개인정보 분리 보관

From CS Wiki

개인정보 보호법제상 개인정보 분리 보관이란 개인정보 보호법상 원칙적으로 삭제를 해야 하나 다른 법률상의 규정에 따라 불가피하게 보관을 해야 하는 경우를 말한다. 주로 접근 통제, 권한 구분을 목적으로 한 분리 보관을 의미한다.

근거 법령[edit | edit source]

개인정보 보호법 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.

④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

  • 그 외 전자상거래법, 근로기준법 등 보관 의무를 명시한 별도 법률 조문들

분리 보관 방법[edit | edit source]

분리 수준에 따른 구분[edit | edit source]

아래로 내려갈수록 분리의 수준이 더 높다. 분리의 수준이 높다는 것은 일반적으로 더 안전하지만 더 많은 비용이 들어가는 방법을 말한다.

테이블 분리

  • 동일한 데이터베이스, 동일한 스키마에서 테이블만 구분한다.
    • 예) 기존 회원 테이블을 tb_user로, 분리보관된 회원 테이블을 tb_user_archive로 구분하여 운용
  • 접근 권한 분리가 어렵다.
  • 데이터베이스에 대한 침해가 발생한 경우 다른 테이블과 같이 피해를 볼 확률이 높다.

스키마 분리

  • 동일한 서버, 동일한 인스턴스에서 스키마를 별도로 구분한다.
  • 테이블 분리에 비하면 권한 분리가 더 용이하다.
  • 동일한 IP, 포트를 사용하므로 접근통제에 한계가 있다.
  • 데이터베이스에 대한 침해가 발생한 경우 공격 유형에 따라 같이 피해를 볼 가능성이 있다.

인스턴스 분리

  • 동일한 서버에서 데이터베이스 인스턴스를 별도로 구분한다.
  • 서버에 대한 침해가 발생한 경우 같이 피해를 볼 가능성이 있다.
  • 동일한 IP를 사용하지만 포트가 달라 이를 통한 접근통제가 가능하다.
  • 권한 분리 및 접근 통제는 테이블, 스키마 분리에 비해 용이하지만 관리가 어렵고 서버 성능에 악영향을 줄 수 있다.

컨테이너 분리

  • 가상화 서버를 사용하는 경우, 동일한 물리적 서버에서 하이퍼바이저컨테이너 수준으로 저장소를 구분하여 운용한다.
  • 서버 수준의 침해에서도 다른 가상화 서버에 대한 침해에는 영향을 받지 않는다.
    • 스펙터하트블리드 같은 심각한 침해에선 다른 컨테이너를 통한 침해도 가능하지만 확률이 매우 낮다.
  • 별도의 서버를 운용하는 것과 같이 권한 분리 및 접근 통제가 가능하다.

물리적 분리

  • 물리적으로 구분되어 있는 서버에 분리 보관하는 경우를 말한다.
  • 다른 자원에 대한 침해에서 일반적으로 안전하다.
    • 시스템 구조에 따라 망연계 시스템 등을 통한 침해가 이론적으로 불가능한 것은 아니다.
  • 망에 대한 구분까지 가능하므로 권한 분리 및 접근 통제가 용이하다.
  • 별도의 물리적 장비가 필요하며 비용이 비싸다.

보안 수준[edit | edit source]

주안점은 아래와 같다.

  • 접근 권한 및 활용측면에서 완전히 구분될 수 있는가
  • 운영 데이터가 해킹을 당했을 때 별도 보관한 데이터까지 피해가 미치지 않도록 할 수 있는가

예를 들어 테이블 분리는 상대적으로 간편하지만 분리의 수준이 낮은 다소 위험한 방법으로 알려져 있으며 감사 시에도 지적을 받을 수 있으나, DBMS 보안 솔루션 등을 통해 해당 테이블에 대한 접근 권한을 완전히 구분하고 암호키 또한 별도로 사용하고 있다면 적절한 분리 보관으로 인정될 수도 있다.[1]

단순히 분리의 수준만 높이는 것보다 해당 분리 수준에서 적용할 수 있는 보안 대책을 잘 설정하는 것이 더 중요하다. 분리 보관된 데이터에 대해 암호화 항목을 늘리고 암호화 키를 별도로 사용할 수도 있고 접근할 일이 아예 없거나 많지 않은 데이터의 경우엔 아예 접근 경로를 막아 놓는 방법 또한 강구할 수 있다.

분리 보관이 필요한 규정[edit | edit source]

  • 전자상거래 기록(전자상거래법)
    • 표시ㆍ광고에 관한 기록: 6개월
    • 계약 또는 청약철회 등에 관한 기록: 5년
    • 대금결제 및 재화등의 공급에 관한 기록: 5년
    • 소비자의 불만 또는 분쟁처리에 관한 기록: 3년
  • 임직원 경력 정보(근로기준법, 3년)
  • 임직원 임금·납세 정보(국세기본법, 5년)

각주[edit | edit source]

  1. 물론 이는 점검 기준에 따라 달라질 수 있다. 원칙적으로 인정되지 않는 경우도 많다.