엔시스의 정보보호(보안) 따라잡기

2014년 8월7일 개인정보보호법 개정에 따라 '주민번호수집 법정주의'가 시행이 되었다. 주민번호 수집을 법에 근거하지 않고는 수집할 수 없다는 것이 주요골자다. 한번 유출된 주민등록번호는 변경할 수 없는 단점이 있어 이를 보완하기 위한 수단으로 온라인에서 사용하는 ‘아이핀(I-PIN)’과 오프라인까지 사용을 확대한 ’마이핀(My-PIN)'에 대하여 알아보고 발급 절차와 활용에 대하여 소개 하고자 한다.

카드3사 개인정보유출로 올해 보안 최대 화두 ‘개인정보보호’

1월 카드 3사 개인정보 유출로 인하여 보안의 최대 화두는 ‘개인정보보호’에 관심이 집중되고 있다. 그럼 이번 카드 금융정보 유출은 왜 유독 관심을 받을까? 그동안 개인정보유출은 없었던 것일까? 이유는 카드관련 금융정보 유출로 개인이 직접적인 피해를 입을 수 있기 때문이다. 일반적인 개인정보 유출로 2차, 3차 피해가 생긴다고 하지만 개인들은 무관심 했다. 하지만 카드관련 개인정보는 쇼핑몰등에서 유출된 정보로 결재까지 이루어질 가능성이 제기되어 더 관심을 가진 것이다.

한국신용카드학회(대한상공회의소에서 개최한 춘계세미나)에서 김상봉 한성대학교 교수는 "카드 3사의 카드 재발급 비용 286억원, 사고수습 비용 173억원, 탈회 만회 비용 1649억원, 집단소송 패소 시 발생할 비용 1712억원, 영업정지에 따른 손실 비용 1072억원 등 추정 손실액이 총 4892억2000만원 달한다"고 말했다. (출처: 스페셜경제)

개인정보 유출시 수습하기 위한 사후 비용이 많이 든다. 위 카드 3사의 경우 약5000억 정도 비용이 들어갈 것으로 예측하였다. 이제는 개인정보 유출시 수습도 중요하지만 사전예방이 더 중요하다는 새로운 패러다임 인식의 전환이 필요한 때이다.

주민번호수집 법정주의와 ‘My-pin' 은 무엇인가?

개인정보보호법은 2011년9월30일 제정이 되었다. 제정전 공공기관은 ‘공공기관에 관한 개인정보보호법률’과 민간은 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 정보통신망법)’에 적용이 되었다. 개인정보보호법 제정으로 ‘공공기관에 관한 개인정보보호법률’은 폐지가 되고, ‘정보통신망법’의 준용사업자가 망법이 아닌 개인정보보호법에 적용을 받음으로써 공공과 민간을 모두 포함하는 개인정보보호법이 제정이 된 것이다. 정부에서는 기존 50만 사업자에서 350만 사업자까지 확대 적용된다고 발표하였다.

온라인에서 영리성을 추구하는 포털이나 온라인 쇼핑몰등은 정보통신망법에 우선 적용을 받는다. 법 제정이후 2013.08월에 개인정보보호법 개정이 이루어졌다. 주요내용은 다음과 같다. △ 정보주체의 동의가 아닌 법에 의한 주민번호 수집 이용 △ 주민번호 유출시 5억원이하의 과징금 △ 책임 있는자에 CEO, 임원 포함 명확화 등이다. 법개정이 공포되고 1년후 시행이 된다. 2014년8월7일 법적 효력이 발생된다. 개정된 이유는 개인정보보호법 제정이후에 올해 카드3사 개인금융정보 유출과 같은 반복적인 이슈가 생겼기 때문이다. 정부는 부담이 될 수밖에 없다. 여론이 거세지자 법을 개정하여 조금 더 강화하게 된 것이다. 안전행정부에서는 법 개정된 사항이 시행되더라도 2015년2월까지 6개월 동안 계도기간을 준다고 한다.

