어느 나른한 오후였습니다. 메일 한 통이 날아왔습니다.

‘[쿠팡] 22Y 개인정보처리 수탁사 점검 안내 미팅’

쿠팡 개인정보보호 준법팀에서 발송한 메일이었습니다. 개인정보보호법 26조에 따라 개인정보 안전성 확보 조치 준수 여부를 점검하겠다는 내용이었습니다.

정신이 번쩍 드는 이메일이었습니다. 

개인정보에 대한 안전성 확보는 계약서에 늘상 들어가는 익숙한 내용이었습니다. 하지만 부끄럽게도 개인정보에 대한 분실 · 도난 · 유출 · 위조 · 변조 또는 훼손을  방지하기 위해 어떤 것들이 실질적으로 조치되어야 하는지 알고 있지 못했습니다. 

아마 대다수의 스타트업들이 그러할 것입니다. 개인정보의 활용 및 침해에 대한 글로벌 논의와 규제가 확대되고 있으나, 인력과 자원이 부족한 스타트업에게는 제대로 신경 쓰기 어려운 분야입니다. 

브리피는 올해 첫 보안 점검을 마치며 내부 보안 체계의 미흡한 점들을 많이 보완할 수 있었습니다. 이를 통해 얻은 경험과 지식을 알기 쉽게 나누고, 주변 스타트업들의 보안 체계 수립에 도움이 돼 보고자 기록을 납깁니다.

두 번째로 준비한 주제는 개인정보 보안 관리 및 조치입니다.

※스타트업이 놓치기 쉬운 개인정보 관리 1부는 여기서 확인하실 수 있습니다. 

1. 고객정보서류 관리

고객정보가 포함된 서류(이면지 포함)는 잠금 장치가 설치된 곳에 보관해야 하며, 업무 목적이 완료된 이후 완전 파기해야 합니다. 파기 시에는 파쇄기 등을 통해 복구 불가능하고, 알아볼 수 없는 형태로 파쇄해야 합니다.

*고객정보란? 업무상 취급하는 모든 개인정보로 현재 가입되어 있는 고객과 해지고객, 잠재고객 모두를 포함합니다.

① 일반고객정보: 고객명, 주소, 생년월일, USIM 번호 등
② 주요고객정보: 고유식별정보, 연락처, 이메일 주소, 계좌번호, 신용카드번호
③ 고유식별정보: 주민등록번호, 여권번호, 외국인번호, 운전면허번호

2. PC내 고객정보파일 관리

고객정보가 포함된 모든 파일은 마스킹 또는 암호화하여 관리해야 하며 고유식별정보(주민번호/여권번호/외국인번호/운전면허번호) 및 연락처 포함된 파일을 보유하면 안됩니다. 

2가지 이상의 고객정보(이름, 주소, 이메일, 계좌/신용카드번호 등)가 포함된 파일은 목적 완료 후 즉시 파기해야 합니다. 

※ 마스킹 가이드 예시

• 이름: 홍** 
• 연락처: 010-12**-56**
• 주소: 상세주소 ****

※ 파일 암호화란?

• DRM, DLP 적용
• 문서 암호화 (Microsoft 워드, 엑셀) 설정
  • (다른이름으로)저장 → 팝업창 하단 ‘도구’ 메뉴 → 일반옵션 → 열기 암호 입력

PC, 이메일, 클라우드, 구글 닥스, 스프레드시트, 프레젠테이션, 카카오톡 등 메신저상에서도 목적이 완료된 고객정보 관련 파일을 보유해서는 안되며, 윈도우 메모장 또는 스티커 메모 프로그램에도 고객정보를 기재해서는 안됩니다.

또한, 외부저장매체에 개인정보를 보관하는 것 또한 금지되어 있는 항목입니다. 

3. PC 보안

PC 비밀번호 설정

업무용 PC에 비밀번호가 설정돼 있어야 하며, 비밀번호를 180일(6개월)마다 변경하고 초기에 부여받은 비밀번호는 반드시 변경 후 사용해야 합니다.

