2024-03-28 20:15 (목)
궁금했던 개인정보 위험도분석 기준 Q&A...차건상 위원
상태바
궁금했던 개인정보 위험도분석 기준 Q&A...차건상 위원
  • 길민권
  • 승인 2012.06.14 07:26
이 기사를 공유합니다

행안부 차건상 위원과 개인정보 위험도분석 기준 Q&A 시간가져

<행안부 개인정보보호과 차건상 전문위원 발표장면>

개인정보보호법 위험도분석표 컨퍼런스가 6월 12일 팔래스 호텔에서 350여 명의 국내 공공, 금융, 기업 개인정보보호 담당자가 모인 가운데 성황리 개최됐다. 이번 컨퍼런스는 데일리시큐가 주최하고 행정안전부 개인정보보호과와 소만사의 협조로 이루어졌다.
 
이날 컨퍼런스의 메인이벤트는 바로 행정안전부 개인정보보호과 차건상 전문위원의 발표내용이었다. 위험도분석 기준 소개에 이어 참관등록시 사전에 받은 참관객들의 질문에 대해 FAQ 형식으로 차건상 위원의 답변이 이어졌다.
 
여기서는 주요한 질문과 답변을 소개하도록 하겠다. 좀더 자세한 사항에 대해 행안부는 추후에 Q&A자료집을 발간 배포해 현장관리자들의 어려움을 해소해 나가겠다고 밝혔다. 다음은 컨퍼런스 현장에서 이루어진 질문과 답변 내용이다.
 
Q. 내부 직원의 인사정보와 외부 전문가 정보 등의 DB를 관리하고 있습니다. 개인정보보호법에 따라서 별도의 안전장치를 해야 하나요?
A. 개인정보처리자는 개인정보가 분실?도난?유출?변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적?관리적 및 물리적 조치를 하여야 합니다(개인정보보호법 제29조).
 
Q . 이전에 수집한 개인정보도 모두 암호화해야 하나요?
A. 개인정보보호법 시행령 제25조 및 제33조에 따라 암호화해야 하는 개인정보는 고유식별정보, 비밀정보 및 바이오정보를 말합니다. 법 시행전('11.9.30)에 수집?보유하고 있는 개인정보 암호화는 '12년 12월 31일까지 유예기간을 부여하고 있으므로, 법 시행 전에 수집한 개인정보 중 고유식별정보, 비밀정보, 바이오정보가 있다면 '12년 12월 31일까지 암호화조치를 하여야 합니다.
 
Q. 국내에 있는 직원의 DB가 해외 시스템에 있는데 암호화를 해야 하나요?
A. 해외 시스템에 DB가 있다고 하더라도 국내의 법률을 준수하여야 합니다. 따라서 개인정보제공자 및 수신자, 수신한 자로부터 개인정보를 재차 수령한 제2의 개인정보처리자는 개인정보가 이전되는 과정 또는 이전된 이후 개인정보가 불법열람, 유출 등 침해가 발생되지 않도록 적절한 수준의 기술적?관리적 안전성 확보조치를 취하여야 합니다.
 
Q. 개인정보보호법 시행 이후 개인정보 안전성 확보조치(암호화 등), 주민등록번호 대체수단, 영향평가 등은 유예기간이 언제까지 인가요?
A. 암호화 등 개인정보의 안전성 확보조치는 2012. 12. 31일까지 완료해야 하고 주민등록번호 외의 회원가입 방법 제공 의무는 2012. 3. 30일부터 시행됩니다. 그리고 개인정보영향평가는 2016. 9. 30일까지 완료해야 합니다.
 
Q . 개인정보 DB가 내부에 관리되면 암호화조치를 반드시 해야 하나요?
A. 개인정보의 안전성 확보조치 기준 제7조 제5항에 따라 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각호의 기준에 따라 암호화의 적용여부 및 적용 범위를 정하여 시행할 수 있습니다.
1. 개인정보보호법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보영향평가의 결과에 따라 암호화
2. 위험도 분석에 따른 결과에 따라 암호화 여부 결정
 
Q. 서비스 제공이나 상담 등을 위해서는 회원들의 주민등록번호 앞 6자리(생년월일)를 활용할 경 우가 많은데, 주민등록번호를 모두 암호화하면 암호화/복호화에 따라 시스템에 상당한 부하가 발생합니다. 별다른 방법이 없나요?
A. 주민등록번호와 비밀번호 등은 원칙적으로 전부 암호화해야 하지만 시스템 운영이나 고객 식별을 위해 해당 개인정보를 활용해야 하는 경우에는 그 개인정보의 일부만을 암호화할 수 있습니다.
예를 들어 주민등록번호의 생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리6개 번호 이상을 암호화(예: 750101-1******)해도 가능합니다.
 
