웹 애플리케이션 보안 VS 웹 사이트 컴플라이언스

정보보호를 위한 노력과 컴플라이언스가 반드시 공존을 해야 할 필요는 없을지 모르지만, 구체적인 가이드를 제공하고 이를 만족해야만 주요 정보 자산과 이를 위한 시스템 등을 보호할 수 있다는 관점에서 컴플라이언스는 정보보호를 위한 노력의 일환으로 반드시 필요하다. 또한 이를 위한 가이드를 제공할 수 있는 자체 심사 도구와 심사 후 조치사항에 대한 우선순위를 평가할 수 있는 분석 도구가 요구되며 이는 전적으로 컴플라이언스를 기반으로 제공되어야만 가능하다. 컴플라이언스는 반드시 필요하며 이는 개인 혹은 조직을 규제하기 위한 수단이 아닌 정보보호를 위한 가이드라인으로써 준수해야할 표준의 하나로 인식돼야 한다.

지난 4월 11일은 필자에게 있어서 개인적으로 굉장히 중요하고 정신없이 바쁜 날을 가르는 기준점이었다. 이날은 ‘장애인차별금지법’안의 1단계 발효일이었으며 이 날을 기준으로 모든 공공기관, 특수교육기관, 종합병원 및 300인 이상 사업장과 국가기관은 웹 접근성에 대한 가이드라인을 준수하도록 강제화되었기 때문이다. 지난 3월에 있었던 웹 접근성 세미나 이후 필자는 엄청난 양의 이메일과 전화로 문의를 받았는데 대부분이 “웹 접근성을 이루기 위한 노력이 반드시 필요한지, 이를 위반하는 경우 어떤 제제가 있는지, 웹 접근성을 제공하는 것 자체가 강제화 된 것인지, 현재 웹 사이트에서 웹 접근성을 제공하라는 것은 무리가 아닌지, 어떻게 해야만 이러한 접근성 관련 문제를 해결할 수 있는지, 대신 작업을 한다면 어느 정도 기간이 소요되는지” 등등, 높은 관심과 시급한 처리를 요구하는 일들이라는 문의가 많이 있었다.

웹 애플리케이션 보안과 웹 사이트 컴플라이언스에 주요 비즈니스를 진행하던 필자는 이런 생각이 들었다. ‘장애인차별금지’ 법안과 관련되지 않고 웹 접근성을 해야 한다고 의무사항이 아닌 참고사항으로만 이야기가 나왔다면 이런 많은 질문과 이를 진행해야 하는 필요성이 있었을까?

컴플라이언스 준수를 위한 다양한 해외 법규

IT 강국, 대한민국을 만들어낸 것은 정부의 정책이었다고 해도 과언이 아닐 만큼, 초고속 인터넷 사업은 대한민국 내 지역에 따른 정보통신 이용 격차를 해소했고 다양한 기술을 통해 유·무선으로 인터넷 접근성을 높여왔다. 그리고 이를 일반 사용자에서 소외된 계층까지 확대시킬 수 있도록 ‘장애인차별금지법’이 지난 2008년 4월 11일에 발효되고 올해 ‘1단계 시행령’이 발효되었다. 하지만 이러한 접근성과 이용성을 위한 법률과 의무화 뒤로 이러한 다양한 정보에 접근하고 이용하는 사용자들에 대한 보호기술과 기업의 정보보호 의무는 어떻게 되어가고 있는가? 이러한 생각이 머리에서 계속 맴돌았다.

정보보호기반시설에 관한 법률과 정보보호안전진단 제도에 관련된 내용을 제외하고는 그다지 기업이나 조직 내에 정보보호를 위한 수단 혹은 대상을 지정하는 법규가 제공되고 있지 않은 것이 IT 강국의 현실이고 이것조차도 정보보호 기술 인력이 등재된 정보보호안전진단 업체에서만 수행이 가능하고 자체 심사를 위한 툴이나 관리도구가 없는 상황에서 전적으로 수행기관에 의존적이며 정보보호안전진단의 경우 1년에 한 번 다가오는 통과의례라고 생각하고 간단히 받고자 하는 사례도 존재한다.

