법-시행령-표준지침-고시-해설서에 대한 명확한 이해 필요해
내부적 준비사항과 수집단계, 처리단계의 핵심 준수사항 정리
올해 대부분의 기업들은 개인정보보호법을 얼마나 잘 이해하고 거기에 맞게 준비하느냐에 대한 고민에 빠져있을 것으로 보인다. 여전히 많은 기업들이 행안부의 개인정보보호법 해석도 어려워 하고 있고 무엇을 핵심적으로 준비해야 하는지도 갈팡질팡하고 있는 상황이다.내부적 준비사항과 수집단계, 처리단계의 핵심 준수사항 정리
우선 기업들이 개인정보보호법 충족방안을 마련하기 위해서는 △개인정보보호법 △시행령 △표준개인정보보호지침 △행안부 개인정보의 안전성 확보조치 기준 고시 및 해설서 등을 제대로 이해 해야 한다. 그래야만 법에서 요구하는 준수사항들을 제대로 준비할 수 있다.
위의 법과 시행령, 지침, 고시, 해설서 등을 종합해서 정리해보면 다음과 같은 단계별 준수사항들로 요약할 수 있다. 개인정보 수집단계와 내부 준비사항들 그리고 처리단계에서 지켜야 할 사항들로 구분해서 정리해 보도록 하겠다. 이번 정리는 조돈섭 이글로벌시스템 이사의 도움을 받아 이루어졌다.
◇수집단계
개인정보의 수집은 기본적으로 본인 동의가 필요하다. 수집단계에서 본인동의 없이 수집이 허용되는 범위는 법령에 따른 처리 의무자가 업무처리에 필수적인 경우와 직접받은 명함, 급박한 상황에서 의사 표현이 불가한 경우 그리고 연락이 안되는 경우가 해당된다.
이외 사전 동의없이 처리한 경우 사유가 해소된 즉시 처리중단 및 본인에게 처리 사실을 통보해야 한다.
또 본인인증을 위해서 IPIN(아이핀) 인증 방식을 추가해야 한다.
◇내부적 준비 사항
내부적으로는 개인정보보호책임자를 임명해야 한다. 필수적으로 부서장급 이상을 선정해야 하고 침목단체는 면제다.
또 내부 관리계획을 작성해야 한다. 개인정보보호책임자의 의무 및 책임에 관한 사항, 개인영상정보 관리 사항, 물리적, 기술적, 관리적 보호조치에 관한 사항, 정기적 자체 감사에 관한 사항, 개인정보취급자에 대한 교육 등 개인정보보호를 위해 필요한 사항이 반드시 포함되어야 한다. 소상공인은 내부관리 계획을 작성할 의무는 없다.
이제 개인정보 처리단계로 넘어가 보자. 처리단계에서는 PC보안, 개인정보 암호화, 접근권한 통제,감사기록, CCTV 영상보안 등 크게 5가지로 구분해서 정리해 볼 수 있다.
◇PC보안
PC는 OS의 방화벽 또는 보안 프로그램의 접근통제 기능을 적용해야 하고 안티 바이러스를 설치하고 매일 업데이트를 실시해야 한다. 또 P2P 및 공유설정 포트를 차단해야 하고 전송시에는 VPN 또는 보안 서버를 이용해 SSL, IPsec 등으로 암호통신을 해야 한다.
◇개인정보 암호화
-DB저장=고유식별번호는 AES/ARIA-128 이상으로 암호화 알고리즘을 사용해야 하고 패스워드 및 바이오정보는 SHA-256 이상의 일방향 암호 알고리즘을 사용해야 한다.
-PC저장=엑셀이나 한글 등에서 제공하는 암호기능을 이용하고 USB, CD, Tape, HDD 등으로 복사하는 경우 반드시 암호화를 해야 한다.
-전송시=외부망으로 전송시 VPN 또는 보안서버를 이용해 SSL, IPsec 등으로 암호통신을 해야 한다. 또 내부망 전송시에도 비밀번호와 바이오정보는 반드시 암호화해야 한다.
