2011년 9월30일 개인정보보호법이 시행이 되었고, 개인정보 안전성 확보조치 기준이 고시되어 그동안 시행이 되어 왔다. 최근 개정 개인정보의 안전성 확보 조치기준 고시안이 공개되었는데 어떻게 개정이 되었는지 미리 살펴 보기로 하자.  -편집자 주




기존 개인정보의 안전성 확보조치 기준

[시행 2011.9.30] [행정안전부고시 제2011-43호, 2011.9.30, 제정]



                                           개인정보의 안전성 확보조치 기준.pdf









개정되는 개인정보의 안전성확보조치 기준 고시(안)에 대한 내용을 안행부 홈페이지에 공개된 문서를 기준으로 살펴보고 그 의미를 짚어 보기로 하자. 



개정(안)  개인정보의 안전성확보조치 기준 고시안 



                                  개인정보의_안전성_확보조치_기준_고시_개정(안).hwp




1. 주요내용 : 안전행정부 홈페이지에 공개한 내용을 참조 해 보자.



「개인정보의 안전성 확보조치 기준(고시)」 개정(안) 행정예고


1. 개정이유

   주민번호 처리 제한, 스마트기기로의 업무 환경 변화와 신규 위협에 대한 보호조치를 개인정보의 안전성 확보조치 기준에 반영·개정하여 고시하고자 함


2. 주요내용

  ○ 보안이 미흡한 모바일 단말기 및 통신망에 대한 보호조치
    - 비인가 된 App의 설치·운영에 대한 기술·관리적 통제(안 제5조)
    - 공용 WiFi 및 비암호화 등 보안설정이 미흡한 네트워크 접속 제한(안 제5조)

  ○ 카드사 개인정보 유출사고 등 최신 보안위협 대비 보호조치
    - 주민번호 처리 관련 이중 인증절차 및 웹취약점 점검 의무화(안 제5조)
    - 개인정보 처리 접속기록 및 위탁에 대한 관리·감독 강화(안 제7조)
    - 개인정보 파기 방법 등의 세부 규정 마련을 통한 기준의 현실화    (안 제10조) 


출처: http://www.mospa.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000017&nttId=42558

 



2. 기존 고시안에서 달라진 사항 [각주:1]


2.1  제2조 용어의 정의 부분 






개정(안):  P2P, 공유설정등의 용어가 삭제되고, 최신 트렌드를 반영한 "모바일 기기"의 용어가 추가 되었다. 




엔시스생각: 모바일이 대중화 되고, 모바일 디바이스기기로 인한 보안의 위협과 개인정보 유,노출의 위협을 반영하기 위한 조치라 생각이 든다.



▲ 시대적 트렌드를 반영한 '모바일기기' 고시안에 반영조치





2.2  제3조 (내부관리계획의 수립.시행)


현장을 둘러보면 내부관리계획 수립이 제대로 수립되지 않는 곳이 많다. 그리고 인터넷에 공개되어 있는 샘플을 그대로 사용하고 개인정보처리자명에만 해당 기관이나 기업체명으로 수정하여 사용하고 있는 경우가 대부분이었다. 그것은 말 그대로 샘플일 뿐이며 중요한 것은 내부관리계획 수립을 조직이나 기관에 맞게 제대로 구체적으로 적용을 해야 한다. 그 사항은 고시기준에 명시 되어 있다. 





이번 개정(안)에는 ' 5. 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항'이 추가되었다. 



엔시스생각:  법률에서 위탁자가 업무를 위탁했을때 수탁자는 위탁자의 소속직원으로 본다 (법 제26조3항6호)는 규정이 있다. 하지만 개인정보의 안전성을 도모하기 위해서는 구체적인 고시기준에 '수탁자에 대한 관리감독을 강화' 하려는 의도가 엿보인다. 즉, 수탁자에 대한 관리감독을 내부관리계획에 수립을 하여 보다 적극적이고 구체적으로 명시한 부분으로 생각된다.



▲  내부관리계획을 구체성과 수탁자 관리 감독에 대한 강화. 





2.4  제4조 (접근권한관리)





개정(안): 기존 고시 제5조에 '비밀번호관리' 부분을 삭제처리하고 개정(안)에는 제4조의 세부 항목으로 배치 시켰네요..


엔시스생각: 비밀번호에 대한 관리를 조항보다는 접근권한관리의 세부 항목으로 배치 하였군요. 비밀번호의 중요성이 낮아졌다라기 보다는 고시의 각 조항별 깊이(depth)을 조절 하기 위한 조치로 보여진다.


