[인포섹 컨설팅사업본부 윤선중 수석컨설턴트] 방송통신위원회의 “2011년 정보보호 실태조사” 결과 개인정보 수집·이용, 제3자 제공·취급위탁 시 이용자 동의를 확보하는 기업이 증가하였고, 이용자 주민번호를 포함한 개인정보 암호화 저장률이 '10년 57.3%에서 ‘11년 79.3%로 상승하는 등 법적 요구사항에 대한 공공기관 및 기업들의 조치들이 활발하게 진행되고 있어 개인정보보호 수준이 전반적으로 향상되고 있다고 발표되었다.
 
하지만 실제 조치가 이행되고 있는 현황을 살펴보면 서비스 가용성 Risk와 인력 및 예산 부족 등의 이슈로 대부분 법률에 명시된 보호조치 요건 충족에 치중되어 선별 이행되고 있으며, 이러한 법적 요건이 이행 되었기 때문에 충분한 보호조치가 적용되고 있고 개인정보가 안전하게 관리되고 있다고 안심하는 경우가 있어 오히려 개인정보 유출 사고의 발생과 보안 예산 및 리소스가 낭비되는 결과가 나타날 수 있다.
 
따라서, 법적 보호조치 이행과 더불어 실질적인 개인정보 사고 예방과 안전성이 확보되기 위해서는 본질적인 법적 보호조치 요구사항의 명확한 이해와 보다 현실적이고 효과적인 이행방안을 선택 적용하는 것이 필요하다.
 
단순한 개인정보보호법의 법적 요건 이행이 아닌 실질적인 개인정보보호를 위한 조치 활동이 이루어져야 한다는 관점에서 ‘개인정보의 안전성 확보조치’ 기준 중 암호화에 대한 법적 요구사항을 정리해보고, DB 내 개인정보의 안전한 보호 및 활용을 위해 DB암호화와 병행되어야 할 기본 보호조치와 DB암호화 적용에 어려움을 겪고 있는 공공기관과 기업의 입장에서 선택 가능한 법적 요건 이행방안이 무엇이 있는지 살펴보고자 한다.
 
개인정보보호법에서 요구하고 있는 암호화에 대한 주요 요건을 정리해보면 다음과 같다.
 
첫째, 암호화 대상은 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호와 같은 고유식별정보및 비밀번호, 바이오 정보이며, 비밀번호의 경우 복호화되지 않도록 일방향 암호화하도록 하고 있다.
 
둘째, 암호화 기준은 전송 시 암호화와 저장 시 암호화로 구분되며, 전송 시의 경우 정보통신망을 통하여 송수신되는 모든 개인정보는 개별 암호화하거나 SSL 등의 구간 암호화 또는 전용선을 이용하도록 하고 있다. 또한 저장매체를 통해 개인정보를 전달하는 경우 역시 암호화 기능을 제공하는 보조저장매체를 사용하거나 개인정보를 암호화 저장하도록 하고 있다. 예외적으로 내부망 내에서 송?수신되는 고유식별정보는 업무상 필요할 경우 암호화 대상에서 제외할 수 있으나, 비밀번호와 바이오정보는 반드시 암호화해야 한다.
 
셋째, 저장 시의 경우 인터넷 구간, DMZ 구간, 개인정보취급자 PC에 저장되는 고유식별정보와 비밀번호, 바이오정보는 암호화하여 저장해야 한다.
 
넷째, 암호화 적용 시 미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT 등의 국내외 암호 연구기관에서 권고하는 256Bit 이상의 안전한 암호알고리즘을 이용하도록 하고 있다.
 
‘암호화’는 개인정보취급자의 실수 또는 외부 공격자(해커)의 공격 등으로 인해 개인정보가 비인가자에게 유?노출되더라도 그 주요 내용을 확인할 수 없게 하는 보안기술을 의미한다. 주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트워크를 통해 전송될 경우, 불법적인 노출 및 위?변조 등의 위험이 있으므로 암호화를 통해 이를 해소하고자 하는 것이다.
 
하지만 DB암호화의 경우 단순히 DB 내 개인정보가 암호화 되어 있다고 해서 개인정보취급자의 실수나 외부 공격 등에 안전하다고는 볼 수 없다. DB암호화는 복호화를 전제로 적용된 보호조치이기 때문에 정상적인 접근 권한을 보유한 계정이나 사용자는 결국 복호화된 개인정보를 조회하거나 추출하여 업무에 이용하게 되므로 복호화 될 수 있는 모든 개인정보 흐름 상의 통제와 DB암호화 키관리 등이 병행되어야 한다.
 
