개인정보(private information) 유출로 인한 각종 피해사고가 빈번하게 발생되면서 심각한 사회문제로 대두되고 있다. 개인정보의 흐름은 경로가 매우 복잡하기 때문에 모든 단계를 체계적으로 관리할 수 있는 통합 솔루션이 필요하다. 이에 따라 이를 체계적으로 관리할 수 있는 개인정보보호법이 2011년 9월 30일부터 시행되고 있다1). 

개인정보보호법은 350여만 개의 모든 공공기관 및 사업자를 대상으로 개인정보보호를 의무화함으로써 법적 사각지대를 어느 정도 해소해가고 있다. 개인정보보호 정책의 변화로 인해 기업들은 다양한 개인정보 수집 경로와 취급 방법 등을 일원화하여 탄력적으로 대응해가고 있다.

이 연구에서는 개인정보보호법의 주요 내용 및 특징 중심의 개인정보보호 이슈, 인터넷 피싱/영상보안/개인정보 유출방지 등 개인정보보호 대응방안, 미국/EU/일본의 개인정보보호 정책 동향에 대해 설명한다. 아울러 2012년 10월부터 빠르게 진행되고 있는 개인정보보호 관리 체계 국제표준화 이슈에 대해 설명한다. 국제표준이 제정되면 국내 개인정보보호 관리 체계와 호환성을 갖는 국제표준 구성을 통해 글로벌 개인정보보호 관리 체계 인증도 가능할 것으로 예상된다.

개인정보보호 이슈

개인정보보호법은 정보통신망법2) 등 개인정보보호 관련 개별법마다 달랐던 개인정보 수집·이용, 처리, 파기 등에 대해 단계별로 필요한 보호 기준과 원칙을 수립한 것이다. 주요 내용을 간단히 요약하면 다음과 같다[1].

- ‌개인정보 열람·정정·삭제 및 처리 정지권을 보장하고, 개인정보 유출 시 통지·신고제도와 집단분쟁 조정제도, 권리침해 중지를 구하는 단체소송 등을 도입하여 국민의 피해 구제를 한층 강화한다.

- ‌각 공공기관은 개인정보 영향 평가를 의무화하는 등 개인정보 침해사고 예방과 국가의 개인정보보호 수준을 획기적으로 강화한다.

- ‌주민등록번호 등 고유 식별번호 처리를 엄격히 제한하며, 영상정보처리기기(CCTV 등) 설치·제한에 대한 근거 규정을 마련한다.

- ‌개인정보보호위원회를 통해 주요 정책 사안을 심의·의결하고 헌법기관, 중앙행정기관 및 지자체의 법규 위반 사항 등에 대해 시정조치 권고권, 국회 연차보고서 제출권과 자료제출 요구권 등을 부여했다.

개인정보보호법의 시행으로 인해 개인정보처리 사업자에게 의무화될 것으로 예상했던 개인정보 암호화 등의 안전성 조치 규제 강도는 오히려 기존의 정보통신망법에 비해 크게 완화되었다. 주요 특징을 간단히 요약하면 다음과 같다[1].

- ‌내부망에 저장되는 개인정보 암호화 조치시한을 개인정보보호법 시행일부터 적용하지 않고 최장 1년까지 유예하여 개인정보보호법 의무대상 사업자들이 준비할 현실적인 조건을 제시하고 있다.

- ‌주민번호/여권번호/운전면허번호 등 주요 고유 식별정보는 반드시 암호화해야 한다. 아울러 비밀번호는 단방향 암호화를 적용해야 하며, 바이오 정보는 양방향 암호화 적용이 의무화된다.

- ‌개인정보처리 시스템에 적용되고 있는 접근권한 관리 등 조치사항의 위험수준을 측정, 분석하여 암호화 적용범위를 결정할 수 있도록 제시하고 있다.

- ‌인터넷 망의 DB에 개인정보를 저장할 때에는 의무적으로 암호화해야 한다3). 이로 인해 그동안 주요 개인정보 DB 전체를 암호화하는 데 반대해 온 금융기관은 최소한 개인정보보호법으로는 부담을 덜게 됐다4).

- ‌공공기관은 의무화되는 개인정보 영향평가 결과에 따라 내부망에 저장되는 개인정보 암호화 범위 등을 결정할 수 있도록 제시하고 있다. 아울러 내부망 저장정보 암호화 조치는 개인정보보호법 시행일로부터 3개월 이내에 계획을 수립해야 한다. 계획 수립 후 12개월 이내에 조치를 완료할 수 있도록 돼 있다5).

