개인정보 수집 및 이용에 동의합니다.

새로운 사이트 혹은 서비스에 가입할 때 우리는 ‘개인정보 수집 및 이용에 동의합니다’라는 문구에 동의 표시를 해야 가입할 수 있습니다. 이처럼 기업이나 정부에서는 다양한 서비스 제공을 목적으로 개인정보를 수집 및 활용하고 있습니다.

그러나 뉴스에서 빈번하게 등장하는 개인정보 유·노출 사고는 수없이 많은 개인정보를 제공한 우리를 불안하게 만듭니다.

한국인터넷진흥원(KISA)에 따르면 2022년 기업의 개인정보 위반 사례 중 안전조치 의무 위반 행위가 2022년 기업의 개인정보 위반 사례 중 가장 높은 비율을 차지하였습니다. 특히 안전조치 의무 위반 유형 중에서도 개인정보 문서를 저장, 전송 시 암호화하지 않는 것과 접속기록을 보관, 점검하지 않는 행위가 많은 비중을 차지하였습니다.

개인정보의 안전성 확보조치 기준 개정

수많은 개인정보를 처리하는 기업에서는 안전한 조치방안과 보안시스템을 구축해야 하는데요, 개인정보 보호위원회에서는 기업이 개인정보를 안전하게 처리할 수 있도록 ‘개인정보 안전성 확보 조치 기준’을 제시하였습니다. 개인정보 안전성 확보 조치 기준은 개인정보 암호화와 접속기록을 안전하게 보관할 수 있는 방안을 마련하고, 유출 사고 대응 계획 수립 등을 담은 기준입니다. 또한 조치 기준을 지키지 않아 개인정보 유출, 노출, 위변조 등을 행한 기업에게는 법적 제재를 가하고 있습니다.

지난 9월 22일 개정된 개인정보의 안전성 확보조치 기준이 시행되었습니다. 이번 개정을 통해 개인정보처리자와 정보통신서비스 제공자로 이원화 되어있는 안전조치고시를 통합하여 공공시스템 운영기관의 안전조치를 강화하였습니다. 개정된 개인정보의 안전성 확보조치 기준에서는 어떤 점이 달라졌을까요?

개인정보의 안전성 확보조치 기준 제5조 4항에서는 개인정보처리자에게 개인정보처리시스템에 대한 접근 계정을 발급할 때 각 개인정보취급자별로 계정을 발급하여야 하고, 발급된 계정은 타인과 공유하여서는 안된다고 명시하고 있습니다. 개정안에서는 다음 4항에 “정당한 사유가 없는 한”이라는 단서가 추가되었습니다. 이에 따라 정당한 사유가 있는 경우에는 개인정보 취급자 간 계정공유가 가능하게 되었습니다.

5항에서는 비밀번호 작성규칙 수립 및 적용 의무에 대해 규정하고 있으나, 이를 폐지하고 정보주체의 ‘인증수단’을 안전하게 적용 및 관리할 의무가 추가되었습니다.

또한 제6항에서 일정 횟수 이상 비밀번호를 잘못 입력하였을 때 접근을 제한하도록 했으나 ‘일정횟수’ 이상 ‘인증에 실패한 경우’로 개정되었습니다.

이에 따라 개인정보처리자는 정당한 권한을 가진 개인정보취급자임을 인증하기 위해 비밀번호가 아닌 생체 인증, SMS 인증 등 상황에 적절한 인증수단을 도입하여야 합니다.

개인정보에 대한 접근통제와 관련해서는 ‘개인정보의 기술적·관리적 보호조치 기준’을 통해 정보통신서비스 제공자에게만 적용되던 망분리 조항이 ‘개인정보의 안전성 확보조치 기준’의 제6조 제6항으로 추가되어, 망분리 의무 대상자가 전체 개인정보처리자로 확대되었습니다.

이에, 전년도 말 기준 직전 3개월간 개인정보가 저장, 관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보에 대한 다운로드, 파기, 접근권한 설정이 가능한 개인정보취급자의 PC등에 대해 인터넷 망 차단 조치가 필요하게 되었습니다. 다만 이는 ‘이용자 수’를 기준으로 하고 있으며, 여기서 ‘이용자’란 ‘정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자’를 뜻하므로, 제6조 제6항은 모든 개인정보처리자가 아닌 정보통신서비스 이용자의 개인정보를 처리하는 개인정보처리자에게 한정하여 적용됩니다.

