강화된 개인정보 보호, 자율 점검의 필요성
웹사이트 개발 시 Key-Point
2011년 개인정보보호법이 보안의 변곡점이었다. 과거 보안영역은 공공, 금융, 대기업, 중견기업 등 특별법에 의한 특정 업종의 필요 사항이었다. 하지만 개인정보보호법이 시행되면서 법적 사각지대를 최소화했고, 소상공인도 개인정보를 수집/이용/보관할 경우 개인정보보호법을 준수해야만 했다.
‘개인정보보호법’은 개인의 자유와 권리를 보호하기 위해 제정된 법으로 개인정보의 처리와 보호에 관한 사항을 정하고 있다. 개인정보보호법은 일반법으로서 ‘모두에게 적용되는 법’이다. 이에 따라 기존의 특별법(정보통신망법, 상법, 김영란법 등)에 상응하게 된다.
전산팀을 구성하고 있는 경우 보안의 영역까지 함께 관리 운영되면서 안정적인 내부 시스템을 구축하여 법규 준수를 하고 있지만 개인정보보호법의 영역 확장은 IT를 모르는 사업장에서도 법규준수라는 숙제를 받게 됐다.
이에 정부에서는 2013년부터 매월 정기 기획점검을 통해 국민들의 실생활과 밀접한 관련이 있는 업종, 민감 정보 및 고유식별정보를 다량 보유하고 있는 업종, 회원 유치 과다 경쟁 등 위험 업종, 개인정보 반복 빛 다량 노출 업종, 반복적 민원 신고 업종 등에 대하여 본격적인 점검을 실시했다.
초기에는 비율대비 높은 시정조치를 받았다. 하지만 해가 거듭 될수록 법규 준수 가이드 및 보호 방법에 대한 교육과 홍보를 병행하면서 그 수가 줄어 들었다.
2015년부터는 통계청 표준 산업 분류를 바탕으로 8대 분야(공공, 교육, 보건 복지, 방송 통신, 금융, 산업 물류, 중개 생활 임대, 시설 문화)로 사업체를 분류해 국민의 개인정보를 처리하는 다양한 업종에 대한 점검을 실시했다.
총 64개 체크리스트를 통해 개인정보 실태점검을 진행했으며, 자료제출요구서 등 사업장의 개인정보 보호 관련 문서 및 기술적 보호 조치 내역들을 점검 한다. 실태점검 시 현장 점검자와 함께 개인정보보호책임자 및 담당자, 처리자 등이 동석해 관리적/기술적 안정선 확보 조치를 점검한다.
2020년 정부는 개인정보위원회를 중앙행정기관으로 격상하면서 각 부처의 개인정보보호 업무를 통합해 안전한 데이터 활용을 위한 감독체계를 구축했다. 기존 시행하던 개인정보 보호 자율규제규약에 따라 협회와 공조해 자율점검을 이행하고 있으며 행정안전부에서 개인정보보호위원회로 관리 감독의 권한을 위임했다.
개인정보보호 종합포탈(www.privacy.go.kr)에서는 업종별로 매년 개인정보 자율점검을 시행하고 있으며 의료기관의 경우 2015년부터 매년 시행되고 있다. 모든 업종에 운영되는 웹사이트(홈페이지 등)도 개인정보처리시스템에 포함될 수 있다. 실태점검에서 개인정보처리시스템 보호 영역이 중요도가 높은 관계로 웹사이트(홈페이지 등) 개발에 따른 정보보호 영역이 주목 받고 있다.
단, 홈페이지(온라인)를 통해 개인정보를 수집하지 않는 경우는 개인정보처리시스템에서 제외될 수 있다. 하지만 ‘개인정보처리방침’은 홈페이지를 통해 공개하도록 되어 있기 때문에 제작 시 가시성을 높여 홈페이지에 적용해야 한다. 웹사이트를 제작할 때 개인정보를 수집하는 경우 개인정보보호법, 정보통신망법 등을 고려해야 한다.
일반적인 웹사이트 제작 시 Key-Point는 아래와 같다.
Key 1. 관리자페이지를 안전하게 보호해야 한다.
관리자페이지 접속은 SSL 기술을 이용하여 전송구간 암호화를 적용해야 하며 관리자만 접근할 수 있도록 인가된 IP로 제한하는 기능이 있어야 한다.
Key 2. 게시판은 비공개 또는 비밀글 설정이 가능하도록 구축해야 한다.
게시글에 개인정보 포함시 비공개 또는 비밀글로 설정할 수 있는 기능이 필요하며 비밀글은 작성자만 열람할 수 있도록 적용해야 한다.
