Q. DB암호화를 위해서 기술적 조치 외에도 정책적으로 준비할 부분은 무엇이 있을까요?

(임동철 열심히커뮤니케이션즈 리스크관리실 대리/neo3712@keencomms.com)

A-2. 암호알고리즘, 변경 주기, 적용방식 등을 명시한 규정서에 따라 암호 관리가 이루어지도록 해야 하며, DB접근통제와 관련된 정책서를 운영하는 것이 필요합니다.

(강정훈 11번가/jhkang@sk.com)

A-3. 개인정보보호법 시행령 제30조와 개인정보의 안전성 확보조치 기준(안전행정부 고시)에서는 개인정보를 안전하게 처리하기 위한 관리적인 조치사항을 규정하고 있습니다. 개인정보보호책임자는 우선 개인정보처리시스템 및 개인정보파일 보유현황을 세밀하게 파악해야 할 것이고, 조직의 운영환경을 고려해 암호화 적용대상 항목과 적합한 암호화 방식(응용프로그램, 솔루션 적용, DBMS 자체 암호화)을 검토하고 결정해야 합니다.

또한 개인정보 암호화를 위한 용역사업 수행 시에는 용역사업자와 개인정보처리 위탁에 따른 안전조치 사항을 명시한 계약을 체결해 역할과 책임관계를 명확히 해야 합니다. 그리고 개인정보 암호화 이후에는 암호키 관리방법 및 암호화 담당자 지정 등 암호화에 관한 업무처리 절차와 방법을 자체 관련 지침에 반영해야 합니다.

(진우석 법무부 사무관/wschin@korea.kr)

A-4. DB 암호화를 위해서는 암호화를 위한 전체 시스템 및 개인정보 현황, 관련 규정 등을 검토하고 이들 모두를 비용 효과적으로 달성할 수 있는 회사 전체 차원의 암호화 방식, 암호화 제품, 암호화 추진일정, 업무연속성 계획 등에 대한 분석, 수립, 경영진의 의사결정 등이 필요합니다. 또한 합리적인 계획 수립과 효율적인 DB 암호화가 이루어지도록 시스템 운영 담당자, 각 업무담당자, 정보화 및 정보보호 부터 등과의 협력체계 구축운영도 필요합니다. 암호화는 상당한 비용, 시간이 소요될 수 있으므로 사전에 충분한 일정계획을 수립하여 추진하는 것이 좋다고 하겠습니다.

(고명석 KISA 개인정보안전단/msgo@kisa.or.kr)

A-5. 재개정된 개인정보보호법 시행으로 DB암호화와 접근제어 모두 도입되어야 합니다. 둘 중 한 가지의 솔루션만 도입하는 것으로는 법에서 요구하는 항목을 충족하기 어렵기 때문입니다. 물론 한 가지라도 도입되어 있어야 면책사유의 여지가 존재하는 것은 사실입니다.

물론 대부분의 기업에서 해당 솔루션들의 도입이 이루어지겠지만, 이런 기술적인 조치 외에도 정책적인 부분도 필요합니다. 정책(Policy)은 사전적 의미로 정치적 목적을 실현하기 위한 방책으로 정의되며, 본래 정치·행정 분야에서 정부에 의해 결정된 행동 방침을 이르는 용어로 사용되어 왔지만 기업에서도 방침이나 정책 등과 같은 용어로 널리 사용되고 있습니다.

DB보안 정책은 전사적 차원의 기본 정책의 일부로서 존재하며, 이러한 특성 때문에 DB보안 정책을 작성하고 운영·관리하는데 있어서 다음과 같은 사항이 고려되어야 합니다.
① 최고경영자에 의해 승인되어야 합니다.

② 모든 임직원에게 적절한 방법으로 배포되고, 모든 임직원이 자유롭게 최신 버전의 DB보안 정책에 접근할 수 있어야 합니다.

③ 모든 임직원이 그 목적과 내용을 이해해야 합니다. 이를 위해 구성원들에게 적절한 수단 또는 방법을 통해 인지되고 교육 및 홍보가 이루어져야 합니다.

④ 정기, 혹은 비정기적으로 검토되고 갱신되어야 합니다.

⑤ DB 보안에 대한 명확한 방향 제시, 책임 할당, 승인사항 등의 보안 활동을 관리할 수 있는 전담 조직이 회사의 규모와 업무 특성을 반영하여 구성되고 운영되어야 합니다.

(허청일 한국산업기술보호협회 관제운영팀 연구원/pig837@kaits.or.kr)

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>