FOCUS 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 FOCUS 문봉주 ** 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 ( ) 고시하였다

3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 문봉주 ** 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 (2014.12.30.) 고시하였다. 본고에서는고시에서중점개정된내 외부직원, 홈페이지등개인정보유출사고예방및방지, 모바일기기이용확대에따른보호조치강화등에대한내용을중심으로기업의자율적보호조치를강화하는세부적인조치방안을확인하고자한다. Ⅰ. 서론 Ⅱ. 개요 1. 개인정보의안전성확보조치기준개정배경 2. 개인정보의안전성확보조치기준비교 분석 Ⅲ. 주요내용 1. 개인정보유출사고예방및방지 2. 모바일기기이용확대에따른보호조치 3. 적용이어려운제도개선 Ⅳ. 결론 * 한국인터넷진흥원개인정보기술팀선임연구원 (xyz@kisa.or.kr) 59

Ⅰ. 서론 정보통신기술의발전으로모바일기기등을활용하여정보주체 ( 이용자 ) 에게 개인맞춤형서비스 등이제공되고있다. 이는개인정보의수집과이용이보편화되고있으며개인정보를처리하는업무환경이변화하고있음을의미한다. 개인정보의존도가확산되면서개인정보의안전한관리는사회 경제적으로중요한요인이되고있다. 개인정보유출사고등으로인하여정보주체에게는금전적, 정신적인피해를가져올수있으며기업에게는손해배상청구, 이미지손상, 불매운동등으로이어질수있다. 이와관련 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 (2014.12.30.) 고시하였다. 이기준은 개인정보보호법 제24조제3항및제29조와같은법시행령제21조및제30조에따라개인정보처리자 1 가개인정보를처리함에있어서개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성을확보하기위하여취하여야하는세부적인기준을규정하고있다. 또한 행정자치부 와 한국인터넷진흥원 은개정된고시에대한해설서를발간하고, 고시의각조항별구체적인설명, 다양한선택적조치방안, 적용방법, 적용사례등을제시하여해석상의혼란방지를도모하고기업환경에따라자율적조치가가능하도록하고있다. 본고에서는 개인정보의안전성확보조치기준 고시에서중점개정된내 외부직원, 홈페이지등개인정보유출사고예방및방지, 모바일기기이용확대에따른보호조치강화등에대한내용을중심으로기업의자율적보호조치를강화하는세부적인조치방안을확인하고자한다. 1 업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등 60 INTERNET & SECURITY February 2015

Ⅱ. 개요 1. 개인정보의안전성확보조치기준 개정배경 1) 내 외부직원에의한개인정보대량유출금융회사를포함한개인정보유출사건들은내부사정을잘아는직원이나용역업체직원들에의해발생한경우가많았다. 2014년 1월카드사개인정보유출사고의경우 FDS 2 시스템개발용역업체직원에의해발생하였다. 고객개인정보 1억여건을 2012년 5월부터 2013 년 12월까지 USB를이용해빼돌렸으며, 약 8천만여건을대출업자등에돈을받고넘겼다. 대출업자등이사건으로총 13명이실형을선고 3 받았으며, 카드사는 3개월간영업정지를당하는중징계를받았고관련회사대표가사퇴하기도하였다. 또한, 영업정지로약 1000억여원의손실을봤으며고객약 300만여명을잃었다. 이사건으로 2차피해를우려해신용카드해지와재발급등으로카드사업무가마비될정도였으며전국민을불안에떨게했다. < 표 1> 최근 5 년간주요금융회사개인정보유출사고 ( 금융감독원, 창원지검 ) 금융회사발생시기규모내용 KB 카드 롯데카드 NH 카드 2012 년 ~ 2013 년 12 월 5,300 만건 2,600 만건 2,500 만건 KCB 직원이카드부정사용방지시스템을설치하는과정에서카드사고객정보빼돌려 한국씨티은행 2013 년 4 월 3 만 4,000 여건지점직원이은행전산망에있는고객정보를대출모집인에게전달 한국스탠다드차타드은행 2012 년 2 월 10 만 3,000 여건 IBK 캐피탈 2011 년 12 월 5,796 건 삼성카드 2011 년 8 월 47 만건 하나 SK 카드 2011 년 7 월 9 만 7,000 여건 현대캐피탈 2011 년 4 월 175 만건 IT 센터외주업체직원이고객정보를이동형저장장치에넣어외부로유출 직원이회사개인정보처리시스템에접속해고객정보조회후정보를외부로유출 내부직원이 192 만여건의정보조회한뒤 47 만건을노트북에내려받았음. 300 여건을외부로유출 직원이고객정보를개인 e 메일로보낸뒤일부를외부업체에넘겨 해커가광고메일발송서버등에침임해해킹프로그램설치한뒤개인정보빼내 2 FDS(Fraud Detection System) : 고객의평소카드사용행태를분석해이상한거래가나타나면카드승인을하지않는시스템 3 창원지방법원판결문 ( 사건번호 2014 고단 64) 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 61

