[법무법인 민후 l 김경환변호사] Pis fair 2015 개인정보 문서 컴플라이언스 이슈 (개인정보보호, 개인정보암호화)
1. 개인정보 문서 컴플라이언스 이슈
2015. 6. 30. PIS Fair 2015
법무법인 민후 김경환 변호사
(oalmephaga@minwho.kr)
2. 1. 개인정보의 보관 형태와 컴플라이언스 이슈
2. 업무용 컴퓨터 등에 개인정보 문서 원칙적 보관 금지
3. 개인정보 문서에 대한 침입차단 및 침입탐지
4. 개인정보 문서에 대한 보호조치
5. 개인정보 문서에 대한 파일 암호화
6. 출력시 보안조치
7. 외부 저장매체 보안
8. 개인정보 파일의 파기
INDEX
4. • 서버, 업무용 컴퓨터, 모바일 기기 및 보조저장매체 등(★) : 개인정보 문서* 형태
- 원칙적 보관 금지(행자부 고시 2조 9호ㆍ5조 6항)
- 접근통제(행자부 고시 5조, 방통위 고시 4조 9항)
- 파일 암호화(행자부 고시 6조, 방통위 고시 6조 4항)
- 출력시 보안조치(방통위 고시 9조 1항ㆍ2항)
- 외부 저장매체 보안(방통위 고시 9조 2항)
- 개인정보 파일 파기(행자부 고시 10조)
개인정보 문서 컴플라이언스 이슈1
* 개인정보 문서 : 개
인정보가 포함된 전자
파일(= DB로부터 출
력된 개인정보 문서
또는 초기부터 파일
형태로 생성된 개인정
보 문서 등)
• 전송 중 : 패킷 형태
- 개인정보 암호화(행자부 고시 6조, 방통위 고시 6조)
5. • 법규정
업무용 컴퓨터 등에 개인정보 문서 원칙적 보관 금지2
<행자부 고시 2조 9호>
"개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한
데이터베이스시스템을 말한다. 다만 소상공인 또는 중소사업자가 내부 직원의 개인
정보만을 보유한 시스템은 제외한다.
<행자부 고시 5조 6항>
개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터
또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항(침입차단ㆍ침입
탐지시스템)을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기
의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제
기능을 이용할 수 있다.
6. • 대응방안
업무용 컴퓨터 등에 개인정보 문서 원칙적 보관 금지2
- 개인정보 유출의 전단계이므로 인가받지 않은 개인정보 문서 생성에 대한 실시
간 모니터링 필요
- 개인정보 문서의 검색 및 인가받은 개인정보 문서의 관리
(접근통제ㆍ암호화ㆍ파기 등)
7. • 법규정
개인정보 문서에 대한 침입차단 및 침입탐지3
<행자부 고시 5조 1항, 방통위 고시 4조 5항>
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은
접근을 제한 2. 개인정보처리시스템에 접속한 IP주소 등을 분석하여 불법적인 개인
정보 유출 시도를 탐지
<행자부 고시 5조 6항>
개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터
또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아
니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS :
Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수
있다.
8. • 대응방안
개인정보 문서에 대한 침입차단 및 침입탐지3
- 개인정보 문서에 대한 접근권한 부여
- 개인정보 문서에 대한 인가받지 않은 접근 차단
- 개인정보 문서 접근시 비정상적인 행동 탐지
9. 개인정보 문서에 대한 보호조치4
• 법규정
<행자부 고시 5조 4항ㆍ방통위 고시 4조 9항>
개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된
무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인
정보처리시스템, 업무용 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다.
• 대응방안
- 인증로직이나 권한설정 등의 조치
- 구간 암호화 또는 파일 암호화 송수신
10. 개인정보 문서에 대한 파일 암호화5
• 법규정
<행자부 고시 6조 1항ㆍ2항>
고유식별정보, 비밀번호 및 바이오정보를 보조저장매체 등을 통하여 전달하는 경우
에는 이를 암호화하여야 한다.
<행자부 고시 6조 7항>
개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관
리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호
화한 후 저장하여야 한다.
<방통위 고시 6조 4항>
정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장
매체 등에 저장할 때에는 이를 암호화해야 한다.
11. 개인정보 문서에 대한 파일 암호화5
• 대응방안
- 보안 USB의 사용
- 개인정보의 암호화 이후 저장
- 개인정보 문서 파일에 대한 안전한 암호화
12. 출력시 보안조치6
• 법규정
<방통위 고시 9조 1항>
정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면
표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.
<방통위 고시 9조 2항>
정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외
부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 출력·복사 기록
등 필요한 보호조치를 갖추어야 한다.
14. 외부 저장매체 보안7
• 법규정
<방통위 고시 9조 2항>
정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외
부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 출력·복사 기록
등 필요한 보호조치를 갖추어야 한다.
• 대응방안
- 외부 저장매체 등 검사 및 점검
- 비인가 출력에 대한 차단, 로그기록 작성 등
15. 개인정보 파일의 파기8
• 법규정
<행자부 고시 10조>
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하
여야 한다.
1. 완전파괴(소각·파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파
기하는 것이 어려운 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록
관리 및 감독
• 대응방안
- 개인정보가 복구ㆍ재생되지 않은 안전한 알고리즘 사용