적절한 기술적 보호조치란?

정보통신망상에서 적절한 기술적 보호조치라고 하면, 대부분은 고가의 보안장비의 구매나 설치라고 생각하기 쉽다. 하지만 단순히 보안장비를 구매해 설치하는 것만으로는 적절한 기술적 보호조치를 취하였다고 보기는 어렵다. 보안장비의 구축도 중요하지만, 그 보안장비를 파악하고 그 기능을 효율적으로 운용하는 것도 매우 중요하다. 다만 이러한 보안장비의 구매·구축이나 보안장비의 운용에 앞서 합리적인 보안정책을 수립하는 것이 선행되어야 한다.

합리적인 보안정책, 필요한 보안장비, 보안장비의 운용에 관해 기준이 될 수도 있는 규범이 있는데, 그것이 바로 정보통신망법 제28조 제1항, 같은 법 시행령 제15조 제6항에 근거한 ‘개인정보의 기술적·관리적 보호조치기준(이하 개인정보 보호조치기준)’이다. 따라서 적절한 기술적 보호조치란 이 보호조치기준을 잘 준수하는 것이다.

다만 주의할 점은 위 개인정보 보호조치기준은 해도 그만, 안 해도 그만인 보안 과정에서의 단순한 권고 사항이 아니라는 것이다. 위 기준은 강행규정이므로 이를 위반할 경우 2년 이하의 징역 또는 1천만 원 이하의 벌금과 1억 원 이하의 과징금이 부과되거나 3천만 원 이하의 과태료가 부과되는 등 형사 처분이나 행정처분 부과가 가능하고, 위 기준을 위반해 개인정보가 유출되면 개인정보주체들에 대한 손해배상책임이 발생하게 된다. 따라서 위 기준을 반드시 숙지하고 현장에 반영하는 노력이 필요하다.

DB 서버에 대한 인적 접근통제

개인정보가 보관된 DB 서버 보안에 있어서 가장 기초적인 조치는 DB 서버에 접근할 수 있는 사람 즉, 개인정보취급자를 최소한의 인원으로 한정시키는 것이다. DB 자료에 접근할 수 있는 사람이 명확히 정해져 있지 않거나 그 숫자가 너무 많으면 DB 자료의 유출 위험성이 더 커지는 것이 당연하다. 따라서 혹시라도 유출사고가 났을 경우 그 경로를 재빨리 파악하여 유출 정보의 회수를 도모하려면, 반드시 필요한 인원만 DB 자료에 접근할 수 있도록 미리 확정해야 한다. 또한, 인사이동으로 인하여 개인정보취급자가 교체될 경우에는 지체 없이 기존의 접근권한을 말소하여야 한다.

DB 서버에 대한 물적 접근통제

개인정보 접근권한이 특정 사람에게만 주어졌다고 하여 실제로 그 권한 제한이 지켜지기를 기대하는 것은 다소 순진한 발상이다. 때문에 개인정보 보호조치기준은 인사적으로 권한의 제한이 이루어지는 것에서 한 걸음 더 나아가, 아예 개인정보 DB 서버에 접근할 수 있는 IP 자체를 제한하도록 요구한다. 즉, 정해진 IP 주소에서만 DB 서버에 접속할 수 있도록 조치하라는 것이다.

이에 더하여, 개인정보취급자의 컴퓨터는 개인정보 DB와 같이 특별하게 다루어야 한다. 일단, 개인정보취급자의 컴퓨터는 외부 인터넷망과 철저히 분리시켜야 한다. 워낙 개인정보 유출사고가 자주 일어나다 보니 2013년 2월 18일부터 시행되는 개정된 개인정보 보호조치기준에서는 아예 개인정보취급자의 컴퓨터와 외부 인터넷망 사이에 망분리까지 하도록 규정한 것이다. 따라서 개인정보 DB에서 개인정보를 다운로드하거나 파기하는 등의 권한을 가진 사람은 외부 인터넷망이 차단된 업무망에서 업무를 수행할 수밖에 없게 되었다.

망분리는 해당 기업의 환경에 따라 물리적 분리와 논리적 분리 중에서 선택할 수 있으며, 국가정보원 IT보안인증사무국 웹사이트(service1.nis.go.kr)에 인증 받은 망분리 솔루션 제품들이 소개되어 있어 이를 참조하면 유용하다. 다만 일정규모 이하의 기업에서는 망분리 조치를 하지 않아도 된다.

또한, 개인정보취급자의 컴퓨터와 개인정보 DB는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통해 유출되지 않도록 수시로 체크하고 설정을 엄격히 변경하는 조치가 취해져야 한다.

참고로 개인정보 DB가 인터넷 홈페이지의 취약점으로 인해 노출되는 것을 방지하기 위해서는 한국인터넷진흥원이 무료로 제공하는 ‘웹 취약점 원격점검서비스(toolbox.krcert.or.kr)’를 받는 것도 좋은 방법이다.

이렇게 하면 개인정보 DB에 접근할 수 있는 사람이 특정되고, 그 컴퓨터가 특정되었으며 컴퓨터와 DB 자체에 적절한 조치도 취해졌다고 할 수 있다. 이제부터는 개인정보취급자가 실제로 개인정보를 다룸에 있어서 어떤 보안조치들을 해야 하는지가 문제다.

