2020-08-12 19:15 (수)
2016년, 개인정보보호법 대응을 위한 핵심 사항 정리
상태바
2016년, 개인정보보호법 대응을 위한 핵심 사항 정리
  • 길민권
  • 승인 2015.11.01 15:20
이 기사를 공유합니다

PASCON 2015, 김호성 팀장 “개정된 고시 의무조치 사항 반드시 준수 해야”
정보보안 대표 미디어 데일리시큐가 주최한 PASCON 2015(2015년 공공기관-기업 개인정보보호&정보보안 컨퍼런스)가 10월 28일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 의료, 교육기관, 일반 기업 개인정보보호 및 정보보안 실무자 600여 명이 참석한 가운데 성황리에 개최됐다.
 
이 자리에서 한국인터넷진흥원 김호성 팀장(사진)은 ‘2016년 개인정보보호법 기술적 관리적 조치 방안’을 주제로 키노트 발표를 진행했다.
 
김호성 팀장은 “지난 2011년 1월부터 2014년 12월까지 공개된 유출사고 건수는 총 52건이며 유출건수는 1억6천1만건이 넘어간다. 이중 주민등록번호가 62%를 차지하고 있으며 계정정보가 52%를 차지하고 있다. 특히 총 52건의 사고중 해킹에 의한 유출이 60%(31건)에 달하며 내부직원과 수탁사에 의한 고의유출이 21%(11건), 구글링에 의해 13%(7건), 관리소홀이 6%(3건)로 조사됐다”고 설명했다. 해킹과 내부직원 및 수탁사에 의한 사고가 81%를 차지하고 있다는 것을 알 수 있다.
 
특히 그는 내년 개인정보보호법 준수를 위해 주민번호 수집 법정주의와 주민번호 암호화 보관 의무시행, 개정된 고시 의무조치에 대해 각별히 대비할 것을 강조했다. 특히 공공, 금융, 보건의료 분야의 암호화 대응이 2016년에 이슈가 될 것으로 내다봤다. 암호화 적용시기는 100만명 미만 주민번호 보관기관은 2017년 1월1일부터 적용되고 100만명 이상 주민번호 보관 기관은 2018년 1월부터 적용된다.
 
한편 그는 “업무용 PC에서 한글(Hwp), 엑셀(Excel) 파일 등으로 저장된 주민등록번호는 현재도 암호화 하고 있어야 하고 외부망, 인터넷 구간, DMZ에 저장된 주민등록번호도 현재 암호화 하고 있어야 한다”고 강조했다.

 
또 개정된 고시 의무조치 대응에 대해서는 ▲사람, 홈페이지에 의한 개인정보 유출사고 대응 강화를 위해 수탁자 관리 감독 및 USB 등 보조저장매체 반출입 통제, 홈페이지 취약점 점검(연 1회 이상) 및 접속기록 점검(반기 1회 이상), 개인정보취급자별로 사용자 계정을 발급 및 공유 금지, 성명, 주민번호로 본인확인시 추가적인 정보 확인할 것. ▲신규 보안위협 대응조치 강화를 위해서 신규 악성코드 대응을 위한 보안프로그램 업데이트(일 1회 이상 → 최신상태)할 것. ▲모바일 기기 이용 확대에 따른 보호조치 강화를 위해 스마트폰, 태블릿 PC 등 모바일 기기 분실, 도난시 개인정보 유출 방지 조치할 것. ▲적용이 어려운 불합리한 제도 개선을 위해 매체(디스크) 재사용, 일부 파기가 가능한 개인정보 파기방법 제시 등을 당부했다.
 
특히 공통적으로 적용되는 개인정보 안전성 확보조치 사항에 대해 설명하며 기술적 조치사항에 대해 △고유식별정보, 비밀번호 바이오정보 전송시 암호화, △안전한 비밀번호 작성 규칙 수립운영, △응용프로그램, 운영체제의 즉시 보안 업데이트, △개인정보가 포함된 서류, 보조저장매체의 안전한 보관을 강조했다.
 
관리적 조치에 대해서는 △내부관리체계 수립, 운영 △보호책임자 지정 및 역할 수행 △정기적인 개인정보보호 교육 실시 △개인정보 처리업무를 수행하는 수탁자 관리 감독 △보유기간 경과 등 불필요하게 된 개인정보 파기 등을 당부했다.
 
또한 개인정보 안전성 확보조치와 관련 개인정보처리시스템 범위에 대해 개인정보처리시스템은 DBMS로서 다수의 사용자들이 데이터베이스 내의 대ㅔ이터에 접근할 수 있도록 해주는 응용프로그램의 집합을 말한다. 여기에는 DB자체 뿐 아니라 DB에 연결되어 DB를 관리하거나 DB의 개인정보를 처리할 수 있는 응용프로그램까지 포함된다고 설명했다.
 
그리고 개인용 스마트폰에서 회사 이메일 서버로부터 자료를 주고받아 개인정보 처리 업무를 수행하는 경우 모바일 기기에 포함되는지 질문에 “모바일 기기에 포함된다. 개인용 스마트폰이나 태블릿 PC에 회사의 업무용 앱을 설치해 업무목적의 개인정보를 처리하는 경우, 개인용 스마트폰이나 태블릿PC에 설치된 메일 읽기 프로그램을 사용해 회사 메일 서버에 접속해 업무 목적의 개인정보를 처리하는 경우에는 모바일 기기에 해당된다. 다만 개인용 스마트폰이 회사 이메일 서버로부터 자료를 주고 받더라도 개인정보가 포함되지 않거나 회사 업무목적이 아닌 경우 모바일 기기에서 제외된다”고 설명했다.
 
데일리시큐 주최 PASCON 2015 김호성 팀장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
한편 데일리시큐는 2016년에도 실무에 필요한 핵심적인 정보보안 컨퍼런스를 개최한다. 항상 실무자 중심의 교육 및 정보공유 차원에서 개최되며 정보보호 기업 비즈니스에도 도움이 될 수 있도록 준비하고 있다.
 
◇데일리시큐 2016년 컨퍼런스 개최 안내
①2016년 1월: 2016년 모바일 정보보호 컨퍼런스(MISCON 2016)
②2016년 2월: 제4회 금융정보보호 컨퍼런스(SFIS 2016)
③2016년 3월: 제4회 공공-기업 개인정보보호 컨퍼런스(G-Privacy 2016)
④2016년 5월: 제3회 의료기관 개인정보보호&정보보호 컨퍼런스(MPIS 2016)
⑤2016년 9월: 제2회 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)
⑥2016년 10월: 제4회 공공-기업 개인정보보호&정보보안 컨퍼런스(PASCON 2016)
위 컨퍼런는 데일리시큐 사이트에 시기별로 등록사이트 배너가 올라간다. 참가업체 및 참관문의는 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com