침해사고/위협동향

발등의 불 ‘개인정보보호 암호화’ …금융권, 대응 본격화

이상일

[디지털데일리 이상일기자] 법개정에 따라 올해 말까지 국내 주요 금융회사들이 주민등록번호 등 고객실명번호를 암호화해야 하는 가운데 이에 대응하기위한 관련 보안IT 사업이 본격화될 전망이다.

6알 금융계와 관련업계에 따르면, 지난 1월부터 시행된 개인정보보호법 시행령 개정안에 따르면 주민등록번호 보관 규모가 100만명 미만인 기업은 올해 말, 100만명 이상인 기업은 2017년 말까지 각각 주민등록번호를 암호화하도록 규정했다.

100만명 이상의 고객을 보유한 금융사들은 대부분 암호화 사업을 추진해야 한다. 특히 최근 금융당국에서 주민등록번호 암호화 조치 의무화 대상 기업들에게 DB뿐 아니라 주민번호가 포함돼 있는 로그, 이미지, 녹취, 영상까지 암호화하라는 내용의 공문을 발송한 것으로 알려지며 사업이 확대될 것으로 보인다.

기존에 개인정보보호법 준수를 위해 DB암호화만 실시했던 기업들은 이제 접근제어 방식으로 보호하던 로그, 이미지, 녹취, 영상파일 등 비정형데이터에 대해서도 2017년까지 암호화 조치를 취해야 한다.

현재 대부분의 금융사들은 데이터베이스에 대한 암호화는 일부, 혹은 전사적으로 진행한 상태다. 신한은행과 부산은행이 외주, 혹은 자체 사업을 통해 고객 주민번호 암호화를 완료했으며 하나은행이 외환은행과의 시스템 통합이 이뤄지는 6월 이후 암호화 사업에 나설 것으로 관측된다.

다만 개인정보암호화에 대해서 명시적 해석이 없어 보완재로 제시됐던 보안방법, 예를 들어 데이터 읽기 쓰기 제한 등을 통해 보안 컴플라이언스에 대응하던 금융사들은 실질적으로 보유하고 있는 개인정보에 대한 유출방지 방법 마련이 발등에 불로 떨어졌다.

예를 들어 개인정보보호법에는 데이터베이스 암호화에 대한 내용이 명시돼있지는 않다. DB보안이 곧 개인정보암호화라는 인식 아래 관행적으로 금융사 감사항목에 DB보안과 로그파일 암호화 등을 포함해 왔다.

하지만 암호화 적용 대상이 주민등록번호를 전자적인 방법으로 보관하는 경우에는 암호화 조치를 취해야 한다는 개인정보보호법 21조의 1에 따라 데이터베이스뿐만 아니라 저장되는 모든 개인정보를 암호화해야 하는 상황이다.

특히 사진, 녹취 등 비정형 데이터에 대한 암호화의 경우 ‘파일 암호화’가 일정 부분 필요한 것으로 지적된다. 과거 파일 암호화의 경우 금융사 시스템에 부하를 가져온다는 우려로 도입을 꺼려했지만 최근에는 이러한 분위기가 반전됐다.

피앤피시큐어 박천오 대표는 “개인정보 유출로 금융사 대표까지 책임을 지게 되면서 금융사의 보안의식이 변화했다”며 “이제는 시스템이 무거워지는 것을 감수하더라도 보안에 대해서 확실하게 하고 가자는 분위기”라고 전했다.

한편 최근 행정자치부는 ‘개인정보의 안전성 확보조치 기준(고시) 개정안’ 공청회를 4일 개최하고 법 시행 준비에 나서고 있다.

이에 따라 금융권은 물론 개인정보를 대규모로 보유하고 있는 기업들의 내부관리계획의 이행실태 점검 및 개선, 접근접한 관리 및 접근통제 조치 등의 사업이 이어질 전망이다. 또, 개인정보를 대량으로 수집·이용하는 기업들이 개인정보를 안전하게 관리하는 데에 대한 관심과 투자가 높아질 전망이다.

<이상일 기자>2401@ddaily.co.kr

이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널