정보통신망법 법률 요약

  ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’은  법령이름이 길다보니 주로 ‘정보통신망법’이라고 불리는 것 같습니다. 대표적인 IT compliance라고 할 수가있습니다. 최근 법제화된 개인정보보호법이 나오기전에 개인정보보호에 대한 법적 근거를 제공해주었던 것중에 하나이지요..  

<< 국가법령정보센타에서 정보통신망법 보기 >>
빨간색 [예]가 붙은 법령내용은  시행예정인 내용이 기록되어 있습니다.  참고하세요 

 

1. 정보통신망법의 소관부처
 -방통위
– 행안부 

2. 정보통신망법 구성체계

 1장.총칙

 -목적, 정의, 정보통신서비스제공자 및 이용자의 책무등 

 2장.정보통신망의 이용촉진
   -기술개발 
  -정보통신망 이용촉진 사업
  -인터넷이용확산, 서비스 품질 개선

 3장.전자문서중계자를 통한 전자문서의 활용
  -전자문서중계자에 의한 문서의 처리
  -전자문서의 송수신 시기
  -전자문서 내용의 추정
  -전자문서등의 공개제한 등
  -전자문서 등의 공개 제한 등

 4장.개인정보의 보호
 -개인정보의 수집·이용, 제공
 -개인정보의 관리 및 파기 등
 -이용자의 권리 
-개인정보 분쟁조정위원회

 5장.정보통신망에서의 이용자 보호
  -청소년보호-정보삭제요청 및 임의의 임시조치
  -게시판 이용자의 본인확인
  -자율규제, 불법정보유통금지 등

 6장.정보통신망의 안전성확보 등
  -정보통신망의 안전성 확보위한 보호조치의무
  -집적된 정보통신시설의 보호
  -정보보호 안전진단-정보보호 관리체계(ISMS) 인증
  -이용자의 정보보호
  -정보통신망 침해행위 등의 금지
  -침해사고의 대응 
  -스팸 방지 

 7장.통신과금서비스

 8장.국제협력

 9장.보칙

10장.벌칙

 

 

 

개인정보보호법 요약

 개인정보보호법 요약된 것들은 다들 많이 보셨을텐데 국가법령정보센타에 가시면  법령전문을 보실 수 있답니다. 

<< 국가법령정보센타에서 개인정보보호법 보기 >>

1. 법 제정 배경
  1)대규모 개인정보 침해사고 빈발로 국민 불안감 급증
    – 최근의 개인정보 침해는 대형화·지능화·다양화 추세
    – 해킹, 내부직원 유출, 담당자 부주의 등이 주요 원인
  2)개인정보보호 일반법 미비로 법 적용 사각지대 발생
    -공공기관(개인정보보호법), 정보통신사업자(정보통신망법) 등 개별법 체계로 헌법기관, 오프라인 사업자, 비영리기관 등은 관련법 부재
    -개별법간 보호원칙, 처리기준 및 추진체계가 상이하여 국민 혼란, 일관된 정책 추진에 한계
  3)세계 각국과의 FTA 대비 및 IT강국으로서의 위상 확보
    -최근 전 세계적 국제통상 관련, 프라이버시 라운드(Privacy Round) 대두
    – 유럽연합(EU) : 적절한 보호수준을 갖춘 제3국으로만 개인정보 이전

2. 개인정보보호법 구성체계
  1장.총칙
   – 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등
  2장.개인정보보호정책의 수립등
   – 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등
  3장.개인정보의 처리
   – 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등
  4장.개인정보의 안전한 관리
   – 안전조치의무, 개인정보파일 등록·공개,  개인정보영향평가, 유출통지제도 등
  5장.정보주체의 권리 보장
   – 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등
  6장.개인정보분쟁조정위원회
   – 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등
  7장.개인정보 단체소송
   – 단체소송 대상, 소송허가요건, 확정판결의 효력 등
  8장.보칙
   – 적용제외, 금지행위, 침해사실신고, 시정조치 등
  9장.벌칙
   – 벌칙, 과태료 및 양벌규정 등

3.개인정보보호법 체계 일원화 


4. 개인정보보호 행정체계 일원화


정보통신기반보호법 요약

<< 국가법령정보센타에서 정보통신기반보호법 보기 >>

정보통신기반보호법 요약은 아래와 같습니다.

