2015년 가장 핵심적인 개인정보보호 컨퍼런스인 G-Privacy 2015가 4월 2일 목요일 오전 9시부터 양재동 더케이호텔서울 2층 가야금홀에서 공공, 교육, 금융, 대기업 개인정보보호 책임자(CPO), 실무자, IT 보안담당자 800여 명이 참석한 가운데 성황리에 개최됐다.

 
이날 컨퍼런스에서 김호성 한국인터넷진흥원(KISA) 팀장은 ‘2015년 개인정보보호법 기술적, 관리적 보호조치 방안’을 주제로 키노트 발표를 진행했다.
 
김 팀장은 개인정보의 안전성 확보조치 기준(고시) 주요 개정 내용에 대해 상세하게 설명했다. △보호책임자 지정 및 역할과 책임, 취급자 교육에 대한 내부관리 계획을 수립하고 △접근권한 관리에 있어 업무 수행에 필요한 최소한의 범위로 차등 부여, 취급자별 계정 발급, 접근권한 부여기록은 최소 3년간 보관할 것 또 △접근통제 관련해서는 방화벽 등 접근통제시스템 설치 운영, 고유식별정보 수집 홈페이지 취약점 점검 년 1회 이상, 모바일 기기 보호조치, 외부에서 접속시 VPN 등 안전한 접속수단 사용 등이 필요하다.
 
암호화 관련해서는 고유식별정보, 비밀번호, 바이오정보 등이 암호화 대상이며 정보통신망 송수신 등의 경우 암호화해야 하고 저장시에는 비밀번호 및 바이오정보를 암호화해야 한다.
 
김 팀장은 “특히 고육식별정보는 인터넷 구간, DMZ 구간 저장시 암호화하고 내부망 저장시 위험도 분석에 따라 암호화 적용 여부와 적용 범위를 결정해 시행하면 된다”며 “또 접속기록 보관 및 점검은 최소 6개월 이상 보관하고 반기별 1회 이상 점검해야 한다. 이외 백신 등 보안프로그램을 설치해 자동 또는 매일 1회 이상 최신 업데이트를 진행해야 한다. 이러한 확보조치 기준을 따르지 않으면 2년 이하 징역 또는 1천만원 이하 벌금, 주민번호 유출시 5억원 이하 과징금에 해당된다. 또 보호조치 미비는 3천만원 과태료에 해당된다”고 설명했다.
 
이어 김두현 한국정보화진흥원 부장은 ‘홈페이지상에서의 개인정보보호’를 주제로 키노트 발표를 진행했다. 김두현 부장은 “홈페이지 상에서 개인정보 유 노출 유형은 주로 민원상담 게시판, 게시판 혹은 고시의 첨부파일 등에서 주로 발생하며 외부 검색엔진 노출, 소스코드 노출 등으로도 유 노출이 이루어지고 있다. 원인은 주로 담당자의 부주의와 홈페이지 설계 오류, 개인정보 필터링 등 시스템 미비 등이 원인이다”라고 지적했다.
 
조치 방안에 대해서는 “웹 DB의 인증, 입력값 검증, 권한검증, 암호화, 대량의 개인정보 처리시 적설성 등을 고려하고 개발 위탁시 계약서 등에 홈페이지, DB 등의 설계, 운영상 보안조치 사항을 명시하고 내외부 보안인력을 활용한 계약사항 준수 여부 등을 점검해야 한다”고 밝히고 “필터링, 차단 보안솔루션 등을 구축 사용하고 웹 서버 보안설정, OWASP Top 10 등 웹 취약점 조치에도 노력해야 한다”고 강조했다.
 
더불어 “홈페이지 설계, 보안장비, 보안설정의 접근통제 적절성 등을 주기적으로 검사하고 내부, 파견, 시간제, 용역 직원 등 외주인력에 대한 보안정책 준수여부 등도 철저하게 검사해야 한다”고 당부했다.
 
다음은 소만사 최일훈 부사장은 ‘법 개정을 만족하는 개인정보 보호 기술’이란 주제로 키노트 발표를 진행했다.
 
최 부사장은 개인정보보호 안정성 확보조치 및 기술적 보호조치에 대한 상세한 내용을 설명하면서 “개인정보에 대한 전사적 통제체제를 획득하는 것이 중요하다. 개인정보 라이프 사이클에 걸친 선량한 관리자 의무를 다해야 한다”며 “개인정보가 과다 조회, 활용되는지 통제와 감사는 필수적이며 1회성이 아니라 주기적이고 지속적으로 체크하는 것이 중요하다”고 강조했다.
 
오후 세션발표로는 ‘개인정보보호 및 내부정보유출방지(DLP) 전략과 시연’을 주제로 컴트루테크놀로지 컨설팅팀의 발표와 ‘기업의 환경변화에 따른 Endpoint 보안 방안’을 주제로 닉스테크 강서일 차장, ‘똑똑한 해커에 대응하는 입체적인 방어기법!’을 주제로 안랩 김재열 팀장의 발표가 이어질 예정이다.
 
또 ‘외주인력, 모니터링을 시작할 때입니다’라는 주제로 좋을 김영혁 상무의 발표와 ‘2015년 보안의 화두 데이터 보안’을 주제로 바넷정보기술 박상호 본부장, ‘보안 이상징후탐지 시스템’이란 주제로 네이버 시스템 변세환 팀장의 발표가 이어진다.
 
한편 오후 키노트 발표로는 ‘한수원 사이버공격 사고 분석’을 주제로 하우리 차세대보안연구센터 최상명 센터장의 발표에 이어 ‘악성코드의 원천적인 차단을 위한 신개념 선제적 대응 전략’을 주제로 유퀘스트 강종철 대표, ‘현장 중심의 PIPL(개인정보보호인증) 방법론을 통한 인증 획득 방안’을 주제로 싸이버원 조일연 책임, 마지막으로 ‘015년 공공/기업 개인정보보호 실태점검 계획 및 주요 점검 사항’을 주제로 행정자치부 개인정보보호과 조성환 과장의 발표로 컨퍼런스가 종료된다.

 
한편 컨퍼런스장 로비에는 네이버시스템, 닉스테크, 바넷정보기술, 소만사, 에어큐브, 위즈디엔에스코리아, 유퀘스트, 이지서티, 지란지교에스앤씨, 좋을, 컴트루테크놀로지 등이 참여해 최신 개인정보보호 및 정보보호 솔루션 등을 소개하는 전시회도 열려 참관객들에게 유용한 정보들을 전달했다.
 
이번 데일리시큐가 주최하고 행정자치부, 한국인터넷진흥원, 한국정보화진흥원 등이 후원한 G-Privacy 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com