나경아빠의 스케치북 - 고통은 희망의 씨앗이다

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 보호법에서는 "개인정보" 를 아래와 같이 정의하고 있다.

제2조(정의)

1. "개인정보" 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 

    수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수

    있는 것을 포함한다) 를 말한다.

개인정보를 '성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보' 라고만 규정하고 있고

정보의 성격, 내용, 형식 등에 대해서는 특별한 제한을 두고 있지 않다.

따라서, 개인을 알아볼 수 있는 정보가 되는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

"객관적 사실", "주관적 사실", "부정확한 정보", "허위의 정보" 라도 개인의 관한 정보이면 개인정보가 된다.

어느 회사, 모 부서의 키 174cm, 몸무게 67kg 남자라는 객관적 정보도 개인정보가 되고 그 부서에 키 크고 뚱뚱하고 쇼핑몰 자주 이용하는 그 사람도 개인정보가 될 수 있다.

모 조합의 조합장이 함바집으로부터 1억 수수했다 라는 거짓 정보도 개인정보가 될 수 있다.

임직원이 업무 목적으로 주고 받은 메일의 내용이나 첨부 파일에 있는 개인에 관한 정보는 "개인정보 보호법" 상의 개인정보가 되지만 개인 또는 가사 목적으로 주고받은 이메일 속의 개인에 관한 정보는 개인정보로 보지 않는다.

개인정보 통제 때문에 회사 컴퓨터내 저장되는 엑셀 파일 등에 개인정보가 있으면 검출하거나 암호화 하는 솔루션이 있지만 업무 목적인지 개인 목적인지에 따라서 통제 대상이 될 수 있고 안 될 수 있다.

이것을 판단하기는 어려운 일이니 기본적으로 회사 컴퓨터에 저장되는 개인정보가 포함되는 걸로 추정되는 파일들은 검출되거나 암호화 대상으로 봐야한다. 회사 컴퓨터는 개인의 목적이 아닌 회사 업무용으로 지급한 것이므로

"개인정보 보호법" 2조 1항에서는 "살아있는 개인" 에 관한 정보만을 개인정보로 보기 때문에 "죽은 사람", "법인, 단체" 에 관한 정보는 개인정보로 보지 않는다.

직간접적인 정보와 개인 사이에 관련성이 있을 때 개인정보로 판단한다.

그 판단 기준은 

(1) 해당 정보의 내용

(2) 해당 정보의 처리목적

(3) 해당 정보의 처리결과

이고 이 세 가지 요소를 분석하여 최소한 한 가지 이상의 관련 요소가 있다고 판단되면 그 정보와 개인사이에 관련성이 존재한다고 볼 수 있다.

B의사가 작성한 A환자의 정신과 진료차트는 A환자의 건강상태를 타나냄(해당 정보의 내용)

의료분쟁 발생 시 B의사의 진료방식을 평가하는 목적으로 사용 가능(해당 정보의 처리목적)

진료결과는 남편C씨의 향후 가정 내에서의 역할 변화에 영향(해당 정보의 처리결과)

따라서 A의 진료차트는 A, B, C 모두와 관련성을 가진다.

"개인정보 보호법" 상 식별의 의미는 다른 사람과의 "구분" 또는 "구별" 의 개념과 같다.

따라서 구별할 수 있는 일반 정보들 - 키, 나이, 얼굴, 헤어스타일, 출생지, 직업, 거주지, 성격 등 - 을 조합하여 간적접으로 식별할 수도 있다.

다른 정보가 결합, 조합해서 특정인을 식별해 낼 수 있는데 법에서는 "쉽게 결합하여" 라는 단어를 사용하고 있지만 이것은 "합리적으로" 라는 의미로 해석해야 한다. 즉, "쉽게" 라는 단어는 과학적 가능성보다는 수단, 방법의 합리성에 무게를 둔다.

식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 볼 수 없다.

개인의 유전자 정보 등은 당장 개인을 식별할 수 없으므로 개인정보로 볼 수 없다는 의미다.

y 염색체에 변형이 일어났고 23쌍이 아닌 남자다 라는 것은 쉽게 누군지를 판단할 수 없다.

유동 IP 는 컴퓨터가 부팅시마다 IP 가 달라지는 것인데 대개는 이전에 배정받았던 IP주소를 그대로 재배정 받는 경우가 더 많다. 인터넷 서비스 제공자나 통신망 관리자는 인터넷 접속 날짜, 접속 시간, 배정된 유동 IP주소 등을 파일에 체계적으로 관리하기 때문에 유동 IP주소를 배정받은 가입자를 식별해 내는 것은 어렵지 않다. 따라서 유동 IP 정보는 개인정보로 취급해야 한다.

인터넷 검색 서비스에서 개인화 서비스라 하여 인터넷 이용 행태를 수집, 분석하여 실명에 의해 저장하지 않고 이름, 이메일 정보도 저장하지 않는다. 수집된 행위에 대한 정보는 코드값으로 저장되지만 그 자체가 특정 개인에 관한 정보이고 언제든지 정보 주체를 특정할 수 있는 상태이므로 개인정보로 봐야 한다.

