개인정보 보호 담당자가 알아야할 기술적/물리적 보호 조치

사례

개인정보를 불법 보관하는 등 위법행위를 한 통신영업점 16곳이 적발됐습니다. 적발된 16개 영업점은 가입서류 등 민감한 개인정보 파일을 파기하지 않고 보관했을 뿐만 아니라 해당 파일에 대한 정보보호 조치도 제대로 취하지 않았습니다. 주민등록번호는 보관 시 암호화 해야 하지만 해당 영업점들은 암호화 하지도 않았고 물리적 접근방지에 관한 개인정보 보호조치도 하지 않았습니다. 정보보호 전문가는 "개인정보는 한번 유출되면 2차, 3차 피해가 지속되는데, 처벌 수위가 약하다 보니 영업점들이 자율적으로 개인정보를 보호하려는 노력이 미약하다"면서 "사후 처벌을 엄중하게 해야 자율 규제의 힘도 커질 것"이라고 강조했습니다.

접근통제 방안

접근권한 관리

정보통신서비스 제공자는 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보 취급자에게 부여해야 합니다. 개인정보처리시스템에 대한 접근권한을 최소한의 인원에게 부여하며 특히 데이터베이스에 직접 접속은 데이터베이스 운영·관리자에게 보호조치 적용이 필요합니다. 그리고 개인정보처리시스템에 열람, 수정, 다운로드 등 접근권한을 부여할 경우 서비스 제공을 위해 필요한 범위에서 차등화 하여 접근권한을 부여해야 합니다. 정보통신서비스 제공자는 전보 또는 퇴직, 휴직 등 인사이동이 발생하여 개인정보처리시스템의 사용자계정 등 정당한 사유가 없을 시 접근권한을 변경·말소하여야 하며 불완전한 접근권한의 변경 또는 말소 조치로 인하여 정당한 권한이 없는 자가 개인정보처리시스템에 접근될 수 없도록 해야 합니다. 접근권한 변경 · 말소 미 조치 사례로는 다수 시스템의 접근권한 변경‧말소가 필요함에도 일부 시스템의 접근권한만 변경‧말소할 때, 접근권한의 전부를 변경‧말소하여야 함에도 일부만 변경‧말소할 때, 접근권한 말소가 필요한 계정을 삭제 또는 접속차단조치를 하였으나, 해당 계정의 인증값 등을 이용하여 우회 접근이 가능할 때 등이 있습니다.

 

접근권한 관리 위반 사례 및 예방 방법

접근권한 관리 위반사례로 퇴직한 직원의 접근권한을 변경하지 않아, 퇴직한 직원이 개인정보처리시스템에 접근하여 개인정보가 유출되었습니다. 쇼핑센터 재직 시 사용하던 ID, PW로 개인정보 처리시스템에 접근하여 고객명부를 불법으로 탈취하여 경쟁업체에 고객명부를 판매한 사례가 있습니다.
이러한 사례를 예방하기 위해서는, 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보 취급자에게만 부여해야 하며, 전보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소해야 합니다. 개인정보처리시스템 접근권한의 부여, 변경 또는 말소에 대한 내역을 전자적 또는 수기로 기록하고, 그 기록을 최소 5년간 보관해야 하고, 기록 작성 시 신청자 정보, 신청 및 적용 일시, 승인자 및 발급자 정보, 신청 및 발급 사유 등의 내용이 포함되어야 하며 공식적인 절차를 통하여 관리해야 합니다.

 

안전한 인증수단 사용

인터넷 구간 등 외부로부터 개인정보처리시스템에서의 접속은 차단하여야 하나, 정보통신서비스 제공자의 업무나 필요에 의한 부득이한 경우, 개인정보 취급자가 노트북, 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통하여 개인정보처리시스템에 접속이 필요할 때 안전한 인증수단을 적용하여야 합니다. 개인정보처리시스템에 사용자 계정과 비밀번호를 입력하여 정당한 개인정보 취급자 여부를 식별‧인증하는 절차 이외에 추가적인 인증 수단으로 #인증서, 보안토큰, 일회용 비밀번호 등이 있습니다. 또한 외부망에서 정보시스템 접근 시 가상사설망(VPN) 혹은 전용선을 사용하고, 안전한 인증 수단을 적용할 때에도 보안성 강화를 위해 가상사설망(VPN), 전용선 등 안전한 접속 수단의 적용을 권고합니다.

