엔시스의 정보보호(보안) 따라잡기

#1. 어느날 갑자기 아는 지인으로부터 전화가 왔다. 주로 외부 교육을 하면서 강의를 주로 하는 분이다. 외장형 하드디스크에 파일이 모두 날라 갔다는 것이다. 

"갑자기 전화드려 죄송합니다. 너무 급한 나머지..."

" 네 , 말씀 해 보세요..무슨일이시죠?"

" 아네...제가 외장형 하드디스크를 사용하고 있는데 용량이 약 1테라 정도 됩니다. 그중에 약 500 -600기가 정도 사용하고 있는데 갑자기 파일이 모두 날라 갔습니다...어떻게 하죠? 복구 할 수 있을까요?

" 글쎄요...우선 원인부터 알아야 겠는데요..물리적인 요인인지..아니면 바이러스 감염인지...한번 테스트 해봐야 겠습니다.."

" 아..바쁘신데 우선 이정도 복구하려면 비용이 얼마정도 되는지요?"

" 글쎄요..약 00 정도 됩니다.."

" 그럼 한번 알아보고 다시 한번연락 드릴께요"

며칠이 지난후에 다시 연락이 왔는데 복구업체에 맡기지 않고 다행히 모두 복구 하였다고 한다. 백업도 안해놓은 처지라 굉장히 안타까웠는데 다행이라는 생각이 들었다.

# 2.  학교 수업시간에 교육자료 ppt 열어 볼려고 하는데 파일이 안보여요

어느날 학교 수업이 있어 교수용 PC에 USB를 꽂고 교육을 하려고 하였는데 USB에 아무런 파일도 보이지 않았다. 왜 그렇지 하고 다시 USB를 뺐다 꽂아도 동일한 증상이 나타났다. 학생들은 모두 보고 있는 상황이고 참 난감할 수 밖에 없었다. PC를 보니 이미 악성코드에 감염된 파일이 철지난 백신에 몇개가 버젓이 알림을 보여주고 있었다. 아차 싶은 순간이었다.  우선 수업을 해야 하니 판서를 해 가면서 설명을 할 수 밖에 없었다.

그러나 그보다 더 걱정되는 것은 몇가지 중요 자료가 그곳에 있었기 때문이다. 쉬는 시간에 복구를 시도하였지만 도무지 알수 없었다. 그렇게 고민하다가 간단한 방법으로 복구가 되었다,. 아마도 위 아는 지인상황도 나와 동일한 증상이 아니었나 하는 추측이 든다.

1. 증상

- USB를 꽂으면 USB에 아무런 내용 파일이 보이지 않는다.

- 그런데 USB 용량 체크를 해 보면 해당 용량은 저장이 되어 있다. 단지 파일과 디렉토리만 아무것도 안보일 뿐이다.

2. 복구 방법

다음과 같이 간단하게 복구가 가능하다. 이렇게 하여 복구가 안될 경우도 있었으나 대부분 복구가 가능하였다. 아마도 동일한 바이러스가 돌아 다니는 모양이다. 위 증상과 동일하다면 복구 가능할 것이다.

아주 간단한 명령어 한줄이다. USB가 인식하고 있는 디렉토리로 이동하여 위와 같은 명령어를 입력하고 USB를 재 인식시켜 주거나 아니면 해당 USB로 파일 검색을 해 보면 다시 보여지는 것을 볼 수 있다. 대부분 이렇게 하여 복구가 되면 안도의 한숨을 쉬면서 "다행이다"라고 생각할 것이다. 하지만 언제든지 바이러스 감염은 있을 수 있는 사항이므로  그 다음 후속 조치가 필요하다.

3. 백업

바로 백업이다. 한번 이러한 경험을 하였으면 당연히 다른 곳에 중요한 파일을 빨리 백업을 해 놓아야 한다. 평소에 중요하다고 생각하는 정보 자료는 언제든지 물리적이든지 아니면 바이러스 감염등으로 삭제되거나 파괴 될 가능성이 높기 때문에 중요한 문서나 폴더는 제3의 저장장치에 생각 났을때 바로 백업해 놓는 습관을 들이는 것이 좋다. 나도 이번 기회에 1년전에 백업했던 자료를 다시 업데이트하여 다시 삭제하고 최근 것으로 중요한 폴더와 파일을 모두 백업 하였다. 첫째는 바이러스 감염이나 물리적 손실을 막아야 하지만 두번째 조치는 백업이 중요하다. 백업은 아무리 강조해도 지나치지 않는다. 

개인정보보호법 개정으로 인하여 '14년 8월7일부터는 개인정보보호법 '주민번호 수집 법정주의' 로 인하여 법률에 근거하지 않는 주민등록번호 수집은 개인정보보호법 위반이 됩니다. 이에 주민번호 법정주의에 대하여 자세히 들여다 보도록 하겠습니다.

