박노원//
컴트루테크놀로지 이사
rwpark@comtrue.com
개인정보는 온·오프라인을 막론하고 정보사회의 중요한 핵심정보이다. 인터넷 환경이 발달하면서 개인정보의 활용이 증가한 만큼 개인정보유출로 인해 정보사회의 기반이 위협될 수 있어 특별한 주의가 필요하다. 정부와 민간기관에서는 개인정보 관리 활동을 더 한층 강화할 예정이지만, 각 기관에서 보유한 기 수집된 개인정보들이 불법유출되거나 유통되지 않도록 특별히 새로운 법개정을 통한 제도적인 관리도 요구된다. 개인정보 유출로 인한 민간기업의 손해배상액은 기업에게는 기업활동을 위축할만한 큰 악재가 될 수도 있으며 공공기관에서도 이러한 개인정보 유출사건이 발생한다면 정보화사회의 신뢰성에 문제가 발생할 수 있다. <편집자>
연재순서
1. 개인정보 보호 정책(이번호)
2. 개인정보보호를 위한 기술적 수단들
2006년 9월 25일부터 개정된 주민등록법에 따라 누구든지 주민등록번호의 단순도용만으로도 형사처벌을 받게 됐다. 정보화시대에 있어서 개인정보는 순기능과 역기능을 갖고 있어서 이에 대한 동시적인 이해가 필요하다. 즉, 개인정보는 정보사회의 핵심인프라로써 개인정보 없이는 정상적인 사회활동을 할 수 없을 만큼 중요한 정보이다. 그러나 이러한 개인정보가 불법적으로 거래되거나 위/변조, 불법거래됨으로써 정보주체에게는 회복할 수 없는 피해를 입히거나 정보사회의 신뢰기반을 흔드는 부작용이 발생할 수도 있다. 실제로 일본의 소프트뱅크에서 유출된 개인정보는 내부자에 의한 유출이었으며 유출된 개인정보가 다른 용도로 사용돼 이에 대한 피해가 확산된 사례이기도 하다. 한국의 경우, 모 게임업체의 개인정보 관리소홀의 책임을 물어 법원은 1인당 50만원의 배상판결을 내린 판례가 있다.
개인정보의 정의 / 사회문제
일본에서는 2005년 10월달에 개인정보보호법이 제정된 바 있는데 한국에서도 이러한 개인정보보호에 대한 입법논의가 진행되고 있다.
개인정보란 개인의 신념, 신체, 재산, 사회적 지위, 신분 등을 나타낼 수 있는 일체의 정보를 지칭하며 하나의 정보만으로 한 개인을 식별할 수 있는 주민등록번호와 같은 것은 특히 중요하게 다뤄져야 하는 개인정보다. 일반적으로 성명, 주소 등과 같이 한 가지 이상의 정보가 결합돼 개인을 식별할 수 있는 정보로서 정부혁신분권위원회의 분류표에 보면 개인정보는 일반정보, 속성정보, 민감정보 등으로 구분해 해당하는 항목을 표시하고 있다.
특히 여기에서는 인종, 민족, 건강, 장애기록, 전과, 수형기록등 인권을 현저하게 침해할 우려가 있는 정보를 민감정보로 분류하고 있다.
개인정보 처리의 필요성과 위험성
정부는 나름대로 복지국가의 기능수행을 위해서 공공기관에서는 보유하고 있는 개인정보를 활용해 업무를 수행하고 있으며 민간부문도 금융권, 통신사들을 중심으로 대량의 개인정보DB를 활용해 마케팅활동에 이용하고 있다. 금융사나 정부기관들은 개인정보 취급시 반드시 정보주체의 동의를 구해야 하는데 정작 개인들은 자신에 대한 정보가 누군가에 의해서 수집, 이용되고 있다는 것에 대해서 불안감을 느끼고 있다.
개인정보의 주체가 개인정보의 자기결정권을 좀 더 확보할 수 있도록 법률개정이 진행될 필요가 있다. 특정목적을 위해서 수집된 개인정보가 다른 기관에서 다른 목적으로 위해 수집된 정보와 통합되지 않고 분리된 상태로 유지돼야 하는 ‘분리처리의 원칙’과 수집기관 외부의 제3자에게 개인정보를 제공하는 행위가 정보주체의 사전동의 또는 인식 하에 이뤄져야 하는 ‘제공제한의 원칙’은 더욱 더 중요하게 다뤄야 할 기준이라고 할 만하다.
이러한 제도적인 법률적인 개정행위가 이외에 개인정보를 관리하고 있는 시스템이 적절한 보안기술장치를 통해 내부자 및 외부자에 의한 불법적인 접근, 사용, 변조, 훼손 변조, 공개들의 위험으로부터 보호될 수 있는 기술적, 관리적 조치들은 당연히 필요하다.
