접근통제, 개인정보 암호화 적용 등 필수

[컴퓨터월드] 지난해 발생했던 카드사 고객정보 유출을 비롯해 크고 작은 개인정보 유출사고가 끊임없이 발생하고 있다. 단순히 개인정보가 유출되는 것도 문제지만, 유출된 정보들을 악용한 보이스 피싱과 같은 2차적인 금융사기 등이 발생하는 것이 더 큰 문제다.

이에 정부는 지난해 개인정보보호법 개정안과 정보통신망법 개정 등을 통해 기업 및 기관에서 개인정보를 안전하게 관리할 것을 주문했으며, 무엇보다 보호 수위를 높이기 위해 위반자에 대한 처벌 규정 또한 강화했다. 적법하게 수집된 주민등록번호라도 안전하게 관리하지 못해 유출됐을 경우 최대 5억 원까지 과징금이 부과될 수 있다.

그렇다면 어떻게 하는 것이 안전하게 개인정보를 보관하는 것일까? 단지 유출사고만 일어나지 않으면 되는 것인가? 이에 대한 해답을 위해 행정자치부는 지난해 12월 ‘개인정보 안전성 확보조치 기준(행정자치부 고시 제2014-7호)’을 개정했으며, 이를 풀이한 해설서를 개인정보 보호 종합지원 포털을 통해 배포하고 있다. 이를 통해 개인정보를 어떻게 보관해야 하는지 알아본다.


정부, 개인정보 침해 단속 강화

정부가 개인정보 유출방지를 위한 대대적인 단속과 점검에 나섰다. 최근 리조트 회원정보 노출이나 대형마트 개인정보 불법 판매 등으로 인한 개인정보 유출사고가 빈번하게 발생하면서 국민들의 불안감이 커진 만큼, 이를 해소하기 위해 오는 5월 말까지 범정부 부처 합동으로 일제 점검이 시행된다.

이에 따라 행정자치부, 미래창조과학부, 금융위원회, 방송통신위원회, 보건복지부, 교육부, 경찰청 등 개인정보 업무를 주관하는 부처들이 저마다 재발방지 주요대책을 세우고 분야별 실태 관리에 들어간다.

▲ 행정자치부 분야별 개인정보 관리실태 점검 계획

행자부는 금융, 통신, 의료, 교육 등 분야 및 소관부처별 정부합동점검반을 구성하고, 각 부처 소관 분야별로 관련 전문기관과 함께 현장점검을 실시한다. 특히 정부합동점검반 점검 중 형사처벌 사항이 적발될 시 경찰에 고발조치할 예정이다.

또한 5월까지 수탁사를 중심으로 주요 사업장을 집중 점검하고, 개인정보 보호수준이 제고될 때까지 정기적 점검체계를 운영할 계획이다. 정부는 개인정보 유출의 주요원인이 개인정보 처리시스템의 개발단계에서 개인정보보호법에 부합하지 않은 개발오류로 인해 발생한다고 보고 이러한 개발사에 대한 전반적 점검을 추진할 전망이다. 개인정보처리시스템의 개발·구축·운영을 위탁받아 처리하고 있는 국내 6천여 IT전문 수탁사에 대해서도 미래부와 협업해 민간 사전 자율점검을 실시하고, 범용 개인정보 소프트웨어를 대량으로 공급하고 있는 수탁사들을 대상으로 관련 부처 합동 현장점검을 실시할 예정이다.

경찰은 개인정보 불법유출·유통업자 일제단속을 실시, 추적수사를 통해 불법 유통구조를 근절시키고 개인정보 회수활동을 철저히 할 예정이다. 중점 단속 대상은 ▲해킹 등 기술적 수단을 이용한 개인정보 침해행위 ▲불법 유출된 개인정보 거래 행위(DB 해킹, 아이핀 부정 발급 후 매매 등) ▲안전성 확보조치 미이행으로 개인정보를 도난·유출당한 행위 등이다.

금융위원회 역시 금융회사의 개인정보 등에 대한 집중점검을 실시한다. 아울러 금융회사들의 고객정보 관리 실태에 대한 주기적 점검을 시행하고, 분기별로 정보보호 및 IT 보안 실태 테마점검을 실시할 예정이다.

주민번호 등 개인정보 수집·이용 최소화

개인정보보호법 개정안으로 가장 뜨거운 논란을 불러일으켰던 것은 ‘주민번호 수집 법정주의’다. 이는 법령에 구체적인 근거가 있는 경우를 제외하곤 원칙적으로 주민번호의 수집을 금지한다는 것을 골자로 하고 있다.

주민번호는 그 동안 행정서비스를 비롯해 금융, 의료, 복지 등 전 사회에서 개인을 식별하기 위한 기초 자료로 널리 활용돼 왔다. 그러나 이런 주요한 개인 식별정보인 주민번호는 그동안 기관이나 기업들의 관행적인 수집 및 제3자에 대한 무단 제공 등으로 인해 과도하게 오·남용되어 왔고, 관리 부분에 있어서도 취약점이 많아 유출의 우려가 높은 편이었다.

