안녕하세요,
외국계 회사에서 IT 전산 담당을 맡고 있습니다.
해외 본사에서 DLP 도입을 준비 중인데 대한민국에서 DLP 관련해서 법적 전제 조건이 있는지 알아봐 달라는 문의가 왔습니다.
정확히는:
"각 지역에서 (region) 모든 법적 전제 조건이 충족되었는지 확인해 주십시오. DLP 도구의 원활한 배포 및 운영을 위해 필수적입니다."
라고 문의가 왔습니다.
이 질문에 대해 어떻게 답변을 하면 좋을지 선배님들의 해박한 지식들이 필요합니다.
감사합니다.
Sponsored https://bit.ly/sharedit_keyword
13,000여개의 기업이 선택한 국내 대표 DLP 솔루션입니다. 정보유출방지, 개인정보 암호화, 출력물 보안, 문서백업, IT자산관리, 웹/소프트웨어 차단, PC취약점 점검
자세히 보기
대한민국에서 DLP 도구를 도입하고 운영하는 데 있어 특별한 법적 제한은 없지만, 개인정보 보호법 및 관련 법규들을 충족해야 합니다.
따라서 법적 전제 조건을 충족하려면, 한국의 주요 데이터 보호 법규를 준수하면서 DLP 정책을 적용하고 운영할 필요가 있습니다.
DLP 자체에 대한 법적인 사항은 없는 것으로 알고 있고요.
대신, 개인정보 보호 등 관련된 내용으로는 법적인 사항들이 많습니다.
회사 내에서 관리하는 서비스와 데이터 등과 관련된 사항으로 확인 해보시기 바랍니다.
저는 정보유출방지시스템 도입이라는 것으로 개인정보보호법 이야기해서 관련사항으로 보고서 만들어 도입을 진행하였습니다. 외부 개인정보보호도 필요하지만 직원들 인사정보도 개인정보에 들어가서 해당 건 유출되면 회사에 피해가 발생할 수 있다는 형태의 보고서를 작성하였습니다.
회사의 업종에 따라 다릅니다.
DLP 관련된 법규는
■개인정보 보호법
개인정보의 수집, 이용, 보관, 파기 등에 관한 규정을 담고 있어 DLP 도입 시 준수해야 합니다.
■정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)
정보통신서비스 제공자의 개인정보 보호 의무를 규정하고 있어 DLP 구현 시 고려해야 합니다.
■신용정보의 이용 및 보호에 관한 법률 (신용정보법)
금융기관 등이 보유한 개인신용정보 보호에 관한 사항을 다루고 있어 금융권 DLP 도입 시 적용됩니다.
■전자금융거래법
전자금융거래 시 이용자 정보 보호 의무를 규정하고 있어 금융권 DLP 구축 시 준수해야 합니다.
■산업기술의 유출방지 및 보호에 관한 법률
국가핵심기술 등 산업기술 보호를 위한 DLP 도입 시 적용되는 법률입니다.
■GDPR (EU 일반 개인정보보호법)
EU 시민의 개인정보를 처리하는 기업은 GDPR 준수를 위해 DLP 도입이 필요할 수 있습니다.
■HIPAA (미국 의료정보보호법)
미국에서 의료정보를 다루는 기관은 HIPAA 준수를 위해 DLP 솔루션이 요구될 수 있습니다.
■PCI DSS (신용카드 정보보호 표준)
신용카드 정보를 취급하는 기업은 PCI DSS 준수를 위해 DLP 도입이 필요할 수 있습니다.
이러한 관련 법규와 규정들을 고려하여 위에 해당되는 데이터 관리 기업은
기업 상황에 맞는 적절한 데이터 보호 정책과 솔루션을 구현해야 합니다.
결론적으로 일부 금융, 의료, 법률, 통신판매 등의 업종은 중요 정보를 안전하고 관리하고
유출을 방지해야 할 의무를 부과하는 것이고,
그 외 기업은 법적이 의무보다는 기업 내 데이터 보호 강화를 위한 데이터 보호 전략이라고
보면 될것 같아요~
다른 분들 말씀하신 것처럼 "개인정보보호법" 에 따라,
DLP 적용을 해야만 하는 전제 조건으로는 해당 기업의 내부 자료 중에 개인정보를
보관하고 취급하고 있을 경우에 해당하며,
관련 자료의 유출방지를 위한 하나의 방안으로 DLP 도입을 고려할 수 있습니다.
아래의 기사를 참고 해 보시면 좋을 것 같네요.
https://www.boannews.com/media/view.asp?idx=130195&kind=
DLP라는 것은 자료가 외부로 유출되지 않도록 지원해 주는 솔루션의 일종이 되겠는데요.
