[Feature article+]보안 이야기#1 _ 믿고 쓸 수 있는 서비스가 되기 위한 여정! "우리 서비스는 어느 법률에 해당될까?"

안녕하세요. 정보보안팀 Sun입니다!

기업은 비즈니스를 하는 데 있어 다양한 이슈와 마주하기 마련인데요, 
서비스가 잘 되기 위해서는 내/외부 이슈 없이 비즈니스가 가능한 환경이 조성되고 난 이후 실현 가능한 것이라 생각합니다. 

기업의 목표와 목적에 따라 이슈를 바라보는 관점 및 여러 이슈 발생에 대한 우선 순위 등은 다를 수 있겠지만
그중에서도 우선시 되어야 한다고 생각하는 것은 바로 '법적 문제'가 아닐까 생각됩니다.

그래서 준비한 이야기!
보안 이야기#1에서는 '우리 서비스는 어느 법률에 해당되는가?' 에 대해 다뤄보고자 합니다.

법 이야기에 벌써 머리가 아프시다구요? 어렵다고 절~대 포기하시면 안됩니다! 

법은 기업과, 사용자 결국 모두가 건강하게 나아가기 위한 부분이며 
저~ 먼 다른 세상 이야기가 아닌, 결국 우리 모두의 이야기이기 때문이지요! 😃  

Sun이 들려주는~ 재밌고 쉬운(?) 보안 이야기! 바로 시작하겠습니다!




알비언 서비스는

어떤 법률에 해당될까?

믿고 쓸 수 있는 서비스가 되기 위한 여정!



우선 저와 팀의 역할과 책임(R&R) 부터 소개해 드릴게요.

알비언 정보보안팀은 '알비언 기업과 비즈니스 위험을 최소화 한다!' 라는 목표 아래 정보보호 및 개인정보보호 관리체계 수립/운영, 컴플라이언스(*Compliance) 관리, 보안 인증 심사준비 및 대응 등 서비스에 대한 가용성, 안전성, 신뢰성 확보, 사이버 위협으로부터 방어하기 위해 존재하는 팀입니다!

정보보호 관리체계에는 크게 '법률적, 관리적, 기술적, 물리적' 4가지로 구분되어 있고 영역별로 관리체계 프로세스가 존재하는데요. 정보보안팀에서는 아래의 항목들에 대해 역할과 책임을 갖고 업무를 진행하는 팀이라고 보시면 됩니다!

  1. 법률적
    • 국내외 법률, 규정 재정/개정, 정보주체 관리, 불만/민원 관리, 통제/고지(처리방침), 생명주기 관리 등

  2. 관리적
    • 경영/기획/마케팅/영업/예산/회계 현황 및 환경분석, 협력체계, 위험평가/분석, 정책 수립/검토, 내부감사, 개선 등

  3. 물리적
    • 보호구역 지정, 출입통제 관리, 위치정보 관리, 매체물 관리, 백업/복구 관리 등

  4. 기술적
    • 개발, 서버, 네트워크, DBMS, 웹/앱/응용, 보안시스템 PC단말기 등등

자, 그렇다면 알비언 서비스에 필요한 법률이 어떤 것들이 있을까요? 
기업이 제공하는 서비스 유형과 기능 등에 따라 해당되는 법률들 또한 달라지게 되는데요, 알비언의 경우 아래 법률들 모두에 해당되고 있어요. 

알비언 비즈니스를 위해 어떠한 법들이 우리에게 필요한지 설명하겠습니다.

  1. 알비언은 정보통신서비스를 제공합니다!

    ⇒ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (줄여서 '정보통신망법')

  2. 알비언은 개인정보를 수집/관리/파기합니다!

    ⇒ 개인정보보호법

  3. 알비언은 위치정보를 활용한 기능이 있습니다!

    ⇒ 위치정보의 보호 및 이용 등에 관한 법률 (줄여서 '위치정보법')



'정보통신서비스를 제공함' 이라는 것은 '제공자'를 뜻하는데  정보통신망법 세부 기준은 다음과 같습니다.

정보통신망법 제2조 "'정보통신서비스 제공자'란 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자" 라는 내용으로 정보통신서비스 제공자 기준을 정의하고 있습니다.

정보통신망법에서도 개인정보 관련 조항이 있었지만 이를 개인정보보호법으로 통합하기 위해
정보통신망법 개인정보 보호관련 규정의 이관 및 통합이 이뤄지며 지속적으로 개정되고 있어요.



두 번째, 우리에게 제법 익숙한 개인정보보호법은 '개인정보를 처리하는 자'를 의미하는데요, 개인정보보호법 근거를 보시면 개인정보보호법 제2조 '개인정보처리자'란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등 이라고 정의되어 있네요.