그럼 법에 근거하지 않고 주민번호를 써야 하는 경우에는 어떻게 해야 하는가? 즉 주민번호를 대체할 수 있는 수단은 어떤 것이 있는가? 대표적인 것이 ‘아이핀(I-PIN'과 ’마이핀(My-PIN)'이 있다. 쉽게 설명하면 아이핀은 온라인에서 마이핀은 오프라인에서 주민번호 대신에 사용할 수 있는 식별번호로 생각하면 된다.

1. 마이핀(My-PIN) 소개

마이핀(My-PIN)은 인터넷이 아닌 오프라인(일상생활)에서 사용할 수 있는 본인확인수단으로서 개인식별 정보가 전혀 포함되어 있지 않은 13자리 무작위 번호를 의미한다.

인터넷이 아닌 일상생활에서 회원가입 신청서 등에 주민번호 대신 마이핀(My-PIN)을 입력, 사업자는 본인확인기관을 통해 My-PIN 정보로 신원을 확인 가능하다. 주요특징은 다음과 같다. ① 13자리의 임의의 숫자 ② 개인정보 미포함 ③ 필요시 변경(연 5회) ④ 유효기간 3년이다.

마이핀 구성 체계(13자리)

▲ 마이핀 구성체계(출처: 안전행정부, privacy.go.kr)

주민등록번호가 아닌 13자리 임의의 숫자를 이용하여 대신 사용가능하다. 이는 필요시 변경가능하고 유효기간은 3년이다.

2. 주민등록번호, 아이핀, 마이핀 어떻게 다른가?

마이핀(My-PIN) 특징을 조금 더 세부적으로 살펴보면 다음과 같다. ① 마이핀에는 나이, 성별등이 포함되어 있지 않는 식별 번호로 되어 있다. ② 변경이 가능하여 유,노출 및 도용시 피해를 최소화 할 수 있다. ③ 마이핀 하나로 포인트 적립 및 서비스 연계의 편리성을 제공해 준다. ④ 마이핀 사용내역을 이메일이나 휴대폰 알림으로 알 수 있어 안전성을 제고 한다. ⑤ 받고 싶은 사람만 발급받는 번호다. 아래 도표는 기존에 사용하는 주민번호와 아이핀 그리고 마이핀의 특징을 잘 구분하여 보여 주고 있다.

 ▲ 주민번호,아이핀,마이핀 비교 (출처: 안전행정부, privacy.go.kr)

3. 마이핀(My-PIN) 발급 절차

현재 온라인에서 마이핀을 발급 받을 수 있는 기관은 다음과 같다. 공공아이핀, 나이스신용평가정보, 서울신용평가정보, KCB가 발급 기관이다.

▲ 마이핀 발급기관 (출처: 안전행정부, privacy.go.kr)

홈페이지에 쉽게 접근하는 방법은 검색사이트나 포털사이트에서 기관명 검색하는 것보다

도메인을 직접 브라우저에 작성하여 접속하는 것이 빠르다. 이유는 공공아이핀을 제외한 나머지 기관들은 메인홈페이지와 아이핀/마이핀 홈페이지를 따로 운영하기 때문이다. 홈페이지 도메인은 위 표 제일 하단을 참고 하면 된다. 발급방법은 온라인 홈페이지를 접속하여 발급하는 방법과 오프라인 읍,면사무소 및 주민센터를 직접 방문하여 이용하는 방법이 있다.

① 온라인 홈페이지를 이용한 발급방법

온라인에서 마이핀을 발급 받기 위해서는 우선 아이핀 발급 절차를 따라야 한다. 가입절차에 따라 정보입력시 ‘마이핀 발급’ 에 체크를 해 주면 된다.

▲ 아이핀 발급시 ‘마이핀체크’

발급절차를 완료한 후 발급받는 마이핀 번호는 반드시 기억하고 있어야 한다. 또 발급 다른 방법으로는 아이핀이 도입된 웹사이트 (본인 확인창)에서 ‘신규 발급’ 버튼을 클릭하면 홈페이지에서 제공하는 아이핀 기관 홈페이지로 연결이 된다. 같은 방법으로 발급 받으면 된다.

