엔시스의 정보보호(보안) 따라잡기

KISA, 개인정보 암호화 구현 방법 쉽게 이해할 수 있는 안내서 발간

 

최근 대형 개인정보 유출사고의 발생 빈도가 잦아지고 개인정보보호 관련 법이 강화되면서 기법, 공공기관은 물론 소규모 개인 사업자들까지 암호에 대한 관심이 높아지는 가운데, KISA가 개인정보의 안전한 저장을 위해 암호기술을 구현하고자 하는 업계 실무자에게 암호기술 구현 방법을 쉽게 알려주는 '암호기술 구현 안내서'를 11월 29일 발간했다. KISA는 보다 다양한 정보를 제공하고자 지난 8월부터 이동통신사, 주요 포털사이트 및 개임 업체 등의 실무담당자들과 한국암호포털 등 암호기술 관련 전문가들의 경로를 거쳐 안낸서를 제작하게 됐다.

 

 

 

이번에 KISA가 발간한 ‘암호기술 구현 안내서’는 ▲암호화가 필요한 개인정보의 종류와 이에 대한 법적 근거 ▲개인정보별로 적용이 필요한 암호기술 및 적용 시나리오 ▲암호키 관리 방법 ▲안전한 비밀번호의 생성·변경·이용·검증방법 등이 담겨있다.

특히, 개발자들이 참고할 수 있도록 사용자 비밀번호와 주민등록번호를 암호화하는 예시를 소스코드와 함께 제공하고 있으며, 암호기술 구현이 불가한 영세 업체들을 위해 예시에 사용된 암호 소스코드의 라이브러리도 함께 보급할 예정이라고 KISA는 밝혔다.

서종렬 KISA 원장은 “암호에 대한 관심은 높아졌지만, 여전히 일부 업체에서는 안전성을 담보할 수 없는 취약한 암호기술을 별 의심 없이 사용하거나, 잘못된 방법으로 암호기술을 구현하는 등 문제점이 많다”며 “이번 안내서 발간을 통해 안전한 암호기술 구현방법이 널리 공유돼 보다 안전하게 개인정보를 보호 할 수 있게 되기를 바란다”고 말했다.

 

 

『암호기술 구현 안내서』
  - 주요 내용 요약 - 

 

 

1. 배경 및 목적
최근 인터넷을 통한 개인정보 유출 사고가 빈번해지면서 개인정보 암호화 여부 뿐만 아니라, 개인정보 암호화에 이용된 암호기술의 안전성에 대한 논란이 일고 있다. 개인정보보호를 위해 자체적으로 암호기술을 도입·구현시, 안전하지 않은 암호기술을 도입하거나 구현을 잘못 한 경우에는 개인정보를 암호화했을 지라도, 여전히 개인정보 노출의 가능성이 있기 때문이다.

 

『암호기술 구현 안내서』는 이와 같은 개인정보 노출 가능성을 최소화하기 위한 안전한 암호기술들을 소개하고, 이러한 암호기술을 안전하게 구현하는 방법도 함께 제시하고 있다.

 

 

2. 대상
『암호기술 구현 안내서』는 정보통신망법, 개인정보보호법 등에서 개인정보 보호 의무를 가지는 기업 및 기관, 단체 등의 개발자들에게 암호기술을 구현하기 위한 방법을 제시하고 있다.

 

3. 주요 내용

3.1 암호화가 필요한 정보의 종류
암호화가 필요한 정보는 암호화된 정보를 다시 복원할 수 없어야 하는 정보와 암호화된 정보를 다시 복원할 수 있어야 하는 정보들로 분류한다.
⊙ 암호화된 정보를 다시 복호화할 수 없어야 하는 정보 ⇒ 비밀번호 등
 ※ 개인정보의 소유자를 제외하고는 개인정보 관리자를 포함한 그 누구도 암호화된 정보의 원래 정보가 무엇이었는지 알 수 없어야 하는 정보들
⊙ 암호화된 정보를 다시 복호화할 수 있어야 하는 정보 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등
 ※ 저장 시에는 암호화하나, 사용 시에는 복호화하여 원래 정보를 알 수 있어야 하는 정보들

 

관련 근거 법령 ◇ 개인정보의 기술적·관리적 보호조치 기준    제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. ② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. ◇ 개인정보의 안전성 확보조치 기준    제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다. ③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

 

3.2 암호화가 필요한 정보의 종류에 따른 암호기술
개인정보 암호화에 적용 가능한 암호기술은 개인정보의 저장 시 요구되는 기술과 개인정보 송·수신 시 요구되는 기술로 분류할 수 있다.

 

□ 개인정보 저장 시 요구되는 기술
  - 비밀번호 등 암호화된 정보를 다시 복원할 수 없어야 하는 정보는 일방향 해쉬함수를 이용
  - 주민등록번호 등 다시 복원할 수 있어야 하는 정보는 블록암호 알고리즘을 이용

⊙ 일방향 해쉬함수 ⇒ 비밀번호 등에 적용(다시 복호화할 수 없는 정보 저장 시)
   보안강도별 해쉬함수 분류

 

 

 

 

 

 

※ 권고 해쉬함수는 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

※ 현재 많은 응용에서 사용되고 있는 SHA-1은 알고리즘 변경에 따른 비용, 구축 시간 등을 고려하여 2013년까지 112비트 이상의 보안 강도를 가지는 해쉬함수로 변경 권고

⊙ 블록암호 알고리즘 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등에 적용(다시 복호화할 수 있는 정보 저장 시)

 

보안강도별 블록암호 알고리즘의 사용 권고 기간

 

 

 

 

 

 

※ 권고 알고리즘은 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

 

□ 개인정보 송·수신시 요구되는 기술
  - SSL 및 TLS와 같은 통신 암호기술 또는 응용프로그램에서 제공하는 암호화 방법을 사용
 ※ 웹서버에서 SSL/TLS 등의 보안 통신 기능을 적용하기 위한 보다 상세한 정보는 한국인터넷진흥원에서 발간한 「보안서버 구축 안내서」를 참조

 

 

3.3 암호기술 적용을 위한 시나리오

앞서 기술한 암호기술을 적용하기 위한 시나리오를 소개한다.
 
□ 해쉬함수 신규 적용 시나리오
비밀번호와 같이 일방향 해쉬함수가 필요한 정보에 대하여 신규로 해쉬함수를 적용하는 경우, 다음과 같이 처리할 수 있다.

 

 

 

 

비밀번호에 Salt라는 비밀값을 추가하여 해쉬함수에 적용하게 되는데, 이는 단순히 비밀번호만을 일방향 해쉬함수에 적용할 경우 비밀번호 사전공격에 취약할 수 있는 문제를 해결하기 위한 것이다. Salt를 추가하는 방법은 다양한 방식을 활용할 수 있으며, 선택한 방법은 외부에 노출되지 않도록 해야 한다.

 

 

hash ( SALT || 비밀번호 || SALT )                           hash ( SALT || hash (비밀번호)) hash ( 비밀번호 || hash ( 비밀번호 || SALT))            hash ( hash (SALT) || hash (비밀번호)) hash1 ( hash2 ( 비밀번호 || SALT))

 

특히, Salt는 사용자마다 랜덤하게 생성하여 사용하여 할당된 비트열 등과 같이 해커가 예측하기 어렵고 언제라도 변경 가능한 값을 사용할 것을 권고한다.

 

□ 해쉬함수 변경 적용 시나리오
해쉬함수를 변경하기 위해서는 암호화되기 전 원래의 비밀번호를 알아야 하는데, 해쉬된 비밀번호는 복호화가 불가능하므로 모든 사용자가 비밀번호를 다시 입력한 후 이를 새로운 해쉬함수로 해쉬하여 저장하여야 한다. 그러나 모든 사용자의 비밀번호를 일시에 다시 입력받는 것은 불가능하므로 사용자가 다시 로그인하여 비밀번호를 입력하기 전까지는 자체적으로 과거에 해쉬되어 저장된 비밀번호에 변경된 안전한 해쉬함수를 적용해놓아야 한다.

 

 

 

이렇게 비밀번호가 새로운 해쉬함수로 두 번 해쉬되어 저장된 이후에 사용자가 로그인하여 비밀번호를 입력하면, 이 비밀번호를 새로운 해쉬함수로 한 번만 해쉬하여 저장하는 작업을 수행해야 한다. 이를 위한 절차는 다음과 같다.

①  사용자가 비밀번호를 입력하면 웹 서버는 사용자가 입력한 비밀번호에 MD5(기존에 쓰던 취약한 해쉬함수) → SHA-256(변경된 안전한 해쉬함수) 순서로 두 번의 해쉬함수를 적용한 해쉬값(해쉬값 a)과 SHA-256으로 한번만 해쉬함수를 적용한 해쉬값(해쉬값 b)을 생성한다.
② 해쉬값 a가 기존에 저장되어 있던 해쉬값과 동일한지 확인한다.
③  ②의 값이 동일한 경우, 서버는 해당 사용자가 정당한 사용자라고 판단하고, 기존 두 번 해쉬된 값 대신 ①에서 생성한 해쉬값 b를 사용자의 비밀번호 해쉬값으로 다시 저장한다.

 

□ 블록암호 알고리즘 신규 적용 시나리오
주민등록번호 등에 대해서 신규로 블록암호 알고리즘을 적용하는 시나리오는 다음 그림과 같다. 이 때, 암호화에 사용되는 비밀키는 본 안내서에서 제시한 방법을 통해 안전하게 보관되어 쉽게 노출되지 않도록 하여야 한다.

 

 

 

 

□ 블록암호 알고리즘 변경 적용 시나리오
블록암호 알고리즘을 변경하고자 하는 경우에는 기존 DB에 암호화 되어 저장되어 있던 암호문들을 복호화 한 후, 새로운 암호 알고리즘으로 암호화하여 다시 DB에 저장한다. 이 때 비밀키는 기존 비밀키과 다른 것으로 새롭게 생성하여 사용한다.

 

 

 

 

3.4 안전한 비밀번호의 생성·변경·이용·검증 방법
⊙ 안전한 비밀번호 생성 
- 안전한 비밀번호는 제3자가 쉽게 추측할 수 없으며, 시스템에 저장되어 있는 사용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹하여 알아낼 수 없거나, 알아낸다 하더라도 많은 시간이 요구됨
 

<안전한 비밀번호의 문자구성 및 길이 조건>    -  3가지 종류 이상의 문자구성으로 8자리 이상의 길이로 구성된 비밀번호    -  2가지 종류 이상의 문자구성으로 10자리 이상의 길이로 구성된 비밀번호       ※ 문자 종류는 알파벳 대문자와 소문자, 특수기호, 숫자의 4가지임

 

⊙ 비밀번호 변경
- 업체는 모든 사용자에게 주기적(3개월에서 6개월 이하)으로 비밀번호를 변경하도록 유도하여 비밀번호의 노출 위협을 최소화

 

⊙ 비밀번호 이용
- 사용자 비밀번호는 해쉬 함수를 적용하여 저장
- 오직 인가된 관리자만이 사용자의 비밀번호가 저장된 시스템에 접근할 수 있어야 하며, 해당 시스템은 외부의 침입으로부터 안전한 장소에 보관

 

⊙ 비밀번호 검증 
- 서비스 종류, 취급하는 개인정보의 종류, 개인정보 노출시 파급 효과 등을 고려하여 적합한 비밀번호 정책을 수립하고 공시해야 하며, 비밀번호 정책에는 최소 비밀번호 길이 및 문자조합, 변경 주기 등을 포함
- 사용자 비밀번호가 자사의 비밀번호 정책을 만족하는지 확인할 수 있는 비밀번호 검증 기능을 구현하여 적용해야 함
  ※ 비밀번호에 대한 검증은 KISA에서 배포하는 「비밀번호 검증 S/W」를 활용

 

 

 

 

 

3.5 암호키 관리 방안
암호키 관리는 암호를 효과적으로 사용하기 위해 필수적인 요소이다. 만약 암호키가 공격자에게 노출되었다면 공격자는 해당 암호문을 쉽게 복호할 수 있기 때문이다. 
즉, 암호키 관리를 잘못하는 경우 아무리 보안성 높은 암호 알고리즘을 적용하는 경우에도 암호화된 중요 정보가 쉽게 노출될 수 있다.

