중소기업의 개인정보 기술적 보호조치 방안 연구

2.1 기업의 규모를 고려한 개인정보보호

기업의 개인정보 유출 등의 각종 침해사고는 브랜드 이미지 및 기업 신뢰의 하락으로 경영 전체를 악화시킬 수 있다. 이러한 발생 가능한 문제를 해결하기 위해서는 개인정보보호를 위한 기술적 조치 마련이 기업차원에서 필요조건이 되었다. 개인정보보호 이행이 재무, 고객, 업무, 지속성장 관점에서 기업 성과 측면에 유의한 수준에서 영향을 미치므로 개인정보보호를 위한 기술적 방안 마련은 기업의 지속적 성장을 이루기 위한 선결요건이라 할 수 있다[4].

개인정보보호법이 시행되기 전인 2011년 이전까지는 국가기관 및 공공기관에서의 개인정보보호조치 방안은 정보통신망법에 명시되어 있는 개인정보보호 조항을 준수하여 수립되었다. 그러나 2011년 9월 30일 이후 개인정보보호법이 시행되면서 개인정보를 소홀하게 관리한 기업들도 개인정보보호조치 방안을 수립할 필요가 생기게 되었다.

정보통신망법 제28조와 시행령 제9조에서는 개인정보 보호조치에 대한 사항이 명시되어 있다. 정보통신서비스 제공자 등이 개인정보를 처리할 때에는 개인정보의 분실, 도난, 유출, 위조, 변조, 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립 및 시행 그리고 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 통제장치의 설치, 운영 및 접속기록의 위조, 변조 방지를 위한 조치와 개인정보를 안전하게 저장, 전송할 수 있는 암호화 기술 등을 이용한 보호조치 등의 기술적, 관리적 조치를 하여야 한다[5].

개인정보보호법은 개인정보의 수집 및 관리, 처리방침 등에 대한 사항을 명시하고 있으며, 개인정보의 관리와 관련하여 개인정보 보호원칙, 국가 및 기업의 책무, 개인정보 취급자에 대한 감독에 대한 사항 및 개인정보시스템의 안전조치에 대한 의무를 정의하고 있다[5].

정보통신망법의 개인정보 보호조치에 대한 규정은 정보통신사업자의 특이사항이 고려된 법률이며, 개인정보보호법은 민간기업의 규모 및 업종별 특이사항이 고려되지 않은 일반법 성격의 법률이라고 할 수 있다. 해당 법률에 따라 실제적인 개인정보보호가 이루어지기 위해서는 기업의 규모에 따라 예산 및 시스템 지원 등이 개인정보보호를 위한 기업의 전사적 지원 여부가 결정되므로, 기업의 규모를 고려하는 것은 매우 중요하다. 일반적으로 기업은 규모별로 1인 또는 5인 이하의 사업자인 소상공인, 상시근로자 300명 미만의 중소기업 그리고 상시근로자 수가 300명 이상인 대기업으로 분류된다. 이러한 기업의 규모에 따라 개인정보보호를 위한 지원이 달라지므로 소상공인, 중소기업 그리고 대기업에 맞는 개인정보 보호조치 방안을 수립할 수 있도록 해야 한다[5]. 중소규모의 기업에 개인정보보호법을 그대로 적용하면 개인정보보호를 위한 정책과 시스템 구축 및 운영에 대한 비용 지출에 대해서 현실적인 문제가 발생한다. 민간 기업의 경우 비용 등의 필요 요소를 자체적으로 해결해야 하고, 대기업의 경우 개인정보보호를 위하여 시스템을 구축하는 등에 대한 비용을 지출할 수 있지만 많은 중소기업의 경우 이러한 비용을 지출하는 것이 쉽지 않아 개인정보보호 방안 적용에 어려움이 크다.

따라서 현실적이고 효율적으로 개인정보를 보호하기 위해서는 기업의 규모를 고려하여 그에 맞는 개인정보보호를 위한 보호조치 방안을 수립하는 것이 반드시 필요하다고 할 수 있다.