개인정보취급자에 대한 보안조치

일단, 개인정보취급자가 DB에 접근하는 단계에서부터 여러 개의 관문이 존재한다.

첫째, 개인정보취급자는 DB에 접속할 때 사용하는 비밀번호부터 남달라야 한다. 개인정보 보호조치기준은 비밀번호의 기준을 매우 까다롭고도 자세하게 제시하고 있는데, 그 원리는 바로 ‘기억하기는 쉽지만, 추측하기는 어려운 비밀번호를 설정하라!’이다. 만약 비밀번호를 만들었는데 이것이 개인정보 보호조치기준이 요구하는 수준에 부합하는지 불안하다면, 한국인터넷진흥원의 암호이용활성화 홈페이지(seed.kisa.or.kr)에서 비밀번호 안전성 검증 소프트웨어를 다운받아 사용하면 된다.

둘째, 만약 개인정보취급자가 일하는 장소와 DB 서버가 설치된 장소가 서로 떨어져 있어, 사설 VPN 망 등으로 연결되어 있다면, 개인정보취급자는 DB에 접속할 때 단지 자신의 아이디, 비밀번호를 입력하는 것에 더해 공인인증서나 OTP번호(일회용 비밀번호), 보안토큰, 휴대폰인증, 바이오정보 입력 등 추가인증수단을 사용하여야 한다.

만약 추가인증수단이 없다면 망분리 조치가 되지 않은 중소규모 기업들의 경우 키로깅 등을 통하여 해커가 개인정보취급자의 아이디와 비밀번호를 알아낼 경우 속수무책으로 당할 수밖에 없기 때문이다. 물론 사설 VPN 망과 같은 전송구간의 보호조치는 기본이다(인증정보나 DB의 개인정보가 이 망을 통하여 오갈 경우에는 보안서버 구축 등을 통해 암호화 과정까지 거쳐야 한다. 보안서버 구축에 관한 자세한 사항은 역시 한국인터넷진흥원 홈페이지에서 찾을 수 있다).

이와 같은 모든 관문을 통과하여 DB서버에 접속한 후에도, 개인정보취급자는 마음대로 개인정보를 헤집고 다닐 수가 없다.

첫째, 개인정보를 조회, 출력(파일생성 등을 포함한다)할 때에도, 필요한 정보 외의 정보는 마스킹 처리를 하여야 한다. 개인정보 보호조치기준에서는 친절하게도 마스킹 위치까지 정해주는데, 다만 이는 강행규정은 아니고 권고사항이다.

둘째, 개인정보 DB에서 개인정보를 파일로 생성하거나 인쇄 또는 화면표시를 할 때에는 용도가 반드시 특정되어 있어야 한다. 그리고 개인정보취급자마다 볼 수 있는 개인정보의 수준을 달리 설정할 수도 있는바, 그 권한범위에 따라 출력 가능한 항목도 함께 달라지도록 해야 한다. 예컨대 대리점에 업무를 위탁한 경우, 그 대리점은 위탁된 업무와 연관이 없는 개인정보는 아예 출력이 불가능하도록 하는 것이다. 또한, 누가 언제 어떤 개인정보를 출력하였는지를 기록으로 남겨, 책임관계 및 출처를 분명히 해야 한다.

이처럼 개인정보 DB는 접속권한부터가 엄격하게 설정될 뿐만 아니라, 접속 권한이 있는 자라 하더라도 DB에 접속하고 작업하는 과정 전체가 체계적으로 관리되어야 한다. 그리고 이러한 DB 접속 내용은 모두 기록으로 남겨 월 1회 이상 정기적으로 확인ㆍ감독을 해야 한다. 사후에까지 철저한 감시 하에 모든 작업이 이루어지게 하라는 것이 법의 취지인 것이다.

기타의 조치

그 외에도 DB에 저장된 개인정보는 개인정보 보호조치기준에서 권고하는 방식에 따라 암호화가 이루어져야 하고, 그 개인정보를 개인용 컴퓨터에 내려 받아 저장할 때에도 또다시 문서암호화 시스템이나 자료유출방지 시스템을 활용해 보호해야 하며, 백신 소프트웨어는 월 1회 이상 주기적으로 갱신, 점검되어야 한다.

보통 대규모 해킹사고가 터지고 나면, 법제도가 미비하다는 주장이 여기저기서 들려오곤 한다. 그러나 이는 몇 년 전의 상황이고, 위와 같이 최근에는 충분한 법이나 지침이 마련되어 있음에도 불구하고 현장에서 이를 제대로 알지 못하거나 반영하지 않아 사고로 이어지는 경우가 더 많다.

물론 업무의 효율 때문에 보안을 엄격히 하지 못하는 경우도 있으나, 개인정보는 기업의 소유가 아니라 정보주체의 재산이라는 점을 고려할 때, 최소한 법에서 요구하는 조치만큼은 철저히 취하여 사고를 방지하는 것이, 기업의 신뢰를 높이고 국민들이 안심하고 개인정보를 맡김으로써 결과적으로 기업과 산업의 성장에도 기여하는 길이라고 생각한다.

* 법무법인 민후 김경환 대표변호사 작성, Security World 2013년 3월호(194호) 기고.