1.개요

  정보통신기반보호법은 주요정보통신기반시설 보호 및 침해사고 대응 사항을 총 7장, 30조에 담고 있는 법률
  동 법 중  IT Compliance 와 관련이 높은 부분은
  제2장 주요정보통신기반시설의 보호체계,
  제3장 주요정보통신기반시설의 지정 및 취약점 분석,
  제4장 주요정보통신기반시설의 보호 및 침해사고의 대응 등임

  적용대상: 주요정보통신기반시설의 관리자 및 정보공유,분석센터의 관리자 등

2. 취약점 분석평가
  주요 정보통신기반시설로 지정된 시설은 지정 후 6개월 내에 취약점 분석,평가를 실시하여야 함.    최초의 취약점 분석, 평가 이후에는 2년마다 취약점 분석,평가 실시.   취약점 분석,평가는 객관성과 실효성을 확보할 수 있도록 일정한 자격을 갖춘 자들로 구성된 전담반이 행하도록 하여야 함

3.보호대책의 수립 및 이행
  주요정보통신기반시설 관리기관의 장은 취약점 분석,평가의 결과에 따라 주요정보통신기반시설을 안전하게 보호하기 위한 물리적,기술적 대책 등 보호대책을 수립,    관리기관의 장은 보호대책을 수립하여 매년 3월말까지 관할 중앙행정기관의 장에게 제출하여야 함.   행정안전부장관과 국가정보원장 등은 관리기관이 수립한 보호대책을 이행하는지 여부를 점검함

4. 보호조치의 이행
  다음의 경우 관리기관의 장은 관계중앙행정기관의 장이 내리는 보호 조치에 대한 명령,권고를 이행하여야 함.   관리기관의 장이 제출한 주요정보통신기반시설 보호대책을 분석한 결과 별도의 보호조치가 필요한 경우   보호대책 이행여부 분석의 결과 별도의 보호조치가 필요하다고 인정되는 경우

5. 침해사고 통지 및 복구
  침해사고란 주요정보통신기반시설이 교란,마비,파괴된 상황으로 관리기관의 장은 i) 침해사고발생 일시 및 시설 ii) 피해 내역, iii) 기타 신속한 대응,복구를 위하여 필요한 사항 등의 내용을 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 통지하여야 함.   또한 침해사고 발생시 관리기관의 장은 소관 주요정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취해야 함

6.  정보공유 및 분석센터
  분야별 정보통신기반시설 보호를 위하여   i) 취약점 및 침해요인과 그 대응방안에 대한 정보제공,   ii) 침해사고 발생시 실시간 경보,분석 체계 운영 등의 업무를 수행하고자 하는 자는 정보공유,분석센터 구축,운영 가능

2011.5. 16 주간 보안 뉴스 요약

2011.5.16 ~ 5.20 주간의 보안관련 뉴스 제목들을 요약해보았습니다. 참고들 하세요 요즘은 매주 많은 일들이 일어나는 것 같습니다.

05/20
휴대폰 커뮤니티 ‘세티즌’해킹, 140만명 개인정보 유출 << 기사보기>>
한국, 악성코드 감염률 세계1위, Microsoft 발표 <<기사보기>>

05/19
리딩투자증권 고객정보 유출 <<기사보기>>

05/18
한국전자금융 해킹, 입사지원자 8천명 개인정보 유출 <<기사보기>>
안드로이드마켓에서 정상앱으로 위장된 악성코드 발견 <<기사보기>>
현대캐피탈 고객정보 175만건 유출된것으로 밝여져 <<기사보기>>