1. 배경

개인정보보호법 주민번호 원칙적 수집금지 배경으로는 무분별한 주민번호 수집에 따른 개인정보 유출로 인하여 국민의 정신적, 경제적 피해를 안겨 주고 있고, 정보통신망법 (2012,08 개정 ) 주민번호 수집금지에 따른 법 정합성의 문제 가 대두 되었기 때문입니다. 

2. 주민등록번호 수집 법정주의

..

2014년 8월7일부터는 원칙적으로 주민번호 수집이 금지가 됩니다. 다만, 법률에 근거한 주민번호 수집은 예외로 하고 있습니다. 이것이 주민번호 수집법정주의입니다. 조금 더 자세히 한번 살펴 보도록 하지요..

                       ▲     출처: 안전행정부 개인정보보호 교육 자료 (전국 순회교육자료)

법 개정전 

개인정보보호법 개정전에는 '정보주체의 별도의 동의를 통해 주민번호를 포함한 고유식별정보 처리가 가능' 하였습니다. 여기서 말하는 법적인 고유식별정보는 '주민등록번호, 여권번호, 운전자면허번호, 외국인등록번호'를 말합니다..※ 관련근거: 법 제24조 제1항 1호, 법 제24조 1항 2호

법 개정후 (2013.08.07 공포, 시행은 공포후 1년후인 2014년8월7일 시행)

법 제24조 2를 신설합니다. 이는 주민번호에 한하여 정보주체의 동으를 얻어서 동의를 통한 수집도 금지하게 된다는 것입니다...즉, 주민등록번호 원칙적 수집 금지입니다. 단, 예외로 다음과 같은 경우에는 허용이 됩니다.

3. 법적 근거가 없는 경우에는 2년안에 파기 해야 ( 2016년 08까지)

       ▲    출처: 안전행정부 개인정보보호 교육 (전국 순회교육자료 )

그럼 지금까지 수집한 주민번호는 어떻게 해야 하고 앞으로 주민번호를 수집 할려면 어떻게 해야 하는지에 많은 궁금증을 가질 것입니다..

1)  주민번호 처리 법령이 근거가  있는가 ? 

     -> 법적인 근거에 의하여 수집 하기 때문에 현행대로 유지 하면 됩니다..

2) 주민번호 처리 법령 근거가 없는 경우?

  -> 주민번호 처리가 불가피한 경우 : 법적인 근거를 마련 하여야 합니다. 이는 개인이 근거를 마련 할 수 없으므로 관련 담당 업무를 하는 개인정보 담당자나 관련 부처에 근거를 제시하여 법적인 근거를 마련해야 겠지요. 이는 법 개정으로 이어지므로 정말 주민번호 처리가 불가피 한지에 대한 명확한 근거 제시가 필요 할 것입니다..만약 이것이 어려우면 대체 수단을 적용 해야 할 것입니다.  최근 언론에 발표된 것을 보니 '마이핀' 이라는 개인식별체계를 적용 할 것이라는 보도가 있습니다. 

-> 2년이내에 수집된 주민등록번호 대한 삭제 조치 ( 2016.08.07일까지)

※ 가끔 언론 보도나 질문시에 주민번호 수집 법정주의가 시행이 되면 기존에 수집한 주민번호를 2년내에 모두 파기조치 해야 하는것으로 오인 하는 경우나 질문이 있습니다. 이는 무조건 주민등록번호를 파기 조치 하는 것이 아닌 '법적인 근거가 없는 경우' 에만 해당이 된다는 사실을 반드시 기억 하시길 바랍니다. 

정보통신망법 개정 (2012.08)로 인하여 개인정보보호법 정합성의 문제가 대두되고 또한 무분별한 주민등록번호를 함부로 수집하여 제대로 관리가 되지 않아 유출 되었을 경우 또 다른 많은 피해를 입게 됩니다. 이에 법적으로 아예 이제는 주민등록 번호를 수집 할 수 없도록 하였기 때문에 실제 현장에서나 실무에서는 관련 근거 법령을 찾는 노력이 필요합니다..

이러한 조치들이 과연 현장에서 혹은 중소기업등에서 얼마나 이루어질지는 미지수이나 아마도 개인정보 유출에 따른 후속조치로 더욱 법적은 준수에 대한 요구 사항은 강화 될 것으로 사료가 됩니다. 공공기관은 물론이고 민간기업에서도 이제는 법에 근거하지 않은 함부로 주민등록 번호 수집은 법에 위반이 됨으로 숙지 하도록 해야 겠습니다. 개인블로그에 주민번호 수집 법정주의에 대하여 간략하게 정리 해 보았습니다.

( 글쓴이 : 안전행정부 '11,'12,'13,'14 개인정보보호 전문강사, 경성대학교 컴퓨터 공학과 외래교수 전주현)