국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2017이 지난 5월 18일 한국과학기술회관 대회의실에서 의료기관 정보보안 실무자 400여 명이 참석한 가운데 성황리에 개최됐다. 이 자리에서 김호성 한국인터넷진흥원(KISA) 개인정보보호본부 단장은 ‘의료기관 개인정보보호법 준수를 위한 기술적 관리적 보호조치 방안’을 주제로 강연을 진행했다.

김호성 단장은 이날 강연에서 최근 법개정 주요 내용과 개인정보의 안전성 확보조치 기준, 위반사례에서 배우는 준수 방안 등에 대해 상세히 설명하며 실무적인 정보를 제공했다. 주요 내용은 다음과 같다.

◇개인정보보호법 최근 개정 사항

-암호화: 100만명 미만 주민번호 보관 기업은 올해 1월1일부터 그리고 100만명 이상 보관기업은 2018년 1월1일부터 반드시 암호화해야 한다.

-출처고지: 정보주체 동의에 따라 제3자로부터 제공받아 개인정보를 처리하는 경우 출처를 서면, 전화, 문자발송, 전자우편 등으로 3개월 이내 고지해야 한다. 수집출처 미고지시 3천만원 이하 과태료를 받게 된다.

-민감정보 보호강화: 민감정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 안전성 확보조치를 수행해야 한다. 유출시 2년 이하 징역 또는 2천만원 이하 벌금형에 처해진다.

-고유식별정보보호 강화: 고유식별정보의 안전성 확보조치를 했는지 행정자치부가 년1회 이상 조사한다. 공공기관, 정보주체 5만명 이상의 고유식별정보처리자 및 정보주체 100만명 이상의 개인정보처리자가 대상이다.

-피해구제 강화: 2016년 7월 25일 이후 유출사고에 대해 징벌적 손해배상제도와 법정 손해배상 제도를 적용한다. 기업의 고의, 중과실로 개인정보 유출 또는 동의없이 활용해 피해가 발생했을 경우 징벌적 손해배상은 실제 피해액의 3배 이내 배상, 법정 손해배상제도는 300만원 이하의 범위에서 상당한 금액을 배상해야 한다.

◇개인정보의 안전성 확보조치 기준

-개인정보처리자는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 내부 관리계획을 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 해야 한다. 이 안전조치 기준은 최소한의 기준이다.

-지난해 9월 신설된 안전성 확보조치 기준 내용으로는 △개인정보 보유량 및 사업자 유형에 따른 안전조치 기준 적용 △관리용 단말기 임의조작 금지, 목적외 사용 금지△위기대응 절차 및 점검, 백업 및 복구 계획 마련 등이다.

-개인정보보호 책임자는 년 1회 이상으로 내부 관리계획의 이행 실태를 점검 관리해야 한다. 개정 후 내부관리계획에 추가된 내용은 △접근권한 관리 △접근통제 △개인정보 암호화 △접속기록 보관 및 점검 △악성프로그램 방지 △물리적 안전조치 △개인정보보호 조직 구성 및 운영 △유출사고 대응계획 수립 시행 △위험도 분석 및 대응방안 마련 △재해, 재난 대비 개인정보처리시스템의 물리적 안전조치 등이다.

-개인정보처리시스템 측면에서 보호조치 기준 주요 사항은 다음과 같다.

△접근권한 관리(권한 변경, 말소, 3년간 기록보관)

△취급자(사용자)별 계정 발급, 비밀번호 작성규칙 수립ㆍ운영, 일정 횟수 이상 잘못 입력시 접근 제한

△외부에서 처리시스템 접속시 VPN 등 안전한 접속수단 또는 안전한 인증수단 적용

△고유식별정보, 비밀번호, 바이오 정보 저장, 송신시 암호화, 안전한 암호키 관리
(내부망에 고유식별정보 저장시에는 영향평가, 위험도 분석 결과에 따른 암호화)

△개인정보 취급자 접속기록 6개월 이상 안전하게 보관 및 반기별 1회 이상 점검

△보유기간이 경과한 개인정보 파기 (전부 또는 일부 파기)

△안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립•시행

-네트워크 측면에서 보호조치 기준 주요 내용은 다음과 같다.

△공개된 무선망 이용시 DBMS, 업무용 PC, 모바일 기기, 개인정보 유출 방지조치
(TLS 적용, 콘텐츠 암호화, WPA2/보안업데이트/신뢰된 주체가 운영하는 AP 접속 등)

△비인가자 접근통제, 유출시도 탐지/대응 기능을 포함한 조치
(방화벽, 침입탐지/방지시스템, 데이터유출방지(DLP) 등 활용)

△외부에서 개인정보처리시스템 접속시 VPN 등안전한 접속수단 또는 안전한 인증수단 적용

△고유식별정보, 비밀번호, 바이오 정보 전송시 암호화

이외에도 업무용 PC 측면, 모바일 기기 측면, 홈페이지 측면, 전산실, IDC, 자료보관실 측면 등에서 보호조치 기준을 준수해야 한다. 상세한 내용은 김호성 단장 MPIS 2017 발표자료를 참고하면 된다.

김호성 단장은 또 주요 개인정보보호법 위반 사례를 들어 실무자들의 이해를 도왔다. 주요 위반사례로는 △홈페이지 회원탈퇴시 일부 정보 미파기 △개인정보 분리보관 미 실시 △내부 관리계획에 개인정보의 안전성 확보에 필요한 조치에 관한 사항 미 포함 △외부에서 개인정보처리시스템 접속시 VPN 또는 전용선 등을 사용하고 있지 않은 상황 △정보통신망을 통해 비밀번호 송수신시 암호화 하지 않음 △패스워드 평문 저장 및 여권번호가 포함된 이미지파일 미 암호화 △수행업무에 대한 접속기록을 보관하고 있지 않음 △백신 소프트웨어 업데이트 미실시 △관리용 단말기에 화면 보호기 설정이 미흡해 비 인가자 접근이 가능한 상황 △개인정보가 포함된 서류, 보조저장 매체 등을 책상위에 보관하고 있는 상황 △재해재난 대비 위기대응 절차 미 수립 △개인정보 유출시 미통지 등이었다.

◇유출사고 발생시 조치사항

또 1건이라도 개인정보 유출사실을 인지했을 경우에는 5일 이내 정보주체에 관련 사실을 통지하고 지체없이 행정자치부, 한국인터네진흥원 등에 신고해야 한다.

통지는 서면, 전자우편, 전화, 팩스, 문자전송으로 해야 하며 1만명 이상 유출시에는 자사 인터넷 홈페이지에 7일 이상 게재해야 한다. 또 유출된 개인정보의 항목, 유출된 시점과 그 경위, 정보주체의 피해 최소화 방법, 사업자의 대응조치 및 피해구제 절차, 담당부서 및 연락처를 통지해야 한다.

김호성 한국인터넷진흥원 단장의 MPIS 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★