⊙ 암호키 사용기간 및 유효기간 
- 암호키는 보안을 위해 사용기간과 유효기간을 구분할 필요가 있음
  ※ 암호키의 사용기간은 사용자 또는 관리자가 암호키를 사용할 수 있도록 허용된 기간, 유효기간은 사용기간이 완료된 이후라도 추후 복호화를 위해 해당 암호키를 사용하도록 허용된 기간임
- 키의 사용기간 및 유효기간을 설정할 때는 키 노출을 야기하는 위험 요소와 키 노출에 따른 비용 등을 고려해야 함
- 암호키의 사용기간은 최대 2년, 유효기간은 최대 5년으로 설정

⊙ 암호키 생성 방법의 예 
- 암호키를 생성하는 방법은 비밀번호, 난수발생기 등을 이용하는 다양한 방법들이 있으며 RSA, NIST 표준 등 참조 가능

⊙ 암호키 저장 방법의 예
- 암호키는 서버 또는 하드웨어 토큰에 저장될 수 있으며, 암호키를 저장하는 서버는 웹서버 또는 DB 서버와 같은 서버일 수 있으나, 물리적으로 분리되어 있는 서버를 사용하는 것을 권고
   ※ 하드웨어 토큰은 저장된 정보가 위·변조 또는 외부로 노출되기 어려운 장치로, 스마트카드, USB 토큰 등의 보안토큰(HSM, Hardware Security Module)을 의미

 

 

<예제1. 서비스 및 DB에서 사용되는 암호키>  쪾하나의 암호키를 사용하는 경우, 암호키는 서버 또는 하드웨어 토큰에 저장. 만일, 사용 중인 서버가 Trusted Platform Module(TPM)을 지원한다면 TPM에 저장  쪾두 개 이상의 암호키생성키를 사용하는 경우, 각각의 암호키생성키들을 물리적으로 다른 공간에 저장. 즉, 하나의 암호키생성키는 서버에, 다른 암호키생성키는 하드웨어 토큰에 저장하여 사용   <예제2. 직원 PC에서 사용되는 암호키>  쪾한명의 사용자가 한 개의 암호키를 사용하는 경우(개인PC), 비밀번호를 기반으로 암호키를 생성하는 표준 암호키 생성 방법에 따라 암호키 생성하여 사용하면, 암호키 저장이 필요하지 않음  쪾다수의 사용자가 한 개의 암호키를 사용하는 경우(공용PC), 해당 암호키를 사용자마다 다른 “사용자별암호키”로 다시 암호화하는 방법 이용.    ※ 사용자별암호키는 표준 패스워드기반 암호키 생성 방법으로 생성할 수 있으며, 이때 사용되는 비밀번호는 사용자마다 각각 다른 비밀번호를 사용해야 함

 

 

3.6 암호기술 구현 방법
해쉬함수 SHA-256와 블록암호 알고리즘 SEED에 대한 암호라이브러리를 이용해 웹사이트에서 개인정보를 입력받아 해쉬 및 암호화하는 예시를 소개한다.

특히, 안내서에서는 개발자들이 참고할 수 있도록 위 두 예시에 대한 HTML 소스를 제공하고 있으며, 실제 개인정보를 해쉬 또는 암호화해서 DB에 저장하기 위해 HTML 소스를 변경해야 하는 부분도 따로 표시하고 있다.

 ※ 예시에 대한 HTML 소스는 개인정보 해쉬 및 암호화해서 웹페이지로 출력하는 형태임

KISA는 안내서에서 소개하고 있는 블록암호 알고리즘 SEED(CBC 운영모드) 및 해쉬함수 SHA-256의 ASP, JSP용 암호라이브러리를 배포하고 있다.

 

4. 기대 효과 및 향후 계획
개인정보보호법 시행 등으로 개인정보를 암호화해야 하는 대상의 수가 기하급수적으로 증가함에 따라, 개인정보를 안전하게 암호화하기 위한 방법을 제시하는 본 안내서의 활용이 증가할 것으로 예상된다. 특히, 암호화 관련 전문지식이 없는 업체의 경우, 본 안내서와 함께 배포하는 암호라이브러리를 활용해 보다 손쉽게 개인정보 암호화 기능을 구현할 수 있을 것으로 기대된다.

 

본 안내서는 KISA의 암호이용활성화(ssed.kisa.or.kr) 등을 통해 상시 보급될 예정이며, KISA는 영세 업체 등의 개인정보 암호화를 기술적으로 지원하기 위한 추가적인 안내서를 지속적으로 개발·보급할 예정이다.

 

 

 

글/전인경(KBA 연구개발팀 책임연구원)

 

1. 국회통과된 ''정보통신망법 개정안' 통과 주요 내용

보안뉴스기사에 따르면 국회 통과된 ‘정보통신망법 개정안’ 살펴보니... 에서 국회본회의를 통과하고 여러가지 미비한점 또는 개인정보보호법에 있는 것을 망법에 도입하였다고 밝히고 있다. 그중에 대표적인 것이 '개인정보 유출신고, 통지제' '정보보호안전진단 폐지, 정보보호관리체계(ISMS) 인증제도 일원화등을 들고 있다.  이러한 내용을 보면 개인정보보호법과 기존 망법에서 수정 보완해야 하는 내용적인 부분이 들어가 있다. 이번 개정을 통하여 망법에 명시되는 않은 사항은 개인정보보호법에 적용을 받고, 이런경우가 많으면 정작 망법 적용사업자는 2개의 법률을 알아야 하기에 상당히 혼란스럽고 힘든 부분이 많다. 따라서 망법 적용대상자는 미비한 부분을 도입함으로 인하여 가급적 하나의 법에 적용으로 하는 것이 혼란을 덜수 있다.


2. 개인정보보호법 시행후 망법과의 관계

개인정보보호법 법률,고시해설서 42p 에 따르면

「

개인정보 보호법」의 시행에 따라, ｢공공기관 개인정보 보호법｣은 폐지한다(부칙 제2조). 또한 다른 법령에서 ｢공공기관 개인정보 보호법｣을 인용하였던 조문은 ｢개인정보 보호법｣을 인용하는 것으로 개정된다.

｢정보통신망법｣의 일부 규정도 「개인정보 보호법」의 시행에 따라 일부 규정이 개정되거나 삭제되었다. 특히 개인정보분쟁조정위원회 관련 조문(제4장제4절, 제66조제1호) 및 ｢정보통신망법｣상 준용사업자 관련 조문(제67조)은 「개인정보 보호법」 시행에 따라 이 법의 적용대상이 되므로 삭제되었다.

과거 ｢정보통신망법｣은 원칙적으로 정보통신서비스 제공자와 정보통신서비스를 이용하는 자의 관계에서 개인정보를 처리하는 경우에 적용되었으며, 이 외에 ‘회원제로 개인정보를 수집하여 재화․용역을 공급하는 사업자’(여행업자, 호텔업자, 항공운송업자, 학원, 교습소 등)를 준용사업자로 규정하여 정보통신서비스 제공자와 마찬가지로 ｢정보통신망법｣의 개인정보 보호 관련 내용을 적용하여 왔다. 이는 정보통신서비스 업종 이외의 업종에서도 다량의 개인정보를 수집․이용함에 따라서 이러한 업종에도 정보통신망법을 적용하여 개인정보를 보호하기 위한 취지였다. 그러나「개인정보 보호법」이 시행됨으로써 「정보통신망법」에서 준용사업자 규정(제67조)을 별도로 둘 필요가 없어짐에 따라 해당 조항은 삭제되었으며, 준용사업자 업종들은 「개인정보 보호법」에 따른 개인정보 처리자에 포함되게 되었다.

다른 법률과의 관계를 명시하고 있는데 개인정보보호법 시행으로 인하여 [공공기관에 관한 개인정보보호법률]은 폐지 한다고 되어 있고, 정보통신망법 제67조는 삭제된다고 명시하고 있다.

3. 정보통신망법 개정시에 다음 문구 수정도 필요


또한  국회법률지식정보시스템에서도 명시를 하고 있다.  여기

하지만 같은 국회법률지식정보시스템 다른 조항을 보면 다음과 같이 <제67조에 따라 준용되는 자를 포함한다> 라는 문구를 포함하고 있는 것을 볼수 있다. 망법 67조는 이미 삭제가 되아야하지만  제64조, 제71조, 73조,76조 에 그대로 사용되고 있다는 것이다.  법 개정시 같이 문구 수정이 이루어져야 할 것이다.

즉, 준용사업자가 정보통신서비스제공자에서 분리됨으로 인하여 개인정보보호법으로 빠지고 망법은 준용사업자를가 아닌 망법대상자만을 적용하는 법률이 된 것이다.

이러한 제보는 본 블로그에 방문하는 블로그 구독자 "박영식" 님 댓글로 확인이 되었다. 법령을 찾아 보고 많이 보는 필자도 너무 간과한 부분이 아닌가 생각이 든다. 

다시한번 제보해 주신 박영식님에게 감사의 말씀을 전하고 '정보통신망법' 개정시에 참조하면 좋겠다는 의견을 제시해 본다.  @엔시스.

구 분	관련조문	시행시기
개인정보 보호법 전체	유예기간이 있는 조문을 제외한 모든 조문	공포후 6개월(11.9.30)부터
주민번호 대체수단 제공	법 제24조제2항	공포후 1년(12.3.30)부터
주민번호 대체수단 관련 공시	영 제23조
주민번호 대체수단 미제공자에 대한 과태료 부과	법 제75조제2항제5호
제1차(‘12～‘14) 기본계획 수립	법 제9조, 영 제14조	11.12.31까지
2012년도 및 2013년도 시행계획 수립	법 제10조, 영 제15조	12.4.30까지
저장․전송 중 개인정보․고유식별정보 암호화 조치	법 제29조, 영 제33조제1항제3호 및 제24조	12.12.31까지
개인정보파일 등록	법 제34조, 영 제34조	영 시행일부터 60일 이내 (11.11.31까지)
개인정보 영향평가	법 제33조, 영 제35조	영 시행일로부터 5년 이내 (‘16.9.29까지)
개인정보 영향평가 (2011년 정보시스템 구축․운용․연계 변경시)	영향평가 고시 부칙 제2조	‘12.9.30까지

<표 -1 > 개인정보보호법상 각종 법적 시행일

<표-1> 에서 보시는 바와 같이  이미 시행이 된 부분이 많고 유예조항이 있는 경우에는 그 시일이 점점 다가 오고 있습니다.

따라서, 개인정보를 취급, 처리하고 있는 기관이나 기업은 위 기간내에 시행이 될 수 있도록 대응책 마련과 준비를 게을리 하지 말아야 겠습니다.  @엔시스.

오늘은 개인정보보호법과 정보통신망법 사이에서 차이점 중에 중요한 부분이 있어 함께 논의하고자 포스팅 해 봅니다. 그 주요 핵심 사항은 "정기자체감사"에 대한 부분인데요..

                         <그림-1 출처: 전주현개인정보보호따라잡기: http://cafe.naver.com/privacyguide >


위 커뮤니티에서 다니엘초이라는 닉네임을 사용하시는 분께서 의문을 제기해 주셨습니다. 그럼 한번 살펴 보도록 하겠습니다.

주요내용은 "정보통신망법"과 "개인정보보호법"에 있어서 내부관리계획 수립.시행에 대한부분이 있습니다. 그 내용을 살펴보면 위 <그림-1>과 같습니다.

즉,

정보통신망법에는 정기적자체감사에 대한 사항이 명시적으로 나타난 반면에 개인정보보호법에는  정기적 자체감사에 대한 부분이 누락되어 있다는 것입니다.

그럼 무엇이 문제인가?

정기적인 자체감사


이러한 측면에서 "정보통신망법"에서 제시하고 있는 정기자체감사 부분이 "개인정보보호법"에는 누락되었다는 것은 일반법과 특별법 사이에서 서로가 뒤 바뀌어진 형세가 됩니다. 즉, 특별법에 누락된 것은 일반법인 개인정보보호법이 적용되는 논리로 개인정보보호에 대한 법 시행이 되고 있는데, 일반법에서 정기자체감사가 누락되는 것은 안될것이며 고시개정이 이루어져야 겠습니다.

혹시 본 포스팅을 보고 계시는 정부관계자분이 있으시면 확인 부탁드리겠습니다. 혹시 잘못 알고 있는 부분이 있다면 해명을 해 주시면 감사하겠습니다.

다시한번 의문을 제기해 주신 다니엘초이님에게 감사의 말씀을 드리면서 법률적 하자나 개정이 필요한 부분은 지속적으로 모니터링하여 개인정보보호에 대한 법 조기정착 및 혼란 방지를 위하여 올 바른 법 시행이 되도록 관심을 가지겠습니다.  의견 있으신 분들은 댓글 환영 합니다.  @엔시스.

내년도 개인정보보호 예산이 반에 반토막이 났다는 기사가 있어서 몇자 포스팅 해 보고자 합니다.

관련 뉴스 : http://www.itdaily.kr/news/articleView.html?idxno=28398#

 

                                                 <사진출처: http://bit.ly/temZY1>

개인정보보호법 주무부처인 행정안전부의 내년도 개인정보보호 예산이 반에 반 토막 났다. 당초 300억 원 넘게 책정했으나 70억원으로 3분의 2 가까이 대폭 삭감됐다.

그간 정보화 투자에 인색했던 MB정부였지만, 최근 발생한 개인정보유출 등 각종 보안 사고가 사회적으로 크게 이슈화됐던 만큼 개인정보보호 투자만큼은 흡족할 수준이 되리라 기대가 컸다. 그러나 그 결과는 역시나 실망스럽기 그지없다.

그나마도 개인정보보호법이 시행된 것을 감안해 올해 행안부 개인정보보호과의 예산인 46억 보다는 늘었고, 정부의 내년도 IT정보화 예산이 전년대비 20~30% 줄게 된데 비해 늘어난 것으로 전해진다. 예산이 줄지 않은 것만으로도 다행이라고 여겨야 할지 의문이다.  -중략.

1. 자신의 업종이 아직도 개인정보보호법 적용인지 정보통신 망법적용인지도 모르는 수가 태반


필자는 이번에 개인정보보호관련하여 전문 강사단에 위촉이 되면서  지방 공공기관 (주로 경상권) 지역에 교육을 지원 하였습니다. 그런데 여러곳을 다니면서 이야기 듣고, 교육을 하다보면 하나 같이 애로사항들이 공통적으로 있습니다.  그것은 교육 및 홍보를 강화 해 달라는 이야기입니다. 잠시 반짝하는 이벤트성홍보로 하지 말고.