▲ ‘신규발급’ 버튼 클릭

② 읍,면사무소나 주민센터 직접 방문하여 발급하는 방법

나이가 있는 어르신이나 온라인 가입이 어려운 이용자들은 가까운 읍,면사무소나 주민센터를 직접방문하여 발급 받을 수 있다.

 ▲ 읍,면사무소 또는 주민자치센터 마이핀 발급절차 (출처: 안전행정부, privacy.go.kr)

가까운 읍,면사무소나 주민자치센터를 방문하여 마이핀 방문 발급신청서를 작성한다. 신청서와 신분증을 담당 공무원에게 제시를 한다. 신분증으로는 주민등록증,여권,운전면허증등 이며, 청소년은 청소년증, 학생증을 사용가능하다.

마이핀을 개설하기 전에 아이핀 아이디 생성은 필수다. 온라인과 다르게 오프라인 신청시 아이핀 비밀번호를 정할 수 없다. 이에 초기 비밀번호는 주민번호 뒤의 7자리가 우선 부여된다.

아이핀은 온라인상에서 주민번호를 대체하는 것이므로 이를 활성화시키기 위해 신청서에서 미리 선택해놓은 발급기관 사이트에 방문, 비밀번호를 재등록해야 한다. 담당 공무원은 마이핀 카드를 발급해 준다.

마이핀은 스마트폰용 앱을 통하여 발급 및 관리도 가능하다. 하지만 일부 발급기관에서는 특정 운영체제(안드로이드용)앱만 있고 아이폰용은 아직 준비중으로 사용자 불편이 예상된다. 빠른 서비스가 되어야 할 것이다.

▲ 스마트폰 앱을 이용한 마이핀 관리 (출처: 안전행정부, privacy.go.kr)

4. 마이핀 활용 방법

주민번호 대체수단으로서 마이핀(My-PIN) 활용 예시는 아래 그림과 같이 활용이 가능하다.

▲ 마이핀 활용예시 (출처: 안전행정부, privacy.go.kr)

아울렛이나 마트등에서 회원으로 가입할 때 주민번호를 사용하지 않고 발급 받은 마이핀을 이용하면 된다. 또한 ARS로 본인확인시에 마이핀 번호 13자리를 불러주면 된다. 학원이나 교육이수등 증명시 특정 개인을 구분할 때도 활용하면 된다. 물론 이러한 마이핀 활용을 확대하기 위해서는 서비스 업체 및 기관에서 마이핀과 연계하는 시스템과 업무 프로세스가 빨리 정착이 되어 있어야 할 것이다.

대한민국 국민이면 누구나 주민등록번호를 가지고 있다. 한번 유,노출이 되면 변경할 수 없어 그동안 많은 논란이 되어 왔다. 그렇다고 당장 주민번호를 없앨수도 없는 노릇이다. 그 대안으로 아이핀과 마이핀을 정부에서 주민번호 대체수단으로 시행을 하게 되었다. 마이핀은 이제 막 시작한 초기 단계라 갈길이 멀다고 본다. 예를들면 마이핀으로 사이트에 가입이 되었는데 유출이 되어 다시 변경하고 재발급 받았다고 가정하자. 가입한 사이트가 여러개라면 기존 마이핀번호를 사용자가 일일이 변경한다는 것은 어렵다. 이러한 문제도 살펴봐야 할 것이다.

마이핀이 지금이라도 주민번호 대체수단으로 시행하면서 수정 보완 작업이 필요하고, 가급적 주민번호를 통한 식별의 의존도를 줄이는 것이 정부의 목적일 것이다. 앞으로 많은 홍보와 교육을 통하여 활성화 시키는 것이 급선무이고, 개선점에 대해서는 꾸준히 수정 보완하여 주민번호 대체수단으로서 굳게 자리매김 하길 기대해 본다.

 * 본 포스팅은 부산시 공식 블로그인 "쿨부산"에도  시리즈로 매월 2회씩 발행되는 포스팅임을 알려 드립니다. 

