정보윤리와 디지털사회

[김동석]

정보윤리와 디지털사회
목 차
Ⅰ. 정보윤리의 이해
1. 정보윤리 ·························································································· 5
2. IT인의 정보윤리 ········································································· 7
3. 정보윤리의 강조 ········································································· 10
Ⅱ. 정보윤리와 기업경영
1. 정보 오남용 사례 ········································································· 19
2. 정보관리 및 이용의 책임 ····························································· 24
Ⅲ. 정보윤리 교육
1. 인터넷 윤리 교육 ·············································································· 31
2. 일본의 정보윤리 시험 ···································································· 33
Ⅳ. 정보윤리의 제도적 전망
1. 개인정보보호 기본법 ······································································ 37
2. 정보윤리 인증제도 ········································································· 39
부 록 ··································································································· 59
이 자료집은 한국정보산업연합회가 한국과학기술원 이재규 교수와 함께 작
성한 것입니다. 내용과 관련하여 문의사항이 있으시면 아래로 연락주시기
바랍니다.
한국정보산업연합회 조사연구팀 02-780-0204 fkii@fkii.org
정보윤리의 이해
5
Ⅰ. 정보윤리의 이해
오늘날 우리나라는 세계 최고의 정보화 인프라를 자랑하고 있고 혁신적인
기술개발을 바탕으로 강력한 IT강국으로서의 자부심을 갖고 있다. 그러나 최근
발생한 일련의 사건들은 성숙한 정보화 사회의 근간을 해치고 있다.
이 가운데서도 정보유출과 불법정보변조, 해킹이나 스팸메일 등 불법적 행위
사례들은 IT를 활용하여 정보를 이용하고 관리하는 사람들의 윤리의식의 문제
를 심각하게 제기하고 있다. 기업들도 이러한 정보윤리 문제에 대해 기업경영과
관련된 중요한 리스크로 인식하고 나름의 기술적 혹은 제도적인 대책 마련을
고민하고 있다.
또한 기업의 경영 상태를 평가하는 중요한 기준이 과거에는 재무적 상태에
만 집중되어 있었으나 점차 기업 운영 전반에서의 윤리적인 측면이 기업 경영
상황을 판단하는 척도로 대두되고 있다. 이러한 근저에는 기업의 윤리가 기업
을 구성하는 개인의 윤리 수준으로부터 출발해 궁극적으로 사회윤리 정립에 기
여하게 되고 기업에 속한 구성원들 개개인의 정보윤리 수준은 곧 기업의 정보
윤리 수준을 나타낸다고 보고 있다.
정보윤리는 정보사회에서 야기되고 있는 윤리적 문제들을 해결하기 위한 규범
체계로서 단순히 정보통신기기를 다루는 데 있어서 뿐만 아니라 정보 사회를
살아가는데 있어 옳고 그름, 윤리적인 것과 비윤리적인 것을 판단하여 행위
하는데 필요한 기준체계로 볼 수 있다.
1. 정보윤리
일반적으로 정보윤리는 정보의 전달과정에서 생기는 불건전한 것을 방지하기 위
해 만들어진 단어로서 광의의 의미로는 정보의 생성, 유통, 사용까지를 포괄하는
개념이고 협의의 의미로는 단지 배포 및 전달과정에만 관여되는 것을 뜻한다. 윤리적
인 차원에서 보면 단지 상대방에게 욕설을 하는 등 인신공격, 기타 불법 정보거
래, 지켜야할 보안 정보를 누설하는 등의 행위도 모두 포함된다고 볼 것이다.
6
정보윤리의 기본원칙들은 다양하게 정의되어 있지만, 일반적으로 다음과 같은
개념들을 포함하고 있다1).
존중(respect) : 자신에 대한 존중과 타인에 대한 존중을 의미한다. 자신에
대한 존중은 사이버 공간에 중독되어 자신의 생명과 몸을 돌보지 않아 건강을
해칠 것을 우려하는 것으로 바로 자기 자신을 존중하는 것을 의미하며 타인에
대한 존중의 의미는 타인의 지적재산권, 프라이버시, 다양성을 인정하고 존중하는
것을 의미한다.
책임(responsibility): 예상적 책임과 소급적 책임으로 구별한다. 예상적 책임이
란 내가 어떤 사건 전에 주의를 기울여야 할 혹은 관심을 가져야 할 문제들과 관
계가 있으며 소급적 책임이란 내가 그 사건 후에 한 행위자로서 나에게 원인
이 있다고 돌려질 수 있는 사건이나 결과들에 대해 지는 책임을 의미한다. 따
라서 사이버공간에서 정보 이용자 및 정보 제공자는 자신의 행동이 어떤
결과를 가져오게 될 것인지에 대해 미리 심사숙고해야 할 필요가 있다.
정의(justice) : 사이버 공간에서 각자는 자신이 제공하는 정보의 진실성, 비편
향성, 완전성, 공정한 표현을 추구해야 하며 타인의 기본적 자유와 권리를 침해
하지 않고 정보화의 혜택이 보편적으로 돌아갈 수 있도록 해야 함을 의미한다.
해악금지(non-maleficence) : 사이버 성폭력, 크래킹, 바이러스 유포 등과 같은
행위들은 타인에게 명백하게 해로움을 주는 것이므로 지양해야 할 행동이다.
정보기술의 특성상, 사이버 공간에서의 비도덕적 행동은 헤아릴 수 없는 불특정
다수에게 엄청난 피해를 줄 수 있기 때문이다.
1)정보통신윤리위원회, 2003,『정보통신윤리백서』
7
2. IT인의 정보윤리
일반적으로 정의되는 윤리경영은 기업의 경제적, 법적 책임수행은 물론 사회적
통념으로 기대되는 윤리적 책임의 수행까지 기본적 의무로 인정하고 기업윤리
준수를 행동원칙으로 삼는 경영으로서 기업의 이해관계자(소비자, 투자자, 시민
사회, 정부 등)로부터 지속적인 신뢰와 자율성을 보장받기 위한 전제조건이
된다. 글로벌화되는 무한경쟁과 인터넷을 통한 기업정보의 신속한 전파로
기업윤리가 경쟁력의 새로운 요소로 부각되면서 ‘좋은 기업’ 이미지가 기업
가치와 브랜드 이미지를 제고하여 기업신뢰를 높이고 국내외 신인도를 향상
시키는데 크게 기여한다고 본다.
윤리경영을 판단하는 기준으로서 임직원들이 수행하는 업무를 법과 회사
규정에 맞는지(합법성), 이해관계자들이 알 수 있도록 투명하게 수행하는지
여부(투명성)를 판단하며, 생산성이 향상될 수 있는 범위에서 상식적이고 합리적
으로 처리했는지 여부(합리성)에 따라 적격여부를 판단하고 있다.2)
이를 통해 기업윤리에 관한 글로벌 동향에 능동적으로 대응하고 국내외
요구를 능가하는 윤리경영 추진방안을 마련하며 국제경쟁력을 확보하기 위한
중요 인프라로서의 인식과 이를 적극적으로 실천하도록 하고 있다. 이는 곧
제도와 원칙, 전담조직 등 기업윤리 실천 시스템을 마련하도록 하고 있다.
2)전경련, 2004, ‘성공적인 윤리경영 정착을 위한 7가지 조건’
8
< 표1 > 윤리경영과 정보윤리 비교
구 분 윤리 경영 정보통신윤리 IT인의 정보윤리
개념
기업의 경제적, 법적
책임, 사회적 통념으로
기대되는 윤리적 책임의
수행까지 기본적 의무로
인정
사이버공간을 통해 정보
전달과정에서 생기는
불건전한 것을 방지하고
인신공격, 기타 불법
정보거래, 보안 정보를
누설하는 행위 금지
IT를 활용하여 정보를
취급하고 관리하는
사람들이 가져야할
업무상 책임과 가치
판단
기준
․임직원들이 수행하는
업무를 법과 회사 규정에
맞는지(합법성)
․이해관계자들이 알 수
있도록 투명하게 수행
하는지 여부(투명성)
․생산성이 향상될 수
있는 범위에서 상식적
이고 합리적으로 처리
했는지 여부(합리성)
․정보의 신뢰성
․정보활용의 공정성
․개인정보보호
․ 정보이용의 신뢰성
․정보제공의 안정성
․정보보호
(기술정보, 고객정보)
실천
․주주와 고객의 존중
․환경친화
․공정거래
․타인의 지적재산권,
프라이버시 존중
․정보 이용자 및 정보
제공자의 정보의
진실성 추구
․사이버 공간에서의
비도덕적 행동 금지
․고객정보 및
소속기업의 정보
부정한 이용,
유출 금지
․정보시스템 정상 유지
대상 기업인 일반인 IT종사자
IT인의 정보윤리는 일반적인 정보윤리 원칙을 기본으로 하되 온라인 공간
이라는 한정된 공간과 청소년이라는 한정된 대상을 중심으로 펼쳐지던 기존
정보문화 운동 성격을 탈피해 IT종사자와 기업이 정보보호 및 안정적인 정보
시스템 운영을 위해 노력해야 할 모든 활동들로 정의하고 있다.
9
첫째, IT종사자 측면에서 보면 IT를 활용하여 정보를 이용하고 관리하는
사람들이 지켜야할 윤리로서 IT종사자가 자신에게 맡겨진 정보와 정보시스템
을 안정적으로 유지 관리하려는 제반 활동들로 정의한다.
< 표2 > 개인의 정보윤리 관련 행위
구 분 내 용
정보유출 및 오용행위
고객정보 유출
소속기업의 내부 정보 유출
기업내 다른 종사자의 프라이버시 정보 부정한 이용, 유출
불법 및 반윤리 행위
지적재산권 침해(불법복제, 표절)
인터넷 윤리(인격무시, 비어 사용)
불법적 행위 해킹, 스팸메일
정보 시스템 중단, 파괴
둘째, 기업의 측면에서는 기업에 위임된 고객의 정보와 정보시스템을 운영함에
있어 각종 정보가 부당하게 유출, 오용, 변조되는 것과 시스템이 정상적으로
운영되는 것을 방해하는 요인들을 차단하기 위한 기업 차원의 인적, 제도적,
기술적 활동들로 정의한다.
10
< 표3 > 기업의 정보윤리 관련 활동
구 분 내 용
정보윤리 준수를 위한
제도적 장치
정보윤리 강령 마련 및 공시
정보윤리 준수 활동에 대한 인센티브 제도
모니터링
상벌 규정
부정한 정보시스템 사용에 대비한 합법적 정보이용 보장 제도
정보피해 발생에 대비한 기업차원의 변상 대책
정보윤리 교육제도
정보보안시스템
정보유출 방지시스템(사용 로그인, 방화벽)
안전한 데이터 백업시스템
재해복구 시스템
기밀문서 보호시스템
불법 및 정보유출 행위
IT종사자의 고객 정보 유출/이용
지적재산권 침해
불법행위나 불건전한 데이터 취급
3. 정보윤리의 강조
우리나라 정보화의 수준은 세계 최고 수준이지만 이를 통한 국가경쟁력에의
기여도는 매우 미흡한 실정이다. 이런 문제를 야기시키는 근본적인 요인은 기업
과 개인의 정보윤리가 확립되어 있지 않다는 점을 들 수 있다.
최근 아웃소싱 위주로 외부 회사나 시스템에 의존하는 추세가 증대하고 있
어 정보서비스의 신뢰도를 높이는 문제는 정보윤리의 확립을 위한 선행과제로
놓여있다.
11
정보윤리 문제는 최근 여러 사례를 통해 그 심각성이 점점 더해가면서 개인
의 신용정보, 사생활 정보가 유출되었다는 보도를 접하게 된다. 기업에서도 정
보윤리 문제는 더이상 부차적인 문제가 아니라 개인과 기업의 사활이 걸린 문
제가 되고 있다. 이는 기업 운영의 핵심인 정보시스템의 안정성과 신뢰성을 위
협하는 문제들로서 곧 기업 경영 자체의 리스크와 연계된다는 사실 때문이다.
기업이나 IT종사자에 의한 불법정보변조, 해커에 의한 보안시스템의 파괴 및
각종 스팸 메일이나 포르노물의 불법 유통 문제도 정보윤리 문제의 심각성을
반영하고 있다. 이러한 문제들을 해결하지 않은 채 기술발전에만 매진한다면
지속적인 정보화 추진에 큰 장애가 될 것으로 예상되고 있다.
1) 개인정보유출과 사생활보호
고객관계 관리의 중요성이 더욱더 커져가고 있는 정보화의 추세 속에서 고
객정보의 유출은 심각한 사회적 문제를 야기시키고 있다. 기업 및 공공기관의 고
객정보가 신용카드 정보와 함께 유출되는 등의 사건이 반복적으로 발생하고
있고 금융기관, 신용카드사, 정보통신회사, 유통회사 등과 대규모 고객정보를
관리하는 기관들이 이런 범주의 위험에 노출되어 있다.
개인 정보유출을 막기 위해서는 고객정보에 대한 부당한 접근을 통제하여야
한다. 접근통제를 위해 비밀번호나 인증서를 활용할 수 있다. 그러나 불법적으로
비밀번호를 사용한 경우에 대비하기 위해서는 고객정보를 출력한 사람의 기록을
철저히 감시하는 시스템을 운영해야 한다.
부당한 유출에 대비하기 위해 정보를 암호화하여 저장하면 설령 유출되더라도
해독이 되지 않게 기술적으로 보호할 수 있다. 그러나 암호 관리를 맡은 사람에
의한 부당행위를 막는 방안은 궁극적으로 그의 정보윤리 의식 외에 다른 보호
책이 없을 것이다.
2) 표현의 자유와 역기능
표현의 자유는 헌법이 보장하는 바지만 허위유포, 중상모략, 음란물 유포, 범
12
죄모의, 자살 방조, 스팸메일 등의 자유를 모두 보장할 수는 없다. 최근 연예인
에 대한 X-파일 사건이 좋은 예가 될 것이다. 특히 익명상황에서 표현이 무례
해 지는 경향이 있는데 무책임한 표현으로 당사자에게 심각한 피해를 줄 수 있
다. 그러므로 표현의 자유에 대한 적절한 규제가 사회적 합의를 통해 도출되어
야 한다.
표현의 자유를 제한하는 것은 전통적 법 정신에 상응되게 인터넷 공간에서도
규제되어야 인터넷을 악용한 신종 범죄를 억제할 수 있을 것이다. 인터넷에서
확산 속도와 범위 때문에 과거에는 심각하게 다루지 않던 사건도 인터넷에서는
심각한 결과를 초래할 수 있으므로 미리 예방적 조치를 취할 필요가 있다.
그러나 표현의 자유에 대한 침해소지와의 균형을 위해 여러 입장에서의 의견
수렴과정을 거치는 것이 바람직하다.
특히 청소년 보호 차원에서 피해를 주는 음란물에 대한 규제는 표현의 자유
에 우선해서 적용되도록 하여 인터넷의 역기능을 막을 수 있어야 할 것이다. 법
적 규제가 가능해지면 부당한 정보를 유포하는 사이트를 폐쇄시키거나 그 사
이트의 정보가 접속되는 것을 원천적으로 차단할 수 있을 것이다. 즉 표현의
자유에 대한 정보윤리 의식을 가지고 스스로 절제할 수 있는 기초교육과 사회적
분위기가 형성되어야 성숙된 정보화 시대를 열어 갈 수 있을 것이다.
3) 지적재산권의 보호
지적재산권 보호의 심각성은 음반시장에서 이미 경험하였다. 과거에는 녹음테
이프를 상업적 목적이 아닌 경우 서로 빌려주거나 복사를 하는 것이 심각한
문제는 아니었다. 그런데 인터넷상에서 상업적 목적이 아니라 하더라도 서로
복사를 할 수 있도록 해 주는 것은 대량 복사와 배포가 가능해지므로 음반 업
자에게 심각한 타격을 주게 된다. 음악 산업의 50%이상이 MP3로 배포되고 있는
상황을 감안하면 심각한 문제가 아닐 수 없다.
이와 같은 문제가 발생한 미국의 Napster의 경우에 대해서는 No Electronic
13
Theft Act를 개정하여 상업적 목적이 아닌 경우라 하더라도 불법 복사할 수
없게 하였다. 그러나 우리나라에서는 소리바다 사이트에서 개인별 음악 나눔
(P2P)을 허용하고 있다.
문헌정보의 지적소유권에 대해서도 음반과 유사한 문제가 상존한다. 이런
문제는 인터넷 때문에 생겨난 새로운 문제이며 해결방안에 대한 사회적 합의가
필요하다. 네티즌의 무료사용 입장만 고집하면 결국 공급할 기업이 없어질
것이라는 구조적이면서도 장기적 인식이 필요하다는 점이 정보윤리의 기본이
되어야 할 것이다.
4) 소프트웨어 아웃소싱에서의 정보윤리
소프트웨어는 외부에서 개발해 놓은 상품을 사용하는 경향이 많다. 또한
소프트웨어를 구매하기보다 필요할 때 사용료를 내고 사용하는 서비스중심의
구조(Service Oriented Architecture)가 세계적 추세가 되고 있다. 이는
온라인에서 더 많은 소프트웨어가 배포되어야 함을 의미한다.
