'지식'과 '지혜'는 다르다. '치료'와 '치유'도 다르다. 많은 사람들이 '지식'을 동원해 '치료'를 시도하지만 암 환자에게 필요한 것은 '치료'가 아니라 '치유'다. 그리고 그 '치유'를 가능케 하는 것은 '지식'이 아니라 '지혜'다. 병원에서 '치료'를 받을 수는 있지만 '치유'를 받을 수는 없다. 적어도 현대 의료 시스템 속에서는 그렇다. 내가 하는 말이 아니라 병원에서 의사들이 하는 말이다.
- 주마니아의《말기 암 진단 10년, 건강하게 잘 살고 있습니다》중에서 -
* 아무리 '지식'이 많아도 '지혜'로 체화되지 않으면, '지식'이 오히려 치명적 걸림돌이 될 수 있습니다. 특히 암 같은 중병에 걸렸을 때에는 더욱 그렇습니다. '치료'가 아닌 '치유'의 지혜가 필요합니다. 물론 '의료적 치료'는 기본 중의 기본입니다. 문제는 그다음의 '치유' 과정입니다. 그 어느 때보다 '지혜'가 빛을 발할 때입니다.
어떤 정보들은 반드시 암호화하여 저장하거나, 혹은 데이터베이스에 저장해서는 안됩니다. 그 만큼 민감한 정보들이기 때문일 텐데요. 이런 정보에는 어떤 것들이 있는지 살펴보도록 하겠습니다.
암호화가 필요한 정보
암호화해야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오 정보를 말합니다. 정보통신 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’), 개인정보보호법 등에서 인터넷을 통해 유통되는 정보의 보호를 위해 암호기술을 구현하도록 규정하고 있습니다.
암호화해야 하는 개인정보
정보통신망법
개인정보보호법
적용 암호기술
비밀번호
O
O
해쉬함수
바이오 정보
O
O
블록암호
주민등록번호
O
O
신용카드번호
O
–
계좌번호
O
–
여권번호
–
O
운전면허번호
–
O
외국인등록번호
–
O
※「개인정보 보호법」(이하 “법”이라 한다) 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다)
① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다. ② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다. ③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀 번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다. ④ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다. ⑤ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 2. 위험도 분석에 따른 결과 ⑥ 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다. ⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화 저장하여야 한다. 비밀번호, 바이오정보, 주민등록번호 등과 같은 주요 개인정보가 암호화되지 않고 개인정보처리 시스템에 저장되거나 네트워크를 통해 전송될 경우, 노출 및 위·변조 등의 위험이 있으므로 암호화 등의 안전한 보호조치가 제공되어야 한다. ※ “암호화”는 개인정보취급자의 실수 또는 해커의 공격 등으로 인해 개인정보가 비인가자에게 유·노출되더라도 그 내용 확인을 어렵게 하는 보안기술이다.
데이터베이스에 저장하면 안 되는 개인정보
개인정보보호법 23조에 의하면 “개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다.”라고 규정하고 있습니다. 즉, 개인정보처리자는 개인정보보호법에서 지정하는 예외항목을 제외하고는 주민등록번호를 처리할 수 없다는 의미입니다.
개인정보보호법
제23조(민감정보의 처리 제한) 개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 ② 삭제 <2013.8.6.> ③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. ④ 삭제 <2013.8.6.> 제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다. 1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우 3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우 ② 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. ③ 안전행정부장관은 개인정보처리자가 제2항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련ㆍ지원할 수 있다. [본조신설 2013.8.6.]
민감한 정보들에 대한 규정을 살펴보았으니, 이번에는 이러한 정보들에 대한 암호화가 어떤 식으로 이루어지는지 알아보겠습니다.
대표적인 암호화 알고리즘
암호화 대상인 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 암호화 하는 경우 안전한 암호알고리즘으로 암호화하여 저장해야 합니다. “안전한 암호알고리즘”이란 국내 및 미국, 일본, 유럽 등의 국외 암호 연구 관련 기관에서 권고하는 알고리즘을 의미합니다.
구분
알고리즘 명칭
대칭키 암호 알고리즘
SEED
ARIA-128/192/256 AES-128/192/256 Blowfish Camelia-128/192/256 MISTY1 KASUMI 등
신한·국민·우리·하나 등 4대 은행이 내부 은행원들을 디지털 인력으로 전환하기 위해 도입한 교과목들이다. 지난 1년간 4대 은행이 디지털금융·인공지능(AI)·데이터 분석 석사 등 전문가 과정을 보낸 내부 직원이 총 150여명에 달하는 것으로 집계됐다. 우수 개발인력이 빅테크로 몰리면서 채용이 어려워지자 직접 개발인력을 키우겠다는 것이 은행권의 판단이다.
