| 파일 암호화를 통한 개인정보 유출방지 | 2011.12.06 |
개인정보보호법 시행 \r\n
최근 인터넷 홈쇼핑과 인터넷 포털, 통신사, 금융회사 등에서 개인정보 유출 사고가 끊임없이 발생하고 있다. 이런 사고의 개인정보 유출 경로를 보면, 해커 등 외부적인 요인으로 인해 개인정보가 집약된 업무 서버나 데이터베이스에 보관된 개인정보가 유출되는 경우도 있지만, 업무용 PC에 개인정보를 보관하고 있는 내부 직원에 의해 개인정보 파일이 유출되는 경우도 빈번하게 발생하고 있다. \r\n기업과 기관들이 외부로부터의 개인정보 유출 사고를 막기 위해 보안시스템에 많은 투자를 하는 동안, 상대적으로 보안에 취약한 내부자에 의해 개인정보가 유출되는 사고가 발생할 가능성이 점점 더 높아지고 있는 것이다. \r\n2011년 9월 30일자로 시행된 개인정보보호법에서는, 개인정보를 취급하는 개인정보처리자는 개인정보의 안전한 관리를 위해 반드시 기술적·관리적·물리적 보호조치를 취할 것을 강제하고 있다. 이 규정을 준수하지 않음으로 인해 개인정보가 분실되거나 도난·유출·변조 등의 사고가 발생하는 경우, 최고 2년의 징역 또는 1천만의 벌금을 물어야 한다. 이런 개인정보 유출로 인해 발생하는 피해를 예방하기 위해서는, 서버와 데이터베이스에 대한 보안시스템 확보는 물론, 내부 직원이 사용하는 업무용 PC에 저장된 개인정보 파일에 대한 보안 대책 수립에도 관심을 가져야 한다. \r\n
개인정보보호법 시행의 홍보가 부족했던 탓일까? 아직까지 개인정보보호법에 대해서 인지하지 못하는 중소사업자들도 다수 존재하고 영세상공업자 등은 말할 것도 없다. 임종인 고려대학교 정보보호대학원 교수는 “개인정보보호법 초기에는 정부의 역할이 상당히 중요하다”며 “규제로 인해 새롭게 시작되는 시장인 만큼 법 자체의 실효성 논란이 나오지 않고 불필요한 소송이나 의도하지 않은 분쟁에 휘말리지 않도록 정부가 가이드라인을 확실히 정해줘야 한다”고 강조했다. 내년 3월말까지 계도기간이 설정되어 있으니 TV광고, 신문 등을 통해서 개인정보보호의 중요성과 그에 따른 법적 요구사항에 대해서 적극적인 홍보가 필요하겠다. \r\n개인정보보호법에서 정의하고 있는 내용 일부를 요약하면 다음과 같다. 서두에서 언급했다시피 개인정보 유출 사고는 업무용 PC에 개인정보를 보관하고 있는 내부 직원에 의해 개인정보 파일이 유출되는 경우가 빈번하게 발생하고 있다. \r\n개인정보의 유출차단을 위한 조치 \r\n개인정보는 파일이나 데이터베이스의 형태로 존재하게 된다. 데이터베이스에 저장된 개인정보는 정보가 집중되어 있으므로 그 데이터베이스만 통제하면 개인정보를 보호할 수 있다. 하지만 처음부터 파일의 형태로 존재하거나, 업무를 위해 데이터베이스에 있는 개인정보를 파일로 저장하게 되면, 이 파일은 서버나 PC를 통해 저장되고 유통되게 된다. \r\n개인정보보호법에서 명시하고 있는 기술적 보호조치를 만족하는 솔루션은 이미 많은 개발사들에 의해서 개발완료 되어 보급되고 있다. 이러한 대다수 솔루션들의 공통점은 법에서 명시하는 기술적인 조항을 단순히 만족하는 수준에 그치는 경우가 많다. 