Key 3. 접속경로(URL) 설정, 소스코드 개발 등에 개인정보를 사용하지 않아야 한다.
회원정보 페이지 개발 시 접속경로(URL)에 생년월일, 주민등록번호 등 사용금지, 소스코드 내에 회원 식별자로 주민등록번호 등을 사용하지 않아야 한다.
Key 4. 접속경로(URL) 식별자는 ‘숨김’ 처리해야 한다.
홈페이지 설계 시 페이지 구분 값 등으로 개인정보를 사용하는 경우 URL에 개인정보가 노출된다. 웹브라우저 주소 표시줄에 개인정보가 노출되지 않도록 GET방식 보다는 POST방식을 사용해야 한다.
Key 5. 홈페이지 개편 시 웹/소스코드 취약점을 점검해야 한다.
소스코드 내 개인정보 포함여부 및 주석, 개발/테스트를 위한 에러 메시지 등에 서버정보 포함여부를 확인해야 한다. 개발단계에서 디버깅 및 테스트를 목적으로 작성한 주석구문에 서버 주요 정보가 포함되어 있을 경우 공격자가 해당 정보를 다른 취약점과 연계해 사용할 수 있기에 제거해야 한다.
Key 6. 디렉터리 리스팅 여부를 점검해야 한다.
검색엔지 확장기능을 이용하여 관리자페이지가 리스팅 되고 있는지 주기적 점검이 필요하다.
개인정보처리시스템(개인정보 수집/이용/저장 시) 제작 시 Key-Point는 아래와 같다.
Key 1. 비밀번호 복잡성 및 단방향 암호화를 적용해야 한다.
비밀번호 복작성은 개인정보보호법에도 해당되는 보안영역이다. 숫자, 소문자, 대문자 포함 8자리 이상 등 복잡성을 두어야 하며 단방향 암호화 설계를 해야 하며 비밀번호 분실을 대비하여 초기화 시스템을 적용해야 한다.
Key 2. 개인정보처리시스템일 경우 고유식별정보는 저장시 암호화 해야 한다.
일반적인 웹사이트에서는 고유식별정보를 수집하지 않지만, 특수 업종(의료기관 등)에서는 개인정보처리시스템에서 고유식별정보를 수집하는 경우가 있다. 이때 저장되는 고유식별정보(비정형데이타 포함)는 안전한 알고리즘으로 암호화해야 한다.
기존 설계된 시스템에 암호화 알고리즘을 적용이 어려운 경우 별도의 암호화 솔루션을 탑재하는 것도 가능하다. 단, 비정형데이타까지(문서, 영상, 음원 등) 암호화 가능하도록 적용해야 한다.
Key 3. 아이디, 비밀번호 일정 횟수 실패시 접근을 제한 해야 한다.
개인정보처리시스템에 관한 없는 자의 비정상적인 접근을 방지하기 위하여 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우에는 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 해야 한다.
Key 4. 일정시간 이상 업무처리를 하지 않는 경우 시스템 접속을 차단해야 한다.
개인정보가 권한이 없는 자에게 공개 되거나 유출이 되지 않도록 일정시간 이상 개인정보처리 시스템에 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 해야 한다.
Key 4. 개인정보처리시스템일 경우 접속기록 보관, 위변조 방지를 해야 한다.
개인정보처리시스템에 접속한 기록을 1년간 보관/관리해야 한다. 이때 필수 기록 항목은 ID, 날짜 및 시간, 접속자 IP주소, 처리한 정보주체 정보, 수행업무(열람, 수정, 삭제, 인쇄, 입력 등)이다. 보관된 기록은 위변조 되지 않도록 보호 조치도 병행해야 한다.
웹사이트 제작 시 개인정보처리시스템 역할을 하는 경우 컴플라이언스를 고려해 제작하며 이때 적절한 기술적 보안을 포함하거나 안내를 통해 수요처에 보안 이슈를 인식 시켜야 한다. 이는 개인정보처리시스템의 경우 반드시 위탁계약서 작성 시 ‘개인정보의 안전성 확보 조치’를 포함 해야 하기 때문이다.
개인정보위원회의 출범으로 법규 준수에 따른 실태점검도 강화될 수 있다.
데이터3법에서 말하는 ‘개인정보 비식별화’의 경우 재식별할 때 과태료가 매출액의 약 3%까지 발생할 수 있기 때문에 경쟁력 있는 웹사이트 개발도 중요하지만, 이에 상응하는 기술적 보호조치도 함께 고려해 안전한 웹사이트 제작을 확대해 나간다면 법국가적으로도 보안 강화에 많은 기여를 할 것이라 생각한다.