28일 업계에 따르면 4대 시중은행이 대학원 석사학위 과정이나 전문가과정을 통해 양성하는 디지털 전문인력은 158명으로 집계됐다. 국민은행(2018년)을 시작으로 신한·하나은행(2020년)이 내부 디지털·데이터 교육과정을 잇달아 도입한 결과다. 우리은행은 올초부터 관련 과정을 도입했다. 은행들은 기초지식 수준의 레벨1, 코딩 실습 위주인 레벨2, 인공지능(AI)이나 경영전문대학원(MBA) 등 석사과정 위주의 레벨3로 디지털 연수시스템을 꾸렸다. 각 레벨을 이수해야 다음 레벨을 공부할 수 있는 단계식 교육과정이다.
국민은행은 올해부터 수업마다 과제와 시험을 통과해야 수료할 수 있도록 교육강도가 높아졌다. KB에이스아카데미는 디지털 금융과 데이터 분석 영역에서 각각 1800명, 532명이 사내연수에 도전했다. 하지만 세 차례의 심사와 면접을 거쳐 최종 레벨을 통과한 직원은 2년여동안 12명, 16명에 불과할 정도로 난이도가 높다. 이들 중 20명은 성균관대 GSB AIMBA 과정을 진행 중이고, 나머지 인원은 카이스트 디지털금융MBA 과정을 밟고 있다. 국민은행 관계자는 "올해 해외온라인 석사학위과정인 코세라에 진학할 수 있도록 신규 프로그램을 만들고 있다"고 말했다.
신한은행은 디지털 교육과정에 참여한 인원만 1만3000명에 달한다. 가장 난이도가 높은 ‘디지털 스페셜리스트’(석사)에 참여한 직원은 53명으로 나타났다. 이들은 신한금융이 전 계열사에서 선발하는 고려대 금융공학 및 AI 석사 과정을 통해 위탁교육을 받고 있다. 신한금융 관계자는 "매년 석사과정 경쟁률은 10대 1 수준"이라며 "전 계열사에서 30~34명의 인원을 선발한다"고 말했다.
올해 7월부터는 자격증 취득을 중심으로 하는 디지털 베이직 과정과 외부기관에서 AI·데이터 분석 전공교육을 받는 AI·디지털 챔피언으로 교육 과정을 개편하기로 했다. AI챔피언 과정에는 파이썬과 텐서플로, 신용평가모형 개발 등의 교과목이 들어간다. 최종 관문인 디지털 마스터 과정은 챔피언 과정을 수료한 직원을 대상으로 신설될 예정이다.
하나은행은 총 80여개 과목으로 구성된 'DT유니버시티'를 지난해 6월 도입했다. 1만398명이 레벨1를 수강했는데, 레벨3까지 통과한 인원은 47명이다. 자격증 취득 전문 과정도 따로 꾸렸다. 데이터분석 준전문가(ADsP) 대비반에는 322명, SQLD 대비반에는 200명이 참여한 상태다.
우리은행도 올해부터 전 직원 대상의 디지털 연수 프로그램을 시작했다. 디지털 인사이트(9600명), 디지털 예비인력 양성(800명), 디지털 전문인력(30명) 순으로 난이도가 높다. 디지털 전문인력으로 뽑힌 30명은 카이스트 디지털금융 전문가과정(20명 선발)과 금융-IT 융합 AI·DX과정(10명 선발)에서 4개월간 연수를 받게 된다.
은행 관계자는 "데려올 수 있는 인원이 예전보다 역량이 부족하거나, 전문성 갖춘 개발 인력은 잘 오려고 하지 않는다"며 "내부 인력의 디지털·데이터 분야 전문성 강화에 초점을 맞추는 것이 낫다는 판단에 관련 과정을 확대하고 있다"고 말했다. 이어 "교육 이수 후 바로 퇴사하는 일이 없도록 의무근무기간을 정해 디지털 핵심 부서에서 근무하도록 할 계획"이라고 말했다.
직장인이 가장 많이 쓰는 급여체는 단연 '넵'이다. 상사의 지시에 답할 때 그냥 '네'라고 하기엔 어딘지 건조하고 딱딱한 느낌이 든다. 그렇다고 '넹' '넴'을 쓰자니 너무 가벼워 보인다. 그래서 선택하는 게 바로 '넵'이다. 공공 기관 대리 정모(29)씨는 “적당히 절도 있고 경쾌하면서 확실한 인상을 주는 것 같아서 '넵'을 애용한다”고 했다.
