수탁사 개인정보보호 실태점검 코앞! 23개 최종 점검리스트 보안

[보안뉴스 김경애] 개인정보 유출 등 최근 침해사고의 대다수가 개인정보처리 시스템을 개발·운영하는 등의 업무를 위탁받는 수탁사(IT 수탁사)들의 부주의나 과실에 의해 발생하고 있는 것으로 분석됐다.


이에 행정자치부와 미래창조과학부는 개인정보보호 실태 개선을 위해 수탁사를 대상으로 오는 5월 일제 현장점검을 대대적으로 실시할 예정이며, 이에 앞서 자율점검을 진행할 방침이다.


자율점검 제출대상은 위탁사로부터 개인정보처리 시스템의 개발, 운영 및 유지보수 등의 업무를 위탁받아 처리하는 모든 IT 수탁사 약 6,600여 개 가운데 전체 매출액이 30억원 이상인 수탁사 또는 최근 3년간 50개사 이상 위탁받은 수탁사다. 특히, 주된 위탁업체 업종은 학교, 학원, 병원, 약국, 은행, 보험사, 이미용업, 숙박업 등으로 개인정보를 많이 취급하는 곳이 해당된다.


제출방법은 오는 20일까지 한국인터넷진흥원 홈페이지(http://www.kisa.or.kr/)에서 점검표를 다운받아 작성후 이메일(privacycheck@kisa.or.kr)로 하면 된다. 총 23개 항목인 세부 점검 내용을 살펴보면 다음과 같다.

1. 개인정보 수집에 따른 정보주체의 동의를 받을 때 요구되는 4가지 필수항목인 △수집의 목적 △개인정보의 항목 △개인정보 보유 및 이용기간 △동의 거부권 및 거부 시 불이익을 기재했는지 여부다.


2. 제3자에게 개인정보 제공시 정보주체의 동의를 받을 때 요구되는 5가지 필수항목인 △제공받는 자 △이용목적 △개인정보의 항목 △개인정보 보유 및 이용기간 △동의 거부권 및 거부 시 불이익을 기재했는지 여부다.


3. 고유식별번호, 민감정보, 마케팅용 필요정보 등 수집시 구분해 동의를 받고 있는지 여부를 살펴봐야 한다.


4. 법에 근거하지 않고 주민번호를 수집 및 처리하고 있는지 여부를 확인해야 한다.


5. 인터넷 홈페이지를 통한 회원가입 시 법령에 근거해 주민번호외 회원가입 방법(i-PIN, 핸드폰 등)을 제공하고 있는지 점검해야 한다.

6. 보유기간 경과, 처리 목적(제공받은 경우 제공받은 목적) 달성 후 지체 없이 영구 삭제하고 있는지 체크해야 한다.


7. 법령에 따라 보존할 경우 다른 개인정보와 분리해 보관하고 있는지 점검해야 한다.


8. 계약문서에 반영해야 하는 7개 필수사항인 △위탁업무 수행 목적외 처리금지 △기술 및 관리적 보호조치 △목적 및 범위 △재위탁 제한 △접근제한 등 안전조치 △관리 및 감독사항 △손해배상 등 책임에 대한 사항 등에 대해 체크해야 한다.


9. 개인정보취급자에 대한 적절한 관리 및 감독(접근통제, 보안각서 징구, 교육 등)을 실시하고 있는지를 따져봐야 한다.


10. 개인정보처리방침에 관한 10개의 필수 공개항목인 △개인정보의 처리 목적 △처리 및 보유기간 △제3자 제공에 관한 사항 △업무위탁에 관한 사항 △정보주체 권리 및 의무 및 행사 방법 △개인정보의 항목 △개인정보 파기 △안전성 확보 조치 △처리방침 변경에 관한 사항 △개인정보보호책임자에 관한 사항을 확인해야 한다.


11. 시스템에 대한 접근권한 부여시 업무담당자에 따라 필요 최소한의 범위인 1인 1계정으로 차등 부여하고 있는지 확인해야 한다. 이는 개발 초기 시 부여된 관리자 권한과 디폴트 권한 등이 일괄 부여된 사례가 있기 때문에 만들어진 항목이다. 또한, 퇴직자 계정을 삭제하지 않고 남겨놓은 사례도 적발되고 있다.


12. 접근권한의 부여, 변경, 말소 내역을 기록 및 관리하고, 최소 3년간 보관하고 있는지 점검해야 한다. 이는 권한 변경 이력을 보관하지 않거나, 3년 미만으로 보관하는 사례가 발견되고 있기 때문이다.


13. 안전한 비밀번호 작성규칙을 수립 및 적용해야 한다. 비밀번호 작성규칙을 마련하고 있음에도 불구하고 시스템에 반영하지 않은 사례가 적발되고 있는 상황이다.


14. 불법적 접근(방화벽) 및 침해사고 방지를 위한 시스템을 설치·운영하고 있는지 확인해야 한다. 특히, 웹호스팅 시 방화벽 등 보안 시스템 이용에 추가 비용이 든다는 이유로 설치하지 않는 사례가 종종 발견되고 있다.


15. 개인정보취급자가 외부에서 정보통신망을 통한 접속시 가상사설망인 VPN 전용선 등 안전한 접속수단을 제공하고 있는지 점검해야 한다. 이는 홈페이지 관리자페이지 접속 시 단순 ID/V패스워드로만 접속 가능한 사례가 있기 때문이다.


16. 웹하드 등의 비인가 프로그램 및 공유 설정 등을 통해 열람 권한이 없는 자에게 공개 및 유출되지 않도록 접속 차단을 실시해야 한다. 특히, 웹서버 설정이 미흡해 게시판 등에 올린 개인정보가 구글 등에 노출되는 사례가 발견되고 있기 때문이다.


17. 본인 확인을 위해 성명, 주민번호를 사용할 수 있는 경우에도 공인인증서, 휴대전화 등을 통해 추가적인 정보를 확인하는지 점검해야 한다. 성명, 주민번호만을 이용해 본인확인하는 경우 공격대상이 되는 사례가 발견되고 있어 사업자는 각별히 주의해야 한다.


18. 홈페이지 실명확인 및 회원가입 시 고유식별정보, 비밀번호 등을 외부에 송·수신하거나 내부에 저장하는 경우 SSL 등 암호화 조치 적용 여부를 확인해야 한다. 이는 행자부에서도 암호화 조치 미흡사례가 다수 발견되고 있다며, 지적한 사항이다.


19. 비밀번호 내부 저장시 일방향 암호화(해쉬함수) 알고리즘을 적용해야 한다. 이는 안전하지 않은 일방향 암호화 알고리즘 및 대칭키 암호화 방식 등으로 암호화한 사례가 발생하고 있기 때문이다.


20. 고유식별정보를 인터넷과 내부망의 중간지점(DMZ)에 저장하는 경우 암호화 조치를 적용하는지 확인해야 한다.


21. 취급자의 접속기록이 도난 및 분실되지 않도록 최소 6개월 이상 안전하게 보관 및 관리하는지 여부를 확인해야 한다.


22. 취급자의 접속이력 기록시 필수항목을 기록하고 있는지 여부를 확인해야 한다.


23. 보안 프로그램을 자동 업데이트 또는 1일 1회 이상 업데이트해 최신 상태로 유지하고 있는지 확인해야 한다.

원문 : http://www.boannews.com/media/view.asp?idx=45865