본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

개인정보 보호 비상! 글로벌 컴플라이언스에 대응하려면? (下)

2020.10.12

이번 시간은 지난 시간에 이어 ‘개인정보 보호 처리 단계별 보호 조치, 대상 시스템의 기술적 보호 조치, 공개된 장소에 대한 영상 모니터링’에 대해 알아보겠습니다.

● 개인정보 보호 비상! 글로벌 컴플라이언스에 대응하려면? (上) 보기

개인정보 처리 단계별 보호 조치

개인정보의 Lifecycle(수집 ▶ 저장 ▶ 이용•제공 ▶ 파기)에 따라 준수해야 할 내용은 다음과 같습니다.

● 수집

모든 국가에서 개인정보 수집 시 적법한 근거 중 하나로 정보 주체의 동의를 채택하고 있습니다. 따라서, 국가별로 정의한 개인정보 수집 양식 및 방법을 참고해 개인정보를 수집할 때 정보 주체의 ‘동의’기반으로 수집이 될 수 있도록 체계를 수립해야 합니다.

주의할 사항은 EU에서는 실질적으로 거부 의사를 표현하기 어려운 환경에서 동의의 효력을 인정하지 않고 있으며, 대표적으로 임직원의 동의는 그 효력을 인정하고 있지 않습니다. 이와 같이 국가에 따라 ‘동의’의 효력을 인정받기 어려운 경우는 ‘법적 근거’에 기반해 개인정보를 수집해야 하므로, 이런 케이스가 없는지 국가 별로 잘 확인해야 합니다.

● 이용•제공

개인정보를 수집 목적에 부합하는 범위에서 이용 및 제공해야 하는 원칙은 모든 국가에서 기본적으로 준수해야 하는 사항입니다. 따라서, 개인정보를 이용, 제공하는 모든 경우에서 이 원칙을 위반하고 있지는 않은지 확인해야 합니다. 개인정보의 이용•제공의 형태 중 다음의 경우에 대해서는 추가적인 고려가 필요합니다.

개인정보의 위탁, 제공, 양도•양수 시 준수해야 할 기준이 국가 별로 상세히 기술이 되어 있는 경우가 있으므로 개인정보 흐름에서 이를 반드시 식별해 법에서 요구하는 사항들이 잘 반영되어 있는지 확인해야 합니다.

개인정보를 프로파일링 해 사용하는 경우에는 추가적인 요건이 기술되어 있는 국가가 있습니다. 개인정보 수집 후 자동화된 수단으로 분석하고 그 결과를 사람의 개입 없이 자동으로 판단한다면 프로파일의 범주에 포함될 수 있으므로, 이런 형태의 개인정보 처리는 식별해 각 국가별로 준수해야 할 사항이 있는지 확인해야 합니다. 대표적으로 EU와 중국이 이에 해당합니다.

개인정보가 해외로 이전(단순 조회도 포함됨)될 경우에는 각 국가별로 명시한 보호 조치가 있습니다. 단순 정보 주체의 동의로 해외 이전이 가능한 경우도 있고, 별도의 안전성 평가가 필요한 국가도 있습니다. 따라서, 개인정보가 해외 이전되는 케이스를 식별해 이에 대한 법적 요구 사항이 준수될 수 있도록 해야 합니다.

● 저장•파기

수집된 개인정보가 동의 받은 목적을 다했거나, 최소한의 보유 기간이 경과되었을 경우에는 파기해야 합니다. 이는 국가와 관계없이 공통적으로 적용되는 항목입니다. 파기 시에는 복구가 불가능한 형태로 안전하게 파기해야 하며, 한국의 경우 법적인 요건에 의해 최초 동의 받은 기간 이상 보관해야 할 경우 ‘분리 보관’하도록 명시하고 있습니다.

한국 이외의 국가에서는 ‘분리 보관’에 대한 요건은 없으나, ‘분리 보관’이 개인정보의 파기 절차를 한층 더 안전하게 조치하기 위한 대책임을 감안한다면 국가별 위험 평가 결과에 따라 이 조치의 적용 여부를 결정하도록 권고합니다.

개인정보의 저장에 대해서는 한국, 중국의 경우 법적으로 명시한 대상을 고려해 암호화 등의 보호 조치를 적용해 저장해야 하며, 중국의 경우 클라우드에 개인정보를 저장할 경우 Region을 자국 내에 저장해야 한다는 요건이 적용될 수 있으니 이를 고려해야 합니다.

