“개인정보 보호, 합리적 조치가 관건…웹서버까지 지켜야”

개인정보 유출을 막기 위해 데이터베이스시스템(DBMS)뿐 아니라 이와 연동된 웹서버의 보안을 강화하는 등 합리적 보호 조치를 다해야 한다. 단순히 보안 솔루션을 설치한 것을 넘어 로그 분석과 정책 설정 등 체계적 운영 관리가 필요하다는 조언이다.

차윤호 한국인터넷진흥원(KISA) 개인정보조사단장은 7일 “이상행위에 대한 탐지와 대응 등 실질적인 활동이 이뤄야 한다”며 개인정보 유출 사고 판례를 통한 주요 쟁점을 소개했다.

개인정보보호법에 따르면 ‘개인정보 유출’이란 법령 또는 처리자의 자유로운 의사에 반해 개인정보에 대한 통제를 상실하거나 권한 없는 접근을 허용하는 것을 뜻한다.

개인정보 유출을 알게 됐을 때는 정보 항목과 유출 시점, 조치, 담당 부서를 지체없이 정보주체에게 통지해야 한다. 1000명 이상의 개인정보가 유출됐을 경우에는 반드시 개인정보보호위원회 또는 KISA에 신고해야 한다. 이어 신고자는 요구받은 자료를 제출하고, 개인정보위는 KISA는 이를 조사한 뒤 증적을 확보해 피해 규모와 위반사항을 특정하고 보고서를 작성하게 된다.

KISA가 개인정보위의 2022년 의결서를 발췌해 분석한 결과, 안전조치 미흡 관련이 개인정보보호법 위반행위의 66%로 가장 높은 비중을 차지했다. 이를 구체적으로 보면, 암호화(25%)를 비롯해 ▲접속기록 보관 및 점검(22%) ▲유출 방지 조치(19%) ▲접근권한 관리(15%) ▲안전한 접속 인증수단(13%) ▲시스템 설치 운영(6%) 부문 순으로 위반 사례가 많았다.

이제까지의 판례에 따르면, 보편적으로 알려진 정보보안의 기술 수준을 지켰는지가 의무 위반 여부를 판단하는 기준 중 하나다. 업종과 영업 규모도 확인한다. 보안에 필요한 경제적 비용 및 효용을 가늠했는지와 피해 회피 가능성, 수집한 개인정보의 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 취했는지도 의무 위반 판단 기준으로 둔다.

특히 관리하는 개인정보가 열람 권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보 취급자는 컴퓨터와 모바일 기기에 조치를 취해야 하는 점을 잊지 말아야 한다.

보호 조치가 필요한 개인정보처리시스템은 개인정보가 담긴 DBMS 전체를 의미한다. 이와 연동해 개인정보의 처리 과정에 관여하는 웹서버 등도 처리시스템으로 본다. 이전까지는 웹서버까지 포함해야 하는지 여부가 쟁점이 됐었지만, 대법원 판례가 나오며 처리자의 의무 범위가 넓어졌다.

침입 차단 및 탐지시스템 설치·운영 부문에서는 인가받지 않은 접근을 막는 게 핵심이다. 시스템 접속 권한을 IP주소 등으로 제한해 인가받지 않은 접근을 제한해야 한다. 접속한 IP주소 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하는 기능의 시스템도 설치해야 한다. 설치에서 끝나지 않고, 로그 분석과 보안 정책 설정, 체계적인 운영관리까지 이뤄져야 한다는 게 차윤호 단장의 말이다.

그는 “특히 중소나 영세한 기업의 경우 IP 접속제한 조치 없이 아이디와 패스워드만으로 개인정보처리시스템에 로그인하는 경우가 많아 각별한 주의가 필요하다”며 “개인정보처리시스템에 접속이 필요한 경우 가상사설망(VPN)이나 일회용비밀번호(OTP) 같은 안전한 인증 수단을 적용해야 한다. 필요한 동안만 접속 시간을 제한하는 조치도 필요하다”고 강조했다.

한편, KISA는 인공지능(AI) 기술 발전에 따른 보안 위협에 대비하기 위해 상반기 중 개인정보위와 함께 이와 관련한 개인정보보호 대책을 수립할 예정이다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network