2.2 개인정보 안전성 확보조치 기준의 개정

2019년 개인정보처리시스템의 관리기준을 명확하게 하고, 개인정보의 오·남용 및 유출사고 등 침해사고 예방 및 개인정보 침해사고 시 사후 추적 관리 강화 내용을 구체화하여 개인정보의 안전성 확보조치 기준이 개정되었다.

개인정보 안전성 확보조치 기준 제2조 제19항에서 기존에는 개인정보처리취급자가 개인정보처리시스템에 접속한 사실에 대한 기록을 정의하였으나 개인정보처리취급자가 개인정보처리시스템에 접속하여 수행한 업무내용 및 접속지 정보 그리고 정보주체정보를 추가하여 개정되었다. 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무는 개인정보취급자 등이 개인정보처리시스템에 접속한 사실과 접속하여 수행한 업무내역을 확인하는데 필요한 정보를 의미한다. 계정은 개인정보처리시스템에서 접속자를 식별할 수 있도록 부여된 ID 등의 정보이며, 접속일시는 접속한 시점 또는 업무를 수행한 시점이다. 접속지 정보는 개인정보처리시스템에 접속한 자의 컴퓨터 또는 서버의 IP 주소 등이며, 처리한 정보주체 정보는 개인정보취급자가 누구의 개인정보를 처리하였는지를 알 수 있는 ID, 고객번호, 학번, 사번 등의 식별정보를 의미한다. 수행업무는 개인정보취급자가 개인정보처리시스템을 이용하여 처리한 내용을 알 수 있는 정보로 검색, 열람, 조회, 입력, 수정, 삭제, 출력, 다운로드 등이 있다[6].

개인정보 안전성 확보조치 기준 제4조 내부관리계획은 세부적으로 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등의 내용이 추가되었으며, 전사적인 계획 내에서 개인정보가 관리될 수 있도록 최고경영층으로부터 내부결재 등의 승인을 받아 모든 임직원 및 관련자에게 알림으로써 이를 준수할 수 있도록 하고 있다. 개인정보보호책임자는 내부관리계획의 적정성과 실효성을 보장하기 위하여 연1회 이상 내부관리계획에 따른 기술적·관리적 안전조치의 이행 여부를 점검 및 관리해야 한다. 내부관리계획의 이행 실태 점검관리 결과에 따라 적절한 조치를 취하여야 하며, 중대한 영향을 초래하거나 해를 끼칠 수 있는 사안 등에 대해서는 사업주 및 대표임원 등에게 보고 후 의사결정 절차를 통하여 적절한 대책을 마련하여야 한다[6].

개인정보 안전성 확보조치 기준 제8조 접속기록의 보관 및 점검에서는 기존에는 접속기록을 6개월 이상 보관하였지만 이를 1년 이상 보관하는 내용으로 개정이 되었다. 또한, 5만 명 이상의 개인정보를 보유하고 있는 경우와 고유식별정보 또는 민감정보를 처리하는 경우에는 접속기록을 2년 이상 보관하도록 하고 있다. 그리고 개인정보의 오·남용에 대한 부분이 추가되었으며, 개인정보처리자가 개인정보를 다운로드하면 그 사유를 반드시 확인해야만 한다. 접속기록에는 개인정보취급자가 개인정보처리시스템에 접속하여 처리한 업무내역을 알 수 있도록 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보를 기록하여야 한다. 기록하는 정보주체 정보의 경우 민감하거나 과도한 개인정보가 저장되지 않도록 하여야 하며, 검색 조건문을 통해 대량의 개인정보를 처리했을 경우 해당 검색 조건문을 정보주체 정보로 기록할 수 있으나, 이 경우 DB테이블 변경 등으로 책임추적성 확보가 어려울 수 있으므로 해당 시점의 DB를 백업하는 등 책임추적성 확보를 위해 필요한 조치를 취하도록 하고 있다. 개인정보처리자는 접속기록을 최소 보관기간 이후에도 즉시 삭제하지 않고 책임추적성을 확보하기에 충분한 기간 동안 보관·관리할 수 있도록 개인정보처리시스템에 저장된 개인정보의 중요도 및 민감도 등을 고려하여 내부관리계획에 보관기간을 정하고 이를 이행하여야 한다. 비인가자의 개인정보처리시스템 접속 시도 기록 및 정보주체에 대한 접속기록까지 보관·관리하고 정기적인 확인·감독 등을 통하여 개인정보처리시스템에 대한 불법적인 접근 및 비정상 행위 등에 대한 안전조치를 강화하도록 하고 있다[5]. 개인정보처리자는 개인정보처리시스템의 접속기록을 월1회 이상 정기적으로 점검하여야 하며, 이를 통해 비인가된 개인정보 처리, 대량의 개인정보에 대한 조회, 정정, 다운로드, 삭제, 출력 등의 비정상 행위를 탐지하고 적절한 대응조치를 할 필요가 있다. 특히, 개인정보처리시스템에 접근하여 개인정보를 다운로드 한 경우에는 내부관리계획으로 정하는 바에 따라 그 사유를 확인하고, 개인정보취급자가 개인정보의 오·남용이나 유출을 목적으로 다운로드한 것이 확인되었다면 지체 없이 개인정보취급자가 다운로드 한 개인정보를 회수하여 파기하는 등 필요한 조치를 하여야 한다[6].

