엔시스의 정보보호(보안) 따라잡기

개인정보 처리자 입장에서 개인정보보호 담당자는 취급자가 조금이라도 개인정보에 대한 개념 인식에서부터 , 업무시 개인정보 '처리'에 대한 업무를 잘 해 주었으면 하는 바램에서 교육에 관심을 가질 수 밖에 없지요. 그러나 대부분이 그렇듯이 법적 근거 기준이 있어서 의무 사항이 아니면 하지 않는 경우가 대부분입니다. 이는 현장을 다녀보면서 느낀바로는 두가지 요인이 있습니다.

1. 법적 근거가 없으면 집체 교육 힘들어

법적 의무 교육이 아니거나 근거 미비의 경우 대부분 집체 교육을 하기 어렵습니다. 그 이유는 집체교육은 직장인 교육의 일환으로 하거나 한꺼번에 임직원을 모집해야 하는 어려움 때문입니다. 기관이나 기업내에 중요한 이슈가 있었을땐 교육은 우선순위에서 밀리는 경우가 대부분입니다. 긴급 이슈사안에 대하여 처리하기위한 업무도 바쁜데 교육을 위한 시간을 따로 할당해야 하기 때문입니다. 하지만 법적인 근거가 제시되면 명분을 제시할 수 있어 담당자의 교육 업무 추진이 수훨합니다. 역으로 생각하면 법적 근거기준이 없으면 집체교육은 어렵다는 이야기 입니다. 이는 온라인 개별 교육은 더 힘들다는 것을 반증하기도 합니다.

2. 담당부서의 업무인데 왜 집체 교육을 통하여 전달 하려하는가?

개인정보 교육의 경우 대부분 취급자가 자신은 개인정보 담당자가 아니라는 생각을 하고 있습니다. 개인정보보호법 제2조에   2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다."   고 명시하고 있습니다. 아마도 기관이나 기업에서 개인정보 '취급' , '처리'를 하지 않은 취급자가 과연 몇명이나 있을까요? 대부분 자신이 개인정보 관련 업무처리를 하고 있지만 이는 '개인정보 담당자' 업무로 착각하고 있기 때문이죠. 그러니 바쁜 시간에 왜 자신의 업무를 전 임직원들 대상으로 전달 할려고 하는가에 대한 반감 때문에 애로 사항이 있습니다.  "메일공지나 회람을 통해서도 가능할텐데 ......, " 라는 불만 때문이지요. 그런데 어디 메일이나 회람으로 '개인정보보호법'을 모두 이해 할 수 있다면 법적 의무적인 교육을 할 필요가 없겠지요..개인정보 업무가 쉬워보이지만 공부해야 할 것과 해야할 업무가 굉장히 많다는 사실입니다. 

이 두가지 이유 때문에 개인정보 교육은 진행하기 애로사항이 있다고 담당자들은 토로 합니다. 그럼 과연 개인정보보호에 대한 교육을 법적으로 해야 될까요? 말아야 할까요? 알아보도록 하겠습니다.

개인정보보호 교육  과연 법적 의무교육인가? 아닌가?

지난 8/7일 주민등록번호 수집 법정주의가 시행이 되었습니다. 또한 개정된 개인정보보호법이 지난 3/24일 시행이 되고 있기 때문에 많은 분들이 관심을 가질 수 밖에 없습니다. 또한 법이라는 것은 자주 개정되는 특성이 있어 꾸준히 관심을 가지고 있지 않으면 , 놓칠수 있는 부분이 있어 만약 개인정보 유출시에는 상당한 타격을 입게 됩니다. 이것이 컴플라이언스( 법 준수성)에 관심을 가질 수 밖에 없는 이유가 되죠.

개인정보보호 전문 카페를 통한 8월 한달간 N포털 키워드 유입을 통해 알아 보겠습니다.

