로고

한국 CPO 포럼
회원가입 로그인
  • 뉴스 및 공지
  • News Letter
  • 뉴스 및 공지

    News Letter

    Weekly Privacy MagaZine

    한국CPO포럼 에서 매주 회원 여러분들게 보내드리는
    개인정보보호
    뉴스레터 입니다.  


    [VOL.400] '정보보호 공시 의무화' 앞두고 업계 '술렁'

    페이지 정보

    profile_image
    작성자 사무국
    작성일Date 22-06-20 17:33

    본문

    제도 도입 취지였던 정보보안 투자 확대될지 주목
    63232_1645760637.png
    22년 6월 3주   <VOL 400>
    63232_1644987697.png
    이번 주 PICK
    ⚡ '정보보호 공시 의무화' 앞두고 업계 '술렁'
    ⚡ 美 일리노이주 '생체정보보호법' 위반 집단 소송
    63232_1644987697.png
    '정보보호 공시 의무화' 앞두고 업계 '술렁'
    제도 도입 취지였던 정보보안 투자도 확대될지 주목

    과학기술정보통신부는 정보보호 투자 활성화와 이용자 보호를 위해 정보보호 투자·인력 등 현황을 의무적으로 공시해야 하는 '정보보호 공시 의무화' 대상을 603개 기업으로 확정해 지나나 4월 14일에 발표했어요.  정보보호 공시 의무자는 이번 달 30일까지 정보보호 공시 현황 자료를 제출해야 해요.
     
    정보보호 공시제도란?
    정보보호 공시제도는 정보보호 투자·인력·인증 현황 등 기업의 정보보호 현황을 자율적으로 공개하는 제도예요. 정보보호를 비용이 아닌 기업의 경쟁력을 강화하는 방법이라는 인식을 확대해 기업의 자발적인 정보보호 투자를 촉진하기 위해 지난 2015년 12월 시행된 '정보보호산업법'에 따라 도입됐어요.
    정보보호 공시제도는 의무가 아니었으나 지난해 법 시행령이 개정되면서 올해부터 일정 규모 이상의 정보통신기술(ICT) 관련 기업과 상장사는 의무적으로 정보보호 공시를 해야 해요.
    자사 보안 상황을 공개한 기업은 정보보호 관리체계 인증 수수료의 30%에 해당하는 금액을 할인받을 수 있고, 한국인터넷진흥원 정보화사업 입찰 시 가점 부여 등의 혜택을 받을 수 있어요. 공시하지 않을 경우에는 1000만원 이하의 과태료 처분을 받을 수 있어요.
     
    의무화된 이유는 뭐야?
    제도가 시행된 지 7년이 지났지만, 의무가 아니라는 이유로 활성화되지 못했다는 지적이 계속되어왔어요. 2019년 정부는 가이드라인 개정을 통해 제도 활성화에 나섰지만 가시적인 성과는 이끌어낼 수 없었다는 평가예요.
    2020년 기준 정보보호 공시를 했던 기업은 52개사에 불과했고, 정보보호 투자와 인력 투입이 아예 없다고 공개한 기업도 존재했어요. 이처럼 기업 유인책이 부족한 상황에서 자율적인 참여는 기대하기 어렵고, 경영진이 정보보호를 투자가 아닌 비용으로 인식하는 경향이 지배적이라는 분석이에요.
    과기정통부는 해킹으로 인한 데이터 유출 사고가 많아지는 상황에서 의무 공시화 대상을 넓혀 정보보호 투자를 더 늘리는게 취지라고 밝혔어요. 실제로 그간 공시를 했던 기업들의 경우 정보보호 투자액이 연간 약 12.7%, 인력도 15명 이상 증가했다고 해요.


    ESG 경영과 정보보호 공시
    기업 경영진들 사이에서 지속가능성을 높이고 미래 경쟁력을 좌우할 키워드로 '환경·사회·지배구조(ESG)' 경영이 주목받는 가운데, 기업의 전반적인 정보보호 투자 현황을 공개하는 정보보호 공시 활동의 중요도가 높아질 전망이에요.
    미국 신용평가사 모건스탠리캐피털인터내셔널(MSCI)은 기업의 지속가능경영 수준 진단에서 사회(Social)분야 주제인 '제품 신뢰성'의 하위 항목에 실질적인 정보보호 개념인 '프라이버시·데이터보안'을 포함하고, 점수와 등급 산출의 근거 자료로 정부와 학계의 통계, 언론 보도 외에 '기업이 공개한 재무정보와 공시 내용' 등을 활용하고 있어요.
    국내에선 정부가 정보보호 공시와 ESG 경영의 연계 정책을 펴고 있어요. 작년 12월에 발표된 부처합동 K-ESG 가이드라인은 조직의 ESG 성과 진단항목 중 하나로 '정보보호 시스템 구축'을 명시했어요. 정보보호최고책임자(CISO) 선임, 보안사고 대비 보험가입 여부와 함께 '정보보호 공시(의무 또는 자율)사항을 이행하고 있는 경우' 등 다섯 가지 기준을 충족한 기업은 이 항목에서 만점을 받아요.