 

침입 탐지/차단 시스템 운영, 체계적 관리

정보통신서비스 제공자는 정보통신망을 통한 정보유출을 방지하기 위해 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가 받지 않은 접근을 제한하거나 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하는 시스템을 설치‧운영하여야 합니다. 침입차단시스템, 침입탐지시스템, 침입방지시스템, 보안 운영체제, 웹방화벽, 로그분석시스템, ACL을 적용한 네트워크 장비, 통합보안관제시스템 등을 활용하고, 접근 제한 기능 및 유출 탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만으로는 부족하며, 신규 위협 대응 및 정책의 관리를 위하여 정책설정, 이상행위에 대한 대응 및 로그 분석 등을 활용하여 체계적으로 운영‧관리해야 합니다. 업무상 꼭 필요한 경우 사용하는 인터넷 홈페이지 및 P2P의 공유설정 시 유출을 방지하기 위해 정기적으로 점검하고, P2P 혹은 공유폴더를 통한 개인정보 공유는 하지 말아야 하며, 불법 사이트, 웹 메일, 메신저, 웹 하드 등의 인터넷 서비스 이용을 통제합니다. 개인정보 침해사고 방지를 위하여 침입탐지시스템이나 침입차단시스템을 설치·운영하는데, 침입차단 시스템은 외부 네트워크에서는 네트워크 전면에 있는 방화벽만 보이고, 그 뒤에 놓인 내부 네트워크는 보이지 않게 해주는 방화벽이며, 외부의 접근을 차단하여 해킹 위험을 방지합니다. 침입탐지 시스템은 정보통신망을 통해 개인정보처리시스템에 불법적으로 접근하는 행위를 방지하고 차단하기 위해 설치·운영함으로써 네트워크 보안을 강화합니다.

 

망분리

대량의 개인정보 다운로드가 가능한 개인정보 취급자의 컴퓨터 등은 망분리를 통하여 외부로부터의 위협을 원천적으로 예방해야 합니다. 의무대상자는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 정보통신서비스 제공자입니다. 망분리는 물리적 망분리와 논리적 망분리로 나누어집니다. 물리적 망분리는 통신망, 장비 등을 물리적으로 이원화하며, 인터넷 접속이 불가능한 컴퓨터와 인터넷 접속만 가능한 컴퓨터로 분리합니다. 그리고 논리적 망분리는 물리적으로 하나의 통신망, 장비 등을 사용하며, 가상화 등의 방법으로 인터넷 접속이 불가능한 내부 업무영역과 인터넷 접속영역을 분리합니다. 다음은 비밀번호 관리 방법입니다. 정보통신서비스 제공자는 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행하며 개인정보 취급자를 대상으로 비밀번호 작성규칙을 수립하고, 이를 적용 및 운용하여야 합니다.

 

비밀번호 규칙 관리

2종류 이상의 문자를 조합하여 최소 10자리 이상 또는 3종류 이상의 문자를 조합하여 최소 8자리 이상의 길이로 구성하고, 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고하며, 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경합니다. 안전한 비밀번호의 조건을 확인하세요.

 

취약점 점검 및 보완 조치

고유식별정보를 처리하는 정보통신 서비스 제공자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 합니다. 인터넷 홈페이지의 취약점 점검은 정보통신 서비스 제공자의 자체인력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용 도구, 공개용 도구, 자체 제작 도구 등을 사용할 수 있습니다. 웹 취약점 점검 항목은 행정안전부, 국가사이버안전센터(NCSC), 한국인터넷진흥원(KrCERT), OWASP(오픈소스웹보안프로젝트) 등에서 발표하는 항목 참조하고, 취약점 점검 및 조치에 활용할 수 있는 기술문서는 소프트웨어 보안약점 가이드, 개발보안 가이드, 시큐어코딩이나 취약점 진단 제거 가이드 등이 있습니다.

접속기록 위·변조 방지 방법

접속기록 정기 점검

정보통신서비스 제공자는 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인하고 감독하며, 개인정보 처리와 관련된 정보를 포함하는 접속기록을 최소 6개월 이상 보존하고 관리하여 침해사고의 발생을 미연에 방지할 수 있도록 노력해야 합니다. 개인정보처리시스템에서 개인정보 취급자를 식별할 수 있도록 부여된 ID 등의 식별자, 개인정보처리시스템에 접속한 시점 또는 업무를 수행한 시점인 접속일시, 개인정보처리시스템에 접속한 자의 컴퓨터 또는 서버의 IP 주소 등 접속지, 개인정보처리시스템에서 개인정보 취급자가 처리한 내용을 알 수 있는 정보인 수행업무를 관리합니다. 여기서 처리한 내용은 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 의미합니다. 접속기록 항목의 예시를 살펴보세요. 그리고 개인정보 취급자의 접속기록이 위·변조되지 않도록 보호조치 적용이 필요합니다. 정기적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 물리적인 저장장치에 보관하고, 접속기록을 수정 가능한 매체(하드디스크, 자기 테이프 등)에 백업할 때에는 위·변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관·관리하며, 다양한 접속기록 위‧변조 방지 기술을 적용합니다.
위·변조 방지 위반 사례로 내부직원에 의해 개인정보가 유출되었으나, 개인정보 접근사실을 기록하지 않아 유출자 확인이 불가능한 사례가 있었습니다.

