행안부, ‘시스템 개발자용 개인정보보호 적용 가이드’ 개발

[보안뉴스 박미영 기자] 중소기업 개인정보 유출 사전 예방 위한 새로운 지침이 만들어질 예정이다.


행정안전부는 시스템 개발 단계에서부터 중소기업의 개인정보 유출 취약점을 사전에 예방·제거하기 위해 시스템 구축방법론과 개인정보 처리 흐름을 결합한 ‘시스템 개발자용 개인정보보호 적용가이드’를 개발한다.

이번 지침서는 중소기업의 홈페이지 서비스 개발과 운영·관리를 담당하는 시스템 구축업체를 대상으로 해 전문성과 재원이 부족한 중소기업을 지원하기 위해 발간하게 됐다.

중소기업의 홈페이지·앱 서비스 등 개발·운영 관리는 대부분 시스템 구축(SI: System Integration) 업체에 의존하고 있고, 개인정보 유출사고 대부분이 SI 업체가 운영 중인 경우에 발생하고 있어 지침 개발 필요성이 지속적으로 제기돼 왔다.

특히, 시스템 개발자 스스로 개발 전 과정에 걸쳐 개인정보보호 방법론을 사전에 적용하는 방식(프라이버시 보호 설계, PbD)을 안내한다. 프라이버시 보호 설계(PbD: Privacy by Design)는 시스템 기획 단계에서부터 폐기 단계까지에 걸쳐 이용자의 프라이버시와 데이터 보호를 위한 정책 및 기술이다.

가이드는 개인정보 생애주기에 따라 지켜야 할 의무·권고 사항을 시스템 구축 단계별로 유형화해 제시한다.

먼저 개인정보 생애주기(수집, 저장·보관, 이용·제공, 파기)와 시스템 구축 단계(기획, 개발, 운영)에 따라 필요한 안전 조치 방안을 안내한다.

시스템 기획 단계에서는 개인정보 수집 최소화 방법, 고유식별정보, 민감정보 등 중요 개인정보의 암호화 알고리즘 방식 등을 제시한다. 시스템 운영 단계에서는 목적을 달성한 개인정보에 대한 기술적·관리적인 파기 자동화 방법 등을 제공한다.

또한 개인정보 처리 흐름(예 : 정보주체 동의 획득 → 정보 입력 → 암호화 전송)을 도식화하고 안전 조치 방안을 법적 의무 사항·권고 사항으로 유형화해 제시한다.

의무 사항은 개인정보처리자가 반드시 준수해야 할 사항으로, 예를 들어 개인정보처리자는 홈페이지를 통한 회원 등록을 할 수밖에 없는 경우 주민등록번호를 사용하지 않고 회원을 받을 수 있는 방안을 마련해야 한다. 주민등록번호 수집은 법률·대통령령에 근거가 없는 경우에는 고객 동의에 의해서도 수집이 금지된다.

권고 사항은 개인정보 안전성 조치 강화를 위한 적용 방안을 제시함으로써 시스템 개발자가 자율적으로 조치하도록 권장한다. 예를 들면 개인정보 수집·이용 동의함에 기본값 미설정 조치, 안전한 인증수단(로그인) 구현 방법 등을 제시한다.

더불어 안전 조치 유형화, 도식화에 따른 개발 보안 코딩, 암호화 조치 등 안전 조치 구현 방법을 개발한다.

이를 통해 시스템개발자가 직접 개인정보보호 방법을 숙지해 시스템 기획·분석·설계·구축·운영 단계에서 사전에 침해 요인을 제거함으로써 개인정보를 유출을 예방할 수 있을 것으로 기대된다.

안전한 인증수단(로그인) 등 외부 접근 통제 방법이나 암호화 코딩 방법을 제공하므로 홈페이지 취약점으로 인해 발생할 수 있는 해커 공격을 막을 수 있음은 물론, 접속기록 자동화 방법을 제공함으로써 개인정보를 접근하는 사람·시점·접근 내용·다운로드 횟수를 자동으로 생성해 개인정보 유출을 사전에 예방할 수 있다.

정윤기 전자정부국장은 “이번 시스템 개발자용 개인정보보호 적용 가이드 발간으로 취약점을 사전에 제거하고, 특히 전문성과 재원이 부족한 중소기업의 개인정보 관리에 큰 도움이 될 것으로 기대한다”고 말했다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>