업계소식

[개인정보] 2014년 적용 개인정보 보호법 개정안에 대해서

작성자
관리자
작성일
2016-07-22 21:49
조회
612
아래 내용은 최근 화두가 되고 있는 개인정보보호법에 대한 한국전자인증 이재호팀장의 글입니다.

오늘은 관심이 증폭되고 있는 2014년 적용 개인정보보호법 개정안에 대해서 글을 쓰겠습니다.
작년 6월 27일에 개인정보보호법의 개정안이 국회를 통과 하였습니다.
올해 하반기 부터 본격적으로 시행됩니다.
이전까지 하던 개인정보 수집방식과 관련된 보안등을 하지 않으면 올해 부터는 과태료가 부과 되는 것이죠..
관련해서 일반 회사 등도 문의를 하시고 계신데요... 사장님 들이나 전산 담당자분들..
IT 와 무관한 회사들도 모두 해당되기 때문에 앞으로 어떻게 대처를 해야 하며 어떤 솔루션을 도입을 해야하는 지에 대해서도 갈피를
못잡고 계실듯 합니다.

관련 솔루션도 다양해서 정말 생각이 복잡하실 겁니다..일단 크게 4가지 카테고리에서 접근하시고요

1. PC 개인정보보호 시스템 ,
2. 웹서버 개인정보 보호 시스템 ,
3. 네트워크 개인정보 보호 시스템 ,
4. 기타(출력,USB) 매체제어 솔루션 입니다.

개인정보보호법의 각 조항및 시행령에 따라. 법조항을 해석하여..최소한의 조치를 하셔야 하실듯 하고요..
업체 규모에 따라 적합한 솔루션을 도입을 검토 하셔야 할듯 합니다.
1~100인 사업장은 개별 PC보안 및 모듈별로 설치되는 솔루션이 적합하시고요
100인 이상되는 사업장은 DLP 나 DB보안등의 전문적인 솔루션 검토가 필요합니다.

1. PC 개인정보보호 시스템 에 대해서 글을 쓰겠습니다.

법조항.. 제21조 제1항, 제2항 및 시행령 제 16조를 보면

개인정보가 불필요해지면 지체 없이 파기해야 하며, 파기 시 전자적 파일은 영구삭제, 종이파일인 경우
파쇄 또는 소각 등 복구 또는 재생되지 않도록 조치해야 함(완전삭제기능) - PSI 솔루션에서 지원-

법조항 제 21조 제 3항,
개인정보를 보존해야 할 경우에는 다른 개인정보와 분리해서 저장, 관리해야 함(격리기능)
-PSI 솔루션에서 지원 & 별도 PC지정-

법조항 제 24조 제 3항
고유식별정보를 처리할 경우 암호화 등 안전성 확보에 필요한 조치를 취해야 함(암호화기능)
- PSI 솔루션에서 지원

법조항 제 29조
개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취해야 함(일반조항)
-> 이 부분은 개인정보 관리 프로세서 입니다.개인정보 담당자의 업무를 정해 놓은 걸로 보시면 됩니다.

법조항 시행령
제30조 제1항 제3호/ 고시 제7조 제2항, 제3항, 제6항, 제8항
개인정보 저장, 전송 시 안전한 암호화 기술을 적용해야 하며 특히, 정보통신망이나 보조저장매체 등을 통해 전달하거나 업무용 PC에 저장하는 경우
안전한 암호화 알고리즘을 사용하여 암호화해야 함(암호화기능)
- PSI 솔루션에서 지원-

법조항 제 30조,32조
등록대상이 되는 개인정보파일은 개인정보 처리방침을 정하고, 명칭, 운영근거 및 목적, 항목, 처리방법, 기간, 제공받는 자 등의 사항을 행안부에
등록해야 함(파일대장기능)
-> 이부분도 파일 대장을 만들어서 보안 담당자가 관리하셔야 하고요..^^*

법조항 제 31조,제2항 제4호
개인정보 보호책임자는 개인정보 유출, 오용, 남용 방지를 위해 내부통제시스템을 구축해야 함(일반조항)
- 보안관리팩 내의 매체제어 시스템 -

최소 단위는 50User 단위이고요..20User사용시에도 50User 로 적용됩니다..
** 중앙관리매니저 서버 사양 : window 2003 서버 이상..1대필요..