    업계 반응은 어때?
    지난해 공시 의무화가 발표되자 금융권과 상장사 측에서는 "중복·과잉 규제"와 "과도하게 확장된 의무 부과"라는 목소리가 나왔어요.
    이번 달 말 공시 의무를 앞두고 업계 분위기는 반으로 나뉘는 모양새예요. 기존에 이미 정보보호 공시를 했던 기업이나 정보보호 관리체계 인증(ISMS)을 받은 기업들은 준비에 큰 어려움이 없을 것으로 예상이 돼요. 하지만 처음 공시 하거나 규모가 상대적으로 작은 기업은 준비에 어려움을 겪고 있어요.

    <과거 관련 기사>
    63232_1644987697.png
    美 일리노이주 '생체정보보호법' 위반 집단 소송
    메타 이어 스냅챗까지 집단 소송 직면

    최근 구글, 메타 등 글로벌 빅테크 기업들이 미국 일리노이 주 생체정보 보호법(이하 BIPA) 위반 협의로 제소되어 서비스 이용자들을 상대로 거액의 합의금을 지급하는 사례가 빈번하게 발생하고 있어요. 스냅챗도 최근 이용자 2명이 BIPA를 위반했다며 일리노이 북부 지방법원에 소장을 제출했다고 해요.
     
    생체정보가 뭐야?
    지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증, 식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보예요.
    생체정보는 개인 고유의 신호를 이용하기 때문에 도난이나 분실의 염려가 없는 높은 신뢰성과 보안성으로 차세대 보안기술로서 큰 주목을 받고 있어요. 하지만 생체정보는 개인별 고유의 정보로 비밀번호처럼 임의로 갱신하는 것이 불가능하기 때문에 한번 복제되면 안전성을 회복하는 것이 불가능하다는 치명적인 문제를 가지고 있고, 본인의 허락 없이 정보를 수집·저장·분석한다는 윤리적인 문제를 불러일으킬 소지가 있어요.


    美 일리노이주 생체정보보호법(BIPA) 이란?
    미국에서 가장 강력하다는 일리노이주 생체정보 보호법은 지난 2008년 발효됐으며, 기업이 얼굴 인식이나 지문·홍채 등 개인 생체정보 수집 시 사용목적 및 보관기간을 구체적으로 설명하고 서면으로 동의를 구하도록 하고 있어요. 동의 절차 부재 시 위반 건당 1000~5000 달러를 사용자에게 배상해야 해요.
    유사법이 있는 다른 주들이 검찰총장에게만 기소권을 준 것과 달리 일리노이에서는 개인도 소송을 제기할 수 있어요. 이 때문에 빅테크 기업들을 상대로 이용자들의 집단 소송이 연이어 이어지고 있어요.

    BIPA 위반 및 집단 소송 사례는?

    메타(당시 페이스북)는 2015년, 이용자 동의 없이 이용자가 포스팅한 사진으로부터 안면인식 정보를 수집·처리한 혐의로 집단소송을 당했으며, 2020년 7월 총 6억5천만 달러(한화 약 8천억원)를 보상하기로 합의했어요. 소송 참가자 160만 명은 1인 당 397달러(한화 약 40만원)를 지급받았어요.
    틱톡은 이용자가 업로드한 영상을 대상으로 얼굴을 인식해 이미지를 입히는 '얼굴 필터' 기능을 제공하는 과정에서 사전 동의 없이 미성년자의 얼굴사진을 수집하여 안면인식 목적으로 이용하는 등 20여 가지 사안들에 대해 BIPA 및 기타 개인정보 보호 관련 법률 위반 혐의로 2020년 5월 집단소송에 휘말렸어요. 2021년 2월에 9200만 달러(한화 약 1034억원)을 보상하기로 합의했어요.
    구글포토는 2015년 1월 1일부터 이용자가 업로드 한 사진을 분석해 유사한 얼굴 사진들을 자동으로 모아 보여주는 기능을 제공해 왔어요. 2016년 구글포토 앱 이용자들은 구글이 사전 동의 없이 구글포토 앱에서 이용자 생체정보를 임의로 이용하고 있다고 집단소송을 제기했고, 2022년 4월 말 구글은 1억달러(한화 약 1,270억원)의 배상금을 지급하기로 합의했어요.

    우리나라의 생체정보 보호법은?
    우리나라는 2020년 8월부터 생체정보를 개인정보보호법 상 '민감정보'로 분류하고 개인정보보호법과 동 법 시행령 및 관련 고시 등을 적용받도록 하고 있어요.
    개인정보보호위원회는 현행 개인정보 보호법령 및 관련 고시 등에서 규정하고 있는 생체정보에 대하여 개념 및 범위를 명확하게 하고, 생체인식정보 보호를 위한 기본원칙과 처리 단게별 보호 조치 등을 구체적으로 제시함으로써 생체인식 정보의 안전한 활용기반을 조성하기 위해 '생체정보 보호 가이드라인'을 작년 9월에 공개했어요.

    <과거 관련 기사>
    페이스북 생체정보 침해 논란, 우리나라는? (2021.03)
    63232_1644987697.png
    이번 주 뉴스레터는 어떠셨나요?
    솔직한 의견을 보내주세요!
    63232_1644987697.png
    63232_1644987386.png
    homepage2-snsC.pngfacebook-snsC.pnginstagram-snsC.pngchannel-snsC.png
    (사)한국CPO포럼
    서울시 서초구 서초중앙로 56, 블루타워 7F
    수신거부  지난레터보기구독정보변경