검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'안정민'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[법과 상식 사이] 당신의 CCTV는 선을 지키고 있는가

우리나라는 전 세계적으로 손꼽히는 CCTV 고밀도 국가다. 골목길과 엘리베이터, 상가와 아파트를 가리지 않고 일상의 거의 모든 동선에 CCTV가 배치되어 있다. 유독 한국에 이처럼 많은 CCTV가 설치된 이유는 영상 녹화가 범죄 예방과 안전을 위해 필요하다는 사회적 공감대가 깊이 형성되어 있기 때문이다. 우리는 CCTV가 범죄 예방, 시설 안전, 화재 방지 등 공익적 목적을 위해 운영될 필요성과 정당성을 폭넓게 인정해 왔다. 사생활 보호라는 가치만큼이나 '공공의 안전' 역시 포기할 수 없는 가치로 받아들여졌고, 이러한 사회적 합의는 오늘날 촘촘한 CCTV 환경을 지탱하는 강력한 명분이 되었다. 이러한 합의가 우리 사회를 얼마나 더 안전하게 만들었는지에 대해서는 다양한 의견이 존재할 수 있다. 다만 CCTV가 일상의 필수 인프라로 자리 잡게 된 배경이라는 점만큼은 분명하다. 원칙적으로 개인정보보호법은 누구나 다니는 공개된 장소에 CCTV를 마음대로 설치하는 것을 금지하고 안전과 공익을 위해 꼭 필요한 6가지 경우에만 예외적으로 설치와 운영을 허용한다. 법령에 근거가 있거나 범죄 예방과 수사, 시설 안전과 화재 예방, 교통 단속이나 교통정보 제공처럼 공익적 필요가 분명한 경우에 한해 정당한 권한을 가진 자만 설치할 수 있다. 또한 촬영된 영상을 저장하지 않는 등 사생활 침해 우려가 낮은 경우에는 대통령령이 정하는 범위에서 예외가 인정된다. 즉, CCTV는 단순한 편의 장비가 아니라 명확한 필요성과 목적이 있을 때만 허용되는 장치다. 하지만 CCTV의 고수용성이 '현대판 파놉티콘'을 정당화하지는 않는다. 안전을 위해 설치한 CCTV가 적법한 파수꾼으로 남기 위해서는 법이 허용하는 '기록의 범위'와 '공개의 원칙'이라는 두 가지 선이 명확하게 지켜져야 한다. 기록의 범위: CCTV는 '눈'이어야지 '귀'가 되어서는 안 된다 영상과 음성은 법적으로 전혀 다른 위험도를 가진 정보다. CCTV 영상은 사람이 어디에 있고 무엇을 하고 있는지를 보여주는 객관적 정보지만 음성은 다르다. 대화에는 개인의 사상, 신념, 건강 상태, 내밀한 인간관계가 자연스럽게 담기기 때문이다. 그래서 법은 음성을 단순한 행동 기록이 아니라 사생활 침해 위험이 매우 큰 정보로 취급하며 통신비밀 보호에 준하는 수준으로 엄격하게 규제한다. 흔히 “녹음 중이라고 써 붙이면 되지 않느냐”는 오해가 있지만 답은 명확하다. 불특정 다수가 이용하는 공개된 장소에서는 자발적인 동의가 성립하기 어렵기 때문이다. 길을 지나가는 행인이나 손님은 녹음을 원하지 않더라도 그 공간의 이용을 포기하거나 녹음만 선택적으로 피할 현실적인 수단이 없다. 따라서 안내문을 부착했다는 이유만으로 원칙적으로 금지된 음성 녹음이 합법화되지는 않는다. 공개의 원칙: 안내표지판, 선택권을 보장하기 위한 최소한의 장치 CCTV가 적법한 지위를 유지하기 위해 필요한 또 하나의 기준은 투명한 공개다. 안내표지판 부착은 단순한 형식적 요건이 아니라 시민이 촬영 사실을 인지하고 그 공간을 이용할지 스스로 판단할 기회를 보장하기 위한 핵심 장치다. 촬영 목적이 아무리 정당하더라도 안내판이 없거나 글씨가 너무 작아 알아보기 어렵다면 그 설치 자체가 위법으로 판단될 수 있다. 안내판은 촬영 대상자가 “지금 이 공간에서, 어떤 이유로, 누구에 의해 촬영되고 있는지”를 직관적으로 알 수 있도록 작성되어야 하며 이를 위해 법은 안내표지판에 최소한 ▲설치 목적 및 장소 ▲촬영 범위 및 시간 ▲관리책임자의 연락처를 반드시 기재하도록 요구하고 있다. CCTV는 보호의 도구이자, 가장 가까운 감시다 CCTV는 보호의 도구이지만 그 작동 방식과 활용 범위에 따라 언제든 가장 가까운 감시로 전환될 수 있는 장치이기도 하다. 이러한 '감시 가능성'이 사회 전반으로 확장되어 스스로 자신을 검열하게 만드는 감시의 작동 논리가 바로 파놉티콘이다. 개인의 일상을 데이터로 점수화하여 사회적 권리를 제한하는 디지털 통제 시스템의 위험성, 그리고 이를 경계하여 EU 인공지능법이 고위험 AI에 대해 엄격한 제한을 두는 이유 역시 여기에 있다. 문제는 기술 그 자체가 아니라 기록이 축적되고 결합되어 개인의 행동을 통제하는 수단으로 변질될 가능성에 있다. 이러한 문제의식은 거창한 국가 감시 체계에만 국한되지 않는다. 가정 내에 설치되는 반려견 캠이나 홈캠 역시 주거 공간이라는 이유로 무제한으로 허용되는 것은 아니다. 개인정보보호법상 집 안은 원칙적으로 '비공개 장소'에 해당한다. 그러나 방문 교사나 가사도우미 등 정기적으로 출입하는 타인이 있다면 사생활 침해 문제가 발생할 수 있다. 특히 촬영 사실에 대한 고지 없이 영상이 저장·활용되는 경우에는 분쟁으로 이어질 소지도 적지 않다. 따라서 CCTV는 타인의 권리를 고려해 명확한 목적과 책임 있는 방식으로 사용되어야 할 장치다. 지금 당신의 CCTV는, 그 선을 넘지 않고 있는가?