아직도 모르는 곳이 너무 많다고 합니다. 물론 일부 '개인정보보호법'이 시행 된다는 정도의 분위기는 알지만 정작 어떻게 무엇을 해야 하는지..또는 부처 소관의 경우 빠른 지침과 시행 방침을 내려 보내 주어야 움직일 수 있다는 호소였습니다.  처음에는 나름 준비하면 되지라고 생각을 했지만 공공의 업무라는게 개인의 의지만 가지고 되는 것은 아니라는 생각을 하였습니다.  그러니 조금은 이해가 갔습니다.

민간의 경우에는 더욱 심각합니다.  자신의 업종이 '개인정보보호법' 적용을 받는지 '정보통신망법' 적용을 받는지 '신용정보보보호법'에 맞는지 조차도 구분하지 못하는 사람들이 많습니다.  왜 그럴까요? 물론 예산 범위내에서 대응책 마련을 고심할 것으로 압니다만 원래 예산이라는 것이 조금은 삭감 될 것을 예상하고 책정하는 경우가 다반사입니다.

하지만, 본격적으로 '개인정보보호법 정착' 이 진행될 2012년도에는 조금 그 상황이 다르다고 봐야 겠습니다.


2. 개인정보보호법 조직정착을 위해서는 추가 예산 편성할수는 없을까?

국가 사업과 예산이라는 것이 동네 구멍가게 사장 노릇 하듯이 맘대로 안되는 것을 잘 알고 있습니다. 하지만 법만 만들어 놓고 , 수 많은 사람들을 범법자로 만들수는 없는 것입니다.  대부분 중소기업, 소상공인들은 이러한 법이 있는 줄도 모르는 경우가 많습니다. 그리고 '개인정보보호법'을 지키라고 겁을 줍니다.

'법을 공개하고 설명서를 공개하였으니 당신네들이 알아서 공부하시오'라고 하면 과연 그들이 스스로 알아서 공부를 하면 얼마나 좋겠습니까만은 현실은 그렇지 못함에 있습니다. 실제 개인정보보호법을 공부하여 연구하다보면 기술과 법.제도를 함께 알아야 하고, 자신이 해당업종에 있으면 또한 특별법의 법률과 시행령,시행규칙까지 이해를 해야 합니다.

한가지 예를들어 보겠습니다. 병.의원에 근무를 하고 있다고 가정을 하겠습니다. 그러면 제일 먼저 개인정보보호법에 적용을 받는지, 정보통신망법에 적용을 받는지를 파악을 해야 합니다. 그리고 '개인정보'의 정의부터 확인을 해야 합니다. 그러면 관련 법에 의하면 "개인정보라 함은 살아있는 개인에 관한 정보로써 ~~~~"  라고 되어 있지요...그런데 병원에 살아서 입원하여 도중에 사망한 환자에 대한 정보는 개인정보보호법에 의하면 보호를 받지 못합니다. 어떻게 처리해야할지를 또 고민해야합니다. 누구한테 딱히 물어볼 곳도 없습니다. 미국과 독일의 개인정보보호법은 '살아있는 개인에 관한 정보'로 한정 지어 놓지 않았습니다. 혹시나 특별법에 관련 조항이 있는지 의료 관련법을 찾아 보아야 합니다. 

과연 이러한 연구를 일반 개인정보 취급자분들이 판단 할수 있을까요?  개인정보보호법은 이미 시행을 하였습니다. 하지만 아직도 준비가 덜한 상태로 암묵적인 유예기간을 두고 있습니다. 국가가 사업을 시행 한다 하더라도 사업비와 예산이 없으면 흉내만 내다가 그만 두게 됩니다. 

결국 '개인정보보호법'은 처음 의도했던 바가 아닌 다른 방향으로 흘러가게 될 것이고, 사람들은 법.제도의 이해부족과 불편함을 호소하게 되면 SNS등을 통한 여론 형성이 되어 이리저리 편법이 생기고, 그러면 법을 다시 제,개정하는 누더기 법이 될 가능성도 있습니다.


3.  전국민 보안마인드 업데이트 비용과 전국중심의 보안으로 예산이 사용되었으면

미국은 사이버(Cyber)를 제4의 영토로 지정을 하였습니다. 제4의 영토를 공격하거나 침략하려고 하면 즉각 대응하겠다는 발표를 한적도 있습니다. 과연 우리나라는 주변 강대국과 지정학적 위치에 있는 '중국' '일본' '북한'으로부터 얼마나 안전하게 대응 할 수 있는지 의구심이 듭니다.  이제는 물리적인 경계위치보다는 사회적 불안이나 민심을 뒤 흔드는 '사회공학적기법' 공격이 난무하게 될 것입니다. 그것은 여러정치적인 상황과 섞여서 무엇인 진짜이고 가짜이며 진심인지를 가려 내기 힘들 것입니다. 특히 지금처럼 쇼셜(Social)네트워크 서비스가 스마트폰과 어우려져 스피드하게 전파되는 상황에서는 말이죠..

이러한 사회적 비용까지 책정을 예산에서 반영해야 할 것이며,  전국민 보안마인드 업데이트를 가져 오게 끔 해야 합니다. 또한 서울과 수도권 집중적인 예산 투입보다는 2012년도에는 수평화 할 수 있는 지방과 지역 (local)에 대한 보안에 대한 인식제고 향상에도 힘을 쏟아야 합니다.   보안이라는 것은 유능한 사람 혼자만 해서 되는 것도 아니고, 서울 수도권에 한정되어 보호해야만 하는것도 아닙니다. 올해에도 지역에는 제대로된 보안컨퍼런스 행사하나 없었습니다. 혹자는 여러가지 사업과 행사를 진행하려고 해도 규모면에서 지역에서는 호응이 생각보다 없어서 안되다고 이야기 합니다.

일개 개인이 보안커뮤니티를 만들어서 지역활성화와 스터디모임 그리고 각종 SNS을 통하여 긴급 보안 이슈와 트렌드 전파하고 있습니다.. (커뮤니티와 블로그, SNS을 통하여)

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


정보보호에 대한 지식공유를 위하여 발 벗고 나서고 있습니다. 그 이유는 제가 지식이 필요했기 때문이고 그 보안지식을 같이 공유하는 것이 의미있다고 판단했기 때문입니다... 개인도 할 수 있는데, 기관과 정부가 왜 못하겠습니까? 의지만 있으면 10명이 모이든 100명이 모이든 꾸준히 진행해야만 하는 의지 표명이 중요하겠습니다.  최근 개그콘서트의 '비상대책위원회' 코너가 생각이 나네요.. "안돼~~~" " 그러면 결국 되는 것은 어떠한 것도 없다고 생각합니다."


4. 예산이라는 것은 모자라도 안되고 남아도 안되는 국민의 세금


비록, 개인의 블로그에 포스팅하는 힘없는 글이지만 관련기관에서는 분명한 의지를 보여 주었으면 하는 바램을 가져 봅니다. 개인도 그렇고 기업도 그렇고 국가도 마찬가지로 예산이라는 것은 부족하면 부족한대로 문제이고 남아도 남는대로 낭비를 하기 때문에 문제입니다.  예산을 편성하면 의례히 삭감되는 것은 당연한 것으로 받아들이고 삭감 할 것이 아니라 정말 소중한 국민의 세금이 '정보주체의 권리'를 강화하는 '개인정보호보법'의 조기 정착을 위하여 사용하게 끔 잘 편성하고 책정하여 사용 할 수 있도록 하면 좋겠습니다. 

분명한 것은 2012년도 본격적으로 보안 이슈가 더 거세질 전망입니다. 이제는 유선망은 기본이고 다양한 디바이스와 멀티채널을 이용하는 무선랜보안에 대한 이슈, 그리고 스마트폰과 테블릿PC가 봇물을 이루고 사용자 보안으로 공이 넘어갈 것입니다.  보안마인드가 안되어 있는 사용자들의 개인정보유출은 더욱 거세게 될 것이고, 시행중인 개인정보보호법에 논의가 더 활발하게 될 것입니다.

부디 개인정보보호법 조기 정착과 혼란 방지를 위하여 돈이야 많으면 많을수록 좋겠지만 그러한 의미를 조금 내실있게 파악하고, 서포팅 해 주는 것이 예산과 집행기관의 책임을 다하는 정부의 의지 반영일 것입니다. 다른 현안에 묻혀 '개인정보보호법'이 국민을 더욱 불편하게 만들고 옥죄는 법으로 남는 오점을 남겨서는 안될 것입니다. 이제 소중한 자신의 개인의 정보는 스스로 지킬수 있는 개인의 자발적 의지도 분명히 중요한 시점에 도래하였습니다. "개인정보 수집은 하지 않는 것이 최선입니다." "개인정보는 정보주체의 정보이지 조직이나 기업의 자산이 아닙니다."  -엔시스.

공감하시면 추천이나 무한RT해 주시면 더욱 좋겠지요 :)

최근 9월30일 개인정보보호법이 시행 됨으로 인하여 많은 요구사항들이 생겨나 담당자들로 하여금 고민에 빠지게 하였습니다.. 즉, 해야 할 일이 그만큼 많이 생겼다는 것이다. 그것은 업무 부담으로 다가 오지만 뾰족한 수가 없다면 스스로 공부하고 준비해 나가야 할 것입니다.

1. 두마리 토끼중 한마리라도..

원래 두마리 토끼를 쫓아 다니다 한마리도 제대로 잡지 못하는 경우가 있지요 제대로 한마리라도 꾸준히 잡아야 하는 경우가 있습니다., 하지만 현재 어디 그런가 ? 두마리 토끼를 잡아야 하는 환경에 처하게 되어 있는 것입니다.

개인정보보호법이 시행됨으로 인하여 법률적 지식과 IT기술적 기술을 모두 두루 갖춘 인재를 찾기란 쉽지 않다고 언론에서 이야기 하네요..

관련기사 : http://www.etnews.com/news/detail.html?id=201109290191

자신의 업무 한 분야도 잘 하기 쉽지 않는데, 그 분야를 모두 깊이 있는 지식을 습득 보유하려면 많은 노력이 필요하겠지요

                                          <두마리 토끼를 잡는다는 영어식 속담의 삽화

#2. IT기술쪽으로 업무 하는 사람은 이젠 법률과 절차를 , 법률적인 업무를 하는 사람은 IT기술을

이제는 '통섭'의 시대에 살고 있다고들 합니다.. 통섭이란 자신의 분야에서 깊이 있게 알면서 다른 분야를 포용할 수있는 인재를 말합니다..

따라서, 개인정보보호법 시행으로 인한  빠른 트렌드를 따라가는 IT 분야에서 두마리 토끼를 잡아서 롱런하고자 하는 사람은 디테일 한 부분까지 알수 있는 방법을 알아야 살아 남지 않을까 생각합니다.. 자신이 관심분야와 법제도 를 잘익히고 그 내용을 타인에게 잘 설명 할 수 있으면 두마리 토끼를 잡을 수 있다는 것입니다.

제 블로그에 오시는 모든 분들은 "두마리 토끼를 전부 잡으시길 바랍니다,"

2010년 개인정보분쟁조정 사례집에 재미있는 통계가 있어 여러분들과 공유 해 보고자 합니다. 우선 해당 그림을 한번 살펴보겠습니다.

                                         <출처: 2010 개인정보 분쟁 조정 사례집>


개인정보 침해 접수 유형을 보게 되면 '정보통신 망법' 적용 대상 이외의 개인정보 침해가 다수를 차지 하고 있으며, 개인정보 수집 동의 , 저장 및 과도한 제공 이공과 기술적 관리적 보호조치 미비, 동의 철회 정정 불응과 주민번호 타인 정보 침해,훼손,도용등이 신고가 되었습니다.,

전체 신고 건수로 보면 2007년에 25,965건에서 2010년에는 54,832건으로 2009년 대비 50%가까이 증가하였습니다.


개인정보보호법이 9월30일에 시행이됩니다. 그동안 개인정보보호에 대한 국민의 인식은 점점 커질 것이고 이것을 대응하는 기업이나 서비스 제공자는 준비가 비흡하면 조정 사례는 점점 커질 것으로 전망이 됩니다.

개인의 소중한 정보는 개인 자신이 정보주체로서의 권리를 취하는 것입니다. 조직에 속하여 있다가도 다시가정으로 돌아오거나 다른 기업을 이용하게 되면 자신도 개인으로서 권리를 행사하기 때문에 많은 준비와 신경을 써야 겠습니다. 특히, 경영자분들의 많은 관심을 기대하겠습니다.   @엔시스.

얼마전 갑자기 전화가 울렸다. 한 여성분이었는데 개인적인 질문이 있어서 그러는데 전화 괜찮냐고 묻는다. 늘 그런 전화는 받는터라 괜찮다고 했다.  이야기는 내용은 대충 다음과 같다.

본인은 재무설계사로서 일반적인 미팅에서 한 통신사 직원을 만났다고 한다. 그래서  흔히 가볍게 생각하는 생각으로 서로 명함을 주고 받았고, 그냥 인사 정도만 하였다고 한다. 하지만 그 다음이 문제..그리고 며칠이 있은 후에 안부전화를 해서 해당 통신사 상품을 어떤것을 사용하고 있고, 또한 이러저러한 상품들이 있으니 한번 사용해 보는 것이 어떤가라는 전화에 본인은 당황하고 아연 질색 하였다는 것이다. 아마도 자신이 준 명함에 휴대폰 번호를 통하여 자신의 개인정보를 본 것이 아닌가 하는 생각을 하였다는 것이다.
이곳저곳 전화하여 물어 보았지만 대수롭지 않다고 이야기 하고 있어 인터넷에서 필자를 찾아서 마지막으로 한번 개인적인 의견을 듣고자 초면에 무작정 전화를 했다는 것이다.

