YTN 사이언스
검색 로그인 메뉴
위로 가기

[Science & Safety] 개인정보 유출 위험과 보호 방법

2014년 07월 22일 16시 22분
사이언스 투데이 일반
프로그램 홈
공유하기
[앵커]

이번에는 생활 속 위험을 진단하고, 과학적으로 위험을 관리하는 방법을 알아보는 Science & Safety 시간입니다.

오늘은 한국인터넷진흥원 박순태 수석연구원과 함께 인터넷에서 고객의 개인정보를 안전하게 보호하기 위한 방법들에 대해 알아보겠습니다.

안녕하세요?

올해 초부터 금융사와 통신에서 대규모 개인정보 유출 사고가 발생했는데요.

계속되는 개인정보 유출 사고에 비해 사업자들에 대한 처벌이 미약한 것이 아니냐, 고객들의 개인정보를 보호하기 위한 보다 강력한 조치가 필요한 것이 아니냐는 의견들이 많았습니다.

정부는 사업자의 개인정보 보호 노력이 부족해 발생한 사고라며 시정하라는 행정처분을 내렸는데요.

[인터뷰]

바로 방송통신위원회가 지난 6월 26일 홈페이지 해킹으로 약 1,170만 건의 개인정보가 누출된 KT에 7,000만원의 과징금과 1,500만원의 과태료, 재발방지를 위한 기술적, 관리적 보호조치를 수립해 시행하도록 시정을 명령했는데요.

통신사업자가 불법적인 접근 차단 등에서 적절한 기술적, 관리적 보호 조치를 하지 않았다고 과실을 인정한 것입니다.

[앵커]

고객의 개인정보를 보호하기 위해 사업자가 기술적, 관리적 보호조치를 해야한다고 하셨는데요.

기술적, 관리적 보호조치라는 것이 어떤 것인가요?

[인터뷰]

포털, 온라인 게임, 웹메일, 온라인 구매 등 인터넷을 이용하여 서비스를 제공하는 사업자는 회원가입 또는 서비스 제공 시 이용자의 개인정보를 수집하고 있습니다.

이때 수집하는 개인정보를 안전하게 보관하도록 법에서 정하고 있는데요.

방송통신위원회는 최소한의 가이드로서 ‘개인정보의 기술적관리적 보호조치 기준’을 고시로 정하고 있습니다.

정보통신서비스 제공자가 개인정보를 취급할 때 개인정보가 분실,도난,누출,변조,훼손 되지 않도록 해야 한다는 것이 바로 기술적, 관리적 보호조치의 주요 내용입니다.

[앵커]

이러한 보호조치 기준은 개인정보를 취급하는 모든 사업자에게 적용이 되는 것인가요?

[인터뷰]

정보통신망법이라고 한번쯤 들어보셨을 텐데요.

'정보통신망 이용 촉진 및 정보보호 등에 관한 법률'이 공식 명칭입니다.

법률에 보면 '정보통신서비스 제공자'라는 표현이 있는데요.

간단히 설명 드리면 컴퓨터와 같은 기기를 이용하여 영리를 목적으로 서비스를 제공하는 사업자를 말합니다.

바로 이들이 적용 대상입니다.

그런데 요즘은 홈페이지를 운영하지 않는 사업자가 없고, 회원가입이나 거래행위가 인터넷을 통해 이뤄지기 때문에 대부분의 사업자가 정보통신망법의 적용을 받는다고 볼 수 있습니다.

이들 사업자의 경우 단 하나의 개인정보를 수집하여 이용하더라도 보호조치를 이행하여야 합니다.

[앵커]

구체적으로 개인정보의 보호를 위하여 사업자들이 어떠한 보호조치를 준수해야 하는지 설명해 주시지요.

[답변]

크게 다섯 가지의 보호조치가 필요합니다.

먼저, 개인정보관리책임자, 개인정보취급자를 포함한 개인정보 보호조직을 구성하여 개인정보 계획 수립 및 연 2회 이상의 교육을 시행하여야 합니다.