다수의기업에서는정보통신망을통한인가되지않은불법적인접근을차단하는보안장비를설치 운영등의조치에중점을두고있으며, 비용절감차원에서계약직직원또는용역업체에개인정보관리를의존하는등관리적인측면에서의소극적인활동으로위험성이존재한다고볼수있다. 내 외부직원에대한개인정보보호체계를수립하고지속적인관리 감독등이반드시선행되어야하며중요하다고볼수있다. 2) 악성프로그램에의한개인정보침해위협증가악성프로그램 4 이란제작자가의도적으로피해를주고자악의적목적으로만든프로그램및실행가능한코드를의미하는것으로악성코드라고불리기도한다. 컴퓨터에서동작하는일종의프로그램으로자료를손상 유출하거나프로그램을파괴하여정상적인작업을방해하며다음과같은경로를통해서감염될수있다. < 표 2> 악성프로그램감염경로 감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 DNS 변조 워드프로세스취약점 스팸메일 저장매체 설명 소프트웨어의취약점을이용하여웹사이트에접속하는것만으로도사용자모르게악성프로그램을실행시키는기법 어플리케이션이용을위해프로그램을설치하는경우, 필수프로그램이외에제휴프로그램파일을변조하여악성프로그램을설치 웹하드업데이트프로그램실행시, 설정파일의링크를변조하거나악성링크를삽입또는악성프로그램을다운로드 Torrent 나 P2P 사이트등에서받은파일이악성프로그램또는악성프로그램을포함 원격제어가허용되어있고관리자비밀번호가없거나취약한공유기에원격접속하여 DNS 서버 IP 를수동설정하거나변조하여, 공유기에연결된스마트폰등에가짜웹사이트로연결되어악성앱등을다운로드 한컴오피스, MS Word, Adobe Reader 등워드프로세스의취약점으로인해스크립트를실행시켜추가악성프로그램이실행 스팸메일에첨부된이미지나동영상파일실행등으로악성프로그램을유포 USB 등을컴퓨터등에연결시자동으로실행되도록하는옵션값에악성프로그램의경로를설정하여자동실행 4 컴퓨터바이러스, 인터넷웜, 트로이목마, 스파이웨어등의형태로구분 62 INTERNET & SECURITY February 2015

악성프로그램을탐지하여조치한건수는 2013 년도에는 17,750 건으로전년 (13,018 건 ) 대 비약 36.3% 가증가하였으며아래한글, ActiveX 모듈, 홈페이지취약점등이가장많은비 중을차지한다고나타났다.(2014 국가정보보호백서 ) 이러한악성프로그램은일반적인이용 자가사전에인지하고대응하기는어려우므로백신프로그램과같은보안프로그램을꼭컴퓨터에설치하여주기적으로점검하도록하며운영체제, 웹브라우저, 문서편집기등컴퓨터에설치된다양한소프트웨어가항상최신상태를유지할수있도록업데이트하여야한다. 또한홈페이지가해커에의해악성코드유포지로악용되지않도록주기적으로보안점검을실시하고, 고객의개인정보가안전하게보호될수있는조치들을이행하여야할것이다. 3) 모바일기기이용확대에따른개인정보침해가능성증가 2009년스마트폰도입이후우리나라는모바일기기이용환경이급속히발전하고일상생활의일부로자리매김하고있다. 특히시간과장소의제약없이업무를수행할수있는모바일오피스환경은기업의업무생산성을향상시키는데주요역할을한다. 모바일기기를활용하여개인정보파일 5 의송 수신및열람등업무를목적으로개인정보를처리에이용되고있다. 전혀그렇지않음 그렇지않음 보통 그러함 매우그러함 그러함 + 매우그러함 의비율 회사인터넷망 ( 인트라넷포함 ) 접속시무료 / 공공무선랜 ( 와이파이 ) 망을통해접속한다 2.7 9.0 68.0 20.3 58.0 10.0 업무에활용했던단말기의업무관련자료가해킹등을통해유출될까봐걱정스럽다 회사업무시활용했던단말기에비밀번호등잠금기능을설치하고주기적으로바꾼다 회사업무시활용하는단말기에백신, 악성코드제거프로그램등을설치하고주기적으로관리한다 46.9 3.3 12.3 37.5 41.3 5.6 46.8 4.3 18.3 30.6 35.4 11.4 45.7 4.1 12.9 37.3 37.2 8.5 [ 그림 1] 모바일기기보호조치이용실태조사결과 5 개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 ( 集合物 ) 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 63

