|
개인정보
취급자만 관리하도록 규정
개인정보
암호화 조치 강화
방송통신위원회는 31일 전체회의에서 ‘개인정보의 기술적
관리적 보호조치 기준 고시 개정안’을 의결했다. 개정안은 내년 1월부터 적용되지만 방통위 측은 순차적으로 이 기준을 적용하도록 할 방침이다. 이
내용은 준용사업자에게도 적용되기 때문에 기업들의 인터넷상 개인정보보호 조치가 강화될 것으로 보인다.
주요내용은
정보보호책임자와 정보열람 권한을 가진 개인정보취급자를 정의해 개인정보를 내부관리계획에 따라 관리하도록 하는 것과, 해킹 공격에 대한
개인정보처리시스템의 안정성 강화를 위해 접근통제 규칙 및 방법을 상세화했고, 외부 망에서 개인정보처리시스템 접속이 필요한 경우 안전한 인증수단을
적용해 접근통제 강화했다. 또한 개인정보취급자의 비밀번호 작성규칙을 구체화해 해킹 또는 비밀번호 추측 공격에 의한 피해를 최소화하도록 한다는
계획이다.
개정에
따른 용어 정의 수정
정보통신망
이용 촉진 및 정보보호 등에 관한 법률에 정의한 용어 이외에 시행령 및 보호조치 기준의 신규용어에 대한 해석상의 혼란을 방지하기 위해 용어 정의
조항 추가됐다.
개정된
내용은 ‘개인정보관리책임자’, ‘개인정보취급자’, ‘개인정보처리시스템’, ‘비밀번호’, ‘접속기록’, ‘바이오정보’, ‘P2P', ’공유설정‘,
’보안서버‘, ’SSL' 및 ‘인증정보’ 11개 용어 정의를 추가하는 내용이다. 이를 통해 용어의 일관성 유지를 통한 해석상 혼란을 방지하겠다는
의도다.
정의된
내용
-
개인정보관리책임자 : 정보통신서비스제공자의 사업장 내에서 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종결정하는 임직원
-
개인정보취급자 : 개인정보보호를 위한 기술적ㆍ관리적 보호조치를 실제 구현 운영하거나, 업무상 개인정보 취급이 불가피한 자(해석 : 가장
우선적으로 고려할 사항은 개인정보취급자가 누구인지 보다는 취급자를 지정할 경우 의무를 다해야한다는 것)
-
개인정보처리시스템 : 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(해석 : 데이터베이스시스템을 기본으로 하되, 개인정보
수집, 보관, 처리, 이용, 제공, 파기 등을 직접적으로 수행하는 시스템도 포함, 웹사이트를 통해 개인정보를 수집하는 웹서버, 고객응대 업무등을
위해 개인정보취급자가 접속해 고객의 개인정보를 조회할 수 있는 업무처리시스템 등이 포함)
-
비밀번호 : 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력해 정당한 접속 권한을 가진 자라는 것을 식별할
수 있도록 시스템에 전달해야하는 고유 문자열로 타인에게 공개되지 않는 정보를 말한다.
-
접속기록 : 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속해 수행한 내역에 대해 식별자, 접속일시, 접속지를 알 수 있는 정보 등
접속한 사실을 전자적으로 기록한 것
-
바이오정보 : 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나
생성된 정보
-
P2P(Peer to Peer) : 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결돼 파일을 공유하는 것
-
공유설정 : 컴퓨터의 파일을 타인이 조회ㆍ변경ㆍ복사 등을 할 수 있도록 설정하는 것
-
보안서버 : 정보통신망에서 이용자 개인컴퓨터와 웹서버 사이에 송ㆍ수신되는 정보를 암호화해 전송하는 서버
-
SSL(Secure Socket Layer) : 데이터를 송ㆍ수신하는 두 종단 간에 인증, 암호화, 무결성을 보장하는 업계 표준
통신규약
-
인증정보 : 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보
내부관리계획의
수립ㆍ시행
이는
현행 개인정보관리계획의 수립ㆍ시행이 정보통신망법 시행령 제 15조 제1항으로 상향 입법됨에 따라, 내부관리계획의 수립ㆍ시행에 대한 구체적 규정
명시한 것이다. 개정내용은 개인정보보호 조직의 구성 및 운영을 위한 세부사항 규정했다. 실설 된 제3조제2항은 개인정보보호 교육계획을 수립해
연2회 이상 개인정보관리책임자 및 개인정보취급자 대상교육 실시하도록 하고 있다. 이에 따라 2009년 8월 이후 KISA 정보보호기술 온라인
학습장 웹사이트(www.sisi.or.kr)내
개인정보보호 온라인 학습공간 신설할 예정이다.
