| 2010년 정보보호 정책 어떻게 바뀌나? | 2009.12.30 | |||||||||||||||||||||||||||||||
주요정보 암호화 의무적...PIMS 인증제도 도입
개인정보보호 2010년 1월 29일 부터는 중요 개인정보는 암호화해 저장하도록 의무화한다. 예를 들어, 개인정보를 수집ㆍ취급하는 정보통신서비스제공자등은 주민등록번호, 계좌번호, 신용카드번호 등 중요한 개인정보를 DB에 저장할 경우, 반드시 암호화하여 저장하여야 한다. 주민등록번호, 계좌번호, 신용카드번호 등은 유출 시에 도용 등 2차적 피해가 발생할 확률이 높으므로 안전한 암호 알고리즘을 통해 암호화하면 유출되더라도 식별이 불가능해지는 효과가 있다. 2010년 하반기에는 개인정보보호 관리체계(PIMS) 인증제도가 도입된다. 기업이 개인정보를 안전하게 수집ㆍ이용하기 위해 구축ㆍ운영하는 관리체계의 적합성을 검증하여 일정 수준 이상의 기업에 대하여 인증을 부여할 수 있게 된다. 개인정보보호 관리체계 인증은 받기를 희망하는 기업을 대상으로 자율적으로 실시할 예정이다. 개인정보보호 관리체계 인증을 통해 기업은 개인정보의 수집ㆍ이용ㆍ보유ㆍ제공ㆍ파기 등 전체 라이프싸이클 과정에서 개인정보에 대한 안전성과 신뢰성 및 이용자 권리보호를 위한 전사적인 활동을 공인받게 된다. 2010년 9월에는 온라인 맞춤형광고 시 개인정보보호에 대한 가이드라인도 마련된다. 이용자의 인터넷 이용 행태를 분석하여 광고에 활용하는 온라인 맞춤형 광고 시, 이용자 개인정보보호를 위하여 기업이 조치하여야 하는 사항에 대한 가이드라인이 마련되는 것. 가이드라인은 기업들이 쉽게 이해하고 준수할 수 있도록 고지 및 동의 방법 등 핵심적 보호조치에 대한 예시 및 권고 사항 등을 담을 예정이다. 또한 2010년에는 국내외 웹사이트 개인정보 노출 대응도 강화된다. 2009년 10월 KISA 내에 구축된 개인정보 노출 대응시스템 및 개인정보 노출 대응상황실이 2010년부터 본격 가동되기 때문. 개인정보 노출 대응시스템은 국내 인터넷 상에 노출된 주민등록번호 등 9가지 개인정보를 365일, 24시간 자동 검색하여 삭제 등 필요한 조치를 취하게 된다. 아울러, KISA와 주요 포털 등 사업자간 구축된 긴급 상황전파 체계(핫라인) 운영을 통하여 유사 시 민ㆍ관의 신속한 협력과 대응을 가능케 할 전망이다. 한편, 중국 등 국외 사이트에 노출된 우리 국민의 주민등록번호 문제를 해결하기 위해 해당국 기관 등과의 협력체계를 한층 강화할 예정이다. 불법 스팸 대량의 불법 스팸 문자를 방지하기 위한 휴대폰 문자메시지(SMS)의 1일 발송한도 축소가 2009년 말부터 시행돼 2010년부터는 본격화된다. 기존 1일 발송한도가 1천 건에서 5백 건으로 축소되는 것으로, 시행일자는 SK텔레콤의 경우 2009년 11월 16일부터 시행되며, KT의 경우 2009년 11월 16일, LGT는 2009년 11월 19일부터 시행된다. 또한 명의대여에 의한 대포폰 개통을 억제하기 위해, 취약계층이 개통 가능한 휴대폰 회선 수를 제한하게 된다. 시행은 SK텔레콤이 2009년 12월 11일에, KT는 2010.1월 중에, LGT는 2009년 11월 13일부터 시작된다. 대상은 일반의 경우 3회선, 저(低)신용자(7~10등급)는 2회선, 채무불이행자/금융질서문란행위자는 1회선으로 제한된다. 아울러 2010년에 출시되는 휴대폰은 등록할 수 있는 스팸차단번호 개수가 현행 10~20개에서 200개 이상으로 확대된다. 