2.3 중소기업의 개인정보보호를 위한 국가적지원

통계청의 2017년 기준 영리법인 기업체 행정통계 잠정 결과에 따르면, 2017년 기준으로 국내 중소기업은 전체 사업체 수의 99.8%이며, 또한 중소기업의 종사자 수는 전체 기업규모별 종사자 수의 82%를 차지하고 있다. 중소기업은 사업체 수 및 고용 그리고 부가가치 점유율 등에서 우리나라 경제에 차지하는 비중이 매우 높으며, 전체 산업의 다양화 및 지역경제의 균형을 이루며 발전하므로 국가의 경제적, 사회적, 정치적 안정에 기여하여 왔다고 할 수 있다.

산업 전반에 IT를 통한 기업의 정보화가 기업 경쟁력을 확보하는데 필수적인 요소가 되면서 국가에서는 중소기업을 위해서 정보화 지원 사업을 지속적으로 실시하여 중소기업이 정보화를 통해 성과가 향상될 수 있도록 하는데 기여하였다[7][8]. 국가적 지원으로 중소기업의 정보화 수준은 대기업과의 격차가 어느 정도 감소되었으나 정보보호 및 개인정보보호에 대해서는 여전히 전문지식이 부족하고, 이에 대한 투자가 미흡하기 때문에 그 수준이 낮고 취약한 것이 현실이다. 국가에서는 이러한 중소기업의 개인정보보호 문제점을 해결하기 위해 표 1과 같이 지역별 정보보호지원센터를 통한 중소기업의 정보보호 역량 강화를 위한 정보보호서비스 지원책에 포함하여 개인정보보호 활동을 지원하고 있다.

Table 1.

Status of information protection service in the information security support center

또한, 한국인터넷진흥원은 컨설팅 및 솔루션 도입 서비스로 종합컨설팅과 약식컨설팅의 서비스 항목을 지원한다. 종합컨설팅은 보안현황 및 취약점분석, 모의해킹, 정보보호 정책ᆞ기술 진단 등 중소기업별 맞춤형 정보보호 컨설팅을 지원하며, 정보보호 솔루션 및 보안제품 구입비용을 최대 300만원까지 지원한다. 약식컨설팅은 PC, 홈페이지, 이메일 등 기본적인 정보보호 수준 진단과 클라우드 기반의 보안 서비스(SECaas: SECurity as a Service) 이용료를 최대 180만원까지 지원한다[9]. 특히 개인정보보호 기술지원에 대해서는 개인정보기술지원센터를 통해 개인정보보호법에서 요구하는 의무사항 조치에 대해 비용, 기술 등의 측면에서 어려움을 느끼는 소상공인, 50인 미만의 중소사업자 및 비영리단체를 대상으로 개인정보보호 수집부터 파기까지 단계별 법적 의무사항 조치방법을 안내하고, 문서, 업무용 PC, 홈페이지 상의 개인정보를 안전하게 관리하는 방법 등 개인정보보호에 필요한 무료 컨설팅을 지원하고 있으며, 업무용 PC의 보호조치 사항을 사용자가 자율적으로 점검할 수 있는 업무용 PC 보호조치 점검도구를 제공하고 있다. 그러나 이러한 국가적 지원은 수많은 중소기업의 개인정보보호를 지원하기에는 매우 부족한 것이 현실이다.