7조 개인정보의 암호화

개인정보의 암호화 조항에도 ‘개인정보의 기술적·관리적 보호조치 기준’에 있던 내용이 옮겨오며 추가된 내용이 있습니다.

제7조 제2항의 개인정보처리자가 암호화하여 저장해야 하는 개인정보 유형에 신용카드번호와 계좌번호가 추가되었습니다. 따라서, 개인정보처리자는 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 생체인식정보 뿐만 아니라 신용카드번호와 계좌번호까지 안전한 알고리즘을 통해 암호화하여 저장해야 합니다.

두번째로는 정보통신망을 통하여 인터넷망으로 개인정보를 송·수신할 때 개인정보를 암호화하도록 하는 조항이 제4항으로 신설되었습니다.

신설된 제7조 제1항 및 4항에 따르면 “정보통신망을 통해 인터넷망 구간으로 개인정보를 송·수신할 때”와 “정보통신망을 통해 인증정보를 저장 또는 송·수신할 때” 암호화가 필요하다고 명시하고 있습니다.

즉, 개인정보처리자는 개인정보를 인터넷망 구간 전송 시 암호화를 해야 하고, 인증정보에 대해서는 구간 불문하고 정보통신망을 이용해 전송하는 경우 암호화를 해야하게 된 것인데요. 기존 개인정보의 기술적·관리적 보호조치 기준에 비해 개인정보 및 인증정보 송·수신 시 암호화 기준을 한층 더 명확하게 한 것으로 볼 수 있습니다.

개인정보보호법에 따른 암호화 대상 개인정보

'개인정보의 기술적·관리적 보호조치 기준'에는 없던 내용이었지만, '개인정보의 안전성 확보조치 기준'의 수범자 확대로 인하여 정보통신서비스 제공자가 새롭게 부담하게 된 의무도 있습니다. 제7조 제6항의, 암호 키를 안전하게 보관하기 위해 암호 키 생성, 이용, 파기 등에 대한 절차를 수립 및 적용해야 한다는 의무입니다.

다만, 이번에 개정된 '개인정보의 안전성 확보조치 기준'에서는 본 조항의 대상이 되는 개인정보처리자 기준*을 정의하여, 모든 개인정보처리자가 아닌 고시에서 정한 일정 기준에 해당하는 개인정보처리자에게만 준수 의무가 부여되도록 하였습니다.

*10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업·중견기업·공공기관 또는 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업·단체에 해당하는 개인정보처리자

신시웨이의 DB보안 솔루션

신시웨이의 데이터 베이스 접근제어 솔루션 Petra와 암호화 솔루션 Petra Cipher를 통해 개인정보 안전성 확보조치 기준에 효과적으로 대응할 수 있습니다.

Petra는 데이터가 유출되거나 훼손되는 것을 방지하기 위해 개인정보 취급자 등 권한이 있는 사람에게만 데이터에 접근할 수 있도록 통제 및 관리하는 솔루션입니다. 다양한 환경에서의 최적화된 구성을 위해 Gateway, Sniffing, Agent, Hybrid 방식을 지원하고 있으며 자체 개발한 DBMS를 사용한 빠른 규칙처리가 가능합니다. ID, IP및 접속 Tool기반 접근통제, 역할기반 접근통제, SQL단위 통제 등 세분화된 사용자별 접근통제 기능 외에도 편리한 UI, 실시간 모니터링, 보고서 생성, 감사, SQL Masking 등 데이터를 지키기 위한 다양한 기능을 제공합니다.

신시웨이의 데이터베이스 암호화 솔루션 Petra Cipher는 암호화를 통해 중요 데이터의 손실을 방지하고, 기업의 재산과 브랜드 가치를 보호합니다. 암호화로 발생할 수 있는 문제들을 사전에 분석하여 시스템의 가용성을 보장하고, 키서버 3중화·중복 암호화 방지 등 고도화된 기술을 통해 높은 기밀성과 무결성 및 안정적인 서비스를 지원합니다.