개인정보 암호화 방법

일방향 암호화

정보통신서비스 제공자는 비밀번호는 복호화 할 수 없도록 일방향 암호화하여 저장합니다. 사용을 권고하는 일방향 암호 알고리즘입니다. 정보통신서비스 제공자는 고유식별정보, 신용카드번호, 계좌번호, 바이오정보 등 안전한 암호알고리즘으로 암호화하여 저장합니다. 사용을 권고하는 암호 알고리즘입니다. 이용자의 개인정보를 업무용 컴퓨터, 모바일 기기 및 보조저장 매체 등에 저장할 때 암호화가 필요합니다.
주민등록번호, 비밀번호 등을 암호화하지 않아 해킹으로 유출된 사례가 있었습니다. 해커가 리조트에 해킹을 시도했고, 암호화되지 않은 회원의 주민등록번호와 비밀번호가 유출되어 해커가 개인정보를 불법 개인정보 구매자에게 판매한 사례입니다.

 

파일 암호화 설정

데이터베이스가 아닌 개인정보 취급자의 파일 저장 시 암호화 방법은 공개용 소프트웨어, 압축도구나 오피스 암호화 도구 등을 이용한 암호화를 수행할 수 있으며, ‘도구 > 일반 옵션’에서 설정을 할 수 있습니다. 뿐만 아니라, 정보통신서비스 제공자는 이용자의 성명, 연락처 등의 개인정보와 인증정보를 정보통신망을 통해 인터넷 구간으로 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 암호화하여야 합니다. 보안서버가 아닌 경우와 보안서버인 경우를 자세히 살펴보세요.

악성 프로그램 방지를 위한 방법

백신 소프트웨어 등의 보안 프로그램을 사용

정보통신서비스 제공자는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 합니다. 보안 프로그램을 설치 후, 최신 상태의 보안 업데이트를 적용하고, 보안 프로그램의 정책과 환경 설정 등을 통해 사내의 보안정책을 적용하며, 보안 프로그램을 통해 발견되는 악성 프로그램 등 확산 방지 조치를 취합니다. 그리고 백신 소프트웨어의 보안 프로그램은 실시간 감시 등을 위해 항상 실행된 상태를 유지하며 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지합니다. 위반 사례를 살펴보면, 해커가 악의적인 목적을 가지고 최신 보안 패치가 적용되어 있지 않는 점을 파악하여 결혼중개를 하는 회사를 해킹하여 개인정보를 유출하여 판매한 사례가 있습니다.

 

물리적 접근 방지

출입통제 절차

개인정보를 대량으로 보관하고 있는 물리적 보관 장소에 대하여 인가되지 않는 접근을 내부출입절차를 수립하여 물리적 방법으로 통제하여야 합니다. 
개인정보의 물리적 저장소의 출입이 자유로울 경우 시스템과 달리 그 기록을 알기 어렵기 때문에 정보유출자의 색출이 어렵고, 개인정보를 물리적 저장소에 두고 있는 경우에는 비인가자의 접근으로 인한 개인정보의 절도, 파괴 등의 물리적 위협으로부터 정보자산을 보호하기 위해 출입통제 절차를 수립하여야 합니다. 그리고 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 하고, 디스켓(FD), 이동형 하드디스크(HDD), USB메모리, Flash메모리, CD(Compat Disk), DVD(Digital Versatile Disk) 등의 보조기억매체는 금고 또는 잠금장치가 있는 캐비닛 등에 안전하게 보관합니다.

 

출력·복사 시 보호조치

출력·복사 이력 관리

정보통신서비스 제공자는 개인정보처리시스템에서 개인정보 출력 시 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 해야 합니다. 업무에 따라 다른 출력항목이 출력되도록 구현하고, 대리점, 고객상담, 영업 등 각각의 업무형태나 개인정보처리 시스템의 접근권한에 따라 보여지는 출력항목 다르게 설정합니다. 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 출력·복사 기록 등 필요한 보호조치를 갖추어야 합니다.

 

개인정보 표시제한 보호조치

정보통신서비스 제공자는 개인정보가 포함된 자료를 관리할 때에는 불필요한 개인정보의 마스킹 처리를 통해 특정 개인을 식별할 수 없도록 합니다. 그리고 개인정보 유출 방지를 위하여, 시건 장치가 있는 캐비닛 등 안전한 장소에 보관하여 합니다.