Compliance 발표자료

보안 담당자가 알아야 할
IT Compliance

1. 준법경영과 IT Compliance
2. IT Compliance 법•관리•행정 체계
3. IT Compliance의 영향
Index
2

3

4
4
개인정보 1억건 유출
배상금액 3조 8천억원
개인정보 1억건 유출
배상금액 2조원
개인정보 3천500만명분 유출
1심 2882명에게 20만원 지급 판결
2심 배상책임 없음
3년간 연속 적자
2012년 개인정보 유출
1인당 10만원 배상 판결
(870만건)

5
1. 준법경영의 의미 및 필요성
• 오늘날의 기업은 IT 시스템에 크게 의존
• 최근 기업 경영과정에서 관행적 행위가 위법한 것으로 판정되어 회사는
큰 손해를 입고 직원은 해고되는 사례가 종종 발생
• 준법 경영은 고객 및 사회에 대한 기업의 신뢰성 제고에 기여
5
2. Compliance의 의의
• Compliance는 기업의 위험관리와 투명성 강화를 위해 정부 또는 유관
기관들이 강제사항으로 규제하는 각종 규정(Regulations)을 준수할 수
있도록 준비하는 것
• IT Compliance는 Compliance를 IT기반의 각종 규정을 준수하고 관련
시스템을 재정비하는 것
• 항상 옳은 일을 할 수 있는 윤리적 기업문화 수립/유지

6
3. Compliance 태동
• 19~20세기는 단시간에 급성장한 많은 기업의 저력에 힘입어 미국이
세계 최강국으로 발돋움
• 급성장의 이면에 혁신과 유연을 위해 규제를 피하는 기업들이
윤리경영이념과 어긋나는 각종 스캔들을 일으켜 사회에 큰 피해를 줌
6
• 1860년 제이쿠키 사건
– 필라델피아 은행가, 철도채권으로 인한 막대한 부와 명성 획득, 철도사업 파산으로
1873년 경제 공황의 계기가 됨.
– 정부 규제 태동 : 1872 우편사기법 (최초의 연방법률)
1887 주간상업법 (철도규제)
1890 셔먼 반독점법 (독점에 대한 규제)
• 시어도어 루즈벨트
– 기업과 나쁜 기업의 경계를 확실하게 그음
– 나쁜 기업과의 전면전 선포
• 대기업 위주의 정책
– 국민의 빈익빈 부익부 현상 심화, 카네기와 록펠러 등의 거대 기업이 폭력을 동원한
노동자 탄압과 독점으로 부를 축적

7
7
• 프랭클린 루즈벨트(36대)
– 1929년 미국 경제 대공황이 절정에 달할 때 대통령으로 당선
– 1932년 인술사 붕괴를 통해 기업 개혁법안 제정을 서두르게 됨
• 유가증권 법률, 유가증권거래위원회(SEC) 수립
• 신규공시요건과 사기 방지 규정
• 공정시장 유지 투자자 보호
• 상업은행과 투자은행 업무 겸업 금지
• 지주회사 구조 금지
• 1960년 초 전기 산업의 독점금지 스캔들 발생
– 입찰 가격 조작, 가격 고정 공모 등에 대한 규제 시작
– 셔먼 독점 금지법 역사상 최초로 징역형 선고
• 1970년 워터게이트 사건
– 기업들이 장부에 기재하지 않은 자금을 이용해 뇌물을 주고 있다는 사실이
밝혀짐 (해외사업 촉진을 위해 공무원에게 뇌물을 수수)
– 해외부패방지법 제정

