암호화는 보안의 기본이자 최후의 보루로 인식해야

국민 개개인의 보호해야할 개인정보를 국가가 나서서 지켜주기 위한 첫 단추로 개인정보보호법이 제정되어 시행되고 있다.

다양한 전문가와 이해관계자들의 의견을 수렴하여 기존의 법률 사각지대에 있던 조직과 개인정보 항목들에 대해 의무적으로 최소한의 보호 수준을 정하도록 했다는 점에서 의미가 크다고 할 수 있다.

법률 시행과 함께 시행령과 시행규칙, 고시 등 법률을 구체화 하기위한 작업들이 진행되고 있는 상황에서 암호화 부분에 대해 이해관계자들의 혼란이 적지 않다.

암호화의 의미는 여러 보안 조치를 적절하게 갖추어 유출이 되지 않도록 하는 사전 예방적 성격보다는 유출이 될 경우에도 해당 정보를 사용할 수 없도록 하기 위한 사후 조치의 성격이 더 크다.

따라서 암호화를 대체할 수 있는 ‘안전성 확보에 필요한 조치’의 선결 조건은 유출될 경우에도 해당 정보를 사용할 수 없도록 하는 대책의 마련이 필수적이다.

그러나 현재 개인정보 보호법 제24조제3항 및 제29조에 따라 준비 중인 ‘개인정보의 안전성 확보조치 기준 고시(안)’에 따르면 암호화를 하지 않을 수 있는 내용이 있어 논란이 되고 있다.

암호화를 요구하는 법률 내용을 살펴보면 크게 두 가지로 나누어진다.

그 한 가지는 개인정보의 안전조치의무에 대한 내용이고, 다른 한 가지는 고유식별정보에 대한 암호화 내용이다.

법 제29조(안전조치의무)에 “안전성 확보에 필요한 기술적·관리적 및 물리적 조치”와 관련된 시행령 제30조(개인정보의 안전성 확보 조치) 제1항의 3 “개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치”가 있고, 법 제24조(고유식별정보의 처리 제한)제3항의 “개인정보처리자가 고유식별 정보를 처리하는 경우에는 그 고유식별 정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치”를 취하도록 요구하고 있다.

※고유식별번호 : 주민등록번호, 여권번호, 면허번호, 외국인등록번호(시행령 제19조)

이에 대해 ‘개인정보의 안전성 확보조치 기준 고시’의 제7조(개인정보의 암호화) 5항에는 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우, 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관은 해당 개인정보 영향평가의 결과에 따라서 결정하거나 또는, 위험도 분석에 따른 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다고 규정하고 있다.

이에 따르면, 내부망에 고유식별정보를 저장할 경우 개인정보 영향평가나 위험도 분석 결과에 따라서 암호화를 적용하지 않아도 된다는 해석이 가능하다.

그렇다면 암호화 적용여부의 중요한 판단기준인 ‘내부망’을 명확하게 정의 할 수 있는가?

통상적으로 구성된 네트워크 환경의 경우 내부망으로 확인할 수 있겠지만 다양한 환경 속에서 특히, 소규모 기업일 경우 인터넷, DMZ, 내부망의 구분 없이 구성된 환경일 경우 내부망으로 볼 것인가? 아니면 인터넷 망인가 ? 또는 방화벽을 기준으로 Inside 에 위치하면 내부망인가? 등 내부망에 대한 기준을 충분히 합의하고 가이드를 마련할 필요가 있다.

또한, 개인정보 영향평가나 위험도 분석 결과에 따라 암호화를 하지 않을 수 있다면 암호화를 대체할 수 있는 방식 즉, 식별정보 유출될 경우에도 사용할 수 없을 정도로 안전한지를 반드시 검토하여야 할 것이다.

암호화를 하지 않아도 다른 보안조치를 충분히 적용하면 문제가 크지 않다는 의견도 있지만, 평문으로 처리되던 고유식별정보가 유출되었을 경우를 예상해보면 암호화는 보안 수단의 기본이자 최후의 보루라 할 수 있다.

개인정보처리시스템을 안전하게 관리하여 유출되지 않도록 하는 것이 가장 중요한 부분이지만, 유출사고가 발생할 경우 유출된 정보를 사용할 수 없도록 하는 것도 함께 고려해야 할 중요한 부분이다.

[글_보안전략연구소 박나룡 소장(isssi@daum.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>