개인정보의 안전성 확보하고 필요한 조치 취해야

[보안뉴스 김태형] 개인정보보호법이 본격 시행되고 상황에서 소규모 개인사업자 및 중소 사업자들은 개인정보의 안전성을 확보하고 이를 위해 관리적·물리적·기술적 조치에 대해 파악하고 적절한 대응이 필요하다.

엘림넷(대표 한환희, www.elim.net )이 27일 오후 2시부터 서울 여의도에 위치한 중소기업중앙회관 그랜드홀에서 ‘개인정보보호를 위한 새로운 대안’이란 주제로 개최한 세미나에서 첫 번째 발표자로 나선 이재웅 한국인터넷진흥원 선임연구원은 ‘개인정보의 안전성 확보조치’를 주제로 한 강연에서 이같이 말했다.

그는 “개인 사업자 및 중소 사업자들은 개인정보를 소중히 여기고 안전성을 확보해야 한다”면서 “내부관리계획의 수립 및 시행·교육계획 수립 및 실시·기록물의 관리 및 보호조치 등의 관리적 조치와 출입통제·물리적 잠금장치, 감시장치 등의 설치에 관한 물리적 조치, 그리고 시스템 접근권한 관리·침입차단 및 방지 시스템·암호화·접속기록의 위변조 방지 및 보안 프로그램의 설치 등에 관한 기술적 조치 등을 해야 한다”고 설명했다.

지난 개인정보 침해사고 사례를 보면 대부분 내부 보안 관리의 미흡, 공개용 프로그램에 의한 악성 코드 감염, 고객정보 조회로그의 암호와 미조치, 보안장비에 탐지된 해킹의심 IP 차단 소홀로 인해 해킹을 당하거나 개인정보가 유출됐다는 것.

이 연구원은 “이러한 부분에 대한 보안을 강화하고 개인정보보호법을 준수하기 위해서는   업무 담당자별 접근권한 관리를 통한 보안 강화, 개인정보 취급자 또는 정보 주체의 안전한 비밀번호 설정 규칙 수립 및 적용이 필요하다”고 강조했다.

또한 외부 접속시 가상사설망(VPN)이나 전용선 사용으로 안전한 접속, 홈페이지 웹 취약점즉 SQL인젝션, XSS, 제로보드 취약점에 대한 보안 업데이트 또는 점검을 통해 보안을 강화해야 한다.

이 외에도 P2P 사용 및 공유설정을 금지해야 하고 소상공인의 경우 업무용 PC를 이용해 개인정보를 처리하는 경우가 있는데 이러한 경우 업무용 PC의 운영체제나 보안프로그램 등에서 제공하는 접근제어 기능을 이용하면 된다.

고유식별번호의 암호화는 안전한 암호 알고리즘으로 암호화해서 저장해야 하는데 소상공인의 경우 업무용 PC는 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용해 저장해야 한다.

접속기록의 안전한 보관 및 위·변조 방지 부분은 개인정보취급자의 접속기록은 최소 6개월 이상 안전하게 보관·관리해야 하고, 개인정보취급자가 1인인 소상공인의 경우 전자적 로그 남기지 않고 접속기록을 수기로 기록한 후 상급자 승인이 가능하다.

이 연구원은 “특히 개인정보의 전장·전송시 이러한 암호화, 접근통제, 접근권한관리 등의 조치가 필요하다”면서 “안전조치 위반시 3천만원 이하 과태료, 개인정보 유출, 도난 등 훼손시 2년 이하 징역 또는 1천만원 이하 벌금 등에 처해질 수 있기 때문에 법 준수를 위한 적절한 조치는 필수적”이라고 설명했다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>