주민번호, 여권번호부터 운전면허번호까지! / 개인정보보호의 암호화 해결 방안
상태바
주민번호, 여권번호부터 운전면허번호까지! / 개인정보보호의 암호화 해결 방안
  • 송동훈
  • 승인 2022.01.06 09:24
  • 조회수 10981
  • 댓글 0
이 콘텐츠를 공유합니다

 

디지털 금융의 선결 조건은 신뢰이다. 아무리 좋은 서비스도 신뢰를 받지 못하면 사용자가 외면한다. 최소한의 신뢰 기준은 개인정보보호 규제를 준수하는 것이다. 금융회사는 개인정보보호법과 신용정보법을 준수해야 한다. 개인정보보호법은 일반법으로, 개인정보를 다루는 모든 조직에 적용된다. 신용정보법은 특별법으로, 신용정보를 취급하는 조직에 적용된다.

개인정보 암호화 요건

각 법이 정하고 있는 암호화 요건을 살펴보자.

[개인정보 암호와 관련 컴플라이언스 (참조: 국가법령정보센터 www.law.go.kr)]
[개인정보 암호와 관련 컴플라이언스 (참조: 국가법령정보센터 www.law.go.kr)]

첫째 “개인정보보호법” ‘개인정보처리자’의 경우 “제24조”와 동법 시행령 개인정보의 안전성 확보조치 기준 제7조”에 고유식별정보, 비밀번호, 생체인식정보를 암호화 대상으로 정의했다.

둘째 “개인정보보호법” ‘정보통신서비스 제공자’의 경우 동법 시행령 개인정보의 기술적 관리적 확보조치 기준 제6조”에 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 비밀번호, 생체인식정보를 암호화 대상으로 정의했다.

셋재 “신용정보법”의 경우 동법 시행령의 시행규칙 “신용정보업감독규정 별표 3 기술적 물리적 관리적 보안대책 마련 기준”에 주민번호, 비밀번호, 생체인식정보, 개인신용정보, 인증정보를 암호화 대상으로 정의했다.

민감정보도 암호화 대상이다. 민감정보는 “개인정보보호법 제23조”에서 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로 정의하고 있다.

암호화는 저장과 전송에 따라 기준이 다르다. 고유식별정보인 주민번호, 여권번호, 운전면허번호, 외국인등록번호 등은 저장, 전송 모두 암호화해야 한다. 인증정보인 비밀번호, 바이오정보 등도 저장, 전송 모두 암호화해야 한다.

금융식별정보인 계좌번호, 신용카드번호 등은 개인정보법에서는 정보통신서비스제공자는 암호화해서 저장하도록 되어 있다. 개인신용정보는 신용정보법에서는 전송할 때 암호화하도록 되어 있다.

.

개인정보 암호화 기준
개인정보 암호화 기준

 

금융회사의 암호화 적용 기준

금융식별정보의 경우 개인정보보호법의 정보통신서비스 제공자’와 신용정보법 규정 대상의 차이가 존재한다. 네이버, 카카오와 같은 정보통신서비스 제공자’ 들은 개인정보보호법의 정보통신관련 특례조항에 따라 암호화 저장해야 된다. 금융회사는 특별법인 신용정보법이 우선한다. 신용정보법을 따르면 금융식별정보(계좌번호)는 암호화하지 않아도 된다고 보는 경우가 일반적이다.

실제 금융회사의 차세대 프로젝트를 수행할 때에도 계좌번호를 암호화하여 저장할 것인가는 항상 논의되는 사항이다. 개인정보보호를 위해서는 계좌번호도 암호화하는 것이 더 안전하지만, 데이터 작업에서 가장 중요한 식별자가 암호화될 경우 시스템 성능은 물론 프로그램 개발, 데이터 이행 등에 큰 영향을 미친다. 이런 점 때문에 금융사들은 데이터 저장 시 계좌번호 암호화를 고려는 했지만, 결국은 적용하지 않은 사례도 있다.

개인정보보호와 데이터카탈로그

개인정보 보호를 실행하기 위해서는 모든 데이터 항목 별로 보호 요건을 관리해야 한다. 하나의 데이터 항목 내에 보호 대상과 비보호 대상이 공존하는 경우도 발견되는데, 이는 데이터 항목을 분리해야 한다. 개인정보보호요건을 관리하는 방법은 세가지가 있다.

첫째, 개인정보보호요건을 독립 테이블로 관리하는 방안

보호 대상 데이터 항목을 별도 테이블로 구성하는 방안이다. 현실적으로 적용하기 쉬운 장점이 있다. 반면에 데이터 활용 및 관리는 복잡하다. 데이터 항목의 변경이 제때 반영되지 않으면 데이터 보호 기준 적용이 누락될 가능성도 있다. 기존 시스템을 건드리지 않고 데이터 보호를 적용하는 경우 유리한 방안이다.

둘째, 메타데이터관리시스템에 개인정보보호요건을 포함해서 관리하는 방안

메타데이터관리시스템을 운영하고 있다면, 여기에 보호요건을 추가하는 방안이다. 데이터 관리를 일원화함으로써 활용 및 보호가 일관되게 진행될 수 있다. 메타데이터관리시스템을 도입하여 적용하고 있고, 담당자가 활동하고 있는 경우에 유리한 방안이다.

셋째, 데이터카탈로그를 구축하여 개인정보보호요건을 관리하는 방안

금융회사가 활용하는 데이터의 범위는 확장되고 있다. 내부의 비정형 데이터와 외부에서 확보한 데이터도 포함된다. 이는 메타데이터관리시스템으로는 관리하고 있지 않다. 메타데이터관리시스템은 거래의 결과로 발생하는 데이터를 다루고 있기 때문이다. 금융회사는 점점 더 많은 데이터를 활용한다. 대상 데이터 범위를 빠짐없이 충족시키기 위해서 필요한 방안이다.

 

Tag
#개인정보 #암호화 #개인정보보호법 #신용정보법 #데이터카탈로그
저작권자 © 투이컨설팅 무단전재 및 재배포 금지
송동훈
송동훈 다른 콘텐츠 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.