아울러
제3조3항에 개인정보의 기술적ㆍ관리적 보호조치 기준을 이행하기 위한 세부 추진 방안 마련하는 조항도 신설된다. 이는 접근통제, 접속기록,
개인정보의 암호화, 악성프로그램 방지, 출력ㆍ복사시 보호조치 등에 대한 사내적용 방안을 필수로 수립해야한다. 개인정보 표시 제한 조치에 대한
사내 적용방안 수립은 선택사항이다.
방통위는
이을 통해 기업 내부에 개인정보보호 전담 조직을 운영하도록 하고, 정기적 교육을 의무화함으로써 보다 능동적인 개인정보보호 자율 규제 환경을
조성할 수 있을 것으로 기대하고 있다. 아울러 개인정보보호를 위한 세부 추진방안 수립 및 이행을 통해 체계적이고 실효성 있는 보호활동을 전개할
수 있을 것으로 보고 있다.
개인정보
내부관리계획
|
개인정보보호
조직
|
-
개인정보관리책임자(CPO) 지정
-
개인정보취급자 지정
-
담당자별 업무 및 임무 지정
|
|
개인정보취급자교육
|
-
교육 계획 수립 및 년 2회 이상 시행(신설)
|
|
보호조치
세부사항
|
-
접근통제 실시
-
점속기록 위ㆍ변조 방지
-
개인정보의 암호화(주민번호, 계좌 등 금융정보ㆍ신설)
-
악성프로그램 침투방치
-
출력ㆍ복사 시 보호조치
|
|
기타
|
-
개인정보 출력 표시 제한
-
보안서약서 작성, 임직원 인식 제고
-
개인정보 노출 방지 대책 등
|
접근통제
강화
외부망으로부터
개인정보처리시스템 접속이 필요한 경우 계정별 인증 조치를 취하도록 함으로써 시스템의 불법접근을 방지하도록 한다. 해킹 등 침해사고로부터
개인정보처리 시스템의 안정성을 확보하기 위해 요구되는 시스템 기능을 구체적으로 규정해 시스템 운영에 활용하도록 한 것. 아울러 개인정보취급자의
비밀번호 생성규칙을 구체적으로 규정함으로써 해킹 등 비밀번호 추측을 통한 불법 사용을 최소화하도록 하고 있다. 이를 위해 제4조제1항을 개정해
개인정보처리시스템에 대한 접근권한을 개인정보관리책임자 또는 개인정보취급자에게만 부여하도록 했다. 또 제4조제4항 개인정보취급자가 정보통신망
외부로부터 개인정보처리시스템에 접속할 경우, 공인인증서 등 안전한 인증수단을 적용하도록 하는 조항도 신설한다.
또한
제4조제5항을 개정해 정보통신망을 통한 불법적인 개인정보처리시스템에 대한 접근 및 침해사고 예방을 위해 시스템으로 정의된 설비를 기능으로
규정했다. 이는 최근 침입차단 및 침입탐지 시스템이 통합돼 있어 통합제품의 경우 대상에 포함되지 않아 기능으로 분리해 규정한
것이다.
비밀번호의
경우 이용자에 대해서 정보통신서비스제공자가 현재와 동일하게 비밀번호 작성규칙을 수립해 서비스하도록 유연성을 보장했다.