-내부망 DB=내부망 DB서버의 고유식별 정보 암호화 여부는 영향평가(공공), 위험도 분석(민간) 결과에 따라 결정한다.
◇접근권한 통제
개인정보처리 시스템의 접근 권한은 최소화하고 차등부여 해야 한다. 개인정보 취급자의 전보 및 퇴직시 즉시 권한 변경 또는 말소해야 한다.
개인정보 취급자 별로 별도의 계정을 사용해 다른 취급자와 공유하지 말아야 한다. 또 안전한 비밀번호를 설정해야 한다. 이는 KISA의 기준에 맞는 보안 강도를 갖도록 규칙을 수립해 적용해야 한다.
IP주소 등으로 제한할 수 있는 방화벽/IPS 등을 설치해야 하고 개인정보처리시스템에 접근을 통제해야 한다. 특히 OS보안에 신경을 써야 한다.
한편 DBMS 없이 PC에 개인정보를 처리하는 경우에는 OS나 보안프로그램의 접근통제 기능을 사용해야 한다.
◇감사기록
개인정보 취급자가 DB에 접속한 기록은 6개월 이상 보관해야 한다. 또 개인정보 처리자는 취급자에 대한 접근권한 부여, 변경, 말소 기록을 3년간 보관해야 한다.
DB에 대한 접속기록을 위·변조 및 도난, 분실되지 않도록 정기적으로 백업에 의해 별도의 저장장치에 저장해야 한다. CD-ROM 같은 덮어쓰기 방지매체가 바람직하다.
HDD 또는 Tape에 백업하는 경우, HMAC 또는 전자서명 정보를 별도의 매체 또는 관리대장에 기록하는 방법으로 무결성을 보장해야 한다.
◇CCTV 영상 보안
-접근통제 및 접근권한 관리=영상정보를 저장하는 시스템 및 영상정보 파일에 대안 관리자 계정, 열람계정 등에 대해 차등적으로 권한을 부여하고 관리해야 한다. 또 네트워크 카메라의 경우 방화벽 등을 설치해 접근 가능한 IP 제한조치 등을 해야 한다.
-저장·전송시 암호화 등 기술적 조치=네트워크 카메라는 데이터 전송시 암호화 조치를 해야 하고 영상정보 저장매체나 영상정보 파일에 대한 암호를 설정해야 한다.
-처리기록의 보관=영상정보 관리대장으로 기록관리를 해야 한다. 공공기관의 경우 접속로그 열람로그, 삭제로그 등 시스템 로그를 6개월 이상 보관해야 한다.
-물리적 보호조치=영상정보 보관시설을 마련하거나 잠금장치 설치 등 물리적으로 접근을 제한할 수 있는 방안을 마련해야 한다.
◇명확히 해야 할 용어들
-개인정보처리시스템=PC, 노트북을 제외한 데이터베이스를 의미한다.
-개인정보보호책임자의 자격요건=민간의 경우, 개인정보 처리 업무를 총괄해 책임지는 자.(대표자, 부서장급 이상의 직원 또는 개인정보보호 소양을 갖춘 자)
-개인정보처리자=업무를 목적으로 개인정보 파일을 운용하는 기관, 법인, 단체 및 개인.
-개인정보취급자=개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자.
-소상공인=상근지수 10인 미만의 광업, 제조업, 건설업 및 운수업자와 그 외 업종인 경우 5인 미만 사업자.
-중소사업자=상근자수가 5인 이상 50인 미만인 사업자
-개인정보처리시스템 접속기록 정보=시스템 식별, 인증정보(일시, 컴퓨터 IP주소, ID 등), 서비스 이용정보(생성, 수정, 삭제, 검색, 출력 등)의 정보를 로그파일에 자동 기록.
-개인정보 저장 위험도 영향평가=행안부에서 평가 기준을 마련 중이다. 분석/평가 결과에 따라 적용 대상을 정하되 개인정보 저장파일 단위로 암호화를 결정한다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지