대상 시스템의 기술적 보호 조치

개인정보에 대한 기술적 보호 조치의 적당한 수준은 위험 평가를 통해 그 결과에 따라 자체적으로 결정해야 합니다. 다만, 한국, 중국의 경우 법적으로 개인정보에 대해 반드시 적용해야 하는 기술적 보호 조치에 대해 좀 더 상세하게 명시된 내용이 있으므로, 이런 내용들은 위험 평가 수행 시 필수 항목으로 포함해 보호 조치 적용 수준을 결정합니다.

이외의 국가에서는 이런 일부 국가의 법적 조치 항목들의 내용이 필수적으로 적용이 필요한 내용은 아니어서, 영향평가 결과에 따라 적용 여부를 결정할 수 있습니다. 다만, 이런 항목들은 개인정보를 보호하기 위해 보편적으로 필요한 내용일 경우가 대다수이므로 특수성을 가진 일부 기술적 보호 조치를 제외하고는 공통적으로 적용을 권고합니다.

● 접근 권한 관리

접근 권한을 관리하는 기술적 보호 조치 중 다음의 내용은 공통적으로 적용이 필요한 항목입니다.

  • 공용 계정 사용 금지(개인 계정 사용)
  • 비밀번호 사용 규칙 적용(복잡도, 변경 주기 설정, 연속 오입력 시 계정 잠금 등)
  • 중요 개인정보 혹은 대량의 개인정보를 처리하는 개인정보 취급자에 대해 강화된 인증(OTP 등) 적용
  • 장기 미 접속 계정 잠금 적용
  • 세션 타임아웃 적용

접근 권한을 관리하는 기술적 보호 조치 중 다음의 내용은 선택적으로 적용할 수 있는 항목입니다.

  • 동일 계정 동시 접속 제한
  • 관리자 로그인 알림

● 접근 통제

접근 통제를 위한 기술적 보호 조치 중 다음의 항목들은 공통적으로 적용이 필요한 항목입니다.

  • 개인정보 처리 시스템에 대한 불법적인 접근 및 침해 사고를 방지할 수 있도록 기술적 보안 조치를 적용(DMZ 구성, 방화벽, 침입 차단 시스템 구성 등)하며, 그 적용 수준은 상황에 따라 개별 판단
  • 외부망에서 개인정보 처리 시스템 접속 시 안전한 접속 수단 또는 안전한 인증 수단 적용
  • 개인정보 취급자, PC에 대한 안전한 보호 조치 적용(OS 패치, 백신, 공유 폴더 차단 등등)
  • 관리용 단말기에 대한 보호 조치 적용
  • 웹 서버 및 응용 프로그램에 대한 취약점 점검 수행, 조치

접근 통제를 위한 기술적 보호 조치 중 다음의 내용은 선택적으로 적용할 수 있는 항목입니다.

  • 개인정보 처리 업무용 모바일 기기에 대한 보호 조치
  • 운영 데이터의 개발 환경 사용 금지(통제)
  • 개인정보 등 주요 정보에 대한 화면 마스킹 적용
  • 출력, 복사물에 대한 보호 조치 적용(마스킹, 이력 기록 등)

● 암호화

암호화는 모든 국가에서 필수적으로 적용되어야 합니다. 여기에는 암호화 키 관리와 안전한 암호 알고리즘의 사용이 포함됩니다. 다만, 암호화 대상에 대해서 한국, 중국의 경우는 컴플라이언스에 구체적으로 명시되어 있는 반면, 그 외 국가의 경우 위험 평가를 수행하고 그 결과에 따라 암호화 적용 대상 정보를 식별해 적용해야 합니다.

● 접속 기록의 보관 및 점검

개인정보의 접속은 이상 행위 발생 여부에 대한 점검과 사고 발생 시 사후 추적을 위해 기록해야 하며, 이런 취지를 감안한다고 하면 모든 국가에서 공통적으로 적용이 필요한 보호 조치라고 판단이 됩니다. 이런 목적을 충족하기 위해 필요한 로그 기록 항목, 보존 기간, 로그에 대한 안전성 확보 조치 등은 한국, 중국의 법률에 비교적 구체적으로 명시되어 있으니 해당 내용을 참고해 다른 국가에도 유사한 수준으로 적용하는 것을 권고합니다.

● 악성 프로그램 등 방지

악성코드를 배포해 이를 통해 침해 사고를 일으키는 방식은 여전히 가장 많이 발생되는 보안 사고의 유형입니다. 따라서, 개인정보를 취급하는 PC 및 서버에서는 악성 프로그램을 방지할 수 있는 백신 등 기술적 보호 조치가 필요하며, 이는 모든 국가에 공통적으로 적용이 되어야 합니다.