2026.01.13 10:58안정민 컬럼니스트

[법과 상식 사이] ISMS-P 무용론은 왜 반복되는가

2025년 정보보안 사고와 ISMS-P 정보보안 전문가들은 2025년을 정보보안 역사상 최악의 해라고 말한다. 사고의 유형과 규모, 유출된 정보의 민감도, 기업의 대응 과정 전반에서 논란이 이어졌고, 과거와는 다른 양상이 반복되면서 사회적 불안도 커지고 있다. 특히 “ISMS-P 인증을 받았는데도 사고가 났다”는 비판이 확산되며 이른바 'ISMS-P 무용론'까지 고개를 들었다. 거듭되는 대형 사고 속에 국민의 불안은 깊어지고 있지만, 정작 ISMS-P 제도가 무엇을 보장하고 어디까지 해결할 수 있는지에 대한 근본적인 이해는 여전히 부족하다. 이제는 제도에 대한 오해와 과도한 기대를 정리하고 ISMS-P의 한계와 역할을 정확히 짚으며 그 개선 방향을 함께 고민하는 수고스러움을 시작할 때다. ISMS-P가 묻는 것과 우리가 기대한 것 ISMS-P는 정보보호 및 개인정보보호 관리체계(Information Security Management system & Personal Information Protection)의 약자로 기업이 법에서 정한 기준에 따라 정보보호 체계를 구축하고 관리하는지를 심사해 인증하는 제도다. 기업이 최소한의 보안 요건을 일회성이 아니라 상시 유지하도록 유도해 전반적인 정보보호 수준을 끌어올리는 데 목적이 있다. 그럼에도 ISMS-P 무용론이 제기되는 이유는 무엇일까? 이는 ISMS-P를 정보보호의 완벽한 방패로 오해한 데서 출발한다. ISMS-P는 침해를 원천적으로 차단하기 위한 제도가 아니다. 오히려 정보보호가 조직 내부에서 관리되지 않은 채 방치되는 것을 막기 위한 최소한의 관리 체계에 가깝다. 건강검진이 암을 완벽히 막아주지 못하듯, ISMS-P 역시 침해 사고를 완벽히 차단해 주는 제도는 아니다. 대신 조직이 정보보호 자산을 정확히 식별하고 있는지, 책임과 권한이 명확히 설정되어 있는지, 위험을 체계적으로 관리하고 있는지, 그리고 사고 발생 시 대응과 재발 방지 체계를 갖추고 있는지를 점검한다. 즉, ISMS-P의 핵심 질문은 “사고유무”라는 결과가 아니라 “사고를 통제하고 관리할 역량을 갖추고 있는가”라는 거버넌스의 문제다. 이러한 본질에 대한 이해가 없다면 ISMS-P는 사고가 발생할 때마다 아무 소용이 없는 제도처럼 보일 수밖에 없다. ISMS-P의 구조적 한계: 관리와 통제 사이의 간극 물론 ISMS-P의 한계는 분명하다. 이 제도는 태생적으로 경계(perimeter)가 있는 세상을 전제로 설계되어 있다. 사무실 출입문을 잠그듯 내부와 외부를 구분하고, 인가된 내부 사용자는 일단 신뢰하며, 정해진 규칙과 절차를 문서로 관리하는 방식이다. 문제는 오늘날의 보안 위협이 더 이상 정문으로 들어오지 않는다는 데 있다. 