[김수연기자] 개인정보 유출과 오·남용을 근절하기 위해 제정된 개인정보보호법이 지난 3월 30일부터 전면 시행되면서, 새롭게 법 적용 대상이 된 사업자들은 더 이상 개인정보보호법에 대한 대처를 늦출 수 없게 됐다. 법 위반 시 최고 5년 이하 징역 또는 5천만 원 이하 벌금형에 처해지기 때문이다.
지금 사업자들이 해야할 일은 법 준수를 위해 취해야 할 조치를 알아보고 개인정보를 철저히 관리할 수 있도록 도와주는 보안 제품을 신속히 도입하는 것이다.
법 실효성에 대한 논란은 여전하지만 법은 이미 시위를 떠난 화살이 됐고 민감정보, 고유식별정보 등을 자동화된 시스템으로 처리해 주는 보안 제품들은 법 위반으로 최악의 상황에 처하지 않도록 돕는 안전장치가 될 수 있다.
◆우리 사업장에 꼭 필요한 보안 제품은 무엇?
우선 사업자들은 '개인정보보호법 특화'라는 수식어를 붙여 보안 업체들이 시장에 쏟아내고 있는 다양한 제품들 가운데 내 사업장에 가장 우선적으로 도입해야 하는 것이 무엇이고, 각 사별로 내놓은 제품들의 특장점은 무엇인지 살펴볼 필요가 있다.
특히 보안 업체들이 출시한 제품이 개인정보처리자가 지켜하는 기준으로 행안부가 제시한 '개인정보의 안전성 확보조치 기준'에 명시된 기술적·관리적 보호조치를 이행하는 데에 어떠한 도움을 줄 수 있는지 따져봐야 한다.
'개인정보의 안전성 확보조치 기준'에 포함된 기술적·관리적 보호조치는 ▲접근권한 관리 ▲접근통제 시스템 설치·운영 ▲개인정보 암호화 ▲접속기록 보관 ▲보안프로그램 설치 ▲개인정보가 보관된 물리적 장소에 대한 출입통제 등이다.
개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 운영하고 있어, 해당 시스템에 대한 '접근 권한' 관리가 필요한 경우, 사업자는 'DB접근제어' 솔루션 도입을 고려해야 한다.
'DB 접근제어' 솔루션은 개인정보처리시스템에 대한 접근을 권한에 따라 제어해 준다. 기본적인 기능 외에 접속기록 리포트 기능, 접속기록 위·변조 방지 기능, DB 취약점 분석 기능 등 각 사별로 제공하는 부가 기능을 비교해 보는 것이 중요하다.
정보통신망을 통한 불법적인 접근과 침해사고로 인한 개인정보 유출을 막아주는 제품으로는 방화벽(FW)·가상사설망(VPN), 침입방지시스템(IPS), 통합위협관리(UTM), 망분리솔루션 등이 있다. 악성코드 탐지·치료 기술, 위협·시그니처분석 기술 등 각 보안업체의 특화된 기술이 적용된 제품들이 출시돼 있다.
또한 정보통신망을 통해 송·수신하는 고유식별정보, 비밀번호, 바이오정보 등을 보호하려면 'DB 암호화 솔루션'이 필요하다. 암호화로 인한 성능저하 문제를 어떻게 해결했는지, 데이터 처리 작업의 편의성을 높이기 위해 어떤 기능을 제공하는지 등을 살펴봐야 한다.
접속기록 보관 조치를 이행할 수 있도록 돕는 보안 장비로는 로그분석 제품이 있다. 로그분석 솔루션은 보안과 운영관리에 필요한 정보를 추출·분석하며, 시스템에 대한 내외부의 접속 기록을 보존·분석한다.
대용량 로그분석 작업을 수행하기 위해, 그리고 로그관리 업무의 효율성을 높이기 위해 제공되는 특화된 기능으로 어떤 것이 있는지 비교해 봐야 한다.
이와 함께 개인정보 유출의 원인이 되는 악성 프로그램을 차단·치료하는 보안 프로그램이 필요할 경우에는 백신 소프트웨어를 도입해야 한다. 신종악성 코드에 대응할 수 있는 기능을 비롯해, PC 최적화·안티 스파이웨어·안티 피싱 등 다양한 부가 기능을 포함한 제품들 가운데 내 사업장에 적합한 제품을 선택해야 한다.
이밖에 전산실, 자료보관실 등 개인정보가 보관된 물리적 장소가 있어 이에 대한 출입을 통제해야 하는 경우에는 바이오 인식 업체들의 지문인식 시스템을, 개인정보가 포함된 보조 저장매체 등에 대한 보안을 위해서는 보안 USB 도입을 고려할 필요가 있다.
지문인식 시스템의 경우, 스마트폰에 내장되어 있는 칩을 읽을 수 있는 근거리 무선통신(NFC) 모듈을 탑재한 제품부터 얼굴인식 기능과 터치스크린을 적용한 제품까지 보안성과 편의성을 동시에 높일 수 있는 기능을 탑재한 제품들이 출시돼 있다.
◆개인정보 안전성 확보조치 기준 고시도 살펴야
'개인정보 안전성 확보조치 기준 고시(이하 고시)'에서 요구하고 있는 조치를 취하기 위해 어떠한 보안 솔루션이 필요한지, 다양한 제품 중 해당 사업장의 환경에 적합한 것이 무엇인지 꼼꼼히 살펴보는 것도 중요하다.
이를 위해서는 우선 고시 제4조부터 10조까지의 내용을 정확히 파악하고 있어야 한다.
