Home > 전체기사
“개인정보보호 컴플라이언스는 비용과 편익 분석 통해 가능”
  |  입력 : 2019-06-26 15:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김성민 김앤장 변호사, ‘기업의 운영 리스크과 컴플라이언스 대응의 중요성’ 강연

[보안뉴스 김성미 기자] “컴플라이언스(Compliance)는 최근 기업 운영에서 강조되는 개념이다. 그러나 완벽한 컴플라이언스는 불가능하기 때문에 사고에 따른 책임을 최소화할 수 있도록 비용과 편익의 분석을 통해 위험과 책임이 존재하는 곳에 집중적인 컴플라이언스 시스템을 구축할 필요가 있다.”

▲PIS FAIR 2019에서 개인정보보호 컴플라이언스 대응에 대한 강연이 진행되고 있다[사진=보안뉴스]


김성민 김앤장 법률사무소 변호사는 6월 26일 서울 삼성동 코엑스에서 열린 ‘PIS FAIR(개인정보보호 페어) 2019’에서 ‘개인정보보호와 컴플라이언스’를 주제로 가진 강연을 통해 “컴플라이언스가 처음 화두가 된 것은 2000년 초반 미국으로, 우리나라에서도 2010년대부터 금융권을 중심으로 강조되기 시작해 전 기업에 확산되고 있다”며 이같이 강조했다.

김성민 변호사는 “컴플라이언스를 단순 번역하면 ‘준수한다’라는 뜻으로, 최근 기업에서는 컴플라이언스팀을 구성할 만큼 강조되고 있는 개념”이라면서 “회사 운영을 위해서는 법령과 내규, 기타 사회 윤리 등을 잘 준수하는지를 관리·감독하므로써 기업의 리스크를 줄이는 것이 필요하다는 인식이 제고되고 있다”고 말했다.

이어 김 변호사는 “기업을 운영하면서 사고를 완벽히 예방하는 것은 쉽지 않지만 포기해서는 안된다. 컴플라이언스는 사전적인 사고 발생 방지와 상시적인 관리의 개념에서 접근해야 한다”면서 “사전적인 방지와 상시적인 관리를 통해 사고를 예방하고 사건이 발생했을 때는 이를 통한 양형 감소 등의 효과를 얻을 수도 있다”고 설명했다.

김 변호사는 “컴플라이언스가 시작된 것은 ‘반부패’라면서 이후 영역이 점차 확대돼 인사노무, 산업 안전·환경, 회계·세무, 개인정보, 공정거래 등에도 영향을 미치고 있다”고 덧붙이며 “기업 경영에 있어서는 예측하기 어려운 사고가 발생하는 경우의 수가 많기 때문에 상시적인 관리가 필요하다”고 말했다.

김 변호사에 따르면 컴플라이언스와 개인정보와 관련성은 △개인정보 라이프 사이클 접근법 △직원 정보와 고객정보 구분 접근법 △위험·책임 접근법 등 3항목으로 나눠 볼 수 있다.

가장 많이 활동되는 것은 개인정보 라이프 사이클 접근법이다. 고객 대상의 개인정보 수집과 이용, 제3자 제공·위탁·국외 이전, (기술적·관리적) 보관, 파기 등 정보의 라이프 사이클에 따라 접근하게 된다. 인사가 강화된 기업의 경우에는 직원 정보와 고객정보 구분 접근법도 활용한다. HR과 영업 부서에서 각각 정보를 분리해 관리한다. 위험·책임 접근법은 법률적인 관점에서 접근하는 것으로, 행정조사와 민사손해배상, 형사 수사 및 처벌에 따른 위험과 책임을 관리하는 것을 가리킨다.

▲강연을 하고 있는 김장법률사무소 김성민 변호사[사진=보안뉴스]


김 변호사는 기업의 입장에서는 위험·책임 접근법에 대한 이해가 필요하다고 특히 강조하며 행정안전부(행안부) 및 방송통신위원회(방통위)의 현장점검을 받아야 할 경우 어떻게 준비해야 하는지도 설명했다. 그에 따르면, 기관의 현장점검은 기관의 사전통지에 따라 행안부·방통위와 한국인터넷진흥원(KISA)가 한 조로 진행된다. 현장점검 준비는 문건과 IT 2가지 카테고리로 준비하면 된다. 행안부·방통위는 문건 중심, KISA는 IT 중심으로 현장점검을 실시한다.

문건 점검에는 △동의서(필수적 사항을 기재했는가, 필수·선택 구분은 돼 있는가, 중요사항은 밑줄로 강조했는가, 모델 동의서를 준비했는가)와 △위탁약정서(수탁업체 전부와 체결, 필수적 사항 기재 유무 등 2가지)가, IT 점검에는 △개인정보처리방침(잘 보이는가, 필수적 사항을 기재했는가, 중요한 사항은 밑줄로 강조했는가) △웹사이트(로그인 시도 실패, 비밀번호 설정, 동의의 위치 등) △내부 서버(구조도, 접속기록, 암호화, 보관 기간·파기) 등이 포함된다. 현장점검 후에는 확인동의서를 작성하게 되며, 바로 동의하면 반박이 불가능하므로 잘 검토하고 동의를 결정해야 하는 것이 좋다.

이어 김 변호사는 기업의 책임 부담을 민사와 형사로 나눠 분석했다. 그에 따르면, 민사에서는 ‘상당한 주의’를 기울였는지가 중요하다. 민법 제 756조는 사용자 책임의 관점에서 ‘타인을 사용해 어느 사무에 종사하게 한 자는 피용자가 그 사무 집행에 관해 제삼자에게 가한 손해를 배상할 책임이 있다. 그러나 사용자가 피용자의 선임 및 그 사무 감독에 상당한 주의를 한 때 또는 상당한 주의를 하여도 손해가 있을 경우에는 그러하지 아니하다’고 정의한다.

여기에서 말하는 ‘상당한 주의’에는 △조직관리를 제대로 했는가 △법령상 요구되는 문건들을 모두 구비했는가 △(IT) 시스템 점검을 정기적으로 했는가 △임직원 교육을 제대로 했는가 또 그 증거는 있는가 △객관적인 외부 자문사의 평가를 받았는가 등이 포함된다.

특히, 민사 사건의 쟁점은 손해 발생 여부이므로, 손해를 사전에 막을 수 없다면 사후적으로 △피해 최소화 조치(미리 프로토콜을 만든다) △사과 내지 친절한 응대(콜센터 또는 고객 민원부서에서 시나리오별 응대) △소정의 보상 등을 통해 대응할 필요가 있다.

한편, 형사 책임은 양벌 규정으로, ‘고의’의 존재 여부가 중요하다. 고의가 있는 경영진이 처벌을 받기 때문이다.

형사 책임은 정보통신망법 제75조의 양벌규정에 따라서, ‘법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지 또는 제74조제1항의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 부과하고 있다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관해 상당한 주의와 감독을 게을리하지 않은 경우는 책임을 지지 않는다’고 규정한다. 여기에서의 ‘상당한 주의’는 민사 책임에서의 사용자책임 면제 요건과 유사하다.

형사 책임의 고의 인정은 △불투명한 R&R(명확한 조직체계 및 역할 분담) △무분별한 보고(전결권의 적절한 배분과 보고 단계 조정, 이메일 사용정책 수립) △사후조치의 미비(정기적인 점검 후 하자의 치유) 등에 따라 결정된다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제