웹 사이트 컴플라이언스는 이미 10여 년 전부터 해외에서는 이슈가 되어 왔으며 이를 준수할 수 있도록 하는 다양한 법령과 법규가 시장에서 기업과 조직이 따라갈 수 있도록 가이드로 존재하고 있다. 다음의 예들은 개인정보보호에 대해서 각국에서 얼마나 많은 관심과 노력을 기울이고 있고 그러한 노력의 일환으로 다양한 대상에 대한 법령들이 제정되어 이용되고 있음을 보여주는 사례이다.

California Assembly Bill No. 1950 and Senate Bill 1386(AB 1950 & SB 1386)
캘리포니아 거주자에 대한 개인정보를 유지하는 기업들 및 이들의 서드파티에게 요구하는 보안요구 사항으로 개인정보에 대한 보호를 위한 보안 절차 구현과 유지보수에 대한 내용과 이에 대한 관리와 이용 및 취득에 관련된 법안이며 Best Practice를 구현할 수 있는 시스템 혹은 솔루션과의 연계를 통한 준수 확인을 기본으로 하고 있어 이에 대한 법적 제제 및 수정이 가능하도록 되어있다.
Children Online Privacy Protection Act(COPPA)
미연방무역위원회에서 발표하고 시행한 법률로 13세 이하 어린이의 개인정보를 수집하고 사용하는 행위를 방지하는 법이며 이는 Safe Harbor를 고려할 수 있도록 하고 있어 아동에 대한 개인정보를 보호하는 수단으로 이용되고 있다.
Data protection Act
1984년 영국에서 개인 정보에 대한 보호를 위해 발효된 정책이며 이를 1998년도에 개정하여 2000년 3월 1일 시행되었다. 해당 법은 개인정보에 대한 정의와 의미를 새롭게 했으며 개인정보와 중요 개인정보를 차별화함으로써 원래 법의 범위를 확대했다. 해당 법에서는 개인정보의 ‘확보’, ‘보유’ 및 ‘공개’의 개념이 통합되어 있으며 이를 위한 8가지의 정보보호방침이 제시되어 있다.
DCID 6/3
다양한 수준에 대한 기술과 정보에 대한 무결성과 기밀성 및 이용성에 대한 법률의 목록이며 이들 모두가 위반사항이 있는지를 찾기 위한 컴플라이언스이다. 이를 준수함으로써 기업 및 조직은 정보자산에 대한 보호가 안전하게 이루어지고 있음을 확인할 수 있다.
European Directive 1995/46/EC 및 European Directive 2002/58/EC
모든 사람의 기본적인 권리와 자유를 보호하기 위한 것이며 특히 개인정보의 처리와 관련하여 개인정보보호권리를 보호하기 위한 것이다.
Federal Information Security Management Act(FISMA)
의회에서 통과되어 대통령이 ‘Electronic Government Act of 2002’로 이 법안을 채택했다. 이 법은 연방 정보 및 자산을 보호하기 위해 종합적인 조치를 수행하는 체제를 제공하는 것이다. 이는 국가 보안에 중요한 준수사항으로 정부차원에서 철저하게 검사되는 최상의 준수사항이며 해당 요구사항을 준수했다는 연간보고서를 제공하고 이를 평가 및 관리하여 새로운 조치 방안 계획을 포함하는 다양한 테스트 및 계획의 유효성을 종합적으로 검증할 수 있도록 한다.
Financial Service(Gramm-Leach-Billy Act : GLBA)
1999년에 제정된 Financial Service Modernization Act의 일부로 금융 기관이 보유하고 있는 이용자의 개인금융정보를 보호하는 규정을 말한다. 이 법은 금융, 보험, 주식을 분리한 장벽을 폐지함으로써 미국 금융서비스 제공자가 상호협력하여 상대편 시장에 진출할 수 있도록 하며 웹 사용 가능한 환경을 통해 해커가 접근할 수 있는 중요한 고객 정보를 금융기관이 보하도록 하기 위한 것이다. 이 보안 규칙은 2003년도에 시행되었으며 고객 정보의 보안을 위한 사전 준비가 필요하며 미국 금융업계의 현대화를 위한 목적과 개인정보보호 및 보안을 위한 부분을 포함하고 있다.
Health Insurance Portability and Accountability Act(HIPPA)
건강과 관련된 조직간에 안전한 방법으로 건강 정보를 공유할 수 있도록 하는 것이 목표다. 이 안에는 개인정보의 취득에 대한 방법과 수집된 정보가 안전한지, 개인 건강 정보가 서드파티에 전달되지 않도록 하며 정보의 보안, 무결성에 대한 위협 혹은 유해성이 존재하는 지와 정보의 무산 사용 및 공개 등에 관한 문제를 확인할 수 있도록 한다. 물론 데이터 무결성, 기밀성, 사용 가능성을 보호하기 위한 전문적인 보안 서비스를 제공할 수 있도록 가이드하며 이를 위한 시스템 활동을 기록하고 조사할 수 있는 감사 제어 메커니즘을 확립할 수 있도록 강제화 하고 있다.
Personal Information Protection Act(PIPA)
일본에서 비즈니스를 수행하는 회사의 경우 이 법을 통해 개인정보의 실용성을 유지하는 동시에 개인의 권리와 복지를 보호받으며 이용되는 개인정보의 관리, 처리 등에 관한 내용을 법으로 지정하고 있는 것이다.
Privacy Act of 1974
미국 연방행정관리국에서 수행하는 개인정보의 수집, 유지보수, 사용 및 보급을 규제하기 위한 포괄적인 ‘공정 정보 사례법’이며 이는 개인 정보가 보관되는 방법을 설명하고 관계없는 기록을 보관함으로 개인 프라이버시가 불필요하게 침해되는 것을 방지하는 법령으로 이를 위한 다양한 준수사항을 제공하고 있다.
Safe Harbor
미국 상무부에서 미국에 있는 기업들이 EU 지침을 준수하는 과정을 간소화하는 규정으로 개발 배포한 것이다. 이는 유럽연합의 포괄적인 개인정보보호 규정인 Directive Data Protection이 유럽연합국이 아닌 국가 및 지역의 경우 충분한 수준의 개인정보보호를 제공하는 경우에만 개인정보를 전송하도록 하여 제한하기에 발생하는 문제를 해결하기 위해 미국 본사, 미국 이외의 국가 및 지역에 있는 미국 계열사, 유럽 기업의 비즈니스 파트너에 적용되도록 했다.

