[FPIS 2013 기조발제]컴플라이언스와 개인정보보호 2.0…소만사 김대환 대표
개인정보 유출 사고의 대부분은 악성코드 배포로부터 시작된다. 악성코드는 일반적으로 수익창출을 위한 경제적 목적과 기간 시스템을 마비시키는 비대칭전력으로 표현되는 정치적, 군사적 목적에 의해서다.
개인정보 침해사고의 신규 동향을 분석해 보면 웹서버·애플리케이션의 경우 개인정보 취득이 주요 목적이다.
APT 공격의 경우 DB접속 권한자의 PC를 악성코드 배포를 통해 해킹하게 되는데 권한자가 부재 중일 때 DB에 접속해서 개인정보 파일을 취득하게 된다. 또한 개발용 웹서버의 개인정보 취득도 문제가 되는데, 이 경우 DB(데이터베이스)서버 접근 권한이 없이도 웹서버 해킹만으로 수백만 건의 개인정보 유출이 가능하다.
이러한 개인정보 유출 사고의 경우 상당수 개인정보에 대한 법적 분쟁에 빠질 우려가 높다. 개인정보 유출사고 발생 후 소송 시 천문학적 비용을 배상해야 하는 경우도 있는데, 법규 준수와 의무를 다했는지 판단하는 게 매우 중요하다.
즉, 피고가 관리자로서 기술적 관리적 보호조치 의무를 다했는가의 여부에 따라 법원은 법적 분쟁에 대한 결정을 내리게 된다는 점을 명심해야 한다.
그렇다면 개인정보 보호에 대한 법규 준수(컴플라이언스)를 어떻게 해야 할까. 개인
정보보호법에 따르면 개인정보의 안전성 확보조치 기준이라는 게 있다. 내부관리 계획을 수립, 시행하며, 개인정보처리시스템의 접근권한 관리 및 비밀번호 관리, 접근통제시스템 설치 및 운영, 개인정보 암호화, 접속기록의 보관 및 위변조 방지, 보안프로그램 설치 및 운영, 물리적 접근방지 등의 계획을 진행해야 한다.
또한 개인정보의 기술적, 관리적 보호조치기준을 고시하고 있는데, 이에 따르면 개인정보 접근자의 최소화, 접근 통제, 이상 징후 탐지, 망 분리 등 접근을 최대한 통제해야 하며, 접속로그 관리와 로그 위변조 방지, 암호화 보관, 바이러스 및 악성코드 배포 차단, 출력 및 복사시 보호 조치 등의 기준을 지켜야 한다.
독자들의 PICK!
마지막으로, 개인정보 거버넌스에 대한 정책 수립도 매우 중요하다. 개인정보의 전사적 통제체제를 획득함과 동시에 개인정보 보유 현황을 파악하고 보호 조치하는 게 필요하다.
또한 개인정보의 취득·조회를 통제하고 개인정보의 전송·유출을 통제하는 전략이 필요하다.