● 기타

이외에도 개인정보를 저장하는 장소에 대한 물리적인 통제, 업무 연속성 확보 등에 대한 내용이 명시된 국가도 있습니다. 한국과 중국의 컴플라이언스가 대표적인 사례이며, 그 외의 국가에서도 보호 대책을 수립할 때 필요한 경우 이런 내용을 참고해 수립합니다.

공개된 장소에 대한 영상 모니터링

공개된 장소에 CCTV를 설치해야 할 경우, 한국에서는 다음의 내용을 준수해야 합니다.

  • CCTV 설치 시 관련 전문가 및 이해관계인의 의견을 수렴해야 함
  • 영상 정보 처리 기기를 설치한 후 정보 주체가 쉽게 인식할 수 있도록 안내판 설치
  • 영상 정보 처리 기기 사용 시 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음 기능은 사용할 수 없음
  • 영상 정보 처리 기기의 운영에 대한 운영•관리 방침을 마련해야 함

한국 외 국가의 컴플라이언스에는 CCTV 설치와 같은 구체적인 케이스에 대한 기준이 세세하게 명시되어 있지는 않습니다. 다만, EU GDPR과 중국의 경우 ‘공개적으로 접근 가능한 지역에 대한 대규모의 체계적인 모니터링’, ‘개인정보 처리 고위험군’ 등에 속할 경우 개인정보 영향평가를 필수로 수행해야 하는 항목이 있습니다.

공개된 장소에 CCTV를 설치할 경우, 이에 따른 개인정보 영향평가를 필수로 수행하고 평가 결과 대응 방안을 수립할 때 한국에서 명시한 구체적인 보호 조치를 참고해 반영할 수 있습니다. 서두에서 언급했듯이 세계 각국에서 개인정보(혹은 데이터)를 보호하기 위한 컴플라이언스가 속속 제정되고 있지만, 개인정보 보호에 대한 커다란 원칙은 대동소이합니다.

● GDPR의 개인정보 처리 원칙

  • 정보 주체에 대해 적법하고, 공정하며, 투명하게 처리되어야 한다(‘적법성, 공정성, 투명성’).
  • 구체적이고 명시적이며 적법한 목적을 위해 수집되어야 하고, 해당 목적과 양립되지 않는 방식으로 추가 처리되어서는 안 된다. (‘목적 제한’).
  • 처리되는 목적과 관련해 적절하고, 타당하며, 필요한 정도로만 제한되어야 한다(‘데이터 최소화’).
  • 정확해야 하고, 필요한 경우 최신의 것이어야 한다. 처리 목적과 관련해 부정확한 개인정보는 지체 없이 삭제 또는 정정되도록 모든 적절한 조치가 시행되어야 한다(‘정확성‘).
  • 처리 목적 달성에 필요한 기간 동안만 정보 주체를 식별할 수 있는 형태로 보관되어야 한다.
  • 개인정보의 적절한 보안을 보장하는 방식으로 처리해야 한다.

글로벌 개인정보 관리 체계를 어떻게 수립해야 할지 고민이 된다면, 본 글에 기술된 내용들을 바탕으로 공통적으로 준수해야 할 관리 체계를 갖추고 각 국가별 특성을 식별해 관리될 수 있도록 해야 합니다. 관리 체계가 수립된 이후 운영에 대한 주체를 결정하고 본사와 각 국가별 법인 간의 R&R을 명확하게 정리하는 것이 중요합니다.

l LG CNS의 보안 솔루션 Compliance 관리 포털 예시

글로벌 컴플라이언스가 국가별 특성을 반영해야 하기 때문에 본사에서 모든 것을 운영하는 것은 현실적으로 어렵겠지만, 이슈가 발생할 경우 이에 대한 파급이 본사에도 미칠 수 있습니다.

따라서, 최초 관리 체계 수립 시 본사와 법인이 협업하고, 각 국가별 법인에 운영 담당자를 지정한 후 이에 대한 정기적인 감사를 수행하는 등 본사와 법인 간에 유기적인 협력 체계를 구성해야 합니다. 또한, 운영의 효율성을 극대화하기 위해 국가별 컴플라이언스 관리 체계의 일관성을 유지하도록 하는 등의 관리 방법도 고민해 볼 필요가 있습니다.

글 l LG CNS 보안컨설팅팀

챗봇과 대화를 할 수 있어요