개인정보 수집, 이용 및 저장, 위탁, 파기 단계에 따라 유출 포인트 통제해야
외부서비스 도입시 개인정보 라이프사이클, 기술적·관리적 보호조치 검토해야
[보안뉴스 기획취재팀] # 1. A기업은 소속그룹의 해체에 따른 멤버십 이용대금의 환불을 진행하는 과정에서 구글 설문지의 결과 요약 보기를 공개로 잘못 설정해 22명의 개인정보가 권한 없는 설문 참여자에게 공개된 바 있다.
# 2. B기업은 한정판 신발 구입시 응모 이벤트 행사 진행 과정에서 담당자 실수로 구글 설문지의 옵션을 공개로 잘못 설정해 이벤트 참여자에게 먼저 응답한 참여자의 개인정보가 공개됐다.
[자료=아모레퍼시픽 백인혁 차장]
이처럼 개인정보 담당자의 실수와 허술한 관리로 인한 개인정보 유·노출 사례가 잇따라 발생하고 있다. 이와 관련 아모레퍼시픽 정보보안팀 백인혁 차장은 2일 개최된 ‘PIS FAIR 2022’에서 아모레퍼시픽의 개인정보보호 실무사례를 소개하며, 개인정보보호를 위해 △개인정보 수집 △개인정보 이용 및 저장 △위탁 △파기 단계에 따라 개인정보 사고 예방법과 대응방안을 제시했다.
첫째, 개인정보 수집단계에서 그는 내부 플랫폼 활용을 권장했다. 이와 관련 백인혁 차장은 “아모레퍼시픽 역시 개인정보를 수집하는 시스템은 내부의 플랫폼을 개발해 활용하고 있다”며, “개인정보 수집 신청서 제작을 요청해 수집된 정보를 저장하고, 개인정보 수집 신청서를 자동으로 생성되도록 운영하고 있다. 보관 기간 경과 후에는 바로 파기한다”고 설명했다.
둘째, 개인정보 이용 및 저장 단계에서는 개인정보 흐름상의 유출 포인트를 통제해야 한다며, 다운로드 권한 최소화와 같이 접근권한을 최소화해야 한다고 강조했다. 물론 인가자의 업무상 목적으로의 접근을 알기 어렵겠지만 적절한 이용 여부를 판단하기 위한 노력이 필요하다는 얘기다.
이를 위해선 정상 행위부터 파악하고, 이상 행위 탐지시 소명을 요청해 확인해야 한다. 또한, 관련 솔루션을 도입해 정책과 룰을 항상 갱신하는 등 새로운 시나리오를 보강해야 한다고 백 차장은 설명했다.
셋째, 위탁 단계에서는 외부 서비스의 개인정보취급자에 대한 접근통제가 이뤄져야 한다. 특히, 외부 호스팅이나 서비스(PaaS, SaaS 등)에 대해 도입 전 보안성 검토는 필수로 진행돼야 한다.
▲아모레퍼시픽 정보보안팀 백인혁 차장이 개인정보 사고 예방법과 대응방안에 대해 설명하고 있다[사진=보안뉴스]
이와 관련 백인혁 차장은 “SaaS 등과 같이 외부 서비스는 개인정보보호법을 고려하지 않고 개발된 경우가 대다수”라며 “외부 서비스 도입 시 살펴봐야 할 중점 포인트는 개인정보 라이프사이클, 기술적·관리적 보호조치에 대해 검토한 후 도입해야 한다는 것”이라고 당부했다.
개인정보 라이프사이클의 경우 개인정보 수집 창구가 있을 때는 영역별로 동의항목을 구분해야 하고, 선택권 보장을 위해 선택 동의 항목 철회 기능을 구현하는 방법으로 개인정보 처리방침 이력관리가 이뤄져야 한다.
기술적·관리적 보호조치는 외부에서 접근할 수 있다는 점을 고려해 IP주소, 2FA 등의 접근통제나 계정 및 권한관리, 개인정보 접속기록 관리 및 다운로드 사유 확인 등의 조치를 강화해야 한다.
이 외에도 백인혁 차장은 “서비스 개발 로드맵을 요청하거나 로드맵이 없다면 기능 개선을 요구해야 한다”며 “기능 개선이 어려운 부분에 대해서는 관리 감독을 위한 공문 발송을 통해 가능한 관리 감독을 성실히 수행한 증적이 필요하다”고 설명했다.
넷째, 파기 단계에서는 개인정보 파기에 대한 교육을 우선으로 꼽은 그는 “목성 달성, 수집 시의 보유 및 이용기간 도래, 기타 법령에 근거한 기간과 파기 기준에 따라 반드시 파기해야 한다”고 강조했다.
한편, ‘개인정보보호페어 & CPO워크숍’은 개인정보 보호법이 제정·시행된 2011년부터 개인정보보호 제도의 활성화와 대국민 홍보 및 인식제고를 위해 매년 열렸다. 올해 행사는 11번째로 6월 2일부터 3일까지 양일간 서울 삼성동 코엑스 그랜드볼룸에서 개최된다.
올해에는 ‘데이터경제 시대의 개인정보보호’를 주제로 35개의 강연이 진행되며, 부대행사로 ‘개인정보 기술 스타트업 챌린지’ 시상식과 전시부스, 개인정보보호최고책임자(CPO) 워크숍이 마련된다. 토스, 야놀자, 엔씨소프트 등 국내 정보기술 기업의 개인정보보호최고책임자(CPO)들이 직접 나와 ‘데이터 활용과 개인정보보호’를 주제로 토크콘서트를 진행하고, 주요 개인정보보호 솔루션 기업(약 30개사)이 참가하는 전시부스를 통해 개인정보보호 솔루션 및 제품들을 홍보‧시연하는 한편, 영세‧중소 사업자를 위한 개인정보보호 기술지원 자문도 진행한다. 또한, 참관객을 대상으로 ‘개인정보보호 실천 안내서(가이드북)’도 배포된다.
[기획취재팀(boan3@boannews.com)]
외부서비스 도입시 개인정보 라이프사이클, 기술적·관리적 보호조치 검토해야
[보안뉴스 기획취재팀] # 1. A기업은 소속그룹의 해체에 따른 멤버십 이용대금의 환불을 진행하는 과정에서 구글 설문지의 결과 요약 보기를 공개로 잘못 설정해 22명의 개인정보가 권한 없는 설문 참여자에게 공개된 바 있다.
# 2. B기업은 한정판 신발 구입시 응모 이벤트 행사 진행 과정에서 담당자 실수로 구글 설문지의 옵션을 공개로 잘못 설정해 이벤트 참여자에게 먼저 응답한 참여자의 개인정보가 공개됐다.
[자료=아모레퍼시픽 백인혁 차장]
이처럼 개인정보 담당자의 실수와 허술한 관리로 인한 개인정보 유·노출 사례가 잇따라 발생하고 있다. 이와 관련 아모레퍼시픽 정보보안팀 백인혁 차장은 2일 개최된 ‘PIS FAIR 2022’에서 아모레퍼시픽의 개인정보보호 실무사례를 소개하며, 개인정보보호를 위해 △개인정보 수집 △개인정보 이용 및 저장 △위탁 △파기 단계에 따라 개인정보 사고 예방법과 대응방안을 제시했다.
첫째, 개인정보 수집단계에서 그는 내부 플랫폼 활용을 권장했다. 이와 관련 백인혁 차장은 “아모레퍼시픽 역시 개인정보를 수집하는 시스템은 내부의 플랫폼을 개발해 활용하고 있다”며, “개인정보 수집 신청서 제작을 요청해 수집된 정보를 저장하고, 개인정보 수집 신청서를 자동으로 생성되도록 운영하고 있다. 보관 기간 경과 후에는 바로 파기한다”고 설명했다.
둘째, 개인정보 이용 및 저장 단계에서는 개인정보 흐름상의 유출 포인트를 통제해야 한다며, 다운로드 권한 최소화와 같이 접근권한을 최소화해야 한다고 강조했다. 물론 인가자의 업무상 목적으로의 접근을 알기 어렵겠지만 적절한 이용 여부를 판단하기 위한 노력이 필요하다는 얘기다.
이를 위해선 정상 행위부터 파악하고, 이상 행위 탐지시 소명을 요청해 확인해야 한다. 또한, 관련 솔루션을 도입해 정책과 룰을 항상 갱신하는 등 새로운 시나리오를 보강해야 한다고 백 차장은 설명했다.
셋째, 위탁 단계에서는 외부 서비스의 개인정보취급자에 대한 접근통제가 이뤄져야 한다. 특히, 외부 호스팅이나 서비스(PaaS, SaaS 등)에 대해 도입 전 보안성 검토는 필수로 진행돼야 한다.
▲아모레퍼시픽 정보보안팀 백인혁 차장이 개인정보 사고 예방법과 대응방안에 대해 설명하고 있다[사진=보안뉴스]
이와 관련 백인혁 차장은 “SaaS 등과 같이 외부 서비스는 개인정보보호법을 고려하지 않고 개발된 경우가 대다수”라며 “외부 서비스 도입 시 살펴봐야 할 중점 포인트는 개인정보 라이프사이클, 기술적·관리적 보호조치에 대해 검토한 후 도입해야 한다는 것”이라고 당부했다.
개인정보 라이프사이클의 경우 개인정보 수집 창구가 있을 때는 영역별로 동의항목을 구분해야 하고, 선택권 보장을 위해 선택 동의 항목 철회 기능을 구현하는 방법으로 개인정보 처리방침 이력관리가 이뤄져야 한다.
기술적·관리적 보호조치는 외부에서 접근할 수 있다는 점을 고려해 IP주소, 2FA 등의 접근통제나 계정 및 권한관리, 개인정보 접속기록 관리 및 다운로드 사유 확인 등의 조치를 강화해야 한다.
이 외에도 백인혁 차장은 “서비스 개발 로드맵을 요청하거나 로드맵이 없다면 기능 개선을 요구해야 한다”며 “기능 개선이 어려운 부분에 대해서는 관리 감독을 위한 공문 발송을 통해 가능한 관리 감독을 성실히 수행한 증적이 필요하다”고 설명했다.
넷째, 파기 단계에서는 개인정보 파기에 대한 교육을 우선으로 꼽은 그는 “목성 달성, 수집 시의 보유 및 이용기간 도래, 기타 법령에 근거한 기간과 파기 기준에 따라 반드시 파기해야 한다”고 강조했다.
한편, ‘개인정보보호페어 & CPO워크숍’은 개인정보 보호법이 제정·시행된 2011년부터 개인정보보호 제도의 활성화와 대국민 홍보 및 인식제고를 위해 매년 열렸다. 올해 행사는 11번째로 6월 2일부터 3일까지 양일간 서울 삼성동 코엑스 그랜드볼룸에서 개최된다.
올해에는 ‘데이터경제 시대의 개인정보보호’를 주제로 35개의 강연이 진행되며, 부대행사로 ‘개인정보 기술 스타트업 챌린지’ 시상식과 전시부스, 개인정보보호최고책임자(CPO) 워크숍이 마련된다. 토스, 야놀자, 엔씨소프트 등 국내 정보기술 기업의 개인정보보호최고책임자(CPO)들이 직접 나와 ‘데이터 활용과 개인정보보호’를 주제로 토크콘서트를 진행하고, 주요 개인정보보호 솔루션 기업(약 30개사)이 참가하는 전시부스를 통해 개인정보보호 솔루션 및 제품들을 홍보‧시연하는 한편, 영세‧중소 사업자를 위한 개인정보보호 기술지원 자문도 진행한다. 또한, 참관객을 대상으로 ‘개인정보보호 실천 안내서(가이드북)’도 배포된다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