이와 같이 더 나열하기 어려울 만큼의 많은 규정과 법령이 존재하며 이 중에는 ISO 17799/27001, Sarbanes-Oxley Act, PIPED Act 등도 존재하고 이들은 모두 하나의 가이드라인이자 법규로서 정보보호, 혹은 개인정보보호를 위해 조직과 기업들이 무엇을 지켜야 하는지를 알려주며 위반사항에 대해서 판별할 수 있도록 하는 툴과 같이 활용할 수 있는 이중성을 가지고 컴플라이언스의 활용성을 높이고 있다.

효율적인 비즈니스를 위한 컴플라이언스

전 세계적인 상황이 이렇다면 우리도 IT 강국으로서 개인정보 및 다양한 정보 시스템에 대한 보안을 효과적으로 이루기 위한 자체적인 가이드라인과 이를 평가하기 위한 도구를 활용할 수 있도록 하는 복합적인 목적의 컴플라이언스를 정보 혹은 산업계에서 개발하여 준수할 수 있도록 하는 것이 필요하다.

이는 단순히 누군가를 옭아매자는 것이 아니라 하나의 Best Practice를 구현하여 모든 조직과 기업이 자기의 정보시스템과 해당 시스템에 존재하는 다양한 민감한 정보에 대한 보호를 위한 노력이 단순히 얼마를 이용했으며 이게 투자대비효과라는 ROI관점에서만 논의될 것이 아닌, 의무사항으로 기업이 반드시 준수하여 자기의 자산과 이에 관련된 정보를 보호하는데 이용될 수 있도록 하는 노력을 기울여야 할 것이다. 앞에서 언급한 ‘장애인차별금지법’은 하나의 좋은 예라고 할 수 있다. 해당 법령은 시행령을 기반으로 무엇을 어떻게 준수해야 하는 가를 제공하며 이를 위한 국가표준 가이드라인의 준수를 이야기하고 있으며 이를 준수하기 위한 다양한 기술적인 검토를 위한 정보를 제공하고 있다.