2019 개인정보보호 연차보고서에 따르면, 암호화 대상 개인정보 보유 현황에서 공공기관은 80.8%, 대기업을 포함한 민간기업의 경우 83.7%가 가장 민감한 개인정보라고 할 수 있는 주민등록번호를 보유하고 있는 것으로 나타났다. 그러나 공공기관의 경우 78.3%가 정보화 및 정보보호(개인정보보호) 전담부서에서 개인정보보호 업무를 담당하지만, 대기업을 포함한 민간 기업에서는 62.0%가 일반 관리부서에서 담당하고 있으며, 그 중 20.0%는 개인정보보호 업무 담당부서가 없는 것으로 나타났다. 또한 가장 기본적인 개인정보보호 조치인 개인정보처리방침의 작성·공개 및 갱신에서 공공기관의 99.5%는 개인정보처리방침을 작성하여 공개하고 있으며, 최근 1년 이내에 갱신한 것으로 조사된 반면 민간기업의 경우 54.6%가 개인정보 처리방침을 갱신한지 1년 이상이었으며, 작성 이후 전혀 갱신하지 않은 기업도 19.8%나 되는 것으로 조사되었다[10].

따라서 대기업을 포함한 민간기업의 경우 기본적인 개인정보 보호조치가 부족한 것으로 나타나고 있으며, 대기업을 제외한 중소기업의 경우는 개인정보보호 환경이 더 열악하다고 할 수 있을 것이다. 개인정보보호 환경을 개선하기 위해서는 중소기업을 위한 개인정보보호에 대한 지원 규모를 확대하는 것도 필요하지만 그에 앞서 자율적으로 개인정보보호를 위한 기술적 보호조치를 수립하고 시행할 수 있도록 그에 맞는 현실적인 조치방안을 마련하여 제시하는 것이 필요하다고 할 수 있다.

2.4 기업의 규모별 개인정보보호 인식 및 환경의 차이 비교

2.4.1 개인정보 유출

표 2와 같이 기업규모별 개인정보 유출사고의 원인에 대해 조사한 자료를 분석하면 해킹ᆞ및 악성코드 등 외부공격이 42.4%로 가장 높게 나타났으며, 내부직원의 실수로 인한 유출이 26.3%, 내부직원의 고의 유출이 6.7%, 외부인 등에 의한 유출이 24.6%로 나타났다. 이와 같이 개인정보 유출사고는 외부공격(42.4%)과 내부직원의 실수 및 고의(33.0%)가 원인이 되어 높게 발생되는 것으로 조사되었다[11]. 개인정보 유출사고가 내부직원에 의해 높게 발생되는 주요 원인 중 하나로 내부직원이 USB 등 보조저장매체로 자료를 복사하여 외부로 반출하는 것을 들 수 있으며, 또한, 이메일 및 메신저 등을 이용하여 외부로 자료를 전송할 수 있는 환경이기 때문이다. 특히 중소기업에서는 USB 등 보조저장매체를 통제할 수 있는 기술적 기반이 마련되어 있지 않기 때문에 개인정보 유출을 통제할 수 없고, 특히, 외부 협력회사와 이메일 등을 주고받을 때 내부직원의 실수로 개인정보파일을 첨부하여 전송하는 등 실수로 인한 개인정보 유출의 경우도 이를 통제할 수 있는 정책적·기술적 기반이 부족한 것으로 분석할 수 있다.

Table 2.