모바일기기를활용하여업무를수행하는경우에는무료 공공무선랜 ( 와이파이 ) 망을통해접속 (68.0%) 하는것으로나타나고있다. 보호조치측면에서는업무관련자료의유출이우려 (46.9%) 되며, 비밀번호등잠금기능을설치하고주기적으로변경 (46.8%) 하고백신및악성코드제거프로그램등을설치하고주기적으로관리 (45.7%) 하는것으로나타났다.( 모바일인터넷이용실태조사, 2014.12.) 보안전문기업 KASPERSKY의보고서에따르면전세계적으로 295,539개의새로운모바일악성프로그램및 12,100개의모바일뱅킹트로이목마를탐지한것으로나타났다. 또한, 모바일기기를활용한 APT 6 공격이증가하고봇넷과 APT 공격이결합된형태로진화할것으로전망하고있다.(KASPERSKY SECURITY BULLETIN 2014, 2014.12.) < 표 3> TOP 20 Mobile Threats(KASPERSKY SECURITY BULLETIN 2014) Name % of attacks 1 Trojan-SMS_AndroidOS.Stealer.a 18.0% 2 RiskTool_AndroidOS.MimobSMS.a 7.1% 3 DangerousObject_Multi.Generic 6.9% 4 RiskTool_AndroidOS.SMSreg.gc 6.7% 5 Trojan-SMS_AndroidOS.OpFake.bo 6.4% 6 AdWare_AndroidOS.Viser.a 5.9% 7 Trojan-SMS_AndroidOS.Fakelnst.a 5.4% 8 Trojan-SMS_AndroidOS.OpFake.a 5.1% 9 Trojan-SMS_AndroidOS.Fakelnst.fb 4.6% 10 Trojan-SMS_AndroidOS.Erop.a 4.0% 11 AdWare_AndroidOS.Ganlet.a 3.8% 12 Trojan-SMS_AndroidOS.Agent.u 3.4% 13 Trojan-SMS_AndroidOS.Fakelnst.ff 3.0% 14 RiskTool_AndroidOS.Mobogen.a 3.0% 15 RiskTool_AndroidOS.CallPay.a 2.9% 16 Trojan-SMS_AndroidOS.Agent.ao 2.5% 17 Exploit.AndroidOS.Lotoor.be 2.5% 18 Trojan-SMS_AndroidOS.Fakelnst.ei 2.4% 19 Backdoor.AndroidOS.Fobus.a 1.9% 20 Trojan-Banker_AndroidOS.Faketoken.a 1.7% 6 정보통신망을통해내부시스템으로침투한뒤한동안이를숨겨놓았다가시간이지나한꺼번에동작시켜주요정보를유출하거나시스템을무력화하는공격기법 64 INTERNET & SECURITY February 2015