DLP 솔루션에 대한 법적 전제 조건이 있는지에 대한 내용이라면...
법적으로 DLP 솔루션을 도입해라는 내용이 있는지에 대한 질문이 아닐까 싶어 보이네요.
그런데...
법이라는 게... 구체적으로 어떤 솔루션을 사용해라는 식으로 만들어 지지는 않다 보니...
두리뭉실하게 귀에 걸면 귀걸이, 코에 걸면 코걸이가 될 수 있도록 만들어지는게 법이죠.
개인정보 보호법 시행령 제 30조 ① 에 개인정보에 대한 안전성 확보 조치를 해야 한다고 되어 있죠.
저장할때 암호화해서 안전하게 저장해야 하고, 로그 등으로 접속 기록도 남겨야 하고, 바이러스 등에 대한 대비도 해야 하고...
이런 내용을 어떻게 해석해야 하는지에 따라 대비해야 하는 솔루션에 천차만별의 차이가 있을 수 있을 거라 보여지네요.
데이터가 유출되지 않게 관리하는 것 또한 개인 정보를 포함한 데이터를 안전하게 관리하는 조치의 일부가 될 수 있는 것이죠.
암호화를 위해 DRM 솔루션을 사용할 수도 있겠지만, DLP 솔루션에 포함된 암호화 기능을 사용할 수도 있겠고요.
개인 정보가 저장되어 있는지 아닌지를 알 수 있어야 하기 때문에 개인 정보를 검색할 수 있는 솔루션도 포함되어야 할 수도 있겠는데... DLP 솔루션에서 개인 정보를 검색해서 제거하고, 암호화 등의 관리해 주는 기능이 포함되어 있는 경우도 있고...
완벽이라는 보안이라는 게 존재할 수가 없다 보니...
완벽에 좀 더 가까워지기 위해서는 다양한 보안 솔루션들을 추가적으로 도입해서 부족한 점을 계속적으로 보완해야 하지 않을까 싶어 보이네요.
dlp 사용에 대한 법적 전제 조건이라고 법령에서 명시되어 있지 않지만 보통 개인정보보호법이나 정보통신망법 조항으로 기술적,관리적 조치를 하라는 내용을 기반으로 관련 솔루션을 구축하고 있습니다.
다른분들이 말씀 주신대로 법적 전제 조건을 기준을 잡으셔야 한다면 보안인증을 받고 있는 걸 참고로
사내에서 어떤 법령을 준수하고 있는 지 보시면 좀 더 찾기 쉬울 듯 합니다.
또한 내부에 정보보안규정이 수립되어 있다면 법령 기반으로 작성되었을 테니 수립여부를 먼저 보시는 것도 도움이 될 듯 합니다.
●개인정보 보호법
○제29조(안전조치 의무): 개인정보를 처리하는 자는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다..
○시행령 제30조(개인정보의 안정성 확보 조치): 개인정보 보호를 위한 기술적 조치로서 접근 통제, 암호화, 접속기록의 보관 및 위조·변조 방지, 악성프로그램 방지 등을 규정하고 있습니다.
●정보통신망 이용촉진 및 정보보호 등에 관한 법률
○정보통신망을 통해 개인정보를 처리하는 기업은 정보보호 관리체계(ISMS) 인증을 통해 안전성을 입증해야 하며, DLP 솔루션은 이러한 관리체계에서 요구하는 중요한 기술적 조치 중 하나로 사용됩니다.
DLP는 말그대로 내부 정보를 외부로의 유출을 막기 위한 솔루션이고,
그에 해당하는 가장 큰법은 우리나라로따지면 개인정보보호법이 있습니다.
개인정보보호법 중에 제 24조 2항 주민등록번호의 처리제한, 제28조 개인정보보의 기술적, 관리적 보호조치, 제29조 안전조치의무 등 몇가지가 있습니다.
그리고 정보통신망법도 제28조 개인정보의 보호조치와 제45조 개읹어보의 보호조치 등이 있습니다.
그밖에도 전자금융거래법도 제21조 전자금융거래의 안전성 확보, 제45조 개인정보의 보호조치 등 관련 조항이 있습니다.
기본적으로 기업이 고객의 개인정보를 보관하거나 이용하기 위해선 개인정보보호법이 필수이며, 그 외 기타의 목적으로 외부 고객의 데이터를 보관, 이용하기 위해선 정보통신망법 등 이런식으로 연계되어 있는게 있습니다. 그리고 여러가지 ISO27001이나 ISMS 등 인증을 받기 위해서도 꼭 필요합니다.
자체 회사 내의 데이터만 보관할 목적이면 굳이 하지 않으셔도 무방합니다.
게시글 작성자가 남긴 피드백입니다.
댓글 작성해주신 모든 선배님들께 감사드립니다. :)