05/17
드롭박스, 보안 안전하지 않다 <<기사보기>>
한국정보인증, ‘공인인증서 100배 즐기기’ 출간 <<기사보기>>
스마트폰보안위해 40여 일본IT기업 ‘일본시큐리티포럼’출범 <<기사보기>>
삼성반도체, 종이에 RFID탑재, 출력물 보안강화 <<기사보기>>

05/16
제우스 악성코드 국내출현, 금융보안 비상 <<기사보기>>
행안부, 개인정보 노출방지 가이드라인 개정, 배포 <<기사보기>>
페이스북 도배하는 스팸광고 주의 <<기사보기>>
SNS피싱 , 2010년이 2009년보다 1200% 급증, MS 발표 <<기사보기>>
소니 해커, 아마존 클라우드컴퓨팅 EC2이용 공격했었다 <<기사보기>>

 

현대캐피탈 고객정보 유출 175만건, 대부분 유출…

원문참조: http://goo.gl/Pkf4V   http://goo.gl/R7GkE
  
   금융감독원은 17일 중간발표를 통해 “해커 신 씨가 업무관리자의 아이디와 패스워드를 습득한 후 현대캐피탈 고객들의 자동차정비내역조회 서버 등에 침입해 175만 명의 고객 정보를 해킹했다”고 밝혔습니다.  해킹당한 광고메일 발송용 서버에서는 화면 캡처 방식으로 총 36만 명의 이름과 e메일 정보뿐만 아니라 암호화되지 않은 주민번호까지 유출된 것으로 드러났다고 합니다.

  특히 사고 당시 유출된 고객정보가 42만건이라고 발표되었던것과 달리 180만명의 고객정보중 175만명의 정보가 유출됨으로써 거의 대부분의 고객정보가 유출된 것으로 밝혀졌습니다. 결국 초기에 확인된 고객 43만명을 제외한 133만명의 고객은 유출사실을 모른채 한 달여간 방치되었기 때문에 2차 피해가 발생했거나 할 수 있다는 것입니다. 

  경찰이 해킹 사건의 주범인 대부중개업체 팀장 윤모씨의 외장하드와 컴퓨터 등에서 확보한 자료를 확인한 결과  개인정보 유출 피해 고객은 총 175만명이라는 사실이 확인되었습니다.

   서울경찰청 사이버범죄수사대는 3월 10, 11일 서울 서초구의 한 PC방에서 현대캐피탈 서버에 무단 침입해 개인 정보를 내려받아 보관한 윤 씨를 구속 수사해 왔습니다. 서울의 한 대부중개업체에서 팀장으로 일하던 윤 씨는 3월 필리핀에 있는 신 씨의 공범 정모 씨(36)로부터 “아는 해커가 현대캐피탈 서버에 침입하는데 성공했다. 돈을 주면 내부망에 접속하는 링크주소(URL)를 알려주겠다”는 제안을 받고 2200만 원을 송금한 뒤 현대캐피탈 고객 정보를 빼냈다고 합니다.  윤 씨가 빼낸 정보는 1TB(1024GB) 외장 하드디스크에 저장됐고, 데이타는 거의 텍스트 형식인 로그파일로 저장되어 현재까지 모두 현대캐피탈 관련 정보인것으로 분석되었습니다.

  또한  추가 개인정보 유출 사실을 확인한 지난주 말 직후 고객들에게 안내를 시작하지 않고 3일이 지난 19일에야 개시하기로 한 것도 논란이 되고 있습니다.  현대캐피탈은 또 고객정보에 접근할 수 있는 퇴직 직원의 아이디를 삭제하지 않았고 2~4월에는 해킹 사고와 동일한 인터넷프로토콜(IP) 주소를 통한 해킹 시도가 다수 발견됐지만 IP차단 조치도 취하지 않았다고 합니다.  직원 및 보안시스템에 대한 관리가 허술했던 것으로 드러난 것입니다.

