개인정보 안전성 확보조치 교육

개인정보처리시스템은 개인정보가 하나라도 왔다갔다 한다, 그러면 개인정보처리시스템으로 봐야 한다. 메인 페이지인 홈페이지도 개인정보처리시스템으로 분류될 수 있다. 단, 그룹웨어나 사내메신저는 개인정보처리시스템으로 포함하지 않는다. 조직도를 볼 수 있는 정도는 해당되지 않는 것이다. 

 

필드에서 개인정보는 최대한 보수적으로 해석하는 것이 좋으며, 단순 이름이라 해도 '김수달달달'라는 특수한 이름이 있다면, 이는 개인정보의 정의 중 결합가능성에 대한 내용을 고려하지 않더라도 개인정보라 볼 수 있기 때문이다.

 

개인정보 안전성 확보조치는 법률, 시행령, 시행규칙, 고시 중 시행령의 성격에 해당하며, 개인정보보호법의 효력 발생을 위한 세부적인 사항을 정하는 하위 법규라 할 수 있다.

 

최근 법의 개정으로 인해 개인정보에 관한 사건에 대해 신고를 해야 하는데, 분실, 도난, 유출, 변조, 훼손이 있다. 이것에 대해 정말 신고를 해야 하는지 개인정보처리자 및 담당자 입장에선 다소 헷갈릴 수 있는데, 현재의 기조 및 분위기로 볼 때는 최대한 신고하는 편이 옳을 것이다. '가능성'이라는 용어에 대한 구체적인 발표가 있지 않는 한 말이다.

 

최근 법의 개정으로 인해 내부관리계획에 출력·복사 시 안전조치, 개인정보 파기 관련 안전조치 등이 추가되었고, 일반 법률과 달리 내부관리계획은 즉시 적용이 원칙이기 때문에 이 부분은 항상 모니터링하고 빠르게 행동할 필요가 있다.

 

최근 CPO 개정 중 특이사항은 '임원급'이 아니라 '임원'이어야 한다는 점이다. 따라서 반드시 CPO는 임원수준으로 올리거나 임원 중에서 CPO를 지정해야 할 것이다. 임원이어야 예산 집행, 인력 확보 등에서 힘이 있기 때문에 개정에서 이런 의도가 반영되었을 것으로 보인다. CPO에 대한 개정은 이번이 오래간만의 일이 아니며, 꾸준히 강화되고 있으며, 이러한 방향성을 기업이 인지하고 있어야 할 것이다. 법의 내용을 따져볼 때, 실질적으로 원하는 지위는 상무 정도가 적당할 것이다. 그리고 CPO 요건에 대해서는 4년 중 개인정보보호 경력을 최소 2년 이상 보유라는 게 있는데, 여기서 개인정보보호 경력이란 개인정보보호 정책 및 제도, 개인정보 영향평가, 개인정보보호 인증심사, 개인정보보호 컨설팅, 개인정보보호 법률 자문, 개인정보보호 실무 등이 있다.

 

개인정보 보호책임자의 주요 업무 및 역할을 따졌을 때, ④ 개인정보 유출 및 오남용 방지를 위한 내부통제시스템의 구축은 실질적으로 솔루션을 가동하냐의 문제이며, ⑥ 개인정보파일의 보호 및 관리·감독은 특히나 최근 수탁사 관리에 있어 이슈가 터지면서 더욱 고심해야 할 사항일 것이다. ⑨ 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 등 부분은 사실상 중요도로 본다면 1순위일 것이며, 이 부분을 자동화하도록 설계하는 것이 가장 중요한 업무 중 하나일 것이다.

 

임직원 대상 개인정보보호 교육은 기업에 따라 다르겠지만 1년에 4번 이상하는 곳도 존재하며, 여러 개인정보 유·노출 사고의 원인 중 하나가 휴먼에러이기 때문에 교육에 대한 중요성은 아무리 강조해도 지나치지 않을 것이다. 교육을 할 때는 형식적인 게 아니라, 진짜로 그 결과에 대해 분석할 필요가 있으며, 이를 다음 교육에 반영할 수 있도록 고려해야 할 것이다.

 

또한, 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘 · 감독을 받아 개인정보를 처리하는 자의 범위를 최소한으로 제한해야 할텐데, 이 부분에 있어서는 현업에서 요청한 권한만 줘야할 것이고, 굳이 더 줄 이유가 없다. 물론 요청한 권한에 대해서도 이 권한이 왜 필요한지에 대한 확인은 반드시 필요할 것이다.