개인정보를처리하는모바일기기가악성프로그램등에감염되면개인정보유출사고등 이발생할수있으므로반드시신뢰할수있는무선망을사용하고비밀번호설정, 백신앱설 치하여주기적으로검사하는등사전에예방하는것이중요하다. 2. 안전성확보조치기준비교 분석 국내개인정보보호관련법률은일반법인 개인정보보호법 에서는기본원칙, 정책체계, 권리구제등을포괄적으로규정하고있고, 정보통신분야는 정보통신망이용촉진및정보보호등에관한법률, 금융분야는 전자금융거래법, 신용정보의이용및보호에관한법률 등분야별로특별법이존재한다. 각규정에서는개인정보처리자가개인정보를처리함에있어서각업무환경특성에따라개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성을확보하기위하여취하여야하는세부적인기준을고시등에서정하고있다. (1) 개인정보의안전성확보조치기준 ( 행정자치부고시, 제2014-7호 ) 개인정보보호법 제24조제3항및제29조와같은법시행령제21조및제30조에따라개인정보처리자가온 오프라인에서개인정보를처리함에있어서개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성을확보하기위하여취하여야하는세부적인기준이다. 영세사업자, 공공기관등이개인정보보호를위해준수해야하는의무조치기준 ( 개인정보보호법의하위규정 ) 으로내부관리계획의수립 시행, 접근권한의관리, 접근통제등 10 개조항으로구성된다. (2) 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시, 제2014-28호 ) 정보통신망이용촉진및정보보호등에관한법률 제28조제1항및같은법시행령제15 조제6항에따라정보통신서비스제공자등이정보통신망을이용한환경에서이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조 훼손등이되지아니하도록안전성을확보하기위하여취하여야하는기술적 관리적보호조치의구체적인기준이다. (3) 전자금융감독규정 ( 금융위원회고시제 2015-3 호 ) 전자금융거래법 및동법시행령에서금융위원회에위임한사항과그시행에필요한사항 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 65

및다른법령에따라은행, 카드등전자금융거래환경에서금융감독원의검사를받는기관 의정보기술부문안전성확보등을위하여필요한사항을규정하고있다. (4) 신용정보업감독규정 ( 금융위원회고시제2014-24호 ) 신용정보의효율적활용및안전한관리를위한 신용정보의이용및보호에관한법률, 같은법시행령및같은법시행규칙에서정하는금융위원회소관사항의시행에필요한사항을정하고있다. 위와같이개인정보의안전성확보조치를규정하는기준은각기운영환경및특성에맞는조항들을가지고있는데, < 표 4> 와같이이들을비교할수있다. < 표 4> 개인정보의안전성확보조치기준비교 ( 개인정보보호법기준 ) 구분 안전성확보조치기준 기술적 관리적보호조치기준 전자금융감독규정 신용정보업감독규정 적용대상 공공기관, 법인, 단체, 개인등 정보통신서서비스제공자 은행, 보험, 카드등금융사 신용조회 조사, 채권추심 내부관리계획수립 시행 책임자지정 운영, 안전성확보조치등 ( 유사 ) 시스템운영 장애 침해사고대책, 의무교육시간등구체화 ( 유사 ) 접근권한관리 차등부여, 비밀번호관리등 ( 유사 ) ( 유사 ) ( 유사 ) 접근통제 IP 등접근제한, 연 1 회이상취약점점검등 취약점점검없음 망분리, 모니터링운영, 취약점점검 (6 개월 ) 등구체화 취약점점검없음 개인정보암호화 비밀번호, 바이오정보, 고유식별정보 비밀번호, 바이오정보, 고유식별정보, 계좌번호, 신용카드번호 비밀번호, 전자금융거래키관리통제등 패스워드, 생체정보등본인인증정보 접속기록보관및점검 접속기록 6 개월보관, 반기별 1 회이상점검등 접속기록 6 개월보관, 월 1 회이상점검 1 년이상보관, 의무점검규정없음 의무보관기간없음, 월 1 회이상점검 악성프로그램등방지 보안프로그램설치 운영등 ( 유사 ) 악성코드감염대비복구절차마련등구체화 ( 유사 ) 물리적접근방지 출입통제대책, 보조저장매체보안대책 ( 유사 ) 설비운영 복구등구체화 ( 없음 ) 파기일부파기방법등 ( 없음 ) ( 없음 ) ( 없음 ) 출력 복사시보호조치 ( 없음 ) 출력물보호조치출력물보호조치출력물보호조치 66 INTERNET & SECURITY February 2015