다만, 서비스 제공자가 이용자의 행태를 분석하지 아니하고 통계적인 방법으로 이용자의 이용 행태를 수집, 분석해 놓은 정보는 정보주체를 특정할 수 없어 개인정보라 할 수 없다.

서점 등의 홈페이지에서는 이 책을 산 사람들이 추가 구매한 책 등으로 정보를 보여주고 있다. 결국 이런 것들이 위에 해당하는 것이 된다.

최근 증권가에서는 쇼셜 트레이딩이라고 해서 고수들의 매매 패턴을 볼 수 있거나 추적 매매 기능을 도입하고 있다. 이런 개인의 매매 정보를 다른 투자자들한테 오픈할 수 있도록 사전에 협약하지 않고 한다면 그것은 개인정보 위반이 될 것이고 A 종목을 매수한 사람들이 평균적으로 많이 매수한 또 다른 종목은 B 다라고 하면 개인정보 위반이 아니다.

사회 나와서 합격이란 말은 시험이나 이직했을 때 뿐인데 오랜만에 학업 때문에 들어본다.

메일 받은지는 좀 지났지만 거창하지도 네임 벨류 있지도 않지만 그냥 앞으로 남을 추억을 위해...

2012년부터 아주 다이나믹한 삶을 살고 있는거 같다.

그리고 40 전에 주어진 이 변화의 기회에 대해서 나의 의지를 표현한 것이라 생각하련다.

어쩌면 그토록 간절하고 벼랑 끝 전술일 수 있기에..

고려대 떨어진 뒤로 Plan B 로서 선택했지만 결과는 Perfect A 로 만들자...

이 학교를 선택하기에 앞서 정보가 너무 없음을 안타까워했다.

1학기 수업 내용

3월 : 기업경영과 개인정보 (성선제 교수)   

4월 : 산업보안 관리실무 (정진홍 교수)

5월 : 금융보안과 정보보호 (성선제 교수)

5월 : 산업보안 법률실무 (정진홍 교수)

5월 : 과학적 수사기법 (박성우 교수, 조병철 교수)

6월 : 산업보안 수사실무 (정진홍 교수)

7월 : Foundation of Computer Science (김진우 교수)

7월, 8월 : 사이버포렌식 운영체계 (김진우 교수)

각 교과목 학점

다른 학기 교과목은 모르겠지만 일단 위 교과목에서 학점은

산업보안 관리실무와 산업보안 수사실무가 각 3학점이고 나머지는 모두 1.5학점이다.

따라서 1학기에는 15학점을 이수하고 추가적으로 CEO 특강 6회 이상 참석하면 1.5 학점 추가이다.

수업 요일

처음에 들을 때는 금/토로 들었지만 실제 개강 즈음에 발표된 일정은 수/금/토가 되었다.

작년에 들으신 분들 말로는 화/목/토 인거 봐서는 커리큘럼상의 금/토 일정에서 교수들의

사정에 따라 수요일이나 다른 평일로 분배가 된거 같다.

처음 커리큘럼 봤을 때 일주일에 2회는 좀 약하지 않나 생각했고 비싼 학비에 비해 아쉽다 생각했는데 

주 2회 수업도 있지만 주 3회 수업을 한다는 것과 학기당 8회 하는 CEO 특강이 1.5 학점 배정된거 보면

적당히 진행하지는 않음을 느낀다.

수업 시간

평일 : 저녁 7시부터 밤 11시까지

토요일 : 아침 9시부터 오후 6시까지

수/금 강의가 있는 날은 11시 채워서 끝나지는 않겠지만 휴식시간 포함해서 3시간씩 2번 듣는다고 하니

널럴하다고 생각되지는 않는다.

CEO 특강

이외에 학기당 8회 하는 CEO 특강을 6회 이상 참석해야 1.5 학점을 이수할 수 있다.    

한 회당 3시간 정도 특강을 하며 주로 기업체 C 레벨들이 와서 특강을 한다.

교재

학사관리 시스템에서 pdf 형식으로 배포한다고 함

회사 지원(계약학과 전형)과 개인 지원의 차이

1. 회사 지원의 경우 학비는 학기당 900만원, 개인 지원은 사회 장학금 90만원 나와서 810만원

2. 회사 지원일 경우 회사에서 반 부담 해야함. 따라서 연말 정산도 450만원만 혜택

3. 회사 지원일 경우 경력 5년 이상이면 9학점 면제가 되는데 개인 지원으로 할 경우 면제 없음

지원할 때 저렇게 구분해서 설명을 해주었으면 좋았는데 행정 업무는 역시 좀 약하다.

어제 잠깐 TV 에서 총리, 장관 후보자의 공개 청문회중 재산형성에 관한 내용을 잠깐 봤다.