안전행정부 개인정보보호 전문강사로 위촉이 되어 있다보니 집체 교육후에 질문이 많습니다. 메일로 , 전화로 일일이 답변 드리지 못해 운영하고 있는 커뮤니티입니다. 개인정보 관련 내용만 다루고 있습니다. 

그러던중 아래 그림과 같이 키워드에서 <개인정보보호법 의무교육>  키워드로 많이 검색하는 것 같아 블로그에 포스팅 하게 된 것입니다..

                   ▲  8월 한달간 N포털 개인정보보호 관련 검색유입된 키워드 순위

눈에 띄는 것이 바로 '개인정보보호법 의무교육' 에 대한 부분입니다...그 궁금증을 해소하기 위하여 알아 보았습니다. 우선 대표적인 개인정보보호법과 정보통신망법에 각각 알아보면 다음과 같습니다. 

1. 개인정보보호법

제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리·감독을 행하여야 한다.

② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.

2. 정보통신망법

"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 "개인정보의 기술적, 관리적 보호조치 기준" 제3조(내부관리계획의 수립․시행)

② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.

1. 교육목적 및 대상

2. 교육 내용

3. 교육 일정 및 방법

다음은 개인정보보호 교육에 관련된 Q & A 입니다. 잘 살펴 보시고 대응하시면 되겠습니다.

개인정보보호 미 교육시 처벌 규정이 없다고 소홀히 하였을 경우, 만약 유출시에는 그에 따르는 책임을 묻는 것은 당연하겠지요. 여러가지 개인정보 실태점검이나 수준진단 점검, 그리고 인증심사시에 반드시 이러한 사항들이 포함된 것을 보더라도 형식적인 교육으로 전락해서는 안될 것입니다.  법적인 근거가 있으니 반드시 교육을 실시하는 것이 유출에 대비하여 좋겠지요..

대신 개인정보 교육은 자체교육, 온라인 교육, 외부 전문가초빙등의 다양한 방법이 있으니 잘 참고하시고 , 개인정보 유출에 만전을 기할 수 있도록 해야 겠습니다. 너무 강요에 의한 마케팅과 결합한 교육은 바람직 하지 않다고 생각합니다.  정말 중요한 것은 조직내 개인정보가 유출시 어떻게 대처하고 어떠한 처벌이 있으며, 각 구성원이 인지하고 행동으로 실천하기 위한 방법을 직접 교육을 통하여 전달 하는 것이 목적이기 때문입니다.

포털 검색하다가 일부 교육기관에서 교육을 하지 않으면 처벌된다는 식의 강압적인 권유의 글이 많이 보여 참고 차원에서 한번 포스팅 해 보았습니다.  보다 자세한 내용은 개인정보보호 전문 카페 (개인정보 업무와 피해구제,교육등의 정보를 공유하는 카페) 를 참고 하시면 되겠습니다. 감사합니다.  @엔시스.

포스팅 참조한 보안뉴스기사 : http://www.boannews.com/media/view.asp?idx=43032&kind=2&search=title&find=%C0%C7%B9%AB%B1%B3%C0%B0

인터넷이 생활 속에 자리 잡으면서 수 많은 웹사이트에 가입을 위한 아이디와 패스워드를 생성한다. 웹

사이트에서 사용자 식별을 위한 가장 많이 사용하는 쉬운 방법이기도 하기 때문이다. 그런데 여러 웹사이트에 가입을 하다보니 대부분 같은 아이디와 패스워드를 사용하게 되고, 한 곳에서 아이디와 패스워드가 유출되면 다른 곳의 로그인도 쉽게 할 수 있게 된다. 이에 이번 호에서는 안전한 패스워드(비밀번호)를 어떻게 관리하면 되는지 정리 해 보고자 한다.

