'정보보호'에 해당되는 글 2건

  1. 2010.01.27 Clear Desk 정책 2
  2. 2009.10.08 한국과일본, 고객정보유출 대처비교 10

Clear Desk 정책

Business 2010. 1. 27. 08:20 |

얼마 전, 일본의 지인에게서 회사의 ‘Clear Desk’ 정책에 관한 이야기를 들었다. 기업 정보 보호를 위한 ‘Clear Desk’라고 하는데 뭔가가 이상했다. 그 지인의 회사에서는 퇴근할 때 등 장시간 자리를 비울 때에는 전화기 이외의 모든 물건을 캐비닛에 정리해 두지 않으면 안 된다고 한다. 서류 등은 당연하다고 해도, 사전과 같은 시판 서적, 책상 위의 달력, 문방구, 티슈박스, 머그컵도 책상 위에 놔두어서는 안 된다고 한다.

우리집 내방 책상 위. 치우는 데도 오래 걸리겠지만 도대체 어디다 넣으란 말인가?


 

‘Clear Desk Policy’ 라는 것은 원래 영국의 Information Security Management System (ISMS)에 관한 규격 BS7799에 정해져 있는 하나의 지침이며 현재는 ISMS의 국제 표준인 ISO/IEC27001‘Clear Desk Policy’로서 정의되어 있다.

 

간단히 말해서, ‘기밀 정보를 방치하지 않는다라고 하는 방침이다. 이것은 책상 위에만 한정되는 것이 아니다. , 정보의 누출, 도난을 미연에 방지하기 위해, 자리를 비울 때 타인에게 누출되어서는 안 되는 정보는 서랍 속이나 잠금 장치 안에 넣어둔다고 하는 행동지침인 것이다.

 

서랍 등에 넣어 두어야 할 대상에는 인쇄된 서류는 물론, 손으로 쓴 메모나 정보가 들어있는 노트북, 휴대 가능한 기록매체도 포함된다. 자리를 비울 때는 컴퓨터를 로그아웃 하는 등의 조치를 해서 타인이 조작할 수 없도록 하는 ‘Clear Screen Policy’도 있지만, 목적은 마찬가지다.

 

본래의 목적을 생각하면 ‘Clear Desk=책상 위에 아무것도 놓지 않는다라는 방침은 분명 이상하다. 하지만 인터넷 등으로 검색해 보니, 일본의 많은 회사에서는 ‘Clear Desk’ 를 문자 그대로 해석해 퇴근 시에 책상 위를 깨끗이 치운다고 하는 회사는 내 지인의 회사뿐 만이 아닌 것 같다. 어쩌면 사무실의 미관 유지가 목적일지도 모르겠다.

 

하지만, 정보 보안 확보와 마찬가지로, 업무 효율의 향상도 중요하다. 미관을 위해서 매일 불필요한 작업이 발생하고, 업무 효율이 저하해서는 안 된다고 생각한다. 물론 업무 효율화를 위한 정리 정돈은 중요하지만, 매일 책상용 달력과 티슈박스, 머그컵 등을 캐비닛에 넣었다 뺐다 하는 작업은 지나칠 정도로 무익하다. 그런 작업을 하느니 중요한 기밀 정보를 제대로 관리할 수 있는지를 매일 체크하는 편이 유익할 거이다. 지나치게 형식을 중요시하다가 본질을 잊어버리는 경우가 많다. ‘Clear Desk’라는 기업 정보 보호 정책은 정말로 괜찮은 걸까?

 
2009/10/16 - [Business] - 사업계획서 샘플 <재업>
2009/10/15 - [Business] - 해외전시회, 참가하지를 말지
2009/10/13 - [Business] - 아프리카소년, 7년 걸려 풍차를 만들다


Posted by 빠야지™
:

고객정보유출 대처비교

 

2008년 한국과 2009년 일본의 대기업에서 고객 정보가 유출되었다. 정보가 타의에 의해서 유출이 되었다는 점은 똑같지만 사고 이후의 대처 및 처리 방법 등은 크게 달랐다.