이것을 어떻게 이야기를 해야 하나? 라고 고민하다가 다음과 같은 부분이 가장 핵심 사항이 아닌가 생각을 한다.

• 과연 우린 명함을 '개인정보'라고 인정을  해야 하나 말아야 하나? 
•  현행법상 제2조 6항에 [.“개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다. 라고 규정이 되어 있다.
• 필자는 명함도 분명히 개인정보가 될 수 있다는 관점에서 접근을 하였다.

명함에는 기본적인 나의 신상에 대한 정보가 나와 있다. 회사 주소, 직급, 전화번호, 휴대폰번호 이름등등,,이러한 명함을 함부로 이용하게 되면 분명히 개인정보에 대한 또 다른 오,남용이 될것이다.

그래서 다음과 같이 이야기를 하였다.

• 현행법상 : 정보통신 이용촉진및 정보보호등에 관한 법률   [제24조(개인정보의 이용 제한) 정보통신서비스 제공자는 제22조 및 제23조제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제22조제2항 각 호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다.] 라는 규정을 이야기 해 주었다.

전화를 준 분은 상당히 기분이 나쁜 상태이며, 자신의 명함을 가지고 어디선가 자신의 정보를 찾아서 아무렇게나 사용하고 또한 그것을 홍보 마케팅에 이용했다는 것에 대하여 상당한 불쾌감을 가지고 있다라고 하였다.


결론

우선은 그 분에게 연락을 하여 도의적인 사과를 요구 할수 있고, 순순히 당사자가 잘못을 시인하고 정중히 사과를 할 경우에는 받아들이고, 하지만 그렇지 않을 경우에는 또 다른 법적 내용을 가지고 개인정보에 오남용에 대한 부분을 법률전문가에게 자문을 구해 보는것이 좋겠다고 이야기를 하고 전화를 끊었다.

개인적인 생각으로는 분명히 명함에 적혀 있는 휴대폰 번호를 가지고 통신사에서 "상대방"에 대한 신원을 조회 했을 가능성이 많고, 그 다음 상품에 가입이 되어 있지 않자, 안부 겸 전화를 해서 상품 홍보를 하였다는 것은 명함을 개인정보로 보고 그에 따른 "개인정보" 사용의 상대방 동의 없이 , 그리고 서로 인사겸 묵시적인 동의교환을 하였다 하더라도 목적외 사용을 하였기에 현행법이나 개인정보보호법에 위반이 되는게 아닌가 하는 생각을 해 보았다.

여러분 생각은 어떠한가?

현대 캐피털에 이어 세티즌까지... 이젠 개인정보가 아니라 공개정보라는 말이 딱 맞네요.. 보안에 투자 하자구요..
비용이라 생각하지 말고,.. 이렇게 개인정보가 유출되면 그 파장이 큽니다... 각자 한번씩 확인들 해 보세요...회원이신 분들은...

사업자를 위한 개인정보 질의 문답 자료입니다.

출처: kisa

개인정보보호법 시행되면 파파라치 활개 치지 않을까?

법의 준거성 측면에서 법의 준수 여부를 가지는 성질이다보니 앞으로는 개인정보취급방침이나 개인정보 저장 , 열람과 수정권 등 ..각종 여러가지 혼란스러운 부분들이 발생 할 수 있습니다. 이러한 사항들만 골라서 신고하는 파파라치들도 나타나지 않을까 우려가 됩니다.
 
이러한 부분을 최대한 방지하기 위해서는 다양한 보완책을 마련하여  업종별, 산업규모별, 베스트프랙티스를 만들어 인식 전파에 최선의 노력을 다해야 할 것입니다. 불합리한 것이 있으면 개정을 통하여 수정하고 법이라고 해서 반드시 법이 옳다고는 할 수 없습니다. 하지만 대부분 무관심이 불러오는 것은 또 다른 구속으로 다가 올 것입니다.

따라서, 많은 관심과 국가기관과 업계, 그리고 산학협력등에서 조기 정착을 할 수 있도록 다 같이 노력하고 힘써 개인정보보호법제정의 취지와 의미를 꼭 되살려야 하겠습니다.  @엔시스.

개인정보보호법 관련 포스팅

2011/03/09 - [Privacy Security] - [보안칼럼] 개인정보보호법 법사위 통과의 의의와 배경
2011/01/17 - [Privacy Security] - 개인정보 출력, 복사물 관련 보호조치 완화돼~~
2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어

*전주현의 개인정보보호길라잡이 : http://www.privacyguide.co.kr

그동안 수차례 개인정보보호법에 제정에 대한 요구가 있었으나 여러가지 현안과 사건사고로 인하여 통과를 하지 못하고 오늘 법안2소위를 통과 하게 되었다.

개인정보보호법 관련 포스팅

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2008/08/12 - [Privacy Security] - 개인정보보호법 제정 법률안 입법예고 -행정안전부
2008/04/30 - [Security Policy] - 개인정보보호법 연내 제정
2006/05/12 - [Privacy Security] - 개인정보보호法 시행 1년 일 기업은 지금


1. 이제는 더 이상 미룰수 없는 시대적 요구사항반영

개인정보보호법 제정에 의미는 시대적 요구사항이고 더 이상 미룰수 없는 현안 사항이기도 하였다. 또한 아래 포스팅 한바와 같이 이번 3.4 DDoS 공격이 또 한번 적절한 타이밍 역할을 한것이 아닌가 하는 필자의 추측도 든다.

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야

포스팅에서도 밝혔지만 이제는 더 이상 개인정보 사각지대를 둘수 없고 공공과 민간을 아우룰수 있는 개인정보보호법을 통하여 국민의 일반법으로서 개인의 소중한 정보를 보호해야 하는것이다. 중국 검색 포털에서 대한민국 주민번호가 그대로 노출이되고 금전적 거래를 하고 과도한 개인정보 수집으로 인한 유출의 피해는 고스란히 각 개인으로 또 다시 돌아오는데 제도권에서 가만히 있는다는 것은 아마도 통과되지 못했을 경우에 부담도 작용이 되었을 것이다.


2. 개인정보보호법 규제라는 성격보다는 개인정보를 보호해야 한다는 진흥의 관점으로 봐야

우선 법이라고 하면 규제의 성격이 강하다. 이것은 이래서 안되고, 저것은 저래서 안되고, 무조건 안되는 법적 규제의 성격으로 접근하기 보다는 개인정보의 소중함을 일깨우는 진흥의 개념으로 접근을 해야 한다. 무조건 배척하기보다는 오히려 법적준거성을 지킴으로 인하여 그외적인 부분에 있어서는 오히려 더 자유로울수 있지 않을까 하는 생각도 든다. 지금까지 처벌한 규정조차 없고, 근거 규정이 없어 불기소처분이되고 특히 오프라인 사각지대에 있는 수많은 업체들도 있었던게 사실이다. 우선은 그렇게 출발을 한다는 시점에서 환영 할만하다.

그렇다고 무조건 반길것만은 아니다. 법이라는 것이 해석상에 있어서 애매함이 있고, 대부분 법학자가 아니고, 또한 유권해석을 내림에 있어 애로 사항들이 있다.

또한, 법이 제정만 되었지, 각 부처별로 다양한 분야에 대통령령이나 시행,지침과 같은 세부안을 마련을 해야 하고 우선적으로 많은 관련 업체의 혼란을 방지를 해야 할 것이다.


3. 관련부처의 노력과 향후 대응 방안 마련

이렇게 개인정보보호법이 통과 되는것에는 그동안 여러 관련 부처에서 마음 고생 많이 했을것이다. 그리고 각종 준비도 많이 했지만 여러가지 이해관계에 걸려 보안에 관심 있는 한 사람으로서 많이 안타까움을 느꼈다. 그런 보이지 않는 부분에서 고생하신 분들에게 박수를 보내드리고 싶고, 이제는 국민들이 혼란 스럽지 않게 보다 체계적이고 활성화와 마찰이 생기지 않도록 준비에 만전을 기해야 할 것이다.

작년에 개인정보보호관련 강의와 pims 인증심사 교육, 그리고 다양하게 주변에서 개인정보보호에 대한 인식에 대하여 여러가지 의견을 청취할 기회가 있었는데 그분들이 요구하는 몇가지 주요 사안을 언급하고자 하니 관계자 분들은 참고 하시여 정책 수립과 운영에 도움이 되었으면 한다.

 

• 개인정보보호법에 대한 이해력 부재 - 법의 유권해석과 준거성 문제
• 개인정보보호에 대한 기술적 관리적 보호조치의 구체적 사례 - 모범사례 필요
• 개인정보보호에 대한 범위문제 - 어디서 어디까지 보호 해야하는지를 잘 모르는 문제
• 개별법에서 일반법으로 통합시 - 다시 개별법의 요구가 있을터, 준비마련 부재.
• 개인정보보호 인식 부재 - 관련 업계와 담당자만 관심이 있지 나머지는 인식부재로 인한 협력 호소
• 개인정보의 라이프 사이클 이해 부족
• 개인정보 영향평가 확대 - 교육 필요
• 개인정보보호 담당자의 처우 문제 - 업무 과중으로 인한 담당자 기피 현상 (인센티브 확대 -중요한 문제)
• 개인정보보호법 시행후 파파라치 생길 우려성 제기
• 중소비지니스 영세업체 어떻게 대처해야 하는가? 등등

 

마무리

아무튼 , 이제 주사위는 던져졌고, 지난번 국내 최대 보안커뮤니티 보안인닷컴(http://www.boanin.com) 에서 어떤분은 개인정보보호법 제정에 따른 불만을 표출하고 이의를 제기하기도 하는 모습을 보았다. 하지만 시대의 요구를 거스를수는 없고, 그동안 개인정보 유출에 따른 여러가지 부작용과 국익으로 생각해 본다면 지금이라도 표류하지 않고 통과된것이 어쩌면 다행일지도 모른다. 2011년 앞으로 많은 변화가 예상되는 만큼 각 조직과 기업에 보안담당자, 개인정보보호담당자, 처리자, 취급자는 조금 더 개인의 업무에 있어서 스킬업을 시켜야 할 것이고, 일반 국민이나 관련이 없는 사람도 많은 것에 협조와 이해를 해 주어야 올바른 초기 시행에 혼란을 주지 않을 것이다.  대한민국이 정보보호 후진국이라는 소리를 듣지 않고 글로벌 시대에 앞서 가려면 그만큼 많은 이해와 노력이 필요로 하는 법 제정임에는 틀림이 없다. 개인정보보호법 제정으로 인하여 국민의 보안인식제고와 마인드가 한층 더 업그레이드가 되는 계기가 되길 기대해 본다.  @엔시스.

USIM 일련번호 수집시에는 사용자 동의 받아야

오늘자 신문에 기사화된 부분을 살려 보면 USIM 일련번호도 개인정보에 해당한다고  첫 판결이 났기 때문에 앱개발자들은 판결에 대한 관심을 가져야 할 것입니다.

                                                                  <출처: 경향신문 2011년2월24일자>


최근 개인정보보호법 제정을 앞두고 국내 개인정보를 보호하려는 의지가 강하게 제기되고 있습니다. 그것은 지금까지 수 많은 개인정보 유,누출로 인하여 많은 해를 입었기 때문입니다. 또한 이러한 개인정보유출은 제2, 제3의 범죄로도 악용될 소지가 있기 때문에 개인정보의 보호에 대한 강화가 요구 되는 것입니다.

실제 위 본문내용을 보면

재판부는 어느개인의 소유로 귀속되는 순간부터 이 번호들은 기계 고유번호라는 의미 외에 특정 개인이 소유하는 휴대전화의 일련번호라는 의미를 함께 지니게 되고 가입자 정보에 나타난 개인정보와도 쉽게 결합되어 개인을 특정 할수 있기때문  -재판부

개발자, 같은 실수 반복해선 안돼.

이렇듯 지난번 "오빠,XX" 앱도 마찬가지로 최근 스마트폰 앱개발에 있어서 왜 이런 개인정보에 대한 논란이 있을까요? 그것은 개발설계시에 개인정보에 대한 관련 규정이나 법규를 잘 이해하지 못하거나 알지 못한 부분에서 기인한다고 생각이 듭니다. 쉽게 말해 기술적으로 어떻게 하면 잘 만들까? 또는 어떻게 더 많은 사용자를 확보하는가에 집중을 하면서 설계를 하다보니 정작 국내 법적인 규제사항을 놓치는 경우가 많습니다.

