양재동 엘타워에서 열린 주민등록번호 외 회원가입수단 관련 사업자 설명회에 다녀왔습니다.


                                           
                                   [ 설명회 장소  오늘 참석자가 대략 1000명이 넘은 듯 ]

주민등록번호 외 회원가입수단, 개인정보의 기술적 관리적 보호조치 기준 이렇게 두 가지 세션으로 진행되었습니다.

주민등록번호 외 회원가입수단
주민등록번호 외 회원가입수단 세션은 늘 하던 이야기 반복이고 조금 달라진 것이 있다면 아이핀 외 다른 인증수단을 제공해도 된다는 것과 주민등록번호를 수집하지 않으면 대체수단을 제공할 필요가 없다는 것을 시간을 할애하여 설명하더군요.

담당자가 조금 시달렸나 봅니다. 시간을 할애하여 설명하는 것을 보니...

지금까지 몇 차례 설명회 참가하며 느끼는 것은 I-PIN 이거 참 계륵이다 하는 생각이 들어요 정부가 이루고자 하는 최종 목표는 인터넷 상에서 주민등록번호를 수집, 사용하지 않도록 하고 주민등록번호는 행정 목적으로만 사용하도록 하는 것인데... I-PIN 이란 걸 만들어 놨으니 이것도 살려봐야 하겠는데 민간 사업자는 도입을 꺼려하니 말입니다.

며칠 전 제가 의무화 대상 1036개 사이트를 모니터 해보았는데 약 10% 정도가 I-PIN, 대체수단을 도입 했더군요.

오늘 질의응답 시간에 증권 쪽에서는 금융실명 법에 의거해서 정회원은 주민등록번호 받아야 하는데 준회원의 주민등록번호 받는 것이 문제가 되니 대체수단 도입하라고 하는데 빼주면 안되겠냐? 준회원 일일 방문자 1만명이 안 된다. 요런, 질문들이 난무하니 담당자도 참 난감해 하더군요.

방통위가 2015년 까지 단계적으로 인터넷상에서 주민등록번호를 쓰지 않게 하겠다는데 참 갈 길이 멀지요.

대체수단 의무대상인데 대체수단을 제공하지 않으면 3천만원 이하 과태료 행정처분 한답니다.

I-PIN 날려버리고 행안부에서 하는 G-PIN 을 민간 사업자가 무상으로 이용하게 해주면 좋을 건데 흐흐흐...

      
        [ 설명회 자료와 사은품, 제안서 딴 날은 책자만 주더니.. 오늘은 왠일?  교통비는 건졌음 ]

개인정보의 기술적 관리적 보호조치

1. 개인정보 내부관리계획 수립, 시행
2. 침입차단시스템 등 접근통제장치 설치, 운영
3. 접속기록 위조, 변조 방지를 위한 조치
4. 개인정보 저장, 전송 시 암호화 기술등 보안조치
5. 컴퓨터바이러스에 의한 침해 방지조치
6. 안전성 확보를 위한 그 밖의 보호조치 등

기술적, 관리적 조치 [2~5]를 하지 아니하여 이용자의 개인정보를 분실, 도난, 누출, 변조 또는 훼손한 자 (2년 이하 징역 1천만원 이하 과태료)

기술적, 관리적 조치 [1, 6]를 하지 아니한 자 (3천만원 이하 과태료)

개인정보의 기술적 관리적 보호조치 이것을 신경 많이 써야 할 것 같아요.
적용 대상에 “영리를 목적으로 전기 통신사업자의 전기통신 역무를 이용해 정보를 제공하거나 매개하는 자” 라고 되어 있는데 대부분의 영리 목적으로 운영 사이트가 여기에 속하는 것으로 사료됩니다.

영리 목적으로 운영하는 사이트에서 주민등록번호, 신용카드번호, 계좌번호는 암호화하여 저장해야 하는데 권장 암호화 알고리즘은 아래와 같습니다.

암호화 알고리즘
112비트 이상 AES, SEED ARIA 알고리즘 사용
128비트 이상 AES, SEED ARIA 알고리즘 권장

해쉬함수
112비트 이상 SHA
128비트 이상 SHA 권장

개인정보의 기술적 관리적 보호조치에 따른 개인정보 내부관리계획 세부항목을 보면 어지간한 보안관제 센터를 운영하는 정도로 강도가 높습니다.

사이트 운영하실 때 가급적이면 개인정보 수집하지 않고 운영하는 것이 최선입니다.

미쿡~ 식으로 이메일, 패스워드 OK!