의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2105가 지난 28일 한국과학기술회관 국제회의실에서 300여 명의 국내 국공립, 대학병원, 중소형 병원 보안실무자 300여 명이 참석한 가운데 성황리에 개최됐다.
 
데일리시큐가 주최하고 대한병원정보협회와 대한의무기록협회 등이 후원한 이번 MPIS 2105에서 한국인터넷진흥원 김호성 팀장은 ‘2015 개정되는 개인정보보호법 기술적, 관리적 조치 방안’이란 주제로 발표를 진행했다.
 
김호성 팀장은 “해커에 의한 개인정보 유출 사고 발생시 손해배상 법정 공방 등으로 인해 기업의 존망에 직접적인 리스크로 작용하고 있다. 특히 최근 기업의 개인정보보호 조치 범위가 법원 판결에서 구체화되고 있지만, 고시 등 보호조치 의무규정에도 불구하고 개인정보 유출 사고는 지속적으로 발생하고 있어 보호조치 의무 규정이나 방식 등에 변화의 필요성이 대두되고 있다”고 말했다.
 
이어 개인정보의 안정성 확보조치 기준 고시 주요 개정 내용에 대해 “신규 악성코드, 카드 3사 개인정보 유출사고, 모바일 기기 사용 확대 등에 따른 개인정보 침해대응을 위해 고시 개정이 이루어졌다”며 다음과 같은 고시 개정 시행 주요 내용을 설명했다.

 
◇사람, 홈페이지에 의한 개인정보 유출사고 대응 강화
수탁자 관리 감독 및 USB 등 보조저장매체 반출입 통제와 홈페이지 취약점 연 1회 이상 점검 및 접속기록 반기 1회 이상 점검, 개인정보취급자별로 사용자 계정을 발급 및 공유 금지, 성명, 주민등록번호로 본인확인시 추가적인 정보 확인 등이 필수적이다.
 
◇신규 보안위협 대응조치 강화
신규 악성코드 대응을 위한 보안프로그램 업데이트를 기존 일1회 이상에서 ‘최신상태’를 유지해야 한다고 명시하고 있다.
 
◇모바일기기 이용 확대에 따른 보호조치 강화
공개된 무선망 사용시 모바일 기기 등의보호조치와 스마트폰, 태블릿PC 등 모바일 기기 분실, 도난시 개인정보 유출 방지 조치를 해야 한다.
 
◇적용이 어려웠던 제도개선
매체(디스크) 재사용, 일부 파기가 가능한 개인정보 파기방법 제시 등이 필수적으로 준비해야 할 사항들이다.
 
김호성 팀장은 “기관과 기업은 개인정보처리 수탁자에 대한 관리 감독 계획을 반드시 수립해 운영해야 하며 개인정보취급자별 계정 발급을 해야 한다. 또 주민번호로 본인확인시 추가적인 정보확인을 해야 하며 공개된 무선망 사용시 개인정보 유출 방지 조치와 홈페이지에서 고유식별정보 처리시 연1회 취약점 점검을 해야 한다”고 강조했다.
 
또 “모바일 기기에 비밀번호 설정과 MDM 운영은 필수적이며 접속기록에 대해 반기 1회 이상 점검해야 한다. 보안프로그램은 항상 최신상태로 업데이트 되어야 하며 보조저장매체에 대한 반출립 통제대책을 수립해야 한다. 또 개인정보 일부 파기시, 삭제후 복구, 재생되지 않도록 관리해야 하며 주민등록번호는 내외부망 모두 암호화 해야 하고 업무용 PC에서 HWP, 엑셀 파일 등으로 저장된 주민등록번호는 현재도 암호화하고 있어야 한다”고 주의를 당부했다.
 
위 안정성 확보조치 기준을 미조치한 상태에서 유출사고가 발생할 경우 2년 이하 징역 또는 1천만원 이하 벌금이 부과될 수 있고 주민번호 유출시 5억원 이하 과징금을 내야 한다. 또 보호조치 미비시 3천만원의 과태료를 부과받을 수 있다.
 
이외 주요 질의 사항들을 정리, 발표해 실무자들에게 도움이 될 수 있는 내용들을 전달했다. KISA 김호성 팀장의 MPIS 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com