엔시스의 정보보호(보안) 따라잡기

KISA, 개인정보 암호화 구현 방법 쉽게 이해할 수 있는 안내서 발간

 

최근 대형 개인정보 유출사고의 발생 빈도가 잦아지고 개인정보보호 관련 법이 강화되면서 기법, 공공기관은 물론 소규모 개인 사업자들까지 암호에 대한 관심이 높아지는 가운데, KISA가 개인정보의 안전한 저장을 위해 암호기술을 구현하고자 하는 업계 실무자에게 암호기술 구현 방법을 쉽게 알려주는 '암호기술 구현 안내서'를 11월 29일 발간했다. KISA는 보다 다양한 정보를 제공하고자 지난 8월부터 이동통신사, 주요 포털사이트 및 개임 업체 등의 실무담당자들과 한국암호포털 등 암호기술 관련 전문가들의 경로를 거쳐 안낸서를 제작하게 됐다.

 

 

 

이번에 KISA가 발간한 ‘암호기술 구현 안내서’는 ▲암호화가 필요한 개인정보의 종류와 이에 대한 법적 근거 ▲개인정보별로 적용이 필요한 암호기술 및 적용 시나리오 ▲암호키 관리 방법 ▲안전한 비밀번호의 생성·변경·이용·검증방법 등이 담겨있다.

특히, 개발자들이 참고할 수 있도록 사용자 비밀번호와 주민등록번호를 암호화하는 예시를 소스코드와 함께 제공하고 있으며, 암호기술 구현이 불가한 영세 업체들을 위해 예시에 사용된 암호 소스코드의 라이브러리도 함께 보급할 예정이라고 KISA는 밝혔다.

서종렬 KISA 원장은 “암호에 대한 관심은 높아졌지만, 여전히 일부 업체에서는 안전성을 담보할 수 없는 취약한 암호기술을 별 의심 없이 사용하거나, 잘못된 방법으로 암호기술을 구현하는 등 문제점이 많다”며 “이번 안내서 발간을 통해 안전한 암호기술 구현방법이 널리 공유돼 보다 안전하게 개인정보를 보호 할 수 있게 되기를 바란다”고 말했다.

 

 

『암호기술 구현 안내서』
  - 주요 내용 요약 - 

 

 

1. 배경 및 목적
최근 인터넷을 통한 개인정보 유출 사고가 빈번해지면서 개인정보 암호화 여부 뿐만 아니라, 개인정보 암호화에 이용된 암호기술의 안전성에 대한 논란이 일고 있다. 개인정보보호를 위해 자체적으로 암호기술을 도입·구현시, 안전하지 않은 암호기술을 도입하거나 구현을 잘못 한 경우에는 개인정보를 암호화했을 지라도, 여전히 개인정보 노출의 가능성이 있기 때문이다.

 

『암호기술 구현 안내서』는 이와 같은 개인정보 노출 가능성을 최소화하기 위한 안전한 암호기술들을 소개하고, 이러한 암호기술을 안전하게 구현하는 방법도 함께 제시하고 있다.

 

 

2. 대상
『암호기술 구현 안내서』는 정보통신망법, 개인정보보호법 등에서 개인정보 보호 의무를 가지는 기업 및 기관, 단체 등의 개발자들에게 암호기술을 구현하기 위한 방법을 제시하고 있다.

 

3. 주요 내용

3.1 암호화가 필요한 정보의 종류
암호화가 필요한 정보는 암호화된 정보를 다시 복원할 수 없어야 하는 정보와 암호화된 정보를 다시 복원할 수 있어야 하는 정보들로 분류한다.
⊙ 암호화된 정보를 다시 복호화할 수 없어야 하는 정보 ⇒ 비밀번호 등
 ※ 개인정보의 소유자를 제외하고는 개인정보 관리자를 포함한 그 누구도 암호화된 정보의 원래 정보가 무엇이었는지 알 수 없어야 하는 정보들
⊙ 암호화된 정보를 다시 복호화할 수 있어야 하는 정보 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등
 ※ 저장 시에는 암호화하나, 사용 시에는 복호화하여 원래 정보를 알 수 있어야 하는 정보들

 

관련 근거 법령 ◇ 개인정보의 기술적·관리적 보호조치 기준    제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. ② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. ◇ 개인정보의 안전성 확보조치 기준    제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다. ③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

 

3.2 암호화가 필요한 정보의 종류에 따른 암호기술
개인정보 암호화에 적용 가능한 암호기술은 개인정보의 저장 시 요구되는 기술과 개인정보 송·수신 시 요구되는 기술로 분류할 수 있다.

 

□ 개인정보 저장 시 요구되는 기술
  - 비밀번호 등 암호화된 정보를 다시 복원할 수 없어야 하는 정보는 일방향 해쉬함수를 이용
  - 주민등록번호 등 다시 복원할 수 있어야 하는 정보는 블록암호 알고리즘을 이용

⊙ 일방향 해쉬함수 ⇒ 비밀번호 등에 적용(다시 복호화할 수 없는 정보 저장 시)
   보안강도별 해쉬함수 분류

 

 

 

 

 

 

※ 권고 해쉬함수는 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

※ 현재 많은 응용에서 사용되고 있는 SHA-1은 알고리즘 변경에 따른 비용, 구축 시간 등을 고려하여 2013년까지 112비트 이상의 보안 강도를 가지는 해쉬함수로 변경 권고

⊙ 블록암호 알고리즘 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등에 적용(다시 복호화할 수 있는 정보 저장 시)

 

보안강도별 블록암호 알고리즘의 사용 권고 기간

 

 

 

 

 

 

※ 권고 알고리즘은 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

 

□ 개인정보 송·수신시 요구되는 기술
  - SSL 및 TLS와 같은 통신 암호기술 또는 응용프로그램에서 제공하는 암호화 방법을 사용
 ※ 웹서버에서 SSL/TLS 등의 보안 통신 기능을 적용하기 위한 보다 상세한 정보는 한국인터넷진흥원에서 발간한 「보안서버 구축 안내서」를 참조

 

 

3.3 암호기술 적용을 위한 시나리오

앞서 기술한 암호기술을 적용하기 위한 시나리오를 소개한다.
 
□ 해쉬함수 신규 적용 시나리오
비밀번호와 같이 일방향 해쉬함수가 필요한 정보에 대하여 신규로 해쉬함수를 적용하는 경우, 다음과 같이 처리할 수 있다.

 

 

 

 

비밀번호에 Salt라는 비밀값을 추가하여 해쉬함수에 적용하게 되는데, 이는 단순히 비밀번호만을 일방향 해쉬함수에 적용할 경우 비밀번호 사전공격에 취약할 수 있는 문제를 해결하기 위한 것이다. Salt를 추가하는 방법은 다양한 방식을 활용할 수 있으며, 선택한 방법은 외부에 노출되지 않도록 해야 한다.

 

 

hash ( SALT || 비밀번호 || SALT )                           hash ( SALT || hash (비밀번호)) hash ( 비밀번호 || hash ( 비밀번호 || SALT))            hash ( hash (SALT) || hash (비밀번호)) hash1 ( hash2 ( 비밀번호 || SALT))

 

특히, Salt는 사용자마다 랜덤하게 생성하여 사용하여 할당된 비트열 등과 같이 해커가 예측하기 어렵고 언제라도 변경 가능한 값을 사용할 것을 권고한다.

 

□ 해쉬함수 변경 적용 시나리오
해쉬함수를 변경하기 위해서는 암호화되기 전 원래의 비밀번호를 알아야 하는데, 해쉬된 비밀번호는 복호화가 불가능하므로 모든 사용자가 비밀번호를 다시 입력한 후 이를 새로운 해쉬함수로 해쉬하여 저장하여야 한다. 그러나 모든 사용자의 비밀번호를 일시에 다시 입력받는 것은 불가능하므로 사용자가 다시 로그인하여 비밀번호를 입력하기 전까지는 자체적으로 과거에 해쉬되어 저장된 비밀번호에 변경된 안전한 해쉬함수를 적용해놓아야 한다.

 

 

 

이렇게 비밀번호가 새로운 해쉬함수로 두 번 해쉬되어 저장된 이후에 사용자가 로그인하여 비밀번호를 입력하면, 이 비밀번호를 새로운 해쉬함수로 한 번만 해쉬하여 저장하는 작업을 수행해야 한다. 이를 위한 절차는 다음과 같다.

①  사용자가 비밀번호를 입력하면 웹 서버는 사용자가 입력한 비밀번호에 MD5(기존에 쓰던 취약한 해쉬함수) → SHA-256(변경된 안전한 해쉬함수) 순서로 두 번의 해쉬함수를 적용한 해쉬값(해쉬값 a)과 SHA-256으로 한번만 해쉬함수를 적용한 해쉬값(해쉬값 b)을 생성한다.
② 해쉬값 a가 기존에 저장되어 있던 해쉬값과 동일한지 확인한다.
③  ②의 값이 동일한 경우, 서버는 해당 사용자가 정당한 사용자라고 판단하고, 기존 두 번 해쉬된 값 대신 ①에서 생성한 해쉬값 b를 사용자의 비밀번호 해쉬값으로 다시 저장한다.

 

□ 블록암호 알고리즘 신규 적용 시나리오
주민등록번호 등에 대해서 신규로 블록암호 알고리즘을 적용하는 시나리오는 다음 그림과 같다. 이 때, 암호화에 사용되는 비밀키는 본 안내서에서 제시한 방법을 통해 안전하게 보관되어 쉽게 노출되지 않도록 하여야 한다.

 

 

 

 

□ 블록암호 알고리즘 변경 적용 시나리오
블록암호 알고리즘을 변경하고자 하는 경우에는 기존 DB에 암호화 되어 저장되어 있던 암호문들을 복호화 한 후, 새로운 암호 알고리즘으로 암호화하여 다시 DB에 저장한다. 이 때 비밀키는 기존 비밀키과 다른 것으로 새롭게 생성하여 사용한다.

 

 

 

 

3.4 안전한 비밀번호의 생성·변경·이용·검증 방법
⊙ 안전한 비밀번호 생성 
- 안전한 비밀번호는 제3자가 쉽게 추측할 수 없으며, 시스템에 저장되어 있는 사용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹하여 알아낼 수 없거나, 알아낸다 하더라도 많은 시간이 요구됨
 

<안전한 비밀번호의 문자구성 및 길이 조건>    -  3가지 종류 이상의 문자구성으로 8자리 이상의 길이로 구성된 비밀번호    -  2가지 종류 이상의 문자구성으로 10자리 이상의 길이로 구성된 비밀번호       ※ 문자 종류는 알파벳 대문자와 소문자, 특수기호, 숫자의 4가지임

 

⊙ 비밀번호 변경
- 업체는 모든 사용자에게 주기적(3개월에서 6개월 이하)으로 비밀번호를 변경하도록 유도하여 비밀번호의 노출 위협을 최소화

 

⊙ 비밀번호 이용
- 사용자 비밀번호는 해쉬 함수를 적용하여 저장
- 오직 인가된 관리자만이 사용자의 비밀번호가 저장된 시스템에 접근할 수 있어야 하며, 해당 시스템은 외부의 침입으로부터 안전한 장소에 보관

 

⊙ 비밀번호 검증 
- 서비스 종류, 취급하는 개인정보의 종류, 개인정보 노출시 파급 효과 등을 고려하여 적합한 비밀번호 정책을 수립하고 공시해야 하며, 비밀번호 정책에는 최소 비밀번호 길이 및 문자조합, 변경 주기 등을 포함
- 사용자 비밀번호가 자사의 비밀번호 정책을 만족하는지 확인할 수 있는 비밀번호 검증 기능을 구현하여 적용해야 함
  ※ 비밀번호에 대한 검증은 KISA에서 배포하는 「비밀번호 검증 S/W」를 활용

 

 

 

 

 

3.5 암호키 관리 방안
암호키 관리는 암호를 효과적으로 사용하기 위해 필수적인 요소이다. 만약 암호키가 공격자에게 노출되었다면 공격자는 해당 암호문을 쉽게 복호할 수 있기 때문이다. 
즉, 암호키 관리를 잘못하는 경우 아무리 보안성 높은 암호 알고리즘을 적용하는 경우에도 암호화된 중요 정보가 쉽게 노출될 수 있다.

⊙ 암호키 사용기간 및 유효기간 
- 암호키는 보안을 위해 사용기간과 유효기간을 구분할 필요가 있음
  ※ 암호키의 사용기간은 사용자 또는 관리자가 암호키를 사용할 수 있도록 허용된 기간, 유효기간은 사용기간이 완료된 이후라도 추후 복호화를 위해 해당 암호키를 사용하도록 허용된 기간임
- 키의 사용기간 및 유효기간을 설정할 때는 키 노출을 야기하는 위험 요소와 키 노출에 따른 비용 등을 고려해야 함
- 암호키의 사용기간은 최대 2년, 유효기간은 최대 5년으로 설정

⊙ 암호키 생성 방법의 예 
- 암호키를 생성하는 방법은 비밀번호, 난수발생기 등을 이용하는 다양한 방법들이 있으며 RSA, NIST 표준 등 참조 가능

⊙ 암호키 저장 방법의 예
- 암호키는 서버 또는 하드웨어 토큰에 저장될 수 있으며, 암호키를 저장하는 서버는 웹서버 또는 DB 서버와 같은 서버일 수 있으나, 물리적으로 분리되어 있는 서버를 사용하는 것을 권고
   ※ 하드웨어 토큰은 저장된 정보가 위·변조 또는 외부로 노출되기 어려운 장치로, 스마트카드, USB 토큰 등의 보안토큰(HSM, Hardware Security Module)을 의미

 

 

<예제1. 서비스 및 DB에서 사용되는 암호키>  쪾하나의 암호키를 사용하는 경우, 암호키는 서버 또는 하드웨어 토큰에 저장. 만일, 사용 중인 서버가 Trusted Platform Module(TPM)을 지원한다면 TPM에 저장  쪾두 개 이상의 암호키생성키를 사용하는 경우, 각각의 암호키생성키들을 물리적으로 다른 공간에 저장. 즉, 하나의 암호키생성키는 서버에, 다른 암호키생성키는 하드웨어 토큰에 저장하여 사용   <예제2. 직원 PC에서 사용되는 암호키>  쪾한명의 사용자가 한 개의 암호키를 사용하는 경우(개인PC), 비밀번호를 기반으로 암호키를 생성하는 표준 암호키 생성 방법에 따라 암호키 생성하여 사용하면, 암호키 저장이 필요하지 않음  쪾다수의 사용자가 한 개의 암호키를 사용하는 경우(공용PC), 해당 암호키를 사용자마다 다른 “사용자별암호키”로 다시 암호화하는 방법 이용.    ※ 사용자별암호키는 표준 패스워드기반 암호키 생성 방법으로 생성할 수 있으며, 이때 사용되는 비밀번호는 사용자마다 각각 다른 비밀번호를 사용해야 함

 

 

3.6 암호기술 구현 방법
해쉬함수 SHA-256와 블록암호 알고리즘 SEED에 대한 암호라이브러리를 이용해 웹사이트에서 개인정보를 입력받아 해쉬 및 암호화하는 예시를 소개한다.