 

개인정보담당자의 가장 큰 업무 중 하나는 피해 최소화일 것이다. 아무리 좋은 솔루션을 쓰고, 아무리 실력이 좋더라도 털릴 수 있기 마련이다. 그렇다면 사고가 났을 때 피해를 최소화할 수 있는 방법은 무엇인가? 암호화는 필수 중의 필수다. 피해 최소화에 있어 근본적인 대책이 되는 것이 암호화이기 때문이다. 예산이 허용하는 한 암호화는 하면 할수록 좋다 할 것이다. 

 

개인정보의 다운로드가 확인된 경우 사유를 반드시 확인해야 하는데, 이 내용을 아무렇게나 적는 경우가 현업에서 상당히 많다. 10자 제한으로 걸었더니 단순 공백으로 10자를 채우는 경우 등 다양하게 현업에서 저항(?)하기 때문에 이 부분에서는 미리 고려해서 설계에 반영해야 할 것이다. 따라서 미리 현업에서 여러 옵션에 대한 아이디어를 받고, 그것을 다운로드 사유 부분에서 선택지로 제공하는 등의 방안이 있을 것이다.

 

유출에 있어 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다는 내용이 유출 대응 매뉴얼에 있는데, 이걸 실질적으로 주장할 수 있는 사례는 극히 드물다. 노출이 되었다가, 그걸 바로 인지해서 1분도 안되어서 바로 닫았거나 등의 아주 희귀한 사례가 아닌 한 권익 침해 가능성이 현저히 낮아졌다 보기 어려우므로, 뭐든 신고하는 것이 편할 것이다.

 

안전성 확보조치 내용을 보다 보면, 이용자인 정보주체, 이용자가 아닌 정보주체에 대한 내용이 나뉘는데, 여기서 이용자가 아닌 정보주체는 임직원, 파견직 등을 말한다고 보면 된다. 그러니 다소 중요도가 떨어지는 것이다. 

 

개인정보 유·노출은 생각보다 많이 발생하는데, 이것도 결국은 솔루션 싸움일 것이다. 주기적으로 검토하고 관리하는 게 필요하고, 선제적으로 차단하는 것이 중요한데 그게 쉽지 않다. 개발단에서 무언가 적용할 수 있고, 교육이 잘 되어있다면 그래도 억제력을 가할 수 있을 것이고, 그렇기에 적어도 둘 중 하나는 충족할 수 있기 위한 수단을 강구하는 것이 좋을 것이다. 그리고 뭐만하면 안전성 확보조치에서 '원칙이나~'라는 말을 볼 수 있어 이것을 약간 문을 열어두는 것으로 해석하는 처리자가 종종 있는데, 원칙이라고 되어있으면 그걸 지키는 것이 가장 수월하다. 원칙을 깨면서 대신하여 추가적인 보안설정을 하는 게 오히려 더 일이기 때문이다.

 

세션 타임아웃의 경우 10분~60분 이내라고 하지만, 보통은 마우스만 흔들흔들 거리면 바로 이용을 할 수 있도록 하는 경우가 있는데, 그건 타임아웃이 아니다. 최소한의 인증 단계는 반드시 거쳐야 할 것이다. 물론 이 세션 타임아웃와 관련하여 특히나 임직원들의 반발이 심할 수 있고, 그룹웨어나 개인정보처리시스템 등 기업마다 일부 시스템은 조금은 편의를 두어 장시간 열어두는 경우가 있을 것이다. 그러나 이것은 분명 '예외처리'로 분류되어야만 할 것이다. 기본적으로 10분-60분에 대한 내용은 이미 널리 알려진 내용이고, 그렇기에 기업의 정책 및 지침 부분에 명시가 되어있을 것이다. 따라서 2시간, 3시간 등으로 열어주는 것은 반드시 예외처리로 분류하고 그 사유를 받아 승인절차를 만들고, 검토를 진행한 후에나 세션 타임아웃 연장을 적용하는 게 적절할 것이다. 

 

업무용 모바일 보안의 경우, 조직의 업무 특성상 핸드폰을 자주 사용하는 곳에 특히 권고된다. 이럴 때 주로 MDM를 사용할 것이며, 여기서는 여러 요소를 제어할 수 있는데, 특히나 분실되었을 때의 데이터 통제가 가장 유의미하다.

