상하이방

①네트워크안전법 시행성공과 적발사례

②네트워크안전법 시행현황 및 후속 법령 및 시사점

③네트워크안전법 보안등급 실무 절차

④네트워크안전법 우리기업 준비 사례

지난달 28일 오전 6시 나스닥에 상장된 중국대표 호텔기업 华住集团(全季，汉庭，ibis 등)은 특정인(기업내부 개발자 추정)이 기업정보를 중국 비밀 커뮤니티 사이트에서 8코인(37만 위안)에 매물로 게시했다. 1억 3000만 건의 개인정보, 2억 4000만 건의 분양정보, 1억 2300만 건의 정보가 포함된 것으로 확인되었다.

유출된 데이터를 검증한 결과 신뢰성 있는 데이터로 중국에서 최악의 데이터 유출 사태가 빚어질 것으로 예상된다. 이번 사건으로 개인정보에 대한 보호와 규제가 더욱 심화될 것으로 예상되면 네트워크안전법(사이버보안법)은 개인정보에 대한 내용을 광범위하게 이야기 하고 있다.

▴개인정보의 정의(제78조): 전자방식 또는 기타 방식으로 기록한 단독으로 또는 다른 정보와 결합하여 자연인 개인의 신분을 식별하는 가족정보, 자연인의 성명, 출생날짜, 신분증번호, 개인생물식별 정보, 주소, 전화번호 등이 포함。

▴개인정보 수집 및 사용(제41조): 개인정보 수집 및 사용은 합법, 정당, 필요의 원칙을 준수하고 공개적으로 수집사용 목적, 방식과 범위 공지, 대상자의 동의가 필요. 개인의 삭제 및 수정도 요구 가능。

▴개인정보 보호 조치(제42조): 수집한 개인정보의 유출, 누설, 훼손, 분실을 방지해야 하며 만약 발생하거나 발생 가능성이 있을 시 즉시 보안조치를 취하고 적시에 개인에게 고지해야 함。

개인정보는 경내(중국 내 서버)에 저장하여야 하며(제2조) 해외로 전송이나 제공할 경우 안전심사(제4조)를 받아야 한다.

개인정보를 수집할 경우 △합법성을 요구 △최소화 요구 △고지와 설명의 의무 △권한 부여 동의 부분을 지켜야 하며 개인의 민감한 정보의 정소 및 저장은 암호화해 안전 조치를 취해야 한다.
개인정보 조직 관리 요구사항은 △개인정보보호 책임자와 개인정보 보호 업무 기구를 지정 △개인정보 안전 영향 평가 △직원관리 및 교육 △보안감사를 실시해야 한다.

<개인정보의 유형>

 
<기업 자체 조사 내용>

①화재, 전력 등 기본적인 네트워크 운영 위험
②네트워크 운영자, 핵심 정보 인프라 운영자에 속하는지 여부(자가 진단)
③네트워크 보안 요구 사항에 충족하는지 상세 비교
④기업의 데이터 수집, 사용, 저장, 전송 정책을 심사

관련 법률, 규정 및 정책의 업데이트에 주의를 기울이고 경영 전략(조직 구조, 서버 배치 등)을 합리적으로 조정해야 한다. 네트워크 보안 규정 준수에 대한 전문가의 법률적 조언을 얻고 직원 네트워크 보안 교육을 실시하고, 내부 네트워크 보안 규정을 개선해야 한다.

데이터 수집, 사용, 규정 준수 시스템을 수립, 개선하고, 사용자 계약, 개인정보보호 정책 등 문서를 개선해야 하며 네트워크 보안 관련 시스템, 시설, 규칙 및 규정을 개선하고, 비상 대책을 수립하며, 비상 훈련을 실시한다.

합리적인 대응을 하려면 조직, 과정, 제도, 교육이 필요하다. 이 프로세스를 반복해서 대응해야 네트워크안전법(사이버보안법)에서 자유로울 것이다.

<대응방안>

신판수 abc@zioyou.cn
상해화동한국IT기업협의회 네트워크안전법위원회 위원장