특히, 안내서에서는 개발자들이 참고할 수 있도록 위 두 예시에 대한 HTML 소스를 제공하고 있으며, 실제 개인정보를 해쉬 또는 암호화해서 DB에 저장하기 위해 HTML 소스를 변경해야 하는 부분도 따로 표시하고 있다.

 ※ 예시에 대한 HTML 소스는 개인정보 해쉬 및 암호화해서 웹페이지로 출력하는 형태임

KISA는 안내서에서 소개하고 있는 블록암호 알고리즘 SEED(CBC 운영모드) 및 해쉬함수 SHA-256의 ASP, JSP용 암호라이브러리를 배포하고 있다.

 

4. 기대 효과 및 향후 계획
개인정보보호법 시행 등으로 개인정보를 암호화해야 하는 대상의 수가 기하급수적으로 증가함에 따라, 개인정보를 안전하게 암호화하기 위한 방법을 제시하는 본 안내서의 활용이 증가할 것으로 예상된다. 특히, 암호화 관련 전문지식이 없는 업체의 경우, 본 안내서와 함께 배포하는 암호라이브러리를 활용해 보다 손쉽게 개인정보 암호화 기능을 구현할 수 있을 것으로 기대된다.

 

본 안내서는 KISA의 암호이용활성화(ssed.kisa.or.kr) 등을 통해 상시 보급될 예정이며, KISA는 영세 업체 등의 개인정보 암호화를 기술적으로 지원하기 위한 추가적인 안내서를 지속적으로 개발·보급할 예정이다.

 

 

 

글/전인경(KBA 연구개발팀 책임연구원)

 

1. 국회통과된 ''정보통신망법 개정안' 통과 주요 내용

보안뉴스기사에 따르면 국회 통과된 ‘정보통신망법 개정안’ 살펴보니... 에서 국회본회의를 통과하고 여러가지 미비한점 또는 개인정보보호법에 있는 것을 망법에 도입하였다고 밝히고 있다. 그중에 대표적인 것이 '개인정보 유출신고, 통지제' '정보보호안전진단 폐지, 정보보호관리체계(ISMS) 인증제도 일원화등을 들고 있다.  이러한 내용을 보면 개인정보보호법과 기존 망법에서 수정 보완해야 하는 내용적인 부분이 들어가 있다. 이번 개정을 통하여 망법에 명시되는 않은 사항은 개인정보보호법에 적용을 받고, 이런경우가 많으면 정작 망법 적용사업자는 2개의 법률을 알아야 하기에 상당히 혼란스럽고 힘든 부분이 많다. 따라서 망법 적용대상자는 미비한 부분을 도입함으로 인하여 가급적 하나의 법에 적용으로 하는 것이 혼란을 덜수 있다.


2. 개인정보보호법 시행후 망법과의 관계

개인정보보호법 법률,고시해설서 42p 에 따르면

「

개인정보 보호법」의 시행에 따라, ｢공공기관 개인정보 보호법｣은 폐지한다(부칙 제2조). 또한 다른 법령에서 ｢공공기관 개인정보 보호법｣을 인용하였던 조문은 ｢개인정보 보호법｣을 인용하는 것으로 개정된다.

｢정보통신망법｣의 일부 규정도 「개인정보 보호법」의 시행에 따라 일부 규정이 개정되거나 삭제되었다. 특히 개인정보분쟁조정위원회 관련 조문(제4장제4절, 제66조제1호) 및 ｢정보통신망법｣상 준용사업자 관련 조문(제67조)은 「개인정보 보호법」 시행에 따라 이 법의 적용대상이 되므로 삭제되었다.

과거 ｢정보통신망법｣은 원칙적으로 정보통신서비스 제공자와 정보통신서비스를 이용하는 자의 관계에서 개인정보를 처리하는 경우에 적용되었으며, 이 외에 ‘회원제로 개인정보를 수집하여 재화․용역을 공급하는 사업자’(여행업자, 호텔업자, 항공운송업자, 학원, 교습소 등)를 준용사업자로 규정하여 정보통신서비스 제공자와 마찬가지로 ｢정보통신망법｣의 개인정보 보호 관련 내용을 적용하여 왔다. 이는 정보통신서비스 업종 이외의 업종에서도 다량의 개인정보를 수집․이용함에 따라서 이러한 업종에도 정보통신망법을 적용하여 개인정보를 보호하기 위한 취지였다. 그러나「개인정보 보호법」이 시행됨으로써 「정보통신망법」에서 준용사업자 규정(제67조)을 별도로 둘 필요가 없어짐에 따라 해당 조항은 삭제되었으며, 준용사업자 업종들은 「개인정보 보호법」에 따른 개인정보 처리자에 포함되게 되었다.

다른 법률과의 관계를 명시하고 있는데 개인정보보호법 시행으로 인하여 [공공기관에 관한 개인정보보호법률]은 폐지 한다고 되어 있고, 정보통신망법 제67조는 삭제된다고 명시하고 있다.

3. 정보통신망법 개정시에 다음 문구 수정도 필요


또한  국회법률지식정보시스템에서도 명시를 하고 있다.  여기

하지만 같은 국회법률지식정보시스템 다른 조항을 보면 다음과 같이 <제67조에 따라 준용되는 자를 포함한다> 라는 문구를 포함하고 있는 것을 볼수 있다. 망법 67조는 이미 삭제가 되아야하지만  제64조, 제71조, 73조,76조 에 그대로 사용되고 있다는 것이다.  법 개정시 같이 문구 수정이 이루어져야 할 것이다.

즉, 준용사업자가 정보통신서비스제공자에서 분리됨으로 인하여 개인정보보호법으로 빠지고 망법은 준용사업자를가 아닌 망법대상자만을 적용하는 법률이 된 것이다.

이러한 제보는 본 블로그에 방문하는 블로그 구독자 "박영식" 님 댓글로 확인이 되었다. 법령을 찾아 보고 많이 보는 필자도 너무 간과한 부분이 아닌가 생각이 든다. 

다시한번 제보해 주신 박영식님에게 감사의 말씀을 전하고 '정보통신망법' 개정시에 참조하면 좋겠다는 의견을 제시해 본다.  @엔시스.

구 분	관련조문	시행시기
개인정보 보호법 전체	유예기간이 있는 조문을 제외한 모든 조문	공포후 6개월(11.9.30)부터
주민번호 대체수단 제공	법 제24조제2항	공포후 1년(12.3.30)부터
주민번호 대체수단 관련 공시	영 제23조
주민번호 대체수단 미제공자에 대한 과태료 부과	법 제75조제2항제5호
제1차(‘12～‘14) 기본계획 수립	법 제9조, 영 제14조	11.12.31까지
2012년도 및 2013년도 시행계획 수립	법 제10조, 영 제15조	12.4.30까지
저장․전송 중 개인정보․고유식별정보 암호화 조치	법 제29조, 영 제33조제1항제3호 및 제24조	12.12.31까지
개인정보파일 등록	법 제34조, 영 제34조	영 시행일부터 60일 이내 (11.11.31까지)
개인정보 영향평가	법 제33조, 영 제35조	영 시행일로부터 5년 이내 (‘16.9.29까지)
개인정보 영향평가 (2011년 정보시스템 구축․운용․연계 변경시)	영향평가 고시 부칙 제2조	‘12.9.30까지

<표 -1 > 개인정보보호법상 각종 법적 시행일

<표-1> 에서 보시는 바와 같이  이미 시행이 된 부분이 많고 유예조항이 있는 경우에는 그 시일이 점점 다가 오고 있습니다.

따라서, 개인정보를 취급, 처리하고 있는 기관이나 기업은 위 기간내에 시행이 될 수 있도록 대응책 마련과 준비를 게을리 하지 말아야 겠습니다.  @엔시스.

1. 개인정보보호관리사(CPPG)란?

한국CPO포럼에서 주관하고 있는 민간 자격증 시험으로서 - CPPG (Certified Privacy Protection General) : 개인정보관리사 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자 - 라고 소개가 되어 있습니다.
출처 (http://www.cpptest.or.kr/)

2.  2012년도 8회 시험이 4월시행, 지금까지 지방에서는 시험을 볼수 없다(?)

보통 1년에 2-3회 시험을 치른다고 가정을 하면 시험 진행한지 약 2-3년이 흘러갔습니다. 올해에는 4월에 시험이 있습니다...

개인정보보호법의 시행과 최근 보안 이슈사항으로 인하여 많은 사람들이 관심을 끌고 있는데 유독 시험은 서울에서만 시험을 보고 있습니다.

따라서, 지방에 거주하는 사람이 시험을 보기 위해서는 서울까지 가야만 하는 경우가 발생을 합니다. 이러한 사항들은 관계자분들을 통하여 필자는 여러채널을 통하여 말씀을 드렸으나 아직까지 이루어지지 않고 있네요.

초기에는 사업진행하기 위한 초석이라고 생각을 하겠지만 이제 조금 더 폭 넓은 수요층을 감안한다면 전국에서 시험을 볼수 있도록 조치를 취해야 할 것입니다.  그렇지 않는다면 단순한 자격사업에 일관으로 밖에는 볼 수 없을 것입니다. 2012년도에는 꼭 전국 주요도시에서도 시험을 볼 수 있도록 관계자 분들께서는 조치를 취해 주시면 감사하겠습니다.


3.  정보통신망법 위주가 아닌 개인정보보호법도 포함하는 시험이 되어야


개인정보보호관리사 시험이 정보통신망법 위주의 시험으로 출제가 되어 있고, 지난해 개인정보보호법이 통과된 이후에는 개인정보보호법도 포함이 되어야 합니다.

이러한 사항은 가이드라인에도 반드시 반영이 되어야 하고, 실제 개인정보보호 관련하여 일반인들이 정보통신망법에 적용이 되는지 개인정보보호법에 적용이 되는지를 알아야 하고 자격증 소지자라면 반드시 2개의 법적 이해도와 지식을 포함하고 있어야 진정한 자격인증이 된다고 생각이 듭니다. 따라서, 이번 2012년 8회차 부터는 이러한 부분을 반영하여 적극 시험이 되어야 겠습니다.


개인정보보호에 대한 지식을 측정하는 자격으로서 올바른 방향으로 가야 한다는 것은 바람직 하다는 생각이며 평소 이에 관련된 생각을 가지고 있었기에 블로그에 포스팅 해 봅니다.  이제는 지방에서 더 이상 먼곳으로 가지 않더라도 시험을 볼 수 있는 조치가 취해지길 기대해 봅니다.   @엔시스.

내년도 개인정보보호 예산이 반에 반토막이 났다는 기사가 있어서 몇자 포스팅 해 보고자 합니다.

관련 뉴스 : http://www.itdaily.kr/news/articleView.html?idxno=28398#

 

                                                 <사진출처: http://bit.ly/temZY1>

개인정보보호법 주무부처인 행정안전부의 내년도 개인정보보호 예산이 반에 반 토막 났다. 당초 300억 원 넘게 책정했으나 70억원으로 3분의 2 가까이 대폭 삭감됐다.

그간 정보화 투자에 인색했던 MB정부였지만, 최근 발생한 개인정보유출 등 각종 보안 사고가 사회적으로 크게 이슈화됐던 만큼 개인정보보호 투자만큼은 흡족할 수준이 되리라 기대가 컸다. 그러나 그 결과는 역시나 실망스럽기 그지없다.

그나마도 개인정보보호법이 시행된 것을 감안해 올해 행안부 개인정보보호과의 예산인 46억 보다는 늘었고, 정부의 내년도 IT정보화 예산이 전년대비 20~30% 줄게 된데 비해 늘어난 것으로 전해진다. 예산이 줄지 않은 것만으로도 다행이라고 여겨야 할지 의문이다.  -중략.

1. 자신의 업종이 아직도 개인정보보호법 적용인지 정보통신 망법적용인지도 모르는 수가 태반


필자는 이번에 개인정보보호관련하여 전문 강사단에 위촉이 되면서  지방 공공기관 (주로 경상권) 지역에 교육을 지원 하였습니다. 그런데 여러곳을 다니면서 이야기 듣고, 교육을 하다보면 하나 같이 애로사항들이 공통적으로 있습니다.  그것은 교육 및 홍보를 강화 해 달라는 이야기입니다. 잠시 반짝하는 이벤트성홍보로 하지 말고.

아직도 모르는 곳이 너무 많다고 합니다. 물론 일부 '개인정보보호법'이 시행 된다는 정도의 분위기는 알지만 정작 어떻게 무엇을 해야 하는지..또는 부처 소관의 경우 빠른 지침과 시행 방침을 내려 보내 주어야 움직일 수 있다는 호소였습니다.  처음에는 나름 준비하면 되지라고 생각을 했지만 공공의 업무라는게 개인의 의지만 가지고 되는 것은 아니라는 생각을 하였습니다.  그러니 조금은 이해가 갔습니다.

민간의 경우에는 더욱 심각합니다.  자신의 업종이 '개인정보보호법' 적용을 받는지 '정보통신망법' 적용을 받는지 '신용정보보보호법'에 맞는지 조차도 구분하지 못하는 사람들이 많습니다.  왜 그럴까요? 물론 예산 범위내에서 대응책 마련을 고심할 것으로 압니다만 원래 예산이라는 것이 조금은 삭감 될 것을 예상하고 책정하는 경우가 다반사입니다.