 

인터넷망 차단 조치의 경우, 최근 개정으로 다소 숨통이 트였는데, 인터넷망 차단 조치의 예외 사유 중 하나로 취급자 기기에 위험분석을 실시하고 위험성을 낮출 수 있는 보호조치를 한 경우다. 이에 대해서 예시도 나와있는데, 예시 중 하나만 하는 게 아니라 다 해야된다고 생각하면 된다. 물론, 가장 안전한 것은 완화정책을 따르지 않고, FM대로 인터넷망 자체를 차단하는 것이다. 정말 인터넷망을 도저히 차단할 수 없을 때에만 예외 적용을 적용하여 보호조치를 해야 하는 것이다.

 

인터넷망과 정보통신망을 혼동하는 경우가 종종 있는데, 인터넷망은 정보통신망의 하위 개념이라고 생각하면 된다. 인터넷망은 말그대로 공중 인터넷에 연결된 망이고, 정보통신망은 전기통신설비를 이용한 모든 데이터 전송망이다. 인터넷망은 외부 침입 위협 대응을 중심으로 보안을 고려해야 하고, 정보통신망의 경우 전체 개인정보 처리환경을 보호하는 관점에서 보안을 고려해야 할 것이다.

 

개인정보 파일 암호화의 경우, 정보통신망을 통한 송·수신 시, 저장 시, 또 이용자 대상, 이용자가 아닌 정보주체 대상 등 굉장히 경우의 수가 많이 나뉘는데, 이 지점에서 보안담당자는 언제나 목표를 저런 것에 국한되지 않고 최대한 모든 것을 모든 지점에서 암호화하는 것을 노려야 할 것이다. 성능에 저촉이 되지 않는 선에서 암호화는 하면 할수록 좋다고 받아들여야 한다.

 

개인정보 파일 암호화에 있어 DLP/DRM 솔루션은 빼놓을 수가 없는데, 둘의 차이는 다음과 같다.

	DLP	DRM
기본 동작 방식	데이터 분류 및 흐름 감시	각 문서 단위 권한 제어
적용 개요	데이터 흐름을 감시함으로써 데이터 유출 감시/차단	- 사용자 권한 레벨이 사전에 정의 - 문서 생성자가 적절한 권한을 부여하며 문서 소멸 시까지 따라다님 -문서는 암호화되어 권한을 지닌 사용자만이 접근할 수 있음
어플리케이션 종속성	벤더 및 어플리케이션 중립적으로 보다 다양한 컨텐츠 감시/차단 가능	기존 오피스 어플리케이션 업무 환경/작업 방식에 변화를 초래하며 큰 영향을 줌
주요 강점	- 사용자에 투명하게 동작 - 포괄적 보호(단일 에이전트로 다양한 유출 경로 지원, 다양한 파일 형식 지원) - 내용 인식, 추적	- 외부 유출 시에도 문서가 계속 보호됨(암호화) - 커스터마이즈(그룹웨어 등)

DRM이 난이도가 훨씬 높고, 그렇지만 보안상으론 너무 좋다. 문서 소멸에 대한 라이프사이클을 정할 수 있고, 외부에 유출되어도 읽을 수가 없기 때문이다. 그게 아주 큰 강점이다. 대신 DRM은 장애 포인트, 관리 포인트가 너무 많아서 보안 담당자들의 기피 대상 1호 솔루션이기도 하다는 것이 넌센스다. DLP는 그에 비해 난이도가 낮으며, 패턴 기반으로 데이터를 유출하고 차단하며 모니터링하는 솔루션이다. 최근에는 유출 경로까지 지원하게 되었고, 그래서 어디서부터 어떻게 문서가 나갔는지 발자취를 따라갈 수 있다는 장점이 있다. 그래서 DLP가 감사 기능으로는 좋은 면이 있다. 이런 것들을 고려하여 DLP나 DRM이나 적어도 둘 중 하나는 조직에 있어야 할 것이다. 사실 DLP는 반필수나 다름 없기에 DRM을 추가하냐 마냐의 논쟁이 될 가능성이 크다.

 

암호화에서 '암호화 했다'는 것보다 더 중요한 것은 당연히 키 관리일 것이며, 그래서 암호화 부분을 점검할 때는 키 관리를 어떻게 하고 있는지를 알아보는 것이 최우선적일 것이다. KMS를 도입하면 라이프사이클은 물론 접근 통제, 감사 기록까지 모든 걸 한 번에 할 수 있기 때문에 참 편리하다. 그렇게 가격이 비싸지도 않고, 초기 설정 후에는 딱히 건들 내용도 많지 않기 때문에 도입이 되지 않은 곳에서는 도입을 고려하는 것이 좋을 것이다.