예를들어, 은행이시스템의장애또는침해사고등으로폐쇄될경우에는사회 경제적으 로혼란을초래할수있으므로 전자금융감독규정 에서는시스템운영및복구등에대한대 책을마련하도록규정하고있다. 반면, 개인정보의안전성확보조치기준 고시에서는영세 사업자등에이를적용하지않고있다. 해외에서는포괄적인기준을제시하여사업자에게자율적인보호조치를요구하고이에대한책임성을확보하고있다. 개인정보의안전성확보조치기준 은사회전분야에적용되는최소한의보호조치로볼수있으며정보통신, 금융분야등에따라분야별세부기준 규정을준수하여야한다. 다음 3장에서는위에서언급한 개인정보보호법 의하위규정인 개인정보의안전성확보조치기준 의개정고시내용을자세히살펴보도록하겠다. Ⅲ. 주요내용 내 외부직원에의한개인정보대량유출, 모바일기기이용확대에따른개인정보침해 가능성증가등에따라개정된 개인정보의안전성확보조치기준 ( 행정자치부고시, 제 2014-7 호 ) 의개정 (2014.12.30.) 된주요내용은 < 표 5> 와같다. < 표 5> 개인정보의안전성확보조치기준개정주요내용 구분 주요내용 ( 제 3 조 ) 내부관리계획 ( 신설 ) 개인정보처리업무위탁시관리 감독사항추가 ( 제 4 조 ) 접근권한관리 ( 변경 ) 업무목적에따라취급자가여러개의사용자계정발급가능 ( 제 5 조 ) 접근통제 ( 제 6 조 ) 개인정보암호화 ( 신설 ) 취약점점검년 1 회이상및모바일기기사용에대한보호조치조항등추가 ( 변경 ) 모바일기기에고유식별정보저장시암호화조치포함 ( 삭제 ) 12.12.31 까지암호화를적용하도록한유예조항삭제 ( 제 7 조 ) 접속기록보관및점검 ( 신설 ) 접속기록반기별 1 회이상점검조항추가 ( 제 8 조 ) 악성프로그램방지 ( 변경 ) 보안프로그램의최신상태유지 ( 제 9 조 ) 물리적접근방지 ( 신설 ) 보조저장매체의반 출입통제대책마련추가 ( 제 10 조 ) 개인정보의파기 ( 신설 ) 개인정보일부파기방법의구체화등 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 67

1. 개인정보유출사고예방및방지 정보주체의개인정보를보호하기위한조치를적절히시행하기위해서는개인정보처리자전체에통용되는내부규정이필요하다. 이를기초로세부지침등을마련하여내 외부직원에의한개인정보침해위협에대응할수있도록할필요가있다. 또한, 실시간으로신종 변종악성프로그램이유포됨에따라개인정보가위 변조, 유출되지않도록이를방지하고치료할수있는체계를구축 운영하도록개정되었다. 1) 개인정보처리업무를위탁하는경우수탁자에대한관리및감독실시최근비용절감, 업무효율화, 서비스개선등다양한목적으로개인정보처리업무를외부기업이나개인에게위탁하는사례가증가하고있으며이와관련안전조치의무미비등으로인한크고작은사고가발생하고있다. 개인정보처리자는개인정보처리업무위탁시수탁자에게제공된개인정보를안전하게관리할책임이있다. 따라서개인정보처리업무를위탁하는경우, 개인정보보호법제26조및동법시행령에규정된사항을준수하고수탁자가개인정보를안전하게처리할수있도록수탁자관리및감독에관한사항을내부관리계획에포함해야한다. 또한, 내부관리계획에정해진바에따라정기적으로수탁자에대해관리 감독및교육을실시하고, 그결과에대한기록을남겨야하며문제점이발견된경우그에따른개선조치를하여야한다. 2) 보조저장매체의반출 입통제를위한보안대책마련보조저장매체 7 는전자적으로자료를저장할수있는매체로서개인정보처리시스템, 업무용컴퓨터또는개인용컴퓨터등과용이하게연결 분리할수있는저장매체를말한다. 기술의발전으로보조저장매체의저장공간이확대되고크기 무게가줄어드는등휴대성이좋아지고개인또는회사에서의활용성또한증가되고있다. 반면, 앞서살펴보았듯이이를악용하여개인정보유출등에활용하거나분실등으로인한개인정보유출의위험성이있으므로이에대한대책또한필요하다. 보조저장매체반 출입통제를위한보안대책마련시다음과같은내용을고려할수있다. 7 이동형하드디스크, SSD(Solid State Drive), USB 메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓, 자기테이프등 68 INTERNET & SECURITY February 2015