최근 발생되고 있는 개인정보 유출 사고를 살펴보더라도 관리자 페이지나 Web/Was와 DBMS간 연동에 이용되는 계정 해킹과 권한 우회 등을 통해 정상적으로 복호화 되어 조회/노출되는 대량의 개인정보를 Target으로 하는 유출 시도가 많은 비중을 차지하고 있다.
 
따라서, 개별 서비스 상에 존재하는 웹 취약점이나, 정상적으로 복호화 제공되는 개인정보취급업무 프로세스 상의 문제점, 관리자 페이지 등을 통해 과도하게 보여지는 개인정보의 제한 및 접근통제, 유휴 및 관리자 계정관리 등의 개선 조치가 반드시 수반되어야 비로서 안전하다고 할 수 있다.
 
이처럼 DB암호화로 법적 요건은 충족시킬 수 있지만 반드시 병행되어야 할 개선 조치 사항들이 존재하고, 암호화 적용 시 발생되는 서비스 가용성 저하, 기존 프로그램 변경 개발, 암호화 솔루션 도입 및 하드웨어 교체 등의 비용이 환경에 따라 수십억~수백억 이상이 발생된다는 점에서 DB암호화는 기업 및 공공기관에 큰 고민거리이며 부담이 되고 있다. 심지어 이러한 서비스 Risk와 비용을 감수하면서 진행 할 정도로 효율성이 있겠느냐는 회의적인 입장들까지 나타나고 있다.
 
이런 이유 등으로 기존에 구축된 개인정보처리시스템 DB에 당장 암호화를 적용하기 힘든 개인정보보호법 적용 대상 기업들은 ‘개인정보의 안정성 확보조치 기준 제7조 5항’에 따라 암호화의 적용여부 및 적용범위를 결정하여 조치할 경우 DB 내 개인정보의 안전한 보호 및 활용을 위해 필요한 기본 보호조치 적용과 고유식별정보 저장 시 암호화에 대한 법적 요건을 모두 충족시킬 수 있다. (단, 정보통신망법 적용 대상자의 경우는 무조건 암호화 적용해야 한다.)
 
개인정보보호법 ‘개인정보의 안정성 확보조치 기준 제7조 5항’은 비밀번호나 바이오정보는 반드시 암호화 해야 하지만 인터넷 구간이나 DMZ 구간이 아닌 내부망에 주민등록번호 등 고유식별정보를 저장하는 경우, 개인정보 영향평가 또는 위험도 분석 결과에 따라 암호화 적용여부 및 적용범위를 결정하여 시행할 수 있다는 내용이다.
 
위험분석 수행에 대한 세부적인 기준 및 해설서(행정안전부 공고 제2012-112호)는 4월 초에 공고 되었으며, 공공기관의 경우 영향평가 수행에 대한 세부적인 기준 및 해설서는 개인정보보호법 제33조, 시행령 38조, 개인정보영향평가에 관한 고시(행정안전부장관 고시 제2011-39호, '11.9.30) 등을 참조하면 된다.
 
이 방안은 개인정보처리시스템과 DB를 인터넷, DMZ, 일반 내부망과 물리적 또는 논리적 별도의 망으로 분리하여 구성하고, 정책, 네트워크, DB 및 Application, 웹 영역의 26개 보호조치를 명확히 적용하는 것이 서비스 Risk와 비용 부담이 유발되는 DB암호화 보다 공공기관과 기업에게 더 현실적인 개인정보의 안정성 확보와 능동적인 보호조치 활동이 될 수 있다는 취지로, 단순히 DB암호화를 피하는 방법으로 악용 되어서는 안될 것이다.
 
법 규정을 피해가기 위한 수단이 아닌 보안사고 발생 위험을 감소시키고 피해를 수습 가능한 수준으로 최소화 하기 위한 노력들이 수반될 때, 그리고 이를 위한 사용자와 보안 담당자들의 보안 의식이 함께 할때 비로소 체계적인 개인정보호가 이루어질 것이다.
[글. 인포섹 컨설팅사업본부 윤선중 수석컨설턴트]