최근 필자도 법과제도에 관심을 많이가지고 공부하고 연구하고 있지만 이제는 IT분야에서 엔지니어든, 개발자든, 컨설턴드든 모든것이 법에 테두리 안에서 정당하게 이루어져야 한다는 사실을 꼭 인지 하여야 할 것입니다. 그렇지 않으면 또 같은 현상이 반복되고 앱개발하고 벌금 맞아야 합니다. 따라서 이러한 판례나 첫판결을 주의 깊게 봐야 하는데 개발에 몰두하다보면 자칫 지나칠수 있습니다.
이젠 관심을 가져야 하겠지요


아마도 이러한 현상은 개인정보보호법 제정이 되면 더 많은 파장을 몰고 올 것입니다. 그것은 무지에서 오는 결과라기 보다는 자신이 관심을 두지 않아 오는 실수라고 보겠습니다. 하지만 정말 대박이 나는 앱을 개발하고도 그것이 실수에서 오는 파장이 너무 크다면 실제 사용자로 하여금 신뢰를 잃어버릴수도 있습니다. 앱을 개발하거나 기획하시는 분, 또는 여러가지 시스템을 구성함에 있어 이제는 개인정보의 기술적,관리적 보호조치를 얼마나 충족하는지에 대한 깊은 고민을 가져야 할 시기일 것입니다. 실수가 반복되면 그것은 무지(無知)라고 보는것이 맞겠지요.  @엔시스.

출처: 한국인터넷진흥원



상위 랭킹 10위까지 전부 특정 개인에 대한 정보를 수집하고 조합을 하면 어느정도 일명 "신상털기"가 가는 하겠군요. 스스로 절재 할수 있는 방법이 있어야 하는데 , 자신이 전혀 웹을 사용하지 않고 살아간다면 모를까, 사실 일부는 감수해야 하는 경우도 있겠습니다.

하지만 스스로 최대한 개인스스로 자신의 정보를 잘 컨트롤 할 수 있는 마인드 컨트롤이 필요한 것은 분명합니다. 특히 스마트폰과 SNS의 연계에 따른 비(非)보안인들의 여러가지 역기능에 대한 문제점은 아마도 사회 곳곳에서 표출되지 않을까 생각이 듭니다. 아무튼 조심 하시죠 !!  @엔시스.

                                                                                  www.boanin.com 

개인정보에 대한 중요성과 인식을 부각시키기 위하여 자극적인 제목으로 하려다 그냥 일반적으로 만들어 보았습니다. 아직도 자신의 소중한 개인정보가 개인정보가 아닌 공개정보가 된 사실에 분노 하지 않으신가요? 그런 본 보안블로거가 직접 확인해 드리겠습니다. 본 포스팅을 개인정보의 중요성을 전파하기 위한 포스팅입니다.  -편집자 주

1. 들어가는 글

개인정보의 중요성은 누구나 알고 있습니다. 이제는 그 심각성 마져 무뎌 가는게 아닌가 하는 생각이 듭니다. 최근 SNS와 스마트폰이 함께 보급이 되고 기본 앱들이 설치됨으로 인하여 더 많은 사생활 노출과 개인의 프라이버시 노출이 자의와 타의에 의하여 노출 되리라 생각이 됩니다. 필자도 SNS을 사용하고 있지만 늘 염두해 두고 그 경계선을 구분하려고 하지만 보안적인 측면에서는 쉽지 않다라는 생각이 듭니다.  하지만 지금이라도 하나씩 관리 해 나가는 것이 자신의 소중한 개인정보를 잘 관리 하는 길이 아닌가 생각합니다.


2. 내 소중한 개인정보 어디서 유출 되었을까?

우선 개인정보가 도용이나 유출된 경로를 파악 하는 것이 급선무입니다. 자신의 소중한 개인정보가 사이버 어디에선가 둥둥떠다니고 있거나 자신의 의사와 상관없이 가입된 사이트 디비에 저장되어 있을 것입니다. 이러한 사항은 보통 사이트 가입시에 실명 인증하는 경우가 많이 있기 때문에 실명인증이 어디에서 이루어 졌는지를 확인 해 보면 급한대로 개인정보의 도용이나 유출을 추적 할 수 있습니다.


3. 개인정보 월 3회 무료 서비스 - 한국인터넷진흥원에서.

여러분 주민번호이용내역 확인서비스를 무료로 해 주는 곳이 있다는 사실을 아셨나요? 한국인터넷진흥원(kisa) 홈페이지 에서 이용내역을 확인해 볼수 있습니다. 아마도 모르시는 분들이 많을텐데 자신의 소중한 개인정보가 그대로 방치되어 사이버상에서 남에게 사용된다고 생각해 보면 가만히 있을 수는 없겠지요.

우선 어떻게 사용하는지를 보안블로거인 필자가 한번 진행을 해 보았습니다. 별 어려움없이 그대로 따라 하시면 되겠습니다.

1) 우선 http://clean.kisa.or.kr/mainList.do 홈페이지에서 주민번호이용내역확인 서비스를 클릭합니다.
2) 해당 이용서비스 실명인증을 합니다. 이 실명인증도 신용평가회사 어딘가에 로그로 남아지겠지요
3) 그리고 몇가지 옵션에 따라 다시 한번 본인 인증을 합니다.

휴대폰인증을 하였습니다.. 아마도 본인 명의의 휴대본이 있다면 휴대본 인증을 하는것이 가장 손쉬운 방법이 아닌가 생각을 해 봅니다.

4)  3개의 신용평가정보 회사에서 주민번호이용내역확인

3개의 신용평가회사에서 자신의 주민번호이용내역을 검색해서 그 내역을 보여 줍니다. 해당 신용평가사를 클릭하면 세부적인 이용내역을 보여 줍니다.

5) 세부 내역확인

필자의 개인정보도 사이버 어딘가에 떠 다니는 모양입니다. 그것은 아마도 국내 최대 쇼핑몰 개인정보 유출시에 유출되었다는 확인이 있었고, 국내 모 정유사 개인정보유출시에도 아마 유출된 것이 아닌가 생각합니다.

해당 웹사이트에가서 개인정보삭제를 요청하려고 했더니 다행인지 어쩐지 오래된 사이트인지 현재 사이트는 폐쇄된 상태였습니다.

세부내역에는 주민번호이용한 내역중에 [실명인증] 인지 [회원가입]인지를 알려 줍니다. 혹시 자신이 방문하지 않은 의심스러운 웹사이트가 있다면 반드시 확인하여 개인정보 삭제를 요구 하셔야 합니다.

4. 마무리 글

서비스를 사용하기 위하여 가입한 웹사이트, 그러나 웹사이트 관리 소홀과 자신도 모르게 빠져 나가는 개인정보보호. 이제는 더이상 남에 일이 아닐 것입니다. 위 서비스를 이용하여 내가 실명인증 받은 웹사이트 세부 내역이 나오기에 자세히 살펴 보시기 바랍니다. 대부분 게임사이트나 성인사이트가 주류를 이루는 것이 많습니다. 혹은 자신도 모르게 기억조차 나지 않은 곳에 실명인증이나 웹사이트 가입정보가 있다면 사용하지 않은 웹사이트라면 담당자에게 탈퇴요청과 개인정보 삭제 조치를 반드시 하는게 좋습니다. 그 이유는 사용하지 않은 많은 사이트에 개인정보를 그만큼 많이 제공을 한다면 유출될수 있는 경우에 수는 더 많겠지요.

서비스하는 조직과 기업에게 한마디 당부드린다면 "개인정보는 절대 회사의 자산이나 영업력의 규모가 아닙니다. 그만큼 책임도 크다는 사실을 꼭 인지 해야 한다" 는 것입니다. 지금도 정보통신망법에서 개인정보 열람권이나 수정권등이 있지만 개인정보보호법이 통과 되면 "개인정보 자기결정권"이 더욱 강화되기에 지금부터라도 아무렇게나 개인정보를 수집하면 안됩니다. 자신도 개인으로 돌아와서 이용해야할 사이트가 있다라고 한다면 조금 더 고객의 소중한 개인정보를 지킬려는 마인드가 앞서야 할 것입니다. 그렇지 않으면 그 회사와 조직, 미래는 그리 밝다고 할 수 없을 것입니다.   @엔시스.

" 이제 보안(개인정보보호)을 하지 않으면 SNS입소문에 타켓이 될 것입니다"  

SNS에 대한 관심이 늘어나고 작년에 관심이 증가하였지만 올해는 폭발적인 대세를 이룰것으로 예상이 된다. 특히 스마트폰과 태블릿 PC등이 더 많이 보급이 되면 사용자의 증가는 지극히 당연한 것이다.

이러한 SNS의 대표하는 트위터와 페이스북은 아는바와 같이 외국 서비스로 서버가 외국에 있다. 트위터와 페이스북을 통하여 개인정보유출로 인한 여러가지 법적 제재 부분이 화두가 될 것이다.

이러한 조치로 방송위에서는 일부 페이스북에 대하여 정보통신 망법에 개인정보보호조치를 제대로 취하지 못한 점을 들어 미국페이스북 본사에 서면으로 개선을 요구 했다.특히 페이스북측은 회원 가입시 개인정보 수집 사실을 알리거나 동의를 받지 않았고, 수집한 개인정보를 제3장에 제공하면서 이용목적과 이용기간등을 이용자에게 알리지 않았다.

개인정보 취급방침에도 한글로 되지 않았고, 이용자권리 및 행사방법등에 대한 고지하지 않은 점도 문제가 되었다. 이러한 부분에 대해서는 국내 업체와 국외 업체의 동등하게 적용되는 것이 맞다. 하지만 그렇게 조치를 취하지 않는다고 해서 마땅히 제재 할 수 있는 없고 거부해도 그만인 것이다. 앞으로 이러한 문제는 직접적인 SNS 보안의 화두로 떠 오를 가능성이 많고 법에 대한 제도적 추가 보완이 시급해 보인다.

이에 방통위에서는 SNS개인정보보호 연구반을 구성해 개인정보호 수칙을 다룰 계획이라는 언론에 발표도 있었다.

보다, SNS 사용자들의 주의가 요구되고, 개인정보보호나 보안이 뒷받침 되지 않는 SNS서비스는 한순간에 무너질 우려가 있다. 이러한 점을 SNS서비스 해외 업체들은 신경써서 현지 법인이나 현지 법률에 맞는 보완 장치를 마련하여 서비스를 하여야 할 것이다. 그렇지 않을 경우 SNS서비스에 대한 롱런을 기대하기엔 무리가 있지 않을까 하는 생각이다.  @엔시스.

행안부는 오늘 국내 35만 준용사업자를 대상으로 개인정보보호에 대한 기준 고시를 발표 하였다. 여기서 말한 준용사업자란
 [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 제67조에 따라 정보통신 서비스 제공자 외의 자에 대한 준용 사업자를 말한다.  대표적인 업종으로는 백화점,호텔,정유소,서점,등등.. 24개업종 35만 준용사업자 대상입니다.
아래 포스팅 참조 하세요

2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어

이러한 준용 사업자 대상으로 하여 행정안전부에서는 개인정보보호 기준 고시를 발표 하였습니다. 따라서 자영업자나 사업자중에서 35만 준용사업자에서는 개인정보보호에 대한 고시기준을 따라야 합니다.

고시된 개인정보 보호조치 기준을 위반 할 경우 관계법에 따라 최고 3천만원의 과태로 부과와 이 기준을 준수하지 않아 이용자의 개인정보를 분실.도난.유출.변경 한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금이 부과 될수 있습니다.


행정안전부가 발표한 고시 내용에는 모두 13조의 조항이 있으나 목적,정의,적용 범위를 제외한 10개 항목을 제시 하고 있습니다.

준용사업자 분들은 고시에 우선적용 대상자가 됨으로 인하여 고시내용을 꼼꼼히 살펴 볼 필요가 있겠습니다. 또한 이러한 조치를 취하지 않았을 경우 개인정보보호 보호조치 위반만 신고하는 파파라치가 생기지 않을까 하는 생각이 듭니다. 법의 준거성 측면에서 법이 가지는 효력이 있으니 스스로 잘 준비 하셔야 겠습니다. 이에 따른 관련 기관에 홍보나 교육이 이어질 것으로 예상이 됩니다만 스스로 관심을 갖지 않으면 불이익을 당할 수 있으니 평소 관심을 가져 주셔야 겠습니다.

이 고시 기준은 발표 한 날로부터 바로 시행에 들어갑니다.  개인정보보호조치가 미흡한 사업장이나 사업자에 대해서는 바로 계획을 세우셔야 겠습니다. 그리고 실천하셔야 합니다. 그동안 정보통신망법 기준과 개인정보보호법 기술적.관리적 봏보호조치에 충실히 따랐다면 그다지 부담이 되지 않겠지만 그렇지 않는 사업자는 조금 부담으로 다가 올수 있겠습니다. 
 내년2011년에는 개인정보보호 강화를 의지를 표명한 관련 기관에 의지도 있기에 빨리 서둘러야 할 것입니다.  @엔시스.

*여기서 잠깐

이러한 개인정보보호에 대한 보호조치사항에 대한 부분은 규제적인 측면이 아니라 그 동안 개인정보보호에 대한 보호조치가 너무나 미흡이 되었고, 개인정보에 대한 근거 마련이 제도적으로 미약했던게 사실입니다. 이에 대한 제도적 보완 조치사항에 하나이고, 개인정보의 주체는 사업자가 주체가 아니라 개인정보를 제공한 개인임으로 개인정보보호를 철저히 해야 하고 이미 글로벌 시대에 살고 있는 미국이나 일본 유럽, OECD 국가에서도 이러한 보호조치 등이 강화 되고 있습니다.

그동안 개인정보사각지대가 많았고 이로 인한 개인정보 유출등이 일어났을때 제도적 미흡한 점이 있었기에 추가 보완적인 측면이기에 올바른 법이나 제도 운영에 대한 이해가 필요로 하고 이를 이해 한다면 비즈니스적인 관점에서 고객에게 신뢰감을 주고 개인정보를 취급하는 사업자로서 이미지제고로 볼때 꼭 필요한 조치라 생각이 듭니다. 도움 되셨으면 좋겠습니다.

