[데일리시큐]개인정보위, SKT 사고 계기 ‘개인정보 안전관리 체계 강화 방안’ 발표…반복 해킹사고 기업 징벌적 과징금 검토

내용 요약

개인정보보호위원회는 대규모 유출 사고 방지를 위해 기업 보안 의무를 강화하고, 선제적 보호조치를 취한 기업에 인센티브를 제공한다. SK텔레콤 유출 사건을 계기로 제도·기술적 미비점 보완을 위한 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.

핵심 포인트

• 보안 의무 강화: 반복 유출 기업에 징벌적 과징금 도입 검토, 예방 중심 정책 전환
• 인센티브 제도 도입: 선제적 보호조치 기업에 금융·세제 혜택 제공
• 제도·기술 미비점 보완: SK텔레콤 사건을 통한 실질적 개선 요구

기술 세부 내용

1️⃣ 데이터 마스킹 (Data Masking)

• 목적: 민감한 개인정보를 실제 값 대신 가명화하거나 무작위 변환해 내부자·외부자에게 노출 방지
• 구현 단계
  1. 목표 데이터 선정: SSN, 전화번호, 주소 등 민감 필드 식별
  2. 마스킹 규칙 정의: 정규식 기반 매칭, 파라미터화된 패턴 설정
  3. 마스킹 방식 선택
     • 암호화: reversible, 보안이 필요 시
     • 서브셋 마스킹: 예) ****-**-1234
     • 랜덤 변환: 무작위 문자열 대체
  4. 정책 적용: RDB, NoSQL, 파일 시스템 모두에 일관적 적용
  5. 검증 및 모니터링: 마스킹 적용 여부, 예외 발생 시 알림 설정
• 주의 사항
  • 동시성 문제: 마스킹 프로세스가 서비스 중단 없이 실행되도록 락 전략 설계
  • 비즈니스 영향: 보고서·분석에 필요한 데이터는 가상 데이터 세트 활용

2️⃣ 암호화 (Encryption)

• 목적: 데이터가 전송·저장 중이라도 무단 접근 시 내용을 보호
• 구현 단계
  1. 암호화 대상 결정: 데이터베이스 컬럼, 파일, 통신 채널
  2. 키 관리 시스템(KMS) 선정
     • 클라우드 KMS(AWS KMS, Azure Key Vault) 혹은 자체 KMS 구축
     • 키 순환 주기(예: 90일) 설정
  3. 암호화 알고리즘 선택
     • 대칭: AES‑256 (빠르고 효율적)
     • 비대칭: RSA‑2048/3072 (키 교환용)
     • TLS 1.3: 전송 시 보안 확보
  4. 통합 적용
     • 데이터베이스: 컬럼 암호화, Transparent Data Encryption(TDE)
     • 파일: GPG, OpenSSL 기반 파일 암호화
     • 애플리케이션: 암호화 라이브러리(BCrypt, libsodium) 사용
  5. 권한 관리
     • 키 접근 제어: 최소 권한 원칙, 역할 기반 접근 제어(RBAC)
     • 감사 로그: 키 사용 기록, 비정상 접근 감지
• 주의 사항
  • 키 유출 방지: 물리적 보안, HSM 활용
  • 성능 저하: 인프라에 따라 암호화 부하를 모니터링하고, 필요 시 하드웨어 가속 사용

이와 같은 기술적 조치를 통해 개인정보 유출 위험을 크게 낮추고, 기업은 새로운 보안 의무와 인센티브 체계에 부합할 수 있다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200376