웹서비스 구조는 이런 외부적 서비스가 가능하도록 개발되어 정보산업의
표준으로 자리 잡아가고 있고 이러한 환경에서 ASP형식으로 아웃소싱이
더 늘어갈 것이다. 이런 상황에서 소프트웨어를 서비스하는 기관에 대한 지적
소유권이 보호되지 못하고 서비스 기관이 고객의 정보를 보호하지 못한다면
새로운 산업추세의 장점은 정착하지 못할 것이다.
그러므로 정보화를 위한 고객 입장에서의 정보윤리와 공급기업 입장에서의
정보윤리가 총체적으로 확립될 때 정보화는 개인과 사회적 행복을 증대할 수
있는 방향으로 건전하게 발전할 수 있을 것이다.
5) 사업자 책임의 강조
고객의 중요한 정보를 많이 가지고 있는 금융 산업에서는 사업자 책임을
더욱 강조할 전망이다. 이르면 2005년 말부터 인터넷 뱅킹 등 전자금융거래
과정에서 해킹, 전산장애 등 이용자가 피해를 입을 경우 원칙적으로 금융기관,
14
전자금융업자가 이에 대한 책임을 지게 된다. 또 전자금융업자 등에 대해 전자
금융거래정보의 타인제공이나 누설은 물론 전자금융업무 목적 이외 사용도
금지토록 했다.
제정안을 보면 접근매체의 위변조 또는 전자 전송, 처리 과정에서 사고로 이용
자에게 손해가 발생하면 금융기관 전자금융업자가 과실유무에 관계없이 책
임지도록 했다. 단, 이용자의 고의 중과실이 있을때 이용자가 책임을 부담한다
는 취지의 약정을 체결한 경우 경감, 면책이 가능하다.
또한 전자금융거래에 필수적인 이용자번호, 비밀번호, 인증서 등은 이용자의
신청이 있는 경우에만 본인확인을 거쳐 발급토록 했으며 거래업자의 거래기록
보존을 의무화했다. 더불어 전자금융업무는 원칙적으로 금융기관에 한정하되
전자화폐의 발행, 관리, 자금이체 등 일부 업무는 통신회사 등 비금융기관도
금융감독위원회 허가와 등록을 거치면 할 수 있도록 했으며 전자금융업자가
거래정보를 타인에게 제공하거나 누설하는 것은 물론 전자금융업무 이외 목적
으로 사용하는 것도 금지하고 있다.3)
금융권에서는 국제적인 흐름인 바젤Ⅱ4) 시행에 맞추어 은행 내부의 정보윤
리 수준을 강화하는데 주력하고 있다. 2006년 말부터 시행될 예정인 바젤Ⅱ에
서는 금융권의 리스크 평가에 정보윤리적 평가 항목으로 이루어진 운영 리스
크를 포함하여 기업을 평가하게 될 것이다.
6) 정보윤리 실천 강령
한편에서는 이와 같은 정보윤리 문제들을 해결하기 위해 정보윤리 강령을
제작, 배포하여 사람들로 하여금 도덕적인 의사결정을 하도록 유도하고 윤리적
행동을 독려하고 있다.
대표적인 해외기관으로는 ACM(Association of Computing Machinery)5),
3)재정경제부, 2004, ‘전자금융거래법 입법안 예고’
4)바젤Ⅱ 설명은 부록 참조
5)1947년 설립되어 전세계 정보기술 전문가와 학생들의 기술 능력을 선진화하는데 노력하고 있다.
ACM은 78,000여 회원들과 기관들에 업계 선도적인 컴퓨팅 자료 검색서비스를 비롯해 권위있는
15
AITP(Association of Information Technology Professionals)6), Software
Engineering, IEEE(Institute of Electrical and Electronics Engineers)7) 등이
있다.
정보윤리의 필요성을 인식한 몇몇 국내 기업에서도 이미 정보윤리 강령의
선언적 채택을 통해 정보윤리 문제를 해결하고자 하고 있다. 그러나 대부분의
기업이 한때 단순한 선언으로만 그쳐 실효를 거두는데 한계가 있음을 인식하
고 보다 체계적으로 정보윤리 수준을 평가하고 관리할 수 있는 제도적 방안을
고민하고 있다.
7) 정보윤리 제도
국내에서는 인터넷 사이트를 대상으로 개인정보보호 관련 제도들이 만들어져
시행되고 있다. 이런 제도들은 정보보호의 중요성을 홍보하고 제도화하는데 기여
하고 있으나 아직은 여러 가지 미흡한 부분이 많다. 사회적 예방 차원에서 정
보보호를 포함하는 정보윤리를 준수하도록 하는 제도가 필요하다.
국내에서 시행되고 있는 여러 가지 관련 제도는 기업이 운영하고 있는 웹사
이트에 대한 평가를 표방하고 있다. 인터넷 상거래가 확대되면서 웹사이트에 대
한 평가도 중요하지만 실제 그 사이트를 운영하는 기업의 정보보호나 정보윤
리 수준이 더 중요해지고 있다. 기업의 개인정보보호 수준이나 정보시스템 자
체 보안 등 평가에 중점을 두고 있지만 실제로 기업의 정보윤리 수준에 가
장 많은 영향을 미치는 요인은 기업에서 정보시스템을 운영하고 사용하는 IT
종사자들이다.
법적 규제보다 예방적 차원에서 정보윤리의 핵심 인적자원, 특히 IT종사자들
에게 정보윤리를 지키도록 지속적으로 동기를 부여하는 제도가 필요하다. 이런
발간물, 혁신적인 컨퍼런스, 21세기 리더쉽을 제공한다.
6)종사자, 기업, 관리자, 프로그래머 및 관련자들로 하여금 급변하는 시장환경에 적응하고 기술적
성숙을 증대하도록 지원하는 전문가 협의체이다.
7)theoryand application of electrotechnology 수준을 업그레이드하였고 과학과 접목, 기술혁신을 동기
화하고 관련된 다양한 프로그램과 서비스를 회원들에 제공한다.
16
제도를 통해 가용해진 개인이나 기업의 정보윤리 인증수준의 정보를 희망자들이
필요시 정보윤리수준이 높은 개인과 기업이 우대를 받을 수 있도록 하여 사회
적으로 정보윤리 구현 동기를 근원적이고 지속적으로 제공해야 한다.
정보윤리와 기업경영
19
Ⅱ. 정보윤리와 기업경영
개인정보의 유출 피해가 심각한 사회문제로 대두되면서 관리 주체들의
책임은 한층 더 강화되고 있다. 이는 서비스 업체들이 회원가입시 관리를
명목으로 요구하는 주민등록번호와 휴대전화번호, 재산현황, 가족현황 등의
정보가 업체의 관리 소홀과 해킹 등에 의해 외부로 유출되고 있는 사례들
때문이다. 이는 기업 자체의 기술적인 정보보안 대책이 허술한 것도 문제지만
무엇보다 직원들의 철저한 보안의식의 결여나 모럴해저드와 같은 문제가 시급한
과제로 제기된다.
공인 인증체계 및 행정서명체계 구축과 저장정보에 대한 권한 권리 및
프라이버시 보호 등 정부가 주도적으로 정보보호체계를 강화하여 모든 행정
정보의 안전한 공동이용기반을 구축하였으나 일반적으로 정보통신망을 이용한
자료유통에 대한 기밀 확보 체계는 아직 미흡한 실정이다.
여기서 중요한 것은 단순히 정보를 유출시킨 행위 자체가 도의적으로 문제가
되는 것으로 끝나지 않고 그 영향은 기업에 경제적 손해를 낳는다는 점이다.
다음은 그 구체적인 사례들을 소개한다.
1. 정보의 오남용 사례
1) 스팸메일
스팸메일의 남용은 심각한 지경이다. 예를 들어 대학교수 개인에게 오는
메일 중 매일 150개의 스팸메일이 차단기에 의해 차단되고 차단기를 통과한
스팸메일도 50여개나 된다. 메일의 활용도 관점에서 본다면 초고속망의
80-90%정도는 스팸메일에 의해 낭비되고 있다고 볼 수 있으므로 초고속망의
용량이 본연의 기능으로 활용될 수 있도록 해야 함이 시급한 문제다.
불법 스팸메일은 정부의 강력한 대응 활동에도 불구하고 지속적으로 늘어
나고 있는 것으로 집계되었다. 불법스팸대응신고센터8)에 따르면 신고된 상담
건수가 매년 증가하고 있다.
8)불법스팸대응센터(www.spamcop.or.kr)는 국민의 스팸관련 상담 및 불법스팸신고를 원활히 처리
하기 위하여 2003년 1월 24일 한국정보보호진흥원내 개설된 것이다.
20
< 표4 > 스팸메일 신고 건수
연도 2001년 2002년 2003년 2004년 7월
건수 2,923 106,076 282,383 269,730
스팸메일은 2003년 39.4통이고 이중 음란물이 3분의 2이상을 차지한다. 스팸
메일을 수신하는데 1조 7,494억원, 저장하는데 668억원, 삭제하는데 3조 1,849
억원이 드는 등 물질적인 피해가 크다. 휴대폰을 통한 스팸 메일이 지속적으로
급증해 2004년 7월까지 8만 6,887건으로 2003년 같은 기간 1만 82건에 비해
8.6배나 증가했다. 2003년 한 해 동안 신고 된 총 건수가 2만 6,783건인데 비해
2004년 7월까지 집계된 것만으로도 이미 3배를 넘어섰다.
기업이미지까지 실추시키는 스팸메일은 사용자들의 주의와 더불어 기업
차원에서 방화벽이나 차단 솔루션 등 다양한 스팸메일에 대응하는 시스템을
구축하도록 권고된다. 정부에서는 네트워크 차원의 스팸차단, 인증기술 등에
대해 검토, 스팸차단 정책을 위해 국제적인 공조 노력을 기하고 있다.
2) 해킹
최근 들어 국가기관이나 기업의 중요 정보를 이메일을 통해 빼내가는 해킹이
만연하고 있다. 10여개 국가기관과 기업체들이 중국인으로 추정되는 해커가 보
낸 이메일을 받았다가 해킹 프로그램에 감염되는 사태가 발생하기도 했다.
이메일이 해킹 수단으로 악용되면서 해킹 건수도 급증하고 있다. 한국정보
보호진흥원에 따르면 국내 해킹사고 건수는 지난 1999년 572건이던 것이 2003년
2만 6,179건으로 폭증했고 2004년 상반기에만 1만 2,477건에 달했다.
단순한 광고에 그치던 스팸메일도 점차 범죄로 악용되어 바이러스 유포와
개인정보 유출이라는 더 큰 피해를 유발하고 있다. 최근 금융회사를 사칭해
개인정보를 빼낸 사고인 ‘피싱’이 대표적인 사례였다고 볼 수 있다. 실제 은행의
이름으로 고객들에게 이메일을 보내 ‘은행 시스템에 문제가 발생해 고객데이터의
손실 우려가 있으니 고객정보를 수정해 달라’는 공지사항을 보낸다. 이후 이메일
21
수신자가 이메일에 링크된 홈페이지를 접속하면 카드번호, 비밀번호, 계좌번호를
차례로 입력하라는 메시가 뜨게 되며 이를 입력하는 동시에 개인정보가 고스
란히 빠져나가게 되는 것이다.
직원들의 퇴직 후 종사하던 업무와 관련된 정보보안의 대책도 시급하다.
한때 유명 정보보안업체에서 일했던 전 직원이 회사를 그만둔 뒤 자신의 집에서
35개 주요대학의 컴퓨터 683대를 비롯해 지방교육청 등 공공기관과 중소기업
등에 침입해 다른 컴퓨터 해킹 경유지로 이용하거나 해킹한 정보를 저장해
놓았던 사례도 있다. 이는 인터넷 채팅을 통해 만난 여성들에게 자신의 사진을
보내주겠다며 해킹 프로그램을 전송해 평상시 상대의 컴퓨터 사용 화면을
20분마다 한 번씩 자동으로 전송받는 방법으로 개인의 인터넷뱅킹이나 이메일 등
정보를 빼낸 사건도 있었다.
해킹은 기업들의 공정한 경쟁 질서를 해치는 일에도 영향을 미치고 있다.
한 목창호(문, 문틀) 전문제조 시공업체가 대기업 건설회사의 전자입찰 시스템에
침입해 경쟁업체의 응찰가격을 알아내 발주 공사 총 7건에 130여억원 상당의
아파트 내장재 하도급 공사를 부정적으로 낙찰 받은 사건이 있었다. 이는 전자
입찰시스템에서 사업자등록번호를 입력하면 해당업체의 ID와 패스워드가 화면에
나타난 점을 이용해 경쟁업체의 입찰가보다 낮은 가격을 써내는 수법을 이용
했던 것이다.
3) 개인정보유출
2003년 2,000만 명분 이상의 개인정보가 인터넷에 유출되어 거래되고 있다는
경찰청 사이버테러 대응센터의 보고는 놀라운 사실이었다.
개인정보 분쟁 조정위원회에 접수된 개인정보 피해구제 현황을 봐도 2003년
총 845건이던 것이 2004년 상반기에만 767건에 달했다. 특히 타인에 의한 정보
훼손과 침해, 도용 사례가 상반기 142건으로 지난해 전체 39건에 비해 4배에
이른다. 2004년 개인정보의 유출량은 감소했으나 신용정보 등 범죄의 수단으로
악용될 수 있는 정보의 유통 수준이 심각한 것으로 보고된다.
22
최근 증대된 개인정보유출 사건의 공통점은 개인정보를 관리하고 담당하는
책임을 지닌 직원들로 인해 발생된 사례들이라는 점이다. 사례를 보면, 휴대전화
가입자의 정보를 빼내 전화를 복제한 뒤 물품 결제에 이용한 사례가 적발
되었는데 여기에는 이동통신회사, 보험회사, 인터넷서비스 제공회사, 인터넷
쇼핑몰 등 개인정보를 취급하는 업체들이 관련되어 있었다. 시중은행 대출담당
직원이 사채업체에 동사무소 직원의 부인이 근무하는 신용정보회사에 각각
정보를 유출한 사건도 있었다.
이러한 사례들이 계속해서 발생하자 이동통신회사들은 이른 바 ‘집안 도둑’을
막기 위해 내부직원들의 고객정보에 대한 접근을 엄격히 제한하고 유출을
사전에 방지하는 다음과 같은 나름의 대책을 세우고 있다.
∙ 지점이나 대리점에서 고객정보를 필요 이상으로 조회하면 해당 직원에게
경고 조치
∙ 대리점에서 고객의 주민등록번호를 검색한 뒤 일정시간이 지나도 신규가입
등의 업무가 정상적으로 처리되지 않으면 즉시 고객정보 유출 여부 점검
∙ 고객정보 사용자별 정보에 최소 접근하도록 함
∙ 고객정보 다량 조회자에 대한 보안교육 확대
∙ 내부직원의 전산자료 이용에 대한 체계적 감시
∙ 고객정보 다량 조회시 자동 경고 발동 제도
∙ 고객이 통화자료 열람 요청시 가입자에게 문자메시지 별도로 보내 정보
유출을 막기 위한 고객 서비스 강화
∙ 통신 가입을 해지한 고객의 정보는 바로 폐기
4) 핵심 IT기술 유출
국내에서 계속적으로 첨단기술이 유출되는 사례가 빈번해지면서 이들 사범과의
전쟁이 선포되고 있다. 휴대전화, 반도체 등 국내 최첨단 IT의 불법유출 시도가
계속해서 적발되고 있어 정부는 피해업체의 고소 고발 없이도 수사 할 수 있고
23
미수에 그치더라도 처벌할 수 있도록 관련 법규도 고치고 있다.
정부는 2004년 9월 ‘첨단산업기술 유출 방지에 관한 법률’을 제정키로 하고
입법예고 했다. 이법의 시행으로 기술 유출 사범은 해외유출의 경우 7년 이하
징역 및 재산상 이득액의 10배 상당 벌금, 국내 유출의 경우 5년 이하 징역 및
재산상 이득액의 10배 상당 벌금에 처하도록 하는 등 처벌하고, 기술유출 행위를
신고한 사람에게 최고 1억원까지 포상금이 지급된다.
국내 핵심기술의 해외유출피해는 지난 1998년 9건(피해액 1조 4000억원)에서
2000년 10건, 2001년 20건, 2002년과 2003년 각각 15건(14조원)에 이어 2004년
8월까지 21건(18조원)에 이르는 등 해마다 급증하고 있다. 이 중, 우리나라가
강점을 갖고 있는 IT분야의 기술 유출이 전체 72.5%에 이른다고 보고된다. 9)
우려할만한 점은 반도체, 휴대폰, LCD 등 첨단기술에 집중되있던 산업기밀
유출 사건이 성장산업인 온라인게임과 생명공학 등으로 확대되고 있다는 점인데
온라인게임과 생명공학 등 미래 산업으로 각광받는 관련 기업들은 대부분
영세하고 보안이 취약하다.
이렇듯 국내기업의 핵심기술 유출로 인한 피해액은 지난 7년간 44조원에
달하는 것으로 예상되고 있다. 한 회사의 기술 인력이 이직하면서 IT관련 핵심
기술 자료를 해외로 혹은 국내 다른 경쟁사로 빼돌리는 사례도 증가하고 있다.