   금융감독원은 고객정보 해킹사건과 관련해 현대캐피탈과 정태영 사장 등 임직원을 징계하는 방안을 검토 중이라고합니다.. 금감원 관계자는 “이번 사건이 국민을 불안하게 하고 사회 문제로 비화한 점을 고려해 법인과 임직원에 대한 징계를 제재심의위원회에 상정할 방침”이라고 합니다.

image

미 정보, 보안강화위해 새 법안 발의중

image    미국  오바마 정부는 사이버 보안을 보다 강화시키기 위해  사이버 범죄 처벌을 강화하고 핵심 인프라를 해킹했을 때의 최소 형벌을 제정하는 것을 내용으로 하는  새로운 법안을 발의했습니다.   이는 미 시민과 국가 핵심 인프라 및 정부 네트워크를 보호하기 위한 것입니다.

  우리나라의 현실도 크게 다르지 않은데  국가 차원에서의 제도의 정비와 좀더 강도 있는 관리체계를 법률로 제정해야 하지 않나 싶습니다. 그나마 제정되어 9월에 발효예정인 개인정보 보호법에 만족하고 있을 때가 아닌 듯 합니다.

▶새 법안 내역
1.  시민을 보호하기 위해 사이버 범죄에 대한 처벌 강화,  사이버 범죄를 다른 범죄와 동일시
2. 핵심 인프라에 대한 해킹에 대해 최소 형벌을 제정
3. 국가 데이터 침해 보고와 관련된 기존 47개 주의 법률을 간소화 및 표준화했다
4. 해킹을 당한 기업은 공격자가 고객의 개인 정보에 접근했는지의 여부를 고객에게 통보 의무

 국가 핵심 인프라 보호와 관련 사항:
1. 민간업체나 지자체가 해킹 초기 단계에 국토안보부에 도움을 요청할 경우 지원 체계 마련
2. 기업은 사이버 위협 혹은 사고와 관련된 정보를 국토안보부와 공유,  이 경우 면책가능
3. 핵심 인프라 운영자들에게 사이버 위협과 취약점에 대해 우선 순위를 매기도록 제안.
4. 정부 네트워크를 효과적인 보호 위해 연방정보보안관리법(FISMA)을 갱신
5. 국토안보부가 보안전문가를 고용할 때 유연성
6. 모든 연방 행정 기관의 민간인 컴퓨터 침입 방지 시스템을 영구 감독할 권한

대 전제: 
1. 개인의 사생활과 자유권을 보호한다
2. 정보에 대한 모니터링, 수집, 사용 및 공유 활동은 사이버 보안 위협을 방지하는 선에서 제한

삼성 반도체, 종이에 RFID 탑재하여 출력물 유출방지

원문참조: http://boan.com/news/articleView.html?idxno=4668 

  삼성전자의 반도체 사업부 직원들이 사무실에서 출력한 종이를 가지고 사외로 나올 수 없게 됐다. 삼성전자 반도체 사업부는 사내 모든 프린터에 출력물 유출방지 시스템 구축을 완료하고 사내 출력물에 대한 보안 수준을 한층 강화했다고 16일 밝혔다. 이는 프린터 및 복합기에 보안 소프트웨어를 탑재, 특수 보안용지로만 출력이 가능하도록 했기 때문이다.이에 앞서 삼성전자 반도체 사업부는 지난해부터 일부 사업장에 출력물 유출방지 시스템을 적용, 지난달 전 사업장에 구축을 완료했다.