안일한 패스워드 관리, 누구든지 해킹 당할 수 있어

누구나 한 개 이상의 아이디와 패스워드 관리는 하게 된다. 처음 생성시 “아이디는 어떻게 만들까?” “　패스워드는 무얼하지? ” 로 한번쯤 고민한 적이 있을 것이다. 웹사이트 가입할 때 마다 다르게 생성하기도 어렵고 , 너무 길거나 복잡하게 하면 기억하기 어려워 자주 방문하지 않는 웹사이트 경우 늘 비밀번호 찾기 버튼을 눌러 재발급 경험이 있을 것이다. 이렇다보니 아이디와 비밀번호를 웹사이트 가입할 때마다 동일하게 사용하는 것이 현실이다. 주로 많이 사용하는 포털이나 인터넷뱅킹 대부분 동일한 아이디와 패스워드를 사용하는 경우가 많다. 패스워드가 한 곳에서 유출이 되면 다른 곳에도 안전하지 못하다.

악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취한다. 이러한 계정 탈취는 또 다른 피해로 이어진다. 금융감독원 보도자료에 따르면 (13.12.5) 무역대금 금융사기가 계정 탈취로 인하여 증가하고 있다는 것이다. 다음은 피해사례를 정리한 것이다. 

※피해사례

위 사례에서 보는바와 같이 해외에 거래처가 있기 때문에 유선보다는 이메일을 통하여 주고 받는 것이 편리 하기 때문에 유선확인 없이 이메일로만 확인된 것으로 파악이 된다. 누군가 에 의해 계정이 탈취되고 패스워드가 노출 되었다는 이야기이다. 메일을 통하여 거래처를 속인 것이다. 만약 여러분의 계정이 탈취되어 알고 있는 지인에게 본인임을 사칭하여 이메일을 주고 받는다면 또 다른 피해가 일어나는 것은 자명한 것이다. 생각만 해도 오싹하다.

패스워드 관리는 사용자가 스스로 관리해야.

최근 구글 이메일에 다음과 같은 안내 메일을 받았다. 내용인 즉 , 누군가 필자의 구글 계정에 로그인 시도를 했다는 안내 메시지이다. 보안에 관련된 글이나 인터뷰를 자주 하다보니 의도적으로 테스트 삼아 시도하는 공격자가 있다. 그래서 더 패스워드 관리에 신경을 쓸 수 밖에 없다.

혹시나 하는 마음에 메일 확인 즉시 바로 패스워드를 바로 변경하였다. 이렇게 안내 메일이라도 보내주면 다행이지만 대부분 포털이나 쇼핑몰은 그렇지 않다. 사용자가 직접 패스워드 관리를 해야 하는 것이다. 이러한 원리는 최근 금융권에서도 많이 활용하고 있다. 자신이 주로 이용하는 IP주소와 지정된 PC가 아니면 이상 징후로 탐지 하는 것이다. 이상 징후가 탐지되면 정상적인 금융거래를 할 수 없다. 정상적인 거래를 위해서는 본인임을 입증해야 한다. 구글도 구글 서비스에 접속하고 있는 IP주소를 파악하고 있다가 그 범위를 벗어나게 되면 경고 메일을 보내주고 있는 것이다.

당신의 패스워드 얼마나 안전한가?

여러분의 패스워드는 얼마나 안전한지 점검하는 사이트가 있다. 패스워드를 어떻게 구성할 것인지를 적으면 얼마나 안전한지를 보여준다. 쉽게 말하면 패스워드가 풀리는데 얼마나 시간이 걸리는지를 알려주는 사이트이다.

▲ 패스워드 점검 사이트(http://howsecureismypassword.net/)

간단하게 몇 가지만 테스트 해 본 결과를 정리해 보자. 다음은 패스워드 해킹하는데 걸리는 시간을 나타낸 것이다.

