개인정보보호법 시행 이후 계도기간이 오는 3월 29일 종료된다. 행정안전부 개인정보보호과 한순기 과장은 “계도기간 종료 전까지 이번에 새롭게 법 적용을 받는 중소기업과 소상공인들이 법 취지를 정확히 알고 어떤 부분을 체크하고 준비해야 하는지 계속 홍보하고 교육해 나갈 것”이라고 말했다. 한편 “계도기간이 끝나면 산업 분야별 개인정보를 다량 보유하고 있는 기업들 및 생활과 밀접한 산업분야별로 점검을 실시하겠다”고 밝혔다.
 
반면 기존 정통망법을 준수하고 있던 기업들과 대기업들은 별도 보안팀을 조직해 개인정보보호법준수를 위해 꾸준히 준비해 오고 있지만, 그동안 보안에 신경을 거의 쓰지 않았던 중소기업과 소상공인들은 여전히 어떻게 해야 할지 모르는 혹은 눈치만 보고 있는 상황이 계속되고 있다. 특히 개인정보보호법의 애매한 부분에 대한 이해 부족으로 법 준수에 대해 힘겨워 하고 있는 실정이다.
 
이에 이강신 김앤장법률사무소 전문위원에게 개인정보보호법과 관련, 몇가지 애매한 부분들에 대한 자문을 구해 들어봤다. 개인정보보호 전문가들과 기업들이 애매하게 생각하는 부분은 4가지로 요약된다. 완전삭제와 분리저장, CCTV, 암호화 문제 등이다. 이에 대한 이강신 전문위원의 조언을 들어보자.     
 
Q. 개인정보보보호법에서 개인정보를 파기할 때 파기에 대한 완적삭제는 어떻게 이루어져야 하는가?
A. 법에서 복구나 재생되지 않도록 조치하여야 한다는 것을 의미한다. 기록물, 인쇄물 등 기록매체를 이용한 경우는 파쇄나 소각시키면 되지만, 전자적 파일 형태인 경우는 복구나 재생이 되지 않도록 하기 위해서는 파일을 담고 있는 디스크 등 장치를 물리적으로 파손을 시키거나 디가우저를 이용하여 파괴하는 방법이 있다.
 
이런 방법은 장치의 재활용이 불가능하다. 재활용을 위해서는 로우레벨 포멧을 하거나 시중에 나와 있는 영구삭제소프트웨어를 이용하는 것이 바람직하다. 로우레벨 포멧은 파티션 정보만을 없애주기 때문에 데이터 복구가 여전히 가능한 구조이다.
 
그러나 영구삭제소프트웨어란 의미 없는 데이터를 처음부터 끝까지 디스크에 기록하게 함으로써 최초의 값을 복구하기 어렵게 만든다. 미국 국가안전보장국(NSA)은 영구삭제를 36번 반복하면 최초 데이터 복구할 수 있는 확률이 0%에 가깝다고 하고 있으며, 통상 7번 반복하도록 권장하고 있다.
 
Q. 법에서는 저장해야 하는 개인정보는 다른 곳에 분리해서 저장하라고 했는데 어떤 기술적 조치가 필요한가?
A. 계약의 이행, 타 법률로 인해 파기하지 못하고 저장하여야 하는 경우 물리적으로 분리하여 다른 장소에 저장하도록 되어 있다. 저장은 전산실이나 자료보관실 등 개인정보를 보관하고 있는 물리적 장소가 있는 경우에는 출입통제절차를 수립하여 운영하도록 하고 있으며, 물리적 장소가 없는 경우라 할지라도 잠금장치가 있는 안전한 장소에 보관하도록 하고 있다.
 
Q. CCTV관련, 녹화된 내용을 정보주체가 열람 요구했을 때 응해야 하는데, 해당 영상에 제3자가 포함돼 있으면 어떻게 해야 하는가?
A. 결국 영상 개인정보의 제3자 제공 문제이다. 법은 이 경우 제3자인 정보주체의 동의를 받았거나, 제3자인 정보주체가 의사표시를 하기 어려운 경우는 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우 등으로 한정하고 있다. 결과적으로 꼭 필요한 사유가 있지 않은 경우는 열람을 제한하고 있다고 보아야 한다.
 
Q. 암호화 문제를 난감해 하는 기업들이 많은데 어떻게 해결하는 것이 좋을까?
A. 암호화는 개인정보 유출 등 침해사고가 발생되더라도 최후의 안전수단으로 하는 조치사항이다. 그러나 암호화는 성능을 저하시키는 문제점도 있기 때문에 개인정보처리자 입장에서는 비용 등의 문제로 고민하고 있는 것이 사실이다. 이 때문에 부분암호화를 인정하고 있다. 가령, 주민등록번호의 경우 총13자리이며, 이는 64비트 블록암호알고리즘을 사용할 경우 2개 블록이 된다. 암호화의 경우 블록 단위로 한다는 점을 고려할 때 8자리까지 1개 블록으로 처리할 수 있으며, 9자리 이상일 경우는 2개 블록을 처리하므로 성능이 1/2로 떨어지게 된다.
 
따라서 생년월일을 제외할 경우 7자리만 암호화하면 되며, 속도도 2배로 개선된다. 생년월일만 가지고는 개인정보라고 할 수 없기 때문에 개인정보의 속성도 없어진다고 볼 수 있으므로 문제가 없다고 판단하고 있다. 현재 주민등록번호는 뒷부분 6자리를, 신용카드번호는 뒷부분 10자리를 암호화 영역으로 권고하고 있다. 즉 1블록 단위로 부분암호화를 한다면 퍼포먼스 문제도 해결되고 법 준수도 지킬 수 있다는 말이다.    
 
무엇보다 중요한 것은 꼭 필요하지 않다면 암호화 대상을 수집하지 않는 것이 더 중요하다. 개인정보보호법 상에서의 고유식별정보인 주민번호, 운전면허번호, 여권번호, 외국인등록번호 등과 정보통신망법 상의 주민번호, 신용카드번호, 계좌번호 등이 해당된다.
[데일리시큐=길민권 기자]