행정안전부가 정보통신망을 이용하는 기업들을 대상으로 한 개인정보 암호화 기술 기준을 한층 강화하기로 했다. 현재 암호화 기술 기준을 토대로 주민등록번호 등의 개인정보를 암호화하면 해커가 이를 해독할 가능성을 배제할 수 없기 때문이다.
행정안전부는 정보통신망법 준용 사업자를 대상으로 한 개인정보 암호화 기술 기준을 강화한 해설서를 빠르면 상반기 내 발간할 계획이라고 24일 밝혔다. 행정안전부는 새로 내놓는 해설서에 ‘안전한 암호화 알고리즘’을 사용해야한다고 명시된 현행 기준에 블록암호화·권한통제·키 기밀성 유지 등의 세부 기준을 추가하기로 했다.
이에 따라 정보통신 서비스 기업들은 새로운 암호화 기술 기준에 맞게 고객의 개인정보를 암호화하거나 이미 개인정보를 암호화한 기업들은 기존 시스템을 한 단계 업그레이드해야 한다. 현행 정보통신망법은 지난달 28일부터 기업이 고객 개인정보를 의무적으로 암호화해 저장하도록 규정하고 있다.
한국해킹보안협회 한호현 전무는 “현재 암호화 기술 기준을 적용하면 해독이 쉬워, 개인정보를 암호화해 저장한 기업이 해킹을 당해 개인정보를 유출해도 법적으로 그 책임을 강하게 질책할 수 없는 등 자칫 허술한 암호화 기준이 기업에 면죄부로 작용할 수 있다”고 말했다.
이글로벌시스템 관계자는 “개인정보 기술적·관리적·보호조치기준 해설서에서 부족한 부분을 보완하면 해커가 시스템에 침투해서 개인정보를 빼내도 해독하기 힘들어진다”며 “개인정보보호를 보다 철저하게 보관관리할 수 있을 것”이라고 말했다. 그는 또 “기준이 강화되면 개인정보 암호화를 허술히 한 기업들은 개인정보 암호화 솔루션을 업그레이드하는 등의 조치를 취해야 할 것”이라고 덧붙였다
임종인 고려대 교수는 “법적 의무화 사항이기때문에 해당 업체들이 개인정보 암호화를 하는 시늉은 하겠지만, 제대로된 암호화를 하고 키 관리를 포함한 관리를 어떻게 하느냐가 더 중요하다”고 강조했다.
이경원기자 won@etnews.co.kr