더북(TheBook)

지금까지 배운 내용에 따르면 암호화란 ‘안전한 암호화’를 의미합니다. 문자 그대로 Encryption만 수행하는 것으로 해석한다면 키를 훔치거나 키에 접근할 수 있는 사람이 데이터를 유출하기가 너무 쉽겠지요.3 따라서 법률이 유명무실해지지 않으려면 암호화는 키 관리, 접근 제어4, 감사를 전부 포함한 통합적인 암호화로 해석해야 됩니다. 하지만 현실적으로는 특정한 공인 알고리즘만 (형식적으로) 사용하면 실제로 보안이 되지 않아도 면책되는 방향으로 법률을 해석할 가능성이 높습니다. 이는 보안 실무 인력과 정책 입안 비용, 법률 전문가와 정보를 공유하여 반드시 해결해야 할 숙제입니다.

이제 관련 법령에서 ‘개인정보를 안전하게 보호해야 한다’는 규정을 살펴봅시다. 보안을 아는 사람이라면 ‘개인정보’가 무엇이고, ‘안전하게 보호’하는 것은 어떤 의미인지 생각할 필요가 있습니다.

정보통신망법에 따르면 개인정보는 ‘생존하는 개인에 관한 정보로서 이름, 주민번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보’입니다. 한편 개인정보보호법에서는 개인정보를 ‘이름, 주민등록번호, 주소, 전화번호 이외에 컴퓨터 IP주소, e-mail 등’이라고 명시합니다. 실무에서는 조금 더 포괄적인 의미에서 ‘해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우’까지를 개인정보로 여깁니다. 법률에서 규정한 개인정보의 범위는 일반적으로 떠올리는 주민등록번호나 이름, 주소 정보보다 훨씬 넓다는 것을 알 수 있습니다.

 

 


3 이를 ‘암호화 무용론’으로 확대하여 암호화보다 접근 제어에 비중을 두어야 한다고 주장하는 사람도 있습니다. 하지만 3장을 읽었다면 이 주장은 보안 관점에서 적절하지 못한 주장임을 알 수 있습니다.

4 일반적으로 ‘암호화 대신 접근 제어를 수행하라’고 할 때는 중요한 정보가 있는 시스템 자체에 접근을 제어하는 것을 의미합니다. 여기서 접근 제어는 키 관리의 일부로 정보를 암호화할 때 사용한 키에 접근 제어입니다. 여러 번 강조했듯이 책에서 이야기하는 ‘안전한 암호화’는 정보 암호화, 키 관리, 키에 접근 제어를 모두 포함합니다.

신간 소식 구독하기
뉴스레터에 가입하시고 이메일로 신간 소식을 받아 보세요.