하지만, 본격적으로 '개인정보보호법 정착' 이 진행될 2012년도에는 조금 그 상황이 다르다고 봐야 겠습니다.


2. 개인정보보호법 조직정착을 위해서는 추가 예산 편성할수는 없을까?

국가 사업과 예산이라는 것이 동네 구멍가게 사장 노릇 하듯이 맘대로 안되는 것을 잘 알고 있습니다. 하지만 법만 만들어 놓고 , 수 많은 사람들을 범법자로 만들수는 없는 것입니다.  대부분 중소기업, 소상공인들은 이러한 법이 있는 줄도 모르는 경우가 많습니다. 그리고 '개인정보보호법'을 지키라고 겁을 줍니다.

'법을 공개하고 설명서를 공개하였으니 당신네들이 알아서 공부하시오'라고 하면 과연 그들이 스스로 알아서 공부를 하면 얼마나 좋겠습니까만은 현실은 그렇지 못함에 있습니다. 실제 개인정보보호법을 공부하여 연구하다보면 기술과 법.제도를 함께 알아야 하고, 자신이 해당업종에 있으면 또한 특별법의 법률과 시행령,시행규칙까지 이해를 해야 합니다.

한가지 예를들어 보겠습니다. 병.의원에 근무를 하고 있다고 가정을 하겠습니다. 그러면 제일 먼저 개인정보보호법에 적용을 받는지, 정보통신망법에 적용을 받는지를 파악을 해야 합니다. 그리고 '개인정보'의 정의부터 확인을 해야 합니다. 그러면 관련 법에 의하면 "개인정보라 함은 살아있는 개인에 관한 정보로써 ~~~~"  라고 되어 있지요...그런데 병원에 살아서 입원하여 도중에 사망한 환자에 대한 정보는 개인정보보호법에 의하면 보호를 받지 못합니다. 어떻게 처리해야할지를 또 고민해야합니다. 누구한테 딱히 물어볼 곳도 없습니다. 미국과 독일의 개인정보보호법은 '살아있는 개인에 관한 정보'로 한정 지어 놓지 않았습니다. 혹시나 특별법에 관련 조항이 있는지 의료 관련법을 찾아 보아야 합니다. 

과연 이러한 연구를 일반 개인정보 취급자분들이 판단 할수 있을까요?  개인정보보호법은 이미 시행을 하였습니다. 하지만 아직도 준비가 덜한 상태로 암묵적인 유예기간을 두고 있습니다. 국가가 사업을 시행 한다 하더라도 사업비와 예산이 없으면 흉내만 내다가 그만 두게 됩니다. 

결국 '개인정보보호법'은 처음 의도했던 바가 아닌 다른 방향으로 흘러가게 될 것이고, 사람들은 법.제도의 이해부족과 불편함을 호소하게 되면 SNS등을 통한 여론 형성이 되어 이리저리 편법이 생기고, 그러면 법을 다시 제,개정하는 누더기 법이 될 가능성도 있습니다.


3.  전국민 보안마인드 업데이트 비용과 전국중심의 보안으로 예산이 사용되었으면

미국은 사이버(Cyber)를 제4의 영토로 지정을 하였습니다. 제4의 영토를 공격하거나 침략하려고 하면 즉각 대응하겠다는 발표를 한적도 있습니다. 과연 우리나라는 주변 강대국과 지정학적 위치에 있는 '중국' '일본' '북한'으로부터 얼마나 안전하게 대응 할 수 있는지 의구심이 듭니다.  이제는 물리적인 경계위치보다는 사회적 불안이나 민심을 뒤 흔드는 '사회공학적기법' 공격이 난무하게 될 것입니다. 그것은 여러정치적인 상황과 섞여서 무엇인 진짜이고 가짜이며 진심인지를 가려 내기 힘들 것입니다. 특히 지금처럼 쇼셜(Social)네트워크 서비스가 스마트폰과 어우려져 스피드하게 전파되는 상황에서는 말이죠..

이러한 사회적 비용까지 책정을 예산에서 반영해야 할 것이며,  전국민 보안마인드 업데이트를 가져 오게 끔 해야 합니다. 또한 서울과 수도권 집중적인 예산 투입보다는 2012년도에는 수평화 할 수 있는 지방과 지역 (local)에 대한 보안에 대한 인식제고 향상에도 힘을 쏟아야 합니다.   보안이라는 것은 유능한 사람 혼자만 해서 되는 것도 아니고, 서울 수도권에 한정되어 보호해야만 하는것도 아닙니다. 올해에도 지역에는 제대로된 보안컨퍼런스 행사하나 없었습니다. 혹자는 여러가지 사업과 행사를 진행하려고 해도 규모면에서 지역에서는 호응이 생각보다 없어서 안되다고 이야기 합니다.

일개 개인이 보안커뮤니티를 만들어서 지역활성화와 스터디모임 그리고 각종 SNS을 통하여 긴급 보안 이슈와 트렌드 전파하고 있습니다.. (커뮤니티와 블로그, SNS을 통하여)

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


정보보호에 대한 지식공유를 위하여 발 벗고 나서고 있습니다. 그 이유는 제가 지식이 필요했기 때문이고 그 보안지식을 같이 공유하는 것이 의미있다고 판단했기 때문입니다... 개인도 할 수 있는데, 기관과 정부가 왜 못하겠습니까? 의지만 있으면 10명이 모이든 100명이 모이든 꾸준히 진행해야만 하는 의지 표명이 중요하겠습니다.  최근 개그콘서트의 '비상대책위원회' 코너가 생각이 나네요.. "안돼~~~" " 그러면 결국 되는 것은 어떠한 것도 없다고 생각합니다."


4. 예산이라는 것은 모자라도 안되고 남아도 안되는 국민의 세금


비록, 개인의 블로그에 포스팅하는 힘없는 글이지만 관련기관에서는 분명한 의지를 보여 주었으면 하는 바램을 가져 봅니다. 개인도 그렇고 기업도 그렇고 국가도 마찬가지로 예산이라는 것은 부족하면 부족한대로 문제이고 남아도 남는대로 낭비를 하기 때문에 문제입니다.  예산을 편성하면 의례히 삭감되는 것은 당연한 것으로 받아들이고 삭감 할 것이 아니라 정말 소중한 국민의 세금이 '정보주체의 권리'를 강화하는 '개인정보호보법'의 조기 정착을 위하여 사용하게 끔 잘 편성하고 책정하여 사용 할 수 있도록 하면 좋겠습니다. 

분명한 것은 2012년도 본격적으로 보안 이슈가 더 거세질 전망입니다. 이제는 유선망은 기본이고 다양한 디바이스와 멀티채널을 이용하는 무선랜보안에 대한 이슈, 그리고 스마트폰과 테블릿PC가 봇물을 이루고 사용자 보안으로 공이 넘어갈 것입니다.  보안마인드가 안되어 있는 사용자들의 개인정보유출은 더욱 거세게 될 것이고, 시행중인 개인정보보호법에 논의가 더 활발하게 될 것입니다.

부디 개인정보보호법 조기 정착과 혼란 방지를 위하여 돈이야 많으면 많을수록 좋겠지만 그러한 의미를 조금 내실있게 파악하고, 서포팅 해 주는 것이 예산과 집행기관의 책임을 다하는 정부의 의지 반영일 것입니다. 다른 현안에 묻혀 '개인정보보호법'이 국민을 더욱 불편하게 만들고 옥죄는 법으로 남는 오점을 남겨서는 안될 것입니다. 이제 소중한 자신의 개인의 정보는 스스로 지킬수 있는 개인의 자발적 의지도 분명히 중요한 시점에 도래하였습니다. "개인정보 수집은 하지 않는 것이 최선입니다." "개인정보는 정보주체의 정보이지 조직이나 기업의 자산이 아닙니다."  -엔시스.

공감하시면 추천이나 무한RT해 주시면 더욱 좋겠지요 :)

주말 반납하고 보안인닷컴 , 차세대 전문가 포럼 카페 회원 대상으로 특강을 하였습니다. 늘 이러한 세미나를 할때면, 장소를 구하지 못해 자주 할 수 없는 것이 안타까운 것이 사실입니다.  혹시 누군가 장소를 사용할 수 있게 해 주시면 감사하겠습니다.

아침 새벽6시30분에 부산에서 7시 KTX 를 타고 서울로 향하였습니다. 주말이라 표 구하기 어려움이 있어 아주 고생을 하였네요.. 덕분에 영화칸을 자리하게 되어 영화를 보고 비용은 더 들어가게 되었네요..

특강 시작전에 도착하여 세미나 준비를 하였습니다. 사전에 미리 도착하여 조금씩 도와 주시는 분들이 좀 있었더라면 하는 생각이 있었지만 그냥 혼자 묵묵히 했습니다.

남들이 도와 줄꺼라고 생각하고 했더라면 아예 황금 같은 주말에 부산에서 서울로 출발 하지도 않았겠지요 .

그렇게 해서 시작한 세미나는 사전에 참석 하겠다는 댓글을 달았음에도 불구하여 모두 참석하리라는 제 믿음을 저버렸습니다. 물론 장소가 그다지 넓지 않아 걱정했지만 70-80명정도는 참석 한듯 합니다..


블로그에 한동안 글을 담지 못하여 살아 있음을 알리려고 포스팅 합니다...^^;; 회사 업무에 이런저런 하는 일 없이 시간이 너무 빨리 지나가는 듯 합니다. 마음에 양식도 더 많이 담아야 겠습니다..

늘 건강하시고, 블로그 오시는 분들 죄송하구요..앞으로 더 많은 정보 업데이트 할 수 있도록 하겠습니다.
감사합니다.  -쥔장 올림.

 

 
최근 개인정보보호법 시행을 앞두고 여러가지로 개인정보에 많은 관심을 두고 있는데요. 최근 국내 포털에서 최대 개인정보가 유출됨으로 인하여 사회적 파장이 커지고 있습니다.

이러한 가운데 있어서 개인정보보호를 연구하다보니 한가지 불편한 진실이 있어서 정보를 공유해 보고자 합니다. 개인정보를 공부하다보면 '개인정보취급방침'을 정보주체가 알기 쉽게 공개 할 수 있도록 마련해야 하는데요.

대부분 메인 홈페이지나 웹사이트 하단에 식별하기 쉽게 공개를 해야 합니다. 따라서, 개인정보취급방침에 대한 정보주체로서의 가장 많이 보는 문구중에 하나일듯 합니다.

또한, 회원 가입시에도 개인정보 수집동의 부분에서 접하는 여러가지 내용들이 있습니다. 그중에서 필자는 개인정보라이프 사이클 중에서 오늘은 '파기'에 대한 부분을 한번 언급해 보고자 합니다.

                                                   <개인정보보호에서 라이프사이클 중 '파기'의 중요성>

즉시파기한다의 불편한 진실

대부분 법은 일반법으로 법이 존재하고 특별법으로 특별하게 준수해야 하는 법이 존재 합니다. 대부분 특별법 우선이 되겠지요,.

마찬가지로 개인정보를 수집. 이용.저장, 파기의 생명주기를 가지고 하나의 라이프 사이클을 그리면서 반복 순환 되는데요. 법의 원칙상에는 '파기'에는 '즉시파기한다'라는 문구가 아주 많이 있습니다. 얼핏 보기에는 개인정보의 목적 달성후에는 즉시 파기 한다라고 되어 있지만 지금까지 인증심사나 외부 자문시에는 대부분 즉시 파기하는 경우를 한번도 접하지 못하였습니다.

그것은 바로 특별법이나 개별법에 나타난 조항들 때문입니다. 아마도 다음과 같은 조항들이 포함이 되지 않을까 합니다.

표시/광고에 관한 기록
6개월 (전자상거래 등에서의 소비자보호에 관한 법률)

계약 또는 청약철회 등에 관한 기록
5년 (전자상거래 등에서의 소비자보호에 관한 법률)

대금결제 및 재화 등의 공급에 관한 기록
5년 (전자상거래 등에서의 소비자보호에 관한 법률)

소비자의 불만 또는 분쟁처리에 관한 기록
3년 (전자상거래 등에서의 소비자보호에 관한 법률)

신용정보의 수집/처리 및 이용 등에 관한 기록
3년 (신용정보의 이용 및 보호에 관한 법률)

제 개인적인 생각에는 '목적달성을 다 한 후에는 즉시 파기 한다'라는 것이 맞습니다. 하지만 한번도 목적 달성후 그냥 즉시 파기하는 경우가 없었습니다. 그것은 개인정보를 비지니스 목적으로 수집하는 경우가 대부분이었고, 그 비지니스 이면에는 여러가지 전자상거래나 신용정보 또는 금융에 대한 거래가 있었기 때문에 즉시 파기가 되지 않는 것입니다.

이러한 불편한 진실을 있음에도 '즉시파기한다'라는 용어를 쓰면서 마치 즉시 파기 되는 것처럼 느껴지는 것은 저만의 느낌은 아닐듯합니다. 결국 즉시파기는 즉시 파기가 아닌셈이 되는 것이죠.. 이러한 불편한 진실로 인하여 보관주기를 지켜려고 잘못 보관 관리하였다가 개인정보 유.노출로 이어질 가능성이 많다는 것입니다..

이러한 부분이 법과 현실과의 충돌성이나 현실과의 충돌성으로 나타나는게 아닌가 하는 개인적인 생각이 있어서 잠시 적어 보았습니다. 아마도 개선해야할 부분이 아닌가 생각해 봅니다.

그럼 어떻게 개선하는게 좋을까?

사실 비지니스 업무를 하면서 가장 좋은 케이스는 법에서 명시하는 것 처럼 '즉시파기한다'라고 해서 즉시 파기하면 가장 좋은 케이스이지만 그럴경우 여러가지 사후적인 부작용이 나타나게 됩니다. 따라서, 개별법에 따른 보관 주기를 조금 짧게 설정 하는 것은 어떨지 제안해 봅니다.