**PSI는 개인정보보호 모듈이고요..
기능은 (주민등록번호, 사업자등록번호, 통장계좌번호 등 개인을 식별할 수 있는 정보에 대한 탐색 및 암호화, 삭제 기능지원)

**자산관리 모듈은 (소프트웨어/하드웨어/실물자산관리)기능인데..여기서 메신저나 특정 프로그램 실행을 막을수 있습니다.

**보안관리팩은 개별 PC에 대한ㅡ 에이전트관리 ,환경관리 ,보안관리(매체보안/시스템보안/네트워크보안/문서보안), 패치관리(윈도우/오피스 패치)
,IP 관리 , 프린트관리 , 장애관리 , 전원관리 ,설치유도 (s/w 강제설치옵션)

50User 기준 이후 기술한 모든 보안사항을 포함해 견적이 형성됩니다.


2. ,웹서버 개인정보보호시스템 에 대해서 글을 쓰겠습니다.

개인정보 보호법 제 29조 ,제 31조, 제 2항 제 4조 , 고시 제 6조 제 3항 등을 보면...

개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취해야 함(일반조항)

개인정보 보호책임자는 개인정보 유출, 오용, 남용 방지를 위해 내부통제시스템을 구축해야 함(일반조항)

취급중인 개인정보가 인터넷 홈페이지를 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 조치를 취해야 함(차단기능)
등으로 되어 있습니다.

이 조항들은 일반 조항들로 회사내 정보보안 담당자가 수행해야 할일들을 기술한 내용입니다. 기술적, 관리적 ,물리적 조치 들이죠...

내부통제시스템은 DB는 접근제어 솔루션이나 부서 및 인원/시스템 에 대한 관리 지침을 세우는 것을 말하고요...

개인 정보에 대한 홈페이지에 대한 권한이나 외부에 유출되지 않도록 암호화 나 개인정보의 무분별한 posting 을 금지하는 조치를 뜻합니다.
시큐어 코드 등의 소스 레벨의 보안 솔루션으로 적용이 되는 부분으로 보시면 됩니다. 물론 보안서버 SSL 의 적용은 필수 사항 입니다. ^^*

아.. 제 3조 제 7항이 빠졌네요..

개인정보의 익명처리가 가능한 경우에는 익명에 의해 처리될 수 있도록 해야 함(치환기능)
익명성을 보장해야하는 부분이네요..^^*


3..네트워크 관련 부분 개인정보보호법을 자세히 보면...

제 29조 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취해야 함
(일반조항)

제 31조 제 2항 2제4조
개인정보 보호책임자는 개인정보 유출, 오용, 남용 방지를 위해 내부통제시스템을 구축해야 함
(일반조항)

시행령 제 30조 제1항 제4호
개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조, 변조 방지를 위한 조치를 취해야 함(로그, 아카이빙)

고시 제 8조
개인정보처리시스템 접속기록을 최소 6개월 이상 보관, 관리하고 위, 변조 및 도난, 분실되지 않도록 보관해야 함(로그, 아카이빙)

고시 제6조 제3항

취급중인 개인정보가 P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부로 유출되지 않도록 조치를 취해야 함(차단기능)

음... 아주 기본 적인 사항들이죠... 하지만 지켜지지 않는 사항들 이기도 합니다.

물론 너무 자주 보고 술마셔서 직원과도 별반 다를바없는 협력사 개발자가 밤세워 개발한다고 하는데..
이런 조항들을 철저히 적용하기는
실제로는 어려울듯 도 하네요...관련 보안/윤리 교육만이라도 철저하게 했으면 합니다...^^*
그리고 최소한 그 행위에 대한 감시 또한 철저해야 겠죠...^^*

네트웍 감시쪽은 네트웍 통제나, 네트웍 모니터링이라는 기능이 있습니다. 문서내의 기밀정보나 개인정보를
지정해 놓으면 그 문서가 유출되는 지를 모니터링 및 차단하는 기능이 있습니다.물론 웹이나 메일을 보낼때도
차단하거나 나중에 리포트로 모니터링도 가능합니다. 로그를 저장해서 분석해 볼수도 있고요..
그렇게 몇개월 감시(?) 를 쭉 해보면 누가 잠재적으로 위험한 직원인지가 자동 분류가 됩니다..^^*