Recognition of the cause of personal information leakage incidents

개인정보 유출사고 발생 시 표 3과 같이 처벌 강도가 부족하다고 조사되었는데, 특히 기업 규모가 작을수록 개인정보 유출사고 발생 시 처벌 강도가 부족하다고 응답하였다[10].

Table 3.

Punishment intensity for personal information leakage incidents

이러한 결과는 중소규모의 기업의 경우 기술적인 투자를 하는 것보다 국가의 정책으로 처벌 강도를 높여 개인정보 유출사고를 사전에 방지할 수 있게 되기를 바라는 기대심리가 투영된 것이라고 볼 수 있다. 중소기업 입장에서는 개인정보 유출을 방지하기 위한 투자비용이 부담되기 때문에 처벌을 높여 직원 및 일반 이용자의 개인정보보호에 대한 경각심을 높이기 위한 심리가 반영되어 있다고 볼 수 있다.

표 4와 같이 개인정보 유출사고에 대응하기 위한 방안으로 내부 대응 프로세스 수립이 45.1%로 가장 높게 나타났으며, 별도의 대응방안 없음(28.6%) 순으로 조사되었다[11]. 내부 대응 프로세스 수립의 경우 개인정보보호법 이행을 위한 관리적 보호조치 마련의 일환으로 내부관리계획서를 수립하는 것을 의미한다. 내부관리계획서의 경우 다른 항목에 비해 상대적으로 낮은 비용투자로 적용 가능하다.

Table 4.

Efforts to respond to personal information leakage incidents

별도의 대응방안 없음 항목에 대한 답변 비율을 살펴보면 대기업이 13.0%인 반면 중소규모 기업의 경우 각 30.0%, 46.9%로 답변률의 차이가 매우 크다는 것을 알 수 있으며, 이를 통해 중소규모의 기업의 경우 개인정보 유출사고 대비 대응을 위한 환경이 매우 열악함을 알 수 있다.

2.4.2 기업의 규모별 개인정보 관리 규모

기업의 규모가 클수록 직원의 수가 많고, 거래하는 협력회사 및 고객이 많기 때문에 표 5와 같이 개인정보 관리 규모가 크게 나타난다. 수집하고 있는 개인정보 유형은 기업규모에 상관없이 모두 성명이 가장 많은 것으로 나타났으며, 전화번호, 생년 월일, 성별 등의 순으로 확인되었다. 중소규모의 기업의 경우 대기업에 비해 관리하고 있는 개인정보의 규모가 작지만, 5만 명 이상의 개인정보를 관리하고 있는 기업이 31.9%를 차지하고 있는 만큼 그 비율이 작다고 할 수 없으며, 우리나라 기업체의 99.8%가 중소기업인 점을 감안하면, 중소기업을 위한 개인정보 보호조치를 마련하는 것은 매우 중요하다고 할 수 있다.

Table 5.

Scale of personal information management based on the size of businesses

2.4.3 기업의 규모별 개인정보 침해 이슈 및 보호 조치의 유사점과 차이점

기업 규모별로 개인정보 유출사고는 기업규모와 상관없이 표 2와 같이 해킹 및 악성코드 등 외부공격(42.4%)과 내부직원의 실수 및 고의(33.0%)가 원인이 되어 높게 발생되는 것으로 나타났다. 앞서 설명한 것과 같이 개인정보 유출사고가 내부에서 높게 발생하는 것은 내부직원이 USB 등 보조저장매체로 자료를 쉽게 복사하여 외부로 반출할 수 있고 이메일 및 메신저 등을 통하여 외부로 자료를 손쉽게 전송할 수 있기 때문이며, 이는 중소규모의 기업에서 더욱 빈번하게 나타난다.

기업의 규모가 클수록 외부공격에 의한 사고 비율이 낮게 나타나는데, 이는 기업의 규모가 클수록 방화벽, IPS, DDoS 솔루션 등 정보보호 솔루션에 대한 투자가 가능하기 때문이라고 할 수 있다. 기업의 규모가 작을수록 방화벽, IPS 등의 보안 솔루션 도입에 투자할 수 있는 여력이 부족하므로 외부공격에 대하여 취약할 수밖에 없다. 내부직원에 의한 고의 유출도 기업의 규모가 클수록 그 비율이 낮게 나타나데 이는 DLP, DRM 등의 보안 솔루션에 대한 투자가 이루어져 있기 때문이라고 할 수 있다.