위의 경우에는 5년은 ->3년으로 3년은 ->1년으로 , 또는 그보다 짧게 3년,2년,1년 등으로 사실, 개인정보를 목적 달성후에 1년씩 일괄 보관후 파기 하는 것으로 하면 어떨까 하는 제안도 해 봅니다. 물론 여러가지 부작용이 있겠지만 개인정보보호관점에서 접근 해 보았다는 사실만 가지고 적어 보았습니다. 이젠 소중한 개인정보 열심히 지켜야 하는 것이 중요합니다.
@엔시스.

2010년 개인정보분쟁조정 사례집에 재미있는 통계가 있어 여러분들과 공유 해 보고자 합니다. 우선 해당 그림을 한번 살펴보겠습니다.

                                         <출처: 2010 개인정보 분쟁 조정 사례집>


개인정보 침해 접수 유형을 보게 되면 '정보통신 망법' 적용 대상 이외의 개인정보 침해가 다수를 차지 하고 있으며, 개인정보 수집 동의 , 저장 및 과도한 제공 이공과 기술적 관리적 보호조치 미비, 동의 철회 정정 불응과 주민번호 타인 정보 침해,훼손,도용등이 신고가 되었습니다.,

전체 신고 건수로 보면 2007년에 25,965건에서 2010년에는 54,832건으로 2009년 대비 50%가까이 증가하였습니다.


개인정보보호법이 9월30일에 시행이됩니다. 그동안 개인정보보호에 대한 국민의 인식은 점점 커질 것이고 이것을 대응하는 기업이나 서비스 제공자는 준비가 비흡하면 조정 사례는 점점 커질 것으로 전망이 됩니다.

개인의 소중한 정보는 개인 자신이 정보주체로서의 권리를 취하는 것입니다. 조직에 속하여 있다가도 다시가정으로 돌아오거나 다른 기업을 이용하게 되면 자신도 개인으로서 권리를 행사하기 때문에 많은 준비와 신경을 써야 겠습니다. 특히, 경영자분들의 많은 관심을 기대하겠습니다.   @엔시스.


개인정보보호법 시행이 점점 다가 오면서 많은 사람들이 개인정보보호에 관심을 많이가지게 됩니다. 물론 지방에서도 많은 관심을 가지게 되는데요. 아무래도 서울에 비해 그 기회나 정보가 적다보니 상대적으로 많이 궁금한 점들이 있습니다.

올 초에 3번에 걸쳐 부산글로벌IT교육센터에서 세미나가 준비되어 있었는데 그중에 2번을 진행 하였습니다. 지난번에는 정보보호관리체계의 이해 에 대하여 특강이 있었으며, 이번에는 "개인정보보호법 제정에 따른 법분석과 대응방안" "사례중심의 개인정보보호"등의 주제로 3시간 동안 진행을 하였습니다.

 

세미나는 7시부터 -10시까지 진행이 되었는데요. 모두들 퇴근후에 오셨지만 정말 수업집중도가 높았습니다. 한분도 졸고 계시는 분이 없었습니다. 사실 , 법관련 문제나 보안일반에 대한 수업은 조금 지루한 면이 없지 않아 있는데, 질문도 많이 해 주시고 그만큼 관심들이 있다는 말씀이겠지요.

분량이 워낙 많은 분량이라. 3시간에 소화해낸다는 것 자체도 쉽지 않더군요.

하물며, 일반적으로 1시간정도 대충 수박 겉핥기 식으로 뜬 구름 잡기식 세미나나 특강은 지양해야 할 것 같습니다. 어차피 질문하고 토론하고 들으러 온거 조금 디테일하게 수강하시는 분들에게 가려운 곳을 긁어 주는게 좋겠습니다.

세미나는 다음과 같은 내용으로 진행이 되었습니다.

• • 개인정보보호법의 배경과 필요성
  • 개인정보보호법의 법체계 (개별법과 개인정보보호법의 관계)
  • 개인정보보호법 시행후 행정체계의 변화
  • 개인정보보보법 주요 조항 분석
  • 개인정보보호법 시행에 따른 우리의 대응방안
  • 개인정보보법 이해
  • 개인정보보법 기술적.관리적 보호조치 대응방안
  • 개인정보보법 솔루션 이해등등
  • 실제 사례를 통한 개인정보보호법 FAQ까지

  
  
  이렇게 진행을 하다보니3시간을 정확하게 진행을 하게 되었습니다. 밤 늦은 시간까지 집중하여 들어주신 분들에게 이 자리를 빌어 감사의 말씀을 드립니다.
  
  무슨 교육이든 새로운 것은 잘 없습니다. 이미 조금 알고 있는 내용이거나 또는 어렴풋하게 아는 내용들이겠지요. 하지만 이러한 자리를 통하여 자신의 제한된 환경과 시간을 만듬으로 인하여 한번 더 확인하고 살펴 보는 자리가 되는 것입니다.
  
  아마도 개인정보보호법이 시행이 된다고 하여도 법조문 전체를 한번 줄 그어가면서 읽어 보시는 분들이 몇분이나 있을지 의문입니다. 사실 딱딱한 법이라 재미도 없지만 세미나나 특강시간에 앉아만 있어도 자주 접하게 되니..머리속에 남게 됩니다..
  
  처음에는 수업중에 PIMS(개인정보보호관리체계)부분도 있었지만 수업에 너무 많은 욕심을 내게 되면 오히려 메세지 전달력이 떨어지고 세미나 참석하신 분들에 집중도도 떨어지고 법 조문도 잘 모르는데, 혹은 개인정보보호 생명주기도 잘 모르는데 관리체계까지 한다는 것은 무리인듯 싶어 (참석자분들을 과소평가 한지도 모르겠지만) 제외하고 진행하였습니다. 다음에 기회가 있으면 마련토록해보겠습니다.
  
  저는 교육에 대한 두가지 원칙을 가지고 있습니다.
  
  1. 남을 가르치는것이 자신이 배우는 것이다. -철저하게 실천하고 있습니다.
  2. 교육은 내가 하고싶은 말을 하는것이 아니라 상대방에 귀에 들리게 말하는 것이 진정한 전달 메세지 이다.  결국 많이 알고 있다고 해서 좋은 교육이 아니라 수강자의 눈높이에 맞게 하나라도 알아갈수 있도록 하는 것이 진정한 교육이라 생각합니다.
  
  저도 퇴근후에 3시간이라는 에너지를 소비했지만 세미나에 대한 준비를 많이 한 만큼 열심히 전달하려고 노력하였고, 자료 준비하면서 많은 공부가 또 되었다는 사실이었습니다.
  
  최근에 정보보호관리체계나 개인정보보호법등 관리적 보안에 관심을 가지면서, 기존에 시스템관리, 네트워크등 인프라 운영에 대한 지식과 경험, 그리고 각종 SIS자격증과 CISSP를 공부하면서 연구한 여러가지 암호학 관련 이론적인 공부들이 전체적인 틀에서 내려다 볼수 있는 관리적인 정보보호체계마련에 많은 도움이 되고 있습니다.
  
  따라서, 한분야에 전문가는  현장에서 떠나지 않고 실무와 이론을 겸비한 사람이 전문가가되는게 아닌가 생각을 해 봅니다. 오랜만에 페이스북에서 뵙던 분도 오프라인에서 만나뵙게 되어 반가웠습니다.  전국중심의 보안 실천에 앞장서고 지방에 보안 활성화를 위하여 더욱 열심히 노력하고 달려가겠습니다. 감사합니다.  @엔시스 .
  
  

요즘에 보내기트위터에 보내기페이스북에 보내기미투데이에 보내기

'Lecture&Comlumn' 카테고리의 다른 글

[e-매거진] 보안인닷컴 e-매거진 [보안人] 2호 발행  (0)	2011/07/06
[강연-27] 정보시스템보안강화 및 사고예방대책 특강 -부산신용보증재단  (0)	2011/06/29
[강연-26] 개인정보보호법 분석과 대응방안 -부산글로벌IT교육센터 특강  (22)	2011/06/19
[강연-25] 부일전자 디자인고등학교 보안 특강  (0)	2011/06/08
보안인닷컴 e-매거진 [보안人] 창간호 발행  (2)	2011/06/01
[칼럼-123] 전국중심보안, 지방이라는 단점을 장점화 한다.  (0)	2011/05/25

1. 개요

지금 10년이 넘게 타고 다니는 H 차를 아이들은 똥차라 부르지만 그래도 폐차 할때까지 타야 한다고 하면서 타고 있습니다. 무엇보다 사회생활 중에 제 돈으로 직접 신차를 샀기 때문이죠.

거슬러 올라가면 99년도에 신차를 구입하였는데. 일부는 현금으로 일부는 H캐피털을 이용하여 조금은 부담을 덜려고 캐피털사를 이용했더랬습니다. 그 이후 1년정도 매월 불입했고, 추후 한꺼번에 모두 납입하여 처리했던 기억이 납니다. 36개월 할부지만 그전에 모두 납입했다는 이야기입니다.


2.  H캐피털사 개인정보 유출

지난 주말에 H 캐필터사에서 개인정보가 유출되었다는 보도가 일부 언론을 통하여 나오고 있었고, 흠짓 나도 10여년 전에 사용한 적이 있는데 라고 생각하면서 ..그냥 보고만 있었습니다. 왜냐하면 그 시기가 벌써 10년전에 일이었기 때문입니다.
하지만 언론에서 3.4 DDoS 보다 더 집중 조명이 되면서, 무엇인가 잘못이 많긴 많은 모양이다라는 생각에 오늘 아침에 모디터링 하던 가운데 아이디가 주민번호로 생성이 되었다는 제보를 받게 되었습니다. 필자도 거래했던 기억이 있기에 바로 확인 작업에 들어갔습니다.


3. H캐피털사 , 10년전 db보관과 아이디를 주민번호로 생성

필자가 가장 의문시 되었던것이 아이디를 주민번호로 생성을 하였던 점입니다. 그것은 회원 가입을 위하여 주민번호를 입력을 하게 되면 이미 몇년 몇월이 가입되어 있다라고 나오는 것이죠. 하지만 로그인은 되지 않은 상황입니다. 왜냐하면 이번 조치로 로그인자체는 수정한 모양입니다.

                             <그림설명: H캐피털에 주민번호로 이미 회원가입이 되어있다고 보여지는 화면>

고객님은 이미 현대캐피털에 회원으로 가입이 되어 있다고 합니다. 참..황당하기 그지 없습니다. 한곳을 타켓으로 하여 몰매를 주려는것이 아닙니다.

어떻게 이런일이 생겼을까? 그동안 이러한 부분은 왜 재정비 되지 않았을까? 그져 받으면 그만이고 보내면 그만인 통지만 했다라고 하면 모두일까?


4. 법의 준거성

당신은 '정보통신이용촉진및 정보보호등에 관한 다음 법률을 위반 하셨습니다..

4.1 개인정보의 수집이용동의

제22조(개인정보의 수집·이용 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.

1. 개인정보의 수집·이용 목적

2. 수집하는 개인정보의 항목

3. 개인정보의 보유·이용 기간

② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집·이용할 수 있다.

1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

[전문개정 2008.6.13]   출처: 여기

개인정보 수집에는 위와 같은 항목을 이용자에게 동의를 구하여야 하는데 임의적으로 주민번호로 아이디를 생성하였습니다.

4.2   개인정보동의 받는 방법

제26조의2(동의를 받는 방법) 제22조제1항, 제23조제1항 단서, 제24조의2제1항·제2항, 제25조제1항, 제26조제3항 단서 또는 제63조제2항에 따른 동의(이하 “개인정보 수집·이용·제공 등의 동의”라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다.[전문개정 2008.6.13]

아이디를 임의로 생성을 했기 때문에 받는 방법이 명시가 되지 않고 콜센터에 확인 한 바로는 2005년 시스템 변경 작업하면서 본인이 등록되어 있는 정보에는 이메일이나 휴대폰 번호가 기록이 되어 있지 않았다라고 이야기 하고 있습니다. 제 집전화번호을 사용한지 10년이 넘었습니다. 전화 통지를 하지 않았다라는 것이고, 임의로 만들다 보니 개인정보를 정확하게 수집하지 못한 모양입니다.



4.3  개인정보의 보호조치

제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.

[전문개정 2008.6.13]

개인정보의 보호조치 의무를 다 하지 못하였습니다. 필자가 경찰이거나 담당자분들에게 직접 문의한 것이 아니기에 세부 경찰 결과가 나와 봐야 알겠지만  매체에 기사화 된 일부를 보더라도 3. 접속기록의 위조.변조 방지를 위한 조치를 못한 부분에 대한 것은 명시적으로 언론에 공개되었더군요.


4.4  개인정보의 파기

제29조(개인정보의 파기) 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다.

1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 수집·이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우

2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집·이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우

4. 사업을 폐업하는 경우

[전문개정 2008.6.13]

정보통신망법에 개인정보의 보유 및 이용기간이 끝난 경우  즉시 파기 할 것을 법제화 하고 있습니다. 신차 구입시 2009년2월이니까 36개월 할부하여도 그전에 이미 일부 할부와 일시불을 납입했기에 최소한 2002년에는 목적을 다했습니다. 그럼 즉시 파기가 되어야 하는 부분이고, 다른 관계법률에 명시가 되어 있다고 하더라도 최대5년을 넘기지 않습니다. 신용거래에 대한 법률과 통신비밀보호법등에 5년으로 되어 있습니다. 그런데 아직도 해당 개인정보를 파기하지 않고 가지고 있다는 것입니다.


5. 이용자의 권리 주장


개인정보 침해로 인한 이용자의 권리를 주장하였습니다. 다음은 이용자 권리주장에 대한 내역입니다.

-4/13일 10시 29분 : H캐피털사 개인정보피해센터 1588-2114 상담원과 통화
                              최초 접수 상담원에서 다른 상담원으로 이전
-           11시18분 : 고객센터 매니져 분과 통화 29분간 위 사항을 지적하여 이야기함, 주요이야기 포인트는 다음과
                             같습니다.