개인정보 노출 조사
필자가 속해 있는 회사에서는 2006년도 9월달 홈페이지 개인정보 노출현황을 진단하는 작업을 시행했다.
웹페이지나 게시판마다 동일한 형식으로 제작된 것이 아니라서 여러 가지 형식의 홈페이지들을 모두 점검할 수 있는 특별히 개발된 스캔프로그램을 이용했다. 스캔프로그램은 IDC에 위치하고 여기에서 진단을 원하는 사이트의 URL을 지정하면 먼저 스캔이 가능한 상태인지 1차 조사를 진행하고, 특별히 보안을 요하는 페이지가 아닐 경우 2차 스캔작업을 자동으로 수행했다.
홈페이지 조사는 주로 주민등록번호, 은행계좌번호, 신용카드번호, 법인등록번호 등의 정보를 검출하기 위해서 진행됐으며 사이트별로 스캔이 진행된 결과는 <표 3>과 같이 요약해 표시됐다.
그리고 실제 검출된 위치는 관련 URL과 본문 또는 첨부파일이 있을 경우 상위링크를 통해서 확인할 수 있다.
조사결과 요약
홈페이지의 개인정보 노출현황을 조사하면서 개인정보가 과다하게 노출돼 있는 현상을 발견했다.
특히 게시판에 글을 올리는 경우 습관적으로 주민번호를 기재하는 사람들이 있었고 일반인이 볼 수 없도록 비공개로 설정하는 기능을 사용하지 않는 부주의한 경우도 발생했다. 또한 관리자가 개인정보가 담긴 첨부파일을 업로드한 경우가 많이 있었는데 이런 경우는 대량의 개인정보가 노출되는 경우에 해당됐다. 회원제 홈페이지나 실명제 게시판에서 수집된 개인정보가 화면에 보이도록 설계한 경우 공개할 화면의 범위를 잘못 설정하는 경우가 많았다.
조사결과에 따르면 60개 기관에서 노출된 개인정보를 합산한 결과 1만6천237개의 개인정보를 발견할 수 있었다. 이는 사용자의 부주의에 의해 홈페이지에 직접 등록된 경우도 있었고 엑셀 같은 첨부파일에 등록돼 있는 경우도 많았다. 부지불식간에 개인정보를 취급하는 방법과 관행, 현재 개인정보 노출실태를 파악할 수 있는 조사였다.
웹상에서 개인정보 노출 현황
· 인터넷 동호회에서의 개인정보 노출
검색포털사이트에서 회원명단으로 검색한 결과 이름, 전화번호 등이 기재된 많은 회원리스트가 검색됐다. 일반적인 동호회 수준에서 관리되는 개인정보는 좀 더 철저한 개인정보 보호의식이 필요하다
· 검색엔진을 통한 개인정보
대형 포털사이트에서 주민번호나 개인정보를 키워드로 해서 검색할 경우 관련된 많은 개인정보를 확인할 수 있다. 이와 같은 개인정보들이 검색되지 않도록 포털사이트 검색엔진의 검색범위를 제한할 필요성이 제기되고 있다.
· 게시판 업로드에 의한 개인정보 유출
게시판 업로드가 취약한 경우 특정한 스크립트를 사용해 개인정보가 유출될 수 있다.
· XSS를 통한 개인정보 유출
게시판에 특정한 HTML TAG가 있을 경우 사용자 PC에 남아있는 쿠키정보가 전송돼 유출되는 경우가 발생한다.
개인정보보호 정책
현대 정보사회에서 개인은 본인을 표현하는 다양한 아이디를 갖고 있다. 10대 여성의 경우 9.88개의 아이디를 보유하고 있으며 60대 여자가 3.85개로 제일 적게 갖고 있는 것으로 조사되고 있다.
국내에서는 최근에 주민번호의 유출로 인해서 불법거래나 범죄행위의 온상이 될 수 있어서 개인정보의 보호기준이 적절한 수준으로 보완되지 못할 경우 개인들의 불안감은 더욱 증폭될 수밖에 없다. 이러한 상황에서 개인정보의 침해사고나 불법사고에 대응하기 위해서 정부주도로 2004년도 후반부터 주민등록번호 대체수단이 본격적으로 논의되기 시작했다.
주민번호의 문제와 그 보완
모든 개인정보가 주민등록번호를 중심으로 구축돼 있기 때문에 개인정보 DB간의 통합과 활용이 용이한 상태이다. 누구든지 주민등록번호를 소지한 경우 개인의 모든 정보를 조합해 원하는 정보를 손쉽게 얻을 수 있는 문제를 내포하고 있다.
또한 주민번호는 변경이 불가한데 자연인의 출생부터 사망까지 유지되는 그야말로 변경이 불가능한 식별체계이다. 그래서 한 번 노출된 주민등록번호는 개인의 프라이버시를 지속적으로 위협할 수 있지만 여기에 대한 대책은 전무한 상황이다. 우리나라와 같이 이러한 주민등록번호체계와 같은 개인식별자를 갖추고 있는 국가는 거의 없는 실정이다.