개인정보보호 교육 등을 통해 내부 직원의 인식을 향상시키고는 있지만 여전히 개인정보보호에 대한 인식이 많이 개선되지 않다는 것을 알 수 있으며, 내부직원의 실수에 대하여 기술적인 보호조치를 더 다루어야 한다는 것을 알 수 있다. 또한, 개인정보 유출사고 원인에 대해 여전히 사회적 인식이 부족하고, 개인정보의 과다한 수집이 실수로 이어지는 것으로 볼 수 있다.

개인정보의 안전한 관리를 위하여 기업들은 내부 대응 프로세스를 수립하여야 한다. 표 6과 같이 기업의 규모에 상관없이 개인정보의 안전한 관리를 위한 조치로 내부관리계획의 수립·시행이 가장 높게 나타났다. 기업 규모별로 차이점은 300명 이상의 대기업의 경우 고가의 보안 솔루션인 접근통제시스템에 투자하여 개인정보가 안전하게 관리될 수 있도록 하는 것이 두 번째로 높은 개인정보 보호조치로 선택된 반면, 300명 미만의 중소규모의 기업은 잠금장치보관을 꼽았다는 것이다. 기업의 규모가 작을수록 데이터 파일보다 서류에 개인정보를 관리하는 경우가 많아 개인정보가 적힌 서류를 서고의 잠금장치를 통해 보관을 하고, 기업의 규모가 큰 300명 이상의 기업에서는 서류 대신 파일 형태로 저장되어 있는 개인정보 관리 환경을 일정 부분 반영한 것이라고 할 수 있다. 그러나 업무의 전산화 및 정보의 디지털화는 일부 규모가 큰 기업에만 적용되는 것이 아닌 우리 사회의 일반적인 현상이 된 현재, 개인정보보호 조치 마련의 기업 규모별 경제적 차이점을 뚜렷하게 보여주는 것이라고 할 수 있을 것이다.

Table 6.

Measures for the safe management of personal information

현재의 내부 대응 프로세스를 보면 기업의 규모가 클수록 보안 솔루션에 대한 투자가 이루어져 안전하게 개인정보가 관리되고 있지만 기업의 규모가 작을수록 보안 솔루션에 대한 투자가 제대로 이루어지지 않고, 낮은 비용으로 개인정보를 관리하는 있는 것을 확인할 수 있다. 이와 같이 개인정보를 안전하게 관리하기 위해서는 기술적인 보호조치가 반드시 필요하며, 비용 투자에 부담을 가지고 있는 규모가 작은 기업에 대해서는 자율적으로 개인정보보호를 위한 기술적 보호조치를 수립하고 시행할 수 있도록 그에 맞는 현실적인 조치 방안을 마련하여 제시하는 것이 필요하다는 것을 알 수 있다.

3.1 개인정보보호를 위한 일반적인 기술적 보호조치

3.1.1 네트워크 보안

개인정보의 안전성 확보조치 기준에 따르면, 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 인가받지 않은 접근을 제한하고 불법적인 개인정보 유출 시도를 탐지 및 대응하여야 한다. 또한, 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 조치를 하여야 한다.

개인정보보호를 위한 안전성 확보조치 기준을 만족시키기 위해서는 개인정보보호를 위한 네트워크 영역에서는 표 7과 같이 방화벽, IPS, 웹 방화벽, VPN을 통하여 기술적 보호조치가 가능하다.

Table 7.

