[보안칼럼] IT 강국으로 가기 위한 개인정보보호 구축의 허와 실

개인정보보호법이 입법 논의 7년 만에 시행된다. 9월 30일부터 적용되는 개인정보보호법은 주민등록번호와 같은 개인정보 유출 시에도 문제가 없도록 암호화와 같은 기술적 조건을 만족해야 한다. 적용대상도 일반기업, 공공기관 외에 헌법기관과 의료기관, 협회나 동창회 같은 비영리단체 등으로 확대되었다. 그럼 개인정보보호법 시행을 앞두고 문제점과 대책을 알아보도록 하자.

개인정보에 개방적인 한국

해외 여러 나라의 IT 경험이 있는 엔지니어, 해외 개인정보보호법에 대해 알아보니 이력서에 ‘가족직업’까지 쓰는 곳은 한국뿐이라고 한다. 북미와 영국 등은 이력서에 사진, 성별, 나이, 국적, 종교 정보가 빠져 있고 간단한 보고서를 쓰듯 경력과 학력 위주로 작성하며 모델과 같은 외모가 필요한 직업의 경우에만 사진을 요구한다고 한다. 외국은 이렇게 외모나 성별 등 차이를 두지 않는 문화가 정착되어 있다.

반면에 한국은 사진, 주민등록번호, 국적, 혈액형, 종교, 신장, 몸무게 외에 부모 직업, 학력 등이 이력서의 기본 양식으로 제공되어 모든 항목에 기재하는 것을 기본으로 하고 있다. 심지어 사진은 포토샵으로 얼굴 성형을 하다 보니 면접관이 대상자를 알아보지 못하는 해프닝도 일어난다. 이렇듯 한국은 과다한 개인정보를 요구하고 있으며 이런 정보가 이메일로 전달되고 출력된 후에 미채용 시에는 쓰레기통에 버려진다.

외국에서는 오래전에 신용카드 사용이 활성화되면서 지불카드의 정보보안이 강화되어 시행되고 있다. PCI DSS(Payment Card Industry Data Security Standard)라는 정보보안 표준을 만들어서 세계적인 카드회사들이 카드정보와 개인정보에 대해 암호화 등이 구축되어 있다. 또한 EU eID법에 개인정보 저장 및 전송시 암호화 적용 등이 시행되고 있다.

한국은 정보통신망법과 금융감독원에서 규정을 명시하고 있으나 금융권 등의 일부 사업에 대한 보안대책 가이드 수준으로 인식되고 있다. 이에 개인정보보호법 적용대상을 확대하고 고유식별 정보의 처리 강화, 개인정보 수집 및 이용 제한, 유출 시 개인에게 사실 통지 제도 도입을 하게 된 것은 환영할 만하다.

짧은 준비기간과 비용 등으로 구축 어려움

개인정보 암호화는 DB상에 주민등록번호, 여권번호 등의 개인정보를 암호화하여 유출시에도 정보공개가 안되며 주민등록번호 DB 접근자를 최소한의 원칙으로 제한하는 것으로 여러 솔루션 도입이 필요하다.

구축시 어려운 점으로는 첫째, 세부지침이 없어 혼란을 초래하고 있다. 개인정보 암호화 구축 시 수개월의 시간이 필요하여 9월 말까지 적용하기 위해서는 6월 이전부터 시행되어야 하나 아직 세부지침이 나오지 않고 있다.

행안부에서는 개인정보보호 연구회를 만들어 총 6개 분과(시행령, 기본계획, 표준지침, 안전지침, 처리지침, 홍보)에 대한 개인정보 지침·고시 제정을 준비하고 있으나 늦은 감이 있다. 3월 개정안에 주민등록번호 등 고유식별정보에 대한 암호화를 발표하였으나 5월에는 세부적인 내용이 일부 발표되면서 여권번호, 운전면허번호, 외국인등록번호가 대상으로 포함되면서 혼란이 발생하고 있다.

IT 관리자는 “암호화 솔루션 업체와 도입계약을 하였는데 암호화 대상이 늘어나면서 비용과 인력이 더 증가하고 있다”고 한다. 또한, 공공기관과 상시 종업원 숫자가 50명을 넘는 기업은 개인정보 보호 업무를 전담하는 책임자 지정이 되었다. “개인정보보호 책임자로 인사팀장을 선정하려고 하니 사고 나면 책임지기 어렵다고 다른 사람을 선정하라”고 한다.

