보안문화 정착을 위한 국가, 기업, 개인의 대응방안

 

                                                                                                            

                                                                                                          전주현(경성대학교 컴공과 외래교수)

                                                                                                             (ISMS/PIMS/PIPL인증심사원/PIA)

                                                                                                                                  (보안인닷컴 대표)

 







2014년도 1월 카드 3사 개인정보유출로 올해 보안이 최대 화두로 떠 올랐다. 금융개인정보가 유출되었기 때문에 언제든지 자신의 통장에서 돈이 빠져 나갈수 있다는 불안감 때문에 국민들이 관심을 가지게 된 것이다. 비단 이는 개인에 국한되는 이야기가 아니다. 사이버 위협은 국가와 국가의 사이버전으로 발전하고 있다.

 

군사전문 매체인 디펜스뉴스가 최근 미정부와 의회, 방위산업체 내 국방 전문가 352명을 대상으로 처음 실시한 ‘미국의 위협인식’ 설문조사에서 미국과 그 국익에 가장 심각한 위협으로는 전체 응답자의 45.1%가 사이버전을 꼽았다. 이어 테러(26.3%), 중국(14.3%), 이란(7.9%), 기후변화(5.8%), 북한(0.7%) 순으로 나타났다. 미국은 위협은 사이버전이 북한보다더 큰 위협으로 인식하고 있다.

 

특히 세계 유일의 분단 국가인 대한민국은 사이버전과 위협에 대응해야 한다. 이에 국가, 기업, 개인의 3가지 측면에서 대응방안을 제시해 보고자 한다.

 

첫째, 국가는 사이버 안보 강화를 위한 최정예 인력양성에 힘써야 한다. 군 사이버 사령부가 2010년1월1일 창설이 되었으나 현재 200여명에 불과하여 아직도 갈길이 멀다. 미국의 사이버전 인력 규모는 8만여 명이며 전문 핵심 인력은 900여 명으로 알려졌다. 올해 사이버방호부대를 창설한 일본의 사이버전 인력 규모는 90여 명이다. 특히 북한은 최근 사이버전 인력을 2배가량 늘여 6000명으로 정찰총국 아래 해커부대를 운영하고 있으며 이 부대에는 전문 해커만 1200여 명이 활동하고 있으며 이 가운데 상당수는 중국 등 제3국에 국외거점을 구축해 비밀리에 사이버전을 수행 중이라는 관측이다.[각주:1]

 

둘째, 기업은 보안문화 정착에 심혈을 기울여야 한다. 작년 3.20 사이버대란을 기억하고 있을 것이다. 금융시스템과 업무용PC, 그리고 일부 방송시스템에 장애를 일으킨 사건이다. 해커조직의 실체가 북한 정찰총국으로 드러나 사실상 충격과 불안을 가져오게 하였다. 어쩌면 사이버전에 한걸음 더 다가온 경험을 한 것이다. 특히 국가기간 시설망이나 금융기관은 그 피해가 상당하기 때문에 기업과 기관내 보안교육이나 인식강화에 더 노력을 기울여야 한다. 특히 경영진이나 의사결정자의 보안을 바라보는 시각을 전환해야 한다. 보안을 투자가 아닌 비용으로 인식하는 한 조직내 보안문화 정착은 요원하기만하다. 피해로 인한 사회적 비용이 더 큰만큼 보안에 대한 투자는 경영자가 살펴봐야할 필수 덕목이 되었다.

 

셋째, 개인은 똑똑한 정보소비자가 되어야 한다. 발제자께서 말씀하셨듯이 1대9대90의 법칙처럼 잘못된 정보를 가지고 반복된 인지와 학습을 통하여 여론을 조작하고 계층간 분열을 심화 시킬 수 있다. 특히 스마트폰의 보급과 SNS 영향으로 빠른 전파력을 가져 올 수 있어 더 위험하다. 사이버상에 난무하는정보가운데 올바른 정보 습득이 중요하다.

 

분단된 나라에서 물리적인 충돌보다는 사이버상에 여러 가지 위협을 통하여 또 다른 전쟁이 다가올 가능성이 있다. 대부분 국가정책은 인력 양성에만 그치고 사후관리가 소홀하여 반복된 예산만 낭비되는 경우가 많았다. 최정예 인력을 양성하였다면 사이버전에 지속적이고 안정적으로 임할 수 있도록 처우와 보상체계가 뒤따라 주어야 한다. 앞으로 더 나아질 것이라 예상된다. 기업은 일정비율 보안전문가를 고용해야 한다. 또한, 기업이 보안분야 일자리 창출을 만들어야 한다. 필자는 1인 1기업 보안전문가 양성을 주장한바도 있다. 보안업체가 모두 수도권 중심이고 영세하다보니 악순환이 반복된다. 특히 부산지역만 하더라도 보안관련 업체는 찾아 보기 힘들정도로 열악한 수준이다. 최근 개인정보 유출 피해로 인하여 법으로 규제강화를 하고는 있지만 중소기업이 대부분인 현실에는 법 적용이 쉽지 않다.