기존 개인정보의 안전성 확보조치 기준

[시행 2011.9.30] [행정안전부고시 제2011-43호, 2011.9.30, 제정]

                                           개인정보의 안전성 확보조치 기준.pdf

개정되는 개인정보의 안전성확보조치 기준 고시(안)에 대한 내용을 안행부 홈페이지에 공개된 문서를 기준으로 살펴보고 그 의미를 짚어 보기로 하자. 

개정(안)  개인정보의 안전성확보조치 기준 고시안 

                                 개인정보의_안전성_확보조치_기준_고시_개정(안).hwp

1. 주요내용 : 안전행정부 홈페이지에 공개한 내용을 참조 해 보자.

2. 기존 고시안에서 달라진 사항 ^[각주:1]

2.1  제2조 용어의 정의 부분 

개정(안):  P2P, 공유설정등의 용어가 삭제되고, 최신 트렌드를 반영한 "모바일 기기"의 용어가 추가 되었다. 

엔시스생각: 모바일이 대중화 되고, 모바일 디바이스기기로 인한 보안의 위협과 개인정보 유,노출의 위협을 반영하기 위한 조치라 생각이 든다.

▲ 시대적 트렌드를 반영한 '모바일기기' 고시안에 반영조치

2.2  제3조 (내부관리계획의 수립.시행)

현장을 둘러보면 내부관리계획 수립이 제대로 수립되지 않는 곳이 많다. 그리고 인터넷에 공개되어 있는 샘플을 그대로 사용하고 개인정보처리자명에만 해당 기관이나 기업체명으로 수정하여 사용하고 있는 경우가 대부분이었다. 그것은 말 그대로 샘플일 뿐이며 중요한 것은 내부관리계획 수립을 조직이나 기관에 맞게 제대로 구체적으로 적용을 해야 한다. 그 사항은 고시기준에 명시 되어 있다. 

이번 개정(안)에는 ' 5. 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항'이 추가되었다. 

엔시스생각:  법률에서 위탁자가 업무를 위탁했을때 수탁자는 위탁자의 소속직원으로 본다 (법 제26조3항6호)는 규정이 있다. 하지만 개인정보의 안전성을 도모하기 위해서는 구체적인 고시기준에 '수탁자에 대한 관리감독을 강화' 하려는 의도가 엿보인다. 즉, 수탁자에 대한 관리감독을 내부관리계획에 수립을 하여 보다 적극적이고 구체적으로 명시한 부분으로 생각된다.

▲  내부관리계획을 구체성과 수탁자 관리 감독에 대한 강화. 

2.4  제4조 (접근권한관리)

개정(안): 기존 고시 제5조에 '비밀번호관리' 부분을 삭제처리하고 개정(안)에는 제4조의 세부 항목으로 배치 시켰네요..

엔시스생각: 비밀번호에 대한 관리를 조항보다는 접근권한관리의 세부 항목으로 배치 하였군요. 비밀번호의 중요성이 낮아졌다라기 보다는 고시의 각 조항별 깊이(depth)을 조절 하기 위한 조치로 보여진다.

▲ 비밀번호에 대한 고시 조문 정리, 항목으로 배치

2.5 제5조 (접근통제)

용어의 정의에서 '모바일'이 포함된 만큼 다양한 모바일 위협에 대한 대응솔루션과 조치 사항이 다루어질 것으로 예상이 된다.

개정(안):  4항에 '모바일기기'가 추가로 포함이 되었으며, 5항,6항,7항이 추가 되었다. 

 엔시스생각: 7항으로 모바일 MDM 마켓의 수요가 커질 것으로 예상이 된다. 또한 모의해킹 및 취약성 점검이 연 1회 이상 의무화 되었다. 기존에 '정보통신기반시설'에 대한 취약성 점검은 반드시 해야 하지만 이제는 개인정보 안전성 확보조치를 위해서도 취약성 점검을 해야 한다.  모의해킹에 관심 있는 사람들은 많은 실력을 키워 놓으면 좋겠다.  보안도 어쩔수 없이 시대적 흐름으로 가야 하고, 제도도 시대적 흐름을 반영하는 것이 맞다라고 본다.