이와 같이 외부로부터의 해킹과 조직원들의 부주의, 혹은 고의적으로 개인
정보와 국가적 기술자원이 유출되고 있다. 정부의 법제도는 계속적으로 수정
보완되고 있고 기업차원의 다양한 기술적 시스템이 마련되고 있지만 제도적
보완보다 더 빠른 기술력을 통해 지속적으로 발생되고 있다.
지금까지 일어난 일련의 사건들은 관련 종사자, 운영자, 관리자들의 근본적인
교육과 훈련의 문제로 귀결될 수밖에 없는 것으로 나타난다. 즉 정보기술을 관
리하는 개개인의 윤리 수준이 시장에서 기업 가치로 연결되고 이는 곧 국가
경쟁력으로 연계된다는 사실을 인식하는 문제를 간과해 일어나고 있는 것이다.
9)임영모 외, 2004, ‘핵심기술 해외유출의 실태와 대책’, 삼성경제연구소
24
2. 정보관리 및 이용의 책임
기업이나 여타 기관들은 건전한 정보 이용 문화와 윤리 이용에 관한 권한과
책임을 명시하고 불건전 정보에 대한 관련 사항을 규정하여 적용하고 있는데
이는 IT인력과 운영조직이 전문적 지식을 활용하는데 있어 올바른 책임감을
갖도록 유도하는 일이 중요하다는 점에 크게 공감하고 있음을 알 수 있다.
1) 기업의 사례
금융 IT기업인 W금융정보시스템은 2003년 4월 윤리경영을 선포하고 윤리
강령의 실천사항을 2004년 1월부터 시행하고 있다. 또한 윤리강령 가이드북을
발간해 업종의 특성을 살린 행동지침과 직무별 윤리행동기준을 규정하고 있다.
기본적으로 회사 내의 운영 지침 및 관계 법령과 규정을 준수하면서 각
소관부서의 직무 특성에 따라 담당자들의 윤리행동기준을 자체적으로 마련하고
있는데, 다음은 회사의 정보시스템 운영과 보호 등 정보자산 관리에 대표적인
부서들인 보안센터, EDW개발본부, FM 사업본부 등 세 부서의 윤리행동기준을
예로 소개하겠다.
먼저 회사의 정보자산을 관리하는 보안 센터의 경우, 직원내부의 프라이버시
보호, 바이러스 및 악성프로그램의 유포나 해킹 등 불법적인 행동 차단 업무를
통해 습득한 보안관련 기술을 업무이외의 목적으로 사용하지 않겠다는 내용을
담고 있다.
25
[ 보안업무 담당자 윤리행동 기준 ]
소관부서 : 보안센터
보안담당자는 회사의 정보자산을 보호할 책임과 의무가 있으며, 모든 임직원의 정보보
호 인식을 고취시키고 보안사고를 사전 예방할 수 있도록 다음의 행동기준을 준수하여
야 한다.
1. 임직원의 인권과 사생활을 보호하여야 한다.
2. 취득한 정보는 업무이외의 목적을 위하여 사용하여서는 안된다.
3. 보안담당자의 책임이상으로 권한을 남용하여서는 안된다.
4. 회사의 정보자산을 보호하기 위하여 최선을 다한다.
5. 바이러스 및 악성프로그램의 유포나 해킹 등 불법적인 행동을 차단하여야 한다.
6. 습득한 취약분석 기술, 해킹 기술 등 보안관련 기술을 업무이외의 목적으로 사용하
여서는 안된다.
또한 고객사의 요구에 따라 정보 시스템 기능 개선과 안정성을 위해 노력하는
EDW개발본부의 경우는 고객사와 체결한 SLA(서비스 수준 협약)에 의거한 정
보시스템의 품질 개선에 노력할 것과 내외부에 제공된 데이터의 정합성을 보
장한다는 내용을 담고 있다.
[ 정보업무 담당자 윤리행동기준]
소관부서 : EDW개발본부
정보업무 담당자는 정보 이용의 증대 및 정보시스템 기능개선 요구 증대에 따라 고객
사의 정보 시스템 기능 및 품질 개선/안정화/적시성이 보장되고 관련 정보가 잘 보호
되고 관리되어질 수 있도록 다음의 행동기준을 준수한다.
1. 법규의 준수 의무와 책임
가. 정보의 제공과 활용에 있어 고객사의 내규 및 관계법령과 규정을 준수하여 정보업
무 담당자로서 책임과 의무를 다한다.
2. 정보시스템의 안정화 및 관련 정보 통합
가. 고객사와 체결한 SLA 에 의거 정보시스템의 품질 개선 및 안정화에 만전을 기하
고, 고객이 요구한 개발요구에 대한 내부 프로세스에 따라 처리한다. 동시에 방
대한 지식자산을 관리하고 조직과 개인의 관점에서 내외부에 제공된 데이터의
정합성을 보장한다.
나. 직원들이 업무를 수행함에 있어 도움을 받을 수 있도록 올바른 정보를 수집하고
업무지식을 공유할 수 있는 기반을 구축한다.
(중략)
26
마지막으로 회사의 전산 인프라를 관리하는 FM 사업본부의 경우, 안정된
온라인 운영을 위한 업무처리와 사용자의 무분별한 사용에 대하여 관리 감독을
지속적으로 해나가겠다는 점을 내용으로 하고 있다.
[인프라 운영업무 담당자 윤리행동 기준]
소관부서 : FM 사업본부
인프라 운영업무 담당자는 회사의 인프라 자원을 안전하게 보호 및 운영할 책임과 의
무가 있으며 전산 인프라 이용의 급증 및 다양성에 대하여 체계적이고 합리적인 관리
가 될 수 있도록 다음의 행동기준을 준수한다.
1. 지침에 의한 인프라 운영 관리
- 전산자원의 모든 인프라와 고객 정보를 관리함에 있어 회사 내의 운영 지침 및 관
계 법령과 규정을 준수하여 인프라 운영 업무 담당자로서 책임과 의무를 다한다.
2. 안정된 온라인 운영을 통한 고객 만족의 극대화
- 전산 인프라에 수반되는 모든 업무는 안정된 온라인 운영을 위한 업무처리를 기준
으로 운영하여 우리 회사의 내부 및 외부 고객의 만족을 극대화하는 것을 최우선
과제로 삼는다.
- 전산 인프라 자원 및 운영 절차의 변경은 온라인 운영의 안정성을 저해하지 않는 범
위내에서 업무 처리를 수행한다.
3. 인프라 운영 업무 담당자는 회사의 유형, 무형의 전산 자원을 관리함에 있어 성실, 신
의의 원칙에 입각하여 사용자의 무분별한 사용에 대하여 관리 감독 활동의 강화로
자원의 낭비를 최소화한다.
(중략)
이러한 각 소관부서의 행동기준은 윤리강령 가이드북을 통해 전직원에게 배
포되어 부서간에 기준을 리뷰하게 함으로서 자연스럽게 부서간, 직원간 모니터
링 체제를 갖추도록 하고 있다.
27
2) 대학의 사례
P대는 1999년 학교 내의 전산자원 이용 및 정보유통, 보안에 대해 사용자들이
효율적으로 이용할 수 있는 환경조성과 전산자원을 보호하기위해 ‘전산자원 이용에
관한 운영세칙’을 마련했다. 이 중, 학술정보원, 연구실, 학과 등 대학의 세부
단위에서 시스템 관리를 위해 선임된 운영 담당자인 시스템 관리자의 책임과 권한을
일부 채택하여 운영하고 있다.
제5조(시스템관리자의 책임과 권한)
B. 시스템 관리자는 자신의 관리하에 있는 시스템에 대하여 다음의 책임을
가진다.
1. 시스템이나 구성품에 대한 절도나 파손 및 침입에 대비한 예방조치
2. 컴퓨터 시스템에서 사용하는 소프트웨어 사용권한 유지
3. 시스템에 저장된 정보나 이용자에 대한 정보관리
4. 해킹이나 정보유출에 대비한 조안조치
5. 시스템 이용자에게 제공되는 서비스와 제공되지 않는 서비스에 대한 지침이나
절차공지
6. 전산자원 오남용 발생시 해당부서나 다른 시스템의 보호를 위하여 합리적인
조치를 취할 수 있는 다음의 권한이 부여된다.
(중략)
시스템 관리자는 필요한 경우 컴퓨터나 네트워크의 무결성을 위해 이용자의
권한을 일시적으로 정지시킬 수 있고 전산자원의 부적절한 사용이 예상되는
합리적인 이유가 있는 경우 이용자의 개인자료(파일, 디스켓, 테이프, 기타 기록
매체)를 조사하거나 감시할 수 있는 권한을 가지고 있다.
여기에서는 이들이 전산자원의 관리자로서 강력한 권한을 가진 것만큼 강한
책임을 가져야 한다고 강조하고 있다. 물론 교직원을 포함해 학생, 교수 등
학교 구성원들이 지켜야할 기준은 ‘전산자원의 이용범위’나 ‘전산자원의 이용기준’
으로 명시하고 있다.
이후 P대는 ‘전산자원의 이용에 관한 운영세칙’에서 일부 언급하고 있던
기술적인 규제부문의 일부를 정보윤리로 심화하여 2001년 ‘정보윤리에 관한
운영세칙’을 제정하여 시행하고 있다. 시스템 운영팀에서 이를 관리하고 학술
28
정보위원회 정보윤리소위원회에서 심의하도록 하고 있다. 사안이 발생하면
처리결과까지 공개하도록 하되, 사건 발생의 책임자는 익명으로 처리한다.
P대의 정보윤리에 관한 운영세칙
제정 2001. 6. 1
제 1 조(목적) 이 운영세칙은 건전한 정보 이용 문화와 윤리 이용이 대학에 정착될 수
있도록 정보 이용자의 권한과 책임을 명확히 하고 불건전 정보에 대한 심의 기준을 제공
하기 위하여 관련 사항을 규정함을 목적으로 한다.
제 2 조(이용자의 권한) 포항공대의 구성원이 되면 대학의 전산자원 이용과 정보윤리에
관한 운영세칙을 지킬 것을 동의한 경우에 한해 전산자원 및 정보이용 권한이 부여된다.
제 3 조(이용자의 책임) 대학의 전산자원을 이용할 수 있는 권한을 부여 받은 이용자가
제5조의 불건전 정보 심의기준에 위배되는 경우 제6조의 제재를 받는다.
제 4 조(적용범위) 대학 내에서 전산자원을 이용하는 전자적시스템(전자메일 또는 유사기
능을 가진 시스템, 정보시스템 등)을 활용하여 전달되는 모든 정보에 적용된다.
제 5 조(불건전 정보 심의 기준)아래의 각 사항에 저촉되는 경우는 불건전 정보로 간주
한다.
1. 대학의 면학분위기를 해치는 내용
2. 개인 또는 부서의 권리와 명예를 훼손하는 내용
3. 개인의 사생활을 침해하는 내용
4. 허위사실을 유포하는 경우
5. 공개금지가 되어 있는 내용을 유포하는 경우
6. 욕설 또는 언어폭력 등의 저속한 표현
7. 개인비방, 유언비어, 협박, 사기, 음란 등의 내용
8. 정보시스템에서 제공하는 각 보드의 개설 취지와 용도에 부합되지 않는 내용
9. 기타 학술정보운영위원회 정보윤리소위원회에서 불건전 정보로 결정한 경우
제 6 조(제재 절차)
① 불건전 정보심의 기준에 위배되는 경우 학술정보운영위원회 정보윤리소위원회에서 심의함
을 원칙으로 하며 전산자원 이용에 관한 운영세칙 제6조의 제재절차를 따른다.
② 학술정보원에서는 필요한 경우 해당 자료의 삭제 등 선행 조취를 취할 수 있다.
③ 사안이 중대하고 긴급한 경우 소관 부서의 위원에서 먼저 제재범위를 심의할 수 있으며
그 결과를 학술정보위원회 정보윤리소위원에 통보하여야 한다.
정보윤리 교육
31
Ⅲ. 정보윤리 교육
1. 인터넷 윤리 교육
국내에서는 인터넷 윤리 교육을 통한 건강한 정보사회 구축을 목표로 ‘인터넷
윤리’ 확산 및 교육을 적극 펼치기로 하고 대학을 중심으로 커리큘럼 개발과
시범교육 등을 진행하기 시작했다.10)
여기서 정의되는 ‘인터넷 윤리’란 정보사회에서 야기되고 있는 윤리적 문제들을
해결하기 위한 규범체계로서 인터넷 윤리가 IT기술을 다루는데 있어서 정보
사회의 한 구성원으로 살아가는데 옳고 그름, 윤리적인 것과 비윤리적인 것을
바르게 판단하여 행동하는데 필요한 규범적인 기준체계이며 인터넷 공간에 대해
유익한 정보를 공유하고 건전한 인간관계를 형성하는 공간으로 네티즌을 이
공간의 주체로 한다.
오프라인 상에서는 가정과 학교에서 윤리 교육을 받고 있고, 법에 저촉
여부를 행동기준으로 삼을 수 있지만 온라인상에서는 불건전 정보의 유통과
정보사회에서의 비도덕화로 인해 사회적으로 큰 문제가 되고 있다고 보고
기업과 사회에 진출하기에 앞서 학교에서부터 이러한 교육이 시급하다고 주장
한다.
< 표5 > 불건전 정보유통과 비도덕화 사례
불건전 정보 유통 정보사회에서의 비도덕화
․음란, 폭력 정보의 유통
․허위정보
․컴퓨터바이러스 유포
․해킹
․사생활침해
․재산권침해
․정보 사회에서는 비도덕적 행동을 할 가능성이 커짐
․‘익명성’으로 인한 비도덕적 행동
컴퓨터통신망을 통한 간접적 접촉이 이루어
지므로 비도덕적 행동을 하려는 유혹에 빠짐
․윤리에 대한 이해 부족으로 비도덕적 행동
온라인상의 윤리 문제에 대한 이해와 감수성 부족
으로 인해 비도덕적 행위를 함
10)정보통신윤리위원회, 한국정보처리학회, (사)KIPS-IT인증원
32
인터넷 윤리 교육 주관처는 인터넷 윤리교육의 효과를 극대화하기 위한
방안으로 ‘인증시험’을 개발하여 시행할 계획에 있다.
이미 서울여대에서 국내 대학 가운데 처음으로 ‘인터넷 윤리 인증제'를 시범적
으로 도입, 실시하고 있다. 서울여대는 교양과목인 정보화 사회와 신앙'의 기말
고사에 인터넷 윤리 인증 시험을 실시하고, 인증시험을 통과한 학생에게는
KIPS-IT 인증원과 이 대학 총장이 발행하는 인증서가 지급되며 성적표에도
인증 사실을 명기하도록 하였다. 또한 학교 측은 인터넷 윤리 교육을 강화하기
위해 별도로 과목을 개설하거나 서울여대의 인성교육 프로그램인 ‘바롬 교육’에
이를 포함하는 방안을 검토 중이다. 이외에도 성균관대, 명지대, 선문대, 단국대
등이 교양 강좌를 개설하는 등 인터넷 윤리 인증에 대한 적극적인 확산을 유도
하고 있다.
인터넷 윤리 교육은 다음의 내용을 기본 골격으로 하고 있다.
< 표6 > 인터넷 윤리 교육
교육 내용 교육 개요
인터넷 기초 인터넷의 역사와 발전배경을 비롯하여 인터넷에 대한 기초
인터넷 문화
인터넷 문화의 개요와 인터넷 문화에는 어떤 문화가 있으며,
인터넷 문화로 인한 긍정적 영향과 부정적 영향 그리고
인터넷 문화의 미래 등
인터넷 윤리
인터넷 세계에서의 문제점과 개인 정보의 관리 방안, 그리고
인터넷상에서 커뮤니케이션할 때의 네티켓과 해킹․ 바이러스
방지 방안, 바람직한 인터넷 세계 등
인터넷 법률
정보화 사회 관련 국내 법규 (컴퓨터 프로그램보호법, 저작
권법, 공공기관의 개인정보보호에 관한 법류, 통신비밀보호법,
전산망 보급 확장과 이용 촉진에 관한 법류, 정보화 촉진법 등)
인터넷 기술
악성 소프트웨어 소개와 웹브라우저 관리방법 그리고 스팸
메일 방지와 저작권 기술, 음란물 방지와 안전한 통신, 전자
상거래 보안 등
33
2. 일본의 정보통신윤리 시험
일본에서는 인터넷11)을 이용하는 룰이라든가 매너의 중요성을 이용자에게
인식시키고 안전하고 쾌적한 인터넷 사회를 만들어 가기 위한 일환으로서 ‘인터넷
이용자를 위한 룰과 매너집’ 을 출간하며 관련 교육에 적극 나서고 있다.
1996년 2월 ‘PC통신 서비스 이용자의 룰과 매너집’을 시작으로 1999년 3월
'인터넷 이용자를 위한 룰과 매너집(일반용)'이 발간되었으며 뒤를 이어 1999년
12월에는 교사․보호자용과 청소년용을 발간하였고 2001년에는 회사용을 발간하
여 배포하였다.
정보통신윤리의 확산을 위해서는 단순한 교육만으로 충분하지 못하다고
판단하여 전체 일반 국민을 대상으로 『인터넷 룰과 매너검정』시험을 2003년
7월에 처음으로 시행하였다.