둘째, 투자비용이 고가이고 준비기간이 필요하다. 기존 응용프로그램을 수정하고 DB를 암호화하기 위해서는 운영하고 있는 시스템에 대한 영향도가 최소화될수록 인증이나 구축사례를 참고한다. 국내는 아직 SAP 암호화에 대한 인증업체가 몇 개 안 되고 구축경험 인력도 많지 않다. 대기업의 IT 투자를 담당하는 부서에서는 “올해 법 시행으로 투자 예산이 확보가 안 되었으며 1년 IT 예산이 20억인데 암호화 솔루션 견적비가 수억으로 경영자의 결재 받기도 쉽지 않다”고 어려움을 호소한다.

쇼핑몰 등을 운영하는 중소기업에서는 보안에 대한 투자에 엄두가 나지 않는다고 한다. “매일 수십 개씩 생기는 쇼핑몰과 경쟁하기 위해 이윤을 최소로 해도 운영비용도 안 나와서 투자할 비용이 없다”고 한다. 또한 주민등록번호를 이용하는 응용프로그램을 선별하고, 영향도를 분석한 후 암·복호화 모듈을 삽입하고 테스트하는 절차에 수개월이 소요된다. 개발자는 “ERP 고도화 등의 계획과 암호화 작업이 맞물려서 휴일도 반납해야 한다”고 고충을 말하기도 한다.

셋째, 솔루션 전문업체가 부족하다. 전문 솔루션업체에서는 SAP DB 암호화 솔루션을 개발하였으나 투자 대비 공급이 적어 어려움이 많다고 한다. “SAP DB 암호화 솔루션을 개발하기 위해 DB 암호화 개발자 외에 SAP과 DBA 컨설턴트를 투입하였고 인증신청 등 1년 이상 개발투자와 비용 들어갔으나 견적만 요청하고 비용이 고가로 계약이 미약합니다”고 한다.

또 저가의 유사한 제품이 나와서 손해가 크다고 한다. 주민등록번호를 암호화하지 않고 화면 상에 주민등록번호를 마스킹(masking)하여 보이지 않게 하는 솔루션을 판매하는 곳도 생겨났다고 한다. 솔루션 구축 시에는 암호화 구축 경험인력을 선호하여 인력공급에 어려움이 있다.

개인정보보호법은 보안IT강국으로 가는 길

개인정보보호법을 통해서 국민과 기업이 개인정보의 중요성을 알고 개인정보의 수집과 활용이 필요한 곳에서 이루어진다면 보안 IT 강국으로 가는 초석이 될 수 있다.

개인정보보호법이 안정적으로 시행되기 위해서는 몇 가지 개선이 필요하다. 첫째, 행정안전부에서 세부적인 지침과 IT 지식이 없는 중소기업을 위한 가이드라인 제작을 빠른 시일에 배포해야 한다.

둘째, SW 육성지원금 등으로 영세한 중소기업의 비용부담 경감을 위한 방안이 필요하다. 셋째, 주민등록번호 대체 수단인 i-PIN 의무화 등 주민등록번호 사용을 억제해야 한다. 넷째, 기업들의 예산 부족과 짧은 준비 기간의 부담을 덜어주고자 법 적용 시 유예 기간 두어서 구축 중인 곳은 경감 등을 해주어야 한다.

개인정보보호법이 발효되면서 공공과 기업에서는 발 빠른 진행을 하고 있다. 사내 출입관리 및 외부방문객 시스템을 수정하고 있으며 인사관리시스템의 주민등록번호 등을 암호화하는 작업을 진행하고 있다. 구축을 진행하면서 준비기간이 짧고 세부지침이 부족, 고가의 비용부담이라는 여러 난관이 있지만 보안IT강국으로 가기 위해서는 개인정보보호법은 필수이며 개인정보위협으로부터 보호할 수 있다고 생각한다.

[팁] 개인정보암호화 구축 사례

개인정보 암호화 구축을 위해서 솔루션 선정과 구축에 대해 알아보자. 솔루션 도입을 위해 <표 1>과 같이 암호화 용이성, 사용 편의성, 성능 등의 여러 항목을 비교 검토하여 선정하였다.

구축단계에서는 <표 2>와 같이 암호화 대상 응용프로그램을 선정하고 암호화 시 영향도 등을 분석한 후 설계, 개발, 테스트, 적용, 모니터링 단계를 수행하면서 완료하였다.

<표1> DB 암호화 솔루션 검토 항목

<표2> 개인정보암호화 구축 수행단계

[글 _ 임보혁 수석컨설턴트(airbag1@naver.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)