개인정보(private information) 유출로 인한 각종 피해사고가 빈번하게 발생되면서 심각한 사회문제로 대두되고 있다. 개인정보의 흐름은 경로가 매우 복잡하기 때문에 모든 단계를 체계적으로 관리할 수 있는 통합 솔루션이 필요하다. 이에 따라 이를 체계적으로 관리할 수 있는 개인정보보호법이 2011년 9월 30일부터 시행되고 있다.1)
개인정보보호법은 350여만 개의 모든 공공기관 및 사업자를 대상으로 개인정보보호를 의무화함으로써 법적 사각지대를 어느 정도 해소해가고 있다. 개인정보보호 정책의 변화로 인해 기업들은 다양한 개인정보 수집 경로와 취급 방법 등을 일원화하여 탄력적으로 대응해가고 있다.
이 연구에서는 개인정보보호법의 주요 내용 및 특징 중심의 개인정보보호 이슈, 인터넷 피싱/영상보안/개인정보 유출방지 등 개인정보보호 대응방안, 미국/EU/일본의 개인정보보호 정책 동향에 대해 설명한다. 아울러 2012년 10월부터 빠르게 진행되고 있는 개인정보보호 관리 체계 국제표준화 이슈에 대해 설명한다. 국제표준이 제정되면 국내 개인정보보호 관리 체계와 호환성을 갖는 국제표준 구성을 통해 글로벌 개인정보보호 관리 체계 인증도 가능할 것으로 예상된다.
개인정보보호 이슈
개인정보보호법은 정보통신망법2) 등 개인정보보호 관련 개별법마다 달랐던 개인정보 수집·이용, 처리, 파기 등에 대해 단계별로 필요한 보호 기준과 원칙을 수립한 것이다. 주요 내용을 간단히 요약하면 다음과 같다.[1]
- 개인정보 열람·정정·삭제 및 처리 정지권을 보장하고, 개인정보 유출 시 통지·신고제도와 집단분쟁 조정제도, 권리침해 중지를 구하는 단체소송 등을 도입하여 국민의 피해 구제를 한층 강화한다.
- 각 공공기관은 개인정보 영향 평가를 의무화하는 등 개인정보 침해사고 예방과 국가의 개인정보보호 수준을 획기적으로 강화한다.
- 주민등록번호 등 고유 식별번호 처리를 엄격히 제한하며, 영상정보처리기기(CCTV 등) 설치·제한에 대한 근거 규정을 마련한다.
- 개인정보보호위원회를 통해 주요 정책 사안을 심의·의결하고 헌법기관, 중앙행정기관 및 지자체의 법규 위반 사항 등에 대해 시정조치 권고권, 국회 연차보고서 제출권과 자료제출 요구권 등을 부여했다.
개인정보보호법의 시행으로 인해 개인정보처리 사업자에게 의무화될 것으로 예상했던 개인정보 암호화 등의 안전성 조치 규제 강도는 오히려 기존의 정보통신망법에 비해 크게 완화되었다. 주요 특징을 간단히 요약하면 다음과 같다.[1]
- 내부망에 저장되는 개인정보 암호화 조치시한을 개인정보보호법 시행일부터 적용하지 않고 최장 1년까지 유예하여 개인정보보호법 의무대상 사업자들이 준비할 현실적인 조건을 제시하고 있다.
- 주민번호/여권번호/운전면허번호 등 주요 고유 식별정보는 반드시 암호화해야 한다. 아울러 비밀번호는 단방향 암호화를 적용해야 하며, 바이오 정보는 양방향 암호화 적용이 의무화된다.
- 개인정보처리 시스템에 적용되고 있는 접근권한 관리 등 조치사항의 위험수준을 측정, 분석하여 암호화 적용범위를 결정할 수 있도록 제시하고 있다.
