[PASCON 2016] 개정된 개인정보보호법 주요 내용과 대응방안

김호성 단장 “공공-민간, 개인정보보호 교육과 예산투자 여전히 부족해”

데일리시큐가 주최하는 하반기 최대 개인정보보호와 정보보안 컨퍼런스 PASCON 2016이 27일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 기업 보안실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

이번 PASCON 2016에는 개정된 개인정보보호법 준수 방안부터 지능형 보안위협 대응 방안, 수탁사 관리방안, 데이터 보안, 클라우드 보안, 외주관리, 빅데이터 시대 정보보호 전략, HTTPS에서 개인정보유출방지, 모바일 보안위협과 대응전략, 클라우드 보안, 시큐어코딩, 최근 침해사고 사례와 공격자 움직임 등 최신 보안정보들이 발표됐다.

특히 첫 키노트 발표로 한국인터넷진흥원 개인정보보호본부 김호성 단장은 ‘2017년 개정된 개인정보보호법 준수방안’을 주제로 발표를 진행했다. 김 단장은 개인정보보호법 최근 개정 사항과 개정된 개인정보의 안전성 확보조치 기준 그리고 법 제도 준수시 고려사항 등에 대해 상세한 정보를 제공했다.

◇개인정보보호법 최근 개정 사항
주민번호를 전자적으로 보관할 경우는 반드시 암호화 해야 한다. 100만명 미만 주민번호는 2017년 1월부터 적용되고 100만명 이상 주민번호는 2018년 1월부터 적용된다. 적용 시점 전까지 암호화, 위험도분석 또는 영향평가 결과에 따라 보관해야 한다.

정보주체의 권리구제 강화를 위해 고의, 중과실로 개인정보를 유출한 기관에 가중된 책임을 물어 법원이 피해액의 최대 3배까지 배상액을 부과(징벌적 손해배상)하고 개인정보 유출 등의 경우 구체적 피해액 입증 없이 법원을 통해 정해진 일정금액(1인당 300만원 이내)을 보상해야 한다.(법적 손해배상)

또 정보주체 5만명 이상의 민감 정보 또는 고유식별정보처리자 및 정보주체 100만명 이상의 개인정보처리자는 정보주체 동의에 따라 제3자로부터 제공받아 개인정보를 처리할 경우 출처를 3개월 이내 고지해야 한다.

민감정보에 대한 보안강도 강화됐다. 해당 정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 안전성 확보조치를 수행해야 하며 여기서 민감정보는 사상, 신념, 노동조합 및 정당가입, 탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력자료 등에 해당하는 정보다.

또 공공기관과 정보주체 5만명 이상의 고유식별정보처리자 및 정보주체 100만명 이상의 개인정보처리자는 고유식별정보의 안전성 확보조치를 했는지 행정자치부가 년1회 이상 조사하게 된다.

◇개정된 개인정보의 안전성 확보조치 기준
또 신설된 개인정보 안전성 확보조치 기준을 보면 △개인정보 보유량 및 사업자 유형에 따른 안전조치 기준을 적용, 개인정보보호조직 구성 및 운영, △유출사고 대응계획 수립 시행, 내부 관리계획의 이행 실태 점검, 관리를 통한 실효성 확보, △일정시간 이상 업무처리를 하지 않는 경우 시스템 접속 차단 조치, △암호키 생성, 이용, 보관, 배포, 파기 등에 관한 절차 수립 시행, △발견된 악성프로그램 등에 대한 삭제 등 대응 조치, △관리용 단말기 임의조작 금지, 목적외 사용금지, △위기대응 절차 마련 및 점검, 백업 및 복구 계획 마련 등이 신설됐다.

특히 안전조치 기준 차등 적용은 1만명 미만의 개인정보를 보유한 소상공인, 단체, 개인은 완화됐고 100만명 미만의 개인정보를 보유한 중소기업과 10만명 미만의 개인정보 보유한 대기업 및 중견기업 등은 표준 기준 적용, 이외 10만명 이상의 개인정보 보유한 대기업, 중견기업, 공공기관 등은 기준이 더욱 강화된다.

접근권한 관리에서도 일정 횟수 이상 비밀번호를 잘못 입력하면 접근 제한을 해야 한다. 그리고 접근통제 부분도, 방화벽, 침입탐지시스템 등 탐지 및 대응 할 수 있는 시스템을 운영해야 하고 외부에서 접속시 VPN 등 안전한 접속수단 또는 안전한 인증수단을 적용해야 한다. 또 업무용 모바일 기기 보호조치를 위해 일정기간 이후 자동로그 아웃이 되도록 해야 한다.

개인정보 암호화에 대해서도, 암호화 대상은 고유식별정보, 비밀번호, 바이오정보 등이며 정보통신망 송신 및 보조저장매체로 전달시 암호화하라고 규정하고 있다.

접속기록은 최소 6개월 이상 보관해야 하고 반기별 1회 이상 점검해야 한다. 또 백신 등 보안프로그램은 자동 혹은 일 1회 이상 최신 업데이트를 유지해야 하고 악성코드 발견시 대응해야 한다.

한편 관리용단말기 운영하는 경우, 임의조작 금지 및 목적외 사용방지 조치, 악성프로그램 방지 조치가 이루어져야 한다.

또 재해 및 재난 대비를 위해서 대응절차를 마련하고 정기점검, 처리시스템 복구 계획을 수립해야 한다.

김호성 단장은 “최근 몇 년 간 개인정보보호 교육 현황을 보면 공공 부문은 90%를 상회하지만 민간 부분은 35%를 넘지 못하고 있다. 개인정보보호 예산 투자도 문제다. 공공분야에서 2015년 기준 개인정보보호 예산없는 기관이 45%가 넘고 민간 부분은 87%가 넘고 있다”고 지적하고 “개인정보가 유출되면 신고를 해야 하고 CEO 및 책임자 징계, 행정기관 검사에 과태료, 과징금, 경찰조사, 집단소송, 형사처벌, 손해배상 등 엄청난 리스크가 따른다. 물론 기업 이미지 실추에 따른 매출 하락까지 이어진다. 개정된 내용에 맞게 철저하게 준비해야 한다. 또 부처 합동으로 발표된 개인정보 비식별 조치 가이드라인도 참고하고 비식별화된 정보를 이용하는 과정에서 개인정보가 생성되는 경우 이를 지체없이 파기하거나 추가적인 비식별화를 실시해야 하고 재식별행위를 금지해야 한다”고 강조했다.

김호성 단장의 ‘2017년 개정된 개인정보보호법의 이해와 준수 방안’ PASCON 2016 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 & IT 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★