Q. 규모가 작은 중소기업으로 인터넷 회원수도 많지 않고 보유하고 있는 개인정보도 성명, ID, 비밀번호, 주민등록번호, 주소 등 비교적 단순한 경우인데도 개인정보를 모두 암호화 해야 하나요?
A. 법령 제25조 및 제33조에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말합니다. 따라서 이 경우 비밀번호와 주민등록번호만 암호화 대상입니다.  
규모가 작은 영세 사업자는 장비에 투자할 여력이 없으므로 경제적 부담이 가중될 수 있습니다. 비용이 크게 소요되지 않은 전송암호화는 법 시행과 동시에 해야 합니다. 행정안전부에서는 ‘개인정보보호 기술지원센터’를 설치해 암호화 솔루션 보급, 취약점 원격점검, 업종별 교육홍보 컨설팅 등을 지원하고 있으니 적극 활용바랍니다.
 
Q. 개인정보보호법 관련 위험도분석을 통해 암호화를 안하기로 했다고 결정했을때 타법(정보통신망법)과의 연관도 및 영향도는?
A. 개인정보보호법과 정보통신망법의 관계는 적용대상을 먼저고려하여야 합니다. 정보통신서비스 제공자의 경우 개인정보보호법 제6조(다른 법률과의 관계)에 따라 정보통신망법을 적용받게 됩니다. 따라서 위험도 분석 기준은 개인정보보호법 적용 대상 기업(기관)에 한합니다.
 
Q. - DB암호화 최소 범위는 어디까지 일까요?
- 주요 정보자산의 암호화 범위를 어디까지로 봐야 할까요?
- DB암호화 대상에 대한 명확한 범위는 ?
- 내부에서만 사용하고 있는 인사DB도 암호화를 해야 하는지요?
- 그룹웨어 인사시스템 등에 포함된 임직원의 고유식별번호에 대한 암호화 여부 또한 개인정보에 해당되어 위험도분석을 필히 수행해야 하나요?

A. 암호화의 범위는 개인정보보호법 시행령 제21조 및 영 제30조에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말합니다. 여기에 해당된다면 암호화 대상입니다.
 
Q. 법시행 이전에 수집된 내부 직원의 개인식별 번호에 대한 수집/이용에 대한 동의 및 암호화를 해야 하나요?
A. 암호화 대상에 포함됩니다.
 
Q. 업무 진행 시 생성되는 계약서와 견적서상에 표기되는 개인정보에 대해 보호조치를 해야 하나요? 하드카피에 대해 시건장치가 된 보관장소에 보관 등 이러한 조치를 해야 하나요?
A. 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관해야 합니다.
 
Q. 개인정보취급담당자의 정확한 기준과 개인정보 보관 유무에 대한 판단 기준은 어떻게 되나요?
A. 개인정보취급자란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 말합니다. 또 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다.
또 개인정보는 1건이나 100건이나 모두 개인정보에 해당됩니다. 따라서 이에 대한 안전성 확보조치는 모두 수행해야 합니다.
 
Q. 국내에 위치한 서버에서 운영하는 해외 현지 공장의 채용사이트 운영시 습득되는 개인정보에 대해 국내법에 준하는 개인정보보호의 조치를 해야 하나요?
A. 국내 법인을 운영하면서 국내 위치한 개인정보처리시스템은 “개인정보의 안전성 확보조치”를 수행하여야 합니다.
 
Q. DBA업무를 담당하고 있습니다. DB암호화는 현실적으로 적용하기 힘든 상황입니다. 암호화를 하지 않고 접근제어를 통해서도 관련 법규사항을 준수 할 수 있는 방법이 있는 것인지요?
A. 암호화 대상정보가 저장되어 있는 위치에 따라 적용 기준이 상이하며 또한 개인정보보호법 시행령 제30조에 따라 암호화 또는 이에 상응하는 조치를 수행하여야 합니다.
 
Q. 직원들의 개인정보(인사급여시스템)만 취급하고 타 기관으로 활용하지 않을 때  DB암호화와 DB접근제어 모두 구축해야 하나요? 또한 DB암호화로 DB접근제어를 포함 시킬 수는 없나요?
A. 개인정보의 안전성 확보조치 기준에 따라 암호화 조치를 수행하여야 합니다. 다만 DB 접근제어 시스템은 암호화 조치를 수행하는 경우 필수 조치사항은 아닙니다.
 
Q. DMZ구간에 고유식별번호를 제외한 아이디, 비밀번호, 주소, 이름, 연락처 등 개인정보를 보유하고 있을 경우 꼭 DB암호화를 해야 하는지요?
A. 아이디, 주소, 연락처는 암호화하지 않아도 되지만 비밀번호는 암호화 하여야 합니다.
 
Q. 임직원의 주민번호도 모두 암호화 대상입니까?
A. 임직원의 주민번호도 암호화 대상입니다.
 
Q. DB암호화를 하지 않을 경우 위험도분석표 26개 조항은 모두 준수해야 하는지요? 위험도분석표의 조항은 법적 효력이 있는지요?
A. DB암호화를 하지 않을 경우 위험도분석표 26개 조항은 모두 준수해야 합니다. 위험도 분석 기준을 만족하지 않고(암호화에 상응하는 조치) 암호화를 하지 않은 경우 개인정보보호법 제29조, 동법시행령 제30조에 대한 조치를 수행하지 않은 경우에 해당됩니다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★