- 인터넷 망의 DB에 개인정보를 저장할 때에는 의무적으로 암호화해야 한다.3) 이로 인해 그동안 주요 개인정보 DB 전체를 암호화하는 데 반대해 온 금융기관은 최소한 개인정보보호법으로는 부담을 덜게 됐다.4)
- 공공기관은 의무화되는 개인정보 영향평가 결과에 따라 내부망에 저장되는 개인정보 암호화 범위 등을 결정할 수 있도록 제시하고 있다. 아울러 내부망 저장정보 암호화 조치는 개인정보보호법 시행일로부터 3개월 이내에 계획을 수립해야 한다. 계획 수립 후 12개월 이내에 조치를 완료할 수 있도록 돼 있다.5)
개인정보보호 대응방안
(1) 인터넷 피싱 대응방안
인터넷 피싱(Phishing)6) 사이트를 통해 개인정보를 해킹하여 금융사기로 연결되는 사례가 급증하고 있다. 아울러 수많은 고객 정보를 보유한 국내 유수 기업의 개인정보 DB가 해킹을 당해 엄청난 피해를 유발시키고 있다. 이에 대응하기 위해 다양한 방법들이 개발되고 있지만 아직 확고한 방법은 보급되지 못하고 있는 실정이다. 초기 피싱 메일은 사용자의 작은 주의만 기울여도 충분히 방어할 수 있는 수준이었으나 네트워크가 점차 고도화되면서 다양한 수법들이 등장하고 그 피해도 급속히 증가하고 있는 추세이다. 피싱 메일은 다음과 같은 특징을 갖고 있다.
- 메일 수신자의 이름이나 회원번호를 명시하지 않는다.
- 본문의 인터넷주소로 접속하여 개인정보를 입력하도록 요구한다.
- 메일 본문의 인터넷주소와 실제 접속되는 인터넷주소가 서로 다르다.
- 응모하지 않은 이벤트나 복권에 당첨되었다는 내용 등을 포함한다.
- 신용불량자도 대출가능하다거나 저렴한 대출 내용 등을 포함한다.
- 특정 웹 사이트에서 특정 파일을 다운로드 받아 설치하도록 요구한다.
피싱으로 인한 피해를 사전에 예방하기 위해서는 이용자 스스로가 사기성 이벤트 등에 현혹되어 개인정보를 제공하는 일이 없도록 각별한 주의가 필요하다. 아울러 피싱 경유지로 사용된 PC들은 윈도우 취약점이 패치(fetch)되어 있지 않아 해킹을 당하거나 악성코드가 설치된 경우가 많기 때문에 주기적인 윈도우 업데이트와 백신 프로그램이 필수적이다.7)
(2) 영상보안 대응 방안
개인정보보호법에서는 영상정보에 대한 규제를 기존의 공공기관에서 민간 운영 CCTV까지 범위를 넓혀 적용하고 있다. 개인정보의 분실, 도난, 유출, 변조 및 훼손 등에 대한 책임을 영상정보처리기기 운영자에게 부여한 것이다. 이에 대응하기 위해서는 영상정보 보안 및 사후처리를 위한 솔루션 도입이 필요하다. 이와 관련된 대응 기술 개발 추세를 <표 1>에 나타낸다.[2]
그러나 최근 개발되고 있는 IP 기반 영상감시시스템(CCTV 및 DVR 등)들은 해킹에 대해 완벽한 대응이 다소 불안정한 것으로 평가받고 있다. 이는 수집한 영상의 전송 및 보관 과정에서 안전성에 대한 보장이 어려워 이에 대비한 핵심기술 개발이 절실한 상황이다.
▲ 표 1. 영상정보보안 솔루션 개발 추세
(3) 개인정보 유출 방지 방안
국내 유수 기업들이 대량으로 보유하고 있는 개인정보를 암호화하여 보관하고 있는 기업은 10%에도 미치지 못하는 실정이다. 개인정보 암호화 대신 외부 침입을 차단하는 출입통제시스템을 구축한 경우가 가장 큰 비중을 차지하고 있다. 그러나 개인정보 유출 주체의 대부분이 기업(기관) 내부의 전·현직 임직원(연구원/개발자/엔지니어/정보관리자 등) 또는 협력업체 직원들이라는 의외의 사실을 감안하면 내부 정보유출방지시스템만으로는 완전하지 못하다.
