이메일 암호화기법 #02

제1부  개인정보 보안이란?

제1장 개인정보 보안의 개요

개인정보란 무엇인가?

연일 개인정보 침해 또는 유출사고들이 발생하고 있다. 몇 년 전 온 국민들을 놀라게 한 개인정보 유출사건이 일어났다. 개인정보 유출 규모면에서 볼 때 세계3위라는 대형 유출사건이었다. K카드, L카드, N카드사에서 유출된 개인정보는 1억4천만 건이나 된다고 한다. 이러한 개인정보 유출로 문자 메시지를 통한 스팸메일, 보이스 피싱 등의 피해 사고가 끊이지 않고 일어나고 있다.

모든 것이 연결되는 초 연결 시대에 개인정보의 중요성이 부각되면서 개인정보 보호법이란 법률이 2011년 3월 29일 법률 제10465호로 제정되었다. 이 법은 제1장 총칙, 제2장 개인정보 보호정책의 수립 등, 제3장 개인정보의 처리, 제4장 개인정보의 안전한 관리, 제5장 정보주체의 권리 보장, 제6장 개인정보 분쟁조정위원회, 제7장 개인정보 단체소송, 제8장 보칙, 제9장 벌칙 등 전문 75조와 부칙으로 이루어져 있다.

이 법에서 사용하는 '개인정보'란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보를 말한다(제2조). 개인정보 처리자는 개인정보의 처리 목적을 명확하게 해야 하고, 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 하며, 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하고 그 목적 외의 용도로 활용해서는 안 된다(제3조). 국가와 지방자치단체는 개인정보의 목적 외 수집, 오용·남용 및 무분별한 감시·추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구해야 한다(제5조).

법에서도 명시적으로 표현한 것처럼 살아있는 개인에 관한 정보로서 개인 식별에 관계되는 정보들이 바로 개인정보이다. 이 책에서는 개인 즉 자연인이나 사업자들이 스스로 보호해야 되는 개인정보 보호에 관계되는 내용을 중심으로 집필한 것이다. 개인들이 스스로 조치하여 보호할 수 있는 개인정보 보안에 관계된 내용들이다.

우리가 할 수 있는 개인정보 보호대책은?

우리들의 개인정보를 취급하는 기관이나, 기업 등이 관리를 잘 못하여 유출되는 개인정보는 우리 개인들이 주의한다고 되는 일이 아니다. 이 책에서는 현실적인 개인정보 보호행위를 우리 스스로 하자는 것이다. 많은 정보 유출사고를 분석해보면 대부분 개인들 스스로 조심하고 보안의식을 높인다면 방지할 수 있는 사고들이다. 내가 가진 정보들을 암호화하거나, 내가 사용하는 PC, 스마트폰 등의 단말장치들의 잠금장치를 철저히 관리하는 등의 보안조치를 강화하면 얼마든지 보호할 수 있는 내용들이 대부분이다.

PC나 스마트폰에 저장된 개인정보는 파일이나 폴더를 암호화하는 보안제품으로 보안을 강화하면 될 것이다. 디스크 자체를 암호화 하는 것도 하나의 방법이다. 그리고 ‘이레이저(eraser)’라는 영구삭제 프로그램으로 이미 지운 파일들에 대한 흔적들도 복구가 되지 않도록 영원히 삭제하는 일도 게을리 하지 말아야 할 것이다. 특히 PC를 폐기하거나 남에게 줄 때에도 하드디스크(HDD)를 반드시 이레이저 소프트웨어를 이용해 영구삭제하거나, ‘디가우저(degausser)’라는 데이터를 완전히 삭제하는 기계장치를 이용하여 삭제할 것을 권장한다. 디가우저는 저장 장치에 자기장을 쏘여 데이터를 완전히 삭제시키기 때문에 내 PC에 저장했던 데이터의 외부 유출을 원천적으로 차단할 수 있다. 

일반 개인이나 기업들이 사용하고 버리는 PC 들에서 유출되는 데이터로 많은 정보 유출사고가 일어난다. 수년전 어떤 의료기관이 폐기한 PC의 하드디스크( HDD)를 복구했더니 환자들의 질병 치료에 대한 정보들이 복구된 적이 있었다. 이 환자들의 치료정보가 브로커들에게 판매되어 큰 사회문제가 된 적이 있다. 버리는 PC 에서 정보가 유출되는 경우가 매우 많고 이것을 노리는 해커들도 있으니 이런 것부터 조심해야 할 것이다. 내 PC나 스마트폰, 저장장치에 저장되었든 자료들을 해커들이 복구하여 악용할 수 없도록 완전한 삭제조치를 해야 한다는 것을 잊지 마시길 바란다.