• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보관리책임자 및 취급자의 자세 2010.01.09

개인정보보호 규정을 준수하기 위한

각 기업은 법규정 및 해설서가 제시하는 목적성을 이해하고 그 목적을 달성할 수 있는 수단을 응용하여 전문적이고 체계적인 보안 관리를 해야 한다.


정보통신망법의 개인정보보호규정이 강화됐다. 법규정의 특성상, 개념적이고 포괄적인 내용이 많아 많은 기업의 개인정보관리책임자 및 취급자들이 실제 업무에서 어떻게 해야 하는지 당황해하고 있는 상황이다.

필자는 무엇보다 먼저, 개인정보보호에 임하는 올바른 자세를 가질 것을 권한다. 법규정 및 해설서에서 안내하는 제품이나 보안방법은 각 기업마다 다른 고유한 환경을 고려하지 않았으므로 실제로는 적용하기 어려울 수 있다.

법이 실제 환경에서의 다양한 경우를 다 포괄하지 못하므로 개인정보취급자는 법규정을 자신이 처한 기업환경에 맞게 응용을 해야 한다.

법 및 해설서가 명확하게 제시해줄 수 있는 것은 ‘목적성’으로 각 기업은 목적성을 이해하고 그 목적을 달성할 수 있는 수단을 응용해 결정해야 한다.

법규정은 정의와 목적성에 기반을 두어 광의로 해석한다

법규정은 가능한 광의로 해석하는 것이 좋다. 가령, 개인정보처리시스템을 정보통신망법 고시인 [개인정보의 기술적 관리적 보호조치 기준] 해설서 상에서는 DBMS와 파일서버 예를 들어놓았지만 실제로 개인정보 보관 및 처리라는 개인정보처리시스템의 목적성에 부합한다면 PC등의 다른 시스템도 개인정보처리시스템 규정에 준하여 보안하는 것이 좋다. 정보통신망법 고시인 ‘개인정보의 기술적 관리적 보호조치 기준’은 기업 규모에 상관없이 적용되는 최소한의 기준이다. 따라서 기업규모가 더 크거나 실제적으로 개인정보가 데이터베이스보다는 여러 PC에 산재해있는 기업이라면 당연히 PC를 개인정보처리시스템에 준해 보안해야 한다.

기업규모가 크면 사회적 기대수준도 올라간다

대기업과 SOHO사무실에 기대하는 수준은 다를 수밖에 없다. 또한 기업규모가 클수록 고급정보를 많이 보유하고 있으며 금전을 노린 해커나 내부직원의 유출행위 타깃이 된다.

 

특히, 만약 개인정보유출사고가 발생해 기업이 재판을 받게 되는 상황이 오면 “기업규모에 맞는 최선의 노력을 다하였느냐?” 가 가장 중요한 판결기준이 된다.

따라서 기업규모가 클수록 법규정을 목적성 측면에서 광의로 해석하고 최선의 노력을 다하는 것이 필요하다. 실제 형사처벌상 과실의 개념은 할 수 있는 능력과 여건이 있는데 하지 않은 것으로 기업규모가 클수록 과실에 의한 유출시 처벌이 강해지게 된다.

시스템이 아니라 ‘개인정보 자체’ 즉, 데이터 중심으로 패러다임을 전환한다

이제까지 IT보안이 특정 데이터베이스를 지키거나 특정구역을 지키는 것 중심이었다면 앞으로는 ‘“개인정보’” 그 자체에 초점을 맞춰야 한다. 따라서 특정시스템을 벗어나 개인정보의 생성, 접근, 활용, 전송, 파기 즉 라이프사이클에 집중해야 한다.

이를 위해서는 개인정보 라이프사이클 전체에 걸쳐 책임을 지는 CPO(Chief Privacy Officer)의 역량이 중요하다. 또한 보안을 생각할 때 개인정보가 어디서 시작돼서 어디서 끝나는지 늘 흐름 중심의 큰 그림을 생각해야만 헛된 투자와 시간낭비가 없을 것이다.

최소화의 원칙을 잊지 않는다

개인정보보호규정을 관통하는 키워드는 ‘최소화’다. 개인정보보호 규정의 주요 목적성이기도 하다. 개인정보의 생성, 접근, 활용, 전송, 파기에 걸쳐 최소화의 원칙을 잊지 말아야 한다. 이는 헛된 투자 및 시간낭비를 없애기 위해서도 꼭 필요하다. 최소화는 아래 단계로 달성할 수 있다.

 

(1) 기존 개인정보의 최소화

기업내 DB, 파일서버, PC(메일포함)에 저장된 개인정보를 모두 검출, 불필요한 개인정보를 파기한다.

(2) 개인정보접근의 최소화 

시스템 및 업무프로세스를 개선해 개인정보접근권한이 있는 개인정보취급자를 최소화한다.

(3) 개인정보 저장 및 파일화의 최소화

DB에 있는 개인정보에 접근한 후 파일화해 저장하는 것을 통제해 개인정보가 복제되는 것을 최소화한다.

(4) 개인정보 비권한자 사용의 최소화

DB의 개인정보는 암호화 및 접근권한 통제로 최소화하고 PC내 개인정보는 권한자의 경우는 암호화해 저장하고 비권한자의 경우는 파기한다.

(5) 개인정보 전송의 최소화

최종유출경로보안은 매우 중요하다. 개인정보의 최종유출경로는 메일 메신저 등 네트워크, 이동식저장장치, 출력물의 3종류다. 외부와 연결되는 네트워크 통로는 최소화하고 네트워크전송, 출력 및 이동식저장장치로의 복사는 기록, 승인, 차단 등으로 최소화해야 한다.

문서화한다

개인정보보호에 있어 첫 단계는 자사내 개인정보상황이 어떤지를 파악하는 것이다. 전사적인 개인정보는 양 자체가 방대하고 흐름이 복잡해 파악이 쉽지 않다. 전사적인 개인정보파악을 위해서는 개인정보내부관리계획을 비롯한 모든 조치 및 상황을 문서화해야 한다.

 

이러한 문서화 노력은 만일의 경우, 형사처벌 상황에 처해도 기업에게 유리한 증거가 된다. 가령 기업내 개인정보취급자를 지정할 때도 구두로 해서는 안되며 문서화해 전직원의 공유를 이끌어내야 한다. 문서화해 여러 사람이 정확하게 같은 내용을 공유할 수 있어야만 일사불란한 행동이 있을 수 있다.

<글 : 김대환 대표 소만사(kdh@somansa.com)>


[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>