현재 국내 개인정보보호 기술 수준은 정보유출 방지에 대한 기본적인 보안 기능은 상당히 구축되어 있는 편이다. 그러나 정보유출 방지 솔루션 도입 시 중요한 요건인 구축 용이성, 유출 경로 통제, 추적 용이성, 사용 편의성, 관리 편의성, 기존 업무 환경과의 호환성 및 연계 측면에서 한계점이 있어 이에 대한 개선 방안이 필요하다.
이에 최근 서버 구축 분야에서도 이용이 크게 확산되고 있는 가상화 기술을 기반으로 한 정보유출방지(DLP : Data Loss Prevention) 시스템 구축 방안이 필요하다. 이를 위해서는 DLP시스템 개발 기획 및 연구동향 분석, 프로토타입 DLP 시스템 시뮬레이션 기술 개발 및 데이터 분석, 국내 인터넷 환경 적용 가능성 검토 및 테스트 베드 구축을 통한 결과 검증 등 기반기술 개발이 선행돼야 한다.
국외 개인정보보호 정책동향
(1) 미국의 정책 동향
미국 정부는 2000년부터 National Plan for Information System Protection을 수립하고 사이버공격에 대응할 수 있는 기반을 구축해 왔다. 이 계획을 통해 7개 분야에서 민간 자율의 ISAC(Information Sharing and Analytic Center)를 구축·운영하고 있다.[3]
이후 2003년 3,000만 달러를 투입하여 정보수집 및 조기경보 체계 구축을 목적으로 하는 사이버경보정보망(CWIN)을 구축했다. 특히 9·11테러 이후 주요 기반시설보호위원회를 신설하여 민간 지원, 정보의 공유, 사고 협력과 위기 대응, 보안 전문가 양성, 연구개발, 국가 보안 요소에 대한 법 시행 협력, 국제 정보기반시설 보호 및 국가보안사무국과 협력 등의 기능을 수행하고 있다. 아울러 개인정보보호 기술개발을 위해 NSF(National Science Foundation) 및 DARPA(Defese Advanced Research Project Agency) 등과 협력을 강화하고 있다.[4]
(2) EU의 정책 동향
EU는 eEurope 2005 프로젝트를 통해 안전한 정보 기반 설비 구축을 추진하고 있다. 6th Framework Programme for Research and Technological Development를 통해 관련 기술을 개발하고 있다. 아울러 정보보호 문화운동 시행, 공공서비스 간 안전한 정보전송 환경 조성 등을 추진해 왔다. 또한 유럽의회는 네트워크 보안, 개인정보보호, 해킹/바이러스 경보시스템 도입, 관련 기술개발, 법제도 정비 및 국제협력 강화 등의 정책을 추진해오고 있다.[5]
특히 안전한 인터넷 환경 조성을 위한 실행계획(The Safer Internet Action Plan)을 통해 2004년부터 3단계의 광범위한 협력 체제를 운영하고 있다. 불건전 정보에 대한 핫라인 구축, 이용자 친화적 등급 시스템 구축, 안전한 웹 서핑 기술, 안전한 인터넷 접속 기술, 스마트카드를 이용한 접근 제어 기술, 콘텐츠 필터링 기술 등의 연구개발을 추진하고 있다.[6]
(3) 일본의 정책 동향
일본 정부는 2001년 사이버 테러 대책에 관한 특별 행동 계획을 발표한 바 있다. 이를 통해 사이버 공격에 대한 대처 수단 연구, 사이버테러 방지를 위한 고성능 네트워크 보안 시스템 정비, 부정 액세스 및 바이러스 등에 관한 정보 제공 강화 등의 정책을 시행해오고 있다. 주요 정책 추진 과정은 다음과 같다.[7]
- 2001년 4월 정보통신국에 기술대책과 및 경찰청에 기술센터를 설치하고 24시간 사이버 테러에 대한 긴급대처체계 강화에 주력하고 있다.
- 2002년 4월 내각관방 정보보호대책회의에서 정보보호에 대한 근본적인 인식전환의 필요성을 강조하면서 다음과 같은 세부 계획을 추진해오고 있다.