주민등록번호는 국민을 개인정보보호대상으로 간주하기 훨씬 이전에 국민을 관리와 통치의 대상으로 삼았던 이전시대의 산물이기도 하다. 따라서 이러한 주민등록번호를 대체하면서 효율적으로 폐기와 재생성이 가능한 주민번호 대체수단에 대한 논의가 진행되고 있다.
정부주도로 진행
주민번호대체 수단은 주로 공공부분의 연구기관과 행정기관을 중심으로 대안이 마련되고 있으며 현재는 정통부와 행자부가 별도의 안을 마련해서 진행하고 있다고 볼 수 있다.
정통부에서는 기존의 은행권, 금융권의 개인정보DB 를 중심으로 새로운 주민번호 대체수단을 마련하려고 하고 있는 반면 행자부는 1회용으로 언제든지 폐기가 가능하고 재생성할 수 있는 통합 아이디를 추진하고 있다. 근본적으로 양 기관의 차이는 어느 정도까지의 정보를 기준으로 대체수단을 마련할 것인지에 초점이 맞춰져 있다.
국민의 불편함을 덜어주기 위해서 비대면접촉을 기준으로 개인정보DB를 어떠한 수준으로 준비할 것인지에 대해 입장차가 존재하는 것. 정통부안의 경우 금융거래가 가능한 자연인의 경우를 대상으로 하여 민간부분이 보유하고 있는 개인정보 DB만으로도 개인식별과 거래가 가능하다고 판단하고 있지만 행자부의 경우에는 국가기관에서 보유하고 있는 양질의 개인정보DB를 기반으로 해야 한다고 주장하고 있는 실정이다. 최근에서야 주민번호 대체수단을 논의하는 과정이 진행돼 이 두 가지 흐름의 통합논의가 시작됐다. 당연히 행정기관편의가 아닌 국민의 편에서 이러한 논의가 진전돼야 할 것으로 생각하며 시범지역을 설정해 진행된 내용의 검증이 진행돼야 할 것이다.
조직내의 개인정보 보호 정책
아래 내용은 간단히 단위 조직내에서 시행할 수 있는 개인정보자산의 평가와 이의 취약성 분석을 통해서 개선계획을 수립해나가는 기본사항들을 설명한다.
·개인정보 자산의 분류 기준 확립
개인정보 자산의 식별 이전에 자산분류체계를 협의, 확정한다.
이러한 개인정보를 포함하고 있는 모든 자산목록을 작성하여 자산목록 양식을 작성한 후 자산관련 부서들로부터 자산목록을 수령한다.
·개인정보 자산의 민감도 평가
개인정보 자산의 민감도는 정보의 기밀성, 무결성, 가용성이 결여되었을 경우 발생하는 민감도로 정의되며 개인정보가 유출돼 접근 권한이 없는 사람이 정보를 열람했을 경우 발생하는 영향의 잠재정도를 의미한다.
·개인정보 자산의 위협요소 도출(취약성 평가)
개인정보 자산을 위태롭게 할 수 있는 상황을 가정해 기술적 요인으로부터 사회공학적 요인에 이르기까지 대상시스템에 내장돼 있는 취약성을 평가한다. 실제로는 기술적인 문제로 인한 문제보다는 패스워드 관리, 규정의 존재여부, 규정의 준수들의 사회공학적 원인에 의한 위협이 발생하는 것이 대부분이다.
·개인정보 보호를 위한 기술적/관리적 조치사항
1. 중요한 정보를 보호하기 위하여 파일이나 전송데이터를 암호화하거나 디스켓 잠금 기능 등 별도의 보안기능을 사용하는가?
2. 개인정보의 파괴 및 변조에 대비해 백업시스템이 구축돼 있는가?
3. 개인정보의 민감도에 따라서 암호화 조치 등 적절한 보안체계를 마련하고 있는가?
4. 지사/대리점/ 협력업체등에서 비정상적으로 과다하게 개인정보를 조회하는 경우 이를 방지하기 위한 경고시스템이 마련돼 있는가?
5. 지사/대리점/협력업체등이 원격지에서 개인정보를 열람하는 경우 로그기록 점검이 가능한가 ?
6. 사내 직원의 개인정보 DB접근, 처리에 대한 로그기록이 보유,관리되고 있는가?
7. 개인정보 DB접근, 처리에 대한 로그기록의 감사 및 점검을 실시하는가?
조직 내에서 특정한 목적으로 운영되는 개인정보가 유출될 경우 기관의 신뢰도와 금전적인 손해가 커지기 때문에 이를 막기 위한 정보기술적인 대응방법은 다음 회에서 논의하기로 하겠다.
