엔시스의 정보보호(보안) 따라잡기

기존 개인정보의 안전성 확보조치 기준

[시행 2011.9.30] [행정안전부고시 제2011-43호, 2011.9.30, 제정]

                                           개인정보의 안전성 확보조치 기준.pdf

개정되는 개인정보의 안전성확보조치 기준 고시(안)에 대한 내용을 안행부 홈페이지에 공개된 문서를 기준으로 살펴보고 그 의미를 짚어 보기로 하자. 

개정(안)  개인정보의 안전성확보조치 기준 고시안 

                                 개인정보의_안전성_확보조치_기준_고시_개정(안).hwp

1. 주요내용 : 안전행정부 홈페이지에 공개한 내용을 참조 해 보자.

2. 기존 고시안에서 달라진 사항 ^[각주:1]

2.1  제2조 용어의 정의 부분 

개정(안):  P2P, 공유설정등의 용어가 삭제되고, 최신 트렌드를 반영한 "모바일 기기"의 용어가 추가 되었다. 

엔시스생각: 모바일이 대중화 되고, 모바일 디바이스기기로 인한 보안의 위협과 개인정보 유,노출의 위협을 반영하기 위한 조치라 생각이 든다.

▲ 시대적 트렌드를 반영한 '모바일기기' 고시안에 반영조치

2.2  제3조 (내부관리계획의 수립.시행)

현장을 둘러보면 내부관리계획 수립이 제대로 수립되지 않는 곳이 많다. 그리고 인터넷에 공개되어 있는 샘플을 그대로 사용하고 개인정보처리자명에만 해당 기관이나 기업체명으로 수정하여 사용하고 있는 경우가 대부분이었다. 그것은 말 그대로 샘플일 뿐이며 중요한 것은 내부관리계획 수립을 조직이나 기관에 맞게 제대로 구체적으로 적용을 해야 한다. 그 사항은 고시기준에 명시 되어 있다. 

이번 개정(안)에는 ' 5. 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항'이 추가되었다. 

엔시스생각:  법률에서 위탁자가 업무를 위탁했을때 수탁자는 위탁자의 소속직원으로 본다 (법 제26조3항6호)는 규정이 있다. 하지만 개인정보의 안전성을 도모하기 위해서는 구체적인 고시기준에 '수탁자에 대한 관리감독을 강화' 하려는 의도가 엿보인다. 즉, 수탁자에 대한 관리감독을 내부관리계획에 수립을 하여 보다 적극적이고 구체적으로 명시한 부분으로 생각된다.

▲  내부관리계획을 구체성과 수탁자 관리 감독에 대한 강화. 

2.4  제4조 (접근권한관리)

개정(안): 기존 고시 제5조에 '비밀번호관리' 부분을 삭제처리하고 개정(안)에는 제4조의 세부 항목으로 배치 시켰네요..

엔시스생각: 비밀번호에 대한 관리를 조항보다는 접근권한관리의 세부 항목으로 배치 하였군요. 비밀번호의 중요성이 낮아졌다라기 보다는 고시의 각 조항별 깊이(depth)을 조절 하기 위한 조치로 보여진다.

▲ 비밀번호에 대한 고시 조문 정리, 항목으로 배치

2.5 제5조 (접근통제)

용어의 정의에서 '모바일'이 포함된 만큼 다양한 모바일 위협에 대한 대응솔루션과 조치 사항이 다루어질 것으로 예상이 된다.

개정(안):  4항에 '모바일기기'가 추가로 포함이 되었으며, 5항,6항,7항이 추가 되었다. 

 엔시스생각: 7항으로 모바일 MDM 마켓의 수요가 커질 것으로 예상이 된다. 또한 모의해킹 및 취약성 점검이 연 1회 이상 의무화 되었다. 기존에 '정보통신기반시설'에 대한 취약성 점검은 반드시 해야 하지만 이제는 개인정보 안전성 확보조치를 위해서도 취약성 점검을 해야 한다.  모의해킹에 관심 있는 사람들은 많은 실력을 키워 놓으면 좋겠다.  보안도 어쩔수 없이 시대적 흐름으로 가야 하고, 제도도 시대적 흐름을 반영하는 것이 맞다라고 본다.

▲ MDM 마켓 확대, 모의해킹 및 취약성 점검 수요증가

2.6  제6조 (개인정보의 암호화)

개정(안): 8항에 '모바일기기'가 추가 된 사항외에는 변동 사항이 없다. 

엔시스생각: 암호화에 대한 부분은 개인정보보호에서 가장 뜨거운 이슈중에 하나이다. 그러나 이번 고시안에서는 8항에 모바일 기기에 대한 용어만 추가 되었을뿐 수정된 사항이 없다. 최근 '주민번호 암호 의무화' 에 대한 법률이 개정되기도 하였다.  하지만 시행일이 2016.1.1로 명시하고 있어 고시안을 그대로 둔 것으로 사료 된다.  