접속기록의
위ㆍ변조 방지
해킹
또는 유출 등 침해사고 발생 징후를 예측하고 대응하는데 필요한 개인정보 접속기록을 관리ㆍ감독 규정을 구체적으로 명시하도록 했다. 이를 위해
제5조제1항을 개정해 이상 징후 확인, 감사로그 등을 위해 개인정보취급자가 개인정보처리시스템에 접속해 처리한 내역가 일시 등은 최소 6개월 이상
보존ㆍ관리도록 했다. 아울러 개인정보 열람ㆍ수정ㆍ삭제ㆍ출력 등 개인정보처리시스템에 접속해 처리한 내역과 일시 등을 월 1회 이상 확인ㆍ감독하도록
규정했다.
제5조제2항을
신설해 기간통신사업자에 대해서는 타 입법례 등을 검토해 이용자 권익보호를 위한 최소한의 기간으로 보관기간을 최소 5년 이상으로 명시해
관리ㆍ감독하도록 한다. 제5조제3항을 개정해 접속기록을 위ㆍ변조 방지 및 손ㆍ망실에 대비해 별도의 물리적 저장장치에 정기적 백업을 수행하도록
규정한다.
방통위
측은 이를 통해 침해 징후 발견에 따른 보다 체계적이고 신속한 대응이 가능할 것으로 기대하고 있다. 또한 정기적 백업을 수행해 해킹 등 침해사고
발견시 웨손되지 않은 접속 기록을 활용해 침해 시간, 날짜 등을 확인해 신속하고 복구절차 진행이 가능할 수 있을 것이라고 설명했다.
개인정보의
암호화
제6조제3항을
개정해 정보통신망을 통해 이용자의 인증정보를 송ㆍ수신하는 경우 암호화 전송하도록 문구를 수정했다. 또한 제6조제4항을 개정해 PC를 개인용
컴퓨터로 표현하도록 했다. 이를 통해 주민등록번호 및 금융정보의 암호화 저장을 통해 개인정보 유출에 따른 불법사용 방지 기반을 마련한 것. 또한
보안서버를 통해 전송하는 정보의 암호화 대상을 개인정보 및 인증정보로 상세화해 해석상 혼란을 방지하도록 할 계획이다.
또한
주민등록번호와 신용카드정보 및 유출시 2차 피해가 가능한 정보는 모두 암호화 하도록 했다. 기존 주민등록번호가 고객을 식별하거나 시스템 연계
등에 활용된 경우 주민등록번호와 매칭해 부여된 임의의 서비스 번호를 이용하도록 할 방침이다. 단 서비스번호와 매핑되는 주민등록번호는 암호화해
저장하고 관리해야한다. 한편 시스템 운영 또는 고객 서비스 제공 등을 위해 반드시 필요한 경우 부분 암호화를 적용하도록 했다.
악성프로그램
방지
운영체제
제작업체에서 공지한 보안패치를 갱신해 점검하도록 운영체제 보안 패치를 추가했다.
‘컴퓨터바이러스
방지’라는 조문명을 ‘악성프로그램 방지’, ‘바이러스 경보’라는 용어를 ‘악성프로그램 관련 경보’로 변경해 그 범위를 확대했다. 운영체제
제작업체의 보안 업데이트 공지를 정보통신서비스제공자가 적용해 취약점을 예방하도록 운영체제 항목도 추가됐다. 이는 운영체제 취약점을 실시간 패치
하도록 의무화한 규정이다.
개인정보
표시 제한 보호조치
개인정보
유출사고가 개인정보에 접근할 수 있는 내부 관리자에 의한 유출이 지속적으로 발생됨에 따라 개인정보 표시 제한 조치가 시작된다. 개인정보취급자가
업무목적을 달성하기 위해 개인정보를 조회 또는 출력하는 경우, 개인정보의 일부분을 특수문자 처리해 노출되지 않도록 조치를 취하는 경우 사업자가
동일하게 적용하기 위한 기준을 신설한 것으로 개인정보에 접근권한을 갖는 내부 관리자에 의한 개인정보 유출을 최소화하기 위한
보호조치다.
[오병민
기자(boan4@boannews.com)]
<저작권자:
보안뉴스(www.boannews.com)
무단전재-재배포금지>
|
