핀테크를 위한 보안 및 정보보호 정책

핀테크를 위한 보안 및 정보보호 정책

핀테크를 위한 보안 및 정보보호 정책

핀테크를 위한 보안 정책 수립과 정보보호 정책 대응에 대해서 알아보겠습니다. 보안 정책의 종류에는 보안 조직의 운영, 데이터 보안관리, 물리적 보안관리, 전자인증서 관리 등이 있고, 이에 대해 정책을 세우고 집행하는 것을 보안 정책이라고 말합니다. 보안 정책을 세우고 집행하기 위해서는, 보안 조직을 마련하고, 전 조직이 보안 정책에 따라 업무를 수행하면서 보안을 유지할 수 있도록 해야 합니다. 보안 조직의 역할은 경영자, 보안 관리자, 시스템 설계자, 개발 프로젝트 리더, 시스템 운영 책임자, 시스템 운영자, 보안 감시자 등으로 나눌 수 있습니다. 흔히 보안을 ‘막는 것’으로만 생각해서, 공격자에 의한 위해가 가해지지 않도록 예방하는 것으로 생각하기 쉬운데요. 사실 최선의 보안은 시스템 운영조직의 보안 마인드 확립으로 운영자의 실수를 줄이고, 보안 재난에 신속하게 대응해서, 피해가 확산되는 것을 방지하는 데 있습니다. 이를 위해서, 최고 경영자는, 구성원들이 보안에 대해 올바른 인식을 확립할 수 있는 문화를 조성해야 하고, 보안 재난에 대해서 궁극적인 책임을 져야 합니다. 보안은 보안 관리자에 의해서만 되는 것이 아니라, 구성원 전체의 보안 의식 확립과 보안 정책 준수에 의해서 이뤄진다는 사실, 꼭 기억하시기 바랍니다. 데이터 보안을 위해서는, 데이터별로 보안 등급을 부여해서 관리해야 합니다. 예를 들면, 조직의 데이터를 공개, 내부, 기밀, 극비의 네 등급으로 분류하고, 구성원별로 보안 등급을 부여해서 데이터 접근에 제한을 둘 수 있습니다.

데이터별 관리정책

데이터별로 관리 정책을 정해서 관리해야 합니다. 예를 들어, 암호화되어 전송될 데이터, 암호화되어 저장될 데이터, 변조 여부 확인 등 무결성 보장을 위해 Check-Sum이 저장될 데이터 등으로 관리할 수 있습니다. 화면을 보시면, 데이터 보안 등급별로 보안 요구사항과 백업 정책을 설정한 사례를 확인할 수 있습니다. 예를 들어, 공개 데이터는 1주일 간격으로 정기 백업을 하고, 극비 데이터는 1일 간격으로 정기 백업을 합니다. 그리고 동시에 최소 1주일 간격으로 제3의 장소에 외부 백업을 실시해야 합니다. 또 담당자별로 데이터 접근 권한을 설정해서 데이터 접근 이력을 저장하고, 해커에 의한 자료 변조 여부를 확인할 수 있도록 Check-sum을 저장해서 데이터의 무결성을 보장해야 합니다. 컴퓨터 서버 시설의 물리적 보안을 위해서는, 발생할 수 있는 문제별로 대응 방안을 미리 정해두고, 비상시에 대응할 수 있어야 합니다. 발생할 수 있는 문제들에는, 물리적 침입, 시스템 과열, 전력 장애, 화재나 수해, 전자기 장애, 네트워크 장애, 저장장치 장애, CPU 장애 같은 것들이 있습니다. 예를 들어, 네트워크 장애는, 네트워크를 이중화함으로써 사전에 대응할 수 있습니다.

개인데이터 보호

이번에는 개인데이터 보호와 관련해서 GDPR에 대해 알아보겠습니다. GDPR은 ‘일반개인데이터보호법’이라는 이름으로 마이데이터 추진 배경을 설명할 때 언급했었는데요. 유럽연합이 GDPR을 제정하면서, 개인데이터 이동권을 보장하고, 개인 데이터 결정권을 강화했다는 점을 설명 드렸었습니다. GDPR은 유럽연합 전체 시민의 개인정보보호 및 기업에 의한 데이터 보호에 관한 규칙인데요. 유럽연합 거주자에게 서비스를 제공하는 기업은 유럽연합 내에 회사를 두지 않더라도 GDPR 요건을 갖추고 있어야 합니다. GDPR은 적용 범위가 광범위한데, 유럽에 사무소를 열어서 개인 데이터를 취급하는 기업들은, 모두 GDPR에 따르는 활동을 해야 하고, 데이터를 보유하고 축적하는 외부 제공처에도, GDPR이 적용됩니다. 또 규제를 위반했을 경우에는, 거액의 벌금이 부과되는데, 그 금액이, 해당 기업의 전 세계 연간 총매출액의 4%, 또는 2,000만 유로에 달하기 때문에, 관련 기업들의 주의를 요합니다. 한국인터넷진흥원도 GDPR에 대해 안내하고 있습니다. 2018년 5월 25일부터 시행하고 있는 EU의 개인정보보호 법령으로 소개하면서, 위반 시 과징금 등 행정처분이 부과될 수 있으며, EU내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있기 때문에 우리 기업의 주의가 필요하다고 안내하고 있습니다.