 

사이버의 위협으로부터 안전한 국가와 건강한 기업의 보안 문화 정착을 위해서는 국가, 기업, 개인 모두가 노력해야 한다. 사이버 위협으로 이젠 더 이상 반복적인 소 잃고 외양간 고치는 우(愚)를 범해서는 안된다. 감사합니다. 


* 본 포스팅은 [가람뫼미래포럼]에 발제한 내용임을 밝힙니다.



  1. 아시아투데이 2014.07.07 [본문으로]
신고
Posted by 엔시스


개인정보 암호화 대상에 대하여 간략하게 정리 해 보도록 하겠습니다. 자세한 내용은 추후 따로 정리토록 하겠습니다. -주인백




                                                      <source : http://bit.ly/1qRT7dO>



1. 개인정보 암호화 대상



고유식별정보(주민등록번호,운전자면허번호, 외국인등록번호, 여권번호), 비밀번호, 바이오정보 



2. 주민등록번호 암호 의무화 (법적근거: 개인정보보호법 제24조2항)



 개인정보보호법 제24조2항에 따라 “개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실.도난.유출.변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출시 영향 등을 고려하여 대통령령으로 정한다.” <신설 2014.3.24.>라고 되어 있어 주민등록번호 암호화는 의무화 되었다.


※ 안전성 확보조치 고시 기준에서 상위 법률로 규정지어졌다는 측면에서 의미가 깊다. 개정된 개인정보보호법에 따르면 주민등록번호 유출시 '과징금 5억원 이하'로 되어 있어 철저한 대응이 필요하다. 



3. 암호화 기준



1) 전송시 : 고유식별번호, 비밀번호, 바이오정보 - 양방향 암호화

2) 저장시: 

    가. 비밀번호 : 일방향 암호화

    나. 바이오정보: 일방향 암호화

    다. 고유식별정보

          a. 인터넷, DMZ 구간 : 암호화

          b. 내부망 : 영향평가 및 위험도 분석에 따른 암호화 조치 (단, 주민등록번호는 암호 의무화)

※ 주민등록번호에 대해서는 내부망이라 하더라도 기존의 위험도 분석을 통하여 26가지를 충족하면 암호화 조치를 하지 않아도 되었지만 2016.1.1일부터는 주민등록번호는 의무적으로 암호화 해야 함. 



4. 주민등록번호 암호 의무화 시행시기 : 2016.01.01일


※ “일방향 암호화”는 암호를 다시 원문(평문)으로 복구할 수 없는 암호화 방식을 의미함

※ “양방향 암호화”는 암호의 복구가 가능한 방식으로 암호화 과정을 역으로 해독하여 암호를 다시 원문(평문)으로 전환 가능함










신고
Posted by 엔시스

 

사회복지시설 개인정보보호 가이드라인

 

글: 전주현

(경성대 컴공과 외래교수)

(ISMS/PIMS/PIPL 인증심사원)

 

 

개인정보보호법이 제정된지 3년이라는 시간이 지났다. 개인정보보호인식의 필요성은 어느정도 공감대를 형성한듯 하다. 그러나 아직도 현장에는 실무 적용에 있어 미흡한 부분이 있다. 여러기관을 다니면서 개인정보에 대한 교육도 하고 자문도 하다보니 다양한 분야에 개인정보보호를 연구하게 되었다. 그중에서도 저소득계층이나 사회복지를 위하여 애쓰시는 분들을 위하여 개인정보처리 취급자 입장에서 쉽게 가이드 해 보고자 한다. 아래 사항만 숙지해도 개인정보보호 최소한의 준수해야 할 업무는 이루어지리라 생각한다.




                                            <source: http://bit.ly/1yFVBUJ >



 

1. 개인정보의 범위

 

개인정보라 함은 살아있는 개인에 관한 정보로 다른 정보와 결합하여 용이하게 누구인지를 식별할 수 있으면 개인정보라 보고 있다. 사망자에 대한 정보와 법인에 대한 정보는 개인정보가 아니다. 개인정보 취급자가 가장 궁금해 하는 것이 바로 ‘개인정보의 범위’ 이다. 어디까지 개인정보로 규정할 것인지를 잘 모르기 때문이다. 법 조문을 읽는다 해도 쉽게 이해가 되지 않기 때문이다.

 


 

이름과 이메일이 결합되면 현재 유권해석상 개인정보로 보지 않는다. 이유는 이메일만가지고 개인을 특정할 수 없고, 이름도 동명이인이 있을수 있기 때문이다. 두 개 결합한다고 해도 마찬가지이다.