* 참고로 준용사업자 대상 개인정보보호 조치고시 기준안을 첨부파일로 첨부해 놓았으니 참고 하세요.  

101230(개인정보보호과)백화점_등_약_35만개_사.hwp

1. 포스팅 동기

최근 개인정보보호법제정을 앞두고 이슈가 되다보니 필자도 많은 관심을 가지고 있습니다. 특히 올해 PIMS(개인정보보호관리체계)인증심사원에 위촉이 되고 나니 더욱더 관심을 가지게 되었습니다. 최신 정보를 알아야 하는 것은 당연한 것이고, 그 가운데 일반적인 개인정보보호에 대한 원론적인 지식만 가지고 있는 것이 대부분입니다.

대부분 법과 제도 이해에만 집중이 되어 있고, PIMS 인증심사원이라면 최소한 자문 역할과 최신의 이슈를 이끌어 가고 조금 더 제도의 조기 정착을 위해선 개선 방향과 솔루션을 제공 할 수 있는 자질을 가져야 한다고 생각을 했습니다. 그것이 인증심사원으로의 경쟁력을 확보하는 길이라 생각하였습니다. 그래서 직접 발로 뛰기로 했습니다.

최근 언론에도 보도되고 아름아름 지인을 통하여 인포섹의 "이글아이"라는 개인정보보호 솔루션을 알아 보기로 하였습니다. 인포섹 홈페이지에도 자세히 나와 있지 않는 제품 UI를 볼수 있지 않나 싶네요. 기업 입장으로서는 모든 것을 오픈하고 싶지만 그게 쉽지만은 않고, 솔루션 도입 고객입장으로는 더 많은 정보를 얻어 비교분석해서 사용해 보고 싶은데 그져 이렇게 저렇게 알게 되어 영업담당에 말과 제품 소개서만 보게 되는 것이 현실이지요. 객관적 분석을 하기 위해선 보안 솔루션에 대한 관련 정보를 공유하는게 좋다고 생각합니다. 

개인적인 생각에서는 이러한 정보가 조금 더 많이 공개가 되어 서로 경쟁하면서 제품 경쟁력도 높아지고 아무래도 공급보다는 수요가 많기에 올바른 고객의 선택의 폭이 넓어져야 하는게 아닌가 하는 생각이드는 차원에서 이러한 차원에서 포스팅 하겠노라고 관계자분에게 말씀 드렸고, 흔쾌히 수락하셨습니다. 여기에서 제가 제품을 일일이 설명할순 없고 잘못 전달하면 오해의 소지가 있으니 그냥 이러이러한 것이 있다 정도로만 알면 될듯하고 도입시에는 직접 컨텍을 해 보셔야 겠습니다.

2. 제품 구성

제품에는 두가지 종류가 있었는데요.

1) CS버전
쉽게 말하면 중앙집중식으로 보시면 되겠습니다. 개인정보관련 부서나 의사결정권이 있는 곳에서 개인정보취급자 PC에 에이젼트(Agent)를 설치하여 서버에서 수립된 정책을 내려서 일괄적용도 가능하고 여러가지 옵션 상황을 정할수도 있습니다. 또한 레포팅 기능이 잘 되어 있어 각각 부서별,권한별로 레포팅을 지원해 주고 있어, 개인정보에 대한 파일과 관련 정보들이 얼마만큼 있는지를 수치화 해서 볼 수 있습니다. 조금 큰 조직이나 기업에서 사용하는 용도로 구성이 되어 있습니다.

실제 제품소개서에 나온 UI를 잠시 보면 다음과 같습니다. 사전에 담당자분에게 공개 허락을 받았기에 공개를 해 봅니다.
아마도 개인정보보호담당자분들이나 CRM 관계자 분들은 참고가 될 듯합니다.

▲ 인포섹 개인정보보호솔루션, 이글아이 "CS" 버전 ⓒ인포섹종합적인 현황을 보여주고 있네요

▲ 인포섹 개인정보보호솔루션, 이글아이 "CS" 버전 ⓒ인포섹개인과 그룹별로 보여주고 있습니다.

▲ 인포섹 개인정보보호솔루션, 이글아이 "CS" 버전 ⓒ인포섹

신용카드와 주민번호 검출하는 화면

관리자 암호화 사용자정의 암호화화면

개인정보보호파일 삭제화면

대기업이나 규모가 큰 기업과 조직을 보유한 곳에서 유용하게 사용할 수 있는 버전입니다. 또한 본사와 지사, 각각의 대리점등에서도 많은 활용을 할 수 있을 듯 싶네요.


2)Audit 버전

Audit 버전은 조금 간편한 버전으로 USB에 담아서 개인이 소지하면서 각 개별 개인정보처리시스템에 인식시켜 사용할 수 있는 버전으로 개발된 버전입니다. 인포섹의 배려로 Audit 버전을 3개월 한정 버전으로 테스트 해 볼수 있는 기회도 받았습니다. 아마도 개인정보보호 솔루션을 이해 하는데 많은 도움이 되지 않을까 생각해 봅니다. 아직까지 그리 많이 사용해 보지는 않았지만 추후 여러가지로 도움이 될 듯 합니다. 사용해 보고 피드백도 많이 드려보려고 합니다.

▲ 인포섹 개인정보보호솔루션, 이글아이 "Audit" 버전 ⓒ엔시스

CS버전의 축소 형태일 듯 싶은데요. 아마도 소규모 조직이나 중소 단위로 개인정보처리시스템을 감사하기 위한 버젼으로 활용할 수 있을 듯 싶습니다. 또한 개인정보처리자에게 나누어 주어 개인정보처리시스템에 대하여 수시로 점검 할 수 있는 버전으로 활용 하면 되겠습니다.  잠시 실행한 UI만 보여 드리겠습니다.

▲ 인포섹 개인정보보호솔루션, 이글아이 "Audit" 버전 ⓒ엔시스

직관적으로 알수 있는 사항입니다.  더 세부적인 사항이나 자세한 내용은 해당 기업 담당자분에게 알아보시면 좋겠습니다. 제가 해당 기업 개발자나 솔루션 영업 담당자가 아니기 때문에 잘못 전달 할 시에는 오해를 불러 올 소지가 있기에 소개정도만 하겠습니다.  담당자 분들도 참 친절하게 잘 알려 주시고, 많은 설명을 해 주셔서 이해하는데 도움이 많이 되었습니다.


총평

우선 국내 개인정보보호에 대한 제품이 대동 소이한 부분이 있고, 나름 여러가지 솔루션마다 특. 장점을 잘 이해하는 것이 중요하겠으며, 또한 이번 기회로 개발 배경을 이해하며 개인정보보호 솔루션에 대한 필자의 개인적인 이해의 폭이 넓어 졌습니다. 또한 직접 발로 뛰고 찾아 다니면서 이해하려고 노력을 하였고, 그것이 추후 PIMS 인증심사시에 많은 도움을 줄 수 있지 않을까 생각합니다. 또한 바쁜 시간에도 장시간 제품을 설명해 주신 관련 개발팀장님께도 이자리를 빌어 감사의 말씀을 드립니다.

서두에도 말씀 드렸다시피 이 포스팅에 대한 목적은 보안 솔루션을 도입하고자 하는데 관련 정보가 없어서 또는 어떠한 제품이 있는지 조차도 잘 몰라 제품 도입에 망설이고 있는 분들이 계셔서 보안블로거인 만큼 , 또한 PIMS 인증심사원으로서 보안솔루션에 대한 제품 이해를 함께 공유하고자 하는 포스팅임을 밝혀 드립니다.  이젠 보안정보도 크리티컬 한 부분을 제외하고는 공유하는 세상이 되어서 함께 성장해 나가는 분위기 조성이 필요한 때입니다. 공개를 허락해 주신 인포섹 관계자 분들에게 감사의 말씀을 드립니다. 개인적인 질문은 sis@sis.pe.kr 로 주시면 되겠습니다. @엔시스.

최근 쇼셜커머스가 우후죽순처럼 생겨난다. 이미 레드오션이 되지 않았나 생각을 한다. 하나의 유행이나 트렌드를 쫒기 보다는 긴 안목을 보고 롱런 할수 있는 아이템을 찾아야 하는 것이아닌가 하는 생각과 그래도 욕심이 있다면 남들과 차별화 할 수 있는 방법을 모색을 해야 하는데 하나 같이 붕어빵이다.

거기에 각종 큰 포털들도 쇼셜커머스에 진출하거나 진출 준비를 하고 있어 영세한 커머스 사업자들은 또 다시 타격을 입지 않을까 하는 생각을 해 본다.

그런데 여기에 한가지 보안상 주의 할 점이 있어 이렇게 블로그에 포스팅까지 하게 되었다. 그것은 바로 '개인정보보호'에 대한 문제이다.

최근 '개인정보보호법(안)' 제정을 앞두고 많은 관심을 받고 있는 것이 사실이다. 대부분 국내 사업이 마찬가지이겠지만 '쇼셜커머스'는 회원 확보가 하나의 가장 핵심적인 관건이 되고 있다. 회원 규모가 얼마나 되는가에 따라 시장지배와 성장 그리고 각종 할인을 하기 위한 사업자 유치에 커다란 잣대가 되는 것은 사실이다.

그런데, 이러한 '쇼셜커머스' 사이트에 가입하기 위한 개인정보 수집과 개인은 상당한 주의를 기울일 필요가 있다는 것이다.

다음과 같은 시나리오를 한번 가장해 보자.

A. 생명보험에 가입을 하라는 스팸 메일과 문자 그리고 사이트가 있어 가입을 권유한다면 과연 당신은 개인정보를 쉽게 주면서 회원 가입을 할 것인가?

B. 맛있는 음식점에서 기존 가격에 50% 할인하는 가격에 쿠폰을 제공을 한다면 당신은 적극 회원 가입을 하고 개인정보를 제공할 의사가 있는가?

두가지 시나리오만 놓고 본다면 당연히 B 시나리오에 개인정보를 제공하고 회원 가입을 할 가능성이 높다. 그것은 내가 무엇인가 이루고자 하는 확고한 의사결정이 A보다 B가 더 욕구가 크기때문이다.

이러한 이유로 요즘 '쇼셜커머스' 사이트가 성행중인데 개인정보에 대한 여러가지 체크해야 할 사항들도 점검을 해 보아야 할 것이다. 즉, 우후 죽순격으로 회원 가입유치에만 열을 올리다보면 결국 개인정보보호조치에 대한 소홀함이 있을수 밖에 없다. 필자가 일부 쇼셜커머스 사이트를 분석 한 결과 다음과 같은 개인정보 보호조치 결함 사항들이 있었다.

• 개인정보보호취급 방침이 하나같이 일괄 똑 같은 곳이 많았다. 이는 유명한 곳에 개인정보보호취급 방침을 그대로 사용한 듯한 느낌이 들었다. 실제 자신의 사이트에 맞게 수정해서 사용하는게 올바른 것이다.
• 개인정보보호를 위한 기술적.관리적 보호조치를 다 한다고 하였는데 과연 실제로도 그렇게 하고 있는지 의문이 드는 부분이 많다. 벌써 회원이 몇만에서 몇십만명이 넘어가면 반드시 현행법에서 요구하고 있는 기술적.관리적 보호조치를 지켜야 할 것이다. 그것이 추후 개인정보 유출로 인한 사업자 처벌에서 조금이라도 경감될 수 있는 사항이다. 암호화 저장이나 보안서버 구축, 침입차단시스템,침입탐지시스템을 구축하여 운영하는 사이트가 얼마나되는지 궁금하다. 영세하지만 규정을 지키는 것또한 중요하기에 관련 규정을 살펴볼 필요가 있다는 것에 포커스를 맞춘다.
• 회원 가입탈퇴 조치의 경우 어떠한 사이트는 외부 메뉴에 포함하고 있어 쉽게 판별 할수 있는가 반면에 대부분의 사이트는 회원을 가입을 해야만 하고, 로그인 마이메뉴에서 탈퇴처리가 된다고 되어 있었다. 이마져도 개인정보보호 취급방침에는 명시되지 않고 있었다. 회원탈퇴는 가입보다 쉽게 해야 한다는 것이 현재 개인정보보호관점이다.
• 대부분 사이트에서 제3자 제공과 위탁을 하지 않는다고 하는데 일부 몇몇 사이트는 이벤트광고를 하고 있고 이러한 상품배송을 배송업체에 넘길경우 이에 대한 공지를 해야 하는 것이다.

쇼셜커머스.

누구나 돈이 된다고 하면 일확천금을 벌고 싶은것은 인지상정이다. 또한 개인도 저렴한 가격에 상품과 서비스를 제공한다고 하면 분명 매력적인 것임에는 틀림이 없다. 하지만 자신의 개인정보를 얼마나 잘 수집하고 저장하고 이용제공 그리고 파기 하는지에 대한 관심도 분명히 중요한 사항중에 하나이다. 혹자는 그렇게 까다로운 규정을 어떻게 일일이 다 지키면서 사업하냐고 반문하겠지만 개인정보의 중요성은 그 침해사고 후 보이스피싱과 문자피싱,사기등 제 2차 3차 피해가 충분히 일어날 수 있기 때문이다. 그것이 범용적인 일반법으로서 '개인정보보호법'을 제정할려는 이유이기도 하다.