General technical protection measures for personal information protection in network security area according to criteria for securing personal information safety

외부 네트워크에서 내부 네트워크로 유입되는 트래픽 또는 내부 네트워크에서 외부 네트워크로 나가는 트래픽에 대하여 IP 및 포트로 허용하거나 차단할 수 있는 기능을 고려하여 방화벽으로 보호조치를 하고, 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 공격패턴 시그니처로 제어하는 기능을 고려하여 IPS로 보호조치를 할 수 있다. 또한 일반적인 방화벽과는 달리 웹 트래픽을 분석하여 공격을 탐지하고 차단하는 기능을 고려하여 웹 방화벽으로 보호조치를 한다. 웹 방화벽의 경우 정보 유출 방지 및 웹사이트 위·변조 방지에 대한 기능도 보유하고 있다. 그리고 공중망 구간 암호화 통신 기능을 고려하여 VPN으로 보호조치를 한다.

3.1.2 PC 보안

개인정보의 안전성 확보조치 기준에 따르면, 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 업무용 컴퓨터에 암호화하여 저장하여야 하며, 개인정보가 열람권한이 없는 자에게 공개되거나 유출되지 않도록 보호조치를 하여야 한다.

PC 보안에 대하여 DLP 및 DRM 그리고 백신 프로그램으로 [표8]과 같이 개인정보보호조치를 할 수 있다. 이메일 등에 첨부하여 전송하는 파일을 차단하고, 인가되지 않은 보조저장매체를 차단하는 기능을 고려하여 DLP로 보호조치를 한다. 문서의 암호화를 통해 허가된 사용자만이 문서를 활용할 수 있도록 DRM으로 보호조치를 할 수 있다. 그리고 PC에 침입한 악성코드를 치료하는 기능을 가진 백신 프로그램으로 보호조치를 한다.

Table 8.

General technical protection measures for personal information protection in PC security area according to criteria for securing personal information safety

3.1.3 서버 보안

개인정보의 안전성 확보조치 기준에 따르면, 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 개인정보처리시스템에 암호화하여 저장하여야 하며, 업무 수행에 필요한 접근권한을 최소한의 범위로 업무 담당자에 따라 차등 부여해야 한다.

개인정보보호를 위한 안전성 확보조치 기준을 만족시키기 위해서는 서버 보안에 대하여 DB 접근제어 및 DB 암호화로 표 9와 같이 개인정보보호를 위한 기술적 보호조치를 할 수 있다. DB 접근자의 접속 시간대별 제어 및 SQL 구문별 권한을 제어하고 데이터 마스킹 및 감사로깅 기능을 고려하여 DB 접근제어로 보호조치를 하고, DB 서버 내의 개인정보 파일을 암호화해서 관리할 수 있는 DB 암 호화로 보호조치를 한다.

Table 9.

General technical protection measures for personal information protection in server security areas according to criteria for securing personal information safety

3.2 규모를 고려한 개인정보 기술적 보호조치

개인정보에 대한 실제적인 안전성 조치가 이루어 질 수 있도록 개인정보 안전성 확보조치 기준에서는 그림 1과 같이 개인정보 보유 현황 및 기업의 규모에 따라 완화형, 표준형, 강화형의 3가지 유형으로 차등적으로 분류하여, 해당 유형에 따라 개인정보의 안전조치 기준을 적용할 수 있도록 하였다. 유형3인 강화형의 경우는 개인정보 안전조치 제4조부터 제13조의 조치사항을 모두 적용해야 하며, 유형2인 표준형은 제4조부터 제11조, 제13조를 그리고 유형1인 완화형은 제5조부터 제11조, 제13조의 적용을 받는다. 이렇게 차등하게 분류된 안전조치 기준에 따르면 중소규모의 기업은 유형1부터 유형3까지 개인정보 보유량에 따라 모든 유형에 해당할 수 있다.

Fig. 1.

Different standards of safety measures according to the amount of personal information and the size of the businesses

개인정보보호를 위한 일반적인 기술적 보호조치와 규모를 고려한 중소기업 대상인 유형2의 개인정보보호를 위한 기술적 보호조치에 대한 차이점으로 제7조 6항의 암호키 관리부분이 제외되었다. 기업의 규모로 개인정보 안전성 확보조치 기준을 완화하였다고 하더라도 기술적인 보호조치에서는 특별히 효과를 볼 수 있다고 할 수 없다.