 

개인정보처리자를 판단할 때는 그 안의 A, B, C 시스템을 각각 보는 게 아니라, 전체 개인정보를 두고 판단하는 것이기 때문에 다 합쳐서 판단한다고 생각하면 된다. 

 

뷰 테이블을 이용하여 DB 암호화를 하는 방법은 단순하고 편해 보일 수는 있는데, DBMS 암호화는 결국 DB 내의 자체적인 메모리를 이용한다는 거고, 휘발성인데, 권장되는 방법은 아니다. 대신 TDE 같은 암호화를 이용하는 기업이 아마 많을 것이다. 왜냐? 공짜니까 말이다. 일부 돈을 내야 하는 솔루션도 있지만 말이다.

 

접속기록의 경우 일반적으론 1년, 고유식별정보나 민감정보 등 몇몇 조건에 따라선 2년 이상 보관해야 한다고 하는데, 사실 그냥 계속 보관하면 된다. 로그 압축 기술도 요새는 잘 되어있기 때문에 용량도 크지도 않고, 그렇기에 5년 되었으니 지워야 되나? 하지 않아도 된다는 것이다. 시스템 성능이 되는 대로 많이 보관하면 되는 것이다. 그리고 접속기록 보관 시 식별자, 접속 일시, 접속지 정보, 처리한 정보주체 정보, 수행 업무를 보관해야 하는 것은 이전부터 쭉 이어져 오던 것이지만, 놓칠 수 있는 포인트가 접속 일시에서 로그인 실패, 로그아웃을 포함해서 관리해야 한다는 점이다. 최근 변동된 내용이기에 놓칠 수도 있을 것이다. 그리고 이 '일시'에 대해 시-분까지만 나와있는 경우가 꽤나 흔한데, 반드시 초 까지 나와야 한다는 점을 인지해야 할 것이다. 그리고 접속기록 점검은 이전에는 월 1회 하게 되어 있었으나, 최근 개정으로 주기·방법·사우조치 절차 등을 내부 관리계획을 통해 합리적으로 정할 수 있게 되었다. 그런데 월 1회 하고 있던 걸 굳이 늘릴 필요가 있을까 싶다. 이게 정말 부담된다면 분기 1회, 2개월에 1회로 바꿀 수 있겠지만, 그렇게 부담되지 않는다면 기존대로 월 1회를 유지하는 것이 좋을 것이다. 항상 보안담당자의 생각은 사고가 발생하고, 재판이 들어갔을 때를 고려해야 하는데, 그걸 생각한다면 결국 많은 것을 보수적으로 해석할 수밖에 없다. 따라서 월 1회를 예를 들어 분기 1회로 바꾼다고 한다면, 나중에 사고나고 법원에서 '왜 굳이 점검 주기를 분기 1회로 늘렸냐'고 물었을 때 합리적인 답변이 가능해야 할 것이다. 그런데 그게 가능할까? 그렇기에 보수적으로 하는 것이 좋다는 것이다. 법은 언제나 이용자 편이기 때문이다. 

 

그리고 개인정보를 다운로드할 때 사유의 확인에 대한 수립의 내용이 있는데, 이것도 그냥 처음부터 다운로드할 때 사유를 입력 또는 선택하도록 설계하는 것이 베스트일 것이다. 그래야만 실질적으로 확인 및 관리가 수월할 것이다. 접속 기록 위·변조에 대해서는 아무래도 WORM이나 SIEM이 일반적이다. 개인정보처리시스템에 접속했을 때는 ① 응용프로그램 단에서 기록을 남겨야 하고, ② 개인정보취급자(DBA/개발자 등)가 DB를 통한 개인정보처리시스템에 접속했을 때도 DB 서버 단에 기록이 남겨져야 한다. ①만 신경쓰는 경우가 은근 많은데, ②에 대해서도 반드시 해야 하고, 이게 쉽지 않기 때문에 솔루션을 사용하는 것이 권장된다.

 

또한 25년 SKT 사건으로 인해 서버 백신에 대한 수요가 꽤 늘었는데, 생각보다 서비스에 영향을 그다지 주지 않기 때문에 PC 백신처럼 필수로 고려하는 것이 권고된다 할 것이다. 그리고 백신 소프트웨어 설정에 관해서는 임직원들이 손대지 못하게 해야 할 것이고, 반드시 중앙관리를 해야 보안 상태가 잘 유지될 것이다.