1) 실시 방법
메일 어드레스를 가진 수험자가 협회에 신청을 하면 수험자 인증이 되고,
수험자는 웹상에서 문제를 풀 수 있도록 되어 있으며 수험시간은 24시간이
주어진다. 따라서 메일 어드레스를 가지고 웹을 이용할 수 있는 환경이 구축되어
있으면 누구든지 수험에 응시할 수 있다.
보급을 확대하기 위해 수험은 무료이며, 몇 번에 걸쳐 수험에 응할 수
있다. 단, 문제는 데이터베이스로부터 랜덤하게 출제되므로 반드시 같은 문제가
출제된다고는 할 수 없으며 문제 보기의 순서도 무작위로 변경된다.
2)합격 레벨
본 검정시험은 선발 시험이 아니고 보다 많은 사람들이 합격하는 것을
목표로 하고 있기 때문에 참고자료를 보면서 수험에 응해도 관계없고 재 수험도
가능하다. 합격 수준은 총 객관식 100문제 중에서 90문제 이상을 맞추어야
11)일본 (재)인터넷협회
34
하고 합격자에게는 희망자에 한해서 합격증(합격증 발생 수수료 3,000円. 소비세
별도)을 발행하며, 합격증 발행자에게는 희망자에 한해 협회 홈페이지에 이름을
게재한다. 2004년 8월에 실시된 제4회 시험부터는 ‘청소년용 시험’이 추가되
었으며 청소년용 시험의 경우, 합격은 30문제 중에서 27문제이상을 맞추어
야 한다. 청소년의 경우에도 희망자에 한해서 합격증을 발행해 준다(합격
증 발생 수수료 1,000円. 소비세별도).
3) 시험 실적
2003년 7월 21일부터 8월 31일까지 1개월에 걸쳐 제1차 시험이 실시되었으며
단기간의 안내에도 불구하고 총 1만 7,779명(신청자수 1만 8,854명)이 응시하였다.
이중에서 실제로 답안제출자수는 1만 3,998명(응시자대비 78.73%)으로서, 합격
자수는 4,196명(29.98%)인 것으로 나타났다. 제1차 시험의 범위는 기본사항, 법
률⋅보안, 커뮤니케이션, 웹, 기초기술 분야로서 이들 5개 분야로부터 균등하게
출제되었다.
2003년 11월 17일부터 12월 19일까지 1개월에 걸쳐 제2차 시험이 실시되었으며
4,020명(신청자 수 4,260명)이 응시하였다. 이중에서 실제로 답안제출자 수는
3,248명(응시자대비 80.8%)이고 합격자수는 626명(19.3%)으로서 문제가 1차
시험에 비해 다소 어려워졌다는 점 때문에 합격률이 낮아진 것으로 분석되었다.
제2차 시험의 범위는 기본사항, 보안, 관련법률, 전자메일, 커뮤니케이션, 웹페이지,
전자상거래, 기초기술 분야로서 이들 8개 분야로부터 균등하게 출제되었다.
2004년 3월 22일부터 4월 23일까지 1개월에 걸쳐 제3차 시험이 실시되었고
3,702명(신청자 수 3,899명)이 응시하였다. 이중에서 실제로 답안제출자수는
2,756명(응시자대비 74.4%)이고, 합격자수는 674명(24.5%)으로 나타났는데 2회
이상의 수험자가 증가하였기 때문에 합격률이 증가한 것으로 분석되었다.
제3차 시험의 범위는 제2차 시험과 동일하게 8개 분야이다.
이후 2004년 8월10일부터 9월10일까지 1개월에 걸쳐 제4차 시험이 실시
되었으며 제4차 시험부터는 ‘청소년용’시험이 추가되어 실시되었다. 청소년용
시험의 경우 대상을 초등학생에서부터 중학생을 대상으로 하고 있지만 연령에
제한이 없기 때문에 누구나 응시할 수가 있다.
정보윤리의 제도적 전망
37
Ⅳ. 정보윤리의 제도적 전망
1. 개인정보보호 기본법
2004년 정부와 당, 부처들은 개인정보보호 기본법 시안을 마련하고 2005년
본격적인 추진을 가속화할 전망이다. 개인정보 유출과 스팸메일 불법 발송을
정보인권의 침해 행위로 간주하고 개인정보를 데이터베이스화할 때에는 개인
정보 침해 가능성에 대한 영향평가를 받도록 하는 내용을 담고 있어 개인정보
보호가 강화될 것으로 예상하고 있다.
현행 개인정보보호 제도는 헌법 제17조에 명시된 “사생활의 비밀과 자유를
침해받지 아니한다” 는 원칙하에 통신비밀보호법(1948), 전기통신사업법(1961),
의료법(1962), 공공기관의 개인정보보호에 관한 법률(1994)을 제정하였으며
그밖에 신용정보의 이용 및 보호에 관한 법률(1995), 전자거래기본법(1999),
전자서명법(1999) 등을 제정, 각 분야 특성을 고려하여 개인정보 및 프라이버시를
보호하고 있다.12) 민간부문의 개인정보보호를 위해 정보통신망이용촉진및정보
보호등에관한법률(정보통신망법)이 1999년 제정되어 2000년 1월 1일부터 시행
되고 보완, 개정되었다.
정보통신망법은 크게 종사자와 관련 사업자에 해당되는 규제를 마련하고
있다. 정보통신서비스 제공자의 개인정보 이용 제공(제24조)과 이용자 개인
정보를 보호하고 관련해서 이용자의 불만을 처리할 개인정보관리 책임자를
지정(제27조)하도록 한다. 이용자의 개인정보를 취급하는데 있어 분실 도난이나
훼손하지 않도록 안전성을 확보하도록 기술적 관리적 조치를 강구하도록 하며
(제28조)개인정보의 이용 목적을 달성한 이후 지체 없이 파기한다.(제29조)
정당한 사유 없이 정보통신망 운용을 방해하거나 안정적 운영을 방해하는
행위를 금지하며(제48조) 정보통신망을 통한 타인의 비밀을 보호(제49조)하도록
12)정보통신윤리위원회,(사)KIPS-IT인증원. 2005. 『인터넷윤리』
38
한다. 또한 수신자의 동의없이 영리목적의 광고성 정보의 전송을 제한한다(제
50조).
사용자는 정보통신서비스 제공에 사용되는 망의 안정성 및 정보의 신뢰성을
위한 보호조치를 마련토록 하고(제45조), 집적된 정보통신시설을 운영 관리하는
사업자는 안정적 운영을 위한 정보보호조치를 취하면 발생한 피해의 보상을
위해 보험을 가입하도록 하고 있다(제46조). 또한 정보통신서비스 제공자는
망의 안정과 정보 신뢰성을 확보하기 위해 수립 운영하고 있는 기술적 물리적
정보보호 관리 체계에 대해 정부기관으로부터 인증을 받고 이를 홍보할 수
있도록 하고 있다(제47조). 이외에도 관련해서 벌칙과 과태료를 부과하고 있다.
이러한 현행 법안은 최근 여러 가지 발생하고 있는 개인정보보호 문제들과
관련해서 강력한 보완이 요구되고 있다. 행정자치부나 정보통신부가 마련하고
있는 신용정보법, 정보통신망법 등 개별 법안들이 다루지 못한 부분들의 보완이
요청된다. 이에 여당과 대통령직속 정부혁신지방분권위원회, 행정자치부․정보
통신부 등이 모여 이들을 통합하는 개인정보보호 기본 법안을 마련 중에 있다.
올해 본격적인 법안으로 추진 중인 개인정보보호 기본법안은 다음 세 가지
요소를 함축할 것으로 본다.
첫째, 정부기관이 대규모 정보화 사업을 추진하거나 특정업체가 개인정보
데이터베이스 구축 등 개인정보를 취급할 때 사생활 침해 여부를 점검하거나
‘개인정보영향평가’를 미리 실시, 그 결과를 국가인권위원회에 제출하도록
했다. 국가인권위원회는 개인정보 유출로 인한 피해구제 업무를 맡아 개인정보를
취급하는 관공서나 기업, 개인 등 업무 현장을 방문 조사하거나 신고 받은 사건을
조사한 뒤 검찰에 형사고발할 수 있게 된다.
둘째, 법률로 제한하는 경우를 제외하고는 관공서나 기업 등이 수집한 개인
정보를 당사자가 볼 수 있게 하고 틀린 정보라면 정정을 요구할 수 있도록 한
다.
셋째, 개인정보가 기록된 자료 중엔 전산화되어 관리되는 것도 있지만
39
손으로 쓴 장부, 전산화되지 않은 수기자료에 대해서도 전산자료와 같은 개인
정보보호 기준이 동일하게 적용된다.
이러한 개인정보보호 관련법의 정비는 세계 최고의 IT강국이라는 위상에도
불구하고 개인정보보호의 사각지대라는 오명을 가지고 있는 우리나라가 직면한
제도적 한계 때문이다. 이는 최근 발생하는 개인정보보호 관련 다양한 이슈를
반영한 제도적 보완의 필요도 시급해졌다. RFID, LBS 등 신기술 등장에 발맞
춘 개인정보보호 장치가 절실해지고 다양한 개인정보 취급의 원칙과 권리도
명확해질 필요가 있다.
향후 새로운 법안으로 공공과 민간부문을 규정하는 개인정보보호법과 위치
정보법 등 개인정보를 다루는 관련 법률 개정이나 제정도 활발해질 것으로
기대된다. 이미 행정차지부가 공공기관의 개인정보 보호에 관한 법률을 제출해
놓고 있고 정보통신부도 정보통신망법의 개인정보보호 부문을 구분해 개별적
으로 법률화하는 작업을 마무리하고 위치정보법의 입법도 추진되고 있다.
2. 정보윤리 인증제도13)
한편에서는 이 같은 정보윤리의 적극적인 실천을 유도하는 방안으로 법
제도와 더불어 개인의 정보윤리 수준을 평가, 이에 대한 보상을 주는 방안도
고려되고 있다. 이는 법적인 제재가 아닌 발생 가능한 문제들을 위한 예방적
차원에서 IT종사자들에 대한 정보윤리 준수에 대한 지속적 동기부여가 필요
하다는 의견에서 비롯된다.
이러한 제도는 기업보다는 기업의 정보윤리 수준을 결정하는 인적 자원에
중점을 두고 기존의 법이 개인들의 행동 결과에 대한 평가만을 문제 삼는 것
13)본문에서 소개하고 있는 정보윤리 인증제도는 2004년 한국정보산업연합회와 한국과학기술원
(이재규 교수)이 공동으로 수행한 연구결과로서 정부와 관련 산업, 학계의 전문가 의견을 수렴하여
작성한 연구 결과이다.
40
과는 달리 궁극적으로 법적 제제가 아닌 예방 차원에서 개인이 정보윤리를
준수함으로써 얻게 되는 인센티브를 강조, 어떤 경우에도 정보윤리를 준수하도록
지속적으로 동기 부여를 하는데 중점을 두고 있다.
다음에서는 이러한 목표를 가진 ‘정보윤리 인증제도’에 대해 구체적으로
소개한다. 여기서 정의하고 있는 정보윤리는 정보호호의 개념을 포괄하고 나아가
사회적 예방 차원의 활동들을 포괄적으로 담고 있는 것으로서 정보윤리 인증제
도에서는 IT종사자와 기업의 정보윤리 수준을 모두 평가한다.
우선 IT종사자 관점에서는 IT종사자가 자신에게 맡겨진 정보와 정보시스템에
대해 부당하게 유출, 오용, 변조, 중단, 파괴를 하지 않으려는 제반 활동들로
정의하며 기업의 관점에서는 기업이 자사에 위임된 고객의 정보와 정보시스템을
운영함에 있어 부당하게 유출, 오용, 변조, 중단, 파괴되는 것을 방지하기 위한
기업차원의 인적, 제도적, 기술적 활동들로 정의한다.
<그림1> 정보윤리의 구조
41
IT인의 정보윤리 수준 평가는 곧 개인의 인사 고과에 반영되어 개인에게
지속적인 동기부여를 제공하고 이런 결과는 궁극적으로 사회윤리 정립에 기여
하게 되고 기업에 속한 IT인의 정보윤리 수준 결과는 곧 기업의 정보윤리
수준과 직결된다.
정보윤리 수준이 높은 기업은 전산 사고 등의 위험이 감소하게 되고 결과적
으로 시장에서 그 가치를 증대시킬 수 있다. 기업의 정보윤리는 결국 기업 윤
리 정립에 기여하게 되고 정보윤리 인증제도를 통해 정보윤리 구조에 맞는 IT
종사자와 기업의 정보윤리 수준을 모두 평가하며 평가 기준은 정보윤리 관련
법에 근거한다.
<그림2> 정보윤리 인증제도의 평가 체계
정보윤리 수준을 평가받고자 하는 IT종사자는 우선 정보윤리를 준수하고자
하는 의지를 표명하고 일정 교육 이수 후 시험을 통과해야 가장 기본적인
등급을 획득 할 수 있다. 이후 일정기간 동안 정보윤리 준수 점검 항목을 준수할
경우 그 등급이 올라간다. 물론 기업의 정보윤리 수준을 유지하기 위한 기여가
있을 경우 특별 승급도 가능하다.
42
기업의 정보윤리 수준 평가는 보다 다차원적으로 이루어지는데 개인이
정보윤리 준수 활동을 할 수 있도록 하는 제도적 장치에 대한 평가, 기업의
정보윤리를 위한 시스템에 대한 평가, 기업내 IT종사자들에 대한 평가와
그 외 기타 요소들로 구성된다.
평가 요소 중 기업의 정보윤리를 위한 시스템에 대한 평가는 기존의 많은
제도들에서 이루어지고 있다. 만약 정보윤리를 평가받고자 하는 기업이 기존의
평가 제도에서 일정 수준 이상의 평가를 받았다면 정보윤리를 위한 시스템에
대한 평가를 중복으로 받을 필요 없이 대체가 가능토록 한다.
정보윤리 인증평가의 대상은 IT종사자와 기업으로 구분한다.
∙IT종사자의 정보윤리 평가
∙기업의 정보윤리 평가
- IT 서비스 제공기업: ASP, SI, 통신서비스업 등
- IT 서비스 사용기업: 금융, 유통, 제조, 서비스산업 등
이러한 정보윤리 인증 제도를 운영하기 위해서는 정보윤리인증 기관과
정보윤리 인증원이 필요하다. 정보윤리 인증기관은 민간 차원의 기관으로 정보
윤리인증 평가시행 및 인증서 발행을 담당하는 기관이 될 것이다. 정보윤리
인증원은 공공차원의 기관으로 정보윤리 인증제도의 기획 및 감독 기능을
수행하고, 정보윤리 인증내용의 중앙 데이터베이스를 관리할 뿐만 아니라 공인
정보윤리 인증심사위원의 자격을 심사하는 역할을 수행하게 된다.
43
<그림3> 정보윤리 인증제도의 인증기관 구조
1) 정보윤리 인증제도의 평가체계
정보윤리 인증제도의 평가체계는 정보윤리 인증평가의 대상에 따라 그 체계를
달리하여 정보윤리 인증평가의 대상을 IT종사자와 기업으로 구분하고 다음과
같이 제안한다.
기본적으로 시행 초기의 IT종사자 정보윤리 평가는 IT종사자의 자율적 참여에
의해 이루어진다. 즉 정보윤리 인증을 받고자 하는 희망자에 한하여 우선적으로
본 평가를 실시함으로써 전면적이고 강제적인 시도로 인한 반발 및 부작용을
최소화하고, 사회적 공감대를 저변으로부터 점진적으로 형성하여 그 추진력이
발휘될 수 있도록 하는 Bottom-up 방식을 지향하고 있다.
IT종사자의 인증은 등급제로 구분하되, 그 등급은 연차와 인증원이 마련한
시험과 같이 재교육을 통해 변동이 가능하다. 인증등급에 대한 심사는 매년
실시되는 정기적 심사와 사고시 실시되는 비정기적 심사로 구분하고 기본적으로
IT종사자가 정기적 심사에서 2년간 평가수준을 만족하는 결과를 얻었을 경우
44
승급이 이뤄질 수 있다.
정기적 심사 평가는 매년 IT종사자가 소속된 기업에서 내부적으로 이뤄지며
정보윤리 인증기관의 심의를 거쳐 최종적으로 결과가 확정된다. 평가가 기업
내부적으로 이뤄질 경우, 기업의 정보윤리 인증등급 관리를 위해 IT종사자의
정보윤리 위반행위를 적극적으로 밝히지 않고 덮어두려는 경향이 나타날 수
있으므로 필요시 정보윤리 인증기관이 기업 내부 평가절차 및 결과에 대해
수시로 감시할 수 있는 권리를 부여할 필요가 있으며 기업 내부적으로도 고발
제도 등 모니터링 제도 시행, 자발적인 정화노력 등 제도적 장치 마련이 필요
하다.
비정기적 심사는 특별한 기여 혹은 사고가 발생하였을 때 소속기관으로부터
신청을 받아 이뤄지는데, 이 때 인증기관의 판단에 따라 심사여부를 결정하며
심사결과는 IT종사자의 등급에 즉시 반영된다.
