8. 금융기관 의무와 책임 개인정보 관련 법령 비교 신용정보법 신용 정보제공ㆍ이용자 ( 고객 및 직원의 ) 신용정보 민감정보 수집금지 개인식별정보 이용 · 제공 동의 X X X 원칙적 동의 필요 신용정보관리ㆍ보호인 정보통신망법 정보통신서비스제공자 및 준용사업자 고객정보 민감정보 수집 동의 X X 사전고지 및 동의 , 보호조치 원칙적 동의 필요 개인정보 관리책임자 개인정보보호법 개인정보처리자 ( 업무상 개인정보 취급자 ) 고객정보 + 직원정보 민감정보 및 고유식별정보 처리 동의 CCTV 설치ㆍ운영상의 제한 정보주체 통지 및 정부 신고의무 사전고지 및 동의 동의 불요 ( 단 , 공개의무 및 고지의무 있음 ) 개인정보 보호책임자 수범자 대상정보 민감정보 및 고유식별정보 CCTV 운영 처리 등의 위탁 국외이전 개인정보보호 책임자 정보유출 통지 및 신고
9.
10. 2008 년 정보통신망법 기술적 , 물리적 , 관리적 보호대책 ( 방통위 고시 ) 불이행으로 인한 정보유출의 경우 2 년 이하 징역 또는 1 천만원 이하 벌금 / 양벌규정 금융기관의 경우 , 입건 후 처벌사례 없으나 최근 환경 크게 변화 주요 관리소홀점 고객정보 비암호화 , 접근통제 불철저 , 알려진 취약점 미대응 등 경찰 사이버수사대 / 검찰 첨단범죄수사부 관심 증대 피해 금융기관의 과실점에 대해 정보통신망법위반죄로 입건 여부 적극 검토 중 사법당국의 대응 I III II IV
11. 금융감독법령위반 임직원 및 기관제재 민사상 손해배상 책임 정보유출에 대한형사 책임 ( 정통망법 위반 ) 대고객등 신뢰 훼손 금융기관의 법류 리스크 법적 위험 01 02 04 03
13. 금융기관이 법률적 위험에 노출되어 있어 이를 예방하기 위한 법률 자문도 정보보호를 위한 비용 항복에 포함하도록 감독당국의 유권해석 또는 문구 수정 별표 2 중 정보보호 관련 컨설팅 비용 및 정보보호컨설팅 분류표에 IT/ 정보보호 관련 법률 자문이 포함되는지 불분명 제 8 조 ( 인력 , 조직 및 예산 ) 제 3 항 " 제 1 항 제 1 호의 인력에 관한 기준은 < 별표 1> 과 같으며 , 제 2 항의 예산에 관한 기준은 < 별표 2> 와 같다 ." 정보보호 컨설팅의 범위 개정안 이 슈 의 견
14. 비밀번호 생성 규칙 문구를 명확히 수정 방통위 고시와 비교하였을 때 , 8 자리에 숫자 , 영문자 , 특수문자가 모두 들어가야 하는 것인지 그 중 2 가지만 혼합되면 되는 것인지 문구가 불분명하고 , 정보통신망법에 의하여 적용되는 방통위고시의 내용과도 불일치 cf. 방통위 고시 - 다음 각 목의 문자 종류 중 2 종류 이상을 조합하여 최소 10 자리 이상 또는 3 종류 이상을 조합하여 최소 8 자리 이상의 길이로 구성 ( 가 . 영문 대문자 (26 개 ), 나 . 영문 소문자 (26 개 ), 다 . 숫자 (10 개 ), 라 . 특수문자 (32 개 제 12 조 ( 단말기 보호대책 ) 제 3 호 " 비밀번호는 생년월일 , 주민등록번호 , 전화번호를 포함하지 않는 숫자와 영문자 및 특수문자 등을 혼합하여 8 자리 이상으로 설정하고 분기별 1 회 이상 변경할 것 " 개정안 이 슈 의 견
15. 정보보호 제품에 대한 인증 외국계 금융기관의 경우에 본사가 사용하는 정보보호제품의 사용을 허용 “ 국가기관”을 대한민국으로 한정하여 해석하는 경우 , 현재 인증 국가기관은 국정원 밖에 없고 , 해외 보안 업체들은 암호 소스를 국정원에 제공하고 있지 않음 따라서 문언상으로는 해외 정보보호제품은 사용할 수 없게 되는 결과가 되고 , 외국계 금융기관이 여러 국가에 통일적인 보안 시스템을 구축하거나 , 더 우수한 외국산 제품을 사용하기 곤란해짐 제 15 조 ( 해킹 등 방지대책 ) 제 2 항 제 1 호 " 정보보호 시스템에 사용하는 정보보호제품은 국가기관의 평가•인증을 받은 장비를 사용할 것 " 개정안 이 슈 의 견
16. 보안프로그램의 해제 고객 본인이 동의할 경우에 보안프로그램을 아예 설치하지 않도록 문구를 명확히 하거나 , 유권해석 단서의 해석과 관련하여 보안프로그램을 먼저 설치하고 해제해야만 하는 것인지 고객 본인이 동의하는 경우에는 보안프로그램을 아예 설치하지 않을 수 있는지 문제됨 후자의 경우 고객이 다양한 인터넷 브라우저를 사용할 수 있도록 보안프로그램을 개발 , 제공하는 것이 수월해지나 , 기존 금감원 입장은 전자의 입장으로 보임 제 34 조 ( 전자금융거래 시 준수사항 ) 제 2 항 제 3 호 " 해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용할 것 ( 다만 , 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다 )" 개정안 이 슈 의 견
타사 사례 등을 통해 볼 때 일반적으로 다음과 같은 형태의 요구 사항이 존재하였음 ○ 매각협상 등 매각과정에 참여 요구 - 대부분의 노조가 매각과정에 참여하기 위해 주장하고 있으나 대부분 받아들여지지 않음 - 실력행사의 일환으로 실사를 거부하는 등 많은 마찰을 빚고 있음 ○ 고용보장 , 단협 승계 , 노조 인정 , 근로조건 유지 요구 - 일반적인 매각이나 M&A 에서는 요구를 일단 수용하는 경우가 많음 - 다만 GM 이 대우자동차를 인수할 때처럼 buyer 가 단협 개정 , 인원 구조조정 등을 요구할 경우 노조와 대규모 충돌 가능성도 있음 ○ 위로금 ( 매각에 따른 보상금 ) 지급 요구 - 노조에서는 위로금 지급이 일반적인 관행이라고 주장하고 있으나 업종별로 차이가 있음 - 위로금을 지급하더라도 ‘얼마’라고 못박혀 있지는 않으며 , 투자기간과 수익률을 종합하고 , 노조의 반발 등 매각과정에서의 특수성 등을 고려해 지급하고 있음
![금융보안 관련 법률과 위기 관리 2011. 10. 25. 구 태 언 변호사 [email_address] 행복마루 법률사무소](https://image.slidesharecdn.com/20111024-111103104209-phpapp01/85/20111024-1-320.jpg)