• 각 정부기관의 정보보호 대응체계 강화
• 침입감시 체계와 복구대책의 정비
• 정보보호 예산의 확충
• 긴급 대응체계의 강화
• 관련 법제도의 정비
• 인적/기술적 기반의 정비 등
개인정보보호 관리체계 국제표준화 이슈
(1) 국제표준화 진행사항
개인정보를 안전하게 보호할 수 있는 요구사항 및 프로세스 등을 구체적으로 정의한 개인정보보호 관리체계 구축에 대한 필요성이 대두되었다. 이를 효과적으로 구축하기 위해서는 요구사항 및 프로세스는 물론 정보보안 측면에서의 보호 대책, 개인정보보호 측면에서의 기술적·관리적·물리적 보호 대책이 강구되어야 한다.
이러한 보호 대책들을 수용한 개인정보보호 관리체계에 대한 국제표준화작업(ISO/IEC 29151, ISO/IEC 27009)이 한국이 주도적으로 참여하여 진행되고 있다8). 2011년 10월~2012년 10월까지 1년 동안의 연구회기를 마치고, 2012년 10월 로마 SC27 회의에서는 다음 사항을 합의한 바 있다.9)[8][9][10]
- 개인정보보호 관리체계를 위한 기본 요구사항을 별도로 개발하지 않고 기존의 ISO/IEC 27001 표준을 이용하기로 합의하였다.
- 특화된 추가 요구사항이나 보호 대책에 대한 국제표준용 템플릿 개발을 위한 국제표준을 개발하기로 합의하였다(ISO/IEC 27009, 한국에디터: 박태완).
- 개인정보보호지침에 대한 국제표준을 개발하기로 합의하였다(ISO/IEC 29151, 한국 에디터: 염흥열).
ISO/IEC 27009 회의결과를 기반으로 2016년 4월 미국 탬파 SC27 회의에서 프랑스, 한국, 독일, 인도 등을 중심으로 개인정보보호 관리체계를 위한 추가적인 요구사항에 대한 신규 워크 아이템을 추진하기로 했다.10)
(2) 국제표준 구성
개인정보보호 관리체계 구축을 위한 개인정보보호 요구사항에 대한 신규 워크 아이템이 채택되면 국제표준화를 위한 전체 국제표준은 <그림 1>과 같이 구성될 것이다.
▲ 그림 1. 개인정보 관리체계를 위한 국제표준 구성
이러한 국제표준이 제정되면 2011년 9월 30일부터 전면 시행하고 있는 국내 개인정보보호 관리체계와 호환성을 갖는 국제표준 구성을 2018년까지 완성할 계획이다. 이러한 국제표준을 이용하여 2018년 이후부터는 글로벌 개인정보보호 관리 체계 인증도 가능할 것으로 예상하고 있다.[8]
맺음말
개인정보를 수집하여 상업적으로 활용하는 행위는 소비자들에게 커다란 혜택이 주어져야 할 것이며, 반드시 공익을 목적으로 이용되어야 할 것이다. 대부분의 상거래 기업들은 고객의 개인정보를 다양한 판매(구매) 채널을 통한 O2O(Online-to-Offline/Offline-to-Online) 서비스11) 등에 적극 활용하고 있다.
일부 악의적인 목적을 가진 해커나 크래커들에게는 개인정보가 곧 서비스를 위장한 무기가 되고 있다. 개인의 고유번호인 주민번호를 대체할 수 있는 IPIN 등이 개발되어 있으나, 이용자의 편리성을 고려하지 못한 운용 방식으로 인해 사실상 무용지물이 되고 있다. 심지어는 공공기관에서조차도 IPIN을 통한 사용자 인증을 거부하는 기관도 있다. 일부 전자상거래에서는 초간편 개인인증을 통한 결제 서비스가 이루어지고 있기도 하다.
이에 보다 편리하고 안전하며 간단하게 사용자 인증 기능을 실행할 수 있는 새로운 개인인증 방식의 개발도 고려할 필요가 있다. 또한 개인정보를 취급(수집)하는 기업(기관)들은 비용이 좀 더 들더라도 수집한 개인정보를 암호화하여 저장할 수 있도록 사회적 기반을 마련할 필요가 있다.