 

<일본의 아리코 재팬 케이스>

 

20090723

일본의 대형 보험회사 중 한 곳인 “아리코 재팬”사에서 고객의 개인 정보가 유출되었을 지도 모른다는 발표가 있었다.

20090911

“아리코 재팬”대표이사가 기자회견을 열어 고객 정보 유출은 시스템 개발을 업무 위탁했던 회사의 사원이 저질러졌다고 발표했다. 단지 범인을 단정할 수는 없었으며 기업명 또한 공표하지는 않았다. 또 유출된 카드 정보는 최종적으로 18,184명이라는 점을 명확히 했으며 일본의 금융청은 정보관리태세에 중대한 미비점이 있다고 판단, 최종결과가 나온 단계에서 업무 개선명령 등의 행정 처분을 내릴 방침이다.

20091006

“아리코 재팬”사는 정보가 유출된 고객에게 사과의 표시로서 총액 약 5억 엔( 65억 원)의 금전적인 보상을 한 것을 알렸다. 9월 하순부터 정보가 유출된 각 고객에게 상품권 1만엔 분을 우편으로 발송했다. 또한 결과적으로는 유출되지 않았던 고객에게도 3천엔 분씩을 보냈다고 한다. 아리코 재팬 측은 재발 방지책과 고객에 대한 사과를 일단락 지었다(아리코 재팬 홍보)고 했으며 이로서 사건이 발생한 7월 이후 중지했던 TV 영업광고를 10 5일부터 재개했다. 대표이사 등의 간부들의 신병 처분에 대해서는 아직 검토 중이라고 밝혔다.



VS.

<한국의 옥션 auction 케이스>

 

20080204

한국의 초대형 인터넷쇼핑몰 중 한 곳인 옥션사에서 고객의 개인 정보가 유출된 단서를 발견했으며 중국의 한 IP가 지속적으로 홈페이지에 접속한 흔적을 찾아냈다는 발표가 있었다.

20080417

옥션에서 유출된 개인정보가 1,081만 명분인 것으로 밝혀졌고 옥션사의 사장은 사과의 말씀을 정보유출을 당한 개인 고객에게 각각 이메일로 개별 통보했다.

20080420

유출 피해 건수가 당초 알려진 1,081만여 건보다 더 많은 것으로 알려지며 2차 피해를 막기 위해 은행계좌를 해지하는 사태가 잇따르고 있다고 밝혀졌다. 유출되지 않았다고 알려진 나머지 회원 719만 여명의 회원들의 개인정보도 유출됐을 가능성도 크다고 알려졌다.

20080421

옥션사이트의 일부 ID가 중국 사이트들에서 판매되고 있는 것으로 확인됐다. 이에 따라 개인정보 유출 피해자들을 상대로 한 보이스 피싱 등의 2차 범죄 위험이 높아지고 있다고 보도됐다.

20080427

옥션사가 개인정보 유출 사건이 알려진 20080205일의 며칠 후인 0211일 개인정보 취급 방침을 비밀번호나 주민등록번호의 분실, 도난 유출, 피싱, 공개에 대해서는 당사는 어떠한 책임도 지지 않습니다슬그머니 약관을 변경했으나 공정거래위원회가 해당 약관이 불공정한 조항이라며 자진 시정을 권고했다.

20080428

집단 및 개인 소송이 잇따르자 홍보팀 차장이 이 사건에 대해서는 피해자들에게 거듭 사과의 말씀을 드린다하지만 회사 차원에서도 전문 변호사를 선임 대응을 모색하고 있다고 덧붙였다.

20080508

옥션사의 개인정보 유출 사건의 옥션사 해킹 범인 중 한국인 2, 중국인 1명 등 일부를 중국에서 검거했다고 알려졌다. 또한 지난 2옥션측과 접촉, 금품을 요구한 혐의 받고 있다고 알려졌다.

20081205

한국소비자원 소비자 분쟁조정위원회는 옥션사에게 개인정보 유출로 피해를 본 회원들에게 각 업체가 위자료를 지급하라고 결정했다. 그러나 옥션사는 조정결정을 거부했으며 그 이유는 개인정보 유출 사건의 원인을 비롯한 어떠한 사실관계도 구체적으로 확인되지 않은 상태에선 분쟁조정위 결정을 받아들일 수 없다고 밝혔다.