1 보조저장매체보유현황파악및반 출입관리계획 2 개인정보취급자 ( 임직원, 파견근로자, 시간제근로자등 ) 및용역업체의직원등에의한 비인가된보조저장매체반 출입에대한대응 3 개인정보처리시스템, 업무용 PC, 모바일기기등에서보조저장매체의안전한사용방법및비인가된사용에대한대응보조저장매체반 출입통제를위한보안대책은전사적으로수립되어운영되도록할필요가있으며암호화대상정보를전달하는경우에는암호화기능을제공하는보안USB 등의보조저장매체에저장하여전달하거나해당개인정보를암호화저장한후보조저장매체에저장하여전달등의방법등이사용될수있다. 3) 고유식별정보를처리하는인터넷홈페이지연 1회이상취약점을점검실시고유식별정보 8 는원래공공기관의업무처리등공익목적으로개인에게부여된것이나그편리성때문에광범위하게수집 이용되고있으며주민번호유출및도용등으로인한피해가급증하고있다. 인터넷홈페이지를통해고유식별정보를처리하는경우에, 개인정보처리자는고유식별정보가유출 변조 훼손되지않도록해당인터넷홈페이지에대해연 1회이상취약점을점검하여야하며, 문제점이발견된경우그에따른개선조치를하여야한다. 고유식별정보를처리하는인터넷홈페이지의웹취약점점검시웹취약점항목 9 들이포함되도록할필요가있다. 취약점점검과함께시큐어코딩을적용하고, 정기적으로관리자페이지노출및웹쉘등을점검하고조치하는경우인터넷홈페이지를통한고유식별정보의유출 변조 훼손의위험을더욱줄일수있다. 고유식별정보는그정보만으로도특정개인을식별할수있는중요한정보이므로처리하는경우에는보다안전하게관리하여야한다. 4) 보안프로그램업데이트를실시하여최신의상태로유지 악성프로그램은컴퓨터에서동작하는일종의프로그램으로자료를손상 유출하거나프 8 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호 9 SQL_Injection, CrossSiteScript, File Upload, File Download, ZeroBoard, Directory Listing, HeartBleed 취약점등 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 69

로그램을파괴하여정상적인작업을방해한다. 앞서살펴보았듯이기존알려진악성프로그램은그수를헤아릴수없을정도이며실시간으로신규악성프로그램이발견되고있다. 이를방지하기위해백신소프트웨어등의보안프로그램을이용하여해당프로그램을제거하거나예방할필요가있다. 백신소프트웨어등의보안프로그램은실시간감시등을위해항상실행된상태를유지해야하며자동업데이트기능을사용하거나일 1회이상주기적으로업데이트를실시하여최신의상태로유지해야한다. 특히대량의개인정보를처리하거나민감한정보등중요도가높은개인정보를처리하는경우에는키보드, 화면, 메모리해킹등신종악성프로그램에대해대응할수있도록보안프로그램을운영할필요가있으며, 항상최신의상태로유지하여야한다. 5) 개인정보처리시스템의접속기록등을반기별로 1회이상점검접속기록은개인정보취급자, 개인정보처리자등이개인정보처리시스템에접속하여운영하였던이력정보로서, 시스템식별 인증정보 ( 일시, 컴퓨터 IP 명, 접속지역, ID 등 ), 서비스이용정보 ( 생성, 수정, 삭제, 검색, 출력등 ) 등이개인정보처리시스템에있는로그파일에자동으로기록되는것이다. 접속기록은개인정보의입 출력및수정사항, 파일별 담당자별데이터접근내역등을자동으로기록하는로그파일을생성하여불법적인접근또는행동을확인할수있는중요한자료이며, 접속기록의백업은개인정보 DB의무결성을유지하기위한중요한요소이다. 따라서, 접속기록을 6개월이상안전하게보관 관리하고개인정보의유출 변조 훼손등에대응하기위하여개인정보처리시스템의접속기록을반기별 1회이상정기적으로점검하여야하며, 이를통해비인가된개인정보처리, 대량의개인정보의조회, 정정, 다운로드, 삭제등의비정상행위를탐지하여적절한대응조치를할필요가있다. 2. 모바일기기이용확대에따른보호조치 개인정보의안전성확보조치기준 에서는모바일기기 10 를이동통신망, Wi-Fi 등의무 선망을이용하여개인정보처리에이용되는휴대용기기로정의하고있다. 개인정보처리자가 10 스마트폰, 태블릿 PC, PDA(Personal Digital Assistant) 등 70 INTERNET & SECURITY February 2015