대부분 국민들이 이제는 너무 많은 개인정보유출로 인하여 자신의 소중한 개인정보를 아무렇지 않게 생각하는 경향이 있다. 하지만 개인정보 유출로 인하여 자신이나 가족이 피해를 입는다고 하면 상황은 달라 질 것이다.

가격이 싸다고 아무렇게나 자신의 개인정보를 담보하기 보다 소중한 개인정보는 언제나 자기스스로 지켜야 함에는 언제나 변함이 없을 것이다. 꼼꼼히 살펴보고 지키고 따지는 수 밖에는 없다. 정 불안하면 개인정보보호 자기결정권을 행사하길 권해 본다. 아직까지 현행법에도 개인정보 자기결정권을 행사할 권리가 주어져 있기 때문이다. @엔시스.

관련기사:

네이버 다음 네이트 야후 등 포털 다털렸다… 40대男, 개인정보 2900만건 빼내

http://www.kukinews.com/news/nMain/index.asp

'개인정보보호법(안)'이 국회에서 표류 하는 가운데 위와 같은 기사가 올라 왔습니다. 확인해 보니 이미 지난번 해당 IP로 무차별적으로 계정을 접근을 한다는 기사가 올라온 것도 있었는데 그때에는 대부분 중국쪽을 의심하고 있었으나 역시 등잔 밑이 어두웠습니다.

지난 8월달 해당 IP를 포털에서 감지하고 있었습니다.

지난 8월에 이미 이러한 증상이 보고된 바 있으며, 결국 꼬리가 길면 밟히는 법이군요. 하지만 이렇게 계정에 아이디와 비밀번호등 개인정보를 절취하여 또 다른 제2차 피해가 있을 것이 더 우려스럽군요.

개인정보는 각 개인에 대한 정보주체로서 권리를 내 세울수 있으며, 이러한 부분은 철저히 지켜져야 함에도 불구하고 아직도 그냥 인터넷 바다에 떠 다니는 쓰레기 마냥 취급 되는 현실이 안타깝기만 합니다.

개인정보보호법 조속한 시일내에 통과 되길

이런 이유로 관련기관에서나 부처에서 많은 준비를 하여 개인정보보호법안 마련과 준비를 해오고 있는데 아직도 표류중이라는 것은 비난 받아 마땅하다는 것입니다. 물론 여러가지 정책적 이슈로 인하여 정국이 급격히 냉각되면서 어쩔수는 없더라도 빠른 시일내에 복귀가 되면 처리를 해야 할 것입니다. 물론 민생치안과 생계에 따른 법적 통과도 빨리 되어야 겠지요.

관련 기관과 여러 업계에서는 이미 준비를 점점 해가고 있으나 이번에는 이번에는 하다가 다시 논의가 된다고 한다든지, 그 기간이 길어지면 질수록 그 정당성은 인정 받기 어려울 것입니다. 이미 법안은 2008년도에 만들어 졌으나 아직도 처리를 못하고 이제는 자신의 개인정보마져도 정말 가치없는 수준으로 전락하는게 아닌가 하는 오류를 범하게 될 것입니다.  의사를 결정하는 결정권자들도 다시 사회로 돌아 오면 스스로 개인이고 정보주체로 '개인정보자기결정권'을 가지는 하나의 개인임을 분명히 아셔야 할 듯 합니다. 그때가서 부족한 법률과 제도 탓만 할것이 아니라 자신이 업적을 쌓으면 후대에 떳떳하게 정치활동 하였다고 자신감있게 이야기 할 수 있겠지요..다시한번 조속한 조치가 이루어지길 간절히 바래어 봅니다.  @엔시스.

-덧붙임

" 개인정보는 소중한 자신의 정보이며, 개인정보자기결정권은  함부로 다루어서는 안될 소중한 정보주체로서 권리입니다. 국민 모두가 자신의 소중한 정보를 지키기 위한 최소한의 노력도 기울여야 할 것입니다.

퇴근후와 주말을 이용하여 틈틈히 만들어 놓았다가 어제 교육시에 참여 하신 분들에게 알려 드렸기에 제 블로그를 통하여서도 같이 알려 드립니다.

그동안 ISMS(정보보호관리체계)인증심사원 활동과 개인정보보호관리체계(PIMS) 인증심사원 활동등 지난 경험과 커뮤니티 운영 경험을 토대로 하여 '개인정보보호 전문커뮤니티'를 개설 하였습니다. 향후 개인정보보호에 대한 다양한 이슈와 사례중심으로 정보를 공유 하고자 합니다.

특히, 개인정보보호관리체계(PIMS)와 정보보호관리체계(ISMS) , 그리고 개인정보영향평가(PIA)등 정보를 개인정보보호 처리자, 책임자분들과 함께 논의 해 볼 예정이구요. 특히 규모별 (대기업과 중소기업) 그리고
산업별 (공공,민간)등로 사례를 발굴하여 함께 활용하고 케이스(CASE) 바이 케이스 형태로 , 법에 대한 준거성과 법의 유권 해석등 관심 있는 분들과 함께 논의의 장(場)으로 마련해 보고자 합니다.

프라이버시가이드 http://www.privacyguide.co.kr 에서 여러분들과 함께 만나겠습니다. 감사합니다.
@엔시스.

개인정보보호법 제정을 앞두고 많은 분들이 개인정보보호법과 시행에 관심을 두고 있는 가운데 PIMS(개인정보보호관리체계) 인증심사원에 위촉이 되었습니다.

보안은 관심에서 시작이 된다라고 생각합니다. PIMS 교육 받기까지 약간의 우여곡절이 있었지만 무엇보다 중요한 것은 위촉이 아니라 실질적인 행동과 인식제고에 기여를 하여야 한다고 생각을 합니다.

저는 다음과 같이 3년동안 활동할 계획입니다.

 

• PIMS 인증심사원으로서 자질함양과 지식축적에 심혈을 기울일 예정입니다. 무엇보다 중요한 핵심 키워드 중에 하나입니다.
• PIMS 에 대한 전반적인 이해를 하고 PIMS 제도 확산에 기여를 하겠습니다. 그 가운데 제가 할 수 있는 것은 블로그를 통하여 연구하고 학습한 내용을 다른 분들과 공유하는 것입니다.
• 개인정보보호법에 대하여 보다 많은 이해와 그것을 필요로 하는 분들에게 조금 더 쉽게 다가 갈수 있도록 이해의 폭을 넓혀 많은 실증 사례를 연구 해 볼 예정입니다.
• 산업별 사례 연구를 해 볼 생각입니다.

ISMS와 PIMS - 국내 관리적 보안의 중심

국내에서 시행되는 관리적 보안에 대표적인 사례는 ISMS(정보보호관리체계)와 향후 시행이 될 PIMS가 있습니다. 이러한 관리체계를 공부하고 연구하고 프레임워크를 만들어 본다는 것은 과거에 주먹구구식에 지나지 않았던 보안을 조금 더 체계적인 관리를 통하여 기업과 조직에 한단계 업그레이드 시키는 일입니다. 그러한 점에서 스스로 많은 노력을 하려고 합니다.

• ISMS : 자산이 우리 조직과 우리기업의 것으로, 자산의 가치를 산정하여 보안 위험으로부터 보호 하려는   데 목적이 있습니다. 잘 체계적으로 관리하고 보호조치 함으로 인하여 우리 기업에 신뢰와 이미지 향상에 도움이 됩니다.
• PIMS : 개인정보는 정보주체의 '개인정보자기결정권'의 하나로 기업이나 서비스 사업자가 고객의 정보를 동의를 얻어 수집하여 이용,저장,제공,파기의 단계를 거쳐 (생명주기) 어떻게 하면 효율적이고 보호조치를 잘 할수 있을 건지에 대한 방어적 조치 개념이라 본다면 그 출발 사상부터 틀리기에 둘 모두를 경험 할 수 있는 좋은 기회인듯 합니다.

 
개인정보보호법과 기타 관리적 보안제도 정착을 위해선

법과 제도 정착을 위해선 관련 기관과 정부, 그리고 무엇보다 일반 국민들의 관심과 지지가 있어야 하며 이러한 법률과 제도는 규제의 대상이 아닌, 정보주체로서 개인정보를 보호 하고 과거의 개인정보 유출로 인한 경제적 , 정신적 피해를 막고자 함이며, 또한 공공과 민간을 아우르는 일반법으로서 많은 관심을 가져야 합니다. 국민의 각자  소중한 개인정보를 지키는 자신의 법이라 생각하고 한번쯤 귀기울일때가 아닌가 생각해 봅니다. 더욱 열심히 노력하겠습니다.  @엔시스.



아침부터 날라온 대출관련 홍보성 스팸 메일 한통.

며칠전부터 관련 은행에서 대출관련 홍보성 메일을 집중적으로 보내고 있었습니다. 처음엔 그져 한통의 홍보성 광고 메일이겠거니 했는데 이건 무슨, 팩스로도 들어오고 이메일을 단체로 긁어서 집중적으로 홍보를 하게 되는데요. 이러한 부분에 있어서  실제 마케팅이나 홍보 담당자들도 알면서 묵시적으로 이루어지는 경우가 많이 있습니다.

따라서, 해당 담당자에게 관련 법률적 조항이나 현재 개인정보 수집에 있어 동의 부분을 이야기 하였더니 수긍을 하면서 미안한 감을 이야기 하도 다시 보내지 않도록 조치 하겠다는 약속을 하였습니다.

위 사례와 같이 많은 부분들이 우리가 묵시적으로 간과 하고 지나가는 경우가 있지만, 조금 더 적극적인 자세로 자신의 개인정보의 주체로서 자기결정권과 정보주체의 권리를 내 세울수 있다면 스팸은 줄어 들지 않을까 하는 생각이 듭니다.  해당 담당자분도 알려 주어서 감사하는 이야기를 하더군요.  @엔시스.

2010년 올 한해 개인정보보호에 대한 부분은 개인적으로 많이 접하게 되었는데 연내가 가기 전에 PIMS 관련 도입 입장을 방통위에서 공식 발표를 하였네요. 아마도 개인정보보호법 법안 소심사위 통과후 개인정보보호법 제정의 최종 국회 통과후 후속조치로 적용이 되지 않을까 생각이 듭니다.

하지만 법과 상관없이 개인정보보호를 어떻게 잘 관리하고 체계적으로 정책을 수립하고 관리적,물리적,기술적 보호조치를 취할 것인가에 관점으로 접근 한다면 이제는 소중한 개인에 대한 정보 즉, 개인정보는 기업의 자산이 아니라 정보주체로서 개인정보자기결정권이라는 권리를 가질수 있는 하나의 개인의 권리주체로서 정보이며, 기업이 당연히 보호해야 하는 것중에 하나의 제도 정책이 아닌가 하는 생각을 해 봅니다. 그런 토대 마련이라고나 할까요.

다음은 방통위에서 다음과 같은 보도자료자료 일부입니다.

방송통신위원회(이하 방통위)는 계속되는 개인정보 대량 유출 사고를 방지하고 기업의 사회적 책임을 강화하기 위한 일환으로 기업 스스로 고객의 개인정보를 보호할 수 있는 관리체계를 수립하여 지속적인 보호활동을 수행할 수 있도록 "개인정보보호 관리체계(PIMS) 인증제" 도입을 의결하였다.

※ PIMS(Personal Information Management System) : 개인정보보호 관리체계

“개인정보보호 관리체계 인증제”란 개인정보를 취급하는 기업이 전사차원에서 개인정보 보호 활동을 체계적？지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 것으로, 고객의 개인정보 보호를 위해 필요한 법적인(정보통신망법 등) 요구사항을 포함한 총 3개 분야 119개 통제항목에 대한 점검 과정을 거치게 된다. 특히 인증제도의 신뢰성과 공정성 확보를 위하여 방송통신위원회가 인증제를 직접 관리？감독하고, 한국인터넷진흥원이 인증 신청 기업의 심사를 수행할 예정이다.

방통위 관계자는 “인증제도 도입으로 법률에 명시된 최소한의 보호대책만으로 개인정보 침해사고 방지에 어려움을 겪었던 기업들에게 체계적 개인정보 보호활동을 위한 세부 기준과 방법이 제시되었으며, 국민들에게는 개인정보를 안전하게 관리하는 기업을 객관적으로 식별할 수 있는 기준이 마련되었다는 점에서 의미가 크다”고 밝혔다.

또한 방통위는 12월중에 사업자를 대상으로 인증제 설명회를 개최할 계획이며, 인증 신청 및 심사는 2011년부터 수행할 예정이다.
출처: http://www.kcc.go.kr/user.do?boardId=1042&page=P05030000&dc=K05030000&boardSeq=29997&mode=view

PIMS (Personal Information Management System) 개인정보보호관리체계는 고객의 개인정보 보호를 위해 필요한 법적인 (정보통신망법등) 요구 사항을 포함한 총3개 분야 119개 통제 항목에  325개 세부통제항목에 대한 점검 과정을 거치게 됩니다..

• 관리과정 요구사항
• 보호대책 요구사항
• 생명주기 요구사항

3개의 영역을 잘 파악하면 도움이 되리라 생각이 듭니다. 특히 보도자료 마지막 부분에 '11년 6월경에 PIMS 인증심사원 양성 교육을 계획 하고 있어 개인정보보호에 관심 있는 분들의 좋은 기회가 되지 않을까 생각이 듭니다.