개인정보보호 대응방안

(1) 인터넷 피싱 대응방안

인터넷 피싱(Phishing)6) 사이트를 통해 개인정보를 해킹하여 금융사기로 연결되는 사례가 급증하고 있다. 아울러 수많은 고객 정보를 보유한 국내 유수 기업의 개인정보 DB가 해킹을 당해 엄청난 피해를 유발시키고 있다. 이에 대응하기 위해 다양한 방법들이 개발되고 있지만 아직 확고한 방법은 보급되지 못하고 있는 실정이다. 

초기 피싱 메일은 사용자의 작은 주의만 기울여도 충분히 방어할 수 있는 수준이었으나 네트워크가 점차 고도화되면서 다양한 수법들이 등장하고 그 피해도 급속히 증가하고 있는 추세이다. 피싱 메일은 다음과 같은 특징을 갖고 있다.

- 메일 수신자의 이름이나 회원번호를 명시하지 않는다.

- ‌본문의 인터넷주소로 접속하여 개인정보를 입력하도록 요구한다.

- ‌메일 본문의 인터넷주소와 실제 접속되는 인터넷주소가 서로 다르다.

- ‌응모하지 않은 이벤트나 복권에 당첨되었다는 내용 등을 포함한다.

- ‌신용불량자도 대출가능하다거나 저렴한 대출 내용 등을 포함한다.

- ‌특정 웹 사이트에서 특정 파일을 다운로드 받아 설치하도록 요구한다.

피싱으로 인한 피해를 사전에 예방하기 위해서는 이용자 스스로가 사기성 이벤트 등에 현혹되어 개인정보를 제공하는 일이 없도록 각별한 주의가 필요하다. 아울러 피싱 경유지로 사용된 PC들은 윈도우 취약점이 패치(fetch)되어 있지 않아 해킹을 당하거나 악성코드가 설치된 경우가 많기 때문에 주기적인 윈도우 업데이트와 백신 프로그램이 필수적이다7).

(2) 영상보안 대응 방안

개인정보보호법에서는 영상정보에 대한 규제를 기존의 공공기관에서 민간 운영 CCTV까지 범위를 넓혀 적용하고 있다. 개인정보의 분실, 도난, 유출, 변조 및 훼손 등에 대한 책임을 영상정보처리기기 운영자에게 부여한 것이다. 이에 대응하기 위해서는 영상정보 보안 및 사후처리를 위한 솔루션 도입이 필요하다. 이와 관련된 대응 기술 개발 추세를 <표 1>에 나타낸다[2]. 

그러나 최근 개발되고 있는 IP 기반 영상감시시스템(CCTV 및 DVR 등)들은 해킹에 대해 완벽한 대응이 다소 불안정한 것으로 평가받고 있다. 이는 수집한 영상의 전송 및 보관 과정에서 안전성에 대한 보장이 어려워 이에 대비한 핵심기술 개발이 절실한 상황이다.

▲ 표 1. 영상정보보안 솔루션 개발 추세

(3) 개인정보 유출 방지 방안

국내 유수 기업들이 대량으로 보유하고 있는 개인정보를 암호화하여 보관하고 있는 기업은 10%에도 미치지 못하는 실정이다. 개인정보 암호화 대신 외부 침입을 차단하는 출입통제시스템을 구축한 경우가 가장 큰 비중을 차지하고 있다. 그러나 개인정보 유출 주체의 대부분이 기업(기관) 내부의 전·현직 임직원(연구원/개발자/엔지니어/정보관리자 등) 또는 협력업체 직원들이라는 의외의 사실을 감안하면 내부 정보유출방지시스템만으로는 완전하지 못하다. 

현재 국내 개인정보보호 기술 수준은 정보유출 방지에 대한 기본적인 보안 기능은 상당히 구축되어 있는 편이다. 그러나 정보유출 방지 솔루션 도입 시 중요한 요건인 구축 용이성, 유출 경로 통제, 추적 용이성, 사용 편의성, 관리 편의성, 기존 업무 환경과의 호환성 및 연계 측면에서 한계점이 있어 이에 대한 개선 방안이 필요하다.

이에 최근 서버 구축 분야에서도 이용이 크게 확산되고 있는 가상화 기술을 기반으로 한 정보유출방지(DLP : Data Loss Prevention) 시스템 구축 방안이 필요하다. 이를 위해서는 DLP시스템 개발 기획 및 연구동향 분석, 프로토타입 DLP 시스템 시뮬레이션 기술 개발 및 데이터 분석, 국내 인터넷 환경 적용 가능성 검토 및 테스트 베드 구축을 통한 결과 검증 등 기반기술 개발이 선행돼야 한다.

박세환 박사 _ 한국과학기술정보연구원 전문연구위원