1) 개인정보 침해 현황을 말해달라 - 잘 모른다.
2) 현재 필자의 개인정보가 누출되었는지 확인해 달라 - 잘 모른다.
3) 향후에 대응방안에 대하여 이야기 해달라 - 딱히 말씀 드릴 내용이 없다. 그럴위치에도 있지 않다.
4) 그럼 매니져분이 하실수 있는 액션은 ?  실제 책임있는 위분에게 말씀 드리겠다.
5) 그냥 이야기 하는 것만으로는 안된다 VOC를 하는 사람은 그 민원이 적용유무를 알고 싶다. 추후 진행 과정을 알려 줄수 있는가? 알려 주겠다. 어떤 수단을 이용할 것인가? 휴대폰으로 알려 주겠다. 하지만 어떤 판단기준을 명확히나 구체화는 단정 하지 못하겠다.

필자도 잘 알기에 매니져가 할일이 있고, 그 위에 책임있는 분이 할 일이 있습니다. 어쨌든 알려 달라고 하고 통화를 마쳤습니다. 필자의 이용자 권리주장은 다음과 같은 근거법령에 의하여 주장 하였습니다.

제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.

② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.

1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보

2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황

3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황

③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다.

④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.

⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.

⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.

⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 “정보통신서비스 제공자등”은 “영업양수자등”으로 본다.

[전문개정 2008.6.13]

6. H캐피털 대응 방안

오늘 통화를 하면서 종합적으로 판단해 볼때 2005년 이전에 시스템 구축시 회원 아이디는 주민번호로 생성을 하였다고 합니다. 그때 당시에는 아이디라는 부분이 없다라고는 하지만 상식적으로 이해가 가지 않습니다. 또한 2005년 이후에 각 통지를 통하여 주민번호가 아이디화 되어 있으니 바꾸라는 통지를 했다고는 하지만 증빙이 불 명확합니다. 자꾸 변명하기에만 급급합니다.

현행법상 근거규정-정보통신망법

제32조(손해배상) 이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.[전문개정 2008.6.13]

고의 또는 과실이 없음을 입중하지 못하면 책임을 면할 수 없도록 규정하고 있습니다. 지금이라도 빨리 개인정보 유출 현황과 실제 필자처럼 주민번호가 아이디로 사용된 부분에 대하여 어떻게 대응할 것인지에 대한 대응책을 마련하여 제시를 해야 할 것입니다.

그렇지 못할 경우는 그에 따른 합당한 책임을 지셔야 할 것입니다. 개인정보의 주체는 개인이지 기업이 아니라는 점과 그것은 단지 개인정보를 개인정보의 주체인 '개인' 이 동의 했을때만이 가능한 것이지 위 상황처럼 임의로 가입을 시켜 개인정보의 오.남용과 유출을 가져 왔다는 것에 대하여 유감의 뜻을 표하는 바입니다. 이에 따른 공개적인 H 캐피털측의 입장 표명이 있으셔야 겠습니다. @엔시스.

* 혹시 신차구입시 H캐피털을 이용하신 2005년 이전에 분들은 반드시 사이트에서 확인해 보시고 댓글 주시면 감사하겠습니다.


 

개인정보가 유출되고 나면 늘 대두되는 것 중에 하나가 바로 "개인정보 DB 암호화" 문제입니다. 그럼 개인정보 DB암호화가 무엇을 말하는지 KISA에서 배포한 자료가 있어 공유 하고자 합니다.

말로만 DB암호화라고 들었지 구체적으로 정확히 알지 못하신 분들은 다시 한번 일독하기를 권해 드립니다.  아직도 db 암호화 개념을 잘 이해 못하시는 분들이 많아 올려 드립니다.

개인정보 DB 암호화 관리 안내서_201001[1].pdf

지난 주말에 모 캐피털에서 개인정보가 유출이 되어 일파만파로 번지고 있습니다.  잠시 짚어 볼수 있는 부분을 여러분들과 함께 공유해 보겠습니다. -편집자주

1. 고객정보 42만건 , 1만3천명 고객정보 유출 어떤것이 임팩트 있을까?
   

개인정보 유출 통계치 뻥튀기 하면 안돼~~


우리가 보통 개인정보유출에 대한 정보 보도는 경찰조사 결과에 따라 매체에 의존하여 접하게 됩니다. 그런데 대부분 개인 정보 42만건 이라고 하면 이것이 꼭 개인정보 42만명을 의미 하는것은 아니기에 이러한 부분을 두리뭉술하게 기술하기 보다는 정확한 통계를 짚어서 몇명의 고객정보가 유출이 되었는지를 조금 더 명확하게 제시 하는게 좋습니다. 실제 오늘 모 언론에서는 1만3천명에 대한 개인정보가 유출되었다고 명시한 매체도 있었습니다.

                                                        
 언론에서는 기사의 임팩트를 주기 위하여 42만건, 등의 건수를 통하여 기술하는 것인데 이러할 경우 제대로 통계화 하지 못하거나 해당 경찰의 추정치만 가지고 언론에 공개 하게되면 결국 다른 매체는 또 그 추정치를 쓰게 되고, 정확한 숫자를 가늠하기 어려울 것입니다. 그러니 기자분들은 해당 경찰이나 해당기업에 정확히 취재후 올바른 유출정보를 전달하는 것도 중요하다 하겠습니다.  1만3천명 이라고 하는것 보다 42만건이라고 하는것이 더 뉴스꺼리에 임팩트가 있지 않습니까? 건수와 건명은 확실히 다르다는 것을 기억해야 합니다.


2. 개인정보 유출 라이프 사이프 사이클 파악이 중요


보안사건 사고가 발생하는 경우에 위의 경우에는 개인정보 유출로써 해킹을 당하게 되면 결국 법적 책임소재를 가릴수 밖에 없습니다. 그럴경우에 비지니스 모델이 개인정보 라이프 사이클(Privacy Lifecycel)에 따라 어떻게 흘러가는지를 파악하는것이 우선입니다.  언론에서는 단순히 개인정보 유출되었다고만 했지..세부 구성을 파악하는 것이 아니기 때문입니다. 특히 개인정보에 대해서는 이러한 부분을 가리는것이 중요합니다.

• 개인정보 3자 제공시
• 개인정보를 수집시에 약관에 제3자 제공에 대한 부분을 명시를 하고 개인정보를 동의를 받게 됩니다. 하지만 대부분 일반인들은 개인정보 수집 동의시 약관과 개인정보 취급방침에 대하여 상세히 읽어 보지 않습니다. 여기서 말하는 제3자 제공이라고 하는것은 수집은 A라는 업체에서 했지만 개인정보를 수집 목적외에 B라는 업체에 제공하는 것을 동의 하는 경우를 말합니다. 이럴경우 법적 책임은 B업체에 관리 감독과 책임이 있습니다.  개인정보 수집 목적외에 사용될 경우입니다. 
• 개인정보 위탁시
• 개인정보 위탁시에는 개인정보 수집 목적과 동일하게 사용하는 경우로, 예를 들어 A쇼핑몰에서 물건을 구입하여 B택배회사를 통하여 배달을 받고자 할때 B택배 회사에 개인정보를 위탁하게 되는 것이죠. 이런경우에 개인정보 수집에 동의 할수 없다면 직거래 할수밖에 없는 것입니다.

최근에는 "정보통신 이용촉진 및 정보보호등에 관한 법률"을 개정하여 이러한 개인정보 수집시에 제3자 제공과 위탁에 대하여 동의 하지 않는다는 이유로 서비스를 제공을 거부 할 수 없는 개인정보 권한 강화를 위해 법을 개정한 바가 있습니다.


3. 보안 사건사고시 준수사항

우선 사건 사고가 발생을 했기 때문에 빠른 대응과 신속한 조치가 이루어지도록 TFT팀을 가동해야 합니다. 이것은 평소에 시나리오화 되어 있어야 합니다.

3.1 기업 측면

• 업무 연속성계획(BCP)에 준하여 대외 언론 대응
• 업무연속성계획(Business Continue Plain) 에 준하여 사고 대응 TFT팀을 가동하여 창구를 일원화 시키고 언론에 적절하게 대응을 하면서 정확하게 고객 정보 유출에 대한 대응을 해야 합니다.
• 무엇보다 고객들의 혼란과 불안을 안정시키기 위하여 홈페이지 공지 및 현안에 대하여 최대한 신속하고 빠르게 대응을 해야 하며, 대응방안을 제시해 주어야 합니다.
• 최고 책임자의 사과
• 최고 책임자의 보안 사고에 대한 책임에 대한 사과를 먼저 하고 수습과 대응방안을 강구 하여야 합니다. 또한 고객의 피해를 최소화 하겠다는 의지를 표명하고 경찰의 협조에 적극 대응을 해야 합니다

3.2 개인 측면

• 개인피해 최소화
• 언론과 매체를 통하여 자신이 거래하고 있는 기업의 개인정보나 보안사고가 발생했다고 접하였을 시에는 빠른시일내에 관련 정보를 숙지하고 웹페이지의 경우 접속하여 비밀번호 변경등 1차적인 조치를 취하는게 좋겠습니다. 또한 조금 더 꼼꼼하신 분들은 동일한 패스워드로 다른 타 사이트에 그대로 적용을 하고 있다면 타사이트의 비밀번호도 전부 교체 해야 합니다.
• 개인정보 권리 강화
• 대부분 자신의 개인정보가 유출 되었다고 하더라도 너무 많은 학습을 통하여 이제는 흔히 일어날수 있는 일이라고 치부하는 경우가 있습니다. 하지만 무엇보다 개인정보 유출은 제2 제3의 사건 사고를 이어질 수 있으므로 자신과 상관 없다고 하여 관심 밖에 일로 두어서는 안됩니다. 직접적인 피해자는 어떠한 피해가 일어났는지를 요구 할 수 있고 알수 있는 권리가 있습니다.

4.  개인정보 유출에 따른 우리의 대응과제

• 법의 준거성
• 우리가 옳고 그름을 판단할때에는 감정으로 이루어지는 것이 아닙니다. 법치국가인 만큼 법을 얼마나 지키는가 아닌가에 대한 법의 준거성 측면을 강조 할 수 있기 때문에 이러한 개인정보 유출로 인하여 해외로 빠져 나가거나 중국이나 암거래 시장으로 흘러 들어가게 되면 국익에 반하게 되는 것입니다. 따라서 법적 최소한의 기술적,관리적 보호조치 의무를 다해야 할 것입니다.
• 보안인식의 확대
• 보안 사건사고가 한번씩 나고 나면 잠시 언론에서 반짝하다가 사라지는 경우가 비밀비재 합니다. 보안은 직간접적으로 우리 생활과 너무나 많은 부분이 접해 있기에 보안인식을 확대하고 종합적인 대책을 강구해야 할것입니다. 이런 사유로 늦었지만 '개인정보보호법' 이제 제정이 되었고, 9월에 시행만 남겨 둔 시점에서 또 다시 이러한 보안사건사고가 생기는게 안타까울 마음뿐입니다. 국민 모두가 보안인식을 생활화 하는데에 앞장을 서야 하겠습니다.
• CEO의 보안에 대한 투자 확대
• 이러한 보안사건 사고가 생기면 모두 해당 업무 담당자의 몫으로 돌리는 경우가 있는데, 실제 실무에서 해당 업무 담당자의 이야기들을 들어 보면 결구 보안은 비용이라는 이야기와 보안 투자에 인색하다는 이야기를 너무나 많이 듣습니다. 우스게 소리로 이런 보안 사고들이 일어나야 경각심을 가진다라는 말이 결코 우스게 소리로 들리지 않을 만큼 중요한 사안임에도 불구하고 현실은 안타깝기만 합니다.

결론

오늘 한 언론 기사에서 CEO가 고개숙이고 고객들에게 사과하는 사진 장면을 보았습니다.  보안 사고는 결국 회사 이미지 추락으로 가져 오게 됩니다. 주가도 하락이 되고 그에 대한 책임은 또 고스란히 최고 책임자인 CEO로 돌아 오게 됩니다. 보안 마인드를 가지고 있는 CEO인지 아니면 그렇지 않는 CEO인지에 따라 회사의 여러가지 신뢰에 성공 여부가 돌아 올 것입니다.

보안사고는 바로 표면적으로 돌아 오게 됩니다. 사이트가 다운된다든지, 고객정보가 유출되었다든지 ..하지만 고객들은 1차적인 책임은 해당 기업으로 화살이 가게 마련입니다.

조금 더 보안에 대한 투자와 보안업무를 담당하는 담당자의 처우개선과 보안에 대한 인식을 더 확대하는 일련의 조치가 취해지지 않는이상 이러한 보안사고는 끊임없이 일어나고 비난 받을 것입니다. 그져 강건너 불구경 하듯이 나만 아니면 돼라는 식으로 안일한 대처를 하다간 하루 아침에 신뢰도가 추락하고 보안에 투자한 비용보다 더 값진 비용을 치러야 할 것입니다.  

"보안은 성공 비지니스의 핵심입니다. "    -엔시스

USIM 일련번호 수집시에는 사용자 동의 받아야

오늘자 신문에 기사화된 부분을 살려 보면 USIM 일련번호도 개인정보에 해당한다고  첫 판결이 났기 때문에 앱개발자들은 판결에 대한 관심을 가져야 할 것입니다.

                                                                  <출처: 경향신문 2011년2월24일자>


최근 개인정보보호법 제정을 앞두고 국내 개인정보를 보호하려는 의지가 강하게 제기되고 있습니다. 그것은 지금까지 수 많은 개인정보 유,누출로 인하여 많은 해를 입었기 때문입니다. 또한 이러한 개인정보유출은 제2, 제3의 범죄로도 악용될 소지가 있기 때문에 개인정보의 보호에 대한 강화가 요구 되는 것입니다.

실제 위 본문내용을 보면

재판부는 어느개인의 소유로 귀속되는 순간부터 이 번호들은 기계 고유번호라는 의미 외에 특정 개인이 소유하는 휴대전화의 일련번호라는 의미를 함께 지니게 되고 가입자 정보에 나타난 개인정보와도 쉽게 결합되어 개인을 특정 할수 있기때문  -재판부

개발자, 같은 실수 반복해선 안돼.