이상에서 설명한 IT종사자의 정보윤리 평가체계 평가모형을 도식화하면
다음과 같다.
<그림4> IT종사자 정보윤리 인증 평가모형
정기적 사고시
45
IT종사자 정보윤리 인증 평가항목은 초기의 정보윤리 준수 의지 표현, 교육
이수 및 시험통과 여부, 정보윤리 준수 기간, 정보시스템 유지 노력 등으로
구성된다.
< 표7 > IT종사자 정보윤리 인증 평가요소
평가영역 평가항목
정보윤리 준수 의지의 표현 정보윤리 강령에 서명 및 선언
교육이수 및 시험통과 여부
초기교육/주기적인 교육 이수 여부
시험에서 일정 수준 이상의 점수 획득
정보윤리 준수기간 현등급에서의 정보윤리 준수 기간
정보시스템 유지 노력
정보시스템의 피해가 예상되는 상황에서의 예방적 노력
정보시스템 손실 발생시 복구 노력
이상의 IT종사자 정보윤리 인증 평가항목 외에도 정보윤리 관련 법률분석을
통하여 IT종사자에 대한 정보윤리 인증 평가시 반드시 고려해야 할 '정보
윤리 준수 점검항목'을 함께 도출하였다. 정보윤리 준수 점검항목의 도출을
위하여 우선 정보윤리 관련법을 모두 나열하고 구체적 항목을 살펴보면서 IT
종사자와 기업에 관련된 법률조항 및 벌칙조항을 모두 추출하여 분류해보
면 대부분 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 의 세부 조항에
관련됨을 알 수 있다.
이러한 작업을 거쳐 분류된 IT종사자 관련 법률을 근거로 정보시스템 중단
및 파괴행위, 정보유출 및 오용행위, 정보 및 소프트웨어 변조행위 등 3개
분야 9개 점검항목이 도출되며 구체적인 준수 점검 항목은 다음과 같다.
46
< 표8 > 정보윤리 준수 점검항목(IT종사자 관련)
분야 점검항목
정보시스템 중단 및 파괴행위
전산실 점거
정보시스템 중단/파괴 및 그에 대한 위협
태업 및 업무지연
정보유출 및 오용행위
고객정보 유출 및 오용행위
기업의 비밀정보 유출 및 오용행위
기업 내 다른 종사자의 프라이버시 정보침해
불법적 해킹 및 악성 스팸 메일 발송
정보 및 소프트웨어 변조행위
소프트웨어 불법변조
지적재산권 침해
IT종사자 정보윤리 인증 평가항목에 비해 정보윤리 준수 점검항목을 위반하
였을 경우 그 파장이 윤리적 범주를 벗어나 법적으로 구속력을 가질 만큼 크
기 때문에, 정보윤리 인증 평가시 평가항목과 같은 수준의 항목으로 볼 수 없
다. 따라서 이러한 정보윤리 준수 점검항목은 IT종사자의 정보윤리 인증 평
가 시 그 준수여부를 반드시 점검해야 하는 필요조건적인 항목이 된다. 이는
연구에서 제안하는 정보윤리 인증제도가 정부나 관련 기관의 주도로 인한
강제와 처벌보다는 민간 주도의 자율적 운영을 바탕으로 한 포상위주의 윤리적
사회 조성의 공감대 형성을 목적으로 한다는 점에서 법 제도와의 차별적인
면을 가지고 있지만, 법의 강제성을 완전히 배제할 수 없다는 점에서 상호보완
적인 관계가 될 수밖에 없음을 보여주고 있다.
기업의 정보윤리 평가도 IT종사자와 마찬가지로 평가를 희망하는 기업의 자
율적 참여로 이루어진다. 정보윤리 평가 대상기업은 ASP, SI, 통신서비스업 등
IT서비스 제공기업과 금융, 유통, 제조, 서비스산업 등 IT서비스 사용 기업을
모두 포함하며 고객에 대한 기업차원의 정보윤리를 평가하게 된다.
기업 인증도 등급제로 운영되지만 연차의 구분 없이 매년 재평가를 통한 등
급조정이 이루어진다는 점과 평가 초기 등급이 IT종사자와 같이 일정 등급으
로 제한하지 않는다는 차이점이 있다.
47
인증등급에 대한 심사는 정기적 심사와 비정기적 심사로 구분된다. 정기적
심사는 평가를 희망하는 기업을 대상으로 정보윤리 인증기관이 매년 주기적으로
평가하며 비정기적 심사는 심사 사유 발생시 정보윤리 인증기관에 의해 평가가
이뤄지며 특별 승급 및 강등이 가능하다.
다음은 기업의 정보윤리 평가체계의 평가모형을 도식화 한 것이다.
<그림5> 기업의 정보윤리 인증 평가모형
기업의 정보윤리 인증 평가항목의 도출은 IT종사자에 대한 정보윤리 준수
점검항목과 마찬가지로 정보윤리 관련 법률 분석을 기반으로 수행한다. 이러한
과정을 거쳐 도출된 기업에 대한 정보윤리 인증 평가항목으로는 정보윤리를
위한 제도적 장치, 정보윤리를 위한 보안 시스템, 종사자의 정보윤리 수준, 기타
평가항목 등 총 4개 분야로 구성된다.
다만, 정보윤리를 위한 보안 시스템 평가영역에 대해서는 기존의 여러 평가
제도의 결과를 이용함으로써 기업 입장에서 중복투자로 인한 경제적, 시간적
손실이 발생하지 않도록 고려하였다.
48
< 표9 > 기업 정보윤리 인증 평가항목
평가 영역 평가 항목
정보윤리를 위한 제도적 장치
정보윤리 인증기관이 승인한 정보윤리 강령채택 및 선언
정보윤리 교육제도 시행
정보윤리 준수활동에 대한 인센티브 제도 시행
종사자의 정보윤리 활동에 대한 모니터링 제도 시행
합법적 정보이용권의 보장
정보피해 발생에 대비한 기업 차원의 변상에 대한 대책
정보윤리를 위한 보안시스템 타제도의 평가결과 이용
종사자의 정보윤리 수준
IT종사자 중 정보윤리 적격 인증자비율
IT종사자의 인증 수준 평균치
IT종사자의 개인규정 위반 정도
기타 비윤리적 데이터 취급 여부
정보윤리 인증제도의 활성화를 위해서는 아래 그림에서 제시하듯, 평가영역
및 평가항목별 가중치를 부여하여 객관적이고 정확한 평가등급을 도출할 수
있는 평가시스템을 구축할 필요가 있다. 이를 위해 데이터베이스(Data Base)를
기반으로 한 신경망(Neural Network)모델과 룰 베이스(Rule Base)를 기반으로
추론 가능 전문가시스템(Expert System)모델을 결합한 'Combined Eval‎uation
Model'을 제안한다.
49
<그림6> Combined Eval‎uation Model
Combined
Eval‎uation Model
Database
Inference
Engine
Inference
Engine
Adjusted Weights
Rulebase
Neural
Network
Neural
Network
많은 데이터의 축적이 이뤄지지 않은 시행 초기에 산업별 특성에 따른 전문가
의견을 반영하여 초기 가중치를 구한 다음 이를 부여하여 기업의 정보윤리 인
증 평가등급을 결정한다. 이렇게 평가항목의 초기 가중치를 구하기 위해서는
전문가 의견을 수렴할 수 있는 설문조사 방법 등이 사용될 수 있을 것이다. 신
뢰성을 가질 수 있을 정도의 데이터가 축적된 이후에는 신경망 모형을 이용하
여 가중치를 계산해 낼 수가 있으며 규칙에 의한 등급 조정 기능을 함께 반영
한 평가항목의 가중치에 대한 조정도 가능하다.
2) 정보윤리 인증제도 시행기관
정보윤리 인증제도의 시행기관은 크게 공공차원에서 정보윤리 인증제도의
기획 및 감독을 담당하는 정보윤리 인증원과 민간차원에서 정보윤리 인증평가
시행 및 인증서의 발행 기능을 담당하는 정보윤리 인증기관으로 구분해 볼 수
있다. 따라서 정보윤리 인증원과 정보윤리 인증기관의 세부적 기능에 대해 살
펴보도록 하겠다.
정보윤리 인증원에서는 기본적으로 정보윤리 인증제도 전반에 대한 기획 및
정보윤리 인증기관의 감독 기능을 수행한다. 정보윤리 인증원의 세부적 역할
및 주요 업무는 다음과 같이 들 수 있다.
50
< 표10 > 정보윤리 인증원의 주요 업무
업무 세부 업무
정보윤리 인증제도 기획 기본적 정책 수립
정보윤리 인증기관 감독 정보윤리 인증기관에 대한 감독 및 평가결과의 일관성 유지
정보윤리 인증평가
기준 및 시스템 마련
인증평가기준 및 모델 수립
정보윤리 인증심사위원 자격제도 운영
교육기획 및
교육자료 개발
교육내용 정의/교재작성/가이드라인 제시
교육이수 요건 권장
인증심사 시험문제 출제 및 시행
통합데이터베이스 관리 개인 및 기업 정보윤리 수준에 대한 통합 데이터베이스 운영 및 관리
한국대표기관으로서의
역할
국제 정보윤리제도의 한국 대표기관으로서의 역할 수행
정보윤리 인증원의 주요 업무에서 특이할 만한 점은 정보윤리 인증 심사 위
원의 자격제도 운영에 관한 것인데, 시행 초기 소정의 내부교육을 받은 전문가 그
룹에서 심사위원을 선정하여 운영하지만 어느 정도 사회적 공감대가 형성 되어
정착이 되는 단계에서는 일정 등급 이상의 정보윤리 인증 등급을 보유한 IT종
사자에게 정보윤리 인증 심사위원이 될 수 있는 문호를 개방하여 높은 등급의
윤리 수준을 가진 IT종사자가 심사위원 자격을 획득함으로써 본인의 경력을 관
리하면서 사회적으로 존경받을 수 있게 하는 방안도 생각해 볼 수 있다.
정보윤리 인증원 감독하에 인증평가 심사 및 발급 서비스를 제공하는 기능
을 담당하는 정보윤리 인증기관을 두게 되는데 순수 민간기업 혹은 협회, 개인
및 기업의 각종 신용정보와 신용평가 절차 및 방법론 등의 인프라를 보유한
신용평가기관, 온라인 인증서 발급 기반을 보유하고 있는 공인인증기관 등이
해당될 수 있다.
정보윤리 인증기관의 주요업무는 정보윤리 인증 평가 시행 및 인증서의 발행 기능
을 담당하는 기본업무와 선택적으로 병행이 가능한 선택적 업무로 나누어 살펴볼 수
있다. 다음은 정보윤리 인증기관의 주요 업무 및 역할을 세부적으로 나타내고 있다.
51
< 표11 > 정보윤리 인증기관의 주요 업무
업무 세부업무
기본
업무
정보윤리 인증심사
정보윤리 인증원에서 자격 부여받은 인증심사위원 관리
IT종사자 및 기업 정보윤리 수준 평가 및 인증
주기적 감사, 모니터링 시행
정보윤리 인증서 발급
정보윤리 인증원의 데이터베이스에 연동된 자사 사이트 운영
IT종사자 및 기업 정보윤리 수준 온라인/오프라인 발급
선택적
업무
정보윤리 교육제공
온라인/오프라인 교육 주관
외부 교육기관 관리(대학이나 기업연수원 등)
정보윤리 종합 컨설팅 기업에 대한 정보윤리 관련 종합 컨설팅 사업
3) 정보윤리 인증절차
정보윤리 인증기관의 주요 업무인 정보윤리의 인증 및 심의, 정보윤리 인증
서의 발급 등에 대한 절차와 방법은 정보윤리의 평가대상인 IT종사자와 기업
으로 구분된다. IT종사자에 대한 정보윤리 인증절차는 평가 인증시기에 따라
초기심사, 정기적 심사, 비정기적 심사로 구분되며 구체적인 절차 및 방법은
다음과 같다.
< 표12 > 정보윤리 인증절차(IT종사자)
단계 절차 및 방법
초기심사
신청자에 한하여 교육/서약, 시험을 거쳐 일정 기준을 만족
하면 등급을 부여
정기적 심사
․매년 재평가를 통해 등급 조정
․개인 평가항목에 대한 평가 후, 정보윤리 인증기관의
심의를 거쳐 등급 확정
․승급은 동 등급 2년 동안 하자가 없는 경우 적용
․강등은 원인 발생시 즉시 적용
비정기적 심사
․기업의 추천/의견이 있을 경우 심의함
․유사시 인증기관의 임의 심사 가능
․등급에 즉시 적용 가능 인증심사
52
기업에 대한 정보윤리 인증절차는 초기 및 정기적 심사, 비정기적 심사로
구분되며 구체적인 절차 및 방법은 다음과 같다.
< 표13 > 정보윤리 인증절차(기업)
단계 절차 및 방법
초기 및
정기적 심사
․서류 및 방문평가
․매년 재가를 통해 등급 조정
․기업 평가항목에 대한 평가 후, 정보윤리 인증기관의 심의를
거쳐 등급 확정
비정기적 심사
․정보시스템 관련 사고 발생 등 유사시 인증기관의 임의심사 가능
․등급에 즉시 적용 가능
4) 정보윤리 인증서 발급절차
정보윤리 인증 및 심의가 끝나면 개인 및 기업은 정보윤리 인증기관으로
부터 정보윤리 인증서를 발급받게 되는데, 이에 대한 구체적인 발급 절차에 대
해 IT종사자와 기업으로 구분할 수 있다.
IT종사자가 직접 정보윤리 인증서를 발급받고자 할 때는 본인이 직접 정보
윤리 인증기관에 신청하면 즉시 인증서를 발급 받을 수 있다. 이 때, 본인의
의사에 따라 온라인이나 오프라인으로 모두 발급이 가능하도록 한다. IT 종사자에
대한 정보윤리 인증서를 고용하고자 하는 기업의 사용자가 신청하여 발급
받는 경우, 사용자가 실명을 밝히는 경우와 밝히지 않고 익명을 요구하는 경우로
나누어 생각해 볼 수 있다. 우선 실명을 밝힌 사용자가 발급신청을 하는 경우엔
본인에게 사용자의 실명을 통보하고 바로 발급을 허용하는 방법과 본인의
의사에 따라 발급 여부를 결정하게 하는 방법 가운데 IT사용자 본인이 직접
하나를 선택하게 하여 발급이 가능하게 한다. 또한, 익명을 원하는 사용자가
발급을 신청하는 경우엔 IT사용자 본인이 사전에 익명 사용자에게도 발급을
허락한 경우에만 발급이 가능하게 한다.
53
기업에 대한 정보윤리 인증서는 해당기업의 신청에 한하여 발급이 가능하며,
해당기업에 대한 일반인의 정보윤리 인증 등급 조회 요청시 정보 요청자의
실명을 확인한 후 공식 사이트를 통하여 등급을 공개한다.
5) 정보윤리 인증서 발급방법
정보윤리 인증서의 발급방법은 크게 온라인 발급과 오프라인 발급으로
구분하여 생각할 수 있는데, 온라인 발급은 정보윤리 인증기관의 온라인
사이트에서 직접 발급하게 하는 방법으로 이를 위해서는 공개키 보안과 전자
서명 인증서 기술의 적용이 필요하다. 현재 공인 인증기관이 이러한 관련 인프라
기술을 보유하고 있으므로 공인 인증기관이 정보윤리 인증기관의 업무를 맡기에
유리하다.
한편 오프라인 발급을 위해서는 신청자가 정보윤리 인증기관에 직접 방문
하여 본인 확인 절차를 거친 후 발급 받게 할 수 있으며, 신청자의 편의를
위하여 인쇄된 인증서를 우편으로 배달 받을 수 있게 하거나, 금융기관이나
통신회사 영업점, 우체국 등의 공신력 있는 기관에서 발급대행을 맡게 하는
방법도 고려할 수 있다.
6) 정보윤리 인증제도 자격시험과 교육
IT종사자의 정보윤리 자격시험은 정보윤리 인증원에서 출제 및 시험을
통합 관리하며, 첫 시험에 한하여 정보윤리 인증원의 감독 하에 오프라인 시험을
실시한다. 또한 매년 교육기관을 통해 일정시간 보수교육을 실시하며 이에
대한 평가는 온라인 자가진단으로 자율적으로 이뤄지게 하여 교육 및 시험에
들어가는 비용을 효율적으로 관리할 수 있게 한다. 다만, 6년에 한 번씩 정기적
오프라인 시험을 실시하고, 필요에 따라 수시로 비정기적인 오프라인 시험을
실시할 수 있게 함으로써 교육의 효과 제고와 비용의 Trade-off를 고려하였으며
평가 시험의 결과는 인증모델의 등급결정에 반영하도록 한다.
정보윤리에 대한 초기 교육 및 보수 교육 시행이 가능한 후보기관으로서는
54
정보윤리 인증기관 직속의 교육사업부나 일반 대학교, 기업 내 자체교육 부서,
컨설팅 업체 및 민간학원 등을 고려할 수 있다.