고객의 개인정보가 저장된 개인정보처리시스템에 접근할 수 있는 권한을 제한하고, 개인정보취급자 컴퓨터를 망분리하는 등 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치를 설치·운영해야 합니다.

세 번째로 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 확인감독하고, 6개월 이상 접속기록 보관, 접속기록의 위변조 방지를 위한 별도장치 보관 및 정기 백업을 해야 합니다.

주민번호, 신용카드번호, 계좌번호를 암호화 저장해야하며, 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치도 마련해야 합니다.

마지막으로 외부의 침입을 방지하기 위해 백신 소프트웨어를 월 1회 이상 주기적으로 갱신점검하고, 운영체제나 백신소프트웨어를 수시로 최신으로 갱신점검해야 합니다.

[앵커]

그렇다면 KT의 경우에는 다섯 가지 중 어떠한 조치가 부족하다고 판단한 것인가요?

[인터뷰]

KT의 경우 이용자 본인 인증 절차가 미흡하고, 특정 IP가 1일 최대 34만건 이상의 개인정보를 조회하였는데도 외부의 권한 없는 자의 접근을 차단 및 통제하지 못하였다는 점입니다.

해커의 수법이 이미 널리 알려진 방식으로 충분히 사전에 예방할 수 있었다는 점에서 접근통제 부분에서 조치가 미흡했습니다.

또한 개인정보를 안전하게 저장, 전송할 수 있는 암호화 기술 등의 조치가 미흡하여 개인정보가 누출된 것으로 판단했습니다.

[앵커]

개인정보 보호를 위한 기술적관리적 보호조치 사항이 많은 것 같은데요.

그 중 사업자들이 가장 주의해야하는 것들이 있을까요?

[인터뷰]

사업자들이 별일 아니겠지 하고 대수롭게 넘기는 것들이 있는데요.

개인정보가 포함된 문서를 출력하거나 당첨자 명단과 같이 화면에 표시하는 경우입니다.

홈페이지나 SNS에 당첨자의 이름, 전화번호 전체를 공개하여 문제가 되는 경우를 종종 보실 수 있는데요.

개인정보를 조회, 출력하는 경우 마스킹 하여 개인정보가 노출되지 않도록 해야 합니다.

이름은 가운데 글자, 생년월일, 전화번호 중 국번 뒤 가운데 번호, 주소의 읍면동, 인터넷 주소는 세 번째 자리 영역 등을 마스킹하는 것이 권고됩니다.

[앵커]

규모로 발생하는 개인정보 유출 사고를 생각한다면 개인정보 보호를 위한 조치가 더욱 강화되어야 할 것 같습니다.

위반한 사업자에 대한 조치도 강화될 예정인가요?

[인터뷰]

그동안 개인정보 누출로 인해 국민들이 입는 불편과 피해에 비해 제재 수준이 너무 낮다는 지적이 있어 왔는데요.

오는 12월부터는 개인정보 침해사고가 발생했을 때 사업자가 법에 따른 최소한의 조치를 하지 않았을 경우 징역, 벌금, 과태료 또는 관련 매출액의 최대 3%까지 과징금이 부과할 수 있도록 법률을 개정하였습니다.

또한 이용자의 구체적인 손해 입증이 없더라도 최대 300만원의 손해배상액을 지급하는 법정 손해배상제도도 도입될 예정으로 기업의 개인정보 보호에 대한 책임이 늘어날 것으로 보입니다.

[앵커]

국민의 개인정보가 보다 안전하게 보호되어 안심하고 이통사, 포털 등 정보통신서비스를 마음 놓고 이용할 수 있었으면 좋겠습니다.

지금까지 한국인터넷진흥원의 박순태 수석과 함께 인터넷 서비스 사업자가 개인정보 보호를 위해 준수해야하는 기술적, 관리적 보호조치 사항에 대해 알아봤습니다.

오늘 말씀 감사합니다.


[저작권자(c) YTN science 무단전재, 재배포 및 AI 데이터 활용 금지]

이 시각 주요 뉴스

많이 본 뉴스

거의모든것의과학

최신 과학 뉴스

뉴스 속 코너