이러한 노력은 이미 오래 전부터 기업과 조직이 정보보호를 이루기 위한 다양한 노력에서도 나타나고 있었지만 이를 적용하고 유지하고 개선하기 위한 정책적인 배려가 없었기에 더 많은 관심과 지원이 이루어지지 않았다고 보고 있다.

이러한 국가 혹은 산업계 차원의 규정을 통한 정책적인 지원이 이루어진다면 이는 향후 다양한 정보를 제공하고 제공받는 온라인 환경에서 이루어지는 다양한 비즈니스가 국경을 초월하여 효과적으로 이루어 질 수 있도록 하는 기반이 될 것이며 이를 통해 IT 강국으로서 시장을 선도하는 조직 및 기업 가치를 확대해 나갈 수 있을 것임을 믿어 의심하지 않는다.

규정과 법령을 통한 정책적인 지원은 당연시되는 정보보호를 위한 기본적인 노력이 기업 및 조직 내에서 이루어 질 수 있도록 도움을 제공할 것이며 이러한 노력이 정말 필요한 것인지를 확인할 수 있고 이에 대한 투자대비효과라는 평가는 사라지고 이를 통한 컴플라이언스 준수여부를 통해 정보보호에 대한 진정성을 평가 받을 수 있게 될 것이다.

이는 단순히 정보보호를 위한 보안시스템이나 감시, 감사도구에 대한 내용뿐만 아니라, 이를 운영하고 관리하는 주체에 대한 효율적인 평가와 관리 방법으로 이용될 수 있을 것이다.

컴플라이언스는 정보보호 위한 가이드라인

필자는 늘 보안성을 높이기 위해서는 다음의 4가지 주체에 대한 정의, 개발, 관리, 유지가 필요하다고 말한다. 이는 사람, 기술, 프로세스 및 규정(Compliance)으로, 이러한 4가지 주체가 정상적으로 존재하고 적용된다면 기본적인 보안성을 이룰 수 있다고 말한다. 마지막으로 이러한 것을 고려한 컴플라이언스의 좋은 예를 한 가지만 소개하고자 한다. PCI-DSS는 잘 아는 것처럼 Payment Card Industry·Data Security Standard로 규정이 존재하고 이를 확인하기 위한 Self-Assessment Tool을 제공하며 이를 검증받기 위한 Qualify Security Assessor의 라이센싱과 이용을 권고하며 평가를 위한 Authorized Scanning Vender를 제공할 수 있는 규칙과 라이센스를 제공하고 있고 평가 후 개선시 우선순위를 평가하기 위한 Prioritized Approach를 제공하고 있다. 이 외에도 지속적인 툴과 업데이트를 제공하기 위한 노력을 하고 있는데 이러한 노력이 정부 혹은 산업 표준 차원에서 계속적으로 이루어져 다양한 컴플라이언스를 통한 가이드를 제공한다면 우리가 논하는 정보보호를 위한 기업 혹은 조직의 노력에 대한 평가가 명확히 이루어 질 수 있을 것이며, 이는 복잡한 비즈니스 환경과 프로세스 및 다양한 연관성에서 나타나는 많은 문제점들에 대한 해결책으로 이용될 수 있을 것이다.

컴플라이언스는 반드시 필요하며 이는 개인 혹은 조직을 규제하기 위한 수단이 아닌 정보보호를 위한 가이드라인으로써 준수해야할 표준의 하나로 인식될 수 있도록 정부 차원 및 산업계 차원에서 노력해 나아가야 할 것이다.

<글 : 이동일 시드시스템 대표(jaisonyi@gmail.com)>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)