 

악성 프로그램의 경우 근래 들어서는 치료의 조치는 사실상 없다 할 것이고, 랜섬웨어가 워낙 기승이기 때문에 랜섬웨어 솔루션은 PC 백신처럼 필수 솔루션 중 하나로 고려되어야 할 것이다. 그리고 boho.or.kr의 정보를 매일 확인할 수 있도록 수동으로 하건, AI로 받아보건 무언가 조치를 취하는 것이 좋으며, 적어도 그곳에 올라오는 정보 중에 조직의 자산에 적용할 수 있는 게 있다면 반드시 하는 것이 좋을 것이다. 물론 업데이트 시 미칠 서비스 영향도, 업무 연속성 등을 고려해야 할 것이고, 테스트 서버 등의 적용을 통해 확인하는 과정이 필요할 것이다. SKT의 경우 단순 BPF 도어가 아니라, 랜섬웨어가 29종이 있었다는 게 밝혀졌고, 그렇기에 더욱 서버 백신이 아주 중요하다는 것이다. 서비스 영향도가 무섭다면 맨 처음부터 서버 백신을 깔고 시작하는 것도 좋을 것이다. Privacy By Design에 서버 백신이 포함되어야 한다는 것이다. 서비스를 이미 구현하고 거기에 보안을 끼워맞추는 것이니 힘든 거고, 그렇기에 처음부터 서버 백신이 포함되어야 할 것이다. 그게 결국엔 업무량을 줄이는 일이기도 하고 말이다. 랜섬웨어 방지 솔루션의 경우 보통 차단 방식이 행위 기반인데, 이게 가능한 이유는 대부분의 랜섬웨어의 행위 패턴이 비슷하기 때문이다. 그렇기에 99% 이상 탐지가 가능한 것이다. 그리고 특히 랜섬웨어 방지 솔루션은 보통 감염 즉시 파일을 복구하는 기능이 들어있는데, 이게 상당히 좋은 기능이라 할 수 있다. 

 

보안 솔루션들을 보면 백신, 개인정보 탐지, 문서 보안, 출력물 보안, 매체 제어, 패치 관리, 문서 중앙화, EDR 등등 아주 다양한데, 지금 우리 조직에 있는 솔루션은 무엇이고, 현재의 위협 및 취약점을 고려했을 때 어떤 솔루션이 필요할지를 생각해보는 것도 기술 보안에 있어 중요한 시작이 될 수 있을 것이다.

이동식 보조저장매체 관리의 경우, 반입·반출 대장 양식이 존재하기는 하지만, 규모가 좀 있는 기업에서는 이런 양식을 사용하는 것이 부적합하다. 하나하나 수기로는 관리가 절대 안되기 때문이다. 그렇다면 무엇이 있을까? 결국 또 솔루션이다. 관리가 편한 것도 있지만, 관리의 '강제화'에 있어 솔루션만한 것이 없기 때문이다. 

 

물리적 안전조치의 경우, IDC는 워낙 보안이 빡빡하여 그럴 일은 없긴 하지만, 월간보안점검에서 출입기록, 반출기록 등을 반영해야 한다. 말로만 잘하고 있다고 해서는 안되고, 전자결재의 액션이 필요하다. 정기적 '검토'라는 것은 분명 승인과 보고가 필요하다는 내용이다.

 

위기 대응 매뉴얼과 관련해서는 적어도 1년에 1번 도상 훈련을 수행해야만 할 것이다. 막상 사고가 터졌을 때 다들 당황해서 절차대로 하기가 너무 어렵기에 그렇다. 훈련을 수행하지 않는 곳이 상당히 많을 텐데, 그래서는 유출 사고 발생 시 가장 중요한 '회복력' 부분에서의 역량을 키울 수 없을 것이다. 법에서 훈련을 해야되는 기준을 마련하고는 있으나, 그 기준에 너무 목메지 말고 가능한 하는 영역으로 고려해야 할 것이다. 그리고 실제로 훈련을 해야만 R&R이 명확해질 것이다. 그저 문서에 의해서는 R&R이 불명확하다. 문서가 모든 것을 세세하게 담을 수는 없기 때문이다.

