2020-12-02 15:40 (수)
“올해 말까지 개인정보 암호화 여부 결정해야!”
상태바
“올해 말까지 개인정보 암호화 여부 결정해야!”
  • 길민권
  • 승인 2012.06.14 11:15
이 기사를 공유합니다

고유식별정보 DB암호화냐, 아니면 위험도분석 기준 준수할 것인가

개인정보보호법 위험도분석표 컨퍼런스가 6월 12일 팔래스 호텔에서 350여 명의 국내 공공, 금융, 기업 개인정보보호 담당자가 모인 가운데 개최됐다. 이번 컨퍼런스는 데일리시큐가 주최하고 행정안전부 개인정보보호과와 소만사의 협조로 이루어졌다.
 
영향평가 대상이 아닌 공공기관과 기업은 오는 12월말까지 고유식별정보 DB암호화를 완료할 것이냐, 아니면 위험도분석표 26개 조항을 모두 지킬 것이냐를 결정해야 한다.
 
개인정보보호법 고시 개인정보의 안전성 확보조치 기준 7조 5항에는 내부망에 고유식별정보 저장시 암호화 적용 여부 및 범위는 영향평가 대상인 공공기관은 영향평가 결과에 따라, 그리고 그외 공공기관 및 기업체는 위험도분석 결과에 따른다고 명시하고 있다.
 
위험도분석이란 고유식별정보 DB암호화를 하지 않을 경우 개인정보처리자가 이행해야 하는 최소한의 보호조치 기준으로 26개 항목 중 하나라도 미이행하면 DB암호화대상이 되는 것이다.
 
이날 컨퍼런스는 DB암호화와 위험도분석표에 대한 궁금증을 행정안전부 개인정보보호과 차건상 전문위원으로부터 직접 설명을 듣고 궁금증을 해소할 수 있는 첫 자리로 마련됐다. 그래서 예상보다 많은 관심이 쏠린 컨퍼런스가 됐다.
 
차건상 위원은 첫 발표에서 ‘개인정보의 안정성 확보조치 기준 및 위험도 분석 기준 소개’란 제목으로 발표를 진행했다. 차 위원은 “개인정보처리자는 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 기술적, 관리적 및 물리적 조치를 강구해야 한다”며 “내부관리계획을 수립하고 이행해야 하며 기술적 조치로는 접근권한의 관리, 비밀번호 관리, 접근통제 시스템 설치 및 운영, 개인정보의 암호화, 접속기록의 보관 및 위변조 방지, 보안프로그램의 설치 및 운영 등이 필요하고 물리적 접근 방지도 이루어 져야 한다. 이에 대한 미조치에 따른 개인정보 유출시 2년 이하 징역 또는 1000만원 이하 벌금, 보호조치 미비 시에는 3000만원의 과태료과 부과될 수 있다”고 강조했다.
 
특히 이날 차 위원의 발표중 참관객들이 큰 관심을 갖고 경청한 부분은 바로 ‘개인정보의 위험도 분석 기준’ 부분이다.
 
개인정보처리자는 내부망에 고유식별정보 저장시 위험도분석 결과에 따라 암호화 조치를 실시해야 한다는 것이다.
 
차 위원은 “암호화 여부 판단을 위해 개인정보처리자가 스스로 분석하는 점검표이며 개인정보파일 단위로 작성되고 위탁시에는 위탁기관에서 작성한다. 또 개인정보처리시스템 증설, 외부망 연계, 기타 운영환경 변경시 지속적으로 실시해야 하고 2012년 9월 이내에 영향평가를 실시하기 어려운 공공기관의 경우, 위험도 분석 점검표를 이용해 암호화 여부를 판단할 수 있다”고 설명했다.
 
그는 현장에서 위험도 분석 점검표 예시를 보여주며 상세한 설명을 덧붙였다. 위험도 분석 점검표는 privacy.go.kr에서 다운로드 할 수 있으며 분석기준과 해설서 등도 다운로드해 참고할 것을 당부했다.
 
또한 개인정보보호 기술지원센터(118센터)를 적극 활용할 것도 권고했다. 지난해 10월 19일 한국인터넷진흥원(KISA)에 개소한 기술지원센터는 주로 소상공인 및 중소사업자를 대상으로 하고 있다.
 
센터에서는 법적용 대상 기업들이 어려워하는 법령 해석 등 전문 상담을 제공하고 있으며 보호조치 상담 및 교육, 기술적, 관리적 보호조치 전문 상담 및 컨설팅을 받을 수도 있다. 더불어 보호조치 솔루션 구축 지원 및 웹취약점 점검도 받을 수 있다고 전했다.
 
현재 1~4인 이하 소상공인을 대상으로 업무용 PC 이용해 개인정보를 처리하는 사업자에게 업무용 PC대상 백신을 기업당 최대 2개를 무상으로 지원하고 있으며 5~49인 이하인 중소사업자를 대상으로 개인정보처리시스템을 이용해 개인정보를 처리하는 사업자에게 백신, 파일암호화, 방화벽, 보안서버 등 보호조치 솔루션 도입 비용을 매칭펀드 방식으로 최대 120만원까지 지원을 해주고 있다.
 
차건상 위원은 “암호화 여부에 대해서는 개인정보처리자가 최종 판단해야 한다. 각 기업 상황과 여건에 맞게 암호화가 편리하다면 암호화를 하는 것이 맞고 그렇지 못한 상황이라면 위험도분석 기준에 맞춰 철저히 준비해야 한다”고 밝혔다.   
 
데일리시큐 길민권 기자 mkgil@dailysecu.com