▲ MDM 마켓 확대, 모의해킹 및 취약성 점검 수요증가

2.6  제6조 (개인정보의 암호화)

개정(안): 8항에 '모바일기기'가 추가 된 사항외에는 변동 사항이 없다. 

엔시스생각: 암호화에 대한 부분은 개인정보보호에서 가장 뜨거운 이슈중에 하나이다. 그러나 이번 고시안에서는 8항에 모바일 기기에 대한 용어만 추가 되었을뿐 수정된 사항이 없다. 최근 '주민번호 암호 의무화' 에 대한 법률이 개정되기도 하였다.  하지만 시행일이 2016.1.1로 명시하고 있어 고시안을 그대로 둔 것으로 사료 된다.  

법 개정에 대한 취지 : 기존 고시안에 보면 내부정보나 위험도 분석을 통하여 주민번호 암호화 조치에 대한 사항이 의무적이 아니었다. 즉, 내부정보나 위험도 분석 26개를 충족하면 암호화 조치를 하지 않아도 되었다는 것이다. 그러다 보니 이를 암호화를 하지 않아도 되는 합리성 추구의 도구로 이용되었다. 그럼에도 불구하고 유출되면 암호화 조치도 되지 않아 더 큰 피해를 가져 오기 때문에 고시 수준의 암호화 조치사항을 상위법인 법률에 의무화로 법률 개정이 된 것이다.

엔시스생각:  (2016.1.1)까지 유예기간으로 준 것으로 생각된다. 하지만 암호화 하지 않아도 된다는 것으로 오해해서는 안된다. 주민번호 암호화 구축은 많은 기간과 예산이 투입이 되는 것이라 미리미리 대비하기 위한 기간으로 2016.1.1로 두었지 지금 당장 암호화 조치를 하지 않아도 규정에 없으니 책임을 면한다는 의미는 아

니라는 것이다.  마켓에서는 암호화 시장이 더욱 확대될 전망이다. 

▲ 고시수준이 아닌 법에 의한 주민번호 암호화 의무화 조치

2.7 제7조 (접속기록의 보관 및 점검)

개정(안) :개인정보처리자는 개인정보의 유출.변조.훼손 등에 대응하기 위하여 개인정보처리 시스템의 접속기록등을 반기별로 1회 이상 점검하여야 한다.

엔시스 생각: 2항이 추가된 것도 접속 기록을 그냥 6개월 이상 보관만 하고 있는 것이 아닌 반기별로 로그기록을 정기적으로 점검하게끔 구체화 하였다고 본다. 개인정보 담당자나 로그시스템 관리자는 조금더 일이 많아 진다고 본다.

▲ 로그기록을 보관만 하지 말고, 정기적으로 점검 하라.

2.8 제8조 (악성프로그램 등 방지)

개정(안): 개인정보처리자는 키보드,화면,메모리 탈취등 신종,변종을 포함한 악성프로그램 방지를 위한 조치를 해야 한다고 명시하고 있다. 

엔시스생각: 최근 해킹기술의 고도화 됨에 따라 피싱,파밍,메모리해킹등에 따른 조치를 하도록 최근 해킹 기술을 반영토록한 조치이다. 또한 악성코드를 제거하기 위한 최신 백신을 설치만 하는 것이 아닌 엔진을 업데이트 하여 최신의 상태로 유지하도록 구체적으로 제시하고 있다. 틈새시장이 생길 수도 있겠다는 생각이 든다. 

▲  기존 백신과 운영체제 업데이트만 가지고 악성프로그램을 방지 할 수 없다. 키로거,화면캡쳐, 메모리해킹 등 신종 보안위협으로부터 보호조치 하라.

