전사적 개인정보 보유현황과 흐름 파악 중요해
방통위, 중대 개인정보보호법규 위반 기업 검찰고발 가능
정보통신망법 개인정보보호 규정이 2012년 더욱 강화됐다. 지난 12월 29일 국회를 통과하고 곧 공포될 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안은 공포 6개월 후 시행될 예정이며 향후 대통령령 및 고시가 공포될 예정이다.방통위, 중대 개인정보보호법규 위반 기업 검찰고발 가능
김대환 소만사 대표는 “이번 개정안을 살펴보면 대규모 유출사고 방지를 위해 개인정보보호 체계를 강화하고 정보보호 관리체계 인증제도를 일원화한다는데 초점이 맞춰져 있다”며 “이제 기업들은 주민등록번호 수집과 이용이 힘들어지고 개인정보 누출시 이용자에게 통지 및 신고, 임원급 CISO 임명, 침해사고 발생시 즉시 방통위에 신고해야 하고 불이행시 과태료 처벌을 받게 된다”고 강조했다.
또 “현행 정보보호 안전진단 제도를 폐지하고 정보통신망 계획단계에서 정보보호 사전점검 실시 및 방통위가 정보보호 사전점검 기준에 따라 보호조치 권고가 가능하다. 또한 개인정보보호 관리체계 인증제도(PIMS인증)의 법적 근거도 이번에 마련됐다. 더욱이 중대한 개인정보보호 법규를 위반할 경우 방통위가 해당 기업을 검찰고발 할 수 있게 됐다”고 설명했다.
여기서 중대한 개인정보보호 법규위반이란, 접근통제장치, 접속기록 위변조 방지, 전송 및 저장시 암호화, PC백신 설치를 하지 않아 개인정보가 유출된 경우 그리고 동의없는 개인정보 수집(민감정보, 14세 미만 아동정보 포함), 동의없는 취급위탁, 수집목적 외 이용 및 3자 제공 등이 여기에 해당된다.
이에 소만사 관계자는 “전사적으로 개인정보 보유 현황과 흐름을 파악하는 것이 중요하다”며 “우선 주민번호 이용을 제한하고 휴면 사용자 개인정보 파기, 개인정보 이용내역을 주기적으로 이용자에게 통지해야 한다. 또 개인정보 누출시 이용자에게 즉시 통지해야 한다”고 조언했다.
◇개정안에 대한 기술적 대책
1. 주민번호 수집 이용 제한(제23조의 2)
강화된 개정안에 따르면, 이용자의 주민등록번호를 수집·이용할 수 없다고 규정하고 있다. 주민번호 수집 및 이용이 가능한 경우는 정보통신망법에 따른 본인확인기관과 다른 법령에 허용한 경우, 방통위가 고시하는 주민번호 수집 및 이용을 반드시 해야 하는 서비스 제공자만 가능하다. 이에 대한 기술적 대책은 DB서버, PC, USB, 출력물 등 전사적 주민번호 검출 및 파기가 필요하다.
2. 개인정보 누출 등의 통지 신고(제27조의 3)
신설된 내용으로, 개인정보 누출 사실을 알았을 경우 이용자에게 누출된 개인정보 항목, 누출시점, 이용자가 취할 수 있는 조치, 서비스 제공자 대응조치, 상담접수부서 및 연락처 통지가 필요하고 방통위에 신고해야 한다. 또 개인정보 누출 대책 마련 및 피해최소화 조치도 강구해야 한다.
여기에 필요한 대책은 개인정보 누출 채널인 네트워크, 출력물, 이동식저장장치 등에 대한 보안 즉 DLP 솔루션이 필요하다.
3. 개인정보 이용내역 통지(제30조의 2)
신설된 내용으로, 개인정보 이용내역(3자제공 및 위탁포함)을 주기적으로 이용자에게 통지해야 한다. 이 부분은 대통령령에서 구체화될 예정이다. 이에 대한 대책으로는 전사적 개인정보 현황 및 흐름분석이 필요하다. 특히 PC, 출력물, USB 등 직원이 보유한 개인정보 현황분석이 필요하다.
4. 정보보호 사전점검 및 방통위의 사전 점검기준에 따른 보안권고(제45조의 2)
신설된 내용으로, 정보통신망 신규구축 및 제공시 계획, 설계단계에서 정보보호를 고려해야 한다. 또 방통위는 방통위의 인·허가, 등록신고 대상인 서비스 제공자와 방통위가 사업비를 지원하는 사업자를 대상으로 정보보호 사전점검 기준에 따라 보호조치를 권고할 수 있다.
여기에 대한 대책은 영향평가 및 위험도 분석서비스가 필요하다.
5. 정보보호 최고책임자의 지정(제45조의 3)
신설된 내용으로 임원급의 정보보호 최고책임자를 지정할 수 있다. 이 부분은 방통위 산하 CISO협의회 설립 및 정부지원이 있을 예정이다.
6. 개인정보보호 관리체계의 인증(제47조의 3)
신설된 내용으로 방통위는 개인정보보호 관리체계 인증(PIMS인증)을 할 수 있으며 관리적, 기술적, 물리적 보호대책을 포함한 인증기준을 고시할 수 있다. 또 연1회 이상 인증 사후관리를 실시하고 결과를 방통위에 통보하도록 권고할 수 있다.
7. 고발조치(제69조의 2)
신설된 내용으로 방통위는 중대한 개인정보법규 위반시 해당 서비스 제공자 등을 검찰 등 수사기관에 고발할 수 있다. 중대한 개인정보 법규 위반으로는 동의없는 개인정보수집 및 취급위탁·수집목적 외 이용 및 3자제공, 동의없이 14세 미만 개인정보 수집이 여기에 해당된다. 또 접근통제 장치, 접속기록 위변조 방지, 전송 및 저장시 암호화, PC백신 설치를 하지 않아 개인정보가 유출된 경우가 여기에 해당된다.
이 부분에 대한 대책으로는 DB방화벽(접근통제 솔루션)이 필요하다. 이를 통해 위변조방지 컴플라이언스 스토리지 탑재, 전송시 암호화가 이루어져야 한다. 또 엔드포인트 DLP를 구축해 서버, PC, 이동식저장장치 내 개인정보 암호화가 이루어져야 한다. 추가로 네트워크 DLP, 백신, DB암호화 솔루션이 필요하다.
8. 과태료 부과(제76조 11의 2)
신설된 내용으로 정보통신서비스 제공자 및 집적 정보통신 시설 사업자는 침해사고 발생시 즉시 방통위나 KISA 등에 신고해야 하며 신고하지 않으면 1,000만원 이하의 과태료 처분을 받을 수 있다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지