업무를목적으로개인정보취급자로하여금개인정보처리에이용하도록하는휴대용기기를 의미하며개인소유의휴대용기기라할지라도개인정보처리자의업무목적의개인정보처리 에이용되는경우모바일기기에포함된다. 업무용모바일기기는성능이높아대량의개인정보를저장하거나전송할수있으나, 휴대와이동이편리하여기기분실 도난시해당기기에저장된또는해당기기의개인정보처리시스템접속등을통한개인정보유출의위험성이높다. 따라서, 스마트폰, 태블릿PC와같이업무에사용되는모바일기기는분실 도난으로개인정보가유출되지않도록개인정보처리자의기기운영환경및처리되는개인정보의중요도등을고려하여조치가필요하며, 다음과같은항목들을조치하도록개정되었다. 1) 개인정보유출방지조치가적용된공개된무선망 11 이용 [ 그림 2] 공개된무선망 ( 커피전문점예시 ) 모바일기기에서설치자를신뢰할수있고관리자비밀번호등을포함한알려진보안취약 11 불특정다수가무선접속장치 (AP) 를통해인터넷을이용할수있는망을의미 ( 커피전문점, 도서관, 병원등에서여러방문객이나고객이인터넷을이용할수있도록무선접속장치 (AP) 를설치? 운영하는경우 ) 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 71

점이조치된무선접속장치 (AP) 12 에안전한비밀번호를적용한 WPA2 13 보안프로토콜을사 용하는공개된무선망을사용한다. 2) 비밀번호, 패턴, PIN 등을사용하여화면잠금설정 [ 그림 3] 화면잠금설정 ( 비밀번호, 패턴입력예시 ) 3) 접근통제기능또는방화벽등의앱활용모바일기기에서는불필요한네트워크소프트웨어통제, 인입포트차단등의접근통제기능을제공하는운영체제를사용할수있으며, 이러한기능을제공하지않거나보다확장된접근통제기능을사용이필요한경우에는접근통제기능을제공하는별도의방화벽등의어플리케이션 (App) 을설치 운영이필요할수있다. 12 와이파이 (Wi-Fi), 블루투스관련표준을이용하여유선장치 ( 예 : 유선 LAN) 와무선장치 ( 예 : 무선 LAN) 를연결시켜주는컴퓨터네트워크장치 13 Wi-Fi Protected Access 2 72 INTERNET & SECURITY February 2015

4) 디바이스암호화로애플리케이션, 데이터등암호화 모바일기기에서개인정보처리시스템에개인정보전송시, 전송암호화기능이탑재된별 도의앱 (App) 이나프로그램을설치하고이를이용하여전송하거나모바일기기에서개인정 보처리시스템에개인정보가포함된파일전송시, 암호화저장한후전송한다. 이외, USIM 카드에저장된개인정보보호를위한 USIM 카드잠금설정, 모바일기기제조사및이동통신사가제공하는기능을이용한원격잠금, 원격데이터삭제등의조치를할수있으며, 중요한개인정보를처리하는모바일기기는 MDM 14 등모바일단말관리프로그램을설치하여원격잠금, 원격데이터삭제, 접속통제등의조치를할수있다. 3. 적용이어려운제도개선 개인정보처리자는개인정보수집목적달성, 보존기간이경과등개인정보가불필요하게되었을때개인정보의유출및오남용방지를위해개인정보를복원이불가능한방법으로파기하도록 개인정보보호법 제21조에서는규정하고있다. 그러나, 기업의운영환경등에따라파기방법이다를수있고개인정보의일부만파기시에대한조치방법등에대한혼란이지속되었다. 이에따라, 개인정보의안전성확보조치기준 에서는개인정보의파기에관한조항을신설하여적용이어려운불합리한제도를개선하도록개정되었다. 1) 개인정보파기방법 (1) 개인정보가저장된회원가입신청서등의종이문서, 하드디스크나자기테이프를파쇄기로파기하거나용해, 또는소각장, 소각로에서태워서파기하는등완전파괴 ( 소각 파쇄등 ) (2) 디가우저 (Degausser) 등전용소자장비를이용하여하드디스크나자기테이프에저장된개인정보삭제등 (3) 개인정보가저장된하드디스크에대해완전포맷 (3회이상권고 ), 데이터영역에무작위값, 0, 1 등으로덮어쓰기 (3회이상권고 ), 해당드라이브를안전한알고리즘및키 14 MDM(Mobile Device Management) 은스마트폰등의모바일기기를제어하는솔루션으로모바일기기의잠금설정, 정보삭제, 접속제한및앱설치통제등의기능제공 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 73