화면보호기 설정

업무용 PC에 화면보호기를 설정하고, 대기시간 10분 이내 설정 및 다시 시작할 때 로그온 화면 표시되도록 설정하여야 합니다.

인터넷 검색기록

업무 처리 후 고객정보의 흔적이 남으므로, ‘종료할 때 검색기록 삭제’ 기능을 설정해야 합니다. 

*설정 방법(크롬, 웨일, 엣지): 오른쪽 상단 아이콘 ‘ⵗ , ⵈ’ 클릭 → 설정 → 보안 및 개인정보보호 → 사이트 설정 → 쿠키 및 기타 사이트 데이터 → 모든 창이 닫히면 쿠키 및 사이트 데이터 삭제

백신 설치

모든 업무용 PC에 백신이 설치되어 있어야 합니다. 백신 ‘실시간 검사’, ‘자동 업데이트’, ‘예약검사’가 기능을 활성화하고, 최소 일 1회 이상 예약검사 기능을 활용하여 PC 전체에 대한 바이러스 검사를 시행해야 합니다.

브리피의 경우 비용에 부담이 없는 엑소스피어의 무료 백신 프로그램을 사용하고 있습니다. 엑소스피어 무료 백신의 경우 PC 50대까지 기간 제한 없이 무료 사용 가능하며, 중앙 관리까지 가능한 빛과 소금 같은 프로그램입니다. 엑소스피어 무료 백신 다운받기

PC 원격 제어

업무용 PC에 원격지원 기능이 비활성화돼 있어야 합니다. 이용 필요하다면 기능을 사용한 뒤 다시 비활성화 설정을 하여야 합니다. 업무 편의를 위한 원격지원 기능 활성화는 금지해야 합니다. 

4. 물리적 보안

출입 통제 및 CCTV 설치

출입 통제 장치 (출입카드, 키패드락)가 반드시 설치되어야 하며, 출입 현황을 확인할 수 있도록 CCTV가 출입구에 설치되어 있어야 합니다. 

CCTV가 설치돼 있다면, CCTV 안내판 또한 설치되어 있어야 합니다. 안내판은 촬영 범위 내에서 누구나 알아보기 쉬운 장소(출입구, 출입카드리더기, 키패드락 주변 등)에 누구라도 용이하게 판독할 수 있게 설치해야 합니다. 안내판은 누구나 쉽게 인식할 수 있도록 하단의 필수 기재사항을 포함해야 합니다.

① 설치 목적 및 장소
② 촬영범위 및 시간
③ 관리책임자의 성명 및 연락처
④ 영상정보처리기기 설치/운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처 추가

정리하자면, 보안은 총 3가지 유형으로 구분할 수 있습니다.

1) 관리적 보안: 보안 담당자 지정, 구성원 교육
2) 기술적 보안: 백신 설치 및 PC 관리
3) 물리적 보안: 출입관리시스템 및 공간 분리 운영

자원이 한정적인 스타트업의 경우, 업무 효율을 저해하지 않는 관리적 보안과 저렴하면서 효용성 있는 물리적/기술적 보안을 도입하는 것이 중요합니다.

브리피의 경우, 업무 효율성 저하를 최소한으로 하는 보안 규정을 수립하였고, 공유 오피스 내 별도 공간을 분리 운영하거나 CCTV 설치가 불가하여 기업 간 정보보호 협약을 맺는 것으로 대체하였으며 비용 걱정이 없는 무료 백신 프로그램을 사용하고 있습니다.

개인정보보호는 조금만 신경 쓰면 쉽게 해결될 수 있으나, 신경 쓰지 않으면 큰 사고로 이어질 수 있는 분야입니다. 연말, 연초가 다가오는 시기에 각 기업의 보안 시스템을 돌아보고, 부족한 점을 보완해보면 좋을 것 같습니다.