| 개인정보 보호조치 기준, “개인정보의 암호화 등 강화” | 2009.10.22 | |
정찬주 연구원, ‘개인정보의 기술·관리적 보호조치’ 해설서 교육
이에 22일 소만사(대표 김대환)가 양재동 소재 엘타워에서 개최한 세미나에서는 한국인터넷진흥원(원장 김희정, KISA)이 지난 9월에 발행한 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’를 설명하며 그에 대한 상세한 주석을 담은 교육이 실시돼 주목된다. 이날 발표자로 나선 정찬주 한국인터넷진흥원 개인정보보호기획팀 선임연구원의 발표내용을 통해 최근 개정된 보호조치 기준을 살펴본다. 기준은 가이드라인이나 지침과 같은 권고가 아니며 법률에 의해 반드시 준수해야 하는 의무사항을 구체화한 것으로, 보호조치 기준을 위반할 경우 법률에 따른 형사처벌이나 행정처분이 부과될 수 있음을 감안할 때 이러한 해설서 교육은 이날 참관객들로부터도 높은 호응을 얻었다. 우선 이날 발표자로 나선 정찬주 선임연구원은 이번 보호조치 기준 개정은 “해킹 또는 내부자에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해 확산의 문제 등에 대응키 위하 마련됐다”며 개정배경을 밝히고 “해킹 공격에 대한 개인정보처리시스템의 안전성 강화를 위해 접근통제 규칙 및 방법 상세화나 해킹 또는 유출 등 침해사고 발생 징후를 예측·대응하는데 필요한 관리·감독 강화, 그리고 해킹을 통해 유출된 주민등록번호, 계좌번호 등 금융정보의 불법사용을 방지하기 위해 개인정보의 암호화 강화” 등이 그 방향이라고 말했다. 또한 이날 정찬주 선임연구원은 보호조치 기준에서 접근통제에 있어 ▲외부 접속 시 인증 강화 ▲침입탐지 및 차단 기능을 강조했다. 외부 접속 시 인증 강화에 있어서 정 선임연구원은 “일반적으로 ID/PW만을 이용해 개인정보처리시스템에 접속 시 키로깅 등에 의한 ID/PW 노출에 따른 위험이 증가하므로 추가적인 인증 수단의 적용이 필요하다”며 “외부망을 통해 개인정보처리시스템 접속 시 공인인증서나 보안토큰, OTP, 휴대폰 인증, 카드번호, IP 주소 등 활용가능 한 안전한 인증수단을 적용”해야 한다고 설명했다. 이어 침입탐지 및 차단 기능에 대해 정 선임연구원은 “불법적인 접근 및 침해사고 방지를 위해 침입차단·침입탐지 기능을 갖는 시스템을 설치·운영해야 한다”고 말하고 “목적 달성을 위해 시스템 도입 이후 정책설정 및 로그 분석 등 적절한 운영·관리가 중요하다”고 강조했다. 특히 이날 정찬주 선임연구원은 “개정된 정보보호 조치에서는 개인정보의 암호화 강화가 가장 크게 포함된 하나”라며 “해킹 또는 내부자에 의해 개인정보가 유출되더라도 재활용이 불가능하도록 암호화 저장을 해야 하는데, 이를 위해 비밀번호 및 바이오정보는 복호화되지 않도록 일방향 암호화해 저장해야 한다”고 덧붙였다. 한편 이번에 개정된 보호조치 기준의 주요 내용은 ▲개인정보 내부관리계획 수립·시행 ▲침입차단시스템 등 접근통제장치 설치·운영 ▲접속기록 위조·변조 방지를 위한 조치 ▲개인정보 저장·전송 시 암호화 기술 등 보안조치 ▲컴퓨터바이러스에 의한 침해 방지조치 ▲안전성 확보를 위한 그 밖의 보호조치 등이다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
