출처 : http://www.boannews.com/media/view.asp?idx=45394&page=2&kind=3&search=title&find=
Q. 현재 개정 개인정보보호법 시행으로 주민번호 수집이 지난해 8월부터 전면 금지되고 있습니다. 주민번호 외에 개인정보의 암호화 의무대상은 무엇이며, DB내 개인정보가 없을 경우 도입하지 않아도 되는지요? 또 DB암호화 관련 법규에 대해서도 알고 싶습니다.
|
A-1. 2014년 8월 7일부터 개정된 개인정보보호법이 시행 중입니다. 개정 전에는 주민번호를 포함한 고유식별정보는 정보주체에게 개인정보의 처리에 대한 별도의 동의를 받은 경우 처리가 가능(개인정보보호법 제24조)했으나 개정된 개인정보보호법에 따르면, ‘주민번호 수집 법정주의’(개인정보보호법 제24조의2)의 신설로, 법령에서 구체적으로 주민등록번호의 처리를 요구하는 경우, 정보주체 또는 제3자의 급박한 생명, 실체, 재산의 이익을 위하여 명백히 필요한 경우, 기타 불가피한 경우로서 행정자치부령으로 정하는 경우를 제외한 대부분의 주민번호 처리를 원칙적으로 금지했으며, 주민번호 유출에 대한 ‘과징금 제도’(개인정보보호법 제34조의2), 대표자(CEO)등에 대한 징계권고(개인정보보호법 제65조 제3항)가 신설됐습니다.
주민등록번호에 대한 수집의 경우 지난해 8월부터 전면 금지되고 있으며, 수집된 주민번호도 10월까지 삭제해야 합니다. 주민등록번호가 삭제되면, 결국 암호화의 대상은 주민번호를 제외한 고유식별번호(여권번호, 운전면허번호, 외국인등록번호 등)나 비밀번호, 바이오 정보 등이 해당됩니다. 개인정보보호법은 개인정보에 대한 보호를 위해 만들어진 법으로 해당 법에 따르면 DB내 개인정보가 존재하지 않을 시는 암호화 대상에 포함되지 않습니다.
(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)
A-2. 우선 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의한 부령에서 보면, 시행규칙 제155호, 제2조 2항(개인정보의 보호조치)에서 ‘개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치’로 명시하고 습니다. 그리고 고시 제2005-18호, 제5조 1~2항(개인정보의 암호화)에서 정보통신서비스제공자등은 주민등록번호, 패스워드 및 이용자가 공개에 동의하지 않는 개인정보를 제 3조 제 4항에 의하여 보호되는 정보를 통신망 외부로 송산하거나, PC를 저장할 때에는 이를 암호화 한다고 규정하고 있습니다.
또한 공공기관의 개인정보보호에 관한 법률에 따라 행정정보 데이터베이스의 보안관리 기중 제 8장, 제40조(암호화)에서 ‘보안담당자는 제33조 제 1항의 보안 1등급 및 보안 2등급 이외의 행정정보에 대하여 보안이 필요하다고 판단한 정보에 대하여 암호화하여 관리할 수 있다’고 규정하고 있습니다.
(이준택 한양대학교 교수/joontaiklee@gmail.com)
A-3. 개인정보의 안전한 관리를 위해 개인정보보호법령 및 ‘개인정보의 안전성 확보조치’ 고시에서 규율하고 있는 암호화 대상 개인정보는 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호 및 바이오정보입니다. 특히 개인정보 유출에 따른 2차, 3차 피해가 큰 주민등록번호는 2014년 8월 7일부터 법적근거가 없이는 수집·이용이 전면 금지되며 보관중인 주민등록번호는 2년 유예기간을 두어 파기하도록 했습니다.
그리고 이전에는 내부망에 보관 중인 고유식별 정보에 대해서는 ‘위험도 분석기준’을 모두 통과하면 암호화하지 않아도 되었지만 지난해 3월 24일 개인정보보호법 일부 개정으로 주민등록번호가 분실·도난·유출·변조 또는 훼손되지 아니하도록 예외 없이 암호화 조치를 통하여 안전하게 보관하도록 했으며 이 경우 암호화 적용 대상 및 대상별 적용시기 등에 관하여 필요한 사항은 개인정보의 처리규모와 유출 시 영향 등을 고려하여 대통령령으로 정해집니다.
(박찬옥 한국개인정보보호협의회 운영국장/kcppi21@hanmail.net)
A-4. 주민번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 바이오정보, 비밀번호가 암호화 대상입니다(바이오정보와 비밀번호는 일방향 암호화). DB접근제어나 DB암호화를 수행하는 이유는 비단 개인정보 뿐 아니라 기업 서비스의 핵심 정보를 보호하기 위함입니다. 비 인가자가 DB에 무단 접속하여 홈페이지 위·변조, 장애 등을 유발시킨다면 이는 비즈니스 측면에서 심각한 문제가 될 것입니다.
(강정훈 11번가/jhkang@sk.com)
A-5. 개인정보보호법에 따라 주민등록번호 외에 암호화 조치가 필요한 개인정보는 고유식별정보(여권번호, 운전면허번호, 외국인등록번호), 비밀번호 및 바이오정보입니다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 않도록 일방향 암호화해서 저장해야 합니다. 고유식별정보에 대한 암호화 의무는 해당 개인정보가 반드시 DB내에 저장되는 경우에만 한정되는 것은 아니며 인터넷 구간, DMZ, 업무용 컴퓨터에 저장하는 경우에도 적용될 수 있습니다.
(정상호 개인정보보호협회 개인정보정책팀 팀장/jeongsh@opa.or.kr)
A-6. 개인정보보호법에서는 고유식별정보, 비밀번호, 바이오정보를 암호화하도록 규정하고 있으며, 고유식별정보에는 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호가 있습니다. 바이오정보는 식별 및 인증에 사용되는 지문, 홍채 같은 정보가 암호화 대상입니다. DB내 개인정보가 없을 경우에는 암호화를 하지 않아도 되며 개인정보가 있더라도 개인정보보호법상에서는 위 암호화 대상 정보만 암호화하면 됩니다. 개인정보보호를 위한 DB 암호화 관련 법규로는 개인정보보호법, 정보통신망법, 신용정보보호법 등이 있습니다.
(고명석 한국인터넷진흥원 /msgo@kisa.or.kr)
'old > 관리적 보안' 카테고리의 다른 글
| [자료] 개인정보 안전성 확보조치 기준 비교표 (0) | 2015.03.28 |
|---|---|
| [기사] 클라우드 서비스 환경내 개인정보보호 법·제도 현황 (0) | 2015.03.10 |
| [자료] 개인정보보호 관련 한국판례_2012.06 (0) | 2015.02.24 |
| [자료] ISO/IEC 27000 시리즈 (0) | 2015.02.09 |
| [기사] 보안관련 인증 통합 이슈 (0) | 2014.12.24 |
