이 자리에서 윤석웅 한국인터넷진흥원 팀장은 ‘2016년 개인정보보호법 기술적 관리적 보호조치 방안’을 주제로 키노트 발표를 진행해 보안실무자들의 큰 관심을 끌었다.
윤 팀장은 “국내 개인정보 유출 신고 현황은 지난 2011년부터 2015년까지 67건으로 1억3천35만건으로 조사됐다. 공공기관에서 10건, 민간에서 57건이 발생했다”고 밝히고 최근 개정된 개인정보의 기술적 관리적 보호조치 방안에 대해 상세한 설명을 이어갔다.
◇주민번호 보관시 암호화 의무화
기존에는 주민등록번호를 내부망 이외는 암호화 저장을 해야 하고 내무망은 암호화 또는 영향평가, 위험도분석 결과에 따라 암호화 하면 됐지만 올해 1월 1일부터는 내부망과 이외 모두 암호화 저장을 해야 한다.
특히 업무용 PC에서 한글이나 엑셀파일 등으로 저정된 주민번호도 현재 암호화 하고 있어야 하고 외부망, 인터넷구간, DMZ에 저장된 주민번호도 현재 암호화 하고 있어야 한다고 강조했다.
◇안전성 확보조치 강화 대응
민감정보가 분실, 유출, 훼손되지 않도록 안정성 확보조치를 해야 한다. 이전에는 민감정보는 고시에서 바이오정보만 암호화하면 됐지만 오는 9월부터는 민감정보는 모두 반드시 암호화 해야 한다.
또 고유식별정보에 대한 암호화 등 안정성 확보조치 수행 여부를 정기적으로 조사할 계획이라 오는 9월까지 고유식별정보에 대한 암호화 이행을 철저히 해야 한다.
◇공공기관 개인정보보호 관리수준과 2016년 수준진단 계획
윤석웅 팀장은 “2015년 공공기관 개인정보 관리 수준진단 결과를 보면 개인정보책임자의 역할 수행과 개인정보파일 관리 등은 양호했지만 개인정보 영향평가 수행과 안전한 이용 및 관리 등은 개선이 필요했다”며 “특히 위탁업무에 따른 개인정보보호 활동, 개인정보 영향평가 수행, 개인정보 침해사고 대응 절차 수립, 개인정보처리시스템의 안전한 이용 및 관리 등이 80점대로 조사돼 개선이 필요한 부분”이라고 강조했다.
?KISA 윤석웅 팀장
또 올해 총 750개 중앙부처, 광역자치단체, 기초자치단체, 지방공기업, 산하기관을 대상으로 수준진단이 이루어질 예정이며 4월말 관리수준 진단계획 통보 및 설명회를 열고 7월에 기관별 실적 등록을 한 후 8월과 9월 진단수행을 실행할 예정이다. 10월과 11월에 진단결과를 통보하고 조정 과정을 거친 후 12월 최종 진단결과 통보 및 개선조치 수행이 이루어질 예정이다.
◇개정된 고시 의무조치 대응방안
2014년 12월 30일 개정 고시 주요 내용으로는 수탁자 관리 감독 및 USB 등 보조저장매체 반출입 통제, 홈페이지 취약점 점검을 연 1회 이상, 접속기록 점검을 반기 1회 이상해야 한다. 개인정보취급자별로 사용자 계정을 발급 및 공유를 금지하고 성명, 주민등록번호로 본인 확인시 추가적인 정보를 확인해야 한다.
또 신규 악성코드 대응을 위한 보안프로그램 업데이트를 일 1회 이상 최신상태로 유지해야 하며 공개된 무선망 사용시 모바일 기기 등의 보호조치와 스마트폰, 태블릿 PC 등 모바일 기기 분실, 도난 시 개인정보 유출 방지 조치를 해야 한다. 그리고 매체 재사용, 일부 파기가 가능한 개인정보 파기방법을 제시해야 한다.
위 고시 의무조치를 이행하지 않아 개인정보 유출 사고가 발생할 경우 2년 이하 징역 또는 1천만원 이하 벌금이 부과되고 보호조치가 미비할 경우 3천만원 과태료가 부과된다.
◇개인정보 안정성 확보조치 공통 사항
기술적 조치 사항으로는 고유식별정보, 비밀번호, 바이오정보 전송시 암호화 해야 하고 안전한 비밀번호 작성 규칙을 수립 운영한다. 응용프로그램, 운영체제의 즉시 보안 업데이트를 이행하고 개인정보가 포함된 서류, 보조저장 매체의 안전한 보관 조치가 이루어져야 한다.
관리적 조치로는 내부관리계획 수립, 운영과 보호책임자 지정 및 역할 수행, 정기적인 개인정보보호 교육 실시, 개인정보 처리업무를 수행하는 수탁자 관리 감독, 보유기관 경과 등 불필요한 개인정보 파기가 잘 이행되어야 한다.
◇개인정보 안정성 확보조치 사항 FAQ
윤 팀장은 마지막으로 개인정보처리시스템의 범위와 모바일 기기에 대한 정의를 다음과 같이 정의했다.
-개인정보처리시스템 범위는 어디까지인가=개인정보처리시스템은 DBMS로서 다수의 사용자들이 데이터베이스 내 데이터에 접근할 수 있도록 해주는 응용프로그램의 집합이다. 여기에는 DB자체 뿐만 아니라 DB에 연결되어 DB를 관리하거나 DB의 개인정보를 처리할 수 있는 응용프로그램(웹서버 포함)까지 포함될 수 있다.
-개인용 스마트폰에서 회사 이메일 서버로부터 자료를 주고받아 개인정보 처리 업무를 수행하는 경우, 모바일 기기에 포함되는지=모바일 기기에 포함된다. 개인용 스마트폰이나 태블릿 PC에 회사 업무용 앱을 설치해 업무 목적의 개인정보를 처리하는 경우, 개인용 스마트폰이나 태블릿 PC에 설치된 메일 읽기 프로그램을 사용해 회사 메일서버에 접속해 업무 목적의 개인정보를 처리하는 경우 모바일 기기에 해당된다. 다만 개인용 스마트폰이 회사 이메일 서버로부터 자료를 주고 받더라도 개인정보가 포함되지 않거나 회사업무목적이 아닌 경우는 모바일 기기에서 제외된다.
G-Privacy 2016에서 KISA 윤석웅 팀장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. 한편 데일리시큐는 오는 5월 17일 의료기관 개인정보보호-정보보안 컨퍼런스 MPIS 2016을 개최한다. 국내 최대 의료 정보보호 컨퍼런스로 전국 국공립, 대학병원, 대중소 병원 개인정보보호 및 정보보호 실무자 400여 명이 참석한 가운데 최신 보안정보를 공유할 예정이다. 현재 참가를 희망하는 국내외 보안기업을 모집중에 있다. 참가 문의는 데일리시큐 길민권 기자에게 하면 된다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
