법제도/정책
개인정보 암호화·시스템 접근통제 등 보호조치 의무화
디지털데일리
발행일 2011-09-07 17:36:36
- 개인정보보호법 ‘개인정보의 안전성 확보조치 기준’ 30일 고시, 시행 예정
[디지털데일리 이유지기자] 개인정보보호법과 시행령에 따라 개인정보처리사업자는 개인정보 침해를 방지할 수 있도록 안전성 확보조치가 의무화된다.
행정안전부는 이달 30일 개인정보보호법 시행과 함께 개인정보보호를 위한 내부관리계획 수립·운영과 기술적·물리적·관리적 조치사항을 담은 ‘개인정보의 안전성 확보조치 기준’을 고시할 예정이다.
이 기준에 따라 개인정보처리자는 개인정보를 안전하게 처리하기 위해 개인정보보호책임자 지정, 역할 및 책임, 안전성 확보 조치, 교육 등을 담은 내부계획을 운영해야 한다.
또한 개인정보처리시스템 접근권한을 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여해야 하고, 시스템에 접속할 수 있는 사용자 계정은 취급자별로 한개씩만 발급해 다른 취급자들과 공유되지 않도록 해야 한다.
만일 개인정보취급자가 전보됐거나 퇴직해 변경되면 즉시 개인정보처리시스템의 접근권한을 변경하거나 말소해야 하는데, 그 기록은 최소 3년간 보관이 의무화된다.
개인정보처리시스템에 대한 불법접근과 침해사고 방지를 위해선 접속통제시스템 설치·운영과 가상사설망(VPN)·전용선 등을 통한 안전한 접속수단 이용은 필수적이다.
주민등록번호, 외국인등록번호, 운전면허번호, 여권번호 등 고유식별정보, 비밀번호, 바이오정보는 원칙적으로 암호화해야 한다.
개인정보를 정보통신망을 통해 송수신하거나 보조저장매체 등을 통해 전달하는 경우, 비밀번호와 바이오정보는 암호화 저장이 필수사항이다. 이 때 비밀번호는 복호화 되지 않도록 일방향 암호화 방식으로 저장해야 한다.
인터넷 구간, 그리고 그 구간과 내부망과의 중간지점(DMZ)에 주민등록번호 등 고유식별정보를 저장할 경우에도 암호화가 의무화된다.
하지만 내부망에 고유식별정보를 저장하는 경우엔 공공기관은 개인정보 영향평가 결과에 따라, 그 밖의 사업자는 위험도 분석에 따른 결과에 따라 각각 암호화 적용여부나 적용범위를 정할 수 있다.
개인정보 저장시 암호화를 적용하는 경우엔 시행일로부터 3개월 이내에 암호화 계획을 수립하고, 계획 수립일로부터 12개월 이내에 암호화를 적용해야 한다.
개인정보취급자가 개인정보처리시스템에 접속한 기록은 최소 6개월 이상 안전하게 보관`관리해야 한다.
개인정보처리시스템이나 업무용컴퓨터에 백신 소프트웨어 등 보안 프로그램 설치·운영도 필수사항이다. 이 경우, 보안 프로그램 자동 업데이트 기능 사용이나 하루 1회 이상 업데이트를 실시해야 하고, 긴급히 보안 업데이트가 발생할 시에도 적용 조치해야 한다.
개인정보를 보관하는 전산실, 자료보관실 등의 장소를 운영하고 있다면 출입통제 절차를 반드시 수립·운영하고, 개인정보가 포함된 서류나 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관해야 한다.
또 전산센터(IDC) 클라우드컴퓨팅센터 등과 계약을 통해 하드웨어, 소프트웨어 등을 임차, 임대해 개인정보를 처리하는 경우엔 계약서나 서비스수준협약서(SLA)에 이 기준에 준하는 수준의 안전조치 내용을 포함시켜야 이를 이행할 것으로 간주된다.
한편, ‘소기업 및 소상공인 지원을 위한 특별조치법 시행령’에 따른 소기업이나 소상공인은 이 기준에 따른 내부관리계획 수립 의무 대상에서 제외된다. 하지만 업무용컴퓨터를 대상으로 한 비밀번호 설정, 보안 프로그램 설치`운영, 고유식별정보 암호화 등 보안조치는 이행해야 한다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지