1) 12345678 : 0.02초 (숫자)

2) abcdefg : 2초 (알파벳)

3) 3456cdef : 11분 (숫자 + 알파벳)

4) 3456*cde : 3시간 (숫자 + 특수문자 + 알파벳) - 총 8자리

5) 3456!@#cde : 344일 (숫자 + 특수문자 + 알파벳) - 총 10자리

물론 위 사이트가 얼마나 신뢰성이 있는지는 잘 모른다. 하지만 패스워드 관리를 함에 있어 자신의 패스워드를 어떻게 구성을 하면 안전하게 할 수 있는지를 가늠해 볼 수는 있다.

단 한 가지 주의 할 점은 위 사이트 메인 박스란에도 적혀 있지만 자신이 실제 사용하는 패스워드를 적어서 탈취 당하는 일이 없도록 주의하라는 문구가 적혀 있다. 이것은 패스워드 안전성을 측정해 준다고 하지만 유사한 사이트들이 많이 있어 패스워드를 탈취 할 수도 있다는 위험성을 알리는 것이다. 그러니 과거 사용했던 패스워드나 어떤 형태로 구성하면 안전한가 정도에서 검토해야지 실제 사용하는 패스워드를 적지 말도록 해야 한다.

패스워드 생성시 유의점과 안전한 관리를 위한 팁

그동안 필자도 패스워드에 대한 연구를 많이 하였고, 실제 패스워드 유출로 피해를 입는 사례도 많이 보았다. 주로 알고 있는 내용이지만 초보자 관점에서 다시 한번 상기하는 의미에서 조명해 보고자 한다. 패스워드 관리에 무관심 했던 사용자는 꼭 기억했다가 실행에 옮기도록 해 보자.

패스워드 생성시 유의점을 살펴 보면 다음과 같다. 잘 살펴보고 패스워드 생성 시에 활용토록 하자.

1) 패스워드 길이는 8자리 이상으로 한다.

-> 패스워드 길이가 짧은 것은 아무래도 긴 패스워드보다 풀릴 확률이 높다. 따라서 보통 8자리 이상으로 권장하고 있으니 규정에 따르도록 하자. 최근에는 컴퓨터의 기술 발전과 능력 향상으로 10자리 이상을 요구하기도 한다. 8자리도 안전하지 못하다는 것이다.

2) 주민번호,전화번호,생일 등 개인정보를 포함하는 것은 피해야 한다.

-> 패스워드에 자신의 주민번호나 집 전화번호,휴대폰 번호, 생일 등을 이용하는 경우가 있는데 굉장히 위험한 방법이다. 개인정보가 포함되어 있어 유출시 또 다른 피해를 입을 수 있다. 혹시 지금 사용하고 있다면 당장 변경하길 권한다. 보안사고는 사전 예방이 최고이다.

3) 사전(辭典)에 있는 단어나 문장,문구는 사용하지 말아야 한다.

-> 자신이 평소 좋아하는 단어나 문장을 이용하는 경우가 있다. 패스워드 크랙 공격 중에 사전 공격(Dictionary Attack)이라는 기법이 있다. 이는 사전에 있는 단어나 문장을 무작위로 대입시켜 패스워드를 유출하는 기법이다. 이 공격으로부터 자유롭지 못하기 때문에 사전에 있는 단어나 문장은 피하는 것이 좋다.

4) 숫자, 알파벳, 특수문자를 반드시 넣어서 구성한다.

-> 패스워드 구성의 이상적인 조합이 숫자, 알파벳, 특수문자 등을 조합하여 만드는 것이다. 그만큼 패스워드를 푸는데 시간이 오래 걸리기 때문이다. 대부분 웹사이트에서 요즘은 이 방법을 요구하고 있다. 이제는 패스워드도 복잡성을 요구하고 있는 것이다.

5) 각 사이트마다 다른 패스워드를 사용한다.

-> 누구나 알고는 있지만 사실 여러 사이트에 모든 패스워드를 다르게 하여 관리한다는 것이 쉽지만 않다. 그렇다 보니 동일한 아이디와 패스워드를 사용하게 된다. 이제는 다르게 생성하여 관리해 보면 어떨까? 다음과 같은 방법이 자주 언급되고 있으니 예시를 보고 여러분도 한번 응용해 보면 어떨까 싶다. 