이를 개선하기 위해서는 단순하게 개인정보 보유량으로 유형을 분류하는 것보다는 개인정보를 민감정보와 간접정보로 분류하여 민감정보의 관리 보유량과 간접정보 관리 보유량으로 유형을 분류하여야 한다. 소상공인, 중소기업 및 대기업에 따른 간접 개인정보 보유량에 대한 유형은 대기업을 제외하고 소상공인과 중소기업의 유형을 동일하게 적용해도 개인정보보호 상의 큰 문제가 없으면서 이를 통해 중소규모의 기업에서도 기본적인 보호조치를 할 수 있도록 유도할 수 있다. 이러한 기준이 확립된다면 중소기업에서는 개인정보보호를 위한 투자비용에 큰 부담 없이 개인정보를 효율적으로 관리할 수 있을 것이다. [표10]은 간접 개인정보만을 보관하는 중소기업이 개인정보 안전성 확보조치 기준을 충족하도록 하는 개인정보보호 기술적인 보호조치로 개인정보처리시스템을 보유하고 있는 경우를 고려하였다.

Table 10.

Technical protection measures for personal information protection considering the size of the businesses

네트워크 보안에서 UTM은 방화벽 및 IPS 그리고 VPN 기능을 보유하고 있으며, 일부 웹 방화벽의 기능을 보유하고 있으므로, 민감 개인정보의 보유량이 적은 중소기업에서는 고가의 IPS 및 웹 방화벽을 설치하지 않아도 된다. 다만, UTM의 웹 방화벽 기능은 OWASP TOP10 취약점 및 국가정보원의 8대 취약점을 모두 방어하지는 못하지만 가장 많이 발생하는 인젝션 공격 등을 방어할 수 있기 때문에 UTM으로 적정 수준에서 웹 공격에 대해 방어를 할 수 있다. 그리고 기업 내부에 웹 서버가 존재하지 않는다면 공유기를 사용해도 외부의 공격에 대해 방어할 수 있으므로 공유기보다 고가인 UTM을 설치하지 않아도 된다. 이러한 경우 보안 강도는 다소 낮아지더라도 중소기업에서는 낮은 비용으로 보안 솔루션을 도입할 수 있다.

PC 보안에서 업무용 컴퓨터의 접근통제는 Cloud DLP를 사용한다. 전형적인 DLP는 DLP 관리 서버를 별도로 구축하고, 업무용 컴퓨터에 Agent를 설치하여 매체제어를 수행하므로 많은 비용이 발생하지만 Cloud DLP의 경우에는 별도의 DLP 관리 서버를 구축하지 않고, 업무용 컴퓨터에만 Agent를 설치하여 매체제어를 수행하므로 전형적인 DLP와 비교해도 기능적인 문제없이 비용을 절감하여 보호조치를 할 수 있다. 또한, 로그기록에 있어서 DLP 관리 서버에서 저장 공간이 부족한 경우 이를 해결하기 위해 별도의 비용을 지불하여 문제점을 조치해야 하지만 Cloud DLP의 경우에는 이러한 문제에 유연하다.

개인정보의 안전한 송신 및 전달 등을 위해 암호화 기술을 사용할 수 있으며, 이때, 개인정보의 암호화를 위해서 고가의 DRM을 구축하는데, 간접 개인정보의 경우 교육을 통해 오피스 파일을 생성할 때마다 암호화 기능을 통해 문서를 암호화 하는 정책을 구현할 수 있다. 서버 보안에서 접근 권한 및 기록을 위해 DB 접근제어를 구축해야 한다. DB 접근제어 솔루션에는 어플라이언스 솔루션과 소프트웨어 솔루션이 존재하며, 소프트웨어 솔루션의 경우 상대적으로 적은 비용으로 도입할 수 있으므로, 민감 개인정보 보유량이 낮은 중소기업의 경우 간접 개인정보에 대해서는 소프트웨어 DB 접근제어를 구축하여 보호조치를 하도록 한다.