정보통신망 이용촉직 및 정보보호 등에 관한 법률(이하 정통망법)과 개인정보 보호법에서는 정보통신서비스의 이용자와 사용자가 안전한 비밀번호를 설정하고 서비스에 로그온 할 수 있도록 법률로서 서비스 제공자에게 의무하화고 있습니다. 하지만 아직도 이에 대한 인식은 많이 부족한 편입니다. 실제로 여러 웹서비스에 구현되어 있는 계정의 비밀번호 관련 기능을 살펴보면 의무적으로 제공되어야 할 기능이 제대로 구현되어 있지 않은 경우가 많습니다.
정보통신망법에 명시된 비밀번호 관련 규정
사실 정보통신망법에는 이용자와 사용자의 비밀번호에 대한 직접적인 규정은 없습니다. 다만 비밀번호와 같은 개인정보의 보호와 관련된 조항은 28조(개인정보의 보호조치)와 45조(정보통신망의 안전성 확보 등)에서 언급되어 있습니다.
제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다. <개정 2016.3.22.>
1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다. <개정 2016.3.22.>
[전문개정 2008.6.13.]
제45조(정보통신망의 안정성 확보 등) ① 정보통신서비스 제공자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다.
② 미래창조과학부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(이하 “정보보호지침”이라 한다)을 정하여 고시하고 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다. <개정 2012.2.17., 2013.3.23.>
③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다. <개정 2016.3.22.>
1. 정당한 권한이 없는 자가 정보통신망에 접근·침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치·운영 등 기술적·물리적 보호조치
2. 정보의 불법 유출·위조·변조·삭제 등을 방지하기 위한 기술적 보호조치
3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적·물리적 보호조치
4. 정보통신망의 안정 및 정보보호를 위한 인력·조직·경비의 확보
하지만 눈을 씻고 봐도 비밀번호에 대한 직접적인 언급은 없습니다. 비밀번호나 보안기술에 대해 상세하게 법에서 언급하긴 어렵죠. 그래서 미래창조과학부 장관에게 고시를 통해 상세한 규정을 정하라고 되어 있습니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 ( 약칭: 정보통신망법 시행령 )의 제15조(개인정보의 보호조치)입니다.
제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다. <개정 2016.9.22.>
1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항
2. 정보통신서비스 제공자의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. <개정 2012.8.17.>
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조·변조 방지를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독
2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다. <개정 2014.11.28., 2017.3.22.>
1. 비밀번호의 일방향 암호화 저장
2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치
4. 그 밖에 암호화 기술을 이용한 보안조치
⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.
⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.
[전문개정 2009.1.28.]
위에서 보면 시행령 제15조 2항의 4에서 정보통신서비스 제공자에게 비밀번호의 생성 방법과 변경 주기 등의 기준 설정과 운영하라고 하고 있지만 구체적인 기준은 역시나 없습니다. 하지만 6항에서 구체적인 기준을 방송통신위원회가 고시하도록 또~ 위임하고 있습니다.
그렇다면 고시를 봐야겠죠 ?
방송통신위원회고시 제2015-3호(2015.5.19 일부개정) “개인정보의 기술적·관리적 보호조치 기준입”니다.
제4조(접근통제) ⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
위의 8항에서 명시하고 있는 비밀번호 규정은 “개인정보취급자”가 그 대상입니다. 즉 정보통신서비스 “이용자”가 아니라 “사용자”에 해당되는 것이죠. 반면 “이용자”의 비밀번호에 대한 규정은 보이지 않습니다. 다만 7항에서 이용자가 안전한 비밀번호를 이용할 수 있도록 자체적인 비밀번호 작성 규칙을 수립하고 이행하라고만 하고 있습니다. 서비스 제공자 스스로 이용자의 비밀버호 규칙을 수립하고 이행하면 되는 것입니다.
개인정보보호법에 명시된 비밀번호 관련 규정
역시 개인정보보호법에도 직접적으로 비밀번호와 관련된 조항은 없습니다. 정보통신망법과 마찬가지로 관리적, 기술적 보호조치에 대한 조항을 찾아보면 다음과 같은 조항을 찾을 수 있습니다.
제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. <개정 2015.7.24.>
너무도 씸~플!합니다. 대통령령으로 정할테니 따르라는 것이죠.
그렇다면 그 대통령령을 찾아봐야겠죠 ? 그 대통령령은 “대통령령 제28150호(2017.6.27) 개인정보보호법 시행령” 입니다.
제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
② 행정자치부장관은 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013.3.23, 2014.11.19>
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정자치부장관이 정하여 고시한다. <개정 2013.3.23, 2014.11.19>
그런데 역시나 시행령에도 비밀번호에 관한 조항은 없습니다. 다만 3항에 행정자치부장관에게 위임하는 조항이 있습니다. 그렇습니다. 행정자치부장관의 안전성 확보 조치 관련 고시를 찾아야 합니다. 이 고시는 “행정자치부고시 제2016-35호(2016.9.1) 개인정보의 안전성 확보조치 기준” 입니다.
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
위의 내용을 살펴보면 개인정보의 안전성 확보조치 기준 고시의 제5조 5항과 6항은 사용자가 아닌 이용자의 비밀번호에 대한 작성 규칙을 수립하고 적용할 것을 규정하고 있습니다. 그리고 구체적으로 비밀번호의 길이와 규칙을 명시하고 있지는 않습니다. 다만 “정보주체 즉 이용자가 안전한 비밀번호를 설정하여 이행할 수 있도록” 이라고 선언하고 있습니다.
결론
앞에서 살펴보았듯 정보통신망법과 개인정보보호법의 이용자 및 사용자 비밀번호와 관련된 규정은 많이 다릅니다.
정보통신망법은 이용자의 개인정보를 취급하는 개인정보 취급자(사용자라고 봄)에 대해서는 3종류 8자 조합 및 2종류 10자 조합의 규칙을 적용하라고 하고 있고 개인정보보호법에서는 그냥 “비밀번호 규칙”을 수립하라고만 하고고 구체적인 기준은 따로 규정하지 않고 있습니다. 또한 이용자에 대해서는 정보통신망법도 개인정보보호법과 같이 “안전한 비밀번호 규칙”을 자체적으로 수립하여 적용하도록 하고 있습니다.
정보통신망법은 특별법으로서 영리목적의 정보통신서비스 제공자는 모두 준수해야하고 정보통신서비스 제공자가 아닌 개인정보처리자는 “일반법”인 개인정보 보호법을 따르면 됩니다.