정상 계정을 탈취해 내부 직원처럼 활동하고, 수개월 동안 아무도 눈치채지 못하게 정보를 빼내며, 클라우드나 협력사·공급망이라는 사각지대를 통해 침투한다. 더 이상 담장을 높이는 방식만으로는 위협을 관리하기 어려운 환경으로 이동했다. 이러한 환경에서는 ISMS-P가 답할 수 있는 질문과 그렇지 못한 질문은 분명히 갈린다. ISMS-P는 관리 책임의 소재가 명확한지, 관리 체계에 구조적 공백이 없는지 점검하는 데는 유효하다. 그러나 사고가 언제 시작됐고 어떻게 확산됐는지, 실제 서비스와 운영에 어떤 영향을 미쳤는지를 끝까지 설명하기에는 태생적인 한계가 있다. 결국 '관리했다'는 사실과 '실제로 통제됐다'는 현실 사이의 간극, 이것이 ISMS-P가 대형 사고 앞에서 무력해 보이는 근본적인 이유다. ISMS-P의 진화: '절차를 마련했는가'를 넘어 결과와 책임의 완결성으로 유럽의 최신 정보보안 지침인 NIS2(Directive (EU) 2022/2555)는 ISMS-P의 향후 진화를 고민하는 데 중요한 시사점을 제공한다. NIS2는 이미 경계가 무너진 환경을 전제로 사고가 발생했을 때 조직이 그 발생 경로와 영향 범위를 어디까지 설명할 수 있는지를 묻는다. 보안 규제의 무게중심이 관리 절차가 존재하는가에서 '설명 책임을 끝까지 질 수 있는가'로 이동한 것이다. 이를 위해 NIS2는 단순히 관리 체계의 수립 여부에 그치지 않는다. 경영진에 대한 직접적인 책임 부과, 공급망 전반에 대한 통제 의무, 사고 발생 시 신속하고 일관된 설명이 가능한 내부 역량까지를 법적 의무로 명시한다. 다시 말해 절차를 갖추었는지 묻는 과정 중심의 질문에서 벗어나, “사고를 통제하고 그 결과를 책임 있게 설명할 수 있는가”란 결과와 책임의 완결성을 규제의 중심에 놓는다. ISMS-P 2.0으로의 도약: 관리의 증명에서 '설명의 책임'으로 이제 한국의 ISMS-P가 마주한 과제는 제도의 존속 여부를 둘러싼 소모적인 논쟁이 아니라 변화한 환경에 맞는 역할의 재정의에 있다. 지금까지의 ISMS-P를 'ISMS-P 1.0'이라 부른다면 정보보호를 조직의 자율적 선언이 아닌 공적인 관리 책임의 영역으로 제도화했다는 점에서 1.0의 소임은 이미 충분히 수행했다. 유럽의 NIS 지침이 현실적 한계를 거치며 NIS2로 진화해 실질적인 대응력을 강화했듯이 우리 역시 관리 체계라는 단단한 기초 위에 다음 단계를 준비해야 한다. 사고를 조기에 탐지할 수 있는 역량, 사고 이후에도 신뢰할 수 있는 기록의 무결성과 분석 능력, 사고 전개 과정과 영향을 투명하게 설명할 수 있는 체계를 단계적으로 덧붙여나가야 한다. 결국 ISMS-P 무용론을 넘어서기 위해 필요한 것은 제도의 부정이 아니라 기대 수준의 정렬이다. ISMS-P가 담당하는 '관리의 기초'와 그 이후 요구되는 '설명의 책임'이라는 영역을 명확히 구분할 때 ISMS-P는 더 이상 무용한 껍데기가 아니라 한국 정보보호 거버넌스를 지탱하는 핵심 인프라로 자리 잡을 수 있을 것이다.