법 개정에 대한 취지 : 기존 고시안에 보면 내부정보나 위험도 분석을 통하여 주민번호 암호화 조치에 대한 사항이 의무적이 아니었다. 즉, 내부정보나 위험도 분석 26개를 충족하면 암호화 조치를 하지 않아도 되었다는 것이다. 그러다 보니 이를 암호화를 하지 않아도 되는 합리성 추구의 도구로 이용되었다. 그럼에도 불구하고 유출되면 암호화 조치도 되지 않아 더 큰 피해를 가져 오기 때문에 고시 수준의 암호화 조치사항을 상위법인 법률에 의무화로 법률 개정이 된 것이다.

엔시스생각:  (2016.1.1)까지 유예기간으로 준 것으로 생각된다. 하지만 암호화 하지 않아도 된다는 것으로 오해해서는 안된다. 주민번호 암호화 구축은 많은 기간과 예산이 투입이 되는 것이라 미리미리 대비하기 위한 기간으로 2016.1.1로 두었지 지금 당장 암호화 조치를 하지 않아도 규정에 없으니 책임을 면한다는 의미는 아

니라는 것이다.  마켓에서는 암호화 시장이 더욱 확대될 전망이다. 

▲ 고시수준이 아닌 법에 의한 주민번호 암호화 의무화 조치

2.7 제7조 (접속기록의 보관 및 점검)

개정(안) :개인정보처리자는 개인정보의 유출.변조.훼손 등에 대응하기 위하여 개인정보처리 시스템의 접속기록등을 반기별로 1회 이상 점검하여야 한다.

엔시스 생각: 2항이 추가된 것도 접속 기록을 그냥 6개월 이상 보관만 하고 있는 것이 아닌 반기별로 로그기록을 정기적으로 점검하게끔 구체화 하였다고 본다. 개인정보 담당자나 로그시스템 관리자는 조금더 일이 많아 진다고 본다.

▲ 로그기록을 보관만 하지 말고, 정기적으로 점검 하라.

2.8 제8조 (악성프로그램 등 방지)

개정(안): 개인정보처리자는 키보드,화면,메모리 탈취등 신종,변종을 포함한 악성프로그램 방지를 위한 조치를 해야 한다고 명시하고 있다. 

엔시스생각: 최근 해킹기술의 고도화 됨에 따라 피싱,파밍,메모리해킹등에 따른 조치를 하도록 최근 해킹 기술을 반영토록한 조치이다. 또한 악성코드를 제거하기 위한 최신 백신을 설치만 하는 것이 아닌 엔진을 업데이트 하여 최신의 상태로 유지하도록 구체적으로 제시하고 있다. 틈새시장이 생길 수도 있겠다는 생각이 든다. 

▲  기존 백신과 운영체제 업데이트만 가지고 악성프로그램을 방지 할 수 없다. 키로거,화면캡쳐, 메모리해킹 등 신종 보안위협으로부터 보호조치 하라.

2.9 제9조 (물리적 접근 방지)

개정(안): 기존 보조저장매체에 대한 저장만 물리적으로 강조한 반면에 개정안에서는 반출입에 대한 통제 대책을 마련해야 한다.

엔시스생각: 보조저장 매체에 대한 반출입 통제가 잘 이루어져야 한다. 여러가지 모바일 기기의 저장기능이라든지, 휴대용저장 매체등 반출입시에 물리적 통제가 철저히 이루어져야 한다.

▲  보조저장장치의 저장 기능 대량화, 반출입 통제 시스템 강화

2.10  제10조 (개인정보의 파기)

개정(안): 기존에 없던 개인정보의 파기 부분이 고시에 추가 됨으로써 파기에 대한 법적근거 기준을 가지게 되었다. 단순히 파기하라고 했던 권고사항과는 달리 이제는 파기에 대한 중요성이 더 부각되었다고 보면 되겠다.

엔시스생각: 보통 수집동의에 대한 부분은 그래도 최근 들어 신경을 많이 쓰는 편이지만 파기에 대한 것은 의외로 함부로 버릴수 있는 사항이 아니다보니 제대로 규정대로 실천 되지 않는 측면이 많다. 이미 파기 했어야 하는 문서나 저장장치를 그대로 보관하거나 그 보유기간을 무조건 길게 잡는 것도 바람직 하지 못하다. 법에서는 목적달성하면 즉시 파기하라고 되어 있지만 과연 즉시 파기하는 곳은 몇곳이나 될지 의문이다. 파기에 대한 구체적인 기준이 조직내에 마련이 되어야 한다.

3. 결론 : (개인정보의 안전성 확보조치 기준 고시(안)을 보면서

카드사 개인정보 유출로 인하여 개인정보의 중요성을 더욱 부각이 되었고, 그 이후에도 반복적으로 개인정보유출 사건사고가 일어나고 있다. 모두 완벽하게 유,노출에 안전하게 하면 좋겠지만 최소한 법의 테두리 안에서 법이 추구하고자 하는 부분을 지켜야 할 것이다. 내용을 살펴보면 다음 두가지 관점에서 결론을 개인적으로 내려 보고자 한다.

