지난해 9월 개인정보보호법 시행령과 개인정보의 안전성 확보조치기준의 개정안이 시행되었습니다. 23년도 개정안에서는 정보주체의 권리 확대, 불합리한 동의제도 완화 등 국민의 권리를 실질적으로 보장하기 위한 제도들이 개선되었습니다.
기존에 개인정보처리자와 개인정보의 기술적·관리적 보호조치 기준에 따른 정보통신서비스 제공자를 별도로 구분하였으나 개인정보처리자로 통합되기도 했습니다. 또한 온·오프라인 사업자에게 각각 다르게 적용되었던 개인정보 안전조치 기준을 일원화하여 모든 개인정보처리자를 대상으로 적용하게 되었습니다. 그러나 확대 적용되는 대상자에게는 1년간 적용을 유예하여 9월 15일, 강화된 개인정보 안전성 확보조치가 시행될 예정입니다.
이번 개인정보 안전성 확보조치 기준 시행으로 인해 주요 개인정보 처리시스템을 보유·운영하고 있는 정부부처와 산하 공공기관은 기존 안전조치 의무 이외에 추가적인 안전조치 의무를 준수해야 합니다.
공공분야의 개인정보보호 의무 강화
주요 개인정보를 대량으로 보유하고 있는 공공기관에서는 개인정보 유출사고가 발생할 경우 큰 피해로 이어질 수 있습니다. 개정된 개인정보 안전성 확보조치 기준에는 공공기관의 개인정보 유출을 방지하기 위한 내용들이 담겨있습니다.
개인정보 보유량 100만건 이상, 개인정보 취급자 200명 이상, 민감·고유식별정보 등을 처리하는 공공시스템을 운영하는 주요 공공기관은 개인정보보호 책임자 외에도 해당 시스템별로 개인정보보호 책임자를 추가로 두어야 합니다. 또한 인사정보 자동연계를 통해 권한 없는 자의 시스템 접근을 원천 차단하는 조치를 취해야 합니다. 계정별 이용 권한은 업무 분장에 맞게 최소한으로 부여할 수 있도록 하였으며, 접속기록에 대한 점검 강화 등 추가적인 안전조치 의무를 수행해야 합니다.
이외에도 공무원이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 한번이라도 바로 파면·해임 가능하도록 하였으며, 형사처벌도 가능하게 하였습니다. 또한 개인정보 보호 전담인력 및 시스템을 확충하도록 하여 공공기관에서 개인정보보호를 위한 노력들이 적극적으로 이어질 것으로 예상됩니다.
강화된 개인정보 안전성 확보조치
개인정보 안전성 확보조치 기준에서는 공공기관·오프라인 개인정보처리자에게만 적용되었던 사항들이 전체 개인정보처리자로
확대 적용되었습니다.
특히 일정 횟수 이상 인증 실패시 개인정보처리시스템 접근을 제한하는 것과, 개인정보처리시스템
접속기록 월 1회 이상 점검 의무가 전체 개인정보처리자로 확대되어 모든 개인정보 처리자들의 주의가 필요합니다.
제5조 (접근권한의 관리)
6. 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를
일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적
조치를 하여야 한다.
제8조 (접속기록의 보관
및 점검)
2. 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리계획으로 정하는 바에 따라
그 사유를 반드시 확인하여야 한다.
또한 그동안 정보통신서비스 제공자에게만 적용되었던 인터넷망 구간으로 개인정보 전송 시 안전한 암호화 조치 의무와
개인정보가 포함된 인쇄물, 복사된 외부 저장매체 등을 안전하게 관리하기 위한 보호조치 마련 의무가 개인정보처리자에게
적용되었습니다.
제7조 (개인정보의 암호화)
4. 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를
정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는
해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
제12조 (재해·재난 대비 안전조치)
2. 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
이외에도 암호키관리 절차 수립·시행 및 재해·재난 대비 위기대응 매뉴얼 마련 및 개인정보처리시스템 백업·복구 계획을
포함하는 안전조치 등의 의무가 10만명이상의 개인정보를 처리하는 대기업·공공기관, 100만명 이상의 개인정보를 처리하는 중소기업의 개인정보처리자에게
적용됩니다.
신시웨이의 DB보안 솔루션
이처럼 전체 개인정보처리자로 대상이 확대됨에 따라 개인정보를 취급하는 기업에서는 의무규정을 위반하지 않도록 철저하게
대비해야 합니다. 신시웨이의 DB접근제어 솔루션 페트라(PETRA)와 DB암호화 솔루션 페트라 사이퍼(PETRA CIPHER)를 통해 기업에서는 개인정보보호법 등 관련 법률에 대비할 수 있습니다.
DB접근제어 솔루션 페트라(PETRA)는
DB에 대한 불법적인 차단을 막고 데이터를 안전하게보호하여 개인정보보호법과 개인정보의 안전성 확보조치기준에
대비할 수 있는 솔루션입니다. 페트라는 DB사용자 인증, SQL데이터 마스킹, 완벽한 감사 및 로그관리 등의 차별화된 기능과
성능으로 완벽한 DB접근제어 통제를 제공합니다. 또한 다양한
환경에서의 최적화된 구성을 위해 Gateway, Sniffing, Agent, Hybrid 방식을 지원하며, 내부 업무 환경 변화에 따라 구성 변경을 지원합니다.
[DB접근제어 솔루션 페트라(PETRA)]
개인정보의 안전성 확보조치기준 제7조에서는 개인정보처리자의 개인정보의
암호화 의무에 대해 정의하고 있습니다. 신시웨이의 DB암호화
솔루션 페트라 사이퍼(PETRA CIPHER)는 기업이 보유한 개인정보를 다양한 방식으로 암호화하여
안전하게 보호하고, 이를 통해 법적 신뢰수준을 향상시킬 수 있는 솔루션입니다.
[DB암호화 솔루션 페트라사이퍼(PETRA CIPHER) Plug - In방식]
[DB암호화 솔루션 페트라사이퍼(PETRA CIPHER) API방식]
기업과 기관들은 보안 강화와 함께 안정적인 서비스와 성능을 고려하고 있습니다.
플러그 인 방식은 프로그램의 소스코드 변경을 최소화할 수 있다는 장점을 갖고는 있지만 데이터베이스 안에서 많은 절차를 거치기 때문에 API 방식 암복호화 속도가 느리고 관리 요소도 증가하게 되며, DB서버의
리소스를 사용하기 때문에 안정적인 서비스 운영을 고려하여 현재 플러그 인 방식은 많이 사용하지 않는 추세입니다.
따라서 암호화 구축에는 인프라 환경과 서비스 환경을 고려하여 각각의 방법(Pulg-in, SQL
API, Language API, Hybrid)에 맞게 구축하는 것이 무엇보다 중요합니다.
개인정보 유·노출 사고 등 기업에서 발생한 보안사고 관련 뉴스를 종종 접할 수 있습니다. 개인정보 유·노출 사고로 인해 기업들은 수많은 과태료 혹은 과징금을 부과하게 되기도 합니다. 특히 공공기관이나 금융기관 등 다량의 개인정보를 처리하는 기업은 개인정보를 안전하게 보호하기 위한 기술적 조치가 필요합니다. 신시웨이의 DB보안 솔루션을 통해 소중한 개인정보들을 지켜나갈 수 있습니다.
-
PREV 8월 4주차 보안 알리미
2024-08-30 -
NEXT 9월 1주차 보안 알리미
2024-09-06