이렇듯 지난번 "오빠,XX" 앱도 마찬가지로 최근 스마트폰 앱개발에 있어서 왜 이런 개인정보에 대한 논란이 있을까요? 그것은 개발설계시에 개인정보에 대한 관련 규정이나 법규를 잘 이해하지 못하거나 알지 못한 부분에서 기인한다고 생각이 듭니다. 쉽게 말해 기술적으로 어떻게 하면 잘 만들까? 또는 어떻게 더 많은 사용자를 확보하는가에 집중을 하면서 설계를 하다보니 정작 국내 법적인 규제사항을 놓치는 경우가 많습니다.

최근 필자도 법과제도에 관심을 많이가지고 공부하고 연구하고 있지만 이제는 IT분야에서 엔지니어든, 개발자든, 컨설턴드든 모든것이 법에 테두리 안에서 정당하게 이루어져야 한다는 사실을 꼭 인지 하여야 할 것입니다. 그렇지 않으면 또 같은 현상이 반복되고 앱개발하고 벌금 맞아야 합니다. 따라서 이러한 판례나 첫판결을 주의 깊게 봐야 하는데 개발에 몰두하다보면 자칫 지나칠수 있습니다.
이젠 관심을 가져야 하겠지요


아마도 이러한 현상은 개인정보보호법 제정이 되면 더 많은 파장을 몰고 올 것입니다. 그것은 무지에서 오는 결과라기 보다는 자신이 관심을 두지 않아 오는 실수라고 보겠습니다. 하지만 정말 대박이 나는 앱을 개발하고도 그것이 실수에서 오는 파장이 너무 크다면 실제 사용자로 하여금 신뢰를 잃어버릴수도 있습니다. 앱을 개발하거나 기획하시는 분, 또는 여러가지 시스템을 구성함에 있어 이제는 개인정보의 기술적,관리적 보호조치를 얼마나 충족하는지에 대한 깊은 고민을 가져야 할 시기일 것입니다. 실수가 반복되면 그것은 무지(無知)라고 보는것이 맞겠지요.  @엔시스.

개인정보보호관리사 주관은 한국CPO 포럼에서 주관하고 있는데 오늘자 신문에 다음과 같이 공고가 올라왔다. 주변에 아는 지인들도 많이들 문의가 오고 있기에 살펴 보았다.  올해에도 4/10일 시행한다고 되어 있다.

                                                                 <출처: 디지털타임스 2011.02.21일자>


개인정보보호법과 개인정보관리사와의 함수관계

개인정보보호법이 제정이 되면 6개월후에 효력이 발생을 한다. 따라서 산업전반에 걸쳐 개인정보보호법에 대한 관심과 많은 부분들이 변화를 일으킬 것이다. 그것이 민간과 공공을 아우르는 일반법으로서 제정이 되기 때문이다. 또한 개인정보 사각지대를 없애기 위한 국익차원에서 제정하는 법이기 때문이다.

그런 가운데 이미 KISA에서 발주하는 일부 '개인정보'관련 용역의 경우 '개인정보관리사' 소지자를 직접 언급하여 RFP를 공지하고 있다. 이러한 것은 실질적으로 CPPG에 대한 관계기관의 기준으로 삼을수 있다는 것이다. 따라서 앞으로 CPPG에 대한 수요는 더욱 증가하리라 생각을 한다. 어쩌면 SIS자격증 보다 타이밍이 아주 시기 적절한 듯 하다. 하지만 개인정보보호에 국한 되어 있기에 디테일 하게는 적용이 될지 몰라도 전반적인 부분에 있어서는 SIS가 더욱 적용이 좋을 듯하다..

왜냐하면 개인정보보호법과 개인정보보호에서 기술적,관리적 보호조치를 취해야 하는 부분에서는 CPPG만 소지 하고있다고 해서 해결될 문제는 아니라는 것이다.


개인정보보호 업무에도 SIS자격증의 인센티브 확대 적용

자격증이 모든 것을 해결해 주는 것은 아니지만 인력에 대한 기준선 제시에 있어서 '자격증'이 객관적 기준제시에 가장 많이 사용하고
있기에 정보보호 관련 자격증에도 관심들을 많이 가지고 있다. 하지만 실제 자격증에 대한 인센티브는 아쉬운 편이다. 개인정보보호관련하여서도 그냥 민간자격증 CPPG만 고집할 것이 아니라 국가공인 자격증인 SIS 자격증 소지자도 포함하여야 한다고 생각을 한다. 국내 보안관련 인력자격기준시에 국가공인 SIS 자격증 적용을 하지 않는다면 무엇을 적용할 것인가? 각종 용역에 있어서도 민간자격증 보다도 SIS 자격증 소지자에 대한 인센티브도 주어야 할 것이다. 그렇지 않으면 SIS자격증에 대한 국가공인이라는 권위는 점점 약화 될 것이다..



CPPG(개인정보보호관리사), 지방에선 시험 볼수 없나?

개인정보보호법이 제정이 되면 수도권뿐만 아니라 지방 공공기관, 지자체 , 기업등에서도 분주하게 준비를 할것이다. 특히 개인정보 처리자 입장에서는 조금 더 전문성을 키우기 위하여 관련 자격증에 관심을 지방에 거주하는 분들도 관심을 가질텐데..어떤대안을 가지고 있는지 궁금하다. 아마도 관계자분들이 신경을 쓰는 것으로 알고 있는데 뚜렷한 이야기가 없어서 시험을 보기 위하여 KTX비용까지 지불하면서 민간자격증 CPPG 시험을 보러 가야 하는지까지 의문이 든다.

관련 용역에는 CPPG 자격증 소지자를 언급하고 있고, 특히 개인정보보호 처리자나 취급자, 관련 분야에 개인정보보호를 담당을 한다면 이러한 부분에 있어서 지방에 수요는 더욱 늘어 날 것으로 본다. 이러한 측면에서 빠른 시일내에 전국 5대 광역시에서 시험을 볼수 있도록 조치를 취해 주었으면 하는 바램이 든다.

수험생 유치도 좋겠지만 정책적인 부문과 수도권 지역의 니즈를 반영하여 진행 하는 것이 더 바람직 하지 않을까 생각을 해보면서 늘 지역에서 사는 서러움을 이 하나의 포스트에 실어 본다.  @엔시스.,

출처: 한국인터넷진흥원



상위 랭킹 10위까지 전부 특정 개인에 대한 정보를 수집하고 조합을 하면 어느정도 일명 "신상털기"가 가는 하겠군요. 스스로 절재 할수 있는 방법이 있어야 하는데 , 자신이 전혀 웹을 사용하지 않고 살아간다면 모를까, 사실 일부는 감수해야 하는 경우도 있겠습니다.

하지만 스스로 최대한 개인스스로 자신의 정보를 잘 컨트롤 할 수 있는 마인드 컨트롤이 필요한 것은 분명합니다. 특히 스마트폰과 SNS의 연계에 따른 비(非)보안인들의 여러가지 역기능에 대한 문제점은 아마도 사회 곳곳에서 표출되지 않을까 생각이 듭니다. 아무튼 조심 하시죠 !!  @엔시스.

                                                                                  www.boanin.com 

관련기사:

네이버 다음 네이트 야후 등 포털 다털렸다… 40대男, 개인정보 2900만건 빼내

http://www.kukinews.com/news/nMain/index.asp

'개인정보보호법(안)'이 국회에서 표류 하는 가운데 위와 같은 기사가 올라 왔습니다. 확인해 보니 이미 지난번 해당 IP로 무차별적으로 계정을 접근을 한다는 기사가 올라온 것도 있었는데 그때에는 대부분 중국쪽을 의심하고 있었으나 역시 등잔 밑이 어두웠습니다.

지난 8월달 해당 IP를 포털에서 감지하고 있었습니다.

지난 8월에 이미 이러한 증상이 보고된 바 있으며, 결국 꼬리가 길면 밟히는 법이군요. 하지만 이렇게 계정에 아이디와 비밀번호등 개인정보를 절취하여 또 다른 제2차 피해가 있을 것이 더 우려스럽군요.

개인정보는 각 개인에 대한 정보주체로서 권리를 내 세울수 있으며, 이러한 부분은 철저히 지켜져야 함에도 불구하고 아직도 그냥 인터넷 바다에 떠 다니는 쓰레기 마냥 취급 되는 현실이 안타깝기만 합니다.

개인정보보호법 조속한 시일내에 통과 되길

이런 이유로 관련기관에서나 부처에서 많은 준비를 하여 개인정보보호법안 마련과 준비를 해오고 있는데 아직도 표류중이라는 것은 비난 받아 마땅하다는 것입니다. 물론 여러가지 정책적 이슈로 인하여 정국이 급격히 냉각되면서 어쩔수는 없더라도 빠른 시일내에 복귀가 되면 처리를 해야 할 것입니다. 물론 민생치안과 생계에 따른 법적 통과도 빨리 되어야 겠지요.

관련 기관과 여러 업계에서는 이미 준비를 점점 해가고 있으나 이번에는 이번에는 하다가 다시 논의가 된다고 한다든지, 그 기간이 길어지면 질수록 그 정당성은 인정 받기 어려울 것입니다. 이미 법안은 2008년도에 만들어 졌으나 아직도 처리를 못하고 이제는 자신의 개인정보마져도 정말 가치없는 수준으로 전락하는게 아닌가 하는 오류를 범하게 될 것입니다.  의사를 결정하는 결정권자들도 다시 사회로 돌아 오면 스스로 개인이고 정보주체로 '개인정보자기결정권'을 가지는 하나의 개인임을 분명히 아셔야 할 듯 합니다. 그때가서 부족한 법률과 제도 탓만 할것이 아니라 자신이 업적을 쌓으면 후대에 떳떳하게 정치활동 하였다고 자신감있게 이야기 할 수 있겠지요..다시한번 조속한 조치가 이루어지길 간절히 바래어 봅니다.  @엔시스.

-덧붙임

" 개인정보는 소중한 자신의 정보이며, 개인정보자기결정권은  함부로 다루어서는 안될 소중한 정보주체로서 권리입니다. 국민 모두가 자신의 소중한 정보를 지키기 위한 최소한의 노력도 기울여야 할 것입니다.



아침부터 날라온 대출관련 홍보성 스팸 메일 한통.

며칠전부터 관련 은행에서 대출관련 홍보성 메일을 집중적으로 보내고 있었습니다. 처음엔 그져 한통의 홍보성 광고 메일이겠거니 했는데 이건 무슨, 팩스로도 들어오고 이메일을 단체로 긁어서 집중적으로 홍보를 하게 되는데요. 이러한 부분에 있어서  실제 마케팅이나 홍보 담당자들도 알면서 묵시적으로 이루어지는 경우가 많이 있습니다.

따라서, 해당 담당자에게 관련 법률적 조항이나 현재 개인정보 수집에 있어 동의 부분을 이야기 하였더니 수긍을 하면서 미안한 감을 이야기 하도 다시 보내지 않도록 조치 하겠다는 약속을 하였습니다.

위 사례와 같이 많은 부분들이 우리가 묵시적으로 간과 하고 지나가는 경우가 있지만, 조금 더 적극적인 자세로 자신의 개인정보의 주체로서 자기결정권과 정보주체의 권리를 내 세울수 있다면 스팸은 줄어 들지 않을까 하는 생각이 듭니다.  해당 담당자분도 알려 주어서 감사하는 이야기를 하더군요.  @엔시스.

선거때에 아마도 많은 선거 관련 홍보 문자를 받은 적이 있을 겁니다. 저도 당시 수많은 문자를 받았는데 결국 해당 사업자는 과징금 10억을 물게 되었네요.

3억 벌고, 10억 과징금이면 손해 본 장사입니다. 결국 이러한 조치는 개인정보보호에 대한 방통위의 강력한 의지를 표명하는 호의 결과인 듯 합니다.

                                                     <이미지출처: 머니투데이 2010.10.21자>


최근 개인정보보호에 대한 이슈와 관심이 증대가 되고 있고, 각 관련 기관은 개인정보보호법 통과와 조기 정착에 노력을 기울이고 있습니다.

이러한 때에 위와 같은 사례, 즉 공익 목적이라 하더라도 개인에 대한 동의를 얻지 않고 문자자를 발송을 했다면 현재 '정보통신이용촉진 및 정보보호등에 관한 법률'로 위반 조치가 된다는 사례가 되겠습니다.

개인정보보호, 특히 법에 대한 준거성과 유권 해석이 많은 만큼 보다 많은 이해가 필요하고 법에 저촉이 되지 않도록 각종 전문가에 자문이나 사례들을 잘 파악하는 것도 정보보호전문가의 몫도 있지만 개인정보 취급자들에게도 많은 연구와 노력이 필요한 대목이라 생각이 드네요..

참고로, 이번 2010/10/20 - [Privacy Security] - [행정안전부] 민간사업자를 위한 개인정보보호 전문교육-부산  교육이 전국 순회교육으로 시행되고 있으니 참고 하시어 꼭 교육을 받고 이해를 도모하는 것이 바람직 하다는 말씀을 드리고 싶네요.. 이에 보안인닷컴^[각주:1](http://www.boanin.com) 에서도 개인정보보호 인식제고와 홍보에도 앞장 서고 있습니다. 많은 관심 갖어주시면 좋겠네요.  @엔시스.

* 본 포스팅은 2010.09.30 12시55분에 최종업데이트 되었습니다.

 '개인정보보호법' 통과의 의미와 향후 방향 '

이제 무분별한 개인정보보호 수집에 제동이 걸렸다. 오늘 국회 행안위 법안심사소위원회에서 전격 통과가 되었기 때문이다.
 

이날 소위 논의 결과, 개인정보보호위원회는 대통령 소속의 상설기구로 신설하고 심의와 의결기능에 이어 일부 집행기능까지 확보하게 됐다. 위원회 업무지원을 위한 사무국도 설치한다.

당초 집행기능을 행정안전부가 갖도록 했던 것에서 위원회가 자료제출권과 연차보고서 작성, 그리고 부처·지자체·헌법기관을 대상으로 한 시정조치 권고 기능을 맡도록 함으로써 권한이 한층 강화됐다는 평가다. 위원회 위원은 대통령과 국회, 법원이 각 5인씩 추천하게 된다.

막판까지 정부와 야당 간에 대립했던 상임위원은 정무직 1명만 두는 것으로 결정됐다.  