즉, 서비스 제공에 있어 회원가입을 통한 사용자(정보주체)들의 개인정보를 수집은 물론 파기까지 책임을 져야 합니다...!

개인정보는 뉴스 등의 여러 매체를 통해 알려진 사건/사례와 전 세계적으로도 경각심과 중요성에 대한 인식이 높아지는 추세입니다. 이에 정부에서도 지속적으로 시대에 맞게 개정안을 진행하고 있답니다. (개인정보보호법 개정안 2023년 3월 14일 공포, 시행일 9월 15일)

개인정보처리 시스템의 법적 요구사항을 준수하기 위해 필요한 것들은 아래 해설서(가이드) 참고해주세요!
아래 해설서들은 가이드로 참고 부탁드리며, 각 최신 내용을 통해 서비스에 맞게 필수, 권고를 구분하여 봐주시기 바랍니다!



이미지 출처 : Pixabay

마지막으로 '서비스에서 위치정보를 활용'할 경우 위치정보법에도 해당되는데요.

위치정보법 제2조에는 "'위치기반서비스사업'이라 함은 위치정보를 이용한 서비스(이하 '위치기반서비스'라 한다)를 제공하는 것을 사업으로 영위하는 것"으로 정의되어 있습니다.

위치기반서비스 사업자를 신고하지 않을 경우, 발생되는 법적 문제는 다음과 같아요.

  • 위치정보법 제9조 제1항, 제9조의2 제1항 단서 또는 같은 조 제4항을 위반하여 
    신고를 하지 아니하고 위치기반서비스사업을 하는 자 또는 거짓이나 그 밖의 부정한 방법으로 신고한 자
  • 3년 이하 징역 또는 3000만원 이하 벌금 부과금


위치정보법에 관련된 신고대상은 3가지로 구분되어 개인위치정보사업, 사물위치정보사업, 위치기반서비스사업에 따라 신고하게 됩니다. (모두 신고대상!) 방송통신위원회를 통해 신고하게 되면 2주 가량 소요된다고 하니 참고하세요.


위치정보사업과 위치기반서비스사업 구분 (출처 : 위치정보지원센터)


관련 정보는 아래 위치정보지원센터 홈페이지에서 상세히 다뤄져 있으며 
"그래도 어렵다!" 하시는 분께선 위치정보지원센터에 직접 문의하시면 상냥하게 알려주신답니다. 😃

위치정보지원센터 사이트 바로 가기 → 

알비언 서비스도 위치정보 이용한 서비스 기능이 있기에 '위치기반서비스사업'에 해당됩니다. 
따라서 앱 서비스 오픈에 앞서 알비언 역시 '위치기반서비스사업신고' 확인증을 받았습니다!


위치기반서비스사업신고확인증




컴플라이언스(*Compliance)를 관리하다는 것은 결코 쉬운 일이 아닙니다. 

그 안에는 너무나 많은 법률과 내용이 있고, 각각의 법률에 대한 이해 및 해석, 아울러 기술적 대안 등 까지도 숙지하고 있어야 관련 위험에 미리 대처할 수 있기 때문이지요. 알비언은 서비스 기획과 개발 단계에서부터 '발생할 수 있는 이슈'들에 대해 미리 법률 검토를 진행하고 있으며, 서비스 제공자로서 문제(이슈)가 발생 했을 때, 근거에 입증하여 서비스를 제공받는 사용자분들께 피해가 가지 않도록 노력하고 있습니다.

우리 서비스를 이용하는 모든 사용자들이 안전성을 제공하기 위한 기업의 노력과 법률적 준법성을 높게 봐주시고 마음 편히 사용할 수 있는, 즐거운 서비스가 될 수 있도록 정보보안팀은 끝까지 갑니다! (의지 뿜뿜)


오늘 준비한 내용은 여기까지인데요! 조금은 어렵게 느껴지셨을 수 있지만, 어디선가 한 번쯤 들었던 내용도 많으셨을거라 생각됩니다. 정보보안은 우리와 밀접한 곳에 있다는 것을 다시 한 번 알게 되는 순간이죠.

재밌게 보셨길 바라며 보안 이야기 2편도 많이 기대해 주시고, 앞으로도 알비언 기업과 서비스 눈여겨 봐주시면 감사하겠습니다!

이상! 알비언의 정보보안을 책임지는 Sun이였습니다!



각주
* Compliance : 기업경영이 법령, 규정, 윤리 또는 사회통념에 맞도록 하는 통제 장치 

Social Media

 official@mergerity.com