7) 정보윤리 인증제도 장려방안
정보윤리 인증제도의 활성화를 위해서 IT종사자와 기업에 대해 자발적으로
참여할 수 있게 하는 각종 인센티브 제도의 시행이 반드시 필요하다. 우선, IT
종사자에 대해서는 소속기업의 인사평가에 반영하거나 취업 신청시 평가항목에
포함하여 반영하게 함으로서 자연스럽게 정보윤리 준수에 대한 경각심을 일으키게
하는 방안을 생각해 볼 수 있다. 또한 익명 사용자에 대한 본인의 인증서 발급을
허용하는 IT종사자의 경우 추가적인 승급 혜택을 주는 방안도 생각해 볼 수
있다.
기업에 대해서는 정보윤리 인증결과를 기업 IR자료에 포함하여 공시하는
것을 의무화함으로써 정보윤리를 준수하는 기업이 자연스럽게 시장에서 평가
받도록 유도하며 정보윤리가 기업 가치에 미치는 영향을 분석하여 제공함으로써
기업의 자발적 동기부여가 일어나도록 하는 방안도 생각해 볼 수 있다. 또한
정부에서 정보윤리 적격 판정이 난 기업에만 정부용역에 참여할 권한을 주는
방안을 도입함으로써 정보윤리 인증제도에 관심이 없거나 부적격 판정을 받은
기업이 불이익을 보게 하는 방안도 생각해 볼 수 있다. 이러한 제도가 활성화
되면 민간기업도 정부와 같은 방침을 적용하지 않을 수 없으며 사회적인 공감
대는 점진적으로 확대가 될 것이다. 또한 필요할 경우 정부가 관련법을 입법하는
문제도 함께 고려해 볼 수 있다.
55
【 참고자료 】
‘정보윤리 인증제도’ 연구를 위해 참조된 자료 목록은 다음과 같다.
□ 윤리경영 관련
∙ 전경련, 국내 기업의 윤리경영 실태조사 결과, 2003. 11
∙ 전경련, 윤리경영 수요조사 결과, 2002, 12
∙ 국방품질관리소 산학연 컨소시엄, 사례로 본 윤리경영 노드롭 그루만, 2003. 4
∙ 삼성경제연구소, 윤리경영의 선진사례와 도입방안, 2002. 6
∙ 전경련, 기업윤리와 기업성과간의 관계, 2001. 12
∙ 전경련, 기업윤리와 기업가치 및 성과간의 관계 분석, 2003. 1
∙ 산업자원부, 한국 기업문화에 적합한 윤리경영지표 개발 및 한국 기업의 윤리경
영수준 조사결과, 2003. 12
∙ 산업자원부, 기업윤리경영실태조사 평가지표개발 및 실태조사에 관한 연구(결과
보고서), 2002. 11
∙ 전경련, 윤리경영 종합 매트릭스의 이해, 2003. 11
□ IT종사자의 윤리적 행동
∙ 박종헌, 정보윤리 확립 방안에 대한 연구, 계명대 교육대학원 석사학위 논문, 2003
∙ 이상배, 정보시스템 요원의 정보윤리 실천을 위한 행동적 의도에 영향을 미치는
요인 연구, 경원대 대학원 박사학위논문, 2003
∙ 김광형, IT 종사자의 윤리적 의사결정 행위에 관한 연구, 계명대 대학원 박사학위논문, 2003
∙ H. Jeff Smith, John Hasnas, "Ethics and information systems: The corporate
domain", MIS Quarterly, 1999, Vol.23, No.1
∙ Grupe F. H., Garcia-Jay T., "Is it time for IT ethics programs?", Information
Systems Management, 2002, Vol.19, No.3
∙ Jennifer Kreie, Timothy Paul Cronan, "Making ethical decisions",
Communications of the ACM, 2000, Vol.43, No.12
∙ Mikko T Siponen, "On the role of human mortality in information system
security: From the problems of descriptivism to non-descriptive foundations",
Information Resources Management Journal, 2001, Vol.14, No.4
56
∙ Jonathan Bowen, "The ethics of safety-critical systems", Communications of
the ACM, 2000, Vol.43, No.4
∙ Peladeau, P.,"Managing Social, Legal, and Ethical Issues of Personal Information
Systems", Topics in health information management, 1996, Vol.16, No.4
∙ Thomas Hilton, "Information Systems Ethics: A Practitioner Survey", Journal
of Business Ethics, 2000, Vol.28, No.4
∙ Effy Oz, "Organizational Commitment and Ethical Behavior: An Empirical
Study of Information System Professionals", Journal of Business Ethics, 2001,
Vol.34, No.2
∙ Donald Baack, "The Personal Impact of Ethical Decision: A Social Penetration
Theory", Journal of Business Ethics, 2000, Vol.24, No.1
∙ Bernadette M. Ruf, "An Empirical Investigation of the Relationship Between
Change in Corporate Social Performance and Financial Performance: A
Stakeholder Theory Perspective", Journal of Business Ethics, 2001, Vol.32, No.2
∙ Mike Healy, Jennifer Iles, "The Establishment and Enforcement of Codes",
Journal of Business Ethics, 2002, Vol.39, No.1
∙ Karen D. Loch, "Ownership, Privacy and Monitoring in the Workplace: A Debate
on Technology and Ethics", Journal of Business Ethics, 1998, Vol.17, No.6
∙ Chieh-Peng Lin, Cherng G. Ding, "Modeling Information Ethics: The Joint
Moderating Role of Locus of Control and Job Insecurity", Journal of Business
Ethics, 2004, Vol.48, No.4
∙ Phukan, S., Johnson, L. E., "Information Systems Ethics and Civil Litigation:
A New Role for the Economic Expert", Journal of legal economics, 1996,
Vol.6, No.1
∙ Pearson, J. M., Crosby, L, Shim, J. P., "Modeling the relative importance of
ethical behavior criteria: a simulation of information systems professionals'
ethical decisions", The journal of strategic information systems, 1996, Vol.5, No.4
∙ Shenas, D, Derakshan, S, "The Ethics of Business Information System
Academics", International Journal of Management, 1994, Vol.11, No.2
∙ Falkenberg, L., Herremans, I., "Ethical Behaviors in Organizations: Directed by the
57
Formal or Informal Systems?", Journal of Business Ethics, 1995, Vol.14, No.2
∙ Tuttle, B., Harrell, A., Harrison, P. "Moral Hazard, Ethical Considerations, and
the Decision to Implement an Information System", Journal of management
information systems, 1997, Vol.13, No.4
∙ Ballantine, J, Levy, M, Martin, A. "An ethical perspective on information
systems eval‎uation", International journal of agile management systems, 2000,
Vol.2, No.3
∙ B., Debasish, J. Thomas, C. T. Paul, "The association of demographic
variables and ethical behavior of information system personnel", Industrial
management + data systems, 1996, Vol.96, No.3
∙ Duncombe, R., Heeks, R., "An information systems perspective on ethical trade
and self-regulation", Information technology for development, 2003, Vol.10, No.2
∙ Conger, S., Loch, K. D., "Ethics and computer use", Communications of the
ACM, 1995, Vol.38, No.12
∙ Loch, K. D., Carr, H. H., Warkentin, M. E. "Eval‎uating ethical decision making
and computer use", Communications of the ACM, 1996, Vol.39, No.7
∙ Oz, E., "Ethical standards for information systems professionals: A case for a
unified code", MIS Quarterly, 1992, Vol.16, No.4
□ 신용평가 모델
∙ 윤성철, 윤명희, 서현석, 국내 소매은행의 개인신용평가시스템에 대한 연구
∙ 한국개발연구원, 금융회사의 개인신용 평가능력 제고방안 정책 세미나, 2003. 12
∙ 정현순, 한인구, 김경재, 기업신용평가시스템을 위한 AHP 모형의 개발, 2003 11
∙ 최혜진, 한인구, 오경주, 성과 요인 연구에 기반한 eBusiness 기업의 평가 모형 개발:
AHP를 활용한 접근법
∙ 유명환, 러프집합 이론과 사례기반추론을 결합한 기업신용평가 모형 개발,
KAIST 석사학위논문, 2004
∙ 양진희, 분석적 계층 기법을 활용한 소상공인 신용 평가 모형 개발, KAIST 석사
학위논문, 2003
∙ 최혜진, AHP를 활용한 eBusiness 기업 평가 모형 구축 및 평가 사례연구,
58
KAIST 석사학위논문, 2001
∙ 김경섭, 기업신용분석을 위한 통합형 지능시스템, KAIST 박사학위논문, 2002
∙ 박철수, 기업 신용평가를 위한 인공지능기법과 계층적 분석처리의 통합방법론 개발,
KAIST 박사학위논문, 2002
□ Trust 모델
∙ Tan, Y.-H., Thoen, W., "Toward a Generic Model of Trust for Electronic
Commerce" International journal of electronic commerce, 2001, Vol.5, No.2
∙ Lee, M. K. O., Turban, E. A., "Trust Model for Consumer Internet Shopping",
International journal of electronic commerce, 2001, Vol.6, No.1
∙ Tan, Y.-H., Thoen, W., "Formal aspects of a generic model of trust for
electronic commerce", Decision support systems,Vol.33, No.3
∙ Andrew J. I. Jones, "On the concept of trust", Decision support
systems,Vol.33, No.3,
∙ Aryee, Samuel, Budhwar, Pawan S., Chen, Zhen Xiong, "Trust as a mediator
of the relationship between organizational justice and work outcomes: test of
a social exchange model", Journal of organizational behavior,Vol.23, No.3
∙ Martins, Nico, "A model for managing trust", International journal of
manpower,Vol.23, No.8
∙ Corritore, C.L., Kracher, B., Wiedenbeck, S., "On-line trust: concepts, evolving
themes, a model", International journal of human-computer studies,Vol.58, No.6
∙ Kleist, V. F., "A Transaction Cost Model of Electronic Trust: Transactional
Return, Incentives for Network Security and Optimal Risk in the Digital
Economy", Electronic commerce research, 2004, Vol.4, No.1/2
□ 정보보호평가 인증제도 관련문헌
∙ 장상수, 정보보호 평가인증 체계의 통합모델에 관한 연구, 동국대 국제 정보대학
원 석사학위논문, 2003
∙ 조영훈, CC기반의 정보시스템 정보보호관리체계 인증․평가모델에 관한 연구, 한
세대 대학원 석사학위논문, 2003
부 록
1. ACM 윤리규범
2. 바젤 Ⅱ
3. 정보윤리 정보보호 관련 법률
61
【 부록1 】
ACM의 윤리규범(ACM Code of Ethics)
1992년 10월 16일 채택
머리말
윤리적인 전문가 역할의 수행은 협회의 모든 회원(voting members,
associate members, and student members)에 대해 요구된다.
개인적인 책임을 서술한 24개의 의무사항으로 이루어진 이 강령은 그
수행요소를 정의하며 여기에는 전문가가 대면할 수 있는 많은 이슈를
포함하고 있다. 제1장은 기초적인 윤리적 고려사항의 개요, 제2장은 전
문가들에 요구되는 더 특화된 고려사항, 제3장은 지도자의 역할을 하는
사람들에 요구되는 내용, 제4장은 이 윤리강령과 그에 대한 준수 등을
포함한다.
규범은 가이드라인에 의해 보충되는데 이 가이드라인은 규범에 포함된
다양한 이슈를 다루는데 있어 회원들에게 상세한 설명을 제공한다. 규
범과 이를 보충한 가이드라인은 전문가의 직무 행위에서 윤리적인 의사
결정을 하는 기준이 되며 전문가의 윤리 위반과 관계있는 공식적인 고
소에 있어 그 시비를 판단하는 데 기초 역할을 할 것이다.
62
이 규범은 기초적인 의무강령이 컴퓨터 전문가의 행동에 어떻게 적용될
것인가와 관계가 되는데 이 의무강령은 컴퓨터 윤리에 적용할 윤리적인
원칙을 일반적인 윤리원칙으로부터 도출해낸 것이다.
1장. 일반적인 도덕적 의무(명령, 요청)
나는 …할 것입니다.
1.1 사회와 인류의 복지에 공헌한다.
모든 사람들의 삶의 질과 관계있는 이 원칙은 인간의 기본적인 권리를
보호하고 모든 문화의 상이함을 존중할 의무를 명확히 한다.
컴퓨터 전문가의 기본적인 역할은 건강과 안전에 대한 위협을 포함하여
컴퓨터시스템의 부정적 결과를 최소화하는 것이다.
시스템을 설계하거나 구현할 때 컴퓨터 전문가는 그들의 결과물이 사회
적으로 책임있는 방법으로 사용되고 사회의 필요를 충족시키며 건강과
복지에 대해 해로운 영향을 미치지 않도록 노력해야 한다.
안전한 사회적 환경외에도 사람에 대한 복지에는 안전한 자연환경도 포
함된다. 그러므로 시스템을 설계하고 개발하는 컴퓨터 전문가는 지역적
이거나 지구상의 환경에 미치는 잠재적 해를 다른 사람이 인식할 수 있
도록 해야한다.
1.2 다른 사람에 대한 위해를 없애도록 노력한다.
‘해’는 원하지 않는 정보의 상실, 재산의 상실, 재산의 손괴, 환경의 바람직
하지 않은 영향과 같은 손해나 부정적 결과를 의미한다.
이 원리는 사용자, 일반 사회, 고용인, 고용주 등에게 손해를 입히는 방
향으로 컴퓨팅 기술이 사용되는 것을 금지한다.
해로운 행동은 시스템의 컴퓨터 바이러스를 제거하기 위해 요구되는
63
시간과 노력 등과 같이 인적자원의 불필요한 소모나 자원의 심각한 상실
을 가져오는 파일이나 프로그램의 의도적인 파괴와 수정을 포함한다.
부여된 임무를 수행하는 것과 같은 잘 의도된 행동이 기대하지 않은 해
를 가져올 수도 있다. 이런 경우에 책임있는 사람(들)은 가능한한 부정
적인 결과를 줄이거나 원상 복구할 의무를 지게 된다.
여기서 의도하지 않은 해를 피하는 한가지 방법은 설계와 실행 중에 행
해지는 결정에 의해 영향을 받을 수 있는 모든 것들에 미치는 잠재적인
영향을 주의깊게 고려하는 것이다.
다른 사람들에게 간접적으로 해를 끼칠 가능성을 최소로 하기위해 컴퓨
터 전문가들은 시스템 설계와 시험에 대해 일반적으로 받아들여진 표준
을 따름으로써 기능정지(불량)를 최소로 해야 한다.
또한 다른 사람들에게 심각한 해를 줄 가능성이 있는 계획의 경우 시스
템의 사회적 결과를 평가할 필요성이 있다.
만약 시스템 특징이 사용자, 동료, 또는 감독자에게 잘못 전해진다면
개개의 컴퓨터 전문가는 그로인해 발생한 손해에 대해 책임을 져야한다.
업무 환경에서 컴퓨터 전문가는 개인적으로나 사회적으로 심각한 손해
를 야기할 수 있는 시스템의 위험에 대한 신호를 보고할 부가적인 의무
를 가지고 있습니다.
자신의 상관이 그런 위험을 줄이거나 완화하기 위해 행동하지 않는다면,
그 문제를 바로잡거나 위험을 감소시키기 위해 경고음을 울려야 할지도
모른다. 그러나 변화가 심하거나 잘못 이루어진 위반 보고는 그 자체가
해롭다. 위반을 보고하기 전에 그 사건의 모든 관련성이 있는 관점은 철
저하게 평가되어야 한다. 특히 위험과 책임의 부과는 신용할 수 있어야
한다. 그것은 다른 컴퓨터 전문가에게 충고가 될 것이다.
64
1.3 정직하고 신뢰할 수 있도록 한다.
정직은 신뢰의 필수적인 요소이고 조직은 신뢰없이는 효과적으로 제역
할을 할 수 없다.
정직한 컴퓨터 전문가는 시스템이나 시스템 설계에 있어 고의로 실패하
거나 사람을 속이는 행위(죄)를 범하지 않을 것이며 대신 모든 적절한
시스템의 제한이나 문제점을 지적할 것이다.
컴퓨터 전문가는 그들 자신의 자격과 갈등을 초래할 수 있는 어떤 상
황에 대해 정직해야 할 의무를 가지고 있다.
1.4 정당하게 차별적인 행위를 하지 않는다.
타인에 대한 동등성, 관용, 존중의 가치와 동일한 판단의 원칙이 이
의무사항에 적용된다.
인종, 성별, 종교, 나이, 장애, 국적 등에 따른 차별은 정책에 대한 명
백한 위반이며 허용되지도 않을 것이다.
다른 그룹 사람들사이의 불공평은 정보와 기술의 그 사용이나 오용의
결과로 발생할 것입니다.
공정한 사회에서 모든 개인은 인종, 성별, 종교, 나이, 장애, 국적 등의
요소에 관계없이 컴퓨터 자원의 사용을 통해 이익을 얻고 참여할 동등
한 기회를 갖는다.
1.5 저작권과 특허를 포함한 지적재산권을 존중한다.
저작권, 특허, 무역[거래]비밀과 사용 허용기간의 위반은 대부분의 상
황에서 법률에 의해 금지됩니다. 심지어 소프트웨어가 보호받지 않을
때에도 그러한 위반은 전문가의 행동에 어긋나는 것이다.