출처: http://www.ddaily.co.kr/news/news_view.php?uid=68634

지난 2008년 모 정유사 개인정보유출 사건시에도 처벌할 근거가 없어 불기소 처분하고 부랴부랴 준용사업자 14개 사업자를 추가 지정하고 지난 2009년 7월에 그 법적 효력이 발생이 되었다.

관련 포스팅

2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어


하지만 그 이후에도 크고 작은 개인정보 유출에 대한 많은 사건들이 이슈화가 되었고, 그때마다 법에 사각지대에 놓이게 되었다. 그렇게 발의된 '개인정보보호법'은 17대 국회에서 통과가 되지 못하고 18대 국회에서 기대를 했으나 여러가지 현안과 정치적 사안으로 인하여 역시 우선순위에 밀리게 되었다.

그렇게 2010년 4월 국회, 6월 국회에서 논의가 되었으나 법안쟁점이 있어 통과가 되지 못하다가 9월 국회에서 전격 통과가 되었다.



그럼 우린 '개인정보보호법'제정 통과를 어떻게 받아 들여야 하나?

지금까지 과도한 개인정보수집으로 인하여 여러가지 사건과 말들이 많았다. 하지만 조금 더 살펴 본다면 이제는 다양한 채널과 유통으로 인하여 자신의 개인정보보호는 더 보호 받아야 하는 기로에 서있다. 또한 '개인정보자기결정권' 이 헌법재판소에서 합헌을 받은 판례가 있는 만큼 자신의 개인정보에 대한 권리를 주장 할수 있는 법적 근거가 더 확실하게 마련이 되었다..그런 의미로 보았을때 조직이나 단체에 있을때에는 소속으로 서비스하지만 각자 가정으로 돌아 오면 각자 '개인의 삶'으로 돌아가기에 개인에 대한 보호도 받아야 하는 긍정적인 측면으로 받아들이는게 좋겠다. 그리고 보다 많은 법의 사각지대가 사라진다고 보아야겠다.



개인정보보호법에 제정이 되면 무엇이 바뀌나..

관련 포스팅

2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점

위 포스팅을 참고 하시고, 어떠한 방향으로 제정이 될지 모르겠지만 이미 지난 2008년 2008년 이혜훈(8월), 변재일의원(10월)과 정부(11월)안을 절충하여 제정이 되지 않을까 생각하지만 그 틀은 크게 바뀌지 않을 것으로 전망을 한다.

그리고 무엇보다 가장 큰 변화는 민간과 공공, 그리고 각 개별법으로 나누어져 있는 법이 통합법인 '개인정보보호법'으로 통합이 된다는 것이다.

따라서, 각 조직에있는 개인정보보호 담당자, 개인정보보호 취급자, 개인정보보호 관리자등은 개인정보보호에 대한 더 많은 업무와 해야 할 일들이 생겨 난 것이다.

그것은 온라인과 오프라인을 모두 망라하여 이루어지는 것이고, 특히 보안에 대하여 잘 알지 못하는 담당자들에 대한 부담은 가중 될것으로 판단이 된다.


앞으로 해결해야 하는것은?


각각의 흩어져있는 개별법을 통합법으로 만드는 것과 '개인정보보호 사각지대'가 사라지는 것에 대한 긍정적인 측면이 있는 반면에 이제 각 조직과 온라인 사업을 하는 개인정보를 수집하는 업체와 기관에서는 상당히 신경을 많이 써야 하는 부분이 발생한다.

이러한 부분을 해소하기 위해서는 다양한 방법으로 여러가지 법과 제도를 운영함에 있어서 불편함이 없도록 해야 할것이다. 필자가 생각하는 것은 다음과 같다.


1) 보안업계

• 개인정보보호에 대한 테스크 포스를 구성해서 전문 역량을 강화한다.
• 개인정보보호에 대한 컨설팅 사업을 강화 한다.
• 기술적,관리적 보안조치로 인한 솔루션 판매 전략을 수립한다.
• 개인정보보호솔수션에 대한 마케팅, 홍보를 하고 확대 보급한다.
• 개인정보보호관련 인재 양성 및 인력을 확보한다.
• 개인정보보호 컨설팅 인력은 개인정보관련 법과제도 운영에 대한 지식을 습득한다.
• 개인정보보호에 대한 잘 구축된 사례를 발굴 벤치 마킹하여 컨설팅을 한다.
• 자사만의 개인정보보호 컨설팅 방법론을 마련한다.

 

2) 개인정보보호 관련 기관과 주무부서

• 개인정보보호에 대한 규제보다는 교육을 통한 개인정보보호의 중요성 확산
• 이에 따른 주기적인 교육 (지역별 , 산업별, 대중소규모별)
• 온라인을 통한 각종 개인정보보호 동영상 홍보 활용
• 개인정보보호 우수 기업이나 사이트에 대해서는 그에 따른 인센티브 적용
• 개인정보보호관리체계(PIMS) 활용과 확산 및 교육
• 규제적인 성격보다는 필요성을 위한 교육, 베스트프랙티스 및 사례 발굴
• 각종 컨퍼런스와 세미나 활발하게 열어 저변과 인식의 확대
• 서울수도권 중심의 교육및 확산이 아닌 전국중심 개인정보보호 교육 확대
• 개인정보보호 캠페인
• 개인정보보호 홍보대사 위촉
• 각종 커뮤니티등을 활용한 개인정보보호의 중요성 전파
• 개인정보보호 우수사이트 인증 마크 부여
• 개인정보보호관리사 자격증 확대 보급 및 인센티브 부여 (전국시험 준비)
• 각 개인정보 담당자, 취급자,책임자,관리자의 개인정보보호에 대한 대응방안모색

3) 개인정보보호 취급자, 담당자, 관리자, 책임자

• 개인정보보호에 대한 법과 제도 운영을 이해를 한다.
• 관련 교육이 있으면 우선적으로 교육을 받는다.
• 기존 정보통신 이용촉친및 정보보호등에 관한 법률과 공공기관 개인정보보호에 관한 법률을 살펴 본다
• 기술적,관리적 보호조치에 대한 이해를 한다.
• 동종업계 개인정보보호 우수사례를 벤치마킹하고 우리 조직에 맞는 방법론을 찾아 본다.
• 개인정보보호 전문업체 컨설팅을 받는다.

맺음말

소중한 자신에 대한 개인정보를 수집하여 거래가 이루어지고 남에게 돈으로 매매가 되는 것은 정말 안타까운일이다. 법과제도는 규제라는 것으로 접근 하기보다는 조금은 고객의 정보를 소중히 하고 조직과 기업은 그것은 고객의 신뢰로 연결하는 비지니스적 마인드가 필요하다. 필자는 늘 보안에 대한 중요성을 일깨우고 미흡한 힘이지만 블로그,카페,트위터를 통하여 전파를 하고 있다. 그런데도 아직도 보안을 비용으로만 생각하고 기업의 경쟁력이나 고객의 신뢰로 생각하지 않는 경우를 많이 봐 왔다. 좋은 서비스가 있으면 늘 그렇듯이 사람에 관심을 받고 그것이 돈이 된다고 하면 너도 나도 무리하게 참여를 하게 된다. 그러다 보면 좋은 서비스도 역기능이 발생하고 결국 그것은 개인이나 조직의 또다른 보안위협으로 다가온다.

결국은 보안을 얼마나 잘 하는가 하지 못하는가가 기업의 성패를 좌우한다는 것을 미리 깨닭는 개인과 기업이 성공한다는 사실을 꼭 기억하길 바란다.  @엔시스.

* 내용추가로 인한 부득이 재발행을 해 봅니다. 양해바랍니다.

요즘에 보내기트위터에 보내기페이스북에 보내기미투데이에 보내기

'Privacy Security' 카테고리의 다른 글

[행정안전부] 민간사업자를 위한 개인정보보호 전문교육-부산  (0)	2010/10/20
PIMS(개인정보보호관리체계)인증심사교육 후기와 느낀점  (6)	2010/10/11
'개인정보보호법' 통과의 의미와 향후 방향  (4)	2010/09/30
만약 누군가 자신의 개인정보로 따진다면?  (2)	2010/09/20
PIMS(개인정보보호관리체계) 인증제도 하반기 본격화  (0)	2010/08/09
개인정보 DB 암호화 안내서 -KISA  (0)	2010/08/09

최근 S 회사에서 제공하고 있는 네이트와 싸이월드를 이용하는 이용자를 대상으로 맥(MAC) 어드레스와 컴퓨터 이름을 수집 강화를 한다고 공지를 하고 있어 많은 네티즌들에게 개인정보에 대한 침해가 아닌가 하는 의혹을 받고 있습니다.

이해 대해 각종 인터넷 자료와 제 개인 적인 생각을 한번 정리 해 보았습니다.

인터넷에서 맥과 컴퓨터이름의 개인정보에 관련된 의견들

네티즌의 반응 싸늘~~

이에 각 포털에 검색어에 하루종일 네이트와 맥어드레스 관련 키워드들이 검색이 되고 있습니다. 보안을 위한 조치도 좋겠지만 우선 방법상에 문제점을 지적 하고자 합니다.

맥어드레스만 수집을 한다고 해서 과연 향후에 유사한 경우가 발생하지 않을까요? 그것보다는 우선 일반인들 즉, 보안의식과 마인드가 없는 일반인들에게 왜 맥어드레스와 컴퓨터 이름을 수집해야 하는지에 대한 당위성과 과정 절차를 숙지를 해야 함에도 불구하고 7월21일 공지하고 7월28일부터 시행 하겠다고 하는 것은 아주 근시안적인 방법입니다.

필자가 가장 고민하는 것중에 하나도 바로 이러한 보안인과 비보안인에 대한 인식의 변화를 어떻게 하면 자연스럽게 이끌수 있을까 하는 부분에 봉착하게 되는데 이번의 경우는 제가 봐도 너무 무리인듯 합니다.

위 링크 된 당신의 ‘사이버 행적’ 은행 손 안에  기사를 보면 은행에서는 이미 액티브엑스 설치시에 맥어드레스를 수집하는 것으로 나타났는데 액티브 엑스 설치시에는 이에대한 공지라든지 여러가지 동의 및 사용자가 인지되어야 하는 부분들이 나타나 있지 않습니다.

아마도 같은 도매금으로 여론의 질타를 맞지 않을까 생각합니다.  보안에 중요성은 누구보다도 느끼는 것이지만 일방적인 강요나 사용자의 공감을 이끌어 내지 않고 강제성을 띄는 듯한 느낌을 준다면 당연히 저항감과 반발로 이어져서 기업의 경우 서비스에도 상당한 악영향을 끼치게 됩니다.

이러한 부분들을 왜 급작스럽게 감행을 하게 되었는지, 그냥 살짝 개인정보 수집 약관에 몇줄 넣어서 수집하면 된다라고 생각을 했는지 문제입니다. 쇼셜네트워크 서비스를 하는 기업일수록 이러한 부분들은 신뢰성과 투명성을 기반으로 이루어져야 하고 특히 '보안강화'에 대한 부분은 상담한 시일과 공감을 이끌어 내야 함에도 불구하고 결국 이야기를 꺼내고 여론화가 되고 나니까 지금 현재에는 트위터 등에서 다시 철회 한다는 이야기가 올라 오고 있네요.

마무리 글

급변하는 시대에 뉴미디어의 등장으로 다양한 사용자의 욕구를 충족시키기에는 상당한 기간과 시일이 필요함을 다시한번 보여 주는 사례인듯 합니다. 필자도 보안에 대한 중요성을 인식시키고 전파하고 있지만 사용자에 동의나 사전에 불필요한 오해를 살만한 절차상에 문제점을 간과해서는 안된다고 생각을 합니다. 최종 어떻게 결론이 날지는 모르겠지만 해당 기업에서는 한순간에 판단으로 서비스자체가 흔들리는 상황을 맞이 하지 않길 바랄 뿐입니다. ㅇ

왜냐하면  "네이트온이나 싸이월드와 같은 서비스가 몇년전만해도 대체 할수 없는 서비스가 없었지만 지금은 더 많은 서비스와 사용자들이 쇼셜네트워크와 각종 글로벌 한 서비스로 무장하여 사용자의 욕구를 충족시키기 위해 소리없는 총성을 울리고 있을때 이와 같은 무리한 정책을 감행한다는 것은 사실 이해가 가지 않습니다. "  결국 대체재가 있다는 말이겠지요.
"쓰기싫으면 가라"는 발상 자체는 커다란 화를 불러 올것이라는 것은 추후 후회하게 되겠지요. 

특히 약관에 동의 하지 않는 사람은 탈퇴 하라는 식으로의 문구등은 네티즌과 사용자에 대하여 더욱 감정적으로 받아들여져 국내 메신져 시장에서의 시장점유우위와 싸이월드의 쇼셜네트워크 서비스에 대한 자만심으로 비추어질 가능성이 있습니다.

다시한번 심사숙고 하여 내부적으로는 여러가지 상황 판단이 있겠지만 여론과 네티즌의 뭇매를 맞고, 서비스에 영향을 미친다라고 하면 '보안경영'에 대한 깊은 연구가 필요한 시점이 아닌가 생각해 봅니다.  @엔시스.

2010-07-27 18:00 추가 포스팅

결국 한발짝 물러서는 sk컴즈


보안은 사전 공감대 형성이 중요합니다. 그렇지 않을 경우 오히려 더욱 반감만 사게 되는 경우가 되죠. 아마도 내부 보안인력들은 결국 상당한 고초를 겪지 않았을까 하는 생각이 듭니다.

이는 의사결정자의 오판으로 받아들여 지겠습니다. 여러가지 사항들이 있겠지만 무리수를 두는 경우엔 자칫 경영에 위기도 올수 있으므로 조금 더 잘 판단 하는 계기가 되었기를 바랍니다. 이러나 저러나 보안을 하시는 분들에게 힘과 용기를 주어야 하는데 이런 케이스가 자꾸 발생이 되어, 안타까울 뿐입니다.

기업의 개인정보 영향 평가 수행을 위한 안내서 - KISA 제공

개인정보보호 관련하여 업무하시는 분들은 꼭 읽어 보시면 좋겠네요.

