check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[G-Privacy 2018] 김종표 KISA 팀장 "기술적·관리적 보호조치 미비로 인한 침해공격 증가"

"개인정보 보호조치 기술적-관리적 및 물리적 안전조치에 관한 최소한의 기준"

길민권 기자 mkgil@dailysecu.com 2018년 04월 15일 일요일

IMG_0189.JPG
데일리시큐 주최 상반기 최대 개인정보보호&정보보안 컨퍼런스 'G-Privacy 2018'이 4월 10일 서울 양재동 더케이호텔서울 가야금홀에서 실무자 1,000여 명이 참석한 가운데 성황리에 개최됐다.

이날 한국인터넷진흥원(KISA. 원장 김석환) 김종표 팀장(사진)은 '개인정보의 기술적 관리적 보호조치 방안'을 주제로 키노트 발표를 진행했다.

김종표 팀장은 "최근 개인정보 유출사고 원인은 대부분 해킹사고에 의해 발생했다. 통계자료를 보면 개인정보 유출 원인의 64.1%가 외부공격(해킹)에 의해서고 15.4%가 시스템 오류, 12.8%가 내부직원 유출, 7.7%가 관리자 부주의가 원인으로 조사됐다"고 설명하고 이어 "개인정보 침해 접수현황을 보면 기술적〮관리적 보호조치 미비로 인한 침해유형이 큰 비중을 차지하고 있다. 이에 대한 철저한 대비가 필요하다"고 강조했다.

이어 최근 개인정보보호법 개정 주요 내용에 대해 상세한 설명을 이어갔다. △주민번호 전자적 보관시 반드시 암호화 △주민번호 처리 제한 강화 △정보주체 보호 강화 등에 대해 설명했다. 특히 개인정보가 유출된 경우 행정안전부와 KISA 등 전문기관에 신고대상이 1만명 이상에서 1천명 이상 유출시로 변경돼 1천명 이상 유출사고 발생시 반드시 신고해야 한다고 강조했다.

더불어 개인정보의 기술적 관리적 보호조치 기준에 대한 설명도 이어졌다. 최근 신설된 내용으로는 △개인정보 보유량 및 사업자 유형에 따른 안전조치 기준 적용 △관리용 단말기 임의조작 금지, 목적외 사용금지 △위기대응 절차 마련 및 점검, 백업 및 복구 계획 마련 등을 설명했다.

개인정보의 기술적 관리적 보호조치 기준은 개인정보처리자는 개인정보가 분실•도난•유출•위조•변조 또는 훼손되지 안도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다. 특히 이 기준은 개인정보처리자가 개인정보를 처리함에 있어서 안전성 확보에 필요한 기술적‧관리적 및 물리적 안전조치에 관한 최소한의 기준이다.

▲ KISA 김종표 팀장, 개인정보 기술적 관리적 보호조치 방안을 주제로 키노트 발표현장.
▲ KISA 김종표 팀장, 개인정보 기술적 관리적 보호조치 방안을 주제로 키노트 발표현장.
특히 공공, 대기업, 중견기업, 소상공인 별로 개인정보 보유량에 따라 해당하는 유형이 완화, 표준, 강화 등 3가지 유형에 따라 안전조치를 이행해야 한다.

이어 김 팀장은 "개인정보 안전성 확보조치 통계를 보면 공공이 내부관리계획은 97% 가량으로 높고 민간은 49%대에 불과한 것으로 조사됐다. 또 접근통제, 접근권한부여, 개인정보 암호화, 송수신 암호화, 접속기록 보관, 잠금장치 보관, 재해재난 대비 등 모든 통계에서 공공이 민간보다 앞선 것으로 조사됐다. 민간 기업의 보다 적극적인 안정성 확보조치 적용이 필요한 상황이다"라고 강조했다.

또 그는 2018년 주요 개정 내용에 대해 내부관리 계획 수립, 이행 등 관리적 분야, 접근통제, 접속기록 위변조 방지, 개인정보 암호화, 악성프로그램 방지 조치 등 10개 조문을 보완했으며 지난 15년 고시 개정을 통해 반영된 보호조치 기준의 목적, 최대 접속시간 제한조치, 암호화 대상 확대 등 바뀐 제도가 추가됐다고 전하고 상세 설명도 덧붙였다.

한편 공식별정보 보유여부 사전조사는 올해 3~4월, 기관현황 등록 및 자체점검은 4월~6월, 자체점검 결과 확인은 7월~8월, 현장점검은 9월~11월에 이루어질 예정이라고 전했다.

김종표 한국인터넷진흥원 팀장의 발표자료는 G-Privacy 2018 등록사이트에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록