20081205일 이후~

본인의 웹 서핑 실력으로는 보도자료를 찾을 수 없음. 재판을 진행 중인 것 말고는 마치 옥션사는 사건 자체를 잊은 듯이 보임.


 

위의 두 가지 사례 외에도 “GS칼텍스사의 사례를 들려 했지만 스크롤 압박을 견디지 못할 것 같아 일단은 그만 두었다. 간단히 두 사례를 비교해 보자면,

 

아리코 재팬

옥션

 

사건 발생

회사대표 기자회견 및 직접 사과

눈에 띄는 자숙(영업광고 중지 등)

정밀 조사(회사 및 공권력)

조사결과 발표

사과의 표시

사건의 책임을 지는 시늉

임원 징계 고려 중

 

 

사건 발생

약관 변경

회사 대표 E-mail로 사과문 발송

정밀 조사(회사 및 공권력)

불공정 약관 시정권고 받음

소비자원조정에서 위자료 지급 결정

조정결정 거부

이후 자료 없음

 

20090723~1006, 2개월 반

20080205~현재, 1 7개월

 

이건 어떻게 비교해봐도 창피할 정도다.

비슷한 종류의 사건에 대한 한/일 양국의 기업들이 취하는 자세는 시사하는 바가 크다고 생각된다. 형식으로나마 자신의 잘못을 인정하고 그에 따르는 책임을 지려하는 모습과 잘못이긴 하지만 책임은 지려하지 않는 모습. 너무나 오랜 시간 동안 우리 사회는 가진 것이 많을수록, 명성이 높을수록 책임과는 거리가 멀기만 한 사람과 기업들을 보아 온 것 같다. 멀쩡한 국민을 죽이라 명령하고 비자금 1조원을 챙겼다고 알려진 전직 대통령인 도둑은 겨우 219일의 수감생활을 하고 떵떵거리며 잘 살고 전과14범인 사람은 책임을 지기는커녕 대통령이 되는 사회, 성추행을 일삼는 인간들이 국회의원인 사회, 기름유출로 태안반도를 더럽힌 기업이 몰라라 하는 사회. 이상하지 않습니까?



 

사실 이런 글을 쓰기로 생각한 이유는 우리 사회의 이런 일들이 만연하고 있는 것이 단지 가진 자들만의 책임이라고는 생각하지 않기 때문이다. 사람 죽이고 비자금 챙긴 인간이 숨쉬고 살게 해주고, 수많은 전과를 지닌 자를 돈 좀 만지게 해 준다는 감언이설에 대통령으로 만들어주고, 성추행을 일삼은 인간들을 국회의원이 되게끔 해 준 우리 자신에게 잘못이 있지 않은가 하는 생각이다. 기름유출을 시키고 나 몰라라 책임을 회피하거나 먹거리에 장난을 치는 회사를 왜 철저하게 외면해서 망하게 만들지 않는가 말이다.

 

우리 국민처럼 착하고 멍청하고 잘 까먹고 자학하기 좋아하는 사람들이 또 있을까 싶다.

본때를 한번 보여주고 싶은 생각은 없는 것일까?

  56년철옹성 집권 자민당이 일본에서 밀려났다.  우리도 욕만 하지말고 뭔가 좀 해보자.



2009/09/18 - [Who I Am] - 은행다니는 친척, 조심하세요.
2009/09/01 - [Who I Am] - 내 개인정보로 장사하지 마라!
2009/04/25 - [Who I Am] - 대형백화점, 불쾌한 이유
2009/04/22 - [Who I Am] - 6개월만의 한국 출장
2009/03/28 - [Who I Am] - "한일맞대결" 막장언론, 지겹다!
2009/02/17 - [Business] - 내가 느낀 한국과 일본의 비즈니스
2009/02/06 - [Who I Am] - 재외국민이 본 재외국민투표
2009/01/09 - [We, In the World] - 우민정책 대국 일본과 지금의 대한민국
2008/12/15 - [Tokyo?Japan?] - 이명박과 타나카 카쿠에이
Posted by 빠야지™
: