개인정보보호, 소프트웨어 정책
SKT의 금번 유심정보 유출 관련하여 유심정보를 암호화하여 저장하고 있었으면 해킹을 통하여 정보가 유출되어도 해당 자료를 악용하는데 불가능하였을 것이다.
정보를 암호화하여 저장하면 정보의 처리시 복호화를 수행하여야 하므로 처리 시간이 늘어나는 현상이 발생하나 이는 장비의 성능 향상 및 증설하면 처리지연의 문제는 해소할 수 있습니다. 이는 기술적인 측면 보다는 비용적인 측면의 문제이다.
서비스 제공하는데 필수 정보를 평문으로 저장하는 행태는 정보보호에 대한 인식 부족이 나은 행태이다.
물론 개인정보보호법상 암호화 저장 대상 정보로 제24조(고유식별정보의 처리 제한)에 따른 비밀번호, 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)에 만 국한하고 있으나, 통신 서비스에 핵심 데이터의 데이터 암호화는 안정적인 서비스 제공을 위하여 SKT는 자체적으로 판단하여 데이터를 암호화하여 저장 관리하였어야 한다.
금번 SKT 유심정보 유출 사태와 같은 전국민의 불안감 해소를 위해서라도 하루 빨리 암호화 대상 및 안전성 확보 조치에 대한 제도적 보완이 필요로 하다.
개인정보 보호법
[시행 2025. 3. 13.] [법률 제19234호, 2023. 3. 14., 일부개정]
제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
② 삭제 <2013. 8. 6.>
③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. <개정 2015. 7. 24.>
제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>
개인정보 보호법 시행령
[시행 2025. 3. 13.] [대통령령 제35343호, 2025. 2. 25., 일부개정]
제19조(고유식별정보의 범위) 법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. <개정 2016. 9. 29., 2017. 6. 27., 2020. 8. 4.>
1. 「주민등록법」 제7조의2제1항에 따른 주민등록번호
2. 「여권법」 제7조제1항제1호에 따른 여권번호
3. 「도로교통법」 제80조에 따른 운전면허의 면허번호
4. 「출입국관리법」 제31조제5항에 따른 외국인등록번호
제21조(고유식별정보의 안전성 확보 조치)① 법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다. 이 경우 “법 제29조”는 “법 제24조제3항”으로, “개인정보”는 “고유식별정보”로 본다. <개정 2020. 8. 4., 2023. 9. 12.>
② 법 제24조제4항에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. <개정 2024. 3. 12.>
1. 1만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 공공기관
2. 보호위원회가 법 위반 이력 및 내용ㆍ정도, 고유식별정보 처리의 위험성 등을 고려하여 법 제24조제4항에 따른 조사가 필요하다고 인정하는 공공기관
3. 공공기관 외의 자로서 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자
③ 보호위원회는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에 대하여 법 제24조제4항에 따라 안전성 확보에 필요한 조치를 하였는지를 3년마다 1회 이상 조사해야 한다. <개정 2017. 7. 26., 2020. 8. 4., 2024. 3. 12.>
④ 다음 각 호의 어느 하나에 해당하는 경우로서 고유식별정보의 안전성 확보 조치에 대한 점검이 이루어진 경우에는 제3항에 따른 조사를 실시한 것으로 본다. <신설 2024. 3. 12.>
1. 법 제11조의2에 따라 개인정보 보호수준 평가를 받은 경우
2. 법 제32조의2에 따라 개인정보 보호 인증을 받은 경우
3. 「신용정보의 이용 및 보호에 관한 법률」 제45조의5에 따른 개인신용정보 활용ㆍ관리 실태에 대한 상시평가 등 다른 법률에 따라 고유식별정보의 안전성 확보 조치 이행 여부에 대한 정기적인 점검이 이루어지는 경우로서 관계 중앙행정기관의 장의 요청에 따라 해당 점검이 제3항에 따른 조사에 준하는 것으로 보호위원회가 인정하는 경우
⑤ 제3항에 따른 조사는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에게 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 한다. <개정 2024. 3. 12.>
⑥ 법 제24조제5항에서 “대통령령으로 정하는 전문기관”이란 다음 각 호의 기관을 말한다. <개정 2017. 7. 26., 2020. 8. 4., 2024. 3. 12.>
1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원(이하 “한국인터넷진흥원”이라 한다)
2. 법 제24조제4항에 따른 조사를 수행할 수 있는 기술적ㆍ재정적 능력과 설비를 보유한 것으로 인정되어 보호위원회가 정하여 고시하는 법인, 단체 또는 기관
[전문개정 2016. 9. 29.]
제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다. <개정 2023. 9. 12.>
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부 관리계획의 수립ㆍ시행 및 점검
가. 법 제28조제1항에 따른 개인정보취급자(이하 “개인정보취급자”라 한다)에 대한 관리ㆍ감독 및 교육에 관한 사항
나. 법 제31조에 따른 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항
다. 제2호부터 제8호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
2. 개인정보에 대한 접근 권한을 제한하기 위한 다음 각 목의 조치
가. 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
나. 정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영
다. 그 밖에 개인정보에 대한 접근 권한을 제한하기 위하여 필요한 조치
3. 개인정보에 대한 접근을 통제하기 위한 다음 각 목의 조치
가. 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치
나. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등으로서 보호위원회가 정하여 고시하는 기준에 해당하는 컴퓨터 등에 대한 인터넷망의 차단. 다만, 전년도 말 기준 직전 3개월 간 그 개인정보가 저장ㆍ관리되고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 이용자 수가 일일평균 100만명 이상인 개인정보처리자만 해당한다.
다. 그 밖에 개인정보에 대한 접근을 통제하기 위하여 필요한 조치
4. 개인정보를 안전하게 저장ㆍ전송하는데 필요한 다음 각 목의 조치
가. 비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치
나. 주민등록번호 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 또는 이에 상응하는 조치
다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송신ㆍ수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치
라. 그 밖에 암호화 또는 이에 상응하는 기술을 이용한 보안조치
5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 다음 각 목의 조치
가. 개인정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장ㆍ점검 및 이의 확인ㆍ감독
나. 개인정보처리시스템에 대한 접속기록의 안전한 보관
다. 그 밖에 접속기록 보관 및 위조ㆍ변조 방지를 위하여 필요한 조치
6. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치
7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치
② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>