▲ 비밀번호에 대한 고시 조문 정리, 항목으로 배치





2.5 제5조 (접근통제)


용어의 정의에서 '모바일'이 포함된 만큼 다양한 모바일 위협에 대한 대응솔루션과 조치 사항이 다루어질 것으로 예상이 된다.


개정(안):  4항에 '모바일기기'가 추가로 포함이 되었으며, 5항,6항,7항이 추가 되었다. 





 엔시스생각: 7항으로 모바일 MDM 마켓의 수요가 커질 것으로 예상이 된다. 또한 모의해킹 및 취약성 점검이 연 1회 이상 의무화 되었다. 기존에 '정보통신기반시설'에 대한 취약성 점검은 반드시 해야 하지만 이제는 개인정보 안전성 확보조치를 위해서도 취약성 점검을 해야 한다.  모의해킹에 관심 있는 사람들은 많은 실력을 키워 놓으면 좋겠다.  보안도 어쩔수 없이 시대적 흐름으로 가야 하고, 제도도 시대적 흐름을 반영하는 것이 맞다라고 본다.


▲ MDM 마켓 확대, 모의해킹 및 취약성 점검 수요증가




2.6  제6조 (개인정보의 암호화)


개정(안): 8항에 '모바일기기'가 추가 된 사항외에는 변동 사항이 없다. 




엔시스생각: 암호화에 대한 부분은 개인정보보호에서 가장 뜨거운 이슈중에 하나이다. 그러나 이번 고시안에서는 8항에 모바일 기기에 대한 용어만 추가 되었을뿐 수정된 사항이 없다. 최근 '주민번호 암호 의무화' 에 대한 법률이 개정되기도 하였다.  하지만 시행일이 2016.1.1로 명시하고 있어 고시안을 그대로 둔 것으로 사료 된다.  


제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우

개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.  <신설 2014.3.24. >

③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.  <개정 2014.3.24. >

④ 안전행정부장관은 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련·지원할 수 있다.  <개정 2014.3.24. >

[본조신설 2013.8.6. ]
[시행일 : 2016.1.1] 제24조의2




법 개정에 대한 취지 : 기존 고시안에 보면 내부정보나 위험도 분석을 통하여 주민번호 암호화 조치에 대한 사항이 의무적이 아니었다. 즉, 내부정보나 위험도 분석 26개를 충족하면 암호화 조치를 하지 않아도 되었다는 것이다. 그러다 보니 이를 암호화를 하지 않아도 되는 합리성 추구의 도구로 이용되었다. 그럼에도 불구하고 유출되면 암호화 조치도 되지 않아 더 큰 피해를 가져 오기 때문에 고시 수준의 암호화 조치사항을 상위법인 법률에 의무화로 법률 개정이 된 것이다.


엔시스생각:  (2016.1.1)까지 유예기간으로 준 것으로 생각된다. 하지만 암호화 하지 않아도 된다는 것으로 오해해서는 안된다. 주민번호 암호화 구축은 많은 기간과 예산이 투입이 되는 것이라 미리미리 대비하기 위한 기간으로 2016.1.1로 두었지 지금 당장 암호화 조치를 하지 않아도 규정에 없으니 책임을 면한다는 의미는 아

니라는 것이다.  마켓에서는 암호화 시장이 더욱 확대될 전망이다. 


▲ 고시수준이 아닌 법에 의한 주민번호 암호화 의무화 조치




2.7 제7조 (접속기록의 보관 및 점검)


개정(안) :개인정보처리자는 개인정보의 유출.변조.훼손 등에 대응하기 위하여 개인정보처리 시스템의 접속기록등을 반기별로 1회 이상 점검하여야 한다.






엔시스 생각: 2항이 추가된 것도 접속 기록을 그냥 6개월 이상 보관만 하고 있는 것이 아닌 반기별로 로그기록을 정기적으로 점검하게끔 구체화 하였다고 본다. 개인정보 담당자나 로그시스템 관리자는 조금더 일이 많아 진다고 본다.


▲ 로그기록을 보관만 하지 말고, 정기적으로 점검 하라.




2.8 제8조 (악성프로그램 등 방지)


개정(안): 개인정보처리자는 키보드,화면,메모리 탈취등 신종,변종을 포함한 악성프로그램 방지를 위한 조치를 해야 한다고 명시하고 있다. 






엔시스생각: 최근 해킹기술의 고도화 됨에 따라 피싱,파밍,메모리해킹등에 따른 조치를 하도록 최근 해킹 기술을 반영토록한 조치이다. 또한 악성코드를 제거하기 위한 최신 백신을 설치만 하는 것이 아닌 엔진을 업데이트 하여 최신의 상태로 유지하도록 구체적으로 제시하고 있다. 틈새시장이 생길 수도 있겠다는 생각이 든다. 