개인정보처리자입장: 해야 할 일이 점검 늘어난다. 주어진 업무외에 개인정보처리 업무를 하는 경우가 대부분이고 , 관리부서와 기술부서가 각각 나누어 업무를 처리하는 곳도 많다보니 역할과 책임등 업무가 일관성 있게 추진되지 못하는 경향이 있다. 또한 담당자 개인에게 모든 짐을 지우기에는 너무 크다. 처우개선이나 인력의 추가지원, 개인정보 컴플라이언스 준수를 위한 예산확보가 시급해 보인다. 또한 의사결정자의 인식개선도 필요해 보인다.  이러한 근본적 해결이 없고서는 규정만 강화 한다고 해서 반복적인 개인정보 유출이 감소되리라 생각하지 않는다. 하지만 반대로 최소한의 지켜야 할 법준수는 해야 할 것이다. 

정보주체의 입장: 개인정보보호법에서 개인정보자기결정권 및 정보주체로서 권리를 보장한 만큼 앞으로 개인정보에 대한 이해관계와 민원은 점점 증가하리라 생각이 든다. 또한 기존 관행으로 이루어진 개인정보 제공이나 공개등에도 제한이 있을수 밖에 없어 불편함이 예상이 된다. 따라서 자연스럽게 정보주체의 개인정보보호를 한다는 취지에서 일부 불편함을 감수 할 수 있어야 자신의 권리도 보장 받고 지킬 수 있을 것이다. 다만 우려되는 것은 법을 악용하여 '진상'소리를 들으면 안된다.  이상 끝.

*정리하는데만 약 2시간 넘게 시간이 걸렸네요. 이렇게 한번 정리해 봄으로써 기억하기 쉽고, 여러가지 이슈에 대하여 다시 한번 대응할 수 있는 방법론을 도출해 낼 수 있습니다. 개인정보에 관심 있는 분들에게 도움이 되었으면 좋겠네요.

                                                           <source : http://bit.ly/1nd3TcF >

2010년부터 독서를 시작 하였습니다.  이제 4년차가 되어 갑니다. 

그전에는 책이라곤  전공책 몇권이 전부였으며, 부끄럽지만 1년에 5권 미만이었습니다. 그러나 어느 순간부터 책을 읽어야 겠다는 계속을 세웠습니다. 아니 읽어야만 했습니다. 바로 시작했습니다. 목표는 1주일에 1권, 1년에 48권을 목표로 잡았습니다.

사실 여러분들도 책을 읽어보면 아시겠지만 1주일에 책 한권 읽기도 그리 쉬운 미션은 아닙니다. 어떤 책을 읽을지 또 언제 읽을지, 책읽을 시간은 있을지..등등...그러나 무조건 진행했습니다. 중요한 것은 읽지 않는 것 보다는 한권이라도 읽으면서 변해가는 나 자신이 더 중요하다 생각했기 때문입니다. 책 한권도 읽지 않는다고 세상 못사는 것도 아닙니다. 그러나 스스로 성장하고 발전하기는 어렵울 것입니다.

2010년도 29권 읽었습니다. 

2011년도 41권 읽었습니다.

2012년도 40권 읽었습니다.

2013년도 32권 읽었습니다.

2014년도 현재 34권 읽었습니다.

독서 목록을 한번 정리해 보았습니다. 

4년반동안 176권 읽었습니다. 독서가에 비하면 정말 부끄러운 수준이지만 숫자가 중요한 것이 아니라 나 자신의 체질을 변화 시켰다는 것에 주목합니다. 자신의 변화 시킨다는 것은 그만큼 어렵다는 것입니다. 올해는 거뜬히 목표 48권을 넘길듯 합니다. 

4년이 넘어가니 습관이 되었고, 지식이 쌓이게 되고, 점점탄력이 붙게 됩니다. 대부분이 경제, 경영, 자기계발, 철학, 가끔 시집정도입니다. 이제 인문,심리,소설등으로 넓혀 갈 예정입니다. 탄력이 붙는다면 1년에 365권을 목표로 더 높게 잡아 볼 생각입니다. 최종 1000권에 도전해 봅니다. 

독서를 하고 나서 유익한 점은 다음과 같습니다.

1. 다양한 지식을 접할 수 있었습니다.

2. 세상의 이치를 조금 더 명확하게 바라볼 수 있게 되었습니다.

3. 생각이 논리정연해 집니다.

4. 사색을 하게 되고, 간접 경험을 할 수 있습니다.

5. 역사적 사실과 생각의 깊이가 더해집니다.

6. 처음엔 분야가 따로였지만 결국 연결되어지는 것을 알게 되었습니다.

* 본 독서목록은 전공분야서적을 제외한 독서목록입니다.

활자를 가까이 하는 것이 자신의 생각과 행동을 키우는 것이라 믿습니다. 책 많이 읽으면 좋겠습니다. 끝.