2.9 제9조 (물리적 접근 방지)

개정(안): 기존 보조저장매체에 대한 저장만 물리적으로 강조한 반면에 개정안에서는 반출입에 대한 통제 대책을 마련해야 한다.

엔시스생각: 보조저장 매체에 대한 반출입 통제가 잘 이루어져야 한다. 여러가지 모바일 기기의 저장기능이라든지, 휴대용저장 매체등 반출입시에 물리적 통제가 철저히 이루어져야 한다.

▲  보조저장장치의 저장 기능 대량화, 반출입 통제 시스템 강화

2.10  제10조 (개인정보의 파기)

개정(안): 기존에 없던 개인정보의 파기 부분이 고시에 추가 됨으로써 파기에 대한 법적근거 기준을 가지게 되었다. 단순히 파기하라고 했던 권고사항과는 달리 이제는 파기에 대한 중요성이 더 부각되었다고 보면 되겠다.

엔시스생각: 보통 수집동의에 대한 부분은 그래도 최근 들어 신경을 많이 쓰는 편이지만 파기에 대한 것은 의외로 함부로 버릴수 있는 사항이 아니다보니 제대로 규정대로 실천 되지 않는 측면이 많다. 이미 파기 했어야 하는 문서나 저장장치를 그대로 보관하거나 그 보유기간을 무조건 길게 잡는 것도 바람직 하지 못하다. 법에서는 목적달성하면 즉시 파기하라고 되어 있지만 과연 즉시 파기하는 곳은 몇곳이나 될지 의문이다. 파기에 대한 구체적인 기준이 조직내에 마련이 되어야 한다.

3. 결론 : (개인정보의 안전성 확보조치 기준 고시(안)을 보면서

카드사 개인정보 유출로 인하여 개인정보의 중요성을 더욱 부각이 되었고, 그 이후에도 반복적으로 개인정보유출 사건사고가 일어나고 있다. 모두 완벽하게 유,노출에 안전하게 하면 좋겠지만 최소한 법의 테두리 안에서 법이 추구하고자 하는 부분을 지켜야 할 것이다. 내용을 살펴보면 다음 두가지 관점에서 결론을 개인적으로 내려 보고자 한다.

개인정보처리자입장: 해야 할 일이 점검 늘어난다. 주어진 업무외에 개인정보처리 업무를 하는 경우가 대부분이고 , 관리부서와 기술부서가 각각 나누어 업무를 처리하는 곳도 많다보니 역할과 책임등 업무가 일관성 있게 추진되지 못하는 경향이 있다. 또한 담당자 개인에게 모든 짐을 지우기에는 너무 크다. 처우개선이나 인력의 추가지원, 개인정보 컴플라이언스 준수를 위한 예산확보가 시급해 보인다. 또한 의사결정자의 인식개선도 필요해 보인다.  이러한 근본적 해결이 없고서는 규정만 강화 한다고 해서 반복적인 개인정보 유출이 감소되리라 생각하지 않는다. 하지만 반대로 최소한의 지켜야 할 법준수는 해야 할 것이다. 

정보주체의 입장: 개인정보보호법에서 개인정보자기결정권 및 정보주체로서 권리를 보장한 만큼 앞으로 개인정보에 대한 이해관계와 민원은 점점 증가하리라 생각이 든다. 또한 기존 관행으로 이루어진 개인정보 제공이나 공개등에도 제한이 있을수 밖에 없어 불편함이 예상이 된다. 따라서 자연스럽게 정보주체의 개인정보보호를 한다는 취지에서 일부 불편함을 감수 할 수 있어야 자신의 권리도 보장 받고 지킬 수 있을 것이다. 다만 우려되는 것은 법을 악용하여 '진상'소리를 들으면 안된다.  이상 끝.

*정리하는데만 약 2시간 넘게 시간이 걸렸네요. 이렇게 한번 정리해 봄으로써 기억하기 쉽고, 여러가지 이슈에 대하여 다시 한번 대응할 수 있는 방법론을 도출해 낼 수 있습니다. 개인정보에 관심 있는 분들에게 도움이 되었으면 좋겠네요.