8
8
• 1980년 국방물자 조달 계약 비리
– 레이건은 데이빗패커드를 의장으로 패커드 위원회 설치
• 컴플라이언스 권고안 마련할 것을 지시
• 경력과 고하를 막론한 모든 직원에게 윤리강령을 배포
• 내부 통제 실행과 모니터링 권고 등 오늘날의 컴플라이언스와 유사한 방식을 도입
300불 = 300 X 1113.5 = 334050원
현재 가장 비싼 망치 32000원
600불 = 600 X 1113.5 = 668100원
국산 일반 양변기 133,000원
• 트레드웨이 위원회
– 재무보고에서 과장과 허위를 벗겨내기 위한 연구 진행
– 이사회와 감사위원회의 역할, 외부 감사인의 독립성, 내부통제 및 감사기능 향상 등 적용
• 연방 기업 양형 가이드라인
– 법률을 위반한 기업에게 컴플라이언스 프로그램을 갖출것을 명하고 이를 따르면 형량을
감경해 줌
– 법을 지키면 이익이라는 생각의 확산으로 컴플라이언스가 기업에서 활성화됨
• SOX 2002, Basel II(2007), 신바젤 협정(Basel III) 이후 시장 확대
– SOX는 2001년 Enron, WorldCom 등의 회계 부정 사고 이후 재무제표의 작성 및 공시의
투명성 제고를 위하여 제정됨
– HIPPA(Health Insurance Portability and Accountability Act)
– DoD의 전자파일 레코드를 안정적으로 보관하기 위한 시스템 최소요구조건 규정

9
3. Compliance 시장 태동(국내)
• 국내 IT Compliance의 효시
– 체신부가 1993년도 제정한 “전산망 안전 신뢰성 기준”
– 금융정보화 추진분과위가 1997년도 제정한 “금융정보망 안전대책 강화방안”
등이 국내 IT Compliance의 효시
• 금융감독원은 2003년도 금융기관 대상 “재해복구 시스템 구축
권고(안)” 제정
• 미국 회계개혁 법안 제정에 대응하여, 국내에서는 2004년도부터
Compliance를 본격적으로 추진
– 증권거래법, 공인회계사법, 주식회사의 외부감사에 관한 법률 개정
– 증권관련 집단소송법 2005년도 시행
9

10
4. 전사적 차원의 추진 필요성
• 기업에 대한 Compliance 요구는 계속 증대 전망
• IT Compliance 규제법안들의 근본 목적은 기업의 투명성 강화를
통해 조직의 건전성을 확보
• Gartner의 CIO를 위한 Compliance 지침
– 기본적으로 IT Compliance는 IT 부서만으로는 달성할 수 없는 과제
– 법무, 재무 부서 및 외부 감시자와의 긴밀한 협조가 필요
– 전사적 차원에서 합리적인 통제절차와 기구가 필요, 적절한 Solution 도입 권고
• 따라서 전사적 차원의 IT Compliance 관리 및 추진 필요
10

2. IT Compliance 법•관리•행정체계
11

12
1. 법령의 필요성
• 법치주의 아래에서 법령은
정책을 담는 그릇
• 국 민 의 자 유 나 권 리 를
제한하거나 의무를 부과하는
사 항 에 대 해 서 는 반 드 시
법령에 근거(헌법)
• 수 익 적 정 책 의 경 우 에 도
정 책 의 일 관 성 과 적 법 성 ,
투명성 확보를 통한 정책의
제도화를 위해서 필요
• 정책의 제도화를 위한 과정이
법제화 과정
2. 국내 IT Compliance 법•관리•행정 체계
12

13
2. 법령간 모순 및 저촉 해결 원칙
• 상위법 우선의 원칙
• 특별법 우선의 원칙
• 신법 우선의 원칙
• 상위법 / 특별법 / 신법 순으로 적용
• 일반법 : 모든 상황에 동일하게 적용되는 법령 (개인정보보호법)
• 특별법 : 특별법 내에서 규정한 상황에만 적용되는 법령
(정보통신망법)
13

1414
의안발의권
(의안제출권)
17부 5처 16청 2원 5실 6위원회

15
3. 정부조직 체계 (행정부)
• 17부 5처 16청 2원 5실 6위원회
• 부 (미래창조과학부, 행정자치부 등)
– 정책과 행정부의 권한에 속하는 사항을 수행
– 국무총리 산하에서 기능별, 행정 대상별로 업무를 수행
– 시행령의 하위인 시행 규칙, 각종 규칙, 고시에 대한 주관
– 법률안, 대통령령에 대한 의안제출권의 권한을 가짐
• 청 (국세청, 관세청, 조달청, 통계청, 검찰청, 병무청등)
– 부와 관련된 업무이면서도 독자성이 높은 업무를 수행.
– 업무의 범위가 전국적
– 집행기관의 역할 (정책 수립은 거의 없음)
– 의안제출권이 없으므로 필요한 경우 소속장관에게 건의하여야 함
15

