서미숙 에스엠에스 대표 msseo@smsinfo.co.kr
지난 7월 3500만 개인정보가 중국에 넘어가는 사상 최악의 SK커뮤니케이션즈 해킹사태가 발생했다. 지난해 발생한 개인정보피해사고가 1억건이 넘는다고 하니 재앙 수준이다. 최근 우리나라에선 대량의 개인정보 유출사고가 끊임없이 발생했다. 사회 전 분야에 걸쳐 적용되는 체계적인 개인정보보호 제도의 필요성은 절실하다.
이미 개인정보가 밖으로 다 세어나가 지킬 것도 없는데 이제 와서 개인정보보호법이 무슨 필요가 있겠냐고 말하는 이들도 있다. 하지만 개인정보보호법이 강화되면 기업의 책임이 강화됨은 물론 정보유출로 인한 2·3차 피해를 최소화할 수 있다.
개인정보보호의 시작은 이용자 개인정보가 분실·도난·누출·변조 또는 훼손되지 않도록 안정성을 확보하기 위해 조직 내부의 개인정보 관리계획 수립하는 데서 시작된다. 내부관리계획에는 반드시 개인정보관리책임자의 의무·책임에 관한 사항, 개인정보 처리 단계별 기술적·관리적 보호조치에 관한 사항, 정기적 자체감사에 관한 사항, 개인 정보취급자에 대한 교육 수립 및 실시 등 개인정보보호를 위해 필요한 사항이 포함돼야 한다.
물리적인 조치의 예로는 임직원 혹은 별도의 인가된 자에게 보안기능이 탑재된 출입카드 발급, 핵심정보자산 보존과 관리를 위한 보호구역 표지 부착, 비인가자의 접근을 효과적으로 차단할 수 있는 물리적 잠금장치 설치, 감시장치 설치 등이 있다. 기술적 조치에는 이용자 개인정보에 대한 불법적인 접근 차단을 위한 시스템 접근권한 관리, 식별·인증 등의 접근권한 확인, 침입차단시스템 및 침입탐지 시스템 설치·운영 등의 보호조치 등이 있다.
보호조치로는 △개인정보를 안전하게 저장·전송될 수 있도록 암호화 등의 조치 △접근기록 위변조 방지 △개인정보 파기 시 복구할 수 없도록 완전삭제 △악성 프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어 설치·운영 등이 필요하다. 이를 위한 대표적인 보안 제품군은 개인정보 검색 및 관리 솔루션, 데이터 완전삭제 솔루션, DB접근 제어 솔루션, 웹 화면 제어 솔루션, 웹 방화벽 등이 있다.
소규모 사업자는 사업자 규모에 맞게 시스템을 운영하면 된다. 자체 시스템 및 서버가 없는 중소〃영세 사업자는 인터넷데이터센터나 호스팅 업체 등이 제공하는 보안서비스를 이용하면 된다. PC만으로 업무를 처리하는 개인사업자는 운용체계가 제공하는 방화벽 기능을 이용하거나 암호화 SW를 이용해 파일을 암호화하고, PC 화면보호기(암호설정)사용, 바이러스 백신 등을 설치해 최상의 상태를 유지해야 한다. 사업자는 개인정보 취급자(직원 등)가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보존〃관리해야 하며, 월 1회 이상 정기적으로 확인〃감독해야 한다.
우리나라 기업의 핵심 기술이나 정보유출 사고는 91%가 내부직원이나 협력업체에 의해 일어난다고 한다. 무엇보다도 보안인식 수준 향상과 개인정보에 대한 기업의 윤리 의식부재와 주체자인 국민개개인의 보안의식이 시급하다. 관리민간·공공부문의 모든 개인 정보 처리자는 개인정보보호법을 정확히 알고 대비해야 한다.
100% 완벽한 보안시스템이란 없다. 보안시스템이 더욱 단단해지면 그 해킹수법 또한 더욱 치밀해진다. 기업과 국민개개인의 개인정보에 대한 관심과 능동적 개인정보관리, 보안시스템개발자들의 끊임없는 보안시스템의 개발만이 개인정보를 지키는 가장 효율적인 방법이다.