엔시스의 정보보호(보안) 따라잡기

1. 최근 내년부터 정보보호 공시 의무화 제도가 시행이 된다. 

https://www.boannews.com/media/view.asp?idx=98226 

그렇다면, 실제 정보보호 공시를 진행하는 것은 어떤 어려움이 있을까? 정보보호 공시제도는 정보기술부문과 정보보호부문에 대한 투자액과 인력, 정보보호 관련 인증 및 평가 등을 고스란히 공개해야 한다. 문제는 기업들은 실제 투자액과 비율, 그리고 인력현황을 산출하는 것에 어려움을 겪고 있다는 점이다. 대기업이나 상장기업의 경우 정보기술 및 정보보호에 대한 투자액과 비율을 파악하고 있지만, 중소기업들은 이러한 투자액까지 파악하지 못하는 경우가 대부분이다. 게다가 기업들은 정보기술부문 투자액과 정보보호부문 투자액 등 회사의 기밀에 해당하는 운영비용을 공개하는 것 자체에 대해서도 거부감이 있다. 인력 운용 또한 마찬가지다.

KISA는 이러한 고충을 조금이나마 해소하는 등 정보보호 공시제도 의무화에 대응하기 위해 ‘무료 컨설팅’을 제공하고 있다. 2015년 공시제도가 시작한 이후 꾸준하게 해오고 있으며, 이번 의무화에 맞춰 예산과 인력을 확충하고 있다. KISA 보안산업기반팀의 정원기 팀장은 “기업의 규모나 업종에 따라 투자액과 인력에 대한 판단기준이 다를 수 있다”면서, “컨설팅은 이렇게 기업이 판단하기 어려운 부분에 대한 판단을 내리는 것을 돕는다”고 설명했다. 이어 “기업이 감리 및 회계법인을 통해 회계감사 보고서를 내는 것처럼 감리 및 회계법인을 이용해 정보보호 공시를 받는 기업이 있기 때문에 감리 및 회계법인을 대상으로 한 교육도 준비하고 있다”고 밝혔다.

2.  정보보호 공시 조회 

https://www.ksecurity.or.kr/kisis/subIndex/33.do

1) 

정보보호 투자 현황

2)

정보보호 인력 현황

3) 

정보보호 관련 인증ㆍ평가ㆍ점검 등에 관한 사항

4)

정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황

3. 공시 위반시 1천만원 과태료 부과

4. 시사점

- 공시를 위한 인증ㆍ평가가 증가 할 것으로 예상
- 정보보호에 대한 예산 편중 일부 증가 예산
- 정보보호 인력에 대한 인하우스 팀 신설 증가 예상

정보보호 공시제도가 또 다른 규제로 비추어지기 보다는 근거 법률 제정에 맞는 정보보호 산업진흥발전에 조금이라도 부합 가능한 제도로 자리매김 하길 바란다.  비용이 아닌 투자 인식으로 전환이 가능할까?

1) 자율주행자동차의 윤리 문제는 “자율주행자동차 운행 중 사고를 회피할 수 없는 상황을 접했을 때 법을 준수한 소수와 법을 어긴 다수 중 어느 쪽을 희생시킬 것인가”와 같은 트롤리 딜레마 상황을 비롯하여 신호등 고장, 차량사고 현장을 회피하여 통행을 진행하기 위해서는 불가피하게 법을 어기고 중앙선을 넘어야 하는 경우와 같은 위기관리 상황 등 다양하게 나타나기 때문에 상황별로 판단 기준을 관련법이나 규칙을 통해 사전적·명시적으로 규정하기는 어려움.

2) 트롤리 딜레마 상황과 같이 자율주행자동차 운행 시 피할 수 없는 사고가발생하여 윤리적 판단을 내려야하는 경우에는 자율주행자동차가 어떠한 선택을 하든지 필연적으로 인적·물적 피해를 발생시킬 가능성이 큼. 따라서 이러한 피할 수 없는 사고와 그에 따른 윤리적 선택 상황이 발생하지 않도록 예방 조치를 취하는 것이 중요함.

3) 본 윤리 가이드라인은 자율주행자동차 운행에 관련된 윤리적 명제에 대한 결론을 내리는 것보다는 상용화에 걸림돌이 될 수 있는 윤리적 문제의 방지를 위한 방향을 제시한다는 차원에서 제정 의의가 있음.

4) 긍정적 효과를 증진하고 부정적 효과를 감소시키는 것이 앞서 언급된 손실 발생의 예방과 함께 본 가이드라인이 공리주의적 원칙을 따르고 있다는 의미로 해석되기 때문에 ‘공리주의’ 원칙을 표면화하자는 주장도 있지만, 이 경우 교통약자나 사회적 약자들에게 불리한 형평성 문제 를 초래할 가능성이 있어서 이를 반영하기는 어려움.

5) 자율주행자동차가 사물이어서 스스로 책임을 질 수 없기 때문에 사고 또는 문제 발생 시 자율주행자동차 관련 설계자, 제작자, 관리자, 서비스 제공자 및 이용자 등 행위 주체들이 책임의 주체가 됨.

6) 본 가이드라인의 적용 대상인 자율주행자동차는 주변상황과 도로 정보 등을 스스로 인지하고 판단하여 자동차를 운행할 수 있게 하는 자율주행시스템을 통해 작동되는 것으로, 인간의 개입 없이 자체적인 인지·판단을 통해 상황에 대응한다는 점에서 AI/로봇의 특성을 공유한다고 볼 수 있음. 이에 따라, 기본가치 제정 시 그동안 국내외 유수 기관의 ‘AI/로봇 윤리가이드라인’에서 제시된 관련 내용을 일부 반영하였음.

이제까지 공표된 국내외 AI/로봇 윤리 가이드라인(한국공학한림원, 2019)이 추구하는 기본가치의 핵심 내용은 ① 인간은 존엄하기 때문에 인간의 명령에 따라야 하고, ② 인간의 행복을 추구하여야 하며, ③ 인간의 생명을 보호하고 공공선을 추구하며, ④ 환경적, 사회적으로 지속가능한 발전을 추구해야 함 등임. 7) 자율주행자동차 행위주체들이 기본가치 구현을 위해 준수해야 할 행동원칙은 ① 투명성, ② 제어 가능성, ③ 책임성, ④ 안전성, ⑤ 보안성 등 크게 5가지로 구성됨. 8) 본 가이드라인은 행위주체들에게 의무사항을 강제하기 위한 것이 아니라, 우리 사회에 이미 정립된 윤리를 바탕으로 한 자율주행자동차의 기본가치, 행동원칙 등을 공개적으로 제시하여 행위주체들이 이를 고려하여 행동할 수 있도록 하고 자발적으로 책임성을 확보할 수 있도록 하려는 것임.