2024-03-29 21:35 (금)
박나룡 CISO "개인정보 라이프사이클에서 잘 지켜지지 않는 현안들"
상태바
박나룡 CISO "개인정보 라이프사이클에서 잘 지켜지지 않는 현안들"
  • 길민권 기자
  • 승인 2018.04.29 15:11
이 기사를 공유합니다

개인정보 접속기록은 월 1회 이상 정기적으로 확인하고 감독해야

▲ 박나룡 브로콜리 CISO/CPO(보안전략연구소 소장)가 업무상 개선되어야 할 개인정보보호 내용들에 대해 설명하고 있다. [G-Privacy 2018=데일리시큐]
▲ 박나룡 브로콜리 CISO/CPO(보안전략연구소 소장)가 업무상 개선되어야 할 개인정보보호 내용들에 대해 설명하고 있다. [G-Privacy 2018=데일리시큐]
데일리시큐 주최 상반기 최대 개인정보보호&정보보안 컨퍼런스 'G-Privacy 2018'이 지난 4월 10일 서울 양재동 더케이호텔서울 가야금홀에서 정보보안 실무자 1,000여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 박나룡 브로콜리 CISO/CPO(보안전략연구소 소장)은 '업무에서 만난 개인정보보호 이슈'란 주제로 강연을 진행했다. 그는 포털사, 소셜커머스 등에서 개인정보 및 정보보호 책임자로 오랜 기간 근무했으며 ISMS, PIMS 등 인증심사원 및 정보보호 컨설팅 업무도 오랜기간 해 온 이 분야 최고의 실무 경력자라 할 수 있다.

박나룡 CISO는 오랜 기간 개인정보보호 실무와 인증심사원으로 활동해 오면서 개인정보생명주기에서 잘 지켜지지 않는 부분들이 있다며 다음과 같은 문제들을 지적했다.

△홈페이지 운영 및 관리 취약=홈페이지 관리자 권한 계정을 15개나 생성 운영하는 등 홈페이지 관리자 계정 과다 보유 문제 그리고 개인정보처리시스템 보안관리 미흡을 지적했다.

△불필요한 고객정보 저장=홈페이지 회원을 DB와 엑셀파일로 관리하는 등 회원정보 이중관리 문제, 그리고 홈페이지 회원을 엑셀파일로 관리하면서 업데이트 시 별도 파일을 생성해 관리하는 문제.

△저장된 고객정보 보호 및 파기조치 미흡=고객 배송정보는 담당자 PC에 저장 후 출력업체에 전송하는 등 고객 배송정보 파일 암호화 미적용 문제, 그리고 보유목적 달성 시 고객정보 파기 미이행 문제.

△위탁시 보호조치 미흡=고객 배송 정보를 외부업체에 위탁하고 있지만 파악이 미흡하고 개인정보처리 위탁계약서 작성 및 관리 감독이 미흡한 문제.

이에 대해 박나룡 CISO는 권고사항으로 "홈페이지 관리자 계정 권한을 재검토 후 재부여하고 개인정보 처리시스템로그기록 보관 및 주기적인 검토가 필요하다. 또 이중으로 관리하고 있는 회원정보를 통일해서 정리 및 관리하고 PC에 저장되는 고객정보도 암호화해야 한다. 그리고 외부 업체에 위탁해 처리하는 개인정보도 파악하고 관리하는 것도 중요하다"고 강조했다.

이어 추가적인 문제점들을 지적했다.

△개인정보 수집 이용 동의 절차 미흡=채용지원 시 수집되는 개인정보에 대한 동의절차가 미흡하고 채용양식을 제공하지 않고 개인정보 수집시 이력서 등 양식에 따라 과대한 개인정보를 수집하는 것도 개선할 필요 있다.

△저장된 채용 정보 보호 및 파기조치 미흡=채용시 수집되는 개인정보 파일을 암호화 저장하지 않고 있다. 문서로 보관하는 개인정보 출력문서를 잠금 장치가 있는 캐비닛에 보관하지 않고 있다. 보유목적 달성시 파기 이행도 미흡하다.

△제3자 제공 관리 미흡=내부업무를 위해 타 법령에 근거해 개인정보를 제공하고 있지만 관리가 되지 않고 있다.

이에 대해 박나룡 CISO는 "개인정보 수집 시 동의 항목 및 절차를 마련하고 개인정보 수집 목적에 맞는 수집항목 양식 개선도 필요하다. 또 수집 목적이 완료된 개인정보에 대한 정리가 필요하고 연구원이 보관해야 할 자료를 분리보관 해야 한다. 그리고 제3자에게 제공되는 개인정보 내역을 목록으로 관리할 필요가 있다"고 권고했다.

그는 또 개인정보처리시스템과 관련해서 주의해야 할 사항에 대해서도 언급했다.

접근통제와 관련해서는 허용IP 설정, 계정 별 ID/PW 설정, 계정 별 권한 설정, OTP 인증, 공인인증서 인증, 바이오 정보를 통한 인증 등 추가인증 수단의 다양화가 필요하다.

관리자 페이지에 대해서는 관리자 계정(1인 1계정) 별 접근 권한을 차등 부여하고 개인정보처리시스템의 접근권한 변경 또는 말소에 대해 그 내역을 보관해야 한다. 또 상세 로그를 통해 해당 사용자가 어떤 행위를 했는지 책임 추적이 가능해야 하고 개인정보 접속기록은 월 1회 이상 정기적으로 확인하고 감독해야 한다. 이 기록은 최소 6개월 이상의 접속 기록을 보존 관리해야 한다.

보안시스템 관리에 대해서는 △VPN 관리 △방화벽 관리(룰관리, 정책 적용 절차) △네트워크 장비(접근제어 및 통제) △모니터링(임계치 설정, DB접근통제) △개인정보 검색 툴(오탐 최소화) △PMS(패치 관리 시스템)에 대해 관리를 강조했다.

데이터베이스 관리에서는 △DB 테이블 현황 관리 △개인정보 보유현황 파악 △DB접근통제 및 망분리 △별도 DB 관리(휴면DB, 해지DB 등), 파일다운로드 통제 및 모니터링 △암호화, 마스킹 등을 강조했다. 특히 암호화에 대해 비밀번호는 일방향 암호화(SHA 256 등)와 고유식별번호, 신용카드번호, 계좌번호, 바이오정보 등은 안전한 SEED, AES256, ARIA 등 안전한 알고리즘으로 암호화해야 한다.

관리적 이슈에 대해서는 △수집 시 보호조치 △개인정보 목적 외 이용 △정보주체 권리 보장 △개인정보 취급자 관리 △위탁업체 관리 감독 △개인정보 교육 등에 대해 언급했다.

박나룡 CISO의 G-Privacy 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★