7. 금융기관 의무와 책임 개인정보 관련 법령 비교 신용정보법 신용 정보제공ㆍ이용자 ( 고객 및 직원의 ) 신용정보 민감정보 수집금지 개인식별정보 이용 · 제공 동의 X X X 원칙적 동의 필요 신용정보관리ㆍ보호인 정보통신망법 정보통신서비스제공자 및 준용사업자 고객정보 민감정보 수집 동의 X 침해사고의 신고 사전고지 및 동의 , 보호조치 원칙적 동의 필요 개인정보 관리책임자 개인정보보호법 개인정보처리자 ( 업무상 개인정보 취급자 ) 고객정보 + 직원정보 민감정보 및 고유식별정보 처리 동의 CCTV 설치ㆍ운영상의 제한 정보주체 통지 및 정부 신고의무 사전고지 및 동의 동의 불요 ( 단 , 공개의무 및 고지의무 있음 ) 개인정보 보호책임자 수범자 대상정보 민감정보 및 고유식별정보 CCTV 운영 처리 등의 위탁 국외이전 개인정보보호 책임자 정보유출 통지 및 신고
8.
9. 2008 년 정보통신망법 기술적 , 물리적 , 관리적 보호대책 ( 방통위 고시 ) 불이행으로 인한 정보유출의 경우 2 년 이하 징역 또는 1 천만원 이하 벌금 / 양벌규정 금융기관의 경우 , 입건 후 처벌사례 없으나 최근 환경 크게 변화 주요 관리소홀점 고객정보 비암호화 , 접근통제 불철저 , 알려진 취약점 미대응 등 경찰 사이버수사대 / 검찰 첨단범죄수사부 관심 증대 피해 금융기관의 과실점에 대해 정보통신망법위반죄로 입건 여부 적극 검토 중 사법당국의 대응 I III II IV
10. 금융감독법령위반 임직원 및 기관제재 고객 이탈로 인한 경영 악화 정보유출에 대한형사 책임 ( 개인정보보호법 , 정통망법 위반 ) 정보유출로 인한 손해배상 고객정보 유출시 금융기관의 리스크 경영상 위 험 01 02 04 03
17. 단말기에 이용자 정보 저장시 통제 행안부 / 방통위 고시와 일치되도록 규정할 필요 기술적 보호조치에 관한 방통위 고시 , 안전성 확보에 관한 행안부 고시는 단말기에 개인정보를 저장할 경우에 암호화 하도록 되어 있으나 , 전자금융감독 규정에는 동등한 규정이 없이 책임자의 승인만을 요구하고 있음 제 13 조 ( 전산자료 보호대책 ) 제 1 항 제 13 호 “단말기에 이용자 정보 등 주요 정보를 보관하지 아니하고 , 단말기를 공유하지 아니할 것 ( 다만 , 불가피하게 단말기에 보관할 필요가 있는 경우 보관사유 , 보관기간 및 관리 비밀번호 등을 정하여 책임자의 승인을 받아야 한다” 개정안 이 슈 의 견
18. 가동 기록의 저장 내용 ‘ 자료의 내용’은 사용한 자료의 데이터베이스 필드값으로 제한하여 해석 가동 기록에 기록할 내용에 ‘자료의 내용’이 포함되어 있어 이 규정대로 가동 기록을 이행할 경우에 가동 기록 자체에 방대한 이용자 정보 ( 전자금융 거래 자료 ) 가 기록될 우려 cf. WAS 서버에 기록된 전문 기록이 해커에 의해 유출된 사례 제 13 조 ( 전산자료 보호대책 ) 제 4 항 정보처리시스템 가동 기록의 자동 기록 , 유지 “ 2. 전산자료를 사용한 일시 , 사용자 및 자료의 내용을 확인할 수 있는 접근 기록” 개정안 이 슈 의 견
19. 정보처리시스템의 모니터링 시스템 모니터링 시스템이 처리할 시스템 자원 상태에 대해 구체적으로 규정할 필요 모니터링 시스템이 감시할 ‘시스템 자원’의 내용이 특정되어 있지 않아 혼선을 빚을 가능성 제 14 조 ( 정보처리시스템 보호대책 ) 제 4 호 “정보처리시스템의 정상작동 여부 확인할 위하여 시스템 자원상태의 감시 , 경고 및 제어가 가능한 모니터링 시스템을 갖출 것” 개정안 이 슈 의 견
20.
21. 정보보호 제품에 대한 인증 외국계 금융기관의 경우에 본사가 사용하는 정보보호제품의 사용을 허용 “ 국가기관”을 대한민국으로 한정하여 해석하는 경우 , 현재 인증 국가기관은 국정원 밖에 없고 , 해외 보안 업체들은 암호 소스를 국정원에 제공하고 있지 않음 따라서 문언상으로는 해외 정보보호제품은 사용할 수 없게 되는 결과가 되고 , 외국계 금융기관이 여러 국가에 통일적인 보안 시스템을 구축하거나 , 더 우수한 외국산 제품을 사용하기 곤란해짐 제 15 조 ( 해킹 등 방지대책 ) 제 2 항 제 1 호 " 정보보호 시스템에 사용하는 정보보호제품은 국가기관의 평가•인증을 받은 장비를 사용할 것 " 개정안 이 슈 의 견