  이를 위해 삼성전자 IT솔루션사업부가 자체 개발한 ‘SecuDocuTM’ 보안용지를 국내에서 처음으로 적용했다. 전자태그(RFID)를 내장한 특수 보안용지를 소지하고 게이트를 통과하면 EM(Electro Magnetic) 감응기가 이를 감지해 경고 램프와 경보음이 작동하는 원리다. 모든 프린터의 용지함에 자기 센서를 이용한 감지장치를 장착, 특수 보안용지에만 인쇄가 가능하도록 하고 이 용지가 아닌 경우 내용물을 프린트할 수 없도록 했다.  RFID가 탑재된 이 특수 보안용지의 외양은 일반 종이와 유사하나 가격은 장당 70원 수준에 달한다. 반도체 핵심 기술의 경우 적은 분량의 인쇄물이 유출되더라도 피해가 막심하다는 판단 아래 고가의 종이를 이용한 보안 솔루션 도입을 결정한 것으로 알려졌다.

  삼성전자 관계자는 “최근 일어난 보안 사고가 모두 인쇄물의 유출로부터 비롯된 것으로 판단하고 있다”며 “사내 모든 프린터, 복합기에서 인쇄를 할 때 이 용지로만 출력이 되도록 했다”고 설명했다.

Gartner의 IT Compliance 지침

 

Gartner의 CIO를 위한 Compliance 지침은 아래와 같습니다.

기본적으로 IT Compliance 는 IT부서만으로는 달성할 수 없는 과제
법무, 재무부서 및 외부 감시자와의 긴밀한 협조가 필요
전사적 차원에서 합리적인 통제 절차와 기구가 필요,
    (적절한 솔루션 도입 권고)

image

IT Compliance란?
 
  기업의 위험관리와 투명성 강화를 위해 정부 또는 유관 기관들이 강제사항으로 규정하는 각종 규정을 준수할 수 있도록 IT 측면에서 준비하고 관련 시스템을 재정비하는 것을 의미합니다.

  신바젤 협정(Basel2,3), Sarbanes-Oxley Act 2002이 발효되면서 이를 위한 IT Compliance 시장이 전세계적으로 확대되는 추세입니다.

IT Compliance는 IT시스템의 보안 및 가용성을 확보하고 비즈니스 정보의 무결성을 실현하는 것을 목적으로 합니다.

IT Compliance 규제법안들의 근본 목적은 기업의 투명성 강화를 위해 조직의 건전성을 확보하기 위한 것입니다.

프로젝트 성공의 TOP 10 Tip

 

1. 목적에 동의 (일정/원가)

2. 명령체계 수립

3. 책임할당

4. 주요 미팅일자 및 시간 고정

5. 적극적으로 정보 회람

6. 집요한 진척 추적

7. 정기적으로 예산 체크

8. 변경에 저항 (필요 시 변경관리 절차 사용하나, 유연하게 대응)

9. 문제를 숨기지 말라

10. 오늘 문제는 오늘 해결, 내일은 더 커진다.

    specialty_img

-2011 지식정보보안 시니어컨설턴트 과정 [프로젝트 관리] 중에서 –

ROE란

원문참조: http://trigger.tistory.com/64

1. ROE의 의미

ROE(Return On Equity)란 자기자본 수익률이다. 순이익을 당해년도 평균자기자본으로 나눈 값을 말하며 주주들의 투자수익률을 측정하는 대표적인 지표의 역할을 한다.
일반적으로는 ROE는 장기저축예금의 금리 이상은 되어야 한다. ROE가 은행의 금리보다 낮으면 경영자가 충분한 사업실적을 달성하지 못했다는 것을 의미한다.
그런데 순이익이 줄더라도 배당금을 지급하는 등의 방법으로 자기자본을 줄여서 ROE를 높일 수 있기 때문에, 총자산 순이익률(ROA)도 함께 살펴볼 필요가 있다.

