이 자리에서 박나룡 보안전략연구소 소장은 ‘조직의 개인정보보호 실태 및 현황’을 주제로 강연을 진행했다.
우선 박 소장은 “아이디와 비밀번호 등 식별부호는 실제 공간과는 달리 익명성이 통용되어 행위자가 누구인지 명확하게 확인하기 어려운 가상공간에서 그 행위자의 인격을 표상한다. 따라서 개인정보에 해당한다”고 밝히고 또 “이메일 주소도 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 개인을 알아볼 수 있는 정보이기 때문에 개인정보에 해당한다”고 설명했다.
이어 개인정보보호 실무자에게 실용적인 정보들을 전달했다. 박나룡 소장은 대형 포털사와 소셜커머스 기업에서 정보보호 책임자로 일해 왔고 ISMS와 PIMS 심사원으로도 다수의 심사활동을 펼쳐왔다. 그래서 누구보다 실무에서 발생할 수 있는 문제점들에 대해 깊이 있게 알고 있는 전문가로 알려져 있다.
박 소장은 이에 대해 “홈페이지 관리자 계정 권한 재검토 후 재부여하고 개인정보 처리시스템 로그기록 보관 및 주기적인 검토가 필요하다. 또 저장된 고객정보 보호 조치 개선을 위해 이중으로 관리하는 회원정보 통일 및 정리가 필요하고 PC에 저장되는 고객정보에 대한 암호화가 필요하다. 그리고 외부 업체에 위탁해 처리하는 개인정보에 대한 파악 및 관리가 필요하다”고 조언했다.
또 개인정보처리시스템에서 점검해야 할 사항은 △접근통제 △계정/권한관리 △개인정보 마스킹 △Like 검색 △다운로드 통제 △고객센터 △녹취 및 ARS 시스템 등이다.
보안시스템 관리에 있어서는 △VPN 접근대상 제한 △방화벽 룰 관리 및 정책 적용 절차 △네트워크 장비에서 ACL, 접근통제 △모니터링 툴에서 임계치 설정 △DB 접근통제시스템에 대한 모니터링 △개인정보 검색툴에서 오탐 최소화 △PMS(패치관리시스템)에서 인증, 관리자 접속, 로그 정보를 철저히 관리해야 한다고 설명했다.
데이터베이스에서는 △DB와 DB데이블 현황 관리 △개인정보 보유 현황 파악 △DB접근통제(장애대응)을 위한 망분리 △별도 DB 관리(휴면DB와 해지DB 등) △파일 다운로드 통제 및 모니터링 △DB암호화 및 마스킹 △정책의 일관성 유지 등을 강조했다.
관리적 이슈에 대서는 △수집 시 보호조치 △개인정보 목적 외 이용 여부 △정보주체 권리 보장 여부 △개인정보 취급자 관리 △위탁업체 관리 감독 △개인정보 교육 △조직의 권한과 책임 등을 관리포인트로 거론했다.
1. 필수-선택동의 항목을 엄격하게 구분: 필수항목은 해당 서비스의 본질적인 기능
2. 선택동의 항목은 목적 별로 개별 동의하고 마케팅 목적은 분리하여 개별 동의
3. 개인정보가 필요한 시점에 수집
4. 과도한 개인정보 수집 지양: 비회원과 회원의 정보를 동일하게 받으면 과도한 개인정보 수집
5. 서비스 본질과 무관한 정보는 마스킹 처리
6. 영업점의 개인정보 수집,보관 최소화: 내부관리계획에 반영
7. 개인정보 분리 보관시 업무담당자만 열람 가능 해야 하며 영업부서의 접근 제한
8. 사업자(A)가 이용자의 개인정보를 제3자(B)에게 제공한 경우, 이용자는 사업자(A)와 제3자(B)에게 선택적으로 개인정보 파기 요청 가능
9. 개인정보 업무 위탁시, 위탁자는 수탁자의 개인정보 파기여부 확인
10. 모바일기기에서 개인정보 동의시 최소한의 사항 고지 후 별도 웹사이트에서 안내하는 것이 바람직함
11. 이용자의 선택권이 보장된 경우에는 이용자 편의 제공을 위해 여러 동의사항에 대하여 일괄동의 기능을 도입하여 운영할 수 있음
특히 “목적 외 이용에 대해 이용자로부터 동의 받은 목적이나 정한 목적과 다른 목적으로 이용을 금지해야 한다. 구매 내역 정보를 빅데이터 분석에 활용하거나 추가적인 동의를 받지 않고 다른 목적으로 활용하는 경우가 많다. 주의해야 한다”고 당부했다.
박나룡 보안전략연구소 소장의 G-Privacy 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
