[구윤희기자] 9월 30일 개인정보보호법의 시행을 앞두고 이에 대비하려면 '개인정보는 모두 삭제한다는 개념 접근'이 필요하다는 주장이 제기됐다.
14일 한국과학기술회관에서 개최된 '개인정보보호 및 내부정보유출방지 콘퍼런스'에서 박노현 컴트루테크놀로지 대표는 "개인정보보호법을 한 마디로 요약하면 개인정보를 갖고 있지 않아야 한다는 것"이라며 "꼭 필요한 개인정보는 행정안전부에 등록해야 하지만 그 외의 개인정보는 아예 소장하지 않는다는 개념으로 접근하는 편이 낫다"고 설명했다.
그는 "개인정보보호법에 대비하려면 개인정보에 대한 통제시스템을 구축하는 것이 중요하고 개인정보가 포함된 문서를 검출하고 정책을 적용해 암호화하는 과정을 갖춰야 한다"고 말했다.
특히 "개인정보보호법에 대비코자 하는 기업들은 일반적인 파일 삭제 정도로는 위법이 될 수 있다"는 점을 강조하며 박 사장은 "개인정보 파일을 그냥 삭제하는 정도로는 모자라고 복원이 불가능하도록 삭제해야 하므로 완전 삭제하는 솔루션이 필요하다"고 말했다.
◆ 업무용 파일에도 개인정보 있어 … 정보 검출 생활화해야
이어진 개인정보파일 검출 및 격리·암호화 시연에서는 이 회사의 'PC스캔'을 활용해 개인정보가 포함된 파일이 검출되고 암호화되는 과정이 소개됐다. 이 솔루션을 활용하면 전자결재과정에서 개인정보가 '*'로 치환돼 자동 암호화가 가능하다.
하지만 그는 이런 과정에서도 가장 중요한 건 개인 스스로가 업무용 파일에 개인정보가 있을 수 있다는 사실을 인식하고 정보 검출을 생활화하는 것이라고 덧붙였다.
'최근 정보 유출 사례 시연'을 담당한 보안기업 싸이버원 컨설팅본부 모의해킹팀 김소헌 팀장도 해킹 기술과 툴이 보편화된 점을 들어 보안 담당자의 경계의식이 중요하다는 뜻을 나타냈다.
김소헌 팀장은 "서버 사이드에서 악의적 행위를 하는 스크립트인 '웹쉘'이나 SQL 인젝션 취약점을 이용한 개인정보 획득, 웹 서버 관리자 권한을 획득하는 방법 등 공격 방식이 계속 진화하고 있다"고 설명했다.
그는 "관리자 계정에 들어가기 위한 주소를 login.asp라거나 admin.asp처럼 일반적인 것으로 설정하면 해커들의 표적이 되기 십상"이라면서 "또 쿠키를 사용해 관리자 인증을 하는 것 역시 매우 취약하다"고 지적했다.
개인정보 유출의 표적이 되고 있는 개인 PC 해킹에 대해서도 김 팀장은 "pdf나 워드 문서를 열람만 해도 감염되는 사례가 빈번하다"고 지적학 "PC 운영체제 보안을 잘 하고 있지만 개별 파일 보안은 잘 하지 않기 때문에 사용자 주의가 필요하다"고 조언했다.
◆ 개인정보보호법에 대한 기업들의 관심도 가열
한편 오는 9월30일 개인정보보호법의 본격 시행을 앞두고 기업들의 관심도 가열되고 있다.
3월 30일 법 공포 이후 관련 콘퍼런스와 세미나가 이어지는 가운데 컴트루테크놀로지(대표 박노현)가 14일 한국과학기술회관에서 개최한 '개인정보보호 및 내부정보유출방지 콘퍼런스'에도 400명 이상의 관객이 몰렸다.
이 회사 관계자는 "약 900여명이 사전등록을 했으며 현장에는 400~500명이 자리했다"며 "이는 개인정보보호법에 대한 기업들의 높은 관심을 보여주는 사례로 이번 콘퍼런스도 최근들어 법 관련 문의가 급증하고 있어 마련한 것"이라고 설명했다.
구윤희기자 yuni@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기