IDC의 Worldwide Quarterly Security Appliance Tracker 연구조사에 따르면, 2015년 1분기 전 세계 보안 어플라이언스 시장은 매출액(factory revenue) 기준 전년 동기 대비 7.5% 성장한 23억달러를 기록하며 22분기 연속 성장세를 나타냈다.출하 대수 기준으로도 전년 대비 9.4% 성장한 526,767대를 기록하면서 6분기 연속 성장률을 나타냈다.[11][12]
글로벌 보안 어플라이언스 시장이 이처럼 성장하고 있는 것은 보안 솔루션의 필요성이 전 산업분야에 확산되고 있음을 시사하고 있다. 개인정보를 취급·관리하는 기업들은 향후 빠르게 재편될 산업 간 융합 환경 속에서 발생하는 새로운 개인정보를 적극적으로 활용하여 CRM3.0을 보다 확고히 하는 계기로 삼아야 할 것이다.
1) 개인정보는 개인의 인적 사항에서부터 생체, 의료, 고용, 교육, 재산 및 문화 등 매우 다양한 형태의 사적인 정보를 의미한다. 개인정보보호법은 이러한 개인정보를 악용할 목적으로 구체적인 형태(부호, 문자, 음성, 음향 및 영상 등)로 개인의 신상정보를 알아내는 것을 방지하고자 하는 것이다.
2) 정보통신망이용촉진및정보보호등에관한법률 : 정보통신망의 이용을 촉진하고 이용자의 개인정보를 보호와 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성한다는 목적으로 2008. 6. 13일 개정된 법률이다.
3) 이는 저장되는 주요 개인정보를 암호화하지 않아도 종합적으로 접근 권한 관리와 침입차단시스템 등 기술적·관리적 보호 조치를 활용한 내부통제 등을 적절히 수행하면 적절한 개인정보보호 조치를 수행했다는 점이 인정된다는 것이다.
4) 금융기관에서는 개인정보 DB 암호화에 따른 오버헤드로 인해 서비스 처리가 지연될 수 있어 정상 영업에 차질을 빚을 수 있고 아울러 막대한 예산 등을 이유로 개인정보 암호화 일괄 적용에 반대해왔다.
5) 이는 방대한 개인정보를 보유하고 있더라도 민간 사업자들이 이 법에 따른 암호화 조치시기를 사실상 1년간 유예기간을 둔 것이다.
6) 피싱(Phishing=Private Data(개인정보)+Fishing(낚시)의 합성어)은 포털, 쇼핑몰 및 온라인 게임 등 유명 기관을 사칭하여 이메일을 보내고 위장된 홈페이지에 개인정보를 입력하도록 유도한 뒤 수집한 정보를 악용하는 금융사기 수법을 의미한다.
7) 피싱이 의심될 때는 한국정보보호진흥원(02-405-5114, http://www.kisa.or.kr), 경찰청 사이버테러 대응센터(02-3939-112, http://www.ctrc.go.kr) 로 신고하여 피해를 막아야 한다.(“피싱(Phishing) 주의”, 한국정보보호진흥원 정보보호포털사이트「보호나라」)
8) 2011년 10월 케냐 나이로비 SC27 회의에서 한국의 제안으로 시작됐으며, 한국은 이를 위한 요구사항/프로세스와 지침에 대한 국제표준을 개발할 것을 제안한 바 있다.
9) 국제표준화기구/국제전기위원회(ISO/IEC) 합동기술위원회/부위원회27/WG5 주최로 2015년 10월 26~30일까지 인도 자이푸르에서 개최된 바 있다.
10) 이 신규 워크아이템 제안은 WG5에서 개발 중인 SD5 문서에 근거하고 있다. 따라서 SD5 문서의 성숙도를 고려하여 1년간의 단기 표준개발 기간을 거쳐 신속개발 과정으로 제안될 예정이다.
11) 스마트 전자상거래의 발전으로 인해 쇼핑에 대한 패턴과 패러다임이 획기적으로 변화하면서 소비자는 온/오프라인 거래의 장점을 모두 취할 수 있는 기반이 마련되어가고 있다. O2O 상거래 서비스의 등장으로 인해 오프라인과 온라인을 결합한 유통(물류) 및 상거래 서비스로 빠르게 변화되고 있다.
박세환 박사 _ 한국과학기술정보연구원 전문연구위원