 


2. 개인정보 동의시 필수 고지 사항

 


개인정보보호법 제15조 2항을 보면 다음과 같이 명시하고 있다. ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

 

 

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

※ 법 제15조 2항을 위반할 경우 5000만원 이하의 과태료를 부과한다.

 

 

개인정보 수집의 첫단계이므로 ‘개인정보 활용동의서’를 받으면서 위 4가지 사항만 지키더라도 개인정보보호 의무준수사항에 절반은 지켰다고 본다. 업무에 적용시 꼭 기억하고 실천해야 한다. 현장을 둘러보면 위 4가지 사항은 지키지 않는 경우를 다수 보았다. 사회복지 시설을 이용하는 이용자들의 개인정보를 수집시 준수했는지를 다시한번 상기하면서 점검해 보자.

 

 

3. 개인정보 위탁과 3자 제공

 

개인정보 업무를 처리하다보면 이용측면에서 위탁과 3자제공을 하게 된다. 물론 개인정보 취급자가 업무에 개인정보를 활용하는 것은 기본 사항이다. 핵심은 위탁과 3자 제공시에 개인정보 유출 사고로 자주 발생한다는 것이다. 즉, 우리 사회복지시설에서는 법적 의무준수상을 잘 지켰지만 개인정보 파일이 다른 곳으로 이동되거나 다른 곳에서 조회,열람 하면서 유출 되었을때 누구 책임인지가 중요한 관건이 된다. 그럼 우선 위탁과 3자제공의 차이점부터 살펴보자.

 


 

※ 동의 없는 개인정보 3자제공시 5000만원 이하의 과태료를 부과한다.

 

사회복지시설에서 위탁과 3자 제공시에 업무상 유의점은 다음과 같다.

 

① 3자 제공시에는 제공받는자, 이용목적, 이용항목,보유기간, 거부시 불이익을 고지한다.

② 표준 위탁계약서등을 이용하여 반드시 문서로 처리한다.(책임소재 결정 중요근거)

③ 개인정보 위탁,3자제공 업무시 공문 또는 증적자료를 남긴다.(구두상으로 처리금지)

④ 위탁과 3자제공시에는 반드시 개인정보처리방침에 공개를 해야 한다.

 

4. 개인정보파기

 

개인정보보호법에 개인정보 파기 시점은 목적달성시 즉시파기 한다고 명시하고 있다. 여기서 목적달성시는 법적 근거가 없는 경우, 개인정보 수집시 목적이 달성되었을때 즉시 파기하는 것을 의미한다. 법에 근거한 보관 기간이 있을 경우, 그 기간이 만료하였을때 즉시 파기해야 한다. 파기 할때에는 파기 관리대장에 기록하여 관리를 해야 한다.

 



 

5. 개인정보처리 방침

 

개인정보처리방침은 개인정보를 처리자 입장에서 어떻게 관리하고 있는가를 보여주는 얼굴이라고 보면 된다. 주로 개인정보처리자 홈페이지를 이용한다. 홈페이지 제일 하단에 보면 볼드체로 “개인정보처리방침” 혹은 “개인정보취급방침”이라고 명시하고 있다. 전자는 개인정보보호법상, 후자는 정보통신망법상 적용하는 용어지만 구분에 대한 큰 의미를 두지는 않는 편이다. 망법에서는 개인정보취급방침을 표시하게끔 명시는 하고 있다. 개인정보처리방침에 반드시 명시해야 할 조항은 다음과 같다.

 



★ 개인정보처리방침 필수사항 ★

 

① 개인정보의 처리 목적

② 개인정보의 처리 및 보유 기간

③ 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

④ 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

⑤ 정보주체의 권리·의무 및 그 행사방법에 관한 사항

처리하는 개인정보의 항목

⑥ 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

개인정보의 파기에 관한 사항

⑧ 개인정보 보호책임자에 관한 사항

⑨ 개인정보 처리방침의 변경에 관한 사항

⑩ 개인정보의 안전성 확보조치에 관한 사항

 

 

⑥항에서 대통령령으로 정한 사항에는 영상정보처리기기(CCTV)등도 포함이 되어 있다. 개인정보처리방침에 주의사항은 위에 명시한 10가지를 반드시 수립하고 공개해야 한다. 또한 위탁과 3자제공이 있음에도 불구하고 현황을 몰라 개인정보처리방침에 반영하지 못하는 경우가 있다. 현행화 하는 것이 무엇보다 중요하다. 유출시에 현행화 되어 있지 않으면 모두 위반사항으로 보기 때문이다.

