 |
7일 뉴스1에 따르면 한국인터넷진흥원(KISA)가 조사한 결과 지난해 기업 안전조치 의무위반 유형은 저장·전송시 암호화(25%)가 가장 많았고 ▲접속기록 보관·점검(22%) ▲공개·유출 방지 조치(19%) ▲접근권한 관리(15%) ▲안전한 접속·인증 수단(13%) ▲시스템 설치·운영(6%) 순이었다.
차윤호 KISA 개인정보조사단장은 "개인정보 유출사고를 보면 업데이트 과정에서 오류가 발생하거나 설정을 잘못해서 다른 사람에 보여지는 경우가 많다"며 "이런 부분은 웹 취약점 점검과 시큐어 코딩 프로그램 개발 및 적용 과정에서 충분한 사전테스트 등 합리적이고 적극적인 대응 조치를 해야 한다"고 설명했다.
스피어피싱(특정 대상 공격)·조용한 해킹(사용자 모르게 단말 정보 탈취) 등 해킹 경로가 복잡해지고 있다. 실제 ▲저장·전송시 암호화 ▲접속기록 보관·점검 접속기록 보관·점검 ▲접근권한 관리 측면의 취약 여부 등 3개의 유형은 해킹 경로가 다양해지면서 구체적인 기준을 적용하기 어려운 항목이다.
차 단장에 따르면 공개·유출 방지 조치를 강화하기 위해서는 개인정보처리 시스템 및 개인정보 취급자의 컴퓨터·모바일 기기에 보안 조치를 취해야 한다. 차 단장은 "처리 중인 개인정보가 인터넷 홈페이지·P2P(개인 간 파일 전송)·공유 설정 등을 통해 열람권한이 없는 자에게 공개되거나 유출되지 않도록 해야 한다"고 말했다.
침입차단·탐지 시스템 설치·운영 측면의 개선을 위해 개인정보처리시스템에 대한 접속 권한을 IP(인터넷 프로토콜) 주소 등으로 제한해야 한다.
철저한 침입방지 시스템 운영 관리도 중요하다. 차 단장은 "설치했다고 끝난게 아니라 정기적으로 노후여부를 분석하고 이에 따른 정책을 설정해 이상 행위를 탐지·대응하는 조치가 필요하다고 의무를 부여하고 있다"고 말했다.
또 '안전한 접속 인증 수단 적용 여부'를 판단할 때는 안전한 인증 수단 사용이 중요하다. 개인정보 취급자가 필요한 때만 개인정보처리시스템을 접속하도록 하는 것도 필수 요소다.
차 단장은 "외부에서 개인정보처리시스템에 접속이 필요한 경우 VPN 또는 OTP 등 추가 인증을 적용하도록 하고 있다"며 "개인정보처리 취급자가 (시스템에) 필요한 시간 동안만 접속하도록 제한하는 의무도 부과하고 있다"고 말했다.
Copyright ⓒ 머니S 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