▲  기존 백신과 운영체제 업데이트만 가지고 악성프로그램을 방지 할 수 없다. 키로거,화면캡쳐, 메모리해킹 등 신종 보안위협으로부터 보호조치 하라.




2.9 제9조 (물리적 접근 방지)


개정(안): 기존 보조저장매체에 대한 저장만 물리적으로 강조한 반면에 개정안에서는 반출입에 대한 통제 대책을 마련해야 한다.





엔시스생각: 보조저장 매체에 대한 반출입 통제가 잘 이루어져야 한다. 여러가지 모바일 기기의 저장기능이라든지, 휴대용저장 매체등 반출입시에 물리적 통제가 철저히 이루어져야 한다.


▲  보조저장장치의 저장 기능 대량화, 반출입 통제 시스템 강화



2.10  제10조 (개인정보의 파기)


개정(안): 기존에 없던 개인정보의 파기 부분이 고시에 추가 됨으로써 파기에 대한 법적근거 기준을 가지게 되었다. 단순히 파기하라고 했던 권고사항과는 달리 이제는 파기에 대한 중요성이 더 부각되었다고 보면 되겠다.


엔시스생각: 보통 수집동의에 대한 부분은 그래도 최근 들어 신경을 많이 쓰는 편이지만 파기에 대한 것은 의외로 함부로 버릴수 있는 사항이 아니다보니 제대로 규정대로 실천 되지 않는 측면이 많다. 이미 파기 했어야 하는 문서나 저장장치를 그대로 보관하거나 그 보유기간을 무조건 길게 잡는 것도 바람직 하지 못하다. 법에서는 목적달성하면 즉시 파기하라고 되어 있지만 과연 즉시 파기하는 곳은 몇곳이나 될지 의문이다. 파기에 대한 구체적인 기준이 조직내에 마련이 되어야 한다.



3. 결론 : (개인정보의 안전성 확보조치 기준 고시(안)을 보면서


카드사 개인정보 유출로 인하여 개인정보의 중요성을 더욱 부각이 되었고, 그 이후에도 반복적으로 개인정보유출 사건사고가 일어나고 있다. 모두 완벽하게 유,노출에 안전하게 하면 좋겠지만 최소한 법의 테두리 안에서 법이 추구하고자 하는 부분을 지켜야 할 것이다. 내용을 살펴보면 다음 두가지 관점에서 결론을 개인적으로 내려 보고자 한다.


개인정보처리자입장: 해야 할 일이 점검 늘어난다. 주어진 업무외에 개인정보처리 업무를 하는 경우가 대부분이고 , 관리부서와 기술부서가 각각 나누어 업무를 처리하는 곳도 많다보니 역할과 책임등 업무가 일관성 있게 추진되지 못하는 경향이 있다. 또한 담당자 개인에게 모든 짐을 지우기에는 너무 크다. 처우개선이나 인력의 추가지원, 개인정보 컴플라이언스 준수를 위한 예산확보가 시급해 보인다. 또한 의사결정자의 인식개선도 필요해 보인다.  이러한 근본적 해결이 없고서는 규정만 강화 한다고 해서 반복적인 개인정보 유출이 감소되리라 생각하지 않는다. 하지만 반대로 최소한의 지켜야 할 법준수는 해야 할 것이다. 


정보주체의 입장: 개인정보보호법에서 개인정보자기결정권 및 정보주체로서 권리를 보장한 만큼 앞으로 개인정보에 대한 이해관계와 민원은 점점 증가하리라 생각이 든다. 또한 기존 관행으로 이루어진 개인정보 제공이나 공개등에도 제한이 있을수 밖에 없어 불편함이 예상이 된다. 따라서 자연스럽게 정보주체의 개인정보보호를 한다는 취지에서 일부 불편함을 감수 할 수 있어야 자신의 권리도 보장 받고 지킬 수 있을 것이다. 다만 우려되는 것은 법을 악용하여 '진상'소리를 들으면 안된다.  이상 끝.


*정리하는데만 약 2시간 넘게 시간이 걸렸네요. 이렇게 한번 정리해 봄으로써 기억하기 쉽고, 여러가지 이슈에 대하여 다시 한번 대응할 수 있는 방법론을 도출해 낼 수 있습니다. 개인정보에 관심 있는 분들에게 도움이 되었으면 좋겠네요.




  1. 기존 고시와 개정된 내용은 캡쳐하여 구분하였음 [본문으로]
신고
Posted by 엔시스