이날 한국인터넷진흥원(KISA. 원장 김석환) 김종표 팀장(사진)은 '개인정보의 기술적 관리적 보호조치 방안'을 주제로 키노트 발표를 진행했다.
김종표 팀장은 "최근 개인정보 유출사고 원인은 대부분 해킹사고에 의해 발생했다. 통계자료를 보면 개인정보 유출 원인의 64.1%가 외부공격(해킹)에 의해서고 15.4%가 시스템 오류, 12.8%가 내부직원 유출, 7.7%가 관리자 부주의가 원인으로 조사됐다"고 설명하고 이어 "개인정보 침해 접수현황을 보면 기술적〮관리적 보호조치 미비로 인한 침해유형이 큰 비중을 차지하고 있다. 이에 대한 철저한 대비가 필요하다"고 강조했다.
이어 최근 개인정보보호법 개정 주요 내용에 대해 상세한 설명을 이어갔다. △주민번호 전자적 보관시 반드시 암호화 △주민번호 처리 제한 강화 △정보주체 보호 강화 등에 대해 설명했다. 특히 개인정보가 유출된 경우 행정안전부와 KISA 등 전문기관에 신고대상이 1만명 이상에서 1천명 이상 유출시로 변경돼 1천명 이상 유출사고 발생시 반드시 신고해야 한다고 강조했다.
더불어 개인정보의 기술적 관리적 보호조치 기준에 대한 설명도 이어졌다. 최근 신설된 내용으로는 △개인정보 보유량 및 사업자 유형에 따른 안전조치 기준 적용 △관리용 단말기 임의조작 금지, 목적외 사용금지 △위기대응 절차 마련 및 점검, 백업 및 복구 계획 마련 등을 설명했다.
개인정보의 기술적 관리적 보호조치 기준은 개인정보처리자는 개인정보가 분실•도난•유출•위조•변조 또는 훼손되지 안도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다. 특히 이 기준은 개인정보처리자가 개인정보를 처리함에 있어서 안전성 확보에 필요한 기술적‧관리적 및 물리적 안전조치에 관한 최소한의 기준이다.
이어 김 팀장은 "개인정보 안전성 확보조치 통계를 보면 공공이 내부관리계획은 97% 가량으로 높고 민간은 49%대에 불과한 것으로 조사됐다. 또 접근통제, 접근권한부여, 개인정보 암호화, 송수신 암호화, 접속기록 보관, 잠금장치 보관, 재해재난 대비 등 모든 통계에서 공공이 민간보다 앞선 것으로 조사됐다. 민간 기업의 보다 적극적인 안정성 확보조치 적용이 필요한 상황이다"라고 강조했다.
또 그는 2018년 주요 개정 내용에 대해 내부관리 계획 수립, 이행 등 관리적 분야, 접근통제, 접속기록 위변조 방지, 개인정보 암호화, 악성프로그램 방지 조치 등 10개 조문을 보완했으며 지난 15년 고시 개정을 통해 반영된 보호조치 기준의 목적, 최대 접속시간 제한조치, 암호화 대상 확대 등 바뀐 제도가 추가됐다고 전하고 상세 설명도 덧붙였다.
한편 공식별정보 보유여부 사전조사는 올해 3~4월, 기관현황 등록 및 자체점검은 4월~6월, 자체점검 결과 확인은 7월~8월, 현장점검은 9월~11월에 이루어질 예정이라고 전했다.
김종표 한국인터넷진흥원 팀장의 발표자료는 G-Privacy 2018 등록사이트에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
