출로 알아 본 보안의 교훈  (1) 2011.04.11
[칼럼-120] 공기업 지방 이전을 통한 역지사지의 문제  (3) 2011.03.20
[기고문] 인터넷커뮤니티 운영자의 역할과 책임  (0) 2011.01.19
[기고-11] 인터넷윤리- 인터넷커뮤니티 운영자의 역할과 책임  (0) 2010.12.09
[강연-23] 미리살펴본 개인정보보호법(안) 교육후기 -부산정보산업진흥원  (2) 2010.12.08
,

티스토리툴바