※예시

6) 패스워드는 변경은 주기적으로 한다.

-> 안전한 패스워드를 2-3개를 만들어 놓고 주기적으로 변경하는 방법도 좋다. 보통 6개월에 한 번씩은 변경 하도록 하자. 물론 6개월보다 더 앞당겨 변경하여도 무방하다. 일정 시간이 지난 후에 로그인 시 웹사이트에서 패스워드 변경 알림을 알려주고 있는 경우가 많은데 <다음에 변경>으로 로그인 하지 말고 바로 패스워드 변경하여 실천하는 것이 자신의 계정을 안전하게 관리하는 방법이다.

7) 영문자판에 한글로 타이핑하여 패스워드를 생성한다

-> 패스워드 관리에 너무 신경을 많이 쓰게 되어 머리 아픈 사용자에게 좋은 방법이다. 패스워드 생성 시에 영문자판에서 한글로 패스워드를 생성하는 것이다. 한글문자 배열이 영문으로 되었을 경우 무작위 배열이 되기 때문에 해킹으로부터 조금 더 안전하다. 필자도 패스워드 관리 문의가 오면 이 방법을 추천한다. 평소 자신이 좋아하는 한글 문구나 좌우명 등 다양한 형태로 구성해도 좋다.

8) 최신 백신의 엔진등을 이용하여 키보드 타이핑으로 인한 유출을 막는다.

-> 해킹 기술의 발달로 패스워드 규칙만 가지고 대응하기에는 한계가 있다. 만약 자신의 PC가 악성코드에 감염이 되어 키로그(키보드 자판시 그대로 정보 유출되는 해킹기법)로 인하여 자신이 타이핑한 것이 그대로 공격자에게 전달이 된다면 아무런 소용이 없다. 따라서, 악성코드에 감염이 되지 않도록 최신 백신을 설치하고 엔진을 업데이트 하여 실시간 감시토록 하는 것이 중요하다.

더 많은 관리 방법들이 있겠지만 간략하게 살펴 보았다. 보통 패스워드 관리 안내를 보면 일상적인 내용이지만 잘 실천하지 않는 것이 현실이다. 그것은 너무 복잡하거나 어렵게 만들면 관리에 효율성이 떨어지고 일일이 사람이 기억해야 하는 것이 불편하기 때문이다. 그럼에도 날로 발전하는 컴퓨터와 해킹 기술에 대응하기 위해서는 더 복잡하고 안전한 패스워드를 요구하게 된다.

온라인에서 본인임을 식별할 수 있는 가장 쉬운 방법으로 아이디와 패스워드가 널리 사용되는 만큼 패스워드 관리에 신중을 기할 필요가 있다. 어쩌면 보안이라는 것이 너무 멀리 있고 어렵게만 있는 것이 아니라 자신이 할 수 있는 가장 가까운 곳에서 직접 실천하는 것이 스스로를 지킬 수 있는 최선의 보안이 아닌가 생각해 보았다. 여러분들도 가장 쉽고 안전하게 관리 할 수 있는 패스워드 관리 방법이 있다면 서로 공유하여 함께 사용해 보는 것도 좋겠다. 보안은 실천이다. 패스워드 관리 소홀에 대한 책임은 고스란히 사용자에게 있다.

지금 당장 자신의 패스워드 관리가 허술하다면 본문을 참고하여 강력한 패스워드로 변경하길 권해본다. 다음 3회에는 개인정보처리단계별 의무 조치사항과 처벌에 대하여 자세히 잘 펴 보도록 하겠다.

*  본 포스팅은 부산시에서 운영하는 블로그 '쿨부산'에 기고된 내용임을 밝힙니다.