고시 제4조는 개인정보처리자에게 접근 권한을 관리할 것을 요구하고 있으며, 개인정보처리자는 접근통제 솔루션, 계정관리 솔루션 등으로 이와 관련된 기술적인 대응을 할 수 있다.
이 조항에 따르면 개인정보처리자는 ▲개인정보처리시스템에 대한 접근권한을 업무에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 하고 ▲인사 이동시 개인정보처리시스템 접근권한을 변경·말소해야 하며 ▲권한 부여·변경 내역을 최소 3년간 보관해야 한다.
또한 시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보 취급자 별로 한 개의 계정을 발급해야 한다.
고시 제5조는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정해 이행할 수 있도록 개인정보처리자가 비밀번호 작성규칙을 수립해 적용해야 한다고 명시하고 있다. 이를 위해 개인정보보호처리자는 비밀번호 안전성 검증 소프트웨어, 접근통제 솔루션 도입을 고려할 필요가 있다.
고시 제6조는 접근통제 시스템 설치·운영에 대한 조항이다. 개인정보처리자는 ▲개인정보처리시스템 접속 권한을 IP 주소 등으로 제한하고, 개인정보처리시스템에 접속한 IP 주소 등을 분석해 불법적 개인정보 유출 시도를 탐지할 수 있는 시스템을 설치해야 한다. 접근통제 솔루션, 침입차단솔루션, 침입방지시스템, 웹방화벽 등이 해당 시스템에 속한다.
또한 이 조항은 개인정보 취급자가 외부에서 개인정보처리시스템에 접속할 경우 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용할 것, 개인정보가 홈페이지·P2P·공유설정 등을 통해 외부에 유출되지 않도록 조치할 것 등을 명시하고 있다. 개인정보처리자는 VPN, DLP 솔루션 등으로 이에 대응할 수 있다.
고시 제7조는 고유식별 정보, 비밀번호, 바이오 정보 등의 개인정보에 대한 암호화 조치 의무를 규정한 조항이다. 개인정보를 DB에 보유하고 있는 사업장에서는 DB암호화 솔루션을, PC에 보유하고 있는 사업장에서는 엔드포인트 DLP, DRM 솔루션을 적용해 이에 대응할 수 있다. DB 암호화의 경우, 오는 12월 31일까지 적용 의무가 유예된 상태다.
개인정보처리시스템 접속기록을 최소 6개월 이상 보관·관리하고, 접속기록 위·변조나 도난·분실을 방지해야 한다는 내용을 담은 제8조를 준수하기 위해서는 접근통제 솔루션, 위·변조방지 전용 스토리지 도입을, 백신 등 보안 프로그램 설치·운영을 규정한 제9조 이행을 위해서는 백신, 패치관리 소프트웨어 적용을 고려할 필요가 있다.
이밖에 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우 이에 대한 출입통제 절차를 수립해 운영해야 하며, 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관해야 한다고 규정한 고시 제10조 이행에는 지문인식, 보안 USB 제품이 도움이 될 수 있다.
솔루션·시스템 구축 비용에 부담을 느끼는 소상공인과 중소사업자는 정부의 기술지원을 적극 이용할 필요가 있다.
현재 행안부는 상시 종업원 5인 미만의 소상공인 대상으로 업무용 PC에 설치할 수 있는 백신 4천개를 무상 지원하고 있으며, 상시 종업원 50인 미만의 중소사업체 300개를 대상으로 백신·암호화 솔루션·방화벽 등 보호조치 솔루션 도입 비용의 20%를 지원하고 있다.
이러한 지원을 받으려면 행안부가 운영하고 있는 개인정보보호 종합포털에서 신청하면 된다.
◆"개인정보보호 위해 이것만은 꼭"
'개인정보 안전성 확보조치 기준' 고시에 대한 정확한 인지, 대응 방안 마련과 함께 법 적용 대상 사업자들은 행안부가 계도기간에 제작·배포한 개인정보보호 수칙을 숙지, 이를 생활화해야 한다.
행안부가 배포한 안내서 '개인정보보호를 위해 이것만은 꼭'에 따르면 소상공인을 포함한 사업자들은 ▲개인정보 수집을 최소화하고, 추가적으로 정보를 수집할 때에는 반드시 동의를 받아야 하며 ▲주민등록번호·건강정보 등 민감정보를 수집해서는 안 되고 ▲개인정보를 수집한 목적과 다르게 사용하거나 제3자에게 제공해선 안 된다.
또한 ▲개인정보를 처리할 경우 개인정보 위탁 사실을 포함한 처리방침을 홈페이지나 사업장에 공개해야 하며 ▲개인정보를 수집한 목적에 맞게 이용한 뒤에는 즉시 파기하고, 개인정보 유출 시, 유출 사실을 인지한 지 5일 이내에 서면· 전화·이메일 등으로 정보주체에게 이를 통보해야 한다.
CCTV를 운영할 경우에는 설치 목적과 장소, 촬영 범위, 담당자 등을 명시한 안내판을 사업장에 부착해야 한다.
특히 소상공인보다 규모가 큰 사업장을 운영하는 사업자의 경우에는 개인정보가 해킹 등으로 유출되지 않도록 내부관리계획 수립하고, 방화벽·백신·접근통제 등 안전성 확보 조치를 이행해야 한다.
이와 함께 사업자들은 행안부 개인정보보호 종합지원포털과 한국정보화진흥원 개인정보지원센터, 한국인터넷진흥원 118상담센터 등을 통해 개인정보보호법에 대한 궁금증을 해소할 수 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기