소프트웨어의 복사는 적당한 권한에 의해서만 이루어져야 한다. 원판
에 대한 허가받지 않은 복제는 묵과되어서는 안된다.
65
1.6 지적재산에 대한 적절한 댓가를 지불한다.
컴퓨터전문가는 지적 재산을 온전하게 보호할 의무가 있다. 특히 다른
사람의 생각이나 작품에 대해 외상을 해서는 안된다. 그 작품이 저작
권이나 특허등에 의해 명백히 보호되지 않는 경우에도 마찬가지다.
1.7 타인의 프라이버시를 존중한다.
컴퓨터와 통신기술은 문명의 역사에 대한 전례가 없을 정도로 개인
정보의 수집과 교환을 가능하게 하고 있다. 이에 따라 개인과 집단의
프라이버시를 침해할 잠재성도 더불어 증가되고 있다. 개인을 나타내
는 자료를 보전하고 프라이버시를 유지하는 것은 전문가의 책임이다.
이것은 자료의 정확성을 보증하고 부적절한 개인에 대해 허가받지 않
은 접근이나 우연한 노출로부터 그것을 보호하기 위해 사전에 주의를
기울이는 것을 포함한다. 또한 그 처리는 개인이 그들의 기록을 보고
부정확한 것을 수정하는 것을 허용하도록 하고 이를 수립하여야 한다.
이 의무사항은 개인의 정보는 필요한 정도만 시스템안에 수집되어 있
어야 하고 보유 및 처분기간은 명확히 정의되고 지켜져야 하며 특별한
목적으로 수집된 개인정보는 그 개인의 동의없이 다른 목적으로 이용
되어서는 안된다.
이런 원칙은 전자메일을 포함하는 전자적 의사소통에 적용하고 유저의
허락없이 또는 시스템의 운영과 유지에 관한 진실한 권한없이 유저의
전자데이터를 갖거나 관리하는 것을 금지한다.
시스템 운용과 유지의 일반적인 의무를 이행하는 동안 관찰된 유저정
보는 법률, 조직규정, 또는 이 윤리규범을 위반한 증거가 되는 경우를
제외하고는 가장 엄격하게 비밀로서 다뤄져야만 한다. 그런 경우에도
그 정보의 본성이나 내용은 적절한 권한에 의해서만 공개되어야 한다.
66
1.8 비밀성을 존중한다.
누군가 비밀성을 준수하겠다는 명백한 약속을 한 경우와 묵시적으로
그 임무의 수행과 직접적으로 관계되지 않은 개인정보가 사용가능하게
될 때 정직의 원리는 정보 비밀성의 논점으로 확장된다.
윤리적인 관심은 법률상의 필요나 이 윤리강령의 다른 원칙들에 의해 책
임을 면하지 않는 한 유저와 고용주, 고객에게 비밀성의 의무를 준수한다.
2장. 특수한 전문가 의무
2.1 전문가 직무의 이행과정과 산출물 양측면에서 가장 높은 질과 유효
성, 품위를 달성하기위해 노력한다.
탁월성은 전문가의 가장 중요한 의무이다. 컴퓨터 전문가는 시스템의
품질 저하로 인해 발생할 수 있는 심각한 부정적 결과를 인식하고 고
품질 달성을 위해 노력해야 한다.
2.2 전문가적 능력을 획득하고 이를 유지한다.
탁월성은 전문가적 능력을 획득하고 유지할 책임을 갖는 개인에게 달
려있다. 전문가는 적절한 능력수준에 대한 표준을 확립하는데 참여하
고 그 표준을 달성하기 위해 노력해야 한다.
기술적 지식과 능력의 향상은 몇가지 방법으로 달성될 수 있다. 그
방법은 독립적인 연구의 수행, 세미나․컨퍼런스․교육과정의 참가,
전문가조직에의 참가 등이다.
2.3 전문가로서 직무와 관련있는 법률을 인지하고 준수한다.
ACM 회원은 준수해야 할 강제적인 윤리규범이 없다면 자치법, 국내법,
국제법을 따라야 한다. 또한 참여하고 있는 조직의 정책과 절차에 따라
야 한다. 그러나 이의 준수는 때때로 현재 존재하는 법률과 규칙이 부
67
도덕하거나 부적절할 수도 있다는 것을 감안해 균형을 맞춰야한다.
법률이나 규정의 위반은 그 법률이나 규칙이 불충분한 도덕적 기초를
가지고 있거나 더 중요한 다른 법률과 상충될 때 윤리적일 수도 있다.
누군가 법률이나 규칙이 비윤리적이라는 이유나 다른 이유로 위반하고
자 한다면 자신의 행동과 그 결과에 대해 스스로 완전히 책임을 져야
만 한다.
2.4 적절한 전문가적 평론을 받아들이고 제공한다.
훌륭한 컴퓨터 전문가의 역할은 전문가적 견해와 비평에 달려있다.
개개인 회원들은 다른 사람의 직무에 대해 중요한 견해를 제공할 뿐만
아니라 통찰력 있는 견해를 찾고 이용해야 한다.
2.5 컴퓨터시스템 자체와 그 시스템에 의해 발생할 수 있는 위험을 포함한
영향에 대하여 포괄적인 평가와 이해를 제공한다.
컴퓨터 전문가는 시스템에 대한 서술과 대안을 평가하고 충고하고 기
술할 때 통찰력있고 철저하며 객관적이도록 노력해야 한다.
컴퓨터 전문가는 특별히 신뢰할만한 위치에 있으므로 고용주, 고객,
유저, 일반인에게 객관적이고 신뢰할 수 있는 평가를 제공할 특별한
책임이 있다. 평가를 제공함에 있어 전문가는 관계된 이해의 충돌을
명확히 해야만 한다.
시스템의 위험에 대한 표시가 그것을 해결할 기회와 책임을 가진 사람
들에게 보고되어야 한다. 전문가 위반을 포함한 좀더 상세한 위해에
대해 가이드라인을 제공해야 한다.
2.6 계약과 동의, 지정된 책임을 준수한다.
자신의 임무를 존중하는 것은 성실과 정직의 문제다.
컴퓨터 전문가들에게 있어서 이것은 시스템의 요소들이 의도된대로 수
68
행된다는 것을 보증하는 것을 포함한다. 또한 다른 무리와 업무에 관
한 계약을 할 때 자신이 일을 수행하는 과정에 대해 적절히 알려야할 책
임을 갖는다.
컴퓨터 전문가는 지정한대로 완수할 수 없다고 느껴지는 임무에 대해
서 변경을 요구할 책임을 갖는다. 심각한 고찰과 위험에 대한 완전한
공개, 고용주나 고객에게 검토를 받은 후에 그 임무를 받아들여야 한다.
여기서 주된 원칙은 전문가의 직무에 대해 개인적인 책임을 수용해야
한다는 것이다. 특별한 임무가 수행되어서는 안된다는 판단이 받아들
여지지 않을 수도 있다.
그 판단에 대한 이유와 자신의 의견을 명확히 정의했지만 그 임무를
변경하는데 실패한 경우에도 계약이나 법률에 의해 자신의 임무 추진
에 대한 책임을 져야할 수도 있다. 컴퓨터 전문가의 윤리적 판단이 진
행을 할 것이냐 말 것이냐를 결정하는 마지막 기준이 되어야만 한다.
그러나 ‘자신의 판단에 반하여’ 임무를 수행했다는 것이 부정적인 결과
에 대한 전문가의 책임을 경감시키는 것은 아니다.
2.7 컴퓨팅과 그 결과에 대한 공공의 이해를 개선한다.
컴퓨터 전문가는 컴퓨터 시스템의 영향과 그 제한을 포함한 컴퓨팅의
이해를 높임으로써 일반대중과 기술적 지식을 공유할 책임을 갖는다.
이 의무는 컴퓨팅과 관련된 잘못된 인식에 맞서야할 책임도 포함하고 있다.
2.8 접근권이 부여될 때만 컴퓨팅과 통신 자원에 접근한다.
유무형의 자산의 절도나 파괴는 다른 의무에 의해 금지되는데 침입과
권리없이 컴퓨터나 통신시스템을 사용할 수 없다.
침입이란 권한없이 통신 네트워크와 컴퓨터시스템을 이용하거나 이러
한 시스템과 관련된 계정이나 파일을 이용하는 것을 말한다. 개인과
조직은 차별의 원칙을 위반하지 않는 한 시스템에 대한 접근을 제한할
69
권한을 갖는다. 누구도 허락없이 다른 사람의 컴퓨터시스템, 소프트웨
어, 데이터 파일에 들어가거나 사용해서는 안된다.
3장. 조직의 지도자로서의 의무
ACM 회원과 조직의 지도자로서, 나는 ...할 것입니다.
3.1 조직 단위에서 회원의 사회적 책임을 명확히 하고 그 책임의 완전
수용을 독려한다.
3.2 직업생활의 질을 개선하는 정보시스템을 설계하고 구축하기 위해
요원과 자원을 관리한다.
3.3 조직의 컴퓨터와 통신 자원에 대해 적절하고 허가된 사용을 지원한다.
3.4 사용자와 시스템에 의해 영향을 받을 수 있는 사람들이 요구 정리와
디자인 과정에서 필요성을 명확히 할 수 있도록 하고 나중에 그 시스
템의 요구 적합성을 검증받을 것임을 보증한다.
3.5 컴퓨팅 시스템의 사용자와 시스템의 영향을 받는 사람들의 품위를
보호하는 정책을 명확히하고 지원한다.
3.6 조직원들이 컴퓨터시스템의 원리와 제한점을 배울 기회를 창출한다.
4장. 윤리규범 준수
ACM 회원과 조직의 지도자로서, 나는 ...할 것입니다.
70
4.1 윤리강령 지지와 확산
컴퓨터 전문가들은 기술적이고 윤리적으로 우수해야 한다. ACM 컴퓨
팅 전문가들은 이 규범의 강령들을 준수하는 것도 중요할 뿐만 아니라
회원들간의 실천을 독려하고 지지해야 한다.
4.2 ACM회원으로서 위법성 처리
전문가의 윤리강령 지지는 매우 자발적인 문제이나 만약 회원으로서
규범을 따르지 않음으로서 위법 행위를 하였을 시 회원 자격을 상실하
게 될 것이다.
71
【 부록2 】
BASEL II
최근 금융산업에서는 BASEL II 시행에 맞추어 내부의 정보윤리 수준을 강화
하고 있다. G10 국가를 포함한 선진국에서 2006년 말부터 시행될 예정인
BASEL II에는 기존의 금융권 리스크 평가에 정보윤리적 평가 항목이 포함된
운영 리스크의 관리 및 평가가 추가된다. 이에 딜로이트 컨설팅의 BASEL II
관련 발표 자료를 중심으로 BASEL II의 개요 및 추진배경, 국내업계 동향 등을
정보윤리 관점에서 살펴보았다.
□ BASEL II 추진 배경 및 경과
최근 금융산업 및 금융권 컨설팅의 최대 화두는 단연 BASEL II 관련 내용이
다. 기업 스스로의 니즈에 의해 실행되는 타 분야와는 달리 BASEL II는 금융
권의 규제사항으로 실행되는 분야이므로 강제성과 지속성에서 큰 발전 가능성
을 가지고 있다.
현행 BIS제도에서는 일반적으로 시장리스크, 신용리스크 및 자산부채관리
(ALM; Asset Liability Management) 등을 중심으로 위험관리가 수행되어 왔으나
최근에는 우리가 언론을 통해서 자주 접하는 각종 내부 Fraud, 테러 위협 등으로
인해 운영리스크의 중요함이 한층 강조되고 있다. 이러한 운영리스크는 내부
프로세스, 조직 및 시스템이 적절하게 운용되지 못하거나 외부 이벤트, 내부
운영자의 불법 및 비윤리적 행동 등에 의해 발생될 수 있는 손실을 측정하고
관리하기 위한 것으로, 법규준수리스크, 거래리스크, 전략리스크, 평판리스크,
파트너리스크, HR리스크 등으로 구성된다.
72
이에 국제결제은행의 바젤 은행 감독위원회는 자기자본 8%로 대표되는 기존의
BIS 자기자본규제제도가 은행의 리스크를 효과적으로 감독하고 있지 못하다는
인식 하에 신바젤자기자본 협약(BASEL II)를 추진하게 되었다. 바젤 은행 감독
위원회가 밝힌 BASEL II의 구체적인 추진 목적은 다음과 같다.
• BASEL II의 추진목적
1. 규제 자본과 경제자본의 일치
① 차주 위험도에 따라 차별화된 규제 자본 유지
② 위험 가중 자산에 대한 위험 측정 방식 정교화
2. 새로운 금융상품 및 위험 기법에의 대응
① 파생금융상품 등 기존 협약에서 고려하지 못한 금융 상품의 위험 완화
기법 도입
② 운영 리스크 관리를 위한 가이드라인 제공
3. 자발적 리스크관리 강화 유도
① 리스크 측정에 있어 은행의 재량권을 부여하되, 감독 당국의 점검 및
평가 강화
② 리스크 관리에 대한 공시 의무화로 시장 원리를 통한 자발적 변화 유도
바젤 은행 감독 위원회는 1988년 현행 BIS제도를 발표한 이후, 지속적으로
금융기관의 위험 감소를 위한 과제를 수행해 왔으며 BASEL II는 2006년 말
회원국 G10 국가 (미국, 영국, 독일, 프랑스, 캐나다, 이탈리아, 네덜란드, 벨기에,
스웨덴, 일본) 및 스위스, 룩셈부르크, 스페인 등 총 13개 국가의 주요 은행을
대상으로 전면 시행될 예정이다. 다음의 그림은 BASEL II의 연도별 주요 추진
사항을 설명하고 있다.
73
< BASEL Ⅱ 추진 경과 >
1988.7
1996.1
1999.6
2001.1
2002.7
2003.4
2003.말
2006.말
‘BIS 제도 발표’ (1992년부터 자기 자본 비율 8% 유지 의무화)
‘시장 위험을 감안한 수정 BIS 제도 발표’ (1997년부터 시행)
NBA 1차 안 발표
NBA 2차 안 발표
Basel II 시행 시기 확정 (2006년 말부터 시행)
NBA 3차 안 발표
NBA 최종안 확정
Basel II 시행
현행 제도
Basel II
추진 경과
향후 일정
□ BASEL II 주요내용
BASEL II는 기존 협약에 포함되었던 최저 자기자본 규제(Pillar I)에 감독
당국의 점검(Pillar II)과 시장규율(Pillar III)을 추가한 3가지 축으로 구성이 되어
있으며 구체적인 내용은 다음과 같다.
• BASEL II의 주요 내용
1. Pillar I : 최저 자기자본 규제
① 신용리스크 : 차주에 대한 내외부의 신용평가등급을 기초로 차주의 채무
불이행 위험을 산정
② 운영리스크 : 부적절한 내부절차, 진원, 시스템 등으로 인한 리스크를
필요 자본 산정 시 반영
2. Pillar II : 감독 당국 점검
① 은행 경영진과 감독 당국과의 의사소통 수단에 관한 가이드라인
② 감독 당국의 검증과 별개로 은행 자체의 위험 측정 절차 마련 요구
③ 신용 및 운영위험과 관련된 잠재손실과 은행 전략 및 특성에 따른
비정상적 자본 필요에 관한 내용 검토
BaselⅡ시행
74
3. Pillar III : 시장 규율
① 자본 비율 해석에 관한 어려움 해소를 위한 공시 강화
② 시장 원리에 의해 정보가 노출된 은행이 건전한 판단을 수행하도록 유도
BASEL II와 현행 BIS 제도를 비교하면 다음의 표와 같으며 크게 신용리스크
측정의 정교화와 운영리스크의 도입이 달라진 부분이라고 할 수 있다. 이 외에
자세한 변동 내용은 다음의 표와 같다.
항목 현행 BIS Basel Ⅱ
PillarⅠ
자기자본비율
산출시 감안할
위험
․ 신용위험
․ 시장위험
․ 신용위험
․ 시장위험
․ 운영위험
신용위험
측정방법
․ 획일적 방법
(국가 0%,
은행 20%,
기업100%)
․ 표준방법: 외부신용평가에 따라 위험가중치
차등화
․ 내부등급법
-기본 IRB : 부도율은 은행 자체 측정, 기
타 위험 요소(회수율, 부도시 익스포저)
는 감독기관 지침 활용
-고급 IRB : 기본 IRB 모형의 기타 위험
요소도 은행이 평가
시장위험
측정방법
운영위험 측
정 방법
없음
․ 기초지표법: 총수입의 일정 비율 부과
․ 표준방법: 사업부문별 운영 위험 산정하여 합산
․ 고급측정법 : 사업부문별 손실 자료와 부문
간 상관관계를 감안하여 측정
Pillar Ⅱ 없음
․ 은행 자기자본 적정성 및 내부 모형 점검 강화
․ 은행 위험 상황에 대한 상시 감시
․ 적기 시정 조치 시행
Pillar Ⅲ 없음 ․ 은행의 자기자본 상태 및 위험 수준, 특성,
측정 방법 및 회계 처리 방법 공시 의무화
< 현행 BIS 제도와 BASEL Ⅱ 비교 >
75
□ BASEL II로 인한 영향 및 대비 전략
다음의 그림은 BASEL II 도입 후 예상되는 익스포저별 위험가중치를 보여주고
있다. 이 그림에 의하면 BASEL II 체제 하에서 부실 기업과 거래시 많은 자본
을 축적해야 하는 반면 우량기업과의 거래에서는 오히려 현재보다 필요 자본을
감소시킬 수 있다. 따라서 G10의 선진 은행들은 우량 기업과의 거래를 확대하고
내부 등급법의 도입을 통해 필요 자본을 최소화 시키고자 하는 노력을 이미 수
행하고 있다.