            □ 자기자본(=주주자본) = 납입자본 + 누적이익잉여금

2. ROE의 구조적 분석

1) ROA

  = 당기순이익/평균총자산
  = 당기순이익률 * 자산회전율
  = (당기순이익/매출액) * (매출액/총자산)

총자산 순이익률,ROA(Return On Assets)는 기업의 전재산인 자산을 투입하여 순이익을 얼마나 획득했는지를 측정하는 지표이다. "당기순이익/자산*100"으로 구한다. ROE와 마찬가지로 판매마진을 높이거나 각종 자산의 회전율을 높여야만 ROA를 끌어올릴 수 있다. 왜냐하면 총자산 순이익률은 "순이익률(순이익/매출액) * 총자산 회전률(매출액/자산)"으로 분해할 수 있다. 즉 총자산 순이익률을 증가시키려면 순이익률을 높이거나 총자산 회전율을 늘려야만 한다. 만일 순이익률은 높으나 자산 회전률이 낮으면 판매마진은 높았으나 판매활동이 부진했음을 의미한다. 반대의 경우라면 판매마진은 낮았으나 영업활동이 활발하게 이루어졌음을 뜻하게 된다. 고객의 예탁금이 자산의 대부분을 차지하게 되는 금융업종에서는, ROE로는 전체 경영성과를 측정하기 어렵기 때문에, ROA를 대표적인 성과지표로써 활용하고 있다. 워렌 버핏은 우수한 금융업종 기업이라면 1% 이상의 ROA를 달성해야 한다고 주장한 바 있다.

  2) ROE

  = ROA * 재무레버리지(A/E)
  = 당기순이익률 * 자산회전율 * 재무레버리지
  = 당기순이익률 * 자본회전율     

             □ 자산회전율: 자산의 효율적 활용여부 를 나타내는 지표   = 매출액/자산

             □ 자본회전율: 주주자본의 효율적 활용여부 를 나타내는 지표 =매출액/자본

             □ 재무레버리지: 자기자본이 총자산에서 차지하고 있는 정도
                                     즉 자기자본과 타인자본의 비율로서 타인자본을 얼마나 지렛대 
                                     로 활용하는가? 를 나타내는 지표

   상기의 수식에서 보듯이 ROE가 증가한다는 것은

   ▷ 순이익이 증가한다
   ▷ 매출이 증가한다
   ▷ 자산이 증가하는 만큼 혹은 그 이상 매출과 순이익 증가하여야 한다
   ▷ 자기자본이 증가하는 것 만큼 혹은 그 이상 매출과 순이익 증가하여야 한다
   ▷ 타인자본을 활용하여 매출액이 늘어나는 정의 레버리지가 나타난다면,
       ROE도 높아진다

3. ROE의 유용성

ROE는 기업이 내재가치를 분석하는 데 유용할 뿐만 아니라 주가와 기업의 가치가 적정한 지를 평가하는 데 중요한 역할을 한다. 즉 ROE는 기업이 경제적 해자를 구책했는 지를 보여주는 ‘리트머스 시험지’와 같은 것이다.

더 정확하게 표현하자면 자기자본에 비해 높은 이익을 올리는 기업만이 주주의 입장에서는 장기적으로 성장을 가능성이 높다는 이야기이다. ROE가 주주의 입장에서 기업의 성장성과 수익성을 평가하는 데 단순한 이익의 성장율이나 매출성장율을 평가하는 것보다 더 중요한 척도가 되는 것이다.(회계상의 이익은 분식으로 인해 왜곡이 가능하며 따라서 이익성장율과 같은 단순한 개별지표를 평가하는 것보다 모든 지표가 혼합되어 있는 ROE를 구조적으로 이해하고 평가하면 그 왜곡을 줄일 수 있다는 말이다)

투자자들은 상기의 수식과 도해에서 보듯이 ROE가 높은 기업을 선정해서 투자해야 한다. ROE가 높은 기업은 순이익성장률이 높고 매출액성장률이 높으면서도, 꾸준히 자기자본 즉 해당 기업의 순자산가치가 증가한다는 것을 말하는 것으로 장부가치가 올라가면서 주주이익도 증가한다는 것을 의미한다

ROE가 증가한다는 것은 투자자의 가치/가격지표인 PER와 PBR의 진정성과 순도를 확인할 수 있으며 해당 기업의 주가가 올라가는 비율만큼 주가대수익비율과 주가대순자산비율도 거의 같은 비율로 증가한다는 의미로서 해당 기업의 성장성과 수익성의 예측가능성과 정확성이 증가한다는 의미와 같다

4. ROE 평가 시 몇 가지 고려사항(ROE의 왜곡)

  1) 과다한 재무레버리지를 활용하는 지 살펴봐야 한다.

