2024-03-29 21:20 (금)
개인정보보호법, 어떤 보안솔루션 도입해야 하나?
상태바
개인정보보호법, 어떤 보안솔루션 도입해야 하나?
  • 길민권
  • 승인 2011.06.16 05:37
이 기사를 공유합니다

개인정보 수집-저장·관리-이용-파기에 따른 보안솔루션 필요
중소기업들 감당하기 힘들 수 있어 현실적 방안마련 시급
오는 9월 30일 시행되는 개인정보보호법은 공공기관의 개인정보보호에 관한 법률, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 교육정보시스템의 운영 등에 관한 규칙, 의료법, 신용정보의 이용 및 보호에 관한 법률 가운데 개인정보보호와 관련된 법을 통합 일원화한 법이다.
 
이 법에 따르면 약 350만개 모든 공공기관과 사업자들이 법적용 대상이 되며 이는 그동안 지속적으로 개인정보 유출 문제를 야기해왔던 법 적용 사각지대를 보안하는데 큰 역할을 할 것으로 기대하고 있다.
 
또한 그동안 위에서 언급한 개별법간 상이한 처리기준들이 이 법을 통해 보호기준과 원칙에서 단일화가 이루어졌다. 더불어 개인정보 열람, 정정, 삭제 및 처리정지권 보장, 개인정보 유출시 통지 및 신고제도, 집단분쟁제도, 권리침해 중지를 요구하는 단체소송 도입 등이 확보되면서 국민들의 피해구제책도 한층 강화될 것으로 보인다.
 
하지만 공공기관과 대기업 그리고 기존 정통망법과 같은 개별법 등에 적용돼 나름대로 개인정보보호 체계를 잡아온 기관들은 개인정보보호법에 대한 충분한 이해와 더불어 어떻게 준비해야 하는지 잘 알고 있다. 문제는 이번에 새롭게 개인정보보호법 적용 대상이 되는 중견, 중소기업들이다.
 
이들 기업에 대한 개인정보보호법 교육과 더불어 법을 떠나 제대로 개인정보보호를 하려면 어떤 보안 솔루션이 필요하고 어떤 제품을 도입하는 것이 좋은지 구체적인 가이드가 필요할 것으로 보인다. 
 
개인정보보호법 가운데 중요한 부분은 바로 대상 기업들의 기술적 보호조치 부분이다. 여기에는 내부통제 시스템 구축, 개인정보 암호화, 개인정보 파일의 격리 및 삭제, 개인정보 파일의 등록 및 신고 등이 주요 골자다. 
 
특히 제31조 2항을 보면, 적용 대상기관들은 ‘개인정보 유출 및 오남용 방지를 위한 내부통제시스템 구축’을 필수적으로 해야 하며 29조에는 개인정보처리자는 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 기술적, 관리적 및 물리적 조치를 강구해야 한다고 명시하고 있다. 
 
그렇다면 내부통제시스템 구축을 위해 필요한 보안솔루션에는 어떤 것들이 있을까? 공공이나 기업에서 개인정보의 흐름도를 살펴보면 특정 목적으로 인한 수집과정, 수집된 개인정보를 저장 및 관리하는 과정, 이를 이용하고 제공하는 과정, 최종 파기하는 과정의 반복이다.
 
이 가운데 어떤 보안솔루션들이 필요할까? 우선 수집하는 과정에서는 ‘키보드 보안’과 ‘PKI 기반 인증’이 필요할 것이다. 또 저장 및 관리 과정에서는 개인정보 DB의 암호화, 서버접근제어 솔루션이 필요하다. 이를 이용하고 제공하는 과정에서는 웹 게시판 필터링과 PC 개인정보보호 솔루션이 필요하다. 마지막으로 다 사용된 개인정보는 파기해야 하기 때문에 영구삭제 솔루션이 필요하다.
 
더불어 기관내부 모든 PC를 대상으로 개인정보가 포함된 문서가 어떤 파일인지 찾아내야 하고 저장하고 있는 개인정보 파일에 대한 문서인쇄나 매체를 통한 반출, 메일 발송 등을 차단해야 한다. 또 해킹이나 스니핑을 통한 파일 유출을 막아야 하고 웹에 게시되는 것도 차단해야 한다. 그리고 개인정보와 관련된 모든 파일과 시스템에 불법적인 접근이 이루어지지 못하도록 시스템도 갖춰야 한다.   
 
암호화도 쉬운 일이 아니다. 개인정보가 포함된 파일에 단순히 암호를 설정하거나 확장자를 변경하는 것만으로는 안된다. 반드시 국정원 인증 암호화 모듈이 사용된 128바이트 암호화 알고리즘을 사용하는 전문 암호화 솔루션으로 암호화해야 한다.
 
사용 기간이 완료된 개인정보 파일은 이제 지체 없이 삭제해야 한다. 보존해야 할 경우에는 사용중인 개인정보 파일과 격리해서 저장해야 하고 파기시에는 단순히 휴지통에 넣고 휴지통 비우기만 가지고는 어림도 없다. 반드시 복구 불가능한 완전영구삭제 솔루션을 사용해 파기해야 한다.  
 
개인정보보호법을 준수하기 위해서는 이처럼 다양한 보안솔루션들이 필요하다. 거기에 주기적으로 개인정보영향평가도 받아야 하고 개인정보총책임자인 CPO도 내정해야 한다. 뿐만 아니라 해킹에 대비해 보안관제 및 보안컨설팅, 기본적인 네트워크 보안장비들, 안티바이러스, DDoS 공격 방어, 보안관련 국제인증들도 받아야 할 상황이다.
 
행정안전부와 한국인터넷진흥원(KISA)은 중소기업들이 현실적으로 감당할 수 있는 보안 시스템 도입 레이아웃을 그려줄 필요가 있다. 보안은 기업 비즈니스에 도움을 주는 핵심요소다라는 인식이 퇴색되지 않도록 법 시행에 맞춰 현실적 방안들을 내 놓아야 한다. 개인정보보호법은 기업들을 괴롭히기 위해서 만들어진 법이 아니다. 진정으로 개인정보를 보호하기 위해 만들어진 법이다.
[데일리시큐=길민권 기자]

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★