지난 8월부터 시행된 개인정보보호법 개정안은 법령상 근거가 없는 경우에는 대체수단 도입 등을 통해 주민번호를 수집하지 않도록 했으며, 기 보유한 주민번호는 법 시행 2년인 2016년 8월 6일까지 파기하도록 하고 있다. 뿐만 아니라 주민번호 수집을 요구하는 업무절차나 내부규정, 그리고 서식 개선까지 병행해야 한다.

특히 지난해 시행된 개정안에 따르면, 앞으로 주민번호를 안전하게 관리하지 않아 유출된 경우 해당 유출 규모와 피해확산 방지를 위한 후속조치 이행 여부 등을 고려해 최대 5억 원의 과징금이 부과되며, 공공기관이나 민간사업자가 법령 근거 없이 주민번호를 수집한 경우에는 해당 위반 횟수와 그 동기 및 결과 등을 고려해 최대 3천만 원의 과태료가 부과된다.

접근통제·암호화 등 필수

그렇다면 개인정보 안전성을 확보하기 위해서는 어떠한 조치들을 취해야 할까. 이를 위해 행정안전부는 지난 2011년 ‘개인정보 안전성 확보조치 기준(이하 기준)’을 고시했으며(제2011-43호), 최근 변화된 환경에 맞춰 지난 2014년 다시 한 번 개정됨으로써(제2014-7호) 현재의 모습을 띄게 됐다.

이 기준은 모든 개인정보처리자를 대상으로 적용된다. 따라서 업무를 목적으로 개인정보를 처리하는 모든 공공기관, 법인, 단체 및 개인 등은 이 기준을 준수해 개인정보의 안전성 확보에 필요한 조치를 이행해야 한다.

개인정보처리자란?
개인정보보호법 제2조에서는 업무를 목적으로 개인정보 파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등으로 정의하고 있다. 개인정보보호법은 개인정보 보호를 위한 일반법이므로, 개인정보를 수집, 이용, 제공 등 처리하는 모든 자에 적용될 수 있도록 ‘공공기관’, ‘영리 목적의 민간분야 사업자’, ‘협회·동창회’ 등 비영리기관 및 단체를 모두 포괄하도록 개인정보처리자를 정의하고 있다. 사적인 영역에서의 개인정보 처리는 배제하기 위해 판례상 확립된 ‘업무상 목적’으로 ‘개인정보 파일을 운용하기 위해’ 개인정보를 처리하는 자로 한정한다.

기준은 내부관리계획 수립과 개인정보 보호 책임자 지정, 접근권한 관리 등 내부 시스템적인 부분과 더불어 접근통제 시스템 설치 운영, 개인정보 암호화, 악성 프로그램 방지를 위한 보안 프로그램 이용 등 기술적인 부분들을 함께 명시하고 있다. 즉, 개인정보의 안전성을 위해서는 이러한 조치들이 모두 필요하다는 것을 의미한다.

이 중 접근통제의 목적은 정보통신망을 통해 개인정보처리시스템에 대한 인가되지 않은 불법적인 접근을 차단하는 것이다. 정보통신망, 인터넷 홈페이지, 업무용 컴퓨터나 모바일 단말 등 개인정보를 처리하는 각 요소에서 적절한 접근통제 정책의 구현을 통해 불법적인 접근이 적절히 차단돼야 한다. 이를 위해 정보통신망에서 IP 주소를 통한 비인가자의 접근 제한, 가상사설망(VPN) 등을 이용한 안전한 접속, 인터넷 홈페이지의 취약점 점검, 업무용 컴퓨터 또는 모바일 기기의 보호조치 등의 접근통제 조치가 필요하다고 밝히고 있다.

▲ 가상사설망(VPN) 및 전용선 구성 예시(출처: 개인정보 안전성 확보조치 기준 해설서)

또한 비밀번호, 바이오정보, 주민번호와 같은 주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트워크를 통해 전송될 경우 노출 및 위·변조 등의 위험이 있으므로 안전한 보호조치를 위해 반드시 암호화를 할 것을 명시하고 있다.

뿐만 아니라 개인정보처리자는 악성 프로그램 방지 및 치료를 위해 백신 SW 등 보안 프로그램을 설치·운영해야 한다. 자동 업데이트 기능을 이용하거나 일 1회 이상 업데이트 실시를 해야 하며, 악성 프로그램 관련 경보 발생 또는 사용 중인 응용프로그램이나 운영체제 SW 제작업체에서 보안 업데이트 공지가 있을 경우 반드시 이에 따른 업데이트도 실시해야 한다.

모바일 기기, 무선망 등에 대한 보호조치 의무 강화

개정된 기준에서 눈에 띄는 것은 단연 모바일 기기와 무선망에 대한 보호조치 의무 강화다. 기준 제2호를 통해 모바일 기기와 공개된 무선망에 대한 정의를 하고 있으며, 제5조 및 제6조에서 모바일 기기로 개인정보의 처리·관리 시 접근통제 및 암호화 등의 기능을 적용할 것을 명시하고 있다.