ROE가 높은 기업중에서도 이자부부채인 차입금의 비중이 적은 기업일수록 ROE의 순도가 높아진다. 따라서 투자자의 입장에서는 훨씬 투자가치가 높다. 재무레버리지를 활용하여 수익을 증가시킴으로써 ROE의 분자값인 당기순이익을 왜곡시킬 수 있는 과다한 재무레버리지는 주주의 입장에서는 수익률의 순도가 떨어진다. 물론 레버리지를 활용하여 차입금조달비용을 상회하는 이익을 달성한다면 나쁠 건 없지만, 기업이 항상 타인자본조달 비용을 상회하는 수익률을 달성할 수는 없다. 또한 과다한 재무레버리지 활용은 기업에 불황이 닥쳐 실적이 좋지 않으면 차입금의 이자비용이라는 고정비의 증가로 인해 유동성 위기를 겪을 수 있다.

   2) 자사주를 매입/소각하고 있는 지, 배당성향을 높이고 있는 지 살펴봐야 한다

기업은 순이익으로 재투자를 할 것인 지 내부유보를 할 것인 지 결정을 한다. 재투자나 자본지출을 제외하고 남은 내부유보한 돈은 주주에게 환원하기 위해서 배당이나 자사주 매입/소각을 하고, 남은 최종적인 돈은 이익 잉여금의 증가와 함께 주주자본인 자기자본을 증가시킨다.

여기서 주의해야 할 점은 ROE값을 의도적으로 유지하기 위해 배당성향을 전에 없이 대폭 증가시킨다든지, 자사주를 대폭 매입한다든 지를 살펴야 한다. 성장이 정체되어 있거나 새로운 성장엔진을 확보하지 못한 기업의 경우 감소할 ROE를 감안하여, 자기자본 증가에 기여할 이익잉여금을 줄이기 위해 남아도는 내부유보금을 대폭적으로 주주환원정책으로 사용하여 ROE값을 의도적으로 왜곡할 가능성도 있다. 이 경우에는 주주의 입장에서는 무조건 좋을 수만은 없을 것 같다. 여기에 배당의 함정이 있다. 양날의 칼과 같이 밝은 곳과 어두운 곳이 있기 마련이다.

   3) 일회성이익의 증가에 의해 ROE가 증가하는 지도 살펴야 한다.

기업은 부동산/유가증권 매각이익 및 대손충당금 환입이나, 모회사에서의 분사 등에 의해서(자기자본이 줄어듬) 등의 일회성이익이나 구조조정으로 인해 ROE가 큰 폭으로 증가할 수 있으므로 경상이익의 세부항목을 꼼꼼히 살펴볼 필요가 있다.

4) ROE가 꾸준한 지 변동폭이 큰 지 살펴야 한다

지극히 당연하게 ROE가 꾸준한 기업이 좋다. ROE는 5년 이상 10~25%를 꾸준한 수치로 유지하는 기업이 좋다. ROE가 한 해는 좋았다가 두 해는 나쁘고 변동폭이 큰 기업은 일시적인 호황의 부산물이거나 경기순환적인 기업일 가능성이 크다. ROE가 일시적 호황으로 인해 큰 폭으로 증가하는 경우에는 수익극대화를 위한 효과적인 모멘텀 플레이는 가능하다. 기업의 현재가치가 미래 현금흐름의 할인값이라는 고리타분한 DCF 가치평가방식을 사용한다 하더라도 ROE의 꾸준함은 투자자에게 가장 중요한 판단요소라고 할 수 있는 해당 기업의 장기 이익과 미래현금흐름에 대한 예측 가능성과 정확성을 높여주기 때문이다