< BASEL Ⅱ 도입 후 익스포저별 위험가중치 >
표준방식(기업)
현행 협약(기업)
부실기업과 거래 시,
현재보다 훨씬 큰
위험가중치 적용
우량기업의 경우 위험가중치가
작아지고, 내부등급법 활용시 효과
극대화 가능
0% 5% 10% 15% 20%
100%
200%
300%
400%
내부 등급법
예상부도율
위험가중치
대기업
중소기업
소매
Basel II
반면 G10의 선진은행을 제외한 개발도상국 은행의 필요 자기 자본은 BASEL
II의 도입 후 오히려 4%(기초내부등급) ~ 12%(표준방식) 정도로 증가할 것으로
예상되고 있다. 따라서 선진 은행보다 국내 은행의 체계적인 대응이 매우 시급한
상황임을 알 수 있다. 다음의 그림은 각 은행 유형별 BASEL II의 영향을 비교한
그래프이다.
76
< 은행 유형별 BASEL Ⅱ 영향 비교>
20%
G10 선진은행
소매/기업
필요자본감소
운영위험
필요자본
증가
“필요
자본감소”
국내 은행
소매/기업
필요자본증가
운영위험
필요자본
증가
“필요
자본증가”
10%
-10%
-20%
0%
G10
대형은행
G10
중소형은행
기타국가
표준방식
기초내부등급방식
고급내부등급방식
자기자본비율
BASEL II와 관련된 국내 규제당국의 방향성은 아직 정립되지 않았지만, 선진
은행 및 경쟁은행의 움직임과 일정 기간의 Data 수집을 요구하는 BASEL II의
특성상 여유 있는 상황이라고 볼 수는 없다. 다음의 그림은 BASEL II 도입
관련 국내 은행권의 대비 상황을 선진국의 Case와 비교하여 보여주고 있다.
현재 2010년 도입을 목표로 하더라도 준비 기간이 매우 촉박함을 알 수 있다.
< BASEL Ⅱ Time Line 비교 >
2002 2003 2004 2005 2006 2007 2008 2009 2010
선진국
Case
국내
상황
Basel II 도입
Basel II 도입
( 예상)
기본 IRB를 위한 PD
데이터 요구 (3year)
고급 IRB를 위한 PD
데이터 요구 (5year)
고급 IRB를 위한 LGD, EAD
데이터 요구 (7year)
Transition
Period
고급 측정법(운영위험)을 위한
Loss data history (5year)
기본 IRB를 위한 PD
데이터 요구 (3year)
고급 IRB를 위한 PD
데이터 요구 (5year)
고급 IRB를 위한 LGD, EAD
데이터 요구 (7year)
고급 측정법(운영위험)을 위한
Loss data history (5year)
􀂉요구 Data 정의
􀂉Data Gap 분석
􀂉Data Store Infra 구축
􀂉Data Management
Process 구축
“ 2010년 도입을 가정하더라도
2004년부터 체계적인 준비
착수가 요구됨 “
선진국
Case
국내
상황
77
BASEL II가 요구하는 바를 충족하기 위해서는 Process, Data, Risk Model,
System, Governance, Program Management 등의 영역에서 종합적인 대비가
필요하고 이를 위해서 신속하고 정확한 접근 전략이 필요하다. 다음은 위에서
언급한 여러 영역에서의 세부적인 대응 전략을 정리한 내용이다.
• BASEL II 세부 대응 전략
1. Process : 리스크를 찾아내고 완화하기 위한 프로세스가 구현되어 있는가?
2. Data : 리스크를 측정하기에 충분한 데이터를 발굴하고 관리하고 있는가?
3. Risk Model : 리스크 발생 가능성, 손실 정도를 파악할 수 있는 모델이
구현되어 있는가?
4. System : 리스크 관리 및 모니터링을 수행할 수 있는 정보시스템이 구비되어
있는가?
5. Governance : 리스크를 감독하고 관리할 수 있는 조직/프로세스/정책이
구현 되어 있는가?
6. Program Management : BASEL II 관련 프로젝트를 관리하고, 그 결과를
조직 내에 흡수하기 위한 체계가 갖추어져 있는가?
□ BASEL II 관련 국내업계 동향
국내 금융 기관은 현재 BASEL II가 요구하는 운영리스크를 측정하기 위한
인프라로서 정보시스템의 역할이 필요한 단계이지만 선진국은 이미 리스크를 완
화 및 감소시키기 위한 정보시스템의 니즈가 확산되고 있는 상황이며 국내 정보
시스템 업계에서는 이에 대응하기 위한 전략을 수립하고 있는 실정이다.
다음의 그림은 BASEL II 관련 리스크를 측정하기 위한 정보시스템 구축의
로드맵을 보여주고 있다.
78
< BASEL Ⅱ 지원 정보시스템 구축 로드맵 >
운영리스크 통합리스크 리스크완화
내
용
기
술
사
항
􀂉 운영리스크 도출, 측정,
모니터링
􀂉 운영리스크 시스템
􀂉 시장, 신용, 운영
리스크를 통합하여
Basel II 가 요구하는
Capital 산출
􀂉 현행 시스템
Assessment
􀂉 Risk Warehouse
􀂉 통합 리스크 시스템
􀂉 산출되어 관리하는
리스크를 완화하기
위한 전략수립 및
Implementation
􀂉 Data Center
􀂉 Security
􀂉 Outsourcing …
다음은 BASEL II와 관련하여 2004년 8월 현재, 국내 업계의 동향을 은행,
컨설팅 업계, IT 업계, SI업계로 분류하여 설명한 내용이다.
• 국내업계 동향
1. 은행업계 : Basel II에 운영리스크의 관리가 추가됨에 따라 내부 업무 프로
세스 분석, 리포팅 체계, 운영리스크 데이터 관리, 내부종사자의 정보윤리
등에 대한 요건 확정을 위한 컨설팅 수요가 폭발하고 있는 상황이다. 다음은
국내 주요 은행별 BASEL II 대비현황을 보여주고 있다.
① 우리은행
• 2003년 말 Basel II 대비 운영리스크 컴플라이언스 1차 컨설팅업무
완료 – 삼정KPMG
• 2004년 운영리스크 컴플라이언스 2차 컨설팅 사업제안서(RFP) 발송 –
PwC-SAS코리아 컨소시엄 우선협상대상자 선정
② 국민은행
• 2003년 5월 신바젤 마스터플랜 수립을 위한 컨설팅 업무 수행 – 머셔
올리버 와이만(MOW)
79
• 2004년 9월 중 운영리스크 컴플라이언스 컨설팅 업무 수행완료예정
- 삼정KPMG
• 2004년 4월 바젤II 아카데미 개설 – 월 1~2차례관련 직원 교육
• 2004년 6월 신용리스크 컴플라이언스 컨설팅 업무 사업제안서(RFP)
발송 – 액센츄어 수주
③ 신한지주금융
• 2004년 4월 신한은행과 조흥은행의 신바젤 도입을 위한 광범위한 컨설팅
프로젝트 사업제안서 (RFP)발송 – 바젤 II에 대비한 최초의 전방위적
컨설팅 시행 (PwC[운영]-누리솔루션[신용]-피스트글로벌 컨소시엄 수주)
④ 하나은행
• 2004년 6 월 중 운영리스크 컴플라이언스 컨설팅 업무 수행완료예정
– 삼정KPMG
• 2004년 상반기 신용리스크 컴플라이언스 컨설팅업무 수행 – 이강파이
낸셜서비스(LKFS)
⑤ 제일은행, 산업은행, 농협 등도 컨설팅 업무 수행 준비중
2. 컨설팅 업계 : 삼정KPMG, 액센츄어, 베어링포인트, 올리버와이만, IBM
BCS, PwC, 한국HP, 딜로이트 컨설팅 등 주로 외국계 컨설팅 업체들의
경쟁구도가 펼쳐지고 있다. 이는 한국의 BASEL II 대응수준을 평가하는데
있어, 국제금융시장에서의 국제적 공신력이 중요하기 때문인 것으로 파악
된다.
3. IT 업계 : 외국계 IT 업체를 중심으로 Basel II 대비 리스크 측정 및 관리를
위한 정보시스템 Solution을 경쟁적으로 발표하고 있으며, 소수 국내 IT
업체도 솔루션 개발 경쟁에 참여 하고 있다. 다음은 주요 IT 업체별 개발
솔루션을 설명하고 있다.
① 한국 IBM: IBM Risk & Compliance
② 한국유니시스: ARMS (Advanced Risk Management Services)
80
③ SAS코리아: SAS Risk Management for Banking
④ 한국사이베이스: B2
⑤ SAP코리아: SAP Bank Analyzer
⑥ 이외에도 한국HP, 한국NCR테라데이타, LG히다찌 등 외국계 IT업체와
누리솔루션, 피스트글로벌, 이강파이낸셜서비스, 한국신용정보, 한국신용
평가 등 국내 IT업체가 경쟁에 참여하고 있다.
4. SI 업계 : Basel II 컨설팅이 완료되는 2004년 하반기를 진입 시기로 보고
Basel II 시스템 구현 및 운영리스크 비즈니스연속성계획(BCP) 시장에
초점을 맞추고 있다. 주요 업체로는 국내 삼성SDS, LG CNS, SK C&C, 현
대정보기술 등이 있다.
81
【 부록 3 】
정보윤리 관련 법률 분석
[관련 법 리스트]
□ 공공기관의개인정보에관한법률
∙ 공공기관의개인정보에관한법률
∙ 공공기관의개인정보에관한법률시행령
∙ 공공기관의개인정보에관한법률시행규칙
□ 소프트웨어산업진흥법
∙ 소프트웨어산업진흥법
∙ 소프트웨어산업진흥법시행령
∙ 소프트웨어산업진흥법시행규칙
□ 신용정보의이용및보호에관한법률
∙ 신용정보의이용및보호에관한법률
∙ 신용정보의이용및보호에관한법률시행령
∙ 신용정보의이용및보호에관한법률시행규칙
□ 저작권법
∙ 저작권법
∙ 저작권법시행령
∙ 저작권법시행규칙
□ 전자거래기본법
∙ 전자거래기본법
∙ 전자거래기본법시행령
82
□ 전자서명법
∙ 전자서명법
∙ 전자서명법시행령
∙ 전자서명법시행규칙
□ 정보통신기반보호법
∙ 정보통신기반보호법
□ 정보통신망이용촉진및정보보호등에관한법률
∙ 정보통신망이용촉진및정보보호등에관한법률
□ 정보화촉진기본법
∙ 정보화촉진기본법
∙ 정보화촉진기본법시행령
∙ 정보화촉진기본법시행규칙
□ 컴퓨터프로그램보호법
∙ 컴퓨터프로그램보호법
∙ 컴퓨터프로그램보호법시행령
∙ 컴퓨터프로그램보호법시행규칙
□ 통신비밀보호법
∙ 통신비밀보호법
∙ 통신비밀보호법시행령
∙ 통신비밀보호법시행규칙
정보통신망이용촉진 및 정보보호 등에 관한 법률에서 정보윤리와 관련된 법률을
주로 다루고 있어 정보윤리 인증제도 연구에서는 ‘정보통신망이용촉진 및 정보
보호 등에 관한 법률’을 통해 IT 종사자와 기업에 관련된 법률 문항을 조사 분
석하였다.
83
[ IT종사자 관련 법률 ]
□ 제24조(개인정보의 이용및 제공 등)
① 정보통신서비스제공자는 당해 이용자의 동의가 있거나 다음 각호의 1에
해당하는 경우를 제외하고는 개인정보를 제22조제2항의 규정에 의한 고지의
범위 또는 정보통신서비스이용약관에 명시한 범위를 넘어 이용하거나 제 3자
에게 제공하여서는 아니된다.
1. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
2. 통계작성·학술연구 또는 시장조사를 위하여 필요한 경우로서 특정
개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우
3. 다른 법률에 특별한규정이 있는 경우
② 정보통신서비스제공자로부터 이용자의 개인정보를 제공받은 자는 당해
이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우를 제외하고
는 개인정보를 제공받은 목적외의 용도로 이를 이용하거나 제3자에게 제
공 하여서는 아니된다.
③ 정보통신서비스제공자등(정보통신서비스제공자와 그로부터 이용자의 개인
정보를 제공받은 자를 말한다. 이하 같다)은 이용자의 개인정보를 취급하는
자를 최소한으로 제한하여야 한다.
④ 이용자의 개인정보를 취급하거나 취급하였던 자는 직무상 알게 된 개인
정보를 훼손·침해 또는 누설하여서는 아니된다.
□ 제27조(개인정보관리책임자의 지정)
① 정보통신서비스제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한
이용자의 불만을 처리하기 위하여 개인정보관리책임자를 지정하여야 한다.
② 개인정보관리책임자의 자격요건 그밖의 지정에 관하여 필요한 사항은 정보
통신부령으로 정한다.
84
□ 제28조(개인정보의 보호조치) 정보통신서비스제공자등은 이용자의 개인정보를
취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록
안전성 확보에 필요한 기술적·관리적 조치를 강구하여야 한다.
□ 제29조(개인정보의 파기) 정보통신서비스제공자등은 개인정보의 수집목적
또는 제공받은 목적을 달성한 때에는 당해 개인정보를 지체없이 파기하여야
한다. 다만, 다른 법령의 규정에 의하여 보존할 필요성이 있는 경우에는 그
러하지 아니하다.
□ 제48조(정보통신망 침해행위 등의 금지)
① 누구든지 정당한접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신
망에 침입하여서는 아니된다.
② 누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을
훼손·멸실·변경·위조 또는 그 운용을 방해할 수 있는 프로그램(이하"악성
프로그램"이라 한다)을 전달 또는 유포하여서는 아니된다.
③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는
데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보
통신망에 장애를 발생하게 하여서는 아니된다.
□ 제49조(비밀 등의 보호) 누구든지 정보통신망에 의하여 처리·보관 또는 전송되는
타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니된다.
□ 제50조(광고성 정보전송의 제한)
① 누구든지 수신자의 명시적인 수신거부의사에 반하는 영리목적의 광고성
정보를 전송하여서는 아니된다.
② 제1항의 규정에 의한 영리목적의 광고성 정보를 전자우편으로 전송하고자
85
하는자는 정보통신부령이 정하는 바에 의하여 다음 각호의사항을 전자우편에
명시하여야 한다.
1. 전송목적 및 주요내용
2. 전송자의 명칭 및 연락처 등
3. 수신거부의 의사표시에 관한 사항
[ 기업 관련 법률 ]
□ 제45조(정보통신망의 안정성 확보 등)
① 정보통신서비스제공자는 정보통신서비스의 제공에 사용되는 정보통신망의
안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 마련하여야 한다.
② 정보통신부장관은 제1항의 규정에 의한 보호조치의 구체적 내용을 정한
정보통신서비스의 정보보호에 관한 지침을 정하여 고시하고 정보통신
서비스제공자에게 그 준수를 권고할 수 있다.
□ 제46조(집적된 정보통신시설의 보호)
① 타인의 정보통신서비스제공을 위하여 집적된 정보통신시설을 운영·관리하는
사업자는 정보통신시설의 안정적 운영을 위하여 정보통신부령이 정하는
바에 의한 보호조치를 취하여야 한다.
② 제1항의 규정에 의한 사업자는 집적된 정보통신시설의 멸실, 훼손 기타
운영장애로 인하여 발생한 피해의 보상을 위하여 정보통신부령이 정하는
바에 따라 보험에 가입하여야 한다.
③ 정보통신부장관은 제1항의 규정에 의한 보호조치를 취하지 아니한 사업자
에게 상당한 기간을 정하여 시정조치를 명할 수 있다.
□ 제47조(정보보호관리체계의 인증)
① 정보통신서비스제공자 및 정보통신서비스를 제공하기 위한 물리적 시설을
제공하는 자는 정보통신망의안정성 및 정보의 신뢰성을 확보하기 위하여
86
수립·운영하고 있는 기술적·물리적 보호조치를 포함한 종합적 관리체계
(이하 "정보보호관리체계"라 한다)가 당해 서비스에 적합한 지에 관하여
제52조의 규정에 의한 한국정보보호진흥원으로부터 인증을 받을 수 있다.
② 정보통신부장관은 제1항의 규정에 의한 인증에 관한 정보보호관리 기준 등
필요한 기준을 정하여 고시할 수 있다.
③ 제1항의 규정에 의하여 정보보호관리체계의 인증을 받은 자는 정보통신부
령이 정하는 바에 의하여 인증의 내용을 표시하거나 홍보할 수 있다.
④ 제1항의 규정에 의한 인증의 방법·절차 및 수수료 기타 필요한 사항은 정보
통신부령으로 정한다.











▶ 출처 : 한국정보산업연합회