2020-10-22 09:55 (목)
[G-Privacy 2017] 개인정보보호법 기술적 관리적 보호조치 방안
상태바
[G-Privacy 2017] 개인정보보호법 기술적 관리적 보호조치 방안
  • 길민권 기자
  • 승인 2017.04.09 17:28
이 기사를 공유합니다

김호성 KISA 개인정보기술단 단장 키노트 발표…개인정보보호 실무자 1,000여 명 참석

▲ 한국인터넷진흥원 개인정보기술단 김호성 단장
▲ 한국인터넷진흥원 개인정보기술단 김호성 단장
국내 최대 개인정보보호 교육 컨퍼런스 ‘G-Privacy 2017’이 4월 6일 양재동 더케이호텔서울 가야금홀에서 공공, 지자체, 금융, 기업 등 전분야 CPO 및 개인정보보호 및 정보보안 실무자 1,000여 명 이상이 참석한 가운데 성황리에 개최됐다.

이 자리에서 김호성 한국인터넷진흥원(KISA) 개인정보기술단 단장은 ‘2017년 개인정보보호법 기술적 관리적 보호조치 방안’을 주제로 키노트 발표를 진행했다.

김호성 단장은 “2015년과 16년 전체 39건의 개인정보 유출 사고 중 25건이 해킹으로 발생했으며 그 중 웹취약점이 12건으로 주요 원인인 것으로 파악됐다. 2016년 8건의 정보유출 사고도 웹쉘 업로드 또는 SQL인젝션 공격으로 추정된다”며 기관과 기업들의 철저한 대비를 당부했다. 이어 개인정보보호법 최근 개정사항과 개인정보의 안전성 확보조치 기준 등에 대해 상세히 설명하는 시간을 가졌다.

◇개인정보보호법 최근 개정 사항

개인정보보호법 최근 개정사항으로는 △주민번호 전자적 보관시 반드시 암호화 △주민번호 처리 제한 강화 △정보주체 권리구제 강화로 징벌적 손해배상 적용(고의 또는 중과실로 개인정보 유출시 피해액의 최대 3배까지 배상액 부과) △출처고지 의무 강화로 정보주체 동의에 따라 제3자로부터 제공받아 개인정보를 처리하는 경우, 출처 등을 고지해야 한다.

또 △민감정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 안전성 확보조치 수행 △고유식별정보의 안전성 확보조치를 했는지 행자부가 연1회 이상 조사한다. △행정자치부가 개인정보보호 인증 실시(유효기간 3년, 연 1회 이상 사후관리. KISA를 인증 전문기관으로 지정) △개인정보보호 책임자를 사업주, 대표자, 개인정보처리 관련 업무 부서장, 임원으로 지정 등이다.

▲ 개인정보 안전성 확보조치 기준 신설 내용
▲ 개인정보 안전성 확보조치 기준 신설 내용
◇개인정보 안전성 확보조치 기준 신설 내용

개인정보의 안전성 확보조치 기준에 대해서 김호성 단장은 “이 기존은 개인정보 처리자가 개인정보를 처리함에 있어 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적, 관리적 및 물리적 안전조치에 대한 최소한의 기준”이라고 강조했다.

지난해 9월 1일 시행된 안전성 확보조치 기준 주요 내용은 다음과 같다.
△최소한의 기준을 정하는 것을 목적으로 한다.(개정)
△개인정보처리시스템 등 용어에 대한 해석상의 혼란을 방지(개정)
△개인정보 보유량 및 사업자 유형에 따른 안전조치 기준 적용(신설)
△안전성 확보에 필요한 조치를 명확하게 규정(개정)
△개인정보보호조직 구성 및 운영, 유출사고 대응계획 수립, 시행(신설)
△내부 관리계획의 이행 실태 점검, 관리를 통한 실효성 확보(신설)
△비밀번호를 일정 횟수 이상 잘못 입력한 경우 접근 제한(신설)
△유출 시도를 탐지 및 대응(개정)하고 취약점 점검하고 필요한 보완조치 이행
△안전한 접속수단이나 인증수단 적용(개정)
△일정기간 이상 업무처리를 하지 않는 경우 시스템 접속 차단 조치(신설)
△암호키생성, 이용, 보관, 배포, 파기 등에 관한 절차 수립 및 시행(신설)
△접속기록 분실, 도난, 유출, 위조, 변조 또는 훼손 등 자구수정(개정)
△발견된 악성프로그램 등에 대한 삭제 등 대응조치(신설)
△관리용 단말기 임의조작 금지, 목적외 사용 금지 등(신설)
△위기대응 절차 마련 및 점검, 백업 및 복구 계획 마련(신설)

위와 관련 자세한 사항은 데일리시큐 자료실에서 김호성 단장의 발표자료를 다운로드해 참조하면 된다.

▲ G-Privacy 2017, 1,000여 명의 참관객이 참석한 가운데 성황리 개최. 김호성 단장이 키노트 발표를 진행하고 있다.
▲ G-Privacy 2017, 1,000여 명의 참관객이 참석한 가운데 성황리 개최. 김호성 단장이 키노트 발표를 진행하고 있다.
◇고유식별정보 안전성 확보조치 정기점검 시행 계획

고유식별정보 안전성 정기점검 시행에 대해서는 “5만명 이상 보유여부가 확인된 기관 대상 점검을 진행하며 2017년 대상은 약 3천개 기관이 해당된다. 고유식별정보를 처리하는 공공기관 실태점검 대상 기관은 1천479개, 민간기업은 5만명 이상 고유식별정보를 처리하는 기업 1천237개 기관이 대상이 된다”며 “점검항목은 고유식별정보 보유현황과 고유식별정보에 대한 안전성 확보조치 이행 여부이며 행정자치부와 한국인터넷진흥원이 2년에 1회 이상 점검할 계획”이라고 밝혔다.

시행 절차를 보면, 4월~6월에 기관현황 등록 및 자체 점검, 7월~11월에 자체점검 결과 확인, 9월~11월에 기관등록 및 자체점검 결과미제출 기관 및 대량 고유식별정보 처리가를 보유한 기업을 대상으로 현장점검이 실시된다. 자체점검 항목 등은 이번 발표자료를 참고하면 된다.

이외에도 김호성 단장은 개인정보 비식별조치 가이드라인에 대한 설명과 함께 공공과 민간의 철저한 관리를 당부했다.

★정보보안 대표 미디어 데일리시큐!★