또한 관리체계를 통한 주먹구구식의 개인정보에 대한 부분이 체계화되고 , 개인정보보호 기술적 .관리적 보호조치를 취함으로 인하여 고객의 개인정보를 더 소중히 여길수 있는 좋은 인증 제도로 거듭나지 않을까 생각이 듭니다. 아무튼 좋은 제도로 거듭나길 기대해 봅니다. 보도자료 같이 첨부해 올립니다.  @엔시스.

개인정보보호관리체계(PIMS)인증제도입도자.hwp

지방에 보안에 관련 세미나나 교육이 그다지 많지 않은데 이번에 부산에서 '개인정보보호법에 대한 권역별 순회 교육'이 부산 국제신문 4층 중강당에서 개최가 되었다.

지방에서 교육이라 주최측에서는 인원이 적을까 많은 고민을 했다는 후문이 있었지만 그것은 기우에 지났고 무려 180여분정도 참석을 하여 교육장에 추가로 자리를 배치하는 등 '개인정보보호'에 뜨거운 관심이 있는 것을 알수 있었다.

행사의 진행은 첫번째 교육으로 포털 다음에 이진화 차장이 개인정보보호에 대한 전반적인 사항을 아주 유익하게 교육을 진행 하였다. 특히 개인정보 라이프 사이클 부분에서는 개인의 경험을 살려 교육이 지루하지 않게 이끌어 주었고, 교육생 반응을 살피면서 이끌어 가는 모습도 보기 좋았다.

행사가 끝나자 여러가지 질문들이 오고 갔는데 실제 실무에서 질문 할수 있는 질문들이어서 다른 사람들에게도 많은 도움이 되는 시간이 되었다,

이에 행사를 진행하는 한국인터넷진흥원 김민섭책임은 "너무 많이 와 주셔서 감사하고, 앞으로 더 많이 준비하고 노력하여 개인정보보호법 인식제고에 최선을 다하겠다"는 감사의 말씀과 질문답변을 성실히 해 주는 모습도 있어 더 많은 개인정보보호에 대한 뜨거운 관심을 보게 되었다.

오늘은 이제 제주 지역을 순회교육을 하게 되는데 아직까지 공포가 되지 않은 개인정보보호법에 대하여 일찍이 많은 분들이 관심을 가지고 있고, 또한 준비를 해야하는 입장에서는 부담으로 작용할 순 있지만 이러한 교육을 통하여 법률이 규제라는 측면 보다는 어떠한 배경으로 제정이 되었고, 향후 어떻게 대응을 하며, 지금까지 진행 상황을 이야기 함으로 인하여 지방에서 교육에 기회가 없었던 분들은 아주 유익한 자리가 아니었는가 하는 생각을 가져본다.

실제 지방에서 있는 교육이라 관련 IT관련언론이나 하다 못해 지방언론 조차도 이런 중요한 보안교육에 대하여 취재조차 하지 않는 것은 정말 아쉬운 것중에 하나이다. 아마도 추후 주최측에서 보낸 보도자료를 통하여 접할수 있는 것은 진정한 소식이 아닌듯 하다. 현장을 직접 방문하여 그 분위기와 보도자료는 차원이 다른 것이다.  이러한 것을 해당 분야 전문블로거를 통하여 소식을 듣고 그나마 분위기를 느낄수 있는 것이 바로 블로그의 매력이 아닌가 생각을 해 본다.

앞으로 발빠른 취재와 아주 따끈따끈한 소식은 언론보다 트위터 , 페이스북, 블로거들이 더욱 빠르게 전달하고 진화 할것으로 생각을 한다.  -부산에서 보안블로거 엔시스

선거때에 아마도 많은 선거 관련 홍보 문자를 받은 적이 있을 겁니다. 저도 당시 수많은 문자를 받았는데 결국 해당 사업자는 과징금 10억을 물게 되었네요.

3억 벌고, 10억 과징금이면 손해 본 장사입니다. 결국 이러한 조치는 개인정보보호에 대한 방통위의 강력한 의지를 표명하는 호의 결과인 듯 합니다.

                                                     <이미지출처: 머니투데이 2010.10.21자>


최근 개인정보보호에 대한 이슈와 관심이 증대가 되고 있고, 각 관련 기관은 개인정보보호법 통과와 조기 정착에 노력을 기울이고 있습니다.

이러한 때에 위와 같은 사례, 즉 공익 목적이라 하더라도 개인에 대한 동의를 얻지 않고 문자자를 발송을 했다면 현재 '정보통신이용촉진 및 정보보호등에 관한 법률'로 위반 조치가 된다는 사례가 되겠습니다.

개인정보보호, 특히 법에 대한 준거성과 유권 해석이 많은 만큼 보다 많은 이해가 필요하고 법에 저촉이 되지 않도록 각종 전문가에 자문이나 사례들을 잘 파악하는 것도 정보보호전문가의 몫도 있지만 개인정보 취급자들에게도 많은 연구와 노력이 필요한 대목이라 생각이 드네요..

참고로, 이번 2010/10/20 - [Privacy Security] - [행정안전부] 민간사업자를 위한 개인정보보호 전문교육-부산  교육이 전국 순회교육으로 시행되고 있으니 참고 하시어 꼭 교육을 받고 이해를 도모하는 것이 바람직 하다는 말씀을 드리고 싶네요.. 이에 보안인닷컴^[각주:1](http://www.boanin.com) 에서도 개인정보보호 인식제고와 홍보에도 앞장 서고 있습니다. 많은 관심 갖어주시면 좋겠네요.  @엔시스.

 

[행정안전부] 민간사업자를 위한 개인정보보호 전문교육-부산

 

행정안전부와 한국인터넷진흥원에서는 내년에 새롭게 제정되는 개인정보보호법 의무사항의 이해를 도모하여
기업의 개인정보보호 역량강화에 도움이 되고자  10/26(화) 부산에서 개인정보보호 순회교육을 실시합니다.
 
내년도 법 시행에 대비하여 해당 지역의 사업자분들이 필수적으로 준수해야할 사항이 교육될 수 있도록
교육에 참석 하시면 지역에 있으신 분들은 많은 도움이 되겠습니다.

 

------------------교육 개요----------------------------------------
1) 대상 : 기업내 책임자 및 업무 담당자
 
2) 권역별 교육 일정

- 영남권 : 10. 26(화) 14:00 ~16:30. 국제신문 문화센터
- 제주권 : 10. 27(수) 14:00 ~ 16:30, 제주벤처마루 4층
- 호남권 : 10.29(금) 14:00 ~16:00, 정부광주 합동청사
  
3) 교육 내용
- 사례 중심의 개인정보보호 관리방안
- 새롭게 제정되는 개인정보보호법 주요 내용 안내 등
 
4) 교육 신청
- 기간 : 2010. 10. 13(수) 부터
- 신청 방법 : 인터넷 또는 전화, 이메일
- 인터넷 : http://privacy.kisa.or.kr/edu2
- 전화 : 02-405-4712/ 4841
- 이메일 : mskim@kisa.or.kr/  maryj@kisa.or.kr

 

====================================================

 자세한 내용은 위 링크를 참고 하시면 되겠습니다..^^;; 나도 가 봐야 하나..? 어쩌나?

지난 10월6일부터 8일까지 PIMS(개인정보보호관리체계: 이하 PIMS) 인증 심사원 교육이 서울 강남 AKIS 교육장에서 있었습니다.

PIMS 관련해서는 첫번째 교육으로 관련 노하우와 경험이 많으신 분들이 참석 하셔서 향후 개인정보보호관리체계에 대한 전망은 밝을 것이라는 생각이 들었습니다.

 

특히 이번 교육은 '개인정보보호법' 통과로 인한 다양한 분야에 계신분들의 관심을 가지고 있고, 향후 이러한 개인정보보호관련체계를 인증 심사를 하는 심사원 양성이라는 측면에서  수업을 허투르 들을수 없었고, 관련 교육생분들도 한분도 졸거나 잡담하는 모습이 없이 진진하게 교육에 임하는 태도에서 이번 교육에 중요성을 인지 할수 있었습니다.

비록, 지방에서 올라가 잠자리와 식사가 편하지는 못하였지만 오랜만에 받는 교육이라 지적 충만감은 밤 늦게 내려오는 KTX안에서도 피곤함을 잊게 하였습니다. (교육생 가운데 유일한 지방에서 올라간 사람 T.T..) 이젠 대전에서도 출퇴근 하시더군요. 부산에서도 출퇴근 하는 날이 올까요?

1차2차로 나누어진 인증심사 양성 교육에서 차후 PIMS 관련하여 인증심사를 맞이 하게 될텐데 각자 교육후 자신의 역량에 매진하여 인증심사원으로서 자질과 품위를 유지하는데에 노력할 필요가 있으며 모자란 학습은 반드시 다시 숙지하여 궁금증이 많은 개인정보보호 담당자분들로 하여금 많은 질의와 궁금증을 해소시켜야 할 의무가 있을 것입니다.

기존에 ISMS는 IT관련 기업이나 원격대학에서 많은 관심을 갖었다면 PIMS는 제조,유통,의료,공공등 다양한 분야에 계신분들이 관심을 가지리라 생각을 합니다.

혹시 조금 더 자세한 내용을 원하시는 분들은 아래 링크를 참고 바랍니다.

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향

1) 개인정보보호에 대한 법 및  제도 운영 특징 

가) 개인정보보호의 특징

   - 무엇이든 그렇듯이 법과 제도 운영에 있어 가장 기본이 되는 것은 바로 '법의 해석' 입니다. 특히 유권해석이 필요한 부분은 다양한 경험을 통하고, 관련 전문가에 자문을 받아 케이스 바이 케이스를 학습하는 것이 좋겠고, 관련 법 조항이나 시행령, 규칙, 조례,지침, 고시등은 반드시 살펴 봐야 하는 부분들입니다.

- 따라서, 점검해야 할 사항과 법 해석에 있어 논란에 여지가 있는 부분들은 구체적이고 명확한 법적 근거제시가 중요하며 많은 학습이 필요하다는 생각이 들었습니다.

- 개인정보보호 생명주기 (Life cycle) : 개인정보보호도 사람과 마찬가지로 하나의 공통된 사이클이 형성이 되는데 이것을 개인정보보호 생명주기라 합니다. 사람은 태어나지만 개인정보는 수집단계를 시작하여 이용,저장, 파기까지의 일련의 사이클로 형성이 되는데 각 주기마다 개인정보에 대한 특성을 이해 하는 것이 중요합니다. 이러한 이해에는 반드시 예외 조항이 있어 예외 조항과 기존의 법리적 해석..그리고 법의 준거성 측면에서 이해 하는것도 중요하겠습니다.


나) 이젠 보안전문가도 법과 제도운영 알아야 프로페션얼

- IT보안전문가 < 법률 전문가

개인정보보호를 한다는 것은 결국 법과 제도 운영에 이해가 많아야 하며 이러한 부분에 있어 법을 전공한 사람이라면 더욱 장점이 있지 않을까 하는 생각도 됩니다. 그 중심에 있는 "정보통신망법"과 "공공기관에 관한 개인정보보호법률"등이 있겠지요. 그 이하 법률->시행령->고시 순으로 되겠지만 아무튼 기술적 보안에 치우친 분들은 법의 용어나 유권해석에 있어 애로사항이 있을수도 있겠습니다. 하루 빨리 적응이 필요 한듯 합니다.

- 법률전문가 < IT보안전문가

이렇게 조금은 법률적 제도적 측면에 기울어진 보안은 법률제도 운영에 노하우가 있는 분이 강점이 있을테고 기술적 보안에 강점이 있는 경우에는 기술적 보안에 이점이 있겠지만 결국 컨버전스 되는게 아닌가 하는 생각이 듭니다.


- 법률 = 기술 같이 할수 있는 전문가

이젠 법전공 하신분이 기술적 보안을 한다든지. 아니면 기술적 보안을 하신 분이 법을 공부한다라고 하면 결국 진정한 보안전문가는 법과 제도를 함께 아우르면서 기술적인 부분을 해결해 나가는 것이 진정한 프로페션얼한 전문가가 아닌가 하는 생각을 해 보았구요.

하나의 조직은 어떠한 정책에서 출발하여 보안도 거버넌스적인 측면에서 비지니스에 영향을 미칠수 있다는 전문가의 설득이야말로 진정한 보안에 중요성을 일깨울수 있는 전문가가 아닌가 생각해 봅니다.

마지막으로 느낀점은 개별법으로 산재되어 있어 법의 사각지대를 메울수 있는 부분은 충족 할수 있겠지만, 너무 다양한 분야를 아우룰려면 때로는 또 전문적인 개별법이 또 필요한 시점이 있지 않을까 하는 생각도 해 보았습니다.

우선은 개별적 이익보다는 개인정보보호의 법의 사각지대를 없애는 공공의 목적이 더 큰 만큼 관련 분야 전문가분들이 힘을 합쳐 규제의 대상이 되는 힘겨운 법이 아니라, 반대로 생각하면 법의 요건만 충족하면 마음대로 비지니스 할수 있는 하나의 기회로 삼을 수 있는 오픈된 마인드가 필요한 시점이 아닌가 생각해 봅니다.

관련기관에서도 제도 운영과 확산에 의지를 피력한 만큼 인증심사원으로서 자긍심과 개인정보보호 인식 확산에 앞장 서야 겠다는 마음을  다시한번 가지는 계기가 되었습니다.  미흡한 힘이지만 더욱 노력하여 전국민 보안인식제고 보안마인드 향상에 앞장 서겠습니다.  @엔시스.