GDPR

GDPR은 디지털 단일시장에 적합하도록, 통일되고 단순화된 프레임워크를 지향합니다. 단일 개인정보보호법을, EU 전체에 동일하게 적용하고, 원스톱샵 메커니즘에 따라 ‘1명의 담당관-한 명의 해석’ 원칙을 추구합니다. 개인정보보호 관점에서는 동의 요건 강화, 데이터 이동권과 잊혀질 권리 도입으로, 정보 주체의 권리를 확대하고, 데이터 보호 담당관 지정이나, 개인정보 유출 통지 신고제 도입을 통해서, 기업의 책임성을 강화하였습니다. 또 개인정보 감독기구 간의 협력을 강화하고, 법 적용의 일관성을 보장하기 위한, European Data Protection Board를 설립해서, 현대화된 개인정보보호 거버넌스 체계를 마련하였습니다. GDPR은 2012년 제안되고, 2016년에 채택되면서, 2018년부터 시행되고 있습니다. 그 이전에도 데이터 보호에 관한 규제가 있었는데요. 1995년의 Data Protection Directive, 즉, DPD입니다. DPD는 회원국 간의 별도 입법이 필요하고, 각 회원국 법령 간의 규제 수준에 차이가 있었습니다. DPD와 비교하면, GDPR은 모든 EU 회원국에게 직접적으로 적용되고, 회원국 간에 통일된 법 적용과 규제가 가능하도록 되어 있습니다. GDPR이 시행되면서, 기존 DPD의 개인정보 최소 처리, 처리목적 통지 등의 책임 규정 외에도, DPO 지정, 영향평가 등의 책임 규정을 추가해서, 기업의 책임을 강화시켰습니다. 정보 주체의 권리도, 기존 DPD의 열람 청구권 외에, 정보이동권 등 새로운 권리를 추가해서 강화시켰고, 과징금도, 기존에 회원국별 자체 법규에 따라 부과하던 것에서 벗어나서, 모든 회원국이 통일된 기준을 적용받을 수 있도록 하였습니다. GDPR이 정한 정보 주체의 권리를 보면, 정보를 제공받을 권리, 정보 주체의 열람권, 정정권, 반대권 외에도, 삭제권, 처리 제한권, 개인정보 이동권, 자동화된 의사결정을 신설하였습니다. 이것은 우리나라 개인정보보호법상의 고지, 열람, 정정삭제, 처리 정지, 권리 행사의 방법 및 절차 등의 규정에 비해서 진일보한 권리를 보장한다고 볼 수 있습니다. 그리고, 기업의 책임성을 강화하기 위해서, 여러 의무 사항을 지정하고 있는데요. DPO를 지정할 의무, 개인정보 영향평가를 시행할 의무, 설계와 가정에 의한 데이터 보호의 원칙을 충족하는, 내부 정책과 조치를 시행할 의무, 개인정보 처리 활동 기록 의무, 기술적/관리적 보호조치 시행의 의무 등을 부과하고 있습니다. EU 시민의 개인정보 역외 이전에 대해서도, 화면의 그림과 같이 이전 가능 여부 규칙을 정해서 적용합니다. 예를 들어, EU 밖으로 개인정보를 이전하더라도, 그 지역이 EEA, 즉 유럽 경제 지역이면 이전이 가능합니다. 만약, 유럽 경제 지역이 아닌 곳 중에서 적정성 결정을 받지 않은 지역으로, 이전하는 경우에, 적절한 보호조치가 적용되지 않거나, 특정 상황이나 간헐적/소규모 이전에 대한 예외가 인정되지 않으면, 역외 이전이 불가합니다. 지금까지 핀테크를 위한 보안과 정보보호 정책에 대해 살펴보았습니다.