 

출력 · 복사 시 보안에 대해서도 솔루션이 역시나 존재하고, 편리한데, 꼭 솔루션이 필요한 것은 아니다. 마스킹 기능을 개발 시 반영하여 적용할 수 있기 때문이다. 또한, 출력에 대한 조회를 최소화하기 위해서는 like 검색 막는 것은 필수이고, 필요한 경우에만 사유를 얻어 승인을 득하도록 해야 할 것이다. 또는 like를 쓰더라도 2가지 이상의 조건을 추가하여 가능한 최소한의 정보만 나오도록 하는 것이 베스트일 것이다. 콜센터, 상담 업무 등의 특수한 경우가 아니라면 그렇게 조치하도록 해야할 것이다. 마스킹과 관련해서는 기본적으로 마스킹이 구현된 상태에서 필요한 사람만 권한을 주는 방식으로 구현하는 게 가장 시간을 아끼는 방법일 것이다.

 

출력물에 대해서는 반드시 추적 및 관리가 가능하도록 규정 및 지침을 만들어야 할 것이다. 기존에 잘 되어있다면 문제 없지만, 이걸 적용하는 게 임직원의 반발 등 쉽지 않기 때문에 법에 근거하여 규정 및 지침을 확보하는 것이 선제적으로 이뤄지고 그다음 스텝을 밟아가는 식으로 진행되어야 할 것이다.

 

매체 제어는 솔루션 없이는 사실상 불가하다. usb를 들고와서 꽂는 것을 막는 걸 관리적으로 수행한다? 사실상 불가능에 가깝다. 매체 제어 솔루션에는 기본적으로 보안 usb가 있고, 필요할 경우 보안 usb를 사용해야 한다. 가끔 사고가 발생할 때 개인정보가 포함된 하드 자체를 분실했다는 내용도 있는데, 보안 usb의 경우 암호화가 되어있고, 인증에 실패하면 내부 파일이 자동 삭제되기 때문에 개인정보처리자 입장에서는 피해 최소화를 사전에 시도하는 것이라 볼 수 있다.

 

출력물 보안 솔루션을 사용해 보면 출력차단, 출력이력 로그관리, 출력자 정보 워터마킹, 사용자 인증, 개인정보 마스킹 등이 포함되어 있기 때문에 상당히 유용하다. 나도 특정 고객사에서 이런 솔루션을 경험해본 적이 있는데, 개인정보가 포함된 문서를 출력해야 할 경우 관리자의 승인이 필요했다.

 

파기의 경우 안되는 곳이 정말 많은데, 개인정보를 담당하는 부서 및 팀과 달리, 다른 현업에서는 개인정보를 자산으로 인식하기 때문이다. 파기에 대해서는 PbD를 수행하지 않는 한 지속적인 설득 또는 싸움이 발생할 수밖에 없는 영역이고, 따라서 반드시 설계부터 개인정보 수집 시 파기가 자동화될 수 있도록 구현해야 할 것이다.

 

일반 개인정보가 '폐쇄형 내부망 안에서만' 전송되는 경우를 두고 고시상 명문 암호화 의무라고 단정하기는 어렵다. 이유는 현재 「개인정보의 안전성 확보조치 기준」 제7조 제4항이 전송 암호화 대상을 '개인정보를 정보통신망을 통하여 인터넷망 구간으로 송·수신하는 경우'로 적고 있기 때문이다. 그래서 일반 개인정보 전송에 한정하면, 조문 문언상 그대로 본다면 최소한의 명문 의무는 인터넷망 구간이 있는 경우에 초점이 맞춰져 있다고 보는 해석이 자연스러울 것이다. 그런데 실무에서는 더욱 보수적 해석이 필요하다. 여기서 바로 내부망이면 암호화하지 않아도 된다고 결론을 내리면 위험하다. 같은 고시 제7조 제1항은 비밀번호, 생체인식정보 등 인증정보에 대해서는 저장 또는 정보통신망을 통한 송·수신 시 암호화를 요구하고 있기에, 이 부분은 인터넷망 구간 여부와 무관하게 더 넓게 적용될 것이다. 또 시행령 제30조 제1항 제4호 다목은 정보통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송·수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치를 요구하고 있고, 같은 호 라목은 그밖의 암호화 또는 이에 상응하는 기술을 이용한 보안조치도 두고 있다. 그렇기에 망 신뢰수준, 사용자 단말 통제, 망분리 상태, 중간구간 장비, 원격접속/VPN 여부 등을 고려하여 TLS, IPSec, 전용선 보호, 구간 암호화 등 상응조치를 갖추는 쪽이 안전할 것이다.