즉, 법률을 준수하기 위한 기능을 중점적으로 개발하다보니, 정작 개인정보를 취급해야하는 개인정보처리 업무의 편의성이나 유연성이 부족하다는 단점이 존재한다. \r\n이제는 단순히 법의 조항만을 만족하는 솔루션이 아닌, 법률에서 요구하는 보호 수준을 만족하는 것은 물론, 개인정보를 안전하게 취급하면서도 개인정보를 취급하는 사용자의 업무가 불편하지 않도록 유연한 환경을 제공하는 보호 대책을 마련해야 한다. 이러한 발전적인 방향으로 나아가기 위해서는 최소한 아래와 같은 기술적인 사항이 만족 되어야 할 것이다. \r\n개인정보 파일의 생성은 실시간으로 탐지하고 자동으로 암호화해야 한다 \r\nPC내에 개인정보가 유입되거나, 개인정보 자체 생성 시 실시간으로 개인정보를 탐지하고 자동으로 암호화해야 한다. 즉 USB, e-Mail의 첨부분서 등을 통해 PC내에 기록되는 문서나, 내부 사용자에 의해서 만들어지는 개인정보 포함 문서는 탐지 즉시 자동으로 암호화되어 보호되어야 한다. \r\n개인정보는 취급 허가자에 의해서만 접근이 가능해야 한다 \r\n암호화된 개인정보파일은 관리자의 설정에 따라 접근 통제가 가능해야 한다. 사용자에게 허가된 범위 내에서 개인정보가 쓰여지고, 허가되지 않은 행동에 대해서는 열람이 금지되어야 한다. \r\n암호화된 개인정보 파일은 취급 허가자(개인정보취급자 등) 간의 유통시 평소 업무환경과 동일하게 이루어져 편의성을 보장해야 한다. 또한 외부로 유출 시 절대 문서 내의 개인정보를 무단 열람할 수 없게 구성이 되어야 한다. \r\n개인정보파일의 사용행위에 대해서 관리자는 사후감사를 해야 한다 \r\n개인정보파일이 어떤 사용자의 PC에 존재하고, 그 개인정보파일이 누구에 의해 쓰여지고 있는지 관리자는 감시하고 통제할 의무를 가진다. 예를 들면 개인정보가 대량 포함된 파일이 복호화 되거나, 편집, 인쇄 되었을 경우 유출의 위험이 일정부분 존재하므로 관리자에 의한 별도 관리 및 통제가 필요하다. 또한 내부적으로 어떤 개인정보파일이 가장 많이 사용되는지, 해당 개인정보파일은 누구에 의해 가장 많이 쓰이는지 등 내부 개인정보 현황파악에도 힘써야 한다. \r\n개인정보 파일을 찾고, 암호화하고, 권한을 제어하고, 기록을 남기는 것. 이것이 개인정보를 가장 안전하게 보호하고 관리할 수 있는 기술적 보호 대책이다. 이렇게 개인정보 파일을 안전하고 효과적으로 보호 할 수 있는 개인정보보호 솔루션을 도입해야만 개인정보보호 법률의 준수 이전에 개인정보의 대량 유출 사고로 인해 기관과 기업이 가진 신뢰와 이미지에 큰 손상을 입는 것을 미연에 방지할 수 있을 것이다. \r\n<글 : 최 필 준 │ 파수닷컴 전략컨설팅팀 선임(pjchoi@fasoo.com)> \r\n[월간 시큐리티월드 통권 제179호(sw@infothe.com)] \r\n<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지> \r\n |
|
 |
.gif)
법률에서 요구하는 개인정보보호 기준.gif)
위 표1, 표2의 내용을 요약하면, 개인정보는 취급을 허가 받은 개인정보 취급자나 내부자에 의해서 제한적으로 처리되어야 하며, 개인정보의 취급 권한이 없는 사람이 개인정보를 취급하거나, 개인정보 처리 권한이 없는 사람에게 개인정보를 제공하는 것을 금지하는 것이다. 즉, 개인정보를 암호화하고, 권한통제를 통해 내부 사용자 접근제어 및 외부유출을 차단하라는 내용이다.