내 사업장에 맞는 보안 설계의 중요성
270만 소상공인 시대, 신뢰할 수 있는 데이터 시대 구축해야
갈수록 개인이 생성하는 데이터가 많아지고 있다. 그만큼 우리가 이용하는 플랫폼도, 서비스도 다양해지면서 그만큼 접근성이 더 높아졌기 때문이다. 여기서 우리가 살펴야 할 것은 정보보호 주체는 너나 가릴 수 없다는 점이다. 특히 소상공인에 대한 개인정보 보호 필요성도 대두되고 있는 상황이다. 더욱 강화되는 개인정보 보호법과 관련, 우리가 챙겨야 할 것은 무엇인지 살펴봤다.
데이터 산업의 팽창은 4차 산업혁명 시대의 가속화를 불러왔다. 초연결 지능화가 도래하면서 IoT(Internet of Things), IoE(Internet of Everything) 즉 사람과 기기, 프로세스 등이 서로 결합해 생성된 대량의 데이터가 모든 산업의 발전과 새로운 가치창출의 촉매제로 작용하고 있다.
디지털 데이터의 75%는 개인이 생성한다. 특히 개인이 생성한 정보는 물론 개인식별정보, 그리고 플랫폼이 관찰/추론한 정보 역시 개인정보의 범주에 포함된다. 이러한 개인정보의 가치 역시 갈수록 높아지고 있다. 특히 빅데이터 기반 서비스는 국민의 약 80%가 경험하고 있고, 자신들의 생활 편의성과 삶의 질 향상에 도움된다고 평가하고 있다.
코로나19로 비대면 솔루션과 인공지능 서비스 이용이 급격히 증가했지만 그만큼 보안의 취약분야가 광범위해졌다. 또한 잦은 해킹으로 개인정보 유출 사례가 늘고 있다. 최근 5년간(2015년 이후) 개인정보 유출 건수(신고기준)는 총 6,602만건으로 이 중 해킹으로 인한 유출 건수(신고기준)는 90.3%(5,964만건)를 차지하고 있다.
이는 외부 접속자 관리(ID/PW, 접근권한 등), 네트워크(Port), 접속 단말 취약점(백신, SW 최신업데이트) 등 개인 보안관리의 필요성을 말해준다.(한국인터넷진흥원 조사 결과 코로나19 발생 이후 두 달간 스미싱 문자 9,886건, 랜섬웨어 피해 13건 발생, 지난 해 관계부처 합동으로 행정/공공기간 클라우드 전환 예고)
데이터 활용 사례가 더욱 많아지면서 그만큼 우리 삶의 편의성은 향상됐지만 정보주체는 개인정보의 생성과 이용단계를 인지하기 어려운 상황이다. 이는 개인정보 자기결정권 침해 및 과도한 정보 축적의 문제를 야기할 수 있다. 이러한 데이터 홍수 속에서 가장 민감한 개인정보 보호를 위해 20년 개인정보 보호법이 한층 강화됐다.
※ 개인정보의 기술적•관리적 보호조치 기준
제 1조. [목적]
제 2조. [정의]
제 3조. [내부관리계획의 수립•시행]
제 4조. [접근통제]
제 5조. [접속기록의 위•변조방지]
제 6조. [개인정보의 암호화]
제 7조. [악성프로그램 방지]
제 8조. [물리적 접근 방지]
제 9조. [출력•복사시 보호조치]
제 10조. [개인정보 표시 제한 보호조치]
제 11조. [재검토 기한]
제4조 접근통제에서는 일일평균 100만명 이상이거나 매출액이 100억원 이상인 정보통신서비스 제공자들은 개인정보 취급자의 컴퓨터 등을 물리적 또는 논리적으로 망을 분리해야 하는 부분이 추가됐다. 그리고 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 비인가 IP주소 접근을 제한, 재분석해 불법적인 개인정보 유출 시도를 탐지(IPS: 침입탐지, 방지)해야 한다.
제6조 개인정보의 암호화에서는 고유식별정보, 비밀번호, 바이오정보에서 신용카드번호, 계좌번호까지 추가해 정보통신서비스 제공자들로 확대됐다.
그 사이 신설된 항목은 제 9, 10, 11조다. 출력•복사 시 보호조치는 개인정보의 출력 시(인쇄, 화면표시, 파일생성 등) 용도를 특정해야 하며 용도에 따라 출력 항목을 최소화, 출력•복사 기록 등을 통해 출력•복사물을 안전하게 관리해야 한다.
개인정보 표시 제한 보호조치는 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보 보호를 위해 개인정보를 마스킹해 표시 제한 조치를 취해야 한다.
이와 같이 개인정보 보호 확대를 위해 개인정보보호위원회에서 2021년 ~ 2023년까지 개인정보보호 기본계획에서도 3가지 추진과제를 공개했다.
자율적•자발적 개인정보 보호 문화 조성 및 제도 개선이 필요하기 때문에 협회와 공조 후 자율점검을 확대할 계획인 것으로 알려졌다. 현재 의료기관의 경우 의약협약 단체와 공조해 매년 자율점검을 시행하고 있으며 단속유예라는 인센티브를 제공하고 있다. 이러한 개인정보 보호는 정부 역할 강화을 기반으로 진행해야 하며 컨트롤타워 구축 및 데이터 경제의 기반을 마련할 것으로 보인다.
개인정보 보호 대상 업종은 다양한데, 특히 약 350만 사업자 중 약 270만이 소상공인에 해당된다. 이 소상공인에 대한 개인정보 보호 정책도 서둘러 마련돼야 한다. 작은 기업이라도 개인정보를 수집•이용할 때는 반드시 개인정보 보호에 중점을 둬야 한다. 하지만 현실적으로 비용적인 부담감과 보안을 관리할 수 있는 인력 문제 등이 걸림돌이 되고 있다.
이제 정보보안도 서비스 제공을 통해 손쉬운 시스템 구축 및 관리 위탁으로 보안 영역을 서서히 확장하고 있다. 이러한 개인정보 보호의 확장의 움직임은 안전하고 신뢰하는 데이터 시대를 만들기 위함이다.
정보보호의 시작은 ‘인식의 전환’에서 시작된다. 사업장에 맞는 보안 설계를 통해 ‘맞춤형 정보보안’을 준비 하는 것이 이제는 필요한 시기다.