또한 스팸 간편신고 UI를 개선하고 이용자가 신고한 스팸문자의 발신번호가 스팸차단번호로 자동 등록되는 기능도 적용된다. 이통사의 ‘지능형 스팸필터링 서비스’도 확대되면서, 문자메시지(SMS)의 발신ㆍ회신번호, 본문내용, 발송패턴 등을 종합적으로 분석해 스팸을 차단해주는 무료 부가서비스가 제공된다. 이 서비스는 이미 2007년 12월부터 SK텔레콤이 제공하고 있으며 이용자 수는 207만 명에 이른다. 그러나 아직 서비스가 제공되지 않은 KT의 경우 2010년 4월부터로 예정돼 있으며, LG텔레콤은 2010년 1월부터 서비스가 제공될 계획이다. 악성스패머 정보공유를 통해 서비스의 가입도 제한된다. 불법스팸을 전송해 행정처분(과태료)이나 서비스 이용제한을 받은 악성스패머(개인ㆍ법인) 정보를 이통사 등에 제공해 가입 제한을 유도한다는 계획도 세워지고 있다. 이는 국회계류중인 정보통신망법 전부개정안의 시행 이후부터 가능할 것으로 예상된다. 또한 봇넷을 이용한 스팸발송 방지를 위해 유동IP 대역에서의 이메일 발송포트(25번) 사용을 제한할 방침으로, 2010년 4분기부터 초고속인터넷 사업자별로 단계적으로 시행될 예정이다. 정상 이용자는 발송자 인증이 필요한 포트(587번)로 대체해 이메일을 발송하도록 유도할 방침이다. 웹메일이나 초고속인터넷 사업자가 제공하는 메일서버를 이용하는 경우는, 아무런 영향을 받지 않는다. 본인확인제 재외국민 인터넷 본인확인 위한 서비스를 신설하고, 2분기부터 주요 포털 시범 사업자를 중심으로 서비스를 개시할 계획이다. 그리고 3분기에는 일반 사업자에게까지 서비스를 확대한다는 목표를 발표했다. 이는 재외국민의 국내 인터넷에서의 회원가입 및 게시판 이용편의를 도모하기 위한 것으로, 재외국민 회원가입을 위해 불필요한 인력 및 시간을 소모하는 국내 인터넷서비스 사업자를 지원하기 위한 것이다. 기존에는 재외국민 중 주민등록 말소자(약 120만명)는 인터넷상에서 회원가입 및 본인확인이 힘들었다. 이를 위해 행정안전부와 외교통상부는 서로 공조해 재외국민 인터넷 본인확인 시스템을 구축(┖09년 11월~12월)했다. 정보보호관리체계 인증 전자정부 정보보호관리체계 인증제도(G-ISMS)가 도입돼, 전자정부 대민서비스를 제공하는 행정기관의 정보보호 관리수준을 보다 객관적이고 체계적으로 점검ㆍ관리할 수 있게 된다. 이는 전자정부 정보보호관리체계 인증지침(행정안전부 훈령 제116호, 2009.12.11)에 따른 것이다. 또한 정보보호관리체계 인증 수수료도 인하된다. 매출액 50억 미만이거나 종업원수가 50명 미만인 영세기업이 정보보호관리체계를 취득할 경우, 최대 50% 인증수수료가 인하된다. 정보보호제품 CC평가 인증제품의 인증효력유지를 위해, 인증효력유지신청 접수기관을 인증기관에서 평가기관으로 변경된다. 그리고 2010년 1월 부터는 인증서효력 정지사실도 공지된다. 그리고 인증서효력이 정지된 경우, 인증제품 목록에서 해당제품의 인증서효력 정지 기간을 표시하고 이를 인증기관 홈페이지에 공지하도록 할 방침이다. 또한 상반기까지는 CC V2.3과 CC V3.1 기준이 병행적용이 가능하나, 하반기부터는 CC V3.1 기준만 적용해 평가할 방침이다. < 개인정보보호 >
< 정보보호관리체계 인증 >
< 정보보호제품 CC 평가 >
[오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||||||||||||||||||||||||||||||
 |