이는 최근 많은 업무들이 노트북, 태블릿PC, 스마트폰 등을 이용해 이뤄지고 있는 것을 고려한 것으로, 접근통제와 암호화 등으로 개인정보를 보호할 수 있도록 하기 위한 기준을 마련한 것이다. 이에 따라 조직은 개인정보 보호를 위해 모바일 기기와 무선망 등에 대한 점검을 실시하고, 부족할 시 보완 조치 등을 취해야 한다.

개인정보처리자는 공개된 무선망을 이용해 개인정보를 처리하는 경우 취급 중인 개인정보가 신뢰되지 않은 무선접속장치(AP), 무선 전송 구간 및 무선접속장치(AP)의 취약점 등에 의해 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터 및 모바일 기기 등에 조치를 해야 한다.

예를 들면 모바일 기기나 노트북에서 개인정보처리시스템에 개인정보 전송 시, 전송 암호화 기능이 탑재된 별도의 앱(App)이나 프로그램을 설치하고 이를 이용하여 전송해야 한다. 또한 개인정보가 포함된 파일 송·수신 시 파일을 암호화 한 후 진행하고, 공개된 무선망을 이용할 때도 WPA2 보안 프로토콜을 사용하는 공개된 무선망을 이용하는 것이 좋다.

암호화 수요, 다시 한 번 불까?

기준에 따르면 암호화의 대상은 주민번호, 여권번호, 운전면허번호, 외국인등록번호 등 개인 고유식별정보를 포함해 비밀번호와 바이오정보 등이다. 또한 개인정보처리자는 정보통신망을 통해 내·외부로 이들을 송·수신할 경우 암호화 처리를 해야 한다. 다만 내부망에서 송·수신되는 고유식별정보는 업무상 필요할 경우 암호화 대상에서 제외할 순 있지만, 비밀번호와 바이오정보는 반드시 암호화해야 하며, 전용선을 이용해 개인정보를 송·수신할 경우 암호화가 필수는 아니나 내부자에 의한 개인정보 유출 등에 대비해서 가급적 암호화 전송을 권장하고 있다.

▲ 암호화 적용 기준 요약표(출처: 개인정보 안전성 확보조치 기준 해설서)

위험도 분석이란?
개인정보처리시스템에 적용되고 있는 개인정보 보호를 위한 수단과 유출 시 정보주체의 권리를 해할 가능성과 그 위험의 정도를 분석하는 행위를 말한다. 세부적으로 위험도 분석은 개인정보 유출에 영향을 미칠 수 있는 다양한 위협에 대한 시스템 취약점과 이로 인해서 예상되는 손실을 분석해 위험요소를 식별, 평가하고, 그러한 위험요소를 적절하게 통제할 수 있는 수단을 체계적으로 구현하고 운영하는 전반적인 행위 및 절차로서 위험관리의 일부분이다.

암호화 부분에서 등장하는 또 다른 이슈는 개인정보 영향평가 및 위험도 분석이다. 기준은 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우 개인정보 영향평가 및 위험도 분석 결과에 따라 암호화 적용 여부와 범위를 정해서 시행할 수 있다고 명시하고 있다. 다만 주민등록번호에 대해서는 개인정보보호법에 따라 2016년 1월 1일부터 내부망에 저장 시에도 개인정보 영향평가나 위험도 분석에 상관없이 암호화를 해야 한다.

이에 따라 다시 한 번 암호화에 대한 수요가 늘어날 것이라는 전망도 있다. 지난 2012년 처음 개인정보보호법이 시행된 이후 암호화 사업은 성수기를 맞았지만 이제는 그것도 거의 끝나가는 모양새였기 때문이다.

업계에서는 이미 공공기관들의 암호화 적용은 대부분 완료됐기 때문에 많은 사업들이 나올 것으로 보고 있진 않다. 하지만 금융과 의료, 그리고 일반 제조기업 부문에서 점차 수요가 발생하고 있는 것으로 보고 있다.

현재 기준을 충족시키기 위해 접근제어와 DB암호화가 동시에 구축되는 것이 이상적이지만, DB암호화의 접근 통제 기능이 무력화된다는 점을 우려해 한 가지 솔루션만 도입하는 경우가 많다. 그러나 코마스는 이러한 문제점이 없는 신시웨이의 DB접근제어 솔루션 ‘페트라’와 DB암호화 솔루션 ‘페트라 사이퍼’를 공급하면서 시장의 요구에 부응하고 있다. DB암호화 솔루션인 페트라 사이퍼와 DB접근제어 솔루션인 페트라는 서로 연동이 가능하기 때문에, DB암호화에 접근제어 기술을 적용한 강화된 통제 기능을 제공한다.

비록 내년까지 유예기간이 남아있다 하더라도 개인정보를 안전하게 보호하는 것에는 시간 순서를 따질 이유는 없다. 의무 시행이 되기를 기다리기보다 앞서 시행함으로써, 안전성을 확보와 기업 이미지 제고 등을 노리는 것도 충분히 좋은 방법이 될 것이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지