당신이 개인정보보호나 보안을 위하여 월 지불할 수 있는 최대 금액은 어느정도가 적당하다고 생각하시는지요?

                         < 그림 1> 개인정보보호 및 보안 월 지불 금액 예시

* 투표는 아래 그림에서 하시면 됩니다..

 국내에 아이폰이 들어오면서 이제는 소프트웨어도 돈을 주고 구입을 해야 된다는 인식이 조금씩 확산이 되고 있다. 이제는 소프트웨어에 대한 정당한 댓가를 지불하고 구입을 해야 한다는 것이다.

이것은 지금까지 무료나 불법 복제로 인한 소프트웨어의 약화로도 이어진 것이 사실이다. 이와 같이 보안도 마찬가지로 지금까지 보안은 비용이라고 생각하는 것이 팽배해져 있다. 지금시점에서 이제는 일반 국민의 보안에 대한 인식전환이 필요로 한다.

이에 각 개인은 개인정보보호 및 보안을 위하여 개인이 지불할수 있는 월(月) 최대 금액이 얼마정도로 생각하는지 궁금해 졌다. 각자 나름대로 생각하시는 금액을 클릭 해 주면 고맙겠습니다.

아래는 한국인터넷진흥원 홈페이지에 올라온 공지내용입니다. 아이핀으로 전환하고 상품도 타고 해 보시면 좋을듯 합니다.
저도 아이핀 사용하고 있는데 시대적 요구사항과 정책으로 아이핀 사용 요구가 증가 할 것으로 생각이 됩니다..

=============================================================================================================

인터넷 웹사이트에 가입되어 있는 주민번호를 i-PIN으로 바꾸는
"i-PIN으로 Change!" 캠페인을 12월1일부터 20일까지 진행하고 있습니다.

현재 전환 가능한 사이트는 세계일보, 인크루트, 인터파크, 하나포스 ,파란 5개 업체이며
해당 사이트에서 주민번호를 i-PIN으로 전환을 하시거나 i-PIN으로 신규가입 시 LED TV,
넷북, 디지털노트, 백화점상품권, 영화예매권의 푸짐한 상품이 마련되어 있으니 많은
참여부탁드립니다.

아울러 주변 분들에게도 http://www.i-pin.kr 사이트의 많은 홍보 부탁드립니다. 감사합니다.




한번씩 어떤것인지 내용이라도 보셔도 좋을듯 합니다...

올해 정보통신망법  준용사업자 추가로 인하여 특강을 다녀왔습니다. 우선 전국에서 하는 것인데 서울,부산,대전,대구,광주 이렇게 5군데인데 제가 맡은 곳은 대구와 부산이었습니다.

우선 부산에선 4월22일 오후 2시에 강연이있었습니다...

처음에 수영구청에 도착을 하니 5부제에 걸려 차를 주차를 하지 못하게 하더군요..하는수 없이 주차장에다 파킹을 하고 걸어서 들어갔습니다.. 여기가 수영구청입니다..


대남교차로 조금 지나서 가니까 있더군요..갈때 네비를 찍어서 갔는데 쉽게 찾을수 있었습니다...



강의장소인 수영구청입니다..아마도 행안부에서 시행하는 것이라서 지자체에서 장소를 제공해 준 모양입니다..그리 크지는 않았습니다..


제가 준비해간 노트북과 빔이 잘 맞지 않아서 구청에서 노트북을 빌려 주셨습니다..감사드립니다.요즘 나오는 와이드 노트북과 빔이 잘 안 맞에 종종 그런 일이 있다고 말씀하시더군요..마이크, 빔 포인터, 준비자료등이 보입니다..


아직 많이 참여하지 않은 상태에서 몇몇 분들이 담소를 나누고 있습니다...여긴 서로 많은 친분들이 있으신 모양이더군요..이 교육은 부산경남울산에 있는 분들이 전부 모인다고 하는데 해외에 나가 계시는 분들도 많다고 합니다.

지금까지는 제가 사진을 찍었던 부분이고 다음부터는 KISA에서 나오신 분이 찍으신 사진입니다...



개인정보보호 교육이 있다고 하는 것을 1층에 공지해 놓았습니다..제가 올라갈떈 안 보였는데 위치가 다른 곳이었나 봅니다.


사회자님이 저를 소개하고 있습니다...고개를 숙이고 있네요..이거..참..하필 그때...




이제 본격적인 강의를 시작 하고 있습니다...시간이 정확하게 2시를 가리키고 있네요...




아젠다는 이렇습니다...약간 어둡네요...




이렇게 하여 강의는 잘 마쳤습니다..다들 바쁘신 가운데 참석해 주어셔서 감사하였습니다. 하지만 조금은 어려운 주제만은 틀림이 없었는데 최대한 전달이 되도록 노력을 하였습니다.

부디 개인정보보호 침해로 인하여 불이익을 받지 않도록 하셨으면 좋겠습니다..사업 잘 되시길 바라겠습니다..

네이버에서 카페를 운영하고 있기 때문에  하루에도 몇번씩 카페를 들락거린다. 그중에서도 준회원에서 정회원으로 등업을 하기 위해 자주 관리자 페이지를 들어가곤 한다.

그런데 오늘 눈에 띄는 것은 관리자 페이지에서 회원의 생년월일이 없어진 것을 발견 하였다., 이제 포털에서도 적극적으로 개인정보보호에 신경을 쓰고 있는 모양이다.

기존의 경우 각 회원마다 생년월일이 나타나게 되었는데 지금은 다음 그림과 같이 그냥 연령대로만 나오게 만들어 놓았다...

이제 "십년지기 친구가 되는건가" ..아무튼 개인정보보호 차원에서 굳이 나타나야 할 정보가 아니라면 나타낼 필요가 없다고 생각을 한다,  혹시나 이렇게 바뀐 부분을  카페 공지 사항을 보아도 나타나 있지 않았다..

하지만 공지사항을 보면 알듯이 여러가지 기능제한과 저작권 주의, 약관 개정 안내등 여러가지 제한적 정책을 많이 사용하는 것 같다는 느낌이 든다.

커뮤니티로서 공간과 여러가지 사용자 입장에서 불편함이 없도록 잘 사용하도록 포털에서 정책 적용을 잘 해 주었으면 하는 바램을 가져 본다.

개인정보에 대한 이야기는 어제 오늘의 이야기가 아니죠..지금 한국정보보호진흥원(이하 'KISA)에서 개인정보 클린 캠페인을 9.24~10.24일까지 한달간 하고 있습니다. 본 블로거도 정보보호에 관심 있는 만큼 참여 해 보기로 하였습니다. 혹시, 어렵다고 하시는 분들을 위하여 하나씩 소개해 드리겠습니다.

1. 개인정보 클린 캠페인 홈페이지를 방문한다.

http://p-clean.kisa.or.kr/

홈페이지를 방문하면 아래와 같은 홍보와 함께 캠페인 절차가 나옵니다.

2. 아이핀(i-PIN)을 발급 받는다.

기존에 있는 사람은 제외하고 없는 사람은 아이핀을 발급 맞아야 한다.  발급 받는데는 무료이니까 걱정 하지 않아도 된다.

3. 발급 받는 절차와 기관은 아래 그림과 같다. 자신이 원하는 기관에서 발급 받으면 된다.

4.  4군데 중에 한곳을 선택하여 클릭하면 다음과 같은 화면이 나온다.

5. 성명,주민번호,이메일 주소를 입력하고 아래 동의란을 선택후 확인한다.

6. 3개사의 조회리스트가 나온다. 클릭을 하면 화면에 그 리스트가 뿌려진다. 개인정보 차원에서 화면 캡처는 생략을 했으니 양해 바란다.

7. 한개 회사가 끝나면 다른 나머지 회사도 조회가 가능하다. 각각 리스트를 보여 주고 있음으로 전부 다해볼 것을 추천한다.

8.   난 GS칼텍스 근처에 간 적도 없는데 최근에 실명 인증을 한적이 있다고 한다. 개인정보 유출이후 나타난 부분이라 생각이 든다.

9.  나머지 한개 회사에도 조회한 결과 15건이나 나왔다. 

결론.

개인정보, 개인정보 말로만 외치지 말고 이런 캠페인이 있으면 적극 동참하여 자신의 정보가 어떻게 어떤 싸이트에 가입이 되었는지를 살펴 보고 만약 지금까지 사용하지 않는 싸이트라면 즉시 캠페인할때 동참하여 탈퇴하는 것이 좋다., 보통 일반 싸이트에서 탈퇴를 하려면 어려움이 있는데 KISA에서 진행하는 캠페인이라 조금은 수훨하다는 생각이 든다.

다시한번 이야기 하지만 꼭 참여하여 자신의 쓸데 없는 개인정보를 삭제 하시기 바랍니다...

 

옵션	예 제	내 용
intitle	Intitle : "Welcome"	제목 중 "Welcome" 문자가 포함된 페이지 검색
inurl	inurl : "admin"	URL에 admin이 포함된 페이지 검색
site	site : "test.co.kr"	test.co.kr 사이트에서 검색
filetype	filetype : "bak"	확장자가 bak으로 된 파일 검색
intext	intext : "개인정보"	개인정보 문자열이 포함된 페이지 검색

최근에는 구글에서 많은 정보를 막았는지, 삭제 했는지 실제 예전처럼 적용되지는 않은 듯 합니다...그래도 가끔은 자신의 아디나 패스워드 주민번호 이름등을 검색 엔진에서 살펴 볼 필요가 있겠습니다..

그리 어렵지 않으니 꼭 한번씩 해 보시기 바랍니다...

관련포스팅

‘인터넷 대출 사기’ 극성…알바 대학생 개인정보 이용


"차라리 벼룩의 간을 빼 먹어라.."

여러분이라면 이럴때 어떻게 하시겠습니까? 이제는 개인정보를 이용하여 다양한 범죄로 이어지고 있습니다...그리고 그 피해는 고스란히 개인에게 전가되지요...

우선 여러분들은 여기서 몇가지 의문점을 가지셔야 합니다..늘 사기행각에는 미끼가 있기 마련입니다..

첫째. 고액의 임금을 지급 한다.
과연 고액의 임금이라고 한다면 얼마정도 고액인지..터무니 없이 고액이라고 한다면 우선 의심 해 보셔야 합니다...왜 그런 광고 보셨죠...월 500 보장, 숙식제공..

둘째. 월급을 선지급한다구요(?)
일하지도 않은 월급을 선지급 한다구요...의심하셔야 합니다...하지만 너무 고액의 임금만 생각하다보면 의심이 눈에 잘 띄지 않겠지요..


아무튼 개인정보는 그만큼 중요한 것이며, 이제는 개인정보 누출이 아니라 아예 당사자를 이용하는 범죄까지 발생하고 있습니다...늘 보안마인드와 조심한다는 생각을 해 보고 혼자 결정하지 마시고 주위에 친구나 지인들과 상의 해 보고 결정하면 좋을 것 입니다.


  

우연히 검색 포털에 개인정보 중에 하나인 휴대폰 번호 검색을 해 보았습니다..검색 포털은 네이버, 야후,엠파스, 구글입니다..

우선 국내 검색중에 가장 많은 우위를 차지 하고 있는 네이버에서 검색해 보았습니다..


언제부터인가 휴대폰 번호 일부분을 별표(*)로 처리한 사실을 알겠되었습니다..이는 우연하게 검색하다가 웹페이지에 나온 전화번호등을 일부만 보여 줌으로 인하여 개인정보가 남발하지 않게 처리 하기 위함이라고 여겨집니다...적절한 조치라 생각합니다..

다음은 야후입니다....


야후도 마찬가지로 별표 표시를 하여 일부 전화 번호를 나타나지 않게 하여 일부만 검색되게 처리 하였습니다...

그다음은 엠파스입니다..


전화번호 전부가 검색되게끔 처리가 되어 있습니다...무분별한 개인정보 노출로부터 자유롭지 못하다는 인식을 하게 됩니다..

그러면 검색기능중에 구글 해킹이라는 말까지 나오는 구글에서는 어떤지 살펴 보겠습니다..


역시 전부 나타나게 됩니다...처음에는 우연한 기회에 가장 기본적인 집이나 휴대폰 전화번호를 검색해 보았는데 검색에서 보시다시피 각자 다른 정책을 사용하고 있는 것을 보았습니다..

검색은 조금더 자세히, 조금더 잘 찾아주는게 원래 검색에 의미이긴 하지만 너무 많은 것을 특히나 개인정보등이 웹상에서 검색되는 현상을 막고자 2개 포털은 나름 신경을 쓴 반면에 다른 2개의 검색싸이트에선 아직도 그대로 노출이 되고 있습니다..

무엇보다 조심해야 할것은 개인 각자가 조심해야 하겠지만, 개인정보가 소중해진 만큼 이제는 포털(검색)에서도 나름 개인정보에 대하여 신경을 쓰고 있다는 것을 보여줄 필요가 있겠습니다..@엔시스

우리의 개인정보는 소중한 것입니다..가끔씩 마트 및 할인점에 가면 일정 금액 이상 구입을 하게 되면 경품행사권을 나누어 줍니다...그리고 그 내용을 보면 크게 당첨될 확률은 없을 것 같으면서 괜한 기대심리에 개인정보를 적어서 경품 함에 넣습니다.

이젠 경품 추천에 함부로 응모 하지 마세요...

관련기사 : 할인점 빅3, 개인정보보호 위반 '철퇴'

과태료 부과 한다고 하는데 조금 약한 것 같다는 느낌이 듭니다..저두 예전에는 혹시나 싶어 주소 ,전화번호등 개인정보를 적어서 응모 하였는데, 한 1년전부터 응모하려다 깨알같이 쓰여져 있는 부분에 자세히 읽어보니까 관련 회사나 일부 개인정보제공업체에 제공 할수도 있다는 문구가 있어 그뒤로는 아예 공짜 바라지도 않습니다...

아무리 좋은 싸이트가 있어도 개인정보를 너무 과다 하게 물어보고 가입하는 곳은 잘 가입을 하지 않습니다...

여러분들도 너무 많은 개인정보를 물어 보는 곳은 꼭 한번 더 생각하시고 가입하시기 바랍니다.