길이로암호화저장후삭제하고암호화에사용된키완전폐기및무작위값덮어쓰기 등의방법사용 2) 개인정보의일부만파기하는경우저장중인개인정보중보유기간이경과한일부개인정보를파기하는경우는 1 운영중인개인정보가포함된여러파일중특정파일을파기하는경우, 2 개인정보가저장된백업용디스크나테이프에서보유기간이만료된특정파일이나특정정보주체의개인정보만파기하는경우, 3 운영중인데이터베이스에서탈퇴한특정회원의개인정보를파기하는경우, 4 회원가입신청서종이문서에기록된정보중, 특정필드의정보를파기하는경우등이있을수있다. 개인정보의일부만파기하는경우복구또는재생되지아니하도록개인정보가저장된매체형태에따라다음과같은조치를하도록한다. (1) 전자적파일형태인경우운영체제, 응용프로그램, 상용도구등에서제공하는삭제기능을사용하여삭제하거나백업시파기대상정보를제외한백업을실시하는등의방법을활용하여개인정보를삭제한다. 또한, 복구관련기록 활동에대해모니터링하거나주기적점검을통해비인가된복구에대해조치하는등의관리및감독을실시하도록한다. (2) 기록물, 인쇄물, 서면, 그밖의기록매체인경우해당부분을마스킹, 천공등으로삭제하도록한다. 회원가입신청서에기재된주민등록번호삭제시, 해당신청서에서주민등록번호가제거되도록절삭, 천공또는펜등으로마스킹하는경우가해당할수있다. Ⅳ. 결론 개인정보보호는사생활 (Privacy) 비밀보장및행복추구를위해보장되어야하는헌법적 가치이다. 2011 년 개인정보보호법 시행등그간의노력에도불구하고개인정보유출사고 74 INTERNET & SECURITY February 2015

가지속적으로발생하고있으며, 빠르게발전하고있는 IT 환경의변화에따라구조적인취 약점을악용한사례가빈번하게발생하는것을방지하고자 개인정보의안전성확보조치기 준 에서는다음의내용을중심으로개정되었다. 첫째, 수탁자에대한관리 감독, 보조저장매체의보안대책마련등기업내 외부의구조적인취약점을개선하고보호체계마련을요구하였다. 둘째, 홈페이지취약점점검및접속기록점검의무화, 보안프로그램의최신상태유지등을통해새로운기술로진화하고있는불법적인기술에대응하고자하였다. 셋째, 모바일기기에대한보호조치등 IT환경변화에따른대응체계를마련하였으며개인정보의일부파기방법등현업에서적용이어려운제도를개선하였다. 이러한개인정보의안전한운영 관리를위한대책을마련하고이행을하는경우보호수준은향상될것으로기대한다. 이것은최소한의보호조치요구사항으로각사업자환경별중요도가높다고판단되는개인정보에대해서는이에더해좀더강화된보호조치가필요할수있다. 기업에서는운영환경에맞게이를적용하고실질적으로이행하는것이중요하며규정만지키면된다는인식에서벗어나인적 물적투자를확대하는등보다적극적인자세로개인정보보호를위한노력이필요하다. 참고문헌 국가정보원 미래창조과학부 방송통신위원회 안전행정부 (2014). 2014 국가정보보호백서 금융위원회 (2014). 신용정보업감독규정 금융위원회 (2015). 전자금융감독규정 김인순 (2014). 카드3사대규모개인정보유출, 전자신문 방송통신위원회 (2014). 개인정보의기술적 관리적보호조치기준 임채호 (2015). 카드3사개인정보유출사건 한국인터넷진흥원 (2014). 모바일인터넷이용실태조사 한국인터넷진흥원 (2014). 최근피싱 파밍기법을이용한금융정보탈취동향 행정자치부 (2014). 개인정보의안전성확보조치기준 행정자치부 한국인터넷진흥원 (2015). 개인정보의안전성확보조치기준해설서 KASPERSKY SECURITY BULLETIN 2014 (2014). KASPERSKY 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 75