 

개인정보처리방침 수립시 인터넷에 있는 샘플을 찾아 처리자명만 수정하여 그대로 사용하는 경우가 다수인데 사회복지시설에 맞게 적용하여 수립하는 것이 바람직하다. 수립시 어려움이 있으면 공공기관의 경우 주요 광역도시나 정보통신망법 대상자의 경우 주요 포털등의 개인정보취급.처리방침을 참조하면 어느정도 도움이 된다.

 

 

6. 사회복지시설 개인정보 문서보관 체크리스트

 

개인정보보호법에 제정이 되면서 기존에 컴퓨터 파일로 처리되던 개인정보파일이 종이문서까지 확대 적용됨으로써 그 범위가 넓어졌다. 각종 신청서나 서식과 양식에 기록된 개인정보도 법에 적용을 받는다는 사실이다. 사회복지시설 개인정보 문서보관에서 체크해야 할 사항에 대하여 알아보도록 하자.

 

개인정보 문서가 분실․도난․유출․변조 또는 훼손되지 아니하도록 “내부 관리계획”을 수립하고, 안전성 확보에 필요한 기술적․물리적․관리적 보호조치를 하고 있는지 여부

개인정보가 포함된 종이문서를 잠금장치 있는 안전한 장소에 보관하고 있는지 여부

보유기간의 경과, 개인정보의 목적달성 등 개인정보가 불필요하게 되었을 때에 종이문서에 포함된 개인정보를 즉시 파기하고 있는지 여부

개인정보(출력물 포함)는 물리적으로 파쇄하거나 소각하는 등의 방법으로 해당 개인정보를 완전히 파기하고 있는지 여부

개인정보가 포함된 종이문서의 파기에 관한 사항을 기록․관리하고 있는지 여부

개인정보가 포함된 종이문서의 파기개인정보 보호책임자의 책임하에 수행하고 있는지 여부

개인정보 보호책임자가 개인정보가 포함된 종이문서의 파기 결과를 확인하고 있는지 여부

⑧ 개인정보가 포함된 종이문서의 파기를 외부업체에 위탁하여 처리하는 경우, 법적 필수기재사항이 포함된 문서에 의하고 있는지 여부

파기 위탁시 위탁하는 업무의 내용 및 수탁자인터넷 홈페이지에 게재하는 등 공개하고 있는지 여부

⑩ 개인정보가 포함된 종이문서는 세단기등을 이용하여 잘 파기 하는지 여부

<참조: 금융감독원 개인정보보호TF,‘13. 8. 2.>

 

지금까지 사회복지시설에서 업무를 하면서 가장 기본적으로 알아야할 개인정보 업무처리에 대하여 간략하게나마 가이드형태로 알아 보았다. 이는 꼭 사회복지시설에만 해당되는 사항이라고 보지는 않는다. 일반적인 기업과 기관에서 모두 적용되는 사항이며 반드시 필수적으로 지켜야 하는 사항을 중점적으로 쉽게 적어 보았다.

 

사실, 한정된 지면에 개인정보보호에 대한 모든 것을 가이드하기에는 한계가 있다. 추가적인 내용이나 보충적인 내용은 안전행정부에서 ‘개인정보보호 전문강사단’ 운영하고 있다. 교육을 통하여 충분히 숙지하고 궁금한 점은 교육시 질의를 통하여 해소 하였으면 한다.

 


개인정보 유출이 반복적으로 일어남에 따라 각종 규제는 강화 될 것으로 생각되며, 이는 소극적인 대응방안에서 적극적인 대응으로 업무방식도 바뀌어야 한다. 개인정보 유출은 한번 일어나면 대량으로 유출된다. 이 상황에서 정보통신망법에서는 ‘14.11.29일 법정손해배상제도가 시행이 된다. 누구든지 개인정보유출로 인해 정신적 피해손해를 입었다고 생각하면 300만원 이하의 손해배상을 청구 할 수 있도록 하는 조항이다.

 

정부에서는 법정손해배상제도를 개인정보보호법까지 확대 시행한다는 것을 이미 발표하였다. 이제는 소극적인 대응으로 여러 가지 개인정보 분쟁에 휘말릴 경우 업무외적인 시간과 비용을 낭비하게 된다. 보다 철저히 준비하고 숙지하여 사회복지시설에서 제공하는 서비스의 신뢰도를 더욱 높일 수 있도록 해야 할 시점이다. 


* 본 고는 사회복지협의회 잡지에 기고된 글임을 밝힙니다. 아주 쉽게 쓰려고 노력하였습니다.  또한 지면의 한계로 인하여 가장 기초적인 내용만 언급하였습니다. 자세한 내용들은 블로그내 검색이나 개인정보보호 길라잡이 (http://cafe.naver.com/privacyguide) 를 참고 하시면 더 많은 개인정보보호에 대한 정보를 접하실 수 있습니다. 


 

신고
Posted by 엔시스