2월 14일 뉴스입니다.
<약학정보원 개인정보 유출 무죄>
약정원이 6년간의 법리다툼 끝에 무죄 판결을 받았습니다. 약정원은 환자의 개인정보를 약국청구프로그램인 PM2000과 환자의 동의없이 공유했다는게 문제였는데요 특히 고유식별정보와 민감정보를 정보주체의 동의 없이 수집했으며 개인정보의 암호화 수준이 특히 이슈가 되었습니다. 1기 암호화 방식은 주민번호와 알파벳의 1:1 치환으로 현재 어디에서도 암호화로 보지 않는 수준의 암호화 방식입니다. 사실 암호화 기법의 수준으로 따지면 우리가 암호학 시간에 배운 고대시대의 암호화 방식과 동일하죠
2기 암호화에서는 SHA512 알고리즘을 이용했지만 1기 암호화 방식의 주민번호와 2기 암호화 방식의 해시값을 매칭시켜 주민번호를 찾을 수 있었습니다.
3기 암호화 방식은 주민번호를 제공하지 않고 성명, 성별, 생년월일을 SHA512 알고리즘으로 암호화 했는데요 2기, 3기에서 알고리즘은 충분히 안전한 알고리즘을 사용했으나 주민번호의 동일성 파악을 위해 2, 3기 데이터를 전달하는 과정에서 1기의 매칭테이블을 제공해 주민번호 식별이 가능한 데이터의 제공이 이뤄졌습니다.
다만, 이번 판결에서 복호화할 의사가 있지 않아 무죄라고 판단했습니다.
개인적으로 이 부분에 대해 이해는 가지 않는데요 ISMS-P 심사 가이드라인에서는 암호키는 배포 대상자와 배포방법, 유효시간까지 정책 및 지침에 정의하도록 하고 있고 소스코드에는 암호키를 기록하지 못하도록 하고 있을 정도로 반드시 필요한 경우가 아닌 이상 암호화 된 데이터를 복호화 하지 못하도록 강하게 가이드하고 있습니다. 그래서 많은 정보통신사업자는 최소한의 인원에게만 데이터의 복호화 권한을 부여하고 그 이외의 담당자가 복호화된 데이터가 필요한 경우 승인절차를 통해 추출한 데이터를 제공받고 해당 내용은 주요 점검 대상으로 보고 있음에도 불구하고 기술적으로 복호화가 가능하나 의사가 있지 않아 무죄라고 판단한 것이 과연 합당한지 의구심이 남는 부분입니다.
<기타>
보안뉴스에서는 정보유출이 계속해서 늘고 있으며 클라우드 환경의 변화로 인해 올해는 더할 것이라는 전망이 발표된 기사가 있었습니다.
ITBizNews에서는 보안담당자가 주목해야 할 올해의 이슈로 IoT와 클라우드 도입에 따른 환경 변화를 얘기하는 기사가 있었는데요 IoT의 보안 이슈도 이미 여러번 언급되어왔고 클라우드는 이미 설정의 오류로 인해 대형 사고가 작년부터 꾸준히 일어나고 있는 상황입니다. 변화를 따라가야하는 보안담당자이지만 기술의 변화를 따라가기가 쉽지는 않은데요 그럼에도 불구하고 쉽게 볼 수 없는 영역이며 다양한 분야의 전문가와 함께 보안 수준을 향상시켜 나가야 하는 부분입니다.
그 밖에도 다양한 내용의 기사가 있으니 참고하시기 바랍니다.
2019년이 최악의 정보 유출의 해였지만 올해는 더할 것 | 보안뉴스/2020-2-14 17:50 |
美 안면인식 기업, 개인정보 위반으로 집단소송 당해 | 지디넷코리아/2020-2-14 10:32 |
5G와 IoT, 자동화와 클라우드…보안 담당자가 올해 주목해야 할 이슈 ② | ITBizNews/2020-2-14 10:26 |