그 중 "우리 나라 대다수 총리, 장관 후보자의 재산 형성은 부동산이었다" 라는 전 청와대 담당자의 말이 인상깊었다. 왜 그런 공통점이 있을까?

젊은 시절에 가족과 개인의 안녕과 노후 보장을 위해서 돈 안 벌고 싶은 사람 있을까?

자기의 본업에 충실하면서 짬짬이 경제적인 노후 보장을 위해서 대한민국 누구나 이런 노력을 한다고 생각한다.

유독 사회 지도층에서 부동산 이슈가 터진건

그들은 젊었을 때 아주 똑똑하신 분들이다. 그런 분들은 가장 국가적으로 중심을 두었던 정책이 부동산이라고 보았고 은행, 주식, 채권보다 더 투자 위험이 없고 수익률이 좋았다고 판단해서 했을거라 생각한다.

나라에서 만들어준 정책, 사회 암묵적인 규범에 따라 살면 문제가 없겠지.

하지만 흘러가는 물에 몸 실은 사람에게 우리 가정과 아파트와 동네의 정책을 맡길 신뢰가 있을까?

회사에서도 톡톡 튀는 아이디어와 틈새로 사업을 추진하고 결과를 얻는 사람이 더 신뢰가 가고 곧 그게 능력 아닐까? 

일일히 시키는 일만 하거나 모나지 않게 튀는 아이디어로 움직이거나 제안하지 않는 사람을 어떤걸로 평가할 수 있을까?

능력 검증에서 부동산이 필요는 하겠지만 지금처럼 너무 과하면 아니 되겠다는 생각.

모 후보처럼 특별 경비로 들어오는 돈을 다른 계좌로 옮기고 그 계좌에서 보험료, 신용카드 결제가 되는건 분명히 도덕성에 문제가 있다고 본다.

부동산 투자가 무조건 도덕성에 문제가 있다고 보지는 않는다.

시행되는 정책에서 무엇이 약하고 그로 인해 어떤 것이 예상이 되고 내가 취할 수 있는 최선의 방법을 찾는건 누구에게나 필요하다.

후보자들은 다들 차, 수석을 다툴 만큼 똑똑하신 분들이다. 그분들은 본업보다 아주 적은 시간과 노력으로 정책의 약점을 간파하고 법적으로 문제가 되지 않는 범위에서 적당히 재산 형성을 한 분들이다.

그런 똑똑한 분들이 수장이 되면 자기가 맡은 분야의 약점과 예상되는 영향을 더 빨리 캐치하지 않을까? 그런게 바로 능력 아닐까?

부동산 투기/투자에 대해서 좀 더 다른 시각에서 생각해본다. 

지난 9월말 같이 KISA 에서 SW보안약점 진단원 교육을 같이 받아 시험을 통과해서 SW보안약점 진단원 자격을 취득한 분을 만났다. 

같이 교육받았지만 해킹 대책 보고 때문에 교육 후 다시 회사로 복귀해 3일동안 야근하느라 실제 공부는 목요일 하루만 해서 당연히 불합격 ㅜㅜ

그 사이 CISA도 취득하고 작년에 PIMS, ISMS 심사원 등을 모두 갖추신 분.

개인 사업자로 새롭게 출발하시다가 을지로 근처에 지나시다가 찾아 오셨다.

SW보안약점진단원이 처음 생긴 걸 작년에 코스콤 기술 자료 보다가 알게 되었고 법적으로도 그 지위가 보장되는걸 알고 개발 경력 12년이 나로서도 보안 분야에서 나름의 포지셔닝을 위해서 지원하게 되었다.

5일 교육과정과 마지막 날에 시험을 통해서 진단원 합격 여부를 알 수 있는데

오히려 행정안전부에 이력서를 제출해서 경력 기간과 했던 일에 대한 심사가 더 까다로운걸로 기억한다.

그분 통해서 들은 이야기이다.

2012년에 처음 시행하 SW보안약점 진단원은 작년에 약 82여명 정도가 합격했으며

1년에 8시간 정도 의무 교육을 받아야 자격이 유지된다고 한다.

KISA 에 개인정보활용동의서를 작성해주니 KISA 가 감리업체로 합격자 명단을 배포한듯하며

곧 감리업체에서 비상근으로 같이 일하자는 제의가 온다고 한다.

아마도 하루 수당은 ISMS 심사원보급인 15~20만원이 아닐까 추정한다.

감리업체랑 제휴하게되면 감리업체가 시큐어 코딩 툴은 제공해준다고 한다. 

(하긴 유명한 툴은 1억 정도 한다고하니...)

비록 패배자로서 이런 걸 적는건 창피하기도 하지만 이런 정보도 공유되면 좋을듯 싶다.

나처럼 개발경력이 있는 분들이 보안업무를 하게될 경우 향후 자기만의 포지셔닝 구축을 할 수 있고

다른 심사원, 감리사 자격증을 갖춘다면 더욱 확고할듯 싶다.