16
3. 정부조직 체계 (행정부)
• 처 (국민안전처, 인사혁신처, 법제처, 국가보훈처, 식품의약품안전처)
– 국무총리 소속, 여러 부에 관련된 기능을 통합하는 참모적 업무를 수행
– 처장은 의안제출권이 없으며 필요한 경우 국무총리에게 의안제출을 건의할 수 있음
– 국무회의 구성원은 아니지만 국무회의 출석/발언권을 가짐
• 원 (국정원, 감사원)
– 대통령 직속기관으로 국가 안보/안위와 관련된 업무를 수행
• 실 (대통령 비서실, 국무조정실, 대통령경호실, 국무총리비서실,
국가안보실)
– 대통령 또는 국무총리 직속기관으로 대통령 또는 국무총리를 보좌하기 위한 기관
• 위원회 (방송통신위원회, 공정거래위원회, 금융위원회 등)
– 행정기관이 담당하는 사무에 관하여 자문/조정/협의/심의 /의결 기관
– 복수의 구성원으로 이루어진 합의제 기관
16

17
4. 행정조직 별 관리 법 (IT Compliance관련)
17
2. IT Compliance 관리•행정 체계
조직 관리 법안
행정자치부 개인정보보호법, 공공기록물관리법, 전자정부법
방송통신위원회 정보통신망법, 위치정보법
미래창조과학부 국가정보화기본법, 정보통신망법, 정보통신기반보호법, 정보통
신공사업법, 정보통신산업진흥법, 전자서명법, 과학기술기본법,
통신비밀보호법
보건복지부 의료법
문화체육관광부 저작권법, 콘텐츠산업진흥법
산업통상자원부 소프트웨어산업진흥법, 산업기술유출방지법
특허청 특허법, 부정경쟁방지 영업 비밀 보호에 관한 법률
금융위원회 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률
공정거래위원회 전자상거래보호법, 소비자기본법

18
5. 개인정보보호 관련 법률
• 개인정보보호법 (일반법)
• 정보통신망 이용 촉진 및 보호에 관한 법률(특별법, 정보통신 사업자)
• 의료법 (의료기관)
• 신용정보의 이용 및 보호에 관한 법률 (특별법, 신용정보회사)
• 위치정보의 보호 및 이용 등에 관한 법률 (특별법, 위치정보사업자)
• Etc…
18

19
6. 정보보호 관련 법령
• 정보통신망 이용 촉진 및 정보보호 등에 관한 법률
• 정보통신기반 보호법
• 국가정보화 기본법
• 통신비밀보호법
• 전자서명법
• 전자정부법
• 전자상거래 보호법
• 전자금융거래법
• 국가사이버안전관리규정
19

21
8. 법의 적용
Ex ) PC에 보유하고 있는 개인정보파일의 처리
① 법률의 조항 확인 (개인정보보호법 제 29조)
• 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획
수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적
및 물리적 조치를 하여야 한다
② 시행령의 조항 확인 (개인정보보호법 시행령 제 21조, 30조)
• 고유식별정보의 안전성확보조치에 관하여는 제 30조를 준용한다.
• 1항 : 개인정보처리자는 법 제 29조에 따라 다음 각호의 안전성 확보조치를 하여야 한다.
– 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한조치
– 3. 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
• 3항 : 제 1항에 따른 안전성 확보조치에 관한 세부 기준은 안전행정부장관이 정하여
고시한다.
③ 안정행정부 고시 확인 (개인정보의 안전성 확보조치 기준 : 행정안전부고시 제 2011-
43호)
• 제 7조 8항 : 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우
상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야
한다.
• 결론 : 암호화 해서 저장해야 함
21

22
8. 법의 적용
Ex ) CCTV 영상 파일의 처리
① 법률의 조항 확인 (개인정보보호법 제 25조)
• 영상정보처리기기운영자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록
제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다.
② 법률의 조항 확인 (개인정보보호법 제 29조)
• 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부
관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에
필요한 기술적·관리적 및 물리적 조치를 하여야 한다
③ 시행령의 조항 확인 (개인정보보호법 시행령 제 21조, 30조)
• 고유식별정보의 안전성확보조치에 관하여는 제 30조를 준용한다.
• 1항 : 개인정보처리자는 법 제 29조에 따라 다음 각호의 안전성 확보조치를 하여야
한다.
– 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한조치
– 3. 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
• 3항 : 제 1항에 따른 안전성 확보조치에 관한 세부 기준은 안전행정부장관이 정하여
고시한다.
22

23
7. 법의 적용
Ex ) CCTV 영상 파일의 처리
④ 안정행정부 고시 확인 (개인정보의 안전성 확보조치 기준 : 행정안전부고시 제 2011-
43호)
• 부칙 제 2조: 영상정보처리기기에 대한 안전성 확보조치에 대해서는 「표준 개인정보 보호지침」중에서
영상정보처리기기 설치/운영 기준이 정하는 바에 따른다.
⑤ 표준 개인정보 보호지침 확인
• 제 51조 : 영상정보처리기기 운영자는 개인영상정보가 분실․도난․유출․변조 또는 훼손되지
아니하도록 법 제29조 및 시행령 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의
조치를 하여야 한다.
– 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립․시행, 다만 「개인정보의 안전성 확보조치
기준 고시」(행정안전부 고시 제2011-00호) 제2조제4호에 따른 ‘소상공인’은 내부관리계획을
수립하지 아니할 수 있다.
– 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
– 개인영상정보를 안전하게 저장․전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을
위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
– 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치
• 결론 : 네트워크 카메라가 아닌 경우 접근통제를 잘 하면 암호화 할
필요가 없음
23

25
1. 규제의 변화
① 기업 활동에 대한 새로운 규제의 발생
– 기업 경영활동에 대한 규제
– 대체휴일제
– 남양유업 사태
– 경제민주화
② 기업 활동에 대한 기존 규제의 폐기/완화
– 수도권 규제완화법안
• 산업집적활성화 및 공장설립에 관한 법률 시행규칙 개정안
• 수도권 정비계획법 개정 논의
– 첨단업종을 제외한 공장의 신/증설 금지
– 공장총량제 (시도별 공장건축 면적의 총량 규제)
– 공동출자법인 완화
• 손자회사의 증손회사 보유지분율을 100%에서 50%로 완화 (공정거래법)
• 외국인 합작법인의 규제를 우선 풀기로 함
25

26
2. 시장의 변화
• 정보통신망법 개정
– 정보보호 영향평가 제도 폐지
– 정보보호 영향평가 시장 사라짐
• 유통산업발전법 개정
– 대형마트의 월 2회 강제 휴무제도 시행
– 주변 상권의 보호
• 개인정보보호법
– 개인정보보호 관련 솔루션 시장 폭발적 증가
• 시큐어코딩 의무화
– 정보시스템 구축 시 시큐어코딩이 개발단계에서부터 의무적으로 적용
– 시큐어코딩 관련 솔루션 시장 증가
• 전자금융거래법
– 전자금융기반시설에 대한 취약점 분석/평가 의무화로 컨설팅 시장 증가
26

27
3. 2015 Compliance Issue
• 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제정
• 클라우드 컴퓨팅의 발전 및 이용촉진, 이용자 보호에 관하여 다른 법률에 우선하여 이법을 적용. 단 개인정보 보호에
관하여는 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 관련법이 정하는 바에 따름
• 미래창조과학부장관은 관계 중앙행정기관의 계획 및 시책을 종합하여 3년마다 기본계획 수립하고 관계 중앙행정기
관의 장은 매년 소관별 시행계획을 수립/시행 하도록 함
• 관계 중앙행정기관은 클라우드컴퓨팅 관련 연구개발사업 및 시범사업을 추진하고 비용지원 또는 재정적 지원을 할
수 있도록 함
• 클라우드컴퓨팅 관련 중소기업의 육성을 위한 지원을 할 수 있도록 하고, 이와 관련한 연구개발 사업 추진 시 관련 중
소기업의 참여를 확대할 수 있는 조치를 마련하도록 함
• 국가기관등은 클라우드 컴퓨팅을 도입하도록 노력하여야 하고, 정보는 국가정보화 정책이나 사업 추진에 필요한 예
산을 편성할 때 클라우드컴퓨팅 도입을 우선적으로 고려하여야 함
• 다른 법령에서 인/허가 등의 요건으로 전산시설을 규정한 경우 클라우드 컴퓨팅 서비스가 포함되는 것으로 보도록
함
• 클라우드 서비스 제공자는 침해사고, 이용자 정보유출, 서비스 중단이 발생하면 그 사실을 이용자에게 알려야 하고,
이용자 정보가 유출된 경우에는 미래창조과학부 장관에게 알리고 피해확산 및 재발 방지 등에 필요한 조치를 해야
함
• 클라우드 컴퓨팅 서비스 제공자가 이용자의 동의없이 이용자 정보를 제 3자에게 제공하거나 서비스 제공 목적외의
용도로 이용할 수 없도록 하고 이를 위반하는 경우에는 5년 이항의 징역 또는 5천만원 이하의 벌금에 처하도록 함
• 이용자와의 계약 또는 사업 종료 시 이용자 정보를 반환하여야 하고 반환이 불가능한 경우 이용자 정보를 파기하여
야 하며 이를 위반하는 경우 1천만원 이하의 과태료에 처함
• 클라우드컴퓨팅 서비스 제공자가 이 법의 규정을 위반한 행위로 이용자에게 손해를 끼친 경우에는 고의 또는 과실이
없었음을 입증하지 아니하면 손해배상책임을 면할 수 없도록 함
27

28
3. 2015 Compliance Issue
– 신용정보의 이용 및 보호에 관한 법률 개정
• 개인정보보호법에 대한 특별법임을 명시
• 신용조회회사의 영리목적 겸업을 금지
• 신용정보회사 업무정지 사유 추가
– 신용정보처리 위탁 시 식별정보 암호화 조치 또는 신용정보전산시스템 보안대책 수립/시행 의무 위반으로 신용정보를
분실/도난/유출/변조/훼손당한 경우
– 신용정보업관련자가 업무상 알게 된 타인의 신용정보 등을 업무목적 외에 누설하거나 이용한 경우
– 신용조회회사가 계열회사 등에 신용정보를 제공한 경우
• 신용정보 처리 위탁 시 식별정보 암호화 등 보호조치, 수탁자 교육, 안전한 정보처리에 관한 사항의 위탁계약 반영 의
무화 및 재위탁 금지
• 신용정보관리/보호인을 임원으로 지정 및 업무 규정
• 신용정보 보유기간 제한(상거래 종료 후 5년 이내)
• 신용정보, 개인식별정보의 제공/이용 시 해당 개인에게 사전 통지 및 조회 할 수 있도록 함
• 신용정보주체는 상거래 관계 종료 후 일정 기간이 경과한 경우 개인신용정보의 삭제를 요구할 수 있음
• 개인비밀을 업무 목적 외에 누설하거나 이용한 경우, 불법 누설된 개인비밀임을 알고도 타인에게 제공하거나 이용한
경우 관련 매출액의 3%이하의 과징금을, 신용정보전산시스템 보안대책 미수립으로 개인비밀을 분실/도난/누출/변조
/훼손당한 경우 50억원 이하의 과징금 부과
• 신용정보회사 등과 신용정보이용자가 고의 또는 중대한 과실로 이 법을 위반하여 신용정보가 누설되거나 분실/도난/
누출/변조/훼손되어 신용정보추제에게 피해를 입힌경우 그 손해의 3배 이내에서 배상책임
• 신용정보회사 등과 신용정보이용자가 고의 또는 과실로 이 법을 위반하여 신용정보가 누설되거나 분실/도난/누출/변
조/훼손되어 신용정보추제에게 피해를 입힌경우 300만원 이하의 배상책임
28

29
4. Compliance 관련 참고 Site
1. 국회 의안정보시스템 : http://likms.assembly.go.kr/bill/jsp/main.jsp
2. 법제처 : http://www.moleg.go.kr/main.html
3. 국가법령정보센터 : http://law.go.kr/main.html
4. 금융감독원 금융감독법규정보시스템 : http://law.fss.or.kr/fss/lmx/main.jsp
5. 세계법제 정보센터 : http://world.moleg.go.kr/
29

Compliance 발표자료

Recommended

Recommended

More Related Content

Similar to Compliance 발표자료

Similar to Compliance 발표자료 (20)

Compliance 발표자료