2025.12.29 15:16안정민 컬럼니스트

[법과 상식 사이] 로켓 배송 쿠팡, '적시 공시'는 없었다

속도의 상징, 자본시장의 시계를 놓쳐 속도의 상징인 쿠팡이 사고를 알리는 속도에서는 자본시장의 시계를 놓쳤다. 개인정보 유출 사고를 둘러싸고 국내에서는 행정 제재와 소비자 집단소송이 이어지고 있지만 더 큰 파장은 태평양 건너 미국에서 시작됐다. 미국 주주들이 쿠팡 Inc.를 상대로 증권법 위반 소송을 제기했기 때문이다. 쟁점은 쿠팡이 2025년 11월 18일 개인정보 유출 사실을 인지하고도 미국 증권거래위원회(SEC)가 정한 '4 영업일 이내 공시' 의무를 이행하지 않았다는 데 있다. 이 공백 기간 동안 주가는 하락했고 그 손실이 투자자들에게 전가됐다는 주장이다. 공시, 기업 투명성의 척도 이 사건은 우리에게 낯선 질문을 던진다. “공시가 그렇게까지 중요한 문제인가?” 한국에서 개인정보 유출은 주로 과징금이나 행정 제재, 소비자 손해배상의 영역이다. 그러나 미국 자본시장에서 공시는 단순한 알림이 아니다. 기업과 투자자 사이의 신뢰를 측정하고 지탱하는 핵심 척도이다. 기업 내용 공시제도의 본질은 상장회사가 투자 판단에 중대한 정보를 시장에 적시에 공개하도록 강제하는 데 있다. 투자자는 그 정보에 기초해 자유롭게 판단하고 책임을 진다. 공시는 자본시장의 투명성을 확보하고 자기책임의 시장 질서를 가능하게 하는 최소한의 장치다. 사이버 사고, '중대한 경영 사건'으로 격상 왜 보안 사고가 이토록 중요해졌을까. 데이터가 곧 기업 가치로 직결되는 시대이기 때문이다. 이제 사이버보안 사고는 단순한 기술적 결함을 넘어 기업의 신뢰와 지속 가능성을 직접적으로 흔드는 구조적 경영 리스크로 격상되었다. 정보 비대칭이 커질수록 기업 내부의 위험은 외부에서 정확히 평가되기 어려워지고, 그 부담은 결국 왜곡된 투자 판단과 시장 불안정성으로 이어진다. 이러한 인식 속에서 미국 자본시장은 사이버 사고를 점차 투자 판단에 중요한 정보로 다루기 시작했다. 이에 따라, 미국은 2023년부터 중대한 사이버보안 사고를 인수합병이나 파산과 같은 중대한 경영 사건으로 분류하고, 상장사에 대해 사고의 중대성(material)을 인지한 날로부터 4일 이내에 임시보고서(Form 8-K)를 통해 공시하도록 의무화했다. 더 나아가 정기 보고서를 통해 평상시의 보안 전략과 거버넌스 구조까지 투명하게 공개하도록 요구한다. 반면 한국은 사이버보안 사고를 정보통신망법과 개인정보 보호법 중심의 사후 규제 대상으로 다루고 있어, 사이버보안을 기업 가치와 직결된 경영 리스크로 보고 강제 공시와 거버넌스를 강화하는 미국·유럽 자본시장의 흐름과는 차이가 있다. 보안은 IT의 영역이 아닌 '경영 투명성'의 문제 쿠팡 사태는 단순한 개인정보 유출이나 데이터 국외 이전 논란을 넘어선다. 글로벌 플랫폼 기업이 어떤 기준으로 위험을 정의하고, 어떤 속도로 시장과 소통해야 하는가를 묻는 중대한 변곡점이다. 여기서 공시 의무 위반은 단순한 법규 위반에 그치지 않는다. 천문학적인 주주 집단소송과 경영진의 책임 문제로 직결되는 '구조적 경영 리스크' 그 자체다. 이제 사이버보안은 IT 부서의 전유물이 아니다. 이사회와 경영진, 법무 조직이 함께 책임져야 할 경영 투명성의 영역이다. 우리 기업들은 과연 글로벌 자본시장이 요구하는 그 정교한 공시의 속도와 밀도를 감당할 준비가 되어 있는가. '로켓 배송'으로 혁신을 일궈낸 쿠팡이 이제 '적시 공시'의 부재라는 날 선 시험대에 올랐다. 이 사건은 단일 기업의 위기를 넘어 한국 기업들이 글로벌 시장의 규범과 현실을 얼마나 냉정하게 인식하고 있는지를 묻고 있다. 기술의 진보와 법과 책임 사이에서 이제 그 질문을 회피할 수 있는 시간은 끝났다.

2025.12.24 16:35안정민 컬럼니스트